Настройка DNS. Часть I Продолжение темы DNS. Начало смотрите здесь.
Итак...., в предыдущей статье мы установили первый контролер домена, или еще можно сказать что мы подняли сервер до уровня контроллера домена...а это значит что установили Active Directory, так как мы знаем что контроллер домена хранит всю информацию о Active Directory и одновременно с установкой Active Directory установили и DNS сервер.
Давайте теперь пройдемся по его настройкам и в конце посмотрим способы проверки его работоспособности.
Заходим в Пуск/Программы/Администрирование и открываем консоль DNS. Смотрите рисунок 1.
Рисунок 1.
Открытая консоль DNS сервера которого мы настраивали в предыдущей теме показана на рисунке 2.
Рисунок 2.
Как мы видим из рисунка 2 в ходе установки Active Directory создает две зоны. Первая зона это зона нашего корневого домена и в нашем случае это название корневого домена - первого домена первого леса, а именно rk.com. Вторая зона эта зона имеющая имя такого формата "_msdcs.<имя_DNS_леса>", а в нашем случае это _msdcs.rk.com. Как можно заметить прямо из рисунка 2, эти зоны по умолчанию интегрированы в AD.
Если копнуть еще глубже, смотрите рисунок 3, то у нас еще создаются такие каталоги как DomainDnsZones и ForestDnsZones.
Рисунок 3.
Акцентирую, эти каталоги создаются в Active Directory при установки DNS интегрированного с Active Directory. И данные каталоги хранятся в разделе приложений Active Directory. Это не совсем понятно на этом рисунке и это можно удивить через оснастку "ADSF Edit", и приведена на рисунке 4 в основном для любознательных. Пока просто запомните что эти два каталога DomainDnsZones и ForestDnsZones хранятся в разделе приложений в Active Directory. Мы еще к обсуждению этих понятий вернемся.
Рисунок 4.
Зачем я затронул эти два раздела как DomainDnsZones и ForestDnsZones? Да потому что каждый из них связан со своим видом репликации, то есть распространяется каждый раздел по своему.... Сейчас поймете...
Конфигурирование зон
Хотя мы уже установили наши зоны прямого просмотра в прошлой статье мы можем потом вернутся и или проверить или что либо изменить в конфигурации этих зон.
Что бы это сделать мы становимся на интересующей нас зону и нажимая правую кнопку мыши смотрим открывшиеся контекстную меню, рисунок 5.
Рисунок 5.
В этом контекстном меню выбираем "Свойства" и нам откроется картина показанная на рисунке 6.
Рисунок 6.
Из рисунка 6 мы видим 6 вкладок. Пройдемся по ними. На вкладке "Общее"показанная на рисунке 6 мы видим что наша DNS зона работает и это видно возле надписи "Состояние", рядом стоит кнопка "Пауза", и что она делает думаю что объяснять не стоит.
Чуть ниже стоит надпись "Тип" и рядом описывается тип нашей зоны. В нашем случае она интегрирована в AD. Если нам нужно поменять тип зоны то мы жмем кнопку "Изменить", и перед нами появляется картина показанная на рисунке 7.
Рисунок 7.
В открывшимся окне нам предлагается выбрать тип зоны в зависимости от того что нам требуется и показаны типы зон. О типах зон мы уже говорили в прошлых темах поэтому считаю что вы это знаете, а если хотите вспомнить смотрите здесь. Так же здесь мы можем указать что зону надо хранить в Active Directory или нет.
Идем дальше...тут же на этой вкладке "Общее" (рис 6) мы можем изменить область репликации. Если нажмем на кнопку "Изменит" появится такое окно показанная на рисунке 8.
Рисунок 8.
Здесь мы должны выбрать то что нам нужно. Но изменение области репликации возможно лишь в том случае если зона интегрирована в Active Directory. В противном случае у нас такой возможности не будет.
Так вот что бы не забыть совсем, хочу вернутся к нашим двум зонам который создал Мастеру установки Active Directory и показать в чем их разница.
Если мы станем на зону "_msdcs.<имя_DNS_леса>", а в нашем случае это _msdcs.rk.com и войдем в "свойства" а потом на вкладке "Общие" нажмем кнопку "Изменить" относящаяся к репликации мы получим картину показная на рисунке 9, а если сделаем то же самое что описано выше только для зоны корневого домена, а в нашем случае это зона rk.com и сравним их то сразу станет понятно зачем созданы эти две интегрированные зоны в AD, мастером установки Active Directory. Смотрите рисунок 9 и рисунок 10 и сравните их.
Рисунок 9. Рисунок 10.
Так, после того как мы поиграли в "найди различие".... тут мы слегка еще остановимся и необходимо обсудить область распространения содержимого зон. Перечень значений и как их надо понимать приведено в таблице показанной на рисунке 11.
Рисунок 11.
Надеюсь теперь стало понятно назначение этих двух разделов DomainDnsZones и ForestDnsZones которые создаются на DNS сервере интегрированный в Active Directory. То есть зона корневого домена RK.COM будет хранится в разделе DomainDnsZones который раплицируется так как описано выше, а зона _msdcs.rk.com будет хранится в разделе приложений ForestDnsZones и соответственно реплицироватся.
Хочется отметить, а вам желательно запомнить что - раздел приложений Active Directory для DNS создается только в том случае, если мы устанавливаем первый контролер домена в новом лесу с установкой соответственно и интегрированного а AD DNS сервера.
Если вы хотите воспользоваться преимуществами раздела приложений каталога Active Directory для DNS после того, как установили контроллер домена, необходимо вручную создать раздел перед его использованием. Для создания раздела применяется консоль DNS или команда DnsCmd в командной строке.
При использовании консоли DNS щелкните правой кнопкой мыши на имени сервера DNS, в нашем случае это SERVER1 и из открывшегося контекстного меню выберите "Создать используемые по умолчанию разделы каталога приложений..." смотрите рисунок 12.
Рисунок 12.
При использовании инструмента DnsCmd.exe откройте командную строку Cmd.exe (если правильно написать то нужно не командную строку а командный процессор Cmd.exe) в разделе "Выполнить" меню "Пуск" и наберите DnsCmd /? что бы увидеть все параметры данной команды, смотрите рисунок 13.
Рисунок 13.
Наберите в командной строке >dnscmd <имяDNSсервера>/CreateBuiltinDirectoryPartitions/forest. В результате будет создан раздел ForestDnsZones. Чтобы создать раздел DomainDnsZones, используйте в конце этой команды вместо «/forest» параметр «/domain» в качестве последнего параметра в команде. Поскольку эта команда изменяет раздел конфигурации каталога в Active Directory, вы должны входить в систему как член группы Администраторы.
Да!.... забыл сказать что команда DnsCmd при установки операционной системы не устанавливается. Для того что бы ее использовать нам нужно установить ее с загрузочного диска с операционной системой. Для этого заходим на наш компакт диск находим папку "SUPPORT", а в данной папке, папку "TOOLS", и запускаем файл установки дополнительных инструментов под названием "SUPTOOLS.MSI", смотрите рисунок 14.
Рисунок 14. Еще к команде DnsCmd мы вернемся....
И еще....какие преимущества, что нам по сути дают эти два раздела ForestDnsZones и DomainDnsZones в составе DNS сервера хранящиеся в разделе приложений Active Directory. А то что: • Службу DNS, интегрированную с Active Directory, можно использовать на уровне леса, так как раздел приложений уровня леса допускает репликацию данных за пределы домена. Прибегать к обычному переносу зоны DNS для репликации файла с информацией о зоне на DNS-серверы, находящиеся за пределами домена, не требуется. • Репликация уровня домена позволяет уменьшить сетевой трафик. Администратору достаточно указать контроллеры домена с работающей службой DNS, которые должны получить информацию о зоне DNS • Репликация уровня леса позволяет уменьшить сетевой трафик, так как данные DNS больше не реплицируются в глобальный каталог.
Еще на этой вкладке "Общие" есть поле для выбора типа динамического обновления. О динамическом обновлении мы говорили, кто забыл читайте здесь. Тем не менее еще раз остановимся и посмотрим какой у нас выбор. С помощью скажем так переключателя мы можем выбрать следующие механизмы динамического обновления. Смотрите рисунок 15.
Рисунок15.
Выбор "Никакие" (то есть запрет на динамическое обновление) рекомендуется если зона не интегрирована с Active Directory. Выбор "Небезопасные и безопасные" — позволяет обновлять записи ресурса DNS всем клиентам. Разрешить "Только безопасные" динамические обновления, думаю понятно. Но...этот выбор...скажем так.... не совсем уместен если зона интегрирована с Active Directory, потому как мы вправе ограничить список клиентов, которым разрешено выполнять динамические обновления, посредством списков управления доступом. В конечном итоге решает какой механизм динамического обновления выбрать сетевой админ исходя из требований диктуемые конкретно его окружения то есть сетью.
Еще на данной вкладке есть настройка очистки....Я уже говорил об этом но напомню. Механизм динамической регистрации не только регистрирует доменные имена, но так же освобождает их путем их удаления из файла зоны. Если работа системы была завершена некорректно по той или иной причине, к примеру зависла, то такие ресурсные записи могут остается в файле зоны. Или запись не была обновлена на протяжении определенного периода времени. Подобные записи называются устаревшими или фантомами. Наличие таких фантомов в файле зоны не желательно, так как клиенты получают неактуальную информацию. Поэтому DNS сервер имеет механизм очистки (scavenging) от таких устаревших фантомных записей.
Что бы настроить очистку от устаревших записей и используется кнопка "Очистка..." показанная на рисунках 6 и 15. Если ее нажать то открывается окно показное на рисунке 16.
Рисунок 16.
Когда мы говорили о ресурсных записях (и еще будем говорить) то мы знаем, или пока запомним, что ресурсные записи содержат в себе такой атрибут как штамп времени. Пользуясь этим атрибутом из ресурсной записи DNS сервер, на основе настроек, принимает решение об удалении записи из зоны или нет. Вот в этом окне мы и можем указать серверу DNS как обращается с ресурсными записями на основе штампа времени содержащийся в ресурсной записи. К ресурсным записям мы еще вернемся.
С настройкам DNS зоны на вкладке "Общие" мы закончили....В следующих темах мы обсудим остальные способы и механизмы настройки DNS сервера.
Продолжение смотрите здесь
| 
