В данном руководстве подробно описан и продемонстрирован процесс настройки DNS-сервера на Windows Server 2008 R2.
Для настройки DNS-сервера на Windows Server 2008 R2 потребуются:
1. Компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» );
2. Установленная и настроенная роль Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2 (О том как установить Active Directory Domain Services можно прочитать в данной статье: «Установка контроллера домена Active Directory в Windows Server 2008 R2» ).
.
Порядок настройки DNS-сервера на Windows Server 2008 R2
1. Откройте окно диспетчера сервера, затем разверните последовательно разверните узлы Роли, DNS-сервер и DNS, после чего щелкните на имени сервера DNS (прим. в данном руководстве имя WIN2008R2DC) (Рис.1).
Рис.1
.
2. В меню Действие выберите пункт Настроить DNS-сервер… (Рис.2).
Рис.2
.
3. На странице приветствия мастера настройки DNS-сервера щелкните на кнопке Далее (Рис.3).
Рис.3
.
4. Выберите пункт Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей) и щелкните на кнопке Далее (Рис.4).
Рис.4
.
5. Выберите пункт Да, создать зону прямого просмотра сейчас (рекомендуется), затем нажмите Далее (Рис.5).
Рис.5
.
6. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.6).
Рис.6
.
7. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.7).
Рис.7
.
8. Введите имя зоны (прим. в данном руководстве используется имя example.local), затем нажмите Далее (Рис.8).
Рис.8
.
9. Выберите нужный тип динамического обновления Разрешить только безопасные динамические обновления, либо Запретить динамические обновления, затем нажмите Далее (Рис.9).
Рис.9
.
10. Выберите пункт Да, создать зону обратного просмотра сейчас и нажмите Далее (Рис.10).
Рис.10
.
11. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.11).
Рис.11
.
12. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.12).
Рис.12
.
13. Выберите пункт Зона обратного просмотра IPv4, затем нажмите Далее (Рис.13).
Рис.13
.
14. Введите идентификатор сети для зоны обратного просмотра и нажмите Далее (прим. как правило, в качестве сетевого идентификатора вводится первый набор октетов из IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса С 192.168.0.0/24, то в качестве сетевого идентификатора могут быть введено значение 192.168.0.) (Рис.14).
Рис.14
.
15. Выберите Запретить динамические обновления, затем нажмите Далее (Рис.15).
Рис.15
.
16. В настройках пересылки выберите пункт Нет, не пересылать запросы, затем нажмите Далее (Рис.16).
Рис.16
.
17. Для сохранения выбранных параметров настройки нажмите Готово (Рис.17).
Рис.17
.
Настройка DNS-сервера в Windows Server 2008 R2 завершена!
.
DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Настройка сетевого адаптера для DNS-сервера
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.
Далее предстоит проделать цепочку действий:
- Необходимо нажать правой клавишей мыши по значку сети в системном трее, в выпадающем меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть ссылку Изменение параметров адаптера:
- Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующие поля необходимыми данными:
Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].
Установка роли DNS-сервера
Для установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.
- В левой части окна Диспетчера сервера откройте раздел Роли, после чего в правой части окна отобразится команда Добавить Роли:
- Откроется окно Мастера, в котором рекомендуют убедиться что:
1. Учётная запись администратора защищена надёжным паролем.
2. Настроены сетевые параметры, такие как статические IP-адреса.
3. Установлены новейшие обновления безопасности из центра обновления Windows.
- Убедившись, что все условия выполнены, нажмите Далее;
- Отметьте чек-боксом роль DNS-сервер и перейдите Далее:
- Прочитайте информацию и нажмите Далее:
- Убедитесь, что выбор сделан правильно, и подтвердите нажатием кнопки Установить:
- Дождитесь завершения установки и закройте Мастер установки:
Создание зон прямого и обратного просмотра
Доменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Данный инструмент открывается из навигационного дерева Диспетчера Сервера:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выберите «Основная зона» и перейдите Далее:
- Укажите имя зоны и нажмите Далее:
- При необходимости поменяйте название будущего файла зоны и нажмите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:
- Выберите тип «Основная Зона», перейдите Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись обратная A записи.
- В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:
Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавив все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):
- Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
Обновлено 24.11.2018
И всех приветствую вновь на страницах своего блога Pyatilistnik.org. В первой части мы с вами установили DNS сервер, теперь нужно понять, как его настроить и как он работает. Мы поговорим про DNS зоны, каких видов они бывают и как их правильно настроить для корректной работы в вашей инфраструктуре. Напоминаю, что данную роль я бы сравнил с кровеносной системой человека, которая разносит информацию по всему организму.
Создание основной и дополнительной зоны в оснастке DNS
Напомню, что в моем примере у меня есть тестовый домен contoso.com DNS в сети является контролер домена, и нам нужно, чтобы наш новый DNS сервер (который не является контроллером домена) смог быть дополнительным DNS и держателем зоны contoso.com. Открываем DNS оснастку на standalone сервере, в моем примере это сервер vcenter.
Как настроить DNS сервер в windows server 2008R2-01
Видим, что теперь можно настроить.
Как настроить DNS сервер в windows server 2008R2-02
Выбираем зону прямого просмотра, правый клик-свойства
Как настроить DNS сервер в windows server 2008R2-03
В мастере жмем далее
Как настроить DNS сервер в windows server 2008R2-04
Теперь на странице мастера мы видим возможные варианты зон:
- Основная зона DNS
- Дополнительная зона
- Зона-заглушка
Как настроить DNS сервер в windows server 2008R2-05
Основная зона
Если зона, хранящаяся на DNS-сервере, является основной, DNS-сервер становится основным источником сведений об этой зоне — он хранит главную копию данных зоны в локальном файле или в доменных службах Active Directory. Если зона хранится в файле, файл основной зоны называется имя_зоны.dns и размещается в папке сервера %windir%System32Dns.
Сначала создадим основную зону. Щелкаем далее.
Как настроить DNS сервер в windows server 2008R2-05
Пишем название зоны contoso.com
Как настроить DNS сервер в windows server 2008R2-06
Создать новый файл, если бы у вас был уже файл его можно было бы использовать.
Как настроить DNS сервер в windows server 2008R2-07
Запрещаем динамические обновления в целях безопасности.
Как настроить DNS сервер в windows server 2008R2-08
Готово
Как настроить DNS сервер в windows server 2008R2-09
Теперь проверим создался ли наш файлик. Идем c:windowssystem32dns
Как настроить DNS сервер в windows server 2008R2-10
Файл contoso.dns.com можно открыть любым текстовым редактором.
Как настроить DNS сервер в windows server 2008R2-11
Видим наши записи
Как настроить DNS сервер в windows server 2008R2-12
Проблема одиночных DNS домене т.е. те которые установлены не совместно с AD, в том что сразу с DNS сервера, который находится на DC зону среплицировать не получиться.
Создадим дополнительную зону DNS
Удаляем созданную до этого зону и выбираем создать новую
Как настроить DNS сервер в windows server 2008R2-13
так же через клик по контейнеру «Зоны прямого просмотра»
Как настроить DNS сервер в windows server 2008R2-03
На первом окне мастера настройки дополнительной зоны, просто нажимаем далее.
Как настроить DNS сервер в windows server 2008R2-04
Выбираем дополнительная зона. Если зона, хранящаяся на DNS-сервере, является дополнительной, DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который будет обеспечивать этот сервер обновленными данными о зоне. Так как дополнительная зона является копией основной зоной, хранящейся на другом сервере, она не может быть размещена в доменных службах Active Directory.
Как настроить DNS сервер в windows server 2008R2-14
Пишем название зоны
Как настроить DNS сервер в windows server 2008R2-15
Пишем имя DNS сервера, который эту зону даст среплицировать на этот DNS.
Как настроить DNS сервер в windows server 2008R2-17
Если все хорошо, то он получит зеленый статус.
Как настроить DNS сервер в windows server 2008R2-18
Готово.
Как настроить DNS сервер в windows server 2008R2-19
Как видим зона создалась, но не среплицировалась, и это правильно с точки зрения безопасности. В следующей части мы настроим сервер dc на репликацию с дополнительной зоной. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.
Опубликовано
⏰ 28.06.2019
Здравствуйте, уважаемые читатели. Сегодня у нас тема: «DNS-сервер в Windows Server 2008». DNS-сервер позволяет находить необходимые ресурсы в сети, по их доменному имени. В рамках этой статьи, мы с Вами добавим роль, а так же, настроим зоны прямого, и обратного просмотра.
Установка DNS-сервера в Windows Server 2008
Подготовительные действия.
Сначала убеждаемся, что у Вас полностью настроен сетевой адаптер. (Ip адрес, маска подсети, основной шлюз, DNS-сервера)
- Заходим в свойства системы, и кликаем по ссылке «Изменить параметры».
- В открывшемся окне, жмём на «Изменить».
- Во вновь открывшемся окне, даём адекватное имя Вашему серверу (на Ваше усмотрение), и жмём «Дополнительно».
- В появившемся окне пишем основной суффикс, другими словами имя домена Вашей сети.
- Жмём «ОК».
- В предыдущем окне, тоже жмём «ОК».
- Появляется сообщение системы, что необходимо перезагрузить компьютер.
- Жмём «ОК».
- Закрываем все окна, и перезагружаем компьютер.
Добавление роли DNS-сервера
- После перезагрузки, открываем диспетчер устройств, и заходим в «Добавить роли».
- Пропускаем памятку мастера.
- В окне выбора ролей, выбираем DNS-сервер. И жмём «Далее».
- Страница знакомства с DNS-сервером, жмём «Далее».
- Появляется окно подтверждения выбранных элементов.
- Жмём «Установить».
- Ждём завершения установки.
- По завершении, закрываем окно мастера.
Создание новых зон
- В диспетчере сервера, находим раздел «DNS-сервер», заходим в него, и кликаем правой кнопкой мышки на нашем сервере.
- В выпадающем меню, выбираем «Создать новую зону».
- Открывается мастер, жмём «Далее».
Выбор типа создаваемой зоны:
- Основная.
- Дополнительная.
- Зона заглушка.
- Наш сервер будет, как бы корневым. Я выбираю «Основная».
- Жмём «Далее».
Теперь нужно выбрать, какую зону мы будем создавать:
- Зона прямого просмотра.
- Зона обратного просмотра.
Грубо говоря, зона прямого просмотра, преобразует имя в ip адрес, а зона обратного просмотра, ip адрес в имя.
- Первой мы создадим «Зону прямого просмотра», выбираем и жмём «Далее».
Окно в котором можно задать имя зоны.
- Задаём имя, и жмём «Далее».
На следующем шаге, нужно создать файл зоны:
- Создать новый файл.
- Скопировать имеющийся файл.
- Выбираем «Создать новый», и жмём «Далее».
Динамическое обновление.
- Разрешить только безопасные обновления.
- Разрешить любые обновления.
- Запретить динамические обновления.
Нам не нужно, чтобы клиенты сами регистрировались, и вносили обновления.
- Выбираем «Запретить динамические обновления».
- Жмём «Далее».
- Создание зоны завершено, закрываем мастер.
- Теперь нам нужно создать зону обратного просмотра.
Заходим в диспетчер сервера, и действуем аналогично тому, как действовали перед этим.
- Выбираем «Создать новую зону», «Основную», но на выборе типа, выбираем «Зона обратного просмотра».
- Следующее, окно выбора протокола.
- Выбираем «Зона обратного просмотра IPv4».
- Жмём «Далее».
- На следующем шаге, указываем идентификатор сети.
- И жмём «Далее».
Шаг создания файла зоны.
- Выбираем «Создать новый файл».
- Жмём «Далее».
Окно настройки динамического обновления.
Опять же, нам не нужно, чтобы клиенты сами вносили обновления.
- Выбираем «Запретить динамические обновления».
- Жмём «Далее».
- Закрываем мастер создания зон.
Проверка создания зон
- Проверяем в диспетчере сервера.
- В зонах обратного просмотра, появилась созданная нами зона.
- И в зонах прямого просмотра, тоже появилась созданная нами зона.
- Всё в норме.
Сегодня мы рассмотрели тему: «DNS-сервер в Windows Server 2008». Мы добавили роль и создали две зоны, зону прямого просмотра, и зону обратного просмотра.
Надеюсь статья была вам полезна. До встречи в новых статьях.
✍
С уважением, Андрей Бондаренко.
Видео на тему «DNS-сервер в Windows Server 2008»:
✧✧✧
Поблагодарить автора за полезную статью:
WMZ-кошелёк = Z667041230317
✧ Рубрика «Windows server»
✧ Комментарии: нет
Похожие записи
В данной статье предпринята попытка выйти за пределы структуры единственного леса/единственного домена AD, в которой конфигурация DNS сравнительно проста, и исследовать работу DNS в более сложной архитектуре AD. Одновременно рассматривается несколько новых концепций DNS, реализованных в Windows Server 2008 R2
Служба DNS, обеспечивающая преобразование доменных имен в IP-адреса, — не просто система распознавания имен для всего Интернета. Это критически важный компонент Active Directory (AD), необходимый для обнаружения сетевых ресурсов. Но несмотря на повсеместный переход с системы WINS на DNS в сетях Windows в последнее десятилетие, начинающим администраторам все так же трудно разобраться в сложной иерархической организации DNS.
.
Интеграция Active Directory и DNS
Чтобы понять, как DNS сочетается с AD, подготовим типовую структуру AD для средних и крупных компаний. Построим один лес с двумя доменами (рисунок 1). Первый домен часто именуется пустым корневым (empty root) или просто корневым доменом. Пустой корневой домен находится на верхнем уровне иерархии AD и, как видно из имени, не содержит никаких ресурсов. Благодаря доменам такого типа компании получают более гибкие и лучше разделенные роли безопасности, нежели в единственном лесе/единственном домене. Второй домен расположен ниже пустого корневого и потому является дочерним; он функционирует как основной домен компании, в котором расположены ресурсы (например, группы, учетные записи пользователей и компьютеров).
Рисунок 1. Один лес с двумя доменами |
Начнем с запуска утилиты Dcpromo на первом сервере, чтобы создать лес и пустой корневой домен. Зарегистрируйтесь на сервере Server 2008 R2 в качестве администратора. Убедитесь, что серверу назначено подходящее имя, такое как DC1, и задайте IP-адрес, маску подсети и шлюз по умолчанию на сетевом адаптере сервера. Настройки DNS для сетевого адаптера можно оставить пустыми и предоставить Windows ввести локальный адрес.
Запустите утилиту Dcpromo из меню Start и создайте новый лес и домен с именем ADcompany.com. Обратите внимание, что я использовал AD как приставку к имени компании, чтобы разделить внутренние и внешние пространства имен DNS. ADCOMPANY будет именем NETBIOS для домена. Хотя домен предназначен только для внутреннего использования, важно зарегистрировать домен ADcompany.com в Интернете, чтобы исключить случайное перенаправление клиентов на устройство вне зоны контроля компании. Также принято использовать иерархию пространства имен AD.company.com, где AD становится именем NETBIOS для домена. В этом случае, если имя company.com уже зарегистрировано компанией в Интернете, не требуется никаких дополнительных действий.
На экране Additional Domain Controller Options должен быть установлен флажок DNS server. Нажмите кнопку Next, и Dcpromo начнет проверять назначенные параметры. Система выдаст предупреждение о невозможности создать делегирование, так как не найдена полномочная родительская зона. Другими словами, Dcpromo не может найти полномочный сервер DNS (то есть сервер, содержащий основной или вторичный экземпляр данных зоны для домена. com), где можно создать зону делегирования для домена ADcompany.com.
В зоне DNS содержатся все записи ресурсов для одной части пространства имен, такой как ADCOMPANY или COM. Это внутренний корневой домен AD, поэтому запись делегирования в общедоступной зоне COM необязательна, и предупреждение можно игнорировать. Значение делегирования прояснится после создания дочернего домена.
Тестирование с использованием Dcdiag
После завершения работы Dcpromo перезагрузите сервер. Чтобы убедиться, что с новым сервером все в порядке, откройте командную строку и запустите утилиту Dcdiag. Если DNS и другие важные компоненты AD настроены верно, последовательность тестов будет выполнена успешно.
Перед запуском Dcdiag нужно очистить журналы событий System и DFS Replication, чтобы не получать сообщения о сбоях из-за сообщений об ошибках в ходе организации домена. Например, ошибки репликации DFS обычно регистрируются при первом запуске Dcdiag на новом контроллере домена (DC). Однако их появление не обязательно свидетельствует о неполадках DNS, которые часто оказываются причиной отказов репликации. После очистки журналов событий запустите команду
dcdiag/test: dfsrevent
Тест должен завершиться успешно.
Пока не задан источник времени, будут наблюдаться ошибки службы W32tm (служба Windows Time) в ходе проверок Dcdiag для контроллера корневого домена. Сведения о настройке службы Windows Time приведены в статье Microsoft «How to configure an authoritative time server in Windows Server» по адресу support.microsoft.com/kb/816042.
Корневые ссылки
Если AD DNS функционирует, а DC подключен к Интернету, установленный сервер DNS должен преобразовывать имена доменов Интернета, хотя серверы пересылки не настроены и не указан IP-адрес сервера DNS провайдера Интернета в настройках сетевого адаптера DC. Сервер DNS содержит корневые ссылки, указывающие на серверы DNS верхнего уровня в Интернете. Таким образом можно обслуживать запросы относительно имен, которых он не имеет в своем кэше.
Чтобы увидеть корневые ссылки, загруженные из файла cache.dns, откройте оснастку DNS из раздела Administrative Tools в меню Start. В консоли DNS щелкните правой кнопкой мыши на сервере DNS в левой области и выберите пункт Properties. В диалоговом окне свойств сервера перейдите на вкладку Root Hints (экран 1).
Экран 1. Просмотр корневых ссылок |
Иногда возникают ситуации (например, если требуется использовать службу OpenDNS для фильтрации веб-контента), в которых вместо корневых ссылок для преобразования имен Интернета применяется сервер пересылки. Проектируя инфраструктуру DNS, помните, что, если на сервере DNS заданы серверы пересылки, они используются для преобразования имен прежде корневых ссылок.
Итеративные и рекурсивные запросы
Запросы, сделанные сервером DNS для преобразования имен с использованием корневых ссылок, — итеративные, то есть принимается лучший ответ (который может быть ссылкой на сервер имен, расположенный на более низких ступенях иерархии и способный определенно разрешить запрос). Иное дело DNS-клиент Windows, который направляет рекурсивные запросы серверу DNS, требуя определенного ответа или ошибки с сообщением, что данный ресурс не существует. Рекурсивные запросы обычно направляются клиентами DNS или серверами пересылки.
Настройка конфигурации дочернего домена
После успешной проверки преобразования внутренних и интернет-имен в корневом домене, можно добавить дочерний домен с именем HR (HR.ADcompany.com), в котором будут находиться все ресурсы. Зарегистрируйтесь на втором компьютере Server 2008 R2 в качестве локального администратора и убедитесь, что ему назначено подходящее имя, например DC2. Назначьте IP-адрес и маску подсети, затем задайте основной сервер DNS для сетевого адаптера сервера, указав IP-адрес контроллера домена в корневом домене. После запуска Dcpromo должны быть обнаружены корневой домен DNS и контроллер домена, поэтому необходимо настроить сервер DNS, способный ответить на эти запросы.
Прежде чем начать, выполните команду
dcdiag/test: dcpromo/dnsdomain: HR . ADcompany.com/ChildDomain
чтобы убедиться в правильности настроек, необходимых для назначения сервера контроллером домена, указанного с использованием ключа /dnsdomain.
Запустите Dcpromo из меню Start, на этот раз чтобы создать новый домен в существующем лесу. На экране Network Credentials введите лес домена (ADcompany.com) и учетную запись, имеющую членство в группе Enterprise Administrators в корневом домене (экран 2). В диалоговом окне Name the New Domain введите полное имя FQDN корневого домена (ADcompany.com) и однокомпонентное имя для нового дочернего домена (HR), как показано на экране 3. В диалоговом окне Additional Domain Controller Options выберите DNS server. На остальных этапах принимайте параметры по умолчанию.
Экран 2. Создание нового домена в существующем лесу |
Экран 3. Назначение имени новому домену |
В ответ на приглашение перезагрузите сервер и запустите Dcdiag на контроллере домена HR, чтобы убедиться в правильности функционирования всех компонентов. При запуске Dcdiag соблюдайте рекомендации, приведенные выше.
Откройте командную строку и выполните
ipconfig/all
Обратите внимание, что основной сервер DNS сетевого адаптера сервера настроен на локальный адрес сервера, а IP-адрес сервера DNS корневого домена смещен для использования в качестве дополнительного сервера DNS.
Делегирование и пересылка
Продолжая работать из командной строки, проверьте, можно ли установить связь с контроллером домена в корневом домене, используя однокомпонентное имя контроллера домена (DC1) или полное имя (DC1.ADcompany.com). При наличии подключения к Интернету должна существовать связь с именем домена в Интернете из дочернего DC домена. С контроллера корневого домена проверьте связь с DC в дочернем домене. Сервер DNS в дочернем домене направляет запросы к ресурсам ADcompany.com на сервер пересылки, автоматически настраиваемый в ходе выполнения Dcpromo. Увидеть конфигурацию можно, открыв консоль сервера DNS на контроллере дочернего домена из раздела Administrative Tools меню Start. В консоли DNS щелкните правой кнопкой мыши сервер в левой панели и выберите пункт Properties. В диалоговом окне свойств перейдите на вкладку Forwarders; видно, что сервер настроен на пересылку всех запросов, которые не удается обработать, на сервер DNS корневого домена. Пересылаются как внутренние, так и интернет-запросы; в этом отличие от сервера условной пересылки, настроенного на пересылку запросов, которые не удается обработать локально, только для определенного пространства имен.
В противоположность этому, на сервере DNS корневого домена находится запись делегирования (иногда именуемая зоной делегирования) для домена HR. Запись также настраивается как часть процесса Dcpromo для контроллера дочернего домена и позволяет контроллеру корневого домена обнаружить ресурсы в дочернем домене. Откройте консоль DNS на контроллере корневого домена; в левой панели разверните узлы DNS Server, Forward Lookup Zones, ADCompany.com. Щелкните зону делегирования HR в нижней части дерева. В правой панели находится запись типа A узла для сервера DNS дочернего домена. Делегирование и пересылка — стандартные механизмы Windows Server для преобразования в верхних и нижних областях непрерывного пространства имен DNS, как показано на рисунке 2.
Рисунок 2. Делегирование и пересылка |
Регрессирование DNS
Регрессирование DNS — функция DNS-клиента Windows. Это не новшество Server 2008 R2 или Windows 7, однако таким образом удается повысить уровень безопасности. С контроллера дочернего домена можно проверить связь с ресурсами в корневом домене, не указывая имя FQDN (то есть связаться с DC1, не вводя DC1.ADcompany.com). То же относится к DC корневого домена; можно успешно проверить связь с DC2 без имени FQDN.
По умолчанию в ходе регрессирования предпринимается попытка преобразовать однокомпонентное имя, добавляя домены из основного суффикса DNS (PDS) клиента. Поэтому компьютер, принадлежащий домену AD.contoso.com, в первую очередь попытается разрешить имя компьютера как DC1.AD.contoso.com, а затем DC1.contoso.com. Попытки разрешить DC1.com не будет, так как уровень регрессирования по умолчанию — 2 (стандартное значение в Windows до появления Server 2008 R2 и Windows 7). В некоторых ситуациях уровень по умолчанию 2 порождает опасения в отношении безопасности, если клиенты DNS пытаются преобразовать полные имена (FQDN) за пределами контроля компании. Например, рассмотрим следующий набор запросов при уровне регрессирования, равном 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. Последний запрос, DC1.co.us, находится вне области контроля компании, и клиент может случайно установить связь с вредоносным компьютером в Интернете.
В Server 2008 R2 и Windows 7 действие по умолчанию — установить уровень регрессирования равным количеству меток в корневом домене леса (FRD), если PDS завершается корневым доменом леса. В данном случае PDS — HR.ADcompany.com, а корневой домен леса — ADcompany.com, поэтому по умолчанию в Server 2008 R2 и Windows 7 регрессирование включено, а уровень для клиентов DNS установлен равным 2. Компания Microsoft выпустила обновление, чтобы изменить подход к регрессированию DNS в Windows Vista, Windows XP и Windows 2000. Дополнительные сведения об обновлении можно найти в статье Microsoft «Postinstallation behavior on client computers after you install the DNS update» по адресу support.microsoft.com/kb/957579.
Порядок просмотра суффиксов DNS
Если добавить в лес третий домен, finance.ADcompany.com, регрессирование DNS может оказаться недостаточным для преобразования однокомпонентных имен ресурсов в HR.ADcompany.com от клиентов в домене FINANCE. Преобразование однокомпонентного имени совершается из домена FINANCE, если попытаться обратиться к ресурсам в домене HR, когда все устройства находятся в одной физической подсети. Это объясняется тем, что Windows выполняет широковещательную передачу для IP-адреса, если не удается успешно преобразовать имя из локального кэша компьютера или настроенного сервера DNS.
Если использовать Nslookup для тестирования разрешения DNS, выясняется, что без просмотра суффиксов DNS необходимо ввести полное имя ресурса, расположенного в домене HR, поскольку Nslookup, как инструмент для тестирования преобразования имен DNS, использует исключительно DNS. Чтобы протестировать DNS с помощью Nslookup, откройте командную строку из меню Start и введите nslookup.
В ответ на приглашение введите полное или однокомпонентное имя, которое нужно преобразовать, и нажмите клавишу Enter. Nslookup выдаст IP-адрес или сообщит о неудачном завершении поиска.
Если разрешение однокомпонентных имен во всех доменах AD имеет большое значение, то можно настроить порядок просмотра суффиксов DNS на всех устройствах, составив список всех основных суффиксов DNS, которые нужно разрешать (например, finance.ADcompany.com, HR.ADcompany.com и ADcompany.com). Если суффикс DNS настроен для клиента DNS, регрессирование DNS автоматически отключается. Порядок просмотра можно настроить вручную (выберите Change adapter settings в центре управления сетями и общим доступом Windows 7) для каждого сетевого адаптера на вкладке DNS в диалоговом окне Advanced TCP/IP Settings для свойств IPv6 и IPv4. Иначе порядок просмотра можно настроить с использованием списка с разделительными запятыми из параметра DNS Suffix Search List в разделе Computer Configuration, Policies, Administrative Templates, Network, DNS Client in Group Policy (для Windows Server 2003, XP и более поздних версий).
Аналогично, если сформировать новую зону DNS, secure.HR.ADcompany.com, на сервере DNS HR с целью создания отдельной зоны для важных ресурсов сервера, защищенных с использованием расширений безопасности DNS (DNSSEC), то необходимо установить порядок просмотра суффикса DNS, чтобы клиенты DNS могли обнаружить ресурсы в новой зоне по однокомпонентному имени. В этом случае требуется новая зона DNS, так как DNSSEC не поддерживает динамические обновления — возможность клиентов хранить записи для автоматического обновления сервера, что является обычным и желательным режимом зон DNS, в которых хранятся записи узлов для клиентских компьютеров.
Как правило, IP-адреса компьютеров серверов не изменяются, поэтому защищенными зонами можно управлять вручную.
Условная пересылка
Кроссдоменные запросы для двух дочерних доменов, finance.ADcompany.com и HR.ADcompany.com, можно разрешать более эффективно, не отправляя рекурсивные запросы в сервер DNS в корневом домене леса, если настроить условную пересылку на серверах DNS в обоих дочерних доменах. Условная пересылка имеет приоритет перед пересылкой на уровне сервера. Ее эффективность выше благодаря возможности передавать запросы к определенным доменным суффиксам на заранее определенный сервер DNS, как показано на рисунке 3.
Рисунок 3. Условная пересылка |
Сервер DNS в HR.ADcompany.com будет содержать сервер пересылки, который отправляет все запросы для finance.ADcompany.com на основной сервер DNS для домена FINANCE и наоборот. Для настройки условной пересылки откройте консоль DNS на контроллере домена в домене HR из раздела Administrative Tools меню Start. В левой панели консоли DNS разверните DNS server, щелкните правой кнопкой мыши Conditional Forwarders и выберите из меню пункт New Conditional Forwarder. В диалоговом окне New Conditional Forwarder введите finance.adcompany.com в поле DNS Domain. В поле IP addresses of the master servers введите IP-адрес или имя сервера DNS в домене FINANCE и нажмите клавишу Enter. Нажмите кнопку OK, затем повторите процесс на сервере DNS в домене FINANCE, но укажите HR.ADcompany.com в поле DNS Domain и IP-адрес сервера DNS в домене HR.
Сложности DNS
В одной статье невозможно всесторонне рассмотреть проблему. Например, существуют два типа зон, дополнительные и зоны-заглушки, с помощью которых можно повысить производительность, а также новая функция Server 2008 R2, такая как DNSSEC. Но понимание основ совместной работы DNS и AD в интегрированном решении поможет более успешно развертывать AD и выполнять диагностику. Главное, в ходе тестирования новой или существующей инфраструктуры AD убедитесь, что каждый домен может обращаться к ресурсам во всех доверенных доменах. Кроме того, организуйте делегирование и условную пересылку для разрешения между пространствами имен. Соблюдение этих основных правил поможет более эффективно использовать DNS в сложной среде AD.
Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами
В данной статье мы рассмотрим самые начальные настройки Windows Server 2008 R2, данные настройки подходят для любой редакции (Standard, Enterprise и т.п). Мы рассмотрим самые популярные настройки, которые подходят для большинства задач, для которых устанавливают Windows Server. Это настройка сети, DNS, DHCP, настройка удаленных рабочих столов (RDP) и добавление пользователей.
Ознакомиться с процессом установки и активации Windows Server 2008 R2 можете в нашей прошлой статье.
1) Итак, первым делом, нам нужно сменить имя сервера на свой, для более удобного его обозначения. Заходим в меню «Свойства» компьютера => Изменить параметры => В меню «Свойства системы» нажимаем кнопку «Изменить». Далее вводим в поле «Имя компьютера» свое желаемое наименование Вашего сервера. И нажимаем «ОК», Ваш компьютер должен перезагрузиться для применения параметров.
2) Теперь нам нужно задать серверу статический локальный IP адрес. К примеру если у Вас сервер присоединен к маршрутизатору (роутеру), то IP адрес выданный Вашим роутером можете проверить через терминал, путем нажатия кнопки «Выполнить» => CMD => В в ответе командной строки можете посмотреть Ваш локальный IP.
Далее заходим в «Панель управления» => Сеть и интернет => Центр управления сетями и общим доступом => Подключение по локальной сети.
Выбираете Вашу сетевую карту => Свойства.
IPv4 => Свойства
Теперь задаете Ваш локальный IP адрес. После применения настроек проверьте доступ в интернет, чтобы убедиться, что все сделано правильно.
3) Теперь приступим к установке ролей. Заходим в диспетчер серверов, нажимаем на пункт «Роли» => Добавить роли.
Здесь выбираем то, что для Вас нужно именно в работе сервера, большинство настроек ролей задаются сразу из установки роли. Поэтому мы рассмотрим варианты в случае когда определенная роль устанавливается, или пропускается. На примере мы установим DHCP сервер и зададим ему диапазон IP адресов для раздачи в локальную сеть, зададим домен и службы удаленных рабочих столов.
В службах ролей выбираем пункты для работоспособности RDP.
Если у Вас нет SSL сертификата, нажимаете «Не требовать проверку …».
Здесь нужно выбрать пункт в зависимости от Вашего ключа активации для лицензирования удаленных рабочих столов. На устройство, или на пользователя. Их настройка ничем не отличается друг от друга, разница лишь в том, какой ключ Вы будете вводить. Если Вы пока не уверены в способе лицензирования можете выбрать «Настроить позже» к настройкам RDP мы вернемся чуть позже. А так же, если у Вас нет ключа для лицензирования RDP, то приобрести ключ активации Windows Server CAL на 20 пользователей можете в нашем каталоге.
Пропускаем пункт сертификатов.
В меню «Взаимодействие с пользователями разрешаем аудио и видео.
Доходим до параметров DHCP, указываете в нем названием Вашего домена, и Ваш локальный IP адрес для подключениям к данному DNS.
Теперь добавим области (диапазоны) DHCP.
Задайте имя для Вашего DHCP сервера, начальный IP адрес и конечный, который будет раздавать Ваш сервер.
Отключаем IPv6
Если Вы в установке ролей выбрали службу печати (если она Вам нужна), то установке служб так же выбираете «Сервер печати».
Доходим до подтверждения и устанавливаем роли.
После установки ролей необходимо перезагрузиться.
4) Теперь настроим DNS (домен). Открываем дерево «Диспетчер сервера» => DNS-сервер => DNS => Ваше имя сервера (в нашем случае «Server») => Глобальные журналы => Зоны обратного просмотра => Создать новую зону.
Выбираем пункт «Основная зона».
Зона обратного просмотра IPv4.
Выбираете Ваш идентификатор сети, под которым будет работать данный домен.
Для Windows Server 2008r2 рекомендуем отключать динамические обновления, лучше делать обновления в ручную.
5) Приступим к настройкам удаленных рабочих столов (RDP) Windows Server 2008 R2. Не важно, задали ли вы тип лицензирования (на устройство или на пользователя) в процессе установки, мы пройдемся по всем настройкам и определим тип уже в них.
Заходим в меню «Пуск» => Администрирование => Службы удаленных рабочих столов => Конфигурация узла сеансов удаленных рабочих столов.
Внизу будет выбор параметров, из пункта «Лицензирование» выбираем пункт «Режим лицензирования удаленных рабочих столов».
Теперь здесь уже выбираем Ваш тип лицензирования в зависимости от Вашего ключа активации RDS User или Device CAL. Если у Вас нет ключа активации, приобрести его можете в нашем каталоге. Настройки «на пользователя», или «на устройство» ничем не отличаются друг от друга, кроме выбора непосредственно самого пункта лицензирования и Вашего ключа активации.
На примере выберем «На устройство» и нажимаем «Добавить».
Добавляем Ваш сервер из «Известных» в «Указанные», после нажимаем «ОК».
После, видим, что сервер добавлен, но не лицензирован. И находится пока в режиме ожидания.
Заходим в меню «Пуск» => Администрирование => Службы удаленных рабочих столов => Диспетчер лицензирования удаленных рабочих столов.
В новом окне у Вас будет Ваш сервер, на котором будет указано состояние активации — «Не активирован». Нажимаете правой кнопкой мыши => Активировать сервер.
Рекомендуем выбрать «Автоматический режим».
Вводите данные Вашей организации. (Можно вводить любые данные, они не требуют проверки).
Запускаем мастер установки лицензий.
При лицензировании — выбираем «Пакет лицензий в розницу» => Далее.
И теперь вводите Ваш ключ активации для лицензирования RDP (удаленных рабочих столов).
В зависимости от типа лицензирования у Вас может выйти следующее окно, в нем нужно будет ввести количество пользователей или устройств, которое указано в Вашей лицензии.
Завершаем работу мастера установки лицензий. Если все прошло успешно, то у Вас выйдет следующее окно.
Теперь Вы можете увидеть, что Ваш сервер настроен на определенное число подключений, в заивимости от Вашего сервера.
6) Но чтобы подключаться по RDP нам нужны пользователи, а точнее, нам нужно их завести. Заходим в «Диспетчер серверов» => Открываем дерево «Конфигурация» => Локальные пользователи и группы => Выбираем «Пользователи», далее в окне пользователей нажимаем правой кнопкой мыши => Новый пользователь.
Заполняем карточку пользователя и задаем ему пароль.
На этом все. Теперь Вы можете подключить первого клиента к серверу Windows Server 2008 R2.
-
January 23 2013, 15:08
Listens: На Марсе классно — Нойз
- IT
- Cancel
Для тех,кто хочет делать все последовательно и правильно, или по необходимости (для меня в том числе) нужно сначала поднимать ДНС сервер, потом контроллер домена КД и далее как вам угодно.Итак:
1. Установка роли. Диспетчер сервера — Роли — ПКМ — Добавить роль — DNS-сервер:
2. Настройка. Для настройки переходим Пуск — Администрирование — ДНС — Выделяем имя нашего сервера — Действия — Настроить DNS — сервер:
3. Выбираем тип зоны. У нас небольшая тестовая сеть, поэтому выбираем Создать зону прямого просмотра:
4. Говорим,что ДНС сервер будет обслуживаться этим сервером и нам не нужны никакие поставщики интернета:
6. Разрешаем/запрещаем динамические обновления для нашей ДНС-зоны. В данном случае они запрещены,но лучше их разрешить (это возможно только если зона интегрирована в AD):
7. Настройка сервера пересылки:
И немного теории про последовательность пересылки Порядок IP-адресов, которые указаны в качестве серверов пересылки на DNS-сервере, определяет последовательность использования этих IP-адресов. После того, как DNS-сервер перешлет запрос на сервер пересылки, имеющий первый IP-адрес из списка, он некоторое время ожидает ответ от этого сервера пересылки (в соответствии с параметром времени ожидания пересылки на DNS-сервере) перед повтором этой операции пересылки на следующий по списку IP-адрес. Этот процесс повторяется, пока не будет получен утвердительный ответ от сервера пересылки.
8. Завершение установки:
9. Итак у нас есть 3 зоны прямого просмотра, из которых одна только что созданная нами:
В этой зоне прямого просмотра должна быть создана запись (если она не создалась автоматически по какой-то причине) типа А или ААА с название хоста и указанием адреса днс сервера. Запись А(ААА) связывает имя хоста и IP-адресом.С их помощью серверы распознаются в зоне прямого просмотра, а выполнение запросов в средах с несколькими зонами происходит значительно лучше. Также можно создать запись указателя PTR, которая связывается IP-адрес хоста с его именем.
Разбор полетов (ошибки,уведомления и предупреждения DNS сервера)
Статус работы днс сервера можно смотреть в глобальном журнале
1. Радостные уведомнения:
Для ликвидации этого предупреждения можно попробовать проделать следующее: Вынести хранение зон DNS-сервера из AD (оснастка dns-сервера — свойства зоны названиезоны.доменпервого уровня и в открывшихся свойствах — кнопка «Изменить» напротив надписи «Тип зоны» и убрать галочку «Хранить зону в Active Directory»). Перезагрузить машину и вновь посмотреть журнал ошибок. Опять же, если делат dcdiag /test:DNS (или просто dcdiag) и он покажет что «лесные» и доменные зоны прошли проверку успешно,то нет поводов для беспокойства — dns должен работать нормально.
3. Ошибка вызвана тем, что сначала ставился только dns сервер, без AD, поэтому он и просит проверить, нормально ли работает Active Directory:
Диагностика dns сервера
Опять же, если делат dcdiag /test:DNS (или просто dcdiag) и он покажет что «лесные» и доменные зоны прошли проверку успешно,то нет поводов для беспокойства — dns должен работать нормально:
Пользователь ESET Антон Севостьянов подготовил руководство по развертыванию и администрированию сети на основе выделенного сервера.
Сегодня хочу рассказать о настройке Windows Server 2008 R2 в условиях, приближенных к боевым (то есть в виртуальной среде). Такой подход позволит в домашних условиях протестировать и изучить все возможности данной технологии.
В статье рассматриваются следующие вопросы:
- настройка DNS сервера;
- установка Active Directory;
- взаимодействия учетных записей в рабочей группе и в домене;
- подключение компьютеров к домену;
- создание доменных пользователей;
- управление доступом к ресурсам;
- настройка DHCP сервера;
- подключение сети к интернет;
- настройка групповой политики;
Для начала вам понадобится 64-разрядная операционная система Windows и программа управления виртуальными машинами (например, VMWare). Минимальные системные требования: 6 Гб ОЗУ и 70 Гб свободного места на жестком диске.
Требования к ресурсам вашего ПК зависят от того, сколько машин будет в виртуальной сети и какие на них установлены ОС.
Установка клиентских машин с ОС Windows 7, 8.1 и 10
В нашем примере будет 4 компьютера под управлением Windows Server 2008 R2, 7, 8.1 и 10. Таким образом, 4 Гб оперативной памяти понадобится только для работы виртуального полигона.
Начинаем с установки и настройки DNS-сервера. С помощью программы VMWare создаем серверную и клиентские виртуальные машины:
Файл Новая виртуальная машина Выборочный Указываем установочный образ системы Windows 2008 R2 Путь к виртуальной машине D:VirtualMashinDomain 2008R22008R2 1Гб Использовать только сеть для узла Создать виртуальный диск: 40 Гб, хранить в одном файле Готово
Затем устанавливаем ОС Windows Server 2008 R2:
- Запускаем виртуальную машину
Открываем BIOS (клавиша F2) и проверяем правильность настроек для загрузки с виртуального привода. Нужно убедиться, что у виртуального привода установлен высший приоритет. Если это не так, меняем соответствующие настройки в BIOS
Аналогичным образом создаем виртуальные машины для клиентских операционных систем.
Перед настройкой DNS-сервера, переименовываем его в server, чтобы назначение компьютера в сети было понятно:
Мой компьютер ПКМ Свойства Имя компьютера Изменить параметры Изменить server ОК Перезагрузка
Теперь назначаем сетевой карте статический IP-адрес, так как у сервера IP-адрес меняться не должен:
Центр управления сетями и общим доступом Подключение по локальной сети Свойства Протокол интернета версии 4
Устанавливаем значения:
IP: 192.168.0.1
Mask: 255.255.255.0
Теперь переходим настройке DNS-сервера:
Пуск Администрирование Диспетчер сервера Роли Добавить роли Далее DNS-сервер Далее Далее Установить Закрыть
Далее сконфигурируем DNS-сервер:
Пуск Администрирование Диспетчер сервера Роли DNS-сервер DNS Server ПКМ Настроить DNS Создать зоны прямого и обратного просмотра
Зона прямого просмотра — преобразование имени в адрес, зона обратного просмотра —– преобразование адреса в имя. Выбираем «Да, создать зону прямого просмотра», затем «Основная зона», то есть зона будет храниться и обновляться на сервере. Дополнительная зона создается в ситуации, когда основная хранится на другом сервере, а на текущем сервере сохраняется копия. Это нужно для распределения нагрузки на основной сервер:
Имя зоны: office.local Создать новый файл зоны Динамическое обновление зоны
Создание файла office.local
Записи в DNS необходимо регулярно обновлять. Если у компьютера изменится IP-адрес, он должен быть изменен в записи, относящийся к доменному имени этого ПК, чтобы другие компьютеры знали, к какому IP-адресу нужно обращаться. Если записи не соответствуют действительности, то компьютер просто не сможет получить доступ к сети.
Существует несколько вариантов динамического обновления зоны DNS:
- Разрешить только безопасные динамические обновления. Рекомендуется использовать этот способ. Однако опция будет недоступна до создания домена, пока не установлена служба Active Directory.
- Разрешать любые динамические обновления — эту настройку лучше не использовать, так как данные могут быть недостоверны
- Запретить динамическое обновление — записи придется обновлять вручную. Выбираем этот способ, пока динамические обновления неактивны. После поднятия домена просто изменяем настройки
В нашем примере сервер будет всего один, поэтому пересылка запросов не потребуется:
Серверы пересылки Нет, не пересылать запросы Готово
Надеюсь, статья пригодилась. Пишите замечания в комментариях!
Антон Севостьянов
системный администратор, www.sys-team-admin.ru