Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Question

[bassoon48]

я знаю зачем нужны форвадеры - чтоб разрешать имена на вышестоящие публинчые днс.

Вопрос в правильности и технического характера

У нас 2 сервера классика. DC01 основа и DC02 резерв.

1) Как правильно настроить сетевую карту на DC01? Первым DNS я указываю DC02 а альтернативный DC01 (127.0.0.1)?
Соответственно на DC02 наоборот - первым указываем DC01 а вторым сами себя.

Хорошо, дальше.

2) Нужно ли прописывать сервера пересылки (forwader) и на DC01 и на DC02 или достаточно только на DC01?

3) Нужно ли в форвадерах...Ну вот возьмём DC01.

Я просто пишу по порядку: 1.1.1.1 8.8.8.8 1.0.0.1 8.8.4.4

или надо ещё в форвадерах указывать DC02? Если надо то первым или последним?

Мне кажется это чревато тем что тогда мне полетит протухший КЭШ с DC02.

В настоящий момент я указал лишь 4 внешний публичных forwarder.

П. С. хочу сделать идеально и правильно а не на отъе...

п.п.с. Схема такая.

Есть zywall 1900. В клиентах DNS указывается как шлюз роутера.

Но по факту шлюз .254 пересылает запросы на локальные DC01 DC02.

А те в свою очередь уже решают если из домена - форвадят локалку. Если неизвестные адреса - обращаются на публичку

Comments

[AUser0]

Настраивайте каждый сервер так, как будто второго вообще не существует.

[bassoon48]

AUser0, вот я так же думаю. поэтому форвардеры продублировал и на DC02 и на DC01

[bassoon48]

AUser0, главный вопрос как сетевую карту настраивать.

первым DNS указываем сами себя или резервный?

И почему?

Мнений тысячи и куча холивара.
А как правильно? как делает гугл? как делает яндекс?

[AUser0]

bassoon48, настраивайте каждый сервер так, как будто второго вообще
не
су-
щес-
тву-
ет.

[bassoon48]

AUser0, почему именно так когда есть 2 варианта?

Ну настроим допустим DC01 сами на себя.

DC01 сдох и данные не успели отреплицироваться на DC02.

Здорово да?

[bassoon48]

AUser0, смысл тогда от DC02 если они не будут 24/7 общаться друг с другом

[bassoon48]

AUser0, у меня основной вопрос за Основной и Альтернативный DNS сервер.

Я считаю что нужно:

1) DC01 сервер. DNS1 - указываем DC02, DNS2 - указываем 127.0.0.1

2) DC02 сервер. DNS1 - указываем DC01, DNS2 - указываем 127.0.0.1

Разве нет?

Answer 1

[Rsa97]

Первым DNS указывается сам контроллер домена, вторым - резервный. Иначе при падении резерва у вас DNS будет тормозить.
Форвардеры настраиваются либо для конкретной зоны (серверы условной пересылки), либо глобальные (серверы пересылки в свойствах сервера). Соответственно форвардят они либо запросы к этой зоне, либо запросы, которые не попали ни в одну явно прописанную зону.
Ставить гобальным фовардером резервный контроллер смысла не имеет.

Comments

[bassoon48]

Вы не на все вопросы ответили.

Имеет не имеет смысла это дело 10-е и как работают форвардер я в курсе.

Речь как раз за ГЛОБАЛЬНЫЙ который указывается в свойствах DNS.

Хорошо допустим.

А нужно ли указывать форвардеры (дублировать) на DC02?

[bassoon48]

А при падении основного контроллера домена какая ситуация будет? Некоторые наоборот рекомендуют указывать первым DNS - именно резервный.

А на резервном наоборот.

Чтоб был постоянный обмен и они ссылались друг на друга.

Аргументируйте почему именно так. А если у меня не резерв а основной упадёт?

[bassoon48]

Вот и получается, что одни говорят так.

Типа ставь основным "самого себя", иначе будет тормозить при падении резерва.

Другие говорят, ставь основным резервный чтоб они постоянно обменивались 24/7 записями

[bassoon48]

Мне же никто не мешает в случае факапа зайти на DC01 или DC02 и изменить настройки сетевой карты.

Зато у тебя все данные будут отреплицированы и ты не сядешь на бутылку

[Rsa97]

bassoon48,

А при падении основного контроллера домена какая ситуация будет?

А при падении основного контроллера домена зачем ему DNS? Что с ним будет делать упавший контроллер?

Зато у тебя все данные будут отреплицированы

Записи DNS в AD хранятся в самом дереве домена, обмен ими идёт через внутренние алгоритмы синхронизации и запросы к DNS-серверу для этого не нужны. Обмен через DNS идёт только с недоменными серверами, если поднята "дополнительная зона" (slave).

[bassoon48]

А при падении основного контроллера домена зачем ему DNS? Что с ним будет делать упавший контроллер?

Кому нужны? При падении основного DC01, у нас останется DC02 на котором будет полная копия DC01 - репликация + перекрестный обмен резолвами.

Многие пишут что ВСЕГДА Dc01 и DC02 должны смотреть друг на друга.

Если у нас 3 штуки DNS - каждый DNS должен смотреть на 2 других, но никак не на себя

[bassoon48]

Записи DNS в AD хранятся в самом дереве домена, обмен ими идёт через внутренние алгоритмы синхронизации и запросы к DNS-серверу для этого не нужны. Обмен через DNS идёт только с недоменными серверами, если поднята "дополнительная зона" (slave).

Ну а где гарантия того, что эти алгоритмы успеют отработать когда у нас не перекрёстный способ, а параллельный?

А то что резолв не влияет это где написано?

Где написано что ПЕРЕКРЕСТНЫЙ это не правильно, а параллельный (сначала я потом сосед) - это правильно?

Пока что одна вода.

[bassoon48]

Rsa97, так то и внутренние запросы DC01 и DC02 резолвят. Так что и записи обновляются синхронно и одновременно.

Тут и репликация автоматическая + обмен постоянный. + разгрузка серверов.

или я чёт не понимаю. Переубедите меня

[Rsa97]

bassoon48,

При падении основного DC01, у нас останется DC02 на котором будет полная копия DC01 - репликация + перекрестный обмен резолвами.

Копия будет сделана репликацией самого AD, а не запросами DNS, причём сделана она будет в push-режиме, по факту изменения записи на любом из серверов. Никакой "перекрестный обмен резолвами" не влияет на базу DNS-сервера, максимум - на заполнение кэша DNS-клиента.
Если репликация нарушится, то базы серверов не будут синхронизироваться, как бы вы не настраивали очерёдность запросов в клиенте.

[bassoon48]

Rsa97, ну значит пусть ради кэша будет такая схема.

В случае сбоя -дёрнем сетевую карту, настроим DNS

Мне так спокойнее когда смотрят друг на друга. Я старовер.

Хуже не будет))

[bassoon48]

Rsa97, Но я попробую ради интереса)) Уговорили

[bassoon48]

Rsa97, То есть делаю так

DC01: DNS1 - указываю "сам себя" DNS2 - указываю DC02

DC02: DNS1 - указываю "сам себя" DNS2 - указываю DC01

[bassoon48]

и в случае сбоя всё будет летать всё равно да?)

Answer 2

[bassoon48]

у меня основной вопрос за Основной и Альтернативный DNS сервер.

Я считаю что нужно:

1) DC01 сервер. DNS1 - указываем DC02, DNS2 - указываем 127.0.0.1

2) DC02 сервер. DNS1 - указываем DC01, DNS2 - указываем 127.0.0.1

Разве нет?

Я думаю разница в сетевых настройках DNS в отказоустойчивости и чувствительности к записям.

Это я щас про Альтенативный сервер DNS и Основной в настройках сетевой карты.

некоторый говорят - указывай первым DNS самого себя. А некоторые говорят указывай основным резервный DNS.

Я думаю тут разница в том, что когда ты указываешься самого себя - DNS сервера работают сами по себе лишь по расписанию НЕ МГНОВЕННО реплицируя данные друг друга.

Это чревато тем что если основной контроллер сдохнет - записи могут не успеть отрисоваться на DC02 (Я так думаю).

но зато плюс в том что если один из серверов упадёт - домен тупить не будет.

НО!

Если мы укажем наоборот, первым резервный а альтернативный - сами себя, то данные будут постоянно обновляться 24/7.

Сдох основной DC01? насрать. Все данные уже есть на DC02.

Но минус в том что домен будет подтупливать пока не подниму либо резерв либо основу.

Кароче я так понял на вкус и цвет.

Я выбираю второй вариант. Данные важнее, пусть торомозит. Не надо допускать чтоб падал.

Плюс никто не мешает в случае авари изменить настройки сетевой карты на одном из двух DC

Comments

[AUser0]

Ну, каждый ССЗБ...

P.S. У пользователей 2 и более DNS-ов в их настройках - это и есть и резерв, и устойчивость, и альтернатива. Подумайте лучше об этом.
А уж указание localhost как альтернативного источника данных... "я не знаю, спрошу у локалхост - я не знаю, спрошу у локалхост - я не знаю, прошу у локалхост", да?

[bassoon48]

AUser0, ну дак а если ты основным укажешь localhost он будет сам к себе обращаться, тот же х.

Правильно и так и так. В каждом способе есть минусы и плюсы.

Вот что ответил мне один уважаемый человек с хабра. Цитирую

"хочу отметить одну вещь:
почему иногда рекомендуется настраивать DC на самого себя.
контент DNS сервера хранится в AD. Соответственно он оттуда при старте и загружается
риск в схеме крест-накрест: Если контент DNS на DC1 будет отличаться от DC2 то у конкретного локального сервера произойдет расхождение в данных:
клиентские службы на нем будут видеть один DNS ответ а серверные, завязанные на AD, считать что он другой - это критично для работоспособности AD.
Риск в локальном DNS: сервер не сможет работать если у него не запустился DNS сервер, не будет работать репликация и связь с другими AD. Однако неработоспособность DNS по сути будет связана с проблемами в данных в AD

Оба риска завязаны на работоспособность зоны и синхронизации её, поэтому адресация - одна и та же: мониторинг, починка репликации, поддержание всей схемы работы AD в здоровом состоянии"

[bassoon48]

AUser0, щас многое поменялось насколько понял. Но до 2008R2 всегда делали крест накрест.

На скорость это никоим образом не влияет. Я проверял и специально ронял DNS сервера по очереди.

Кароче я старовер и ничё плохого в крест накрест не будет.

Оба решения - вполне продакшен если работает идеально