メイン コンテンツに進む
  • すばやく簡単に注文します
  • 注文を表示して配送状況を追跡します
  • 製品リストの作成とアクセス
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。

Рекомендации по настройке DNS в домене Active Directory

概要: Рекомендуемые передовые практики по настройке DNS в домене Active Director

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容


現象

Резюме статьи. В этой статье приведены рекомендации по настройке DNS в домене Active Directory.


 

Для работы с Active Directory необходимо выполнить правильную конфигурацию DNS. Неправильная настройка DNS может привести к различным проблемам, включая сбои при входе в систему, проблемы с обработкой групповой политики и проблемы репликации. Приведенный ниже список рекомендаций не является исчерпывающим, но поможет обеспечить правильное разрешение имен в домене Active Directory.

  • В небольшой среде хотя бы один контроллер домена (DC) должен быть DNS-сервером. Допускается установка DNS на серверах, которые не являются DC, включая серверы, не работающие под управлением Windows, но установка DNS на контроллерах домена (DC) позволяет использовать интегрированные AD-зоны просмотра (см. ниже), которые повышают безопасность и упрощают репликацию зон.
     
  • В более крупной среде по крайней мере два контроллера домена на каждом физическом сайте должны быть DNS-серверами. Это обеспечивает резервирование на случай неожиданной потеря связи с одним из контроллеров домена. Обратите внимание, что для использования DNS-серверов компьютеры, подключенные к домену, необходимо настроить на использование нескольких DNS-серверов.

     
  • Если несколько DC настроены как DNS-серверы, их необходимо настроить на использование для разрешения сначала друг друга, а потом уже самих себя. Каждый список DC с указанием DNS-серверов должен содержать собственный адрес, но не быть первым сервером в списке. Если DC может использовать для разрешения только себя, его репликация с другими DC может быть прервана. Очевидно, что причиной проблемы с одним контроллером домена не является сам домен.

     
  • Все подключенные к домену компьютеры должны использовать только внутренние DNS-серверы. Если подключенный к домену компьютер настроен на использование внешнего сервера в качестве альтернативного DNS-сервера, временное отсутствие подключения к внутреннему DNS-серверу может привести к тому, что компьютер будет использовать для разрешения внешний сервер. Внешний сервер не сможет разрешить запросы на объекты внутри домена AD, и при восстановлении подключения клиентский компьютер не будет автоматически подключен к внутреннему DNS-серверу. Как правило, это проявляется как неспособность получить доступ к ресурсам в домене при использовании соответствующего компьютера. Имейте в виду, что при использовании маршрутизатора малого офиса/домашнего офиса (SOHO) для назначения DHCP-адресов клиентским компьютерам, скорее всего, этим клиентам также будут назначены внешние DNS-серверы, если не выполнить настройку вручную.

     
  • В среде с несколькими площадками члены домена должны быть настроены на использование DNS-серверов сначала на их локальном сайте, а потом уже на другом сайте. Это позволяет свести к минимуму объем DNS-трафика, передаваемого по каналам связи WAN.

     
  • Для повышения безопасности и упрощения репликации DNS-сервера используйте DNS-зоны, интегрированные в Active Directory. DNS-зоны, интегрированные в AD, хранятся в разделах каталога в Active Directory. Эти разделы каталога реплицируются вместе с остальной частью AD, поэтому для репликации DNS-сервера не требуется дополнительная настройка (например, настройка передачи зоны). Кроме того, интегрированные в AD зоны позволяют использовать защищенные динамические обновления. Это предотвращает обновление DNS-записей с компьютеров, которым не удается пройти проверку подлинности в домене.

     
  • DNS-зоны должны разрешать использование только защищенных динамических обновлений, если не существует веских причин для использования других параметров. Предоставлять разрешение на использование незащищенных динамических обновлений могут только компьютеры, которые не являются частью домена. Это необходимо для получения возможности изменять записи на DNS-серверах домена, но является угрозой безопасности. С другой стороны, отключение динамических обновлений позволяет защитить DNS-записи, но управление доменом становится более сложным.

     
  • Настройте серверы пересылки или корневые ссылки для разрешения внешних имен в среде с подключением к Интернету. Серверы пересылки способны быстрее реагировать на внешние запросы, но они обладают меньшей резервной способностью, чем 374 широко распространенных корневых DNS-сервера, которые существуют в настоящее время. На серверах Windows корневые ссылки настроены по умолчанию, а серверы пересылки необходимо настраивать вручную. 

     
  • DNS-серверы, находящиеся в пределах домена, не должны использовать друг друга в качестве серверов пересылки. Серверы пересылки — это серверы, на которые DNS-сервер отправляет запросы, на которые сам ответить не может (т. е. запросы для записей в зонах, расположенных за его пределами). На DNS-серверах домена обычно расположены одинаковые зоны, поэтому если один из них не сможет ответить на заданный запрос, то и остальные не смогут этого сделать. А переадресация этого запроса с одного сервера на другой приведет к задержкам.

     
  • Настройте период просрочки и очистки во избежание наличия устаревших DNS-записей. Правильная настройка периодов просрочки и очистки обеспечивает автоматическое удаление с DNS-сервера устаревших записей, возраст которых превышает заданное значение. 

     
  • Используйте инструмент DNS Best Practice Analyzer. DNS BPA выполняет проверку на наличие дополнительных элементов, которые не задокументированы здесь, предоставляя инструкции по устранению любых проблем в случае их обнаружения.  Подробнее об инструменте DNS BPA см. в статье Анализатор рекомендаций для службы доменных имен (DNS).
 

 

SLN155801_ru__1icon Примечание. Для получения дополнительных и более подробных сведений о рекомендациях по настройке DNS обратитесь к официальной документации Microsoft, соответствующей версии используемой операционной системы.

 


文書のプロパティ


影響を受ける製品

Servers

最後に公開された日付

21 2 2021

バージョン

3

文書の種類

Solution