我在现有的Active Directory林中设置了多个子域,并且正在寻找一些传统智慧/最佳实践指导,用于configuration子域控制器上的DNS客户端设置以及DNS区域复制范围。
假设每个域中都有一个域控制器,并且假定每个域控制器都是域的DNS服务器(为了简单起见),子域控制器应该只指向DNS本身,还是指向某个组合(主VS.次)本身和父域或根域中的DNS服务器? 如果存在父级>子级>孙级域分层结构(具有连续的DNS名称空间),那么应如何在孙子DC上configurationDNS?
关于DNS区域复制范围,如果在域中的所有DNS服务器上存储每个域的DNS区域,那么我假设从父项到子项的DNS委派需要存在,并且从子项到父项的转发器需要存在。 有了父级>子级>孙级域的层次结构,那么每个子级都会转发到直接父级区域的直接父级还是转到根级区域? 代表团是出现在直接的父母区还是根区?
如果在森林中的所有DNS服务器上存储所有的DNS区域,是否就复制范围没有提出上述问题? 复制范围是否对每个DC上的DNS客户端设置有一些影响?
我宁愿去使用两个服务器的单个域进行冗余,而不是在单个(故障点)服务器上使用两个单独的域。 什么是驱使你select与父母/孩子的域名森林? 您可以使用子域的DNS空间,因为您认为它是连续的而不需要AD域,除非您有安全边界问题。
根据我的判断 ,我会回答这个问题,假设每个域有两台服务器(总共四台) – 只需要减去两台服务器即可。
由于您希望将DNS本地保存到域中,所以父DC彼此指向,而且子DC也指向另一个DC。 更简单的configuration是使用复制整个DNS区域的作用域。
你有parent.local(或其他)作为你的顶级和child.parent.local作为子域。
AD将在整个森林中复制这两个域,使DNSparsing变得简单。 您将看到给定的DNS服务器与区域重叠,但Windows处理。
另一个select是不做森林范围的复制,在这种情况下,我只需在子DC上configuration一个转发器,将所有内容都发送给父域DC,但是在父域上,您需要为子子域创build一个委派下。
老实说,为了提供一个“最好的现实世界的做法”的答案,我认为你需要添加一个信息。 所有的dcs / DNS控制器在物理位置在哪里? 如果孩子在不同的物理场所,你希望每个孩子都有自己的子域,而不是在森林里。 最佳实践需要一个空的森林。 DNS服务器应该始终指向自己,然后使用转发器指向它的父节点(或森林)。 缓慢启动问题的一个简单的方法是将自己添加到本地主机文件(虽然我似乎还记得这个reg注册)。