Рекомендации по настройке dns-клиента в Windows Server
В этой статье описаны рекомендации по настройке параметров клиента системы доменных имен (DNS). Рекомендации в этой статье предназначены для установки поддерживаемых сред Windows Server, где ранее не определена инфраструктура DNS.
Исходный номер базы знаний: 825036
Контроллер домена с установленным DNS
На контроллере домена, который также выступает в качестве DNS-сервера, корпорация Майкрософт рекомендует настроить параметры DNS-клиента контроллера домена в соответствии с этими спецификациями:
Если сервер является первым и единственным контроллером домена, который устанавливается в домене, а сервер запускает DNS, настройте параметры DNS-клиента, чтобы указать IP-адрес этого первого сервера. Например, необходимо настроить параметры DNS-клиента, чтобы указать на себя. Не перечисляйте другие DNS-серверы, пока в этом домене не будет размещен другой контроллер домена, на котором размещен DNS.
Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы указать на другой контроллер домена, на котором выполняется DNS в домене и сайте, и на котором размещается пространство имен домена, в котором установлен новый контроллер домена. или при использовании 3-стороннего DNS-сервера на DNS-сервере, где размещается зона для домена Active Directory контроллера домена. Не настраивайте контроллер домена для использования собственной службы DNS для разрешения имен, пока не убедитесь, что репликация входящего и исходящего трафика Active Directory работает и обновлена. Сбой этого может привести к dns "Островам".
Дополнительные сведения о связанном разделе щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:275278 DNS-сервер становится островом, когда контроллер домена указывает на себя для
_msdcs.ForestDnsNameдоменаПосле успешного завершения репликации DNS можно настроить на каждом контроллере домена двумя способами в зависимости от требований среды. Доступны следующие параметры конфигурации.
- Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
- Преимущества. Гарантирует, что запросы DNS, исходящие из контроллера домена, будут разрешаться локально, если это возможно. Свести к минимуму влияние DNS-запросов контроллера домена в сети.
- Недостатки: зависит от репликации Active Directory, чтобы обеспечить актуальность зоны DNS. Длительные сбои репликации могут привести к неполному набору записей в зоне.
- Настройте все контроллеры домена для использования централизованного DNS-сервера в качестве предпочтительного DNS-сервера.
- Преимущества:
- Сводит к минимуму зависимость от репликации Active Directory для обновлений зоны DNS записей указателя контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей указателя контроллера домена, так как время задержки репликации не является проблемой.
- Предоставляет один доверенный DNS-сервер, который может быть полезен при устранении неполадок репликации Active Directory
- Недостатки:
- Будет более активно использовать сеть для разрешения запросов DNS, исходящих от контроллера домена
- Разрешение DNS-имен может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к сбою разрешения DNS-запросов с контроллера домена. Это может привести к очевидной потере подключения, даже к расположениям, которые не расположены в потерянном сегменте сети.
- Преимущества:
- Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
Сочетание двух стратегий возможно, с удаленным DNS-сервером, заданным как предпочтительный DNS-сервер, и локальный контроллер домена, заданный как альтернативный (или наоборот). Хотя эта стратегия имеет множество преимуществ, существуют факторы, которые следует учитывать перед изменением конфигурации:
- DNS-клиент не использует каждый ИЗ DNS-серверов, перечисленных в конфигурации TCP/IP для каждого запроса. По умолчанию при запуске DNS-клиента попытается использовать сервер в записи предпочтительного DNS-сервера. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в альтернативной записи DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер, пока:
- Не удается ответить на DNS-запрос или:
- Значение ServerPriorityTimeLimit достигается (по умолчанию — 15 минут).
- DNS-клиент не использует каждый ИЗ DNS-серверов, перечисленных в конфигурации TCP/IP для каждого запроса. По умолчанию при запуске DNS-клиента попытается использовать сервер в записи предпочтительного DNS-сервера. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в альтернативной записи DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер, пока:
Примечание.
Только сбой реагирования приведет к переключении предпочтительных DNS-серверов dns-клиента. получение авторитетного, но неправильного ответа не приводит к тому, что DNS-клиент попытается попробовать другой сервер. В результате настройка контроллера домена с самим собой и другим DNS-сервером в качестве предпочтительного и альтернативного серверов помогает обеспечить получение ответа, но не гарантирует точность этого ответа. Сбои обновления записей DNS на любом из серверов могут привести к несогласованности разрешения имен.
- Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы указать DNS-серверы поставщика услуг Интернета (ISP). Если настроить параметры DNS-клиента, указывающие на DNS-серверы ПОСТАВЩИКА, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут найти сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи с собственным DNS-сервером.
Чтобы пересылать внешние DNS-запросы, добавьте DNS-серверы ПОСТАВЩИКА в качестве dns-серверов пересылки в консоль управления DNS. Если вы не настроите серверы перенаправления, используйте серверы корневых подсказок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер перенаправлялся на DNS-сервер Интернета, необходимо также удалить корневой "." (также известная как "dot") зона в DNS консоль управления в папке "Зоны поиска вперед".
- Если контроллер домена, на котором размещен DNS, установлен несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации DNS-имени.
Дополнительные сведения о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:
292822 проблемы с разрешением имен и подключением на сервере маршрутизации и удаленного доступа, который также запускает DNS или WINS
Чтобы проверить параметры DNS-клиента контроллера домена, введите следующую команду в командной строке, чтобы просмотреть сведения о конфигурации IP-адреса. ipconfig /all
Чтобы изменить конфигурацию DNS-клиента контроллера домена, выполните следующие действия.
Щелкните правой кнопкой мыши "Мои сетевые места" и выберите пункт "Свойства".
Щелкните правой кнопкой мыши подключение к локальной области и выберите пункт "Свойства".
Выберите протокол TCP/IP и выберите "Свойства".
Выберите "Дополнительно" и перейдите на вкладку DNS . Чтобы настроить сведения DNS, выполните следующие действия.
- В поле "Dns-сервер" в порядке использования добавьте рекомендуемые DNS-адреса.
- Если для параметра "Разрешение неквалифицированных имен" задано значение "Добавить эти DNS-суффиксы (в порядке), корпорация Майкрософт рекомендует сначала перечислить доменное имя Active Directory (в верхней части).
- Убедитесь, что DNS-суффикс для этого параметра подключения совпадает с доменным именем Active Directory.
- Убедитесь, что установлен флажок "Регистрация этого подключения" в DNS .
- Три раза нажмите кнопку ОК.
При изменении параметров клиента DNS необходимо очистить кэш сопоставителя DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш сопоставителя DNS, введите следующую команду в командной строке:
ipconfig /flushdns
Чтобы зарегистрировать записи ресурсов DNS, введите следующую команду в командной строке:ipconfig /registerdnsЧтобы убедиться, что записи DNS верны в базе данных DNS, запустите консоль управления DNS. Для имени компьютера должна быть запись узла. (Эта запись узла — это запись "A" в расширенном представлении.) Также должна быть запись начала центра (SOA) и запись сервера имен (NS), указывающая на контроллер домена.
Контроллер домена без установки DNS
Если вы не используете dns, интегрированные с Active Directory, и у вас есть контроллеры домена, которые не установлены DNS, корпорация Майкрософт рекомендует настроить параметры клиента DNS в соответствии с этими спецификациями:
- Настройте параметры DNS-клиента на контроллере домена, чтобы указать DNS-сервер, заслуживающий доверия для зоны, соответствующей домену, в котором компьютер является членом. Локальный первичный и вторичный DNS-сервер предпочтительнее из-за рекомендаций по трафику широкой сети (WAN).
- Если локальный DNS-сервер недоступен, наведите указатель на DNS-сервер, доступный надежной глобальной сетью. Время и пропускная способность определяют надежность.
- Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы указать DNS-серверам ПОСТАВЩИКА. Вместо этого внутренний DNS-сервер должен перенаправить DNS-серверы ПОСТАВЩИКА для разрешения внешних имен.
Серверы-члены Windows Server
На серверах-членах Windows Server корпорация Майкрософт рекомендует настроить параметры DNS-клиента в соответствии с этими спецификациями:
- Настройте параметры первичного и вторичного DNS-клиента, чтобы указать локальные первичные и вторичные DNS-серверы (если локальные DNS-серверы доступны) в зоне DNS для домена Active Directory компьютера.
- Если локальные DNS-серверы недоступны, наведите указатель на DNS-сервер для домена Active Directory этого компьютера, который можно получить через надежную глобальную сеть. Время и пропускная способность определяют надежность.
- Не настраивайте параметры DNS клиента, чтобы указать DNS-серверам ПОСТАВЩИКА. При этом могут возникнуть проблемы при попытке присоединить сервер на основе Windows Server к домену или при попытке войти в домен с этого компьютера. Вместо этого внутренний DNS-сервер должен настроить перенаправление на DNS-серверы ПОСТАВЩИКА для разрешения внешних имен.
Серверы, не являющиеся членами Windows Server
- Если у вас есть серверы, которые не настроены в качестве части домена, их можно настроить для использования dns-серверов, интегрированных с Active Directory, в качестве основных и вторичных DNS-серверов. Если у вас есть серверы, не являющиеся членами в вашей среде, использующую DNS с интегрированной Active Directory, они не регистрируют свои записи DNS в зоне, настроенной для принятия только безопасных обновлений.
- Если вы не используете DNS, интегрированные с Active Directory, и вы хотите настроить серверы, не являющиеся членами, для внутреннего и внешнего разрешения DNS, настройте параметры DNS-клиента, чтобы указать на внутренний DNS-сервер, который пересылает в Интернет.
- Если требуется только разрешение DNS-имен Интернета, можно настроить параметры DNS-клиента на серверах, не являющихся членами, чтобы указать DNS-серверам ПОСТАВЩИКА услуг.