Рекомендации по настройке параметров DNS-клиента в Windows Server

  • Статья

В этой статье описаны рекомендации по настройке параметров клиента системы доменных имен (DNS). Рекомендации в этой статье предназначены для установки поддерживаемых сред Windows Server, где ранее не определена инфраструктура DNS.

Исходный номер базы знаний: 825036

Контроллер домена с установленной DNS

На контроллере домена, который также выступает в качестве DNS-сервера, корпорация Майкрософт рекомендует настроить параметры DNS-клиента контроллера домена в соответствии со следующими спецификациями:

  • Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, и на сервере выполняется DNS, настройте параметры DNS-клиента так, чтобы он указывал на IP-адрес этого первого сервера. Например, необходимо настроить параметры DNS-клиента так, чтобы они указывали на себя. Не перечисляйте другие DNS-серверы, пока в этом домене не будет размещен другой контроллер домена, на котором размещается DNS.

  • Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы они указывали на другой контроллер домена, на котором выполняется DNS в домене и на сайте и где размещается пространство имен домена, в котором установлен новый контроллер домена. или при использовании стороннего DNS к DNS-серверу, на котором размещена зона для домена Active Directory этого контроллера домена. Не настраивайте контроллер домена для использования собственной службы DNS для разрешения имен, пока не убедитесь, что входящая и исходящая репликация Active Directory работает и обновлена. Если это не сделать, dns может привести к созданию "Islands".
    Чтобы получить дополнительные сведения о связанной теме, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    275278 DNS-сервер становится островом, когда контроллер домена указывает на себя для _msdcs.ForestDnsName домена

  • Убедившись, что репликация успешно завершена, dns можно настроить на каждом контроллере домена двумя способами в зависимости от требований среды. Параметры конфигурации:

    • Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
      • Преимущества. Гарантирует, что DNS-запросы, исходящие от контроллера домена, будут разрешаться локально, если это возможно. Минимизирует влияние dns-запросов контроллера домена на сеть.
      • Недостатки. Зависит от репликации Active Directory для обеспечения актуальности зоны DNS. Сбои длительной репликации могут привести к неполному набору записей в зоне.
    • Настройте все контроллеры домена для использования централизованного DNS-сервера в качестве предпочтительного DNS-сервера.
      • Преимущества:
        • Сводит к минимуму зависимость от репликации Active Directory для обновления зоны DNS записей указателя контроллера домена. Она включает в себя более быстрое обнаружение новых или обновленных записей указателя контроллера домена, так как время задержки репликации не является проблемой.
        • Предоставляет один полномочный DNS-сервер, который может быть полезен при устранении неполадок с репликацией Active Directory
      • Недостатки:
        • Будет в большей степени использовать сеть для разрешения ЗАПРОСОВ DNS, исходящих от контроллера домена
        • Разрешение DNS-имен может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к сбою при разрешении ЗАПРОСОВ DNS от контроллера домена. Это может привести к очевидной потере подключения даже к расположениям, которые не расположены в потерянном сегменте сети.

  • Возможно сочетание двух стратегий: удаленный DNS-сервер имеет значение Предпочитаемый DNS-сервер, а локальный контроллер домена — в качестве альтернативного (или наоборот). Хотя эта стратегия имеет множество преимуществ, перед изменением конфигурации следует учитывать некоторые факторы:

    • DNS-клиент не использует все DNS-серверы, перечисленные в конфигурации TCP/IP, для каждого запроса. По умолчанию при запуске DNS-клиент попытается использовать сервер в записи Предпочитаемый DNS-сервер. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в записи альтернативного DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
      • Не удается ответить на запрос DNS или:
      • Достигнуто значение ServerPriorityTimeLimit (по умолчанию 15 минут).

Примечание.

Только сбой ответа приведет к тому, что DNS-клиент переключится на предпочитаемые DNS-серверы; Получение достоверного, но неверного ответа не приводит к тому, что DNS-клиент будет пробовать другой сервер. В результате настройка контроллера домена с самим собой и другим DNS-сервером в качестве предпочтительного и альтернативного серверов помогает гарантировать получение ответа, но не гарантирует точность этого ответа. Сбои обновления записей DNS на любом из серверов могут привести к несогласованности разрешения имен.

  • Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы они указывали на DNS-серверы поставщика услуг Интернета. Если настроить параметры DNS-клиента так, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут найти сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи на собственном DNS-сервере.

Чтобы перенаправить внешние DNS-запросы, добавьте DNS-серверы поставщика услуг Интернета в качестве dns-серверов пересылки в консоль управления DNS. Если вы не настраиваете серверы пересылки, используйте серверы корневых подсказок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер перенаправлялся на DNS-сервер Интернета, необходимо также удалить корневой "." (также известная как "точка") зона в консоль управления DNS в папке Зоны прямого просмотра.

  • Если на контроллере домена, на котором размещается DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации DNS-имени.

Дополнительные сведения о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

292822 проблемы с разрешением имен и подключением на сервере маршрутизации и удаленного доступа, на котором также выполняется DNS или WINS

Чтобы проверить параметры DNS-клиента контроллера домена, введите в командной строке следующую команду, чтобы просмотреть сведения о конфигурации IP-адреса: ipconfig /all
Чтобы изменить конфигурацию DNS-клиента контроллера домена, выполните следующие действия.

  1. Щелкните правой кнопкой мыши элемент My Network Places, а затем выберите Свойства.

  2. Щелкните правой кнопкой мыши подключение по локальной сети, а затем выберите Свойства.

  3. Выберите Протокол ИНТЕРНЕТА (TCP/IP) и выберите Свойства.

  4. Выберите Дополнительно, а затем перейдите на вкладку DNS . Чтобы настроить сведения о DNS, выполните следующие действия.

    1. В поле Адреса DNS-сервера в порядке использования добавьте рекомендуемые адреса DNS-сервера.
    2. Если для параметра Для разрешения неквалифицированных имен задано значение Добавление этих DNS-суффиксов (в порядке), корпорация Майкрософт рекомендует сначала перечислить доменное имя Active Directory DNS (вверху).
    3. Убедитесь, что DNS-суффикс для этого параметра подключения совпадает с доменным именем Active Directory.
    4. Убедитесь, что установлен флажок Зарегистрировать адреса этого подключения в DNS проверка.
    5. Три раза нажмите кнопку ОК.

  5. При изменении параметров DNS-клиента необходимо очистить кэш сопоставителя DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш сопоставителя DNS, введите в командной строке следующую команду: ipconfig /flushdns
    Чтобы зарегистрировать записи ресурсов DNS, введите в командной строке следующую команду: ipconfig /registerdns

  6. Чтобы убедиться, что записи DNS верны в базе данных DNS, запустите консоль управления DNS. Для имени компьютера должна быть запись узла. (Эта запись узла является записью "A" в расширенном представлении.) Также должна быть запись запуска центра (SOA) и запись сервера имен (NS), указывающая на контроллер домена.

Контроллер домена без установленной DNS

Если вы не используете службу DNS, встроенную в Active Directory, и у вас есть контроллеры домена, на которых не установлена служба DNS, корпорация Майкрософт рекомендует настроить параметры DNS-клиента в соответствии со следующими спецификациями:

  • Настройте параметры DNS-клиента на контроллере домена, чтобы он указывал на DNS-сервер, который является полномочным для зоны, соответствующей домену, участником которого является компьютер. Локальный основной и вторичный DNS-сервер предпочтительнее из-за соображений трафика глобальной сети( WAN).
  • Если локальный DNS-сервер отсутствует, наведите указатель на DNS-сервер, доступный по надежному каналу глобальной сети. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры DNS-клиента на контроллерах домена, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета. Вместо этого внутренний DNS-сервер должен пересылать dns-серверы поставщика услуг Интернета для разрешения внешних имен.

Рядовые серверы Windows Server

На рядовых серверах Windows Server корпорация Майкрософт рекомендует настроить параметры DNS-клиента в соответствии со следующими спецификациями:

  • Настройте параметры основного и дополнительного DNS-клиента, чтобы они указывали на локальный первичный и вторичный DNS-серверы (если локальные DNS-серверы доступны), на которых размещена зона DNS для домена Active Directory компьютера.
  • Если локальные DNS-серверы отсутствуют, наведите указатель на DNS-сервер для домена Active Directory этого компьютера, доступ к которому можно получить через надежный канал глобальной сети. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры DNS клиента так, чтобы они указывали на DNS-серверы вашего поставщика услуг Интернета. В этом случае могут возникнуть проблемы при попытке присоединить сервер под управлением Windows Server к домену или при попытке войти в домен с этого компьютера. Вместо этого внутренний DNS-сервер должен настроить перенаправление на DNS-серверы поставщика услуг Интернета для разрешения внешних имен.

Серверы, не являющиеся членами Windows Server

  • Если у вас есть серверы, которые не настроены как часть домена, вы по-прежнему можете настроить их для использования DNS-серверов, интегрированных с Active Directory, в качестве основных и вторичных DNS-серверов. Если в вашей среде есть серверы, не являющиеся членами, которые используют службу DNS, встроенную в Active Directory, они не регистрируют свои записи DNS динамически в зоне, настроенной для приема только безопасных обновлений.
  • Если вы не используете службу DNS, встроенную в Active Directory, и хотите настроить серверы, не являющиеся членами, как для внутреннего, так и для внешнего разрешения DNS, настройте параметры DNS-клиента так, чтобы они указывали на внутренний DNS-сервер, который перенаправляется в Интернет.
  • Если требуется только разрешение DNS-имен Через Интернет, можно настроить параметры DNS-клиента на серверах, не являющихся членами, чтобы они указывали на DNS-серверы поставщика услуг Интернета.