最佳实践 - 为内部网络设置 2 个 AD 集成 DNS 服务器

最佳实践 - 为内部网络设置 2 个 AD 集成 DNS 服务器

Windows 2003 功能级别域包括... 2 个带有集成 DNS 服务的 Windows 2008 域控制器,其中 2 个服务器之一是 RODC。DHCP 为我们提供了 DNS 服务器的两个 IP 地址。

我的问题 - 当一台服务器不可用时,如何设置 DNS 以进行翻转?目前,域中的第一个 DNS 服务器充当主服务器/主要服务器。当我使用 FMSO 角色重新启动 DC(第一个 DC)时,没有人可以登录,DNS 完全关闭,直到服务器重新启动。

我的第二台 DC 没有做任何我期望的事情。

我记得有一个设置可以更改,用于设置第一个 DC 停机时间,超过此时间后第二个 DC 才会接管。有人记得类似的事情吗?

可能我根本没有遵循最佳实践,尽管我认为我在设计 AD 和 DNS 时遵循了最佳实践。

有任何想法吗?

答案1

我首先要确保辅助域控制器的 DNS 服务器能够正确响应 DNS 请求。将任何客户端 PC 上的主 DNS 设置为辅助 DC,将辅助 DNS 字段留空,然后查看是否仍可以上网、ping 内部和外部地址等。

答案2

RODC 的原因是什么?

你可能想阅读这篇文章RODC 部署

其中部分内容如下:

  • WAN 离线服务

    当 WAN 处于脱机状态时,RODC 只能对已缓存密码的用户和资源进行身份验证。如果您强烈要求任何用户都必须能够在分支机构位置进行身份验证,则可能需要在该分支机构位置放置可写域控制器。作为替代方案,您可以在分支机构位置放置 RODC 并配置 RODC,以便允许所有用户的凭据复制到它。然后,您可以有一个自动化过程来缓存位于分支机构中的用户、计算机和其他资源的凭据。这样,您就可以利用其他 RODC 功能。*

对我来说,这意味着如果可写 DC 正在提供大多数登录服务,当它发生故障时,RODC 将没有缓存的凭据,因此将无济于事。当被要求为登录提供服务时,RODC 会缓存凭据,并在执行此操作时与可写 DC 进行通信。

您还可以配置 RODC 来复制用户凭据。这可能会有所帮助。

答案3

几乎每个 AD 错误都是 DNS 错误。

一些想法:

  • 我建议您验证 AD 服务器的所有 DNS 条目。

  • 在第二台服务器上运行“ipconfig /registerdns”。

  • 要验证第二台服务器上的 DNS,请将客户端的 DNS 手动设置为第二台服务器,看看它是否有效。

  • 确保 DNS 复制正常工作。AD 条目应位于两个服务器中

格雷格

相关内容