web-dev-qa-db-fra.com

Quel doit être l'ordre des serveurs DNS pour un contrôleur de domaine AD et pourquoi?

Il s'agit d'une question canonique sur les paramètres DNS d'Active Directory.

En relation:

En supposant un environnement avec plusieurs contrôleurs de domaine (supposons qu'ils exécutent tous DNS également):

  • dans quel ordre les serveurs DNS doivent-ils être répertoriés dans les adaptateurs réseau pour chaque contrôleur de domaine?
  • 127.0.0.1 doit-il être utilisé comme serveur DNS principal pour chaque contrôleur de domaine?
  • Cela fait-il une différence, si oui, quelles versions sont affectées et comment?
41
MDMarra

Selon ce lien et l'Analyseur de bonnes pratiques Windows Server 2008 R2, l'adresse de bouclage devrait être dans la liste, mais jamais comme serveur DNS principal. Dans certaines situations, comme un changement de topologie, cela pourrait interrompre la réplication et provoquer un serveur "sur une île" en ce qui concerne la réplication.

Supposons que vous avez deux serveurs: DC01 (10.1.1.1) et DC02 (10.1.1.2) qui sont tous deux des contrôleurs de domaine dans le même domaine et détiennent tous deux des copies des zones ADI pour ce domaine. Ils doivent être configurés comme suit:

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
35
MDMarra

De http://technet.Microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

Si l'adresse IP de bouclage est la première entrée de la liste des serveurs DNS, Active Directory peut ne pas trouver ses partenaires de réplication.

L'inclusion de sa propre adresse IP dans la liste des serveurs DNS améliore les performances et augmente la disponibilité des serveurs DNS. Toutefois, si le serveur DNS est également un contrôleur de domaine et qu'il pointe uniquement vers lui-même, ou pointe vers lui-même en premier pour la résolution de noms, cela peut entraîner un retard lors du démarrage. Pour cette raison, soyez prudent lors de la configuration de l'adresse de bouclage sur un adaptateur si le serveur est également un contrôleur de domaine. L'adresse de bouclage doit être configurée uniquement en tant que serveur DNS secondaire ou tertiaire sur un contrôleur de domaine.

Je souhaite également partager cet extrait du livre Windows Server 2008 R2 Unleashed :

enter image description here

Cependant, même si vous n'êtes jamais affecté par le problème "d'îlot", votre DC redémarrera toujours beaucoup plus rapidement et avec moins d'erreurs s'il en utilise un autre déjà opérationnel DC comme résolveur DNS principal).

16
Ryan Ries

Jamais, jamais avoir un DC utiliser lui-même comme DNS primaire.

Toutes sortes de ravages peuvent (et Murphy dicte: se produira) si les services AD deviennent en ligne avant que le service DNS ne soit en ligne après un redémarrage. (Ou DNS se bloque, obtient DOS, peu importe.)
Il existe également une interaction entre DHCP (avec des mises à jour DNS dynamiques) et DNS qui dépend fortement du bon fonctionnement du DNS.

Mettez toujours 127.0.0.1 en dernier. Aussi: Ne soyez pas tenté d'utiliser la véritable adresse IP LAN du serveur non plus.
Les mises à jour DNS dynamiques de DHCP sont très sensibles à cela.
. de demandes DHCP simultanées combinées à des cartes réseau/pilotes de qualité inférieure.)

5
Tonny