メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Vzorové postupy při konfiguraci DNS v doméně Active Directory

概要: Doporučení vzorových postupů při konfiguraci DNS ve službě Active Director

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Shrnutí článku: V tomto článku uvádíme doporučení pro vzorové postupy při konfiguraci DNS v doméně služby Active Directory.


 

Aby služba Active Directory fungovala tak, jak má, je nezbytná řádná konfigurace služby DNS. Nesprávně nakonfigurovaná služba DNS může vést k řadě problémů včetně nezdařených přihlášení, problémů se zpracováním zásad skupiny a problémů s replikací. Následující seznam vzorových postupů není úplný, ale pomůže zaručit správný překlad názvů v rámci domény služby Active Directory.

  • V malém prostředí by měl být alespoň jeden řadič domény (DC) serverem DNS. Službu DNS je možné nainstalovat na servery, které nejsou řadiči DC, včetně serverů s jiným systémem než Windows, instalace služby DNS na řadič DC ale umožní použít zóny vyhledávání integrované do služby AD (viz níže), což zlepšuje zabezpečení a zjednodušuje replikaci zón.
     
  • Ve větších prostředích by na každém fyzickém pracovišti měly být alespoň dva řadiče domény, které jsou určeny jako servery DNS. Tím se zajistí redundance v případě, že jeden řadič DC nečekaně přejde do stavu offline. Aby toho bylo možné využít, musí být počítače připojené k doméně nakonfigurovány tak, aby používaly více serverů DNS.

     
  • Jestliže je více řadičů DC nakonfigurováno jako servery DNS, měly by být nakonfigurovány tak, že pro překlad se používají nejprve navzájem a samy sebe až následně. Seznam jednotlivých řadičů DC serverů DNS by měl obsahovat vlastní adresu, ale ne jako první server v seznamu. Jestliže řadič DC použije na překlad sebe, může se přestat replikovat s jinými řadiči DC. Tento problém pochopitelně nenastává v doméně s jedním řadičem DC.

     
  • Všechny počítače připojené k doméně musí používat pouze interní servery DNS. Jestliže je počítač připojený k doméně nakonfigurovaný na použití externího serveru jako alternativního serveru DNS, dočasná ztráta připojení k internímu serveru DNS způsobí, že počítač začne pro překlad používat externí server. Externí server nedokáže vyřešit dotazy na cokoliv uvnitř domény AD a klientský počítač po obnovení konektivity automaticky nepřejde zpět na interní server DNS. To se většinou projeví jako znemožnění přístupu z dotčeného počítače ke zdrojům v doméně. Pokud k přiřazení adres DHCP klientům použijete směrovač small-office/home-office (SOHO), přiřadí těmto klientům nejspíš také externí servery DNS, pokud nebyl ručně nakonfigurován, aby tak nečinil.

     
  • V prostředí s více pracovišti je třeba nakonfigurovat členy domény tak, aby používali servery DNS na svém místní pracovišti a teprve poté ty na jiném pracovišti. Tím se minimalizuje objem provozu DNS procházející přes pomalejší připojení WAN.

     
  • Zóny DNS integrované do služby Active Directory slouží ke zlepšení zabezpečení a zjednodušení replikace DNS. Zóny DNS integrované do funkce AD se ukládají do oddílů adresáře v rámci služby Active Directory. Tyto oddíly adresáře se replikují spolu se zbytkem služby AD, proto není při replikaci DNS potřeba žádná další konfigurace (např. nastavení přenosu zóny). Kromě toho zóny integrované do služby AD umožňují používat zabezpečené dynamické aktualizace. To zabrání aktualizaci záznamů DNS z počítačů, které se nemohou ověřit pomocí domény.

     
  • Jestliže neexistuje závažný důvod pro opačné řešení, měly by zóny DNS umožňovat pouze zabezpečené dynamické aktualizace. Povolení nezabezpečených dynamických aktualizací umožní počítačům, které nejsou součástí domény, upravovat záznamy na serverech DNS domény, což představuje riziko zabezpečení. Úplný zákaz dynamických aktualizací na druhou stranu sice zabezpečí záznamy DNS, správa domény ale bude složitější.

     
  • V prostředí připojeném k internetu nakonfigurujte servery pro předávání a odkazy na externí servery na překlad externích názvů. Servery pro předávání mohou poskytovat rychlejší odpověď na externí dotazy, jsou ale méně redundantní než 374 široce distribuovaných kořenových serverů DNS, které v době psaní tohoto článku existují. Odkazy na externí servery jsou standardně na serverech Windows přítomné, servery pro předávání je ale nutné nakonfigurovat ručně. 

     
  • Servery DNS v rámci domény by se neměly používat jako servery pro předávání. Servery pro předávání jsou servery, na které server DNS odešle dotazy, které nedokáže zodpovědět (např. dotazy na záznamy v zónách, které nehostuje). Servery DNS v rámci domény většinou všechny hostují stejné zóny, takže jestliže jeden z nich nedokáže odpovědět na daný dotaz, nedokáže to žádný z nich a předávání tohoto dotazu z jednoho serveru na druhý povede jen ke zpoždění.

     
  • Nakonfigurujte stárnutí a pročišťování, aby se zabránilo prošlým záznamům DNS. Správná konfigurace stárnutí a pročišťování zaručuje, že prošlé záznamy (tj. starší než určitá doba, kterou je možné konfigurovat) se budou ze služby DNS vymazávat automaticky. 

     
  • Použijte nástroj DNS Best Practice Analyzer. Nástroj DNS BPA kontroluje další položky, které jsou zde zdokumentovány, a poskytuje návody na řešení všech problémů, které najde.  Další informace o nástroji DNS BPA jsou k dispozici v článku Nástroj Best Practices Analyzer pro systém DNS.
 

 

SLN155801_cs__1icon Poznámka: Další podrobnější informace týkající se vzorových postupů služby DNS najdete v oficiální dokumentaci Microsoft podle své verze operačního systému.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution