[HLT]

Цитата dmitryst:

соседа надо указать как первичный ДНС, себя - как вторичный »

позволю себе не согласиться.
в этом случае (особенно если сосед находится в другой IP-подсети в другом офисе, соединенном WAN-линком) разрешение имен на самом DNS сервере будет идти ОЧЕНЬ медленно.

Вот как работает у меня (DC, он же DNS) :

[exo]

Цитата HLT:

Вот как работает у меня (DC, он же DNS) : »

а на втором DC ?

[dmitryst]

Цитата HLT:

если сосед находится в другой IP-подсети в другом офисе, соединенном WAN-линком »

ну а что делать? Если сделать как у вас, то ко второму ДНС запросы практически не будут идти, что в условиях плохой линии - благо, но вот общая надежность системы будет не в лучшем положении. ИМХО, всё же правильно делать, как я написал (расстреляйте )
PS> Тем более, у топикстартера вроде, сеть небольшая
PPS.

Цитата exo:

а на втором DC ? »

аналогично первому (по способу доктора HLT-а, или обратно=зеркально, если по моему способу.)

[wertyg]

вопрос: Два DC, а сколько DNS ?
ответ: сколько угодно ДК будет работать с не менее чем с одним ДНС но, АД тесно связана с службой ДНС если что то случиться с единственным ДНС то вся АД работать перестанет. потому думаем логически.) восстановить работоспособность будет не просто(нужно будет как минимум время получить\восстановить файл зоны, а точнее вот те записи вида _msdcs и т.п. они в данном случае важнее всего), а если файл зоны на единственном ДНС испорчен и не подлежит восстановлению тогда ещё сложнее! согласись второй ДНС не помешает также как и второй ДК(при желании можно и третий ДНС поднять). в таком случае если упадёт первый ДК+ДНС второй полноценно сможет исполнять свои функции. таким образом АД будет работоспособной. логично?
вывод: каждому ДК по ДНС! если конечно мы не скучаем по герМорою.)

отмечу некоторый неприятный факт.
есть два ДК+ДНС в одной АД(domain.local) и каждый сам для себя ДНС. начальная загрузка, после выключения, занимает достаточно продолжительное время! в остальной работе проблем не наблюдается. но если вынести ДНС на третью машину тогда загрузка несоизмеримо ускоряеться.) в чём причина немогу понять.( зоны были размещены как в АД, так и в файле. потму можно порекомендовать чтоб у ДК первичными ДНС серверами были соседи вторичными они сами. т.к. предпологаеться что одновременно выключены они не будут. это относится только к ситуации когда ДК находяться в пределах локальной сети. иначе имеет место ситуация описаная HLT

ещё немного.)

Цитата exo:

надеюсь я не перепутал DC и AD... »

АД это логическая структура. ДК это физический элемент АД. в одной АД может быть много ДК, но один ДК может быть контроллером только для одной АД. я так понял что у тебя АД одна, а ДК в ней два. правильно? а это значит что и ДНС зона у тебя одна. если она интегрированна в АД тогда тебе никаких движений с ДНС делать не нужно. зона будет идентична на обоих ДНС серверах. раве что настроить пересылку на ДНС твоего провайдера для разрешения адресов вне твоей АД. эта опция ДНС сервера а не АД.)

и вот слово "вторичный". в АД 2003 все контроллеры равноправны, за исключением некоторых деталей. так что слово "вторичный" подходит менее чем слово "добавочный".

немного дополню. проблема "остров" решена в 2003.

з.ы. у Микрософта такой поисковик классный, немогу найти о проблеме "остров" ничего.( хотелось бы подвериться о проблеме.

[exo]

Смотрите какая у меня была ситуация:
Был ДЦ с ДНС и просто сервер с ДНС. Все пользователи пользовались вторым ДНС. Не знаю, было ли настроенно реплецирование между ДНСами (скорее всего нет, были ошибки в логах). Я на втором сервере поднял ДЦ. И тут начались проблемы. Появились ошибки реплецирования. Как следствие - не применяются политики для новых пользователей.
Дома на виртуальных машинах: АД с 1 ДЦ+ДНС. Установил добавочный ДЦ - и автоматом ДНС не установилось!
Вопрос: на работе когда установил ДЦ на сервере с ДНС, возможно они не интегрированны? как проверить?
Сейчас планирую на втором сервере снести ДЦ и ДНС и всё заново сделать.

[wertyg]

смотри какая штука:
1 - настраеваем службу ДНС
поднимаем ДНС. создеём зону прямого просмотра. создаём зону обратного просмотра(опционально. если предпологается почтовая служба то желательно. нюансы безопасности). если предпологается выход в инет тогда целесообразнейй сделать так чтоб наш ДНС мог разрешать(соответственно кэшировать) адреса дргугих сетей(интернета например). настраеваем пересылку на ДНС провайдера или любой другой доступный ДНС. как вариант открываем ему выход в инет(что не желательно т.к. он в последствии станет ДК), если такового небыло. зная адреса рутов он сам сможет разрешать имена(только в отличии от провайдерского ДНС это немного медленее).
в свойствах TCP\IP на сервере указываем себя в качестве предпочитаемого ДНС.
разрешаем динамическое обновление небезопасное и безопасное. это необходимо для службы АД
прописывам у пользователей один единственный ДНС. снижая тем самым постороний трафик и уменьшая площадь поиска неисправностей связанный с разрешением имён.
всё. адреса разрешаються, как локальные так и глобальные. всё готово для повышения роли сервера до ДК.
2 - собственно повышаем роль. тут всё понятно.)
теперь мы имеем АД, ДК+ДНС.
учти все пользуються одним ДНС!

задача добавить ДК.
1 - решаем... каким ДНС будем пользоваться? если мы используем тот что есть, а при условии что он не интегрирован в АД он разрешает всем динамическое обновления. если в параметрах ТСП\ИП второй машины указать его, то мастер повышения роли не возругаеться что запрещены обновления и также не станет устанавливать локальный ДНС. вот если бы ты в параметрах ТСП\ИП не указал ДНС тогда б он установился в процессе повышения роли. но смысл нам устанавливать второй ДК без ДНС. если с первым что то случится то второй нечем нашей АД не поможет! она перестанет фунционировать т.к. ДНСа нет. да и из соображений резервирования\распределения нагрузки нужна связка ДК+ДНС.
а что тут решать.) всё решено выше. каждому ДК по ДНС!
поднимаем на второй машине службу ДНС.
создаём дополнительную зону для той что у нас существует.
настраеваем пересылку. точно также как и в первом случае. она должна настраеваться отдельно на каждом ДНС сервере. я уже сказал что это возможность службы ДНС и она не копируется на ДНСы.) иначе нас ждёт неприятность - отсутствие инета в случае остановки первого ДК с ДНС.
всё. общая зона. значит что запись первой и второй машины в ней есть. пробуем разрешать имена ДНС серверов от пользователей и с ДНС непосредственно. они должны разрешаться.
теперь пользователям указываем вторичным ДНС эту машинку или одной части пользователей указываем первый ДНС второй части пользователей - второй ДНС. всё зависит от того что тебе нужно.
повышаем роль сервера до ДК. обрати внимание! ДНС сервером для второй машины должен быть первый ДК с ДНС. в дополнительную зону ты просто не сможеш внести изменения. также при добавлении ДК в АД будет произведён ДНС запрос на факт существования АД. и если он будет неудачный то ни какого добовления непроизойдёт.
всё. получаем одну АД в которой два ДК.

всё приведенное выше справедливо для одной АД с добавочными ДК и зоной не интегрированой в АД. если же у тебя АД разные, то для каждой необходима своя зона ДНС. настраеваются они снуля как в первом случае.

обрати внимание: у тебя есть основная зона и дополнительная. репликация их не завсит от работы службы АД. в случае неисправности первого ДК ты просто в параметрах ТСП\ИП второго ДК указываеш самого себя, а зону делаеш основной.) всё.)

обрати внимание ещё раз:

нельзя ставить себя в качестве ДНС если ты содержиш дополнительную зону. ты не сможеш в неё писать! дополнительная зона не редактируеться. изменения можно вносить только в основную зону. мастер повышения роли возругаеться!

если зону интегрировать в АД то понятия основная дополнительная зона уже не применимы. т.к. она будет реплицироваться вместе со всеми данными АД. в таком случае после повышения роли в настройка ТСП\ИП ставим себя как основной ДНС.

нельзя создать две основные зоны! для того чтоб на второй машине указать сразу себя в качестве ДНС сервера. данные в них будут не синхронезированы, что может привести к некорректной работе службы.


з.ы. отвлекали в процессе написания. возможно что то неучёл. комментируем\поправляем техническую чать если что.)

[exo]

блин. слишкоммногабукв... запутался.
и так. У меня есть АД и один ДК+ДНС.
Мне нужен добавочные ДК+ интегрированный ДНС этом же АДу.
Сначала я устанавливаю ДК. И по какой схеме установить интегрированный ДНС?
Я так понял, чтобы не было проблем с репликацией в АД, нуно оба ДНС иметь интегрированных.

Цитата wertyg:

создаём дополнительную зону для той что у нас существует. »

основная зона domain.local, а какая будет дополнительной?

[dmitryst]

Цитата exo:

Я так понял, чтобы не было проблем с репликацией в АД, нуно оба ДНС иметь интегрированных. »

Да!

Цитата exo:

основная зона domain.local, а какая будет дополнительной? »

у вас домен один или их два? Если один, то просто копируем конфигурацию ДНС на второй сервер, и всё

[exo]

Цитата dmitryst:

Если один, то просто копируем конфигурацию ДНС на второй сервер, и всё »

как просто копировать ? один домен у меня.

[wertyg]

нет ты неправильно понял! репликация также завязана на ДНС. если они у тебя настроеный правильно то проблем не будет. и неважно будут они в АД интегрированы или нет. одна прелесть у ДНС интегрированной в АД это безопасныеОбновления. когда создавать записи и читать их могут только авторизированные пользователи\службы в АД. достаточно повышает безопасность.

ты основную зону domain.local создавал? вот точно так же и дополнительную. дополнительную к основной. названия у них одинаковые domain.local. только ставиш галку не основная а дополнительная и указываеш сервер на котором она лежит. на сервере который её уже содержит в свойствах зоны на вкладке серверыИмён вбиваеш адрес второго сервера. иначе он зону не отдаст! там же на вкладке передачаЗон контролируеш галочку толькоНаСерверыПеречисленныеНаСтаницеСерверовИмён. ждёш некоторое время. передача происходит не сразу. после чего смотриш на втором ДНС появляеться одноимённая зона только редактировать ты её не сможеш. всё правильно.

мне тоже интересно как это просто копировать? только не надо говорить - "скопируй с действующего ДНС файл зоны и подложи второму ДНС при создании или после". после этого зоны станут независимыми и данные в них могут отличаться. как вариант такое можно сделать но нужно отдавать себе отчёт в происходящем! а exo, я так понял не слишком знаком с АД да и ДНС тоже. не рекомендую так делать! давайте всё делать по возможности правильно!

кстати exo, у тебя книги по АД есть? у меня на фтп в папке myUpload лежит коечто, заходи если что.

для общего ознакомления рекомендую Active Directory Для MSWindows Server 2003.Справочник Администратора.[РеймерС-МалкерМ] всего 350 стр.
а в книге Active Directory-Подход Профессионала.[Зубков] АД расматривается более подробно. кстати здесь и описана проблема "остров". извеняюсь она актуальна и сейчас.