Sind diese DNS-Einstellungen eine gute Idee oder nicht?

8

Wir haben ein sehr kleines Netzwerk (5 Workstations) mit einem Windows Server als Domänencontroller, DHCP- und DNS-Server. Alle Geräte sind an einen Standard-Switch angeschlossen, der wiederum an ein Standard-Breitbandmodem angeschlossen ist.

Die TCP-Netzwerkeinstellungen für jede Workstation sind: Geben Sie hier die Bildbeschreibung ein

192.168.0.50ist die IP des DNS-Servers. 192.168.0.1ist die IP des Modem-Gateways 8.8.8.8ist der öffentliche DNS-Server von Google

Ist das ein guter Plan? Gibt es einen Punkt, an dem die IP des Modems in dieser Liste enthalten ist? Ich habe festgestellt, dass der Windows-DNS-Server Anforderungen für öffentliche Websites empfängt und zwischenspeichert. Sollte der Google DNS-Server weiter oben auf der Liste stehen?

windows windows-server-2012-r2 local-area-network userSteve
quelle
6
Ich musste diese Konfiguration einmal auf dem Standort eines Kunden korrigieren (alle außer dem internen DNS-Server entfernen). Die Symptome waren, dass gelegentlich Computer den Domänencontroller nicht kontaktieren konnten, um sich anzumelden. Die Diagnose und Behebung dauerte ungefähr 2 Minuten, und zum Glück erfolgte die Abrechnung pro Stunde oder Teil davon!
Matthew Steeples

Antworten:

29

Workstations sollten Ihre internen DNS-Server als einzige DNS-Server in der TCP / IP-Konfiguration haben

PCs wählen den DNS-Server aus der Liste aus und bleiben einige Zeit dabei. Wenn Ihre Workstations also zufällig Ihr Modem oder Ihren Google DNS-Server auswählen, funktioniert Ihre interne AD-Domainnamenauflösung nicht mehr.

Optional können Sie die DNS-Server von Google oder Modem als Weiterleitungen auf dem DNS-Server Ihres DC angeben. DNS-Server auf DC können aber auch alle externen Auflösungen ohne Weiterleitungen ausführen. Die Verwendung der DNS-Server Ihres Internetdienstanbieters als Weiterleitungen auf internen DNS-Servern ist jedoch möglicherweise sinnvoller. Sie müssen jedoch überhaupt keine Spediteure einsetzen

Jevgenij Martynenko
quelle
Ok, aber was wäre, wenn der interne DNS-Server aus irgendeinem Grund nicht verfügbar wäre, würde dies den Zugriff der Arbeitsstationen auf öffentliche Websites verhindern?
UserSteve
4
@userSteve ja. Ihre Aufgabe hier ist es, sicherzustellen, dass der interne DNS-Server ausreichend robust ist, oder mehrere solcher Server zu haben, wenn Redundanz innerhalb Ihrer SLA-Anforderung wichtig ist
Cosmic Ossifrage
4
@userSteve Ihr interner DNS-Server ist wichtig, damit Active Directory ordnungsgemäß funktioniert (Authentifizierung, Ressourcenzugriff usw.). Sie haben Recht, falls der interne DNS-Server ausfällt, können PCs auch nicht auf das Internet zugreifen. Die richtige Lösung besteht jedoch darin, zwei oder mehr interne DNS-Server zu haben. Wenn Sie einen sekundären externen DNS-Server auf PCs konfiguriert hätten, würden diese ihn auch dann verwenden, wenn Ihr interner DNS-Server wieder online ist. Und hier geht das Problem - Ihre Benutzer könnten sich nicht in Active Directory authentifizieren, auf Ressourcen zugreifen usw.
Jevgenij Martynenko
Je nach Marke und Modell können Sie Ihren 192.168.0.1 möglicherweise so konfigurieren, dass er als sekundärer DNS-Server für Ihre interne AD-Zone fungiert ...
Hagen von Eitzen
1
@HagenvonEitzen DDNS-Updates von PCs funktionieren auf sekundären Servern nicht. Der Vorschlag könnte das Problem also teilweise lösen, würde aber andere Probleme mit sich bringen
Jevgenij Martynenko,
-4

Das Hinzufügen des Modems ist keine gute Idee, nein.

Szenario:

Ihr interner DNS-Server antwortet aus irgendeinem Grund nicht. Dies führt zu einer Verzögerung beim Timeout.

Wenn es dann das Modem fragt, erhält es keine Antwort. Dies führt zu einer zweiten Verzögerung, wenn das Zeitlimit überschritten wird.

Dann würde es Google versuchen, von dem man annehmen würde, dass es antworten würde, solange Sie eine Verbindung haben.

Wenn Sie den Modemeintrag entfernen, gelangt er schneller zu Google, wenn Ihr interner DNS nicht reagiert.

Fazit ist, dass Sie sich auf Ihr internes DNS verlassen können sollten. Wenn Sie ihm jedoch nicht vertrauen können, ist es kein Problem, Google als Backup zu haben.

SDsolar
quelle
Ich vermute, dass jemand herabgestimmt hat, denn wenn das Modem ausfällt, ist das Internet nicht erreichbar. Bei einer einfachen Büroeinrichtung ist es unwahrscheinlich, dass mehrere redundante Verbindungen vorhanden sind.
Criggie
3
Downvoting, da dies darauf hindeutet, dass es akzeptabel ist, nicht interne DNS-Server auf Domänencontrollerbasis als zusätzliche DNS-Server auf den Client- oder Servernetzwerkschnittstellenkarten hinzuzufügen. Dies führt aufgrund der Implementierung des clientseitigen Resolver-Dienstes zu unzähligen Problemen, der seine DNS-Einstellungen auch nach dem erneuten Hochfahren des Servers über einen längeren Zeitraum beibehält. Weitere Informationen finden Sie in diesem Artikel: blogs.msmvps.com/acefekay/2016/10/15/…
Cosmic Ossifrage
Fair genug, @Cosmic. Tatsächlich war mein erster Gedanke bei der Beantwortung dieser Frage, dass der Benutzer überhaupt keine eigenen Einstellungen haben sollte, wenn er einen internen DHCP / DNS-Server verwendet. Aber das OP schien wirklich speziell nach der Auflistung des Modems zu fragen, also antwortete ich entsprechend.
SDsolar