メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Bästa praxis för DNS-konfiguration i en Active Directory-domän

概要: Rekommendationer för bästa praxis för konfigurering av DNS i en Active Director

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Artikelsammanfattning: Den här artikeln innehåller rekommendationer för bästa praxis för konfigurering av DNS i en Active Directory-domän.


 

För att Active Directory ska fungera som avsett är korrekt konfiguration av DNS viktig. Felaktigt konfigurerad DNS kan orsaka en rad olika problem, inklusive inloggningsfel, gruppolicybearbetningsproblem och replikeringsproblem. Följande lista med metodtips är inte allomfattande, men hjälper till att säkerställa korrekt namnmatchning i en Active Directory-domän.

  • I en liten miljö bör minst en domänkontrollant (DC) vara en DNS-server. Det är möjligt att installera DNS på servrar som inte är domänkontrollanter, inklusive icke-Windows-servrar, men att installera DNS på domänkontrollanter tillåter användning av AD-integrerade sökningszoner (se nedan), som förbättrar säkerheten och förenklas zonreplikering.
     
  • I en större miljö bör minst två domänkontrollanter på varje fysisk plats vara DNS-servrar. Detta ger redundans i händelse av att en domänkontrollant går offline oväntat. Observera att domänanslutna datorer måste konfigureras för att använda flera DNS-servrar för att kunna utnyttja detta.

     
  • Om flera domänkontrollanter är konfigurerade som DNS-servrar, bör de konfigureras för att använda varandra för lösning först och sig själv andra. Varje domänkontrollants lista med DNS-servrar bör innehålla en egen adress, men inte som den första servern i listan. Om en domänkontrollant använder endast sig själv för lösning kan den sluta replikera med andra domänkontrollanter. Detta är uppenbarligen inte ett problem i en domän med endast en DC.

     
  • Alla domänanslutna datorer får endast använda interna DNS-servrar. Om en domänansluten dator är konfigurerad för att använda en extern server som en alternativ DNS-server, kommer en tillfällig avsaknad av anslutning till en intern DNS-server att orsaka att datorn börjar använda den externa servern för lösning. Den externa servern kan inte matcha frågor för något i AD-domänen och klientdatorn återställs inte automatiskt till den interna DNS-servern när anslutningen återställs. Detta manifesterar sig vanligtvis som att den berörda datorn inte kan komma åt resurser i domänen. Observera att om du använder en liten Office/Home-Office (SOHO)-router för att tilldela DHCP-adresser till klientdatorer, kommer det sannolikt också tilldela externa DNS-servrar till dessa klienter om den inte har manuellt konfigurerats för att göra något annat.

     
  • I en miljö med flera platser bör domänmedlemmar konfigureras att använda DNS-servrarna på den lokala platsen innan dem på en annan plats. Detta minimerar mängden DNS-trafik som passerar långsammare WAN-länkar.

     
  • Använd Active Directory-integrerade DNS-zoner för att förbättra säkerheten och förenkla DNS-replikeringen. AD-integrerade DNS-zoner lagras i katalogpartitioner i Active Directory. Dessa katalogpartitioner replikeras tillsammans med resten av AD. Därför krävs ingen extra konfiguration (d.v.s. zonöverföringsinställningar) för DNS-replikering. Dessutom tillåter AD-integrerade zoner användning av säkra dynamiska uppdateringar. Detta förhindrar uppdateringar av DNS-poster från datorer som inte kan autentisera med domänen.

     
  • Om det inte finns tvingande skäl att göra något annat bör DNS-zonerna endast tillåta säkra dynamiska uppdateringar. Om du tillåter osäkra dynamiska uppdateringar kan du aktivera datorer som inte ingår i domänen för att ändra poster på domänens DNS-servrar, vilket är en säkerhetsrisk. Att inaktivera dynamiska uppdateringar helt och hållet, å andra sidan, säkrar DNS-poster, men gör hanteringen av domänen svårare.

     
  • Konfigurera vidarebefordrare eller rottips för extern namnmatchning i en Internet-ansluten miljö. Vidarebefordrare kan ge ett snabbare svar på externa frågor, men de är mindre redundanta än de 374 distribuerade rot-DNS-servrar som finns i denna skrift. Rottips finns som standard på Windows-servrar, men vidarebefordrare måste konfigureras manuellt. 

     
  • DNS-servrar i en domän bör inte använda varandra som vidarebefordrare. Vidarebefordrare är servrar som en DNS-server skickar frågor till som den inte kan svara på (d.v.s. frågor för poster i zoner som den inte är värd för). DNS-servrar i en domän är vanligtvis värdar för samma zoner, så om en av dem inte kan besvara en viss fråga, kommer ingen att kunna göra det, och vidarebefordran av frågan från en server till en annan kommer helt enkelt att orsaka fördröjningar.

     
  • Konfigurera åldrande och rensning för att undvika inaktuella DNS-poster. Korrekt konfigurering av åldrande och rensning säkerställer att inaktuella poster (de äldre än en viss ålder, som är konfigurerbar) kommer att rensas från DNS automatiskt. 

     
  • Använda DNS Best Practice Analyzer. DNS BPA söker efter fler objekt än vad som dokumenteras här och ger riktlinjer för att lösa eventuella problem den hittar.  Mer information om DNS BPA finns på Best Practices Analyzer för domännamnssystem.
 

 

SLN155801_sv__1icon Obs! För ytterligare och detaljerad information om bästa praxis för DNS, se Microsofts officiella dokumentation i enlighet med din version/utgåva av operativsystemet.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution