Служба dns windows server 2008

DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.

DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.

Настройка сетевого адаптера для DNS-сервера

Установка роли DNS-сервера

Создание зон прямого и обратного просмотра

Доменная зона — совокупность доменных имён в пределах конкретного домена.

Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.

Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.

Создание зоны прямого просмотра

• Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:

• Откроется окно Мастера с приветствием, нажмите Далее:

• Из предложенных вариантов выберите «Основная зона» и перейдите Далее:

• Укажите имя зоны и нажмите Далее:

• При необходимости поменяйте название будущего файла зоны и нажмите Далее:

• Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

• Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

Создание зоны обратного просмотра

• Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:

• Выберите тип «Основная Зона», перейдите Далее:

• Выберите назначение для адресов IPv4, нажмите Далее:

• Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:

• При необходимости поменяйте название будущего файла зоны и перейдите Далее:

• Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

• Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

Создание A-записи

Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.

Запись A — запись позволяющая по доменному имени узнать IP-адрес.

Запись PTR — запись обратная A записи.

• В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:

• Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:

Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.

• Также можно добавить записи для других серверов:

• Добавив все необходимые узлы, нажмите Готово.

Проверка

• Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):

• Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:

Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.

Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:

• Запрос по домену;
• Запрос по IP-адресу:

В примере получены подходящие ответы по обоим запросам.

• Можно попробовать отправить запрос на какой-нибудь внешний ресурс:

В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.

Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

ООО «ИТГЛОБАЛКОМ БЕЛ»

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

ООО «ИТГЛОБАЛКОМ БЕЛ»

Domain Name System (DNS) является основой для работы Интернета. Без DNS мы были бы вынуждены использовать IP-адреса для доступа к веб-сайтам и другим ресурсам. В этой статье мы рассмотрим пошаговую инструкцию по настройке DNS сервера на операционной системе Windows Server 2008.

Первым шагом в настройке DNS сервера на Windows Server 2008 является установка роли DNS Server на сервере. Для этого откройте «Server Manager» и выберите «Add Roles» из меню «Action». В появившемся окне выберите «DNS Server» и следуйте инструкциям мастера установки.

После установки роли DNS Server необходимо настроить основные параметры DNS сервера. Для этого откройте «DNS Manager» из меню «Administrative Tools». Вы увидите зону «Forward Lookup Zones» и «Reverse Lookup Zones». Создайте новую зону, указав имя зоны и выбрав тип зоны в зависимости от ваших потребностей.

После создания зоны, вам нужно настроить соответствующие записи. Запись «Host (A)» используется для перевода имени узла в IP-адрес, а запись «Alias (CNAME)» используется для создания псевдонима узла. Аккуратно заполняйте поля в соответствии с вашими настройками.

В итоге, настройка DNS сервера на Windows Server 2008 — это несложный процесс, который позволит вашему серверу обрабатывать DNS запросы и обеспечивать доступ к ресурсам с помощью дружественных имен. По завершении всех настроек, не забудьте протестировать настройки DNS сервера и убедиться, что все работает надлежащим образом.

За что отвечает DNS сервер?

Задачи DNS сервера включают:

Задача	Описание
Преобразование доменных имен в IP-адреса (или обратно)	DNS сервер выполняет функцию преобразования доменных имен в соответствующие IP-адреса и наоборот. Это необходимо для обеспечения удобства использования интернета, так как люди легче запоминают словарные имена, чем числовые IP-адреса.
Хранение и распространение DNS записей	DNS сервер хранит информацию о доменных именах и соответствующих им IP-адресах, а также другие записи, такие как MX записи для почтовых серверов. Он также обновляет и распространяет эти записи между различными DNS серверами.
Проверка подлинности и безопасность	DNS сервер выполняет проверку подлинности запросов, чтобы предотвратить нежелательные изменения или подмену DNS записей. Он также может обеспечивать шифрование и подпись данных для обеспечения безопасности.
Распределение нагрузки	Некоторые DNS серверы поддерживают функцию распределения нагрузки, которая позволяет балансировать трафик между несколькими серверами с одним доменным именем. Это позволяет повысить производительность и устойчивость сети.

В целом, DNS сервер является критической компонентой интернета, обеспечивая правильное направление и доставку сетевого трафика на основе доменных имен. Благодаря ему пользователи могут удобно пользоваться интернетом, называя веб-сайты и почтовые серверы по их человекочитаемым именам.

Установка DNS сервера на Windows Server 2008

1. Откройте «Панель управления» и выберите «Установка программ» или «Программы и компоненты».

2. Нажмите на ссылку «Включение или отключение компонентов Windows».

3. В появившемся окне найдите пункт «Службы DNS (Domain Name System)» и отметьте его галочкой.

4. Нажмите «OK» и дождитесь завершения установки компонента.

5. После завершения установки DNS сервера, откройте «Панель управления» и выберите «Администрирование».

6. В разделе «Администрирование» найдите и откройте «DNS».

7. В левой части окна «DNS» выберите имя вашего компьютера и кликните правой кнопкой мыши.

8. В контекстном меню выберите «Свойства».

9. Перейдите на вкладку «Дополнительно» и убедитесь, что в поле «Сервер перенаправления» указан правильный IP-адрес DNS-сервера.

10. Нажмите «Применить» и «ОК», чтобы сохранить настройки DNS сервера.

Теперь вы успешно установили DNS сервер на Windows Server 2008. Правильная настройка DNS сервера позволит вашей сети работать эффективно и надежно.

Регистрация DNS зоны на Windows Server 2008

Для того чтобы настроить DNS сервер на Windows Server 2008, необходимо вначале зарегистрировать DNS зону. Регистрация DNS зоны позволит серверу отвечать за определенную область DNS.

Для регистрации DNS зоны на Windows Server 2008 необходимо выполнить следующие шаги:

1. Откройте меню «Пуск» и выберите «Сервер DNS».
2. В окне «DNS» выберите сервер, на который хотите зарегистрировать DNS зону, и щелкните правой кнопкой мыши.
3. Выберите пункт меню «Новая зона…».
4. В мастере создания новой зоны нажмите «Далее».
5. Выберите тип зоны, который соответствует вашим требованиям. Например, выберите «Зона первичной области» для создания основной зоны.
6. Введите имя зоны и нажмите «Далее».
7. Выберите опцию для области уведомлений и нажмите «Далее».
8. Выберите опцию для обращения в другие серверы DNS и нажмите «Далее».
9. Введите имя файла зоны или оставьте значение по умолчанию и нажмите «Далее».
10. Проверьте настройки в окне подтверждения и нажмите «Готово».

После выполнения этих шагов DNS зона успешно будет зарегистрирована на Windows Server 2008 и сервер будет готов к выполнению DNS запросов в этой зоне. Дальнейшую настройку DNS сервера можно выполнять путем добавления записей в зону через интерфейс администрирования сервера DNS.

Регистрация DNS зоны на Windows Server 2008 является важным шагом для настройки DNS сервера и обеспечивает корректную работу сетевых служб, таких как идентификация и поиск компьютеров по имени во внутренней сети, а также обеспечивает поддержку различных сетевых служб и приложений.

Примечание
При регистрации DNS зоны на Windows Server 2008 также следует убедиться, что DNS сервер настроен на правильное использование IP-адресов, подключенных к сетевым интерфейсам сервера.

Создание записей DNS на Windows Server 2008

После успешной настройки DNS сервера на Windows Server 2008, необходимо создать записи DNS для различных узлов в вашей сети. В этом разделе будет описано, как создать различные типы записей DNS с помощью консоли DNS.

1. Откройте «Администрирование» (Administrative Tools) в меню «Пуск» (Start) и выберите «DNS».

2. В консоли DNS, раскройте древовидное представление вашего DNS сервера.

3. Щелкните правой кнопкой мыши на папке «Зона прямого обратного поиска» (Reverse Lookup Zone) или «Зона прямого поиска» (Forward Lookup Zone), в зависимости от того, какую зону вы хотите создать запись.

4. Выберите «Новая запись» (New Record) в контекстном меню.

5. В появившемся окне, выберите тип записи, который вы хотите создать: «Host» (А) или «Alias» (CNAME).

6. Введите имя записи, которую вы хотите создать (например, «www» для создания записи «www.example.com»), и нажмите кнопку «Добавить» (Add).

7. Введите IP-адрес узла или ссылку на другую запись CNAME, в зависимости от выбранного типа записи.

8. Нажмите «ОК» (OK), чтобы завершить создание записи DNS.

9. Повторите шаги 4-8 для создания других записей DNS, если необходимо.

Теперь вы успешно создали записи DNS на Windows Server 2008. Эти записи будут использоваться для разрешения имен узлов в вашей сети. Убедитесь, что ваши записи правильно настроены, иначе возможны проблемы с сетевым доступом и связанной с этим работой сервисов.

Настройка переадресации DNS на Windows Server 2008

Для настройки переадресации DNS на Windows Server 2008, следуйте следующим шагам:

1. Запустите DNS Manager из меню Start > Administrative Tools.
2. Щелкните правой кнопкой мыши на DNS-сервере и выберите пункт Properties.
3. Перейдите на вкладку Forwarders и нажмите кнопку Edit.
4. Добавьте адреса DNS-серверов, на которые вы хотите переадресовывать запросы, и нажмите OK.
5. Убедитесь, что опция Do not use recursion for this domain неактивна, чтобы разрешить серверу выполнять рекурсивные запросы.
6. Нажмите Apply и затем OK, чтобы сохранить настройки.

После выполнения этих шагов, DNS-сервер будет использовать указанные вами DNS-серверы в качестве переадресации для запросов, которые он не может обработать самостоятельно.

Windows Server 2008 предлагает широкий набор инструментов для настройки и управления DNS сервером. DNS (Domain Name System) позволяет связывать доменные имена с IP адресами, обеспечивая удобный доступ к ресурсам в сети. В этой статье мы рассмотрим основные этапы настройки DNS сервера в Windows Server 2008, начиная от установки роли до создания зон и записей.

Первым шагом в настройке DNS сервера является установка роли DNS Server в Windows Server 2008. Для этого откройте «Server Manager», выберите раздел «Roles» и нажмите «Add Roles». В появившемся окне найдите DNS Server и установите его. После установки роли DNS Server, необходимо настроить основные параметры сервера, такие как IP адрес и префикс. В «Server Manager» выберите «DNS» и откройте консоль «DNS Manager».

В консоли «DNS Manager» можно создавать и управлять зонами. Зона — это область ответственности DNS сервера, которая включает в себя записи о доменных именах и соответствующих им IP адресах. Для создания основной зоны, щелкните правой кнопкой мыши на конечном сервере и выберите «New Zone». Следуйте инструкциям мастера создания новой зоны и укажите имя зоны и тип зоны (primar, secondary или stub).

После создания зоны можно добавлять записи. Записи DNS сервера позволяют связывать доменные имена с IP адресами, указывать IP адреса DNS серверов и другую информацию. Для добавления записей, щелкните правой кнопкой мыши на зоне, выберите «New Host (A or AAAA)» и введите имя записи и соответствующий IP адрес. Также можно создавать записи с другими типами, такими как MX (Mail Exchanger) или CNAME (Canonical Name).

В этой статье мы рассмотрели лишь основные этапы настройки DNS сервера в Windows Server 2008. Полное руководство включает в себя множество дополнительных параметров и функций, таких как настройка перенаправления запросов, обратных зон, зон DNSSEC и др. Следуя этим шагам, вы сможете настроить и управлять DNS сервером в Windows Server 2008, обеспечивая стабильную и надежную работу сети.

Почему важно настраивать DNS сервер

Настраивая DNS сервер, вы можете:

1. Улучшить производительность сети:

Установка локального DNS сервера позволяет избежать чрезмерного обращения к внешним DNS серверам для каждого запроса имени. Это может существенно ускорить процесс разрешения доменных имен и сократить время ответа на запросы в сети.

2. Обеспечить безопасность сети:

Правильная настройка DNS сервера позволяет установить фильтрацию запросов и блокировку доступа к потенциально вредоносным или нежелательным сайтам. Это поможет предотвратить атаки и выполнять контроль доступа в сети.

3. Упростить администрирование сети:

Настройка DNS сервера позволяет связывать доменные имена с конкретными ресурсами в вашей сети, такими как серверы, принтеры и другие устройства. Это упрощает администрирование сети, позволяя пользователям обращаться к ресурсам по удобным для них именам.

4. Повысить надежность и отказоустойчивость:

Настройка DNS сервера может включать создание зон высокой доступности и резервные DNS серверы. Это обеспечивает надежность и отказоустойчивость работы сети, позволяя автоматически обслуживать запросы даже в случае отказа основного DNS сервера.

Все эти преимущества делают настройку DNS сервера неотъемлемой частью инфраструктуры сети. Регулярное обслуживание DNS сервера и проверка его настроек позволит поддерживать оптимальную производительность и безопасность вашей сети.

Шаги по настройке DNS сервера в Windows Server 2008

Шаг	Описание
Шаг 1	Установите роль DNS сервера на компьютере с Windows Server 2008, используя инструмент Server Manager.
Шаг 2	Откройте DNS Manager из меню Start, найдите сервер и щелкните правой кнопкой мыши на нем.
Шаг 3	Выберите опцию «Configure a DNS Server» в контекстном меню.
Шаг 4	Следуйте мастеру настройки DNS сервера, указав желаемые настройки, такие как прямые и обратные зоны, типы записей и т. д.
Шаг 5	Проверьте правильность настроек, щелкнув правой кнопкой мыши на сервере в DNS Manager и выбрав опцию «Properties».
Шаг 6	Настройте связь между DNS сервером и другими сетевыми компонентами, если это необходимо, используя соответствующие настройки.

После завершения этих шагов DNS сервер будет готов к обработке запросов о разрешении имен в сети. Это важный компонент для правильного функционирования сети и обеспечения корректного обмена данными внутри вашей инфраструктуры.

Распространенные проблемы и их решения при настройке DNS сервера в Windows Server 2008

1. Ошибка «DNS-сервер не отвечает»

Одной из наиболее распространенных проблем при настройке DNS сервера в Windows Server 2008 является ошибка «DNS-сервер не отвечает». Это может быть вызвано неправильной конфигурацией DNS-сервера или проблемой с сетевыми настройками. Для решения этой проблемы, вам необходимо проверить следующие вещи:

а) Убедитесь, что DNS-сервер правильно настроен на вашем сервере и все необходимые записи присутствуют.

б) Проверьте настройки сети и убедитесь, что DNS-сервер правильно связан с сетью.

в) Проверьте наличие брандмауэра или антивирусного программного обеспечения, которые могут блокировать соединение к DNS-серверу.

2. Проблема с периодическим отказом DNS-сервера

Еще одной распространенной проблемой при настройке DNS сервера в Windows Server 2008 является периодический отказ работы DNS-сервера. Это может быть вызвано неправильной конфигурацией DNS-сервера, недостаточными ресурсами сервера или неправильной работой других служб или программного обеспечения.

Для решения этой проблемы, вам необходимо:

а) Проверить, что DNS-сервер правильно настроен и все необходимые записи присутствуют.

б) Убедитесь, что сервер имеет достаточные ресурсы (память, процессор и т. д.) для обработки запросов.

в) Проверьте, что другие службы или программное обеспечение не вызывают конфликты или не перегружают сервер.

3. Проблема с неработающими делегированными зонами

Третьей распространенной проблемой при настройке DNS сервера в Windows Server 2008 является неработающие делегированные зоны. Это может быть вызвано неправильной настройкой делегированных записей на сервере или проблемой с настройками зон на удаленных серверах.

Для решения этой проблемы, вам необходимо проверить следующие вещи:

а) Убедитесь, что делегированные записи настроены правильно на вашем сервере.

б) Проверьте настройки зон на удаленных серверах и убедитесь, что они правильно настроены и доступны.

в) Проверьте, что сеть и связь с удаленным сервером работают нормально.

Важно знать, что настройка DNS сервера в Windows Server 2008 может быть достаточно сложной задачей и требует глубоких знаний в области сетевых технологий. Если у вас возникают проблемы при настройке DNS сервера, рекомендуется обратиться к IT-специалисту или обратиться к документации по Windows Server 2008.

Рекомендации по безопасности при настройке DNS сервера в Windows Server 2008

Настройка DNS сервера в Windows Server 2008 имеет важное значение для обеспечения безопасности сети и предотвращения возможных атак и несанкционированного доступа к серверу. Вот несколько рекомендаций, которые помогут обеспечить безопасность вашего DNS сервера:

1. Включите журналирование

Включение журналирования поможет вам отслеживать и анализировать события, связанные с вашим DNS сервером. Журналирование позволяет обнаружить попытки несанкционированного доступа и другие подозрительные активности.

2. Периодически обновляйте DNS сервер

Регулярное обновление DNS сервера помогает предотвратить известные уязвимости и обеспечить его стабильную работу. Установите автоматические обновления и следите за новыми версиями DNS сервера.

3. Создавайте разные учетные записи для разных задач

Использование отдельных учетных записей для разных задач (например, администрирование DNS и обслуживание клиентов) помогает обеспечить более высокий уровень безопасности. Ограничьте права доступа каждой учетной записи только к необходимым ресурсам.

4. Установите пароль на административную учетную запись

Установка пароля на административную учетную запись поможет предотвратить несанкционированный доступ к DNS серверу. Используйте сложный пароль и регулярно меняйте его.

5. Защитите DNS сервер с помощью брандмауэра

Настройте брандмауэр таким образом, чтобы разрешать только необходимые для работы DNS сервера сетевые подключения. Откажитесь от открытых портов или разрешите доступ только определенным адресам.

6. Ограничьте доступ к DNS серверу

Установите ограничения на доступ к DNS серверу, разрешив только авторизованным пользователям или установив помехи для несанкционированного доступа. Для этого можно использовать различные методы аутентификации, такие как IP фильтрация или использование VPN.

Действие	Описание
Журналирование	Включите журналирование DNS сервера для отслеживания событий.
Обновление	Периодически обновляйте DNS сервер для обеспечения безопасности.
Учетные записи	Создавайте отдельные учетные записи для разных задач.
Пароль	Установите пароль на административную учетную запись для защиты сервера.
Брандмауэр	Настройте брандмауэр для ограничения доступа к DNS серверу.
Ограничение доступа	Установите ограничения на доступ к DNS серверу.

Служба DNS, обеспечивающая преобразование доменных имен в IP-адреса, — не просто система распознавания имен для всего Интернета. Это критически важный компонент Active Directory (AD), необходимый для обнаружения сетевых ресурсов. Но несмотря на повсеместный переход с системы WINS на DNS в сетях Windows в последнее десятилетие, начинающим администраторам все так же трудно разобраться в сложной иерархической организации DNS.

.

Интеграция Active Directory и DNS

Чтобы понять, как DNS сочетается с AD, подготовим типовую структуру AD для средних и крупных компаний. Построим один лес с двумя доменами (рисунок 1). Первый домен часто именуется пустым корневым (empty root) или просто корневым доменом. Пустой корневой домен находится на верхнем уровне иерархии AD и, как видно из имени, не содержит никаких ресурсов. Благодаря доменам такого типа компании получают более гибкие и лучше разделенные роли безопасности, нежели в единственном лесе/единственном домене. Второй домен расположен ниже пустого корневого и потому является дочерним; он функционирует как основной домен компании, в котором расположены ресурсы (например, группы, учетные записи пользователей и компьютеров).

Рисунок 1. Один лес с двумя доменами

Начнем с запуска утилиты Dcpromo на первом сервере, чтобы создать лес и пустой корневой домен. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора. Убедитесь, что серверу назначено подходящее имя, такое как DC1, и задайте IP-адрес, маску подсети и шлюз по умолчанию на сетевом адаптере сервера. Настройки DNS для сетевого адаптера можно оставить пустыми и предоставить Windows ввести локальный адрес.

Запустите утилиту Dcpromo из меню Start и создайте новый лес и домен с именем ADcompany.com. Обратите внимание, что я использовал AD как приставку к имени компании, чтобы разделить внутренние и внешние пространства имен DNS. ADCOMPANY будет именем NETBIOS для домена. Хотя домен предназначен только для внутреннего использования, важно зарегистрировать домен ADcompany.com в Интернете, чтобы исключить случайное перенаправление клиентов на устройство вне зоны контроля компании. Также принято использовать иерархию пространства имен AD.company.com, где AD становится именем NETBIOS для домена. В этом случае, если имя company.com уже зарегистрировано компанией в Интернете, не требуется никаких дополнительных действий.

На экране Additional Domain Controller Options должен быть установлен флажок DNS server. Нажмите кнопку Next, и Dcpromo начнет проверять назначенные параметры. Система выдаст предупреждение о невозможности создать делегирование, так как не найдена полномочная родительская зона. Другими словами, Dcpromo не может найти полномочный сервер DNS (то есть сервер, содержащий основной или вторичный экземпляр данных зоны для домена. com), где можно создать зону делегирования для домена ADcompany.com.

В зоне DNS содержатся все записи ресурсов для одной части пространства имен, такой как ADCOMPANY или COM. Это внутренний корневой домен AD, поэтому запись делегирования в общедоступной зоне COM необязательна, и предупреждение можно игнорировать. Значение делегирования прояснится после создания дочернего домена.

Тестирование с использованием Dcdiag

После завершения работы Dcpromo перезагрузите сервер. Чтобы убедиться, что с новым сервером все в порядке, откройте командную строку и запустите утилиту Dcdiag. Если DNS и другие важные компоненты AD настроены верно, последовательность тестов будет выполнена успешно.

Перед запуском Dcdiag нужно очистить журналы событий System и DFS Replication, чтобы не получать сообщения о сбоях из-за сообщений об ошибках в ходе организации домена. Например, ошибки репликации DFS обычно регистрируются при первом запуске Dcdiag на новом контроллере домена (DC). Однако их появление не обязательно свидетельствует о неполадках DNS, которые часто оказываются причиной отказов репликации. После очистки журналов событий запустите команду

dcdiag/test: dfsrevent

Тест должен завершиться успешно.

Пока не задан источник времени, будут наблюдаться ошибки службы W32tm (служба Windows Time) в ходе проверок Dcdiag для контроллера корневого домена. Сведения о настройке службы Windows Time приведены в статье Microsoft «How to configure an authoritative time server in Windows Server» по адресу support.microsoft.com/kb/816042.

Корневые ссылки

Если AD DNS функционирует, а DC подключен к Интернету, установленный сервер DNS должен преобразовывать имена доменов Интернета, хотя серверы пересылки не настроены и не указан IP-адрес сервера DNS провайдера Интернета в настройках сетевого адаптера DC. Сервер DNS содержит корневые ссылки, указывающие на серверы DNS верхнего уровня в Интернете. Таким образом можно обслуживать запросы относительно имен, которых он не имеет в своем кэше.

Чтобы увидеть корневые ссылки, загруженные из файла cache.dns, откройте оснастку DNS из раздела Administrative Tools в меню Start. В консоли DNS щелкните правой кнопкой мыши на сервере DNS в левой области и выберите пункт Properties. В диалоговом окне свойств сервера перейдите на вкладку Root Hints (экран 1).

Экран 1. Просмотр корневых ссылок

Иногда возникают ситуации (например, если требуется использовать службу OpenDNS для фильтрации веб-контента), в которых вместо корневых ссылок для преобразования имен Интернета применяется сервер пересылки. Проектируя инфраструктуру DNS, помните, что, если на сервере DNS заданы серверы пересылки, они используются для преобразования имен прежде корневых ссылок.

Итеративные и рекурсивные запросы

Запросы, сделанные сервером DNS для преобразования имен с использованием корневых ссылок, — итеративные, то есть принимается лучший ответ (который может быть ссылкой на сервер имен, расположенный на более низких ступенях иерархии и способный определенно разрешить запрос). Иное дело DNS-клиент Windows, который направляет рекурсивные запросы серверу DNS, требуя определенного ответа или ошибки с сообщением, что данный ресурс не существует. Рекурсивные запросы обычно направляются клиентами DNS или серверами пересылки.

Настройка конфигурации дочернего домена

После успешной проверки преобразования внутренних и интернет-имен в корневом домене, можно добавить дочерний домен с именем HR (HR.ADcompany.com), в котором будут находиться все ресурсы. Зарегистрируйтесь на втором компьютере Server 2008 R2 в качестве локального администратора и убедитесь, что ему назначено подходящее имя, например DC2. Назначьте IP-адрес и маску подсети, затем задайте основной сервер DNS для сетевого адаптера сервера, указав IP-адрес контроллера домена в корневом домене. После запуска Dcpromo должны быть обнаружены корневой домен DNS и контроллер домена, поэтому необходимо настроить сервер DNS, способный ответить на эти запросы.

Прежде чем начать, выполните команду

dcdiag/test: dcpromo/dnsdomain: HR
   . ADcompany.com/ChildDomain

чтобы убедиться в правильности настроек, необходимых для назначения сервера контроллером домена, указанного с использованием ключа /dnsdomain.

Запустите Dcpromo из меню Start, на этот раз чтобы создать новый домен в существующем лесу. На экране Network Credentials введите лес домена (ADcompany.com) и учетную запись, имеющую членство в группе Enterprise Administrators в корневом домене (экран 2). В диалоговом окне Name the New Domain введите полное имя FQDN корневого домена (ADcompany.com) и однокомпонентное имя для нового дочернего домена (HR), как показано на экране 3. В диалоговом окне Additional Domain Controller Options выберите DNS server. На остальных этапах принимайте параметры по умолчанию.

Экран 2. Создание нового домена в существующем лесу

Экран 3. Назначение имени новому домену

В ответ на приглашение перезагрузите сервер и запустите Dcdiag на контроллере домена HR, чтобы убедиться в правильности функционирования всех компонентов. При запуске Dcdiag соблюдайте рекомендации, приведенные выше.

Откройте командную строку и выполните

ipconfig/all

Обратите внимание, что основной сервер DNS сетевого адаптера сервера настроен на локальный адрес сервера, а IP-адрес сервера DNS корневого домена смещен для использования в качестве дополнительного сервера DNS.

Делегирование и пересылка

Продолжая работать из командной строки, проверьте, можно ли установить связь с контроллером домена в корневом домене, используя однокомпонентное имя контроллера домена (DC1) или полное имя (DC1.ADcompany.com). При наличии подключения к Интернету должна существовать связь с именем домена в Интернете из дочернего DC домена. С контроллера корневого домена проверьте связь с DC в дочернем домене. Сервер DNS в дочернем домене направляет запросы к ресурсам ADcompany.com на сервер пересылки, автоматически настраиваемый в ходе выполнения Dcpromo. Увидеть конфигурацию можно, открыв консоль сервера DNS на контроллере дочернего домена из раздела Administrative Tools меню Start. В консоли DNS щелкните правой кнопкой мыши сервер в левой панели и выберите пункт Properties. В диалоговом окне свойств перейдите на вкладку Forwarders; видно, что сервер настроен на пересылку всех запросов, которые не удается обработать, на сервер DNS корневого домена. Пересылаются как внутренние, так и интернет-запросы; в этом отличие от сервера условной пересылки, настроенного на пересылку запросов, которые не удается обработать локально, только для определенного пространства имен.

В противоположность этому, на сервере DNS корневого домена находится запись делегирования (иногда именуемая зоной делегирования) для домена HR. Запись также настраивается как часть процесса Dcpromo для контроллера дочернего домена и позволяет контроллеру корневого домена обнаружить ресурсы в дочернем домене. Откройте консоль DNS на контроллере корневого домена; в левой панели разверните узлы DNS Server, Forward Lookup Zones, ADCompany.com. Щелкните зону делегирования HR в нижней части дерева. В правой панели находится запись типа A узла для сервера DNS дочернего домена. Делегирование и пересылка — стандартные механизмы Windows Server для преобразования в верхних и нижних областях непрерывного пространства имен DNS, как показано на рисунке 2.

Рисунок 2. Делегирование и пересылка

Регрессирование DNS

Регрессирование DNS — функция DNS-клиента Windows. Это не новшество Server 2008 R2 или Windows 7, однако таким образом удается повысить уровень безопасности. С контроллера дочернего домена можно проверить связь с ресурсами в корневом домене, не указывая имя FQDN (то есть связаться с DC1, не вводя DC1.ADcompany.com). То же относится к DC корневого домена; можно успешно проверить связь с DC2 без имени FQDN.

По умолчанию в ходе регрессирования предпринимается попытка преобразовать однокомпонентное имя, добавляя домены из основного суффикса DNS (PDS) клиента. Поэтому компьютер, принадлежащий домену AD.contoso.com, в первую очередь попытается разрешить имя компьютера как DC1.AD.contoso.com, а затем DC1.contoso.com. Попытки разрешить DC1.com не будет, так как уровень регрессирования по умолчанию — 2 (стандартное значение в Windows до появления Server 2008 R2 и Windows 7). В некоторых ситуациях уровень по умолчанию 2 порождает опасения в отношении безопасности, если клиенты DNS пытаются преобразовать полные имена (FQDN) за пределами контроля компании. Например, рассмотрим следующий набор запросов при уровне регрессирования, равном 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. Последний запрос, DC1.co.us, находится вне области контроля компании, и клиент может случайно установить связь с вредоносным компьютером в Интернете.

В Server 2008 R2 и Windows 7 действие по умолчанию — установить уровень регрессирования равным количеству меток в корневом домене леса (FRD), если PDS завершается корневым доменом леса. В данном случае PDS — HR.ADcompany.com, а корневой домен леса — ADcompany.com, поэтому по умолчанию в Server 2008 R2 и Windows 7 регрессирование включено, а уровень для клиентов DNS установлен равным 2. Компания Microsoft выпустила обновление, чтобы изменить подход к регрессированию DNS в Windows Vista, Windows XP и Windows 2000. Дополнительные сведения об обновлении можно найти в статье Microsoft «Postinstallation behavior on client computers after you install the DNS update» по адресу support.microsoft.com/kb/957579.

Порядок просмотра суффиксов DNS

Если добавить в лес третий домен, finance.ADcompany.com, регрессирование DNS может оказаться недостаточным для преобразования однокомпонентных имен ресурсов в HR.ADcompany.com от клиентов в домене FINANCE. Преобразование однокомпонентного имени совершается из домена FINANCE, если попытаться обратиться к ресурсам в домене HR, когда все устройства находятся в одной физической подсети. Это объясняется тем, что Windows выполняет широковещательную передачу для IP-адреса, если не удается успешно преобразовать имя из локального кэша компьютера или настроенного сервера DNS.

Если использовать Nslookup для тестирования разрешения DNS, выясняется, что без просмотра суффиксов DNS необходимо ввести полное имя ресурса, расположенного в домене HR, поскольку Nslookup, как инструмент для тестирования преобразования имен DNS, использует исключительно DNS. Чтобы протестировать DNS с помощью Nslookup, откройте командную строку из меню Start и введите nslookup.

В ответ на приглашение введите полное или однокомпонентное имя, которое нужно преобразовать, и нажмите клавишу Enter. Nslookup выдаст IP-адрес или сообщит о неудачном завершении поиска.

Если разрешение однокомпонентных имен во всех доменах AD имеет большое значение, то можно настроить порядок просмотра суффиксов DNS на всех устройствах, составив список всех основных суффиксов DNS, которые нужно разрешать (например, finance.ADcompany.com, HR.ADcompany.com и ADcompany.com). Если суффикс DNS настроен для клиента DNS, регрессирование DNS автоматически отключается. Порядок просмотра можно настроить вручную (выберите Change adapter settings в центре управления сетями и общим доступом Windows 7) для каждого сетевого адаптера на вкладке DNS в диалоговом окне Advanced TCP/IP Settings для свойств IPv6 и IPv4. Иначе порядок просмотра можно настроить с использованием списка с разделительными запятыми из параметра DNS Suffix Search List в разделе Computer Configuration, Policies, Administrative Templates, Network, DNS Client in Group Policy (для Windows Server 2003, XP и более поздних версий).

Аналогично, если сформировать новую зону DNS, secure.HR.ADcompany.com, на сервере DNS HR с целью создания отдельной зоны для важных ресурсов сервера, защищенных с использованием расширений безопасности DNS (DNSSEC), то необходимо установить порядок просмотра суффикса DNS, чтобы клиенты DNS могли обнаружить ресурсы в новой зоне по однокомпонентному имени. В этом случае требуется новая зона DNS, так как DNSSEC не поддерживает динамические обновления — возможность клиентов хранить записи для автоматического обновления сервера, что является обычным и желательным режимом зон DNS, в которых хранятся записи узлов для клиентских компьютеров.

Как правило, IP-адреса компьютеров серверов не изменяются, поэтому защищенными зонами можно управлять вручную.

Условная пересылка

Кроссдоменные запросы для двух дочерних доменов, finance.ADcompany.com и HR.ADcompany.com, можно разрешать более эффективно, не отправляя рекурсивные запросы в сервер DNS в корневом домене леса, если настроить условную пересылку на серверах DNS в обоих дочерних доменах. Условная пересылка имеет приоритет перед пересылкой на уровне сервера. Ее эффективность выше благодаря возможности передавать запросы к определенным доменным суффиксам на заранее определенный сервер DNS, как показано на рисунке 3.

Рисунок 3. Условная пересылка

Сервер DNS в HR.ADcompany.com будет содержать сервер пересылки, который отправляет все запросы для finance.ADcompany.com на основной сервер DNS для домена FINANCE и наоборот. Для настройки условной пересылки откройте консоль DNS на контроллере домена в домене HR из раздела Administrative Tools меню Start. В левой панели консоли DNS разверните DNS server, щелкните правой кнопкой мыши Conditional Forwarders и выберите из меню пункт New Conditional Forwarder. В диалоговом окне New Conditional Forwarder введите finance.adcompany.com в поле DNS Domain. В поле IP addresses of the master servers введите IP-адрес или имя сервера DNS в домене FINANCE и нажмите клавишу Enter. Нажмите кнопку OK, затем повторите процесс на сервере DNS в домене FINANCE, но укажите HR.ADcompany.com в поле DNS Domain и IP-адрес сервера DNS в домене HR.

Сложности DNS

В одной статье невозможно всесторонне рассмотреть проблему. Например, существуют два типа зон, дополнительные и зоны-заглушки, с помощью которых можно повысить производительность, а также новая функция Server 2008 R2, такая как DNSSEC. Но понимание основ совместной работы DNS и AD в интегрированном решении поможет более успешно развертывать AD и выполнять диагностику. Главное, в ходе тестирования новой или существующей инфраструктуры AD убедитесь, что каждый домен может обращаться к ресурсам во всех доверенных доменах. Кроме того, организуйте делегирование и условную пересылку для разрешения между пространствами имен. Соблюдение этих основных правил поможет более эффективно использовать DNS в сложной среде AD.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами

The Domain Name System (DNS) is a hierarchical distributed naming system for computers, services, or any resource connected to the Internet or a private network. It associates various information with domain names assigned to each of the participating entities.

Most importantly, it translates domain names meaningful to humans into the numerical identifiers associated with networking equipment for the purpose of locating and addressing these devices worldwide.

However, most Windows administrators still rely on the Windows Internet Name Service (WINS) for name resolution on local area networks and some have little or no experience with DNS.  We’ll explain how to install, configure, and troubleshoot a Windows Server 2008 DNS server.

Installation:

Step 1: Install a DNS server from the Control Panel, follow these steps:

• Go to  Start —>  Control Panel —> Administrative Tools —> Server Manager.
• Expand and click Roles
• Click on Add Roles

Step 2 : The new window will open with the list of roles available to install. Select DNS server and Click Next.

Step 3: Click Next on the introduction windows. In the last window click on  install. It will start installation, the following window shows the progress of installation.

Configuring DNS:

After installing DNS, you have to go  Start —>  All Programs —>  Administrative Tools —>  DNS  for managing DNS server.

Whenever  configuring your DNS server, you must be know about  following concepts:

• Forward lookup zone
• Reverse lookup zone
• Zone types

A forward lookup zone is helps to  resolve host names to IP addresses. A reverse lookup zone allows a DNS server to discover the DNS name of the host. Basically, it is the exact opposite of a forward lookup zone. A reverse lookup zone is not required, but it is easy to configure and will allow for your Windows Server 2008 Server to have full DNS functionality.

When selecting a DNS zone type, you have the following options: Active Directory (AD) Integrated, Standard Primary, and Standard Secondary. AD Integrated stores the database information in AD and allows for secure updates to the database file. This option will appear only if AD is configured. If it is configured and you select this option, AD will store and replicate your zone files.

A Standard Primary zone stores the database in a text file. This text file can be shared with other DNS servers that store their information in a text file. Finally, a Standard Secondary zone simply creates a copy of the existing database from another DNS server. This is primarily used for load balancing.

Step 1: Right Click on the name of the server in the DNS management console, Select on the Configure DNS server.

Step 2: Click on Create forward and reverse lookup zone, then click next.

Step 3: Click on the Yes,create the forward lookup zone now on the forward lookup zone window.

Step 4: Click on the  desired zone that you want to create, in this case Primary Zone.

Step 5: Type the Name of the Zone and click Next.

Step 6: Click Next on the Zone File Name.

Step 7: Select the Allow both nonsecure and Secure dynamic updates and click Next to Continue.

Step 8: Select Yes, I want to create reverse lookup zone now, Click Next to continue.

Step 10: Select Primary Zone in Zone creating Window.

Step 11: Choose whether you want to create IPv4 or IPv6 reverse lookup zone.( in  mycase IPv4 Reverse lookup zone).

Step 12: Type you netword ID in the following window.

Step 13: Click Next on the Reverse lookup Zone file name window.

Step 14: Select the Allow both nonsecure and Secure dynamic updates and click Next to Continue.

Step 15: Select No, i should not forward queries, then click Next.

Step 16: Click finish on the final window.

 Managing DNS Server:

After the installation and configuration of the forward and reverse lookup zone, now the server is ready to create the other records associated with the DNS and Zones. There are several records available, here i am listing some of the important records.

• Start of Authority (SOA)
• Name Servers
• Host (A)
• Pointer (PTR)
• Canonical Name (CNAME) or Alias
• Mail Exchange (MX)

Start of Authority (SOA):

Specifies authoritative information about a DNS zone, including the primary name server, the email of the domain administrator, the domain serial number, and several timers relating to refreshing the zone. The following properties window shows the information about the SOA record of the Geeksite.in Zone.

Name Servers (NS Record):

Name Servers that specify name servers for a particular domain. You set up all primary and secondary name servers through the Properties window of the Zone.

Step 1:  Right Click on the Zone name and click on properties.

Step 2: Click on the Name server Tab.

Step 3: If require, add the name server by clicking Add button. You require FQDN of the server name and IP Address.

Host Records (A Record):

It is mainly used for mapping the Host name with IP address, you can able to create Pointer Record at the same time.

Here is the Steps to create the A record.

Step 1: Right click on the Zone name, Select the New Host (A or AAAA)

Step 2: Type the Name of the New Host and IP Address, then Click Add Host.

Following window shows the both Step 1 and Step 2.

Canonical Name (CNAME) or Alias records
A Canonical Name (CNAME) or Alias record allows a DNS server to have multiple names for a single host. For example, an Alias record can have several records that point to a single server in your environment. This is a common approach if you have both your Web server and your mail server running on the same machine.

Here is the Steps to create CNAME record.

Step 1: Right Click on the Zone name and click on New Alias (CNAME )

Step 2: Type your Alias Name.

Step 3: Browse for or Type the Fully Qualified Domain Name (FQDN) of the Target Host.

Step 4: Click OK.

Following window shows  Step 1-4.

Mail Exchanger (MX Records):

Mail exchanger records to identify the mail server for the particular domain. We can create the mail servers records with the priority, the mail server with highest priority will be preferred first for receiving the mail.

Here are the Steps to create the Mail Exchanger record.

Step 1: Right click on the Zone name. click on the New Mail Exhanger (MX).

Step 2: Type the Host or child domain name.

Step 3: Browse for or Type FQDN of the mail server.

Following Window Shows Step 1-3.

Testing DNS Server:

The DNS server is now up and ready for resolving the domain names. Change DNS name server ip address in your local area connection, then use the Nslookup utility. Nslookup is the main utility for testing and trouble shooting the DNS server. It helps to get all the information of the prticular domain.

The following image shows the example of the nslookup command.

That’s All!