Есть АД, в нём живёт порядка 200 пользователей. 3 КД, на каждом из них есть и ДНС.
Нагрузка на сервера небольшая, т.к. работают в основном с документами.
Вопрос по настройке ДНС. Как лучше, для данной схемы, сделать: интегрировать ДНС в АД или примари? Может какие ещё советы будут для данной схемы сети?
Работают под управлением 2003.

интегрировать ДНС »
ДНС всегда интегрирован с АД.

ДНС всегда интегрирован с АД. »
Я имею ввиду тип зоны. Интегрированная или основная? Какая лучше для данной схемы и почему?

и почему »
по рекомендациям разработчика.

во-вторых: нельзя сравнивать интегрированную зону и основной. это разные вещи. другое дело: первичная (основная) и вторичная зона

Я имею ввиду тип зоны. Интегрированная или основная? » - лучше поближе ознакомиться в чем же разница между интегрированной и не интегрированной.)

если автор задаёт такой вопрос то становиться ясно что опыта не много, и трудно сказать что в таком случае выбрать.

небольшие различия:
1 - интегрированная зона защищена от воздействия (динамическая регистрация, в частности) неавторизированными пользователями. в то время как неинтегрированная подвергается такой опасности. но стоит покрутить разрешения на интегрированную зону в неправильную сторону сразу гарантированна некорректная работа AD.
2 - на любом КД который выполняет роль DNS-сервера она является основной и изменения можно вносить в неё на любом КД. в то время как не интегрированная основной является только на одном сервере а остальные содержат только копию, которую изменить нельзя.
3 - настройка TCP\IP немного различаются. при интегрированной зоне предпочитаемым DNS-сервером желательно назначать соседа, альтернативным себя самого, в то время как для неинтегрированной предпочитаемый DNS-сервер всегда должен быть тот кто несет основную зону! альтернативный DNS не суть важен, можно назначить себя, можно соседа.)*
4 - восстановление зоны. т.к. она по-умолчанию реплицируется на все КД в домене**, то достаточно на КД поднять DNS-сервер как зона сразу появиться, и сразу будет полнофункциональной.) но если зона не интегрированна тогда, копию нужно будет делать основной и у всех в TCP\IP указать новый предпочитаемый DNS-сервер.

* - эта настройка TCP\IP для серверов выполняющих роль КД+DNS.
** - параметры репликации можно изменить.

читай, думай, решай...)))

Пасиб) Очень пасиб. Ушёл курить маны) теперь хоть буду знать в какую сторону

при интегрированной зоне предпочитаемым DNS-сервером желательно назначать соседа, альтернативным себя »
Это из чего следует? Если можно, киньте ссылочку.

Это из чего следует? Если можно, киньте ссылочку. » - определённого источника нет, или я вспомнить сейчас немогу. на этом форуме обсуждалось уже, можно попробовать поискать ветку.)

при загрузке сервера выполняющего роль DC+DNS некоторые службы(например репликации) связанные с AD могут запускаться раньше чем служба DNS-сервера. и это МС не отрицает, по-моему она в 2007 исправила этот нюанс. а т.к. AD очень тесно связанна с службой DNS то желательно чтоб во время загрузки DC DNS-сервер уже работал. в случае с более чем одним DC и интегрированной DNS-зоной это реализуется так как я написал выше.

з.ы. при желании и тех.возможности(наличием более одного DC) можно провести эксперимент, указать предпочитаемыми DNS-серверами соседей и посчитать за сколько DC загрузиться с выключенного стостояния или перезагрузиться, а потом указать предпочитаемыми DNS-серверами себя самого и перезагрузить\выключить включить. даже субьективно "на глаз" этот процесс во втором случае дольше.

з.з.ы. надеюсь понятно что не оба DC выключать и включать, а попеременно или только один!

wertyg,
Давайте рассмотрим 2 состояния работы DC+DNS - штатное и с неработающей сетью.
Когда все работает, никакой разницы какой DNS прописан 1-ым, а какой 2-ым нет, по крайней мере в моей сети. Можно даже предположить, что обратиться к собственному DNS-у все же побыстрее, чем получить такую же инфу по сети.
Но в целом одно и то же.
А вот когда сеть не работает... вот тогда как раз и может возникнуть ситуация некоторые службы(например репликации) связанные с AD могут запускаться раньше чем служба DNS-сервера., так что и здесь прописанный первым локальный DNS условно предпочтителен.
Спорить, я думаю, бесполезно, но если кто даст ссылочку от ms, было бы интересно.

Ещё такой вопрос: интегрировал основную зону (на PDC) днс в АД. Дополнительную, на втором КД, не надо ведь менять на основную и так же интегрировать в ад?

Настройка DNS-сервера под управлением Windows Server (http://support.microsoft.com/kb/323380) и далее, внизу страницы, ссылки на другие статьи.

и с неработающей сетью. » - а вам не кажется уважаемый fomin_, что это не штатное состояние. а корректные настройки для не штатного стостояния, в вашем случае полный отказ в сетевом обслуживании сервисом который предназначен для работы в сети, по-моему это абсурд.)* к сожалению второй вариант рассамтривать как пример настройки сетевого сервиса никак немогу.

но всё же ясность внесём.) "неработающая сеть" это:
1 - линк до сетевого оборудования есть, но связи с остальными узлами нет т.е. сетевой интерфейс в состоянии "подключено".
2 - линка нет вообще т.е. сетевой интерфейс в состоянии "кабель не подключён".
между этими стостояния есть разница и сейчас мы её рассмотрим.

в первом случае предпочитаемый DNS-сервер сосед, альтернативный - сам. да скорость разрешения DNS-имен заметно снизиться т.к. сервер будет пытаться разрешать имена сначала на соседе, который недоступен(ясное дело определяется это из таймаута нескольких запросов к соседу а это как минимум 1сек\запрос) потом у себя самого. но вопрос имеет ли скорость работы разрешения имён в данном случае какое-либо значение. ответ - нет т.к. сетевое взаимодействие в принципе невозможно.

второй случай интересней.) опять же указан предпочитаемый - сосед, алтернативный - сам. запросов к соседу не будет т.к. нет маршрута в сеть запрашиваемого сервера и система об этом знает очень хорошо.) далее: если алтернативный DNS(в данном случае сам сервер) был указан по сетевому IP-адресу** то и к нему запросов небудет т.к. у сервера с состоянием сетевого интерфейса "кабель не подключён" нет сетевого IP-адреса. потому-то указывать себя самого желательно(хорошее слово да..) через внутренний интерфейс(замыкания на себя\127.0.0.1)*** который в отличии от аппаратного интерфейса не переходит в состояние "кабель не подключён" и активен всегда.)

ну как рассмотрели две ситуации? спорить не стану разрешить имя у себя самого быстрее чем по сети. осталось только посчитать на сколько.) я лично этим временем принебрегаю. но не настаеваю и более того требовать немогу чтоб так делали все. думает, решает каждый для себя.

* - я почему-то до этого дня думал что сервер для сети а не сеть для сервера.)
** - читая форумы вижу что многие(если не почти все) так делают.
*** - не пишите про проблему DNS-сервера "остров" которую исправили еще 4-м сервис паком для 2000 винды!

з.ы. немного съязвлю.) в конце концов со второго раза написал статью.) "нет разницы" и "непонимание разницы" это разные вещи.)

wertyg,
Полностью с изложенным согласен (более того, сам использую в качестве локального адреса DNS на DC - 127.0.0.1), однако не увидел ответа на вопрос почему
при интегрированной зоне предпочитаемым DNS-сервером желательно назначать соседа, альтернативным себя, ведь, как Вы справедливо заметили на любом КД который выполняет роль DNS-сервера она является основной и изменения можно вносить в неё на любом КД..

PS:
Кстати, старались Вы не зря. Уверен, что многим будет интересно.

я лично этим временем принебрегаю »

желательно чтоб во время загрузки DC DNS-сервер уже работал »

разве это не ответ?

з.ы. и кстати я наверно непонятно изложил. уточняю ещё раз это для настроек серверов выполняющих роли DC+DNS и со стороны сервера. со стороны клиента разрешение имён выглядит иначе. и вот эта ситуация

обратиться к собственному DNS-у все же побыстрее, чем получить такую же инфу по сети. »

случается реже чем, я так понял, вы fomin_, предполагаете.

желательно чтоб во время загрузки DC DNS-сервер уже работал »
разве это не ответ? »
Это ответ на вопрос, что при начальном запуске AD на DC, DNS уже должен работать.
Но на вопрос почему
при интегрированной зоне предпочитаемым DNS-сервером желательно назначать соседа, альтернативным себя

ответа я пока не вижу.

плюс только в начальной загрузке. а в остальном разницы нет. а почему так нельзя сделать с неинтегрированной зоной я писал выше.