这是一个典型问题关于 Active Directory DNS 设置。
有关的:
假设环境中有多个域控制器(假设它们都运行 DNS):
- 应按照什么顺序在每个域控制器的网络适配器中列出 DNS 服务器?
- 是否应将 127.0.0.1 用作每个域控制器的主 DNS 服务器?
- 这有什么区别吗?如果有的话,哪些版本会受到影响以及如何受到影响?
答案1
根据此链接和 Windows Server 2008 R2 最佳实践分析器,环回地址应该在列表中,但是绝不作为主 DNS 服务器。在某些情况下(例如拓扑更改),这可能会中断复制并导致服务器在复制方面处于“孤岛”状态。
假设您有两台服务器:DC01 (10.1.1.1) 和 DC02 (10.1.1.2),它们都是同一域中的域控制器,并且都保存该域的 ADI 区域的副本。它们应按如下方式配置:
DC01
Primary DNS 10.1.1.2
Secondary DNS 127.0.0.1
DC02
Primary DNS 10.1.1.1
Secondary DNS 127.0.0.1
答案2
从http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx
如果环回 IP 地址是 DNS 服务器列表中的第一个条目,则 Active Directory 可能无法找到其复制伙伴。
在 DNS 服务器列表中包含自己的 IP 地址可提高性能并增加 DNS 服务器的可用性。但是,如果 DNS 服务器也是域控制器,并且它仅指向自身,或者在名称解析时首先指向自身,则这可能会导致启动期间出现延迟。因此,如果服务器也是域控制器,则在适配器上配置环回地址时要小心。环回地址应仅配置为域控制器上的辅助或第三 DNS 服务器。
我也想分享这本书的片段Windows Server 2008 R2 正式发布:
然而,即使你从未受到“孤岛”问题的影响,你的 DC 仍然会重新启动很多如果它使用另一个已经启动并运行的 DC 作为其主 DNS 解析器,则速度更快、错误更少。
答案3
永远不要让 DC 将其自身用作主 DNS。
如果 AD 服务在重启后 DNS 服务上线之前上线,则可能(并且 Murphy 认为:将会发生)发生各种破坏。(或者 DNS 崩溃、被 DOS 攻击,等等。)
DHCP(使用动态 DNS 更新)和 DNS 之间也会有交互,这在很大程度上取决于 DNS 是否正常工作。
始终将 127.0.0.1 放在最后。另外:也不要试图使用服务器的真实 LAN IP 地址。
来自 DHCP 的动态 DNS 更新对此非常敏感。
(127.0.0.1 始终存在并且可以更快地访问。真实 IP 地址可能并不总是可用/繁忙。在某些情况下,如果同时有大量 DHCP 请求与低于标准的 NIC/驱动程序相结合,动态 DNS 更新实际上可能会对 LAN 适配器造成 DOS。)