Active Directory 服务器设置 DNS 解析失败或速度非常慢，我可以在服务器存在之前以传统方式路由外部 DNS 请求吗？

Question

Windows 客户端在 dns 设置中配置为使用 ADDC 作为其首选 dns 服务器（如果我更改此设置，那么它们会失去与域的连接并且无法找到它...）并使用 8.8.8.8 google 的 dns 服务器作为其首选 dns 服务器中一

这是无效的配置，很容易在 Active Directory 上下文中出现意外错误。在 AD 环境中，您的 (Windows) 客户端一定不使用不了解您的内部 AD 设置的 DNS 服务器。

有没有办法操作我的 AD-DC 服务器设置来管理组策略、用户、组、登录等，而无需通过 AD-DC 发送外部 DNS 请求，例如 bbc.co.uk 或 google.com

Active Directory 的域控制器必须对于您的 DNS 域来说是规范的。如果您询问是否可以拥有不使用 DC 进行外部 DNS 请求的客户端，那么答案是肯定的。

AD 控制的 DNS 域的所有 DNS 请求必须去 DC
对其他地方的 DNS 请求可以由任何适当响应的 DNS 服务器来解析
您不得将内部 AD 控制域的 DNS 请求发送到外部服务器，因为其“NXDOMAIN”响应会导致损坏

对于基于 Linux 或其他 UNIX 系统的 #2 情况客户您可以使用systemd或dnsmasq来实现有状态选择。（我之前在各种情况下都做过。）

systemd

创建/etc/systemd/network/20-local.network，将 DNS 服务器设置为您的 AD DC，并根据需要设置您的本地域，记住前导~：
```
# Network interface name (*=any)
[Match]
Name=*

# Specific DNS server(s) to use for this domain
[Network]
DNS=10.0.0.1
Domains=~contoso.com
```
创建/etc/systemd/resolved.conf.d/20-local.conf，根据需要设置默认外部 DNS 服务器：
```
[Resolve]
DNS=1.1.1.1 9.9.9.9
```
重新加载网络并检查解析器
```
systemctl restart systemd-networkd
resolvectl status
```
您应该看到对 AD 控制域的查询转到域控制器，其他所有内容都转到 1.1.1.1 和/或 9.9.9.9。

dnsmasq.conf

编辑/etc/dnsmasq.conf适当设置以下值：

# Global nameservers
server=1.1.1.1
server=9.9.9.9

# Domain-specific nameserver (forward and reverse)
server=/contoso.com/10.0.0.1
server=/1.0.0.10.in-addr.arpa/10.0.0.1

重新开始dnsmasq

潜在有用的参考

如何配置网络接口来自戴夫嵌入式系统
配置 systemd-resolved 以对给定域使用特定的 DNS 名称服务器来自要点（Github）
需要为家庭和工作设置不同的DNS配置来自询问 Fedora
具有 systemd-resolved 的基于域的路由来自超级用户

Answer 1