Ich arbeite in zwei Zweigstellen und wurde mit der Aufgabe betraut, wo Active Directory-integrierte DNS-Server platziert werden sollen und welcher Typ verwendet werden soll.
Eine der Zweigstellen ist sehr klein (5 Benutzer) und hat eine sehr langsame Netzwerkverbindung. Benötige ich einen DNS-Server und wenn ja, welche Art von Zone sollte dieser hosten?
die zweite Zweigstelle ist viel größer (ca. 30 Benutzer) und verfügt über eine bessere Netzwerkkonnektivität. Benötigt diese Niederlassung einen DNS-Server und wenn ja, welchen Zonentyp würden Sie empfehlen?
Antwort1
Active Directory-integrierte Zonen müssen von Domänencontrollern (DCs) gehostet werden, und alle Active Directory-integrierten Zonen sind primäre Zonen. Vor diesem Hintergrund geht es hier wirklich darum, wo Domänencontroller platziert werden sollen, die die zusätzliche Rolle eines DNS-Servers erfüllen.
Die Entscheidung, wo DCs/DNS-Server platziert werden sollen, ist nicht immer ganz einfach. Als Faustregel vertrete ich jedoch die Ansicht, dass jeder Zweigstellenstandort, der Active Directory-Dienste (Authentifizierung, Dateidienste usw.) nutzt, von einem lokalen DC und domänenintegrierten DNS-Diensten profitiert.
Vielleicht wissen Sie bereits viel davon, also haben Sie Geduld mit mir …
Beachten Sie bei der Entscheidung, wo DC/DNS-Server platziert werden sollen, Folgendes:
Domänenmitglieder verlassen sich in hohem Maße auf DNS-Dienste, um Domänenressourcen zu lokalisieren. Wenn beispielsweise ein einer Domäne beigetretener Computer hochfährt, fragt er die Service Locator-Einträge (SRV) der Domäne im DNS ab, um einen Domänencontroller zu lokalisieren, bei dem er sich authentifizieren kann. Ohne eine lokale DNS-Instanz muss dieser Vorgang über einen möglicherweise langsamen Site-Link erfolgen. Sobald ein Computer einen Domänencontroller gefunden hat, wird er sich natürlich weiterhin bei diesem Server authentifizieren, bis der Client gezwungen wird, einen anderen DC zu finden.
Bei einer langsamen Verbindung können die regelmäßigen Aktivitäten wie die Authentifizierung gegenüber Remote-DCs, die Abfrage von Domänenressourcen und die Durchführung anderer standardmäßiger DNS-Suchvorgänge zu einer trägen und etwas lästigen Benutzererfahrung führen. Ein lokaler DC/DNS-Server kann die Benutzererfahrung erheblich verbessern (mir geht es um die Benutzererfahrung), indem er Verzögerungen eliminiert.
Wenn die Verbindung zwischen den Sites unterbrochen wird und kein lokaler DNS-Dienst vorhanden ist, können Ihre Benutzer nicht im Internet surfen, es sei denn, Sie haben sekundäre DNS-Server konfiguriert. Das Problem, das ich mit sekundären DNS-Servern hatte, ist, dass jede Abfrage zuerst versucht, den primären DNS-Server zu kontaktieren, bevor sie den sekundären DNS-Server anspricht. Dies beeinträchtigt das Benutzererlebnis wirklich.
In einer kleinen Zweigstelle mit fünf Benutzern und einer langsamen Verbindung können Sie möglicherweise auf einen lokalen DC/DNS-Server verzichten, solange:
Benutzer sind nicht auf die Möglichkeit angewiesen, sich gegenüber der Domäne zu authentifizieren (wenn kein Remote-DC zur Bearbeitung von Authentifizierungsanforderungen verfügbar ist, sollten Benutzer sich dennoch mit zwischengespeicherten Anmeldeinformationen bei ihren lokalen Systemen anmelden können).
Nicht-Domänen-DNS-Server stehen zur Verfügung, um Abfragen zu bearbeiten, falls Ihr Site-Link ausfällt. Einige DNS-fähige Router können Anfragen für ausgewählte Domänen gezielt an bestimmte DNS-Server weiterleiten. Beispielsweise können normale DNS-Abfragen an öffentlich verfügbare DNS-Server (wie die von Ihrem ISP bereitgestellten DNS-Server) weitergeleitet werden, während Abfragen an mydomain.local über einen sicheren Site-Link an Ihren internen DNS-Server weitergeleitet werden können. Diese Methode eliminiert die Verzögerung durch das Failover von einem primären auf einen sekundären DNS-Server pro Client.
Dennoch denke ich, dass Sie mit einem lokalen DC/DNS-Server immer noch besser dran wären, auch wenn Sie nur 5 Benutzer haben. Haben Sie sich schon angesehenSchreibgeschützte Domänencontroller?
Für Ihre größere Zweigstelle würde ich auf jeden Fall empfehlen, der Site einen lokalen DC/DNS-Server bereitzustellen.