メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

DNS-määrityksen parhaat käytännöt Active Directory -toimialueella

概要: Parhaiden käytäntöjen suositukset DNS-määritystä varten Active Directoryssa

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Artikkelin yhteenveto: artikkeli sisältää tietoja parhaista käytännöistä määritettäessä DNS:ää Active Directory -toimialueella.


 

Jotta Active Directory toimii suunnitellusti, DNS on määritettävä asianmukaisesti. Väärin määritetty DNS voi aiheuttaa monenlaisia ongelmia, kuten kirjautumisen epäonnistumisen, ryhmäkäytäntöjen käsittelyongelmia ja replikointiongelmia. Seuraavaa parhaiden käytäntöjen luettelo ei ole kattava, mutta se helpottaa nimenselvitystä Active Directory -toimialueella.

  • Pienessä ympäristössä vähintään yhden toimialueen ohjauskoneen on oltava DNS-palvelin. DNS:n voi asentaa palvelimiin, jotka eivät ole toimialueen ohjauskoneita, myös muihin kuin Windows-palvelimiin, mutta kun DNS asennetaan toimialueen ohjauskoneeseen, voidaan käyttää Active Directoryyn integroituja haun alueita (lisätietoja on jäljempänä), jotka parantavat suojausta ja yksinkertaistavat alueiden replikointia.
     
  • Suuremmassa ympäristössä kussakin fyysisessä paikassa on oltava vähintään kaksi toimialueen ohjauskonetta, jotka ovat DNS-palvelimia. Se varmistaa vikasietoisuuden siinä tapauksessa, että toimialueen ohjauskone siirtyy odottamatta offline-tilaan. Huomioi, että toimialueeseen liitetyt tietokoneet on määritettävä käyttämään useaa DNS-palvelinta, jotta tätä voidaan hyödyntää.

     
  • Jos useita toimialueen ohjauskoneita on määritetty DNS-palvelimiksi, ne on määritettävä käyttämään nimenselvitykseen ensisijaisesti toisiaan ja toissijaisesti itseään. Kunkin toimialueen ohjauskoneen on oltava omassa DNS-palvelinluettelossaan, mutta ei luettelon ensimmäisenä palvelimena. Jos toimialueen ohjauskone käyttää nimenselvitykseen vain itseään, se saattaa lakata replikoimasta muiden toimialueen ohjauskoneiden kanssa. Se ei toki ole ongelma, jos toimialueella on vain yksi toimialueen ohjauskone.

     
  • Kaikkien toimialueeseen liitettyjen tietokoneiden on käytettävä ainoastaan sisäisiä DNS-palvelimia. Jos toimialueeseen liitetty tietokone on määritetty käyttämään ulkoista palvelinta vaihtoehtoisena DNS-palvelimena ja yhteys sisäiseen DNS-palvelimeen katkeaa tilapäisesti, kyseinen tietokone alkaa käyttää ulkoista palvelinta nimenselvitykseen. Kyseinen ulkoinen palvelin ei pysty vastaamaan AD-toimialueen sisäisiin kyselyihin, ja työasema ei palaa automaattisesti käyttämään sisäistä DNS-palvelinta, kun yhteys palaa. Silloin kyseinen tietokone ei tavallisesti pysty käyttämään toimialueen resursseja. Huomioi, että jos liität DHCP-osoitteita työasemiin pienen toimiston tai kotitoimiston reititintä, se todennäköisesti liittää kyseisiin työasemiin myös ulkoisia DNS-palvelimia, ellei sitä ole määritetty manuaalisesti toimimaan toisin.

     
  • Usean toimipaikan ympäristössä toimialueen jäsenet on määritettävä käyttämään ensisijaisesti paikallisia DNS-palvelimia ennen muiden toimipaikkojen palvelimia. Se minimoi DNS-liikenteen hitaampien WAN-yhteyksien kautta.

     
  • Käytä Active Directoryyn integroituja DNS-alueita suojauksen parantamiseen ja DNS-replikoinnin yksinkertaistamiseen. AD-integroidut alueet on tallennettu Active Directoryn hakemisto-osioihin. Ne replikoivat, kuten muukin AD. Siksi DNS-replikointiin ei tarvita ylimääräistä määritystä (eli alueiden siirron määritystä). Lisäksi AD-integroidut alueet sallivat suojatut dynaamiset päivitykset. Se estää DNS-tietueiden päivitykset tietokoneista, joiden todennus toimialueelle ei onnistu.

     
  • DNS-alueiden pitäisi sallia ainoastaan suojatut dynaamiset päivitykset, ellei muunlaiseen toimintaan ole pakottavaa tarvetta. Jos suojaamattomat dynaamiset päivitykset ovat sallittuja, toimialueen ulkopuoliset tietokoneet voivat muuttaa toimialueen DNS-palvelimissa olevia tietueita, mikä on tietoturvariski. Dynaamisten päivitysten poistaminen käytöstä kokonaan taas suojaa DNS-tietueita, mutta vaikeuttaa toimialueen hallintaa.

     
  • Määritä välittäjät tai root hint -palvelimet ulkoista nimenselvitystä varten Internetiin yhteydessä olevassa ympäristössä. Välittäjät voivat vastata ulkoisiin kyselyihin nopeammin, mutta ne ovat vähemmän vikasietoisia kuin kirjoitushetkellä käytettävissä olevat 374 laajasti hajautettua DNS-pääpalvelinta. Root hint -tiedot ovat oletusarvoisesti Windows-palvelimissa, mutta välittäjät on määritettävä manuaalisesti. 

     
  • Tietyllä toimialueella olevat DNS-palvelimet eivät saa käyttää toisiaan välittäjänä. Välittäjät ovat palvelimia, joihin DNS-palvelin lähettää kyselyt, joihin ei pysty itse vastaamaan (eli kyselyt, joihin liittyvät tietueet eivät sijaitseva palvelimen isännöimillä alueilla). Toimialueella sijaitsevat DNS-palvelimet isännöivät tavallisesti kaikki samoja alueita, joten jos yksi niistä ei pysty vastaamaan tiettyyn kyseluun, mikään muukaan palvelin ei pysty siihen. Siksi kyseisen kyselyn välittäminen palvelimesta toiseen ainoastaan aiheuttaa viiveitä.

     
  • Vältä DNS-tietueiden vanheneminen määrittämällä erääntyminen ja poistaminen. Kun erääntyminen ja poistaminen on määritetty asianmukaisesti, vanhentuneet tietueet (määritettävissä olevaa vanhemmat) poistetaan DNS:stä automaattisesti. 

     
  • Käytä DNS Best Practice Analyzer -toimintoa. DNS BPA tarkistaa enemmän kohteita kuin tässä on mainittu ja antaa ohjeet löytämiensä ongelmien korjaamiseen.  Lisätietoja DNS BPA -toiminnosta on kohteessa Best Practices Analyzer for Domain Name System (englanninkielinen).
 

 

SLN155801_fi__1icon Huomautus: lisätietoja parhaista DNS-käytännöistä on Microsoftin virallisissa käyttöjärjestelmäkohtaisissa oppaissa.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution