46 votes

MDMarra avatar

Quel doit être l'ordre des serveurs DNS pour un contrôleur de domaine AD et pourquoi ?

Demandé el 1 de Juin, 2012
Quand la question a-t-elle été
88105 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il s'agit d'un Question canonique sur les paramètres DNS d'Active Directory.

En rapport :

Supposons un environnement avec plusieurs contrôleurs de domaine (supposons qu'ils exécutent tous également le DNS) :

  • Dans quel ordre les serveurs DNS doivent-ils être listés dans les adaptateurs réseau de chaque contrôleur de domaine ?
  • Faut-il utiliser 127.0.0.1 comme serveur DNS primaire pour chaque contrôleur de domaine ?
  • Cela fait-il une différence ? Si oui, quelles sont les versions concernées et comment ?
Demandé el 1 de Juin, 2012 par MDMarra

Réponses

Trop de publicités?

41voto

MDMarra avatar
MDMarra Points 99815

Selon le ce lien et l'analyseur de bonnes pratiques de Windows Server 2008 R2, l'adresse de bouclage devrait figurer dans la liste, mais l'adresse de bouclage ne figure pas dans la liste. jamais comme serveur DNS primaire. Dans certaines situations, comme un changement de topologie, cela pourrait interrompre la réplication et faire en sorte qu'un serveur soit "sur une île" en ce qui concerne la réplication.

Supposons que vous ayez deux serveurs : DC01 (10.1.1.1) et DC02 (10.1.1.2) qui sont tous deux des contrôleurs de domaine dans le même domaine et qui détiennent tous deux des copies des zones ADI pour ce domaine. Ils doivent être configurés comme suit :

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
Répondu el 1 de Juin, 2012 par MDMarra (99815 Points )

18voto

Ryan Ries avatar
Ryan Ries Points 54671

En http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Si l'adresse IP de bouclage est la première entrée de la liste des adresses DNS Active Directory risque de ne pas trouver ses partenaires de réplication. partenaires de réplication.

L'inclusion de sa propre adresse IP dans la liste des serveurs DNS améliore les performances et augmente la disponibilité des serveurs DNS. Toutefois, si le serveur DNS est également un contrôleur de domaine et qu'il pointe pointe uniquement vers lui-même, ou pointe d'abord vers lui-même pour la résolution de noms, cela peut causer des problèmes de sécurité. peut entraîner un retard au démarrage. C'est pourquoi il convient d'être prudent lors de la la configuration de l'adresse de bouclage d'une carte si le serveur est également un contrôleur de domaine. contrôleur de domaine. L'adresse de bouclage ne doit être configurée qu'en tant que serveur DNS secondaire ou tertiaire sur un contrôleur de domaine.

Je souhaite également partager cet extrait du livre Windows Server 2008 R2 débridé :

enter image description here

Cependant, même si vous n'êtes jamais affecté par le problème de l'"île", votre DC redémarrera quand même. beaucoup plus rapidement et avec moins d'erreurs s'il utilise un autre DC déjà opérationnel comme résolveur DNS primaire.

Répondu el 25 de Juillet, 2013 par Ryan Ries (54671 Points )

5voto

Tonny avatar
Tonny Points 6232

Un DC ne doit jamais, au grand jamais, s'utiliser comme DNS primaire.

Toutes sortes de dégâts peuvent se produire (et Murphy dit : se produiront) si les services AD sont mis en ligne avant que le service DNS ne soit opérationnel après un redémarrage. (Ou si le DNS tombe en panne, est victime d'un DOS, etc.)
Il existe également une interaction entre le DHCP (avec les mises à jour dynamiques du DNS) et le DNS, qui dépend fortement du bon fonctionnement du DNS.

Placez toujours 127.0.0.1 en dernier. De même : Ne soyez pas tenté d'utiliser la véritable adresse IP du réseau local du serveur.
Les mises à jour dynamiques du DNS par DHCP sont très sensibles à ce phénomène.
(127.0.0.1 existe toujours et est accessible plus rapidement. L'adresse IP réelle n'est pas toujours disponible ou occupée. Dans certains scénarios, les mises à jour dynamiques du DNS peuvent réellement provoquer un DOS sur la carte LAN s'il y a un grand nombre de requêtes DHCP simultanées combinées à des cartes réseau ou des pilotes de qualité médiocre).

Répondu el 3 de Juin, 2012 par Tonny (6232 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X