Порядок просмотра суффиксов dns
Обновлено: 04.07.2024
Мы — долго запрягаем, быстро ездим, и сильно тормозим.
dhcpd и порядок просмотра суффиксов DNS
Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.dhcpd и порядок просмотра суффиксов DNS
почле чего собственно демон dhcpd ругался и не запускалсяеще пробовал так: тоесть не три суффикса а один состояший из трех слов разделеных пробелами
естественно перечитал всякое с этим связанное но ответа так и не нашел.
подскажите, мудрейшие, как решить задачу.
заранее спасибо! "Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!" спасибо за подсказку, но к сожалению она мне пока еще не помогла.
стояла версия isc 3.0.5 поставил 3.1.2 - после этого dhcpd перестал ругатсья на опцию но только нужного эффекта я не добился.
тут неясно две вещи:
1. использовать эту опцию можно/нужно вместе с
или же без нее
2. собственно сам синтаксис. т.к. в мане написано, если я все верное понял, нужно заключить список доменов в двойные кавычки разделить их пробелами - но как я уже написал выше - это не работает.
что собственно вполне применимо. но не для win-клиентов, что же делать с ними теперь? неужели только из-за этого теперь поднимать dhcp на win serv?
аж не верится, что никто с такой необходимостью не сталкивался. памагите
Дык, а чем не устраивает то, что прописано в /etc/resolv.conf? Виндовые клиенты при запросе всё равно обращаются к DNS-серверу, и уже через него будет производится поиск по указанным DNS-суффиксам и только потом уже резолвиться через DNS-серваки для выхода на все остальные.Просто не будет прописан в винде суффикс, а работать оно должно. Проверяйте. "Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!" skeletor писал(а): Дык, а чем не устраивает то, что прописано в /etc/resolv.conf? Виндовые клиенты при запросе всё равно обращаются к DNS-серверу, и уже через него будет производится поиск по указанным DNS-суффиксам и только потом уже резолвиться через DNS-серваки для выхода на все остальные.
Просто не будет прописан в винде суффикс, а работать оно должно. Проверяйте. скажем так, быть может я и не прав, но я делал следующее
на фре в /etc/resolv.conf есть такая строка: для всех доменов, которые нужно просматривать по порядку, я создал файлы зон, тоесть сама фря прекрасно это хавает и при запросах типа
и все-таки хотелось бы знать как же можно дать win-клиентам нужный список днс-суффов.
кароче перепробовал разные варианты, которые особо то ни к чему меня не привели =\
на фре в resolv.conf указал нужный search, теперь сама фря ресолвит без проблем, как такие запросы:
который она могла бы обработать и проблема была бы решена.
следовательно по прежнему остается актуальной проблема раздачи виндоус-клиентам нужного списка просмотра днс-суффиксов, ибо без них мне не обойтись никак.
теперь по dhcpd.conf..
выяснил еще такое - опция option domain-search string; применяется немного не в моем случае, пример ниже:
дальнейший поиск навел меня на опцию domain-name-list которая скорее всего и нужна была мне с самого начала, ее синтаксис такой: то есть как раз то что нужно! НО вот только и она не помогла, так как Win-клиенты ее не понимают. опять же таки рыскания по нету навели на одну статю, в которой афтар писал следующее: . часа гугла и долгой мороки привели к тому что я научил таки раздавать domain search list.
/etc/dhcpd.conf на DHCP-сервере:
option domain-search "sub1.domain.tld", "sub2.domain.tld", "domain.tld";
/etc/dhclient-eth0.conf на клиенте с 4й версие dhclient'а:
also request domain-search;
После ifup eth0 и тыкания в апплет NetworkManager'а в /etc/resolve.conf наконец-то появился правильный список search.
Винда же эту опцию проигнорировала, tcpdump показал что она по умолчанию не запрашивает опцию 119.
прикинув все варианты, на данный момент я могу сделать лишь одно - это во всех удаленных офисах сделать единый домен, чтобы пользователи всех офисов имели одинаковый dns-суффикс, файлы зон на всех трех серверах так же должны быть одинаковы ну и естественно необходимо чтобы во всех сетях не было совпадений по имени хостов. нде - не густо, да и не практично это.
собственно если у кого-либо появятся какие-то идеи касательно того как можно заставить win-клиента запрашивать code 119 или же как можно решить мою задачу по автоконфигурированию нужного списка поиска для winxp - отпишитесь пожалста. ибо совсем не нравится мне идея с перенастройкой к одинаковым днс суффиксам всех офисов.
DNS представляет собой технологию, с помощью которой IP-адресам присваиваются имена доменов. Более подробно о системе DNS будет рассказана в разделе "DNS и Windows Server 2003" далее в лекции. Сейчас мы рассмотрим лишь параметры конфигурации во вкладке DNS Configuration (Настройка DNS) (см.рис. 8.6).
Рис. 8.6. Вкладка DNS окна Advanced TCP/IP Settigns (Дополнительные параметры TCP/IP).
Присвоение адресов DNS-сервера сетевому подключению
Нажмите на кнопку Add (Добавить) и введите адрес DNS. Повторите эту процедуру для каждого добавляемого адреса. Вы можете указать несколько адресов DNS и IP (а на вкладке General – только два).
Изменение и удаление адресов DNS-сервера для сетевого подключения
Для изменения выделите нужный адрес DNS-сервера и нажмите на кнопку Edit (Изменить). Для удаления выделите нужный адрес DNS-сервера и нажмите на кнопку Remove (Удалить).
Добавление суффиксов DNS для присвоения имен
Append Primary and Connection-Specific DNS Suffixes (Добавлять основной DNS-суффикс и суффикс подключения). Позволяет Windows использовать главный DNS-суффикс и DNS-суффикс, указанный для рассматриваемого подключения (указано ниже в этом же окне), для обработки имен IP-адресов.
DNS Suffix for this Connection (DNS-суффикс данного подключения). Указывается DNS-суффикс, используемый для конкретного сетевого подключения. Этот параметр игнорирует DNS-суффикс, предоставляемый DHCP-сервером.
Append These DNS Suffixes (in Order) (Добавлять следующие DNS-суффиксы [по порядку]). Указывается перечень суффиксов DNS, используемый для присвоения. Этот список обрабатывается сверху вниз, поэтому имя, отображаемое в нескольких доменах DNS, будет обработано и преобразовано в первую очередь.
Зарегистрировать адреса данного подключения в DNS
При выборе опции Register this Connection’s Addresses in DNS (Зарегистрировать адреса данного подключения в DNS) система будет регистрировать полное имя домена на DNS-сервере. Если DNS-сервер не поддерживает динамическое обновление, то система попытается обновить запись на сервере DNS, но эта операция не увенчается успехом.
Использовать DNS-суффикс подключения при регистрации в DNS
В опции Use this Connection’s DNS Suffix in DNS Registration (Использовать DNS-суффикс подключения при регистрации в DNS) указывается необходимость использования DNS-суффикса подключения при динамической регистрации данного компьютера. Этот параметр дополняет динамическую регистрацию главного суффикса DNS.
Вкладка WINS Configuration (Настройка WINS)
Windows Internet Name Service (WINS) (Служба имен интернета Windows) представляет собой технологию преобразования имен в IP-адреса. Служба WINS обрабатывает имена NetBIOS вместо полных имен домена. Так как WINS и NetBIOS не используются в IIS, мы не будем рассказывать о них подробно. Рассматриваемая вкладка показана на рис. 8.7.
Рис. 8.7. Вкладка WINS диалогового окна Advanced TCP/IP Settings (Дополнительные параметры TCP/IP)
Адреса WINS в порядке использования
Серверы WINS, назначенные для использования данным компьютером, приводятся в списке данной вкладки. В этом списке можно добавлять адреса серверов WINS, располагая их в том порядке, в котором они будут использоваться Windows для преобразования имен NetBIOS.
Добавление, изменение и удаление адресов серверов WINS для данного сетевого подключения
Для добавления адреса нажмите на кнопку Add (Добавить) и введите адрес сервера WINS. Повторите эту процедуру для каждого добавляемого адреса.
Для изменения выделите нужный адрес сервера WINS и нажмите на кнопку Edit (Изменить).
Для удаления выделите нужный адрес сервера WINS и нажмите на кнопку Delete (Удалить).
Опция Enable LMHOSTS Lookup (Включить просмотр LMHOSTS)
Опция позволяет указать, что в процессе преобразования имен следует использовать файл LMHOSTS . Файл LMHOSTS представляет собой текстовый файл, содержащий связи имен с IP-адресами, аналогично системе WINS. Файл LMHOSTS является статическим, в то время как служба WINS – динамическая.
NetBIOS Setting (Параметры NetBIOS)
Эта группа опций указывает на необходимость использования NetBIOS в сетевых подключениях. Поскольку NetBIOS располагается на сеансовом уровне модели OSI, то находится выше TCP/IP. Он является необязательным для работы IIS, если для преобразования имен используется система DNS. В большинстве случаев вы будете работать со службой DNS .
Default (По умолчанию). Опция включает соединение NetBIOS, если параметры сервера DHCP не противоречат этому.
Enable NetBIOS over TCP/IP (Включить NetBIOS через TCP/IP). Опция включает соединение NetBIOS, даже если параметры DHCP-сервера этому противоречат.
Disable NetBIOS over TCP/IP (Отключить NetBIOS через TCP/IP). Опция отключает соединение NetBIOS, даже если параметра DHCP-сервера этому противоречат.
Вкладка Options (Параметры)
Во вкладке Options (Параметры) настраиваются параметры фильтрации TCP/IP. Фильтрация TCP/IP разрешает использование только определенных портов и позволяет отключить те порты, которые, по мнению администратора, не должны быть открыты. Этот процесс выполняется на транспортном уровне модели OSI. При включении фильтрации портов ее действие будет распространяться на каждый сетевой адаптер системы. Поскольку фильтрация портов не позволяет селективно отключать порты, рекомендуется использовать межсетевой экран, если на первом месте стоят вопросы безопасности. Для настройки фильтрации TCP/IP нажмите на кнопку Properties (Свойства) во вкладке Options (Параметры). Откроется окно TCP/IP filtering (Фильтрация TCP/IP) (см. рис. 8.8). Здесь располагаются следующие опции.
Порты TCP – Permit All (Разрешить все) или Permit Only (Разрешить только)
При выборе опции Permit Only (Разрешить только) Вам так же необходимо указать порты, которые Вы хотите разрешить, если не разрешить ни одного порта, будут запрещены все порты. Нажмите на кнопку Add (Добавить) и введите номер порта, который нужно включить. Нажмите на кнопку Remove (Удалить) для удаления порта из списка.
Порты UDP - Permit All (Разрешить все) или Permit Only (Разрешить только)
При выборе опции Permit Only (Разрешить только) Вам так же необходимо указать порты UDP, которые Вы хотите разрешить, если не разрешить ни одного порта, будут запрещены все порты. Нажмите на кнопку Add (Добавить) и введите номер порта, который нужно включить. Нажмите на кнопку Remove (Удалить) для удаления порта из списка.
Протоколы IP - Permit All (Разрешить все) или Permit Only (Разрешить только)
При выборе опции Permit Only (Разрешить только) укажите те протоколы IP, которые нужно отключить. Нажмите на кнопку Add (Добавить) и введите номер протокола, который следует включить. Каждый протокол в TCP/IP имеет числовой идентификатор. Нажмите на кнопку Remove (Удалить) для удаления протокола из списка.
Инфраструктура DNS требует настроить конфигурацию клиентов и серверов. В типичной сети настройка DNS-клиентов осуществляется через параметры, унаследованные из DHCP или членства в домене Active Directory. Однако для компьютеров со статической конфигурацией IP, а также машин, не входящих в окружение Active Directory, параметры DNS-клиента нужно задавать вручную. На этом занятии мы рассмотрим параметры DNS, которые позволяют компьютеру успешно разрешать имена DNS, а также разрешать имя компьютера другими машинами.
Самым важным параметром конфигурации DNS -клиента является адрес DNS - сервера. Когда клиент выполняет запрос DNS , он вначале пересылает этот запрос по адресу предпочтительного DNS -сервера клиента. Если предпочтительный DNS -сервер недоступен, DNS -клиент обращается к альтернативному DNS -серверу, если таковой указан. Отметим, что клиент не обращается к альтернативному DNS -серверу в случае доступности предпочтительного сервера лишь потому, что последний не может разрешить запрос.
Параметры DNS -сервера можно отконфигурировать с помощью списка, состоящего из множества приоритетных адресов DNS -серверов по своему усмотрению, использовать DHCP для назначения списка либо указать эти адреса вручную. При использовании DHCP клиентов можно отконфигурировать с помощью опции 006 DNS -сервер (006 DNS Server ), а затем настроить автоматическое получение клиентом адреса DNS -сервера в диалоговом окне Свойства: Протокол версии 4 ( TCP / IPv 4) ( Internet Protocol 4 ( TCP / IPv 4) Properties ). Этот параметр назначается по умолчанию .
Чтобы настроить список DNS-серверов вручную, нужно использовать диалоговое окно свойств протокола TCP/IPv4 и назначить в нем один или два DNS-сервера (предпочтительный и альтернативный).
Чтобы (сконфигурировать более длинный список, щелкните кнопку Дополнительно (Advancved) и перейдите па вкладку DNS. С помощью кнопки Добавить (Add) добавьте серверы в список приоритетных DNS-серверов.
Основной DNS-суффикс выполняет две функции. Он позволяет клиенту автоматически регистрировать собственные записи узла в зоне DNS, имена которой соответствуют имени основного DNS-суффикса. Эта запись узла позволяет другим компьютерам разрешать имя локального DNS-клиента. Кроме того, DNS-клиент автоматически добавляет основной DNS-суффикс в запросы DNS, которые имеют суффиксы.
В процессе присоединения компьютера к домену Active Directory имя домена автоматически конфигурируется с основным DNS-суффиксом компьютера. Чтобы настроить основной DNS-суффикс вне домена Active Directory, на вкладке Имя компьютера (Computer Name) диалогового окна Свойства системы (System Properties) щелкните кнопку Изменить (Change) и в открывшемся диалоговом окис Изменение имени компьютера или домена (Computer Name / Domain Changes) щелкните кнопку Дополнительно (More). Откроется диалоговое окно DNS-суффикс и NetBIOS-имя компьютера (DNS Suffix And NetBIOS Computer Name).
Помимо основного DNS-суффикса компьютеру можно назначить суффикс подключения; делается это с DHCP-сервера или вручную. Этот тип суффикса связан лишь с отдельным сетевым подключением. С DHCP-сервера суффикс подключения назначается с помощью опции 015 Доменное имя (015 DNS Domain Name). Суффикс подключения можно назначить вручную для любого сетевого подключения па вкладке DNS диалогового окна Дополнительные параметры TCP / IP ( Advanced TCP / IP Settings ).
Для DNS-клиентов можно отконфигурировать поисковый список доменных DNS-суффиксов, чтобы расширить или изменить их поисковые способности DNS. Добавив суффиксы в список, можно выполнить поиск коротких неквалифицированных имен в нескольких указанных DNS-доменах. В случае ошибки запроса DNS служба DNS-клиент (DNS Client) может использовать этот список для прикрепления других суффиксов к исходному имени и многократной отправки запросов на DNS-сервер с целью поиска альтернативных имен F QDN.
По умолчанию служба DNS -клиент сначала прикрепляет к неквалифицированному имени локального компьютера основной DNS -суффикс. Если этот запрос не разрешает имя, служба DNS -клиент добавляет все суффиксы подключения, назначенные этому сетевому адаптеру. Если эти запросы также не разрешают имя, служба DNS -клиент добавляет родительский суффикс основного DNS -суффикса.
Настраиваемые поисковые списки DNS -суффиксов
Поиск суффиксов можно настроить, создав список DNS -суффиксов в окне Дополнительные параметры TCP / IP ( Advanced TCP / IP Settings ).
Опция Дописывать следующие DNS-суффиксы (Append These DNS Suffixes) позволяет указать список DNS-суффиксов, которые будут добавляться к неквалифицированным именам. DNS-суффиксы поискового списка служба DNS- клиент добавляет в указанном порядке, не пытаясь использовать другие доменные имена. Например, если отконфигурировать суффиксы в соответствии с поисковым списком и подтвердить запрос неквалифицированного имени из одной метки coffee, служба DNS-клиент вначале запросит имя coffee. wikipedia . org , а затем имя coffee.eu. wikipedia . org .
Поисковый список DNS -суффиксов также можно отконфигурировать в групповой политике. Соответствующий параметр объекта групповой политики Порядок просмотра DNS -суффиксов ( DNS Suffix Search List ) находится в папке Конфигурация компьютера\Административные шаблоны\Сеть\ DNS -клиент ( Computer Configuration \ Administrative Tools \ Network \ DNS Client ).
С настроенным динамическим обновлением DNS-серверы Windows Server 2008 могут принимать динамическую регистрацию и обновления записей А (узел), АААА ( IPv 6-узел) и PTR (указатель). Саму регистрацию и обновления нужно выполнять с помощью DNS-клиента или DHCP-сервера (от лица DNS-клиеита).
Запись узла в зоне прямого поиска возвращает адрес компьютера при запрашивании его по имени. Это самая важная запись ресурса. Запись указателя выполняет противоположное: она есть только в зонах обратного поиска, и возвращает имя компьютера при запрашивании его IP -адреса. Более подробные сведения о типах зон и записях ресурсов можно найти в главе 3.
Динамическое обновление отдельных клиентов выполняется только в том случае, если они отконфигурированы с помощью основного DNS -суффикса или суффикса подключения, соответствующего имени зоны, управляемой предпочтительным DNS -сервером. Например, для динамического обновления компьютера Client 1 в зоне google . ru именем FQDN этого компьютера должно быть client 1. google . ru , и клиент должен указать в качестве предпочтительного DNS -сервера IP -адрес DNS -сервера, управляющего основной зоной google . ru .
ПРИМЕЧАНИЕ: Автоматическая адресация и автоматическое обновление DNS
DNS -клиенты никогда не пытаются регистрировать IPv 4-адреса APIPA или локальные APv 6-адреса каналов с помощью DNS-сервера.
Компьютер с включенным параметром Использовать DNS-суффикс подключения при регистрации в DNS ( Use This Connection ' s DNS Suffix In DNS Registration) пытается регистрировать записи А и АААА для всех DNS-суффиксов, назначенных сетевому подключению. Отметим, что DNS-суффикс подключения не требуется вводить в текстовое поле DNS-суффикс подключения (DNS Suffix For This Connection). Этот суффикс может наследоваться от DHCP-сервера (в частности, с помощью опции 015 Доменное имя (015 Domain Name)). Поэтому если включить этот параметр, DHCP-клиент, назначающий доменное имя DNS с DHCP-сервера, регистрирует записи А и АААА с помощью предпочтительного DNS-сервера. Для успешного выполнения регистрации доменное имя DNS, унаследованное от DHCP-сервера, должно соответствовать имени основной зоны, управляемой предпочтительным DNS-сервером, а основная зона, управляемая предпочтительным DNS-сервером, должна разрешать тип динамических обновлений, которые может выполнять клиент. Кроме того, если клиенту уже назначен основной DNS-суффикс, соответствующий DNS-суффиксу подключения, то при включении этого параметра дополнительные записи узлов не будут регистрироваться.
Чтобы выполнять регистрацию всех записей узлов в DNS , в командную строку введите с привилегиями администратора команду:
Для клиентов со статическими адресами обновление записей PTR выполняется так же, как и обновление записей узлов (А и АААА). Если включить параметр Зарегистрировать адреса этого подключения в DNS ( Register This Connection ' s Addresses In DNS ), DNS -клиенты со статическими адресами всегда будут регистрировать и обновлять свои записи указателей на DNS -сервере. Можно зарегистрировать на DNS -сервера PTR - записи клиента со статическим адресом, запустив в командной строке с административными привилегиями на компьютере клиента команду:
Для успешной регистрации требуется выполнение определенных условий. Во-первых, DNS -клиенту нужно назначить соответствующий основной DNS -суффикс. Во-вторых, предпочтительный DNS -сервер клиента должен управлять соответственно настроенными зонами прямого и обратного поиска.
Обновление PTR -записей DHCP -клиентов отличается от обновления записей клиентов со статическими адресами, а обновление PTR -записей DHCP - клиентов в рабочей группе отличается от обновления в среде Active Directory . Далее описано обновление PTR -записей DHCP -клиентов в этих двух средах.
В среде рабочей группы DHCP -клиенты имеют собственные PTR -записи, обновляемые DHCP -сервером. Обновление можно выполнять с помощью команды Ipconfig / renew . Для успешной регистрации требуется соблюдение определенных условий. Во-первых, DNS -клиенту и DNS -серверу нужно назначить этот DNS -сервер как предпочтительный. Во-вторых, на компьютере DNS -клиента нужно включить параметр Зарегистрировать адреса этого подключения в DNS ( Register This Connection ' s Addresses In DNS ). В-третьих, DNS -клиенту должен быть назначен соответствующий DNS -суффикс (вручную в качестве основного DNS -суффикса или автоматически с DHCP -сервера). Наконец, на DNS -сервере нужно соответствующим образом отконфигурировать зоны прямого и обратного поиска.
В среде Active Directory клиенты DHCP обновляют свои PTR-записи. Для запуска обновления можно использовать команды I pconfig/registerdns или I pconfig/renew. Для успешного обновления нужно включить параметр Использовать DNS-суффикс подключения при регистрации в DNS (Use This Connection's DNS Suffix In DNS Registration ). Чтобы включить этот параметр, нужно вначале включить параметр Зарегистрировать адреса этого подключения в DNS ( Register This Connection ' s Addresses In DNS ). Наконец, для успешного обновления PTR-записи в среде доменных служб Active Directory предпочтительный DNS-сервер клиента должен управлять соответственно отконфигурированными зонами прямого и обратного поиска.
Чтобы компьютеры в сети регистрировали имена DNS подключений, можно использовать групповую политику. В объекте групповой политики откройте папку Конфигурация компьютера\Административные шаблоны\Сеть\ DNS -клиент ( Computer Configuration \ Administrative Tools \ Network \ DNS Client ) и включите параметр политики Регистрировать DNS -записи с DNS -суффиксом подключения ( Register DNS Records With Connection - specific DNS Suffix ).
Кэш DNS -клиента (или кэш распознавателя DNS ) поддерживается всеми DNS -клиентами. DNS -клиенты проверяют свой кэш распознавателя перед запросом DNS -сервера. При получении DNS -клиентом ответа на запрос от DNS -сервера в кэш распознавателя добавляются новые записи.
Для просмотра кэша DNS -клиента в командную строку введите команду ipconfig / displaydns . Будут показаны все записи, загруженные из локального файла Hosts , а также все недавно полученные записи запросов имен, выполненных системой.
Для очистки кэша DNS -клиента в командную строку можно ввести команду ipconfig flushdns . В качестве альтернативы можно перезагрузить службу DNS -клиент ( DNS Client ), используя консоль Службы ( Services ) в опциях Администрирование ( Administrative Tools ) меню Пуск (Start).
В данной статье предпринята попытка выйти за пределы структуры единственного леса/единственного домена AD, в которой конфигурация DNS сравнительно проста, и исследовать работу DNS в более сложной архитектуре AD. Одновременно рассматривается несколько новых концепций DNS, реализованных в Windows Server 2008 R2
Служба DNS, обеспечивающая преобразование доменных имен в IP-адреса, — не просто система распознавания имен для всего Интернета. Это критически важный компонент Active Directory (AD), необходимый для обнаружения сетевых ресурсов. Но несмотря на повсеместный переход с системы WINS на DNS в сетях Windows в последнее десятилетие, начинающим администраторам все так же трудно разобраться в сложной иерархической организации DNS.
Интеграция Active Directory и DNS
Чтобы понять, как DNS сочетается с AD, подготовим типовую структуру AD для средних и крупных компаний. Построим один лес с двумя доменами (рисунок 1). Первый домен часто именуется пустым корневым (empty root) или просто корневым доменом. Пустой корневой домен находится на верхнем уровне иерархии AD и, как видно из имени, не содержит никаких ресурсов. Благодаря доменам такого типа компании получают более гибкие и лучше разделенные роли безопасности, нежели в единственном лесе/единственном домене. Второй домен расположен ниже пустого корневого и потому является дочерним; он функционирует как основной домен компании, в котором расположены ресурсы (например, группы, учетные записи пользователей и компьютеров).
.jpg) |
| Рисунок 1. Один лес с двумя доменами |
Начнем с запуска утилиты Dcpromo на первом сервере, чтобы создать лес и пустой корневой домен. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора. Убедитесь, что серверу назначено подходящее имя, такое как DC1, и задайте IP-адрес, маску подсети и шлюз по умолчанию на сетевом адаптере сервера. Настройки DNS для сетевого адаптера можно оставить пустыми и предоставить Windows ввести локальный адрес.
В зоне DNS содержатся все записи ресурсов для одной части пространства имен, такой как ADCOMPANY или COM. Это внутренний корневой домен AD, поэтому запись делегирования в общедоступной зоне COM необязательна, и предупреждение можно игнорировать. Значение делегирования прояснится после создания дочернего домена.
Тестирование с использованием Dcdiag
После завершения работы Dcpromo перезагрузите сервер. Чтобы убедиться, что с новым сервером все в порядке, откройте командную строку и запустите утилиту Dcdiag. Если DNS и другие важные компоненты AD настроены верно, последовательность тестов будет выполнена успешно.
Тест должен завершиться успешно.
Корневые ссылки
Если AD DNS функционирует, а DC подключен к Интернету, установленный сервер DNS должен преобразовывать имена доменов Интернета, хотя серверы пересылки не настроены и не указан IP-адрес сервера DNS провайдера Интернета в настройках сетевого адаптера DC. Сервер DNS содержит корневые ссылки, указывающие на серверы DNS верхнего уровня в Интернете. Таким образом можно обслуживать запросы относительно имен, которых он не имеет в своем кэше.
Чтобы увидеть корневые ссылки, загруженные из файла cache.dns, откройте оснастку DNS из раздела Administrative Tools в меню Start. В консоли DNS щелкните правой кнопкой мыши на сервере DNS в левой области и выберите пункт Properties. В диалоговом окне свойств сервера перейдите на вкладку Root Hints (экран 1).
.jpg) |
| Экран 1. Просмотр корневых ссылок |
Иногда возникают ситуации (например, если требуется использовать службу OpenDNS для фильтрации веб-контента), в которых вместо корневых ссылок для преобразования имен Интернета применяется сервер пересылки. Проектируя инфраструктуру DNS, помните, что, если на сервере DNS заданы серверы пересылки, они используются для преобразования имен прежде корневых ссылок.
Итеративные и рекурсивные запросы
Настройка конфигурации дочернего домена
Прежде чем начать, выполните команду
чтобы убедиться в правильности настроек, необходимых для назначения сервера контроллером домена, указанного с использованием ключа /dnsdomain.
.jpg) |
| Экран 2. Создание нового домена в существующем лесу |
.jpg) |
| Экран 3. Назначение имени новому домену |
В ответ на приглашение перезагрузите сервер и запустите Dcdiag на контроллере домена HR, чтобы убедиться в правильности функционирования всех компонентов. При запуске Dcdiag соблюдайте рекомендации, приведенные выше.
Откройте командную строку и выполните
Обратите внимание, что основной сервер DNS сетевого адаптера сервера настроен на локальный адрес сервера, а IP-адрес сервера DNS корневого домена смещен для использования в качестве дополнительного сервера DNS.
Делегирование и пересылка
.jpg) |
| Рисунок 2. Делегирование и пересылка |
Регрессирование DNS
Порядок просмотра суффиксов DNS
Если использовать Nslookup для тестирования разрешения DNS, выясняется, что без просмотра суффиксов DNS необходимо ввести полное имя ресурса, расположенного в домене HR, поскольку Nslookup, как инструмент для тестирования преобразования имен DNS, использует исключительно DNS. Чтобы протестировать DNS с помощью Nslookup, откройте командную строку из меню Start и введите nslookup.
В ответ на приглашение введите полное или однокомпонентное имя, которое нужно преобразовать, и нажмите клавишу Enter. Nslookup выдаст IP-адрес или сообщит о неудачном завершении поиска.
Как правило, IP-адреса компьютеров серверов не изменяются, поэтому защищенными зонами можно управлять вручную.
Условная пересылка
.jpg) |
| Рисунок 3. Условная пересылка |
В одной статье невозможно всесторонне рассмотреть проблему. Например, существуют два типа зон, дополнительные и зоны-заглушки, с помощью которых можно повысить производительность, а также новая функция Server 2008 R2, такая как DNSSEC. Но понимание основ совместной работы DNS и AD в интегрированном решении поможет более успешно развертывать AD и выполнять диагностику. Главное, в ходе тестирования новой или существующей инфраструктуры AD убедитесь, что каждый домен может обращаться к ресурсам во всех доверенных доменах. Кроме того, организуйте делегирование и условную пересылку для разрешения между пространствами имен. Соблюдение этих основных правил поможет более эффективно использовать DNS в сложной среде AD.
Читайте также: