我有个问题。我们的许多客户只有一个 DC。是使用外部 DNS(ISP 或 Google)作为加入 AD 的机器的辅助 DNS 服务器,还是在防火墙中设置条件转发器并将 DNS 服务器设置为防火墙的 IP 更好。在后一种情况下,如果 DC 出现故障,他们仍然可以访问互联网。
答案1
我认为两种情况大致相同。给定的防火墙可以对两种情况进行相同程度的监控和记录。我认为这取决于个人偏好。如果防火墙正在缓存查找,则两者之间的细微差别可能是防火墙充当转发器的内存负载。
我对公共故障转移的担忧是,如果对域属性进行 SRV / DNS 查找,客户端可能会将私有域特征暴露给互联网。如果您担心,防火墙可以过滤对私有域特征的查找。
只是为了确保清楚,您不是在问公共 DNS 是否与域冲突?域中的客户端成员身份对 DNS 无关紧要。纯 DHCP 或手动配置驱动。某些环境不使用 AD 域集成 DNS(用于高容量)。我运行过混合/混合架构的环境。
问:客户规模小,总共只有一个 DC 吗?还是远程办公室有本地 DC?如果是第二种,我会使用家庭办公室 DC 作为辅助 DNS,使用本地转发器,并将公共源作为第三级。
答案2
这有点问题。辅助 DNS 服务器应该与主 DNS 服务器相同,因为它们对相同的记录返回相同的答案。
在 AD 中,您通常会使用一个不可公开解析的 AD 域(contoso.local,但不推荐),或者您可能使用未复制到公共 DNS 基础架构的公共域的子域(ad.contoso.com)。如果您将客户端上的辅助 DNS 服务器设置为 1.1.1.1(Cloudflare 的公共 DNS,仅作为示例),则此公共解析器将对您的内部 AD 域一无所知,因此将完全破坏客户端的所有 AD 功能。
您可能认为这不是问题,因为如果您的 AD 服务器没有响应 DNS 查询,您的 AD 可能无论如何都会关闭,但当您将其联机时,Windows 不会切换 DNS 服务器,直到公共解析器停止响应或客户端重新启动。因此,您的修复可能需要很长时间才能生效,特别是如果您使用真实域(例如 ad.contoso.com),因为公共基础设施将使用 NXDOMAIN 进行响应,该 NXDOMAIN 将在本地缓存。
正确的设置是只运行辅助 AD 服务器,否则,如果 AD 宕机,DNS 也会宕机。运行辅助域控制器还有一个额外的好处,就是将整个 AD 复制到备份 DC,这在主 DC 完全宕机时非常有用。
为了回答您的问题,以下是按优先顺序排列的选项:
- 运行辅助 DC
- 仅将主 DC 定义为 DNS 服务器,并让其处理客户端的外部查询。
- 将防火墙定义为辅助 DNS,这样,如果您想更改外部解析器,则不必通过所有客户端(如果您不使用 DHCP 来推送 DNS 设置,这是更好的选择)。
- 如果您使用 DHCP 进行 DNS 设置,您也可以直接定义外部解析器并减轻防火墙的压力。