¿Son estas configuraciones de DNS una buena idea o no?

8

Tenemos una red muy pequeña (5 estaciones de trabajo) con un servidor de Windows que actúa como controlador de dominio, servidor DHCP y DNS. Todos los dispositivos están conectados a un conmutador estándar que a su vez está conectado a un módem de banda ancha estándar.

Las configuraciones de red TCP para cada estación de trabajo son: ingrese la descripción de la imagen aquí

192.168.0.50es la IP del servidor DNS. 192.168.0.1es la IP de la puerta de enlace del módem 8.8.8.8es el servidor DNS público de Google

¿Es este un buen plan? ¿Hay algún punto que incluya la IP del módem en esa lista? Me di cuenta de que el servidor DNS de Windows está recibiendo y almacenando en caché solicitudes de sitios web públicos. ¿Debería el servidor DNS de Google estar más arriba en la lista?

userSteve
fuente
66
Tuve que arreglar esta configuración (eliminar todo menos el servidor DNS interno) en el sitio de un cliente una vez. Los síntomas eran que ocasionalmente las máquinas no podían contactar al controlador de dominio para iniciar sesión. ¡Tomó alrededor de 2 minutos diagnosticar y corregir, y afortunadamente la facturación fue por hora o parte de ella!
Matthew Steeples

Respuestas:

29

Las estaciones de trabajo deben tener sus servidores DNS internos como los únicos servidores DNS en la configuración TCP / IP

Las PC eligen el servidor DNS de la lista y lo mantienen durante algún tiempo. Entonces, si por casualidad sus estaciones de trabajo elegirían su módem o servidor DNS de Google, su resolución de nombre de dominio AD interno dejaría de funcionar.

Opcionalmente, puede tener los servidores DNS de Google o módem especificados como reenviadores en el servidor DNS de su DC. Pero el servidor DNS en DC también podría hacer toda la resolución externa sin ningún reenviador. Sin embargo, usar los servidores DNS de su ISP como reenviadores en el servidor DNS interno podría tener más sentido. Pero no necesitas usar ningún reenviador

Jevgenij Martynenko
fuente
De acuerdo, pero ¿qué pasaría si el servidor DNS interno no funcionara por alguna razón, impediría que las estaciones de trabajo accedan a sitios web públicos?
userSteve
44
@userSteve sí. su tarea aquí es garantizar que el servidor DNS interno sea lo suficientemente robusto, o tener múltiples servidores de este tipo si la redundancia es importante dentro de su requisito de SLA
Cosmic Ossifrage
44
@userSteve su servidor DNS interno es vital para que Active Directory funcione correctamente (autenticación, acceso a recursos, etc.). Tiene razón, en caso de que el servidor DNS interno esté inactivo, las PC tampoco podrán acceder a Internet. Pero la solución correcta es tener 2 o más servidores DNS internos. Si tuviera un servidor DNS externo secundario configurado en las PC, lo seguirían usando incluso después de que su servidor DNS interno vuelva a estar en línea. Y aquí va el problema: sus usuarios no podrán autenticarse en Active Directory, acceder a recursos, etc.
Jevgenij Martynenko
Dependiendo de la marca y el modelo, puede configurar su 192.168.0.1 para que actúe como servidor DNS secundario para su zona AD interna ...
Hagen von Eitzen
1
Las actualizaciones de @HagenvonEitzen DDNS desde PC no funcionarán en servidores secundarios. Entonces, la sugerencia podría resolver el problema en parte, pero traería otros problemas
Jevgenij Martynenko
-4

Agregar el módem no es una buena idea, no.

Guión:

Su servidor DNS interno no responde, por alguna razón u otra. Esto provoca un retraso a medida que se agota el tiempo de espera.

Entonces, si le pregunta al módem, no obtendrá respuesta. Esto introduce un segundo retraso cuando se agota el tiempo de espera.

Luego intentaría con Google, que se supondría que respondería siempre que tenga una conexión.

Por lo tanto, eliminar la entrada del módem hará que llegue a Google más rápidamente si su DNS interno no responde.

La conclusión es que debería poder confiar en su DNS interno. Pero si no puede confiar en él, entonces tener Google como respaldo no es un problema.

SDsolar
fuente
sospecha que alguien ha votado negativamente porque si el módem está inactivo, no se podrá acceder a Internet. Es poco probable que una configuración simple de oficina tenga múltiples enlaces redundantes.
Criggie
3
Votación negativa porque esto sugiere que es aceptable agregar servidores DNS basados ​​en un controlador de dominio no interno como servidores DNS adicionales en las tarjetas de interfaz de red del cliente o del servidor. Eso causará problemas innumerables debido a la implementación del servicio Client Side Resolver, que mantendrá su preferencia de DNS durante un período prolongado incluso después de que el servidor vuelva a funcionar. Vea este artículo para más detalles: blogs.msmvps.com/acefekay/2016/10/15/…
Cosmic Ossifrage
Muy bien, @Cosmic. De hecho, mi primer pensamiento al responder esto fue decir que el usuario no debería tener ninguna configuración propia, si está utilizando un servidor DHCP / DNS interno. Pero el OP realmente parecía estar preguntando específicamente sobre la inclusión del módem, así que respondí en consecuencia.
SDsolar