Windows 2000 Server 及 Windows Server 2003 中 DNS 用戶端設定的最佳作法

本文說明網域名稱系統設定 (DNS) 用戶端設定的最佳作法。 本文中的建議是針對 Windows 2000 Server 或 Windows Server 2003 環境(沒有先前定義的 DNS 基礎結構)的安裝。

原始產品版本:   Windows Server 2012 R2
原始 KB 編號:   825036

已安裝 DNS 的網域控制站

在也充當 DNS 伺服器的網域控制站上,Microsoft 建議您根據這些規格設定網域控制站的 DNS 用戶端設定:

  • 如果伺服器是您在網域中安裝的第一個和唯一的網域控制站,而且伺服器會執行 DNS,請設定 DNS 用戶端設定,以指向第一部伺服器的 IP 位址。 例如,您必須設定 DNS 用戶端設定指向自身。 除非在該網域中有另一個主控 DNS 的網域控制站,否則請勿列出任何其他 DNS 伺服器。

  • 在 DCPromo 程式期間,您必須設定其他的網域控制站,指向在其網域和網站中執行 DNS 的另一個網域控制站,並裝載新的網域控制站安裝所在網域的命名空間。 或者,如果使用協力廠商 DNS 來裝載主控該 DC 之 Active Directory 網域之區域的 DNS 伺服器。 請不要設定網域控制站使用自己的 DNS 服務以進行名稱解析,直到確認輸入和輸出 Active Directory 複寫都運作並且更新為止。 否則可能會導致 DNS 「孤島」。
    如需相關主題的詳細資訊,請按一下下列文章編號,以查看 Microsoft 知識庫中的文章:

    275278當網域控制站對網域指向自身時,DNS 伺服器會變成島 _msdcs.ForestDnsName

  • 在您確認複寫順利完成之後,就可以根據環境的需求,以兩種方式中的任一種方式,在每個網域控制站上設定 DNS。 設定選項包括:

    • 在每個網域控制站的 TCP/IP 內容中設定偏好的 DNS 伺服器,將其本身當做主要 DNS 伺服器使用。
      • 優點:請確定,如果可能的話,會在本機解析來自網域控制站的 DNS 查詢。 會將網域控制站的 DNS 查詢影響降至網路上。
      • 缺點:相依于 Active Directory 複寫,以確保 DNS 區域是最新的。 冗長的複寫失敗可能會導致區域中的專案集合不完整。
    • 將所有網域控制站設定為使用集中式 DNS 伺服器做為其偏好的 DNS 伺服器。
      • 優勢:
        • 將網域控制站定位器記錄的 DNS 區域更新對 Active Directory 複寫的依賴性降到最低。 它包含更快發現新的或更新的網域控制站定位器記錄,因為複寫延遲時間不是問題。
        • 提供單一授權 DNS 伺服器,這在疑難排解 Active Directory 複寫問題時可能很有用
      • 缺點:
        • 會更大量使用網路來解析來自網域控制站的 DNS 查詢
        • DNS 名稱解析可能取決於網路穩定性。 與首選 DNS 伺服器的連線中斷會導致無法從網域控制站解析 DNS 查詢。 這可能會導致連線中斷,甚至不會影響整個網段的位置。
  • 這兩種策略的組合是可實現的,將遠端 DNS 伺服器設定為首選的 DNS 伺服器,並將本機網域控制站設定為替代 (,反之亦然) 。 雖然此策略有許多優點,但在進行此設定變更之前,應考慮下列因素:

    • DNS 用戶端不會利用每個查詢 TCP/IP 設定中列出的每一部 DNS 伺服器。 依預設,在啟動時,DNS 用戶端將嘗試使用偏好的 DNS 伺服器專案中的伺服器。 如果此伺服器因任何原因而無法回應,DNS 用戶端就會切換至其他 DNS 伺服器專案中所列的伺服器。 DNS 用戶端將繼續使用此備用 DNS 伺服器,直到:
      • 無法回應 DNS 查詢,或:
      • 根據預設,ServerPriorityTimeLimit 值 (15 分鐘) 。

注意

只有回應失敗會導致 DNS 用戶端切換首選的 DNS 伺服器;接收權威性但不正確的回應不會導致 DNS 用戶端嘗試另一部伺服器。 因此,設定網域控制站自身及另一部 DNS 伺服器做為偏好和待命伺服器有助於確保接收到回應,但不保證該回應的準確性。 任何一部伺服器上的 DNS 記錄更新失敗都可能導致名稱解析體驗不一致。

  • 請勿設定網域控制站上的 DNS 用戶端設定,指向網際網路服務提供者的 DNS 伺服器, (ISP) 。 如果您設定 DNS 用戶端設定來指向 ISP 的 DNS 伺服器,則網域控制站上的 Netlogon 服務不會為 Active Directory 目錄服務註冊正確的記錄。 使用這些記錄時,其他的網域控制站和電腦會找到與 Active Directory 相關的資訊。 網域控制站必須向其自己的 DNS 伺服器註冊其記錄。

若要轉寄外部 DNS 要求,請將 ISP 的 DNS 伺服器新增為 DNS 管理主控台中的 DNS 轉送器。 如果您未設定轉寄站,請使用預設的根提示伺服器。 在這兩種情況下,如果您想要將內部 DNS 伺服器轉寄至網際網路 DNS 伺服器,您也必須在 [ 正向對應區域 ] 資料夾中的 [DNS 管理主控台] 中,刪除根 "." (也稱為「點」 ) 區域。

  • 若主控 DNS 的網域控制站安裝了多個網路介面卡,則必須停用一個配接器進行 DNS 名稱註冊。

如需如何在此情況中正確設定 DNS 的詳細資訊,請按一下下列文章編號,以查看 Microsoft 知識庫中的文章:

292822 也會執行 DNS 或 WINS 的路由和遠端存取伺服器上的名稱解析和連線問題

若要驗證您的網域控制站的 DNS 用戶端設定,請在命令提示字元處輸入下列命令,以查看網際網路通訊協定 (IP) 設定的詳細資料: ipconfig /all
若要修改網域控制站的 DNS 用戶端設定,請遵循下列步驟:

  1. 以滑鼠右鍵按一下 [ 網路位置],然後選取 [ 屬性]。

  2. 以滑鼠右鍵按一下 [ 本機區域 連線],然後選取 [ 屬性]。

  3. 選取 [ 網際網路通訊協定 (TCP/IP)],然後選取 [ 屬性]。

  4. 選取 [ 高級],然後選取 [ DNS ] 索引標籤。若要設定 DNS 資訊,請遵循下列步驟:

    1. 在 [ DNS 伺服器位址(依使用順序 ] 方塊中)新增建議的 DNS 伺服器位址。
    2. 如果 [將未 限定名稱的解析 ] 設定設為 [附加這些 DNS 尾碼 (順序]) 中,Microsoft 建議您在頂端) 列出 ACTIVE Directory DNS 功能變數名稱 first (。
    3. 確認此連線設定的 DNS 尾碼 與 Active Directory 功能變數名稱相同。
    4. 確認已選取 [ 在 DNS 中註冊此連線的位址 ] 核取方塊。
    5. 選取 [確定] 三次。
  5. 如果您變更任何 DNS 用戶端設定,您必須清除 DNS 解析程式快取,並註冊 DNS 資源記錄。 若要清除 DNS 解析程式快取,請在命令提示字元處輸入下列命令: ipconfig /flushdns
    若要註冊 DNS 資源記錄,請在命令提示字元處輸入下列命令: ipconfig /registerdns

  6. 若要確認 dns 資料庫中的 DNS 記錄是否正確,請啟動 DNS 管理主控台。 電腦名稱稱應有主機記錄。 (此主機記錄是 [高級模式] 中的「A」記錄。 ) 也應該是「 (SOA) 記錄」和「名稱伺服器」的「A」記錄,且指向網域控制站 (NS) 記錄。

未安裝 DNS 的網域控制站

如果您未使用 Active Directory 整合 DNS,且您的網域控制站未安裝 DNS,則 Microsoft 建議您根據這些規格設定 DNS 用戶端設定:

  • 在網域控制站上設定 DNS 用戶端設定,以指向與電腦所屬網域對應之區域的權威 DNS 伺服器。 由於廣域網路) 流量考慮, (所以優先使用本機主要和次要 DNS 伺服器。
  • 如果沒有任何可供使用的本機 DNS 伺服器,請指向可透過可靠 WAN 連結存取的 DNS 伺服器。 即時及頻寬決定可靠性。
  • 請勿設定網域控制站上的 DNS 用戶端設定,以指向 ISP 的 DNS 伺服器。 相反地,內部 DNS 伺服器應轉寄給 ISP 的 DNS 伺服器,以解析外部名稱。

Windows 2000 Server 和 Windows Server 2003 成員伺服器

在 Windows 2000 Server 和 Windows Server 2003 成員伺服器上,Microsoft 建議您根據這些規格設定 DNS 用戶端設定:

  • 設定主要和次要 DNS 用戶端設定,以指向本機主要和次要 DNS 伺服器, (如果本機 DNS 伺服器是可供使用的) (該電腦的 Active Directory 網域會主控 DNS 區域)。
  • 若沒有任何可供使用的本地 DNS 伺服器,請指向可透過可靠 WAN 連結取得之電腦 Active Directory 網域的 DNS 伺服器。 即時及頻寬決定可靠性。
  • 請勿設定用戶端 DNS 設定,以指向 ISP 的 DNS 伺服器。 如果您這麼做,當您嘗試將 Windows 2000 或 Windows Server 2003 型伺服器加入網域時,或是當您嘗試從該電腦登入網域時,可能會出現問題。 相反地,內部 DNS 伺服器應轉寄給 ISP 的 DNS 伺服器,以解析外部名稱。

Windows 2000 Server 和 Windows Server 2003 非成員伺服器

  • 如果您的伺服器未設定為網域的一部分,您仍然可以設定其使用 Active Directory 整合的 DNS 伺服器作為其主要和次要 DNS 伺服器。 如果您有環境中使用 Active Directory 整合 DNS 的非成員伺服器,則不會將其 DNS 記錄動態登錄到設定為只接受安全更新的區域。
  • 如果您未使用 Active Directory 整合 DNS,且您想要設定內部和外部 DNS 解析的非成員伺服器,請設定 DNS 用戶端設定,以指向轉送至網際網路的內部 DNS 伺服器。
  • 如果只需要網際網路 DNS 名稱解析,您可以設定非成員伺服器上的 DNS 用戶端設定,以指向 ISP 的 DNS 伺服器。