Bagaimana seharusnya urutan server DNS untuk Pengontrol Domain AD dan Mengapa?

40

Ini adalah Pertanyaan Canonical tentang Pengaturan DNS Direktori Aktif.

Terkait:

Dengan asumsi lingkungan dengan beberapa pengontrol domain (asumsikan bahwa mereka semua menjalankan DNS juga):

  • dalam urutan apa server DNS harus terdaftar dalam adapter jaringan untuk setiap pengontrol domain?
  • Haruskah 127.0.0.1 digunakan sebagai server DNS utama untuk setiap pengontrol domain?
  • Apakah ada bedanya, jika demikian versi apa yang terpengaruh dan bagaimana?
windows domain-name-system active-directory domain-controller MDMarra
sumber

Jawaban:

35

Menurut tautan ini dan Penganalisa Praktik Terbaik Windows Server 2008 R2, alamat loopback harus ada dalam daftar, tetapi tidak pernah sebagai server DNS utama. Dalam situasi tertentu seperti perubahan topologi, ini dapat merusak replikasi dan menyebabkan server menjadi "di pulau" sejauh replikasi yang bersangkutan.

Katakanlah Anda memiliki dua server: DC01 (10.1.1.1) dan DC02 (10.1.1.2) yang keduanya merupakan pengontrol domain di domain yang sama dan keduanya menyimpan salinan zona ADI untuk domain tersebut. Mereka harus dikonfigurasi sebagai berikut:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
sumber
Bagaimana dengan lingkungan dengan DC dan server DNS dengan zona ADI? Haruskah DC masih dikonfigurasikan sebagai primer ke sekunder?
George
@ George, saya tidak mengikuti apa yang Anda minta. Apakah Anda bertanya tentang lingkungan dengan hanya satu pengontrol domain?
MDMarra
Ya itu benar. Maaf, saya berpikir untuk menambahkan ini, tetapi saya pikir itu bisa menghilangkan pertanyaan. (Juga - sebagai catatan saya tahu bahwa lingkungan DC tunggal bukanlah "konfigurasi ideal")
George
2
Dalam lingkungan DC tunggal, Anda hanya perlu menggunakan DC sendiri tanpa apa-apa sebagai sekunder. Ini untuk mengurangi masalah replikasi, tetapi jika Anda hanya memiliki satu DC maka tidak ada replikasi. Tapi, ya ... jangan lakukan itu. Punya dua DC.
MDMarra
Ya. Tidak ada lingkungan yang "hebat" saat ini. Tetapi seperti yang mungkin Anda lihat dari pertanyaan saya yang lain yang Anda jawab, ekspansi sedang berlangsung, domain AD baru dan waktu untuk melakukan hal-hal yang benar tertawa jahat . Terima kasih.
George
16

Dari http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Jika alamat IP loopback adalah entri pertama dalam daftar server DNS, Active Directory mungkin tidak dapat menemukan mitra replikasinya.

Dimasukkannya alamat IP-nya sendiri dalam daftar server DNS meningkatkan kinerja dan meningkatkan ketersediaan server DNS. Namun, jika server DNS juga merupakan pengontrol domain dan hanya menunjuk ke dirinya sendiri, atau menunjuk ke dirinya sendiri terlebih dahulu untuk resolusi nama, ini dapat menyebabkan penundaan selama startup. Karena alasan ini, berhati-hatilah saat mengonfigurasi alamat loopback pada adaptor jika server juga merupakan pengontrol domain. Alamat loopback harus dikonfigurasi hanya sebagai server DNS sekunder atau tersier pada pengontrol domain.

Saya juga ingin membagikan cuplikan ini dari buku Windows Server 2008 R2 Unleashed :

masukkan deskripsi gambar di sini

Namun, bahkan jika Anda tidak pernah terpengaruh oleh masalah "island", DC Anda masih akan reboot lebih cepat dan dengan lebih sedikit kesalahan jika menggunakan yang lain yang sudah ada dan menjalankan DC sebagai resolver DNS utamanya.

Ryan Ries
sumber
Woah, masalah pulau sudah diperbaiki? Dokumentasi MS untuk 2008 R2 digunakan untuk referensi dan sekarang telah secara ajaib menghilang (saya telah memblokir mengutipnya dalam dokumen untuk klien jadi saya tahu saya tidak gila!)
MDMarra
3
Yah, saya akan mengatakan bahwa mereka mengurangi sebagian besar, tetapi seperti yang ditunjukkan artikel ini, masih mungkin untuk menempatkan diri Anda ke tempat yang buruk jika Anda memiliki beberapa keadaan yang sangat khusus: support.microsoft.com/kb/2001093 Jadi pada akhir hari itu, Anda mungkin akan baik-baik saja dengan 127.0.0.1 sebagai DNS primer pada DC modern Anda dalam domain multi-DC. Secara pribadi saya telah melihat domain yang sangat besar yang beroperasi dengan bersih walaupun mereka memiliki semua DC yang diatur dengan 127.0.0.1 sebagai DNS primer. Tapi itu masih bukan praktik terbaik. Lakukan saja apa yang BPA katakan, kawan. ;)
Ryan Ries
5

Jangan pernah menggunakan DC sebagai DNS Primer.

Segala macam malapetaka dapat (dan Murphy menentukan: akan) terjadi jika layanan AD menjadi online sebelum layanan DNS aktif setelah reboot. (Atau DNS crash, mendapatkan DOS, apa pun.)
Ada juga interaksi antara DHCP (dengan pembaruan DNS dinamis) dan DNS yang sangat bergantung pada DNS yang berfungsi dengan baik.

Selalu masukkan 127.0.0.1 terakhir. Juga: Jangan tergoda untuk menggunakan alamat IP LAN asli server.
Pembaruan DNS dinamis dari DHCP sangat sensitif terhadap hal ini.
(127.0.0.1 selalu ada dan dapat diakses lebih cepat. Alamat IP asli mungkin tidak selalu tersedia / sibuk. Dalam beberapa skenario pembaruan DNS dinamis sebenarnya dapat DOS adaptor LAN jika ada sejumlah besar permintaan DHCP simultan digabungkan dengan sub-par NIC / driver.)

Tonny
sumber
Meskipun Anda benar tentang hampir semua hal dan ada sejuta alasan untuk memiliki lebih dari satu DC, ini bukan salah satunya. Konfigurasi ini mencegah masalah replikasi. Jika Anda tidak memiliki kebutuhan untuk mereplikasi, Anda tidak perlu khawatir tentang mencegah masalah replikasi.
MDMarra
@MDMarra: Anda benar tentang replikasi / interaksi DNS ... Tapi pertanyaan aslinya adalah pertanyaan umum dan bukan replikasi spesifik. Saya lebih memikirkan masalah DHCP-DNS. Biasanya setidaknya satu dari DC juga menyediakan DHCP dengan pembaruan DNS dinamis. Segala macam keanehan dapat terjadi jika DNS tidak dikonfigurasi dengan benar. Saya akan memperbarui jawaban saya untuk mengklarifikasi itu.
Tonny
1
Ini sebenarnya masalah keamanan jika DHCP digunakan pada DC. jika itu mungkin, seharusnya tidak.
MDMarra
"Selalu letakkan 127.0.0.1 lalu" Bisakah Anda menjelaskan lebih lanjut tentang alasan di balik ini?
Bigbio2002