Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2019 - Один домен неcколько филиалов. Настройка DNS.

Ответить
Настройки темы
2019 - Один домен неcколько филиалов. Настройка DNS.

Пользователь


Сообщения: 87
Благодарности: 4

Профиль | Отправить PM | Цитировать


Коллеги, добрый день!
Есть головной офис, где располагается новоиспеченный корп домен. Есть четыре филиала. Все пять сайтов соединены туннелями, всё видится, все хорошо. Настало время всем входить в домен. У меня здесь возникает только один больной вопрос: если на каждом сайте ставить свой КД, ток как правильно прописать ДНС в сетевых картах КД на каждом сайте + ДНС настройки Кд в головном офисе. Везде на сайтах ставим КД для возможности автономной работы, при разрыве туннелей.
Гуглил эту практику и несколько забугорных товарищей пишут, что схема должна быть круговая. Т.е. начиная с КД головного офиса в днсах прописывается ip нижеследующего КД сайта + loopback.

Main site DC
dns1 IP DCsite2
dns2 IP loopback

Site2 DC
dns1 IP DCsite3
dns2 IP loopback

...

Site5 DC
dns1 IP DCmainsite
dns2 IP loopback

Ок. Предположим в данном случае все КД будут обмениваться данными, правда смущает то, что до 5-го КД инфа дойдет с легким запозданием. Т.е. он в конце цепочки. Если 4-ый вылетает из сети, пусть и не надолго, то 5-ый остается со старыми данными.
В этой же схеме, если она имеет место быть, то на хостах мы должны указать два днса: своего КД + КД одного из соседа, на которого ссылается "свой КД" в синхронизации/репликации. Верно ли?

В Инете есть так же второй способ. Это прописать на каждом из пяти КД весь список айпишников всех четырех КД + loopback. Тогда здесь вопрос: какие днсы прописывать в хостах? Локальный и Один из соседа? Здесь не совсем согласен с данной схемой, т.к. при nslookup идет опрос ВСЕХ имеющихся держателей зоны ДНС серверов, соотв хост в сайте2 при запросе днса может получить ip кд, который лежит в другом сайте. Но здесь хочется, чтобы каждый сайт работал только в рамках своего КД.

Так же вижу другую схему. Первичный КД вынести в облако - "нулевой КД". Головной офис превращается в филиал. Итого облако + пять филиалов = 6 КД. В облаке ДНСы указываем все ip всех пяти кд филиалов + loopback. В самих филиалах указываем первым ip адрес облака, второй loopback. Схема лучезарная звезда. При таком раскладе облачный КД видит всех и всем шлет одну инфу. Все филиалы видят центральный материнский КД. Плюс на хостах указываем днсы локального КД + облачного КД. Но имхо опять сталкиваемся с Но здесь хочется, чтобы каждый сайт работал только в рамках своего КД.

В общем народ, кто реализовывал такие рабочие схемы? Поделитесь опытом.
Если ставили RODC, то какая была схема и как настраивали ДНС, на примере хотя бы трех филиалов. И не было ли проблем/нюансов с RODC?

Отправлено: 13:29, 29-11-2021

 

Аватара для DeadLock

Пользователь


Сообщения: 51
Благодарности: 13

Профиль | Отправить PM | Цитировать


DNS1 и DNS2 - это настройки адресов DNS-серверов в TCP/IP сетевой карты? Или же нет (я так и не понял)??
В каждом филиале есть свой DC+DNS (предположим что служба DNS крутится на сервере DC филиала и сервер DNS один на филиал).
Тогда прописывайте только DNS1 = loopback (я делаю его реальный IP в сети, но это без разницы). DNS2 оставляйте пустым (иначе задействуется механизм Round Robin, а у Вас задача сделать чтобы каждый филиал работал только со своим DNS и не лез к соседу, т.к. он может быть недоступен). Ну и понятно что по DHCP вы отдаете клиентами DNS филиала. Не прописываете DNS2 и избавляетесь от проблемы, когда сервер пытается разрешить имя через DNS другого филиала, а он недоступен (проблема на сети, VPN на филиал упал и т.д.).

По поводу обмена записями - берутся настройки не из сетевой карты, а что Вы прописали в настройках самой службы DNS (там же у вас будут перечислены все NS, всех филиалов). И именно там же, в настройках репликации, Вы можете задать кто с кем будет обмениваться записями. Можно сделать вариант, где каждый DNS обменивается данными с 2 другими (а не со всеми разом), посмотреть откуда куда маршруты быстрее и сделать оптимальную схему обмена данными. И таким образом как бы закольцевать схему обмена и уменьшить нагрузку на каналы (хотя она и так минимальная).
Это сообщение посчитали полезным следующие участники:

Отправлено: 15:31, 05-12-2021 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Пользователь


Сообщения: 87
Благодарности: 4

Профиль | Отправить PM | Цитировать


DeadLock, спасибо за ответ. Верно Вы увидели мою ситуацию.
Да, ДНС это настройки в сет карте.
А если указать у юзеров ДНС1=местный КД и ДНС2=КД облака ("центральный"). Типа если внутренний упал/недоступен, то запрос обработает облачный. И все КД филиалов нацелить на репликацию только на облако? Т.е. облачный сделать мастером, остальные просто синхронизируются с ним. Не вижу смысла нацеливать КД филиалов друг на друга, даже чисто по кругу.
Если я на КД филиала укажу ДНСы облака и себя, то Round Robin будет в рамках только облака и самого себя же? К соседям не будет лезть ДНС запрос?

Отправлено: 16:37, 05-12-2021 | #3


Аватара для DeadLock

Пользователь


Сообщения: 51
Благодарности: 13

Профиль | Отправить PM | Цитировать


Цитата naxaH:
Если я на КД филиала укажу ДНСы облака и себя, то Round Robin будет в рамках только облака и самого себя же? К соседям не будет лезть ДНС запрос? »
Всё правильно, один запрос будет улетать на самого себя, второй на облако. А потом цикл повторяется.

По поводу синхронизации филиалов с "центральным облаком" - это самая частая схема.
На вопрос "почему?" я бы ответил просто - у филиалов uptime априори меньше, по сравнению с тем, что может предоставить облачный сервис.
Это сообщение посчитали полезным следующие участники:

Отправлено: 17:03, 08-12-2021 | #4


Аватара для DeadLock

Пользователь


Сообщения: 51
Благодарности: 13

Профиль | Отправить PM | Цитировать


Совсем забыл сказать. Настройки TCP/IP сетевой карты сервера - это для работы программ/служб самого сервера и они будут использоваться для разрешения имен внутренних ресурсов сети (а у Вас каждый сервер, скорей всего, хранит полную структуру всех DNS записей домена, я прав? И именно поэтому, каждый DNS сервер филиала у Вас уже самодостаточен.

А вот для разрешения имен внешних ресурсов DNS служба будет использовать те адреса, что у Вас указаны в свойствах вкладки Forwarders. Причем эти настройки не едины для всего домена, а являются уникальными для каждого сервера, где поднята роль DNS сервера. Представьте разные филиалы, у каждого из них свой собственный провайдер, который предоставляет свои внешние DNS сервера. И каждый филиал прописывает для разрешения внешних адресов свои собственные адреса провайдеров, т.к. они наиболее быстрые. Можно сделать единые адреса внешних DNS серверов, но тут больше вопрос к скорости ответа.

P.S. как-то на просторах интернета я набрел на программу DnsJumper - в ней есть интересная возможность, замер времени ответа от внешних DNS серверов для выбора оптимального (можно добавлять провайдерские сервера для сравнения).

Отправлено: 17:36, 08-12-2021 | #5


Пользователь


Сообщения: 87
Благодарности: 4

Профиль | Отправить PM | Цитировать


Ну все тогда, после НГ опробуем. Благодарю за разъяснения. Теперь все мысли встали на место )

Отправлено: 17:53, 08-12-2021 | #6


Пользователь


Сообщения: 87
Благодарности: 4

Профиль | Отправить PM | Цитировать


В общем помимо днс надо так же разбить АД по сайтам с привязкой к сеткам сайтов. Делается это в оснастке "Active Directory — сайты и службы". Тогда логоны и АД запросы будут отрабатываться в рамках сети сайта.

Отправлено: 10:38, 31-03-2022 | #7



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2016/2019/2022 » 2019 - Один домен неcколько филиалов. Настройка DNS.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2008 R2 - Настройка DNS на вышесоящий DNS tko_O Windows Server 2008/2008 R2 3 24-09-2019 14:07
VPN/Firewall - Настройка VPN на mikrotik для нескольких филиалов beren43 Сетевое оборудование 0 13-11-2018 12:52
Один домен, разные подсети pavsem7 Windows Server 2008/2008 R2 6 10-02-2015 09:23
2008 R2 - Ошибка при первоначальном входе в домен (домен чистый поднят с 0) возможно DNS VolchekGM Windows Server 2008/2008 R2 5 20-02-2012 16:38
Один домен на несколько филиалов. bugoga Microsoft Windows NT/2000/2003 9 11-06-2010 09:14




 
Переход