私たちの会社の環境は急速に成長しており、現在ドメインコントローラーのアップグレードを進めていますが、その前に簡単なサニティチェックを行い、可能な限り最善を尽くしているかどうかを確認したいと思いました。
プライマリHQサイトに注目すると、3つのドメインコントローラー(2つは仮想、1つは物理)があり、すべてWindows Server 2008 R2を実行しています。 Windows Server 2012 R2に移行したい。私はWindowsの「アップグレード」を信じていません。サーバーや環境をアップグレードの成果物から解放するために、常に「移行」を好みます。
2つの仮想DCは、すべてのワークステーションとメンバーサーバーにすべてのDNSサービスを提供します。ワークステーションはDHCPオプションを通じてDNSアドレスを取得しますが、すべてのメンバーサーバーは静的に構成されたDNSサーバーIPを持っています。
質問:すべてのワークステーションとサーバーのDNSリゾルバーとしてドメインコントローラーを使用するのは通常ですか、それとも新しい専用DNSサーバーを作成する必要がありますか?
質問:ワークステーションとサーバーのドメインコントローラーの実際のIPをDNSリゾルバーに使用することは良い習慣ですか、それとも仮想IP /負荷分散を使用する必要がありますか?
すべてのワークステーションとサーバーのDNSリゾルバーとしてドメインコントローラーを使用するのはまだ普通ですか、それとも新しい専用DNSサーバーを作成する必要がありますか?
私の会社には2000以上のクライアントと4つのドメインコントローラがあります。そのうちの2つもDNSサーバーとして機能しており、4年間問題はありません。
ワークステーションとサーバーのドメインコントローラーの実際のIPをDNSリゾルバーに使用することは良い方法ですか、それとも仮想IP /負荷分散を使用する必要がありますか?
繰り返しになりますが、2000以上のクライアントの場合、問題なく実際のDNSリゾルバーIPを使用します。
私はこれらのメトリックを一種の「参照」として提供します。クライアントの数によっては、DNSの負荷が高くなり、私のトポロジーが適用されない場合があります...しかし、DC + DNSを使用すると安全に移動できます
Microsoftによると、
ほとんどの場合、すべてのドメインコントローラにDNSサーバーをインストールします
DCをDNSサーバーとして使用することは非常に合理的です。また、非常に多くのものと直接通信する必要があるため、それらを実際に非表示にすることはできません。
DNSサーバーとしてそれらを使用したくない唯一の理由は、DNSの負荷が高すぎて、多くのクエリが同じ名前に対するものである場合です。この時点で、キャッシュする中間リゾルバーを使用します。または、BINDのようなサービスをより適切に提供するために、DNSで豪華なことをしたい場合。後で変更する必要がある場合は、いつでもDNSオプションを変更できます。ドメインコントローラーが3つ以上ある場合は、各サブネットのDNSサーバーを変更して、負荷のバランスをとることもできます。
このようなDCを使用することによるセキュリティリスクはほとんどゼロです。
私はデータポイントとして、金融サービス業界のフォーチュン200で働いており、約1年間、企業のDNSホストマスターを務めていました。組み込みのMicrosoft DNSソリューション(およびSOAのリゾルバーアドレスとネームサーバーをIPエニーキャストするためのF5 LTM)を使用していましたが、これは機能しましたが、私たちの目的には最適ではないと判断しました。
好意のポイント
さらに必要な理由
上位層の統合されたDHCP + DNS + IPAMソリューションの実装を完了し、振り返ることはありません(動的なゾーン同期とIPエニーキャストの実行を含む)。
もちろん、注意点があります。SRVレコードの登録がActive Directoryサービスの検出で機能し、Windows Cluster Serverのレコードの登録と登録解除が機能するためです。すべてのドメインコントローラとMS Cluster Serverボックスを含むACLを作成し、それらが動的DNS更新を実行できるようにする必要があります。データの整合性と健全性を保証するには、他のすべてのホストと他のすべてのレコードについて、DHCPデーモンまたはGUI/APIを介してのみ更新することを許可する必要があります(つまり、ホワイトリストにないすべてのボックスの動的DNS更新とAXFRを許可しません) )。