域控制器作为内部DNS服务器

使用域控制器作为所有工作站和服务器的DNSparsing器还是应该创build新的专用DNS服务器？

我公司有2000多个客户，有4个域控制器。 其中2个现在也是4年没有问题的DNS服务器。

在工作站和服务器上使用DNSparsing器的域控制器的真实IP，还是应该使用虚拟IP /负载平衡？

再次，对于2000 +客户我使用真正的DNSparsing器IP没有问题。

我提供这些指标作为一种“参考”。 根据您的客户端数量，DNS负载可能会更高，我的拓扑结构不适用于你…但恕我直言，你可以安全地使用DC + DNS

正如微软所言：

大多数情况下，您将在所有域控制器上安装DNS服务器

但是我让你读完整篇文章

使用你的DC作为DNS服务器是相当合理的。 而且，由于许多事情需要与他们直接沟通，所以你不能真正隐藏他们。

您不希望将它们用作您的DNS服务器的唯一原因是，如果DNS的负载过高，并且大量查询是针对相同名称的，那么您希望使用caching事物的中间parsing器，或者如果你想用DNS来做一些奇特的事情，比如像BIND那样更好。 如果以后需要更改，则可以随时更改DNS选项，如果您拥有两个以上的域控制器，则还可以更改每个子网上的DNS服务器以帮助平衡负载。

使用这种DC的安全风险几乎为零。

作为一个数据点，我在金融服务行业工作了一个财富200强，大约一年时间，他担任企业的DNS主pipe。 我们曾经使用内置的Microsoft DNS解决scheme（以及F5 LTM，用于IP任意广播SOA中的parsing器地址和名称服务器），该解决scheme可以正常工作，但是我们认为这对我们的目的并不是最佳的。

有利于它的点

• 免费作为Active Directory的一部分
• 适用于基本的使用
• 自动注册DHCP客户端的DNSlogging（如果客户端是Windows客户端，Mac，Linux和SunOS，则不是那么多）

我们需要更多的理由

• 为了宽松，它不严格遵循规范，允许不正确的甚至是不可能的信息（包括区域顶点的CNAME，其中有一个未经批准的RFC，但更糟糕的是，logging名称或响应值，这使得混淆基于BIND的任何东西）
• 保持关联的A，TXT，SRV，PTRlogging同步的机制是不够的，我们花费了大量的时间手动调整
• 集成的DHCP守护进程需要HA的分割范围，这意味着在出现故障的情况下，有一半的可用池会丢失，而不是标准跟踪（并在基于ISC的解决scheme中使用）DHCP故障切换（ https：//kb.isc .org / article / AA-00502/0 / A-Basic-Guide-to-Configuring-DHCP-Failover.html ）
• 根据PTRlogging，没有可以容易地查看IP耗尽/可用性/密度的开箱即用机制

我们结束实施顶级集成DHCP + DNS + IPAM解决scheme，并没有回头（包括执行dynamic区域同步和IP Anycast）。

当然有一个警告：对于Active Directory服务发现和Windows群集服务器logging注册和取消注册工作的SRVlogging注册工作。 您必须创build一个包含所有域控制器和MS群集服务器框的ACL，并允许它们执行dynamicDNS更新。 为了保证数据的完整性和完整性，对于所有其他主机和所有其他logging，只应允许它们通过DHCP守护进程或通过GUI / API进行更新（换句话说，禁止所有非白名单框的dynamicDNS更新和AXFR ）。