Windows Server 中 DNS 客户端设置的最佳做法

本文介绍配置域名系统 (DNS) 客户端设置的最佳做法。 本文中的建议适用于安装以前没有定义 DNS 基础结构的受支持 Windows Server 环境。

原始 KB 编号： 825036

安装了 DNS 的域控制器

在充当 DNS 服务器的域控制器上，Microsoft 建议根据以下规范配置域控制器的 DNS 客户端设置：

• 如果服务器是域中安装的第一个也是唯一的域控制器，并且服务器运行 DNS，请将 DNS 客户端设置配置为指向该第一个服务器的 IP 地址。 例如，必须将 DNS 客户端设置配置为指向自身。 在该域中有另一个托管 DNS 的域控制器之前，请勿列出任何其他 DNS 服务器。

• 在 DCPromo 过程中，必须将其他域控制器配置为指向另一个域控制器，该域控制器在其域和站点中运行 DNS，并托管安装了新域控制器的域的命名空间。 如果使用第三方 DNS 到托管该 DC Active Directory 域的区域的 DNS 服务器，则为 。 在验证入站和出站 Active Directory 复制均正常运行且处于最新状态之前，请勿将域控制器配置为使用其自己的 DNS 服务进行名称解析。 否则可能会导致 DNS“岛”。
  有关相关主题的详细信息，请单击下面的文章编号以查看 Microsoft 知识库中的文章：

  当 域控制器指向域的自身 _msdcs.ForestDnsName 时，275278 DNS 服务器将成为一个岛

• 验证复制已成功完成后，可以根据环境的要求，通过两种方式之一在每个域控制器上配置 DNS。 配置选项包括：

  • 在每个域控制器上的 TCP/IP 属性中配置首选 DNS 服务器，以将自身用作主 DNS 服务器。
    • 优点：如果可能，确保本地解析源自域控制器的 DNS 查询。 将域控制器的 DNS 查询对网络的影响降到最低。
    • 缺点：依赖于 Active Directory 复制，以确保 DNS 区域是最新的。 长时间的复制失败可能会导致区域中的条目集不完整。
  • 将所有域控制器配置为使用集中式 DNS 服务器作为其首选 DNS 服务器。
    • 优势：
      • 最大程度地减少对域控制器定位符记录的 DNS 区域更新的 Active Directory 复制的依赖。 它包括更快地发现新的或更新的域控制器定位符记录，因为复制滞后时间不是问题。
      • 提供单个权威 DNS 服务器，这在排查 Active Directory 复制问题时可能很有用
    • 缺点：
      • 将更频繁地使用网络来解析源自域控制器的 DNS 查询
      • DNS 名称解析可能取决于网络稳定性。 失去与首选 DNS 服务器的连接将导致无法解析来自域控制器的 DNS 查询。 这可能会导致连接明显丢失，甚至导致不跨丢失网段的位置。

• 可以结合使用这两种策略，将远程 DNS 服务器设置为首选 DNS 服务器，将本地域控制器设置为备用 (反之亦然，) 。 虽然此策略具有许多优点，但进行此配置更改之前应考虑以下因素：

  • DNS 客户端不会对每个查询使用 TCP/IP 配置中列出的每个 DNS 服务器。 默认情况下，启动时，DNS 客户端将尝试使用首选 DNS 服务器条目中的服务器。 如果此服务器出于任何原因无法响应，DNS 客户端将切换到备用 DNS 服务器条目中列出的服务器。 DNS 客户端将继续使用此备用 DNS 服务器，直到：
    • 它无法响应 DNS 查询，或者：
    • 默认情况下，) (15 分钟达到 ServerPriorityTimeLimit 值。

• 不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商的 DNS 服务器， (ISP) 。 如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器，则域控制器上的 Netlogon 服务不会为 Active Directory 目录服务注册正确的记录。 借助这些记录，其他域控制器和计算机可以找到与 Active Directory 相关的信息。 域控制器必须将记录注册到自己的 DNS 服务器。

若要转发外部 DNS 请求，请在 DNS 管理控制台中添加 ISP 的 DNS 服务器作为 DNS 转发器。 如果未配置转发器，请使用默认的根提示服务器。 在这两种情况下，如果希望内部 DNS 服务器转发到 Internet DNS 服务器，还必须删除“.” (也称为“dot”) DNS 管理控制台的“正向查找区域”文件夹中的区域。

• 如果托管 DNS 的域控制器安装了多个网络适配器，则必须禁用一个适配器进行 DNS 名称注册。

有关如何在这种情况下正确配置 DNS 的详细信息，请单击下面的序列号以查看 Microsoft 知识库中的文章：

292822 同时运行 DNS 或 WINS 的路由和远程访问服务器上的名称解析和连接问题

若要验证域控制器的 DNS 客户端设置，请在命令提示符处键入以下命令，以查看 Internet 协议 (IP) 配置的详细信息： ipconfig /all
若要修改域控制器的 DNS 客户端配置，请执行以下步骤：

1. 右键单击“我的网络Places”，然后选择“属性”。

2. 右键单击“ 本地连接”，然后选择“ 属性”。

3. 选择“ internet 协议 (TCP/IP) ”，然后选择“ 属性”。

4. 选择“ 高级”，然后选择“ DNS ”选项卡。若要配置 DNS 信息，请执行以下步骤：

   1. 在 “DNS 服务器地址”的“使用顺序 ”框中，添加建议的 DNS 服务器地址。
   2. 如果 “为了解析非限定名称 ”设置设置为“追加这些 DNS 后缀 (以便) ，Microsoft 建议先将 Active Directory DNS 域名 (列在顶部) 。
   3. 验证 此连接设置的 DNS 后缀 是否与 Active Directory 域名相同。
   4. 验证是否已选中“在 DNS 检查中注册此连接的地址”框。
   5. 单击确定三次。

5. 如果更改任何 DNS 客户端设置，则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。 若要清除 DNS 解析程序缓存，请在命令提示符处键入以下命令： ipconfig /flushdns
   若要注册 DNS 资源记录，请在命令提示符处键入以下命令： ipconfig /registerdns

6. 若要确认 DNS 数据库中的 DNS 记录是否正确，请启动 DNS 管理控制台。 计算机名称应有主机记录。 (此主机记录是高级视图中的“A”记录。) 还应有颁发机构开始 (SOA) 记录，以及指向域控制器的名称服务器 (NS) 记录。

未安装 DNS 的域控制器

如果不使用 Active Directory 集成 DNS，并且没有安装 DNS 的域控制器，Microsoft 建议根据以下规范配置 DNS 客户端设置：

• 将域控制器上的 DNS 客户端设置配置为指向与计算机所属的域相对应的区域的 DNS 服务器。 由于广域网 (WAN) 流量注意事项，因此首选本地主 DNS 服务器和辅助 DNS 服务器。
• 如果没有可用的本地 DNS 服务器，请指向可通过可靠 WAN 链接访问的 DNS 服务器。 运行时间和带宽决定了可靠性。
• 不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。 相反，内部 DNS 服务器应转发到 ISP 的 DNS 服务器以解析外部名称。

Windows Server 成员服务器

在 Windows Server 成员服务器上，Microsoft 建议根据以下规范配置 DNS 客户端设置：

• 将主要和辅助 DNS 客户端设置配置为指向本地主 DNS 服务器和辅助 DNS 服务器， (本地 DNS 服务器是否可用，) 托管计算机的 Active Directory 域的 DNS 区域。
• 如果没有可用的本地 DNS 服务器，请指向可通过可靠的 WAN 链接访问该计算机的 Active Directory 域的 DNS 服务器。 运行时间和带宽决定了可靠性。
• 不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。 如果这样做，在尝试将基于 Windows Server 的服务器加入域时，或者尝试从该计算机登录到域时，可能会遇到问题。 相反，内部 DNS 服务器应配置转发到 ISP 的 DNS 服务器以解析外部名称。

Windows Server 非成员服务器

• 如果服务器未配置为域的一部分，仍可以将它们配置为使用 Active Directory 集成的 DNS 服务器作为其主 DNS 服务器和辅助 DNS 服务器。 如果你的环境中有使用 Active Directory 集成 DNS 的非成员服务器，则它们不会将其 DNS 记录动态注册到配置为仅接受安全更新的区域。
• 如果不使用 Active Directory 集成 DNS，并且想要为内部和外部 DNS 解析配置非成员服务器，请将 DNS 客户端设置配置为指向转发到 Internet 的内部 DNS 服务器。
• 如果只需要 Internet DNS 名称解析，则可以将非成员服务器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。