web-dev-qa-db-ja.com

Windows Server DCを手動で管理する必要がありますか?

複数の地理的サイトを持つMicrosoftADドメインがあります。すべてのサイトはVPNによって相互接続されています。すべてのサイトには、Windows Server 2012R2を実行している2つのドメインコントローラーがあります。

DNSマネージャーの各サイトの自動化された_ldapおよび_kerberosSRVレコードを確認していましたが、エントリの多く(ほとんど?)はほとんど意味がありません。

いくつかのサイトには、オフサイトのDCのみのエントリがありました。

多くのサイトには、プライマリオンサイトDC(これは良い)のエントリが1つありましたが、セカンダリオンサイトDCを別のエントリとして持つ代わりに、均等に重み付けされたエントリとして、オフサイトDCがありました。

オフサイトDCを持つ多くのサイトには、一見ランダムなオフサイトDCがありました。ほとんどの場合、それらは地理的に最も離れたDCでした。これは、一般に、pingが高く、帯域幅が狭いことを意味します。

明確にするために、適切なDCは、ドメインサイトおよびサービスマネージャー内の対応する地理的サイトに正しくマップされます。

これらのエントリを自分で管理したほうがはるかに良いように思えます。理想的には、次のように各サイトのSRVエントリを設定します。

Primary On-site DC - weight 0
Secondary On-site DC - weight 0
Primary Off-site DC, geographically close - weight 1
Secondary Off-site DC, geographically close - weight 1
Primary Off-site DC, geographically far - weight 2
Secondary Off-site DC, geographically far - weight 2

したがって、これを行うには、これらすべてのSRVレコードを静的に変更してから、すべてを手動で管理する必要があります。

このタスクの退屈な性質、およびこれらの重要なレコードに人為的エラーを導入する可能性は別として、これらを修正するべきではない正当な理由がありますSRVエントリを手動で?

あるいは、よりインテリジェントに自動SRVレコードを作成する方法はありますか?

接線方向に関連する質問:静的なSRVレコードの作成をいじくり回すと、奇妙な動作に気づきました。通常、自動で作成されたDNSレコードにはタイムスタンプが付けられますが、手動で作成したレコードには<static>ラベルが付けられます。ただし、多くの場合、私が作成したレコードには空白のラベル(つまりnull)が付けられます。しかし、レコードの詳細プロパティをチェックすると、Delete this record when it becomes staleオプションがチェックされていないので、静的であるように見えますか?

1
Daniel

さまざまなサービスとさまざまなタイプのクライアントの多くのレコードがあります。それらのレコードのいくつか[〜#〜] are [〜#〜]サイト固有であり、[〜#〜] are [〜#〜]であるクライアントによって使用されますサイト対応。例:_ldap._tcp.SiteName._sites.DnsDomainName.

それらのいくつかは[〜#〜] not [〜#〜]サイト固有であり、[〜#〜] not [〜#〜]であるクライアントによって使用されますサイト対応。例:_ldap._tcp.dc._msdcs.DnsDomainName.

_ldapで始まるPDC FSMOホルダーのレコードもありますが、PDCは1つしかないため、すべてのサイトのすべてのクライアントはPDCそのサービスが必要な場合例:_ldap._tcp.pdc._msdcs.DnsDomainName.

1
Clayton