如何在 Windows Server 上正确设置 DNS 转发器

Question 1

您没有理由转发到其他 AD 服务器，因为 DNS 应该已经在它们之间复制了。

我能想到的唯一原因是，如果你只希望一台 DNS 服务器作为向互联网查询非权威 FQDN 的服务器。

通常，转发器（用于解决非权威查找）设置为外部 DNS 服务器，例如您的 ISP 或常见的公共解析器（例如 8.8.8.8），或者仅使用根提示服务器。

但是有条件转发有所不同......

Answer

您没有理由转发到其他 AD 服务器，因为 DNS 应该已经在它们之间复制了。

我能想到的唯一原因是，如果你只希望一台 DNS 服务器作为向互联网查询非权威 FQDN 的服务器。

通常，转发器（用于解决非权威查找）设置为外部 DNS 服务器，例如您的 ISP 或常见的公共解析器（例如 8.8.8.8），或者仅使用根提示服务器。

但是有条件转发有所不同......

Question 2

由于不知道您的环境如何设置以及您的目标是什么，我冒险建议您不要让您的 DC/DNS 服务器使用任何其他 DC/DNS 服务器作为转发器。

我见过的唯一一种内部 DNS 服务器使用其他内部 DNS 服务器作为转发器的情况是，安全策略将出站 DNS 流量限制到少数受保护的 DNS 服务器。所有其他 DNS 服务器都将非权威查询转发到这些受保护的 DNS 服务器。我假设您的情况并非如此。

如果确实如此，则从转发器选项卡中删除 DC，并使用根提示或将转发器添加到外部 DNS 服务器（8.8.8.8 等）以进行非权威查询。

Answer

由于不知道您的环境如何设置以及您的目标是什么，我冒险建议您不要让您的 DC/DNS 服务器使用任何其他 DC/DNS 服务器作为转发器。

我见过的唯一一种内部 DNS 服务器使用其他内部 DNS 服务器作为转发器的情况是，安全策略将出站 DNS 流量限制到少数受保护的 DNS 服务器。所有其他 DNS 服务器都将非权威查询转发到这些受保护的 DNS 服务器。我假设您的情况并非如此。

如果确实如此，则从转发器选项卡中删除 DC，并使用根提示或将转发器添加到外部 DNS 服务器（8.8.8.8 等）以进行非权威查询。

Question 3

该区域可能未配置 AD 集成 DNS。

一般做法是启用 AD 集成 DNS，并禁用转发

Answer

该区域可能未配置 AD 集成 DNS。

一般做法是启用 AD 集成 DNS，并禁用转发

相关内容