Empresa de cinco sites conectada com túneis de camada 2 ou IPSec de baixa latência, 2 DCs em cada site.
Percebi que navegar para \\domain.tld geralmente exibe compartilhamentos sysvol/netlogon de um controlador de domínio remoto. A razão pela qual posso dizer é porque alguns dos sites menores têm DCs que também executam o gerenciamento de impressão; os compartilhamentos da impressora também são exibidos lá.
Ping domain.tld de uma área de trabalho no site HQ geralmente resolve para o endereço IP de um controlador de domínio remoto. ipconfig /flushdns e, em seguida, executar ping domain.tld novamente sempre parece fazer com que a estação de trabalho resolva o nome de domínio para um DC diferente, geralmente um no site local.
Para ser claro, isso não está causando um problema que eu saiba, estou apenas tentando entender por que o DNS está se comportando dessa maneira. %logonserver% parece sempre resolver para um DC local, independentemente de qual DC retorna meus pings para domain.tld.
A latência entre os sites é inferior a 10 ms e a largura de banda é > 50 Mbps síncrona.
Muito obrigado pela leitura!
ATUALIZAÇÃO: O Round Robin está habilitado para cada servidor DNS em DNS -> (clique com o botão direito do mouse no nome do servidor DNS) -> Propriedades -> Avançado -> "Ativar round robin". Além disso, em DNS - > (nome do servidor) -> Fwd Lookup Zone -> domain.tld, vejo entradas de servidor de nomes ("igual à pasta pai") para cada controlador de domínio na floresta. Há também um registro com o nome "(igual à pasta pai)" para cada DC. Estou pensando que esse comportamento é esperado, alguém pode verificar se minha suposição está correta?
O DNS Round Robin é uma técnica de balanceamento de carga, enquanto o DNS Netmask Ordering fornece reconhecimento de proximidade.
Seus servidores DNS, por padrão, usarão uma máscara de sub-rede Classe C para determinar quais registros são locais para um cliente. O round-robin fará o balanceamento de carga de seus clientes nesses resultados locais.
Sem ordenação de máscara de rede, seu servidor DNS enviará qualquer registro A correspondente aleatoriamente, independentemente de ser um endereço local para o cliente. Isso soa como o que você está experimentando.
Portanto, primeiro precisamos garantir que o Netmask Ordering esteja ativado em seus servidores DNS.
Properties.AdvancedguiaEnable Netmask Orderingestá marcado. Você também pode desabilitar/habilitar round-robin aqui.Em seguida, certifique-se de que sua
LocalNetPriorityNetmasktopologia de rede corresponda. Seu servidor, por padrão, usará uma máscara de rede classe C. Em outras palavras, ele determinará quais registros A são locais para um cliente comparando os primeiros 3 octetos dos dois endereços IP. Se seus sites usam uma máscara de rede menor ou maior que 255.255.255.0, um ajuste deve ser feito.Dnscmd /Config /LocalNetPriorityNetMask 0x000000FFpara configurá-lo de volta ao padrão. Ou ajuste a máscara de rede para atender às suas necessidades.Se a máscara de sub-rede do seu site for
255.255.0.0, use uma máscara de prioridade de0x0000FFFF. Se a máscara de sub-rede do seu site for255.255.255.192, use uma máscara de prioridade de0x0000003F. Certifique-se de definir uma máscara que cubra TODAS as sub-redes no site, para que todos os computadores nesse site obtenham registros A locais para esse site.Prefiro usar a política de grupo para impor essas configurações em todos os meus controladores de domínio. Isso pode ser feito modificando diretamente os parâmetros encontrados na seguinte chave de registro:
Olhe para:
LocalNetPrioritypara habilitar/desabilitar o pedido de máscara de rede.LocalNetPriorityNetmaskpara definir o valor da máscara.Se você modificar o registro para definir essas opções, será necessário reiniciar o serviço DNS para que as alterações tenham efeito.
Mais informações aqui: https://support.microsoft.com/en-us/help/842197/description-of-the-netmask-ordering-feature-and-the-round-robin-featur