Eu tenho uma rede local, 10.10.10.1
A rede local usa uma VPN para se conectar a um controlador de domínio em nuvem executando DNS em 172.16.0.1
Para ingressar e interagir com o domínio, o Windows 10 exige que o DNS primário seja 172.16.0.1 e eu tenha o DNS secundário como 10.10.10.1
Adicionamos uma conexão de failover e não conseguimos adicionar uma segunda conexão VPN para a conexão de failover. O DNS é usado para logins do Windows e não muito mais. Não ter uma VPN para a conexão failover não causa problemas para os computadores Windows.
O problema está em nossos telefones e impressoras VOIP. Muitos dos telefones VOIP possuem computadores conectados a eles através de Ethernet, tornando as VLANs um tanto complicadas.
Quando o failover entra em ação, os telefones e impressoras ficam parados e girando por um minuto enquanto tentam se conectar ao servidor DNS em 172.16.0.1 e eventualmente começam a funcionar novamente quando usam o DNS secundário em 10.10.10.1
Pelo que entendi, o Controlador de Domínio (linux, neste caso) e/ou Windows 10 exige que o DNS primário seja o Controlador de Domínio.
Existe uma maneira (uma política de grupo, edição de registro ou script) que força o Windows a usar o DNS secundário ao tentar entrar em contato com o controlador de domínio para que eu possa definir meu DNS primário como 10.10.10.1 para todo o restante do meu equipamento?
Se não, alguma outra ideia que possa funcionar?
Responder1
Existe uma maneira (uma política de grupo, edição de registro ou script) que força o Windows a usar o DNS secundário ao tentar entrar em contato com o controlador de domínio?
Não, o servidor DNS secundário só é usado como substituto se o DNS primário não responder – o Windows não dividirá seu uso com base no domínio consultado. No máximo, você
Pelo que entendi, o Controlador de Domínio (linux, neste caso) e/ou Windows 10 exige que o DNS primário seja o Controlador de Domínio.
Não, o sistema cliente exige apenas que o domínio do Active Directory (e todos os seus subdomínios) sejasolucionávelpor qualquer servidor DNS que você esteja usando, mas não se importa se é direto ou se passa por 10 servidores DNS.
Portanto, se você tiver um domínio LAN como example.corp
e o AD estiver configurado para ser um subdomínio dele, você poderá adicionar um registro NS apontando para lá – uma delegação. (Esse é o mesmo mecanismo que permite resolver todos os milhões de domínios da Internet sem precisar configurar diretamente cada um de seus servidores de nomes.)
ad.example.corp. NS dc1.ad.example.corp.
dc1.ad.example.corp. A 172.16.0.1
dc1.ad.example.corp. AAAA 2001:db8:e27f::7
Se a LAN não tiver seu próprio domínio ou se forem filiais completamente separadas, as delegações DNS regulares provavelmente não poderão ser usadas - mas o servidor DNS da LAN provavelmente:
# dnsmasq
server=/ad.example.corp/172.16.0.1
# Unbound
stub-zone:
name: "ad.example.corp"
stub-addr: 172.16.0.1
Todos esses mecanismos, entretanto, exigem que o servidor DNS da LAN possa alcançar o controlador de domínio AD, portanto deve haver alguma forma de roteamento ou VPN entre eles.