Два DC, а сколько DNS ?
 

есть Windows Server 2003 - DC - AD + DNS
есть Windows Server 2003 - вторичный DC - AD + DNS, причём ДНС - уже был. Просто установили AD.
Вопрос: когда устанавливается вторичный DC, устанавливается ли на этом сервере ДНС? или вторичный DC использует DNS первого DC ?
надеюсь я не перепутал DC и AD...

exo, надо настроить динамическое обновление (безопасное) у обоих ДНС, в настройках сети каждого контроллера в качестве предпочитаемого ДНС-сервера прописать адрес другого ДНС-а и в качестве вторичного ДНС - свой собственный адрес. Во всяком случае, я так помню :)

есть.
можно попробовать.
А вообще должно быть два ДНС при двух AD ?

Microsoft рекомендует не менее двух контроллеров домена с интегрированными ДНС.
не можно, а нужно, иначе они синхронизироваться не будут

Синхронизация настраивается в свойствах DNS-сервера, а не в свойствах сетевой карты.

неважно,где она настраивается.
если не указать перекрестно ДНС, контроллеры не найдут партнера по репликации(гугль "проблема островов")

просветите нас, неграмотных.. :) (Я читал книжку -подготовку к экзаменам, от Microfoft-press, там черным по белому было написано, что нужно проставить адреса ДНС-серверов в свойствах сетевых интерфейсов и проверить их доступность как по пингу, так и nslookup-ом. Врут?? :) )

dmitryst, уважаемый monkkey имел в виду настройку DNS сервера, а не DNS клиента.

Рассмотрим случай, если мы на двух DNS серверах держим ДВЕ разные зоны.
Один сервер является Primary для одной и Secondary для другой (и, соответственно, другой сервер - Secondary для 1й и Primary для 2й)
Передача зон настраивается в свойствах DNS-сервера

В случае если каждый DNS сервер держит только свою зону - то conditional forwarding настраивается тоже в свойствах DNS-сервера.


Указание у клиентов обоих DNS-серверов (с настройках сетевого интерфейса) - правильная практика.
С одним исключением: на DNS-серверах в свойствах сетевого соединения DNS должен смотреть сам на себя (причем по внешнему адресу, а не по 127.0.0.1). В качестве secondaty DNS можно указать "соседа", но это имхо как мертвому припарка: secondary DNS используется в случае, если НЕДОСТУПЕН primary DNS's IP address (а не в случае, если primary не смог разрешить какое-то имя). Соответственно, если primary DNS (то есть он же сам) недоступен (грубо говоря, не пингуется) - secondary вряд ли будет доступен ))
А все внешние / соседние DNS сервера указываются в настройках conditional forwarding

Господа, не надо мешать в кучу передачу DNS-зон и репликацию AD. Да, интегрированные зоны реплицируются вместе с AD, но вы говорите о разных вещах

а вот и нет, соседа надо указать как первичный ДНС, себя - как вторичный (правильно, по внешнему адресу, но можно и 127,0,0,1). Так же настраивается и сосед. В этом случае синхронизация обоих ДНС получается автоматом.

да, не относящиеся к АД - пишем туда

а где я говорил про клиентов? У клиентов прописываем оба ДНС, неважно, кто из них будет первичным. (Мы тут говорим про ситуацию, когда конфигурации обоих ДНС-серверов идентичны, т.е. каждый дублирует информацию другого, что и надо при построении АД, резервирование избыточностью - это не так плохо)

позволю себе не согласиться.
в этом случае (особенно если сосед находится в другой IP-подсети в другом офисе, соединенном WAN-линком) разрешение имен на самом DNS сервере будет идти ОЧЕНЬ медленно.

Вот как работает у меня (DC, он же DNS) :

а на втором DC ?

ну а что делать? Если сделать как у вас, то ко второму ДНС запросы практически не будут идти, что в условиях плохой линии - благо, но вот общая надежность системы будет не в лучшем положении. ИМХО, всё же правильно делать, как я написал (расстреляйте :biggrin: )
PS> Тем более, у топикстартера вроде, сеть небольшая :)
PPS.
аналогично первому (по способу доктора HLT-а, или обратно=зеркально, если по моему способу.)

вопрос: Два DC, а сколько DNS ?
ответ: сколько угодно ДК будет работать с не менее чем с одним ДНС но, АД тесно связана с службой ДНС если что то случиться с единственным ДНС то вся АД работать перестанет. потому думаем логически.) восстановить работоспособность будет не просто(нужно будет как минимум время получить\восстановить файл зоны, а точнее вот те записи вида _msdcs и т.п. они в данном случае важнее всего), а если файл зоны на единственном ДНС испорчен и не подлежит восстановлению тогда ещё сложнее! согласись второй ДНС не помешает также как и второй ДК(при желании можно и третий ДНС поднять). в таком случае если упадёт первый ДК+ДНС второй полноценно сможет исполнять свои функции. таким образом АД будет работоспособной. логично?
вывод: каждому ДК по ДНС! если конечно мы не скучаем по герМорою.)

отмечу некоторый неприятный факт.
есть два ДК+ДНС в одной АД(domain.local) и каждый сам для себя ДНС. начальная загрузка, после выключения, занимает достаточно продолжительное время! в остальной работе проблем не наблюдается. но если вынести ДНС на третью машину тогда загрузка несоизмеримо ускоряеться.) в чём причина немогу понять.( зоны были размещены как в АД, так и в файле. потму можно порекомендовать чтоб у ДК первичными ДНС серверами были соседи вторичными они сами. т.к. предпологаеться что одновременно выключены они не будут. это относится только к ситуации когда ДК находяться в пределах локальной сети. иначе имеет место ситуация описаная HLT

ещё немного.)
АД это логическая структура. ДК это физический элемент АД. в одной АД может быть много ДК, но один ДК может быть контроллером только для одной АД. я так понял что у тебя АД одна, а ДК в ней два. правильно? а это значит что и ДНС зона у тебя одна. если она интегрированна в АД тогда тебе никаких движений с ДНС делать не нужно. зона будет идентична на обоих ДНС серверах. раве что настроить пересылку на ДНС твоего провайдера для разрешения адресов вне твоей АД. эта опция ДНС сервера а не АД.)

и вот слово "вторичный". в АД 2003 все контроллеры равноправны, за исключением некоторых деталей. так что слово "вторичный" подходит менее чем слово "добавочный".

немного дополню. проблема "остров" решена в 2003.

з.ы. у Микрософта такой поисковик классный, немогу найти о проблеме "остров" ничего.( хотелось бы подвериться о проблеме.

Смотрите какая у меня была ситуация:
Был ДЦ с ДНС и просто сервер с ДНС. Все пользователи пользовались вторым ДНС. Не знаю, было ли настроенно реплецирование между ДНСами (скорее всего нет, были ошибки в логах). Я на втором сервере поднял ДЦ. И тут начались проблемы. Появились ошибки реплецирования. Как следствие - не применяются политики для новых пользователей.
Дома на виртуальных машинах: АД с 1 ДЦ+ДНС. Установил добавочный ДЦ - и автоматом ДНС не установилось!
Вопрос: на работе когда установил ДЦ на сервере с ДНС, возможно они не интегрированны? как проверить?
Сейчас планирую на втором сервере снести ДЦ и ДНС и всё заново сделать.

смотри какая штука:
1 - настраеваем службу ДНС
поднимаем ДНС. создеём зону прямого просмотра. создаём зону обратного просмотра(опционально. если предпологается почтовая служба то желательно. нюансы безопасности). если предпологается выход в инет тогда целесообразнейй сделать так чтоб наш ДНС мог разрешать(соответственно кэшировать) адреса дргугих сетей(интернета например). настраеваем пересылку на ДНС провайдера или любой другой доступный ДНС. как вариант открываем ему выход в инет(что не желательно т.к. он в последствии станет ДК), если такового небыло. зная адреса рутов он сам сможет разрешать имена(только в отличии от провайдерского ДНС это немного медленее).
в свойствах TCP\IP на сервере указываем себя в качестве предпочитаемого ДНС.
разрешаем динамическое обновление небезопасное и безопасное. это необходимо для службы АД
прописывам у пользователей один единственный ДНС. снижая тем самым постороний трафик и уменьшая площадь поиска неисправностей связанный с разрешением имён.
всё. адреса разрешаються, как локальные так и глобальные. всё готово для повышения роли сервера до ДК.
2 - собственно повышаем роль. тут всё понятно.)
теперь мы имеем АД, ДК+ДНС.
учти все пользуються одним ДНС!

задача добавить ДК.
1 - решаем... каким ДНС будем пользоваться? если мы используем тот что есть, а при условии что он не интегрирован в АД он разрешает всем динамическое обновления. если в параметрах ТСП\ИП второй машины указать его, то мастер повышения роли не возругаеться что запрещены обновления и также не станет устанавливать локальный ДНС. вот если бы ты в параметрах ТСП\ИП не указал ДНС тогда б он установился в процессе повышения роли. но смысл нам устанавливать второй ДК без ДНС. если с первым что то случится то второй нечем нашей АД не поможет! она перестанет фунционировать т.к. ДНСа нет. да и из соображений резервирования\распределения нагрузки нужна связка ДК+ДНС.
а что тут решать.) всё решено выше. каждому ДК по ДНС!
поднимаем на второй машине службу ДНС.
создаём дополнительную зону для той что у нас существует.
настраеваем пересылку. точно также как и в первом случае. она должна настраеваться отдельно на каждом ДНС сервере. я уже сказал что это возможность службы ДНС и она не копируется на ДНСы.) иначе нас ждёт неприятность - отсутствие инета в случае остановки первого ДК с ДНС.
всё. общая зона. значит что запись первой и второй машины в ней есть. пробуем разрешать имена ДНС серверов от пользователей и с ДНС непосредственно. они должны разрешаться.
теперь пользователям указываем вторичным ДНС эту машинку или одной части пользователей указываем первый ДНС второй части пользователей - второй ДНС. всё зависит от того что тебе нужно.
повышаем роль сервера до ДК. обрати внимание! ДНС сервером для второй машины должен быть первый ДК с ДНС. в дополнительную зону ты просто не сможеш внести изменения. также при добавлении ДК в АД будет произведён ДНС запрос на факт существования АД. и если он будет неудачный то ни какого добовления непроизойдёт.
всё. получаем одну АД в которой два ДК.

всё приведенное выше справедливо для одной АД с добавочными ДК и зоной не интегрированой в АД. если же у тебя АД разные, то для каждой необходима своя зона ДНС. настраеваются они снуля как в первом случае.

обрати внимание: у тебя есть основная зона и дополнительная. репликация их не завсит от работы службы АД. в случае неисправности первого ДК ты просто в параметрах ТСП\ИП второго ДК указываеш самого себя, а зону делаеш основной.) всё.)

обрати внимание ещё раз:

нельзя ставить себя в качестве ДНС если ты содержиш дополнительную зону. ты не сможеш в неё писать! дополнительная зона не редактируеться. изменения можно вносить только в основную зону. мастер повышения роли возругаеться!

если зону интегрировать в АД то понятия основная дополнительная зона уже не применимы. т.к. она будет реплицироваться вместе со всеми данными АД. в таком случае после повышения роли в настройка ТСП\ИП ставим себя как основной ДНС.

нельзя создать две основные зоны! для того чтоб на второй машине указать сразу себя в качестве ДНС сервера. данные в них будут не синхронезированы, что может привести к некорректной работе службы.


з.ы. отвлекали в процессе написания. возможно что то неучёл. комментируем\поправляем техническую чать если что.)

блин. слишкоммногабукв... запутался.
и так. У меня есть АД и один ДК+ДНС.
Мне нужен добавочные ДК+ интегрированный ДНС этом же АДу.
Сначала я устанавливаю ДК. И по какой схеме установить интегрированный ДНС?
Я так понял, чтобы не было проблем с репликацией в АД, нуно оба ДНС иметь интегрированных.
основная зона domain.local, а какая будет дополнительной? :sorry:

Да!
у вас домен один или их два? Если один, то просто копируем конфигурацию ДНС на второй сервер, и всё

как просто копировать ? один домен у меня.

нет ты неправильно понял! репликация также завязана на ДНС. если они у тебя настроеный правильно то проблем не будет. и неважно будут они в АД интегрированы или нет. одна прелесть у ДНС интегрированной в АД это безопасныеОбновления. когда создавать записи и читать их могут только авторизированные пользователи\службы в АД. достаточно повышает безопасность.

ты основную зону domain.local создавал? вот точно так же и дополнительную. дополнительную к основной. названия у них одинаковые domain.local. только ставиш галку не основная а дополнительная и указываеш сервер на котором она лежит. на сервере который её уже содержит в свойствах зоны на вкладке серверыИмён вбиваеш адрес второго сервера. иначе он зону не отдаст! там же на вкладке передачаЗон контролируеш галочку толькоНаСерверыПеречисленныеНаСтаницеСерверовИмён. ждёш некоторое время. передача происходит не сразу. после чего смотриш на втором ДНС появляеться одноимённая зона только редактировать ты её не сможеш. всё правильно.

мне тоже интересно как это просто копировать? только не надо говорить - "скопируй с действующего ДНС файл зоны и подложи второму ДНС при создании или после". после этого зоны станут независимыми и данные в них могут отличаться. как вариант такое можно сделать но нужно отдавать себе отчёт в происходящем! а exo, я так понял не слишком знаком с АД да и ДНС тоже. не рекомендую так делать! давайте всё делать по возможности правильно!

кстати exo, у тебя книги по АД есть? у меня на фтп в папке myUpload лежит коечто, заходи если что.

для общего ознакомления рекомендую Active Directory Для MSWindows Server 2003.Справочник Администратора.[РеймерС-МалкерМ] всего 350 стр.
а в книге Active Directory-Подход Профессионала.[Зубков] АД расматривается более подробно. кстати здесь и описана проблема "остров". извеняюсь она актуальна и сейчас.

я неправильно выразился.
что-то типа этого, но только по-русски :biggrin:

ясно.
только с АД, с ДНС я пару лет поработал, но только в хостинге... на BSD...
ога: Учебный Курс: Планирование, внедрение и подджерка инфраструктуры AD. 70-294. Джилл Спилман и другие. Питер 2007.
и куча книг для MCSE, полученных на курсах два года назад... но я только недавно начал по майкрасофту работать.

вообщем, сейчас я указал "перекрёстные ДНС": на первом серевере указал свой ДНС вторым, на втором сервере тоже свой вторым.

Зря игнорируете несколько раз упомянутое сочетание "проблема островов". Ознакомьтесь:
http://support.microsoft.com/default...d=kb;ru;259277
http://www.osp.ru/win2000/2003/08/176556/ см "Островная DNS"
и Зубанова, там достаточно подробно

Dirk Diggler, в статье , в частности описание "островной ДНС" лично мне непонятно. а некоторые факты несправедливы. я имею ввиду вот это выражение:

"Но каждый DC располагает своей информацией. Каждый DC регистрирует идентификационную информацию о своем экземпляре зоны DNS, но никогда не реплицирует эту информацию на другие DC/DNS-серверы (то есть серверы, которые играют двойную роль DC и DNS-серверов). "

данные зон в АД реплецируються вместе со всеми изменениями. чтоб проверить это лично я поднял в виртуалке два сервера2003 a.dom1.local и b.dom1.local. на первом(a.dom1.local) настроил ДНС, создал основную зону dom1.loocal. сделал его контроллером, интегрировал основную зону в АД. после чего поднял второй ДНС, зону не настраивал! в параметрах ТСП\ИП указал первый сервер ДНСом. иначе и сделать я не смог бы т.к. второй сервер ещё не содержит никаких зон а к домену нужно присоедениться, для чего используется ДНС. поднял добавочный ДС(b.dom1.local). после перезагрузки глянул в АД на втором(b.dom1.local) ДНС зона реплецировалась. потом глянул в остнастку ДНС там появилась зона dom1.local. после этого в параметрах ТСП\ИП изменил основной ДНС с первого сервера(a.dom1.local) на локальный 127,0,0,1. теперь вроде как соблюдаеются условя вышесказанного: корень леса\два ДС+ДНС сами себе примари.) теперь из статьи следеует что если я внесу изменения в зону на b.dom1.local эти изменения не должны попасть в a.dom1.local правильно? из статьи правильно, но из принципа репликации АД неправильно! чтобы это проверить я на втором сервере(b.dom1.local) создаю запись типа "А". через некоторое непродолжительное время она оказывается на a.dom1.local. что и требовалось доказать.)

обращаю внимание, что во время эксперемента у обоих серверов в параметрах ТСП\ИП ДНС был указан как 127,0,0,1.

вывод: проблема "остров" возникает не из-за описаных в вышеприведеной статье причин.

статью Микрософта считаю для себя очень информативной. она обьясняет причины которые я собственно подозревал.) и теоретически решает мою проблему за что Dirk Diggler, спасибо.)

реальное возникновение проблемы "остров", на мой взгляд всё же описано в книге проверить это пока нет времени. если кому интересно пишите приведу её здесь.

обратите внимание что в статьях про "остров" мелькает 2000 сервер.
также следует обратить внимание на то что если зона не интегрирована в АД то на втором ДС я так бы и оставил ДНСом первый сервер т.к. вносить изменения в добавочную зону нельзя! хотя рабочим станциям без разници на какой сервер ссылаться в данном случае.

вот ещё что. гдето видел параметр реплецироватьЗоныНаВсеДСвДомене или толькоНаДСсоСлужбойДНС

Прошу прощения, но так и не понял какими должны быть настройки TCP/IP (а именно основной и резервный DNS), в случае, когда имеется один домен, с двумя DC=AD+DNC (DNS интегрированная). Win2008r2?

gurlov, свой и петлевой.

на обоих DC??

да...

Первичный - сам сервер.
Вторичный - другой сервер.

Ситуацию "перекрёстного" использования DNS считаю неудачной, потому что в случае отказа второго сервера первый будет работать с замедлением.
Что же касается проблем с синхронизацией изменений имён и адресов контроллеров домена, то это - крайне редкая операция, при выполнении которой вполне можно будет исправить записи на втором сервере вручную.

ну вот, мнения опять разделились :(
А у майкрософта есть конкретная рекомендация?

Цитата:

Цитата gurlov ну вот, мнения опять разделились »

Так это почти холиварная тема. Пример ниже:
What should the order of DNS servers be for an AD Domain Controller and Why?
Имхо, настраивайте, чтобы диагностику проходило и ошибок не возникало.

Если верить коллеге, то:

правильно ли я понял:
на всех серверах, которые являются DC+DNS должно стоять:

• первичный - собственный IP
• вторичный - IP другого сервера
• 3-й - IP другого сервера
• ..
• n-й - IP другого сервера
• (n+1)-й - 127.0.0.1

gurlov, вроде как. Для 2008/2008 R2.

Не понял юмора
Первым номером пишем адрес сетевой карты сервера, а третьим - 127.0.0.1, который также будет обрабатывать сам сервер?