メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Best Practices für die DNS-Konfiguration in einer Active-Directory-Domäne

概要: Best-Practice-Empfehlungen zur Konfiguration des DNS in Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Artikelzusammenfassung: Dieser Artikel enthält Best-Practice-Empfehlungen für die Konfiguration des DNS in einer Active Directory-Domäne.


 

Damit Active Directory wie vorgesehen funktioniert, ist eine korrekte Konfiguration des DNS unerlässlich. Ein unsachgemäß konfiguriertes DNS kann eine Vielzahl von Problemen verursachen, darunter Fehler bei der Anmeldung, Probleme bei der Verarbeitung von Gruppenrichtlinien und Replikationsprobleme. Die folgende Liste bewährter Verfahren ist nicht allumfassend, wird aber dazu beitragen, eine korrekte Namensauflösung innerhalb einer Active Directory-Domäne sicherzustellen.

  • In einer kleinen Umgebung sollte mindestens ein Domain Controller (DC) ein DNS-Server sein. Es ist möglich, ein DNS auf Servern zu installieren, die keine DCs sind (einschließlich nicht-Windows-Servern), aber die Installation eines DNS auf DCs ermöglicht die Verwendung von AD-integrierten Lookup-Zonen (siehe unten), die die Sicherheit verbessern und die Zonen Replikation vereinfachen.
     
  • In einer größeren Umgebung sollten mindestens zwei Domänencontroller an jedem physischen Standort DNS-Server sein. Dies sorgt für Redundanz für den Fall, dass ein DC unerwartet offline geht. Beachten Sie, dass Domänen angehörende Rechner dafür konfiguriert werden müssen, mehrere DNS-Server zu verwenden, um davon zu profitieren.

     
  • Wenn mehrere DCs als DNS-Server konfiguriert sind, sollten Sie so konfiguriert sein, dass Sie zuerst den anderen und an zweiter Stelle sich selbst für die Auflösung verwenden. Die Liste der DNS-Server jedes DC sollte seine eine eigene Adresse enthalten, aber nicht als ersten Server in der Liste. Wenn ein DC nur sich selbst für die Auflösung verwendet, repliziert er unter Umständen nicht mehr mit anderen DCs. Dies ist offenkundig kein Problem in einer Domäne mit nur einem DC.

     
  • Alle einer Domäne angehörenden Computer dürfen nur interne DNS-Server verwenden. Wenn ein einer Domäne angehöriger Computer so konfiguriert ist, dass er einen externen Server als alternativen DNS-Server nutzt, wird ein vorübergehendes Fehlen einer Verbindung zu einem internen DNS-Server dazu führen, dass dieser Rechner den externen Server für die Auflösung verwendet. Dieser externe Server wird keine Abfragen innerhalb der AD-Domäne auflösen können und der Client-Rechner wird nicht automatisch zum internen DNS-Server zurück wechseln, wenn die Verbindung wieder hergestellt wird. Dies wirkt sich in der Regel so aus, dass vom betroffenen Rechner nicht auf Ressourcen in der Domäne zugegriffen werden kann. Wir weisen darauf hin, dass wenn Sie einen kleinen SOHO-Router (Small-Office/Home-Office) verwenden, um DHCP-Adressen Client-Rechnern zuzuweisen, er diesen Clients wahrscheinlich auch externe DNS-Server zuweisen wird, es sei denn, er wurde manuell anderweitig konfiguriert.

     
  • In einer Umgebung mit mehreren Standorten sollten Domänenmitglieder so konfiguriert sein, dass Sie die DNS-Server an ihrem lokalen Standort bevorzugt vor denen an einem anderen Standort nutzen. Dies minimiert die DNS-Datenmenge, in langsameren WAN-Verbindungen.

     
  • Verwenden Sie Active Directory-integrierte DNS-Zonen, um die Sicherheit zu verbessern und die DNS-Replikation zu vereinfachen. AD-integrierte DNS-Zonen werden in Verzeichnispartitionen innerhalb von Active Directory gespeichert. Diese Verzeichnispartitionen replizieren zusammen mit dem Rest von AD. Daher ist für die DNS-Replikation keine zusätzliche Konfiguration (z. B. Zonentransfer-Setup) erforderlich. Darüber hinaus ermöglichen AD-integrierte Zonen den Einsatz sicherer dynamischer Aktualisierungen. Dies verhindert Aktualisierungen von DNS-Datensätzen von Rechnern, die sich nicht mit der Domäne authentifizieren können.

     
  • DNS-Zonen sollten nur sichere dynamische Aktualisierungen zulassen, es sei denn, zwingende Gründe sprechen dagegen. Das Zulassen von nicht sicheren dynamischen Updates kann dazu führen, dass Rechner, die nicht Teil der Domäne sind, Datensätze auf den DNS-Servern der Domäne ändern können, was ein Sicherheitsrisiko darstellt. Das Deaktivieren sämtlicher dynamischer Updates hingegen sichert zwar die DNS-Datensätze, erschwert aber die Verwaltung der Domäne.

     
  • Konfigurieren Sie die Weiterleitung oder Root-Hinweise für die externe Namensauflösung in einer mit dem Internet verbundene Umgebung. Weiterleitungen können eine schnellere Reaktion auf externe Abfragen bieten, aber Sie sind weniger redundant als die 374 weit verteilten Root-DNS-Server, die zum Zeitpunkt der Veröffentlichung dieses Dokuments existieren. Root-Hinweise sind standardmäßig auf Windows-Servern vorhanden, aber Weiterleitungen müssen manuell konfiguriert werden. 

     
  • DNS-Server innerhalb einer Domäne sollten sich nicht gegenseitig als Weiterleitung verwenden. Weiterleitungen sind Server, an die ein DNS-Server Abfragen sendet, die er nicht beantworten kann (d.h. Abfragen für Datensätze in Zonen, die er nicht hostet). DNS-Server innerhalb einer Domäne hosten in der Regel die gleichen Zonen, wenn also einer von Ihnen nicht in der Lage ist, eine bestimmte Abfrage zu beantworten, werden Sie alle nicht in der Lage sein, dies zu tun, und die Weiterleitung dieser Abfrage von einem Server zu einem anderen wird nur zu Verzögerungen führen.

     
  • Konfigurieren Sie Fälligkeit und Scavenging, um veraltete DNS-Datensätze zu vermeiden. Die richtige Konfiguration von Fälligkeit und Scavenging sorgt dafür, dass veraltete Datensätze (die ein bestimmtes, konfigurierbares Alter überschreiten) automatisch vom DNS entfernt werden. 

     
  • Verwenden Sie den DNS Best Practice Analyzer. Der DNS BPA führt eine Überprüfung auf mehr Elemente als hier dokumentiert durch und bietet Richtlinien für die Lösung von Problemen, die er findet.  Weitere Informationen über den DNS BPA finden Sie unter Best Practices Analyzer für Domain Name System.
 

 

SLN155801_de__1icon Hinweis: Weitere und detaillierte Informationen zu den DNS-Best Practices finden Sie in der offiziellen Dokumentation von Microsoft entsprechend Ihrer Betriebssystemversion/Edition.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution