Bewährte Methoden für DNS-Clienteinstellungen in Windows Server
In diesem Artikel werden bewährte Methoden für die Konfiguration von DNS-Clienteinstellungen (Domain Name System) beschrieben. Die Empfehlungen in diesem Artikel beziehen sich auf die Installation unterstützter Windows Server-Umgebungen, in denen keine zuvor definierte DNS-Infrastruktur vorhanden ist.
Ursprüngliche KB-Nummer: 825036
Domänencontroller mit installierter DNS
Auf einem Domänencontroller, der auch als DNS-Server fungiert, empfiehlt Microsoft, die DNS-Clienteinstellungen des Domänencontrollers gemäß den folgenden Spezifikationen zu konfigurieren:
Wenn der Server der erste und einzige Domänencontroller ist, den Sie in der Domäne installieren, und der Server DNS ausführt, konfigurieren Sie die DNS-Clienteinstellungen so, dass sie auf die IP-Adresse des ersten Servers verweisen. Sie müssen beispielsweise die DNS-Clienteinstellungen so konfigurieren, dass sie auf sich selbst verweisen. Listen Sie keine anderen DNS-Server auf, bis Sie über einen anderen Domänencontroller verfügen, der DNS in dieser Domäne hosten soll.
Während des DCPromo-Prozesses müssen Sie zusätzliche Domänencontroller so konfigurieren, dass sie auf einen anderen Domänencontroller verweisen, der DNS in ihrer Domäne und ihrem Standort ausführt, und dass der Namespace der Domäne gehostet wird, in der der neue Domänencontroller installiert ist. oder wenn Sie einen DRITTANBIETER-DNS auf einem DNS-Server verwenden, der die Zone für die Active Directory-Domäne dieses DC hostt. Konfigurieren Sie den Domänencontroller nicht für die Verwendung eines eigenen DNS-Diensts für die Namensauflösung, bis Sie überprüft haben, dass sowohl die eingehende als auch die ausgehende Active Directory-Replikation funktioniert und auf dem neuesten Stand ist. Dies kann dazu führen, dass DNS"-Inseln auftreten.
Wenn Sie weitere Informationen zu einem verwandten Thema erhalten möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:275278 DNS-Server wird zu einer Insel, wenn ein Domänencontroller auf sich selbst für die
_msdcs.ForestDnsNameDomäne verweistNachdem Sie überprüft haben, ob die Replikation erfolgreich abgeschlossen wurde, kann DNS auf jedem Domänencontroller auf zwei Arten konfiguriert werden, je nach den Anforderungen der Umgebung. Die Konfigurationsoptionen sind:
- Konfigurieren Sie den bevorzugten DNS-Server in TCP/IP-Eigenschaften auf jedem Domänencontroller, um sich selbst als primären DNS-Server zu verwenden.
- Vorteile: Stellt sicher, dass DNS-Abfragen, die vom Domänencontroller stammen, nach Möglichkeit lokal aufgelöst werden. Minimiert die Auswirkungen der DNS-Abfragen des Domänencontrollers auf das Netzwerk.
- Nachteile: Abhängig von der Active Directory-Replikation, um sicherzustellen, dass die DNS-Zone auf dem neuesten Stand ist. Lange Replikationsfehler können zu unvollständigen Einträgen in der Zone führen.
- Konfigurieren Sie alle Domänencontroller, um einen zentralen DNS-Server als bevorzugten DNS-Server zu verwenden.
- Vorteile:
- Minimiert die Abhängigkeit von der Active Directory-Replikation für DNS-Zonenaktualisierungen von Domänencontroller-Locator-Einträgen. Es enthält eine schnellere Ermittlung neuer oder aktualisierter Domänencontroller-Locator-Einträge, da die Replikationsverzögerung kein Problem ist.
- Stellt einen einzelnen autorisierenden DNS-Server bereit, der bei der Behandlung von Active Directory-Replikationsproblemen hilfreich sein kann.
- Nachteile:
- Wird das Netzwerk stärker verwenden, um DNS-Abfragen aufzulösen, die vom Domänencontroller stammen
- Die DNS-Namensauflösung kann von der Netzwerkstabilität abhängen. Der Verlust der Verbindung mit dem bevorzugten DNS-Server führt dazu, dass DNS-Abfragen vom Domänencontroller nicht aufgelöst werden. Dies kann zu offensichtlichen Verbindungsverlusten führen, auch zu Standorten, die sich nicht über das verlorene Netzwerksegment erstrecken.
- Vorteile:
- Konfigurieren Sie den bevorzugten DNS-Server in TCP/IP-Eigenschaften auf jedem Domänencontroller, um sich selbst als primären DNS-Server zu verwenden.
Eine Kombination der beiden Strategien ist möglich, wobei der Remote-DNS-Server als bevorzugter DNS-Server und der lokale Domänencontroller als Alternative (oder umgekehrt) festgelegt ist. Obwohl diese Strategie viele Vorteile hat, gibt es Faktoren, die berücksichtigt werden sollten, bevor Sie diese Konfigurationsänderung vornehmen:
- Der DNS-Client verwendet nicht jeden der DNS-Server, die in der TCP/IP-Konfiguration für jede Abfrage aufgeführt sind. Standardmäßig wird beim Starten des DNS-Clients versucht, den Server im Eintrag "Bevorzugter DNS-Server" zu verwenden. Wenn dieser Server aus irgendeinem Grund nicht reagiert, wechselt der DNS-Client zu dem Server, der im alternativen DNS-Servereintrag aufgeführt ist. Der DNS-Client verwendet diesen alternativen DNS-Server weiterhin, bis:
- Es reagiert nicht auf eine DNS-Abfrage, oder:
- Der ServerPriorityTimeLimit-Wert ist erreicht (standardmäßig 15 Minuten).
- Der DNS-Client verwendet nicht jeden der DNS-Server, die in der TCP/IP-Konfiguration für jede Abfrage aufgeführt sind. Standardmäßig wird beim Starten des DNS-Clients versucht, den Server im Eintrag "Bevorzugter DNS-Server" zu verwenden. Wenn dieser Server aus irgendeinem Grund nicht reagiert, wechselt der DNS-Client zu dem Server, der im alternativen DNS-Servereintrag aufgeführt ist. Der DNS-Client verwendet diesen alternativen DNS-Server weiterhin, bis:
Notiz
Nur ein Fehler bei der Antwort führt dazu, dass der DNS-Client bevorzugte DNS-Server wechselt; Das Empfangen einer autorisierenden, aber falschen Antwort führt nicht dazu, dass der DNS-Client einen anderen Server versucht. Daher trägt die Konfiguration eines Domänencontrollers mit sich selbst und einem anderen DNS-Server als bevorzugter und alternativer Server dazu bei, sicherzustellen, dass eine Antwort empfangen wird, aber sie garantiert nicht die Genauigkeit dieser Antwort. Dns-Eintragsaktualisierungsfehler auf einem der Server können zu einer inkonsistenten Namensauflösung führen.
- Konfigurieren Sie die DNS-Clienteinstellungen auf den Domänencontrollern nicht so, dass sie auf DNS-Server Ihres Internetdienstanbieters (Internet Service Provider, ISP) verweisen. Wenn Sie die DNS-Clienteinstellungen so konfigurieren, dass sie auf die DNS-Server Ihres ISP verweisen, registriert der Netlogon-Dienst auf den Domänencontrollern nicht die richtigen Einträge für den Active Directory-Verzeichnisdienst. Mit diesen Einträgen können andere Domänencontroller und Computer Active Directory-bezogene Informationen finden. Der Domänencontroller muss seine Einträge mit seinem eigenen DNS-Server registrieren.
Um externe DNS-Anforderungen weiterzuleiten, fügen Sie die DNS-Server des ISP als DNS-Weiterleitungen im DNS-Verwaltungskonsole hinzu. Wenn Sie keine Weiterleitungen konfigurieren, verwenden Sie die Standardmäßigserver für Stammhinweise. Wenn der interne DNS-Server in beiden Fällen an einen Internet-DNS-Server weitergeleitet werden soll, müssen Sie auch den Stamm "" löschen. (auch als "Dot") Zone im DNS-Verwaltungskonsole im Ordner "Forward Lookup Zones" bezeichnet.
- Wenn der Domänencontroller, der DNS hostet, mehrere Netzwerkadapter installiert ist, müssen Sie einen Adapter für die DNS-Namensregistrierung deaktivieren.
Weitere Informationen zum ordnungsgemäßen Konfigurieren von DNS in dieser Situation finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
292822 Namensauflösung und Konnektivitätsprobleme auf einem Routing- und Remotezugriffsserver, der auch DNS oder WINS ausführt
Um die DNS-Clienteinstellungen Ihres Domänencontrollers zu überprüfen, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um die Details Ihrer IP-Konfiguration (Internet Protocol) anzuzeigen: ipconfig /all
Führen Sie die folgenden Schritte aus, um die DNS-Clientkonfiguration des Domänencontrollers zu ändern:
Klicken Sie mit der rechten Maustaste auf "Meine Netzwerkorte", und wählen Sie dann "Eigenschaften" aus.
Klicken Sie mit der rechten Maustaste auf "Lokale Bereichsverbindung", und wählen Sie dann "Eigenschaften" aus.
Wählen Sie Internetprotokoll (TCP/IP) und dann "Eigenschaften" aus.
Wählen Sie "Erweitert" und dann die Registerkarte "DNS" aus. Führen Sie die folgenden Schritte aus, um die DNS-Informationen zu konfigurieren:
- Fügen Sie in den DNS-Serveradressen in der Reihenfolge des Einsatzfelds die empfohlenen DNS-Serveradressen hinzu.
- Wenn die Einstellung für die Auflösung nicht qualifizierter Namen auf das Anfügen dieser DNS-Suffixe (in der Reihenfolge) festgelegt ist, empfiehlt Microsoft, zuerst den Active Directory-DNS-Domänennamen (oben) auflisten.
- Stellen Sie sicher, dass das DNS-Suffix für diese Verbindungseinstellung mit dem Active Directory-Domänennamen identisch ist.
- Vergewissern Sie sich, dass die Adressen dieser Verbindung im DNS-Kontrollkästchen "Registrieren" aktiviert sind.
- Klicken Sie dreimal auf OK.
Wenn Sie DNS-Clienteinstellungen ändern, müssen Sie den DNS-Resolver-Cache löschen und die DNS-Ressourceneinträge registrieren. Um den DNS-Resolvercache zu löschen, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:
ipconfig /flushdns
Um die DNS-Ressourceneinträge zu registrieren, geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:ipconfig /registerdnsUm zu bestätigen, dass die DNS-Einträge in der DNS-Datenbank korrekt sind, starten Sie die DNS-Verwaltungskonsole. Für den Computernamen sollte ein Hostdatensatz vorhanden sein. (Dieser Hostdatensatz ist ein "A"-Datensatz in der erweiterten Ansicht.) Außerdem sollte ein SoA-Eintrag (Start of Authority) und ein NS-Eintrag (Name Server) vorhanden sein, der auf den Domänencontroller verweist.
Domänencontroller ohne DNS installiert
Wenn Sie active Directory-integriertes DNS nicht verwenden und Domänencontroller ohne DNS installiert sind, empfiehlt Microsoft, die DNS-Clienteinstellungen entsprechend den folgenden Spezifikationen zu konfigurieren:
- Konfigurieren Sie die DNS-Clienteinstellungen auf dem Domänencontroller, um auf einen DNS-Server zu verweisen, der autoritativ für die Zone ist, die der Domäne entspricht, in der der Computer Mitglied ist. Ein lokaler primärer und sekundärer DNS-Server wird aufgrund von Überlegungen zum WAN-Datenverkehr (Wide Area Network) bevorzugt.
- Wenn kein lokaler DNS-Server verfügbar ist, verweisen Sie auf einen DNS-Server, der über eine zuverlässige WAN-Verbindung erreichbar ist. Die Verfügbarkeit und Bandbreite bestimmen die Zuverlässigkeit.
- Konfigurieren Sie die DNS-Clienteinstellungen auf den Domänencontrollern nicht so, dass sie auf die DNS-Server Ihres ISP verweisen. Stattdessen sollte der interne DNS-Server an die DNS-Server des ISP weitergeleitet werden, um externe Namen aufzulösen.
Windows Server-Mitgliedsserver
Auf Windows Server-Mitgliedsservern empfiehlt Microsoft, die DNS-Clienteinstellungen gemäß den folgenden Spezifikationen zu konfigurieren:
- Konfigurieren Sie die einstellungen des primären und sekundären DNS-Clients so, dass sie auf lokale primäre und sekundäre DNS-Server verweisen (sofern lokale DNS-Server verfügbar sind), die die DNS-Zone für die Active Directory-Domäne des Computers hosten.
- Wenn keine lokalen DNS-Server verfügbar sind, verweisen Sie auf einen DNS-Server für die Active Directory-Domäne dieses Computers, die über eine zuverlässige WAN-Verbindung erreicht werden kann. Die Verfügbarkeit und Bandbreite bestimmen die Zuverlässigkeit.
- Konfigurieren Sie die Client-DNS-Einstellungen nicht so, dass sie auf die DNS-Server Ihres ISP verweisen. Wenn Sie dies tun, treten möglicherweise Probleme auf, wenn Sie versuchen, dem Windows Server-basierten Server mit der Domäne beizutreten, oder wenn Sie versuchen, sich von diesem Computer aus bei der Domäne anzumelden. Stattdessen sollte der interne DNS-Server die Weiterleitung an die DNS-Server des ISP konfigurieren, um externe Namen aufzulösen.
Windows Server-Server, die nicht Mitglied sind
- Wenn Sie Server haben, die nicht als Teil der Domäne konfiguriert sind, können Sie sie weiterhin so konfigurieren, dass sie active Directory-integrierte DNS-Server als primäre und sekundäre DNS-Server verwenden. Wenn Sie nicht mitgliede Server in Ihrer Umgebung haben, die Active Directory-integriertes DNS verwenden, registrieren sie ihre DNS-Einträge nicht dynamisch in einer Zone, die so konfiguriert ist, dass nur sichere Updates akzeptiert werden.
- Wenn Sie active Directory-integriertes DNS nicht verwenden und die Nicht-Mitgliedsserver sowohl für die interne als auch für die externe DNS-Auflösung konfigurieren möchten, konfigurieren Sie die DNS-Clienteinstellungen so, dass sie auf einen internen DNS-Server verweisen, der an das Internet weiterleitet.
- Wenn nur die Internet-DNS-Namensauflösung erforderlich ist, können Sie die DNS-Clienteinstellungen auf den Nicht-Mitgliedsservern so konfigurieren, dass sie auf die DNS-Server des ISP verweisen.