Bewährte Methoden für DNS-Clienteinstellungen in Windows Server

In diesem Artikel werden bewährte Methoden für die Konfiguration von DNS-Clienteinstellungen (Domain Name System) beschrieben. Die Empfehlungen in diesem Artikel beziehen sich auf die Installation unterstützter Windows Server-Umgebungen, in denen keine zuvor definierte DNS-Infrastruktur vorhanden ist.

Ursprüngliche KB-Nummer: 825036

Domänencontroller mit installiertem DNS

Auf einem Domänencontroller, der auch als DNS-Server fungiert, empfiehlt Microsoft, die DNS-Clienteinstellungen des Domänencontrollers gemäß den folgenden Spezifikationen zu konfigurieren:

  • Wenn der Server der erste und einzige Domänencontroller ist, den Sie in der Domäne installieren und der Server DNS ausführt, konfigurieren Sie die DNS-Clienteinstellungen so, dass sie auf die IP-Adresse des ersten Servers verweisen. Beispielsweise müssen Sie die DNS-Clienteinstellungen so konfigurieren, dass sie auf sich selbst verweisen. Listen Sie erst dann andere DNS-Server auf, wenn Sie über einen anderen Domänencontroller verfügen, der DNS in dieser Domäne hosten wird.

  • Während des DCPromo-Prozesses müssen Sie zusätzliche Domänencontroller so konfigurieren, dass sie auf einen anderen Domänencontroller verweisen, der DNS in ihrer Domäne und an ihrem Standort ausführt und der den Namespace der Domäne hostet, in der der neue Domänencontroller installiert ist. oder bei Verwendung eines DNS-Drittanbieters für einen DNS-Server, der die Zone für die Active Directory-Domäne dieses Domänencontrollers hostet. Konfigurieren Sie den Domänencontroller erst so, dass er einen eigenen DNS-Dienst für die Namensauflösung verwendet, bis Sie überprüft haben, ob die ein- und ausgehende Active Directory-Replikation funktioniert und auf dem neuesten Stand ist. Andernfalls kann es zu DNS-Inseln führen.
    Wenn Sie weitere Informationen zu einem verwandten Thema finden möchten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    275278 DNS-Server wird zu einer Insel, wenn ein Domänencontroller auf sich selbst für die _msdcs.ForestDnsName Domäne verweist

  • Nachdem Sie sich vergewissert haben, dass die Replikation erfolgreich abgeschlossen wurde, kann DNS auf jedem Domänencontroller auf zwei Arten konfiguriert werden, abhängig von den Anforderungen der Umgebung. Die Konfigurationsoptionen sind:

    • Konfigurieren Sie den bevorzugten DNS-Server in den TCP/IP-Eigenschaften auf jedem Domänencontroller, um sich selbst als primären DNS-Server zu verwenden.
      • Vorteile: Stellt sicher, dass DNS-Abfragen, die vom Domänencontroller stammen, nach Möglichkeit lokal aufgelöst werden. Minimiert die Auswirkungen der DNS-Abfragen des Domänencontrollers auf das Netzwerk.
      • Nachteile: Abhängig von der Active Directory-Replikation, um sicherzustellen, dass die DNS-Zone auf dem neuesten Stand ist. Lange Replikationsfehler können zu unvollständigen Einträgen in der Zone führen.
    • Konfigurieren Sie alle Domänencontroller so, dass sie einen zentralisierten DNS-Server als bevorzugten DNS-Server verwenden.
      • Vorteile:
        • Minimiert die Abhängigkeit von der Active Directory-Replikation für DNS-Zonenupdates von Domänencontrollerlocatoreinträgen. Es umfasst eine schnellere Ermittlung neuer oder aktualisierter Domänencontrollerlocatordatensätze, da die Replikationsverzögerung kein Problem ist.
        • Stellt einen einzelnen autoritativen DNS-Server bereit, der bei der Behandlung von Problemen mit der Active Directory-Replikation nützlich sein kann.
      • Nachteile:
        • Nutzt das Netzwerk stärker, um DNS-Abfragen aufzulösen, die vom Domänencontroller stammen
        • Die DNS-Namensauflösung kann von der Netzwerkstabilität abhängen. Der Verlust der Konnektivität mit dem bevorzugten DNS-Server führt dazu, dass DNS-Abfragen vom Domänencontroller nicht aufgelöst werden können. Dies kann zu einem offensichtlichen Konnektivitätsverlust führen, auch an Standorten, die sich nicht im verlorenen Netzwerksegment befinden.
  • Eine Kombination der beiden Strategien ist möglich, wobei der Remote-DNS-Server als bevorzugter DNS-Server und der lokale Domänencontroller auf Alternate (oder umgekehrt) festgelegt ist. Diese Strategie hat zwar viele Vorteile, aber es gibt Faktoren, die berücksichtigt werden sollten, bevor sie diese Konfigurationsänderung vornehmen:

    • Der DNS-Client verwendet nicht jeden der in der TCP/IP-Konfiguration aufgeführten DNS-Server für jede Abfrage. Standardmäßig versucht der DNS-Client beim Start, den Server im Eintrag Bevorzugter DNS-Server zu verwenden. Wenn dieser Server aus irgendeinem Grund nicht reagiert, wechselt der DNS-Client zu dem Server, der im Eintrag für den alternativen DNS-Server aufgeführt ist. Der DNS-Client verwendet diesen alternativen DNS-Server weiterhin, bis:
      • Es kann nicht auf eine DNS-Abfrage reagiert werden, oder:
      • Der ServerPriorityTimeLimit-Wert wird erreicht (standardmäßig 15 Minuten).

Hinweis

Nur ein Fehler bei der Antwort führt dazu, dass der DNS-Client die bevorzugten DNS-Server wechselt. Der Empfang einer autoritativen, aber falschen Antwort führt nicht dazu, dass der DNS-Client einen anderen Server versucht. Daher trägt das Konfigurieren eines Domänencontrollers mit sich selbst und einem anderen DNS-Server als bevorzugter und alternativer Server dazu bei, sicherzustellen, dass eine Antwort empfangen wird, aber es garantiert nicht die Genauigkeit dieser Antwort. Fehler beim Aktualisieren von DNS-Einträgen auf einem der Server können zu einer inkonsistenten Namensauflösung führen.

  • Konfigurieren Sie die DNS-Clienteinstellungen auf den Domänencontrollern nicht so, dass sie auf DNS-Server Ihres Internetdienstanbieters (ISP) verweisen. Wenn Sie die DNS-Clienteinstellungen so konfigurieren, dass sie auf die DNS-Server Ihres ISPs verweisen, registriert der Netlogon-Dienst auf den Domänencontrollern nicht die richtigen Datensätze für den Active Directory-Verzeichnisdienst. Mit diesen Datensätzen können andere Domänencontroller und Computer Active Directory-bezogene Informationen finden. Der Domänencontroller muss seine Einträge bei seinem eigenen DNS-Server registrieren.

Um externe DNS-Anforderungen weiterzuleiten, fügen Sie die DNS-Server des ISP als DNS-Weiterleitungen im DNS-Verwaltungskonsole hinzu. Wenn Sie keine Weiterleitungen konfigurieren, verwenden Sie die Standardserver für Stammhinweise. Wenn der interne DNS-Server in beiden Fällen an einen Internet-DNS-Server weitergeleitet werden soll, müssen Sie auch den Stamm "" löschen. Zone (auch als "Punkt" bezeichnet) im DNS-Verwaltungskonsole im Ordner Forward Lookup Zones.

  • Wenn auf dem Domänencontroller, der DNS hostet, mehrere Netzwerkadapter installiert sind, müssen Sie einen Adapter für die DNS-Namensregistrierung deaktivieren.

Weitere Informationen zum ordnungsgemäßen Konfigurieren von DNS in dieser Situation finden Sie im folgenden Artikel der Microsoft Knowledge Base:

292822 Namensauflösungs- und Konnektivitätsprobleme auf einem Routing- und RAS-Server, auf dem auch DNS oder WINS ausgeführt wird

Um die DNS-Clienteinstellungen Ihres Domänencontrollers zu überprüfen, geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, um die Details Ihrer IP-Konfiguration (Internet Protocol) anzuzeigen: ipconfig /all
Führen Sie die folgenden Schritte aus, um die DNS-Clientkonfiguration des Domänencontrollers zu ändern:

  1. Klicken Sie mit der rechten Maustaste auf Mein Netzwerk Places, und wählen Sie dann Eigenschaften aus.

  2. Klicken Sie mit der rechten Maustaste auf Verbindung mit lokalem Bereich, und wählen Sie dann Eigenschaften aus.

  3. Wählen Sie Internetprotokoll (TCP/IP) und dann Eigenschaften aus.

  4. Wählen Sie Erweitert und dann die Registerkarte DNS aus. Führen Sie die folgenden Schritte aus, um die DNS-Informationen zu konfigurieren:

    1. Fügen Sie im Feld DNS-Serveradressen in der Verwendungsreihenfolge die empfohlenen DNS-Serveradressen hinzu.
    2. Wenn die Einstellung Für Auflösung von nicht qualifizierten Namen auf Diese DNS-Suffixe (in der Reihenfolge) anfügen festgelegt ist, empfiehlt Microsoft, den Active Directory-DNS-Domänennamen zuerst aufzulisten (oben).
    3. Stellen Sie sicher, dass das DNS-Suffix für diese Verbindungseinstellung mit dem Active Directory-Domänennamen identisch ist.
    4. Vergewissern Sie sich, dass das Kontrollkästchen Adressen dieser Verbindung in DNS registrieren aktiviert ist.
    5. Klicken Sie dreimal auf OK.
  5. Wenn Sie DNS-Clienteinstellungen ändern, müssen Sie den DNS-Konfliktlösercache löschen und die DNS-Ressourceneinträge registrieren. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um den DNS-Konfliktlösercache zu löschen: ipconfig /flushdns
    Geben Sie zum Registrieren der DNS-Ressourceneinträge den folgenden Befehl an einer Eingabeaufforderung ein: ipconfig /registerdns

  6. Um zu bestätigen, dass die DNS-Einträge in der DNS-Datenbank korrekt sind, starten Sie die DNS-Verwaltungskonsole. Es sollte ein Hostdatensatz für den Computernamen vorhanden sein. (Dieser Hostdatensatz ist ein A-Eintrag in der erweiterten Ansicht.) Außerdem sollte ein SOA-Eintrag (Start of Authority) und ein Name Server-Eintrag (NS) vorhanden sein, der auf den Domänencontroller verweist.

Domänencontroller ohne DNS installiert

Wenn Sie kein in Active Directory integriertes DNS verwenden und Domänencontroller ohne DNS installiert sind, empfiehlt Microsoft, die DNS-Clienteinstellungen gemäß den folgenden Spezifikationen zu konfigurieren:

  • Konfigurieren Sie die DNS-Clienteinstellungen auf dem Domänencontroller so, dass sie auf einen DNS-Server verweisen, der für die Zone autoritativ ist, die der Domäne entspricht, in der der Computer Mitglied ist. Ein lokaler primärer und sekundärer DNS-Server wird aufgrund von WAN-Datenverkehrsaspekten (Wide Area Network) bevorzugt.
  • Wenn kein lokaler DNS-Server verfügbar ist, verweisen Sie auf einen DNS-Server, der über eine zuverlässige WAN-Verbindung erreichbar ist. Betriebszeit und Bandbreite bestimmen die Zuverlässigkeit.
  • Konfigurieren Sie die DNS-Clienteinstellungen auf den Domänencontrollern nicht so, dass sie auf die DNS-Server Ihres ISPs verweisen. Stattdessen sollte der interne DNS-Server an die DNS-Server des ISP weiterleiten, um externe Namen aufzulösen.

Windows Server-Mitgliedsserver

Auf Windows Server-Mitgliedsservern empfiehlt Microsoft, die DNS-Clienteinstellungen gemäß den folgenden Spezifikationen zu konfigurieren:

  • Konfigurieren Sie die Einstellungen des primären und sekundären DNS-Clients so, dass sie auf lokale primäre und sekundäre DNS-Server verweisen (sofern lokale DNS-Server verfügbar sind), die die DNS-Zone für die Active Directory-Domäne des Computers hosten.
  • Wenn keine lokalen DNS-Server verfügbar sind, verweisen Sie auf einen DNS-Server für die Active Directory-Domäne dieses Computers, der über eine zuverlässige WAN-Verbindung erreicht werden kann. Betriebszeit und Bandbreite bestimmen die Zuverlässigkeit.
  • Konfigurieren Sie die DNS-Clienteinstellungen nicht so, dass sie auf die DNS-Server Ihres ISPs verweisen. Wenn Sie dies tun, können Probleme auftreten, wenn Sie versuchen, den Windows Server-basierten Server in die Domäne einzubinden, oder wenn Sie versuchen, sich von diesem Computer aus bei der Domäne anzumelden. Stattdessen sollte der interne DNS-Server die Weiterleitung an die DNS-Server des ISP konfigurieren, um externe Namen aufzulösen.

Windows Server-Nichtmitgliedsserver

  • Wenn Sie über Server verfügen, die nicht als Teil der Domäne konfiguriert sind, können Sie sie dennoch so konfigurieren, dass sie in Active Directory integrierte DNS-Server als primäre und sekundäre DNS-Server verwenden. Wenn Sie in Ihrer Umgebung Nicht-Mitgliedsserver haben, die active Directory-integriertes DNS verwenden, registrieren diese ihre DNS-Einträge nicht dynamisch in einer Zone, die so konfiguriert ist, dass nur sichere Updates akzeptiert werden.
  • Wenn Sie kein in Active Directory integriertes DNS verwenden und die Nicht-Mitgliedsserver sowohl für die interne als auch für die externe DNS-Auflösung konfigurieren möchten, konfigurieren Sie die DNS-Clienteinstellungen so, dass sie auf einen internen DNS-Server verweisen, der an das Internet weiterleitet.
  • Wenn nur die Internet-DNS-Namensauflösung erforderlich ist, können Sie die DNS-Clienteinstellungen auf den Nichtmitgliedsservern so konfigurieren, dass sie auf die DNS-Server des ISP verweisen.