Pull to refresh

Comments 6

UFO just landed and posted this here

Во всех мануалах у майков эти магические цифири.

UFO just landed and posted this here
Но почему бы не сделать нормальный split-tunneling с пушем необходимых маршрутов?
У меня есть замечание, вот по поводу этой цитаты:
Есть два варианта:
  1. Использовать отдельную машину в роли DNS-сервера;
  2. Использовать саму машину windows_server в роли DNS-сервера.


Первый вариант, безусловно, самый правильный — именно так и надо поступать при реальном администрировании сетей (чем больше вы разносите логику по разным узлам в сети — тем лучше).

Это, мягко говоря, спорное утверждение, которое, по моему мнению, лучше не делать в руководстве для начинающих. Дело в том, что сервер DNS, размещенный именно на контроллере домена (КД) Windows имеет ряд преимуществ перед сервером DNS, размещенном на сервере Windows, не являющемся КД. Преимущества эти связаны с тем, что зоны DNS на КД можно разместить в каталоге AD(интегрированная зона), а не в обычном файле (стандартная зона).
Первое преимущество: возможность изменения записей DNS на любом КД (для стандарной зоны первичным, т.е. доступным для записи, может являться только один сервер DNS, остальные серверы зоны могут содержать лишь копию «только для чтения»). Учитывая, обычно компьютеры в домене настроены на динамическую регистрацию (т.е. создание записи для своего имени) в DNS, такая отказоустойчивость по записи является полезной.
Второе преимущество: на КД динамическая регистрация в DNS может поддерживать (и по умолчанию поддерживает) разграничение доступа: чтобы компьютер имел право обновлять запись только для своего имени.
PS Конечно, администратор может по тем или иным соображениям выбрать другой вариант размещения серверов DNS — например, для отказоустойчивости инфраструктуры DNS вместо размещения серверов DNS на КД он волен сделать сервер DNS на отказоустойчивом кластере ;) , но вот возможность разграничения доступа к динамической регистрации имен в Windows существует только в варианте размещения зоны DNS домена в AD (то есть, на КД).

Если что-то можно автоматизировать скриптами/павершелом, то нет ни одной причины автоматизировать это кликами мышки..

Sign up to leave a comment.