私は 2 つの支社で働いており、Active Directory 統合 DNS サーバーをどこに配置し、どのタイプを使用するかという任務を与えられています。
ブランチ オフィスの 1 つは非常に小規模 (ユーザー 5 人) で、ネットワーク接続が非常に遅いです。DNS サーバーは必要ですか。必要な場合は、どのようなタイプのゾーンをホストする必要がありますか。
2 番目のブランチ オフィスは規模がはるかに大きく (約 30 ユーザー)、ネットワーク接続も優れています。このオフィスには DNS サーバーが必要ですか。必要な場合は、どのようなタイプのゾーンをお勧めしますか。
答え1
Active Directory 統合ゾーンはドメイン コントローラー (DC) によってホストされる必要があり、すべての Active Directory 統合ゾーンはプライマリ ゾーンです。このため、DNS サーバーの追加の役割を提供するドメイン コントローラーをどこに配置するかが問題になります。
DC/DNS サーバーを配置する場所を決定することは、必ずしも簡単ではありません。ただし、経験則として、Active Directory サービス (認証、ファイル サービスなど) を利用するブランチ ロケーションでは、ローカル DC とドメイン統合 DNS サービスを導入することでメリットが得られると考えています。
すでに多くのことをご存知かと思いますが、ご容赦ください…
DC/DNS サーバーを配置する場所を決定するときは、次の点に留意してください。
ドメイン メンバーは、ドメイン リソースを見つけるために DNS サービスに大きく依存しています。たとえば、ドメインに参加しているコンピューターが起動すると、DNS のドメイン サービス ロケーター レコード (SRV) を照会して、認証するドメイン コントローラーを見つけます。ローカル DNS インスタンスがない場合、このプロセスは、低速になる可能性があるサイト リンクを介して実行する必要があります。もちろん、コンピューターがドメイン コントローラーを見つけると、何らかの理由でクライアントが別の DC を見つけるように強制されるまで、そのサーバーに対して認証を続けます。
低速リンクでは、リモート DC に対する認証、ドメイン リソースのクエリ、その他の標準 DNS ルックアップの実行といった通常のアクティビティによって、ユーザー エクスペリエンスが遅くなり、多少煩わしくなる可能性があります。ローカル DC/DNS サーバーは、遅延を排除することで、ユーザー エクスペリエンスを大幅に向上させることができます (私はユーザー エクスペリエンスを重視しています)。
サイト間のリンクがダウンし、ローカル DNS サービスが利用できない場合、セカンダリ DNS サーバーを構成していない限り、ユーザーはインターネットを閲覧できません。セカンダリ DNS サーバーで発生した問題は、各クエリがセカンダリ DNS サーバーを試行する前に、まずプライマリ DNS サーバーに接続しようとすることです。これはユーザー エクスペリエンスを本当に台無しにします。
5 人のユーザーと低速リンクを持つ小規模なブランチ オフィスの場合、次の条件を満たす限り、ローカル DC/DNS サーバーがなくても問題ない可能性があります。
ユーザーは、ドメインに対する認証機能に依存しません (リモート DC が認証要求を処理できない場合でも、ユーザーはキャッシュされた資格情報を使用してローカル システムにログオンできます)。
非ドメイン DNS サーバーは、サイト リンクがダウンした場合にクエリを処理するために使用できます。DNS 対応ルーターの中には、選択したドメインの要求を特定の DNS サーバーに選択的に転送できるものもあります。たとえば、通常の DNS クエリは公開されている DNS サーバー (ISP が提供する DNS サーバーなど) に転送できますが、mydomain.local へのクエリは、セキュリティで保護されたサイト リンクを介して内部 DNS サーバーに転送できます。この方法により、クライアントごとにプライマリ DNS サーバーからセカンダリ DNS サーバーにフェールオーバーする遅延がなくなります。
とはいえ、たとえユーザーが5人しかいなくても、ローカルDC/DNSサーバーを使ったほうが良いと思います。読み取り専用ドメイン コントローラ?
大規模なブランチ オフィスの場合は、サイトにローカル DC/DNS サーバーをプロビジョニングすることを強くお勧めします。