Active Directory域中DNS配置的最佳实践

概要: 在Active Directory中配置DNS的妥善做法建议

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

文章摘要:本文提供了在Active Directory域中配置DNS的妥善做法建议。


 

要让Active Directory按预期功能运行,正确配置DNS至关重要。DNS配置不当可能会导致各种问题,包括登录失败、组策略处理问题和复制问题。下面的妥善做法列表并非包罗一切,但将有助于确保在Active Directory域内正确的名称解析。

  • 在小型环境中,至少一个域控制器(DC)应该是DNS服务器。可以在不是DC的服务器(包括非Windows服务器)上安装DNS,但在DC上安装DNS允许使用AD集成的查找区域(见下文),从而提高安全性并简化区域复制。
     
  • 在较大的环境中,每个物理站点上至少有两个域控制器应该是DNS服务器。这将在一个DC意外离线时提供冗余。请注意,必须配置已加入域的计算机使用多个DNS服务器才能利用此优势。

     
  • 如果将多个DC配置为DNS服务器,则应将它们配置为首先相互使用对方进行解析,其次才使用自己。每个DC的DNS服务器列表应包括自己的地址,但不应作为列表中的第一个服务器。如果某个DC只使用自身进行解析,它可能会停止与其他DC进行复制。这在只有一个DC的域中显然不是问题。

     
  • 所有已加入域的计算机必须只使用内部DNS服务器。如果将已加入域的计算机配置为使用外部服务器作为备用DNS服务器,则暂时缺乏与内部DNS服务器的连接将导致该计算机开始使用外部服务器进行解析。该外部服务器将无法解析对AD域内任何内容的查询,当连接恢复时,客户端计算机不会自动转回到内部DNS服务器。这通常表现为无法从受影响的计算机访问域中的资源。请注意,如果您使用小型办公/家庭办公(SOHO)路由器向客户端计算机分配DHCP地址,也可能会将外部DNS服务器分配给这些客户端,除非以其他方式进行了手动配置。

     
  • 在多站点环境中,应将域成员配置为使用其本地站点上的DNS服务器,然后才是其他站点上的服务器。这样就减少了跨较慢WAN链路的DNS通信量。

     
  • 使用Active Directory集成的DNS区域来提高安全性并简化DNS复制。AD集成的DNS区域存储在Active Directory内的目录分区中。这些目录分区与AD的其余部分一起复制;因此,DNS复制不需要额外的配置(即区域传输设置)。此外,AD集成区域还允许使用安全的动态更新。这可以防止从无法通过域验证的计算机上对DNS记录进行更新。

     
  • 除非有令人信服的理由,否则,DNS区域应该只允许安全的动态更新。允许不安全的动态更新,可能会使不属于域成员的计算机修改域的DNS服务器上的记录,这是安全风险。另一方面,完全禁用动态更新会保护DNS记录,但使管理域更加困难。

     
  • 在连接互联网的环境中,配置转发器或根目录提示进行外部名称解析。转发器对外部查询能提供更快的响应,但与撰写这篇文章时存在的374个广泛分布的根DNS服务器相比,它们的冗余较少。默认情况下,Windows服务器上存在根目录提示,但转发器必须手动配置。 

     
  • 域中的DNS服务器不应彼此用作转发器。转发器是DNS服务器向其发送自身无法回答的查询(即对它不寄存区域中的记录的查询)的服务器。域中的DNS服务器通常都寄存相同的区域,因此,如果其中一个无法回答给定的查询,则它们全都无法做到,将该查询从一个服务器转发到另一个服务器只会造成延迟。

     
  • 配置老化和清理,以避免陈旧的DNS记录。正确配置老化和清理可确保自动从DNS中清除陈旧记录(那些比某一时限还老的记录,可以进行配置)。 

     
  • 使用DNS Best Practice Analyzer。DNS BPA检查的项目比本文记录的更多,并为解决它发现的任何问题提供了指导。  如需关于DNS BPA的更多信息,请参阅域名系统的Best Practices Analyzer
 

 

SLN155801_zh_CN__1icon 注意:有关DNS妥善做法的更多详细信息,请参阅您的操作系统版本对应的Microsoft官方文档。

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution