Windows 2000 Server 和 Windows Server 2003 中的 DNS 客户端设置最佳做法

本文介绍在客户端设置中配置域名系统 (DNS) 最佳实践。 本文中的建议适用于安装之前没有定义 DNS 基础结构的 Windows 2000 Server 或 Windows Server 2003 环境。

适用于:  Windows Server 2012R2
原始 KB 编号:   825036

安装了 DNS 的域控制器

在还充当 DNS 服务器的域控制器上,Microsoft 建议您根据以下规范配置域控制器的 DNS 客户端设置:

  • 如果服务器是域中安装的第一个且唯一的域控制器,并且服务器运行 DNS,则配置 DNS 客户端设置以指向该第一台服务器的 IP 地址。 例如,必须将 DNS 客户端设置配置为指向自身。 在有另一个域控制器托管该域中的 DNS 之前,不要列出任何其他 DNS 服务器。

  • 在 DCPromo 过程中,必须将其他域控制器配置为指向其域和站点中运行 DNS 的另一个域控制器,并且该域控制器承载安装新域控制器的域的命名空间。 或者,如果对托管该 DC 的 Active Directory 域的区域的 DNS 服务器使用第三方 DNS。 在验证入站和出站 Active Directory 复制是否正常运行且是最新的之前,不要将域控制器配置为利用自己的 DNS 服务进行名称解析。 如果不这样做,可能会导致 DNS"群岛"。
    有关相关主题的详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:

    当域控制器指向域本身时,275278 DNS 服务器将成为一座 _msdcs.ForestDnsName

  • 确认复制成功完成后,可能会通过以下两种方式之一在每个域控制器上配置 DNS,具体取决于环境要求。 配置选项包括:

    • 在每个域控制器上的 TCP/IP 属性中配置首选 DNS 服务器,以将自身用作主 DNS 服务器。
      • 优点:确保尽可能在本地解析源自域控制器的 DNS 查询。 将域控制器的 DNS 查询对网络的影响降至最低。
      • 缺点:依赖于 Active Directory 复制以确保 DNS 区域是最新的。 长时间复制失败可能会导致区域中的条目集不完整。
    • 配置所有域控制器以使用集中式 DNS 服务器作为首选 DNS 服务器。
      • 优点:
        • 最大程度地减少对域控制器定位器记录的 DNS 区域更新的 Active Directory 复制的依赖。 它包括更快发现新的或更新的域控制器定位器记录,因为复制延迟时间不是问题。
        • 提供单个权威 DNS 服务器,在解决 Active Directory 复制问题时可能很有用
      • 缺点:
        • 将更大量地使用网络解析源自域控制器的 DNS 查询
        • DNS 名称解析可能取决于网络稳定性。 丢失与首选 DNS 服务器的连接将导致无法从域控制器解析 DNS 查询。 它可能会导致明显的连接丢失,甚至到未跨丢失网段的位置。
  • 可以结合使用这两种策略,将远程 DNS 服务器设置为首选 DNS 服务器,将本地域控制器设置为备用 (反之亦然) 。 虽然此策略有很多优势,但更改此配置之前,应先考虑一些因素:

    • DNS 客户端不针对每个查询利用 TCP/IP 配置中列出的每个 DNS 服务器。 默认情况下,启动时,DNS 客户端将尝试使用首选 DNS 服务器条目中的服务器。 如果此服务器因任何原因无法响应,DNS 客户端将切换到备用 DNS 服务器条目中列出的服务器。 DNS 客户端将继续使用此备用 DNS 服务器,直到:
      • 它无法响应 DNS 查询,或者:
      • 默认情况下,ServerPriorityTimeLimit 值 (15 分钟) 。

备注

只有响应失败将导致 DNS 客户端切换首选 DNS 服务器;接收权威响应但错误响应不会导致 DNS 客户端尝试其他服务器。 因此,将域控制器自身和其他 DNS 服务器配置为首选服务器和备用服务器有助于确保收到响应,但不保证该响应的准确性。 任一台服务器上的 DNS 记录更新失败都可能导致名称解析体验不一致。

  • 不要将域控制器上的 DNS 客户端设置配置为指向 Internet 服务提供商的 DNS 服务器 (ISP) 。 如果将 DNS 客户端设置配置为指向 ISP 的 DNS 服务器,域控制器上的 Netlogon 服务不会为 Active Directory 目录服务注册正确的记录。 使用这些记录,其他域控制器和计算机可以找到 Active Directory 相关信息。 域控制器必须使用自己的 DNS 服务器注册其记录。

若要转发外部 DNS 请求,请添加 ISP 的 DNS 服务器作为 DNS 管理控制台中的 DNS 转发器。 如果未配置转发器,请使用默认根提示服务器。 在这两种情况下,如果希望内部 DNS 服务器转发到 Internet DNS 服务器,还必须删除"前向查找区域"文件夹中 DNS 管理控制台中的根"." (也称为"dot") 区域。

  • 如果承载 DNS 的域控制器安装了多个网络适配器,则必须禁用一个适配器进行 DNS 名称注册。

若要详细了解在这种情况下如何正确配置 DNS,请单击以下文章编号以查看 Microsoft 知识库中的文章:

292822 同时运行 DNS 或 WINS 的路由和远程访问服务器上的名称解析和连接问题

若要验证域控制器的 DNS 客户端设置,在命令提示符下键入以下命令,以查看 Internet 协议 (IP) 配置的详细信息: ipconfig /all
若要修改域控制器的 DNS 客户端配置,请按照以下步骤操作:

  1. 右键单击 "我的网络位置", 然后选择"属性 "。

  2. 右键单击 "本地连接", 然后选择"属性 "。

  3. 选择 "INTERNET 协议 (TCP/IP) ", 然后选择"属性 "。

  4. 选择 "高级",然后选择 "DNS" 选项卡。若要配置 DNS 信息,请按照以下步骤操作:

    1. "DNS 服务器地址"中的"使用 顺序"框中,添加建议的 DNS 服务器地址。
    2. 如果"解析未限定名称"设置设置为"为) 追加这些 DNS 后缀 (",Microsoft 建议您首先将 Active Directory DNS 域名 (在) 。
    3. 验证此 连接的 DNS 后缀设置是否与 Active Directory 域名相同。
    4. 验证是否 选中了"在 DNS 中注册 此连接的地址"复选框。
    5. 选择 "确定" 三次。
  5. 如果更改任何 DNS 客户端设置,则必须清除 DNS 解析程序缓存并注册 DNS 资源记录。 若要清除 DNS 解析程序缓存,在命令提示符下键入以下命令: ipconfig /flushdns
    若要注册 DNS 资源记录,请在命令提示符下键入以下命令: ipconfig /registerdns

  6. 若要确认 DNS 数据库中的 DNS 记录正确,请启动 DNS 管理控制台。 计算机名称应具有主机记录。 (此主机记录是高级视图中的"A"记录。) 还应有一个指向域控制器的"颁发机构开始" () 记录和一个名称服务器 (NS) 记录。

未安装 DNS 的域控制器

如果您不使用 Active Directory 集成的 DNS,并且您的域控制器未安装 DNS,Microsoft 建议您根据以下规范配置 DNS 客户端设置:

  • 在域控制器上配置 DNS 客户端设置,以指向与计算机是其中一个成员的域对应的区域的权威 DNS 服务器。 本地主 DNS 服务器和辅助 DNS 服务器是首选服务器,因为广域网 (WAN) 流量注意事项。
  • 如果没有可用的本地 DNS 服务器,则指向通过可靠的 WAN 链接可到达的 DNS 服务器。 Up-time and bandwidth determine reliability.
  • 不要将域控制器上的 DNS 客户端设置配置为指向 ISP 的 DNS 服务器。 相反,内部 DNS 服务器应转发到 ISP 的 DNS 服务器以解析外部名称。

Windows 2000 Server 和 Windows Server 2003 成员服务器

在 Windows 2000 Server 和 Windows Server 2003 成员服务器上,Microsoft 建议您根据以下规范配置 DNS 客户端设置:

  • 将主 DNS 客户端和辅助 DNS 客户端设置配置为指向本地主 DNS 服务器和辅助 DNS 服务器 (如果本地 DNS 服务器) 托管计算机的 Active Directory 域的 DNS 区域。
  • 如果没有可用的本地 DNS 服务器,请指向该计算机的 Active Directory 域的 DNS 服务器,该域可通过可靠的 WAN 链接访问。 Up-time and bandwidth determine reliability.
  • 不要将客户端 DNS 设置配置为指向 ISP 的 DNS 服务器。 如果这样做,在尝试将基于 Windows 2000 或基于 Windows Server 2003 的服务器加入域时,或者尝试从该计算机登录到域时,可能会遇到问题。 相反,内部 DNS 服务器应转发到 ISP 的 DNS 服务器以解析外部名称。

Windows 2000 Server 和 Windows Server 2003 非成员服务器

  • 如果您的服务器未配置为域的一部分,则仍可将其配置为使用 Active Directory 集成 DNS 服务器作为其主要和辅助 DNS 服务器。 如果您的环境中具有使用 Active Directory 集成 DNS 的非成员服务器,则它们不会将 DNS 记录动态注册到配置为仅接受安全更新的区域。
  • 如果您不使用 Active Directory 集成的 DNS,并且希望为内部和外部 DNS 解析配置非成员服务器,请配置 DNS 客户端设置以指向转发到 Internet 的内部 DNS 服务器。
  • 如果只需要 Internet DNS 名称解析,可以在非成员服务器上配置 DNS 客户端设置,以指向 ISP 的 DNS 服务器。