Главная » Linux

Windows dns best practices

Содержание
  1. Best practices for DNS client settings in Windows 2000 Server and in Windows Server 2003
  2. Domain controller with DNS installed
  3. Domain controller without DNS installed
  4. Windows 2000 Server and Windows Server 2003 member servers
  5. Лучшие практики для параметров клиентов DNS в Windows 2000 Server и Windows Server 2003
  6. Контроллер домена с установленным DNS
  7. Контроллер домена без установки DNS
  8. Серверы членов Windows 2000 Server и Windows Server 2003

Best practices for DNS client settings in Windows 2000 Server and in Windows Server 2003

This article describes best practices for the configuration of Domain Name System (DNS) client settings. The recommendations in this article are for the installation of Windows 2000 Server or Windows Server 2003 environments where there is no previously defined DNS infrastructure.

Original product version: В Windows Server 2012 R2
Original KB number: В 825036

Domain controller with DNS installed

On a domain controller that also acts as a DNS server, Microsoft recommends that you configure the domain controller’s DNS client settings according to these specifications:

If the server is the first and only domain controller that you install in the domain, and the server runs DNS, configure the DNS client settings to point to that first server’s IP address. For example, you must configure the DNS client settings to point to itself. Do not list any other DNS servers until you have another domain controller hosting DNS in that domain.

During the DCPromo process, you must configure additional domain controllers to point to another domain controller that is running DNS in their domain and site, and that hosts the namespace of the domain in which the new domain controller is installed. or if using a 3rd-party DNS to a DNS server that hosts the zone for that DC’s Active Directory domain. Do not configure the domain controller to utilize its own DNS service for name resolution until you have verified that both inbound and outbound Active Directory replication is functioning and up to date. Failure to do so may result in DNS «Islands».
For more information about a related topic, click the following article number to view the article in the Microsoft Knowledge Base:

275278 DNS Server becomes an island when a domain controller points to itself for the _msdcs.ForestDnsName domain

After you’ve verified that replication has completed successfully, DNS may be configured on each Domain Controller in either of two ways, depending on the requirements of the environment. The configuration options are:

  • Configure the Preferred DNS server in TCP/IP properties on each Domain Controller to use itself as Primary DNS Server.
    • Advantages: Ensures that DNS queries originating from the Domain Controller will be resolved locally if possible. Will minimize impact of Domain Controller’s DNS queries on the network.
    • Disadvantages: Dependent on Active Directory replication to ensure that DNS zone is up to date. Lengthy replication failures may result in an incomplete set of entries in the zone.
  • Configure all Domain Controllers to use a centralized DNS server as their Preferred DNS Server.
    • Advantages:
      • Minimizes the reliance on Active Directory replication for DNS zone updates of Domain Controller locator records. It includes faster discovery of new or updated Domain Controller locator records, as replication lag time isn’t an issue.
      • Provides a single authoritative DNS server, which may be useful when troubleshooting Active Directory replication issues
    • Disadvantages:
      • Will more heavily use the network to resolve DNS queries originating from the Domain Controller
      • DNS name resolution may depend on network stability. Loss of connectivity to the Preferred DNS server will result in failure to resolve DNS queries from the Domain Controller. It may result in apparent loss of connectivity, even to locations that aren’t across the lost network segment.

A combination of the two strategies is possible, with the remote DNS server set as Preferred DNS server, and the local Domain Controller set as Alternate (or vice versa). While this strategy has many advantages, there are factors that should be considered before making this configuration change:

  • The DNS client does not utilize each of the DNS servers listed in TCP/IP configuration for each query. By default, on startup the DNS client will attempt to use the server in the Preferred DNS server entry. If this server fails to respond for any reason, the DNS client will switch to the server listed in the alternate DNS server entry. The DNS client will continue to use this alternate DNS server until:
    • It fails to respond to a DNS query, or:
    • The ServerPriorityTimeLimit value is reached (15 minutes by default).
Читайте также:  Reset all pass windows

Only a failure to respond will cause the DNS client to switch Preferred DNS servers; receiving an authoritative but incorrect response does not cause the DNS client to try another server. As a result, configuring a Domain Controller with itself and another DNS server as Preferred and Alternate servers helps to ensure that a response is received, but it does not guarantee accuracy of that response. DNS record update failures on either of the servers may result in an inconsistent name resolution experience.

  • Don’t configure the DNS client settings on the domain controllers to point to DNS servers of your Internet Service Provider (ISP). If you configure the DNS client settings to point to your ISP’s DNS servers, the Netlogon service on the domain controllers doesn’t register the correct records for the Active Directory directory service. With these records, other domain controllers and computers can find Active Directory-related information. The domain controller must register its records with its own DNS server.

To forward external DNS requests, add the ISP’s DNS servers as DNS forwarders in the DNS management console. If you don’t configure forwarders, use the default root hints servers. In both cases, if you want the internal DNS server to forward to an Internet DNS server, you also must delete the root «.» (also known as «dot») zone in the DNS management console in the Forward Lookup Zones folder.

  • If the domain controller that hosts DNS has several network adapters installed, you must disable one adapter for DNS name registration.

For more information about how to configure DNS correctly in this situation, click the following article number to view the article in the Microsoft Knowledge Base:

292822 Name resolution and connectivity issues on a Routing and Remote Access Server that also runs DNS or WINS

To verify your domain controller’s DNS client settings, type the following command at a command prompt to view the details of your Internet Protocol (IP) configuration: ipconfig /all
To modify the domain controller’s DNS client configuration, follow these steps:

Right-click My Network Places, and then select Properties.

Right-click Local Area Connection, and then select Properties.

Select Internet Protocol (TCP/IP), and then select Properties.

Select Advanced, and then select the DNS tab. To configure the DNS information, follow these steps:

  1. In the DNS server addresses, in order of use box, add the recommended DNS server addresses.
  2. If the For resolution of unqualified names setting is set to Append these DNS suffixes (in order), Microsoft recommends that you list the Active Directory DNS domain name first (at the top).
  3. Verify that the DNS Suffix for this connection setting is the same as the Active Directory domain name.
  4. Verify that the Register this connection’s addresses in DNS check box is selected.
  5. Select OK three times.

If you change any DNS client settings, you must clear the DNS resolver cache and register the DNS resource records. To clear the DNS resolver cache, type the following command at a command prompt: ipconfig /flushdns
To register the DNS resource records, type the following command at a command prompt: ipconfig /registerdns

To confirm that the DNS records are correct in the DNS database, start the DNS management console. There should be a host record for the computer name. (This host record is an «A» record in Advanced view.) There also should be a Start of Authority (SOA) record and a Name Server (NS) record that points to the domain controller.

Domain controller without DNS installed

If you do not use Active Directory-integrated DNS, and you have domain controllers that do not have DNS installed, Microsoft recommends that you configure the DNS client settings according to these specifications:

  • Configure the DNS client settings on the domain controller to point to a DNS server that’s authoritative for the zone that corresponds to the domain where the computer is a member. A local primary and secondary DNS server is preferred because of Wide Area Network (WAN) traffic considerations.
  • If there’s no local DNS server available, point to a DNS server that’s reachable by a reliable WAN link. Up-time and bandwidth determine reliability.
  • Don’t configure the DNS client settings on the domain controllers to point to your ISP’s DNS servers. Instead, the internal DNS server should forward to the ISP’s DNS servers to resolve external names.

Windows 2000 Server and Windows Server 2003 member servers

On Windows 2000 Server and Windows Server 2003 member servers, Microsoft recommends that you configure the DNS client settings according to these specifications:

  • Configure the primary and secondary DNS client settings to point to local primary and secondary DNS servers (if local DNS servers are available) that host the DNS zone for the computer’s Active Directory domain.
  • If there are no local DNS servers available, point to a DNS server for that computer’s Active Directory domain that can be reached through a reliable WAN link. Up-time and bandwidth determine reliability.
  • Don’t configure the client DNS settings to point to your ISP’s DNS servers. If you do so, you may experience issues when you try to join the Windows 2000-based or Windows Server 2003-based server to the domain, or when you try to log on to the domain from that computer. Instead, the internal DNS server should forward to the ISP’s DNS servers to resolve external names.
Читайте также:  Управление диском windows не распределен

Лучшие практики для параметров клиентов DNS в Windows 2000 Server и Windows Server 2003

В этой статье описываются наилучшие методы настройки параметров клиента системы доменных имен (DNS). Рекомендации в этой статье посвящены установке сред Windows 2000 Server или Windows Server 2003, в которых ранее не было определенной инфраструктуры DNS.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 825036

Контроллер домена с установленным DNS

На контроллере домена, который также выступает в качестве DNS-сервера, Корпорация Майкрософт рекомендует настроить параметры клиента DNS-контроллера домена в соответствии с этими спецификациями:

Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, а сервер выполняет DNS, настройте параметры клиента DNS, чтобы указать IP-адрес этого первого сервера. Например, необходимо настроить параметры клиента DNS, чтобы указать на себя. Не перечислять другие DNS-серверы, пока в этом домене не будет размещен другой контроллер домена.

Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы указать на другой контроллер домена, который работает с DNS в домене и на сайте, и в котором размещено пространство имен домена, в котором установлен новый контроллер домена. или при использовании 3-й стороной DNS на DNS-сервере, на котором размещена зона для домена Active Directory dc. Не настраивать контроллер домена для использования собственной службы DNS для разрешения имен до тех пор, пока вы не убедились в том, что репликация Active Directory входящие и исходящие не функционирует и будет работать в срок. Невыполнение этого может привести к DNS «Острова».
Дополнительные сведения о связанной теме нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

DNS Server 275278 становится островом, когда контроллер домена указывает на себя для _msdcs.ForestDnsName домена

После успешного завершения репликации DNS может быть настроен на каждом контроллере домена двумя способами в зависимости от требований среды. Параметры конфигурации:

  • Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS Server.
    • Преимущества. Гарантирует, что запросы DNS, возникающие из контроллера домена, будут разрешены локально, если это возможно. Свести к минимуму влияние DNS-запросов контроллера домена на сеть.
    • Недостатки. В зависимости от репликации Active Directory для обеспечения того, чтобы зона DNS была в курсе. Длительные сбои репликации могут привести к неполному набору записей в зоне.
  • Настройте все контроллеры домена, чтобы использовать централизованный DNS-сервер в качестве предпочтительного DNS Server.
    • Преимущества:
      • Минимизирует зависимость от репликации Active Directory для обновлений зон DNS записей локатора контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей локатора контроллера домена, так как время задержки репликации не является проблемой.
      • Предоставляет один авторитетный DNS-сервер, который может быть полезен при устранении неполадок с репликацией Active Directory
    • Недостатки:
      • Будет более активно использовать сеть для решения запросов DNS, возникающих из контроллера домена
      • Разрешение имен DNS может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к неспособности разрешить запросы DNS от контроллера домена. Это может привести к очевидной потере подключения даже к расположениям, которые не являются в потерянном сегменте сети.

Возможно сочетание этих двух стратегий с удаленным DNS-сервером в качестве предпочтительного DNS-сервера, а локальный контроллер домена — альтернативным (или наоборот). Хотя эта стратегия имеет множество преимуществ, перед изменением конфигурации необходимо учитывать некоторые факторы:

  • Клиент DNS не использует каждый из DNS-серверов, перечисленных в конфигурации TCP/IP для каждого запроса. По умолчанию при запуске клиент DNS будет пытаться использовать сервер в записи предпочитаемого DNS-сервера. Если этот сервер не отвечает по какой-либо причине, клиент DNS перейдет на сервер, указанный в альтернативной записи DNS-сервера. Клиент DNS будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
    • Он не отвечает на запрос DNS или:
    • Значение ServerPriorityTimeLimit достигается (15 минут по умолчанию).

Только невыполнение ответа приведет к тому, что клиент DNS переключает предпочтительные DNS-серверы; Получение достоверного, но неправильного ответа не вызывает попытку клиента DNS на другом сервере. В результате настройка контроллера домена с собой и другим DNS-сервером в качестве предпочтительных и альтернативных серверов помогает гарантировать, что ответ получен, но не гарантирует точность этого ответа. Сбои обновления записей DNS на обоих серверах могут привести к несогласованному разрешению имен.

  • Не настраивайте параметры клиента DNS на контроллерах домена, чтобы указать на DNS-серверы поставщика интернет-услуг (ISP). Если настроить параметры DNS-клиентов, чтобы указать на DNS-серверы вашего isP, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут находить сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи на своем DNS-сервере.
Читайте также:  Дистрибутив linux для системного администратора

Чтобы перенаправление внешних запросов DNS, добавьте DNS-серверы isP в качестве DNS-переадверщиков в консоль управления DNS. Если не настроены переадверщики, используйте серверы корневых подсказок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер переадновится на сервер DNS в Интернете, необходимо также удалить корневой «». (также известная как зона «точка») в консоли управления DNS в папке Зоны forward Lookup.

  • Если контроллер домена, на котором размещенА DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации имен DNS.

Дополнительные сведения о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

292822 Проблемы с разрешением имен и подключением на сервере маршрутов и удаленного доступа, который также выполняет DNS или WINS

Чтобы проверить параметры клиента DNS-контроллера домена, введите следующую команду в командной подсказке, чтобы просмотреть сведения о конфигурации ip-протокола Интернета: ipconfig /all
Чтобы изменить конфигурацию клиента DNS контроллера домена, выполните следующие действия:

Щелкните правой кнопкой мыши Мои сетевые места, а затем выберите Свойства.

Щелкните правой кнопкой мыши локальное подключение к области, а затем выберите Свойства.

Выберите протокол Интернета (TCP/IP) и выберите свойства.

Выберите Расширенный, а затем выберите вкладку DNS. Чтобы настроить данные DNS, выполните следующие действия:

  1. В DNS-серверах в порядке использования добавьте рекомендуемые DNS-серверные адреса.
  2. Если параметр Для разрешения неквалифицированных имен задан для приложения этих суффиксов DNS (в порядке), Корпорация Майкрософт рекомендует сначала указать доменное имя Active Directory DNS (в верхней части).
  3. Убедитесь, что Суффикс DNS для этого параметра подключения такой же, как доменное имя Active Directory.
  4. Убедитесь, что выбраны адреса этого подключения в поле DNS.
  5. Выберите ОК три раза.

При изменении параметров клиента DNS необходимо очистить кэш разрешения DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш разрешения DNS, введите следующую команду в командной подсказке: ipconfig /flushdns
Чтобы зарегистрировать записи ресурсов DNS, введите следующую команду по командной подсказке: ipconfig /registerdns

Чтобы подтвердить правильность записей DNS в базе данных DNS, запустите консоль управления DNS. Должна быть запись для имени компьютера. (Эта запись хостов — запись «A» в расширенных представлениях.) Также должна быть запись Start of Authority (SOA) и запись Name Server (NS), которая указывает на контроллер домена.

Контроллер домена без установки DNS

Если вы не используете DNS, интегрированный в Active Directory, и у вас есть контроллеры домена, которые не установлены DNS, Корпорация Майкрософт рекомендует настроить параметры клиента DNS в соответствии с этими спецификациями:

  • Настройте параметры клиента DNS на контроллере домена, чтобы указать на DNS-сервер, который является авторитетным для зоны, соответствующей домену, в котором компьютер является участником. Локальный первичный и вторичный DNS-сервер предпочтительнее из-за соображений трафика широкой сети (WAN).
  • Если отсутствует локальный DNS-сервер, указать на DNS-сервер, доступный по надежной ссылке WAN. Надежность определяется временем и пропускной способностью.
  • Не настраивайте параметры клиента DNS на контроллерах домена, чтобы указать на DNS-серверы вашего isP. Вместо этого внутренний DNS-сервер должен переадружать на DNS-серверы isP для разрешения внешних имен.

Серверы членов Windows 2000 Server и Windows Server 2003

На серверах членов Windows 2000 Server и Windows Server 2003 Корпорация Майкрософт рекомендует настроить параметры клиентов DNS в соответствии с этими спецификациями:

  • Настройте основные и вторичные параметры клиентов DNS, чтобы указать на локальные первичные и вторичные DNS-серверы (если доступны локальные DNS-серверы), на которые размещена зона DNS для домена Active Directory компьютера.
  • Если локальных DNS-серверов нет, указать на DNS-сервер для домена Active Directory этого компьютера, который можно связать с помощью надежной WAN-ссылки. Надежность определяется временем и пропускной способностью.
  • Не настраивайте параметры клиентских DNS для указать на DNS-серверы вашего isP. В этом случае могут возникнуть проблемы при попытке присоединиться к серверу На основе Windows 2000 или Windows Server 2003 в домен или при попытке войти в домен с этого компьютера. Вместо этого внутренний DNS-сервер должен переадружать на DNS-серверы isP для разрешения внешних имен.
Оцените статью
© 2024 Советы по настройке компьютера