AD, DNS сервер пересылки, что нужно указать?

Question

[apokrause]

Доброго дня,
есть домен допустим Prez.local и каждом объекте есть свой контроллер домена, в этом же домене.

На каждом сервере указан сервер пересылки центральной AD в ДЦ 192.168.199.2

Раньше в сервере пересылки стоят Mikrotik 192.168.199.1, убрал от туда, так как пошли ошибки - переполнен DNS.

Указал в итоге внешние DNS яндекс, проработало все меньше недели, выпало с ошибкой на 192.168.199.2

Нехватка виртуальной памяти в системе успешно обнаружена. Наибольший объем виртуальной памяти был выделен следующим программам: для lsass.exe (672) выделено 19598835712 байт, для MsMpEng.exe (2740) выделено 242819072 байт и для dns.exe (2844) выделено 159420416 байт.

Временно убрал сервер пересылки DNS на 192.168.199.2.

Вопрос, как правильно настроить сервер пересылки? можно ли указать на каждой AD, DNS провайдера?

Comments

[Роман Безруков]

а мартовские обновления не ставили случайно (особенно KB5035849)? там проблема с утечкой в LSASS - пофиксили срочной обновой только на прошлой неделе

[apokrause]

Роман Безруков, посмотрел, обновлений этих не поймал на windows server 2016. При проверке новых обновлений нет.

[Роман Безруков]

apokrause, для 2016 номера другие - исходная KB5035855 и исправленная KB5037423

[apokrause]

Роман Безруков, KB5035855 поймал эту, щас исправление KB5037423 закачаю. Спасибо

[Роман Безруков]

apokrause, после этого на PDCDC поставьте обратно DNS яндекса как форвардеры и наблюдайте

Answer 1

[MVV]

Если КД имеет возможность (на шлюзе и провадером не запрещено) посылать запросы DNS в интернет на любой сервер (т.е. открыт исходящий доступ по 53/UDP), то можно не указывать ничего: DNS Server на КД сам может послать все нужные запросы, начиная с корневых серверов. Иначе в пересылке следует указать тот сервер DNS, куда доступ открыт.