Windows Server 中 DNS 用戶端設定的最佳做法

本文說明設定功能變數名稱系統 (DNS) 客戶端設定的最佳做法。 本文中的建議適用於安裝沒有先前定義 DNS 基礎結構的支援 Windows Server 環境。

原始 KB 編號： 825036

已安裝 DNS 的域控制器

在同時作為 DNS 伺服器的域控制器上，Microsoft 建議您根據下列規格設定域控制器的 DNS 用戶端設定：

• 如果伺服器是您在網域中安裝的第一個也是唯一域控制器，而且伺服器執行 DNS，請設定 DNS 用戶端設定以指向第一部伺服器的 IP 位址。 例如，您必須設定 DNS 用戶端設定以指向本身。 除非您有另一個域控制器在該網域中裝載 DNS，否則請勿列出任何其他 DNS 伺服器。

• 在 DCPromo 程式期間，您必須設定其他域控制器，以指向在其網域和站台中執行 DNS 的另一個域控制器，以及裝載安裝新域控制器之網域的命名空間。 或者，如果使用第三方 DNS 連線到裝載該 DC Active Directory 網域區域的 DNS 伺服器。 請勿將域控制器設定為利用自己的 DNS 服務進行名稱解析，直到您確認輸入和輸出 Active Directory 複寫是否正常運作且為最新狀態為止。 若未這麼做，可能會導致 DNS「離島」。
  如需相關主題的詳細資訊，請按下列文章編號以檢視 Microsoft 知識庫中的文章：

  275278 域控制器指向網域本身 _msdcs.ForestDnsName 時，DNS 伺服器會變成一個島

• 確認複寫已成功完成之後，根據環境的需求，您可以使用兩種方式之一，在每個域控制器上設定 DNS。 組態選項如下：

  • 在每個域控制器的 TCP/IP 屬性中設定慣用 DNS 伺服器，以使用自己作為主要 DNS 伺服器。
    • 優點：確保盡可能在本機解析源自域控制器的 DNS 查詢。 將會將域控制器的 DNS 查詢對網路的影響降到最低。
    • 缺點：相依於 Active Directory 複寫，以確保 DNS 區域是最新的。 冗長的複寫失敗可能會導致區域中有一組不完整的專案。
  • 將所有域控制器設定為使用集中式 DNS 伺服器作為其慣用 DNS 伺服器。
    • 優勢：
      • 針對域控制器定位器記錄的 DNS 區域更新，將對 Active Directory 複寫的依賴降至最低。 它包括更快探索新的或更新的域控制器定位器記錄，因為復寫延遲時間不是問題。
      • 提供單一授權 DNS 伺服器，這在針對 Active Directory 複寫問題進行疑難解答時可能很有用
    • 缺點：
      • 將更大量地使用網路來解析源自域控制器的 DNS 查詢
      • DNS 名稱解析可能取決於網路穩定性。 遺失對慣用 DNS 伺服器的聯機會導致無法從域控制器解析 DNS 查詢。 這可能會導致連線明顯中斷，即使是未跨越遺失網路區段的位置。

• 您可以結合兩種策略，將遠端 DNS 伺服器設定為慣用 DNS 伺服器，並將本機域控制器設定為替代 (，反之亦然) 。 雖然此策略有許多優點，但是在進行此組態變更之前，應該先考慮一些因素：

  • DNS 用戶端不會針對每個查詢利用 TCP/IP 組態中列出的每部 DNS 伺服器。 根據預設，在啟動時，DNS 用戶端會嘗試使用慣用 DNS 伺服器專案中的伺服器。 如果此伺服器因任何原因而無法回應，DNS 用戶端會切換至替代 DNS 伺服器專案中所列的伺服器。 DNS 用戶端會繼續使用此替代 DNS 伺服器，直到：
    • 無法回應 DNS 查詢，或：
    • ServerPriorityTimeLimit 值預設會 (15 分鐘到達) 。

• 請勿在域控制器上設定 DNS 用戶端設定，以指向因特網服務提供者的 DNS 伺服器 (ISP) 。 如果您將 DNS 用戶端設定設定為指向 ISP 的 DNS 伺服器，域控制器上的 Netlogon 服務就不會註冊 Active Directory 目錄服務的正確記錄。 透過這些記錄，其他域控制器和計算機可以找到 Active Directory 相關信息。 域控制器必須向自己的 DNS 伺服器註冊其記錄。

若要轉送外部 DNS 要求，請在 DNS 管理控制台中將 ISP 的 DNS 伺服器新增為 DNS 轉寄站。 如果您未設定轉寄站，請使用預設根提示伺服器。 在這兩種情況下，如果您想要將內部 DNS 伺服器轉送到因特網 DNS 伺服器，您也必須刪除根目錄 “.”， (在 [ 正向對應 區域] 資料夾的 DNS 管理控制台中也稱為「點」) 區域。

• 如果裝載 DNS 的域控制器已安裝數個網路適配器，您必須停用一個適配卡以進行 DNS 名稱註冊。

如需如何在此情況下正確設定 DNS 的詳細資訊，請按下列文章編號以檢視 Microsoft 知識庫中的文章：

292822 同時執行 DNS 或 WINS 的路由和遠端存取伺服器上的名稱解析和連線問題

若要確認域控制器的 DNS 用戶端設定，請在命令提示字元中輸入下列命令，以檢視因特網通訊協定 (IP) 組態的詳細數據： ipconfig /all
若要修改域控制器的 DNS 用戶端設定，請遵循下列步驟：

1. 以滑鼠右鍵按兩下 [我的網络 Places]，然後選取 [內容]。

2. 以滑鼠右鍵按兩下 [ 區域連線]，然後選取 [ 屬性]。

3. 選 取 [因特網通訊協定 (TCP/IP) ]，然後選取 [ 屬性]。

4. 選取 [ 進階]，然後選取 [DNS] 索引 卷標。若要設定 DNS 資訊，請遵循下列步驟：

   1. 在 [DNS 伺服器位址] 的 [使用順序 ] 方塊中，新增建議的 DNS 伺服器位址。
   2. 如果 [ 針對非限定名稱的解 析] 設定設為 [將這些 DNS 後綴附加 () ，Microsoft 建議您先將 Active Directory DNS 域名列在頂端) (。
   3. 確認 此連線設定的 DNS 後綴 與 Active Directory 功能變數名稱相同。
   4. 確認已選取 [ 在 DNS 中註冊此連線的位址 ] 複選框。
   5. 按三次 [確定]。

5. 如果您變更任何 DNS 用戶端設定，您必須清除 DNS 解析程式快取並註冊 DNS 資源記錄。 若要清除 DNS 解析程式快取，請在命令提示字元中輸入下列命令： ipconfig /flushdns
   若要註冊 DNS 資源記錄，請在命令提示字元中輸入下列命令： ipconfig /registerdns

6. 若要確認 DNS 資料庫中的 DNS 記錄正確無誤，請啟動 DNS 管理主控台。 計算機名稱應該會有主機記錄。 (此主機記錄是 Advanced view.) There also be a Start of Authority (SOA) record and a Name Server (NS) record that points to the domain controller.

未安裝 DNS 的域控制器

如果您未使用 Active Directory 整合式 DNS，而且您有未安裝 DNS 的域控制器，Microsoft 建議您根據下列規格設定 DNS 用戶端設定：

• 設定域控制器上的 DNS 用戶端設定，以指向對應至電腦所屬網域之區域的授權 DNS 伺服器。 由於廣域網 (WAN) 流量考慮，因此偏好使用本機主要和次要 DNS 伺服器。
• 如果沒有可用的本機 DNS 伺服器，請指向可透過可靠 WAN 連結連線的 DNS 伺服器。 運行時間和頻寬決定可靠性。
• 請勿在域控制器上設定 DNS 用戶端設定，以指向您 ISP 的 DNS 伺服器。 相反地，內部 DNS 伺服器應該轉送到 ISP 的 DNS 伺服器來解析外部名稱。

Windows Server 成員伺服器

在 Windows Server 成員伺服器上，Microsoft 建議您根據下列規格設定 DNS 用戶端設定：

• 如果本機 DNS 伺服器可用) 裝載電腦 Active Directory 網域的 DNS 區域，請將主要和次要 DNS 用戶端設定設定為指向本機主要和次要 DNS 伺服器 (。
• 如果沒有可用的本機 DNS 伺服器，請指向該電腦 Active Directory 網域的 DNS 伺服器，該伺服器可以透過可靠的 WAN 連結來連線。 運行時間和頻寬決定可靠性。
• 請勿將用戶端 DNS 設定設定為指向 ISP 的 DNS 伺服器。 如果您這樣做，當您嘗試將 Windows Server 伺服器加入網域，或嘗試從該電腦登入網域時，可能會遇到問題。 相反地，內部 DNS 伺服器應該設定轉送至 ISP 的 DNS 伺服器，以解析外部名稱。

Windows Server 非成員伺服器

• 如果您的伺服器未設定為網域的一部分，您仍然可以將它們設定為使用 Active Directory 整合的 DNS 伺服器作為其主要和次要 DNS 伺服器。 如果您的環境中有使用 Active Directory 整合式 DNS 的非成員伺服器，它們不會以動態方式將其 DNS 記錄註冊到設定為只接受安全更新的區域。
• 如果您未使用 Active Directory 整合式 DNS，而且想要針對內部和外部 DNS 解析設定非成員伺服器，請設定 DNS 用戶端設定，以指向轉送至因特網的內部 DNS 伺服器。
• 如果只需要因特網 DNS 名稱解析，您可以在非成員伺服器上設定 DNS 用戶端設定，以指向 ISP 的 DNS 伺服器。