Какие компоненты windows надо установить для обеспечения функциональности dhcp dns и wins

HTML-код для вставки на сайт

Разрешить комментарии
Автор теста запретил комментарии
Блок Новинок и Популярных тестов

Теперь тесты из блоков новинок и популярных отображаются внутри вашего сайта, что увеличивает просмотры ваших страниц в 5 раз!
Все комментарии после публикации проходят строгую модерацию!

OK

---

---

Introduction

For any large organization with lots of servers, workstations, appliances, and devices, DNS and DHCP both are very fundamental and crucial components.

The purpose of this article is to highlight some often overlooked areas, which are related to integration between DHCP and DNS.  

As DNS and DHCP both are the backbones of organization’s IT Infrastructure, changing any setting in a production environment might cause a severe impact. Due to this,
the integration between DNS and DHCP should be planned well before implementation and should be part of Infrastructure Design Document.

This article assumes a few things:

1. You are using Active Directory Integrated DNS.
2. You are using Windows DHCP Server.

---

DHCP-DNS Integration: The Basics

Before we dive deeper, let’s jot down the basic rules of DHCP-DNS integration.

• As we know, DNS records can be Static or Dynamic. Static records are created manually, either through DNS console or programmatically using some script. Dynamic records, on the other hand, are registered by DNS Client or by DHCP
  Server. 

• When DHCP is implemented, by default the PTR Records are registered to DNS by DHCP Server, whereas the Host (A) records are registered by DHCP client. This is due to the fact that client is the source of the hostname and DHCP
  is the source of the IP address.

• From Windows Server 2008 / Vista onwards, it is DHCP who registers both A and PTR records on behalf of client, regardless of client is requesting DHCP server to perform the update or not. Of course, if the IP address is statically
  assigned to client, there is no role of DHCP and it is client who updates the record in this case.

As a best practice, we should ensure that it is DHCP who should update both A and PTR records for all clients which are getting IP address from DHCP.

To ensure that, please select this option: Always dynamically update DNS A and PTR records.

If this option is selected, DHCP server would update A and PTR records as soon as it assigns an IP address to a DHCP client, and it will not check whether client is asking DHCP server to register/update the DNS record. We always
recommend using this option.

 

• If the IP address is manually assigned on a system, and not assigned by DHCP, then that record is registered by the system itself. In a production environment, most of the critical servers are having an IP address assigned directly
  and not through DHCP. All such records would be registered to DNS by the system itself and there is no role of DHCP in this case. 

---

DHCP-DNS Integration: Deeper Drive

Now that we know the basics, let’s take a deeper drive.

An AD Integrated DNS Zone offers three different security settings which are associated with Dynamic DNS update (DDNS) :

1. None: Dynamic update is not allowed and all records need to be updated/managed manually.
2. Nonsecure and Secure: This setting will allow all dynamic updates, without verifying the authenticity of the source from where update request is coming.
3. Secure Only: This setting will allow Dynamic update only if the authenticity of the source is verified by Active Directory. In other words, the source should be a
   member of the “Authenticated Users” security principle.

Note
Secure only option is only available if the DNS zone is AD Integrated.

As option 3 offers an additional layer of security and ensures that the DNS update request is coming from an authentic source, most of the organizations prefer to use this option.

When we configure option 3 (Secure Only Dynamic update), there is another important point that we need to consider, which is DNS record permission (ACL).

When the Dynamic update setting is configured as “Secure and nonsecure”, there is no record specific ACL, and all records inherit ACL from the DNS Zone. In this setting, any source can create a new record and also update
an existing record.

However, things get changed when we change the settings to “Secure only”. In this setting:

• Only authorized source, which has access to create a new record, can create a new record.
• When a new record is created, the creator becomes the owner of that record, having special permission to the record so that it can read and modify the record.
• Next time, only that owner can update/modify that record.

Let’s assume a scenario where an IP address is directly assigned by Server1, and it is not assigned by DHCP. So Server1 will register the record in the DNS Server and will become the owner of the record. Next time, only server1
can update this record if we change its IP address. There is no role of DHCP here.

Please note that as the zone accepts only secure update, Server1 must be a member of AD Domain so that it can register/update the record in DNS server.

Now, let’s assume we have a workstation named WS1. The IP address is assigned by DHCP Server A, so the DNS record will be registered and owned by DHCP server A. No other system, including WS1 or any other DHCP server, can update
this record.

---

Introduction to DnsUpdateProxy Group

There is a major drawback in the approach, where a single DHCP server is becoming an owner of a huge number of records. What happens if the original DHCP server fails, and we deploy a new DHCP server? 

Can the new DHCP server update all records which were registered (and owned) by previous DHCP server?

The answer is NO.

Let’s assume DHCP Server A registered 5000 records in DNS Server, and then for some reason, it crashed. We have commissioned a new DHCP Server, which is DHCP Server B. But DHCP Server B will NOT be able to update those 5000 records
which were registered and owned by DHCP Server A. Even if we rename DHCP Server B to DHCP Server A, the issue will not be resolved as ACL works through SID, and not by hostname. The computer account SID of DHCP Server A and DHCP Server B will never be same.

Microsoft offers a solution to this problem. There is a built-in group called
DnsUpdateProxy, which can be (and should be) used in this scenario.

How to use DnsUpdateProxy Group

Step 1: The first thing that we need to do is to put DHCP servers within the DnsUpdateProxy group. Please note that this is a Global Security Group, so it will not allow adding any DHCP server
which is not in current domain.

Step 2: Now create a user (service) account in Active Directory which would be used by all DHCP servers during a secure dynamic update. Please name the account something like <dhcp_update> so that we can understand
later the purpose of this account.

This account should be created in the same AD Domain, where we have added the DHCP servers in the DnsUpdateProxy group in step 1. However, Microsoft confirms that it is possible to create the account in a different forest if forest
trust is configured.

Step 3: The next step is to configure this user account and credential, which we have created in step 2. This credential would be used by all DHCP servers to securely register the record in the DNS Server. This
needs to be configured in each DHCP server, which we have added in the DnsUpdateProxy group.

To configure this, right click on IPv4
> Advanced > Credentials .

Type the username and password of the user account. We have to make sure that we are using the same user account for all DHCP servers.

Please repeat step 3 for all DHCP servers which we have added in the DnsUpdateProxy group.

With this, the dynamic update configuration is complete.

Note
Configuring a credential is not a mandatory step if Domain Controller and DHCP server roles are installed in different servers. But it is a best practice recommended by Microsoft.

The advantages of this approach are : 

• When we configure credential in DHCP server, then all the records which are updated by that DHCP server will have that user account as owner and not the DHCP server. So even if someone adds a rouge DHCP server
  in the DnsUpdateProxy group accidentally / intentionally, still that new DHCP server would not be able to update existing records registered by other DHCP servers, as those records are owned by the user account.

• If one DHCP Server crashes, another DHCP server in the pool will be able to update those records registered by the previous server. This is because both servers are using the same user account to register DNS record, so ACL will
  not cause any problem.

To illustrate the scenario, let’s assume that we have configured a user account “dhcp_update” in DHCP Server A. This DHCP server is a member of the DnsUpdateProxy group. Now, when DHCP server A will register records in DNS, those
records would be owned by “dhcp_update” and not by DHCP Server A.

Now, let’s assume that DHCP Server A crashes, and we have deployed a new DHCP Server B. We have added DHCP server B in DnsUpdateProxy group and configured same credential which was configured in DHCP server A. Now, DHCP server
B can update all records which were registered by DHCP server A, as those records are owned by the account “dhcp_update” and not by DHCP Server A.

Please note that if we deploy Domain Controller and DHCP Server roles in the same server, then using dynamic update credential is not optional but mandatory. If DC and DHCP are on the same server, dynamic update would not work
properly without configuring credential.

As Microsoft confirmed, we must configure a dedicated user account and configure the DHCP server with the account credentials under the following circumstances:

• A domain controller is configured to function as a DHCP server
• The DHCP server is configured to perform DNS dynamic updates on behalf of DHCP clients.
• The DNS zones to be updated by the DHCP server are configured to allow only secure dynamic updates.

---

Changing zone settings from non-secure to secure

Now let’s assume a scenario, where an organization is having an AD integrated DNS zone, where dynamic update settings is configured as “Nonsecure and secure”. After a recent security audit, they have identified this security flaw
and decided to change it to “Secure only”. What are the things that we need to consider before changing the zone security type? Let’s consider these points:

• As this is an existing zone already in production, there are thousands of live records.

• This activity will not cause any impact on those records which are statically created. Generally, those are non-windows devices which do not support DDNS, like storage, network devices. Also, since Windows Server 2008, all Domain
  Controllers register static DNS records during DC promotion. However, if we delete the Domain Controller static record, next time the same record would be registered as dynamic. 

• At least 80% of those records are dynamic, means they are updated/refreshed after a certain interval, either by the system itself or by DHCP server. 

• Since current dynamic update settings are: Allow Nonsecure and Secure update, there is no ACL associated with any of these dynamic records and all records have inherited ACL (permission) from the parent DNS zone. 

• The moment we will change the zone type from non-secure to secure, ACL will come into the picture and it will NOT allow updating any of these dynamic records because there will be no matching entry (ACE) found with appropriate
  permission to modify the record.

• Changing the zone type may not cause an immediate outage, as all records will not be updated at the same time. However, over the time, as and when system will get new IP addresses and will try to update corresponding DNS records,
  those attempts would not be successful which will cause a big issue and would make the entire environment unstable. 

Case 1: For those systems where IP addresses are manually assigned

In this case, the system itself will try to update DNS record if there is any change in the IP address. So far, it was not a problem as the zone was not secured and there was no custom ACL. But before securing the zone, we need
to ensure that such entries have corresponding system account as the owner.

What we are trying to achieve would be something like this: 

DNS Record Name	Entry to be added in Record ACL
Server1	Computer account of Server 1
Server2	Computer account of Server 2
Server3	Computer account of Server 3

But how can we achieve this? How can we do this for a huge number of records?

I have created two PowerShell scripts which would help here:

Script 1:
Get Owner of Multiple DNS Records

Script 2:
Set and Remove DNS Records ACL

Case 2: For those systems where IP addresses are assigned through DHCP

In this case, the DHCP server would try to register IP addresses on behalf of DHCP client. Let’s assume we have configured DnsUpdateProxy, and also configured credential on each DHCP server with the username “DHCP_Update”. Now,
before securing the zone, we have to ensure that this account will get sufficient privilege to update all existing records. How to ensure that?

How to segregate between Case 1 and Case 2 ?

Let’s assume there are 5000 existing dynamic records, some of which are updated by the system itself (Case 1) and some of which are updated by the DHCP server (Case 2).

How to segregate this?

One way is to use the first script and get the owner of the record. If the owner is the system itself, the record is registered and will be updated by the system. If the owner is DHCP server, the record is registered and will be
updated by DHCP server.

However, if there is confusion, and to avoid any possible outage after securing the zone,
the best approach is to configure both permissions.

So in this approach, each dynamic record will have two entries added with full control permission:

1. The system computer account.
2. The DHCP user (service) account: “DHCP_Update” in this case.

This is the safest approach, as it will ensure that after securing the zone the record would be updated, no matter who requests the update, system itself or DHCP server. So in this way, we can avoid/minimize any possible outage
after changing an existing DNS Zone from non-secure to secure.

If we have to change the security settings for multiple DNS zones which are already in production, the best approach is to change it in one zone, observe the result for few weeks and then proceed for others one by one. In case
of any critical issue, the backout plan is to change back the settings from “Secure Only” to “Nonsecure and secure”.

However, the best approach is to secure the zone before going to production, to avoid all these future complexities.

---

DHCP in a Multi-Domain AD Forest

Let’s now discuss a common scenario, where DHCP server is authorized in an AD forest and serving DHCP clients from multiple domains within that forest. Now, when DHCP server will register a DNS record, which DNS domain it will
choose to register the record?

Consider below scenario:

• We have a forest root domain subhro.com.
• We have deployed DHCP server in the forest root domain subhro.com.
• We have configured DHCP credential and put the DHCP server in the subhro.com\DnsUpdateProxy group so that it can update records in a secure only zone.
• We have also selected the option: Always dynamically update DNS records.

• There is a child domain: abc.subhro.com.
• A server EXMB01 is a member of abc.subhro.com domain.
• We have created a new scope for abc.subhro.com computers.
• Reverse lookup zone is setup both in parent domain as well as in child domain. This is for testing purpose. 

Now, when DHCP will allocate IP addresses to abc.subhro.com computers, in which DNS server it will update the record:

1. DNS server of subhro.com domain? (DHCP server is a member of this domain),
   Or
2. DNS server of abc.subhro.com domain? (DHCP client is a member of this domain)

We know that in this scenario when DHCP server will allocate an IP address, it will register the A and PTR records in the DNS, but in which DNS zone The DNS zone where DHCP server belongs or the DNS zone where the DHCP client belongs?

In other words, how DHCP registration works in a multi-domain environment? Let’s try to find out the answer. As we can see in below diagram, we have configured a scope in the DHCP server which is at the root domain subhro.com.
But, we have not configured any scope option.

The DHCP server has assigned an IP address from its pool.

Now, let’s check whether the DNS record is updated, and if yes, where.

As we can see, the Host (A) record is updated in abc.subhro.com DNS zone, which is correct, as this server is a member of abc.subhro.com domain.

However, the PTR record is registered in the reverse lookup zone which is hosted on subhro.com AD Domain, not the reverse lookup zone which is in the child domain.

Now, to do some further testing, let’s disjoin this server from abc.subhro.com domain and join it in subhro.com domain, and see the result.

Before that, please delete the current lease, DNS Host record, and PTR record.

When we disjoin this server from domain and reboot in the workgroup, still DHCP will provide an IP address. The host record will not be updated in DNS, but the reverse lookup will still be updated in parent DNS zone without FQDN.

Delete this record before joining this server to subhro.com domain.

Once the server is joined to subhro.com domain, please reboot it.

 We will now see that both Host and PTR records are registered in subhro.com domain.

We should also validate the record ACL, to ensure that it is updated by DHCP server using the credential.

---

Conclusion

When updating the host record, DHCP server searches for a DNS server which is authoritative for the zone matching the domain name of DHCP client.

So if DHCP client is a member of abc.subhro.com domain, DHCP server will look for a DNS server which is authoritative for the zone abc.subhro.com.

If DHCP client is a member of subhro.com domain, DHCP server will look for a DNS server which is authoritative for the zone subhro.com.

Even if we specify a different domain name in DHCP scope option 15 (DNS Domain Name), this behavior would not change. We have tested this point.

However, it has been observed that for updating PTR record it always looks for the parent domain DNS server.

So, we can conclude that in a multi-domain forest, we can deploy DHCP server in parent domain which would serve clients from parent domain as well as child domain, and would register DNS records in the correct DNS server based
on the domain membership of DHCP client. In order to do so, we have to configure below things:

1. Configured all AD Integrated zones to allow Secure Only Dynamic update.
2. Put all DHCP servers in the DnsUpdateProxy group.
3. Configure one single DHCP credential in all DHCP servers to perform a secure update.

---

Managing Stale Records

Another key area to maintain a healthy DNS database is to identify and delete stale records.
Stale records in the DNS database would lead to incorrect/duplicate DNS records for crucial servers, devices, and databases causing major disruption in service.

There is a setting in the DHCP server: Discard A and PTR records when a lease is deleted.

When this setting is enabled, the A and PTR record would be deleted from DNS, as soon as the lease is deleted from DHCP server.

We have tested this scenario in our test lab, keeping DHCP server and client in two different domains, and it worked every time. Enabling scavenging is not required for this to work. In our test lab, we did not enable scavenging
in forward or reverse zone, but still, it worked immediately.

To manage other stale records in DNS server, scavenging needs to be enabled.
However, scavenging is beyond the scope of this article as we are only covering integration between DNS and DHCP. Please keep in mind to set the scavenging NOREFRESH and REFRESH values combined to be equal to or greater than the DHCP lease period.

---

Name Protection

DHCP Name Protection is a feature, which has been introduced to prevent something called Name Squatting. This feature was first introduced in Windows Server R2.

Name squatting happens when the DHCP server registers an FQDN in DNS, which is already registered by another client. In this case, the first machine will no longer become accessible.

In a secure only zone, this generally does not happen for Windows clients as those are protected using ACL. However,
there is no ACL for non-windows systems so they can be overwritten easily by another entry.

When Name Protection is enabled, it uses a resource record known as DHCID. This DHCID records is initiated by DHCP, and it is stored in DNS Server. When another client will try to register a record with the same FQDN, it will be
prevented to do so, thus keeping the record intact for the first client.

If there are too many non-windows systems, devices present in the environment which use DHCP and DNS, then it is recommended to enable Name Protection feature to prevent Name Squatting.

Name Protection can be enabled from the DHCP server level, as well as scope level. The scope level settings take precedence over the server level.

---

See Also

• How DHCP and DNS update interaction works
• DNS Record Ownership and the DnsUpdateProxy Group
• How to Secure DNS Updates on Microsoft DNS Servers
• Dynamic DNS registration process can cause queue build up and failures
• DHCP, Dynamic DNS Updates , Scavenging

---

Выберем
следующее распределение сетевых сервисов
DNS,
WINS,
DHCP
в домене mydom.local
:

192.168.100.1
– AD

192.168.100.1
– DNS

192.168.100.2
– WINS

192.168.100.2
– DHCP

Для
работы серверов DHCP,
DNS
и WINS
необходимо установить на каждом из них
соответствующие службы. Это можно
сделать с помощью Мастера настройки
сервера Windows Server 2003, который расположен
в меню Пуск/Программы/Администрирование.
С помощью этого мастера можно добавлять
различные роли, выбирая их из списка.

NetBIOS
имя будет автоматически подставлено

Указываем
пути расположения папок базы данных и
AD.
Оставим по умолчанию.

Папка
SYSVOL
необходима
для репликации

Проверяем
правильность настройки по окну сводочной
информации и подтверждаем.

Включим в домен
остальные компьютеры

Сетевая
служба DNS
у нас уже запущена. Она была установлена
при установке контроллера домена Active
Directory
на компьютере mainmachine.

Установим
сетевые службы WINS
и DHCP
на компьютерах, выбирая соответствующие
пункты в списке ролей сервера. При
нажатии кнопки «Далее» Мастер настройки
сервера автоматически устанавливает
выбранные службы.

Существуют
и другие пути установки данных служб в
Windows
2003 Server.
Это можно сделать с помощью апплета в
Панели управления «Установка и удаление
программ». На вкладке Компоненты Windows
выбираем пункт «Сетевые службы», после
чего на экране появляется список служб,
доступных для установки. Выбираем
необходимую службу и нажимаем «Установить».

После
установки служб DNS,
WINS,
DHCP
в группе Администрирование должны
появиться соответствующие пункты меню.
Также можно проверить себя, просмотрев
список запущенных на данном компьютере
служб, использую апплет «Службы».

4. Конфигурирование и использование dhcp

Рассмотрим настройку DHCP-сервера:

Запустим в группе администрирование
оснастку DHCP. Чтобы создать
новую область адресов, выберем в меню
«Действие» пункт «Создать область».
Запустится мастер создания новой
области.

Выберем сервер и включим его в наш домен

Настроим роль DHCPсервера

Предлагается дать название создаваемой
области адресов.

Зададим диапазон и маску подсети.

Укажем на имеющийся или планируемый
DNS-сервер

Укажем имеющийся или планируемый
WINS-сервер

Добавление роли завершено.

После всех сделанных настроек сразу же
активизируем созданную область.

DHCP-сервер требует
авторизации на контроллере домена. Для
этого в контекстном меню выбираем пункт
«Авторизовать».

Теперь при подключении клиента к сети,
он будет получать IP-адрес
из указанного диапазона, а также будет
получать настройкиDNSиWINS-серверов.

Для
доступа к DHCP
– серверу на клиентах сконфигурируем
свойства протокола TCP\IP,
установив маркер в положение «Получить
IP
– адрес автоматически».

Чтобы посмотреть информацию, полученную
клиентом от DHCP, следует
воспользоваться командойipconfig/all. В результате на экране
отобразятся: и адрес используемого
клиентомDHCP– сервера,
используемый клиентомIP– адрес, время полученияIP– адреса и время окончания срока арендыIP– адреса и др.

Чтобы заставить клиента освободить
полученный им от службы DHCPадрес, следует воспользоваться командойipconfig/release.
Чтобы заставить клиента обновить адрес
и конфигурациюIP, следует
воспользоваться командойipconfig/renew

Подключим клиента к домену

В меню регистрации входа в систему
выберем не локальный вход на компьютер,
а вход в домен.

Нужно регистрироваться с доменной
учетной записью.

В настройке сетевого адаптера укажем
автоматическое получение IPадреса. И наш клиент получил первый
адрес из области.

На сервере выданный адрес помечается
как арендованный и закрепляется за
клиентом вплоть до времени истечения
аренды, которая может быть продлена или
нет.

С помощью утилиты ipconfig/allпосмотрим настройки
сети адаптера клиента.

С помощью команды ipconfig/releaseосвободим занимаемый
адрес.

В консоли управления DHCP-сервером
этот адрес больше не занят и не отображается
в списке арендованных.

Деактивируем область и посмотрим, какой
адрес получит наш клиент

Клиент получил адрес 192.168.124.133 не входящий
в зону.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Транспортный уровень эталонной модели OSI находится

• между прикладным и уровнем представления
• (Правильный ответ) между сетевым и сеансовым
• между канальным и физическим уровнями

Как классифицируют сети протяженностью более 1000 км.?

• городские сети (MAN, Metropolitan Area Network)
• локальные сети (LAN, Local Area Network)
• (Правильный ответ) глобальные сети (WAN, Wide Area Network)

Витая пара — это

• (Правильный ответ) среда передачи информации из перекрученных между собой электрических проводов, характеризующаяся простотой монтажа и низкой стоимостью
• среда передачи информации, электрический кабель, состоящий из центрального проводника и металлической оплетки, разделенных диэлектриком
• среда передачи информации, представляющая собой стеклянное или пластиковое волокно в оболочке, по которому распространяется световой сигнал

Модель TCP/IP также называют

• моделью взаимодействия открытых систем
• (Правильный ответ) моделью Министерства обороны США
• (Правильный ответ) моделью DARPA

Отметьте протоколы маршрутизации

• ICMP
• (Правильный ответ) OSPF
• (Правильный ответ) RIP

Компонент сетевой инфраструктуры: кабельная система, может быть построена

• (Правильный ответ) на основе витой пары
• (Правильный ответ) на основе коаксиального кабеля
• бригадой линейщиков

Какой уровень определяет методы доступа к среде передачи данных?

• сеансовый
• (Правильный ответ) канальный
• прикладной

• (Правильный ответ) предыдущая ОС была Windows 2000 Advanced Server
• (Правильный ответ) предыдущая ОС была Windows 2000 Server
• предыдущая ОС была Windows 98

Какие протоколы нужно установить на компьютрах сети, чтобы все они получили доступ к сетям NetWare и Интернету

• NWLink
• (Правильный ответ) NWLink и TCP/IP
• TCP/IP

Какие из перечисленных компонентов конфигурируются в Windows Server 2003 автоматически?

• локальные подключения
• удаленный доступ
• (Правильный ответ) таблицы маршрутизации

Windows 2003 Server позволяет модернизировать ОС при установке, при условии, что

• (Правильный ответ) предыдущая ОС была Windows NT версии 4.0 Server
• предыдущая ОС была Novell NetWare
• предыдущая ОС была Windows NT версии 3.51 или более ранних

Какие компоненты Windows надо установить для обеспечения функциональности DHCP, DNS и WINS?

• другие службы доступа к файлам и принтерам сети
• средства управления и наблюдения
• (Правильный ответ) сетевые службы

Какие варианты назначения ip-адреса существуют при установке сервера Windows 2003?

• (Правильный ответ) статический IP-адрес
• (Правильный ответ) автоматическая частная IP-адресация (APIPA) для динамических адресов, при отсутствии сервера DHCP
• (Правильный ответ) динамический IP-адрес назначаемый DHCP сервером сети

Как обычно осуществляется разрешение имен в собственных доменах Windows Server 2003?

• посредством SNMP
• (Правильный ответ) посредством DNS
• посредством DHCP

Какие из указанных компонентов привязываются к подключениям автоматически?

• драйвер сетевого монитора
• клиент для сетей NetWare
• (Правильный ответ) клиент для сетей Microsoft

Windows Server 2003 Web Edition oтличается тем, что

• (Правильный ответ) в этой редакции отсутствует Active Directory
• (Правильный ответ) эта редакция не может использоваться для создания контроллера домена
• сервер с ОС данной редакции самый производительный

Что используется для определения идентификатора сети назначения пакета?

• класс адреса
• IP-заголовок
• (Правильный ответ) маска подсети

В каком домене находится запись ресурса PTR для компьютера с IP-адресом 10.11.86.4?

• (Правильный ответ) 4.86.11.10.in-addr.arpa
• in-addr.arpa.4.86.11.10
• 10.11.86.4.in-addr.arpa

DNS-сервер, отправляющий все запросы разрешения имен в заданном домене другому DNS-серверу, является

• (Правильный ответ) условной пересылкой запросов
• сервером пересылки
• сервером кэширования
• сервером с зоной-заглушкой

Сколько узлов возможно обозначить в сети с маской 192.168.0.0/16?

• 256
• (Правильный ответ) 65534
• 65536

Отметьте количество сетей, в классе сети А

• (Правильный ответ) 126
• 16384
• 2097152

Вам нужно включить динамическую DNS в определенной зоне и сконфигурировать сервер так, чтобы он разрешал только безопасные обновления. Что для этого необходимо?

• (Правильный ответ) зона должна быть интегрированной в AD
• зона должна быть корневой
• в зоне должна быть запись SRV

Classless Internet Domain Routing (CIDR)

• cпособ IP-адресации, при котором не используются маска подсети по умолчанию, но остается традиционное деление IP-адрессов на классы
• (Правильный ответ) cпособ IP-адресации, при котором не используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы
• cпособ IP-адресации, при котором используются маска подсети по умолчанию и традиционное деление IP-адрессов на классы

The distinguished name (DN) — это

• 128-ми битовый идентификатор, гарантирующий уникальность
• (Правильный ответ) уникальный идентификатор объекта, содержит имя домена, который содержит объект
• имя которое содержит имя пользователя и имя домена, в котором пользователь расположен

Вы настраиваете принтер на компьютере под управлением Windows Server 2003. Компьютер будет использоваться в качестве сервера печати. Вы планируете использовать принтер, в настоящий момент подключенный к сети как изолированное устройство печати. Принтер какого типа следует добавить на сервер печати?

• (Правильный ответ) общий
• сетевой
• удаленный

Какие минимальные разрешения NTFS требуются, чтобы пользователи могли открывать файлы и запускать программы из общей папки?

• список содержимого папки (List Folder Contents)
• запись (Write)
• (Правильный ответ) чтение и выполнение (Read and Execute)

Вы устанавливаете принтер на клиентском компьютере. Принтер будет подключен к логическому принтеру, установленному на сервере печати Windows Server 2003. Сведения какого типа (типов) нужно предоставить для настройки принтера?

• драйвер принтера
• модель печатающего устройства
• (Правильный ответ) UNC-путь к общему ресурсу печати

Что из следующего нужно сделать, чтобы сгенерировать журнал событий доступа к файлу или папке?

• настроить разрешения NTFS, позволяющие учетной записи System вести аудит доступа к ресурсу
• включить политику Аудит использования привилегий (Audit Privilege Use)
• (Правильный ответ) включить политику Аудит доступа к объектам (Audit Object Access)

Один из ваших принтеров неисправен, и вы хотите запретить пользователям отправлять задания печати на логический принтер, обслуживающий это устройство. Что нужно сделать?

• сменить порт принтера
• (Правильный ответ) прекратить общий доступ к принтеру
• удалить принтер из AD

Что делает распознаватель в первую очередь при разрешении DNS-имени?

• выполняет широковещание в локальной подсети
• cчитывает файл Hosts
• (Правильный ответ) проверяет локальный кэш

Какие функции поддерживают комбинированные маршрутизаторы помимо собственной маршрутизации?

• (Правильный ответ) NAT
• (Правильный ответ) DHCP
• NetBIOS

Как настроить DHCP-сервер на обновление записей ресурсов А и PTR от имени клиентов под управлением Windows NT 4?

• зарегистрировать клиента как динамический узел с помощью DHCP-сервера
• ничего не нужно предпринимать
• (Правильный ответ) на вкладке DNS окна свойств DHCP-сервера отметить флажок Динамически обновлять DNS А- и PTR-записи для DHCP-клиентов, не требующих обновления (Dynamically Update DNS A And PTR Records For DHCP Clients That Do Not Request Updates)
• на вкладке DNS окна свойств DHCP-сервера отметить флажок Всегда динамически обновлять DNS А- и PTR-записи (Always Dynamically Update DNS A And PTR Records)

На новом DNS-сервере создается зона «», а затем — поддомены этого корневого домена. Какая функция будет недоступна этому серверу?

• cервер не сможет кэшировать имена
• cервер не сможет подключиться к Интернету
• (Правильный ответ) cервер не сможет разрешать имена из Интернета

Какой неверно настроенный параметр, скорее всего, является причиной того, что компьютер с TCP/IP не способен взаимодействовать с ПК сети?

• предпочитаемый DNS-сервер
• (Правильный ответ) ip-адрес
• отсутствует Клиент для сетей Microsoft

Какой IP-адрес требуется клиентскому ПК, обращающемуся к Web-серверам в Интернете через маршрутизатор NAT

• зарегистрированный и незарегистрированный
• (Правильный ответ) незарегистрированный
• зарегистрированный

Какой из перечисленных серверов может быть первым DHCP-сервером в сети?

• (Правильный ответ) cервер рабочей группы Windows Server 2003 в сети, где нет доменов
• (Правильный ответ) контроллер домена Windows Server 2003 в сети с Active Directory
• cервер рабочей группы Windows Server 2003 в сети с Active Directory

Какая запись ресурса используется для разрешения доменных имен, указываемых в адресах электронной почты, в IP-адрес связанного с доменом почтового сервера?

• PTR
• CNAME
• (Правильный ответ) MX

Какой IP-адрес требуется корпоративному Web-серверу, работающему в Интернет

• (Правильный ответ) зарегистрированный
• зарегистрированный и незарегистрированный
• незарегистрированный

Какое максимальное число адресов возможно в пуле с маской подсети 255.255.255.248?

• 32
• (Правильный ответ) 6
• 8

Вам поручено каждый вечер создавать резервные копии файлового сервера Windows Server 2003. Вы вручную выполняете обычную архивацию, затем составляете расписание, по которому задание архивации запускается каждый вечер в течение следующих двух недель. Какой из типов архивации обеспечивает самый простой способ восстановления данных?

• (Правильный ответ) обычный
• добавочный
• разностный

Жесткий диск на сервере Windows Server 2003 вышел из строя. Вы заменили диск, загрузили систему, инициализировали новый диск и создали на нем новый том NTFS. Теперь вы намерены восстановить данные, которые хранились на старом диске, из последнего архива. Как следует восстанавливать эти данные?

• восстановить данные, используя архив ASR
• (Правильный ответ) запустить мастер восстановления из программы Архивация данных
• скопировать данные на диск с помощью консоли восстановления

Файловый сервер в вашей сети перестал загружаться. Испробовав все способы, вы решили восстановить систему с помощью ASR. Вы создали архив ASR сразу после установки Windows Server 2003 и еще один — два месяца назад после установки драйвера устройства. Каждую неделю вы выполняете полную архивацию файлов данных. Какие данные будут восстановлены из архива ASR?

• (Правильный ответ) состояние системы двухмесячной давности
• (Правильный ответ) конфигурация диска
• состояние системы на момент последней полной архивации

Один из руководителей вернулся из деловой поездки. Перед поездкой он скопировал файлы из сетевой папки на жесткий диск своего компьютера. В общей папке хранятся документы других руководителей, которые изменяли свои файлы в его отсутствие. Вернувшись, он скопировал файлы в сетевой ресурс, обновив не столько свои, но и чужие файлы. Другие руководители не были в восторге от того, что их файлы были заменены старыми версиями. К счастью, вчера вечером вы выполнили обычную архивацию этой папки. Какой параметр восстановления следует выбрать?

• не заменять файл на компьютере (Do Not Replace The File On My Computer)
• всегда заменять файл на компьютере (Always Replace The File On My Computer)
• (Правильный ответ) заменять файл на компьютере, только если он старее (Replace The File On Disk OnlIf The File On Disk Is Older)

Какие реквизиты необходимы для администрирования удаленного компьютера из консоли ММС?

• гостевые
• (Правильный ответ) административные
• пользовательские

Можно ли перетащить файл из окна локального ПК в окно ПК подключенному по средствам сесси служб терминалов

• да
• (Правильный ответ) нет
• да после соответствующих настроек

Может ли оснастка одновременно отображать информацию о локальном и удаленном компьютерах?

• (Правильный ответ) нет, либо о локальном, либо о удаленном
• да, но это не предустановленная консоль, ее придется создавать
• да

Какое программное средство используется на сервере для включения удаленного подключения к рабочему столу?

• лицензирование служб терминалов (Terminal Services Licensing)
• (Правильный ответ) система (System Properties) из Панели управления
• настройка служб терминалов (Terminal Services Configuration)

Для каких ОС доступен Удаленный рабочий стол для администрирования для настольных ОС

• Windows 9x
• Windows NT
• (Правильный ответ) Windows XP

Если администратор щелкнет правой кнопкой мыши на имени пользователя User1 и выберет в меню пункт «Удаленное управления», то он

• (Правильный ответ) при получении согласия пользователя будет работать с ним в одной сессии
• при получении согласия пользователя будет работать в сессии, в которой только что работал пользователь, который в свою очередь будет отключен от сеанса
• без получения согласия пользователя будет работать с ним в одной сессии

Укажите расположение журнала Безопастность по умолчанию

• SystemRoot%\system32\config\SysEvont.Evt
• %SystemRoot%\system32\config\AppEvent.Evt
• (Правильный ответ) %SystemRoot%\system 32\сопfig\SecEvent.Evt

Все ли функции оснастки, применяемые на локальном компьютере, можно использовать при удаленном подключении?

• да, при условии наличия прав администратора
• да
• (Правильный ответ) нет

В системе Windows Server имеются клиенты служб терминалов для систем

• (Правильный ответ) Windows 98
• (Правильный ответ) Windows ME
• (Правильный ответ) Windows 2000

Если требуется ограничить доступ к оснастке, как сконфигурировать содержащую ее консоль ММС?

• нажать кнопку Ограничить доступ и выбрать из списка
• удалить разрешения из списка ограничения доступа
• (Правильный ответ) сохранить в одном из пользовательских режимов, в зависимости от требуемых условий ограничения доступа

Может ли администратор сервера подключиться к любой сессии?

• (Правильный ответ) да, используя Диспетчер служб терминалов, получив соглашение
• нет
• (Правильный ответ) да, используя Диспетчер служб терминалов, без получения соглашения

На основе какого протокола работает Удаленный рабочий стол?

• Ethetnet
• X.250
• (Правильный ответ) RDP

Ваш компьютер дает сбой примерно через час после каждой загрузки системы. Вы подозреваете, что проблема в приложении, допускающем утечку памяти, что приводит к нехватке памяти в системе. Как средствами Диспетчера задач выявить проблемное приложение?

• средств Диспетчера задач недостаточно для выполнения такого рода анализа
• (Правильный ответ) просмотреть изменение параметра Memory Usage Delta Память — изменение, если этот параметр растет даже при отсутствии действий в системе, то это приложение виновно в перезагрузках
• просмотреть загрузку процессора, приложение потребляющие процессор дольще других может вызывать причину перезагрузок

Для отслеживания в Сетевом мониторе протокола TCP, необходимо:

• в фильтре отображения установить Protocol == UDP
• (Правильный ответ) в фильтре отображения установить Protocol == TCP
• в фильтре отображения установить Protocol == TCP/IP

Укажите размер журнала безопасности по умолчанию

• 50 Мб
• 16 Мб
• (Правильный ответ) 128 Мб

Журналы трассировки служат для

• отслеживания значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям
• (Правильный ответ) отслеживания запуска и работы приложений
• (Правильный ответ) накопления данных в файле журнала на жестком диске или в базе данных

Ваша цель — наблюдать за работой всех серверов Windows Server 2003, чтобы дефрагментировать их диски по расписанию и максимально эффективно. Для работы вашей программы дефрагментации диска требуется, минимум, 20 % свободного места на каждом томе. Что нужно сделать?

• (Правильный ответ) для каждого счетчика настроить оповещение, срабатывающее, когда на диске свободно меньше 20 % емкости
• (Правильный ответ) настроить отправку предупреждений
• (Правильный ответ) настроить оснастку Журналы и оповещения производительности (Performance Logs And Alerts) на рабочей станции (или на относительно свободном сервере) для мониторинга счетчика % свободного места (% Free Space) каждого экземпляра объекта Логический диск (LogicalDisk) для всех удаленных серверов

Основные назначение журналов оповещений

• (Правильный ответ) обнаружение ситуации, когда какие-то показатели cтановятся меньше определенных критических значений
• (Правильный ответ) обнаружение ситуации, когда какие-то показатели превышают установленные критические значения
• (Правильный ответ) выполнение каких-либо действий в качестве реакции на данное событие

Выберите верное о программе Диспетчер задач (Task Manager)

• (Правильный ответ) не позволяет конфигурировать память
• (Правильный ответ) средство используемое на локальном компьютере
• (Правильный ответ) используется для назначения приоритетов приложениям, а также их привязки к определенным процессорам

В каком режиме по умолчанию создаются консоли ММС?

• пользовательском с полным доступом
• (Правильный ответ) авторском
• пользовательском

Что входит в физическую организацию AD?

• (Правильный ответ) контроллер домена
• (Правильный ответ) сайты
• леса
• деревья

Какое из перечисленных условий работы удаленного помощника связаны с брандмауэрами?

• (Правильный ответ) порт 3389 должен быть открыт
• нельзя использовать механизм Общий доступ к подключению Интернета (Internet Connection Sharing)
• нельзя использовать NAT

Клиент для подключения к серверу терминалов нужно проинсталлировать на систему

• Windows 2003
• Windows XP
• (Правильный ответ) Windows 2000

Чтобы открыть Диспечер задач, нужно

• (Правильный ответ) нажать комбинацию CTRL+ALT+DELETE и нажать кнопку Диспетчер задач
• (Правильный ответ) нажать CTRL+SHIFT+ESC
• (Правильный ответ) нажать Пуск ? Выполнить ? набрать taskmgr ? нажать Enter

Установка и настройка DNS-сервера и Active Directory, DHCP-сервера в Windows Server 2019 не отличается от предыдущих выпусков серверов компании Microsoft, таких как Windows Server 2016, 2012. Пройдя несколько шагов несложно устанавить следующие роли: DNS-сервер и Доменные службы Active Directory, DHCP-сервер.

• Переименование сервера
• Настройка сетевого интерфейса
• Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер
• Повышение роли сервера до уровня контроллера домена
• Настройка обратной зоны DNS
• Настройка DHCP-сервера

Переименование сервера

1. Для изменения имени сервера нажимаем правой клавишей мыши на «Этот компьютер«, в появившемся меню выбираем «Свойства«. 

 

2. Далее нажимаем «Изменить параметры«. В открывшемся окне добавляем описание сервера, далее выбираем «Изменить«.

3. Задаём «Имя компьютера«, нажимаем «ОК«. Появится предупреждение о том, что изменения вступят в силу после перезагрузки компьютера. Подтверждаем — «ОК«

4. Нажимаем «Перезагрузить сейчас» и ожидаем перезагрузки сервера.

5. После перезагрузки компьютера проверяем имя сервера («Мой компьютер» — правой клавишей мыши — «Свойства«).

Настройка сетевого интерфейса

6. Для настройки сетевого интерфейса в поиске набираем ncpa.cpl, далее «Enter«. Снимаем чекбокс «IP версии 6«, далее выбираем «IP версии 4«, далее «Свойства«.

7. Выбираем «Использовать следующий IP-адрес» и задаём статический IP-адрес сервера, маску подсети, основной шлюз (если есть), и предпочитаемый DNS-сервер. Нажимаем «ОК«. На этом настройка сетевого интерфейса закончена. 

Установка на сервера ролей: DNS-сервер, Доменные службы Active Directory, DHCP-сервер

8. Нажимаем «Пуск«, далее «Диспетчер серверов«.

9. В новом окне выбираем «Добавить роли и компоненты«.

10. Читаем предупреждение сервера «Перед началом работы«, не забываем защитить учетную запись администратора надежным паролем, затем «Далее«.

11. Проверяем, что чекбокс стоит на «Установка ролей или компонентов«, затем «Далее«.

12. Выбираем сервер, на который будут установлены роли и компоненты. Снова «Далее«.

13. Устанавливаем чекбоксы напротив выбранных ролей сервера, в данном случае это DNS-сервер, Доменные службы Active Directory, DHCP-сервер. Нажимаем «Далее«.

14. При каждом выборе роли будет появляться «Мастер добавление ролей и компонентов«, который будет спрашивать о добавлении компонентов для выбранных ролей сервера. Нажимаем «Добавить компоненты«.

15. Нажимаем «Далее«, необходимые компоненты были выбраны в предыдущем шаге.

16. Читаем предупреждение DNS-сервера на что обратить внимание, затем «Далее«.

17. Читаем предупреждение AD DS, нажимаем «Далее«.

18. Читаем предупреждение DHCP-сервера, снова «Далее«.

19. Ставим «чекбокс» напротив «Автоматический перезапуск конечного сервера, если требуется«, нажимаем «Установить«.

В результате произойдет установка выбранных ролей сервера.

Повышение роли сервера до уровня контроллера домена

20. Нажимаем «Повысить роль этого сервера до уровня контроллера домена«.

21. Далее выбираем «Добавить новый лес» и задаем «Имя корневого домена«.

22. В следующем окне дважды вводим пароль для режима восстановления служб каталогов (DSRM), затем «Далее«.

23. В следующем окне снова «Далее«.

24. Проверяем NetBIOS-имя, присвоенное домену, и при необходимости меняем его. Затем «Далее«.

25. Оставляем по умолчанию расположение базы данных AD DS, файлов журналов и папки SYSVOL, снова «Далее«.

26. После просмотра выбранных параметров и их одобрения нажимаем «Далее«.

27. Если проверка готовности к установке выполнена успешна, то запускаем установку — «Установить«.

28. По завершению установки произойдет перезагрузка сервера.

29. После перезагрузки полное имя компьютера изменится, к имени сервера добавиться доменное имя. Active Directory можно использовать.

 

Настройка обратной зоны DNS

30. Для настройки обратной зоны DNS в Диспетчере серверов выбираем «Средства» — «DNS«

31. Раскрываем дерево DNS, нажимаем правой клавишей мыши на «Зоны обратного просмотра«, в появившемся меню «Создать новую зону…«.

32. В появившемся мастере создания новой зоны нажимаем «Далее«.

33. Выбираем «Основная зона«, затем «Далее«.

34. Оставляем по умолчанию область репликации зоны, интегрированной в Active Directory, нажимаем «Далее«.

35. Оставляем «Зона обратного просмотра IPv4», просто «Далее«.

36. В следующем окне задаем Зону обратного просмотра, которая преобразует IP-адреса в DNS-имена. В идентификатор сети забиваем три актета своей сети, затем «Далее«.

37. Разрешаем только безопасные динамические обновления, снова «Далее«.

38. Зона обратного просмотра создана.

Настройка DHCP-сервера

39. После установки роли DHCP-сервера в Диспетчере серверов нажимаем на желтый треугольник, в появившемся окне выбираем «Завершение настройки DHCP«.

40. В следующем окне читаем описание завершения настройки DHCP-сервера на конечном компьютере, затем «Далее«.

41. Оставляем по умолчанию учетные данные, которые будут использоваться для авторизации DHCP-сервера доменными службами Active Directory. Нажимаем «Фиксировать«.

42. В следующем окне нажимаем «Закрыть«.

43. В диспетчере серверов нажимаем «Средства» — «DHCP«.

44. В открывшемся окне открываем дерево DHCP. Правой клавишей мыши нажимаем на домен, в появившемся окне выбираем «Добавить или удалить привязки…«.

45. Проверяем сетевой интерфейс, который будет использовать DHCP-сервер для обслуживания клиентов. Далее «ОК«.

46. Затем правой клавишей нажимаем на IPv4, в появившемся меню выбираем «Создать область…«.

47. Откроется мастер создания область, который помогает создать область IP-адресов, распределяемых среди компьютеров вашей сети. Нажимаем «Далее«.

48. Задаем имя новой области, если необходимо, задаем также описание новой области. Снова «Далее«.

49. Вводим диапазон адресов, который описывает создаваемую область, маску подсети. Нажимаем «Далее«.

50. В следующем окне вводим с помощью кнопки «Добавить» один адрес или диапазон IP-адресов, который необходимо исключить. После ввода всех адресов или диапазонов нажимаем «Далее«.

51. Оставляем по умолчанию срок действия аренды адресов области, выдаваемых сервером. Снова «Далее«.

52. Для настройки других параметров DHCP выбираем «Да, настроить эти параметры сейчас«, затем «Далее«.

53. Добавляем с помощью кнопки «Добавить» IP-адрес маршрутизатора, снова «Далее«.

54. Оставляем по умолчанию родительский домен, который клиентские компьютеры в сести будут использовать для разрешения DNS-имен. Затем «Далее«.

55. Вводим IP-адреса WINS-сервера, или нажимаем просто «Далее«.

56. Выбираем «Да, я хочу активировать эту область сейчас«, затем «Далее«.

57. В следующем окне появится «Вы успешно завершили работу с мастером создания области», нажимаем «Готово».

58. Вновь созданный диапазон появится в «Пул адресов«.

Посмотреть видео можно здесь:

 

 Читайте также:

Windows server 2019 — установка и настройка WSUS, создание и настройка GPO

Windows server 2019 — добавление и удаление компьютера в домене

Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя

Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене

Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO 

Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей