Domain Controller e impostazione DNS predefinito a 127.0.0.1
Per impostazione predefinita quando si installa un Domain Controller con servizio DNS (per esempio il root Domain Controller) il server DNS predefinito viene impostato a 127.0.0.1 (nel senso che se non si specifica alcun indirizzo IP per il server DNS nelle impostazioni TCP/IP verrà usato l’indirizzo localhost) .
Questa impostazione garantisce che se in futuro l’indirizzo IP del DC viene modificato comunque le impostazioni DNS rimarranno corrette.
Va comunque detto che da momento nei sistemi che hanno il ruolo di Domain Controller e/o di DNS server non è possibile assegnare l’indirizzo IP tramite DHCP. Questo significa che occorre gestire manualmente le impostazioni TCP/IP, quindi nel caso di modifica dell’indirizzo IP difficilmente ci si scorderebbe di modificare opportunamente anche l’indirizzo IP del DNS in quando le due impostazioni sono nella stessa finestra di dialogo. Si tenga presente che poi l’operazione di modifica dell’indirizzo IP su un Domain Controller va comunque pianificata opportunamente in quando ha un impatto importante sui client a riguardo si vedano:
-
Se, come spesso accade, si sa che la modifica dell’indirizzo IP del DC no verrà mai modificato o nel caso si manifesti questa necessità sarà legata a eventi temporanei che verranno gestiti e pianificati (migrazioni e modifiche nell’infrastruttura AD) allora conviene impostare l’indirizzo del DNS predefinito su l’IP reale evitando quindi anche il leggero overhead di risolvere l’indirizzo localhost (127.0.0.1).
-
Tra le best practies per Windows Server 2008 and Windows Server 2008 R2 si sconsiglia l’utilizzo dell’indirizzo localhost (127.0.0.1) come primo server DNS. Quindi nel caso di un unico DC occorre impostare l’indirizzo IP reale per il DNS predefinito.
A riguardo si veda DNS: DNS servers on <adapter name> should include the loopback address, but not as the first entry: -
”The loopback IP address should be configured as one of the DNS servers on each active network adapter, but not as the first DNS server.”
-
”If the loopback IP address is the first entry in the list of DNS servers, Active Directory might be unable to find its replication partners.”
Alle considerazioni fatte aggiungo che su Windows Server 2003 R2 con Sp2 ho riscontrato la comparsa saltuaria del seguente errore:
Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuno
ID evento: 1030
Descrizione:
Impossibile eseguire una query per reperire l’elenco degli oggetti Criteri di gruppo. È possibile che nel registro eventi si trovino messaggi registrati in precedenza dal modulo criteri in cui viene data una spiegazione del problema.
Lo scenario era quello di un unico DC con i ruoli di DNS, WINS e DHCP che probabilmente cominciato a manifestare questi errori (mai verificatisi in anni di attività) in conseguenza a qualche rallentamento nell’esecuzione di query dns (dovuto forse a qualche aggiornamento del sistema, delle firme antivirus o dei driver della scheda direte) che oltre a causare la registrazione dell’evento di errore, provocavano anche errori all’apertura della console MMC Active Directory User & Computer e durate l’esecuzione di script che interrogavano Active Directory.
Impostando l’IP reale del DC come primo server DNS la problematica si è risolta.
Per ulteriori informazioni sulla configurazione del DNS sui Domain Controller si veda anche Active Directory e configurazione DNS.
Per ulteriori informazioni sull’evento 1030 si veda Eventi 1030 e 1058 su DC ogni 5 minuti.
Grazie, quindi io ad es uso dnscrypt-proxy che fa proprio mettere come primary dns il 127.0.0.1, e poi come secondary o cloudfare 1.1.1.1 oppure quad9 9.9.9.9 cosa ne pensate?
Grazie in anticipo per l’attenzione
Domain Controller eviterei di mettere DNS che non sono domain controller vedi il mio post https://www.devadmin.it/2011/10/07/active-directory-e-configurazione-dns/
I lavorerei sui DNS Forward https://learn.microsoft.com/it-it/training/modules/implement-windows-server-dns/5-implement-dns-forwarding