pro.alfastail.ru. Настройка dns server windows 2018 r2


Установка и настройка DNS на Windows Server 2012 R2 » Самоучка — pro.alfastail.ru

6   Установка DNS на Windows Server 2012 R2.

 

Процесс установки DNS на сервере Windows Server 2012 R2 довольно прост и не требует перезагрузки системы. Ниже перечислены шаги, необходимые для выполнения установки и настройки службы DNS на компьютере с Windows Server 2012 R2.

 

Откройте консоль «Диспетчер серверов», переключитесь на «Локальный сервер» и в меню «Управление» жмем «Добавить роли и компоненты»:

 

 

 

 

 

Откроется мастер добавления ролей и компонентов, жмем «Далее»:

 

 

 

 

 

Выбираем тип установки: «Установка ролей и компонентов», жмем «Далее»:

 

 

 

 

 

Выбираем сервер и жмем «Далее»:

 

 

 

 

 

На вкладке «Роли сервера» выбираем: «DNS сервер», нам предлогают добавить необходимые компоненты, выбираем: «Добавить компоненты», жмем «Далее»:

 

 

 

 

На вкладке «Компоненты» жмем «Далее»:

 

 

 

 

 

«Далее»:

 

 

 

 

 

«Установить»:

 

 

 

 

 

«Закрыть»:

 

 

 

 

 

 

На этом установка завершена.

 

   Настройка DNS на Windows Server 2012 R2 на конкретных примерах.

 

Одной из первых задач, которая должна выполняться сразу же после установ­ки DNS-сервера, является настройка его TCP/IP-параметров таким образом, чтобы при преобразовании имен DNS он указывал на самого себя, если только не имеется никакой особой причины, чтобы он этого не делал.

 

Открываем «Диспечер серверов», «Локальный сервер» и жмем на доступное интернет соединение:

 

 

 

 

 

В открывшемся окне выбираем «свойства»:

 

 

 

 

 

Дважды щелкните на элементе Протокол Интернета версии 4 (TCP/IP):

 

 

 

 

В разделе окна, который связан с сервером DNS, удостоверьтесь, что выбран пере­ключатель Использовать следующий адрес DNS-сервера, и введите в поле «Предпочитаемый DNS-сервер» IP-адрес  вашего DNS-сервера. При наличии еще одного DNS-сервера укажите его IP-адрес в поле Альтернативный DNS-сервер.

 

 

 

 

 

В этом же окне жмем «Дополнительно», и в окне «Дополнительные параметры», жмем «Добавить IP адрес»

 

 

 

 

 

Вписываем дополнительный IP адрес и маску (дополнительнгый IP адрес должен находиться в диапазоне подсети основного IP адреса), затем жмем «Добавить» и «OK»:

 

 

 

 

 

В Диспетчере серверов в меню «Средства» выбираем «DNS», откроется «Диспетчер DNS»:

 

 

 

 

 

В меню  действие выбираем «Настроить DNS сервер»:

 

 

 

 

 

Откроется мастер настройки DNS сервера, жмем «Далее»:

 

 

 

 

 

Выбираем «Создать зоны прямого и обратного просмотра», жмем «Далее»:

 

 

 

Оставляем по умолчанию и «Далее»:

 

 

 

 

 

Выбираем «Основная зона» и «Далее»:

 

 

 

 

 

Задаем имя зоны. Так как у нас уже есть один сайт (admin), созданный в прошлой статье ( Установка и настройка веб-сервера IIS + PHP + MySQL на Windows Server 2012 R2 ), создадим для него зону «admin. malwselennaia.ru» (У Вас должно быть свое доменное имя) и жмем «Далее»:

 

 

 

 

 

Выбираем «Создать новый файл» и жмем «Далее»:

 

 

 

 

 

Оставляем по умолчанию и жмем «Далее»:

 

 

 

 

 

«Да создать зону обратного просмотра» и «Далее»:

 

 

 

 

 

Выбираем тип зоны и «Далее»:

 

 

 

 

 

Оставляем IPv4 и жмем «Далее»:

 

 

 

 

 

Вводим идентификатор сети (У Вас может быть по другому) и «Далее»:

 

 

 

 

 

Выбираем «создать новый фаил» и «Далее»:

 

 

 

 

 

Оставляем по умолчанию и «Далее»:

 

 

 

 

 

Выбираем : нет не пересылать запросы ижмем «Далее»:

 

 

 

 

 

Проверяем и жмем «Готово»:

 

 

 

 

 

Возвращаемся в диспетчер DNS , раскрываем зоны прямого просмотра и выделяем созданную нами зону.

Дважды щелкните на элементе «сервер имен»:

 

 

 

 

 

Откроется окно свойств созданной нами зоны. Выделяем имя нашего сервера и нажимаем «изменить».

 

 

 

 

 

Откроется окно редактирования записей. Выделяем имя нашего сервера и нажимаем «Разрешить в адрес».

 

 

 

 

 

Жмем «OK», «применить» и «OK»

 

 

 

 

 

Щелкаем мышкой в окне зоны, в открывшемся меню выбираем «создать узел А»

 

 

 

 

 

В открывшемся окне вводим созданный ранее дополнительный IP адрес (У Вас может быть другим) и нажимаем «Добавить узел»

 

 

 

 

 

Жмем «Ok» и закрываем окно «Новый узел»

 

 

 

 

 

Возвращаемся в Диспетчер серверов и в меню «средства» выбираем «Диспетчер служб IIS»:

 

 

 

 

 

В диспетчере служб IIS выделяем созданный нами сайт admin и в правой колонке «Действия» жмем «Привязки…»

 

 

 

 

 

 

В открывшемся окне жмем «Изменить»:

 

 

 

 

 

 

Здесь изменяем IP адрес и имя узла. Жмем «Ok»:

 

 

 

 

 

 

«Закрыть»:

 

 

 

 

 

Возвращаемся в диспетчер IIS и в колонке «Действия» выбираем «Обзор admin.malwselennaia.ru»:

 

 

 

 

 

И, если все прошло успешно, видим страничку входа:

 

 

 

 

 

Добавление нескольких сайтов на Windows Server 2012 R2.

 

Далее добавим на наш сервер еще один веб-сайт. Для примера возмем CMS DLE (DataLife Engine), скачать можно здесь: http://dle-news.ru/demo.html

 

Установка DLE.

Сначала необходимо создать директорию для нашего сайта. Создаем папку, предположим, в уже созданной при установке IIS директории C:\inetpub\wwwroot\, и назовем (для удобства) «dle10.1»:

 

 

 

 

 

И копируем туда распакованный дистрибутив DLE:

 

 

 

 

 

 

Далее заходим в phpMyAdmin:

 

 

 

 

 

Вводим установленный нами пароль и попадаем на главную страницу phpMyAdmin :

 

 

 

 

 

Нажимаем на вкладку «пользователи» и попадаем на страницу «Обзор учетных записей»

 

 

 

 

 

Нажимаем «Добавить пользователя», и в открывшемся окне вводим данные пользователя:Имя пользователя: предположим dle10.1Хост: localhostПароль: например dle10.1Подтверждение: dle10.1

Чуть ниже ставим точку на «Создать базу данных с именем пользователя в названии и предоставить на нее полные привелегии». Жмем OK:

 

 

 

 

 

Далее заходим в «Диспечер IIS»,правой кнопкой мыши кликаем «сайты», и в открывшемся меню нажимаем «Добавить веб-сайт…»

 

 

 

 

 

Откроеться диалоговое окно «Добавление веб сайта».

Указываем :Имя сайта — допустим: dle10.1Физический путь — указываем где расположенна директория веб сайта: у нас C:\inetpub\wwwroot\dle10.1Имя узла — указываем название сайта(которое будем вводить в браузере): в нашем случае dle10.1.malwselennaia.ru и потом жмем Ok

 

 

 

 

 

Далее переходим в диспетчер DNS, и в окне зон прямого просмотра щелкаем мышкой. В открывшемся меню выбираем «Создать новую зону…»:

 

 

 

 

 

Откроется мастер создания новой зоны. Жмем «Далее»:

 

 

 

 

 

Выбираем «Основная зона». Жмем «Далее»:

 

 

 

 

 

Вводим имя зоны (в моем случае dle10.1.malwselennaia.ru) и «Далее»:

 

 

 

 

 

Оставляем по умолчанию. «Далее»:

 

 

 

 

 

Тоже по умолчанию и «Далее»:

 

 

 

 

 

Все проверяем и «Готово»:

 

 

 

 

 

 

Возвращаемся в диспетчер DNS , раскрываем зоны прямого просмотра и выделяем созданную нами зону.

Дважды щелкните на элементе «сервер имен»:

 

 

 

 

 

Откроется окно свойств созданной нами зоны. Выделяем имя нашего сервера и нажимаем «изменить».

 

 

 

 

 

Откроется окно редактирования записей. Выделяем имя нашего сервера и нажимаем «Разрешить в адрес».

 

 

 

 

 

Жмем «OK», «применить» и «OK»

 

 

 

 

 

Щелкаем мышкой в окне зоны, в открывшемся меню выбираем «создать узел А»

 

 

 

 

 

В открывшемся окне вводим созданный ранее дополнительный IP адрес (У Вас может быть другим) и нажимаем «Добавить узел»

 

 

 

 

 

Возвращаемся в диспечер IIS. Выделяем наш сайт и правой кнопкой мыши открываем меню, выбираем «Редактировать разрешения»:

 

 

 

 

 

Откроется окно свойств, переходим на вкладку «Безопастность»

 

 

 

 

Нажимаем «Изменить»:

 

 

 

 

 

Откроется окно разрешений для группы dle10.1, жмем «Добавить»:

 

 

 

 

 

Жмем «Дополнительно»:

 

 

 

 

 

Жмем «Поиск»:

 

 

 

 

 

Выбираем «IUSR». Жмем OK:

 

 

 

 

 

Выставляем разрешения и нажимаем применить и OK:

 

 

 

 

 

Далее можно переходить к установке.

Вводим в браузере: dle10.1.malwselennaia.ru (это исключительно в моем случае, у Вас адрес другой) и жмем начать установку:

 

 

 

 

 

Далее принимаем лицензионное соглашение и жмем продолжить:

 

 

 

 

 

«Продолжить»:

 

 

 

 

 

«Продолжить»:

 

 

 

 

 

Вводим данные и жмем продолжить:

 

 

 

 

 

Ну вот готово:

 

 

 

 

 

Ну правда не совсем готово.

Попытаемся открыть любую новость и получаем ошибку:

 

 

 

 

 

Возвращаемся в диспетчер IIS. Выделяем наш сайт, открываем модуль переопределения адресов:

 

 

 

 

 

В колонке действия жмем «Импортировать правила»:

 

 

 

 

 

Копируем содержимое файла : «.htaccess»(лежит в корне сайта) и вставляем в поле «Правила переопределения», нажимаем «применить»

 

 

 

 

 

Теперь проверим результат:

 

 

 

 

 

На этом все.

www.pro.alfastail.ru

Установка роли DNS-сервер на Windows Server 2012 R2

DNS-сервер важная составляющая часть в корпоративной сети малого, среднего и крупного бизнеса. Трудно представить рабочую сеть без системы доменных имён. Установка роли DNS на сервере Windows Server 2012 R2 довольно прост и не требует перезагрузки системы.

В окне диспетчера серверов, в панели мониторинга нажимаем на кнопку 'Добавить роли и компоненты'.

Появится окно 'Мастер добавления ролей и компонентов'. Нажимаем 'Далее'.

 Ставим радиокружок на 'Установка ролей или компонентов'. Нажимаем 'Далее'.

Выбираем необходимый сервер для установки роли DNS. Нажимаем 'Далее'.

 Из списка выбираем роль 'DNS-сервер' и нажимаем на кнопку 'Добавить компоненты'. Нажимаем 'Далее'.

   

В списке компонентов для роли DNS-сервера нет необходимости что-либо устанавливать. Однако, если вам что-то понадобится, например, 'клиент Telnet', то можете выбрать для установки или оставить все позиции по умолчанию. Нажимаем 'Далее'.

Далее, во вкладке DNS-сервер приводится полезное пояснение. Читаем и вооружаемся. Нажимаем 'Далее'

В следующей вкладке подтверждаем установку. Автоматический перезапуск сервера не требуется. Нажимаем 'Установить'

Начнётся этап установки роли DNS-сервер и через некоторое время должно успешно завершиться.

  

Одной из первых задач, которую нужно выполнить после установки роли DNS-сервер, является настройка TCP/IP-параметров сервера, таким образом, чтобы при преобразовании имён DNS он указывал на самого себя. Для быстрого перехода в окно 'Сетевые подключения', в диспетчере серверов переходим по вкладке 'Локальный сервер' и нажимаем по ссылке 'Ethernet'. Далее, открываем свойство 'Сетевого адаптера'.

  

Открываем свойство протокола TCP\IPv4 и дописываем в 'предпочитаемый DNS-сервер', адрес самого сервера где был установлен роль DNS-сервера.

 

В общем, это все необходимые этапы установки роли DNS-сервер. Дальнейшие настройки зависят от уровня сопоставимых задач.

ruframe.com

DNS в Windows Server 2008 R2 | Windows IT Pro/RE

Служба DNS, обеспечивающая преобразование доменных имен в IP-адреса, — не просто система распознавания имен для всего Интернета. Это критически важный компонент Active Directory (AD), необходимый для обнаружения сетевых ресурсов. Но несмотря на повсеместный переход с системы WINS на DNS в сетях Windows в последнее десятилетие, начинающим администраторам все так же трудно разобраться в сложной иерархической организации DNS.

.

Интеграция Active Directory и DNS

Чтобы понять, как DNS сочетается с AD, подготовим типовую структуру AD для средних и крупных компаний. Построим один лес с двумя доменами (рисунок 1). Первый домен часто именуется пустым корневым (empty root) или просто корневым доменом. Пустой корневой домен находится на верхнем уровне иерархии AD и, как видно из имени, не содержит никаких ресурсов. Благодаря доменам такого типа компании получают более гибкие и лучше разделенные роли безопасности, нежели в единственном лесе/единственном домене. Второй домен расположен ниже пустого корневого и потому является дочерним; он функционирует как основной домен компании, в котором расположены ресурсы (например, группы, учетные записи пользователей и компьютеров).

 

Рисунок 1. Один лес с двумя доменами

Начнем с запуска утилиты Dcpromo на первом сервере, чтобы создать лес и пустой корневой домен. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора. Убедитесь, что серверу назначено подходящее имя, такое как DC1, и задайте IP-адрес, маску подсети и шлюз по умолчанию на сетевом адаптере сервера. Настройки DNS для сетевого адаптера можно оставить пустыми и предоставить Windows ввести локальный адрес.

Запустите утилиту Dcpromo из меню Start и создайте новый лес и домен с именем ADcompany.com. Обратите внимание, что я использовал AD как приставку к имени компании, чтобы разделить внутренние и внешние пространства имен DNS. ADCOMPANY будет именем NETBIOS для домена. Хотя домен предназначен только для внутреннего использования, важно зарегистрировать домен ADcompany.com в Интернете, чтобы исключить случайное перенаправление клиентов на устройство вне зоны контроля компании. Также принято использовать иерархию пространства имен AD.company.com, где AD становится именем NETBIOS для домена. В этом случае, если имя company.com уже зарегистрировано компанией в Интернете, не требуется никаких дополнительных действий.

На экране Additional Domain Controller Options должен быть установлен флажок DNS server. Нажмите кнопку Next, и Dcpromo начнет проверять назначенные параметры. Система выдаст предупреждение о невозможности создать делегирование, так как не найдена полномочная родительская зона. Другими словами, Dcpromo не может найти полномочный сервер DNS (то есть сервер, содержащий основной или вторичный экземпляр данных зоны для домена. com), где можно создать зону делегирования для домена ADcompany.com.

В зоне DNS содержатся все записи ресурсов для одной части пространства имен, такой как ADCOMPANY или COM. Это внутренний корневой домен AD, поэтому запись делегирования в общедоступной зоне COM необязательна, и предупреждение можно игнорировать. Значение делегирования прояснится после создания дочернего домена.

Тестирование с использованием Dcdiag

После завершения работы Dcpromo перезагрузите сервер. Чтобы убедиться, что с новым сервером все в порядке, откройте командную строку и запустите утилиту Dcdiag. Если DNS и другие важные компоненты AD настроены верно, последовательность тестов будет выполнена успешно.

Перед запуском Dcdiag нужно очистить журналы событий System и DFS Replication, чтобы не получать сообщения о сбоях из-за сообщений об ошибках в ходе организации домена. Например, ошибки репликации DFS обычно регистрируются при первом запуске Dcdiag на новом контроллере домена (DC). Однако их появление не обязательно свидетельствует о неполадках DNS, которые часто оказываются причиной отказов репликации. После очистки журналов событий запустите команду

dcdiag/test: dfsrevent

Тест должен завершиться успешно.

Пока не задан источник времени, будут наблюдаться ошибки службы W32tm (служба Windows Time) в ходе проверок Dcdiag для контроллера корневого домена. Сведения о настройке службы Windows Time приведены в статье Microsoft «How to configure an authoritative time server in Windows Server» по адресу support.microsoft.com/kb/816042.

Корневые ссылки

Если AD DNS функционирует, а DC подключен к Интернету, установленный сервер DNS должен преобразовывать имена доменов Интернета, хотя серверы пересылки не настроены и не указан IP-адрес сервера DNS провайдера Интернета в настройках сетевого адаптера DC. Сервер DNS содержит корневые ссылки, указывающие на серверы DNS верхнего уровня в Интернете. Таким образом можно обслуживать запросы относительно имен, которых он не имеет в своем кэше.

Чтобы увидеть корневые ссылки, загруженные из файла cache.dns, откройте оснастку DNS из раздела Administrative Tools в меню Start. В консоли DNS щелкните правой кнопкой мыши на сервере DNS в левой области и выберите пункт Properties. В диалоговом окне свойств сервера перейдите на вкладку Root Hints (экран 1).

 

Экран 1. Просмотр корневых ссылок

Иногда возникают ситуации (например, если требуется использовать службу OpenDNS для фильтрации веб-контента), в которых вместо корневых ссылок для преобразования имен Интернета применяется сервер пересылки. Проектируя инфраструктуру DNS, помните, что, если на сервере DNS заданы серверы пересылки, они используются для преобразования имен прежде корневых ссылок.

Итеративные и рекурсивные запросы

Запросы, сделанные сервером DNS для преобразования имен с использованием корневых ссылок, — итеративные, то есть принимается лучший ответ (который может быть ссылкой на сервер имен, расположенный на более низких ступенях иерархии и способный определенно разрешить запрос). Иное дело DNS-клиент Windows, который направляет рекурсивные запросы серверу DNS, требуя определенного ответа или ошибки с сообщением, что данный ресурс не существует. Рекурсивные запросы обычно направляются клиентами DNS или серверами пересылки.

Настройка конфигурации дочернего домена

После успешной проверки преобразования внутренних и интернет-имен в корневом домене, можно добавить дочерний домен с именем HR (HR.ADcompany.com), в котором будут находиться все ресурсы. Зарегистрируйтесь на втором компьютере Server 2008 R2 в качестве локального администратора и убедитесь, что ему назначено подходящее имя, например DC2. Назначьте IP-адрес и маску подсети, затем задайте основной сервер DNS для сетевого адаптера сервера, указав IP-адрес контроллера домена в корневом домене. После запуска Dcpromo должны быть обнаружены корневой домен DNS и контроллер домена, поэтому необходимо настроить сервер DNS, способный ответить на эти запросы.

Прежде чем начать, выполните команду

dcdiag/test: dcpromo/dnsdomain: HR . ADcompany.com/ChildDomain

чтобы убедиться в правильности настроек, необходимых для назначения сервера контроллером домена, указанного с использованием ключа /dnsdomain.

Запустите Dcpromo из меню Start, на этот раз чтобы создать новый домен в существующем лесу. На экране Network Credentials введите лес домена (ADcompany.com) и учетную запись, имеющую членство в группе Enterprise Administrators в корневом домене (экран 2). В диалоговом окне Name the New Domain введите полное имя FQDN корневого домена (ADcompany.com) и однокомпонентное имя для нового дочернего домена (HR), как показано на экране 3. В диалоговом окне Additional Domain Controller Options выберите DNS server. На остальных этапах принимайте параметры по умолчанию.

 

Экран 2. Создание нового домена в существующем лесу

 

Экран 3. Назначение имени новому домену

В ответ на приглашение перезагрузите сервер и запустите Dcdiag на контроллере домена HR, чтобы убедиться в правильности функционирования всех компонентов. При запуске Dcdiag соблюдайте рекомендации, приведенные выше.

Откройте командную строку и выполните

ipconfig/all

Обратите внимание, что основной сервер DNS сетевого адаптера сервера настроен на локальный адрес сервера, а IP-адрес сервера DNS корневого домена смещен для использования в качестве дополнительного сервера DNS.

Делегирование и пересылка

Продолжая работать из командной строки, проверьте, можно ли установить связь с контроллером домена в корневом домене, используя однокомпонентное имя контроллера домена (DC1) или полное имя (DC1.ADcompany.com). При наличии подключения к Интернету должна существовать связь с именем домена в Интернете из дочернего DC домена. С контроллера корневого домена проверьте связь с DC в дочернем домене. Сервер DNS в дочернем домене направляет запросы к ресурсам ADcompany.com на сервер пересылки, автоматически настраиваемый в ходе выполнения Dcpromo. Увидеть конфигурацию можно, открыв консоль сервера DNS на контроллере дочернего домена из раздела Administrative Tools меню Start. В консоли DNS щелкните правой кнопкой мыши сервер в левой панели и выберите пункт Properties. В диалоговом окне свойств перейдите на вкладку Forwarders; видно, что сервер настроен на пересылку всех запросов, которые не удается обработать, на сервер DNS корневого домена. Пересылаются как внутренние, так и интернет-запросы; в этом отличие от сервера условной пересылки, настроенного на пересылку запросов, которые не удается обработать локально, только для определенного пространства имен.

В противоположность этому, на сервере DNS корневого домена находится запись делегирования (иногда именуемая зоной делегирования) для домена HR. Запись также настраивается как часть процесса Dcpromo для контроллера дочернего домена и позволяет контроллеру корневого домена обнаружить ресурсы в дочернем домене. Откройте консоль DNS на контроллере корневого домена; в левой панели разверните узлы DNS Server, Forward Lookup Zones, ADCompany.com. Щелкните зону делегирования HR в нижней части дерева. В правой панели находится запись типа A узла для сервера DNS дочернего домена. Делегирование и пересылка — стандартные механизмы Windows Server для преобразования в верхних и нижних областях непрерывного пространства имен DNS, как показано на рисунке 2.

 

Рисунок 2. Делегирование и пересылка

Регрессирование DNS

Регрессирование DNS — функция DNS-клиента Windows. Это не новшество Server 2008 R2 или Windows 7, однако таким образом удается повысить уровень безопасности. С контроллера дочернего домена можно проверить связь с ресурсами в корневом домене, не указывая имя FQDN (то есть связаться с DC1, не вводя DC1.ADcompany.com). То же относится к DC корневого домена; можно успешно проверить связь с DC2 без имени FQDN.

По умолчанию в ходе регрессирования предпринимается попытка преобразовать однокомпонентное имя, добавляя домены из основного суффикса DNS (PDS) клиента. Поэтому компьютер, принадлежащий домену AD.contoso.com, в первую очередь попытается разрешить имя компьютера как DC1.AD.contoso.com, а затем DC1.contoso.com. Попытки разрешить DC1.com не будет, так как уровень регрессирования по умолчанию — 2 (стандартное значение в Windows до появления Server 2008 R2 и Windows 7). В некоторых ситуациях уровень по умолчанию 2 порождает опасения в отношении безопасности, если клиенты DNS пытаются преобразовать полные имена (FQDN) за пределами контроля компании. Например, рассмотрим следующий набор запросов при уровне регрессирования, равном 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. Последний запрос, DC1.co.us, находится вне области контроля компании, и клиент может случайно установить связь с вредоносным компьютером в Интернете.

В Server 2008 R2 и Windows 7 действие по умолчанию — установить уровень регрессирования равным количеству меток в корневом домене леса (FRD), если PDS завершается корневым доменом леса. В данном случае PDS — HR.ADcompany.com, а корневой домен леса — ADcompany.com, поэтому по умолчанию в Server 2008 R2 и Windows 7 регрессирование включено, а уровень для клиентов DNS установлен равным 2. Компания Microsoft выпустила обновление, чтобы изменить подход к регрессированию DNS в Windows Vista, Windows XP и Windows 2000. Дополнительные сведения об обновлении можно найти в статье Microsoft «Postinstallation behavior on client computers after you install the DNS update» по адресу support.microsoft.com/kb/957579.

Порядок просмотра суффиксов DNS

Если добавить в лес третий домен, finance.ADcompany.com, регрессирование DNS может оказаться недостаточным для преобразования однокомпонентных имен ресурсов в HR.ADcompany.com от клиентов в домене FINANCE. Преобразование однокомпонентного имени совершается из домена FINANCE, если попытаться обратиться к ресурсам в домене HR, когда все устройства находятся в одной физической подсети. Это объясняется тем, что Windows выполняет широковещательную передачу для IP-адреса, если не удается успешно преобразовать имя из локального кэша компьютера или настроенного сервера DNS.

Если использовать Nslookup для тестирования разрешения DNS, выясняется, что без просмотра суффиксов DNS необходимо ввести полное имя ресурса, расположенного в домене HR, поскольку Nslookup, как инструмент для тестирования преобразования имен DNS, использует исключительно DNS. Чтобы протестировать DNS с помощью Nslookup, откройте командную строку из меню Start и введите nslookup.

В ответ на приглашение введите полное или однокомпонентное имя, которое нужно преобразовать, и нажмите клавишу Enter. Nslookup выдаст IP-адрес или сообщит о неудачном завершении поиска.

Если разрешение однокомпонентных имен во всех доменах AD имеет большое значение, то можно настроить порядок просмотра суффиксов DNS на всех устройствах, составив список всех основных суффиксов DNS, которые нужно разрешать (например, finance.ADcompany.com, HR.ADcompany.com и ADcompany.com). Если суффикс DNS настроен для клиента DNS, регрессирование DNS автоматически отключается. Порядок просмотра можно настроить вручную (выберите Change adapter settings в центре управления сетями и общим доступом Windows 7) для каждого сетевого адаптера на вкладке DNS в диалоговом окне Advanced TCP/IP Settings для свойств IPv6 и IPv4. Иначе порядок просмотра можно настроить с использованием списка с разделительными запятыми из параметра DNS Suffix Search List в разделе Computer Configuration, Policies, Administrative Templates, Network, DNS Client in Group Policy (для Windows Server 2003, XP и более поздних версий).

Аналогично, если сформировать новую зону DNS, secure.HR.ADcompany.com, на сервере DNS HR с целью создания отдельной зоны для важных ресурсов сервера, защищенных с использованием расширений безопасности DNS (DNSSEC), то необходимо установить порядок просмотра суффикса DNS, чтобы клиенты DNS могли обнаружить ресурсы в новой зоне по однокомпонентному имени. В этом случае требуется новая зона DNS, так как DNSSEC не поддерживает динамические обновления — возможность клиентов хранить записи для автоматического обновления сервера, что является обычным и желательным режимом зон DNS, в которых хранятся записи узлов для клиентских компьютеров.

Как правило, IP-адреса компьютеров серверов не изменяются, поэтому защищенными зонами можно управлять вручную.

Условная пересылка

Кроссдоменные запросы для двух дочерних доменов, finance.ADcompany.com и HR.ADcompany.com, можно разрешать более эффективно, не отправляя рекурсивные запросы в сервер DNS в корневом домене леса, если настроить условную пересылку на серверах DNS в обоих дочерних доменах. Условная пересылка имеет приоритет перед пересылкой на уровне сервера. Ее эффективность выше благодаря возможности передавать запросы к определенным доменным суффиксам на заранее определенный сервер DNS, как показано на рисунке 3.

 

Рисунок 3. Условная пересылка

Сервер DNS в HR.ADcompany.com будет содержать сервер пересылки, который отправляет все запросы для finance.ADcompany.com на основной сервер DNS для домена FINANCE и наоборот. Для настройки условной пересылки откройт

www.osp.ru

Настройка Windows Server 2008 R2. Руководство по развертыванию и администрированию сети на основе выделенного сервера

Пользователь ESET Антон Севостьянов подготовил руководство по развертыванию и администрированию сети на основе выделенного сервера.

Сегодня хочу рассказать о настройке Windows Server 2008 R2 в условиях, приближенных к боевым (то есть в виртуальной среде). Такой подход позволит в домашних условиях протестировать и изучить все возможности данной технологии. В статье рассматриваются следующие вопросы:

  • настройка DNS сервера;
  • установка Active Directory;
  • взаимодействия учетных записей в рабочей группе и в домене;
  • подключение компьютеров к домену;
  • создание доменных пользователей;
  • управление доступом к ресурсам;
  • настройка DHCP сервера;
  • подключение сети к интернет;
  • настройка групповой политики;
Для начала вам понадобится 64-разрядная операционная система Windows и программа управления виртуальными машинами (например, VMWare). Минимальные системные требования: 6 Гб ОЗУ и 70 Гб свободного места на жестком диске. Требования к ресурсам вашего ПК зависят от того, сколько машин будет в виртуальной сети и какие на них установлены ОС. Установка клиентских машин с ОС Windows 7, 8.1 и 10 В нашем примере будет 4 компьютера под управлением Windows Server 2008 R2, 7, 8.1 и 10. Таким образом, 4 Гб оперативной памяти понадобится только для работы виртуального полигона. Начинаем с установки и настройки DNS-сервера. С помощью программы VMWare создаем серверную и клиентские виртуальные машины: Файл \ Новая виртуальная машина \ Выборочный \ Указываем установочный образ системы \ Windows 2008 R2 \ Путь к виртуальной машине \ D:\VirtualMashin\Domain 2008R2\2008R2 \ 1Гб \ Использовать только сеть для узла \ Создать виртуальный диск: 40 Гб, хранить в одном файле \ Готово Затем устанавливаем ОС Windows Server 2008 R2:
  • Запускаем виртуальную машину
  • Открываем BIOS (клавиша F2) и проверяем правильность настроек для загрузки с виртуального привода. Нужно убедиться, что у виртуального привода установлен высший приоритет. Если это не так, меняем соответствующие настройки в BIOS
Аналогичным образом создаем виртуальные машины для клиентских операционных систем. Перед настройкой DNS-сервера, переименовываем его в server, чтобы назначение компьютера в сети было понятно: Мой компьютер \ ПКМ \ Свойства \ Имя компьютера \ Изменить параметры \ Изменить \ server \ ОК \ Перезагрузка Теперь назначаем сетевой карте статический IP-адрес, так как у сервера IP-адрес меняться не должен: Центр управления сетями и общим доступом \ Подключение по локальной сети \ Свойства \ Протокол интернета версии 4 Устанавливаем значения: IP: 192.168.0.1 Mask: 255.255.255.0 Теперь переходим настройке DNS-сервера: Пуск \ Администрирование \ Диспетчер сервера \ Роли \ Добавить роли \ Далее \ DNS-сервер \ Далее \ Далее \ Установить \ Закрыть Далее сконфигурируем DNS-сервер: Пуск \ Администрирование \ Диспетчер сервера \ Роли \ DNS-сервер \ DNS \ Server \ ПКМ \ Настроить DNS \ Создать зоны прямого и обратного просмотра Зона прямого просмотра — преобразование имени в адрес, зона обратного просмотра —– преобразование адреса в имя. Выбираем «Да, создать зону прямого просмотра», затем «Основная зона», то есть зона будет храниться и обновляться на сервере. Дополнительная зона создается в ситуации, когда основная хранится на другом сервере, а на текущем сервере сохраняется копия. Это нужно для распределения нагрузки на основной сервер: Имя зоны: office.local \ Создать новый файл зоны \ Динамическое обновление зоныСоздание файла office.local

Записи в DNS необходимо регулярно обновлять. Если у компьютера изменится IP-адрес, он должен быть изменен в записи, относящийся к доменному имени этого ПК, чтобы другие компьютеры знали, к какому IP-адресу нужно обращаться. Если записи не соответствуют действительности, то компьютер просто не сможет получить доступ к сети.

Существует несколько вариантов динамического обновления зоны DNS:
  • Разрешить только безопасные динамические обновления. Рекомендуется использовать этот способ. Однако опция будет недоступна до создания домена, пока не установлена служба Active Directory.
  • Разрешать любые динамические обновления — эту настройку лучше не использовать, так как данные могут быть недостоверны
  • Запретить динамическое обновление — записи придется обновлять вручную. Выбираем этот способ, пока динамические обновления неактивны. После поднятия домена просто изменяем настройки
В нашем примере сервер будет всего один, поэтому пересылка запросов не потребуется: Серверы пересылки \ Нет, не пересылать запросы \ Готово Надеюсь, статья пригодилась. Пишите замечания в комментариях!

Антон Севостьянов системный администратор, www.sys-team-admin.ru

club.esetnod32.ru