¿Cuál debería ser el orden de los servidores DNS para un controlador de dominio AD y por qué?

40

Esta es una pregunta canónica sobre la configuración de DNS de Active Directory.

Relacionado:

Suponiendo un entorno con múltiples controladores de dominio (suponga que todos también ejecutan DNS):

  • ¿en qué orden deberían aparecer los servidores DNS en los adaptadores de red para cada controlador de dominio?
  • ¿Debería usarse 127.0.0.1 como el servidor DNS primario para cada controlador de dominio?
  • ¿Hay alguna diferencia, en caso afirmativo, qué versiones se ven afectadas y cómo?
windows domain-name-system active-directory domain-controller MDMarra
fuente

Respuestas:

35

Según este enlace y el Analizador de mejores prácticas de Windows Server 2008 R2, la dirección de bucle invertido debe estar en la lista, pero nunca como el servidor DNS principal. En ciertas situaciones, como un cambio de topología, esto podría interrumpir la replicación y hacer que un servidor esté "en una isla" en lo que respecta a la replicación.

Supongamos que tiene dos servidores: DC01 (10.1.1.1) y DC02 (10.1.1.2) que son controladores de dominio en el mismo dominio y ambos contienen copias de las zonas ADI para ese dominio. Deben configurarse de la siguiente manera:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
fuente
¿Qué pasa con un entorno con un servidor DC y un servidor DNS con una zona ADI? ¿El DC todavía debe configurarse como primario al secundario?
George
@ George No entiendo lo que estás preguntando. ¿Pregunta sobre un entorno con un solo controlador de dominio?
MDMarra
Si eso es correcto. Lo siento, pensé en agregar esto, pero pensé que podría agrandar la pregunta. (Además, para el registro sé que un solo entorno DC no es una "configuración ideal")
George
2
En un solo entorno DC, solo debe hacer que DC se use solo como secundario. Esto es para reducir los problemas de replicación, pero si solo tiene un DC, entonces no hay replicación. Pero sí ... no hagas eso. Tener dos DC.
MDMarra
Sí. No tengo un "gran" ambiente en este momento, por así decirlo. Pero como puede haber visto en mi otra pregunta que respondió, la expansión está en camino, por lo que los nuevos dominios de AD y el tiempo para hacer las cosas correctamente se ríen . Gracias.
George
16

De http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Si la dirección IP de bucle invertido es la primera entrada en la lista de servidores DNS, es posible que Active Directory no pueda encontrar sus socios de replicación.

La inclusión de su propia dirección IP en la lista de servidores DNS mejora el rendimiento y aumenta la disponibilidad de los servidores DNS. Sin embargo, si el servidor DNS también es un controlador de dominio y solo apunta a sí mismo, o se apunta a sí mismo primero para la resolución de nombres, esto puede causar un retraso durante el inicio. Por este motivo, tenga cuidado al configurar la dirección de bucle invertido en un adaptador si el servidor también es un controlador de dominio. La dirección de bucle invertido debe configurarse solo como un servidor DNS secundario o terciario en un controlador de dominio.

También quiero compartir este fragmento del libro Windows Server 2008 R2 Unleashed :

ingrese la descripción de la imagen aquí

Sin embargo, incluso si nunca se ve afectado por el problema de la "isla", su DC aún se reiniciará mucho más rápido y con menos errores si usa otro DC ya en funcionamiento como su principal resolución DNS.

Ryan Ries
fuente
Woah, el problema de la isla está solucionado? La documentación de MS para 2008 R2 solía hacer referencia a ella y ahora ha desaparecido mágicamente (había bloqueado la cita en un documento para un cliente, ¡así que sé que no estoy loco!)
MDMarra
3
Bueno, diría que lo mitigaron principalmente, pero como muestra este artículo, todavía parece posible ubicarse en un mal lugar si tiene algunas circunstancias muy particulares: support.microsoft.com/kb/2001093 Entonces, al final de el día, probablemente estará bien con 127.0.0.1 como DNS primario en sus DC modernos en un dominio multi-DC. Personalmente, he visto dominios muy grandes que estaban funcionando de manera limpia a pesar de que tenían todos sus DC configurados con 127.0.0.1 como DNS primario. Pero todavía no es la mejor práctica. Solo hagan lo que dice su BPA, amigos. ;)
Ryan Ries
5

Nunca, nunca un DC se utiliza como DNS primario.

Todo tipo de estragos puede suceder (y Murphy dicta: sucederá) si los servicios de AD se conectan antes de que el servicio de DNS esté activo después de un reinicio. (O DNS se bloquea, se bloquea DOS, lo que sea).
También hay interacción entre DHCP (con actualizaciones dinámicas de DNS) y DNS que depende en gran medida de que DNS funcione correctamente.

Siempre ponga 127.0.0.1 al final. Además: tampoco se sienta tentado a utilizar la dirección IP LAN real del servidor.
Las actualizaciones dinámicas de DNS de DHCP son muy sensibles a esto.
(127.0.0.1 siempre existe y se puede acceder más rápido. Es posible que la dirección IP real no siempre esté disponible / esté ocupada. En algunos escenarios, las actualizaciones dinámicas de DNS pueden en realidad DOS el adaptador LAN si hay una gran cantidad de solicitudes DHCP simultáneas combinadas con NIC / controladores por debajo del par.)

Tonny
fuente
Si bien tienes razón en casi todo y hay un millón de razones para tener más de un DC, este no es uno de ellos. Esta configuración evita problemas de replicación. Si no tiene la necesidad de replicar, no necesita preocuparse por evitar problemas de replicación.
MDMarra
@MDMarra: Tiene razón acerca de la interacción replicación / DNS ... Pero la pregunta original era una pregunta general y no específica de replicación. Estaba más pensando en los problemas de DHCP-DNS. Por lo general, al menos uno de los DC también proporciona DHCP con actualizaciones dinámicas de DNS. Se pueden producir todo tipo de rarezas si DNS no está configurado correctamente. Actualizaré mi respuesta para aclarar eso.
Tonny
1
En realidad, es un problema de seguridad si DHCP se implementa en un DC. si es posible, no debería serlo.
MDMarra
"Siempre ponga 127.0.0.1 último" ¿Puede explicar más sobre las razones detrás de esto?
Bigbio2002