А это вообще нормально - в DNS две A-записи с разными айпишниками на одно и то же имя?

Нормально. Например:

$ dig vk.com

В принципе да (nslookup http://www.ya.ru, например). Показать можешь?

в Active Directory

На винфак.

Round Robin? Нет, не слышал.

Посмотри выхлоп host google.com и удивись

тяжела и неказиста жизнь простого виндузятника

Не работает, что не так?

Не работает, что не так?

bind-utils либо не установлены, либо отсутствуют в %PATH%.

Суть в том, что есть два сетевых сегмента, контроллеры домена сидят в обоих, и на DNS для контроллеров про две записи, а маршрутизация из сегмента в сегмент типа только для избранных.

Но допустим, все это абстрагировано от AD и винды, есть просто два сегмента (подсети условные):

10.1.0.0/16 -------
                   |
                   |----------------|
                   |                |
         роутер---(x)               |(eth0, 10.1.0.100)
                   |                |
                   |              сервер
10.2.0.0/16 -------                 |
                   |                |(eth1, 10.2.0.100)
                   |                |
                   |----------------|
                   |
                   |-я
                   |

И вот мне где-то видно DNS. Я говорю:

rdesktop <сервер>

Я читал, что для сайтов так можно делать (две A-записи), и браузер будет брать ту, которую первую достучится, а если не достучится, то тупить до попытки достать следующую в течение некоего таймаута, но это подход на уровне браузера. А как вообще произвольная программа должна обрабатывать такую ситуацию? Наверное, есть какой-то RFC на эту тему?

для сайтов так можно делать (две A-записи), и браузер будет брать ту, которую первую достучится

Можно и не только для сайтов, и больше двух. Честно говоря, не помню стандарты в этой части, но BIND по умолчанию отдает IP в случайном порядке, а клиенты идут на первый по списку (если он недоступен, то все зависит от программы). Можно объяснить BIND'у, что порядок результатов должен быть фиксированным, причем (возвращаясь к твоему случаю) для каждой сети свой. В AD, увы, используется не BIND, но, кажется, MS DNS'у тоже можно соответствующим образом дать по мозгам.

Вроде как по дефолту в виндо-DNS раунд-робин работает

http://technet.microsoft.com/en-us/library/cc787484(v=ws.10).aspx

MS DNS'у тоже можно соответствующим образом дать по мозгам.

а по каким словам можно это нагуглить?

а по каким словам можно это нагуглить?

0) round robin

1) http://technet.microsoft.com/en-us/library/cc787373(v=ws.10).aspx — не оно?

2) Применительно к BIND раздача разных результатов разным клиентам в зависимости от того, откуда клиент пришел, называется «split horizon». У MS название другое (не помню его), суть та же.

Вроде как по дефолту в виндо-DNS раунд-робин работает

ЕМНИП, оно у всех сервисов DNS так, только я не уверен, оговорено ли это в стандартах.

Я читал, что для сайтов так можно делать (две A-записи), и браузер будет брать ту, которую первую достучится

Браузер будет брать с вероятностью 50% ту или иную А-запись, и если один из IP ляжет, то с вероятностью 50% страница будет недоступна. Это поведение bind9 по-умолчанию.

То есть яндекс должен лежать в 12.5% случаев?

UPD: в те моменты, когда один адрес недоступен (такое бывает)

Я не большой спец в этом аспекте работы bind9, не было таких задач, но, как я уже писал выше, это алгоритм работы по-умолчанию. Учитывая, что изменения, сделанные в мастер-зоне расходятся по миру до двух суток, то вероятно, при несанкционированном падении одного IP, яндекс должен лежать в 12.5% случаев. Скорее всего за пару дней до проведения профилактических работ они убирают А-запись ноды, которая будет снята с эксплуатации.

при несанкционированном падении

:)

Короче, по сабжу: «по уму» - это настраивать какой бы то ни было днс так, чтобы ни одна машина не видела адреса, на который она не сможет перейти. Так?

Да, проще всего, в случае bind, настраиваются разные «view» для разных сетей

У сервиса DNS большие таймауты между обновлениями записей между клиентом и сервером (Хотя можно поидее TTL подкрутить). Лучше CARP заюзать, я вот UCARP пробовал в свое время в связке с HAST получался файловый кластер :)

http://ru.wikipedia.org/wiki/CARP

Нормально.

Это следующая стадия просветления)

«по уму» - это настраивать какой бы то ни было днс так, чтобы ни одна машина не видела адреса, на который она не сможет перейти. Так?

Лично я считаю, что так.

да

Короче, MS прятать адреса в чужих сетях не умеет. А можно ли настроить bind так, чтобы он форвардил запросы клиентов на MS DNS, и сам прятал лишнее?

И будет в такой конфигурации возможно автоматически регистрироваться в DNS dhcp-клиентам?

Как мне кажется, проще отказаться от MS DNS и MS DHCP в пользу BIND и ISC DHCP. Active Directory работать будет, никуда не денется.

Просто тогда это точно все придется поддерживать тому, чья инициатива.. Сейчас я написал админу AD письмо со ссылкой на статью про subnet prioritization на сайте MS, предложил включить у нас эту фичу.

AD и на самбе бывают