メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Aanbevolen procedures voor DNS-configuratie in een Active Directory-domein

概要: Aanbevolen procedures voor DNS-configuratie in een Active Directory-domein

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Samenvatting van het artikel: Dit artikel beveelt procedures aan voor het configureren van DNS in een Active Directory-domein.


 

Om Active Directory te laten functioneren als bedoeld is een juiste configuratie van DNS essentieel. Een onjuist geconfigureerd DNS kan verschillende problemen veroorzaken, zoals aanmeldingsfouten, problemen met de verwerking van Groepsbeleid en replicatieproblemen. De volgende lijst met aanbevolen procedures is niet allesomvattend, maar zorgt voor een goede naamomzetting in een Active Directory-domein.

  • In een kleine omgeving moet ten minste één domeincontroller (DC) een DNS-server zijn. Het is mogelijk om DNS te installeren op servers die geen DC's zijn, niet-Windows-servers inbegrepen, maar het installeren van DNS op DC's maakt het gebruik van in AD geïntegreerde opzoekzones (zie onder) mogelijk, die de veiligheid verbeteren en zonereplicatie vereenvoudigen.
     
  • In een grotere omgeving moeten ten minste twee domeincontrollers op elke fysieke site DNS-servers zijn. Dit biedt redundantie in het geval dat een DC onverwacht offline gaat. Met het domein verbonden machines moeten overigens worden geconfigureerd voor gebruik van meerdere DNS-servers om daarvan gebruik te maken.

     
  • Als meerdere DC's zijn geconfigureerd als DNS-servers, moeten ze worden geconfigureerd om elkaar in eerste instantie te gebruiken voor naamomzetting en in tweede instantie voor elkaar. In de lijst met DNS-servers van elke DC moet het eigen controlleradres zijn opgenomen, maar niet als de eerste server in de lijst. Als een DC zichzelf alleen gebruikt voor de omzetting, kan de controller replicatie met andere DC's stoppen. Dit is natuurlijk geen probleem in een domein met slechts één DC.

     
  • Alle met het domein verbonden computers moeten uitsluitend interne DNS-servers gebruiken. Als een met het domein verbonden computer is geconfigureerd voor gebruik van een externe server als alternatieve DNS-server, zal een tijdelijk verlies van connectiviteit met een interne DNS-server ertoe leiden dat die machine de externe server gaat gebruiken voor naamomzetting. Die externe server kan geen query's omzetten voor iets in het AD- domein en de clientcomputer wordt niet automatisch teruggeleid naar de interne DNS-server als de verbinding is hersteld. Dit blijkt meestal als vanaf de betreffende machine geen toegang meer kan worden verkregen tot bronnen in het domein. Als u een Small-Office/Home-Office (SOHO)-router gebruikt om DHCP-adressen toe te wijzen aan clientcomputers, zal het waarschijnlijk ook externe DNS-servers toewijzen aan die clients, tenzij de router handmatig anders is geconfigureerd.

     
  • In een omgeving met meerdere locaties moeten domeinleden worden geconfigureerd om in eerste instantie de DNS-servers op hun lokale site te gebruiken en daarna die op andere sites. Op die maniet wordt het DNS-verkeer over tragere WAN-verbindingen geminimaliseerd.

     
  • Gebruik in Active Directory geïntegreerde DNS-zones om de beveiliging te verbeteren en de DNS-replicatie te vereenvoudigen. In AD geïntegreerde DNS-zones worden opgeslagen in directorypartities binnen Active Directory. Deze directorypartities worden samen met de rest van AD gerepliceerd; daarom is voor DNS-replicatie geen extra configuratie (zoals zoneoverdracht instellen) vereist. In AD geïntegreerde zones maken het bovendien mogelijk om beveiligde dynamische updates te gebruiken. Dit voorkomt updates van DNS-records vanaf machines die niet kunnen worden geverifieerd bij het domein.

     
  • Tenzij er een dwingende reden is om hiervan af te wijken, moeten DNS-zones alleen beveiligde dynamische updates toestaan. Als u onbeveiligde dynamische updates toestaat, kunnen daardoor machines die geen deel uitmaken van het domein in staat worden gesteld om de records op de DNS-servers van het domein te wijzigen, wat een beveiligingsrisico is. Dynamische updates geheel uitschakelen daarentegen, beveiligt de DNS-records, maar maakt het lastiger om het domein te beheren.

     
  • Doorstuurservers of basisservers configureren voor externe naamomzetting in een met internet verbonden omgeving. Doorstuurservers kunnen sneller respons geven op externe query's, maar ze zijn minder redundant dan de huidige, wereldwijd verspreide 374 DNS-basisservers. Basisservers zijn standaard aanwezig op Windows-servers, maar doorstuurservers moeten handmatig worden geconfigureerd. 

     
  • DNS-servers in een domein mogen elkaar niet gebruiken als doorstuurservers. Doorstuurservers zijn servers waarnaar een DNS-server query's verzendt die de DNS-server niet kan beantwoorden (d.w.z. query's voor records in zones die niet op de DNS-server worden gehost). DNS-servers binnen een domein hosten alle meestal dezelfde zones, dus als een van deze servers een bepaalde query niet kan beantwoorden, kunnen ze dat geen van alle en zal het doorsturen van die query van de ene server naar de andere alleen vertragingen veroorzaken.

     
  • Ouderdomsrangschikking en opruiming configureren om verlopen DNS-records te voorkomen. Ouderdomsrangschikking en opruiming juist configureren zorgt dat verlopen records (ouder dan een bepaalde te configureren leeftijd) automatisch van het DNS worden verwijderd. 

     
  • Gebruik de DNS Best Practice Analyzer. De DNS BPA controleert op meer items dan hier gedocumenteerd en geeft richtlijnen voor het oplossen van eventuele problemen die worden aangetroffen.  Meer informatie over de DNS BPA is te vinden op Best Practices Analyzer voor Domain Name System.
 

 

SLN155801_nl_NL__1icon Opmerking: Raadpleeg voor verdere en gedetailleerde informatie over aanbevolen DNS-procedures de officiële documentatie van Microsoft behorend bij de versie/editie van uw besturingssysteem.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution