メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Najważniejsze wskazówki dotyczące konfiguracji serwera DNS w domenie Active Directory

概要: Zalecenia w zakresie najlepszych praktyk dotyczących konfiguracji serwera DNS w usłudze Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Podsumowanie artykułu: ten artykuł zawiera najlepsze zalecenia dotyczące konfigurowania serwera DNS w domenie Active Directory.


 

Aby usługa Active Directory działała zgodnie z przeznaczeniem, odpowiednia konfiguracja serwera DNS jest niezbędna. Nieprawidłowo skonfigurowany serwer DNS może powodować różne problemy, w tym błędy logowania, problemy z przetwarzaniem zasad grupy i problemy z replikacją. Poniższa lista najlepszych praktyk nie jest wyczerpująca, lecz gwarantuje prawidłowe rozpoznawanie nazw w domenie Active Directory.

  • W małym środowisku co najmniej jeden kontroler domeny powinien być serwerem DNS. Istnieje możliwość zainstalowania systemu DNS na serwerach, które nie są kontrolerami domeny, w tym na serwerach innych niż Windows, lecz zainstalowanie systemu DNS na kontrolerach domeny umożliwia korzystanie ze stref wyszukiwania zintegrowanych z AD (patrz poniżej), które zwiększają bezpieczeństwo i upraszczają replikację stref.
     
  • W większym środowisku co najmniej dwa kontrolery domeny w każdej lokalizacji fizycznej powinny być serwerami DNS. Zapewnia to nadmiarowość w przypadku, gdy jeden kontroler domeny nieoczekiwanie przejdzie w tryb offline. Pamiętaj, że komputery przyłączone do domeny muszą być skonfigurowane do używania wielu serwerów DNS w celu skorzystania z tej funkcji.

     
  • Jeśli wiele kontrolerów domeny jest skonfigurowanych jako serwery DNS, powinny być one ustawione pod kątem rozpoznawania nazw w pierwszej kolejności, a następnie w zakresie rozpoznawania samych siebie. Każda lista kontrolerów domeny serwerów DNS powinna zawierać własny adres, lecz nie może on być pierwszym serwerem na liście. Jeśli kontroler domeny używa tylko samego siebie do rozpoznawania nazw, może zaprzestać replikowania z wykorzystaniem innych kontrolerów domeny. Oczywiście nie stanowi to problemu w przypadku domeny z tylko jednym kontrolerem domeny.

     
  • Wszystkie komputery przyłączone do domeny muszą używać tylko wewnętrznych serwerów DNS. Jeśli komputer przyłączony do domeny jest skonfigurowany do używania serwera zewnętrznego jako alternatywnego serwera DNS, tymczasowy brak łączności z wewnętrznym serwerem DNS spowoduje, że komputer zacznie korzystać z serwera zewnętrznego w celu rozpoznawania nazw. Serwer zewnętrzny nie będzie w stanie obsługiwać zapytań dotyczących jakichkolwiek elementów w domenie AD, a komputer kliencki nie przełączy się automatycznie na wewnętrzny serwer DNS, gdy łączność zostanie przywrócona. Zazwyczaj przejawia się to brakiem dostępu do zasobów w domenie z poziomu danego komputera. Należy pamiętać, że jeśli do przypisywania adresów DHCP do komputerów klienckich jest używany router do małego biura/domu (SOHO), prawdopodobnie będzie on również przypisywać zewnętrzne serwery DNS do tych klientów, o ile nie został ręcznie skonfigurowany w inny sposób.

     
  • W środowisku z wieloma lokalizacjami członkowie domeny powinni mieć możliwość lokalnego użytkowania serwerów DNS przed uzyskaniem dostępu do serwerów w innej lokalizacji. Minimalizuje to ilość ruchu DNS w przypadku wolniejszych łączy WAN.

     
  • Użyj stref DNS zintegrowanych z usługą Active Directory, aby poprawić bezpieczeństwo i uprościć replikację DNS. Strefy DNS zintegrowane z usługą AD są przechowywane w partycjach katalogu w usłudze Active Directory. Te partycje katalogu są replikowane razem z resztą AD; w związku z tym dla replikacji DNS nie jest wymagana dodatkowa konfiguracja (tzn. ustawienia przeniesienia stref). Ponadto strefy zintegrowane z AD umożliwiają korzystanie z bezpiecznych aktualizacji dynamicznych. Zapobiega to aktualizacji rekordów DNS z komputerów, które nie są w stanie uwierzytelnić się w domenie.

     
  • Jeśli nie ma istotnego powodu do wprowadzenia zmian, strefy DNS powinny zezwalać tylko na bezpieczne aktualizacje dynamiczne. Umożliwienie dokonywania niezabezpieczonych aktualizacji dynamicznych może pozwolić komputerom, które nie są częścią domeny, na modyfikowanie rekordów na serwerach DNS domeny, co stanowi zagrożenie bezpieczeństwa. Z drugiej strony wyłączenie aktualizacji dynamicznych zabezpiecza rekordy DNS, ale sprawia, że zarządzanie domeną jest trudniejsze.

     
  • Skonfiguruj nadawców i wskazówki dotyczące serwerów głównych dla rozpoznawania nazw zewnętrznych w środowisku podłączonym do Internetu. Nadawcy mogą zapewnić szybszą reakcję na zapytania zewnętrzne, lecz cechują się oni mniejszą nadmiarowością niż 374 rozproszone serwery główne DNS, które są dostępne w momencie przygotowywania niniejszego tekstu. Wskazówki dotyczące serwerów głównych są domyślnie dostępne na serwerach Windows, lecz nadawców należy skonfigurować ręcznie. 

     
  • Serwery DNS w domenie nie powinny używać siebie nawzajem jako nadawców. Nadawcy to serwery, do których serwer DNS przesyła zapytania, na które nie jest w stanie udzielić odpowiedzi (tj. zapytania o rekordy w strefach, w których nie pełni roli hosta). Serwery DNS w domenie zazwyczaj będą obsługiwać te same strefy, więc jeśli jeden z nich nie może odpowiedzieć na dane zapytanie, wszystkie nie będą w stanie tego zrobić, a przekazywanie tego zapytania z jednego serwera do drugiego spowoduje opóźnienie.

     
  • Skonfiguruj proces starzenia i usuwania, aby uniknąć przestarzałych rejestrów DNS. Prawidłowo skonfigurowany proces starzenia i usuwania pozwala upewnić się, że przestarzałe rejestry (starsze od skonfigurowanego okresu) zostaną automatycznie usunięte z DNS. 

     
  • Użyj narzędzia the DNS Best Practice Analyzer. Narzędzie BPA systemu DNS szuka większej liczby elementów niż opisano tutaj i zawiera wskazówki dotyczące rozwiązywania wszelkich wykrytych problemów.  Więcej informacji o narzędziu BPA systemu DNS można uzyskać w sekcji Narzędzie Best Practices Analyzer do systemu nazw domenowych.
 

 

SLN155801_pl__1icon Uwaga: aby uzyskać więcej szczegółowych informacji dotyczących najlepszych rozwiązań w zakresie systemu DNS, zapoznaj się z oficjalną dokumentacją firmy Microsoft odnoszącą się do danej wersji/edycji systemu operacyjnego.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution