Qual deve ser a ordem dos servidores DNS para um controlador de domínio AD e por quê?

40

Esta é uma pergunta canônica sobre as configurações de DNS do Active Directory.

Palavras-chave:

Supondo um ambiente com vários controladores de domínio (suponha que todos eles também executem DNS):

  • em que ordem os servidores DNS devem ser listados nos adaptadores de rede para cada controlador de domínio?
  • 127.0.0.1 deve ser usado como o servidor DNS primário para cada controlador de domínio?
  • Faz alguma diferença? Em caso afirmativo, quais versões são afetadas e como?
MDMarra
fonte

Respostas:

35

De acordo com este link e o Analisador de práticas recomendadas do Windows Server 2008 R2, o endereço de loopback deve estar na lista, mas nunca como o servidor DNS primário. Em certas situações, como uma alteração na topologia, isso pode interromper a replicação e fazer com que um servidor esteja "em uma ilha" no que diz respeito à replicação.

Digamos que você tenha dois servidores: DC01 (10.1.1.1) e DC02 (10.1.1.2) que são ambos controladores de domínio no mesmo domínio e mantêm cópias das zonas ADI desse domínio. Eles devem ser configurados da seguinte maneira:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
fonte
Que tal um ambiente com um servidor DC e DNS com uma zona ADI? O controlador de domínio ainda deve estar configurado como primário para o secundário?
George
@ George Eu não sigo o que você está perguntando. Você está perguntando sobre um ambiente com apenas um controlador de domínio?
precisa saber é o seguinte
Sim esta correto. Desculpe, pensei em adicionar isso, mas achei que poderia aumentar a pergunta. (Também - para constar, eu sei que um único ambiente DC não é uma "configuração ideal")
George
2
Em um único ambiente de controlador de domínio, você deve usar o controlador de domínio sem nada como secundário. Isso é para reduzir problemas de replicação, mas se você tiver apenas um controlador de domínio, não haverá replicação. Mas sim ... não faça isso. Tenha dois CDs.
precisa saber é o seguinte
Sim. Não tenho um ambiente "ótimo" no momento, por assim dizer. Mas, como você deve ter visto na minha outra pergunta que você respondeu, a expansão está a caminho; novos domínios do AD e tempo para fazer as coisas corretamente riem mal . Obrigado.
George
16

De http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Se o endereço IP de loopback for a primeira entrada na lista de servidores DNS, o Active Directory poderá não conseguir encontrar seus parceiros de replicação.

A inclusão de seu próprio endereço IP na lista de servidores DNS melhora o desempenho e aumenta a disponibilidade dos servidores DNS. No entanto, se o servidor DNS também for um controlador de domínio e apontar apenas para si mesmo ou para si próprio primeiro para a resolução de nomes, isso poderá causar um atraso durante a inicialização. Por esse motivo, tenha cuidado ao configurar o endereço de loopback em um adaptador se o servidor também for um controlador de domínio. O endereço de loopback deve ser configurado apenas como um servidor DNS secundário ou terciário em um controlador de domínio.

Também quero compartilhar esse trecho do livro Windows Server 2008 R2 Unleashed :

insira a descrição da imagem aqui

No entanto, mesmo que você nunca seja afetado pelo problema da "ilha", o seu controlador de domínio ainda reinicia muito mais rápido e com menos erros se ele usar outro controlador de domínio que já esteja em execução como seu principal resolvedor de DNS.

Ryan Ries
fonte
Woah, o problema da ilha está resolvido? Documentação MS para 2008 R2 usado para fazer referência a ela e agora desapareceu magicamente (eu tinha bloco citou-o em um documento para um cliente assim que eu sei que não sou louco!)
MDMarra
3
Bem, eu diria que eles o mitigaram principalmente, mas, como mostra este artigo, ainda parece possível entrar em um ponto ruim se você tiver algumas circunstâncias muito particulares: support.microsoft.com/kb/2001093 Portanto, no final de nesse dia, você provavelmente estará bem com 127.0.0.1 como DNS primário em seus controladores de domínio modernos em um domínio com vários controladores de domínio. Eu pessoalmente vi domínios muito grandes que estavam operando de maneira limpa, apesar de terem todos os seus DCs configurados com 127.0.0.1 como DNS primário. Mas ainda não é uma prática recomendada. Apenas faça o que seu BPA diz, pessoal. ;)
Ryan Ries
5

Nunca, um controlador de domínio use seu próprio DNS primário.

Todo o tipo de confusão pode (e Murphy dita: ocorrerá) se os serviços do AD ficarem online antes que o serviço DNS esteja ativo após uma reinicialização. (Ou o DNS trava, é DOSsed, o que seja.)
Também há interação entre o DHCP (com atualizações dinâmicas do DNS) e o DNS, que depende muito do funcionamento correto do DNS.

Coloque sempre 127.0.0.1 por último. Além disso: também não fique tentado a usar o endereço IP da LAN real do servidor.
As atualizações dinâmicas de DNS do DHCP são muito sensíveis a isso.
(127.0.0.1 sempre existe e pode ser acessado mais rapidamente. O endereço IP real pode nem sempre estar disponível / ocupado. Em alguns cenários, as atualizações dinâmicas de DNS podem realmente DOS do adaptador LAN se houver uma grande quantidade de solicitações DHCP simultâneas combinadas. com NIC / drivers subparágrafos.)

Tonny
fonte
Enquanto você está certo sobre praticamente tudo e há um milhão de razões para ter mais de um CD, este não é um deles. Essa configuração evita problemas de replicação. Se você não tiver a necessidade de replicar, não precisará se preocupar em evitar problemas de replicação.
precisa saber é o seguinte
@MDMarra: Você está certo sobre a interação replicação / DNS ... Mas a pergunta original era uma pergunta geral e não específica da replicação. Eu estava pensando mais sobre problemas de DHCP-DNS. Geralmente, pelo menos um dos controladores de domínio também fornece ao DHCP atualizações dinâmicas de DNS. Todos os tipos de estranheza podem ocorrer se o DNS não estiver configurado corretamente. Vou atualizar minha resposta para esclarecer isso.
Tonny
11
Na verdade, é um problema de segurança se o DHCP for implantado em um controlador de domínio. se é possível, não deveria ser.
precisa saber é o seguinte
"Coloque sempre 127.0.0.1 por último" Você pode elaborar mais sobre os motivos por trás disso?
Bigbio2002