域名系统 (DNS) 客户端设置的建议

2024-07-16 02:38| 来源: 网络整理| 查看: 265

Windows Server 中 DNS 客户端设置的最佳做法项目12/26/2023

本文介绍配置域名系统 (DNS) 客户端设置的最佳做法。本文中的建议适用于安装以前没有定义 DNS 基础结构的受支持 Windows Server 环境。

原始 KB 编号： 825036

安装了 DNS 的域控制器

在充当 DNS 服务器的域控制器上，Microsoft 建议根据以下规范配置域控制器的 DNS 客户端设置：

如果服务器是域中安装的第一个也是唯一的域控制器，并且服务器运行 DNS，请将 DNS 客户端设置配置为指向该第一个服务器的 IP 地址。例如，必须将 DNS 客户端设置配置为指向自身。在该域中有另一个托管 DNS 的域控制器之前，请勿列出任何其他 DNS 服务器。

在 DCPromo 过程中，必须将其他域控制器配置为指向另一个域控制器，该域控制器在其域和站点中运行 DNS，并托管安装了新域控制器的域的命名空间。如果使用第三方 DNS 到托管该 DC Active Directory 域的区域的 DNS 服务器，则为。在验证入站和出站 Active Directory 复制均正常运行且处于最新状态之前，请勿将域控制器配置为使用其自己的 DNS 服务进行名称解析。否则可能会导致 DNS“岛”。有关相关主题的详细信息，请单击下面的文章编号以查看 Microsoft 知识库中的文章：

当域控制器指向域的自身 _msdcs.ForestDnsName 时，275278 DNS 服务器将成为一个岛

验证复制已成功完成后，可以根据环境的要求，通过两种方式之一在每个域控制器上配置 DNS。配置选项包括：

在每个域控制器上的 TCP/IP 属性中配置首选 DNS 服务器，以将自身用作主 DNS 服务器。优点：如果可能，确保本地解析源自域控制器的 DNS 查询。将域控制器的 DNS 查询对网络的影响降到最低。缺点：依赖于 Active Directory 复制，以确保 DNS 区域是最新的。长时间的复制失败可能会导致区域中的条目集不完整。将所有域控制器配置为使用集中式 DNS 服务器作为其首选 DNS 服务器。优势：最大程度地减少对域控制器定位符记录的 DNS 区域更新的 Active Directory 复制的依赖。它包括更快地发现新的或更新的域控制器定位符记录，因为复制滞后时间不是问题。提供单个权威 DNS 服务器，这在排查 Active Directory 复制问题时可能很有用缺点：将更频繁地使用网络来解析源自域控制器的 DNS 查询 DNS 名称解析可能取决于网络稳定性。失去与首选 DNS 服务器的连接将导致无法解析来自域控制器的 DNS 查询。这可能会导致连接明显丢失，甚至导致不跨丢失网段的位置。

可以结合使用这两种策略，将远程 DNS 服务器设置为首选 DNS 服务器，将本地域控制器设置为备用 (反之亦然，) 。虽然此策略具有许多优点，但进行此配置更改之前应考虑以下因素：

DNS 客户端不会对每个查询使用 TCP/IP 配置中列出的每个 DNS 服务器。默认情况下，启动时，DNS 客户端将尝试使用首选 DNS 服务器条目中的服务器。如果此服务器出于任何原因无法响应，DNS 客户端将切换到备用 DNS 服务器条目中列出的服务器。 DNS 客户端将继续使用此备用 DNS 服务器，直到：它无法响应 DNS 查询，或者：默认情况下，) (15 分钟达到 ServerPriorityTimeLimit 值。

注意

只有响应失败会导致 DNS 客户端切换首选 DNS 服务器;接收权威但不正确的响应不会导致 DNS 客户端尝试其他服务器。因此，将域控制器本身和另一台 DNS 服务器配置为首选服务器和备用服务器有助于确保收到响应，但不能保证该响应的准确性。任一服务器上的 DNS 记录更新失败都可能导致名称解析体验不一致。

不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商的 DNS 服务器， (ISP) 。如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器，则域控制器上的 Netlogon 服务不会为 Active Directory 目录服务注册正确的记录。借助这些记录，其他域控制器和计算机可以找到与 Active Directory 相关的信息。域控制器必须将记录注册到自己的 DNS 服务器。

若要转发外部 DNS 请求，请在 DNS 管理控制台中添加 ISP 的 DNS 服务器作为 DNS 转发器。如果未配置转发器，请使用默认的根提示服务器。在这两种情况下，如果希望内部 DNS 服务器转发到 Internet DNS 服务器，还必须删除“.” (也称为“dot”) DNS 管理控制台的“正向查找区域”文件夹中的区域。

如果托管 DNS 的域控制器安装了多个网络适配器，则必须禁用一个适配器进行 DNS 名称注册。

有关如何在这种情况下正确配置 DNS 的详细信息，请单击下面的序列号以查看 Microsoft 知识库中的文章：

292822 同时运行 DNS 或 WINS 的路由和远程访问服务器上的名称解析和连接问题

若要验证域控制器的 DNS 客户端设置，请在命令提示符处键入以下命令，以查看 Internet 协议 (IP) 配置的详细信息： ipconfig /all 若要修改域控制器的 DNS 客户端配置，请执行以下步骤：

右键单击“我的网络Places”，然后选择“属性”。

右键单击“ 本地连接”，然后选择“ 属性”。

选择“ internet 协议 (TCP/IP) ”，然后选择“ 属性”。

选择“ 高级”，然后选择“ DNS ”选项卡。若要配置 DNS 信息，请执行以下步骤：

在 “DNS 服务器地址”的“使用顺序 ”框中，添加建议的 DNS 服务器地址。如果 “为了解析非限定名称 ”设置设置为“追加这些 DNS 后缀 (以便) ，Microsoft 建议先将 Active Directory DNS 域名 (列在顶部) 。验证此连接设置的 DNS 后缀是否与 Active Directory 域名相同。验证是否已选中“在 DNS 检查中注册此连接的地址”框。单击确定三次。

如果更改任何 DNS 客户端设置，则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。若要清除 DNS 解析程序缓存，请在命令提示符处键入以下命令： ipconfig /flushdns 若要注册 DNS 资源记录，请在命令提示符处键入以下命令： ipconfig /registerdns

若要确认 DNS 数据库中的 DNS 记录是否正确，请启动 DNS 管理控制台。计算机名称应有主机记录。 (此主机记录是高级视图中的“A”记录。) 还应有颁发机构开始 (SOA) 记录，以及指向域控制器的名称服务器 (NS) 记录。

未安装 DNS 的域控制器

如果不使用 Active Directory 集成 DNS，并且没有安装 DNS 的域控制器，Microsoft 建议根据以下规范配置 DNS 客户端设置：

将域控制器上的 DNS 客户端设置配置为指向与计算机所属的域相对应的区域的 DNS 服务器。由于广域网 (WAN) 流量注意事项，因此首选本地主 DNS 服务器和辅助 DNS 服务器。如果没有可用的本地 DNS 服务器，请指向可通过可靠 WAN 链接访问的 DNS 服务器。运行时间和带宽决定了可靠性。不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。相反，内部 DNS 服务器应转发到 ISP 的 DNS 服务器以解析外部名称。 Windows Server 成员服务器

在 Windows Server 成员服务器上，Microsoft 建议根据以下规范配置 DNS 客户端设置：

将主要和辅助 DNS 客户端设置配置为指向本地主 DNS 服务器和辅助 DNS 服务器， (本地 DNS 服务器是否可用，) 托管计算机的 Active Directory 域的 DNS 区域。如果没有可用的本地 DNS 服务器，请指向可通过可靠的 WAN 链接访问该计算机的 Active Directory 域的 DNS 服务器。运行时间和带宽决定了可靠性。不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。如果这样做，在尝试将基于 Windows Server 的服务器加入域时，或者尝试从该计算机登录到域时，可能会遇到问题。相反，内部 DNS 服务器应配置转发到 ISP 的 DNS 服务器以解析外部名称。 Windows Server 非成员服务器如果服务器未配置为域的一部分，仍可以将它们配置为使用 Active Directory 集成的 DNS 服务器作为其主 DNS 服务器和辅助 DNS 服务器。如果你的环境中有使用 Active Directory 集成 DNS 的非成员服务器，则它们不会将其 DNS 记录动态注册到配置为仅接受安全更新的区域。如果不使用 Active Directory 集成 DNS，并且想要为内部和外部 DNS 解析配置非成员服务器，请将 DNS 客户端设置配置为指向转发到 Internet 的内部 DNS 服务器。如果只需要 Internet DNS 名称解析，则可以将非成员服务器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。

【本文地址】

公司简介

联系我们