AD 도메인 컨트롤러에 대한 DNS 서버의 순서는 무엇이며 왜됩니까?

40

이것은 Active Directory DNS 설정에 대한 정식 질문 입니다.

관련 :

여러 도메인 컨트롤러가있는 환경을 가정합니다 (모두 DNS를 실행한다고 가정).

  • DNS 서버는 각 도메인 컨트롤러의 네트워크 어댑터에 어떤 순서로 나열되어야합니까?
  • 각 도메인 컨트롤러의 기본 DNS 서버로 127.0.0.1을 사용해야합니까?
  • 어떤 버전이 영향을 받는지 어떤 차이가 있습니까?
windows  domain-name-system  active-directory  domain-controller 
MDMarra
소스

답변:

35

에 따르면 이 링크 와 윈도우 서버 2008 R2 모범 사례 분석기, 루프백 주소는하지만, 목록에 있어야 결코 주 DNS 서버로. 토폴로지 변경과 같은 특정 상황에서 이로 인해 복제가 중단되고 복제에 관한 한 서버가 "섬에"있을 수 있습니다.

같은 도메인에있는 도메인 컨트롤러 인 DC01 (10.1.1.1)과 DC02 (10.1.1.2)의 두 서버가 있고 해당 도메인에 대한 ADI 영역의 복사본을 보유하고 있다고 가정합니다. 다음과 같이 구성해야합니다.

DC01
Primary DNS   10.1.1.2
Secondary DNS 127.0.0.1

DC02
Primary DNS   10.1.1.1
Secondary DNS 127.0.0.1
MDMarra
소스
ADI 영역이있는 DC 및 DNS 서버가있는 환경은 어떻습니까? DC가 여전히 2 차의 1 차로 구성되어야합니까?
George
@George 나는 당신이 요구하는 것을 따르지 않습니다. 도메인 컨트롤러가 하나 뿐인 환경에 대해 질문하고 있습니까?
MDMarra
예, 맞습니다. 미안, 나는 이것을 추가하는 것에 대해 생각했지만 질문을 크게 할 것이라고 생각했습니다. (또한-기록을 위해 단일 DC 환경이 "이상적인 구성"이 아님을 알고 있습니다)
George
2
단일 DC 환경에서는 DC를 보조로 사용하지 않아야합니다. 이는 복제 문제를 줄이기위한 것이지만 DC가 하나만 있으면 복제가 없습니다. 하지만 ... 그렇게하지 마십시오. 두 개의 DC가 있습니다.
MDMarra
네. 현재로서는 "훌륭한"환경을 얻지 못했습니다. 당신은 당신이 응답 한 내 다른 질문에서 볼 수도하지만, 확장은 일을 제대로 할 수있는 그래서 방법, 새로운 AD 도메인과 시간에 사악한 웃음을 . 감사.
George
16

에서 http://technet.microsoft.com/en-us/library/ff807362%28v=ws.10%29.aspx

루프백 IP 주소가 DNS 서버 목록의 첫 번째 항목 인 경우 Active Directory가 복제 파트너를 찾지 못할 수 있습니다.

DNS 서버 목록에 자체 IP 주소를 포함 시키면 성능이 향상되고 DNS 서버의 가용성이 향상됩니다. 그러나 DNS 서버가 도메인 컨트롤러이기도하고 자체적으로 만 가리 키거나 이름 확인을 위해 먼저 스스로를 가리키는 경우 시작하는 동안 지연이 발생할 수 있습니다. 이러한 이유로 서버가 도메인 컨트롤러 인 경우 어댑터에서 루프백 주소를 구성 할 때주의하십시오. 루프백 주소는 도메인 컨트롤러에서 2 차 또는 3 차 DNS 서버로만 구성해야합니다.

또한 Windows Server 2008 R2 Unleashed 책에서이 스 니펫을 공유하고 싶습니다 .

여기에 이미지 설명을 입력하십시오

그러나 "섬"문제의 영향을받지 않은 경우에도 DC를 기본 DNS 확인 자로 이미 사용하고 실행중인 다른 DC를 사용하는 경우 DC가 훨씬 빠르게 재부팅 되고 오류가 줄어 듭니다.

라이언 리 이스
소스
와우, 섬 문제가 해결 되었습니까? MS 문서 2008 R2 그것을 참조하는 데 사용하고 지금은 마술 (나는 미치지 않았어 알 수 있도록 내가 블록이 클라이언트의 문서를 인용했다!) 사라
MDMarra
3
글쎄, 난 그들이 대부분을 완화 말할 것이지만,이 문서에서 볼 수 있듯이, 여전히 매우 특별한 상황이있는 경우 나쁜 자리에 자신을 얻을 수 보인다 support.microsoft.com/kb/2001093을 그래서의 끝에서 하루, 당신은 것입니다 아마 멀티 DC 도메인에서 현대의 DC에 차 DNS로 127.0.0.1로 괜찮을. 나는 개인적으로 모든 DNS가 127.0.0.1을 기본 DNS로 설정했지만 깨끗하게 작동하는 매우 큰 도메인을 보았습니다. 그러나 여전히 모범 사례는 아닙니다. 여러분의 BPA가하는 말을하십시오. ;)
Ryan Ries
5

절대로 DC를 기본 DNS로 사용하지 마십시오.

재부팅 후 DNS 서비스가 활성화되기 전에 AD 서비스가 온라인 상태가되면 모든 종류의 혼란이 발생할 수 있습니다. (또는 DNS 충돌, DOS 처리 등)
DHCP (동적 DNS 업데이트 사용)와 DNS 사이의 상호 작용도 있습니다 . 이는 DNS가 제대로 작동하는 데 크게 의존합니다.

항상 127.0.0.1을 마지막에 두십시오. 또한 : 서버의 실제 LAN IP 주소를 사용하려는 유혹을받지 마십시오.
DHCP의 동적 DNS 업데이트는 이에 매우 민감합니다.
(127.0.0.1은 항상 존재하며 더 빠르게 액세스 할 수 있습니다. 실제 ip- 주소는 항상 사용 가능 / 사용 중이 아닐 수 있습니다. 일부 시나리오에서 동적 DHCP 업데이트는 많은 양의 동시 DHCP 요청이 결합 된 경우 실제로 LAN 어댑터를 DOS 할 수 있습니다. 하위 Par NIC / 드라이버 포함)

토니
소스
당신이 거의 모든 것에 대해 옳고 하나 이상의 DC를 갖는 백만 가지 이유가 있지만, 이것은 그중 하나가 아닙니다. 이 구성은 복제 문제를 방지합니다. 복제 할 필요가없는 경우 복제 문제 방지에 대해 걱정할 필요가 없습니다.
MDMarra
@MDMarra : 복제 / DNS 상호 작용에 대해 옳습니다 ... 그러나 원래 질문은 일반적인 질문이었으며 복제에 국한되지 않았습니다. DHCP-DNS 문제에 대해 더 많이 생각하고있었습니다. 일반적으로 DC 중 하나 이상에 DHCP에 동적 DNS 업데이트가 제공됩니다. DNS가 제대로 구성되지 않으면 모든 종류의 이상이 발생할 수 있습니다. 나는 그것을 명확히하기 위해 대답을 업데이트 할 것입니다.
Tonny
1
DHCP가 DC에 배포 된 경우 실제로 보안 문제입니다. 그것의 모든 가능한 경우,해서는 안됩니다.
MDMarra
"항상 127.0.0.1을 마지막에 두십시오"이 이유 뒤에 더 자세히 설명해 주시겠습니까?
Bigbio2002
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.