メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Best practice for DNS-konfiguration i et Active Directory-domæne

概要: Anbefalinger til bedste praksis for konfiguration af DNS i Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Artikeloversigt: Denne artikel indeholder anbefalinger for best practice ved konfiguration af DNS i et Active Directory-domæne.


 

For at Active Directory kan fungere som forventet er det afgørende, at DNS konfigureres rigtigt. Et forkert konfigureret DNS kan medføre en række problemer, herunder logon-fejl, fejl i behandling af gruppepolitik samt replikeringsproblemer. Følgende liste over best practice er ikke udtømmende, men hjælper med til at sikre korrekt navneløsning i et Active Directory-domæne.

  • I et mindre miljø bør mindst én domænecontroller (DC) være en DNS-server. Det er muligt at installere DNS på servere, der ikke er DC'ere, herunder ikke-Windows-servere, men installation af DNS på DC'ere giver mulighed for brug af AD-integrerede søgezoner (se nedenfor), som forbedrer sikkerheden og forenkler zonereplikering.
     
  • I et større miljø skal mindst to domænecontrollere på hvert fysiske sted være DNS-servere. Dette giver redundans i tilfælde af, at én DC uventet går offline. Bemærk, at domæneforbundne maskiner skal være konfigureret til at bruge flere DNS-servere for at kunne udnytte dette.

     
  • Hvis flere DC'ere er konfigureret som DNS-servere, skal de være konfigureret til at bruge hinanden til opløsning først og derefter sig selv. Hver DC's liste over DNS-servere skal indeholde dens egen adresse, men ikke som den første server på listen. Hvis en DC kun bruger sig selv til opløsning, kan den muligvis holde op med at replikere med andre DC'ere. Dette er naturligvis ikke et problem i et domæne med kun én DC.

     
  • Alle domæneforbundne computere skal kun bruge interne DNS-servere. Hvis en domæneforbundet computer er konfigureret til at bruge en ekstern server som en alternativ DNS-server, vil en midlertidig manglende forbindelse til en intern DNS-server medføre, at maskinen begynder at bruge den eksterne server til opløsning. Denne eksterne server vil ikke kunne løse forespørgsler om noget i AD-domænet, og klientmaskinen vil ikke automatisk gå tilbage til den interne DNS-server, når forbindelsen er genoprettet. Dette manifesterer sig generelt som en manglende adgang til ressourcer i domænet fra den berørte maskine. Vær opmærksom på, at hvis du bruger en router til mindre kontorer/hjemmekontorer (SOHO) til at tildele DHCP-adresser til klientmaskiner, vil den sandsynligvis også tildele eksterne DNS-servere til disse klienter, medmindre den er blevet konfigureret manuelt til noget andet.

     
  • I et miljø med flere fysiske placeringer bør domænemedlemmer være konfigureret til at bruge DNS-serverne på deres lokale fysiske placering, før de bruger nogen på en anden placering. Dette minimerer mængden af DNS-trafik, som krydser langsommere WAN-links.

     
  • Brug Active Directory-integrerede DNS-zoner til at forbedre sikkerheden og forenkle DNS-replikering. AD-integrerede DNS-zoner er gemt i mappepartitioner i Active Directory. Disse mappepartitioner replikeres sammen med resten af AD, og derfor kræves der ingen ekstra konfiguration (dvs. zoneoverførselsopsætning) til DNS-replikering. Desuden tillader AD-integrerede zoner brug af sikre dynamiske opdateringer. Dette forhindrer opdateringer til DNS-poster fra maskiner, som ikke kan godkendes i domænet.

     
  • Medmindre der findes en overbevisende grund til at gøre noget andet, bør DNS-zoner kun tillade dynamiske opdateringer. Tilladelse af usikre dynamiske opdateringer kan gøre det muligt for maskiner, som ikke er en del domænet, at ændre poster på domænets DNS-servere, hvilket udgør en sikkerhedsrisiko. En fuldstændig deaktivering af dynamiske opdateringer beskytter derimod DNS-posterne, men gør håndteringen af domænet sværere.

     
  • Konfigurer videresendelser eller rod-tip til ekstern navneløsning i et internetforbundet miljø. Videresendelser kan give et hurtigere svar på eksterne forespørgsler, men de er mindre redundante end de 374 bredt distribuerede rod-DNS-servere, der eksisterer i skrivende stund. Rod-tip er til stede som standard på Windows-servere, men videresendelser skal konfigureres manuelt. 

     
  • DNS-servere inden for et domæne bør ikke bruge hinanden som videresendelser. Videresendelser er servere, hvortil en DNS-server vil sende forespørgsler, som den ikke kan besvare (dvs. forespørgsler til poster i zoner, der ikke eksisterer). DNS-servere i et domæne vil typisk alle være værter for de samme zoner, så hvis én af dem ikke er i stand til at besvare en given forespørgsel, vil ingen af dem være i stand til det, og videresendelse af denne forespørgsel fra én server til en anden vil blot forårsage forsinkelser.

     
  • Konfigurer aldersfordeling og udrensning for at undgå forældede DNS-poster. Korrekt konfiguration af aldersfordeling og udrensning sikrer, at forældede poster (dem, som er ældre end en vis alder, der kan konfigureres) slettes automatisk fra DNS. 

     
  • Brug DNS BPS (Best Practice Analyzer). DNS BPA søger efter flere elementer, end der er dokumenteret her, og giver retningslinjer for løsning af eventuelle problemer, den finder.  Du kan finde flere oplysninger om DNS BPA i Best BPA (Practices Analyzer) til DNS (Domain Name System).
 

 

SLN155801_da__1icon Bemærk: Du finder yderligere og detaljerede oplysninger om DNS Best Practices i Microsofts officielle dokumentation i henhold til dit operativsystems version/udgave.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution