Quel doit être l'ordre des serveurs DNS pour un contrôleur de domaine AD et pourquoi?

40

Ceci est une question canonique sur les paramètres DNS Active Directory.

En relation:

En supposant un environnement avec plusieurs contrôleurs de domaine (supposons qu’ils utilisent également le système DNS):

  • dans quel ordre les serveurs DNS doivent-ils être répertoriés dans les cartes réseau de chaque contrôleur de domaine?
  • 127.0.0.1 doit-il être utilisé comme serveur DNS principal pour chaque contrôleur de domaine?
  • Cela fait-il une différence, si oui, quelles versions sont affectées et comment?
MDMarra
la source

Réponses:

35

Selon ce lien et l'analyse des meilleures pratiques de Windows Server 2008 R2, l'adresse de bouclage doit figurer dans la liste, mais jamais en tant que serveur DNS principal. Dans certaines situations, par exemple un changement de topologie, cela pourrait interrompre la réplication et faire en sorte qu'un serveur soit "sur un îlot" en ce qui concerne la réplication.

Supposons que vous ayez deux serveurs: DC01 (10.1.1.1) et DC02 (10.1.1.2), qui sont tous deux des contrôleurs de domaine du même domaine et qui conservent des copies des zones ADI de ce domaine. Ils devraient être configurés comme suit:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
la source
Qu'en est-il d'un environnement avec un contrôleur de domaine et d'un serveur DNS avec une zone ADI? Le contrôleur de domaine doit-il toujours être configuré en tant que primaire au secondaire?
George le
@ George je ne suis pas ce que vous demandez. Voulez-vous parler d'un environnement avec un seul contrôleur de domaine?
MDMarra
Oui c'est correct. Désolé, j'ai pensé à ajouter ceci, mais j'ai pensé que cela pourrait alourdir la question. (Aussi - pour mémoire, je sais qu’un environnement DC unique n’est pas une "configuration idéale")
George
2
Dans un environnement à un seul contrôleur de domaine, vous devez simplement laisser le contrôleur de domaine s’utiliser lui-même sans rien comme secondaire. C'est pour réduire les problèmes de réplication, mais si vous n'avez qu'un seul contrôleur de domaine, il n'y a pas de réplication. Mais, ouais ... ne fais pas ça. Avoir deux pays en développement.
MDMarra
Ouais. Pas eu un "super" environnement pour le moment, pour ainsi dire. Mais comme vous avez pu le constater dans mon autre question, vous avez répondu, l’expansion est en cours, de nouveaux domaines AD et le temps de faire les choses correctement font rire . Merci.
George le
16

De http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Si l'adresse IP de bouclage est la première entrée de la liste des serveurs DNS, Active Directory risque de ne pas pouvoir trouver ses partenaires de réplication.

L'inclusion de sa propre adresse IP dans la liste des serveurs DNS améliore les performances et augmente la disponibilité des serveurs DNS. Toutefois, si le serveur DNS est également un contrôleur de domaine et qu'il pointe uniquement sur lui-même, ou sur lui-même en premier pour la résolution du nom, cela peut entraîner un délai lors du démarrage. Pour cette raison, soyez prudent lorsque vous configurez l'adresse de bouclage sur une carte si le serveur est également un contrôleur de domaine. L'adresse de bouclage doit être configurée uniquement en tant que serveur DNS secondaire ou tertiaire sur un contrôleur de domaine.

Je souhaite également partager cet extrait du livre Windows Server 2008 R2 Unleashed :

entrez la description de l'image ici

Cependant, même si vous n'êtes jamais affecté par le problème "îlot", votre contrôleur de domaine redémarrera toujours plus rapidement et comportera moins d'erreurs s'il utilise un autre contrôleur de domaine déjà opérationnel en tant que résolveur DNS principal.

Ryan Ries
la source
Woah, le problème de l'île est résolu? La documentation de MS pour 2008 R2 faisait référence à cela et maintenant, il a disparu comme par magie (je l'avais cité dans un document pour un client, alors je sais que je ne suis pas fou!)
MDMarra
3
Eh bien, je dirais qu’ils ont surtout atténué le problème, mais comme le montre cet article, il semble toujours possible de vous mettre dans une situation difficile si vous avez des circonstances très particulières: support.microsoft.com/kb/2001093 Donc à la fin de Le jour même, vous aurez probablement raison avec 127.0.0.1 en tant que DNS principal sur vos contrôleurs de domaine modernes dans un domaine multi-contrôleurs. J'ai personnellement vu de très grands domaines fonctionner correctement, même s'ils avaient tous leurs contrôleurs de domaine configurés avec 127.0.0.1 en tant que DNS principal. Mais ce n'est toujours pas la meilleure pratique. Faites ce que dit votre BPA, mes amis. ;)
Ryan Ries
5

Jamais, jamais un contrôleur de domaine ne s’utilise comme DNS primaire.

Toutes sortes de ravages peuvent (et Murphy l'exige:) se produire si les services AD deviennent en ligne avant que le service DNS ne soit actif après un redémarrage. (Ou le DNS se bloque, devient DOS, peu importe.)
Il existe également une interaction entre DHCP (avec les mises à jour DNS dynamiques) et DNS, qui dépend en grande partie du bon fonctionnement du DNS.

Mettez toujours 127.0.0.1 en dernier. Aussi: Ne soyez pas tenté d'utiliser l'adresse IP réelle du serveur sur le réseau local.
Les mises à jour DNS dynamiques de DHCP sont très sensibles à cela.
(127.0.0.1 existent toujours et sont accessibles plus rapidement. L'adresse IP réelle peut ne pas être toujours disponible / être occupée. Dans certains scénarios, les mises à jour DNS dynamiques peuvent en fait utiliser l'adaptateur LAN sous DOS si le nombre de requêtes DHCP simultanées est élevé. avec carte réseau / pilotes inférieurs à la normale.)

Tonny
la source
Bien que vous ayez raison sur à peu près tout et qu'il existe un million de raisons d'avoir plus d'un CD, ce n'est pas l'une d'elles. Cette configuration évite les problèmes de réplication. Si vous n'avez pas besoin de répliquer, vous n'avez pas à vous soucier de la prévention des problèmes de réplication.
MDMarra
@MDMarra: Vous avez raison au sujet de la réplication / interaction DNS ... Mais la question initiale était une question générale et non spécifique à la réplication. Je pensais plus aux problèmes DHCP-DNS. Généralement, au moins l'un des contrôleurs de domaine fournit également à DHCP des mises à jour DNS dynamiques. Toutes sortes d'étranges peuvent se produire si le DNS n'est pas configuré correctement. Je mettrai à jour ma réponse pour clarifier cela.
Tonny
1
En réalité, c'est un problème de sécurité si DHCP est déployé sur un contrôleur de domaine. si c'est possible, cela ne devrait pas l'être.
MDMarra
"Toujours mettre 127.0.0.1 à la fin" Pouvez-vous nous en dire plus sur les raisons?
Bigbio2002