Настройка корневых ссылок dns windows server

Статья давно не обновлялась, поэтому информация могла устареть.

Чтобы установить DNS-сервер

Откройте диспетчер сервера. Чтобы открыть диспетчер сервера, щелкните Пуск, затем выберите Диспетчер сервера.

В области результатов, в разделе Сводка по ролям щелкните элемент Добавить роли.

В мастере добавления ролей при появлении страницы Прежде чем приступить к работе нажмите кнопку Далее.
В списке Роли щелкните DNS-сервер, а затем нажмите кнопку Далее.

Прочитайте сведения на странице DNS-сервер, затем нажмите кнопку Далее.
На странице Подтверждение параметров установки убедитесь, что будет установлена роль DNS-сервера, затем нажмите кнопку Установить.

Настройка

Чтобы настроить параметры DNS-сервера, щелкните правой кнопкой мыши имя нужного сервера и в контекстном меню выберите Свойства.

На вкладке Интерфейсы вы можете указать IP-адреса интерфейсов, которые будет «прослушивать» DNS-сервер и отвечать на DNS-запросы. Изменять этот параметр имеет смысл только при использовании нескольких сетевых адаптеров или при настройке нескольких IP-адресов для сетевых интерфейсов.

Если переключатель Прослушивать установлен в положение По всем IP-адресам, DNS-сервер отвечает на запросы, полученные через любой сетевой интерфейс. Если же переключатель установлен в положение Только по указанным IP-адресам, добавьте в список IP-адреса, через которые сервер будет обслуживать запросы — вводите их в поле IP-адрес и щелкайте кнопку Добавить. По щелчку кнопки Удалить адрес из списка удаляется.

На вкладке Пересылка вы можете настроить IP-адреса серверов, использующихся для пересылки DNS-запросов. Ваш DNS-сервер будет переадресовывать все запросы, не относящиеся к его зоне ответственности, на указанные серверы. В этом случае по отношению к вышестоящим серверам он ведет себя как DNS-клиент. Метод пересылки запросов удобен при использовании межсетевых экранов (firewall) для защиты внутренней сети: все запросы на разрешение имен внутренние DNS-серверы пересылают на внешние. Также этот метод может использоваться для уменьшения трафика по каналам с малой пропускной способностью — в этом случае все запросы перенаправляются на DNS-сервер провайдера, который, в свою очередь, осуществляет разрешение имени.

Используя поле IP-адрес и кнопки Добавить и Удалить, вы можете указать список серверов, на которые будут пересылаться запросы. Кнопки Вверх и Вниз служат для изменения порядка опроса DNS-серверов. Если первый сервер не пришлет ответ в течение времени, указанного в поле Время ожидания пересылки, запрос будет отправлен на следующий сервер из списка, и т. д. Если ни один из перечисленных серверов не смог ответить на DNS-запрос за отведенное время, настраиваемый DNS-сервер пытается выполнить рекурсивный запрос для разрешения имени самостоятельно. Установка флажка Не использовать рекурсию запрещает серверу выполнять рекурсивные запросы, и он возвращает сообщение об ошибке.

На вкладке Дополнительно вы можете настроить дополнительные параметры DNS-сервера. Они загружаются при запуске службы DNS-сервера из информационного загрузочного файла, системного реестра или Active Directory. В большинстве случаев значения параметров, установленные по умолчанию, не требуют модификации.

В поле Номер версии сервера вы можете узнать номер версии службы DNS-сервера. Это бывает необходимо для выяснения совместимости службы DNS-сервера Windows с другими DNS-серверами.

Раскрывающийся список Проверка имен позволяет выбрать метод проверки имен при изменении записей средствами Консоли управления. Возможны следующие значения:

Строгое следование (Strict) RFC (ANSI) — все вводимые имена должны полностью соответствовать требованиям стандарта RFC 1123;

Не (Non) RFC (ANSI) — допускается ввод нестандартных имен, недопустимых стандартом RFC 1123;
Многобайтовый (UTF8) — допускается ввод имен, содержащих не ASCII-символы, включая символы в кодировке Unicode, которые обычно требуют для своего хранения более одного байта. Этот режим проверки выбран по умолчанию.

Раскрывающийся список Загружать зону при старте позволяет указать, откуда будут загружаться параметры службы DNS-сервера при ее запуске. Возможны следующие значения:

Из реестра — параметры службы DNS-сервера загружаются из системного реестра. Для хранения параметров службы используется ветвь реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\ Parameters. Из файла — параметры службы загружаются из специального файла по аналогии с серверами BIND (Berkeley Internet Name Domain). Для использования этого режима необходим загрузочный файл (обычно с именем Named.boot) с другого DNS-сервера, использующего BIND. В Windows Server 2003 этот файл должен иметь имя boot и располагаться в папке %systemroot%\system32\dns. Файл должен иметь более ранний формат BIND 4, а не BIND 8. Для всех параметров, не настраиваемых через загрузочный файл, будут использоваться значения из системного реестра. Из Active Directory и реестра — параметры службы DNS-сервера загружаются из Active Directory и системного реестра. Этот режим загрузки используется по умолчанию.

Установив флажок Разрешить автоматическое удаление устаревших записей, вы включаете автоматическое удаление устаревших записей зон DNS-сервера. Чтобы механизм автоматического обновления работал, он должен быть включен для сервера в целом. В поле Период очистки введите период времени, по прошествии которого производится анализ и удаление устаревших записей. Из соображений производительности сервера не рекомендуется устанавливать период автоматического удаления менее 1 часа.

Щелкнув кнопку Восстановить умолчания, вы восстановите значения параметров по умолчанию.

При хранении конфигурации в загрузочном файле или в системном реестре для применения новых значений параметров необходимо перезапустить службу DNS-сервера. При хранении конфигурации в Active Directory некоторые параметры начинают действовать по щелчку кнопки OK в окне свойств.

На вкладке Корневые ссылки вы можете отредактировать список корневых DNS-серверов, ответственных за обслуживание корневой зоны, именуемой «.» (точка). Эта информация используется DNS-сервером при выполнении рекурсивных запросов на разрешение имени.

Сведения о корневых серверах хранятся в файле %systemroot%\system32\DNS\ Cache.dns. Вы можете редактировать его вручную в текстовом редакторе, либо воспользоваться вкладкой Корневые ссылки окна свойств DNS-сервера. Файл корневых ссылок Cache.dns автоматически создается и заполняется при первом запуске службы DNS-сервера Windows Server 2003.

Вы можете обновить или модифицировать файл корневых ссылок в зависимости от используемой конфигурации DNS-серверов.

Если ваша сеть подключена к Интернету, при необходимости можно обновить файл cache.dns, загрузив новую версию файла корневых ссылок Named.root по адресу ftp://rs.internic.net/domain/named.root. Переименуйте полученный файл в cache.dns. Если ваша сеть не подключена к Интернету, можно сохранить файл cache.dns в надежном месте, очистить его и добавить адреса серверов, ответственных за обслуживание корневого домена. На серверах, обслуживающих корневой домен, этот файл может быть вообще удален, т. к. для нормальной работы корневых серверов он не нужен.

Чтобы добавить новый корневой сервер, щелкните кнопку Добавить. В появившемся окне введите DNS-имя сервера (или, если оно определено в одной из зон, обслуживаемых локальным сервером, найдите его, щелкнув кнопку Обзор). Если соответствующий хост уже имеет доменное имя DNS, щелкните кнопку Сопоставить, чтобы получить IP-адрес хоста. Если же у него еще нет доменного имени DNS, самостоятельно укажите один или более IP-адресов сервера, последовательно вводя их в поле IP-адрес и щелкая кнопку Добавить. Для добавления DNS-сервера должно быть указано и его имя, и как минимум один его IP-адрес. Заполнив все необходимые поля, щелкните кнопку ОК.

Чтобы изменить информацию о корневом сервере, щелкните кнопку Изменить.

При добавлении корневого сервера в файл cache.dns заносятся две записи: запись NS сервера и запись A соответствующего хоста. Запись A добавляется независимо от того, определена она в какой-либо зоне или нет. Такая запись называется glue record и предназначена для того, чтобы соответствующее имя хоста можно было использовать даже в случае неработоспособности зоны, в которой он определен. DNS-сервер Windows Server 2003 добавляет glue-записи для всех серверов, указываемых в записях NS.

Ниже приводится содержимое стандартного файла cache.dns:

cache.dns — DNS CACHE FILE

Initial cache data for root domain servers.

YOU SHOULD CHANGE
-> Nothing if connected to the Internet. Edit this file only when
updated root name server list is released.
OR
-> If NOT connected to the Internet, remove these records and replace
with NS and A records for the DNS server authoritative for the
root domain at your site.

Note, if you are a root domain server, for your own private intranet,
no cache is required, and you may edit your boot file to remove
it.

This file holds the information on root name servers needed to
initialize cache of Internet domain name servers
(e.g. reference this file in the «cache . «
configuration file of BIND domain name servers).

This file is made available by InterNIC
under anonymous FTP as
file /domain/named.root
on server FTP.INTERNIC.NET

last update: Nov 5, 2002
related version of root zone: 2002110501


formerly NS.INTERNIC.NET

. 3600000 IN NS A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4


formerly NS1.ISI.EDU

. 3600000 NS B.ROOT-SERVERS.NET. B.ROOT-SERVERS.NET. 3600000 A 128.9.0.107


formerly C.PSI.NET

. 3600000 NS C.ROOT-SERVERS.NET. C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12


formerly TERP.UMD.EDU

. 3600000 NS D.ROOT-SERVERS.NET. D.ROOT-SERVERS.NET. 3600000 A 128.8.10.90


formerly NS.NASA.GOV

. 3600000 NS E.ROOT-SERVERS.NET. E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10


formerly NS.ISC.ORG

. 3600000 NS F.ROOT-SERVERS.NET. F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241


formerly NS.NIC.DDN.MIL

. 3600000 NS G.ROOT-SERVERS.NET. G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4


formerly AOS.ARL.ARMY.MIL

. 3600000 NS H.ROOT-SERVERS.NET. H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53


formerly NIC.NORDU.NET

. 3600000 NS I.ROOT-SERVERS.NET. I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17


operated by VeriSign, Inc.

. 3600000 NS J.ROOT-SERVERS.NET. J.ROOT-SERVERS.NET. 3600000 A 192.58.128.30


housed in LINX, operated by RIPE NCC

. 3600000 NS K.ROOT-SERVERS.NET. K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129


operated by IANA

. 3600000 NS L.ROOT-SERVERS.NET. L.ROOT-SERVERS.NET. 3600000 A 198.32.64.12


housed in Japan, operated by WIDE

. 3600000 NS M.ROOT-SERVERS.NET. M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33

End of File

Не изменяйте список корневых серверов без крайней на то необходимости! Использование неверных адресов в этом списке или его очистка может привести к невозможности выполнения рекурсивных DNS-запросов, что в свою очередь приведет к невозможности разрешения практически всех доменных имен.

На вкладке Ведение журнала отладки вы можете настроить список параметров, фиксируемых в журнале DNS-сервера. Журнал располагается в файле %systemroot%\ system32\dns\dns.log. Чтобы начать ведение журнала, включите как минимум один параметр журнала и щелкните кнопку ОК.

Чтобы включить параметр, установите соответствующий флажок.

В журнале могут фиксироваться следующие события:

Запросы и передачи — фиксируются все запросы клиентов на разрешение имен; Уведомление — фиксируются уведомления, посылаемые серверу другими DNS-серверами; Обновление — фиксируются все динамические обновления; Запрос — фиксируются основные параметры запроса на разрешение имени; Отклик — фиксируются основные параметры ответа на запрос на разрешение имени; Исходящие — фиксируется количество запросов, отправленных DNS-сервером; Входящие — фиксируется количество запросов, полученных DNS-сервером; UDP — фиксируется количество запросов, полученных DNS-сервером через UDP-порт; TCP — фиксируется количество запросов, полученных DNS-сервером через TCP-порт;

Функция ведения журнала DNS-сервера предназначена исключительно для отладки его работы и не должна использоваться при нормальной работе сервера по причине ее большой ресурсоемкости.

На вкладке Наблюдение вы можете осуществить проверку работоспособности сервера путем выполнения ряда стандартных запросов к этому и другим DNS-серверам.

Вы можете использовать два вида тестов.

Простой запрос к этому DNS-серверу — для теста используется локальный DNS-клиент, при помощи которого DNS-серверу отправляется итеративный запрос (с запретом использования рекурсии); Рекурсивный запрос к другим DNS-серверам — для теста используется локальный DNS-клиент, при помощи которого DNS-серверу отправляется рекурсивный запрос.

После того как вы выберете хотя бы один тест, станет доступна кнопка Тест. Кроме того, установив флажок Автоматическое тестирование и желаемый интервал выполнения проверки в поле Интервал теста, вы можете включить автоматическую многократную проверку сервера через определенные интервалы времени. Одиночный или многократный тест запускается щелчком кнопки Тест.

Результаты тестов выводятся в таблице в нижней части окна. В ней отображается дата и время исполнения каждого теста, а также результат (ПРОШЕЛ или ОШИБКА ) простого и рекурсивного запросов.

Вкладка Безопасность позволяет устанавливать права доступа к объектам службы DNS определенным пользователям и группам пользователей, устанавливая тем самым уровень безопасности и защищенности службы.

Источник

Опубликовано
⏰ 29.06.2019

Приветствую Вас, уважаемые читатели. Сегодня у нас тема: «DNS-сервер в Windows Server 2012-2016». И опять две ОС в одной статье. Статья о добавлении роли DNS-сервера, и создании зон просмотра.

В этой статье мы пройдем по тем же шагам, что и в предыдущей статье, только произведём все действия на другой операционной системе.

Установка DNS-сервера в Windows Server 2012-2016

Подготовительные действия

Так же как и в статье о Windows Server 2008, убеждаемся, что сетевой адаптер у Вас настроен должным образом. (Ip адресс, маска подсети, основной шлюз, DNS-сервера)

В свойствах системы, заходим в «Изменить параметры», и в открывшемся окне жмём на «Изменить».

В следующем окне, даём имя серверу (на Ваше усмотрение), и жмём на «Дополнительно».

Открывается следующее окно.

Прописываем основной DNS-суффикс компьютера.(Имя домена Вашей сети)
Жмём «ОК».

В окне, изменения имени компьютера, так же жмём «ОК».

Выходит сообщение, о необходимости перезагрузить компьютер.

Перезагружаем компьютер.

Добавление роли DNS-сервера

После загрузки системы, открываем диспетчер сервера, и заходим в «Добавить роли и компоненты».

Жмём «Далее», в окне памятке мастера.

В окне, типа установки, нас интересует «Установка ролей и компонентов».
Жмём «Далее».

В следующем окне нам нужно выбрать целевой сервер.

Выбираем нужный сервер или виртуальный диск.
Жмём «Далее».

Следующий шаг, это выбор ролей сервера.

Выбираем DNS-сервер.

Появляется окно с компонентами, необходимыми для функционала данной роли.
Жмём «Добавить компоненты».

И в окне, выбора ролей, жмём «Далее».

В следующем окне, можно выбрать дополнительные компоненты.

Если что то нужно, выбираем.
Жмём «Далее».

Окно с информацией о DNS-сервере.

Жмём «Далее».

Выходит сводка, устанавливаемых компонентов.
Если ничего не забыли, то жмём «Установить».

Ждём окончания установки.
По окончании, жмём «Закрыть».

Настройка DNS-сервера

Заходим в диспетчер сервера, в списке выбираем «DNS».
В панели мониторинга появляется наш сервер, кликаем по нему правой кнопкой мышки, и выбираем «Диспетчер DNS».

Открывается оснастка, выбираем наш сервер, кликаем правой кнопкой мышки, и выбираем «Настроить DNS-сервер».

Открывается мастер.
Жмём «Далее».

Открывается окно выбора действия.

Выбираем «Создание зон прямого и обратного просмотра».
Жмём «Далее».

В следующем окне, выбираем «Да, создать зону прямого просмотра».
Жмём «Далее».

Следующее окно, это выбор типа зоны.

Выбираем «Основная».
Жмём «Далее».

Теперь нужно задать имя зоны.
Задаём имя, и жмём «Далее».

Следующий шаг, это создание файла зоны.

Выбираем «Создать новый», и жмём «Далее».

В следующем окне, запрещаем динамические обновления. Мы будем сами обновлять информацию на сервере.
Жмём «Далее».

Далее нам предлагают создать зону обратного просмотра, ведь мы выбрали это в предыдущих шагах.
Выбираем «Да, создать зону обратного просмотра сейчас».
Жмём «Далее».

В выборе типа зоны, выбираем «Основная».
Жмём «Далее».

Далее окно выбора версии протокола, для зоны.

Выбираем «Зона обратного просмотра IPv4».

В открывшемся окне, указываем идентификатор зоны, и жмём «Далее».

Окно создания файла зоны.

Выбираем «Создать новый файл», и жмём «Далее».

Так же, как и при создании зоны прямого просмотра, запрещаем динамические обновления.
Жмём «Далее».

Сервер у нас в сети будет один, так что в следующем окне, выбираем вариант «Нет, не пересылать запросы».
Жмём «Далее».

Система начинает поиск корневых ссылок.

У нас нет подключения к интернету, поэтому результата не будет.

Появляется окно, завершения настройки, жмём «Готово».

Выходит сообщение, о неудаче в поиске корневых ссылок.
Жмём «ОК».

сообщение об невозможности настройки корневых ссылок

Проверяем созданные зоны

В диспетчере DNS, открываем вкладку «Зоны прямого просмотра», и видим созданную нами зону.

Открываем вкладку «Зоны обратного просмотра», и так же видим зону, которую мы создали.

Сегодня мы рассмотрели тему: «DNS-сервер в Windows Server 2012-2016». Добавили роль DNS-сервера, и создали зону прямого, и зону обратного просмотра.

Надеюсь статья была вам полезна. До встречи в новых статьях.

✍

С уважением, Андрей Бондаренко.

Видео на тему «DNS-сервер в Windows Server 2012»:

Видео на тему «DNS-сервер в Windows Server 2016»:

✧✧✧

Поблагодарить автора за полезную статью:

WMZ-кошелёк = Z667041230317

✧ Рубрика «Windows server»

✧ Комментарии: нет

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации – самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично ¹. Для понимания принципа работы читайте официальную документацию ² ³, которая в последние годы радикально подскочила вверх по уровню изложения материала.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS ⁴ ⁵:

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Установка производится через Server Manager и в ней нет ничего сложного, подробно все этапы установки вы можете увидеть ниже:

Сам процесс установки претерпел некоторые изменения ⁶ по сравнению с предыдущими версиями ОС:

Развертывание доменных служб Active Directory (AD DS) в Windows Server 2012 стало проще и быстрее по сравнению с предыдущими версиями Windows Server. Установка AD DS теперь выполняется на основе Windows PowerShell и интегрирована с диспетчером серверов. Сократилось количество шагов, необходимых для внедрения контроллеров домена в существующую среду Active Directory.

Необходимо выбрать только роль Доменные службы Active Directory, никакие дополнительные компоненты устанавливать не нужно. Процесс установки занимает незначительно время и можно сразу переходить к настройке.

Настройка Active Directory

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак – требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.

Далее весь процесс будет проходить в мастере настройки.

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации ⁷. Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

Дожидаемся установки.

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory – пользователи и компьютеры, создайте необходимые учетные записи – на этом этапе это администратор домена.

Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку “Сервер пересылки”. Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки – это общеизвестный пул DNS-серверов высшего уровня.

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.

Настройка времени

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой – Изменить. Переходим в Конфигурация компьютера\Политики\Административные шаблоны\Система\Служба времени Windows\Поставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола – NTP, остальные настройки не трогаем:

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики – в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

Подробнее о принципе работы и настройке службы времени читайте в официальной документации ⁸.

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена. Если вам интересна тематика Windows Server, рекомендую обратиться к тегу Windows Server на моем блоге. Также рекомендую ознакомиться с основной статье по Active Directory – Active Directory Domain Services

Источник

На чтение7 мин

Опубликовано28.12.2009

Обновлено21.04.2025

Настройка корневых ссылок DNS (Domain Name System) является важным шагом при создании и управлении собственным сервером. DNS — это система, которая преобразует доменные имена в IP-адреса, позволяя пользователям получать доступ к веб-сайтам по их действующим адресам.

Windows Server предоставляет возможность настройки корневых ссылок DNS, что помогает контролировать, какие домены могут быть найдены сервером. Корневые ссылки DNS позволяют указать серверу, какие домены считать доверенными и разрешать доступ к ним, а какие — заблокировать.

В этом подробном руководстве мы рассмотрим основные шаги настройки корневых ссылок DNS на сервере Windows. Мы покажем вам, как добавить и удалить ссылки, а также как изменить приоритетность доменов. Вы также узнаете о полезной функции блокировки спама и вредоносного содержимого, которую можно реализовать с помощью корневых ссылок DNS.

Настройка корневых ссылок DNS Windows Server является необходимой для обеспечения правильной работы DNS-сервера и его клиентов. В данной статье мы рассмотрим подробное руководство по настройке корневых ссылок DNS на сервере с операционной системой Windows Server.

Шаг 1: Установка роли DNS-сервера

Перед настройкой корневых ссылок DNS необходимо установить роль DNS-сервера на вашем сервере Windows Server. Для этого выполните следующие шаги:

Откройте меню «Управление компьютером».
Выберите «Управление компьютером (Local)».
Перейдите в раздел «Услуги и приложения» и выберите «DNS».
Щелкните правой кнопкой мыши по имени вашего сервера и выберите «Добавить роль и функции».
Пройдите по мастеру установки, выбрав роль DNS-сервера.

Шаг 2: Создание зоны корневых ссылок DNS

После установки роли DNS-сервера необходимо создать зону корневых ссылок DNS. Для этого выполните следующие шаги:

Откройте «Управление DNS».
Щелкните правой кнопкой мыши по имени вашего сервера и выберите «Создать новую зону».
Пройдите по мастеру создания новой зоны.
Выберите тип зоны «Зону корневых ссылок DNS» и следуйте инструкциям мастера.

Шаг 3: Настройка корневых ссылок DNS

После создания зоны корневых ссылок DNS необходимо настроить список корневых ссылок. Для этого выполните следующие шаги:

Откройте «Управление DNS».
Щелкните правой кнопкой мыши по имени вашего DNS-сервера и выберите «Свойства».
Перейдите на вкладку «Внешние корневые ссылки» и нажмите кнопку «Добавить».
Введите корневую ссылку и ее IP-адрес в соответствующие поля и нажмите «ОК».

Повторите шаги 3 и 4 для каждой корневой ссылки, которую вы хотите добавить.

Поздравляю! Вы успешно настроили корневые ссылки DNS на вашем сервере Windows Server. Теперь ваш DNS-сервер готов к работе и осуществлению перевода доменных имен в IP-адреса и обратно.

Обратите внимание, что в процессе настройки корневых ссылок DNS необходимо следовать указанным выше инструкциям и убедиться в правильности введенной информации. Неправильные настройки могут привести к некорректной работе DNS-сервера и его клиентов.

Подготовка к настройке

Перед тем как приступить к настройке корневых ссылок DNS на Windows Server, необходимо выполнить несколько подготовительных шагов:

Убедитесь, что у вас есть доступ к серверу Windows Server и учетная запись с правами администратора.
Установите необходимое программное обеспечение, включая операционную систему Windows Server и сервер DNS.
Определите все необходимые доменные имена и IP-адреса, которые вы хотите использовать в корневых ссылках DNS.
Создайте список всех команд и настроек, которые вы хотите выполнить при настройке корневых ссылок DNS.
Проверьте доступность сервера DNS из других устройств и удостоверьтесь, что они могут связаться с ним.

Выполнение этих подготовительных шагов поможет обеспечить успешную настройку корневых ссылок DNS и гарантировать, что ваш сервер будет доступен для других устройств в вашей сети.

Создание новой зоны DNS

Чтобы создать новую зону DNS в Windows Server, следуйте следующим шагам:

Откройте управление DNS-сервером, щелкнув правой кнопкой мыши на иконке «DNS» в «Сервисы» или «Серверные менеджеры» и выбрав «Управление DNS».
В окне «DNS» выберите сервер, к которому хотите добавить новую зону, и щелкните правой кнопкой мыши на нем. Выберите «Создать новую зону».
Откроется мастер создания новой зоны DNS. Щелкните «Далее» для продолжения.
Выберите тип зоны DNS — «Первичная» или «Вторичная». Первичная зона представляет собой авторитетную зону, в которой находятся основные записи DNS. Вторичная зона служит для репликации данных с первичной зоны.
Укажите имя зоны DNS и диапазон IP-адресов, для которых зона будет отвечать.
Выберите опцию «Create a new file with this file name» и укажите имя файла для хранения записей зоны DNS.
Щелкните «Далее» и просмотрите обзор настроек. Если все верно, нажмите «Готово».

После создания новой зоны DNS вы сможете добавлять и изменять записи для этой зоны, а DNS-сервер будет отвечать на запросы, связанные с этой зоной и ее доменными именами.

Добавление и настройка записей DNS

При настройке корневых ссылок DNS на сервере Windows Server неизбежно возникает необходимость добавления и настройки записей DNS. Записи DNS используются для связывания доменных имен с IP-адресами, что позволяет пользователям получать доступ к ресурсам по понятным им URL-адресам.

Существует несколько типов записей DNS, которые могут быть добавлены и настроены:

A записи: используются для связи доменного имени с IPv4-адресом.
AAAA записи: аналогично A записям, но используются для связи доменного имени с IPv6-адресом.
CNAME записи: используются для создания альтернативного имени для существующего доменного имени.
MX записи: используются для указания почтового сервера, который обрабатывает почту для домена.
NS записи: связывают доменное имя с сервером имен, который обрабатывает запросы по этому домену.
TXT записи: используются для добавления произвольной текстовой информации к домену.

Добавление и настройка записей DNS осуществляется через консоль «DNS-сервер». Необходимо выбрать домен, для которого хотите добавить или изменить запись, и щелкнуть правой кнопкой мыши на нем. В контекстном меню выберите «Новая совместимая запись» и выберите нужный тип записи из списка.

После выбора типа записи необходимо указать соответствующие значения, такие как имя записи, TTL (Time to Live) и данные записи. TTL определяет, как долго запись может быть сохранена в кэше DNS на других серверах.

После настройки значений необходимо сохранить изменения и проверить правильность работы новой записи DNS с помощью утилиты nslookup или других инструментов для проверки DNS.

Важно помнить, что некорректная настройка или неправильные значения в записях DNS могут привести к неработоспособности или неверной маршрутизации запросов, поэтому рекомендуется тщательно проверять и тестировать новые записи перед их развертыванием в рабочей среде.

Проверка и тестирование настроек

После настройки корневых ссылок DNS на сервере Windows, важно провести проверку и тестирование системы, чтобы убедиться, что все работает правильно. Ниже приведены несколько методов проверки и тестирования настроек.

1. Проверка целостности и корректности конфигурационных файлов DNS. Для этого можно воспользоваться инструментами, предоставляемыми операционной системой, такими как nslookup или ipconfig. Используйте команду nslookup для проверки имени хоста и его соответствующего IP-адреса. Команда ipconfig может помочь вам проверить настройки DNS-сервера и IP-конфигурацию системы.

2. Проверка записей в журнале событий. DNS-сервер Windows создает и поддерживает журнал событий, который содержит информацию о любых событиях и ошибках, связанных с DNS. Проверьте журналы, чтобы убедиться, что нет предупреждений или ошибок, которые могут указывать на проблемы с DNS.

3. Проверка доступности DNS-сервера. Используйте утилиту ping для определения доступности DNS-сервера. Введите команду ping с IP-адресом DNS-сервера, чтобы убедиться, что он отвечает и доступен для других устройств в сети.

4. Тестирование разрешения DNS-запросов. Вы можете использовать утилиту nslookup для тестирования разрешения DNS-запросов и проверки, будут ли именные серверы правильно разрешать ваши запросы.

5. Тестирование зоны переадресации. Если вы настроили зоны переадресации в DNS-сервере Windows, убедитесь, что они работают, выполнив тестовые запросы и проверив результаты.

Проверка и тестирование настроек DNS-сервера помогут убедиться, что система работает правильно и к этой системе можно доверять. Если вы обнаружите какие-либо проблемы или ошибки, сразу же приступайте к их устранению, чтобы обеспечить надежность и безопасность вашей сети.

Обновление и поддержка корневых ссылок DNS

Чтобы обновить и поддерживать корневые ссылки DNS, вам понадобится доступ к серверу, настроенному в качестве доменного контроллера в вашей сети Windows Server. Вот несколько шагов, которые помогут вам выполнить это задание:

Шаг	Описание
1	Откройте программу «DNS Manager» на вашем сервере Windows Server.
2	Выберите «Forward Lookup Zones» в левой панели управления.
3	Щелкните правой кнопкой мыши на зоне «Root Hints» и выберите «Properties».
4	В окне «Root Hints Properties» нажмите на кнопку «Copy from Server».
5	Введите IP-адрес одного из корневых серверов DNS в поле «From server».
6	Нажмите кнопку «OK», чтобы скопировать информацию о корневых серверах DNS на ваш сервер.
7	Проверьте, что информация о корневых серверах DNS успешно обновлена и отображается в списке «Root Hints».

Если вам потребуется обновить информацию о корневых серверах DNS в будущем, повторите шаги 4-7 для получения актуальных данных. Также важно выполнять регулярную проверку и поддержку корневых ссылок DNS, чтобы предотвратить проблемы с работой сети.

Содержание корректных и актуальных корневых ссылок DNS является важным аспектом обеспечения правильной работы интернет-сервисов. Являясь жизненно важным компонентом системы DNS, корневые ссылки требуют постоянного обновления и поддержки. Благодаря корректной настройке корневых ссылок DNS, ваша сеть Windows Server будет работать стабильно и надежно.

Источник

Продолжение начало здесь.

До сих пор мы рассматривали свойства зон DNS. Настал черед и непосредственно свойствам DNS сервера, и какими возможности по настройки он нам предоставляет. Для этого мы станем на сам
сервер (в нашем случае это сервер под именем SERVER1) и правой кнопкой мыши щелкнем по «Свойства». Откроется
окно с вкладками показанное на рисунке 1.

Рисунок 1.

Давайте для начала активируем вкладку «Интерфейсы». По сути на данной вкладке показаны базовые адреса наших сетевых карт. Но правильно считается если мы не говорим конкретно непосредственно о сетевой карте, а рассматриваем сетевую карту в контексте с операционной системой то правильно надо говорить — сетевой интерфейс. Так как любая машина в сети может иметь не одну а несколько сетевых карт, или уже начнем говорить сетевых интерфейсов, то естественно данная вкладка называется «интерфейсы», так как она показывает все наши адреса сетевых карт или сетевые интерфейсы. Как видно из рисунка 1 данный сервер имеет два сетевых интерфейса, а именно в нашем случае это 192.168.0.1 и 192.168.131.66.

На данной вкладке вы всегда получите все ваши сетевые интерфейсы. Если мы прочтем внимательно что там написано то нам станет ясно что запросы DNS будут обслуживается через тот интерфейс который мы укажем. В зависимости от конфигурации нашей сети, мы на данной вкладке можем добавить или убрать сетевые интерфейсы которые мы не хотим, или хотим что бы обслуживал наш DNS сервер.

Если мы выберем опцию «по всем IP адресам» — то обмен информацией с DNS сервером будет происходить именно через все эти сетевые адреса указанные на вкладке.

Если мы выберем опцию «только по указанным IP адресам» — то обмен информацией с DNS сервером будет происходить только через данные сетевые интерфейсы и никак иначе.

Думаю что здесь все понятно.

Перейдем на другую вкладку, а именно на вкладку «Пересылка». О пересылки мы уже говорили (смотри здесь) но остановимся еще раз.

Пересылка и условная пересылка или переадресация.

Внимательно читаем что там написано на самом верху вкладки, (смотрите рисунок 1).

Рисунок 2.

По умолчанию на данной вкладке в поле «Домен DNS», будет только одна запись — Все другие DNS домены. То есть что это значит. Когда клиент DNS делает запрос серверу DNS и тот после поиска разрешения имени в своем кэше а потом в файлах зоны, он посылает запрос на другие DNS серверы, а также пользуется корневыми ссылками. Думаю что пока понятно.

А вот представьте ситуацию когда у нашей фирмы допустим пять деревьев в единственном лесу. А каждое дерево это филиал фирмы в другой географической местности, смотрите рисунок 3. Также каждый домен имеет свое пространство имен, что в принципе видно на рисунке.

Рисунок 3.

Учитывая что между контроллерами домена должна быт репликация, то эти контроллеры домена должны находить друг друга не только в своем домене, а так же и в других доменах. Не нужно так же забывать пользователей которые в командировке в другом филиале, и они должны входить в свой домашний домен, независимо в какой сети фирмы он осуществляет вход.

Что мы в таком случае должны сделать? Как вы догадались — использовать условную пересылку!

Служба DNS Windows Server 2003 позволяет настроить пересылку чувствительно к имени домена. Все перечисленные выше требования нашей фирмы с доменами показанные на рисунке 3, явно подразумевают что информация DNS должна быть общедоступной для всех наших доменов.

В этом случае каждый DNS сервер в каждом домене могут быть сконфигурированы с условной пересылкой, переадресующий запросы на один или более серверов DNS в других доменах. Когда один из серверов DNS разрешает имя из другого домена, он может использовать только ту пересылку (ретранслятор), который сконфигурирован для этого домена.

Например, когда клиент в домене kiev.com должен найти ресурс в домене minsk.com, он делает запрос DNS-серверу домена kiev.com. DNS-сервер проверяет свои зонные файлы, чтобы определить, является ли он полномочным сервером для этого домена, а затем проверяет свой кэш. Если он не сможет разрешить имя с помощью этих источников, он проверит список пересылки (ретрансляторов). Одна из записей списка пересылки (в нашем случае смотрим на рисунке 2 в поле «Домен DNS») и там должна быть запись указывающая на minsk.com и соответствующий IP адрес данного DNS. Найдя эту пересылку DNS сервер kiev.com пошлет рекурсивный запрос только этому DNS серверу. Все это будет так если конечно мы ручками сами туда все пропишем, и название домена и его IP адрес. Рисунок 2 не совсем удачный, но уже переделывать его не буду, там указана пересылка на какой — то домен xu.com, но вы представьте себе что вместо xu.com будет minsk.com.

В случае когда не указаны никакие условные пересылки для домена minsk.com, сконфигурированных на сервере DNS kiev.com, то он отправит запрос любому ретранслятору, который сконфигурирован без каких-либо определенных параметров настройки домена, а затем попробует использовать корневые ссылки.

И еще не забудьте…если вы создали допустим один полномочный DNS сервер, а потом прописали какие — то условные пересылки, то DNS сервер сперва проверить свои зонные файлы, и если он определит что является полномочным сервером для указанных в пересылки доменах, то естественно никаких запросов он посылать не будет.

При
использовании условной переадресации DNS-сервер всегда
будет пробовать найти соответствие наиболее точному имени
домена. Например, если имеются
условная переадресация (ретрансляторы), сконфигурированные для kiev.com и для sepetovka.kiev.com, а клиент делает запрос о
хосте server1. sepetovka.kiev.com, то DNS-сервер отправит запрос
на DNS-сервер для sepetovka.kiev.com.

В некоторых случаях необходим DNS-сервер, использующий только пересылку и не использующий корневые ссылки. Чтобы сконфигурировать такой сервер, выберите опцию «He использовать рекурсию для этого домена» смотрите рисунок 2. Если выбрана данная опция то DNS-сервер сначала будет пытаться разрешить любые запросы с помощью своей местной зонной или кэшированной информации, посылая рекурсивные запросы каждому из своих DNS серверов указаных в поле «Домен DNS» (рисунок 2). Если указаны для пересылки DNS сервера не смогут обеспечить необходимую информацию, DNS-сервер не будет использовать другие средства, чтобы найти эту информацию, и сообщит клиенту DNS, пославший запрос что хост не может быть найден.

Рассмотрим следующею вкладку свойств DNS сервера, а именно «Корневые ссылки» смотрите рисунок 4.

Рисунок 4.

О корневых ссылках мы упоминали и раньше.

Корневые ссылки это ссылки на корневой домен пространства имен DNS. Про корневой домен или домен высшего уровня, обозначенный «.» смотрите здесь. Все остальное пространства имен располагается ниже данного домена. Естественно что информация о корневом домене будет хранится не на одном сервере и на большем количестве. Поэтому на вкладке «Корневые ссылки» и даются эти сервера владеющие информацией о корневом домене, а так же их IP адреса.

Корневые ссылки используются низкоуровневыми DNS серверами в том случае если необходимая информация отсутствует в собственном кэше или в зонных файлах.

Когда мы устанавливаете DNS-сервер в среде Windows Server 2003, имеющий доступ к интернету, он автоматически конфигурируется со стандартным списком корневых серверов.

Корневые серверы — это серверы, которые являются полномочными для корня в пространстве имен интернета.

Если DNS-сервер получает запрос о зоне DNS, для которой он не является полномочным, сервер посылает итерационный запрос одному из корневых серверов. Итерационные запросы будет инициироваться до тех пор, пока нужное имя не будет разрешено или пока сервер не подтвердит, что оно не может быть разрешено.

Примечание. Корневые серверы, которые автоматически указываются на DNS-сервере при его конфигурировании, копируются из файла Cache.dns, который поставляется с файлами установки DNS-сервера (с установочного диска). О файле Cache.dns смотрите здесь.

Вы можете добавлять дополнительные DNS-серверы к списку корневых ссылок, включая в него DNS-серверы, имеющиеся в вашей внутренней сети.

По умолчанию DNS-серверы Windows Server 2003 используют корневые ссылки и пересылку, когда они пытаются разрешать имена. Если сервер конфигурирован с пересылкой, он сначала отправит рекурсивные запросы всем серверам указанные в «пересылке». Если ни один из серверов указанных в пересылке не может обеспечить необходимую информацию, то DNS-cepвер начнет посылать повторяющиеся запросы серверам, сконфигурированным как корневые ссылки. Как уже писалось выше мы это можем запретить если выберем опцию «He использовать рекурсию для этого домена» не вкладке «Пересылка».

Оставшиеся вкладки мы уже их рассматривали. Эту информацию смотрите здесь.

Думаю что со службой DNS пока закончили и и в следующих темах вернемся к основной теме — Active Directory.

Источник