Como funciona o DNS do Windows 10 em relação a um controlador de domínio?

Como funciona o DNS do Windows 10 em relação a um controlador de domínio?

Eu tenho uma rede local, 10.10.10.1

A rede local usa uma VPN para se conectar a um controlador de domínio em nuvem executando DNS em 172.16.0.1

Para ingressar e interagir com o domínio, o Windows 10 exige que o DNS primário seja 172.16.0.1 e eu tenha o DNS secundário como 10.10.10.1

Configurações de DNS

Adicionamos uma conexão de failover e não conseguimos adicionar uma segunda conexão VPN para a conexão de failover. O DNS é usado para logins do Windows e não muito mais. Não ter uma VPN para a conexão failover não causa problemas para os computadores Windows.

O problema está em nossos telefones e impressoras VOIP. Muitos dos telefones VOIP possuem computadores conectados a eles através de Ethernet, tornando as VLANs um tanto complicadas.

Quando o failover entra em ação, os telefones e impressoras ficam parados e girando por um minuto enquanto tentam se conectar ao servidor DNS em 172.16.0.1 e eventualmente começam a funcionar novamente quando usam o DNS secundário em 10.10.10.1

Pelo que entendi, o Controlador de Domínio (linux, neste caso) e/ou Windows 10 exige que o DNS primário seja o Controlador de Domínio.

Existe uma maneira (uma política de grupo, edição de registro ou script) que força o Windows a usar o DNS secundário ao tentar entrar em contato com o controlador de domínio para que eu possa definir meu DNS primário como 10.10.10.1 para todo o restante do meu equipamento?

Se não, alguma outra ideia que possa funcionar?

Responder1

Existe uma maneira (uma política de grupo, edição de registro ou script) que força o Windows a usar o DNS secundário ao tentar entrar em contato com o controlador de domínio?

Não, o servidor DNS secundário só é usado como substituto se o DNS primário não responder – o Windows não dividirá seu uso com base no domínio consultado. No máximo, você

Pelo que entendi, o Controlador de Domínio (linux, neste caso) e/ou Windows 10 exige que o DNS primário seja o Controlador de Domínio.

Não, o sistema cliente exige apenas que o domínio do Active Directory (e todos os seus subdomínios) sejasolucionávelpor qualquer servidor DNS que você esteja usando, mas não se importa se é direto ou se passa por 10 servidores DNS.

Portanto, se você tiver um domínio LAN como example.corpe o AD estiver configurado para ser um subdomínio dele, você poderá adicionar um registro NS apontando para lá – uma delegação. (Esse é o mesmo mecanismo que permite resolver todos os milhões de domínios da Internet sem precisar configurar diretamente cada um de seus servidores de nomes.)

ad.example.corp.      NS     dc1.ad.example.corp.
dc1.ad.example.corp.  A      172.16.0.1
dc1.ad.example.corp.  AAAA   2001:db8:e27f::7

Se a LAN não tiver seu próprio domínio ou se forem filiais completamente separadas, as delegações DNS regulares provavelmente não poderão ser usadas - mas o servidor DNS da LAN provavelmente:

# dnsmasq
server=/ad.example.corp/172.16.0.1

# Unbound
stub-zone:
    name: "ad.example.corp"
    stub-addr: 172.16.0.1

Todos esses mecanismos, entretanto, exigem que o servidor DNS da LAN possa alcançar o controlador de domínio AD, portanto deve haver alguma forma de roteamento ou VPN entre eles.

informação relacionada