DC設(shè)置不當

當首次在林（forest）中 建立DC時，服務器所指向的DNS毫無疑問只能是其本身。但假若不久后只要系統(tǒng)啟用了第二個DC，此時管理員就應當及時對第一個DNS服務器進行重新配置，使之能夠調(diào)用第二個DNS，當然也要對第二個DNS配置為能夠調(diào)用前一個DNS。現(xiàn)實當中往往會有第三個甚至更多DC，同樣也要重新逐一配置。總之，在多個DC并存時，不能出現(xiàn)某一個DC“不合群”的情況，它們之間應該彼此互指即互聯(lián)，這樣就不會因為其中某個DC出問題而導致DNS無法訪問的情況發(fā)生。

服務器與客戶端不宜太遠

經(jīng)常會遇到的問題是，用戶雖然能夠訪問 DNS，但 是 訪問遲緩，這也會造成用戶煩躁進而放棄。

測試表明，DNS對來自客戶端的訪問響應時間應當控制在50ms以下最為理想。如果由于客觀條件有限，在初期就發(fā)現(xiàn)了超時該怎么解決呢？此時可以考慮在適當?shù)奈恢迷鲈O(shè)用于緩存的DNS Server，作為文件服務器或打印服務器。

不要將AD域僅僅保存在AD中

AD內(nèi)所集成的區(qū)域（zones）不僅需要在AD內(nèi)能夠存儲和復制，而且應當配置為復制到域（domain）內(nèi)或林（forest）中所有 DNS服務器上，這樣就提供了高效的容錯方式，對于內(nèi)部DNS也不失為最佳方式。

安全升級時兼顧各種系統(tǒng)

假定我們運行的是集成了DNS的AD，此時管理員可以設(shè)置為使它們自動進行升級，因為既然所有的域成員都已經(jīng)過了認證，所有的服務器和工作站只要加入了域都會自動注冊。但此時需要注意的是，假如此時有一些運行的是Linux或者Mac的客戶機或服務器就會遭到冷落，此時管理員就應當將這些系統(tǒng)注冊到DNS內(nèi)加以有效管理。

設(shè)置PTRs記錄

反向DNS記錄，其實就是指的PTR記錄，是將IP地址解析為名稱，作用是讓系統(tǒng)運行起來要容易得多。但很多時候，管理員會選擇跳過設(shè)置保存PTR記錄的inaddr.arpa區(qū)域，忽略掉這個非常關(guān)鍵的功能。

采用先進的CDNs和GeoDNS技術(shù)

這些新的互聯(lián)網(wǎng)內(nèi)容分發(fā)技術(shù)，可以讓DNS解析的時候考慮地域因素——讓用戶能夠訪問離他地域最近的Web服務器。CDN的全稱是Content Delivery Network，即內(nèi)容分發(fā)網(wǎng)絡(luò)，基本思路是盡可能避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)酶臁⒏€(wěn)定。而GeoDNS技術(shù)則是將CDNs進一步發(fā)展為跨國模式。

避免轉(zhuǎn)發(fā)循環(huán)

DNS查詢是無狀態(tài)的，它并沒有TTL或起源標記， 如此就存在轉(zhuǎn)發(fā)循環(huán)發(fā)生的可能性，癥狀為兩臺服務器將無限循環(huán)查詢，直到殺死其中一個或網(wǎng)絡(luò)關(guān)閉。那么轉(zhuǎn)發(fā)循環(huán)怎樣才會出現(xiàn)呢？比如，我們將位置A的DNS服務器配置為轉(zhuǎn)發(fā)到位置B的服務器，再將位置B的DNS服務器配置為轉(zhuǎn)發(fā)到位置A的服務器。這樣，當查詢其中一個名稱，但是A不知道，所以會查詢B，B也不知道，所以會查詢A。如此就會形成轉(zhuǎn)發(fā)循環(huán)。

清理過時的DNS記錄

通常，無論客戶端還是DHCP服務器，都會動態(tài)保存DNS記錄，這些記錄會一直保存著。隨著時間推移，那些過時記錄應當被清理掉，因為堆積過多就會影響到DNS的響應時間，甚至會發(fā)生故障。但是在默認情況下，Windows DNS的記錄清理會處于Off狀態(tài)，所以應當將其設(shè)置為On狀態(tài)，這樣，只要過了指定的天數(shù)，系統(tǒng)就會自動進行清理。

區(qū)域傳輸宜內(nèi)不宜外

為了減輕單臺DNS服務器的負載，有時要將同一DNS區(qū)域的內(nèi)容保存在多個DNS服務器中，這時，就要用到DNS的“區(qū)域傳輸”（Zone transfers）功能。例如，為響應一個查詢，采用區(qū)域傳輸使DNS服務器能夠為一個名稱空間提供整組記錄。 當授權(quán)區(qū)域中的一個DNS服務器需要更新完整的區(qū)域文件，或者當管理員需要檢查系統(tǒng)狀況時，可以很容易地看到整個區(qū)域。這里需要注意的是，區(qū)域傳輸應該在系統(tǒng)內(nèi)部進行；如果在外部進行，很容易遭受到偵查和攻擊。