我在两个分支机构工作,并且负责将活动目录集成的DNS服务器放在哪里以及使用哪种types。
其中一个分支机构非常小(5个用户),networking连接速度非常慢。 我需要一台DNS服务器吗?如果是的话,它应该托pipe什么types的区域?
第二个分支机构要大得多(约30个用户),并且具有更好的networking连接性。 这个办公室是否需要DNS服务器,如果是的话,你会推荐什么types的区域?
Active Directory集成区域必须由域控制器(DC)托pipe,并且所有Active Directory集成区域都是主区域。 鉴于此,我们确实在讨论在哪里放置域控制器来服务DNS服务器的其他angular色。
确定放置DC / DNS服务器的位置并不总是直截了当的。 然而,作为一个经验法则,我认为任何将要利用活动目录服务(authentication,文件服务等)的分支位置都受益于具有本地DC和域集成DNS服务。
你可能已经知道了很多,所以请忍受我
在决定DC / DNS服务器的位置时,请记住以下事项:
域成员严重依赖DNS服务来定位域资源。 例如,当join域的计算机启动时,它会查询DNS中的域服务定位器logging(SRV)以find要对其进行身份validation的域控制器。 如果没有本地DNS实例,则此过程必须通过可能较慢的站点链接进行。 当然,一台计算机find一个域控制器后,它将继续对该服务器进行authentication,直到它强制客户端find另一个DC。
在慢速链接上,对远程数据中心进行身份validation,查询域资源以及执行其他标准DNS查找的常规活动可能会造成缓慢且令人厌烦的用户体验。 本地DC / DNS服务器通过消除延迟,可以大大改善用户体验(我全部关于用户体验)。
如果站点之间的链接出现故障,并且没有本地DNS服务,则除非已configuration辅助DNS服务器,否则用户将无法浏览Internet。 我使用辅助DNS服务器的问题是每个查询在尝试辅助DNS服务器之前首先尝试联系主DNS服务器。 这真的毁了用户体验。
对于有5个用户且速度较慢的小型分支机构,只要满足以下条件,您就可以在没有本地DC / DNS服务器的情况下离开:
用户不依赖于对域进行身份validation的能力(如果远程DC不可用于对身份validation请求进行服务,则用户仍应能够使用caching的凭据login到其本地系统)。
如果您的站点链接发生故障,则可以使用非域名DNS服务器来处理查询。 一些启用DNS的路由器可以select性地将请求select域转发到特定的DNS服务器。 例如,可以将正常的DNS查询转发到公共可用的DNS服务器(例如ISP提供的DNS服务器),同时对mydomain.local的查询可以通过安全站点链接转发到您的内部DNS服务器。 此方法消除了每个客户端从主DNS服务器到辅助DNS服务器故障的延迟。
也就是说,我认为即使你只有5个用户,你仍然可以在本地的DC / DNS服务器上更好。 你看过只读域控制器吗?
对于你的大型分支机构,我肯定会推荐configuration本地的DC / DNS服务器。