Хотя никаких запретов на использование CNAME в случаях сервисов использующих авторизацию kerberos не существует пользоваться данным функционалом нужно с большой осторожностью. Данная рекомендация связана с тем, что в ряде случаев, при использовании алиасов, например internet.sysfaq.ru CNAME prx-nn-02.sysfaq.ru, могут возникать ошибки авторизации поражающие невозможность доступа к сервису или блокировку учетной записи пользователя (наблюдалось при использовании алиасов для доступа к ISA2006, OWA Microsoft Exchange).
Добавление нового DNS сервера на контроллере домена в уже существующую сеть
При создании дополнительного контроллера домена в существующем лесу Active Directory, достаточно часто администраторы на время создания указывают в настройках сетевых подключений нового контроллера уже существующие сервера DNS (в ряде случаев отсутствие явно указанного сервера DNS вообще невозможно). Данная практика не является ошибочной но порождает ситуацию в которой на новом контроллере домена автоматическое поднятие сервера DNS и его автоматическая настройка мастером установки и настройки доменов не производиться.
В дальнейшем, в случае необходимости установки и настройки DNS сервера на контроллере следует придерживаться следующих правил:
Во всех случаях "ручной" настройки записей DNS в зонах Active Directory данные настройки рекомендуется производить на первом DNS сервере домена Active Directory для которого осуществляются изменения. (Например, если зона sysfaq.ru содержит 2 DNS сервера dc1.sysfaq.ru и dc2.sysfaq.ru и в настройках клиентов сети сервера указаны в этой же последовательности все изменения рекомендуется производить на сервере dc1.sysfaq.ru)
Для добавления нового сервера DNS на контроллере домена в случае хранения зоны DNS в Active Directory ни в коем случае нельзя создавать на сервере новую зону, т.к. созданная зона будет пустой и полностью перезапишет уже существующую зону.
Для добавления нового сервера DNS на контроллере домена в случае хранения зоны DNS в Active Directory достаточно на уже существующем сервере DNS в свойствах зоны добавить новый сервер в список обслуживающих зону серверов.
Некоторые нетипичные ошибки в конфигурации
Проблема репликации обратных зон в сложных лесах Active Directory
При работе с серверами DNS в сложных лесах Active Directory настоятельно рекомендуется придерживаться следующих правил:
Во всех случаях ручного создания зон в сложных лесах Active Directory настоятельно рекомендуется создавать эти зоны на сервере DNS обслуживающем корневой домен сложного леса.
Во всех случаях кроме редких исключений в качестве хранилища зоны рекомендуется использовать Active Directory с репликацией на все DNS сервера леса.
Зачастую в сложных лесах Active Directory можно наблюдать следующие ошибки администраторов:
При создании дочернего домена (child2.sysfaq.ru для домена sysfaq.ru) в домене child2.sysfaq.ru была создана зона обратного просмотра для обслуживаемой сети (192.168.50.0/24) с методом репликации на все DNS сервера домена. В дальнейшем администратор корневого домена (sysfaq.ru) создает такую же обратную зону для всего леса Active Directory с методом репликации на все DNS сервера леса. Однако в результате наличия данной зоны в дочернем домене репликация на сервера леса происходить не будет, при чем в обычном случае данная ошибка не порождает записей о ошибках в журнале событий windows.
При создании дочернего домена (child2.sysfaq.ru для домена sysfaq.ru) в домене sysfaq.ru была создана зона обратного просмотра для обслуживаемой сети (192.168.50.0/24) с методом репликации на все DNS сервера домена. Хотя в качестве серверов указанных как носители зоны могут быть указаны все сервера леса данная ошибка зачастую пораждает невозможность регистрации записей в зоне обратного просмотра всеми клиентами сети 192.168.50.0/24
Выбор доменного имени для создаваемого домена
При создании нового домена многие администраторы забывают или не знают о существовании следующих рекомендациях:
Не рекомендуется использовать одноуровневое имя домена (single label domain name), например domain или sysfaq, т.к. это может породить ряд проблем и требует дополнительной настройки как серверов DNS так и клиентов.
Не рекомендуется использовать существующие доменные имена, например создавать домены domain.ru или sysfaq.ru. Данные домены уже зарегистрированы в сети Internet и у клиентов сети закономерно возникнут сложности с доступом к серверам принадлежащим этим доменам.
Не рекомендуется использовать несуществующие в сети Internet суффиксы, например domain.local, domain.corp, т.к. в случае необходимости присвоения внутридоменному хосту реального интернет имени его невозможно будет ввести в домен AD, либо ему придется назначать CNAME, что не всегда корректно обрабатывается программным обеспечением (для примера можно привести сервер Exchange находящийся внутри сети, при имени mail.domain.local и наличии внешнего имени mail.sysfaq.ru ему нужно будет создать SSL сертификат содержащий оба этих имени, что зачастую невозможно).
Наиболее правильным подходом к выбору имени нового домена AD является приобретение доменного имени второго уровня у любого из регистраторов (например sysfaq.ru) и дальнейшая работа с этим именем. При этом, следуя рекомендациям микрософт, для внутренних ресурсов компании рекомендуется использовать имя однозначно указывающее на принадлежность к врутренней сети и не разрешимое в сети интернет, например local.sysfaq.ru.
