通常情况下,我有一个客户与SBS,我使用其DNSparsing内部名称,然后转发到外部DNS如果内部不能DNSparsing地址。
最近,母公司在客户地点安装了一台新的Cisco PIX路由器,并接pipe了DHCPfunction。 他们已经改变了客户端的configuration,使用主要的DNS来parsing内部名字,辅助DNS来parsing外部名字。
我不认为这是主要和次要DNS条目的意图,但我不是这方面的专家。
有内部DNS时,首选的客户端设置是什么?
如果您希望事情轻松而轻松地进行,请执行以下操作:
仅在Active Directory域控制器计算机上运行Windows DNS服务器。 (这可以确保他们拥有Active Directory集成DNS区域的副本)。
确保您的Windows DNS服务器具有指定的“根提示”(默认情况下是这种情况),或者在您的IPS中指定了指定DNS服务器的“转发器”。
validation所有Windows计算机(服务器和客户端)只有指定为其DNS服务器的Windows DNS服务器。 (任何服务器,客户端或DHCPconfiguration中都不应指定基于非Windows DC的DNS服务器。)
validation您的防火墙规则允许Windows DNS服务器出站UDP端口53到Internet(如果您使用“根提示”或您的ISP DNS服务器,如果您使用的是“转发器”)。
这是Microsoft推荐的configuration,将导致Internet和内部名称parsing,而不会从Windows计算机向您的ISP或其他外部DNS服务器“泄漏”dynamic注册请求。
这个答案是相当有说服力的,但是因为你提到SBS这可能是一个相当简单的networking,上面是你最无痛苦的方式来获得你想要的前进。
如果是我,顺便说一句,我会使用根提示而不是转发器。 我不相信我的互联网服务提供商(ISP)不会使用DNS来做恶意的事情(用他们自己的“serach引擎”网站回应,而不是回避NXDOMAIN的无效域名等)。
二级DNS的目的是可靠性,而不是解决一个完全不同的地址空间。 通常,您的内部DNS仅configuration为转发无法在本地parsing的请求。 没有什么棘手的,这是DNS应该如何工作。
我可以想象,在这种情况下,你的查询需要比平时稍长一些,因为每个外部请求在发送到辅助节点之前都必须首先在主节点上失败。
我假设你在这里谈论Windows电脑。
对于属于域成员的计算机,只应使用内部DNS服务器; 如果需要外部名称parsing,则应由内部DNS服务器完成。 这对于正确的域操作至关重要,因为Windows系统使用DNS来执行许多与Active Directory有关的活动,包括(但不限于)查找域控制器。 不应将域成员计算机configuration为使用不具有域数据的DNS服务器,例如任何外部数据。
如果您的计算机不是域的成员,则可以使用几乎所有您想要的DNSconfiguration; 无论如何,使用内部DNS服务器并将它们转发到外部服务器仍然被认为是最佳实践,而不是让客户端直接与外部DNS服务器交谈; 这允许caching和减less外部stream量。
还有一件我想带出来 – 看起来好像被埋了。 主DNS服务器和辅助DNS服务器的用途是冗余的 – 如果DNS服务应该停止在一个服务器上,假设DNS服务器是相同的,那么客户机应该能够继续工作而没有任何明显的差异。这正是Active Directory将DNS和AD复制集成到域控制器(当然还有其他原因)。 以下是我在类似情况下所做的工作:假设您有能力和权限对服务器和PIX上的DHCP和DNSconfiguration进行更改,请执行以下操作:
在Pix上,将DHCP分配的DNS服务器条目设置为两个相同的DNS服务器。 如果是我,我会让他们成为Windows服务器。 这在你的情况下可能是不可能的 – 我忘记了与SBS的交易,而且我不确定你的复制选项是什么。 在DNS服务器上,设置权威区域来parsing内部IP地址(可以采取任何MS默认设置,并遵循最佳实践)让DNS服务器将查询转发到用于parsing外部地址的DNS服务器。
这将保持内部查询内部并优化性能。 它将推出外部查询,而无需等待DNS1发送到DNS2来parsing外部查询。 在客户端,这会给你带来冗余(即一台服务器停机,他们可以继续工作,等待你到达),并且在DNS请求期间的延迟将下降 – 生产率提高。 无论您是公司内部还是外部,都要为客户创造双赢的局面。