由于我们正在我们的环境中转向全 AD 集成 DNS 场景,因此我试图阐明 SOA 记录和基于 AD 的 DNS 之间的关系。
我们有 2 个运行 Win 2008 的 DC。目标是确保 DNS 冗余,并让域客户端机器能够在一个服务器出现故障时直接在可用的服务器上更新其记录……或者,如果两台服务器都可用,则在两台服务器上都更新其记录。
两个 DC 是否都应该托管这些主集成区域?或者应该一个托管主集成区域,另一个托管其辅助(因此也是集成)版本?
这如何与 SOA 记录配合使用?如果您有两个主要集成区域,这是否意味着可能存在两个 SOA 记录,因为两个区域都可以直接更新?每个域可以有多个 SOA 记录吗?
或者您是否只能拥有一个与首先托管集成主区域的 DC 相对应的 SOA 记录,而不管另一个 DC 是否具有同一域的主区域或辅助区域?
对于这种情况,最好的设置是什么?你会怎么做?
先感谢您。
答案1
对于 AD 集成区域,不存在“主要”或“次要”区域的概念;集成区域会复制到域 (*) 中的所有 DC,并且所有 DC 都对其具有权威性并可以对其进行修改,无论是通过管理员干预还是通过域计算机的动态更新;每当区域被修改时,AD 复制过程都会负责同步所有涉及的 DC 之间的更改。
这当然意味着所有也是 DNS 服务器的 DC 都会获得 AD 集成区域的 SOA 记录;这完全没问题,因为实际上它们是该区域的权威 DNS 服务器。
事实上,它是最佳实践是使用 AD 集成 DNS 区域,将所有 DC(或大多数 DC)设置为 DNS 服务器,将区域复制到所有 DC,并让所有域计算机使用其中两个或更多个作为 DNS 服务器。DNS 是批判的正确的 AD 操作,所以这是一项您绝对不希望失败的服务。
(*) 这是通常的行为,但可以根据区域复制范围进行更改。
答案2
如果区域是集成的,那么它们在传统意义上既不是主区域也不是次区域。您可以将两台服务器视为集成区域的主服务器,因此每台服务器都将在其集成区域副本中列为 SOA。由于区域是集成的,因此每台服务器上的每个区域都没有本地区域文件,区域存储在每台服务器上 AD 数据库的域分区中。可以从任何拥有集成区域副本的服务器创建、更新、刷新或删除 DNS 记录,并且这些更改将通过正常的 AD 复制过程复制到拥有区域副本的所有其他服务器。
答案3
1) 您应该拥有多个 ADI 区域副本,最佳做法是至少有两个 DC 运行集成区域。无需辅助区域。
2) 每个 DNS 服务器都会有自己的 SOA 记录。这样就没问题了。
3)参见#2
答案4
“主要”和“次要”内容 DNS 服务器的概念根本不适用与 Active Directory 集成区域中发生的 DNS 数据库复制类型类似。 SOA资源记录并不像您想象的那么令人担心,也不像您想象的那么重要。 资源记录的四个字段SOA对于 Active Directory DNS 数据库复制根本没有意义。 和MNAME在多主设置中,字段的方差完全正常。