Vzorové postupy při konfiguraci DNS v doméně Active Directory

Shrnutí článku: V tomto článku uvádíme doporučení pro vzorové postupy při konfiguraci DNS v doméně služby Active Directory.

Aby služba Active Directory fungovala tak, jak má, je nezbytná řádná konfigurace služby DNS. Nesprávně nakonfigurovaná služba DNS může vést k řadě problémů včetně nezdařených přihlášení, problémů se zpracováním zásad skupiny a problémů s replikací. Následující seznam vzorových postupů není úplný, ale pomůže zaručit správný překlad názvů v rámci domény služby Active Directory.

• V malém prostředí by měl být alespoň jeden řadič domény (DC) serverem DNS. Službu DNS je možné nainstalovat na servery, které nejsou řadiči DC, včetně serverů s jiným systémem než Windows, instalace služby DNS na řadič DC ale umožní použít zóny vyhledávání integrované do služby AD (viz níže), což zlepšuje zabezpečení a zjednodušuje replikaci zón.
   
• Ve větších prostředích by na každém fyzickém pracovišti měly být alespoň dva řadiče domény, které jsou určeny jako servery DNS. Tím se zajistí redundance v případě, že jeden řadič DC nečekaně přejde do stavu offline. Aby toho bylo možné využít, musí být počítače připojené k doméně nakonfigurovány tak, aby používaly více serverů DNS.
  
   
• Jestliže je více řadičů DC nakonfigurováno jako servery DNS, měly by být nakonfigurovány tak, že pro překlad se používají nejprve navzájem a samy sebe až následně. Seznam jednotlivých řadičů DC serverů DNS by měl obsahovat vlastní adresu, ale ne jako první server v seznamu. Jestliže řadič DC použije na překlad sebe, může se přestat replikovat s jinými řadiči DC. Tento problém pochopitelně nenastává v doméně s jedním řadičem DC.
  
   
• Všechny počítače připojené k doméně musí používat pouze interní servery DNS. Jestliže je počítač připojený k doméně nakonfigurovaný na použití externího serveru jako alternativního serveru DNS, dočasná ztráta připojení k internímu serveru DNS způsobí, že počítač začne pro překlad používat externí server. Externí server nedokáže vyřešit dotazy na cokoliv uvnitř domény AD a klientský počítač po obnovení konektivity automaticky nepřejde zpět na interní server DNS. To se většinou projeví jako znemožnění přístupu z dotčeného počítače ke zdrojům v doméně. Pokud k přiřazení adres DHCP klientům použijete směrovač small-office/home-office (SOHO), přiřadí těmto klientům nejspíš také externí servery DNS, pokud nebyl ručně nakonfigurován, aby tak nečinil.
  
   
• V prostředí s více pracovišti je třeba nakonfigurovat členy domény tak, aby používali servery DNS na svém místní pracovišti a teprve poté ty na jiném pracovišti. Tím se minimalizuje objem provozu DNS procházející přes pomalejší připojení WAN.
  
   
• Zóny DNS integrované do služby Active Directory slouží ke zlepšení zabezpečení a zjednodušení replikace DNS. Zóny DNS integrované do funkce AD se ukládají do oddílů adresáře v rámci služby Active Directory. Tyto oddíly adresáře se replikují spolu se zbytkem služby AD, proto není při replikaci DNS potřeba žádná další konfigurace (např. nastavení přenosu zóny). Kromě toho zóny integrované do služby AD umožňují používat zabezpečené dynamické aktualizace. To zabrání aktualizaci záznamů DNS z počítačů, které se nemohou ověřit pomocí domény.
  
   
• Jestliže neexistuje závažný důvod pro opačné řešení, měly by zóny DNS umožňovat pouze zabezpečené dynamické aktualizace. Povolení nezabezpečených dynamických aktualizací umožní počítačům, které nejsou součástí domény, upravovat záznamy na serverech DNS domény, což představuje riziko zabezpečení. Úplný zákaz dynamických aktualizací na druhou stranu sice zabezpečí záznamy DNS, správa domény ale bude složitější.
  
   
• V prostředí připojeném k internetu nakonfigurujte servery pro předávání a odkazy na externí servery na překlad externích názvů. Servery pro předávání mohou poskytovat rychlejší odpověď na externí dotazy, jsou ale méně redundantní než 374 široce distribuovaných kořenových serverů DNS, které v době psaní tohoto článku existují. Odkazy na externí servery jsou standardně na serverech Windows přítomné, servery pro předávání je ale nutné nakonfigurovat ručně. 
  
   
• Servery DNS v rámci domény by se neměly používat jako servery pro předávání. Servery pro předávání jsou servery, na které server DNS odešle dotazy, které nedokáže zodpovědět (např. dotazy na záznamy v zónách, které nehostuje). Servery DNS v rámci domény většinou všechny hostují stejné zóny, takže jestliže jeden z nich nedokáže odpovědět na daný dotaz, nedokáže to žádný z nich a předávání tohoto dotazu z jednoho serveru na druhý povede jen ke zpoždění.
  
   
• Nakonfigurujte stárnutí a pročišťování, aby se zabránilo prošlým záznamům DNS. Správná konfigurace stárnutí a pročišťování zaručuje, že prošlé záznamy (tj. starší než určitá doba, kterou je možné konfigurovat) se budou ze služby DNS vymazávat automaticky. 
  
   
• Použijte nástroj DNS Best Practice Analyzer. Nástroj DNS BPA kontroluje další položky, které jsou zde zdokumentovány, a poskytuje návody na řešení všech problémů, které najde.  Další informace o nástroji DNS BPA jsou k dispozici v článku Nástroj Best Practices Analyzer pro systém DNS.

Poznámka: Další podrobnější informace týkající se vzorových postupů služby DNS najdete v oficiální dokumentaci Microsoft podle své verze operačního systému.