Рекомендации по настройке параметров DNS-клиента в Windows Server
В этой статье описаны рекомендации по настройке параметров клиента системы доменных имен (DNS). Рекомендации в этой статье предназначены для установки поддерживаемых сред Windows Server, где ранее не определена инфраструктура DNS.
Исходный номер базы знаний: 825036
Контроллер домена с установленной DNS
На контроллере домена, который также выступает в качестве DNS-сервера, корпорация Майкрософт рекомендует настроить параметры DNS-клиента контроллера домена в соответствии со следующими спецификациями:
Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, и на сервере выполняется DNS, настройте параметры DNS-клиента так, чтобы он указывал на IP-адрес этого первого сервера. Например, необходимо настроить параметры DNS-клиента так, чтобы они указывали на себя. Не перечисляйте другие DNS-серверы, пока в этом домене не будет размещен другой контроллер домена, на котором размещается DNS.
Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы они указывали на другой контроллер домена, на котором выполняется DNS в домене и на сайте и где размещается пространство имен домена, в котором установлен новый контроллер домена. или при использовании стороннего DNS к DNS-серверу, на котором размещена зона для домена Active Directory этого контроллера домена. Не настраивайте контроллер домена для использования собственной службы DNS для разрешения имен, пока не убедитесь, что входящая и исходящая репликация Active Directory работает и обновлена. Если это не сделать, dns может привести к созданию "Islands".
Чтобы получить дополнительные сведения о связанной теме, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:275278 DNS-сервер становится островом, когда контроллер домена указывает на себя для
_msdcs.ForestDnsNameдоменаУбедившись, что репликация успешно завершена, dns можно настроить на каждом контроллере домена двумя способами в зависимости от требований среды. Параметры конфигурации:
- Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
- Преимущества. Гарантирует, что DNS-запросы, исходящие от контроллера домена, будут разрешаться локально, если это возможно. Минимизирует влияние dns-запросов контроллера домена на сеть.
- Недостатки. Зависит от репликации Active Directory для обеспечения актуальности зоны DNS. Сбои длительной репликации могут привести к неполному набору записей в зоне.
- Настройте все контроллеры домена для использования централизованного DNS-сервера в качестве предпочтительного DNS-сервера.
- Преимущества:
- Сводит к минимуму зависимость от репликации Active Directory для обновления зоны DNS записей указателя контроллера домена. Она включает в себя более быстрое обнаружение новых или обновленных записей указателя контроллера домена, так как время задержки репликации не является проблемой.
- Предоставляет один полномочный DNS-сервер, который может быть полезен при устранении неполадок с репликацией Active Directory
- Недостатки:
- Будет в большей степени использовать сеть для разрешения ЗАПРОСОВ DNS, исходящих от контроллера домена
- Разрешение DNS-имен может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к сбою при разрешении ЗАПРОСОВ DNS от контроллера домена. Это может привести к очевидной потере подключения даже к расположениям, которые не расположены в потерянном сегменте сети.
- Преимущества:
- Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
Возможно сочетание двух стратегий: удаленный DNS-сервер имеет значение Предпочитаемый DNS-сервер, а локальный контроллер домена — в качестве альтернативного (или наоборот). Хотя эта стратегия имеет множество преимуществ, перед изменением конфигурации следует учитывать некоторые факторы:
- DNS-клиент не использует все DNS-серверы, перечисленные в конфигурации TCP/IP, для каждого запроса. По умолчанию при запуске DNS-клиент попытается использовать сервер в записи Предпочитаемый DNS-сервер. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в записи альтернативного DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
- Не удается ответить на запрос DNS или:
- Достигнуто значение ServerPriorityTimeLimit (по умолчанию 15 минут).
- DNS-клиент не использует все DNS-серверы, перечисленные в конфигурации TCP/IP, для каждого запроса. По умолчанию при запуске DNS-клиент попытается использовать сервер в записи Предпочитаемый DNS-сервер. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в записи альтернативного DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
Примечание.
Только сбой ответа приведет к тому, что DNS-клиент переключится на предпочитаемые DNS-серверы; Получение достоверного, но неверного ответа не приводит к тому, что DNS-клиент будет пробовать другой сервер. В результате настройка контроллера домена с самим собой и другим DNS-сервером в качестве предпочтительного и альтернативного серверов помогает гарантировать получение ответа, но не гарантирует точность этого ответа. Сбои обновления записей DNS на любом из серверов могут привести к несогласованности разрешения имен.
- Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы они указывали на DNS-серверы поставщика услуг Интернета. Если настроить параметры DNS-клиента так, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут найти сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи на собственном DNS-сервере.
Чтобы перенаправить внешние DNS-запросы, добавьте DNS-серверы поставщика услуг Интернета в качестве dns-серверов пересылки в консоль управления DNS. Если вы не настраиваете серверы пересылки, используйте серверы корневых подсказок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер перенаправлялся на DNS-сервер Интернета, необходимо также удалить корневой "." (также известная как "точка") зона в консоль управления DNS в папке Зоны прямого просмотра.
- Если на контроллере домена, на котором размещается DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации DNS-имени.
Дополнительные сведения о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
292822 проблемы с разрешением имен и подключением на сервере маршрутизации и удаленного доступа, на котором также выполняется DNS или WINS
Чтобы проверить параметры DNS-клиента контроллера домена, введите в командной строке следующую команду, чтобы просмотреть сведения о конфигурации IP-адреса: ipconfig /all
Чтобы изменить конфигурацию DNS-клиента контроллера домена, выполните следующие действия.
Щелкните правой кнопкой мыши элемент My Network Places, а затем выберите Свойства.
Щелкните правой кнопкой мыши подключение по локальной сети, а затем выберите Свойства.
Выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.
Выберите Дополнительно, а затем перейдите на вкладку DNS . Чтобы настроить сведения о DNS, выполните следующие действия.
- В поле Адреса DNS-сервера в порядке использования добавьте рекомендуемые адреса DNS-сервера.
- Если для параметра Для разрешения неквалифицированных имен задано значение Добавление этих DNS-суффиксов (в порядке), корпорация Майкрософт рекомендует сначала перечислить доменное имя Active Directory DNS (вверху).
- Убедитесь, что DNS-суффикс для этого параметра подключения совпадает с доменным именем Active Directory.
- Убедитесь, что установлен флажок Зарегистрировать адреса этого подключения в DNS проверка.
- Три раза нажмите кнопку ОК.
При изменении параметров DNS-клиента необходимо очистить кэш сопоставителя DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш сопоставителя DNS, введите в командной строке следующую команду:
ipconfig /flushdns
Чтобы зарегистрировать записи ресурсов DNS, введите в командной строке следующую команду:ipconfig /registerdnsЧтобы убедиться, что записи DNS верны в базе данных DNS, запустите консоль управления DNS. Для имени компьютера должна быть запись узла. (Эта запись узла является записью "A" в расширенном представлении.) Также должна быть запись запуска центра (SOA) и запись сервера имен (NS), указывающая на контроллер домена.
Контроллер домена без установленной DNS
Если вы не используете службу DNS, встроенную в Active Directory, и у вас есть контроллеры домена, на которых не установлена служба DNS, корпорация Майкрософт рекомендует настроить параметры DNS-клиента в соответствии со следующими спецификациями:
- Настройте параметры DNS-клиента на контроллере домена, чтобы он указывал на DNS-сервер, который является полномочным для зоны, соответствующей домену, участником которого является компьютер. Локальный основной и вторичный DNS-сервер предпочтительнее из-за соображений трафика глобальной сети( WAN).
- Если локальный DNS-сервер отсутствует, наведите указатель на DNS-сервер, доступный по надежному каналу глобальной сети. Время работы и пропускная способность определяют надежность.
- Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета. Вместо этого внутренний DNS-сервер должен пересылать dns-серверы поставщика услуг Интернета для разрешения внешних имен.
Рядовые серверы Windows Server
На рядовых серверах Windows Server корпорация Майкрософт рекомендует настроить параметры DNS-клиента в соответствии со следующими спецификациями:
- Настройте параметры основного и дополнительного DNS-клиента, чтобы они указывали на локальный первичный и вторичный DNS-серверы (если локальные DNS-серверы доступны), на которых размещена зона DNS для домена Active Directory компьютера.
- Если локальные DNS-серверы отсутствуют, наведите указатель на DNS-сервер для домена Active Directory этого компьютера, доступ к которому можно получить через надежный канал глобальной сети. Время работы и пропускная способность определяют надежность.
- Не настраивайте параметры DNS клиента так, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета. В этом случае могут возникнуть проблемы при попытке присоединить сервер под управлением Windows Server к домену или при попытке войти в домен с этого компьютера. Вместо этого внутренний DNS-сервер должен настроить перенаправление на DNS-серверы поставщика услуг Интернета для разрешения внешних имен.
Серверы, не являющиеся членами Windows Server
- Если у вас есть серверы, которые не настроены как часть домена, вы по-прежнему можете настроить их для использования DNS-серверов, интегрированных с Active Directory, в качестве основных и вторичных DNS-серверов. Если в вашей среде есть серверы, не являющиеся членами, которые используют службу DNS, встроенную в Active Directory, они не регистрируют свои записи DNS динамически в зоне, настроенной для приема только безопасных обновлений.
- Если вы не используете службу DNS, встроенную в Active Directory, и хотите настроить серверы, не являющиеся членами, как для внутреннего, так и для внешнего разрешения DNS, настройте параметры DNS-клиента так, чтобы они указывали на внутренний DNS-сервер, который перенаправляется в Интернет.
- Если требуется только разрешение DNS-имен Через Интернет, можно настроить параметры DNS-клиента на серверах, не являющихся членами, чтобы они указывали на DNS-серверы поставщика услуг Интернета.