Windows 2000 Server 和 Windows Server 2003 中 DNS 客户端设置的最佳做法
2012-11-02 08:31
495 查看
文章编号: 825036 - 查看本文应用于的产品 安装了 DNS 的域控制器 在同时充当 DNS 服务器的域控制器上,Microsoft 建议您根据以下规范配置该域控制器的 DNS 客户端设置: 如果服务器是第一台并且是唯一一台在域中安装的域控制器,且该服务器运行 DNS,则将 DNS 客户端设置配置为指向该第一台服务器的 IP 地址。例如,必须将 DNS 客户端设置配置为指向自身。不要列出任何其他 DNS 服务器,除非该域中具有另一台主持 DNS 的域控制器。
在 DCPromo 过程中,必须将其他域控制器配置为指向其所在域和网站中运行 DNS 的另一台域控制器,该域控制器主持其中安装了新域控制器的域的命名空间。或者,如果使用第三方 DNS,则配置为指向主持该 DC 的 Active Directory 域的区域的 DNS 服务器。不要将域控制器配置为使用它自己的 DNS 服务进行名称解析,除非已确认入站和出站 Active Directory 复制均正常运行且为最新的。否则可能会导致 DNS“孤岛”。有关 DNS 孤岛的更多信息,请参阅下面 Microsoft 网站中 Windows 2000 Server Active Directory Branch Office Guide“规划”部分中的“第二章:Branch Office 环境的结构规划”(Chapter 2 - Structural Planning for Branch Office Environments): http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.mspx
(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.mspx)
有关相关主题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
275278
(http://support.microsoft.com/kb/275278/ )
当域控制器将 _msdcs.ForestDnsName 域指向它自身时 DNS 服务器变为孤岛
在确认复制已成功完成后,可根据环境要求按照两种方式之一在每台域控制器上配置 DNS。配置选项包括: 在每台域控制器的 TCP/IP 属性中配置首选 DNS 服务器,以将其自身用作主 DNS 服务器。 优点:
确保域控制器发出的 DNS 查询尽可能进行本地解析。将域控制器的 DNS 查询对网络的影响降至最低
缺点:
需要依赖 Active Directory 复制才能确保 DNS 区域是最新的。长时间复制失败可能导致区域中的项目集不完整。
配置所有域控制器以将集中式 DNS 服务器用作它们的首选 DNS 服务器。 优点: 在对 Active Directory 复制依赖最少的情况下,即可获得域控制器定位器记录的 DNS 区域更新。这包括加快了对新的或更新的域控制器定位器记录的发现,因为复制延迟时间不是问题。
提供单一的权威 DNS 服务器,这在解决 Active Directory 复制问题时很有用
缺点: 需要更加频繁地利用网络来解析域控制器发出的 DNS 查询
DNS 名称解析可能会依赖网络的稳定性;断开与首选 DNS 服务器的连接将导致无法解析来自域控制器的 DNS 查询。这可能会明显导致连接断开,甚至对于不跨越丢失的网段的位置也是如此。
可将这两种策略进行组合:将远程 DNS 服务器设为首选 DNS 服务器,将本地域控制器设为备用服务器(反过来也可以)。此策略具有许多优点,但在进行此配置更改之前应考虑以下因素: DNS 客户端不为每个查询使用 TCP/IP 配置中列出的所有 DNS 服务器。默认情况下,DNS 客户端在启动时将尝试使用首选 DNS 服务器项中的服务器。如果此服务器因某种原因而无法响应,则 DNS 客户端将切换到备用 DNS 服务器项中列出的服务器。DNS 客户端将继续使用此备用 DNS 服务器,直到: 它无法响应 DNS 查询,或者:
达到 ServerPriorityTimeLimit 值(默认为 15 分钟)。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 286834
(http://support.microsoft.com/kb/286834/ )
DNS 客户端服务未还原为使用列表中的第一台服务器
请注意,只有响应失败才会导致 DNS 客户端切换首选 DNS 服务器;收到授权但不正确的响应不会导致 DNS 客户端尝试使用其他服务器。因此,将包含自身和其他 DNS 服务器的域控制器配置为首选和备用服务器有助于确保可以收到响应,但并不能保证该响应的准确性。任一服务器上的 DNS 记录更新失败均可能导致名称解析不一致。
不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商 (ISP) 的 DNS 服务器。如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器,则域控制器上的 Netlogon 服务将无法为 Active Directory 目录服务注册正确的记录。其他域控制器和计算机可以使用这些记录查找与 Active Directory 相关的信息。域控制器必须向自己的 DNS 服务器注册其记录。
要转发外部 DNS 请求,请将 ISP 的 DNS 服务器作为 DNS 转发器添加到 DNS 管理控制台中。如果未配置转发器,则使用默认的根提示服务器。在以上两种情况下,如果要使内部 DNS 服务器向 Internet DNS 服务器进行转发,还必须在 DNS 管理控制台中删除“正向查找区域”文件夹中的根“.”(也称为“点”)区域。
有关如何删除根区域的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 298148
(http://support.microsoft.com/kb/298148/ )
如何删除根区域(点区域)
如果主持 DNS 的域控制器上已安装了若干网络适配器,则必须禁用一台适配器以进行 DNS 名称注册。
有关如何在此情况下正确配置 DNS 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 292822
(http://support.microsoft.com/kb/292822/ )
同时也运行 DNS 或 WINS 的路由和远程访问服务器上的名称解析和连接问题
要验证域控制器的 DNS 客户端设置是否正确,请在命令提示符处键入下面的命令以查看 Internet 协议 (IP) 配置的详细信息: ipconfig /all
要修改域控制器的 DNS 客户端配置,请按照下列步骤操作:
右键单击“网上邻居”,然后单击“属性”。
右键单击“本地连接”,然后单击“属性”。
单击“Internet 协议(TCP/IP)”,然后单击“属性”。
单击“高级”,然后单击“DNS”选项卡。要配置 DNS 信息,请按照下列步骤操作: 在“DNS 服务器地址(按使用顺序排列)”框中,添加推荐的 DNS 服务器地址。
如果“要解析不合格的名称”设置设为“附加这些 DNS 后缀(按顺序)”,则 Microsoft 建议您首先在顶部列出 Active Directory DNS 域名。
验证“此连接的 DNS 后缀”设置是否与 Active Directory 域名设置相同。
确认选中了“在 DNS 中注册此连接的地址”复选框。
单击“确定”三次。
如果更改了任何 DNS 客户端设置,则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。要清除 DNS 解析程序缓存,请在命令提示符处键入以下命令: ipconfig /flushdns
要注册 DNS 资源记录,请在命令提示符处键入以下命令:
ipconfig /registerdns
要确认 DNS 数据库中的 DNS 记录是否正确,请启动 DNS 管理控制台。应该有一个计算机名的主机记录。(此主机记录在“高级”视图中为“A”记录。)还应该有一个授权区域起始 (SOA) 记录和一个指向域控制器的名称服务器 (NS) 记录。
未安装 DNS 的域控制器 如果未使用与 Active Directory 集成的 DNS,且域控制器未安装 DNS,则 Microsoft 建议您根据以下规范配置 DNS 客户端设置: 将域控制器上的 DNS 客户端设置配置为指向区域中的权威 DNS 服务器,该区域与计算机所在的域相对应。考虑到广域网 (WAN) 通信量,应首选本地主辅 DNS 服务器。
如果没有可用的本地 DNS 服务器,请指向可靠 WAN 链接可访问的 DNS 服务器。(可靠性由正常运行时间和带宽决定。)
不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。而应使内部 DNS 服务器向 ISP 的 DNS 服务器进行转发,以便解析外部名称。
Windows 2000 Server 和 Windows Server 2003 成员服务器 在 Windows 2000 Server 和 Windows Server 2003 成员服务器上,Microsoft 建议您根据以下规范配置 DNS 客户端设置: 将主辅 DNS 客户端设置配置为指向本地主辅 DNS 服务器(如果本地 DNS 服务器可用),这些服务器主持计算机 Active Directory 域的 DNS 区域。
如果没有可用的本地 DNS 服务器,请指向该计算机的 Active Directory 域的 DNS 服务器,该服务器可通过可靠 WAN 链接(可靠性由正常运行时间和带宽决定)进行访问。
不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。如果这样做,在尝试将基于 Windows 2000 或基于 Windows Server 2003 的服务器加入域中,或尝试从该计算机登录到域时,可能会遇到问题。而应使内部 DNS 服务器向 ISP 的 DNS 服务器进行转发,以便解析外部名称。
Windows 2000 Server 和 Windows Server 2003 非成员服务器 如果服务器没有配置为域的一部分,则仍然可以配置这些服务器,以便将与 Active Directory 集成的 DNS 服务器用作它们的主辅 DNS 服务器。如果您所在环境中的非成员服务器使用与 Active Directory 集成的 DNS,则这些服务器不能动态将其 DNS 记录注册到配置为仅接受安全更新的区域。
如果不使用与 Active Directory 集成的 DNS,且希望配置非成员服务器以同时进行内部和外部 DNS 解析,那么应将 DNS 客户端设置配置为指向可转发到 Internet 的内部 DNS 服务器。
如果只需进行 Internet DNS 名称解析,则可将非成员服务器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。
在 DCPromo 过程中,必须将其他域控制器配置为指向其所在域和网站中运行 DNS 的另一台域控制器,该域控制器主持其中安装了新域控制器的域的命名空间。或者,如果使用第三方 DNS,则配置为指向主持该 DC 的 Active Directory 域的区域的 DNS 服务器。不要将域控制器配置为使用它自己的 DNS 服务进行名称解析,除非已确认入站和出站 Active Directory 复制均正常运行且为最新的。否则可能会导致 DNS“孤岛”。有关 DNS 孤岛的更多信息,请参阅下面 Microsoft 网站中 Windows 2000 Server Active Directory Branch Office Guide“规划”部分中的“第二章:Branch Office 环境的结构规划”(Chapter 2 - Structural Planning for Branch Office Environments): http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.mspx
(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.mspx)
有关相关主题的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
275278
(http://support.microsoft.com/kb/275278/ )
当域控制器将 _msdcs.ForestDnsName 域指向它自身时 DNS 服务器变为孤岛
在确认复制已成功完成后,可根据环境要求按照两种方式之一在每台域控制器上配置 DNS。配置选项包括: 在每台域控制器的 TCP/IP 属性中配置首选 DNS 服务器,以将其自身用作主 DNS 服务器。 优点:
确保域控制器发出的 DNS 查询尽可能进行本地解析。将域控制器的 DNS 查询对网络的影响降至最低
缺点:
需要依赖 Active Directory 复制才能确保 DNS 区域是最新的。长时间复制失败可能导致区域中的项目集不完整。
配置所有域控制器以将集中式 DNS 服务器用作它们的首选 DNS 服务器。 优点: 在对 Active Directory 复制依赖最少的情况下,即可获得域控制器定位器记录的 DNS 区域更新。这包括加快了对新的或更新的域控制器定位器记录的发现,因为复制延迟时间不是问题。
提供单一的权威 DNS 服务器,这在解决 Active Directory 复制问题时很有用
缺点: 需要更加频繁地利用网络来解析域控制器发出的 DNS 查询
DNS 名称解析可能会依赖网络的稳定性;断开与首选 DNS 服务器的连接将导致无法解析来自域控制器的 DNS 查询。这可能会明显导致连接断开,甚至对于不跨越丢失的网段的位置也是如此。
可将这两种策略进行组合:将远程 DNS 服务器设为首选 DNS 服务器,将本地域控制器设为备用服务器(反过来也可以)。此策略具有许多优点,但在进行此配置更改之前应考虑以下因素: DNS 客户端不为每个查询使用 TCP/IP 配置中列出的所有 DNS 服务器。默认情况下,DNS 客户端在启动时将尝试使用首选 DNS 服务器项中的服务器。如果此服务器因某种原因而无法响应,则 DNS 客户端将切换到备用 DNS 服务器项中列出的服务器。DNS 客户端将继续使用此备用 DNS 服务器,直到: 它无法响应 DNS 查询,或者:
达到 ServerPriorityTimeLimit 值(默认为 15 分钟)。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 286834
(http://support.microsoft.com/kb/286834/ )
DNS 客户端服务未还原为使用列表中的第一台服务器
请注意,只有响应失败才会导致 DNS 客户端切换首选 DNS 服务器;收到授权但不正确的响应不会导致 DNS 客户端尝试使用其他服务器。因此,将包含自身和其他 DNS 服务器的域控制器配置为首选和备用服务器有助于确保可以收到响应,但并不能保证该响应的准确性。任一服务器上的 DNS 记录更新失败均可能导致名称解析不一致。
不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商 (ISP) 的 DNS 服务器。如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器,则域控制器上的 Netlogon 服务将无法为 Active Directory 目录服务注册正确的记录。其他域控制器和计算机可以使用这些记录查找与 Active Directory 相关的信息。域控制器必须向自己的 DNS 服务器注册其记录。
要转发外部 DNS 请求,请将 ISP 的 DNS 服务器作为 DNS 转发器添加到 DNS 管理控制台中。如果未配置转发器,则使用默认的根提示服务器。在以上两种情况下,如果要使内部 DNS 服务器向 Internet DNS 服务器进行转发,还必须在 DNS 管理控制台中删除“正向查找区域”文件夹中的根“.”(也称为“点”)区域。
有关如何删除根区域的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 298148
(http://support.microsoft.com/kb/298148/ )
如何删除根区域(点区域)
如果主持 DNS 的域控制器上已安装了若干网络适配器,则必须禁用一台适配器以进行 DNS 名称注册。
有关如何在此情况下正确配置 DNS 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 292822
(http://support.microsoft.com/kb/292822/ )
同时也运行 DNS 或 WINS 的路由和远程访问服务器上的名称解析和连接问题
要验证域控制器的 DNS 客户端设置是否正确,请在命令提示符处键入下面的命令以查看 Internet 协议 (IP) 配置的详细信息: ipconfig /all
要修改域控制器的 DNS 客户端配置,请按照下列步骤操作:
右键单击“网上邻居”,然后单击“属性”。
右键单击“本地连接”,然后单击“属性”。
单击“Internet 协议(TCP/IP)”,然后单击“属性”。
单击“高级”,然后单击“DNS”选项卡。要配置 DNS 信息,请按照下列步骤操作: 在“DNS 服务器地址(按使用顺序排列)”框中,添加推荐的 DNS 服务器地址。
如果“要解析不合格的名称”设置设为“附加这些 DNS 后缀(按顺序)”,则 Microsoft 建议您首先在顶部列出 Active Directory DNS 域名。
验证“此连接的 DNS 后缀”设置是否与 Active Directory 域名设置相同。
确认选中了“在 DNS 中注册此连接的地址”复选框。
单击“确定”三次。
如果更改了任何 DNS 客户端设置,则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。要清除 DNS 解析程序缓存,请在命令提示符处键入以下命令: ipconfig /flushdns
要注册 DNS 资源记录,请在命令提示符处键入以下命令:
ipconfig /registerdns
要确认 DNS 数据库中的 DNS 记录是否正确,请启动 DNS 管理控制台。应该有一个计算机名的主机记录。(此主机记录在“高级”视图中为“A”记录。)还应该有一个授权区域起始 (SOA) 记录和一个指向域控制器的名称服务器 (NS) 记录。
未安装 DNS 的域控制器 如果未使用与 Active Directory 集成的 DNS,且域控制器未安装 DNS,则 Microsoft 建议您根据以下规范配置 DNS 客户端设置: 将域控制器上的 DNS 客户端设置配置为指向区域中的权威 DNS 服务器,该区域与计算机所在的域相对应。考虑到广域网 (WAN) 通信量,应首选本地主辅 DNS 服务器。
如果没有可用的本地 DNS 服务器,请指向可靠 WAN 链接可访问的 DNS 服务器。(可靠性由正常运行时间和带宽决定。)
不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。而应使内部 DNS 服务器向 ISP 的 DNS 服务器进行转发,以便解析外部名称。
Windows 2000 Server 和 Windows Server 2003 成员服务器 在 Windows 2000 Server 和 Windows Server 2003 成员服务器上,Microsoft 建议您根据以下规范配置 DNS 客户端设置: 将主辅 DNS 客户端设置配置为指向本地主辅 DNS 服务器(如果本地 DNS 服务器可用),这些服务器主持计算机 Active Directory 域的 DNS 区域。
如果没有可用的本地 DNS 服务器,请指向该计算机的 Active Directory 域的 DNS 服务器,该服务器可通过可靠 WAN 链接(可靠性由正常运行时间和带宽决定)进行访问。
不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。如果这样做,在尝试将基于 Windows 2000 或基于 Windows Server 2003 的服务器加入域中,或尝试从该计算机登录到域时,可能会遇到问题。而应使内部 DNS 服务器向 ISP 的 DNS 服务器进行转发,以便解析外部名称。
Windows 2000 Server 和 Windows Server 2003 非成员服务器 如果服务器没有配置为域的一部分,则仍然可以配置这些服务器,以便将与 Active Directory 集成的 DNS 服务器用作它们的主辅 DNS 服务器。如果您所在环境中的非成员服务器使用与 Active Directory 集成的 DNS,则这些服务器不能动态将其 DNS 记录注册到配置为仅接受安全更新的区域。
如果不使用与 Active Directory 集成的 DNS,且希望配置非成员服务器以同时进行内部和外部 DNS 解析,那么应将 DNS 客户端设置配置为指向可转发到 Internet 的内部 DNS 服务器。
如果只需进行 Internet DNS 名称解析,则可将非成员服务器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 在windows 2000/2003 server域中添加windows server 2008或server 2008 R2域控制器
- 更改 Windows Server 2003 或 Windows 2000 Server 证书颁发机构所签发证书的终止日期
- 把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤
- windows server 2003 和windows 2000 server 终端服务打印驱动替代方法
- Windows 2000、Windows XP 和 Windows 2003 Server定时开机与关机设置
- 设置 windows 2000/2003 server 自动登录
- Windows 2000/2003 server域和活动目录
- 在 SQL Server 2000 中对链接服务器运行分布式事务在您安装 Windows Server 2003 或 Windows XP Service Pack 2 时可能收到 7391 错误信息
- 怎樣做Windows 2003 DNS Server 備援機
- Windows Server 2003 和 Windows 2000 提供大内存支持(摘录)
- 转 windows 2003 server 远程连接安全设置
- 如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理的加密文件系统 (EFS) 私钥
- windows 2003 server的一些优化设置
- Windows 2000 Server中DNS的实现
- 浅谈如何将 Windows 2000 域控制器升级到 Windows Server 2003
- 在Windows Server 2003 、Windows XP或者Windows 2000中安装 SQL SERVER 2008 开发版和企业版时,会遇到“性能计数器注册表配置单元一致性”检查失败
- 服务器群集:Windows Server 2003 备份和恢复的最佳做法
- Windows 2003 Server-DNS 架设
- 如何在 Windows Server 2003、Windows 2000 和 Windows XP 中备份恢复代理的加密文件系统 (EFS) 私钥
- Windows 2000 和 Windows Server 2003 TCP 功能的说明