Soru Dahili DNS sunucuları olarak Etki Alanı Denetleyicileri


Şirket ortamımız hızla büyüyor ve Domain Controllers'imizi yükseltme sürecindeyim, ama yapmadan önce, her şeyi mümkün olan en iyi şekilde yapmaya devam ettiğimden emin olmak için hızlı bir akıl kontrolünü yapmak istedim.

Benim birincil HQ siteme odaklanarak, tüm Windows Server 2008 R2 çalıştıran 3 etki alanı denetleyicisine (2 sanal, 1 fiziksel) sahibim. Windows Server 2012 R2'ye geçmek istiyorum. 'Yükseltme' Windows'a inanmıyorum, sunucuları / ortamları yükseltme yapaylıklarından uzak tutmak için daima 'geçiş'i tercih ediyorum.

İki sanal DC, tüm iş istasyonları ve üye sunucular için tüm DNS hizmetlerini sağlar. Tüm üye sunucularda DNS sunucu IP'leri statik olarak yapılandırılmışken, iş istasyonları DHCP seçenekleriyle DNS adreslerini alır.

Soru: Etki alanı denetleyicilerinizi tüm iş istasyonlarınız ve sunucularınız için DNS çözümleyici olarak kullanmak normal mi yoksa yeni ayrılmış DNS sunucuları mı oluşturmalıyım?

Soru: Etki alanı denetleyicilerinin gerçek IP'lerini, DNS çözümleyicileri için iş istasyonları ve sunucularda kullanmak veya sanal IP'leri / yük dengelemeyi kullanmalı mıyım?


4
2017-07-20 23:42


Menşei




Cevaplar:


Etki alanı denetleyicilerinizi DNS çözümleyicileri olarak kullanmak hala normal mi?   tüm iş istasyonlarınız ve sunucularınız için veya yeni oluşturmalı mıyım?   adanmış DNS sunucuları?

Şirketimde ve 4 etki alanı denetleyicimde 2000'den fazla istemcim var. Bunların 2 tanesi artık 4 yıldır hiçbir sorun yaşamadan DNS Sunucusu olarak çalışıyor.

Etki alanı denetleyicilerinin gerçek IP'lerini kullanmak iyi bir uygulama mı?   DNS çözümleyicileri için iş istasyonları ve sunucular veya sanal kullanmalıyım   IP'ler / yük dengeleme?

Bir kez daha, 2000+ müşteriler için hiçbir sorun olmadan gerçek DNS çözümleyici IP kullanıyorum.

Bu metrikleri bir tür "referans" olarak sağlarım. İstemcinizin sayısına bağlı olarak, DNS yükü daha yüksek olabilir ve topolojim sizin için geçerli olmayabilir ... Ancak IMHO, DC + DNS ile güvenle gidebilir

Microsoft tarafından belirtildiği gibi:

Çoğu zaman, tüm etki alanı denetleyicilerine DNS sunucularını yüklersiniz.

Ama burada makalenin tamamını okumanı sağlıyorum


5
2017-07-20 23:56



Etki alanı denetleyicilerini yükselttikten / geçirdiğinizde, bir tanesini hizmet dışı bıraktığınızı, yeni sunucuyu hizmetten kaldırılan sunucularla IP adresi alacağınızı ve tekrarladığınızı varsayıyorum. - Christoph Berthoud
Bu oldukça doğru ... ama bu senin ilk sorununda değildi ve bence başka bir şey olmalı. - krisFR
Konu değil, soru. - Falcon Momot
@Falcon Momot Evet doğru, ama bu yorum yararlı mı? - krisFR


DC'lerinizi DNS sunucuları olarak kullanmak oldukça mantıklı. Ayrıca, pek çok şeyin onlarla doğrudan iletişim kurmasını gerektirdiğinden onları gerçekten saklayamazsınız.

Bunları DNS sunucularınız olarak kullanmak istememenizin tek nedeni, DNS yükünün çok yüksek olması ve birçok sorgunun aynı adlar için olması durumunda, bu noktada, şeyleri önbelleğe alan bir ara çözümleyici kullanmak isteyebilirsiniz. veya BIND gibi bir şeyle daha iyi sunulacak bir DNS ile süslü şeyler yapmak istiyorsanız. Daha sonra değiştirmeniz gerekirse, DNS seçeneklerinizi her zaman değiştirebilirsiniz ve ikiden fazla etki alanı denetleyiciniz varsa, yüklerin dengelenmesine yardımcı olmak için alt ağlarınızın her birinde DNS sunucularını da değiştirebilirsiniz.

DC'leri böyle kullanmanın güvenlik riski neredeyse sıfırdır.


4
2017-07-20 23:53



Aslında, varsayılan olarak, AD DS ile DNS yükleme, Active Directory'de Bölge bilgilerini depolayan ve yalnızca diğer ADI DNS sunucuları arasında Bölge verilerinin aktarılmasına izin veren AD Entegre DNS bölgeleri oluşturur. DNS'de orta saldırı. - Davidw


Bir veri noktası olarak, Finansal Hizmetler sektöründe bir Fortune 200 için çalışıyorum ve yaklaşık bir yıldır işletme için DNS Hostmaster olarak görev yaptım. Yerleşik Microsoft DNS çözümünü (ve çözümleyici adresini ve SOA'daki isim sunucusunu kullanan IP için F5 LTM'yi) kullanırdık, ancak bu bizim amaçlarımız için uygun olmadığına karar verdik.

Kendi lehine puan

  • Active Directory'nin bir parçası olarak ücretsiz
  • Temel kullanım için yeterince iyi çalışır
  • DHCP istemcileri için DNS kayıtlarının otomatik olarak kaydedilmesi (istemciler Windows istemcileriyse; Mac, Linux ve SunOS, çok fazla değil)

Daha fazla ihtiyacımız vardı.

  • Müsaade edici olmak için, yanlış ve hatta imkansız bilgilere izin veren (tam onaylanmamış bir önerilen RFC olduğu bölge-apex'te CNAME dahil), ya da çok daha da kötüsü, ya da kayıt-adı veya BIND-tabanlı herhangi bir şeyden cehennem karıştırır yanıt değeri,)
  • Senkronize edilen ilişkili A, TXT, SRV, PTR kayıtlarını tutmak için mekanizma yeterli değildi ve biz el ile mutabık kalınarak zaman harcadık
  • Entegre DHCP daemon'u HA için split-kapsamları gerektirdi, bu bir hata durumunda, standart parçadan ziyade (ISC tabanlı çözümlerde kullanılan) varolan havuzun yarısı kayboldu DHCP failover (https://kb.isc.org/article/AA-00502/0/A-Basic-Guide-to-Configuring-DHCP-Failover.html)
  • IP tükenme / kullanılabilirlik / yoğunluğunu PTR kayıtlarına göre kolayca görselleştirmek için bir kutu dışı mekanizma yoktu.

Üst düzey bir entegre DHCP + DNS + IPAM çözümü uygulamaya başladık ve geriye bakmadık (dinamik bölge senkronizasyonu ve IP Anycast gerçekleştirme dahil olmak üzere).

Tabii ki, bir uyarı: Active Directory Service Discovery ve Windows Küme Sunucusu kayıt kaydı ve kayıt silme için çalışmak için SRV kayıt kaydı için çalışmak. Tüm etki alanı denetleyicilerini ve MS Küme Sunucusu kutularını içeren bir ACL oluşturmalı ve dinamik DNS güncelleştirmelerini gerçekleştirmelerine izin vermelisiniz. Veri bütünlüğü ve aklı sağlamak için, diğer tüm ana bilgisayarlar ve diğer tüm kayıtlar için, yalnızca DHCP sunucusu veya GUI / API aracılığıyla güncellemelerine izin vermelisiniz (diğer bir deyişle, dinamik olmayan tüm kutular için dinamik DNS güncellemelerine ve AXFR'ye izin vermeyin). ).


1
2017-07-27 14:29



Par5t eski moda teknolojisini kullanıyordu. Windows Server'ın CURRENT sürümlerinde bulunan çoğaltma sayesinde, tümleşik DHCP kullanıyorum ve bölünmüş bir sope sahip olmayan bir HA'ım var. IP adresi Yönetimi standart 2012'dir. Bu 4 noktanızın 2'sini "modası geçmiş teknolojiyi kullanarak" öldürür. - TomTom
Bu özelliklerin AD'nin daha sonraki sürümlerinde eklendiğini duymak beni heyecanlandırıyor, çünkü AD bir bütün olarak fantastik bir araç takımıdır (özellikle Kerberos ve DNS'yi nasıl kılan, her ikisi de herkesin korkutucu olabileceği gibi). DNS hostmaster'ken, Windows 2003R2'den Windows 2008'e geçiş yapıyorduk. O zamandan beri teknolojinin durumu çok değişmiş gibi geliyor. - DTK
Ve "eski moda teknolojisini kullanarak" nereye başvurduğumu göremiyorum. Belki de Serverfault gremlins bu cümleyi yemiş ve ayrıca hafızamdan silindi. O zaman, Windows'un GA sürümlerinde ihtiyaç duyduğumuz özellikler yoktu. Şimdi olduğu gibi geliyor, bu yüzden memnunum (çünkü DNS + DHCP'yi yeniden kullanmak büyük bir çaba ve paydaşlar için oldukça ürkütücü çünkü DNS'deki bir hata, omurga yönlendiricilerinden birinin tuğlalanması da dahil olmak üzere neredeyse her şeyden daha büyük bir kesintiye neden olabilir ). - DTK
Bu - bu temelde 2012 nesil bir teknolojidir. Ciddi bir rol oynamıştır ve şimdi oldukça kullanışlıdır. Özellikle DHCP ciddi - ah - "sınırlayıcı kurulum" oldu. Yine de daha iyi olabilir (AD içinde DHCP rezervasyonları ve kiralamalar) ancak en azından 2 düğüm çoğaltması şimdi yapıyor. - TomTom