在降级DC / DNS服务器后,我刚刚遇到了几个小时的工作,试图解决域中的DNS问题(这里使用旧的DNS服务器IP说明了WinXP,即使在DHCP和机器上已经更改了 )。
有一个愚蠢的组策略(不知道为什么,但我会离开它),这是迫使DNS服务器; 改变了它,但客户端无法访问域(因为主DNS是closures的 – 为什么地狱不会尝试次要的工作正常吗?!?!?)…那么我怎么能强制组策略覆盖(以便桌面可以再次find域)或以某种方式将组策略重新放回到他们的计算机上? 啊…
我看到在那里我们有两个DNS服务器的IP,然后是我们两个ISP的DNS服务器。
问题是 – 在DHCP正在处理的环境中,如果用组策略中的DNS覆盖DNS条目,那么这个环境就是DNS? 虽然在logging完之后它在这里烧了我,以后应该不会有什么问题 – 但是我还是想知道政策应该留下还是走? ISP DNS服务器的两个IP是否显着(每个DC上的DNS服务器都设置为转发到这些IP)? 客户是否需要他们?
最佳实践=否,不要通过GPO申请。
DHCP将把请求转发给您select的less数DNS服务器。 DNS会将请求转发出去。
通常情况下,如果要将特殊设置应用于特定工作站(基于GPO范围,机器/用户成员资格),则使用GPO来定义DNS服务器。 内联网testing机器。 一个更好的例子就是将用户locking在互联网之外。 如果用户是Deny_Internet安全组的成员,并且将其定义为Set_Bogus_DNS GPO的作用域,则属于该组成员的用户将无法上网,因为他们无法parsing任何地址。
定义的外部DNS服务器的缺点是,如果发生重大的病毒/蠕虫病毒,您无法locking有问题的域名。 使用DHCP将机器指向内部DNS服务器,如果需要,可以通过在您自己的DNS框中创buildDNS主区域来lockingwww.malware-spreading-site.org,并将www指向127.0.0.1。
总之,将内部机器指向外部DNS是不好的。 坏坏坏。 淘气。 其次,在这种情况下使用DHCP比GPO更好。
我在你的post中看到两个真正的问题:
将外部DNS服务器分配给域客户端是一个坏主意?
是。 它是。
DNS对Active Directory正确运行至关重要,而将DNS请求发送到外部服务器的客户迟早会造成问题。 如果您的内部DNS不稳定,它可以提供帮助,但是如果出现这种情况,比起无法浏览网页的用户有更大的问题。
最多这应该被用来作为一个临时的绑定,而修复您的内部DNS。 而且,永远不要把持续时间超过他们的需要。
通过GPO定义DNS服务器是一个坏主意?
不,我真的会推荐它。
为什么通过GPO定义DNS服务器可能是一个很好的主意:
在一个简单的环境中,这可能比它的价值更麻烦。 但是,如果你有一个域名,你可能已经超过了这个点。
正如你已经发现,使用组策略来分配DNS通常是一个坏主意。 出错太多了,debugging可能是一场噩梦。 在正常情况下,应该没有必要。 如果有必要的话,现在应该仔细研究整个networkingconfiguration,以确定为什么这是必要的,看看是否可能更适合在其他地方进行更改。
我给你一个简单的好理由,也使用GPO来定义DNS设置。 在多个dynamic服务器环境中,所有服务器都具有静态IP设置。 GPO覆盖这些,DHCP不。