我有一个双控制器 AD 域,所有加入域的 PC 都将其地址作为主 DNS 服务器和辅助 DNS 服务器。
我想知道是否应该配置第三公共 DNS。原因是许多 PC 位于较小的远程网络中,它们通过中央 VPN 隧道到达两个域控制器。如果 VPN 隧道出现故障,两个DC 将不可用,远程 PC 将无法解析任何地址,从而阻止它们上网/检查电子邮件/等。
在每个网络中添加一个 DC 是没有问题的(它们是 5/10 的 PC),同样可以说创建从远程网络到辅助 DC 站点的直接 VPN 隧道(由于硬件容量)。
三级公共 DNS 服务器会阻止这种情况,但我想知道它是否会导致问题(即:如果出于某种原因将其选为首选 DNS,则 PC 将与域“断开连接”)。
那么:在加入域的 PC 上使用三级公共 DNS 是可以的,否则会导致问题?有什么要注意的吗?
为了获得正确的域功能,Windows 计算机需要能够针对用于 AD 的 DNS 区域执行查找。
如果客户端指向的服务器没有为该 AD 区域提供正确答案,那么这些系统可能会在某个时候崩溃。
重要的是要理解,如果客户端
_gc._tcp.yourdomain.example.org对第三个外部服务器进行 DNS 查找类似或其他一些仅限内部记录的记录,该服务器将响应未找到错误。您的客户端不会针对您的域控制器重试该查询。未找到的答案是完全有效的。如果您想在外部站点为 DNS 提供更多冗余,我会查看运行该 VPN 的任何设备,或者充当路由器/防火墙的设备。查看其中一台设备是否可以充当缓存 DNS 服务器。可能您可以让它将内部 DNS 请求转发到 DC,并将非内部请求转发到世界。或者也许在云中的某个地方运行 DNS 服务器,它将所有内部请求转发到您的 DC,并对其他请求使用任何递归方法。
我在我们的网络(许多小型办公室,都以星形连接到我们的中央 DC)上所做的是在每个办公室拥有一对小型廉价 Raspberry Pi 服务器。我用两个来恢复弹性。这些辅助我们的 AD DNS 域来自主 DNS/AD 服务器,但也知道如何在不通过 DC 的情况下访问世界其他地方的 DNS。
如果办公室 VPN 掉线,Pi 服务器会继续为 DNS 提供服务,只有我们在 VPN 上的内部系统会暂时无法访问。其他一切继续不受影响。
使用 DC 作为主要来源和公共 DNS 作为次要来源的缓存 DNS 可能还不够,因为它仍会使用公共 DNS 进行所有递归,
NXDOMAIN当站点之间没有连接时回复非缓存的内部地址。这就是为什么@roaima 的解决方案,无论是 Raspberry Pi,任何转换为 BIND 服务器的工作站或 VPN 路由器上的内置 DNS 服务器,都是理想的:我建议将完整区域转移到所有站点。对于这台服务器,公共 DNS 可以作为其他服务器的转发器,但我永远不会将它直接推送给客户端。这不仅仅是作为 AD 域的解析器的本地 DNS。
如果您的站点到站点 VPN 必须在两个方向上工作,则拆分可能会暂时阻止动态 DNS 更新。本地 DHCP 是否能够缓存这些或如何安排,因为拆分结束时客户端计算机不会自动重新注册其 DNS 名称。
正确的 Windows 防火墙配置文件(域/私有/公共)基于使用域控制器进行身份验证的能力。如果客户端在拆分期间启动,则在下一次重新连接或重新启动之前,它可能具有错误的配置文件,这可能比
NXDOMAIN问题更严重。如果远程站点与主站点的连接非常无限,那么拆分隧道通常可能会使您的网络易受攻击,除非您的 VPN 路由器也是高级防火墙/UTM。明智地选择路由器实际上可能会使您的 DNS 配置更容易,因为这种解决方案更有可能内置功能齐全的 DNS 服务器。此外,与从头开始构建的设置相比,这些设置更容易跨站点部署。