<div dir="ltr"><div class="gmail_extra"><div><div class="gmail_signature"><br></div></div><div class="gmail_quote">On Wed, Dec 14, 2016 at 1:41 PM, Veaceslav Revutchi <span dir="ltr"><<a href="mailto:slavarevutchi@gmail.com" target="_blank">slavarevutchi@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5">On Wed, Dec 14, 2016 at 10:35 AM, Barry S. Finkel <<a href="mailto:bsfinkel@att.net">bsfinkel@att.net</a>> wrote:<br>
> On 12/14/2016 Veaceslav Revutchi <<a href="mailto:slavarevutchi@gmail.com">slavarevutchi@gmail.com</a>> wrote:<br>
><br>
>> Since this thread is still fresh, what is the current best practice<br>
>> when slaving from AD? Do you pick one DC and list it as master or is<br>
>> it safe to list multiple? We are looking to do the same and just<br>
>> started the conversation with our AD team. The serial numbers among<br>
>> DCs authoritative for the same zone are quite spread out and it takes<br>
>> a few minutes for the DC with the lowest number to catch up. I'm not<br>
>> sure if I can assume that two DCs with the same serial number have the<br>
>> same zone contents. Haven't done a zone transfer comparizon yet.<br>
>><br>
>> Curious to know what your experience is when slaving from AD.<br>
>><br>
>> Thank you,<br>
>> Slava<br>
><br>
><br>
> I have not included the previous text in this reply.<br>
><br>
> When I was managing a BIND/AD DNS infrastructure, I chose<br>
> ONLY ONE of the AD DNS Servers as a master.  There is a problem<br>
> with serial numbers (KB282826 - I have that number memorized).<br>
> If a MS DNS Server is not a master for a slave, then the zone<br>
> serial number does not matter, as the zone is internal only to<br>
> the Windows infrastructure.  If the DNS Server is a master for<br>
> the zone, then the zone serial number does matter.<br>
><br>
> Assume, for example, that you have two MS DNS Servers for a zone,<br>
> one on each of two Domain Controllers - DCA, and DCB.  Assume<br>
> that for a given zone both DCs have the same zone contents and<br>
> zone serial number, say 100.  Now, a machine sends a dynamic update for<br>
> the zone to DCA at the same time that another machine sends another<br>
> update to that zone to DCB.  Each DC DNS now has a copy of the zone<br>
> with an increased serial number (101) BUT with different contents.<br>
> Sometime, under the covers of AD, the MS code will synchronize the<br>
> zone contents between DCA and DCB, but what serial number should be<br>
> assigned to the combined zone?  It can't be 101, as that has already<br>
> been used.  Can it be 102?  What happens if another dynamic update<br>
> is sent to DCA or DCB while the synchronization is occurring?<br>
> This is the problem, and why I chose only one DC to be the master<br>
> for all of the DC zones.<br>
><br>
> Also note that with the MS "_" zones, there are dynamic updates that<br>
> do not change the contents of a zone but do increase the zone serial<br>
> number.  Thus there are lots of unnecessary zone transfers from the<br>
> AD DNS Server to the BIND slave server(s).  (This was true when I was<br>
> the DNS manager, and I never got permission to ask MS why the serial<br>
> number was incremented when the zone had not changed.  Things might<br>
> have changed in the past five years.)<br>
<br>
</div></div>Barry,<br>
<br>
Appreciate you sharing this. This is good info.<br>
<br>
Thank you!<br>
<div class="gmail-HOEnZb"><div class="gmail-h5"><br></div></div></blockquote><div><br></div><div>My experience slaving AD zones with BIND servers:</div><div>Ignore "failed while receiving responses: not exact " errors.  I think that just means that the serial number changed during the transfer.</div><div>I had them turn off 'notify' and we use the 'refresh' timer (15 minutes) to pull updates.</div><div>I also ignore these errors for those servers:</div><div>failed to connect: timed out<br></div><div><div>failed while receiving responses: REFUSED</div></div><div><br></div><div>I list more than one, for redundancy, and ignore serial number mismatches.  Since it is constantly increasing, updates missed on one transfer should be in the next transfer.</div><div><br></div><div>That 'works'.  Whether that means "works fine" or "users have gotten used to it" is hard to say.</div><div><br></div><div>-- </div><div>Bob Harold</div><div><br></div></div></div></div>