我正在现有的 Active Directory 林中设置几个子域,我正在寻找一些传统的智慧/最佳实践指南来配置子域控制器上的 DNS 客户端设置和 DNS 区域复制范围。
假设每个域中有一个域控制器,并假设每个 DC 也是该域的 DNS 服务器(为简单起见),子域控制器应该仅针对 DNS 指向自身还是应该指向某种组合(主要 VS. 次要)本身和父域或根域中的 DNS 服务器?如果存在父>子>孙域层次结构(具有连续的 DNS 命名空间),应如何在孙 DC 上配置 DNS?
关于 DNS 区域复制范围,如果将每个域的 DNS 区域存储在域中的所有 DNS 服务器上,那么我假设需要存在从父级到子级的 DNS 委托,并且需要存在从子级到父级的转发器. 对于父>子>孙域层次结构,每个子域是转发到直接父域的直接父域还是根域?委派发生在直接父区域还是来自根区域?
如果将所有 DNS 区域存储在林中的所有 DNS 服务器上,是否会使上述有关复制范围的问题变得毫无意义?复制范围是否对每个 DC 上的 DNS 客户端设置有影响?
我宁愿使用一个域来使用您的两个服务器来实现冗余,也不愿在单个(故障点)服务器上使用两个单独的域。是什么驱使您选择使用父/子域林?您可以只为子域使用 DNS 空间,因为您说它是连续的,不需要 AD 域,除非您有安全边界问题。
根据我更好的判断,我会假设每个域有两台服务器(总共四台)来回答这个问题——只需减去您的案例中的两台服务器。
选项1。
由于您希望将 DNS 保留在域本地,因此父 DC 相互指向,子 DC 也相互指向。更简单的配置是使用在整个森林范围内复制 DNS 区域的范围。
您将 parent.local(或其他)作为顶级域,将 child.parent.local 作为子域。
AD 将在整个林中复制这两个域,使 DNS 解析变得简单。您会在给定的 DNS 服务器上看到区域重叠,但 Windows 会处理这个问题。
选项 2。
另一种选择是不进行全林复制,在这种情况下,我只需在子 DC 上配置一个转发器,将所有内容发送到父 DC DNS,但在父 DC 上,您需要为子域创建一个委托下。
老实说,为了提供“最佳现实世界实践”答案,我认为您需要再添加一条信息。所有 dcs/DNS 控制器的物理位置在哪里?如果子域位于不同的物理站点,您希望每个子域都将自己的子域存储在本地而不是林中。最佳实践要求一片空林。DNS 服务器应该始终首先指向自己,然后使用转发器指向其父节点(或森林)。解决慢速启动问题的一个简单方法是将其自身添加到本地主机文件中(尽管我似乎还记得对此有一个 reg 修复)。