Essas são minhas práticas recomendadas quando se trata de configurar DNS e DHCP em um novo site de cliente. Claro, muitas configurações são feitas caso a caso, mas é aqui que eu começo. Sinta-se à vontade para comentar se tiver alguma sugestão!
Primeiro, existem alguns princípios básicos que provavelmente não preciso mencionar, mas aqui vai …
DNS
Configure (pelo menos, dependendo de sua configuração) dois servidores DNS.
Quanto às configurações de zona, eu configurei:
O resto das guias são autoexplicativas. Certifique-se de não permitir transferências de zona se você realmente não precisar, e eu tento convencer todos os clientes a NÃO usar o WINS.
Agora, o envelhecimento / eliminação de DNS é algo que eu normalmente ativo. Você precisa compreender antes de ativar .
Basicamente, o que isso significa é que APAGARÁ os registros se eles forem considerados mais antigos do que o que você especificou aqui. É claro que isso é bom para manter sua zona limpa e atualizada e garantir que as pesquisas de nome funcionem corretamente, mas esteja ciente de que alguns registros necessários podem ser excluídos.
Mas e quanto aos registros adicionados manualmente? Gosta do registro CNAME intranet.domain.com? Bem, ( deste KB ) registros que você adiciona manualmente, um valor de carimbo de data / hora de zero é usado, indicando que eles não são afetados pelo processo de envelhecimento e podem permanecer sem limitação nos dados da zona, a menos que você altere seu carimbo de data / hora ou os exclua .
Observe que você precisa habilitar o envelhecimento / eliminação do DNS no servidor DNS e na zona.
Quanto aos encaminhadores para pesquisas externas, eu tendo a usar qualquer servidor interno / DMZ que eles possam ter configurado para pesquisas externas e para redundância, você pode usar o DNS do ISP deles ou mesmo os do Google (8.8.8.8 e 8.8.4.4). < / p>
DHCP
Se você tiver a possibilidade, o serviço DHCP pode ser agrupado. Caso contrário, DHCP-Redundancy é gratuito e fácil de usar. Caso contrário, se você mantiver o tempo de lease por muito tempo, a maioria dos clientes continuará a funcionar se o servidor DHCP cair, entretanto, os novos clientes não obterão um IP. Depois que o DHCP é instalado, geralmente configuro o DNS da seguinte maneira:
Isso garante que clientes não-Windows (Linux, impressoras, qualquer outro) sejam registrados no DNS que o cliente normalmente deseja. A parte Descartar … garante que eles sejam excluídos assim que o aluguel terminar, pois é muito comum que eles tenham usuários móveis, convidados e outros enfeites, e você realmente deseja se livrar desses registros DNS depois que eles saírem.
Agora, se você acessar a guia Avançado , verá o botão Credenciais… .
Normalmente crio uma conta dedicada de usuário de domínio (não administrador) no domínio e coloco aqui. Essa é a prática recomendada, especialmente se você executar o serviço DHCP em um controlador de domínio. Por quê? Está muito bem descrito em KB816592 – para evitar que o servidor herde e possivelmente faça mau uso do poder do domínio controlador. Quando o serviço do servidor DHCP é instalado em um controlador de domínio, ele herda as permissões de segurança do controlador de domínio. O serviço também tem autoridade para atualizar ou excluir qualquer registro DNS registrado em uma zona segura integrada ao Active Directory. (Isso inclui registros que foram registrados com segurança por outros computadores baseados no Windows 2000 ou Windows Server 2003 e por controladores de domínio.) .
Falando sobre o assunto do KB acima, também mantenho o grupo DnsUpdateProxy vazio.
Quando se trata de configurações de cada escopo, elas são bastante diretas. Eu tendo a manter o tempo de aluguel do site do cliente muito longo e o tempo de aluguel do servidor muito curto (já que eles geralmente são usados apenas temporariamente para instalar servidores com PXE). As configurações de DNS são definidas como acima.
Se você no console DNS abrir um registro A e a guia Segurança você verá que quando um computador executa DHCP, o usuário que você configurou para “credenciais de registro de atualizações dinâmicas de DNS” será o usuário com permissão de “gravação”. Se você tiver um computador que executa um IP estático, a conta real do computador, COMPUTERNAME $, terá permissão de “Gravação”. Isso pode causar problemas se você tiver um computador com endereço IP estático e reinstalá-lo, o novo computador não terá acesso de gravação e, portanto, não será capaz de alterar o registro DNS. Lembre-se disso ao provisionar seus servidores.