通过

Windows Server 中 DNS 客户端设置的最佳做法

  • 项目

本文介绍域名系统(DNS)客户端设置配置的最佳做法。 本文中的建议适用于安装以前未定义的 DNS 基础结构的受支持 Windows Server 环境。

原始 KB 数: 825036

安装了 DNS 的域控制器

在充当 DNS 服务器的域控制器上,Microsoft建议根据以下规范配置域控制器的 DNS 客户端设置:

  • 如果服务器是第一个且唯一安装在域中的域控制器,并且服务器运行 DNS,请将 DNS 客户端设置配置为指向该第一个服务器的 IP 地址。 例如,必须将 DNS 客户端设置配置为指向自身。 除非在该域中有另一个托管 DNS 的域控制器,否则不要列出任何其他 DNS 服务器。

  • 在 DCPromo 过程中,必须将其他域控制器配置为指向在其域和站点中运行 DNS 的另一个域控制器,并托管在其中安装了新域控制器的域的命名空间。 或者,如果将第三方 DNS 用于托管该 DC Active Directory 域的区域的 DNS 服务器。 在验证入站和出站 Active Directory 复制是否正常运行且最新之前,请不要将域控制器配置为使用自己的 DNS 服务进行名称解析。 否则可能会导致 DNS“Islands”。
    有关相关主题的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:

    当域控制器指向域本身_msdcs.ForestDnsName时,275278 DNS 服务器将成为一个岛

  • 验证复制是否已成功完成后,可以通过以下两种方式之一在每个域控制器上配置 DNS,具体取决于环境的要求。 配置选项包括:

    • 在每个域控制器上的 TCP/IP 属性中配置首选 DNS 服务器,以将自身用作主 DNS 服务器。
      • 优点:确保源自域控制器的 DNS 查询在可能的情况下在本地解析。 将最大程度地减少域控制器的 DNS 查询在网络上的影响。
      • 缺点:依赖于 Active Directory 复制,以确保 DNS 区域是最新的。 长时间复制失败可能会导致区域中的条目集不完整。
    • 将所有域控制器配置为使用集中式 DNS 服务器作为首选 DNS 服务器。
      • 优点:
        • 最大程度地减少对域控制器定位器记录 DNS 区域更新的 Active Directory 复制的依赖。 它包括更快地发现新的或更新的域控制器定位器记录,因为复制延迟时间不是问题。
        • 提供单个权威 DNS 服务器,排查 Active Directory 复制问题时可能很有用
      • 缺点:
        • 将更大量地使用网络来解析源自域控制器的 DNS 查询
        • DNS 名称解析可能取决于网络稳定性。 与首选 DNS 服务器的连接丢失将导致无法从域控制器解析 DNS 查询。 这可能会导致连接明显丢失,甚至导致未通过丢失网段的位置。

  • 这两种策略的组合是可能的,远程 DNS 服务器设置为首选 DNS 服务器,本地域控制器设置为备用服务器(反之亦然)。 虽然此策略具有许多优点,但进行此配置更改之前,应考虑以下因素:

    • DNS 客户端不会对每个查询使用 TCP/IP 配置中列出的每个 DNS 服务器。 默认情况下,在启动时,DNS 客户端将尝试在首选 DNS 服务器条目中使用服务器。 如果此服务器因任何原因无法响应,DNS 客户端将切换到备用 DNS 服务器条目中列出的服务器。 DNS 客户端将继续使用此备用 DNS 服务器,直到:
      • 它无法响应 DNS 查询,或者:
      • ServerPriorityTimeLimit 值默认达到 15 分钟。

注意

只有响应失败会导致 DNS 客户端切换首选 DNS 服务器;接收权威但不正确的响应不会导致 DNS 客户端尝试另一台服务器。 因此,将域控制器本身和另一个 DNS 服务器配置为首选服务器和备用服务器有助于确保收到响应,但不能保证响应的准确性。 任一服务器上的 DNS 记录更新失败可能会导致名称解析体验不一致。

  • 不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商(ISP)的 DNS 服务器。 如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器,域控制器上的 Netlogon 服务不会注册 Active Directory 目录服务的正确记录。 使用这些记录,其他域控制器和计算机可以找到与 Active Directory 相关的信息。 域控制器必须将其记录注册到其自己的 DNS 服务器。

若要转发外部 DNS 请求,请将 ISP 的 DNS 服务器添加为 DNS 管理控制台中的 DNS 转发器。 如果未配置转发器,请使用默认根提示服务器。 在这两种情况下,如果希望内部 DNS 服务器转发到 Internet DNS 服务器,则还必须删除根“。”(也称为“dot”)区域,位于“转发查找区域”文件夹中的 DNS 管理控制台。

  • 如果托管 DNS 的域控制器安装了多个网络适配器,则必须为 DNS 名称注册禁用一个适配器。

有关如何在这种情况下正确配置 DNS 的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:

在运行 DNS 或 WINS 的路由和远程访问服务器上292822名称解析和连接问题

若要验证域控制器的 DNS 客户端设置,请在命令提示符处键入以下命令以查看 Internet 协议 (IP) 配置的详细信息: ipconfig /all
若要修改域控制器的 DNS 客户端配置,请执行以下步骤:

  1. 右键单击“ 我的网络位置”,然后选择“ 属性”。

  2. 右键单击 “局域网连接”,然后选择“ 属性”。

  3. 选择 Internet 协议(TCP/IP),然后选择“ 属性”。

  4. 选择“高级,然后选择“DNS”选项卡。若要配置 DNS 信息,请执行以下步骤:

    1. 在 DNS 服务器地址( 按使用 顺序)中添加建议的 DNS 服务器地址。
    2. 如果“取消限定名称”设置设置为“追加这些 DNS 后缀”(按顺序),Microsoft建议先列出 Active Directory DNS 域名(顶部)。
    3. 验证此连接设置的 DNS 后缀是否与 Active Directory 域名相同。
    4. 验证是否 选中了“在 DNS 中注册此连接的地址”复选框。
    5. 单击确定三次。

  5. 如果更改任何 DNS 客户端设置,则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。 若要清除 DNS 解析程序缓存,请在命令提示符处键入以下命令: ipconfig /flushdns
    若要注册 DNS 资源记录,请在命令提示符处键入以下命令: ipconfig /registerdns

  6. 若要确认 DNS 记录在 DNS 数据库中正确,请启动 DNS 管理控制台。 计算机名称应有主机记录。 (此主机记录是高级视图中的“A”记录)。还应有一条“颁发机构”(SOA)记录和一条指向域控制器的名称服务器(NS)记录。

未安装 DNS 的域控制器

如果不使用 Active Directory 集成的 DNS,并且域控制器未安装 DNS,Microsoft建议根据以下规范配置 DNS 客户端设置:

  • 将域控制器上的 DNS 客户端设置配置为指向对应于计算机所属域的区域的权威 DNS 服务器。 由于广域网(WAN)流量注意事项,首选本地主 DNS 服务器和辅助 DNS 服务器。
  • 如果没有可用的本地 DNS 服务器,请指向可通过可靠 WAN 链接访问的 DNS 服务器。 运行时和带宽决定了可靠性。
  • 不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。 相反,内部 DNS 服务器应转发到 ISP 的 DNS 服务器以解析外部名称。

Windows Server 成员服务器

在 Windows Server 成员服务器上,Microsoft建议根据以下规范配置 DNS 客户端设置:

  • 配置主要和辅助 DNS 客户端设置,以指向本地主 DNS 服务器和辅助 DNS 服务器(如果本地 DNS 服务器可用),该服务器托管计算机的 Active Directory 域的 DNS 区域。
  • 如果没有可用的本地 DNS 服务器,请指向可通过可靠 WAN 链接访问该计算机的 Active Directory 域的 DNS 服务器。 运行时和带宽决定了可靠性。
  • 不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。 如果这样做,在尝试将基于 Windows Server 的服务器加入域或尝试从该计算机登录到域时,可能会遇到问题。 相反,内部 DNS 服务器应配置转发到 ISP 的 DNS 服务器以解析外部名称。

Windows Server 非成员服务器

  • 如果服务器未配置为成为域的一部分,则仍然可以将其配置为使用 Active Directory 集成的 DNS 服务器作为其主 DNS 服务器和辅助 DNS 服务器。 如果你的环境中具有使用 Active Directory 集成 DNS 的非成员服务器,则它们不会动态将其 DNS 记录注册到配置为仅接受安全更新的区域。
  • 如果不使用 Active Directory 集成的 DNS,并且想要为内部和外部 DNS 解析配置非成员服务器,请将 DNS 客户端设置配置为指向转发到 Internet 的内部 DNS 服务器。
  • 如果只需要 Internet DNS 名称解析,则可以将非成员服务器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。