AD डोमेन नियंत्रक और क्यों के लिए DNS सर्वरों का क्रम क्या होना चाहिए?

40

यह सक्रिय निर्देशिका DNS सेटिंग्स के बारे में एक Canonical प्रश्न है

सम्बंधित:

एकाधिक डोमेन नियंत्रकों के साथ एक वातावरण मान लेना (मान लें कि वे सभी DNS को भी चलाते हैं):

  • किस क्रम में DNS सर्वर को प्रत्येक डोमेन नियंत्रक के लिए नेटवर्क एडेप्टर में सूचीबद्ध किया जाना चाहिए?
  • क्या प्रत्येक डोमेन नियंत्रक के लिए प्राथमिक DNS सर्वर के रूप में 127.0.0.1 का उपयोग किया जाना चाहिए?
  • क्या इससे कोई फर्क पड़ता है, यदि ऐसा है तो क्या संस्करण प्रभावित हैं और कैसे?
windows  domain-name-system  active-directory  domain-controller 
MDMarra
स्रोत

जवाबों:

35

के अनुसार इस लिंक और Windows Server 2008 R2 श्रेष्ठ अभ्यास विश्लेषक, लूपबैक पता सूची में होना चाहिए, लेकिन कभी नहीं प्राथमिक DNS सर्वर के रूप में। एक टोपोलॉजी परिवर्तन जैसी कुछ स्थितियों में, यह प्रतिकृति को तोड़ सकता है और एक सर्वर को "एक द्वीप पर" पैदा कर सकता है जहां तक ​​प्रतिकृति का संबंध है।

यह कहें कि आपके पास दो सर्वर हैं: DC01 (10.1.1.1) और DC02 (10.1.1.2) जो एक ही डोमेन में दोनों डोमेन नियंत्रक हैं और दोनों उस डोमेन के लिए ADI ज़ोन की प्रतियां रखते हैं। उन्हें निम्नानुसार कॉन्फ़िगर किया जाना चाहिए:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
स्रोत
ADI ज़ोन के साथ DC और DNS सर्वर वाले वातावरण के बारे में क्या? क्या डीसी को अभी भी प्राथमिक से माध्यमिक के रूप में कॉन्फ़िगर किया जाना चाहिए?
जॉर्ज
@ जॉर्ज मैं आप क्या पूछ रहे हैं का पालन नहीं करते। क्या आप केवल एक डोमेन नियंत्रक वाले वातावरण के बारे में पूछ रहे हैं?
एमडीएमरा
हाँ, यह सही है। क्षमा करें, मैंने इसे जोड़ने के बारे में सोचा था लेकिन सोचा था कि यह प्रश्न बाहर कर सकता है। (यह भी रिकॉर्ड के लिए मुझे पता है कि एक एकल डीसी वातावरण एक "आदर्श कॉन्फ़िगरेशन" नहीं है)
जॉर्ज
2
एक एकल डीसी वातावरण में, आपको बस डीसी का उपयोग करना चाहिए जो कि माध्यमिक के रूप में कुछ भी नहीं है। यह प्रतिकृति समस्याओं को कम करने के लिए है, लेकिन यदि आपके पास केवल एक डीसी है तो कोई प्रतिकृति नहीं है। लेकिन, हाँ ... ऐसा मत करो। दो डीसी हैं।
एमडीएमरा
हाँ। इस समय "महान" वातावरण नहीं मिला, जैसा कि यह था। लेकिन जैसा कि आपने मेरे दूसरे प्रश्न से देखा होगा जिसका आपने उत्तर दिया था, विस्तार इस तरह से है, नए एडी डोमेन और चीजों को ठीक से हँसने के लिए समय । धन्यवाद।
जॉर्ज
16

से http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

यदि लूपबैक आईपी पता डीएनएस सर्वर की सूची में पहली प्रविष्टि है, तो सक्रिय निर्देशिका अपने प्रतिकृति भागीदारों को खोजने में असमर्थ हो सकती है।

DNS सर्वर की सूची में अपने स्वयं के आईपी पते को शामिल करने से प्रदर्शन में सुधार होता है और DNS सर्वर की उपलब्धता बढ़ जाती है। हालाँकि, यदि DNS सर्वर भी एक डोमेन नियंत्रक है और यह केवल खुद को इंगित करता है, या नाम समाधान के लिए पहले खुद को इंगित करता है, तो यह स्टार्टअप के दौरान देरी का कारण बन सकता है। इस कारण से, एडॉप्टर पर लूपबैक पते को कॉन्फ़िगर करते समय सावधानी बरतें यदि सर्वर एक डोमेन नियंत्रक भी है। लूपबैक पते को डोमेन नियंत्रक पर केवल द्वितीयक या तृतीयक DNS सर्वर के रूप में कॉन्फ़िगर किया जाना चाहिए।

मैं इस स्निपेट को Windows Server 2008 R2 पुस्तक से साझा करना चाहता हूं :

यहाँ छवि विवरण दर्ज करें

हालांकि, भले ही आप "द्वीप" समस्या से कभी प्रभावित न हों, फिर भी आपका डीसी बहुत तेजी से और कम त्रुटियों के साथ रिबूट करेगा यदि यह दूसरे को पहले से ही उपयोग कर रहा है और डीसी को अपने प्राथमिक DNS रिज़ॉल्वर के रूप में चला रहा है।

रयान रीस
स्रोत
वाह, द्वीप समस्या तय हो गई है? 2008 R2 के लिए एमएस प्रलेखन इसे संदर्भित करने के लिए उपयोग किया गया था और अब यह जादुई रूप से गायब हो गया है (मैंने इसे एक ग्राहक के लिए एक दस्तावेज़ में उद्धृत किया था, इसलिए मुझे पता है कि मैं पागल नहीं हूं!)
एमडीमैरा
3
खैर, मैं यह कहूंगा कि उन्होंने इसे ज्यादातर संक्षिप्त कर दिया, लेकिन जैसा कि इस लेख से पता चलता है, यह अभी भी संभव है कि अगर आप कुछ विशेष परिस्थितियों में खुद को एक बुरे स्थान पर ले जाएं तो यह संभव है: support.microsoft.com/kb/2001093 तो अंत में दिन, आप शायद बहु-डीसी डोमेन में अपने आधुनिक डीसी पर प्राथमिक DNS के रूप में 127.0.0.1 के साथ ठीक होंगे । मैंने व्यक्तिगत रूप से बहुत बड़े डोमेन देखे हैं जो सफाई से काम कर रहे थे, भले ही उनके पास अपने सभी डीसी 127.0.0.1 के साथ प्राथमिक डीएनएस के रूप में स्थापित थे। लेकिन यह अभी भी सबसे अच्छा अभ्यास नहीं है। बस वही करें जो आपका BPA कहता है, दोस्तों। ;)
रियान रीज़ जूल
5

कभी भी, कभी भी DC का उपयोग प्राथमिक DNS के रूप में नहीं किया जाता है।

सभी प्रकार के कहर (और मर्फी निर्धारित कर सकते हैं:) होगा यदि डीएनएस सेवा रिबूट के बाद लाइव होने से पहले विज्ञापन सेवा ऑनलाइन हो जाती है। (या DNS क्रैश हो जाता है, DOSsed, जो भी हो।)
डीएचसीपी (डायनेमिक डीएनएस अपडेट के साथ) और डीएनएस के बीच बातचीत भी होती है जो डीएनएस के ठीक से काम करने पर बहुत अधिक निर्भर करती है।

हमेशा 127.0.0.1 अंतिम रखें। इसके अलावा: सर्वर के वास्तविक LAN आईपी-पते का उपयोग करने के लिए परीक्षा न करें।
DHCP से डायनेमिक DNS अपडेट इसके लिए बहुत संवेदनशील हैं।
(127.0.0.1 हमेशा मौजूद रहता है और इसे तेजी से एक्सेस किया जा सकता है। असली आईपी-एड्रेस हमेशा उपलब्ध नहीं हो सकता है / व्यस्त हो सकता है। कुछ परिदृश्यों में डायनेमिक DNS अपडेट वास्तव में LAN एडॉप्टर को DOS कर सकते हैं यदि एक साथ अधिक मात्रा में DHCP अनुरोध संयुक्त हों। उप-एनआईसी / ड्राइवरों के साथ।)

Tonny
स्रोत
जब आप बहुत अधिक सब कुछ के बारे में सही हैं और एक से अधिक डीसी होने के लिए एक लाख कारण हैं, तो यह उनमें से एक नहीं है। यह कॉन्फ़िगरेशन प्रतिकृति समस्याओं को रोकता है। यदि आपको दोहराने की आवश्यकता नहीं है, तो आपको प्रतिकृति समस्याओं को रोकने के बारे में चिंता करने की आवश्यकता नहीं है।
एमडीएमरा
@MDMarra: आप प्रतिकृति / DNS इंटरैक्शन के बारे में सही हैं ... लेकिन मूल प्रश्न एक सामान्य प्रश्न था और विशिष्ट प्रतिकृति नहीं। मैं डीएचसीपी-डीएनएस मुद्दों के बारे में अधिक सोच रहा था। आमतौर पर डीसी का कम से कम एक डायनेमिक डीएनएस अपडेट के साथ डीएचसीपी भी प्रदान करता है। यदि डीएनएस को ठीक से कॉन्फ़िगर नहीं किया गया है तो सभी प्रकार की अजीबता हो सकती है। मैं अपना उत्तर स्पष्ट करने के लिए अपडेट करूंगा।
टन
1
यह वास्तव में एक सुरक्षा मुद्दा है अगर डीएचसीपी एक डीसी पर तैनात है। यदि संभव हो तो, यह नहीं होना चाहिए।
एमडीएमरा
"हमेशा 127.0.0.1 अंतिम रखें" क्या आप इसके पीछे के कारणों पर अधिक विस्तार कर सकते हैं?
Bigbio2002
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.