Как правильно настроить dns-клиент в сети с active directory?

Question

[m2_viktor]

В организации два филиала. В первом поднят AD и DNS. Во втором филиале нету своего AD и DNS.
Между филиалами VPN. Все машины во втором филиале являются членами домена первого филиала. И админ второго филиала указал в настройках dns-клиентов primary dns - корпоративный сервер, secondary dns - 8.8.8.8 Также на корпоративном dns настроен форвардинг. Я не силен в теории, но знаю, что такая конфигурация влечет не шуточные проблемы. Я даже нашел стать на сайте MS https://technet.microsoft.com/ru-ru/library/cc7545... Где описано, что это может стать проблемой. Но админ второго объясняет такую конфигурацию тем, что если упадет канал между филиалами, то клиенты смогут резолвить адреса внешних ресурсов какраз за счет secondary dns - 8.8.8.8 в натройках dns-клиента.

В качестве правильного ответа на вопрос, я хочу видеть детальное описание, почему в роли secondary dns не может выступать внешний сервер, и ссылку на статью MS которая это подтверждает, чтобы подкрепить эту точку зрения официальным источником.

Answer 1

[m2_viktor]

Поднял на виртуалках server 2008 и 2 машинки c windows xp. Добавил клиентов в домен. В настройках dns-клиента указал primary - ip server 2008, secondary 8.8.8.8. При этом отключил Netbios over TCP/IP. Чтобы имена не резолвились таким способом.
1. Далее по протоколу smb я обратился с winxpvm1 на winxpvm2, успешно
2. Отключил server 2008 от сети, выполнил ipconfig /flushdns на winxpvm1 и ping winxpvm2 уже не резолвилось.
3. По smb еще можно было обращатся, но после перзагрузки winxp1 я обратился с winxpvm1 \\winxpvm2 получил: "windows не удается найти winxp2"
4. вернул server 2008 в сеть, подождал 10 минут
5. результат на скриншоте: как видно, dns-клиент не желает больше обращатся к primary-dns, а обращается только к secondary, не смотря на то, что primary ближе по метрике и доступен.

6. Спустя еще 5-10 минут, с winxpvm1 резолвился winxpvm2.

Вобщем, ylebedev, SyavaSyava, Maksim вы ничего не написали из того, что просил, но возможно вам это будет полезно.

Comments

[Андрей Бируля]

клиент windows xp использует secondary/.. dns-сервер только в том случае, если primary был недоступен. поэтому на неопределённое время он может "зависнуть" на 8.8.8.8. это до win8/10, где работа dns изменилась. поднимите dns сервер в филиале не придумывайте проблему на пустом месте.

[m2_viktor]

Андрей Бируля: не все так просто, я не решаю в данной ситуации что поднимать, а что нет. Вопрос поведения dns-клиента довольно интересный. Поэтому я вынес его на обсуждение. А обсуждать, что мне поднимать я не собираюсь.

[Андрей Бируля]

m2_viktor: так вопрос не в обеспечении нормальной работы филиала, а в построении местного админа? ничего страшного в кратковременной работе десктопов при secondary dns 8.8.8.8 не произойдёт. но само отсутствие при подобной топологии локального днс-сервера как минимум не разумно.

[m2_viktor]

Андрей Бируля: клиенты и сервер AD периодический обмениваются служебным трафиком. Например при доступе к smb-ресусам. Если dns-сервер на 1 минуту станет не доступным, либо будет перегружен запросами, то dns-клиент будет обращатся к 8.8.8.8 за разрешением имен, и не получит доступ к smb-ресурсу. Это серьезная проблема.

[m2_viktor]

На Windows 7 для dns-клиента эта проблема также присутствует.

[Андрей Бируля]

m2_viktor: в вашем случае ad dns может быть недоступен только по одной причине - падение vpn. а если упал vpn, то и говорить о доступе к smb-ресурсам уже не имеет смысла. по моему опыту, из-за ошибки в конфигурации dhcp, сеть филиала на xp в домене находилась вне доступа к ad и dns более месяца и никаких проблем не случилось. и обнаружилось случайно, когда пользователи стали жаловаться на свистопляски с часами, что и навело на подозрение.

Answer 2

[Сергей]

m2_viktor @m2_viktor
Я по этому вопросу согласен с MS https://technet.microsoft.com/ru-ru/library/cc7545...

m2_viktor:
Цитата:
Не настраивайте клиентов на одновременное использование DNS-серверов, интегрированных в доменные службы Active Directory, и DNS-серверов поставщика услуг Интернета. Вместо этого настраивайте клиентов на использование только DNS-серверов, интегрированных в доменные службы Active Directory, а эти DNS-серверы, в свою очередь, настройте на переадресацию запросов на DNS-серверы поставщика услуг Интернета.
Написано вчера

По сути вы уже нашли ответ на свой вопрос, проблема только в том что вы спорите с админом об использовании в качестве резервного DNS внешний DNS который ничего не знает о ваших внутренних сервисах

Я с вами согласен что использование такого решения как предлагает вам админ вызывает проблемы при разрыве связи с вашим DNS

Я сейчас скажу то что вам совсем не понравится:
Вы не правы и админ не прав (я возможно тоже не прав)
Если цель не утереть нос админу, а сделать чтобы все работало идеально то подумайте о дублирующему DNS

Ни каких ссылок на MS где сказано что ваш админ вам проспорил не будет!
Только здравый смысл

почитайте и сами поймете
https://technet.microsoft.com/en-us/library/cc7727...
https://technet.microsoft.com/en-us/library/cc7769...

Answer 3

[ylebedev]

Вы пытаетесь на ёлку залезть и Ж... не ободрать.

У админа теория в сущности верна. Прекратите экономить и поставьте на филиал дублирующий AD.
(хотя бы вирт. машину Win-Linux без разницы.)

или сделайте всё через 1 DNS, но тогда VPN должен быть либо резервируемый или железобетонный.

К тому же я не вижу не в статье, ни в моей практике чтобы проблемы были супер глобальные и не решались перезапуском машины.
Он может при заминке с ответом перескочить на DNS2 и там конечно ничего не найти. И уйти с проблемами Windows в то что нет соединения с AD и всем прочим.

А чисто мой ИМХО давнее админское - я AD уже не ставлю давно.
Нет таких задач которые он решает и не лагает при их решении.
Для паролей и доступа к серверам можно использовать сторонние программы.
(к тоже 99% пользователей сидят за своими компами - что касаемо паролей)
Как только появляется AD - начинаются траблы с учётками, ДНС, файлами доступами, репликацией.

Comments

[m2_viktor]

Не могу засчитать этот ответ, не выполнены требования. Суть вопроса не в том какой у вас личный опыт, а в деталях работы AD, и ссылке на официальный сайт.

Answer 4

[Дмитрий]

единственный ДНС сервер в среде АД — это всегда проблемы при его недоступности

Answer 5

[Maksim]

Еб*те мозг и себе и админу?

Примари (в вашем случае) изначально примари нужен чтобы функционировала внт. сеть ну и транслировал запросы далее если он на них не знает ответ.
У вас не о том голова болит, болеть должна о том чтобы канал VPN держался вечно и задуматься о резервации роли ДНС во втором филиале.

Вы же переживаете что второй прописан внешний ДНС сервер, п*зданется ВПН, ваш второй филиал не будет знать что buhgalterbigass.localdomain.su это 192.168.0.200 вам это надо понимать.

Answer 6

[Yumado]

В качестве правильного ответа на вопрос, я хочу видеть детальное описание, почему в роли secondary dns не может выступать внешний сервер, и ссылку на статью MS которая это подтверждает, чтобы подкрепить эту точку зрения официальным источником.

Подогнать ответ под вопрос ))) В духе "семейных" адвокатов.

Второй NS может быть внешний сервер.
Правильно, когда второй сервер авторизован на первом.

поднимите второй сервер NS, укажите для синхронизации первый.

Comments

[m2_viktor]

Я уже устал от того, что мне говорят что делать, и я сам уже выяснил ответ на этот вопрос, но ссылку на сайт MS можете дать, буду признателен.

[Yumado]

Не буду такой ссылки вам искать.
Если надо, тогда ищите конфигурацию двух и более NS (DC).
скромнее, пожалуйста.

[m2_viktor]

Я по этому вопросу согласен с MS https://technet.microsoft.com/ru-ru/library/cc7545...

Цитата:
Не настраивайте клиентов на одновременное использование DNS-серверов, интегрированных в доменные службы Active Directory, и DNS-серверов поставщика услуг Интернета. Вместо этого настраивайте клиентов на использование только DNS-серверов, интегрированных в доменные службы Active Directory, а эти DNS-серверы, в свою очередь, настройте на переадресацию запросов на DNS-серверы поставщика услуг Интернета.