探究DNS訪問失敗原因

DC設置不當

當首次在林（forest）中 建立DC時，服務器所指向的DNS毫無疑問只能是其本身。但假若不久后只要系統啟用了第二個DC，此時管理員就應當及時對第一個DNS服務器進行重新配置，使之能夠調用第二個DNS，當然也要對第二個DNS配置為能夠調用前一個DNS。現實當中往往會有第三個甚至更多DC，同樣也要重新逐一配置。總之，在多個DC并存時，不能出現某一個DC“不合群”的情況，它們之間應該彼此互指即互聯，這樣就不會因為其中某個DC出問題而導致DNS無法訪問的情況發生。

服務器與客戶端不宜太遠

經常會遇到的問題是，用戶雖然能夠訪問 DNS，但 是 訪問遲緩，這也會造成用戶煩躁進而放棄。

測試表明，DNS對來自客戶端的訪問響應時間應當控制在50ms以下最為理想。如果由于客觀條件有限，在初期就發現了超時該怎么解決呢？此時可以考慮在適當的位置增設用于緩存的DNS Server，作為文件服務器或打印服務器。

不要將AD域僅僅保存在AD中

AD內所集成的區域（zones）不僅需要在AD內能夠存儲和復制，而且應當配置為復制到域（domain）內或林（forest）中所有 DNS服務器上，這樣就提供了高效的容錯方式，對于內部DNS也不失為最佳方式。

安全升級時兼顧各種系統

假定我們運行的是集成了DNS的AD，此時管理員可以設置為使它們自動進行升級，因為既然所有的域成員都已經過了認證，所有的服務器和工作站只要加入了域都會自動注冊。但此時需要注意的是，假如此時有一些運行的是Linux或者Mac的客戶機或服務器就會遭到冷落，此時管理員就應當將這些系統注冊到DNS內加以有效管理。

設置PTRs記錄

反向DNS記錄，其實就是指的PTR記錄，是將IP地址解析為名稱，作用是讓系統運行起來要容易得多。但很多時候，管理員會選擇跳過設置保存PTR記錄的inaddr.arpa區域，忽略掉這個非常關鍵的功能。

采用先進的CDNs和GeoDNS技術

這些新的互聯網內容分發技術，可以讓DNS解析的時候考慮地域因素——讓用戶能夠訪問離他地域最近的Web服務器。CDN的全稱是Content Delivery Network，即內容分發網絡，基本思路是盡可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節，使內容傳輸得更快、更穩定。而GeoDNS技術則是將CDNs進一步發展為跨國模式。

避免轉發循環

DNS查詢是無狀態的，它并沒有TTL或起源標記， 如此就存在轉發循環發生的可能性，癥狀為兩臺服務器將無限循環查詢，直到殺死其中一個或網絡關閉。那么轉發循環怎樣才會出現呢？比如，我們將位置A的DNS服務器配置為轉發到位置B的服務器，再將位置B的DNS服務器配置為轉發到位置A的服務器。這樣，當查詢其中一個名稱，但是A不知道，所以會查詢B，B也不知道，所以會查詢A。如此就會形成轉發循環。

清理過時的DNS記錄

通常，無論客戶端還是DHCP服務器，都會動態保存DNS記錄，這些記錄會一直保存著。隨著時間推移，那些過時記錄應當被清理掉，因為堆積過多就會影響到DNS的響應時間，甚至會發生故障。但是在默認情況下，Windows DNS的記錄清理會處于Off狀態，所以應當將其設置為On狀態，這樣，只要過了指定的天數，系統就會自動進行清理。

區域傳輸宜內不宜外

為了減輕單臺DNS服務器的負載，有時要將同一DNS區域的內容保存在多個DNS服務器中，這時，就要用到DNS的“區域傳輸”（Zone transfers）功能。例如，為響應一個查詢，采用區域傳輸使DNS服務器能夠為一個名稱空間提供整組記錄。 當授權區域中的一個DNS服務器需要更新完整的區域文件，或者當管理員需要檢查系統狀況時，可以很容易地看到整個區域。這里需要注意的是，區域傳輸應該在系統內部進行；如果在外部進行，很容易遭受到偵查和攻擊。