@m2_viktor

Как правильно настроить dns-клиент в сети с active directory?

В организации два филиала. В первом поднят AD и DNS. Во втором филиале нету своего AD и DNS.
Между филиалами VPN. Все машины во втором филиале являются членами домена первого филиала. И админ второго филиала указал в настройках dns-клиентов primary dns - корпоративный сервер, secondary dns - 8.8.8.8 Также на корпоративном dns настроен форвардинг. Я не силен в теории, но знаю, что такая конфигурация влечет не шуточные проблемы. Я даже нашел стать на сайте MS https://technet.microsoft.com/ru-ru/library/cc7545... Где описано, что это может стать проблемой. Но админ второго объясняет такую конфигурацию тем, что если упадет канал между филиалами, то клиенты смогут резолвить адреса внешних ресурсов какраз за счет secondary dns - 8.8.8.8 в натройках dns-клиента.

В качестве правильного ответа на вопрос, я хочу видеть детальное описание, почему в роли secondary dns не может выступать внешний сервер, и ссылку на статью MS которая это подтверждает, чтобы подкрепить эту точку зрения официальным источником.
  • Вопрос задан
  • 1348 просмотров
Решения вопроса 1
@m2_viktor Автор вопроса
Поднял на виртуалках server 2008 и 2 машинки c windows xp. Добавил клиентов в домен. В настройках dns-клиента указал primary - ip server 2008, secondary 8.8.8.8. При этом отключил Netbios over TCP/IP. Чтобы имена не резолвились таким способом.
1. Далее по протоколу smb я обратился с winxpvm1 на winxpvm2, успешно
2. Отключил server 2008 от сети, выполнил ipconfig /flushdns на winxpvm1 и ping winxpvm2 уже не резолвилось.
3. По smb еще можно было обращатся, но после перзагрузки winxp1 я обратился с winxpvm1 \\winxpvm2 получил: "windows не удается найти winxp2"
4. вернул server 2008 в сеть, подождал 10 минут
5. результат на скриншоте: как видно, dns-клиент не желает больше обращатся к primary-dns, а обращается только к secondary, не смотря на то, что primary ближе по метрике и доступен.
e290006e5dab4752a681dbc0a9060374.jpg
6. Спустя еще 5-10 минут, с winxpvm1 резолвился winxpvm2.

Вобщем, ylebedev, SyavaSyava, Maksim вы ничего не написали из того, что просил, но возможно вам это будет полезно.
Ответ написан
Пригласить эксперта
Ответы на вопрос 5
@Yestestvenno
Системный администратор
m2_viktor @m2_viktor
Я по этому вопросу согласен с MS https://technet.microsoft.com/ru-ru/library/cc7545...

m2_viktor:
Цитата:
Не настраивайте клиентов на одновременное использование DNS-серверов, интегрированных в доменные службы Active Directory, и DNS-серверов поставщика услуг Интернета. Вместо этого настраивайте клиентов на использование только DNS-серверов, интегрированных в доменные службы Active Directory, а эти DNS-серверы, в свою очередь, настройте на переадресацию запросов на DNS-серверы поставщика услуг Интернета.
Написано вчера


По сути вы уже нашли ответ на свой вопрос, проблема только в том что вы спорите с админом об использовании в качестве резервного DNS внешний DNS который ничего не знает о ваших внутренних сервисах

Я с вами согласен что использование такого решения как предлагает вам админ вызывает проблемы при разрыве связи с вашим DNS

Я сейчас скажу то что вам совсем не понравится:
Вы не правы и админ не прав (я возможно тоже не прав)
Если цель не утереть нос админу, а сделать чтобы все работало идеально то подумайте о дублирующему DNS

Ни каких ссылок на MS где сказано что ваш админ вам проспорил не будет!
Только здравый смысл

почитайте и сами поймете
https://technet.microsoft.com/en-us/library/cc7727...
https://technet.microsoft.com/en-us/library/cc7769...
Ответ написан
Комментировать
@ylebedev
Вы пытаетесь на ёлку залезть и Ж... не ободрать.

У админа теория в сущности верна. Прекратите экономить и поставьте на филиал дублирующий AD.
(хотя бы вирт. машину Win-Linux без разницы.)

или сделайте всё через 1 DNS, но тогда VPN должен быть либо резервируемый или железобетонный.

К тому же я не вижу не в статье, ни в моей практике чтобы проблемы были супер глобальные и не решались перезапуском машины.
Он может при заминке с ответом перескочить на DNS2 и там конечно ничего не найти. И уйти с проблемами Windows в то что нет соединения с AD и всем прочим.

А чисто мой ИМХО давнее админское - я AD уже не ставлю давно.
Нет таких задач которые он решает и не лагает при их решении.
Для паролей и доступа к серверам можно использовать сторонние программы.
(к тоже 99% пользователей сидят за своими компами - что касаемо паролей)
Как только появляется AD - начинаются траблы с учётками, ДНС, файлами доступами, репликацией.
Ответ написан
@Tabletko
никого не трогаю, починяю примус
единственный ДНС сервер в среде АД — это всегда проблемы при его недоступности
Ответ написан
Комментировать
chumayu
@chumayu
Если в башне по*бень. То что еб*нь, что не еб*нь.
Еб*те мозг и себе и админу?

Примари (в вашем случае) изначально примари нужен чтобы функционировала внт. сеть ну и транслировал запросы далее если он на них не знает ответ.
У вас не о том голова болит, болеть должна о том чтобы канал VPN держался вечно и задуматься о резервации роли ДНС во втором филиале.

Вы же переживаете что второй прописан внешний ДНС сервер, п*зданется ВПН, ваш второй филиал не будет знать что buhgalterbigass.localdomain.su это 192.168.0.200 вам это надо понимать.
Ответ написан
Комментировать
@Yumado
В качестве правильного ответа на вопрос, я хочу видеть детальное описание, почему в роли secondary dns не может выступать внешний сервер, и ссылку на статью MS которая это подтверждает, чтобы подкрепить эту точку зрения официальным источником.

Подогнать ответ под вопрос ))) В духе "семейных" адвокатов.

Второй NS может быть внешний сервер.
Правильно, когда второй сервер авторизован на первом.

поднимите второй сервер NS, укажите для синхронизации первый.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы