Фон: У меня есть относительно небольшой домен Active Directory (Windows 2003 Functional level) с двумя контроллерами домена, оба с запущенными DNS-серверами. Они являются первичным и вторичным DNS-серверами для локальной сети. Никаких других локальных DNS. У меня нет никаких поддоменов или рекурсии.
Мой вопрос: В диспетчере DNS, в разделе «Свойства сервера», вкладка «Пересылки». Должен ли я указать здесь DNS-серверы моего интернет-провайдера (или Google)? Или мне следует оставить вкладку «Пересылки» пустой и положиться на серверы Root Hints?
Я погуглил перед тем, как написать. Примерно половина советов, которые я прочитал, говорили об использовании DNS ISP в качестве пересылки, а половина — об использовании Root Hints. Так что я понятия не имею, что «лучше» для моей настройки (которая, как я полагаю, довольно типична для небольшого магазина).
решение1
Если у вас нет причин напрямую рекурсивно выполнять рекурсию из корня, я бы рекомендовал использовать пересылку; у Google или вашего интернет-провайдера гораздо больше шансов иметь что-то в кэше для запроса, поэтому это обеспечит лучшую производительность для разрешения имен в вашей сети.
Что касается Google и интернет-провайдера, есть две причины, по которым вы можете захотеть использовать Google, а не интернет-провайдера:
- Производительность. Системы Google являются anycasting и делают некоторые интересные вещи с кэшем; протестируйте и посмотрите, будут ли они в целом быстрее, чем ваш интернет-провайдер.
- Плохо себя ведет интернет-провайдер. Некоторые интернет-провайдеры возятся с запросами, занимаясь грязными делами, такими как перехват NXDomain.
решение2
Из своего опыта я пришел к выводу, что хорошо (и не помешает иметь больше 2) использовать набор DNS-пересылок с большим именем (Google, Microsoft, Verizon) и ваших местных интернет-провайдеров. вместе. Мне нравится этот подход, потому что у местных интернет-провайдеров обычно нет инфраструктуры или рабочей силы, как у крупных компаний; то есть, если они выйдут из строя, я хочу иметь возможность положиться на другой набор DNS-пересылок, и наоборот. Если по какой-то неизвестной причине DNS-серверы Google или Verizon выйдут из строя, то мой местный интернет-провайдер может взять на себя управление и работать.
Также у меня были проблемы с местными интернет-провайдерами и их временем кэширования; оно различается в зависимости от региона, но Google и Verizon всегда предлагали лучшие обновления TTL для меня и моих клиентов. По сути, не существует "лучшей практики", просто разные подходы, как я описал.
решение3
Что "лучше" зависит от вашей ситуации. Человек, который находится в дочернем домене, может захотеть настроить свои пересылки на DNS-серверы родительского домена.
Или вы можете настроить свои серверы пересылки на набор DNS-серверов, которые являются авторитетными для определенного домена, являющегося внутренним для вашей организации.
Или у вас может не быть доступа к Интернету, и тогда корневые ссылки вам не помогут.
Или вы можете предпочесть определенный сервер пересылки корневым ссылкам по соображениям производительности.
Или, если вас не особо волнует что-либо из вышеперечисленного, то корневые ссылки подойдут прекрасно.
решение4
Одна вещь, о которой не упоминалось ни в одном из других ответов, и самая важная причина, по которой выделатьхотите использовать DNS вашего интернет-провайдера в качестве основных DNS-серверов пересылки, заключается в том, что DNS вашего интернет-провайдера предоставляет вам доступ к локальным сетям доставки контента (CDN).
CDN кэширует интернет-данные и использует DNS-волшебство, чтобы сначала указать IP-адреса CDN. Это означает, что видео YouTube или Netflix, которое вы смотрите, кэшируется на серверах CDN. CDN расположен географически близко к вам, так что вы транслируете видео с сервера, который находится в нескольких милях, а не в нескольких тысячах миль. Это уменьшает задержку и сокращает время загрузки.
Например, если ваш офис находится в Колорадо-Спрингс, ваш интернет-провайдер перенаправит вас на CDN в Колорадо-Спрингс и Денвере. Ближайший сервер Google DNS находится в Айове и не имеет ни малейшего представления о том, где находится ваш офис или ближайший CDN. Это означает, что использование Google DNS будет отправлять ваши запросы на просмотр через CDN Google или напрямую на авторитетный хост, увеличивая задержку и замедляя скорость загрузки.
Я рекомендую установить DNS вашего провайдера в качестве основных DNS-пересылок, но всегда включайте резервную пересылку на публичный DNS-сервер на всякий случай. Единственным исключением из этого является случай, когда DNS-серверы провайдера ненадежны, что вы можете проверить с помощью DNS Benchmark от GRC, как упомянул N.Balauro в своем ответе.
Существуют различные платные DNS-сервисы (например, OpenDNS), которые предлагают собственные CDN и имеют гораздо лучшее географическое покрытие, чем бесплатный DNS от Google.