在我降级 DC/DNS 服务器后,我花了几个小时试图解决域中的 DNS 问题(如图所示WinXP 使用旧的 DNS 服务器 IP,尽管在 DHCP 和盒子上进行了更改)。
有一个愚蠢的组策略(不知道为什么,但我还是保留它)强制 DNS 服务器;更改它后,客户端无法访问域(因为主 DNS 已关闭 - 为什么 Windows 不尝试运行正常的辅助 DNS?!?!)... 所以我该如何强制组策略覆盖(以便桌面可以再次找到域)或以某种方式将组策略重新放在他们的计算机上?呃...
我看到其中我们有两个 DNS 服务器的 IP,以及我们两个 ISP 的 DNS 服务器的 IP。
问题是 —— 在 DHCP 处理提供 DNS 条目的环境中,是否应该使用组策略中的 DNS 覆盖该条目?虽然我在这里很困惑,但经过充分记录后,将来应该不会出现问题 —— 但我仍然想知道该政策是否应该保留或取消? ISP DNS 服务器的两个 IP 是否重要(每个 DC 上的 DNS 服务器都设置为转发到这些 IP)?客户端会需要它们吗?
答案1
最佳实践 = 不,不要通过 GPO 申请。
DHCP 会将请求转发到您选择的少数 DNS 服务器。然后 DNS 会将请求转发出去。
使用 GPO 定义 DNS 服务器通常是因为您想要将特殊设置应用于特定工作站(基于 GPO 范围、机器/用户成员身份)。内部网测试机器。一个更好的例子是将用户锁定在互联网之外。如果用户是 Deny_Internet 安全组的成员,并且您将其定义为 Set_Bogus_DNS GPO 的范围,那么该组成员的用户将无法上网,因为他们无法解析任何地址。
定义外部 DNS 服务器的缺点是,如果发生大规模病毒/蠕虫爆发,您无法锁定有问题的域。如果 DHCP 将您的计算机指向内部 DNS 服务器,如果需要,您可以通过在自己的 DNS 框上创建 DNS 主区域并将 www 指向 127.0.0.1 来锁定 www.malware-spreading-site.org。
总之,将内部机器指向外部 DNS 是不好的。很糟糕很糟糕。很淘气。其次,在这种情况下使用 DHCP 比使用 GPO 更好。
答案2
我从你的帖子中看到了两个真正的问题:
为域客户端分配外部 DNS 服务器是不是一个坏主意?
是的。
DNS 对于 Active Directory 的正常运行至关重要,客户端向外部服务器发送 DNS 请求迟早会造成问题。如果您的内部 DNS 不稳定,DNS 可能会有所帮助,但如果是这样,那么您面临的问题就比用户无法浏览网页更大。
这最多只能作为修复内部 DNS 时的临时创可贴。并且创可贴的使用时间不应超过需要的时间。
通过 GPO 定义 DNS 服务器是不是一个坏主意?
不,事实上我会推荐它。
通过 GPO 定义 DNS 服务器是一个好主意,原因有很多:
- 它可确保整个环境的一致性
- 它为配置差异提供了可管理的粒度(手动修改每个服务器的 DNS 是不可管理的,DHCP 没有提供适当的粒度)
- 您可以非常快速地进行环境范围的更改,而无需用户续订其 DHCP 租约
- 它允许你强制执行策略/创可贴/黑客(如水平分割 DNS),而不会让用户(无意)绕过它们
- 它让你掌控
在简单的环境中,这可能得不偿失。但如果您有域名,那么您可能已经超越了这一点。
答案3
正如您已经发现的那样,使用组策略分配 DNS 通常不是一个好主意。出错的可能性实在太大,调试起来可能非常困难。在正常情况下,这应该不是必要的。如果有必要,那么可能需要仔细检查整个网络配置,以确定为什么有必要这样做,并看看是否更适合在其他地方进行更改。
答案4
我给你一个简单的理由来使用 GPO 来定义 DNS 设置。在多台动态服务器环境中,所有服务器都有静态 IP 设置。GPO 会覆盖这些设置,而 DHCP 不会。