Добрый день! Прошу помощи, т.к. сам не смог найти материала для решения моей проблемы:
Суть вопроса — Имеется ДК на Windows Server 2008 R2 Enterprise x64. На нем подняты роли DNS, AD, DHCP (так было нужно сделать, планирую выделить отдельный сервер для DHCP), сервер функционирует нормально, т.е. корректно раздает имена, регистрирует записи,
DNS и AD работают вполне корректно (за месяц не было ошибок, кроме тех о которых я скажу ниже). Основной вопрос: вот что выдает dcdiag-
C:Windowssystem32>dcdiag /test:dns
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = ResDC
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-NameRESDC
Запуск проверки: Connectivity
……………………. RESDC — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-NameRESDC
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут…
……………………. RESDC — пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: TSN
Выполнение проверок предприятия на: TSN.DC
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: ResDC.TSN.DC
Домен: TSN.DC
TEST: Basic (Basc)
Error: can’t read network adapter information through WMI
Warning: The A record for this DC was not found
Warning: The AAAA record for this DC was not found
Не найдены записи узла (A или AAAA) для данного DC
TEST: Dynamic update (Dyn)
Warning: Failed to delete the test record dcdiag-test-record i
n zone TSN.DC
TEST: Records registration (RReg)
Ошибка. Не удается найти регистрации записей для всех сетевых
адаптеров
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: TSN.DC
ResDC PASS FAIL PASS PASS WARN FAIL n/a
……………………. TSN.DC — не пройдена проверка DNS
Ребят, подскажите куда копать? Заранее спасибо!
так же прилагаю:
C:Windowssystem32>ipconfig /all
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : ResDC
Основной DNS-суффикс . . . . . . : TSN.DC
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : TSN.DC
Состояние карантина системы. . . . . : Не ограничено
Ethernet adapter Local Area Connection:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 90-2B-34-34-6E-35
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 10.0.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.0.0.3
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{56FD5DDA-4823-4676-B984-83F7988CD941}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
C:Windowssystem32>netdom query fsmo
Хозяин схемы ResDC.TSN.DC
Хозяин именования доменов ResDC.TSN.DC
PDC ResDC.TSN.DC
Диспетчер пула RID ResDC.TSN.DC
Хозяин инфраструктуры ResDC.TSN.DC
Команда выполнена успешно.
C:Windowssystem32>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server ResDC
Привязка к ResDC …
Подключен к ResDC с помощью учетных данных локального пользователя.
server connections: quit
fsmo maintenance: select operation target
select operation target: list roles for connected server
Серверу «ResDC» известно о 5 ролях
Схема — CN=NTDS Settings,CN=RESDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=TSN,DC=DC
Хозяин именования — CN=NTDS Settings,CN=RESDC,CN=Servers,CN=Default-First-Site-N
ame,CN=Sites,CN=Configuration,DC=TSN,DC=DC
PDC — CN=NTDS Settings,CN=RESDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=TSN,DC=DC
RID — CN=NTDS Settings,CN=RESDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=TSN,DC=DC
Инфраструктура — CN=NTDS Settings,CN=RESDC,CN=Servers,CN=Default-First-Site-Name
,CN=Sites,CN=Configuration,DC=TSN,DC=DC
select operation target: quit
fsmo maintenance: quit
ntdsutil: quit
C:Windowssystem32>nslookup
╤хЁтхЁ яю єьюыўрэш■: localhost
Address: 127.0.0.1
> exit
Вот…
DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Настройка сетевого адаптера для DNS-сервера
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.
Далее предстоит проделать цепочку действий:
- Необходимо нажать правой клавишей мыши по значку сети в системном трее, в выпадающем меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть ссылку Изменение параметров адаптера:
- Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующие поля необходимыми данными:
Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].
Установка роли DNS-сервера
Для установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.
- В левой части окна Диспетчера сервера откройте раздел Роли, после чего в правой части окна отобразится команда Добавить Роли:
- Откроется окно Мастера, в котором рекомендуют убедиться что:
1. Учётная запись администратора защищена надёжным паролем.
2. Настроены сетевые параметры, такие как статические IP-адреса.
3. Установлены новейшие обновления безопасности из центра обновления Windows.
- Убедившись, что все условия выполнены, нажмите Далее;
- Отметьте чек-боксом роль DNS-сервер и перейдите Далее:
- Прочитайте информацию и нажмите Далее:
- Убедитесь, что выбор сделан правильно, и подтвердите нажатием кнопки Установить:
- Дождитесь завершения установки и закройте Мастер установки:
Создание зон прямого и обратного просмотра
Доменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Данный инструмент открывается из навигационного дерева Диспетчера Сервера:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выберите «Основная зона» и перейдите Далее:
- Укажите имя зоны и нажмите Далее:
- При необходимости поменяйте название будущего файла зоны и нажмите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:
- Выберите тип «Основная Зона», перейдите Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись обратная A записи.
- В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:
Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавив все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):
- Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
В данном руководстве подробно описан и продемонстрирован процесс настройки DNS-сервера на Windows Server 2008 R2.
Для настройки DNS-сервера на Windows Server 2008 R2 потребуются:
1. Компьютер, под управлением Windows Server 2008 R2 (О том как установить Windows Server 2008 R2 можно прочитать в данной статье: «Установка и активация Windows Server 2008 R2 с USB флешки» );
2. Установленная и настроенная роль Active Directory Domain Services (контроллер домена) на Windows Server 2008 R2 (О том как установить Active Directory Domain Services можно прочитать в данной статье: «Установка контроллера домена Active Directory в Windows Server 2008 R2» ).
.
Порядок настройки DNS-сервера на Windows Server 2008 R2
1. Откройте окно диспетчера сервера, затем разверните последовательно разверните узлы Роли, DNS-сервер и DNS, после чего щелкните на имени сервера DNS (прим. в данном руководстве имя WIN2008R2DC) (Рис.1).
Рис.1
.
2. В меню Действие выберите пункт Настроить DNS-сервер… (Рис.2).
Рис.2
.
3. На странице приветствия мастера настройки DNS-сервера щелкните на кнопке Далее (Рис.3).
Рис.3
.
4. Выберите пункт Создать зоны прямого и обратного просмотра (рекомендуется для больших сетей) и щелкните на кнопке Далее (Рис.4).
Рис.4
.
5. Выберите пункт Да, создать зону прямого просмотра сейчас (рекомендуется), затем нажмите Далее (Рис.5).
Рис.5
.
6. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.6).
Рис.6
.
7. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.7).
Рис.7
.
8. Введите имя зоны (прим. в данном руководстве используется имя example.local), затем нажмите Далее (Рис.8).
Рис.8
.
9. Выберите нужный тип динамического обновления Разрешить только безопасные динамические обновления, либо Запретить динамические обновления, затем нажмите Далее (Рис.9).
Рис.9
.
10. Выберите пункт Да, создать зону обратного просмотра сейчас и нажмите Далее (Рис.10).
Рис.10
.
11. Выберите тип зоны Основная зона, установите галочку напротив Сохранять зону в Active Directory, затем нажмите Далее (Рис.11).
Рис.11
.
12. Выберите пункт Для всех DNS-серверов, работающих на контроллерах домена в этом домене (прим. в данном руководстве используется домен с названием example.local), затем нажмите Далее (Рис.12).
Рис.12
.
13. Выберите пункт Зона обратного просмотра IPv4, затем нажмите Далее (Рис.13).
Рис.13
.
14. Введите идентификатор сети для зоны обратного просмотра и нажмите Далее (прим. как правило, в качестве сетевого идентификатора вводится первый набор октетов из IP-адреса зоны. Например, если в сети используется диапазон IP-адресов класса С 192.168.0.0/24, то в качестве сетевого идентификатора могут быть введено значение 192.168.0.) (Рис.14).
Рис.14
.
15. Выберите Запретить динамические обновления, затем нажмите Далее (Рис.15).
Рис.15
.
16. В настройках пересылки выберите пункт Нет, не пересылать запросы, затем нажмите Далее (Рис.16).
Рис.16
.
17. Для сохранения выбранных параметров настройки нажмите Готово (Рис.17).
Рис.17
.
Настройка DNS-сервера в Windows Server 2008 R2 завершена!
.
The Domain Name System (DNS) is a hierarchical distributed naming system for computers, services, or any resource connected to the Internet or a private network. It associates various information with domain names assigned to each of the participating entities.
Most importantly, it translates domain names meaningful to humans into the numerical identifiers associated with networking equipment for the purpose of locating and addressing these devices worldwide.
However, most Windows administrators still rely on the Windows Internet Name Service (WINS) for name resolution on local area networks and some have little or no experience with DNS. We’ll explain how to install, configure, and troubleshoot a Windows Server 2008 DNS server.
Installation:
Step 1: Install a DNS server from the Control Panel, follow these steps:
- Go to Start —> Control Panel —> Administrative Tools —> Server Manager.
- Expand and click Roles
- Click on Add Roles
Step 2 : The new window will open with the list of roles available to install. Select DNS server and Click Next.
Step 3: Click Next on the introduction windows. In the last window click on install. It will start installation, the following window shows the progress of installation.
Configuring DNS:
After installing DNS, you have to go Start —> All Programs —> Administrative Tools —> DNS for managing DNS server.
Whenever configuring your DNS server, you must be know about following concepts:
- Forward lookup zone
- Reverse lookup zone
- Zone types
A forward lookup zone is helps to resolve host names to IP addresses. A reverse lookup zone allows a DNS server to discover the DNS name of the host. Basically, it is the exact opposite of a forward lookup zone. A reverse lookup zone is not required, but it is easy to configure and will allow for your Windows Server 2008 Server to have full DNS functionality.
When selecting a DNS zone type, you have the following options: Active Directory (AD) Integrated, Standard Primary, and Standard Secondary. AD Integrated stores the database information in AD and allows for secure updates to the database file. This option will appear only if AD is configured. If it is configured and you select this option, AD will store and replicate your zone files.
A Standard Primary zone stores the database in a text file. This text file can be shared with other DNS servers that store their information in a text file. Finally, a Standard Secondary zone simply creates a copy of the existing database from another DNS server. This is primarily used for load balancing.
Step 1: Right Click on the name of the server in the DNS management console, Select on the Configure DNS server.
Step 2: Click on Create forward and reverse lookup zone, then click next.
Step 3: Click on the Yes,create the forward lookup zone now on the forward lookup zone window.
Step 4: Click on the desired zone that you want to create, in this case Primary Zone.
Step 5: Type the Name of the Zone and click Next.
Step 6: Click Next on the Zone File Name.
Step 7: Select the Allow both nonsecure and Secure dynamic updates and click Next to Continue.
Step 8: Select Yes, I want to create reverse lookup zone now, Click Next to continue.
Step 10: Select Primary Zone in Zone creating Window.
Step 11: Choose whether you want to create IPv4 or IPv6 reverse lookup zone.( in mycase IPv4 Reverse lookup zone).
Step 12: Type you netword ID in the following window.
Step 13: Click Next on the Reverse lookup Zone file name window.
Step 14: Select the Allow both nonsecure and Secure dynamic updates and click Next to Continue.
Step 15: Select No, i should not forward queries, then click Next.
Step 16: Click finish on the final window.
Managing DNS Server:
After the installation and configuration of the forward and reverse lookup zone, now the server is ready to create the other records associated with the DNS and Zones. There are several records available, here i am listing some of the important records.
- Start of Authority (SOA)
- Name Servers
- Host (A)
- Pointer (PTR)
- Canonical Name (CNAME) or Alias
- Mail Exchange (MX)
Start of Authority (SOA):
Specifies authoritative information about a DNS zone, including the primary name server, the email of the domain administrator, the domain serial number, and several timers relating to refreshing the zone. The following properties window shows the information about the SOA record of the Geeksite.in Zone.
Name Servers (NS Record):
Name Servers that specify name servers for a particular domain. You set up all primary and secondary name servers through the Properties window of the Zone.
Step 1: Right Click on the Zone name and click on properties.
Step 2: Click on the Name server Tab.
Step 3: If require, add the name server by clicking Add button. You require FQDN of the server name and IP Address.
Host Records (A Record):
It is mainly used for mapping the Host name with IP address, you can able to create Pointer Record at the same time.
Here is the Steps to create the A record.
Step 1: Right click on the Zone name, Select the New Host (A or AAAA)
Step 2: Type the Name of the New Host and IP Address, then Click Add Host.
Following window shows the both Step 1 and Step 2.
Canonical Name (CNAME) or Alias records
A Canonical Name (CNAME) or Alias record allows a DNS server to have multiple names for a single host. For example, an Alias record can have several records that point to a single server in your environment. This is a common approach if you have both your Web server and your mail server running on the same machine.
Here is the Steps to create CNAME record.
Step 1: Right Click on the Zone name and click on New Alias (CNAME )
Step 2: Type your Alias Name.
Step 3: Browse for or Type the Fully Qualified Domain Name (FQDN) of the Target Host.
Step 4: Click OK.
Following window shows Step 1-4.
Mail Exchanger (MX Records):
Mail exchanger records to identify the mail server for the particular domain. We can create the mail servers records with the priority, the mail server with highest priority will be preferred first for receiving the mail.
Here are the Steps to create the Mail Exchanger record.
Step 1: Right click on the Zone name. click on the New Mail Exhanger (MX).
Step 2: Type the Host or child domain name.
Step 3: Browse for or Type FQDN of the mail server.
Following Window Shows Step 1-3.
Testing DNS Server:
The DNS server is now up and ready for resolving the domain names. Change DNS name server ip address in your local area connection, then use the Nslookup utility. Nslookup is the main utility for testing and trouble shooting the DNS server. It helps to get all the information of the prticular domain.
The following image shows the example of the nslookup command.
That’s All!
Обновлено 24.11.2018
И всех приветствую вновь на страницах своего блога Pyatilistnik.org. В первой части мы с вами установили DNS сервер, теперь нужно понять, как его настроить и как он работает. Мы поговорим про DNS зоны, каких видов они бывают и как их правильно настроить для корректной работы в вашей инфраструктуре. Напоминаю, что данную роль я бы сравнил с кровеносной системой человека, которая разносит информацию по всему организму.
Создание основной и дополнительной зоны в оснастке DNS
Напомню, что в моем примере у меня есть тестовый домен contoso.com DNS в сети является контролер домена, и нам нужно, чтобы наш новый DNS сервер (который не является контроллером домена) смог быть дополнительным DNS и держателем зоны contoso.com. Открываем DNS оснастку на standalone сервере, в моем примере это сервер vcenter.
Как настроить DNS сервер в windows server 2008R2-01
Видим, что теперь можно настроить.
Как настроить DNS сервер в windows server 2008R2-02
Выбираем зону прямого просмотра, правый клик-свойства
Как настроить DNS сервер в windows server 2008R2-03
В мастере жмем далее
Как настроить DNS сервер в windows server 2008R2-04
Теперь на странице мастера мы видим возможные варианты зон:
- Основная зона DNS
- Дополнительная зона
- Зона-заглушка
Как настроить DNS сервер в windows server 2008R2-05
Основная зона
Если зона, хранящаяся на DNS-сервере, является основной, DNS-сервер становится основным источником сведений об этой зоне — он хранит главную копию данных зоны в локальном файле или в доменных службах Active Directory. Если зона хранится в файле, файл основной зоны называется имя_зоны.dns и размещается в папке сервера %windir%System32Dns.
Сначала создадим основную зону. Щелкаем далее.
Как настроить DNS сервер в windows server 2008R2-05
Пишем название зоны contoso.com
Как настроить DNS сервер в windows server 2008R2-06
Создать новый файл, если бы у вас был уже файл его можно было бы использовать.
Как настроить DNS сервер в windows server 2008R2-07
Запрещаем динамические обновления в целях безопасности.
Как настроить DNS сервер в windows server 2008R2-08
Готово
Как настроить DNS сервер в windows server 2008R2-09
Теперь проверим создался ли наш файлик. Идем c:windowssystem32dns
Как настроить DNS сервер в windows server 2008R2-10
Файл contoso.dns.com можно открыть любым текстовым редактором.
Как настроить DNS сервер в windows server 2008R2-11
Видим наши записи
Как настроить DNS сервер в windows server 2008R2-12
Проблема одиночных DNS домене т.е. те которые установлены не совместно с AD, в том что сразу с DNS сервера, который находится на DC зону среплицировать не получиться.
Создадим дополнительную зону DNS
Удаляем созданную до этого зону и выбираем создать новую
Как настроить DNS сервер в windows server 2008R2-13
так же через клик по контейнеру «Зоны прямого просмотра»
Как настроить DNS сервер в windows server 2008R2-03
На первом окне мастера настройки дополнительной зоны, просто нажимаем далее.
Как настроить DNS сервер в windows server 2008R2-04
Выбираем дополнительная зона. Если зона, хранящаяся на DNS-сервере, является дополнительной, DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который будет обеспечивать этот сервер обновленными данными о зоне. Так как дополнительная зона является копией основной зоной, хранящейся на другом сервере, она не может быть размещена в доменных службах Active Directory.
Как настроить DNS сервер в windows server 2008R2-14
Пишем название зоны
Как настроить DNS сервер в windows server 2008R2-15
Пишем имя DNS сервера, который эту зону даст среплицировать на этот DNS.
Как настроить DNS сервер в windows server 2008R2-17
Если все хорошо, то он получит зеленый статус.
Как настроить DNS сервер в windows server 2008R2-18
Готово.
Как настроить DNS сервер в windows server 2008R2-19
Как видим зона создалась, но не среплицировалась, и это правильно с точки зрения безопасности. В следующей части мы настроим сервер dc на репликацию с дополнительной зоной. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.
При неполадках в разрешении имен DNS в среде Microsoft Active Directory (AD) нередко возникают проблемы. DNS — краеугольный камень для среды AD, и без корректного разрешения имен операции могут прерваться или застопориться. Вероятно, проблема разрешения имен появилась со временем из-за постепенного отхода от надежной древовидной иерархической схемы. Ниже приводятся основные рекомендации и описываются средства диагностики, позволяющие предотвращать или решать проблемы DNS.
Рекомендация 1. Пространство имен DNS должно отражать смежную древовидную иерархию
Пространство имен DNS Интернета имеет древовидную иерархическую организацию, управление которой делегировано администраторам службы DNS, отвечающим за различные «ветви» пространства имен DNS (IETF RFC 1034, RFC 1032). Подобно своим собратьям по Интернету, администраторы DNS корпоративных сетей должны следовать иерархической древовидной концепции. Наличие фрагментарности или несвязностей в пространстве имен корпоративной сети порождает сложности в виде добавления серверов пересылки, зон-заглушек и/или дополнительных зон.
Рассмотрим случай, когда одна компания приобретает другую и каждая из них имеет независимое пространство имен. Эти пространства должны быть функционально объединены с использованием доверительных отношений Windows Server. Предлагаемый подход заключается в создании безопасной виртуальной частной сети (VPN) между средами двух компаний в корне каждого отдельного непрерывного пространства имен. Передача запросов об именах по сети VPN в пространство имен на противоположном конце «VPN-туннеля» осуществляется с использованием серверов пересылки, как показано на рисунке. Любые запросы, не удовлетворяющие критериям условий сервера пересылки, направляются на серверы DNS поставщика услуг Интернета (ISP). Серверы DNS, настроенные на пересылку по условию и расположенные на корневом уровне одного из двух непрерывных пространств имен, направляют запросы на конкретный сервер DNS, расположенный в другом непрерывном пространстве имен. На этом сервере DNS в кэше накапливается информация о пространстве имен, что снижает необходимость в рекурсии.
Рисунок. Использование пересылки по условию между раздельными пространствами имен DNS корпоративной сети |
Вместо использования серверов пересылки некоторые администраторы предпочитают создавать зоны-заглушки на серверах DNS в доменах верхнего уровня корпоративной сети, например domain1.local и domainA.local. Зоны-заглушки содержат только те записи, которые необходимы для определения доверительных серверов DNS для подчиненной зоны, и имеют значение скорее тогда, когда зоны не хранятся в AD. Зоны-заглушки имеют значение, когда необходимо поддерживать информированность сервера DNS в родительской зоне о доверительных серверах DNS в дочерней зоне. Зоны-заглушки повышают сложность, поскольку ответ службы DNS такой зоны на запрос об имени содержит информацию обо всех заслуживающих доверия серверах DNS в домене. Цель же состоит в организации работоспособной и простой для диагностики инфраструктуры DNS.
Рекомендация 2. Нужно знать, где хранится информация DNS
Данные зоны DNS могут размещаться в хранилище AD или в файловой системе в папке c:%systemroot%system32dns. Настоятельно рекомендуется сохранять информацию зоны в AD, а затем выполнять ее репликацию на каждом сервере DNS в домене (DomainDNSZones) или в лесу (ForestDNSZones). Оптимальный вариант — сохранение данных DNS на каждом сервере DNS домена с последующей передачей этой информации в родительскую зону. Пересылка данных DNS настраивается так, чтобы серверы DNS доменов child1.domain1.local и child2.domain1.local направляли данные на серверы DNS домена domain1.local. В родительском домене осуществляется делегирование для каждого дочернего домена.
Рекомендация 3. Определить, относится ли проблема DNS к сфере регистрации или к сфере разрешения имен
Для разрешения имени необходимо, чтобы это имя было зарегистрировано в какой-либо зоне на сервере DNS. В среде Windows разные службы регистрируют различные записи. В Windows 7, Windows Vista, Windows Server 2008 R2 и Server 2008 записи A и PTR регистрирует служба клиента DNS. В Windows XP и Windows Server 2003 эти записи регистрирует служба клиента DHCP.
Интервал регистрации — 24 часа, за исключением случаев, когда регистрацию выполняет сервер DHCP; в таких случаях регистрация должна выполняться при обновлении аренды адреса клиента DHCP.
В случае Server 2008 R2, Server 2008 и 2003 за регистрацию некоторых дополнительных записей отвечает служба Netlogon. Журнал записей, регистрируемых службой Netlogon, хранится в папке %SystemRoot%System32ConfigNetlogon.dns. В случае Server 2008 контроллеры домена (DC) динамически регистрируют от 15 до 30 записей SRV каждый час, а в случае 2003 служба Netlogon выполняет регистрацию каждые 24 часа.
В Server 2008 служба кластеров регистрирует ресурс «сетевое имя» кластера при включении этого ресурса в работу. Запись обновляется как минимум один раз каждые 24 часа. Чтобы определить, все ли IP-адреса ресурса «сетевое имя» зарегистрированы в DNS, можно использовать параметр RegisterAllProvidersIP. Более подробную информацию можно найти в статье Microsoft по адресу support.microsoft.com/kb/947048.
Проблема относится к сфере регистрации DNS. Если в DNS отсутствуют записи DNS, с помощью интерфейса редактора Active Directory (ADSI Edit) выясните, не связано ли это просто c отсутствием их отображения в графическом окне консоли DNS или AD. Убедитесь в существовании записей в AD, следуя шагам, описанным в статье по адресу support.microsoft.com/kb/867464. Если записи отсутствуют, установите сетевой монитор на системе, выполняющей регистрацию записей DNS, и выполните сетевую трассировку при попытке зарегистрировать записи A, PTR или SRV. Чтобы инициировать регистрацию записей A и PTR, введите команду
ipconfig/registerdns
Для регистрации записи SRV введите команду
c:net stop netlogon && net start netlogon
Остановите сетевую трассировку и выполните фильтрацию трафика DNS. При отсутствии регистрационных данных сетевой трассировки проверьте, запущена ли служба, отвечающая за регистрацию (клиент DHCP, клиент DNS, Netlogon, Cluster), и проанализируйте журналы событий. Если это не поможет, обратитесь в группу технической поддержки Microsoft.
Проблема относится к сфере разрешения DNS. Если техническая проблема не относится к сфере регистрации записей DNS, смените метод диагностики и проанализируйте разрешение имен DNS. Выполните проверку связи с целевым объектом по полному доменному имени (FQDN) на предмет успеха или отказа. В случае отказа связи по имени, но не по IP-адресу, убедитесь в правильности настроек сервера DNS в свойствах протокола TCP/IP системы, инициирующей запрос. Затем запустите сетевую трассировку и очистите кэш распознавателя с помощью команды
c:ipconfig/flushdns
Вновь проверьте связь с целевым объектом по FQDN (например, ping server.domain1.local), остановите сетевую трассировку и проверьте наличие исходящего запроса DNS и/или входящего ответа DNS. Задача состоит в том, чтобы определить, связана ли проблема с доставкой запроса на сервер DNS, либо, если сервер DNS получает запрос — c отсутствием ответа или же с его доставкой инициатору запроса DNS.
Рекомендация 4. Использование средств диагностики DNS
Для анализа проблем в DNS необходимо иметь следующие средства диагностики: DNSLint, DCDiag и NSlookup.
DNSLint. Утилита DNSLint реализует три функциональных теста с выдачей результатов в отчете в формате HTML. Тесты предназначены для выявления проблемы некорректного делегирования зон (lame delegation), проверки записей DNS, необходимых для успешного выполнения репликации AD, и контроля определяемого пользователем набора записей DNS на нескольких серверах DNS. Для тестирования доменных имен и получения результатов для диагностики проблемы некорректного делегирования в команде dnslint укажите параметр /d. Для задания IP-адреса сервера DNS, который является доверительным для данного домена, укажите /s. Для определения возможности разрешения записи DNS, для которой требуется репликация в лесу AD, укажите /ad. Более подробную информацию можно найти в статье «Description of the DNSLint utility» по адресу support.microsoft.com/kb/321045.
DCDiag. Команду dcdiag можно запустить с использованием параметра /test: DNS. Варианты теста включают основной тест DNS и тесты для серверов пересылки и корневых ссылок, делегирования, динамических обновлений DNS, регистрации записей DNS и имен Интернета.
Проверьте состояние работоспособности контроллера домена:
DCDIAG/TEST: DNS/v/s: /f:
Проверьте состояние работоспособности всех контроллеров домена в лесу:
DCDIAG/TEST: DNS/f/e/f:
Проверьте способность контроллера домена регистрировать записи DNS-локатора DC:
DCDIAG/TEST: RegisterInDNS /DnsDomain: /v/f:
В приведенных выше командах параметр /v задает вывод детальных данных, /s — локальное выполнение, /f — прямой вывод в файл, /e — тестирование всех серверов.
Для Windows Server 2003 SP2 следует пользоваться утилитой DCDiag, включенной в SP2, в соответствии с описанием (support.microsoft.com/kb/926027). Для Server 2008 и Server 2008 R2 выполните установку DCDiag: пройдя по пунктам меню Server Manager, Features, Add Features, Remote Server Administration Tools, Role Administration Tools, Select DNS Server Tools, Next, Install.
NSlookup. Хорошо известная команда диагностики DNS. Для просмотра вариантов синтаксиса NSlookup нужно запустить команду NSlookup из командной строки, а затем ввести help. Следует иметь в виду, что NSlookup имеет собственный встроенный разрешитель имен в исполняемом файле, поэтому не использует разрешитель операционной системы.
Рекомендация 5. Соответствие рекомендациям Microsoft относительно DNS
Контроль состояния работоспособности среды DNS для Server 2008 R2 следует осуществлять с использованием анализатора соответствия рекомендациям Microsoft Best Practices Analyzer (BPA) в составе пакета Server 2008 R2. Этот инструмент представлен в двух вариантах: один для проверки соответствия рекомендациям по конфигурации DNS, второй — для DNS. BPA представляет собой полезный инструмент сканирования среды DNS для Server 2008 R2 и анализа потенциальных проблем конфигурации DNS.
Чтобы открыть BPA, выполните следующие действия.
- В меню Start выберите Administrative Tools и далее Server Manager.
- На древовидном представлении откройте Roles и выберите роль, для которой нужно запустить BPA.
- На панели подробностей в разделе Summary откройте область анализатора соответствия рекомендациям Best Practices Analyzer.
Для Windows Server 2008 в анализаторе базовых настроек конфигурации Microsoft (MBCA) существует модель DNS. MBCA сравнивает настройки серверов DNS с рекомендациями для DNS, изложенными в модели DNS из MBCA 2.0.
Загрузку MBCA можно осуществить по ссылке http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=1b6e9026-f505-403e-84c3-a5dea704ec67.
Исправность DNS — работоспособное состояние AD
В случае неполадок в разрешении имен в среде Windows AD могут возникать различные проблемы. Определите источник проблемы: система, подсеть или сеть. Затем установите, относится ли данная проблема к сфере регистрации или к сфере разрешения имен DNS. При необходимости воспользуйтесь средствами Microsoft для диагностики и поддержания работоспособности среды DNS.
Бойд Гербер (boydg@microsoft.com) — инженер из отдела технической поддержки в Microsoft Networking Escalation. Специализируется на поддержке и настройке DNS
Первоначальную настройку windows server 2008 Ent делал на виртуальной машине (VB 4.2):
Целью было научиться устанавливать DNS сервер,поднять контроллер домена (установка Active Directory) и ввести клиентскую машину (windows 7 pro) в домен.
Начальные настройки — на виртуальной машине в качестве сетевого адаптера мной был выбрал «Виртуальный адаптер хоста», и на сервере ВРУЧНУЮ прописан статический адрес (это важно для настройки dns сервера).Так же нужно в Центре управления сетями и общим доступом отключен Доступ с парольной защитой и открыт общий доступ к файлам (эти действия зависят от ваших представлений о безопасности):
Перейдем у установке ролей (предварительно советую изменить имя сервера на читабельное,потому что так будет удобней тестить dns сервер). Сразу отмечу, в сети есть много статей,в которых настраивается сначала dns и только потом поднимается контроллер домена. AD не будет работать без dns сервера,обратите на это внимание! Я делал все через установку и настройку AD, частью которой является установка dns сервера. Мастер установки удобный и понятный,на определенном шаге сам предложит установить dns сервер.
1. испетчер сервера — Роли — Добавить роль — Доменные службы Active Directory и делаем установку. Когда роль будет установлена, перезагружаем машину:
2.Пуск — Выполнить — dcpromo.exe и открываем мастер настройки:
3.Выбираем Создать новый домен в новом лесу.
4.Вводим полное доменное имя корневого домена леса (FQDN): licey.local (чтобы оно минимум было из 2 составляющих):
5. Режим работы леса выбираем Windows server 2008.
6. Обязательно оставляем галочку напротив DNS-сервер:
7.В выпадающем окошке смело нажимаем ДА, и переходим у выбору расположения для баз данных, файлов журналов и SYSVOL (по желанию меняем путь).
8.Устанавливаем пароль администратора для режима восстановления служб каталогов и заканчиваем установку.
По желанию на вкладке Сводка можно сделать экспорт выбранных параметров с выбранными настройками.Обязательно перезагружаемся!
После перезагрузки входим уже в домен (чтобы нажать Ctrl+Alt+Del в VB нужно нажать RigthCtrl+Del):
Смотрим настройки DNS сервера:
На клиентской машине, вручную прописывает адрес 192.168.0.2, маску 255.255.255.0 и предпочитаемый dns сервер 192.168.0.1,т.е. адрес нашего настроенного сервера имен. В реально работающей сети нужно будет поднять DHCP сервер,который автоматически будет раздавать перечисленные выше параметры.
Далее на клиентской машине — Пуск — Свойства системы — Изменить параметры — Выбираем Домен — вводим название домена licey.local. В выпадающем окошке,которое просит логин и пароль вводим данные учетной записи администратора которая расположена на сервере! И получаем подтверждение о входе в домен. При этом компьютер-клиент автоматически появится в списке Active-Directory Пользователи и компьютеры в группе Computers. Далее создаем учетную запись на сервере и задаем ей пароль. По умолчанию пользователь будет помещен в группу «Пользователи домена»:
Обратите внимание,что сервер очень требовательно относится к созданию паролей и проверяет их на количество введенных символов (не менее 6), наличия большого/маленького регистра и специальных символов. Щелкнув на пользователе ПКМ можно изменять его многочисленные свойства.Под логином shkonda@licey.local можно будет заходить с любого компьютера который состоит в домене. Чтобы привязать учетную запись к ПК, нужно в свойства ПК выбрать вкладку Управляется и выбрать пользователя,который будет им управлять.
На этом закончим основную настройку DNS+AD.
Тестирование работы dns сервера
Способ №1
Для тестирования работы dns сервера можно применять 2 утилиты командной строки — nslookup и dcdiag. Исчерпывающую информацию по пользованию каждой можно найти в сети. Я пользовался dcdiag,т.к. она показывает не только информацию о днс но и в общем о сервере:
Если в строках ForestDnsZone и DomainDnsZone стоит статус «Проверка пройдена»,значит днс сервер работает нормально.
Способ №2
Т.к. ДНС это аспределенная система для получения информации о доменах, система для получения IP адреса по имени хоста, то работу ДНС можно проверить пингом машины по имени. Результаты будут примерно следующие:
Пинг сервера:
Если dns сервер работает не верно или вообще не работает, то придется вручную создать зону прямого просмотра, т.к. именно она отвечает за преобразование доменного имени в IP адрес. При необходимости можно создать зону обратного просмотра (противоположность первой) и сервер пересылки.
В глобальном журнале днс сервера можно найти информацию ою ошибках и предупреждениях. Не пугайтесь предупреждений если они не критичны, сервер будет продолжать работать.
На этом пока все. Надеюсь это статья поможет начинающим найти то,что они долго искали. Также могу посоветовать хороший форум, Тут http://sysadminz.ru/ сегда помогут