将 DNS 角色从独立机器转移到同一域中的 2 个域控制器的最佳方法是什么？

Question 1

为了实现所需的容错能力，您需要一个由两个域控制器托管的 Active Directory 集成 DNS 区域。每个 DC 将配置为使用其自身和另一个 DC 作为 DNS 服务器。

微软可以为您提供更深入的背景信息关于 DHCP 和 DNS 如何协同工作以进行动态更新。我将在此向您提供高层次的视图。

要允许加入域的客户端计算机向 DNS 注册，您需要配置 DNS 区域以允许安全动态更新。（如果您的客户端未加入域，并且希望它们执行动态更新，那么您将无法使用安全更新，否则您将不得不拼凑一个解决方案。除非您另有说明，否则我将把这种情况放在一边，因为它超出了这个答案的范围。）

应更改 DHCP 范围选项，以便为客户端提供两个 DC IP 地址作为 DNS 服务器。就我个人而言，我会考虑将具有静态 IP 地址的设备迁移到 DHCP 预留，以便将来更改 DNS 服务器地址（网关地址等）时不需要在每个主机上进行手动更改。即使您实际上无法使用 DHCP 预留（因为具有静态 IP 地址的设备必须如果您的 IP 地址实际上出于某种原因而处于静态状态，您仍应使用 DHCP 预留来跟踪您的 IP 地址分配。它为您提供了一个真正的 IP 地址列表^TM，并且不会像基于电子表格的虚假“解决方案”那样过时，因为操作数据库也是参考源。

如果您的 DHCP 服务器要为客户端执行代理名称注册，则您需要创建一个用户帐户，专门用于作为 DHCP 服务器注册 DNS 记录的安全上下文。您可以查看更多来自微软的更多细节关于这一点。

要允许客户端通过在 DC 上运行的 DNS 服务器解析 Internet 名称，请保留默认安装的“根提示”或使用“转发器”将 DC 配置为 ISP 上的 DNS 服务器（或 OpenDNS、Google DNS 等）。

至于其“基本内容”：

在两台域控制器计算机上安装 DNS 服务器角色。由于您当前的 DNS 服务器不是域控制器，因此您的域的正向查找区域必须存储在标准主 DNS 区域中。
如果您现在不关心 DNS 中的记录，那么只需将“yourdomain.com”和“_msdcs.yourdomain.com”的正向查找区域添加到您 DC 上运行的 DNS 服务器，将它们设置为使用自己和其他 DC 作为其 DNS 服务器，运行“ipconfig /registerdns”并重新启动“Netlogon”服务，它们就会将必要的记录注册到 DNS 中。之后，您的客户端可以更新他们自己的记录，您的 DNS 区域将重新填充。一定要执行您的反向查找区域。
假设您确实想保留当前 DNS 区域中的数据，那么将它们迁移到 Active Directory 的最简单方法是将当前 DNS 服务器升级为域控制器（只要您无需担心计算机上的任何本地用户帐户），将每个区域的区域类型更改为“Active Directory 集成”，并允许 Active Directory 进行复制。完成此操作后，您将看到您的区域（正向和反向）在 DC 上运行的 DNS 服务器上可用（复制完成后。强制复制或耐心等待）。
一旦区域被复制到 AD 中，您就可以将当前 DNS 服务器降级为成员服务器。
您应该将两个 DC 都标记为“全局目录”服务器，以便在重新启动其中一个 DC 时可以冗余地访问全局目录。这与 DNS 冗余密切相关。

如果你不想升级/降级当前的 DNS 服务器，但仍想保留 DNS 区域中当前的数据，你可以熟悉DNS命令工具，您可以使用它来执行 DNS 区域的命令行操作。您还可以在区域数据文件级别对标准主区域进行修改，从而可以通过文件复制将当前标准主区域的内容复制到在其中一个 DC 上运行的 DNS 服务器。（我不确定 Microsoft 是否“支持”这种黑客行为，因此您可能只能自己处理类似的事情。）

您还应该配置老化和清除在您的 DNS 区域上。这样可以自动从 DNS 区域中删除可能已动态注册的旧的、过时的映射。

另外：Active Directory 域中没有“主”和“次”域控制器。有 2 个全林和 3 个全域“灵活单主角色”，它们被委托给各个域控制器（包括一个称为“主域控制器模拟器”），但没有单个 DC 是“主”DC。客户端将对其中一个进行身份验证（默认情况下），并将它们视为相等的副本。

Answer

为了实现所需的容错能力，您需要一个由两个域控制器托管的 Active Directory 集成 DNS 区域。每个 DC 将配置为使用其自身和另一个 DC 作为 DNS 服务器。

微软可以为您提供更深入的背景信息关于 DHCP 和 DNS 如何协同工作以进行动态更新。我将在此向您提供高层次的视图。