[DeadLock]

DNS1 и DNS2 - это настройки адресов DNS-серверов в TCP/IP сетевой карты? Или же нет (я так и не понял)??
В каждом филиале есть свой DC+DNS (предположим что служба DNS крутится на сервере DC филиала и сервер DNS один на филиал).
Тогда прописывайте только DNS1 = loopback (я делаю его реальный IP в сети, но это без разницы). DNS2 оставляйте пустым (иначе задействуется механизм Round Robin, а у Вас задача сделать чтобы каждый филиал работал только со своим DNS и не лез к соседу, т.к. он может быть недоступен). Ну и понятно что по DHCP вы отдаете клиентами DNS филиала. Не прописываете DNS2 и избавляетесь от проблемы, когда сервер пытается разрешить имя через DNS другого филиала, а он недоступен (проблема на сети, VPN на филиал упал и т.д.).

По поводу обмена записями - берутся настройки не из сетевой карты, а что Вы прописали в настройках самой службы DNS (там же у вас будут перечислены все NS, всех филиалов). И именно там же, в настройках репликации, Вы можете задать кто с кем будет обмениваться записями. Можно сделать вариант, где каждый DNS обменивается данными с 2 другими (а не со всеми разом), посмотреть откуда куда маршруты быстрее и сделать оптимальную схему обмена данными. И таким образом как бы закольцевать схему обмена и уменьшить нагрузку на каналы (хотя она и так минимальная).

[naxaH]

DeadLock, спасибо за ответ. Верно Вы увидели мою ситуацию.
Да, ДНС это настройки в сет карте.
А если указать у юзеров ДНС1=местный КД и ДНС2=КД облака ("центральный"). Типа если внутренний упал/недоступен, то запрос обработает облачный. И все КД филиалов нацелить на репликацию только на облако? Т.е. облачный сделать мастером, остальные просто синхронизируются с ним. Не вижу смысла нацеливать КД филиалов друг на друга, даже чисто по кругу.
Если я на КД филиала укажу ДНСы облака и себя, то Round Robin будет в рамках только облака и самого себя же? К соседям не будет лезть ДНС запрос?

[DeadLock]

Цитата naxaH:

Если я на КД филиала укажу ДНСы облака и себя, то Round Robin будет в рамках только облака и самого себя же? К соседям не будет лезть ДНС запрос? »

Всё правильно, один запрос будет улетать на самого себя, второй на облако. А потом цикл повторяется.

По поводу синхронизации филиалов с "центральным облаком" - это самая частая схема.
На вопрос "почему?" я бы ответил просто - у филиалов uptime априори меньше, по сравнению с тем, что может предоставить облачный сервис.

[DeadLock]

Совсем забыл сказать. Настройки TCP/IP сетевой карты сервера - это для работы программ/служб самого сервера и они будут использоваться для разрешения имен внутренних ресурсов сети (а у Вас каждый сервер, скорей всего, хранит полную структуру всех DNS записей домена, я прав? И именно поэтому, каждый DNS сервер филиала у Вас уже самодостаточен.

А вот для разрешения имен внешних ресурсов DNS служба будет использовать те адреса, что у Вас указаны в свойствах вкладки Forwarders. Причем эти настройки не едины для всего домена, а являются уникальными для каждого сервера, где поднята роль DNS сервера. Представьте разные филиалы, у каждого из них свой собственный провайдер, который предоставляет свои внешние DNS сервера. И каждый филиал прописывает для разрешения внешних адресов свои собственные адреса провайдеров, т.к. они наиболее быстрые. Можно сделать единые адреса внешних DNS серверов, но тут больше вопрос к скорости ответа.

P.S. как-то на просторах интернета я набрел на программу DnsJumper - в ней есть интересная возможность, замер времени ответа от внешних DNS серверов для выбора оптимального (можно добавлять провайдерские сервера для сравнения).

[naxaH]

Ну все тогда, после НГ опробуем. Благодарю за разъяснения. Теперь все мысли встали на место )

[naxaH]

В общем помимо днс надо так же разбить АД по сайтам с привязкой к сеткам сайтов. Делается это в оснастке "Active Directory — сайты и службы". Тогда логоны и АД запросы будут отрабатываться в рамках сети сайта.