Нужен ли dns на контроллере домена

Обновлено: 04.07.2024

Предполагая среду с несколькими контроллерами домена (предположим, что все они также работают с DNS):

• в каком порядке DNS-серверы должны быть указаны в сетевых адаптерах для каждого контроллера домена?
• Следует ли использовать 127.0.0.1 в качестве основного DNS-сервера для каждого контроллера домена?
• Имеет ли это какое-то значение, если да, то на какие версии влияют и как?

Согласно этой ссылке и анализатору соответствия рекомендациям для Windows Server 2008 R2, адрес обратной связи должен быть в списке, но не в качестве основного DNS-сервера. В определенных ситуациях, таких как изменение топологии, это может нарушить репликацию и привести к тому, что сервер будет «на острове» в отношении репликации.

Предположим, у вас есть два сервера: DC01 (10.1.1.1) и DC02 (10.1.1.2), которые оба являются контроллерами домена в одном домене и оба содержат копии зон ADI для этого домена. Они должны быть настроены следующим образом:

Как насчет среды с DC и DNS-сервером с зоной ADI? Должен ли DC все еще быть сконфигурирован как первичный для вторичного? @ Джордж Я не понимаю, что вы просите. Вы спрашиваете о среде только с одним контроллером домена? Да, это правильно. Извините, я подумал о добавлении этого, но подумал, что это может обойти вопрос (Также - для протокола, я знаю, что среда с одним DC не является «идеальной конфигурацией») В среде с одним DC вы должны просто использовать DC самостоятельно, в качестве вторичного устройства. Это должно уменьшить проблемы с репликацией, но если у вас есть только один DC, репликации не будет. Но да . не делай этого. Есть два DC. Да. Не получил "отличную" обстановку на данный момент, как бы. Но, как вы могли видеть из моего другого вопроса, на который вы ответили, расширение идет полным ходом, поэтому новые домены AD и время, чтобы делать все правильно, злой смех . Спасибо.

Если петлевой IP-адрес является первой записью в списке DNS-серверов, Active Directory может быть не в состоянии найти своих партнеров по репликации.

Включение собственного IP-адреса в список DNS-серверов повышает производительность и повышает доступность DNS-серверов. Однако, если DNS-сервер также является контроллером домена и указывает только на себя или указывает на себя в первую очередь для разрешения имен, это может вызвать задержку во время запуска. По этой причине соблюдайте осторожность при настройке адреса обратной связи на адаптере, если сервер также является контроллером домена. Адрес обратной связи должен быть настроен только как вторичный или третичный DNS-сервер на контроллере домена.

Я также хочу поделиться этим фрагментом из книги Windows Server 2008 R2 Unleashed :

Тем не менее, даже если проблема «острова» вас никогда не затронет, ваш DC все равно будет перезагружаться гораздо быстрее и с меньшим количеством ошибок, если он использует другой уже запущенный и работающий DC в качестве основного преобразователя DNS.

Вау, проблема на острове исправлена? Документация MS для 2008 R2 использовалась для ссылки на нее, и теперь она волшебным образом исчезла (у меня был блок цитировал это в документе для клиента, так что я знаю, что я не сумасшедший!)

Никогда, когда-либо DC не использовал себя как Основной DNS.

Все виды хаоса могут (и Мерфи диктует: произойдет), если службы AD перейдут в оперативный режим до того, как служба DNS начнет работать после перезагрузки. (Или DNS падает, получает DOSsed, что угодно.)
Существует также взаимодействие между DHCP (с динамическими обновлениями DNS) и DNS, которое сильно зависит от правильной работы DNS.

Всегда ставьте 127.0.0.1 последним. Также: не поддавайтесь искушению использовать реальный IP-адрес локальной сети сервера.
Динамические обновления DNS от DHCP очень чувствительны к этому.
(127.0.0.1 всегда существуют и могут быть доступны быстрее. Реальный IP-адрес не всегда может быть доступен / занят. В некоторых сценариях динамические обновления DNS могут фактически DOS адаптера ЛВС, если объединено большое количество одновременных запросов DHCP с подпаритетом NIC / драйверов.)

Зачем нужен сервер?
извиняюсь за немного глупый вопрос) но я не могу понять зачем нужен сервер, если можно создать.

Нагрузка на DNS сервер. DNS на Windows Server. Мощности оборудования для больших DNS серверов
Приветствую коллеги! Интересно ваше узнать ваше мнение (а может быть у вас есть практика) какие.

Зачем нужен пробник для осциллографа?
Дали поработать с осциллографом и на нем оказался пробник вместо обычного щупа, вернее надо сказать.

Для чего нужен DNS сервера в локальной сети ?
привет. сегодня читал главу в книге про linux, про DNS сервера. как я понимаю, они стоят в.

Неверно. Чтобы понять кто у нас в сети контроллер домена клиентский компьютер будет искать в DNS записи служб (SRV). Чтобы эти записи были вам нужна зона. Неверно. Чтобы понять кто у нас в сети контроллер домена клиентский компьютер будет искать в DNS записи служб (SRV). Чтобы эти записи были вам нужна зона. А почему он просто IP не может найти? Зачем усложнять?) А почему он просто IP не может найти? Зачем усложнять?) Я не совсем понимаю ваш вопрос)
Вы не можете сказать компьютеру "Смотри дорогой вот это контролер домена". Вы можете сказать ему "Вот это DNS он знает, кто контроллер домена". Когда вы хотите авторизоваться ваш компьютер спросит где у нас служба ldap? В DNS будет указана SRV запись на эту службу. И более того, если вдруг ваш контроллер полетит к чертям, там будет указана так же запись второго контроллера домена, что бы пользователи могли продолжать пользоваться своими рабочими станциями.

kapitan_lyagysh, меня интересует возможность клиента обращаться к контроллеру не через DNS а напрямую по IP есть такая возможность или нету? Гипотетически..

Добавлено через 3 минуты

И более того, если вдруг ваш контроллер полетит к чертям, там будет указана так же запись второго контроллера домена, что бы пользователи могли продолжать пользоваться своими рабочими станциями.

Как клиент выбирает какой контроллер использовать? В порядке приоритета? А если первый котроллер недоступен то он снова лезет в DNS и выбирает уже вторую запись?
Кстати а если DNS расположен на том же сервере где и контроллер то получается полный абзац да?) Если отвалится все..

Добавлено через 11 минут
Ааа есть же второй контроллер..просто если первый DNS сервер не будет доступен то клиенту придется обращаться на другой DNS и искать там другой контроллер. но как он узнает где находится другой DNS тоже не понятно..

В этой статье описываются наилучшие методы настройки параметров клиента системы доменных имен (DNS). Рекомендации в этой статье посвящены установке среды 2000 Windows или Windows Server 2003, где ранее не было определенной инфраструктуры DNS.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 825036

Контроллер домена с установленным DNS

На контроллере домена, который также выступает в качестве DNS-сервера, Корпорация Майкрософт рекомендует настроить параметры клиента DNS-контроллера домена в соответствии с этими спецификациями:

Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, а сервер выполняет DNS, настройте параметры клиента DNS, чтобы указать IP-адрес этого первого сервера. Например, необходимо настроить параметры клиента DNS, чтобы указать на себя. Не перечислять другие DNS-серверы, пока в этом домене не будет размещен другой контроллер домена.

Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы указать на другой контроллер домена, который работает с DNS в домене и на сайте, и в котором размещено пространство имен домена, в котором установлен новый контроллер домена. или при использовании 3-й стороной DNS на DNS-сервере, на котором размещена зона для домена Active Directory dc. Не настраивать контроллер домена для использования собственной службы DNS для разрешения имен до тех пор, пока вы не убедились в том, что репликация Active Directory входящие и исходящие не функционирует и будет работать в срок. Невыполнение этого может привести к DNS "Острова".
Дополнительные сведения о связанной теме нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

275278 DNS Server становится островом, когда контроллер домена указывает на себя для _msdcs.ForestDnsName домена

После успешного завершения репликации DNS может быть настроен на каждом контроллере домена двумя способами в зависимости от требований среды. Параметры конфигурации:

• Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS Server.
  • Преимущества. Гарантирует, что запросы DNS, возникающие из контроллера домена, будут разрешены локально, если это возможно. Свести к минимуму влияние DNS-запросов контроллера домена на сеть.
  • Недостатки. В зависимости от репликации Active Directory для обеспечения того, чтобы зона DNS была в курсе. Длительные сбои репликации могут привести к неполному набору записей в зоне.
  • Преимущества:
    • Минимизирует зависимость от репликации Active Directory для обновлений зон DNS записей локатора контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей локатора контроллера домена, так как время задержки репликации не является проблемой.
    • Предоставляет один авторитетный DNS-сервер, который может быть полезен при устранении неполадок с репликацией Active Directory
    • Будет более активно использовать сеть для решения запросов DNS, возникающих из контроллера домена
    • Разрешение имен DNS может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к неспособности разрешить запросы DNS от контроллера домена. Это может привести к очевидной потере подключения даже к расположениям, которые не являются в потерянном сегменте сети.

    Возможно сочетание этих двух стратегий с удаленным DNS-сервером в качестве предпочтительного DNS-сервера, а локальный контроллер домена — альтернативным (или наоборот). Хотя эта стратегия имеет множество преимуществ, перед изменением конфигурации необходимо учитывать некоторые факторы:

    • Клиент DNS не использует каждый из DNS-серверов, перечисленных в конфигурации TCP/IP для каждого запроса. По умолчанию при запуске клиент DNS будет пытаться использовать сервер в записи предпочитаемого DNS-сервера. Если этот сервер не отвечает по какой-либо причине, клиент DNS перейдет на сервер, указанный в альтернативной записи DNS-сервера. Клиент DNS будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
      • Он не отвечает на запрос DNS или:
      • Значение ServerPriorityTimeLimit достигается (15 минут по умолчанию).

      Только невыполнение ответа приведет к тому, что клиент DNS переключает предпочтительные DNS-серверы; Получение достоверного, но неправильного ответа не вызывает попытку клиента DNS на другом сервере. В результате настройка контроллера домена с собой и другим DNS-сервером в качестве предпочтительных и альтернативных серверов помогает гарантировать, что ответ получен, но не гарантирует точность этого ответа. Сбои обновления записей DNS на обоих серверах могут привести к несогласованному разрешению имен.

      • Не настраивайте параметры клиента DNS на контроллерах домена, чтобы указать на DNS-серверы поставщика интернет-услуг (ISP). Если настроить параметры DNS-клиентов, чтобы указать на DNS-серверы вашего isP, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут находить сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи на своем DNS-сервере.

      Чтобы перенаправление внешних запросов DNS, добавьте DNS-серверы isP в качестве DNS-переадверщиков в консоль управления DNS. Если не настроены переадверщики, используйте серверы корневых подсказок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер переадновится на сервер DNS в Интернете, необходимо также удалить корневой "". (также известная как зона "точка") в консоли управления DNS в папке Зоны forward Lookup.

      • Если контроллер домена, на котором размещенА DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации имен DNS.

      Дополнительные сведения о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

      292822 и проблемы с подключением имен на сервере маршрутиза и удаленного доступа, который также выполняет DNS или WINS

      Чтобы проверить параметры клиента DNS-контроллера домена, введите следующую команду в командной подсказке, чтобы просмотреть сведения о конфигурации ip-протокола Интернета: ipconfig /all
      Чтобы изменить конфигурацию клиента DNS контроллера домена, выполните следующие действия:

      Щелкните правой кнопкой мыши Мои сетевые места, а затем выберите Свойства.

      Щелкните правой кнопкой мыши локальное подключение к области, а затем выберите Свойства.

      Выберите протокол Интернета (TCP/IP) и выберите свойства.

      Выберите Расширенный, а затем выберите вкладку DNS. Чтобы настроить данные DNS, выполните следующие действия:

      1. В DNS-серверах в порядке использования добавьте рекомендуемые DNS-серверные адреса.
      2. Если параметр Для разрешения неквалифицированных имен задан для приложения этих суффиксов DNS (в порядке), Корпорация Майкрософт рекомендует сначала указать доменное имя Active Directory DNS (в верхней части).
      3. Убедитесь, что Суффикс DNS для этого параметра подключения такой же, как доменное имя Active Directory.
      4. Убедитесь, что выбраны адреса этого подключения в поле DNS.
      5. Выберите ОК три раза.

      При изменении параметров клиента DNS необходимо очистить кэш разрешения DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш разрешения DNS, введите следующую команду в командной подсказке: ipconfig /flushdns
      Чтобы зарегистрировать записи ресурсов DNS, введите следующую команду по командной подсказке: ipconfig /registerdns

      Чтобы подтвердить правильность записей DNS в базе данных DNS, запустите консоль управления DNS. Должна быть запись для имени компьютера. (Эта запись хостов — запись "A" в расширенных представлениях.) Также должна быть запись Start of Authority (SOA) и запись Name Server (NS), которая указывает на контроллер домена.

      Контроллер домена без установки DNS

      Если вы не используете DNS, интегрированный в Active Directory, и у вас есть контроллеры домена, которые не установлены DNS, Корпорация Майкрософт рекомендует настроить параметры клиента DNS в соответствии с этими спецификациями:

      • Настройте параметры клиента DNS на контроллере домена, чтобы указать на DNS-сервер, который является авторитетным для зоны, соответствующей домену, в котором компьютер является участником. Локальный первичный и вторичный DNS-сервер предпочтительнее из-за соображений трафика широкой сети (WAN).
      • Если отсутствует локальный DNS-сервер, указать на DNS-сервер, доступный по надежной ссылке WAN. Надежность определяется временем и пропускной способностью.
      • Не настраивайте параметры клиента DNS на контроллерах домена, чтобы указать на DNS-серверы вашего isP. Вместо этого внутренний DNS-сервер должен переадружать на DNS-серверы isP для разрешения внешних имен.

      Windows серверов 2000 и Windows Server 2003

      На Windows серверов-членов 2000 Server и Windows Server 2003 Корпорация Майкрософт рекомендует настроить параметры клиентов DNS в соответствии с этими спецификациями:

      1. В зонах прямого просмотра DNS-сервера следует удалить зону "." (на жаргоне: "зона точка", "корень", "корневая зона", "зона корневых серверов"), если она там есть. После этого перезапустить службу "DNS-сервер".
         
      2. a) Если в вашем домене только один контроллер домена, то в "Свойствах TCP/IP" в разделе "Предпочитаемый DNS сервер" каждого интерфейса необходимо указывать только IP этого же самого интефейса, а в качестве "Альтернативный DNS сервер" не следует указывать вообще ничего.
         b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере домена, на котором работает DNS-сервер, в "Свойствах TCP/IP" каждого "внутреннего" (глядящего внутрь вашей локальной сети) интерфейса следует указать
         - "первым сервером DNS" - IPшник любого другого (разумеется, ближайшего по топологии сети) контроллера этого домена с работающим DNS,
         - "вторым сервером DNS" - IPшник этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!).
      3. Если на контроллере с работающим DNS установлено более одного сетевого интерфейса (внимание! это плохая практика! не стОит делать любой контроллер домена многодомным/multihomed по многим причинам!), то на всех "внутренних" интерфейсах надо прописать DNSы как указано выше, а на всех "внешних" (глядящих "наружу" вашей локальной сети, например, на провайдера) интерфейсах надо указать в качестве "первого DNS" только IP этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!), а "вторым DNSом" не указывать ничего.
         
      4. В свойствах DNS-сервера на закладке "Пересылка" ("Forwarding") следует разрешить пересылку на DNS-сервер следующего (более высокого) уровня*. Изменения активизируются только после перезапуска службы "DNS-сервер".
         * - тут необходимо пояснение с повторением:
         - в "Пересылке" ("Forwarding") каждого DNS-сервера вашего домена следует указать один-два DNS-серверов вашего провайдера (больше не надо; объяснять сейчас "почему всего один-два" - значит запутать вас; просто примите на веру, а потом не спеша разбирайтесь с этим вопросом сами). [будет дополнено]
         Подчеркиваем ещё раз [будет дополнено]: закладка "Пересылка" ("Forwarding") всех ваших DNS-серверов - единственное место во всех компьютерах вашего домена (серверах и рабочих станциях), где могут быть указаны айпишники DNS-серверов вашего провайдера. Нигде и никогда не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера, даже на вашем шлюзе в Инет. Исключения могут быть, но если вам нужна эта статья как помощь в настройке, то запомните - нигде не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера в пределах вашей локальной сети, кроме как в закладках "Пересылка" ("Forwarding") ваших DNS-серверов -- тогда у вас точно не будет ошибок.

      Читайте также:

        
      • Как поменять кодировку на компьютере
        
      • Hdmi plug in что значит
        
      • Как можно оформить планшет
        
      • Фонят колонки на компьютере что делать от смартфона
        
      • Подключение материнки asrock z68 pro3 gen3