Wie sollte die Reihenfolge der DNS-Server für einen AD-Domänencontroller sein und warum?

40

Dies ist eine kanonische Frage zu den Active Directory-DNS-Einstellungen.

Verbunden:

Angenommen, eine Umgebung mit mehreren Domänencontrollern (vorausgesetzt, auf allen wird auch DNS ausgeführt):

  • In welcher Reihenfolge sollten die DNS-Server in den Netzwerkadaptern für jeden Domänencontroller aufgeführt sein?
  • Soll 127.0.0.1 als primärer DNS-Server für jeden Domänencontroller verwendet werden?
  • Macht es einen Unterschied, ob und wie welche Versionen betroffen sind?
MDMarra
quelle

Antworten:

35

Gemäß diesem Link und dem Windows Server 2008 R2 Best Practices Analyzer sollte die Loopback-Adresse in der Liste enthalten sein, jedoch niemals als primärer DNS-Server. In bestimmten Situationen, z. B. bei einer Topologieänderung, kann dies die Replikation unterbrechen und dazu führen, dass sich ein Server in Bezug auf die Replikation auf einer Insel befindet.

Angenommen, Sie haben zwei Server: DC01 (10.1.1.1) und DC02 (10.1.1.2), die beide Domänencontroller in derselben Domäne sind und Kopien der ADI-Zonen für diese Domäne enthalten. Sie sollten wie folgt konfiguriert sein:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
quelle
Was ist mit einer Umgebung mit einem DC und einem DNS-Server mit einer ADI-Zone? Sollte der DC weiterhin als primär zu sekundär konfiguriert sein?
George
@ George Ich folge nicht, was du fragst. Fragen Sie nach einer Umgebung mit nur einem Domänencontroller?
MDMarra
Ja das ist richtig. Entschuldigung, ich habe darüber nachgedacht, dies hinzuzufügen. (Auch - für die Aufzeichnung weiß ich, dass eine einzelne DC-Umgebung keine "ideale Konfiguration" ist)
George
2
In einer einzelnen DC-Umgebung sollte der DC nur sich selbst und nichts als sekundär verwenden. Dies dient der Reduzierung von Replikationsproblemen. Wenn Sie jedoch nur einen Domänencontroller haben, erfolgt keine Replikation. Aber ja ... tu das nicht. Habe zwei DCs.
MDMarra
Ja. Ich habe im Moment sozusagen kein "tolles" Umfeld. Aber wie Sie vielleicht anhand meiner anderen Frage gesehen haben, die Sie beantwortet haben, ist die Erweiterung auf dem Weg, neue AD-Domänen und Zeit, um die Dinge richtig böse zu machen, zum Lachen zu bringen . Vielen Dank.
George
16

Von http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Wenn die Loopback-IP-Adresse der erste Eintrag in der Liste der DNS-Server ist, kann Active Directory seine Replikationspartner möglicherweise nicht finden.

Die Aufnahme einer eigenen IP-Adresse in die Liste der DNS-Server verbessert die Leistung und erhöht die Verfügbarkeit der DNS-Server. Wenn der DNS-Server jedoch auch ein Domänencontroller ist und nur auf sich selbst zeigt oder bei der Namensauflösung zuerst auf sich selbst zeigt, kann dies zu einer Verzögerung beim Start führen. Gehen Sie daher beim Konfigurieren der Loopback-Adresse auf einem Adapter vorsichtig vor, wenn der Server auch ein Domänencontroller ist. Die Loopback-Adresse sollte nur als sekundärer oder tertiärer DNS-Server auf einem Domänencontroller konfiguriert werden.

Ich möchte auch dieses Snippet aus dem Buch Windows Server 2008 R2 Unleashed freigeben :

Bildbeschreibung hier eingeben

Selbst wenn Sie nie von dem "Insel" -Problem betroffen sind, wird Ihr Domänencontroller immer noch viel schneller und mit weniger Fehlern neu gestartet, wenn er einen anderen bereits aktiven Domänencontroller als primären DNS-Resolver verwendet.

Ryan Ries
quelle
Woah, das Inselproblem ist behoben? MS-Dokumentation für 2008 R2 verwendet, um darauf zu verweisen, und jetzt ist es magisch verschwunden (Ich hatte es in einem Dokument für einen Kunden zitiert Block, damit ich weiß, ich bin nicht verrückt!)
MDMarra
3
Nun, ich würde sagen, dass sie es größtenteils gemildert haben, aber wie dieser Artikel zeigt, scheint es immer noch möglich zu sein, sich in eine schlimme Situation zu begeben, wenn Sie ganz bestimmte Umstände haben: support.microsoft.com/kb/2001093 Also am Ende von An diesem Tag werden Sie wahrscheinlich 127.0.0.1 als primären DNS auf Ihren modernen Domänencontrollern in einer Domäne mit mehreren Domänencontrollern verwenden können. Ich persönlich habe sehr große Domänen gesehen, die einwandfrei funktionierten, obwohl alle Domänencontroller mit 127.0.0.1 als primärem DNS eingerichtet waren. Aber es ist immer noch nicht die beste Praxis. Tu einfach, was dein BPA sagt, Leute. ;)
Ryan Ries
5

Lassen Sie niemals einen DC sich selbst als primären DNS verwenden.

Alle Arten von Chaos können (und Murphy diktiert: wird) auftreten, wenn die AD-Dienste online werden, bevor der DNS-Dienst nach einem Neustart aktiv ist. (Oder DNS stürzt ab, wird DOS-fähig, was
auch immer.) Es gibt auch eine Interaktion zwischen DHCP (mit dynamischen DNS-Aktualisierungen) und DNS, die stark davon abhängt , ob DNS ordnungsgemäß funktioniert.

127.0.0.1 immer an letzter Stelle setzen. Außerdem: Versuchen Sie nicht, die echte LAN-IP-Adresse des Servers zu verwenden.
Dynamische DNS-Updates von DHCP reagieren sehr empfindlich darauf.
(127.0.0.1 ist immer vorhanden und kann schneller aufgerufen werden. Die tatsächliche IP-Adresse ist möglicherweise nicht immer verfügbar / ausgelastet. In einigen Szenarien können die dynamischen DNS-Aktualisierungen den LAN-Adapter tatsächlich DOS-fähig machen, wenn eine hohe Anzahl gleichzeitiger DHCP-Anforderungen kombiniert wird mit unterdurchschnittlicher Netzwerkkarte / Treibern.)

Tonny
quelle
Während Sie in so ziemlich allem Recht haben und es eine Million Gründe gibt, mehr als ein DC zu haben, ist dies keiner von ihnen. Diese Konfiguration verhindert Replikationsprobleme. Wenn Sie The need to replicate nicht haben, müssen Sie sich nicht darum kümmern, Replikationsprobleme zu vermeiden.
MDMarra
@MDMarra: Sie haben Recht mit der Replikation / DNS-Interaktion ... Die ursprüngliche Frage war jedoch eine allgemeine Frage und keine replikationsspezifische. Ich habe mehr über DHCP-DNS-Probleme nachgedacht. In der Regel versorgt mindestens einer der Domänencontroller DHCP auch mit dynamischen DNS-Updates. Alle Arten von Verrücktheiten können auftreten, wenn DNS nicht richtig konfiguriert ist. Ich werde meine Antwort aktualisieren, um dies zu klären.
Tonny
1
Es ist tatsächlich ein Sicherheitsproblem, wenn DHCP auf einem DC bereitgestellt wird. wenn es überhaupt möglich ist, sollte es nicht sein.
MDMarra
"127.0.0.1 immer an letzter Stelle setzen" Können Sie die Gründe dafür genauer erläutern?
Bigbio2002,