共用方式為

Windows Server 中 DNS 用戶端設定的最佳做法

本文說明功能變數名稱系統 (DNS) 客戶端設定的最佳做法。 本文中的建議是安裝不支援的 Windows Server 環境,其中沒有先前定義的 DNS 基礎結構。

原始 KB 編號: 825036

已安裝 DNS 的域控制器

在做為 DNS 伺服器的網域控制器上,Microsoft建議您根據下列規格來設定域控制器的 DNS 用戶端設定:

  • 如果伺服器是您在網域中安裝的第一個且唯一的域控制器,而且伺服器會執行 DNS,請將 DNS 用戶端設定為指向該第一部伺服器的 IP 位址。 例如,您必須設定 DNS 用戶端設定以指向本身。 除非您有另一個域控制器在該網域中裝載 DNS,否則請勿列出任何其他 DNS 伺服器。

  • 在 DCPromo 程式中,您必須設定其他域控制器,以指向在其網域和站台中執行 DNS 的另一個域控制器,以及裝載新域控制器安裝所在網域的命名空間。 如果使用第三方 DNS 到載入該 DC Active Directory 網域區域的 DNS 伺服器, 則為 。 在您確認輸入和輸出 Active Directory 複寫運作正常且最新之前,請勿將域控制器設定為使用自己的 DNS 服務進行名稱解析。 若無法這麼做,可能會導致 DNS「Islands」。
    如需相關主題的詳細資訊,請按下列文章編號,以檢視Microsoft知識庫中的文章:

    當域控制器指向網域本身_msdcs.ForestDnsName時,275278 DNS 伺服器會變成島內

  • 確認復寫順利完成之後,可能會根據環境的需求,在每個域控制器上設定 DNS。 設定選項包括:

    • 在每個域控制器上的 TCP/IP 屬性中設定慣用 DNS 伺服器,以使用本身做為主要 DNS 伺服器。
      • 優點:確保源自域控制器的 DNS 查詢會盡可能在本機解析。 將域控制器 DNS 查詢對網路上的影響降到最低。
      • 缺點:相依於 Active Directory 複寫,以確保 DNS 區域是最新的。 長時間復寫失敗可能會導致區域中一組不完整的專案。
    • 將所有域控制器設定為使用集中式 DNS 伺服器作為其慣用 DNS 伺服器。
      • 優點:
        • 將對域控制器定位器記錄 DNS 區域更新的 Active Directory 複寫的依賴降到最低。 它包含更快探索新的或更新的域控制器定位器記錄,因為復寫延遲時間不是問題。
        • 提供單一授權 DNS 伺服器,在針對 Active Directory 複寫問題進行疑難解答時可能很有用
      • 缺點:
        • 將更大量地使用網路來解析源自域控制器的 DNS 查詢
        • DNS 名稱解析可能取決於網路穩定性。 無法從域控制器解析 DNS 查詢,而無法連線到慣用 DNS 伺服器。 這可能會導致連線明顯中斷,即使是未透過遺失網路區段的位置。

  • 這兩種策略的組合是可能的,遠端 DNS 伺服器設定為慣用 DNS 伺服器,而本機域控制器則設定為 [替代] (反之亦然)。 雖然此策略有許多優點,但進行此組態變更之前,需要考慮的因素如下:

    • DNS 用戶端不會針對每個查詢使用 TCP/IP 組態中列出的每個 DNS 伺服器。 根據預設,在啟動時,DNS 用戶端會嘗試使用慣用 DNS 伺服器專案中的伺服器。 如果此伺服器因故無法回應,DNS 用戶端會切換至替代 DNS 伺服器專案中列出的伺服器。 DNS 用戶端將繼續使用此替代 DNS 伺服器,直到:
      • 無法回應 DNS 查詢,或:
      • ServerPriorityTimeLimit 值預設為 15 分鐘。

注意

只有回應失敗會導致 DNS 用戶端切換慣用 DNS 伺服器;接收授權但不正確的回應不會讓 DNS 用戶端嘗試另一部伺服器。 因此,將域控制器本身和另一部 DNS 伺服器設定為慣用和替代伺服器有助於確保收到回應,但並不保證該回應的正確性。 其中一部伺服器上的 DNS 記錄更新失敗可能會導致名稱解析體驗不一致。

  • 請勿在域控制器上設定 DNS 用戶端設定,以指向因特網服務提供者 (ISP) 的 DNS 伺服器。 如果您將 DNS 用戶端設定設定設定為指向 ISP 的 DNS 伺服器,域控制器上的 Netlogon 服務不會註冊 Active Directory 目錄服務的正確記錄。 使用這些記錄,其他域控制器和計算機可以找到 Active Directory 相關信息。 域控制器必須向自己的 DNS 伺服器註冊其記錄。

若要轉送外部 DNS 要求,請在 DNS 管理控制台中將 ISP 的 DNS 伺服器新增為 DNS 轉寄站。 如果您未設定轉寄站,請使用預設根提示伺服器。 在這兩種情況下,如果您想要內部 DNS 伺服器轉送至因特網 DNS 伺服器,您也必須刪除根 “ ”(也稱為「點」)區域位於 [ 正向查閱區域 ] 資料夾中的 DNS 管理控制台中。

  • 如果裝載 DNS 的域控制器已安裝數張網路適配器,您必須停用一個適配卡進行 DNS 名稱註冊。

如需如何在這種情況中正確設定 DNS 的詳細資訊,請按下列文章編號以檢視Microsoft知識庫中的文章:

292822執行 DNS 或 WINS 的路由和遠端存取伺服器上的名稱解析和連線問題

若要驗證域控制器的 DNS 用戶端設定,請在命令提示字元中輸入下列命令,以檢視因特網通訊協定 (IP) 組態的詳細資料: ipconfig /all
若要修改域控制器的 DNS 用戶端設定,請遵循下列步驟:

  1. 以滑鼠右鍵按兩下 [我的網络位置],然後選取 [ 屬性]。

  2. 以滑鼠右鍵按兩下 [ 局域網路連線],然後選取 [ 屬性]。

  3. 選取 [因特網通訊協定][TCP/IP],然後選取 [ 屬性]。

  4. 選取 [進階],然後選取 [DNS] 索引卷標。若要設定 DNS 資訊,請遵循下列步驟:

    1. 在 [ DNS 伺服器位址] 的 [使用 順序] 方塊中,新增建議的 DNS 伺服器位址。
    2. 如果 [ 未限定名稱 的解析] 設定設為 [附加這些 DNS 後綴] (依序),Microsoft建議您先列出 Active Directory DNS 功能變數名稱(位於頂端)。
    3. 確認此連線設定的 DNS 後綴與 Active Directory 功能變數名稱相同。
    4. 確認已選取 [ 在 DNS 中註冊此連線的位址] 複選框。
    5. 按三次 [確定]

  5. 如果您變更任何 DNS 用戶端設定,您必須清除 DNS 解析程式快取並註冊 DNS 資源記錄。 若要清除 DNS 解析程式快取,請在命令提示字元中輸入下列命令: ipconfig /flushdns
    若要註冊 DNS 資源記錄,請在命令提示字元中輸入下列命令: ipconfig /registerdns

  6. 若要確認 DNS 記錄在 DNS 資料庫中正確無誤,請啟動 DNS 管理主控台。 計算機名稱應該有主機記錄。 (此主機記錄是進階檢視中的「A」記錄。此外,也應該有 「授權單位」(SOA) 記錄和指向域控制器的名稱伺服器 (NS) 記錄。

未安裝 DNS 的域控制器

如果您沒有使用 Active Directory 整合 DNS,而且您有未安裝 DNS 的域控制器,Microsoft建議您根據下列規格設定 DNS 用戶端設定:

  • 在域控制器上設定 DNS 用戶端設定,以指向對應至電腦所屬網域之區域的授權 DNS 伺服器。 因為廣域網 (WAN) 流量考慮,因此偏好使用本機主要和次要 DNS 伺服器。
  • 如果沒有可用的本機 DNS 伺服器,請指向可靠 WAN 連結可連線的 DNS 伺服器。 上線和頻寬會決定可靠性。
  • 請勿在域控制器上設定 DNS 用戶端設定,以指向 ISP 的 DNS 伺服器。 相反地,內部 DNS 伺服器應該轉送至 ISP 的 DNS 伺服器,以解析外部名稱。

Windows Server 成員伺服器

在 Windows Server 成員伺服器上,Microsoft建議您根據下列規格設定 DNS 用戶端設定:

  • 設定主要和次要 DNS 用戶端設定,以指向裝載電腦 Active Directory 網域之 DNS 區域的本機主要和次要 DNS 伺服器(如果有本機 DNS 伺服器可用)。
  • 如果沒有可用的本機 DNS 伺服器,請指向該電腦的 Active Directory 網域的 DNS 伺服器,該網域可透過可靠的 WAN 連結來連線。 上線和頻寬會決定可靠性。
  • 請勿設定用戶端 DNS 設定,以指向 ISP 的 DNS 伺服器。 如果您這樣做,當您嘗試將 Windows Server 型伺服器加入網域,或嘗試從該電腦登入網域時,可能會遇到問題。 相反地,內部 DNS 伺服器應該設定轉送至 ISP 的 DNS 伺服器,以解析外部名稱。

Windows Server 非成員伺服器

  • 如果您有未設定為網域一部分的伺服器,您仍然可以將其設定為使用 Active Directory 整合式 DNS 伺服器做為其主要和次要 DNS 伺服器。 如果您的環境中有使用 Active Directory 整合 DNS 的非成員伺服器,則不會將 DNS 記錄動態註冊到設定為只接受安全更新的區域。
  • 如果您未使用 Active Directory 整合的 DNS,而且想要設定內部和外部 DNS 解析的非成員伺服器,請將 DNS 用戶端設定為指向轉送至因特網的內部 DNS 伺服器。
  • 如果只需要因特網 DNS 名稱解析,您可以在非成員伺服器上設定 DNS 用戶端設定,以指向 ISP 的 DNS 伺服器。