Best Practice / Praktische Überlegungen zum DNS von Domänencontrollern für Domänencontroller in untergeordneten Domänen

7

Ich richte mehrere untergeordnete Domänen in einer vorhandenen Active Directory-Gesamtstruktur ein und suche nach herkömmlichen Richtlinien / Best-Practice-Anleitungen zum Konfigurieren der DNS-Clienteinstellungen auf den untergeordneten Domänencontrollern und für den Replikationsbereich der DNS-Zone.

Angenommen, in jeder Domäne wird ein einzelner Domänencontroller verwendet, und angenommen, dass jeder Domänencontroller auch der DNS-Server für die Domäne ist (der Einfachheit halber), sollte der untergeordnete Domänencontroller nur für DNS auf sich selbst verweisen oder auf eine Kombination (primär VS sekundär). von sich selbst und dem DNS-Server in der übergeordneten oder Stammdomäne? Wenn eine übergeordnete> untergeordnete> Enkelkind-Domänenhierarchie vorhanden ist (mit einem zusammenhängenden DNS-Namespace), wie sollte DNS auf dem Enkelkind-DC konfiguriert werden?

In Bezug auf den DNS-Zonenreplikationsbereich gehe ich davon aus, dass eine DNS-Delegierung vom übergeordneten zum untergeordneten Element vorhanden sein muss und dass eine Weiterleitung vom untergeordneten zum übergeordneten Element vorhanden sein muss, wenn die DNS-Zone jeder Domäne auf allen DNS-Servern in der Domäne gespeichert wird . Leitet dann bei einer übergeordneten> untergeordneten> Enkelkind-Domänenhierarchie jedes untergeordnete Element an das direkte übergeordnete Element für die Zone des direkten übergeordneten Elements oder an die Stammzone weiter? Tritt die Delegierung in der direkten übergeordneten Zone oder in der Stammzone auf?

Wenn alle DNS-Zonen auf allen DNS-Servern in der Gesamtstruktur gespeichert werden, werden die oben genannten Fragen zum Replikationsbereich nicht beantwortet? Hat der Replikationsbereich einen Einfluss auf die DNS-Clienteinstellungen auf jedem Domänencontroller?

domain-name-system active-directory Joeqwerty
quelle
1
Wenn Sie einen einzelnen Domänencontroller haben, der nur sich selbst für DNS verwendet, können Probleme mit Startzeiten von 5 bis 10 Minuten auftreten, während er auf DNS wartet, das nicht vorhanden ist. Es scheint keine bessere Lösung zu geben, als einen anderen DNS-Server zum Zeitpunkt des DC-Starts betriebsbereit zu haben. Ich bin mir ziemlich sicher, dass es sich um einen alten DNS-Server für Startzeitzwecke handeln kann, aber natürlich möchten Sie etwas, das für einen Domänencontroller geeignet ist. Hier kommen möglicherweise Ihre anderen Replikations- und Delegierungsfragen ins Spiel Ich bin daran interessiert, von jemandem zu hören, der ein bisschen mehr in diesem Bereich weiß.
Hwilbanks

Antworten:

2

Ich würde aus Redundanzgründen lieber eine einzelne Domain verwenden, die Ihre beiden Server verwendet, als zwei separate Domains auf einzelnen Servern (Point of Failure) zu verwenden. Was treibt Ihre Entscheidung für eine Eltern- / Kinderdomänen-Gesamtstruktur an? Sie können einfach den DNS-Bereich für die untergeordnete Domäne verwenden, da Sie sagten, dass er zusammenhängend ist, ohne dass eine AD-Domäne erforderlich ist, es sei denn, Sie haben Bedenken hinsichtlich der Sicherheitsgrenzen.

Gegen mein besseres Urteilsvermögen beantworte ich die Frage unter der Annahme, dass Sie zwei Server für jede Domain haben (insgesamt vier) - subtrahieren Sie einfach zwei der Server für Ihren Fall.

Option 1.

Mit dem Wunsch, DNS lokal in der Domäne zu halten, zeigen die übergeordneten Domänencontroller aufeinander und die untergeordneten Domänencontroller auch aufeinander. Die einfachere Konfiguration wäre die Verwendung eines Bereichs, der die DNS-Zone gesamtstrukturweit repliziert.

Sie haben parent.local (oder was auch immer) als oberste Ebene und child.parent.local als Subdomain.

AD repliziert beide Domänen in der gesamten Gesamtstruktur, wodurch die DNS-Auflösung vereinfacht wird. Auf einem bestimmten DNS-Server werden sich die Zonen überschneiden, Windows kümmert sich jedoch darum.

Option 2.

Eine andere Möglichkeit besteht darin, keine gesamtstrukturweite Replikation durchzuführen. In diesem Fall würde ich einfach eine Weiterleitung für die untergeordneten Domänencontroller konfigurieren, um alles an das DNS der übergeordneten Domänencontroller zu senden. Auf dem übergeordneten Domänencontroller müssen Sie jedoch eine Delegierung für die untergeordnete Domänendomäne zurück erstellen Nieder.

generalnetworkerror
quelle
Ich glaube, Option 2 ist die Standardkonfiguration, zumindest für eine neue 2008 R2-Gesamtstruktur.
Hwilbanks
0

Um eine Antwort auf die "Best-World-Practice" -Praktiken zu erhalten, müssen Sie meiner Meinung nach noch eine weitere Information hinzufügen. Wo werden sich alle DCS / DNS-Controller physisch befinden? Wenn sich die untergeordneten Elemente an verschiedenen physischen Standorten befinden, soll für jede untergeordnete Domäne lokal und nicht in der Gesamtstruktur gespeichert werden. Best Practice erfordert einen leeren Wald. DNS-Server sollten immer zuerst auf sich selbst verweisen und dann eine Weiterleitung verwenden, die auf das übergeordnete Element (oder die Gesamtstruktur) verweist. Eine einfache Möglichkeit, das Problem des langsamen Starts zu umgehen, besteht darin, sich selbst zur lokalen Hosts-Datei hinzuzufügen (obwohl ich mich anscheinend auch an eine Reg-Korrektur für dieses Problem erinnere).

Evan
quelle