Симптомы
Рассмотрим следующую ситуацию: В этом случае служба DNS-сервер не приводит к устранению запроса на разрешение имени. Тем не менее существует связанной записи в зоне DNS.
Например пользователь пытается разрешить имя «a.b.contoso.com» из зоны «contoso.com». В этом случае служба DNS-сервер не сможет извлечь записи, который еще не загружен из доменных служб Active Directory (AD DS). Таким образом служба DNS-сервер отправляет ответ «нет такого имени».
Примечание. Эта проблема возникает только в том случае, когда служба DNS-сервер загружает зону DNS. Эта проблема возникает после загрузки зоны.
Причина
Эта проблема возникает, поскольку служба DNS-сервер обрабатывает запрос на разрешение имени неправильно при использовании функции загрузки зоны фон для загрузки зоны DNS.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел «Пакет исправлений доступен для скачивания» в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме «Пакет исправлений доступен для скачивания» отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления необходимо наличие Windows Server 2008 R2. Кроме того необходимо установить роль DNS-сервера.
Сведения о реестре
Для использования исправления, нет необходимости изменять реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Примечание. Если остановить службу DNS-сервера перед установкой этого исправления, нет необходимости перезагружать компьютер.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Server 2008 R2
Важно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Чтобы запросить пакет исправления, который применяется к одной или обеим ОС, установите исправление, описанное в разделе «Windows 7/Windows Server 2008 R2» страницы. Всегда смотрите раздел «Информация в данной статье относится к следующим продуктам» статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе Дополнительные сведения о файлах» для Windows Server 2008 R2». MUM и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Cache.dns |
Неприменимо |
3,198 |
10-Jun-2009 |
20:31 |
Неприменимо |
|
Dns.exe |
6.1.7600.20787 |
695,808 |
24-Aug-2010 |
00:54 |
x64 |
|
Dnsserver.events.xml |
Неприменимо |
609 |
10-Jun-2009 |
20:31 |
Неприменимо |
Временное решение
Чтобы обойти эту проблему, выполните следующую команду для отключения загрузки компонентов на указанном сервере DNS зона фона:
dnscmd/Config /DsMinimumBackgroundLoadThreads 0
Примечание. Если загрузка компонентов зона фона отключена, служба DNS-сервер не отвечает на запросы разрешения имен до полной загрузки зон. При размещении больших зон, процесс загрузки может потребоваться несколько минут.
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе «Относится к».
Дополнительные сведения
Дополнительные сведения о зоне фоновой загрузки компонентов посетите следующий веб-узел корпорации Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах
Сведения о дополнительных файлах для Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе x64
|
Имя файла |
Amd64_62d369fe5ae7295d63dbd2fc152a1f98_31bf3856ad364e35_6.1.7600.20787_none_13f3781a54e55ddf.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
710 |
|
Дата (UTC) |
24-Aug-2010 |
|
Время (UTC) |
18:48 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-dns-server-service_31bf3856ad364e35_6.1.7600.20787_none_aa867a2e0961699f.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
158,131 |
|
Дата (UTC) |
24-Aug-2010 |
|
Время (UTC) |
01:42 |
|
Платформа |
Неприменимо |
|
Имя файла |
Update.mum |
|
Версия файла |
Неприменимо |
|
Размер файла |
1,671 |
|
Дата (UTC) |
24-Aug-2010 |
|
Время (UTC) |
18:48 |
|
Платформа |
Неприменимо |
Нужна дополнительная помощь?
Здравствуйте,
Есть вопрос по настройке DNS-сервера на базе win server 2008 R2.
Исходные:
Сервер на базе win server 2008 R2, подняты роли DHCP, DNS, AD. (адрес 192.168.10.1)
Есть шлюз, на базе D-link DFL (адрес 192.168.10.10), подключен к провайдеру посредством PPPoE
Вопрос такой: сменил шлюза на другую железку (сервер с накатаным на нем mikrotik RouterOS), также сменился адрес шлюза на 192.168.10.254.
В настройках DHCP на сервере указал новый шлюз, однако после этой замены шлюза, DNS сервер перестал работать корректно. Внутренние записи и адреса он резолвит, а вот во вне выйти невозможно — DNS request timed out.
В настройках самого сервера в параметрах IPv4 в качестве DNS стоит 127.0.0.1, Новый шлюз в качестве DNS использует DNS провайдера и гугловый.
На данный момент в качестве костыля использовал в настройках DNS для пользователей или гугловый DNS или шлюз. И то и то работает, но это не выход, а временный фикс.
Искал в мануалах по настройке DNS какую либо информацию по поводу действий при смене шлюза, но ничего не нашел.
Как чинить? Переснести DNS-сервер или можно как-то отделаться малой кровью?
dcdiag /test:dns выдает:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера…
Основной сервер = Life
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-NameLIFE
Запуск проверки: Connectivity
……………………. LIFE — пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-NameLIFE
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут…
……………………. LIFE — пройдена проверка DNS
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: smartfin
Выполнение проверок предприятия на: smartfin.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: Life.smartfin.local
Домен: smartfin.local
TEST: Forwarders/Root hints (Forw)
Ошибка. Корневые ссылки и серверы пересылки не настроены или
повреждены. Убедитесь, что хотя бы один из них работает.
TEST: Dynamic update (Dyn)
Warning: Failed to delete the test record dcdiag-test-record i
n zone smartfin.local
Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:
DNS-сервер: 128.63.2.53 (h.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 128.63.2.53
DNS-сервер: 192.112.36.4 (g.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.112.36.4
DNS-сервер: 192.203.230.10 (e.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.203.230.10
DNS-сервер: 192.33.4.12 (c.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.33.4.12
DNS-сервер: 192.5.5.241 (f.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.5.5.241
DNS-сервер: 198.41.0.4 (a.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 198.41.0.4
DNS-сервер: 199.7.83.42 (l.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 199.7.83.42
DNS-сервер: 202.12.27.33 (m.root-servers.net.)
1 — проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 202.12.27.33
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: smartfin.local
Life PASS PASS FAIL PASS WARN PASS n/a
……………………. smartfin.local — не пройдена проверка DNS
-
Изменено
16 декабря 2014 г. 9:37
-
Изменен тип
Petko KrushevMicrosoft contingent staff
22 декабря 2014 г. 8:10
Что вообще у Вас там происходит?? Просто триллер какой-то. Есть отработанный механизм удаления нерабочих КД через ntdsutil, а потом ручками вычистить его из «Сайты AD» и DNS. Не надо никуда лезть ADSII-Edit’ом и править какие-то записи в NTDS.
Это не просто триллер, это фильм ужасов. Да, он удалял вышедший из строя домен, но, повторюсь, что-то пошло не так. Потому — что та запись не просто так нарушилась.
Рассказываю, снова да ладом, по порядку. Был у нас старый контроллер домена, но он вышел из строя. Просто сломался, перестал загружаться. Попытки его восстановить ни к чему не привели. Тем администратором был создан в существующем домене (остальные, в других подразделениях, Слава Богу пахали) vm-dc-01. Но так, как загрузить старый не представлялось возможным, то помимо удаления хлама (я не знаю, как точно он делал) пришлось производить захват FSMO. Он и захватил, опять же, не знаю как. Потом был создан vm-dc-02, но хозяин операций опять же vm-dc-01.
31.05.2019, как я уже говорил, перестал по непонятной причине работать DNS на vm-dc-01. Лог я скинул, там написано про первичную синхронизацию каталога, посмотрите. Я развернул третий контроллер домена, p2-dc-01, для того, чтобы в спешном порядке передать на него хозяев операций, но не успел. vm-dc-01 заработал. Тогда я по согласованию опять же с начальством принял решение, чтобы не засорять и не нарушать существующего положения дел, понизить и вывести из работы p2-dc-01. Так как при выводе возникла ошибка, скриншот в посте #12, то мне пришлось гуглить. А гугель выдал информацию о том, чтобы исправить схему. Я полез туда и обнаружил, что действительно, некорректно указано значение, в виде абракадабры, вместо названия сервера. Но это же сама по себе катастрофа! Как контроллер домена может нормально функционировать, если не может определить, кто хозяин?
Вот что было
CN=NTDS SettingsADEL:54c6470c-943f-4b46-9cbe-9683049ebf0f,CN=SERVERADEL:f01947a3-7b35-4c4c-9313-d66396f4768b,CN=Servers,CN=P2-DFSN,CN=Sites,CN=Configuration,DC=pgfa,DC=local
Что стало, что я сделал
CN=NTDS Settings,CN=VM-DC-01,CN=Servers,CN=P2-DFSN,CN=Sites,CN=Configuration,DC=pgfa,DC=local
Первоначальную настройку windows server 2008 Ent делал на виртуальной машине (VB 4.2):
Целью было научиться устанавливать DNS сервер,поднять контроллер домена (установка Active Directory) и ввести клиентскую машину (windows 7 pro) в домен.
Начальные настройки — на виртуальной машине в качестве сетевого адаптера мной был выбрал «Виртуальный адаптер хоста», и на сервере ВРУЧНУЮ прописан статический адрес (это важно для настройки dns сервера).Так же нужно в Центре управления сетями и общим доступом отключен Доступ с парольной защитой и открыт общий доступ к файлам (эти действия зависят от ваших представлений о безопасности):
Перейдем у установке ролей (предварительно советую изменить имя сервера на читабельное,потому что так будет удобней тестить dns сервер). Сразу отмечу, в сети есть много статей,в которых настраивается сначала dns и только потом поднимается контроллер домена. AD не будет работать без dns сервера,обратите на это внимание! Я делал все через установку и настройку AD, частью которой является установка dns сервера. Мастер установки удобный и понятный,на определенном шаге сам предложит установить dns сервер.
1. испетчер сервера — Роли — Добавить роль — Доменные службы Active Directory и делаем установку. Когда роль будет установлена, перезагружаем машину:
2.Пуск — Выполнить — dcpromo.exe и открываем мастер настройки:
3.Выбираем Создать новый домен в новом лесу.
4.Вводим полное доменное имя корневого домена леса (FQDN): licey.local (чтобы оно минимум было из 2 составляющих):
5. Режим работы леса выбираем Windows server 2008.
6. Обязательно оставляем галочку напротив DNS-сервер:
7.В выпадающем окошке смело нажимаем ДА, и переходим у выбору расположения для баз данных, файлов журналов и SYSVOL (по желанию меняем путь).
8.Устанавливаем пароль администратора для режима восстановления служб каталогов и заканчиваем установку.
По желанию на вкладке Сводка можно сделать экспорт выбранных параметров с выбранными настройками.Обязательно перезагружаемся!
После перезагрузки входим уже в домен (чтобы нажать Ctrl+Alt+Del в VB нужно нажать RigthCtrl+Del):
Смотрим настройки DNS сервера:
На клиентской машине, вручную прописывает адрес 192.168.0.2, маску 255.255.255.0 и предпочитаемый dns сервер 192.168.0.1,т.е. адрес нашего настроенного сервера имен. В реально работающей сети нужно будет поднять DHCP сервер,который автоматически будет раздавать перечисленные выше параметры.
Далее на клиентской машине — Пуск — Свойства системы — Изменить параметры — Выбираем Домен — вводим название домена licey.local. В выпадающем окошке,которое просит логин и пароль вводим данные учетной записи администратора которая расположена на сервере! И получаем подтверждение о входе в домен. При этом компьютер-клиент автоматически появится в списке Active-Directory Пользователи и компьютеры в группе Computers. Далее создаем учетную запись на сервере и задаем ей пароль. По умолчанию пользователь будет помещен в группу «Пользователи домена»:
Обратите внимание,что сервер очень требовательно относится к созданию паролей и проверяет их на количество введенных символов (не менее 6), наличия большого/маленького регистра и специальных символов. Щелкнув на пользователе ПКМ можно изменять его многочисленные свойства.Под логином shkonda@licey.local можно будет заходить с любого компьютера который состоит в домене. Чтобы привязать учетную запись к ПК, нужно в свойства ПК выбрать вкладку Управляется и выбрать пользователя,который будет им управлять.
На этом закончим основную настройку DNS+AD.
Тестирование работы dns сервера
Способ №1
Для тестирования работы dns сервера можно применять 2 утилиты командной строки — nslookup и dcdiag. Исчерпывающую информацию по пользованию каждой можно найти в сети. Я пользовался dcdiag,т.к. она показывает не только информацию о днс но и в общем о сервере:
Если в строках ForestDnsZone и DomainDnsZone стоит статус «Проверка пройдена»,значит днс сервер работает нормально.
Способ №2
Т.к. ДНС это аспределенная система для получения информации о доменах, система для получения IP адреса по имени хоста, то работу ДНС можно проверить пингом машины по имени. Результаты будут примерно следующие:
Пинг сервера:
Если dns сервер работает не верно или вообще не работает, то придется вручную создать зону прямого просмотра, т.к. именно она отвечает за преобразование доменного имени в IP адрес. При необходимости можно создать зону обратного просмотра (противоположность первой) и сервер пересылки.
В глобальном журнале днс сервера можно найти информацию ою ошибках и предупреждениях. Не пугайтесь предупреждений если они не критичны, сервер будет продолжать работать.
На этом пока все. Надеюсь это статья поможет начинающим найти то,что они долго искали. Также могу посоветовать хороший форум, Тут http://sysadminz.ru/ сегда помогут
DNS (Domain Name System, Система Доменных имен) – система, позволяющая преобразовать доменное имя в IP-адрес сервера и наоборот.
DNS-сервер – это сетевая служба, которая обеспечивает и поддерживает работу DNS. Служба DNS-сервера не требовательна к ресурсам машины. Если не подразумевается настройка иных ролей и служб на целевой машине, то минимальной конфигурации будет вполне достаточно.
Настройка сетевого адаптера для DNS-сервера
Установка DNS-сервера предполагает наличие доменной зоны, поэтому необходимо создать частную сеть в личном кабинете и подключить к ней виртуальные машины.
После того, как машина будет присоединена к двум сетям, важно не перепутать, какое из подключений требует настройки. Первичный сетевой адаптер настроен автоматически с самого начала, через него открыт доступ к интернету, в то время как на дополнительно подключенных сетевых адаптерах доступа в интернет нет, пока не будет произведена ручная настройка:
Наведя курсор на значок сети в системном трее, можно вызвать всплывающую подсказку с краткими сведениями о сетях. Из примера выше видно, что присоединённая сеть это Network 3.
Далее предстоит проделать цепочку действий:
- Необходимо нажать правой клавишей мыши по значку сети в системном трее, в выпадающем меню выбрать Центр управления сетями и общим доступом, в левой части появившегося окна открыть ссылку Изменение параметров адаптера:
- Правой кнопкой мыши нажать на необходимый сетевой адаптер, в меню выбрать Свойства;
- В окне свойств выбрать IPv4 и нажать на кнопку Свойства;
- Заполнить соответствующие поля необходимыми данными:
Здесь в качестве предпочитаемого DNS-сервера машина назначена сама себе, альтернативным назначен dns.google [8.8.8.8].
Установка роли DNS-сервера
Для установки дополнительных ролей на сервер используется Мастер Добавления Ролей и Компонентов, который можно найти в Диспетчере Сервера.
- В левой части окна Диспетчера сервера откройте раздел Роли, после чего в правой части окна отобразится команда Добавить Роли:
- Откроется окно Мастера, в котором рекомендуют убедиться что:
1. Учётная запись администратора защищена надёжным паролем.
2. Настроены сетевые параметры, такие как статические IP-адреса.
3. Установлены новейшие обновления безопасности из центра обновления Windows.
- Убедившись, что все условия выполнены, нажмите Далее;
- Отметьте чек-боксом роль DNS-сервер и перейдите Далее:
- Прочитайте информацию и нажмите Далее:
- Убедитесь, что выбор сделан правильно, и подтвердите нажатием кнопки Установить:
- Дождитесь завершения установки и закройте Мастер установки:
Создание зон прямого и обратного просмотра
Доменная зона — совокупность доменных имён в пределах конкретного домена.
Зоны прямого просмотра предназначены для сопоставления доменного имени с IP-адресом.
Зоны обратного просмотра работают в противоположную сторону и сопоставляют IP-адрес с доменным именем.
Создание зон и управление ими осуществляется при помощи Диспетчера DNS.
Данный инструмент открывается из навигационного дерева Диспетчера Сервера:
Создание зоны прямого просмотра
- Выделите каталог Зоны Прямого Просмотра, запустите Мастер Создания Новой Зоны с помощью кнопки Новая зона на панели инструментов сверху:
- Откроется окно Мастера с приветствием, нажмите Далее:
- Из предложенных вариантов выберите «Основная зона» и перейдите Далее:
- Укажите имя зоны и нажмите Далее:
- При необходимости поменяйте название будущего файла зоны и нажмите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание зоны обратного просмотра
- Выделите в Диспетчере DNS каталог Зоны Обратного Просмотра и нажатием кнопки Новая зона на панели инструментов сверху запустите Мастер создания новой зоны:
- Выберите тип «Основная Зона», перейдите Далее:
- Выберите назначение для адресов IPv4, нажмите Далее:
- Укажите идентификатор сети (первые три октета сетевого адреса) и следуйте Далее:
- При необходимости поменяйте название будущего файла зоны и перейдите Далее:
- Выберите, разрешить динамические обновления или нет. Разрешать не рекомендуется в силу значимой уязвимости. Перейдите Далее:
- Проверьте правильность выбранной конфигурации и завершите настройку, нажав кнопку Готово:
Создание A-записи
Данный раздел инструкции в большей степени предназначен для проверки ранее проделанных шагов.
Ресурсная запись — единица хранения и передачи информации в DNS, заключает в себе сведения о соответствии какого-либо имени с определёнными служебными данными.
Запись A — запись позволяющая по доменному имени узнать IP-адрес.
Запись PTR — запись обратная A записи.
- В Диспетчере DNS выберите каталог созданной ранее зоны внутри каталога Зон Прямого Просмотра. В правой части Диспетчера, где отображается содержимое каталогов, правой кнопки мыши вызовите выпадающее меню и запустите команду «Создать узел (A или AAAA)…»:
- Откроется окно создания Нового узла, где понадобится вписать в соответствующие поля имя узла (без доменной части, в качестве доменной части используется название настраиваемой зоны) и IP-адрес. Здесь же имеется чек-бокс «Создать соответствующую PTR-запись» — чтобы проверить работу обеих зон (прямой и обратной), чекбокс должен быть активирован:
Если поле имени остается пустым, указанный адрес будет связан с именем доменной зоны.
- Также можно добавить записи для других серверов:
- Добавив все необходимые узлы, нажмите Готово.
Проверка
- Проверьте изменения в каталогах обеих зон (на примере ниже в обеих зонах появилось по 2 новых записи):
- Откройте командную строку (cmd) или PowerShell и запустите команду nslookup:
Из вывода команды видно, что по умолчанию используется DNS-сервер example-2012.com с адресом 10.0.1.6.
Чтобы окончательно убедиться, что прямая и обратная зоны работают как положено, можно отправить два запроса:
- Запрос по домену;
- Запрос по IP-адресу:
В примере получены подходящие ответы по обоим запросам.
- Можно попробовать отправить запрос на какой-нибудь внешний ресурс:
В дополнение к имени домена и адресам появилась строчка «Non-authoritative answer:», это значит, что наш DNS-сервер не обладает необходимой полнотой информации по запрашиваемой зоне, а информация выведенная ниже, хоть и получена от авторитетного сервера, но сама в таком случае не является авторитетной.
Для сравнения все те же запросы выполнены на сервере, где не были настроены прямая и обратная зоны:
Здесь машина сама себе назначена предпочитаемым DNS-сервером. Доменное имя DNS-сервера отображается как неопознанное, поскольку нигде нет ресурсных записей для IP-адреса (10.0.1.7). По этой же причине запрос 2 возвращает ошибку (Non-existent domain).
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
220140
Минск
ул. Домбровская, д. 9
+375 (173) 88-72-49
700
300
ООО «ИТГЛОБАЛКОМ БЕЛ»
При неполадках в разрешении имен DNS в среде Microsoft Active Directory (AD) нередко возникают проблемы. DNS — краеугольный камень для среды AD, и без корректного разрешения имен операции могут прерваться или застопориться. Вероятно, проблема разрешения имен появилась со временем из-за постепенного отхода от надежной древовидной иерархической схемы. Ниже приводятся основные рекомендации и описываются средства диагностики, позволяющие предотвращать или решать проблемы DNS.
Рекомендация 1. Пространство имен DNS должно отражать смежную древовидную иерархию
Пространство имен DNS Интернета имеет древовидную иерархическую организацию, управление которой делегировано администраторам службы DNS, отвечающим за различные «ветви» пространства имен DNS (IETF RFC 1034, RFC 1032). Подобно своим собратьям по Интернету, администраторы DNS корпоративных сетей должны следовать иерархической древовидной концепции. Наличие фрагментарности или несвязностей в пространстве имен корпоративной сети порождает сложности в виде добавления серверов пересылки, зон-заглушек и/или дополнительных зон.
Рассмотрим случай, когда одна компания приобретает другую и каждая из них имеет независимое пространство имен. Эти пространства должны быть функционально объединены с использованием доверительных отношений Windows Server. Предлагаемый подход заключается в создании безопасной виртуальной частной сети (VPN) между средами двух компаний в корне каждого отдельного непрерывного пространства имен. Передача запросов об именах по сети VPN в пространство имен на противоположном конце «VPN-туннеля» осуществляется с использованием серверов пересылки, как показано на рисунке. Любые запросы, не удовлетворяющие критериям условий сервера пересылки, направляются на серверы DNS поставщика услуг Интернета (ISP). Серверы DNS, настроенные на пересылку по условию и расположенные на корневом уровне одного из двух непрерывных пространств имен, направляют запросы на конкретный сервер DNS, расположенный в другом непрерывном пространстве имен. На этом сервере DNS в кэше накапливается информация о пространстве имен, что снижает необходимость в рекурсии.
 |
| Рисунок. Использование пересылки по условию между раздельными пространствами имен DNS корпоративной сети |
Вместо использования серверов пересылки некоторые администраторы предпочитают создавать зоны-заглушки на серверах DNS в доменах верхнего уровня корпоративной сети, например domain1.local и domainA.local. Зоны-заглушки содержат только те записи, которые необходимы для определения доверительных серверов DNS для подчиненной зоны, и имеют значение скорее тогда, когда зоны не хранятся в AD. Зоны-заглушки имеют значение, когда необходимо поддерживать информированность сервера DNS в родительской зоне о доверительных серверах DNS в дочерней зоне. Зоны-заглушки повышают сложность, поскольку ответ службы DNS такой зоны на запрос об имени содержит информацию обо всех заслуживающих доверия серверах DNS в домене. Цель же состоит в организации работоспособной и простой для диагностики инфраструктуры DNS.
Рекомендация 2. Нужно знать, где хранится информация DNS
Данные зоны DNS могут размещаться в хранилище AD или в файловой системе в папке c:%systemroot%system32dns. Настоятельно рекомендуется сохранять информацию зоны в AD, а затем выполнять ее репликацию на каждом сервере DNS в домене (DomainDNSZones) или в лесу (ForestDNSZones). Оптимальный вариант — сохранение данных DNS на каждом сервере DNS домена с последующей передачей этой информации в родительскую зону. Пересылка данных DNS настраивается так, чтобы серверы DNS доменов child1.domain1.local и child2.domain1.local направляли данные на серверы DNS домена domain1.local. В родительском домене осуществляется делегирование для каждого дочернего домена.
Рекомендация 3. Определить, относится ли проблема DNS к сфере регистрации или к сфере разрешения имен
Для разрешения имени необходимо, чтобы это имя было зарегистрировано в какой-либо зоне на сервере DNS. В среде Windows разные службы регистрируют различные записи. В Windows 7, Windows Vista, Windows Server 2008 R2 и Server 2008 записи A и PTR регистрирует служба клиента DNS. В Windows XP и Windows Server 2003 эти записи регистрирует служба клиента DHCP.
Интервал регистрации — 24 часа, за исключением случаев, когда регистрацию выполняет сервер DHCP; в таких случаях регистрация должна выполняться при обновлении аренды адреса клиента DHCP.
В случае Server 2008 R2, Server 2008 и 2003 за регистрацию некоторых дополнительных записей отвечает служба Netlogon. Журнал записей, регистрируемых службой Netlogon, хранится в папке %SystemRoot%System32ConfigNetlogon.dns. В случае Server 2008 контроллеры домена (DC) динамически регистрируют от 15 до 30 записей SRV каждый час, а в случае 2003 служба Netlogon выполняет регистрацию каждые 24 часа.
В Server 2008 служба кластеров регистрирует ресурс «сетевое имя» кластера при включении этого ресурса в работу. Запись обновляется как минимум один раз каждые 24 часа. Чтобы определить, все ли IP-адреса ресурса «сетевое имя» зарегистрированы в DNS, можно использовать параметр RegisterAllProvidersIP. Более подробную информацию можно найти в статье Microsoft по адресу support.microsoft.com/kb/947048.
Проблема относится к сфере регистрации DNS. Если в DNS отсутствуют записи DNS, с помощью интерфейса редактора Active Directory (ADSI Edit) выясните, не связано ли это просто c отсутствием их отображения в графическом окне консоли DNS или AD. Убедитесь в существовании записей в AD, следуя шагам, описанным в статье по адресу support.microsoft.com/kb/867464. Если записи отсутствуют, установите сетевой монитор на системе, выполняющей регистрацию записей DNS, и выполните сетевую трассировку при попытке зарегистрировать записи A, PTR или SRV. Чтобы инициировать регистрацию записей A и PTR, введите команду
ipconfig/registerdns
Для регистрации записи SRV введите команду
c:net stop netlogon && net start netlogon
Остановите сетевую трассировку и выполните фильтрацию трафика DNS. При отсутствии регистрационных данных сетевой трассировки проверьте, запущена ли служба, отвечающая за регистрацию (клиент DHCP, клиент DNS, Netlogon, Cluster), и проанализируйте журналы событий. Если это не поможет, обратитесь в группу технической поддержки Microsoft.
Проблема относится к сфере разрешения DNS. Если техническая проблема не относится к сфере регистрации записей DNS, смените метод диагностики и проанализируйте разрешение имен DNS. Выполните проверку связи с целевым объектом по полному доменному имени (FQDN) на предмет успеха или отказа. В случае отказа связи по имени, но не по IP-адресу, убедитесь в правильности настроек сервера DNS в свойствах протокола TCP/IP системы, инициирующей запрос. Затем запустите сетевую трассировку и очистите кэш распознавателя с помощью команды
c:ipconfig/flushdns
Вновь проверьте связь с целевым объектом по FQDN (например, ping server.domain1.local), остановите сетевую трассировку и проверьте наличие исходящего запроса DNS и/или входящего ответа DNS. Задача состоит в том, чтобы определить, связана ли проблема с доставкой запроса на сервер DNS, либо, если сервер DNS получает запрос — c отсутствием ответа или же с его доставкой инициатору запроса DNS.
Рекомендация 4. Использование средств диагностики DNS
Для анализа проблем в DNS необходимо иметь следующие средства диагностики: DNSLint, DCDiag и NSlookup.
DNSLint. Утилита DNSLint реализует три функциональных теста с выдачей результатов в отчете в формате HTML. Тесты предназначены для выявления проблемы некорректного делегирования зон (lame delegation), проверки записей DNS, необходимых для успешного выполнения репликации AD, и контроля определяемого пользователем набора записей DNS на нескольких серверах DNS. Для тестирования доменных имен и получения результатов для диагностики проблемы некорректного делегирования в команде dnslint укажите параметр /d. Для задания IP-адреса сервера DNS, который является доверительным для данного домена, укажите /s. Для определения возможности разрешения записи DNS, для которой требуется репликация в лесу AD, укажите /ad. Более подробную информацию можно найти в статье «Description of the DNSLint utility» по адресу support.microsoft.com/kb/321045.
DCDiag. Команду dcdiag можно запустить с использованием параметра /test: DNS. Варианты теста включают основной тест DNS и тесты для серверов пересылки и корневых ссылок, делегирования, динамических обновлений DNS, регистрации записей DNS и имен Интернета.
Проверьте состояние работоспособности контроллера домена:
DCDIAG/TEST: DNS/v/s: /f:
Проверьте состояние работоспособности всех контроллеров домена в лесу:
DCDIAG/TEST: DNS/f/e/f:
Проверьте способность контроллера домена регистрировать записи DNS-локатора DC:
DCDIAG/TEST: RegisterInDNS /DnsDomain: /v/f:
В приведенных выше командах параметр /v задает вывод детальных данных, /s — локальное выполнение, /f — прямой вывод в файл, /e — тестирование всех серверов.
Для Windows Server 2003 SP2 следует пользоваться утилитой DCDiag, включенной в SP2, в соответствии с описанием (support.microsoft.com/kb/926027). Для Server 2008 и Server 2008 R2 выполните установку DCDiag: пройдя по пунктам меню Server Manager, Features, Add Features, Remote Server Administration Tools, Role Administration Tools, Select DNS Server Tools, Next, Install.
NSlookup. Хорошо известная команда диагностики DNS. Для просмотра вариантов синтаксиса NSlookup нужно запустить команду NSlookup из командной строки, а затем ввести help. Следует иметь в виду, что NSlookup имеет собственный встроенный разрешитель имен в исполняемом файле, поэтому не использует разрешитель операционной системы.
Рекомендация 5. Соответствие рекомендациям Microsoft относительно DNS
Контроль состояния работоспособности среды DNS для Server 2008 R2 следует осуществлять с использованием анализатора соответствия рекомендациям Microsoft Best Practices Analyzer (BPA) в составе пакета Server 2008 R2. Этот инструмент представлен в двух вариантах: один для проверки соответствия рекомендациям по конфигурации DNS, второй — для DNS. BPA представляет собой полезный инструмент сканирования среды DNS для Server 2008 R2 и анализа потенциальных проблем конфигурации DNS.
Чтобы открыть BPA, выполните следующие действия.
- В меню Start выберите Administrative Tools и далее Server Manager.
- На древовидном представлении откройте Roles и выберите роль, для которой нужно запустить BPA.
- На панели подробностей в разделе Summary откройте область анализатора соответствия рекомендациям Best Practices Analyzer.
Для Windows Server 2008 в анализаторе базовых настроек конфигурации Microsoft (MBCA) существует модель DNS. MBCA сравнивает настройки серверов DNS с рекомендациями для DNS, изложенными в модели DNS из MBCA 2.0.
Загрузку MBCA можно осуществить по ссылке http://www.microsoft.com/downloads/en/details.aspx?displaylang=en&FamilyID=1b6e9026-f505-403e-84c3-a5dea704ec67.
Исправность DNS — работоспособное состояние AD
В случае неполадок в разрешении имен в среде Windows AD могут возникать различные проблемы. Определите источник проблемы: система, подсеть или сеть. Затем установите, относится ли данная проблема к сфере регистрации или к сфере разрешения имен DNS. При необходимости воспользуйтесь средствами Microsoft для диагностики и поддержания работоспособности среды DNS.
Бойд Гербер (boydg@microsoft.com) — инженер из отдела технической поддержки в Microsoft Networking Escalation. Специализируется на поддержке и настройке DNS