我们在 2008R2 上实施了 AD,并且运行良好。我们有一个森林和 3 个子域 city1.domain.lan、city2.domain.lan、city3.domain.lan,其中 rootdc.domain.lan 是森林主域。林功能级别是Windows 2003。
我最近继承了这个设置,我的初步发现表明,子域没有解析外部请求的 DNS 名称查找,而是以前的系统管理员将 DC IPADDRESS、8.8.8.8 和 4.2.2.2 分发为 DNS 服务器。
DC DNS MMC 上没有配置转发器,而且由于安全原因,DC 无法浏览互联网,它们有一个连接到根站点的 VPN 隧道用于复制,但该电路上的所有其他流量都被禁用 - 因此 DC 本身没有互联网连接 - 因此没有外部 DNS 查找。
因为他们有大约 500 - 700 个用户,并且考虑到每个人都在获取 8.8.8.8 和 4.2.2.2 进行外部 DNS 查找,所以我认为会有很多请求发送到 Internet Link for DNS (53)。
Q1 - 您认为我应该实现一个基于 Windows 的 DC 并加入子域以进行外部查找,还是上述设置似乎没问题?
Q2 - 我应该查找什么来验证 DC 是否复制正常(repadmin?)
Q3 - 我检查了站点和服务,但我对 AD 不太在行,必须学习 - 所以如果您能告诉我要查找什么,我将不胜感激?
Q4 - 我使用了 AD 拓扑图表,它显示站点间复制已禁用?这有害吗?
我将发布有关 AD 拓扑的更多详细信息,如果有人可以让我知道需要提供什么信息 - 我将尽我所能尽快更新问题
非常感谢您的帮助
谢谢!!
答案1
Q1 - 我的建议是设置缓存 DNS 服务器(Windows 或 bind),该服务器仅用于 DMZ 中的外部查找,因此您的设置将如下所示:
客户端 -> DC -> DMZ 中的 DNS 服务器 -> 互联网
Q2 - 检查dcdiag
DC 事件日志和 DFS 事件日志
Q3-不确定你在这里问什么
Q4 - 是的,如果您的域未在站点之间复制,那么您可能会遇到冲突。但是,如果您只有一个站点……那么这不是问题。