我在兩個分公司工作,負責在哪裡放置活動目錄整合 DNS 伺服器以及使用什麼類型。
其中一個分支機構非常小(5 個用戶),網路連線速度非常慢。我是否需要 DNS 伺服器?
第二個分行規模較大(約 30 個使用者)並且具有更好的網路連線。該辦公室是否需要 DNS 伺服器,如果需要,您會推薦什麼類型的區域?
答案1
Active Directory 整合區域必須由網域控制站 (DC) 託管,且所有 Active Directory 整合區域都是主區域。有鑑於此,我們真正討論的是在哪裡放置網域控制站來服務 DNS 伺服器的附加角色。
確定 DC/DNS 伺服器的放置位置並不總是那麼簡單。然而,根據經驗,我認為任何要使用 Active Directory 服務(驗證、檔案服務等)的分公司都可以從擁有本機 DC 和網域整合的 DNS 服務中受益。
您可能已經知道很多了,所以請耐心聽我說…
在決定放置 DC/DNS 伺服器的位置時,請記住以下事項:
網域成員嚴重依賴 DNS 服務來定位網域資源。例如,當加入網域的電腦啟動時,它會查詢 DNS 中的網域服務定位器記錄 (SRV),以找到要進行驗證的網域控制站。如果沒有本機 DNS 實例,此程序必須透過可能較慢的網站連結進行。當然,一旦電腦找到了網域控制器,它將繼續針對該伺服器進行身份驗證,直到它迫使客戶端尋找另一個 DC。
透過慢速鏈路,對遠端 DC 進行身份驗證、查詢網域資源以及執行其他標準 DNS 查找的常規活動可能會造成緩慢且有些令人厭煩的使用者體驗。本地 DC/DNS 伺服器可以透過消除延遲來大大改善用戶體驗(我關心的是用戶體驗)。
如果網站之間的連結中斷且沒有本機 DNS 服務,您的使用者將無法瀏覽 Internet,除非您設定了輔助 DNS 伺服器。我在使用輔助 DNS 伺服器時遇到的問題是,每個查詢在嘗試輔助 DNS 伺服器之前首先嘗試聯絡主 DNS 伺服器。這確實破壞了使用者體驗。
對於擁有 5 個使用者且連結速度較慢的小型分支機構,只要滿足以下條件,您就可以在沒有本地 DC/DNS 伺服器的情況下擺脫困境:
使用者不依賴對網域進行身份驗證的能力(如果遠端 DC 無法為身份驗證請求提供服務,使用者仍應能夠使用快取的憑證登入其本機系統)。
如果您的網站連結發生故障,非網域 DNS 伺服器可以為查詢提供服務。一些支援 DNS 的路由器可以選擇性地將針對選定網域的請求轉送到特定的 DNS 伺服器。例如,正常的 DNS 查詢可以轉送到公開可用的 DNS 伺服器(例如 ISP 提供的 DNS 伺服器),而對 mydomain.local 的查詢可以透過安全站點連結轉送到您的內部 DNS 伺服器。此方法消除了每個用戶端從主 DNS 伺服器故障轉移到輔助 DNS 伺服器的延遲。
也就是說,我認為即使您只有 5 個用戶,使用本地 DC/DNS 伺服器仍然會更好。你有沒有調查過只讀網域控制器?
對於較大的分支機構,我絕對建議為網站配置本地 DC/DNS 伺服器。