我将在现有 Active Directory 林中设置多个子域,并且正在寻找一些传统智慧/最佳实践指导,用于配置子域控制器上的 DNS 客户端设置和 DNS 区域复制范围。
假设每个域中只有一个域控制器,并且假设每个 DC 也是域的 DNS 服务器(为简单起见),子域控制器是否应仅将 DNS 指向自身,还是应指向自身和父域或根域中的 DNS 服务器的某种组合(主域控制器 VS. 辅域控制器)?如果存在父域 > 子域 > 孙域层次结构(具有连续的 DNS 命名空间),应如何在孙域 DC 上配置 DNS?
关于 DNS 区域复制范围,如果将每个域的 DNS 区域存储在域中的所有 DNS 服务器上,那么我假设需要存在从父域到子域的 DNS 委派,并且需要存在从子域到父域的转发器。在父域>子域>孙域层次结构中,每个子域是转发到直接父域区域的直接父域还是转发到根域?委派是在直接父域区域还是从根域进行?
如果将所有 DNS 区域存储在林中的所有 DNS 服务器上,是否会使上述有关复制范围的问题变得毫无意义?复制范围是否对每个 DC 上的 DNS 客户端设置有影响?
答案1
我宁愿使用两台服务器的单个域来实现冗余,也不愿在单个(故障点)服务器上使用两个单独的域。是什么促使您选择使用父/子域林?您可以只使用子域的 DNS 空间,因为您说它是连续的,不需要 AD 域,除非您有安全边界问题。
违背我的判断,我会回答这个问题,假设你有两台服务器每个域(总共四个)——只需为您的情况减去两个服务器。
选项1。
由于您希望将 DNS 保留在域本地,因此父 DC 会指向彼此,子 DC 也会指向彼此。更简单的配置是使用在林范围内复制 DNS 区域的作用域。
您以 parent.local(或其他)作为顶级域名,以 child.parent.local 作为子域名。
AD 将在整个林中复制两个域,从而使 DNS 解析变得简单。您会看到给定 DNS 服务器与区域重叠,但 Windows 会处理这个问题。
选项 2。
另一种选择是不进行林范围的复制,在这种情况下,我只需在子 DC 上配置一个转发器,将所有内容发送到父 DC 的 DNS,但在父 DC 上,您需要为子域创建一个委派。
答案2
老实说,要提供“最佳实际做法”答案,我认为您需要再添加一条信息。所有 dcs/DNS 控制器的物理位置在哪里?如果子节点位于不同的物理位置,您希望每个子节点都有自己的本地存储子域,而不是存储在林中。最佳做法是要求林为空。DNS 服务器应始终首先指向自身,然后使用转发器指向其父节点(或林)。解决启动缓慢问题的一个简单方法是将其自身添加到本地 hosts 文件中(尽管我似乎还记得对此的注册修复)。
答案3
转发器仅应用于转发至公共 DNS,而非内部 DNS。