Как создать dns сервер на windows server 2008

В инструкции описан процесс установки и настройки DNS сервера для Windows Server 2008, описаны методы проверки работоспособности DNS сервера.

DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.

DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.

Настройка сетевого адаптера для DNS-сервера

Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.

После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:

32_screenshot_9_2

Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.

Далее предстоит проделать цепочку действий:

  • Необходимо нажать правой клавишей мыши по значку сети в системном трее, в выпадающем меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть ссылку Изменение параметров адаптера:

10_screenshot_81

  • Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
  • В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
  • Заполнить соответствующие поля необходимыми данными:

73_screenshot_31

Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].

Установка роли DNS-сервера

Для установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.

  • В левой части окна Диспетчера сервера откройте раздел Роли, после чего в правой части окна отобразится команда Добавить Роли:

63_screenshot_13_2

  • Откроется окно Мастера, в котором рекомендуют убедиться что:

1. Учётная запись администратора защищена надёжным паролем.

2. Настроены сетевые параметры, такие как статические IP-адреса.

3. Установлены новейшие обновления безопасности из центра обновления Windows.

  • Убедившись, что все условия выполнены, нажмите Далее;
  • Отметьте чек-боксом роль DNS-сервер и перейдите Далее:

85_screenshot_218

  • Прочитайте информацию и нажмите Далее:

66_screenshot_228

  • Убедитесь, что выбор сделан правильно, и подтвердите нажатием кнопки Установить:

5_screenshot_238

  • Дождитесь завершения установки и закройте Мастер установки:

1_screenshot_258

Создание зон прямого и обратного просмотра

Доменная зона — совокупность доменных имён в пределах конкретного домена.

Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.

Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.

Создание зон и управление ими осуществляется при помощи Диспетчера DNS.

Данный инструмент открывается из навигационного дерева Диспетчера Сервера:

86_screenshot_4

Создание зоны прямого просмотра

  • Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:

67_screenshot_2612

  • Откроется окно Мастера с приветствием, нажмите Далее:

7_screenshot_2712

  • Из предложенных вариантов выберите «Основная зона» и перейдите Далее:

84_screenshot_2812

  • Укажите имя зоны и нажмите Далее:

71_screenshot_2912-1

  • При необходимости поменяйте название будущего файла зоны и нажмите Далее:

68_screenshot_3012

  • Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

81_screenshot_3112

  • Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

60_screenshot_3212

Создание зоны обратного просмотра

  • Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:

4_screenshot_3312

  • Выберите тип «Основная Зона», перейдите Далее:

87_screenshot_3412

  • Выберите назначение для адресов IPv4, нажмите Далее:

15_screenshot_3512

  • Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:

84_screenshot_3612

  • При необходимости поменяйте название будущего файла зоны и перейдите Далее:

15_screenshot_3712

  • Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:

27_screenshot_3812

  • Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:

43_screenshot_3912

Создание A-записи

Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.

Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.

Запись A — запись позволяющая по доменному имени узнать IP-адрес.

Запись PTR — запись обратная A записи.

  • В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:

96_screenshot_42

  • Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:

47_screenshot_43

Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.

  • Также можно добавить записи для других серверов:

93_screenshot_44

  • Добавив все необходимые узлы, нажмите Готово.

Проверка

  • Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):

61_screenshot_45

48_screenshot_46

  • Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:

15_screenshot_47

Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.

Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:

  • Запрос по домену;
  • Запрос по IP-адресу:

21_screenshot_48

В примере получены подходящие ответы по обоим запросам.

  • Можно попробовать отправить запрос на какой-нибудь внешний ресурс:

5_screenshot_49

В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.

Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:

63_screenshot_50

Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

220140
Минск
ул. Домбровская, д. 9

+375 (173) 88-72-49

700
300

ООО «ИТГЛОБАЛКОМ БЕЛ»

В данном руководстве подробно описан и продемонстрирован процесс настройки DNS-сервера на Windows Server 2008 R2.

Для настройки DNS-сервера на Windows Server 2008 R2 потребуются:

1. Компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» );

2. Установленная и настроенная роль Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2 (О том как установить Active Directory Domain Services можно прочитать в данной статье: «Установка контроллера домена Active Directory в Windows Server 2008 R2» ).

.

Порядок настройки DNS-сервера на Windows Server 2008 R2

1. Откройте окно диспетчера сервера, затем разверните последовательно разверните узлы Роли, DNS-сервер и DNS, после чего щелкните на имени сервера DNS (прим. в данном руководстве имя WIN2008R2DC) (Рис.1).

Рис.1

.

2. В меню Действие выберите пункт Настроить DNS-сервер… (Рис.2).

Рис.2

.

3. На странице приветствия мастера настройки DNS-сервера щелкните на кнопке Далее (Рис.3).

Рис.3

.

4. Выберите пункт Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей) и щелкните на кнопке Далее (Рис.4).

Рис.4

.

5. Выберите пункт Да, создать зону прямого просмотра сейчас (рекомендуется), затем нажмите Далее (Рис.5).

Рис.5

.

6. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.6).

Рис.6

.

7. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.7).

Рис.7

.

8. Введите имя зоны (прим. в данном руководстве используется имя example.local), затем нажмите Далее (Рис.8).

Рис.8

.

9. Выберите нужный тип динамического обновления Разрешить только безопасные динамические обновления, либо Запретить динамические обновления, затем нажмите Далее (Рис.9).

Рис.9

.

10. Выберите пункт Да, создать зону обратного просмотра сейчас и нажмите Далее (Рис.10).

Рис.10

.

11. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.11).

Рис.11

.

12. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.12).

Рис.12

.

13. Выберите пункт Зона обратного просмотра IPv4, затем нажмите Далее (Рис.13).

Рис.13

.

14. Введите идентификатор сети для зоны обратного просмотра и нажмите Далее (прим. как правило, в качестве сетевого идентификатора вводится первый набор октетов из IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса С 192.168.0.0/24, то в качестве сетевого идентификатора могут быть введено значение 192.168.0.) (Рис.14).

Рис.14

.

15. Выберите Запретить динамические обновления, затем нажмите Далее (Рис.15).

Рис.15

.

16. В настройках пересылки выберите пункт Нет, не пересылать запросы, затем нажмите Далее (Рис.16).

Рис.16

.

17. Для сохранения выбранных параметров настройки нажмите Готово (Рис.17).

Рис.17

.

Настройка DNS-сервера в Windows Server 2008 R2 завершена!

.

Обновлено 24.11.2018

dns logo

И всех приветствую вновь на страницах своего блога Pyatilistnik.org. В первой части мы с вами установили DNS сервер, теперь нужно понять, как его настроить и как он работает. Мы поговорим про DNS зоны, каких видов они бывают и как их правильно настроить для корректной работы в вашей инфраструктуре. Напоминаю, что данную роль я бы сравнил с кровеносной системой человека, которая разносит информацию по всему организму.

Создание основной и дополнительной зоны в оснастке DNS

Напомню, что в моем примере у меня есть тестовый домен contoso.com DNS в сети является контролер домена, и нам нужно, чтобы наш новый DNS сервер (который не является контроллером домена) смог быть дополнительным DNS и держателем зоны contoso.com. Открываем DNS оснастку на standalone сервере, в моем примере это сервер vcenter.

Как настроить DNS сервер в windows server 2008R2-01

Как настроить DNS сервер в windows server 2008R2-01

Видим, что теперь можно настроить.

Как настроить DNS сервер в windows server 2008R2-02

Как настроить DNS сервер в windows server 2008R2-02

Выбираем зону прямого просмотра, правый клик-свойства

Как настроить DNS сервер в windows server 2008R2-03

Как настроить DNS сервер в windows server 2008R2-03

В мастере жмем далее

Как настроить DNS сервер в windows server 2008R2-04

Как настроить DNS сервер в windows server 2008R2-04

Теперь на странице мастера мы видим возможные варианты зон:

  • Основная зона DNS
  • Дополнительная зона
  • Зона-заглушка

Как настроить DNS сервер в windows server 2008R2-05

Как настроить DNS сервер в windows server 2008R2-05

Основная зона

Если зона, хранящаяся на DNS-сервере, является основной, DNS-сервер становится основным источником сведений об этой зоне — он хранит главную копию данных зоны в локальном файле или в доменных службах Active Directory. Если зона хранится в файле, файл основной зоны называется имя_зоны.dns и размещается в папке сервера %windir%System32Dns.

Сначала создадим основную зону. Щелкаем далее.

Как настроить DNS сервер в windows server 2008R2-05

Как настроить DNS сервер в windows server 2008R2-05

Пишем название зоны contoso.com

Как настроить DNS сервер в windows server 2008R2-06

Как настроить DNS сервер в windows server 2008R2-06

Создать новый файл, если бы у вас был уже файл его можно было бы использовать.

Как настроить DNS сервер в windows server 2008R2-07

Как настроить DNS сервер в windows server 2008R2-07

Запрещаем динамические обновления в целях безопасности.

Как настроить DNS сервер в windows server 2008R2-08

Как настроить DNS сервер в windows server 2008R2-08

Готово

Как настроить DNS сервер в windows server 2008R2-09

Как настроить DNS сервер в windows server 2008R2-09

Теперь проверим создался ли наш файлик. Идем c:windowssystem32dns

Как настроить DNS сервер в windows server 2008R2-10

Как настроить DNS сервер в windows server 2008R2-10

Файл contoso.dns.com можно открыть любым текстовым редактором.

Как настроить DNS сервер в windows server 2008R2-11

Как настроить DNS сервер в windows server 2008R2-11

Видим наши записи

Как настроить DNS сервер в windows server 2008R2-12

Как настроить DNS сервер в windows server 2008R2-12

Проблема одиночных DNS домене т.е. те которые установлены не совместно с AD, в том что  сразу с DNS сервера, который находится на DC зону среплицировать не получиться.

Создадим дополнительную зону DNS

Удаляем созданную до этого зону и выбираем создать новую

Как настроить DNS сервер в windows server 2008R2-13

Как настроить DNS сервер в windows server 2008R2-13

так же через клик по контейнеру «Зоны прямого просмотра»

Как настроить DNS сервер в windows server 2008R2-03

Как настроить DNS сервер в windows server 2008R2-03

На первом окне мастера настройки дополнительной зоны, просто нажимаем далее.

Как настроить DNS сервер в windows server 2008R2-04

Как настроить DNS сервер в windows server 2008R2-04

Выбираем дополнительная зона. Если зона, хранящаяся на DNS-сервере, является дополнительной, DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который будет обеспечивать этот сервер обновленными данными о зоне. Так как дополнительная зона является копией основной зоной, хранящейся на другом сервере, она не может быть размещена в доменных службах Active Directory.

Как настроить DNS сервер в windows server 2008R2-14

Как настроить DNS сервер в windows server 2008R2-14

Пишем название зоны

Как настроить DNS сервер в windows server 2008R2-15

Как настроить DNS сервер в windows server 2008R2-15

Пишем имя DNS сервера, который эту зону даст среплицировать на этот DNS.

Как настроить DNS сервер в windows server 2008R2-17

Как настроить DNS сервер в windows server 2008R2-17

Если все хорошо, то он получит зеленый статус.

Как настроить DNS сервер в windows server 2008R2-18

Как настроить DNS сервер в windows server 2008R2-18

Готово.

Как настроить DNS сервер в windows server 2008R2-19

Как настроить DNS сервер в windows server 2008R2-19

Как видим зона создалась, но не среплицировалась, и это правильно с точки зрения безопасности. В следующей части мы настроим сервер dc на репликацию с дополнительной зоной. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.

Опубликовано
⏰ 28.06.2019

DNS-сервер в Windows Server 2008

что посмотреть

Здравствуйте, уважаемые читатели. Сегодня у нас тема: «DNS-сервер в Windows Server 2008». DNS-сервер позволяет находить необходимые ресурсы в сети, по их доменному имени. В рамках этой статьи, мы с Вами добавим роль, а так же, настроим зоны прямого, и обратного просмотра.

Установка DNS-сервера в Windows Server 2008

Подготовительные действия.

Сначала убеждаемся, что у Вас полностью настроен сетевой адаптер. (Ip адрес, маска подсети, основной шлюз, DNS-сервера)

  • Заходим в свойства системы, и кликаем по ссылке «Изменить параметры».
свойства системы
  • В открывшемся окне, жмём на «Изменить».
DNS-сервер в Windows Server 2008
  • Во вновь открывшемся окне, даём адекватное имя Вашему серверу (на Ваше усмотрение), и жмём «Дополнительно».
изменение имени компьютера
  • В появившемся окне пишем основной суффикс, другими словами имя домена Вашей сети.
  • Жмём «ОК».
dns-суффикс компьютера
  • В предыдущем окне, тоже жмём «ОК».
настройки закончены
  • Появляется сообщение системы, что необходимо перезагрузить компьютер.
  • Жмём «ОК».
  • Закрываем все окна, и перезагружаем компьютер.
нужно перезагрузить компьютер

Добавление роли DNS-сервера

  • После перезагрузки, открываем диспетчер устройств, и заходим в «Добавить роли».

диспетчер сервера

  • Пропускаем памятку мастера.
памятка мастера
  • В окне выбора ролей, выбираем DNS-сервер. И жмём «Далее».
выбор роли DNS-сервера
  • Страница знакомства с DNS-сервером, жмём «Далее».
описание DNS-сервера
  • Появляется окно подтверждения выбранных элементов.
  • Жмём «Установить».
подтверждение выбранных элементов
  • Ждём завершения установки.
  • По завершении, закрываем окно мастера.
результаты установки

Создание новых зон

  • В диспетчере сервера, находим раздел «DNS-сервер», заходим в него, и кликаем правой кнопкой мышки на нашем сервере.
  • В выпадающем меню, выбираем «Создать новую зону».
создание новой зоны шаг 1
  • Открывается мастер, жмём «Далее».
создание новой зоны шаг 2

Выбор типа создаваемой зоны:

  1. Основная.
  2. Дополнительная.
  3. Зона заглушка.
  • Наш сервер будет, как бы корневым. Я выбираю «Основная».
  • Жмём «Далее».
создание новой зоны шаг 3

Теперь нужно выбрать, какую зону мы будем создавать:

  1. Зона прямого просмотра.
  2. Зона обратного просмотра.

Грубо говоря, зона прямого просмотра, преобразует имя в ip адрес, а зона обратного просмотра, ip адрес в имя.

  • Первой мы создадим «Зону прямого просмотра», выбираем и жмём «Далее».
создание новой зоны шаг 4

Окно в котором можно задать имя зоны.

  • Задаём имя, и жмём «Далее».
создание новой зоны шаг 5

На следующем шаге, нужно создать файл зоны:

  1. Создать новый файл.
  2. Скопировать имеющийся файл.
  • Выбираем «Создать новый», и жмём «Далее».
создание новой зоны шаг 6

Динамическое обновление.

  1. Разрешить только безопасные обновления.
  2. Разрешить любые обновления.
  3. Запретить динамические обновления.

Нам не нужно, чтобы клиенты сами регистрировались, и вносили обновления.

  • Выбираем «Запретить динамические обновления».
  • Жмём «Далее».
создание новой зоны шаг 7
  • Создание зоны завершено, закрываем мастер.
создание новой зоны шаг 8
  • Теперь нам нужно создать зону обратного просмотра.

Заходим в диспетчер сервера, и действуем аналогично тому, как действовали перед этим.

  • Выбираем «Создать новую зону», «Основную», но на выборе типа, выбираем «Зона обратного просмотра».
зона обратного просмотра шаг 1
  • Следующее, окно выбора протокола.
  • Выбираем «Зона обратного просмотра IPv4».
  • Жмём «Далее».
зона обратного просмотра шаг 2
  • На следующем шаге, указываем идентификатор сети.
  • И жмём «Далее».
зона обратного просмотра шаг 3

Шаг создания файла зоны.

  • Выбираем «Создать новый файл».
  • Жмём «Далее».
зона обратного просмотра шаг 4

Окно настройки динамического обновления.

Опять же, нам не нужно, чтобы клиенты сами вносили обновления.

  • Выбираем «Запретить динамические обновления».
  • Жмём «Далее».
зона обратного просмотра шаг 5
  • Закрываем мастер создания зон.
зона обратного просмотра шаг 6

Проверка создания зон

  • Проверяем в диспетчере сервера.
  • В зонах обратного просмотра, появилась созданная нами зона.
проверка создания зоны обратного просмотра
  • И в зонах прямого просмотра, тоже появилась созданная нами зона.
  • Всё в норме.
проверка создания зоны прямого просмотра

Сегодня мы рассмотрели тему: «DNS-сервер в Windows Server 2008». Мы добавили роль и создали две зоны, зону прямого просмотра, и зону обратного просмотра.

Надеюсь статья была вам полезна. До встречи в новых статьях.

С уважением, Андрей Бондаренко.


Видео на тему «DNS-сервер в Windows Server 2008»:

✧✧✧

Поблагодарить автора за полезную статью:

wm-logo
WMZ-кошелёк = Z667041230317

что посмотреть


✧ Рубрика «Windows server»

✧ Комментарии: нет


Похожие записи


Первоначальную настройку windows server 2008 Ent делал на виртуальной машине (VB 4.2):

установка

Целью было научиться устанавливать DNS сервер,поднять контроллер домена (установка Active Directory) и ввести клиентскую машину (windows 7 pro) в домен.
Начальные настройки — на виртуальной машине в качестве сетевого адаптера мной был выбрал «Виртуальный адаптер хоста», и на сервере ВРУЧНУЮ прописан статический адрес (это важно для настройки dns сервера).Так же нужно в Центре управления сетями и общим доступом отключен Доступ с парольной защитой и открыт общий доступ к файлам (эти действия зависят от ваших представлений о безопасности):

сеть сервера

Перейдем у установке ролей (предварительно советую изменить имя сервера на читабельное,потому что так будет удобней тестить dns сервер). Сразу отмечу, в сети есть много статей,в которых настраивается сначала dns и только потом поднимается контроллер домена. AD не будет работать без dns сервера,обратите на это внимание! Я делал все через установку и настройку AD, частью которой является установка dns сервера. Мастер установки удобный и понятный,на определенном шаге сам предложит установить dns сервер.

1. испетчер сервера — Роли — Добавить роль — Доменные службы Active Directory и делаем установку. Когда роль будет установлена, перезагружаем машину:

установка АД

2.Пуск — Выполнить — dcpromo.exe и открываем мастер настройки:

Мастер настройки AD

3.Выбираем Создать новый домен в новом лесу.
4.Вводим полное доменное имя корневого домена леса (FQDN): licey.local (чтобы оно минимум было из 2 составляющих):

liceylocal

5. Режим работы леса выбираем Windows server 2008.

6. Обязательно оставляем галочку напротив DNS-сервер:

dns

7.В выпадающем окошке смело нажимаем ДА, и переходим у выбору расположения для баз данных, файлов журналов и SYSVOL (по желанию меняем путь).

8.Устанавливаем пароль администратора для режима восстановления служб каталогов и заканчиваем установку.  

По желанию на вкладке Сводка можно сделать экспорт выбранных параметров с выбранными настройками.Обязательно перезагружаемся!

После перезагрузки входим уже в домен (чтобы нажать Ctrl+Alt+Del в VB нужно нажать RigthCtrl+Del):

liceylocal2

Смотрим настройки DNS сервера:

настройки днс

На клиентской машине, вручную прописывает адрес 192.168.0.2, маску 255.255.255.0 и предпочитаемый dns сервер 192.168.0.1,т.е. адрес нашего настроенного сервера имен. В реально работающей сети нужно будет поднять DHCP сервер,который автоматически будет раздавать перечисленные выше параметры.

Далее на клиентской машине — Пуск — Свойства системы — Изменить параметры — Выбираем Домен — вводим название домена licey.local. В выпадающем окошке,которое просит логин и пароль вводим данные учетной записи администратора которая расположена на сервере! И получаем подтверждение о входе в домен. При этом компьютер-клиент автоматически появится в списке Active-Directory Пользователи и компьютеры в группе Computers. Далее создаем учетную запись на сервере и задаем ей пароль. По умолчанию пользователь будет помещен в группу «Пользователи домена»:

user

Обратите внимание,что сервер очень требовательно относится к созданию паролей и проверяет их на количество введенных символов (не менее 6), наличия большого/маленького регистра и специальных символов. Щелкнув на пользователе ПКМ можно изменять его многочисленные свойства.Под логином shkonda@licey.local можно будет заходить с любого компьютера который состоит в домене. Чтобы привязать учетную запись к ПК, нужно в свойства ПК выбрать вкладку Управляется и выбрать пользователя,который будет им управлять.

управляется

На этом закончим основную настройку DNS+AD.

Тестирование работы dns сервера

Способ №1

Для тестирования работы dns сервера можно применять 2 утилиты командной строки — nslookup и dcdiag. Исчерпывающую информацию по пользованию каждой можно найти в сети. Я пользовался dcdiag,т.к. она показывает не только информацию о днс но и в общем о сервере:

dcdiag

Если в строках ForestDnsZone и DomainDnsZone стоит статус «Проверка пройдена»,значит днс сервер работает нормально.

Способ №2

Т.к. ДНС это аспределенная система для получения информации о доменах, система для получения IP адреса по имени хоста, то работу ДНС можно проверить пингом машины по имени. Результаты будут примерно следующие:
Пинг сервера:

пинг сервера

пинг клиента

Если dns сервер работает не верно или вообще не работает, то придется вручную создать зону прямого просмотра, т.к. именно она отвечает за преобразование доменного имени в IP адрес. При необходимости можно создать зону обратного просмотра (противоположность первой) и сервер пересылки. 

В глобальном журнале днс сервера можно найти информацию ою ошибках и предупреждениях. Не пугайтесь предупреждений если они не критичны, сервер будет продолжать работать.
На этом пока все. Надеюсь это статья поможет начинающим найти то,что они долго искали. Также могу посоветовать хороший форум, Тут http://sysadminz.ru/ сегда помогут

What is DNS?

DNS stands for Domain Name System. To know more about DNS visit Wikipedia DNS. In short DNS maps complex 32-bit IP addresses to human readable and rememberable domain names i.e. gopalthorve.com. DNS consists of a very large globally distributed database which hold zones for domains and consequently these zones hold various resource records of the domain. As we all know every device connected with the global internet is identified by a logical 32-bit number. This IP address is further divided into 4 octal numbers separated by dot (.) i.e. 192.168.0.1 (dotted decimal format). It is DNS due to which we don’t need to remember those complex 32-bit IP addresses. Say thanks to DNS due to which we only need to enter say www.wordpress.com and DNS takes care of resolving this name to respective IP address. To know how DNS Server works and for detailed description about each and every term associated with DNS Server you may find DNS on Windows Server 2003 interesting. I learned a lot of stuffs about DNS Server from DNS and BIND (5th Edition).

Install DNS Server in Windows Server 2008

  • Launch Server Manager by clicking Start > Administrative Tools > Server Manager. Click Roles and then Add Roles.

Install DNS Server in Windows Server 2008 - Step 1

  • Select DNS Server from the list and then click Next button.

Install DNS Server in Windows Server 2008 - Step 2

  • A little introduction to DNS Server and a few useful links for further details as shown in below image. Click Next to move on.

Install DNS Server in Windows Server 2008 - Step 3

  • Click Install button.

Install DNS Server in Windows Server 2008 - Step 4

  • DNS Server has been installed successfully as per below snapshot. Click Close to finish the Add Roles Wizard.

Install DNS Server in Windows Server 2008 - Step 5

Creating Forward Lookup Zone

  • Launch DNS Manager by clicking Start > Administrative Tools > DNS or type dnsmgmt.msc in Run window (Press Windows Key + R) and press Enter.
  • Expand Server (e.g. WIN2008) > Right click Forward Lookup Zones > New Zone which will launch New Zone wizard.

Configure DNS Server in Windows Server 2008 - Step 1

  •  Click Next on Welcome to the New Zone wizard.

Configure DNS Server in Windows Server 2008 - Step 2

  • Since this is our primary DNS Server for the zone select Primary zone. Then move on by clicking Next button.

Configure DNS Server in Windows Server 2008 - Step 3

  • Enter the domain name for which you want to create the zone for e.g. gopalthorve.com. Say you want to build up DNS Server for your own Windows Server 2008 based hosting server then enter your registered domain name here otherwise if it is for intranet only it can be anything (domain naming conventions must be followed). The zone can also be created for subdomain e.g. us.gopalthorve.com.

Configure DNS Server in Windows Server 2008 - Step 4

  •  Zone File Options:
    • Create a new file with this file name: Enter the physical zone file name where all zone information will be stored for this domain/subdomain. This file will be created under %systemroot%system32dns. Follow standard zone file naming convention e.g. gopalthorve.com.dns.
    • Use this existing file: If you already have a zone file for this domain/subdomain then select this option and specify zone file name here. You need to put this zone file under %systemroot%system32dns folder

Configure DNS Server in Windows Server 2008 - Step 5

  • Dynamic Update: Here you can specify if this DNS zone will accept secure, nonsecure or no dynamic updates from client.
    • Allow only secure dynamic updates (recommended for Active Directory): This is available only for Active Directory integrated zones. This setting allows Active Directory client machines to register their name as resource records pointing towards their dynamic/static IP address.
    • Allow both nonsecure and secure dynamic updates: This should never be enabled because it allows all clients secure and nonsecure both to update from all clients.
    • Do not allow dynamic updates: This should be the preferred setting if you are setting up this zone for your own hosting server. This denies dynamic updates to zone resource records from all client and you will need to change them manually whenever required. We will choose this option and then move on.

 Configure DNS Server in Windows Server 2008 : Dynamic Update

  • Forward lookup zone has been created successfully for gopalthorve.com and shows the summary as in below image. Click Finish to close the New Zone Wizard.

Configure DNS Server in Windows Server 2008 - Zone Created

Configure Forward Lookup Zone

  • Right click on gopalthorve.com (forward lookup zone recently created) and then click Properties.

Configure DNS Server in Windows Server 2008 - Name Servers

  • Name Servers: Here we can configure nameservers for the zone gopalthorve.com.
    • Remove the default entry from the list.
    • Click Add… button to add new nameserver record.
    • Tye fully qualified domain name (FQDN) of the nameserver for your domain. I am configuring my own live DNS Server and hence I entered ns1.gopalthorve.com.
    • Enter the IP addresses to which ns1.gopalthorve.com will resolve to. I am entering private IP address of my computer here for example purpose only. Please replace it by your Public IP Address allotted by your ISP or dedicated or VPS hosting provider.
    • Similarly create another nameserver record. I created it as ns2.gopalthorve.com pointing to 192.168.0.99 (Please replace it by your Public IP Address allotted by your ISP or dedicated or VPS hosting provider.). Second nameserver record is required because your domain name registrar will require atleast two nameservers for pointing your domain to the DNS server we are configuring. We are configuring both nameservers pointing to the same DNS Server configured with multiple IP Addresses. (ns1.gopalthorve.com >> 192.168.0.98 and ns2.gopalthorve.com >> 192.168.0.99).
    • Click Apply to save changes.

 Configure DNS Server in Windows Server 2008 - New Name Server 1

Configure DNS Server in Windows Server 2008 - New Name Server 2

  • Start of Authority (SOA)
    • Serial number: This is the serial number for the zone. This should be set to YYYYMMDDNN where YYYY is the year, MM is the month, DD is the day and NN is the count is the count indiciating how many times the zone modified on that particular day. Whenever you change zone data occurs this serial number must be incremented by one. When slave nameserver contacts master for zone data it compares its own serial number with master’s serial number and its less than masters serial number then slave nameserver updates its zone data from master.
    • Primary server: This is the FQDN of nameserver which you want to set as primary nameserver for this zone. In my case its ns1.gopalthorve.com.
    • Responsible person: Specify the email address of the administrator who is responsible for maintaining this zone. Here email address must be specified in dotted format e.g. hostmaster@gopalthorve.com must be specified as hostmaster.gopalthorve.com. This is required when other webmasters wants to contact the maintainer of the zone in case of any issues.
    • Refresh interval: This value instructs the slave nameserver how often to check that the data for this zone is up to date. Set this to 1 day if zone doesn’t change frequently. For the DNS server for hosting purpose 1 day is idle.
    • Retry interval: In case slave nameserver failed to connect to master after Refresh interval (in case master is down or unreachable), slave tries to connect to master every interval specified here. Generally Retry interval is shorter than Refresh interval but its not compulsory. Enter 2 hours here.
    • Expires after: If the slave fails to connect master for this much time, the slave expires the zone. Expiring the zone means it slave stops responding to queries for this zone because the zone data that slave is having is very old. Enter 7 days here.
    • Minimum (default) TTL: TTL stands for Time To Leave. This applies to all negative responses from the authoratative nameservers. Enter 1 day here.
    • TTL for this record: TTL for SOA record.
    • Click Apply to save changes.

Configure DNS Server in Windows Server 2008 - SOA Configuration

  • Zone Transfers: Zone transfer is the process of transferring entire zone to the requesting server/client. The best practice is to not allow every one to connect and transfer the zones. You can allow only specific server for zone transfers i.e. the slave nameserver for the zone. We can setup to notify the servers if any zone updates happen on this zone.
    • Allow zone transfers: Enables/disables zone transfers.
      • To any server: All server/clients will be allowed to transfer zones. Not recommended.
      • Only to servers listed on the Name Servers tab: Zone transfers will only be allowed to the nameservers specified under Name Servers tab (ns1.gopalthorve.com, ns2.gopalthorve.com). Highly recommended for DNS Servers for web hosting servers.
      • Only to the following servers: If you want to enter IP/FQDN to which zone transfers will be allowed select this option and then click on Edit button and list all IP/FQDN allowed for zone transfers.

Configure DNS Server in Windows Server 2008 - Zone Transfers

    • Notify…:
      • Automatically notify: Enables/disables automatic notification of zone changes to either nameserver listed on Nameservers tab or specified IP addresses/FQDN names.
      • Servers listed on the Name Servers tab: Selecting this will only zone update notification will only be sent to nameservers listed under Name Servers tab. This is the recommended setting.
      • The following servers: You can specify list of other name servers to whom you want to send automatic notification of zone updates.

Configure DNS Server in Windows Server 2008 - Zone updates notify

Configure DNS Server Properties

  • Open DNS Manager by clicking Start > Administrative Tools > DNS.
  • Right Click on the DNS Server for which you want to configure Properties for and click Properties.
  • Interfaces: You can configure DNS Server to listen on specific interfaces/IP Addresses or all IP addresses. If the server has multiple interfaces then you can configure DNS Server to listen on specific interface. If the server is having only single interface with multiple IP addresses configured then you can configure it to listen on specific IP addresses. By default it is configured to listen on all interfaces and all IP addresses.

Configure DNS Server level Properties - Interfaces to listen on

  • Forwarders: You can add other DNS Servers provided by your ISP to forward DNS queries to in case this server doesn’t hold zones for the domains. These forwarder addresses are only used recursion is enabled. Forwarders are required if you are having an intranet/extranet DNS server serving a few zones and want to allow same server to resolve other DNS queries too.

Configure DNS Server level Properties - Forwarders

  •  Advanced: You can configure some advanced aspects of DNS Server here. A very important options I want to discuss here is Disable recursion (also disables forwarders). If you are setting up this DNS server to serve zones for domains hosted on your DNS server (dedicated server, VPS Server, Cloud VPS Server) then enable “Disable recursion” which also disables forwarders, doing this will only allow the zones hosted on this server to be served.

Configure DNS Server level Properties - Advanced

  •  Root Hints: This is the list of root name servers.

Configure DNS Server level Properties - Root Hints

  • Debug Logging: For debugging purpose the debug logs can be enabled from here.

Configure DNS Server level Properties - Debug Logging

  • Event Logging: DNS Server events can be enabled for troubleshooting purpose.

Configure DNS Server level Properties - Event Logging

DNS Server listens on TCP and UDP port 53, so make sure to allow traffic on these ports in Windows Firewall. Also make sure that if you are having any router or firewall device and DNS server is behind any of these device, do necessary configuration to allow connection to DNS Server.

Register Name Servers at Domain Name Registrar

If you have a registered domain name and want to host DNS services for the domain on the DNS Server you recently configured then you have to create child name server at your Domain Name Registrar. If you have administrative control of your domain you can do this with the help of your domain name registrar otherwise ask them to do this for you. Create child name server like this:

ns1.gopalthorve.com >> 192.168.0.98
ns2.gopalthorve.com >> 192.168.0.99

Create Child Name Servers at Domain Name Registrar

Replace private IP addresses with public IP addresses on which DNS Server will listen on.

Update Name Servers at Domain Name Registrar

After creating child name servers you have to update name servers for your domain at Domain Name Registrar. If you have administrative control of your domain you can do this with the help of your domain name registrar otherwise ask them to do this for you. Update name servers as below:

Name Server 1: ns1.gopalthorve.com
Name Server 2: ns2.gopalthorve.com

Update Name Servers at Domain Name Registrar

To learn how to create various DNS Resource records (A, NS, CNAME, SPF, TXT, MX) visit this link.

В данной статье предпринята попытка выйти за пределы структуры единственного леса/единственного домена AD, в которой конфигурация DNS сравнительно проста, и исследовать работу DNS в более сложной архитектуре AD. Одновременно рассматривается несколько новых концепций DNS, реализованных в Windows Server 2008 R2

Служба DNS, обеспечивающая преобразование доменных имен в IP-адреса, — не просто система распознавания имен для всего Интернета. Это критически важный компонент Active Directory (AD), необходимый для обнаружения сетевых ресурсов. Но несмотря на повсеместный переход с системы WINS на DNS в сетях Windows в последнее десятилетие, начинающим администраторам все так же трудно разобраться в сложной иерархической организации DNS.

.

Интеграция Active Directory и DNS

Чтобы понять, как DNS сочетается с AD, подготовим типовую структуру AD для средних и крупных компаний. Построим один лес с двумя доменами (рисунок 1). Первый домен часто именуется пустым корневым (empty root) или просто корневым доменом. Пустой корневой домен находится на верхнем уровне иерархии AD и, как видно из имени, не содержит никаких ресурсов. Благодаря доменам такого типа компании получают более гибкие и лучше разделенные роли безопасности, нежели в единственном лесе/единственном домене. Второй домен расположен ниже пустого корневого и потому является дочерним; он функционирует как основной домен компании, в котором расположены ресурсы (например, группы, учетные записи пользователей и компьютеров).

Рисунок 1. Один лес с двумя доменами

Начнем с запуска утилиты Dcpromo на первом сервере, чтобы создать лес и пустой корневой домен. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора. Убедитесь, что серверу назначено подходящее имя, такое как DC1, и задайте IP-адрес, маску подсети и шлюз по умолчанию на сетевом адаптере сервера. Настройки DNS для сетевого адаптера можно оставить пустыми и предоставить Windows ввести локальный адрес.

Запустите утилиту Dcpromo из меню Start и создайте новый лес и домен с именем ADcompany.com. Обратите внимание, что я использовал AD как приставку к имени компании, чтобы разделить внутренние и внешние пространства имен DNS. ADCOMPANY будет именем NETBIOS для домена. Хотя домен предназначен только для внутреннего использования, важно зарегистрировать домен ADcompany.com в Интернете, чтобы исключить случайное перенаправление клиентов на устройство вне зоны контроля компании. Также принято использовать иерархию пространства имен AD.company.com, где AD становится именем NETBIOS для домена. В этом случае, если имя company.com уже зарегистрировано компанией в Интернете, не требуется никаких дополнительных действий.

На экране Additional Domain Controller Options должен быть установлен флажок DNS server. Нажмите кнопку Next, и Dcpromo начнет проверять назначенные параметры. Система выдаст предупреждение о невозможности создать делегирование, так как не найдена полномочная родительская зона. Другими словами, Dcpromo не может найти полномочный сервер DNS (то есть сервер, содержащий основной или вторичный экземпляр данных зоны для домена. com), где можно создать зону делегирования для домена ADcompany.com.

В зоне DNS содержатся все записи ресурсов для одной части пространства имен, такой как ADCOMPANY или COM. Это внутренний корневой домен AD, поэтому запись делегирования в общедоступной зоне COM необязательна, и предупреждение можно игнорировать. Значение делегирования прояснится после создания дочернего домена.

Тестирование с использованием Dcdiag

После завершения работы Dcpromo перезагрузите сервер. Чтобы убедиться, что с новым сервером все в порядке, откройте командную строку и запустите утилиту Dcdiag. Если DNS и другие важные компоненты AD настроены верно, последовательность тестов будет выполнена успешно.

Перед запуском Dcdiag нужно очистить журналы событий System и DFS Replication, чтобы не получать сообщения о сбоях из-за сообщений об ошибках в ходе организации домена. Например, ошибки репликации DFS обычно регистрируются при первом запуске Dcdiag на новом контроллере домена (DC). Однако их появление не обязательно свидетельствует о неполадках DNS, которые часто оказываются причиной отказов репликации. После очистки журналов событий запустите команду

dcdiag/test: dfsrevent

Тест должен завершиться успешно.

Пока не задан источник времени, будут наблюдаться ошибки службы W32tm (служба Windows Time) в ходе проверок Dcdiag для контроллера корневого домена. Сведения о настройке службы Windows Time приведены в статье Microsoft «How to configure an authoritative time server in Windows Server» по адресу support.microsoft.com/kb/816042.

Корневые ссылки

Если AD DNS функционирует, а DC подключен к Интернету, установленный сервер DNS должен преобразовывать имена доменов Интернета, хотя серверы пересылки не настроены и не указан IP-адрес сервера DNS провайдера Интернета в настройках сетевого адаптера DC. Сервер DNS содержит корневые ссылки, указывающие на серверы DNS верхнего уровня в Интернете. Таким образом можно обслуживать запросы относительно имен, которых он не имеет в своем кэше.

Чтобы увидеть корневые ссылки, загруженные из файла cache.dns, откройте оснастку DNS из раздела Administrative Tools в меню Start. В консоли DNS щелкните правой кнопкой мыши на сервере DNS в левой области и выберите пункт Properties. В диалоговом окне свойств сервера перейдите на вкладку Root Hints (экран 1).

Экран 1. Просмотр корневых ссылок

Иногда возникают ситуации (например, если требуется использовать службу OpenDNS для фильтрации веб-контента), в которых вместо корневых ссылок для преобразования имен Интернета применяется сервер пересылки. Проектируя инфраструктуру DNS, помните, что, если на сервере DNS заданы серверы пересылки, они используются для преобразования имен прежде корневых ссылок.

Итеративные и рекурсивные запросы

Запросы, сделанные сервером DNS для преобразования имен с использованием корневых ссылок, — итеративные, то есть принимается лучший ответ (который может быть ссылкой на сервер имен, расположенный на более низких ступенях иерархии и способный определенно разрешить запрос). Иное дело DNS-клиент Windows, который направляет рекурсивные запросы серверу DNS, требуя определенного ответа или ошибки с сообщением, что данный ресурс не существует. Рекурсивные запросы обычно направляются клиентами DNS или серверами пересылки.

Настройка конфигурации дочернего домена

После успешной проверки преобразования внутренних и интернет-имен в корневом домене, можно добавить дочерний домен с именем HR (HR.ADcompany.com), в котором будут находиться все ресурсы. Зарегистрируйтесь на втором компьютере Server 2008 R2 в качестве локального администратора и убедитесь, что ему назначено подходящее имя, например DC2. Назначьте IP-адрес и маску подсети, затем задайте основной сервер DNS для сетевого адаптера сервера, указав IP-адрес контроллера домена в корневом домене. После запуска Dcpromo должны быть обнаружены корневой домен DNS и контроллер домена, поэтому необходимо настроить сервер DNS, способный ответить на эти запросы.

Прежде чем начать, выполните команду

dcdiag/test: dcpromo/dnsdomain: HR
   . ADcompany.com/ChildDomain

чтобы убедиться в правильности настроек, необходимых для назначения сервера контроллером домена, указанного с использованием ключа /dnsdomain.

Запустите Dcpromo из меню Start, на этот раз чтобы создать новый домен в существующем лесу. На экране Network Credentials введите лес домена (ADcompany.com) и учетную запись, имеющую членство в группе Enterprise Administrators в корневом домене (экран 2). В диалоговом окне Name the New Domain введите полное имя FQDN корневого домена (ADcompany.com) и однокомпонентное имя для нового дочернего домена (HR), как показано на экране 3. В диалоговом окне Additional Domain Controller Options выберите DNS server. На остальных этапах принимайте параметры по умолчанию.

Экран 2. Создание нового домена в существующем лесу
Экран 3. Назначение имени новому домену

В ответ на приглашение перезагрузите сервер и запустите Dcdiag на контроллере домена HR, чтобы убедиться в правильности функционирования всех компонентов. При запуске Dcdiag соблюдайте рекомендации, приведенные выше.

Откройте командную строку и выполните

ipconfig/all

Обратите внимание, что основной сервер DNS сетевого адаптера сервера настроен на локальный адрес сервера, а IP-адрес сервера DNS корневого домена смещен для использования в качестве дополнительного сервера DNS.

Делегирование и пересылка

Продолжая работать из командной строки, проверьте, можно ли установить связь с контроллером домена в корневом домене, используя однокомпонентное имя контроллера домена (DC1) или полное имя (DC1.ADcompany.com). При наличии подключения к Интернету должна существовать связь с именем домена в Интернете из дочернего DC домена. С контроллера корневого домена проверьте связь с DC в дочернем домене. Сервер DNS в дочернем домене направляет запросы к ресурсам ADcompany.com на сервер пересылки, автоматически настраиваемый в ходе выполнения Dcpromo. Увидеть конфигурацию можно, открыв консоль сервера DNS на контроллере дочернего домена из раздела Administrative Tools меню Start. В консоли DNS щелкните правой кнопкой мыши сервер в левой панели и выберите пункт Properties. В диалоговом окне свойств перейдите на вкладку Forwarders; видно, что сервер настроен на пересылку всех запросов, которые не удается обработать, на сервер DNS корневого домена. Пересылаются как внутренние, так и интернет-запросы; в этом отличие от сервера условной пересылки, настроенного на пересылку запросов, которые не удается обработать локально, только для определенного пространства имен.

В противоположность этому, на сервере DNS корневого домена находится запись делегирования (иногда именуемая зоной делегирования) для домена HR. Запись также настраивается как часть процесса Dcpromo для контроллера дочернего домена и позволяет контроллеру корневого домена обнаружить ресурсы в дочернем домене. Откройте консоль DNS на контроллере корневого домена; в левой панели разверните узлы DNS Server, Forward Lookup Zones, ADCompany.com. Щелкните зону делегирования HR в нижней части дерева. В правой панели находится запись типа A узла для сервера DNS дочернего домена. Делегирование и пересылка — стандартные механизмы Windows Server для преобразования в верхних и нижних областях непрерывного пространства имен DNS, как показано на рисунке 2.

Рисунок 2. Делегирование и пересылка

Регрессирование DNS

Регрессирование DNS — функция DNS-клиента Windows. Это не новшество Server 2008 R2 или Windows 7, однако таким образом удается повысить уровень безопасности. С контроллера дочернего домена можно проверить связь с ресурсами в корневом домене, не указывая имя FQDN (то есть связаться с DC1, не вводя DC1.ADcompany.com). То же относится к DC корневого домена; можно успешно проверить связь с DC2 без имени FQDN.

По умолчанию в ходе регрессирования предпринимается попытка преобразовать однокомпонентное имя, добавляя домены из основного суффикса DNS (PDS) клиента. Поэтому компьютер, принадлежащий домену AD.contoso.com, в первую очередь попытается разрешить имя компьютера как DC1.AD.contoso.com, а затем DC1.contoso.com. Попытки разрешить DC1.com не будет, так как уровень регрессирования по умолчанию — 2 (стандартное значение в Windows до появления Server 2008 R2 и Windows 7). В некоторых ситуациях уровень по умолчанию 2 порождает опасения в отношении безопасности, если клиенты DNS пытаются преобразовать полные имена (FQDN) за пределами контроля компании. Например, рассмотрим следующий набор запросов при уровне регрессирования, равном 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. Последний запрос, DC1.co.us, находится вне области контроля компании, и клиент может случайно установить связь с вредоносным компьютером в Интернете.

В Server 2008 R2 и Windows 7 действие по умолчанию — установить уровень регрессирования равным количеству меток в корневом домене леса (FRD), если PDS завершается корневым доменом леса. В данном случае PDS — HR.ADcompany.com, а корневой домен леса — ADcompany.com, поэтому по умолчанию в Server 2008 R2 и Windows 7 регрессирование включено, а уровень для клиентов DNS установлен равным 2. Компания Microsoft выпустила обновление, чтобы изменить подход к регрессированию DNS в Windows Vista, Windows XP и Windows 2000. Дополнительные сведения об обновлении можно найти в статье Microsoft «Postinstallation behavior on client computers after you install the DNS update» по адресу support.microsoft.com/kb/957579.

Порядок просмотра суффиксов DNS

Если добавить в лес третий домен, finance.ADcompany.com, регрессирование DNS может оказаться недостаточным для преобразования однокомпонентных имен ресурсов в HR.ADcompany.com от клиентов в домене FINANCE. Преобразование однокомпонентного имени совершается из домена FINANCE, если попытаться обратиться к ресурсам в домене HR, когда все устройства находятся в одной физической подсети. Это объясняется тем, что Windows выполняет широковещательную передачу для IP-адреса, если не удается успешно преобразовать имя из локального кэша компьютера или настроенного сервера DNS.

Если использовать Nslookup для тестирования разрешения DNS, выясняется, что без просмотра суффиксов DNS необходимо ввести полное имя ресурса, расположенного в домене HR, поскольку Nslookup, как инструмент для тестирования преобразования имен DNS, использует исключительно DNS. Чтобы протестировать DNS с помощью Nslookup, откройте командную строку из меню Start и введите nslookup.

В ответ на приглашение введите полное или однокомпонентное имя, которое нужно преобразовать, и нажмите клавишу Enter. Nslookup выдаст IP-адрес или сообщит о неудачном завершении поиска.

Если разрешение однокомпонентных имен во всех доменах AD имеет большое значение, то можно настроить порядок просмотра суффиксов DNS на всех устройствах, составив список всех основных суффиксов DNS, которые нужно разрешать (например, finance.ADcompany.com, HR.ADcompany.com и ADcompany.com). Если суффикс DNS настроен для клиента DNS, регрессирование DNS автоматически отключается. Порядок просмотра можно настроить вручную (выберите Change adapter settings в центре управления сетями и общим доступом Windows 7) для каждого сетевого адаптера на вкладке DNS в диалоговом окне Advanced TCP/IP Settings для свойств IPv6 и IPv4. Иначе порядок просмотра можно настроить с использованием списка с разделительными запятыми из параметра DNS Suffix Search List в разделе Computer Configuration, Policies, Administrative Templates, Network, DNS Client in Group Policy (для Windows Server 2003, XP и более поздних версий).

Аналогично, если сформировать новую зону DNS, secure.HR.ADcompany.com, на сервере DNS HR с целью создания отдельной зоны для важных ресурсов сервера, защищенных с использованием расширений безопасности DNS (DNSSEC), то необходимо установить порядок просмотра суффикса DNS, чтобы клиенты DNS могли обнаружить ресурсы в новой зоне по однокомпонентному имени. В этом случае требуется новая зона DNS, так как DNSSEC не поддерживает динамические обновления — возможность клиентов хранить записи для автоматического обновления сервера, что является обычным и желательным режимом зон DNS, в которых хранятся записи узлов для клиентских компьютеров.

Как правило, IP-адреса компьютеров серверов не изменяются, поэтому защищенными зонами можно управлять вручную.

Условная пересылка

Кроссдоменные запросы для двух дочерних доменов, finance.ADcompany.com и HR.ADcompany.com, можно разрешать более эффективно, не отправляя рекурсивные запросы в сервер DNS в корневом домене леса, если настроить условную пересылку на серверах DNS в обоих дочерних доменах. Условная пересылка имеет приоритет перед пересылкой на уровне сервера. Ее эффективность выше благодаря возможности передавать запросы к определенным доменным суффиксам на заранее определенный сервер DNS, как показано на рисунке 3.

Рисунок 3. Условная пересылка

Сервер DNS в HR.ADcompany.com будет содержать сервер пересылки, который отправляет все запросы для finance.ADcompany.com на основной сервер DNS для домена FINANCE и наоборот. Для настройки условной пересылки откройте консоль DNS на контроллере домена в домене HR из раздела Administrative Tools меню Start. В левой панели консоли DNS разверните DNS server, щелкните правой кнопкой мыши Conditional Forwarders и выберите из меню пункт New Conditional Forwarder. В диалоговом окне New Conditional Forwarder введите finance.adcompany.com в поле DNS Domain. В поле IP addresses of the master servers введите IP-адрес или имя сервера DNS в домене FINANCE и нажмите клавишу Enter. Нажмите кнопку OK, затем повторите процесс на сервере DNS в домене FINANCE, но укажите HR.ADcompany.com в поле DNS Domain и IP-адрес сервера DNS в домене HR.

Сложности DNS

В одной статье невозможно всесторонне рассмотреть проблему. Например, существуют два типа зон, дополнительные и зоны-заглушки, с помощью которых можно повысить производительность, а также новая функция Server 2008 R2, такая как DNSSEC. Но понимание основ совместной работы DNS и AD в интегрированном решении поможет более успешно развертывать AD и выполнять диагностику. Главное, в ходе тестирования новой или существующей инфраструктуры AD убедитесь, что каждый домен может обращаться к ресурсам во всех доверенных доменах. Кроме того, организуйте делегирование и условную пересылку для разрешения между пространствами имен. Соблюдение этих основных правил поможет более эффективно использовать DNS в сложной среде AD.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами

Image of steven s. warren

on

April 15, 2008, 5:05 AM PDT

How do I… Install and configure a DNS server in Windows Server 2008?

Without DNS, computers would have a very tough time communicating with each other. However, most Windows administrators still rely on WINS for name resolution on local area networks and some have little or no experience with DNS. Steven Warren explains how to install, configure, and troubleshoot a Windows Server 2008 DNS server.

As many of you are probably aware, the Domain Name System (DNS) is now the name resolution system of choice in Windows. Without it, computers would have a very tough time communicating with each other. However, most Windows administrators still rely on the Windows Internet Name Service (WINS) for name resolution on local area networks and some have little or no experience with DNS. If you fall into this category, read on. We’ll explain how to install, configure, and troubleshoot a Windows Server 2008 DNS server.

This blog post is also available in PDF form as a TechRepublic Download and as a TechRepublic Photo Gallery.

Installation

You can install a DNS server from the Control Panel or when promoting a member server to a domain controller (DC) (Figure A). During the promotion, if a DNS server is not found, you will have the option of installing it.

Figure A

Domain controller

To install a DNS server from the Control Panel, follow these steps:

  • From the Start menu, select | Control Panel | Administrative Tools | Server Manager.
  • Expand and click Roles (Figure B).
  • Choose Add Roles and follow the wizard by selecting the DNS role (Figure C).
  • Click Install to install DNS in Windows Server 2008 (Figure D).

Figure B

Expand and click Roles

Figure C

DNS role

Figure D

Install DNS

DNS console and configuration

After installing DNS, you can find the DNS console from Start | All Programs | Administrative Tools | DNS. Windows 2008 provides a wizard to help configure DNS.

When configuring your DNS server, you must be familiar with the following concepts:

  • Forward lookup zone
  • Reverse lookup zone
  • Zone types

A forward lookup zone is simply a way to resolve host names to IP addresses. A reverse lookup zone allows a DNS server to discover the DNS name of the host. Basically, it is the exact opposite of a forward lookup zone. A reverse lookup zone is not required, but it is easy to configure and will allow for your Windows Server 2008 Server to have full DNS functionality.

When selecting a DNS zone type, you have the following options: Active Directory (AD) Integrated, Standard Primary, and Standard Secondary. AD Integrated stores the database information in AD and allows for secure updates to the database file. This option will appear only if AD is configured. If it is configured and you select this option, AD will store and replicate your zone files.

A Standard Primary zone stores the database in a text file. This text file can be shared with other DNS servers that store their information in a text file. Finally, a Standard Secondary zone simply creates a copy of the existing database from another DNS server. This is primarily used for load balancing.

To open the DNS server configuration tool:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Highlight your computer name and choose Action | Configure a DNS Server… to launch the Configure DNS Server Wizard.
  3. Click Next and choose to configure the following: forward lookup zone, forward and reverse lookup zone, root hints only (Figure E).
  4. Click Next and then click Yes to create a forward lookup zone (Figure F).
  5. Select the appropriate radio button to install the desired Zone Type (Figure G).
  6. Click Next and type the name of the zone you are creating.
  7. Click Next and then click Yes to create a reverse lookup zone.
  8. Repeat Step 5.
  9. Choose whether you want an IPv4 or IPv6 Reverse Lookup Zone (Figure H).
  10. Click Next and enter the information to identify the reverse lookup zone (Figure I).
  11. You can choose to create a new file or use an existing DNS file (Figure J).
  12. On the Dynamic Update window, specify how DNS accepts secure, nonsecure, or no dynamic updates.
  13. If you need to apply a DNS forwarder, you can apply it on the Forwarders window. (Figure K).
  14. Click Finish (Figure L).

Figure E

Configure

Figure F

Forward lookup zone

Figure G

Desired zone

Figure H

IPv4 or IPv6

Figure I

Reverse lookup zone

Figure J

Choose new or existing DNS file

Figure K

Forwarders window

Figure L

Finish

Managing DNS records

You have now installed and configured your first DNS server, and you’re ready to add records to the zone(s) you created. There are various types of DNS records available. Many of them you will never use. We’ll be looking at these commonly used DNS records:

  • Start of Authority (SOA)
  • Name Servers
  • Host (A)
  • Pointer (PTR)
  • Canonical Name (CNAME) or Alias
  • Mail Exchange (MX)

Start of Authority (SOA) record

The Start of Authority (SOA) resource record is always first in any standard zone. The Start of Authority (SOA) tab allows you to make any adjustments necessary. You can change the primary server that holds the SOA record, and you can change the person responsible for managing the SOA. Finally, one of the most important features of Windows 2000 is that you can change your DNS server configuration without deleting your zones and having to re-create the wheel (Figure M).

Figure M

Change configuration

Name Servers

Name Servers specify all name servers for a particular domain. You set up all primary and secondary name servers through this record.

To create a Name Server, follow these steps:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Expand the Forward Lookup Zone.
  3. Right-click on the appropriate domain and choose Properties (Figure N).
  4. Select the Name Servers tab and click Add.
  5. Enter the appropriate FQDN Server name and IP address of the DNS server you want to add.

Figure N

Name Server

Host (A) records

A Host (A) record maps a host name to an IP address. These records help you easily identify another server in a forward lookup zone. Host records improve query performance in multiple-zone environments, and you can also create a Pointer (PTR) record at the same time. A PTR record resolves an IP address to a host name.

To create a Host record:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Expand the Forward Lookup Zone and click on the folder representing your domain.
  3. From the Action menu, select New Host.
  4. Enter the Name and IP Address of the host you are creating (Figure O).
  5. Select the Create Associated Pointer (PTR) Record check box if you want to create the PTR record at the same time. Otherwise, you can create it later.
  6. Click the Add Host button.

Figure O

A Host (A) record

Pointer (PTR) records

A Pointer (PTR) record creates the appropriate entry in the reverse lookup zone for reverse queries. As you saw in Figure H, you have the option of creating a PTR record when creating a Host record. If you did not choose to create your PTR record at that time, you can do it at any point.

To create a PTR record:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Choose the reverse lookup zone where you want your PTR record created.
  3. From the Action menu, select New Pointer (Figure P).
  4. Enter the Host IP Number and Host Name.
  5. Click OK.

Figure P

New Pointer

Canonical Name (CNAME) or Alias records

A Canonical Name (CNAME) or Alias record allows a DNS server to have multiple names for a single host. For example, an Alias record can have several records that point to a single server in your environment. This is a common approach if you have both your Web server and your mail server running on the same machine.

To create a DNS Alias:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Expand the Forward Lookup Zone and highlight the folder representing your domain.
  3. From the Action menu, select New Alias.
  4. Enter your Alias Name (Figure Q).
  5. Enter the fully qualified domain name (FQDN).
  6. Click OK.

Figure Q

Alias Name

Mail Exchange (MX) records

Mail Exchange records help you identify mail servers within a zone in your DNS database. With this feature, you can prioritize which mail servers will receive the highest priority. Creating MX records will help you keep track of the location of all of your mail servers.

To create a Mail Exchange (MX) record:

  1. Select DNS from the Administrative Tools folder to open the DNS console.
  2. Expand the Forward Lookup Zone and highlight the folder representing your domain.
  3. From the Action menu, select New Mail Exchanger.
  4. Enter the Host Or Domain (Figure R).
  5. Enter the Mail Server and Mail Server Priority.
  6. Click OK.

Figure R

Host or Domain

Other new records

You can create many other types of records. For a complete description, choose Action | Other New Records from the DNS console (Figure S). Select the record of your choice and view the description.

Figure S

Create records from the DNS console

Troubleshooting DNS servers

When troubleshooting DNS servers, the nslookup utility will become your best friend. This utility is easy to use and very versatile. It’s a command-line utility that is included within Windows 2008. With nslookup, you can perform query testing of your DNS servers. This information is useful in troubleshooting name resolution problems and debugging other server-related problems. You can access nslookup (Figure T) right from the DNS console.

Figure T

Nslookup utility
  • Developer

Like this post? Please share to your friends:
  • Как соединить разделы жесткого диска при установке windows 10
  • Как соединить разделы жесткого диска windows 10 программа
  • Как соединить разделы жесткого диска windows 10 в один
  • Как соединить разделы жесткого диска windows 10 без потери данных
  • Как соединить разделы жесткого диска windows 10 aomei