web-dev-qa-db-ja.com

DHCP環境でDNSサーバーを指定するためのグループポリシー-良いか悪いか?

DC/DNSサーバーを降格した後、ドメイン内のDNSの問題を解決しようとして、数時間の作業に遭遇しました(ここに示されています DHCPおよびボックスで変更されたにもかかわらず古いDNSサーバーIPを使用するWinXP ) 。

DNSサーバーを強制する愚かなグループポリシーがあります(理由はわかりませんが、そのままにしておきます)。変更しましたが、クライアントはドメインにアクセスできません(プライマリDNSがダウンしているため、Windowsが正常に機能しているセカンダリDNSを試行しないのはなぜですか?!?!?)...では、どうすればどちらかを強制できますか?グループポリシーのオーバーライド(デスクトップがドメインを再度検出できるようにするため)または何らかの方法でグループポリシーをコンピューターに戻しますか?うーん...

そこには、両方のDNSサーバーと2つのISPのDNSサーバーのIPがあります。

問題は、DHCPがDNSエントリの提供を処理している環境では、グループポリシーのDNSでそれを上書きする必要があるかどうかです。十分に文書化した後、ここで私を燃やしましたが、将来的には問題はないはずですが、ポリシーを維持するべきか、それとも継続するべきか疑問に思っています。 ISP DNSサーバーの2つのIPは重要ですか(それぞれのDNSサーバーDCはとにかくそれらのIPに転送するように設定されています))?クライアントはそれらを必要としますか?

windowsdomain-name-systemactive-directorydhcpgroup-policy
1
Matt Rogish

ベストプラクティス=いいえ、GPOを介して適用しないでください。

DHCPは、選択した少数のDNSサーバーに要求を転送します。その後、DNSはリクエストを転送します。

DNSサーバーを定義するためのGPOの使用は、通常、特定のワークステーションに特別な設定を適用する場合です(GPOスコープ、マシン/ユーザーメンバーシップに基づく)。イントラネットテストマシン。さらに良い例は、ユーザーをインターネットからロックアウトすることです。ユーザーがDeny_Internetセキュリティグループのメンバーであり、これをSet_Bogus_DNS GPOのスコープとして定義すると、そのグループのメンバーであるユーザーはアドレスを解決できないため、インターネットを閲覧できません。

外部DNSサーバーを定義することの欠点は、大規模なウイルス/ワームの発生の場合、問題のあるドメインをロックアウトする方法がないことです。 DHCPがマシンを内部DNSサーバーにポイントしている場合、必要に応じて、独自のDNSボックスにDNSプライマリゾーンを作成してwww.malware-spreading-site.orgをロックし、wwwを127.0.0.1にポイントすることができます。

要約すると、内部マシンを外部DNSにポイントすることは悪いことです。悪い悪い悪い。いたずら。次に、この場合、DHCPの使用はGPOよりも優れています。

8
Izzy

あなたの投稿には2つの本当の質問があります。

外部DNSサーバーをドメインクライアントに割り当てるのは悪い考えですか?

はい。です。

DNSは、Active Directoryが正しく機能するために絶対的に重要であり、DNS要求を外部サーバーに送信するクライアントは、遅かれ早かれ問題を引き起こします。内部DNSが不安定な場合に役立ちますが、その場合は、ユーザーがWebを閲覧できない場合よりも大きな問題が発生します。

せいぜい、これは内部DNSを修正する際の一時的なバンドエイドとして使用する必要があります。また、盗賊は必要以上に長く放置されるべきではありません。

GPO悪い考え)を介してDNSサーバーを定義していますか?

いいえ、実際にお勧めします。

GPOを介してDNSサーバーを定義することが非常に良い考えである理由はたくさんあります:

  • それはあなたの環境全体の一貫性を保証します
  • 構成の違いに対して管理可能な粒度を提供します(サーバーごとにDNSを手動で変更することは管理できず、DHCPは適切な粒度を提供しません)
  • ユーザーがDHCPリースを更新しなくても、環境全体の変更を非常に迅速に行うことができます。
  • これにより、ユーザーが(意図せずに)それらをバイパスすることなく、ポリシー/バンデード/ハック(スプリットホライズンDNSなど)を適用できます。
  • それはあなたにコントロールを与えます

単純な環境では、これは価値があるよりも厄介かもしれません。しかし、あなたがドメインを持っているなら、あなたはおそらくすでにそのポイントを超えています。

2
sh-beta

すでにお気づきのとおり、グループポリシーを使用してDNSを割り当てることは一般的に悪い考えです。うまくいかないことが多すぎて、デバッグは悪夢になる可能性があります。通常の状況では、それは必要ないはずです。必要な場合は、ネットワーク構成全体をよく調べて、なぜ必要なのかを判断し、他の場所で変更を加える方が適切かどうかを確認する必要があります。

2
John Gardeniers

簡単な理由を説明します。GPOを使用してDNS設定を定義します。複数の動的サーバー環境では、すべてのサーバーに静的IP設定があります。GPOこれらを上書きしますが、DHCPは上書きしません。

1
Ann