メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Procedure consigliate per la configurazione del DNS in un dominio di Active Directory

概要: Procedure consigliate per la configurazione del DNS in un dominio di Active Directory

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Riepilogo dell'articolo: in questo articolo vengono fornite le procedure consigliate per la configurazione del DNS in un dominio di Active Directory.


 

Affinché Active Directory funzioni come previsto, è essenziale che il DNS sia configurato correttamente. Un DNS configurato in modo errato può causare vari problemi, tra cui errori di accesso, problemi di elaborazione dei criteri di gruppo e problemi di replica. L'elenco di procedure consigliate riportato di seguito non è completo, ma aiuta a garantire la risoluzione corretta dei nomi all'interno di un dominio di Active Directory.

  • In un ambiente di piccole dimensioni, almeno un controller di dominio deve essere un server DNS. È possibile installare il DNS su server che non sono controller di dominio, inclusi i server non Windows, ma l'installazione del DNS su controller di dominio consente l'utilizzo delle zone di ricerca integrate in Active Directory (vedere più avanti), che migliorano la sicurezza e semplificano la replica delle zone.
     
  • In un ambiente di dimensioni maggiori, almeno due controller di dominio in ogni sito fisico devono essere server DNS. In questo modo viene fornita ridondanza nel caso in cui un controller di dominio passi inaspettatamente alla modalità offline. Si noti che, per poter usufruire di tale ridondanza, è necessario che i computer appartenenti a un dominio siano configurati per l'utilizzo di più server DNS.

     
  • Se più controller di dominio sono configurati come server DNS, devono essere configurati per utilizzare in primo luogo l'altro per la risoluzione e poi se stessi. L'elenco di server DNS di ogni controller di dominio deve includere il proprio indirizzo, ma non come primo server dell'elenco. Se un controller di dominio utilizza solo se stesso per la risoluzione, potrebbe interrompere la replica con altri controller di dominio. Questo non è ovviamente un problema in un dominio con un solo controller di dominio.

     
  • Tutti i computer appartenenti al dominio devono utilizzare solo server DNS interni. Se un computer appartenente a un dominio è configurato per l'utilizzo di un server esterno come server DNS alternativo, un'assenza temporanea di connettività a un server DNS interno farà sì che il computer inizi a utilizzare il server esterno per la risoluzione. Il server esterno non sarà in grado di risolvere le query all'interno del dominio di Active Directory e il computer client non tornerà automaticamente al server DNS interno quando verrà ripristinata la connettività. In genere ciò si manifesta come l'impossibilità di accedere alle risorse del dominio dal computer interessato. Tenere presente che, se si utilizza un router SOHO (Small-Office/Home-Office) per assegnare gli indirizzi DHCP ai computer client, è probabile che a tali client vengano assegnati anche i server DNS esterni, a meno che non sia stata eseguita una configurazione manuale per un comportamento diverso.

     
  • In un ambiente multisito, i membri del dominio devono essere configurati in modo da utilizzare prima i server DNS del sito locale e poi quelli di un sito diverso. Ciò riduce al minimo la quantità di traffico DNS attraverso i collegamenti WAN più lenti.

     
  • Utilizzare le zone DNS integrate in Active Directory per migliorare la sicurezza e semplificare la replica del DNS. Le zone DNS integrate in Active Directory sono memorizzate in partizioni di directory all'interno di Active Directory. Queste partizioni di directory vengono replicate insieme al resto di Active Directory e pertanto non è necessaria alcuna configurazione aggiuntiva (ad es. la configurazione del trasferimento di zona) per la replica del DNS. Inoltre, le zone integrate in Active Directory consentono l'utilizzo di aggiornamenti dinamici sicuri. In questo modo vengono impediti gli aggiornamenti ai record DNS da computer che non sono in grado di eseguire l'autenticazione al dominio.

     
  • A meno che non esista un motivo valido per fare altrimenti, le zone DNS dovrebbero consentire solo aggiornamenti dinamici sicuri. Se si consentono gli aggiornamenti dinamici non sicuri, i computer che non appartengono al dominio potrebbero modificare i record dei server DNS del dominio, determinando un rischio per la sicurezza. D'altra parte, disabilitare del tutto gli aggiornamenti dinamici protegge i record DNS ma rende più difficile la gestione del dominio.

     
  • Configurare i server d'inoltro o i parametri radice per la risoluzione dei nomi esterni in un ambiente connesso a Internet. I server d'inoltro possono fornire una risposta più rapida alle query esterne, ma sono meno ridondanti rispetto ai 374 server DNS distribuiti su vasta scala esistenti alla data del presente documento. I parametri radice sono presenti per impostazione predefinita nei server Windows, mentre i server d'inoltro devono essere configurati manualmente. 

     
  • I server DNS all'interno di un dominio non devono utilizzarsi reciprocamente come server d'inoltro. I server d'inoltro sono server a cui un server DNS invia le query alle quali non può rispondere (ovvero le query relative a record in zone che non ospita). I server DNS all'interno di un dominio ospitano in genere le stesse zone e pertanto, se uno di essi non è in grado di rispondere a una determinata query, anche gli altri non saranno in grado di farlo e l'inoltro di tale query da un server a un altro causerà semplicemente dei ritardi.

     
  • Configurare l'aging e lo scavenging per evitare record DNS obsoleti. La configurazione corretta dell'aging e dello scavenging garantisce che i record obsoleti, ovvero quelli più vecchi di una determinata età (configurabile), vengano eliminati automaticamente dal DNS. 

     
  • Utilizzare il Best Practices Analyzer per il DNS. Il Best Practices Analyzer per il DNS verifica più elementi di quanti non siano documentati in questo documento e fornisce le linee guida per la risoluzione dei problemi individuati.  Ulteriori informazioni sul Best Practices Analyzer per il DNS sono disponibili nell'articolo Best Practices Analyzer per il DNS (in inglese).
 

 

SLN155801_it__1icon Nota: per ulteriori e più dettagliate informazioni sulle procedure consigliate per il DNS, consultare la documentazione ufficiale di Microsoft in base alla versione/edizione del sistema operativo in uso.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution