在我的实验室测试和实际安装中我都看到,在dcpromo(通过 Windows 2016 上的“服务器管理器”完成)之后,接口 DNS 设置上会自动添加一个环回 IPv6 地址(即:::1 作为主要和唯一 DNS)。
此 IPv6 DNS 地址甚至优先于 IPv4 DNS 面板中配置的任何内容。ipconfig /all(将 IPV6 ::1 地址列为第一个地址)和nslookup(要求 ::1 服务器进行解析)都证实了这一点。
据我了解,当有多个域控制器时,绝不建议使用环回地址作为主 DNS 地址。
所以,我的问题是:是否正确消除接口 DNS 设置中的 IPv6 DNS 环回地址?
答案1
当服务器升级为域控制器(并且它还运行 DNS 服务器,这是标准设置)时,它将自动将自身配置为其 DNS 服务器,无论是 IPv4 还是 IPv6;对于 IPv4,它将使用 127.0.0.1,对于 IPv6,它将使用 ::1。这将始终在 DC 升级您的第一个域控制器时自动发生。
从第二个 DC 开始,服务器将需要能够与现有域进行通信,因此您需要将其配置为使用已经存在的 DC 作为其 DNS 服务器;升级后,服务器仍会将 localhost 添加到其 DNS 服务器列表中,但它将遵守现有的 IPv4 设置并在列表末尾添加 127.0.0.1。
问题在于 IPv6,它通常会不是有一个已配置的 DNS 服务器:在这种情况下,将 ::1 添加到列表中将使其成为唯一的 IPv6 DNS 服务器;并且它将优先于 IPv4。
底线:除非您实际使用 IPv6 DNS,否则您应该始终从 DC 上的 IPv6 DNS 服务器列表中删除 ::1。
关于 IPv4:如果您有多个域控制器(您确实应该有),建议每个 DC 使用不同的域控制器作为其主 DNS 服务器,并使用其自身作为辅助 DNS 服务器;这将实现两个结果:
- 它将大大减少服务器的启动时间(因为 DNS 依赖于 Active Directory,而 Active Directory 又依赖于 DNS,而 DNS 又依赖于 AD 等等……如果 DC 尝试使用其自身作为其 DNS 服务器,则从头开始启动 DC 可能需要很长时间)。
- 它将避免所谓的“孤岛”问题,即使用自身作为 DNS 服务器的 DC 无法获取有关 AD 拓扑变化的最新信息。
答案2
很古老,但从未得到解答并认为它可能会有所帮助。
同意,IPv6 作为主要 DNS 是不可行的。
同意,将环回作为主要方式是不行的。
同意,IPv6 ::1 在晋升为 dc 后将自身挤入杆位。
将 IPv6 DNS 更改为“自动获取 DNS 服务器地址”是一种安全的做法。或者,如果需要,请注册键 //hkey_local_machine/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters/。
明智的做法是保持 IPv6 NIC 运行,而不是直接移除/禁用它。环境中可能存在您不知道的 v6 流量。运行 wireshark 并按 IPv6 进行过滤。半小时后您可能会看到一些东西。
谁知道呢,也许到 3084 年 IPv6 将成为现实,那时您就可以省去额外的更改。
- 总是值得使用 Windows Server BPA 来发现这些试图漏掉的东西。