Комментарии 6
НЛО прилетело и опубликовало эту надпись здесь
У меня есть замечание, вот по поводу этой цитаты:
Это, мягко говоря, спорное утверждение, которое, по моему мнению, лучше не делать в руководстве для начинающих. Дело в том, что сервер DNS, размещенный именно на контроллере домена (КД) Windows имеет ряд преимуществ перед сервером DNS, размещенном на сервере Windows, не являющемся КД. Преимущества эти связаны с тем, что зоны DNS на КД можно разместить в каталоге AD(интегрированная зона), а не в обычном файле (стандартная зона).
Первое преимущество: возможность изменения записей DNS на любом КД (для стандарной зоны первичным, т.е. доступным для записи, может являться только один сервер DNS, остальные серверы зоны могут содержать лишь копию «только для чтения»). Учитывая, обычно компьютеры в домене настроены на динамическую регистрацию (т.е. создание записи для своего имени) в DNS, такая отказоустойчивость по записи является полезной.
Второе преимущество: на КД динамическая регистрация в DNS может поддерживать (и по умолчанию поддерживает) разграничение доступа: чтобы компьютер имел право обновлять запись только для своего имени.
PS Конечно, администратор может по тем или иным соображениям выбрать другой вариант размещения серверов DNS — например, для отказоустойчивости инфраструктуры DNS вместо размещения серверов DNS на КД он волен сделать сервер DNS на отказоустойчивом кластере ;) , но вот возможность разграничения доступа к динамической регистрации имен в Windows существует только в варианте размещения зоны DNS домена в AD (то есть, на КД).
Есть два варианта:
- Использовать отдельную машину в роли DNS-сервера;
- Использовать саму машину windows_server в роли DNS-сервера.
Первый вариант, безусловно, самый правильный — именно так и надо поступать при реальном администрировании сетей (чем больше вы разносите логику по разным узлам в сети — тем лучше).
Это, мягко говоря, спорное утверждение, которое, по моему мнению, лучше не делать в руководстве для начинающих. Дело в том, что сервер DNS, размещенный именно на контроллере домена (КД) Windows имеет ряд преимуществ перед сервером DNS, размещенном на сервере Windows, не являющемся КД. Преимущества эти связаны с тем, что зоны DNS на КД можно разместить в каталоге AD(интегрированная зона), а не в обычном файле (стандартная зона).
Первое преимущество: возможность изменения записей DNS на любом КД (для стандарной зоны первичным, т.е. доступным для записи, может являться только один сервер DNS, остальные серверы зоны могут содержать лишь копию «только для чтения»). Учитывая, обычно компьютеры в домене настроены на динамическую регистрацию (т.е. создание записи для своего имени) в DNS, такая отказоустойчивость по записи является полезной.
Второе преимущество: на КД динамическая регистрация в DNS может поддерживать (и по умолчанию поддерживает) разграничение доступа: чтобы компьютер имел право обновлять запись только для своего имени.
PS Конечно, администратор может по тем или иным соображениям выбрать другой вариант размещения серверов DNS — например, для отказоустойчивости инфраструктуры DNS вместо размещения серверов DNS на КД он волен сделать сервер DNS на отказоустойчивом кластере ;) , но вот возможность разграничения доступа к динамической регистрации имен в Windows существует только в варианте размещения зоны DNS домена в AD (то есть, на КД).
Если что-то можно автоматизировать скриптами/павершелом, то нет ни одной причины автоматизировать это кликами мышки..
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настраиваем и автоматизируем развёртывание Active Directory