我在两个分支机构工作,负责确定在何处放置活动目录集成 DNS 服务器以及使用哪种类型。
其中一个分支机构非常小(5 个用户),并且网络连接非常慢。我需要 DNS 服务器吗?如果需要,它应该托管什么类型的区域?
第二个分支机构规模更大(约 30 个用户),并且具有更好的网络连接。这个办公室是否需要 DNS 服务器?如果需要,您会推荐哪种类型的区域?
答案1
Active Directory 集成区域必须由域控制器 (DC) 托管,并且所有 Active Directory 集成区域都是主区域。鉴于此,我们实际上是在讨论将充当 DNS 服务器附加角色的域控制器放在哪里。
确定 DC/DNS 服务器的放置位置并不总是那么简单。但是,根据经验,我认为任何将使用 Active Directory 服务(身份验证、文件服务等)的分支机构都可以从拥有本地 DC 和域集成 DNS 服务中获益。
您可能已经了解很多了,所以请耐心听我说...
在决定放置 DC/DNS 服务器的位置时,请记住以下几点:
域成员严重依赖 DNS 服务来定位域资源。例如,当加入域的计算机启动时,它会在 DNS 中查询域服务定位器记录 (SRV) 以定位要进行身份验证的域控制器。如果没有本地 DNS 实例,则此过程必须通过可能较慢的站点链接进行。当然,一旦计算机找到了域控制器,它将继续针对该服务器进行身份验证,直到某些原因迫使客户端找到另一个 DC。
在慢速链接上,对远程 DC 进行身份验证、查询域资源以及执行其他标准 DNS 查找等常规活动可能会带来缓慢且有些令人厌烦的用户体验。本地 DC/DNS 服务器可以通过消除延迟来大大改善用户体验(我非常注重用户体验)。
如果站点之间的链接中断,并且没有本地 DNS 服务,除非您配置了辅助 DNS 服务器,否则您的用户将无法浏览互联网。我遇到的辅助 DNS 服务器问题是,每个查询都会先尝试联系主 DNS 服务器,然后再尝试联系辅助 DNS 服务器。这确实破坏了用户体验。
对于拥有 5 个用户且链接速度较慢的小型分支机构,只要满足以下条件,您可能无需本地 DC/DNS 服务器:
用户不依赖于针对域进行身份验证的能力(如果远程 DC 无法提供身份验证请求服务,用户仍然应该能够使用缓存的凭据登录到他们的本地系统)。
如果您的站点链接中断,非域 DNS 服务器可用于处理查询。某些启用 DNS 的路由器可以选择性地将对选定域的请求转发到特定 DNS 服务器。例如,普通 DNS 查询可以转发到公开可用的 DNS 服务器(例如您的 ISP 提供的 DNS 服务器),而对 mydomain.local 的查询则可以通过安全站点链接转发到您的内部 DNS 服务器。此方法消除了每个客户端从主 DNS 服务器故障转移到辅助 DNS 服务器的延迟。
尽管如此,我认为即使只有 5 个用户,使用本地 DC/DNS 服务器仍然更好。你有没有研究过只读域控制器?
对于较大的分支机构,我绝对建议为站点提供本地 DC/DNS 服务器。