メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Beste fremgangsmåter for DNS-konfigurasjon i et Active Directory-domene

概要: Anbefalinger for beste fremgangsmåter for konfigurering av DNS i Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Artikkelsammendrag: Denne artikkelen gir anbefalinger for beste fremgangsmåter for konfigurering av DNS i et Active Directory-domene.


 

For at Active Directory skal fungere etter hensikten, er riktig konfigurasjon av DNS avgjørende. Feilkonfigurert DNS kan forårsake en rekke problemer, inkludert påloggingsfeil, problemer med behandling av gruppepolicyer og replikeringsproblemer. Følgende liste over beste fremgangsmåter er ikke fullstendig, men vil sikre riktig navneløsing i et Active Directory-domene.

  • I et lite miljø bør minst én domenekontroller (DC) være en DNS-server. Det er mulig å installere DNS på servere som ikke er domenekontrollere, inkludert ikke-Windows-servere, men installasjon av DNS på domenekontrollere muliggjør AD-integrerte oppslagssoner (se nedenfor), som øker sikkerheten og forenkler sonereplikering.
     
  • I et større miljø bør minst to domenekontrollere (DC-er) på hvert fysiske sted være DNS-servere. Dette gir redundans i tilfelle én domenekontroller frakobles uventet. Vær oppmerksom på at domenetilknyttede maskiner må konfigureres til å bruke flere DNS-servere for å kunne utnytte dette.

     
  • Hvis flere domenekontrollere er konfigurert som DNS-server, bør de konfigureres til først å bruke de andre DNS-serverne til navneløsing, deretter seg selv. Hver domenekontrollers liste over DNS-servere bør omfatte dens egen adresse, men ikke som den første serveren i listen. Hvis en domenekontroller bare bruker seg selv til navneløsing, vil den kunne slutte å replikere med andre domenekontrollere. Dette er selvfølgelig ikke et problem i et domene med bare én domenekontroller.

     
  • Alle domenetilknyttede datamaskiner skal bare bruke DNS-servere som er innenfor domenet. Hvis en domenetilknyttet datamaskin er konfigurert til å bruke en ekstern server som en alternativ DNS-server, vil en midlertidig manglende tilkobling til en intern DNS-server føre til at maskinen begynner å bruke den eksterne serveren til navneløsing. Den eksterne serveren vil ikke kunne løse spørringer for noe inne i AD-domenet, og klientmaskinen vil ikke automatisk gå tilbake til den interne DNS-serveren når tilkoblingen er gjenopprettet. Dette viser seg vanligvis som manglende evne til å koble til ressurser i domenet fra den berørte maskinen. Hvis du bruker en ruter for små kontorer / hjemmekontorer (SOHO) til å tilordne DHCP-adresser til klientmaskiner, vil den antagelig også tilordne eksterne DNS-servere til disse klientene, med mindre den har blitt manuelt konfigurert til ikke å gjøre det.

     
  • I et miljø med flere nettsteder bør domenemedlemmer konfigureres til å bruke DNS-serverne i det lokale nettstedet før DNS-servere i et annet nettsted. Det minimerer mengden DNS-trafikk over tregere WAN-koblinger.

     
  • Bruk Active Directory-integrerte DNS-soner for å øke sikkerheten og forenkle DNS-replikering. AD-integrerte DNS-soner lagres i katalogpartisjoner i Active Directory. Slike katalogpartisjoner replikeres sammen med resten av Active Directory. Derfor kreves det ingen ekstra konfigurering (det vil si oppsett av soneoverføringer) for DNS-replikering. I tillegg muliggjør AD-integrerte soner bruk av sikre dynamiske oppdateringer. Det forhindrer oppdateringer til DNS-poster fra maskiner som ikke kan autentiseres i domenet.

     
  • Med mindre det er en overbevisende grunn til å gjøre noe annet, bør DNS-soner bare tillate sikre dynamiske oppdateringer. Hvis du tillater usikre dynamiske oppdateringer, kan maskiner som ikke er en del av domenet, endre poster på domenets DNS-servere, noe som er en sikkerhetsrisiko. Fullstendig deaktivering av dynamiske oppdateringer, derimot, sikrer DNS-postene, men gjør administrasjonen av domenet vanskeligere.

     
  • Konfigurere videresendere eller rothint for ekstern navneløsing i et Internett-tilkoblet miljø. Videresendere kan gi raskere svar på eksterne spørringer, men de er mindre redundante enn de 374 bredt distribuerte rot-DNS-serverne som finnes når dette skrives. Rothint finnes som standard på Windows-servere, men videresendere må konfigureres manuelt. 

     
  • DNS-servere i et domene bør ikke bruke hverandre som videresendere. Videresendere er servere som en DNS-server sender forespørsler til som den ikke kan besvare selv (dvs. spørringer om poster i soner som den ikke er vert for). Alle DNS-servere i et domene vil vanligvis være vert for de samme sonene, så hvis en av dem ikke kan svare på en bestemt spørring, vil heller ikke de andre kunne gjøre det, og videresending av spørringen fra én server til en annen vil bare føre til forsinkelser.

     
  • Konfigurer aldring og rensking for å unngå foreldede DNS-poster. Riktig konfigurering av aldring og rensking sikrer at foreldede poster (de som er eldre enn en viss alder, som er konfigurerbar) vil bli fjernet fra DNS automatisk. 

     
  • Bruk DNS Best Practice Analyzer. DNS BPA ser etter flere elementer enn det som er dokumentert her, og gir retningslinjer for løsning av problemer den finner.  Du finner mer informasjon om DNS BPA i Analysator for beste fremgangsmåter for domenenavnsystem (DNS).
 

 

SLN155801_no__1icon Merk: Hvis du vil ha ytterligere og mer detaljert informasjon om beste fremgangsmåter for DNS, kan du se Microsofts offisielle dokumentasjon for operativsystemetversjonen/-utgaven din.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution