Soru Etki Alanı Denetleyicileri DNS Çocuk Etki Alanlarındaki Etki Alanı Denetleyicileri için En İyi Uygulama / Pratik Değerlendirmeler


Mevcut bir Active Directory ormanında birkaç alt etki alanı kuruyorum ve hem çocuk etki alanı denetleyicilerinde hem de DNS bölgesi çoğaltma kapsamı için hem DNS istemci ayarlarını yapılandırmak için bazı geleneksel bilgelik / en iyi uygulama kılavuzlarını arıyorum.

Her etki alanında tek bir etki alanı denetleyicisi varsayarsak ve her bir DC'nin de etki alanı için DNS sunucusu olduğunu varsayarak (basitlik için), alt etki alanı denetleyicisi yalnızca DNS için kendisini göstermeli veya bazı birleşimlere işaret etmelidir (birincil VS. ikincil) Kendisi ve DNS sunucusu ana veya kök etki alanında? Ebeveyn> çocuk> torun alanı hiyerarşisi varsa (bitişik bir DNS ad alanı ile), DC torun üzerinde DNS nasıl yapılandırılmalı?

DNS bölgesi çoğaltma kapsamıyla ilgili olarak, etki alanındaki tüm DNS sunucularında her alanın DNS bölgesini depolıyorsa, üst öğeden ebeveyne bir DNS temsilcisinin var olduğunu ve alt öğeden ebeveyne ileticinin var olması gerektiğini varsayıyorum . Bir ebeveyn> çocuk> torun alanı hiyerarşisi ile her çocuk doğrudan ebeveynin bölgesi veya kök bölgesi için doğrudan ebeveyne iletir mi? Temsil, doğrudan ana bölgede mi yoksa kök bölgeden mi gerçekleşiyor?

Ormandaki tüm DNS sunucularındaki tüm DNS bölgelerini saklamak, çoğaltma kapsamı ile ilgili yukarıdaki soruları yapar mı? Çoğaltma kapsamının her bir DC'deki DNS istemci ayarlarında bir miktar etkisi var mı?


7
2017-11-07 16:13


Menşei


Yalnızca DNS için tek bir etki alanı denetleyiciniz varsa, orada olmayan DNS için beklerken 5-10 dakikalık önyükleme süreleriyle ilgili sorunlarla karşılaşabilirsiniz. Başka bir DNS sunucusuna sahip olmanın ve DC açılış saatinde hazır olmanın daha iyi bir çözümü yok gibi görünüyor. Ben açılış süresi amaçlı herhangi bir eski bir DNS sunucusu olabilir eminim ama belli ki diğer çoğaltma ve heyet soruları devreye girerler olabilecek bir DC için doğru bir seçim ... olacak şey istiyorum. Ben Bu alanda biraz daha fazla şey bilen birinden duymak istiyorum. - hwilbanks


Cevaplar:


İki sunucunuzu tek bir etki alanı kullanarak tek bir etki alanı kullanarak tek bir etki alanıyla (ayrı bir hata) iki ayrı etki alanı kullanmaktan daha çok isterim. Ebeveyn / çocuk alanı ormanı ile gitmek için seçiminizi yönlendiren nedir? Güvenlik sınırlarına ilişkin endişeleriniz olmadığı sürece AD ​​alanı gerektirmeden bitişik olduğunu belirttiğiniz için alt etki alanı için DNS alanını kullanabilirsiniz.

Daha iyi kararıma karşı, İki sunucunuz olduğunu varsayarak soruyu cevaplayacağım her etki alanı (toplam dört) - yalnızca sizin durumunuz için iki sunucudan çıkartın.

Seçenek 1.

DNS yerel etki alanını tutma isteğinizle, ana DC'ler birbirlerine işaret eder ve çocuk DC'ler de birbirlerine işaret eder. Daha kolay yapılandırma, orman bölgesini DNS bölgesini çoğaltan bir kapsam kullanmak olabilir.

Üst düzeyiniz ve alt alan olarak child.parent.local olarak parent.local (veya neyse) var.

AD, her iki alanı da ormandaki DNS çözünürlüğünü basitleştirerek çoğaltacaktır. Belirli bir DNS sunucusunda bölgelerle çakışmaları görürsünüz, ancak Windows bununla ilgilenir.

Seçenek 2.

Başka bir seçenek de orman genelinde çoğaltma yapmamaktır. Bu durumda, alt DC'lerdeki her iletiyi ana DC'ye göndermek için DC'leri bir iletici yapılandıracağım, ancak üstte alt alandaki alt alan için bir temsilci oluşturmanız gerekir. aşağı.


2
2017-11-14 07:06



Seçenek 2'nin en az 2008 R2 ormanı için varsayılan yapılandırma olduğuna inanıyorum. - hwilbanks


Dürüst olmak gerekirse, "en iyi gerçek dünya uygulamaları" yanıtını sağlamak için, bir parça daha bilgi eklemeniz gerektiğini düşünüyorum. Tüm dcs / DNS denetleyicileri fiziksel olarak nerede olacak? Çocuklar ayrı fiziksel sitelerde bulunuyorsa, her birinin kendi çocuk alan adının orman içinde değil, yerel olarak depolanmasını istersiniz. En iyi uygulama boş bir orman için çağırır. DNS sunucuları her zaman önce kendilerine işaret etmeli ve daha sonra üst öğeye (veya ormana) kadar bir yönlendirme noktası kullanmalıdır. Yavaş önyükleme sorununun kolay bir yolu, yerel ana dosyaya kendini eklemektir (bununla ilgili bir düzeltme saptamayı da hatırlamıyorum).


0
2017-11-13 05:57