DNS-серверы необходимы в доменах Active Directory для того, чтобы все члены домена могли разрешать имена компьютеров и служб. В большинстве сетей Windows серверы DNS управляются самими доменными контроллерами Active Directory. Развертывание нового DNS-сервера в такой среде практически не требует усилий, однако администратор должен знать, как настроить DNS в соответствии с требованиями организации.
Развертывание DNS-сервера на контроллере домена
В этой теме мы рассмотрим развертывание и конфигурирование DNS-сервера. Мы займемся конфигурированием свойств и компонентов на стороне сервера, а в главе 3 рассмотрим принципы создания и настройки зон.
Развертывание DNS-сервера на контроллере домена
Доменные службы Active Directory (Active Directory Domain Services, AD DS) обеспечивают унифицированную структуру управления для всех учетных записей и ресурсов в сети Windows, плотно интегрированную с DNS. В Active Directory инфраструктура DNS нужна для локализации таких ресурсов, как контроллеры домена; данные зон DNS можно хранить в базе данных Active Directory.
В домене Active Directory развертывание DNS-сервера, как правило, выполняется на контроллере домена. Развертывание DNS-серверов на контроллерах домена дает дополнительные возможности: безопасность, динамические обновления и репликацию Active Directory среди множества DNS-серверов. Самый лучший способ развертывания DNS-сервера на контроллере домена — установка DNS-сервера одновременно с установкой контроллера домена.
Чтобы назначить сервер контроллером нового или существующего домена, запустите программу Dcpromo.exe. Эта программа вначале устанавливает двоичные файлы доменных служб Active Directory (общие элементы данных для всех доменов Active Directory), а затем запускает мастер установки доменных служб Active Directory (AD DS Installation Wizard). Мастер предлагает указать имя связанной зоны DNS.
ПРИМЕЧАНИЕ: Роль сервера Доменные службы Active Directory
Для установки двоичных файлов доменных служб Active Directory может потребоваться около пяти минут. Поэтому эти файлы AD DS можно установить отдельно перед запуском Dcpromo. Для того чтобы добавить роль сервера Доменные службы Active Directory (Active Directory Domain Services), используется мастер добавления ролей (Add Roles Wizard). Следует отметить, что эта роль сервера не обеспечивает никаких функций, пока не будет запущена программа Dcpromo.
Далее мастер предложит установить DNS-сервер на этом контроллере домена. Эта опция выбрана по умолчанию.
Если выбрать установку DNS-сервера вместе с новым контроллером домена, DNS-сервер и управляемая зона прямого просмотра будут отконфигурированы автоматически. Управлять этими параметрами после завершения работы мастера установки AD DS можно в диспетчере DNS (DNS Manager). Чтобы открыть диспетчер DNS, щелкните кнопку Пуск (Start), подведите указатель к ссылке Администрирование (Administrative Tools) и выберите опцию DNS.
Установка DNS-сервера на автономном сервере или сервере домена
Для работы инфраструктуры разрешения имен DNS-сервер на автономном сервере или сервере-члене домена может потребоваться Active Directory. Мы установим DNS-сервер без использования программы Dcpromo.
Воспользуйтесь мастером добавления ролей (Add Roles Wizard) в диспетчере сервера (Server Manager) или окне Задачи начальной настройки (Initial Configuration Tasks). Затем выберите в мастере роль DNS-сервер (DNS Server) и следуйте инструкциям.
При установке Active Directory отдельно от доменных служб DNS-сервер придется отконфигурировать вручную, чтобы добавить и настроить одну или несколько зон прямого просмотра. Чтобы добавить зону прямого просмотра, в дереве консоли диспетчер DNS (DNS Manager) щелкните правой кнопкой мыши папку Зоны прямого просмотра (Forward Lookup Zones) и примените команду Создать новую зону (New Zone).
Развертывание DNS-сервера на компьютере с ядром сервера Windows Server 2008
DNS-сервер можно установить на компьютере с ядром сервера Windows Server 2008 вместе с доменными службами Active Directory (AD DS) с помощью программы Dcpromo, которая автоматически установит и отконфигурирует DNS-сервер.
Чтобы установить DNS-сервер вместе с контроллером домена на компьютере с ядром сервера Windows Server 2008, запустите команду Dcpromo. Однако на компьютере с ядром сервера мастер недоступен. С помощью команды Dcpromo потребуется установить файл ответов.
Чтобы установить роль Доменные службы Active Directory (Active Directory Domain Services) на компьютере с ядром сервера, в командную строку введите команду dcpromo/unatted:<файл_ответов> и укажите имя файла для программы Dcpromo.exe.
Файл ответов Dcpromo можно создать, запустив программу Dcpromo на другом компьютере с полной установкой Windows Server 2008. На последней странице Сводка (Summary) мастера перед запуском установки можно экспортировать параметры в файл ответов. Затем работу мастера можно отменить и использовать полученный файл ответов с программой Dcpromo на компьютере с ядром сервера.
Чтобы установить DNS-сервер на автономном сервере или члене домена с ядром сервера Windows Server 2008, введите такую команду:
start /w ocsetup DNS-Server-Core-Role
Чтобы удалить роль, введите такую команду:
start /w ocsetup DNS-Server-Core-Role /uninstall
После установки DNS па компьютере с ядром сервера Windows Server 2008 с использованием команды Dcpromo или Start /w ocsetup настройку и управление DNS-сервером можно выполнять, подключившись к нему через диспетчер DNS на другом компьютере.
Чтобы в диспетчере DNS подключиться к еще одному серверу, щелкните правой кнопкой мыши корень (имя сервера) в дереве консоли диспетчера DNS и примените команду Подключение к DNS-серверу (Connect To DNS Server).
Настройка кэширования DNS-сервера
Все DNS-серверы включают кэш ответов на запросы. Хотя изначально DNS- сервер не содержит котированных данных, он получает их, обслуживая клиентские запросы. Когда клиент запрашивает разрешение имен на DNS-сервере, сервер вначале проверяет свой кэш для ответа па запрос. Если сервер может ответить на запрос с помощью записей в локальном кэше, ответ будет выполнен намного быстрее.
Котированные записи хранятся в кэше сервера до истечения времени жизни датаграммы TTL, перезапуска службы DNS-сервер (DNS Server) или очистки кэша вручную.
Серверы кэширования не управляют зонами и не являются приоритетными для отдельных доменов. Тем не менее, в основу некоторых сетевых сценариев положена доступность кэша DNS-сервера, который совместно используется клиентами.
Например, если сеть содержит филиал с каналом медленной глобальной сети WAN (Wide Area Network) между сайтами, сервер кэширования может ускорить запросы разрешения имен, поскольку после создания кэша снизится объем трафика через канал WAN. Запросы DNS разрешаются быстрее, в результате чего может повыситься производительность сетевых приложений и других компонентов. Кроме того, сервер кэширования не выполняет трансфер зон, который требует немало сетевых ресурсов в средах WAN. Сервер кэширования DNS можно использовать на сайте, где требуется локальное функционирование DNS и нежелательно администрирование доменов или зон.
По умолчанию служба DNS-сервер выполняет роль сервера кэширования.Серверы кэширования практически не требуют настройки.
Для того чтобы установить сервер кэширования DNS, выполните следующие действия.
1. Установите на компьютере роль DNS-сервер.
2. Не создавайте зоны.
3. Проверьте конфигурацию или корректность обновления корневых ссылок сервера.
Настройка свойств сервера
В диалоговом окне свойств DNS-сервера можно конфигурировать параметры DNS-сервера и управляемых им зон. Чтобы открыть это диалоговое окно, в диспетчере DNS щелкните правой кнопкой мыши значок DNS-сервера, который требуется отконфигурировать, и примените команду Свойства (Properties).
Вкладка Интерфейсы
Вкладка Интерфейсы (Interfaces) позволяет указать IP-адреса локального компьютера, на которых сервер должен прослушивать запросы DNS. Например, если локальный сервер является многосетевым (содержит несколько сетевых адаптеров) и использует разные адреса для локальной сети и для подключения к Интернету, DNS-серверу можно запретить обслуживание запросов DNS с публичного интерфейса. Для этого укажите DNS-серверу прослушивать только внутренние IP-адреса компьютера.
Вкладка Корневые ссылки
Вкладка Корневые ссылки (Root Hints) содержит копию данных файла WINDOWS\System32\Dns\Cache.dns. Для DNS-серверов, отвечающих на запросы имен Интернета, эти данные не требуется модифицировать. Однако при настройке корневого DNS-сервера (с именем «.») для частной сети нужно удалить весь файл Cache.dns. (Когда DNS-сервер управляет корневым сервером, вкладка Корневые ссылки недоступна)
ПРИМЕЧАНИЕ: Обновление списка корневых серверов
Каждые несколько лет список корневых серверов в Интернете модифицируется. Поскольку файл Cache.dns уже содержит множество возможных корневых серверов, в модификации файла корневых ссылок сразу после таких изменений нет необходимости. Если же вы хотите проанализировать доступность новых корневых серверов, обновите соответствующим образом корневые ссылки.
Вкладка Пересылка
Вкладка Пересылка (Forwarders) позволяет конфигурировать локальный DNS-сервер для пересылки принимаемых запросов DNS на вышестоящие DNS-серверы, которые называются серверами пересылки. С помощью этой вкладки можно указать IP-адреса вышестоящих DNS-серверов, на которые будут пересылаться запросы, если локальный DNS-сервер не может найти ответ в своем кэше или данных зоны. Например, запросы, которые не может разрешить локальный сервер, будут пересылаться DNS-серверу по адресу 192.168.0.157. При получении и пересылке запроса от внутреннего клиента локальный сервер пересылки получает ответ па запрос с адреса 192.168.0.157 и передает этот ответ запрашивающему клиенту.
DNS-сервер, настроенный для пересылки, выполнит ее только в том случае, если не сможет разрешить запрос с помощью своих приоритетных (данные основной или вторичной зоны) или котированных данных.
Использование пересылки
В некоторых ситуациях сетевые администраторы не хотят, чтобы DNS-серверы напрямую связывались с внешними серверами. Например, если организация подключена к Интернету через медленное соединение, производительность разрешения имей можно оптимизировать, туннелируя все запросы DNS через один сервер пересылки, как показано на рисунке ниже. В этом случае кэш сервера пересылки DNS (транзитного DNS-сервера) получает все возможности роста, что уменьшит количество внешних запросов.
Еще одна причина пересылки состоит в том, чтобы позволить клиентам и серверам DNS в периметре брандмауэра безопасно разрешать внешние имена. Для того чтобы внутренний DNS-сервер или клиент мог связываться с внешними DNS-серверами, выполняя итеративные запросы, на уровне брандмауэра должны быть открыты порты, используемые для коммуникаций со всеми внешними серверами. Настроив DNS-сервер в периметре брандмауэра для пересылки внешних запросов на один DNS-сервер пересылки за пределами брандмауэра и открыв порты только для этого сервера пересылки, вы сможете разрешать имена, не отображая свою сеть для внешних серверов. Такая схема изображена на втором рисунке.
Серверы пересылки DNS используются в иерархии леса Active Directory. В структуре леса Active Directory с множеством доменов делегирование DNS позволяет клиентским запросам в родительских доменах разрешать имена ресурсов дочерних доменов (субдоменов). Однако отсутствует встроенный механизм, который позволил бы клиентам в дочерних доменах разрешать запросы имен в родительских доменах. Для включения этой функции DNS-серверы дочерних доменов в структуре леса конфигурируют для пересылки неразрешенных запросов на DNS-сервер или серверы корневого домена леса.
Условная пересылка
Этот термин описывает конфигурацию DNS-сервера, где запросы конкретных доменов перенаправляются на конкретные DNS-серверы.
Один из сценариев условной пересылки состоит в объединении двух отдельных сетей. Предположим, компании Contoso и Fabrikam имеют отдельные сети с доменами Active Directory. После объединения компаний для подключения к частным сетям используется арендованный канал 128 кбит/с. Чтобы клиенты в каждой компании могли разрешать друг другу запросы имен в сетях, на DNS- серверах обоих доменов настраивается условная пересылка. Запросы разрешения имен в домене компании-партнера будут пересылаться на DNS-сервер в этом домене. Все запросы Интернета пересылаются на вышестоящий DNS-сервер за пределами брандмауэра. Этот сценарий показан на рисунке далее.
Отметим, что условная пересылка — не единственный способ разрешения имен в этом сценарии объединения сетей. Вы также можете отконфигурировать дополнительные зоны и зоны-заглушки, описанные в главе 3. Эти типы зон обеспечивают ту же службу разрешения имен, что и условная пересылка. Однако условная пересылка сводит к минимуму трафик трансфера зон и обеспечивает постоянное обновление данных. Кроме того, ее легко конфигурировать и поддерживать.
Чтобы настроить условную пересылку для домена, нужно использовать не диалоговое окно свойств DNS-сервера, а контейнер Серверы условной пересылки (Conditional Forwarding) в дереве консоли диспетчера DNS. Чтобы добавить сервер пересылки, щелкните правой кнопкой мыши контейнер Серверы условной пересылки и примените команду Создать условную пересылку (New Conditional Forwarder).
Затем в открывшемся диалоговом окне Создать сервер условной пересылки (New Conditional Forwarder) укажите имя домена, для которого должны пересылаться запросы DNS, а также адрес связанного DNS-сервера.
Читайте следующую тему: "Настройка параметров DNS"
Читайте следующую тему: "Настройка параметров DNS"
Комментариев нет:
Отправить комментарий