DNS, který je zodpovědný za řešení doménových jmen na IP adresy, není jen systém rozlišení jmen, který je základem globálního Internetu—je to také kritická součást služby Windows Active Directory (AD) pro lokalizaci síťových zdrojů. Ale navzdory všudypřítomné povaze DNS v síti Windows za poslední desetiletí jako náhrada za proprietární WINS společnosti Microsoft, DNS je složitý hierarchický systém, který je pro mnoho juniorských správců obtížné pochopit.
v tomto článku se podíváme za strukturu reklamy s jedním lesem/jednou doménou, kde Konfigurace DNS je relativně přímočará, a prozkoumáme, jak DNS funguje ve složitějším designu reklamy. Po cestě představíme některé nové koncepty DNS v systému Windows Server 2008 R2.
integrace služby Active Directory a DNS
abychom pochopili, jak se DNS integruje s AD, nakonfigurujme strukturu reklamy, která se běžně používá ve středních a velkých organizacích. Vytvoříme jeden les se dvěma doménami, jak ukazuje obrázek 1. První doménou bude to, co se často označuje jako prázdná kořenová nebo jen kořenová doména. Prázdná kořenová doména je umístěna v horní části hierarchie reklam a, jak název napovídá, neobsahuje žádné zdroje. Tento typ domény poskytuje organizacím větší flexibilitu a lepší oddělení bezpečnostních rolí než jeden les/jedna doména. Druhá doména bude sedět pod naším prázdným kořenovým kódem, a je tedy podřízenou doménou; bude fungovat jako hlavní doména pro naši organizaci, kde jsou umístěny zdroje (například skupiny, uživatelské a počítačové účty).
Obrázek 1: jeden les se dvěma doménami
začneme spuštěním Dcpromo na prvním serveru, abychom vytvořili les a prázdnou kořenovou doménu. Přihlaste se na Server 2008 R2 jako správce. Ujistěte se, že jste serveru zadali odpovídající název, například DC1, a nastavte IP adresu, masku podsítě a výchozí bránu na NIC serveru. Nastavení DNS NIC můžete nechat prázdné a nechat systém Windows Přidat místní adresu.
spusťte Dcpromo z nabídky Start a vytvořte nový les a doménu s názvem ADcompany.com. Všimněte si, že jsem přidal AD jako předponu k názvu společnosti, aby byly interní a externí jmenné prostory DNS oddělené. ADCOMPANY se stane názvem NETBIOS pro doménu. I když je doména určena pouze pro interní použití, je důležité zaregistrovat ADcompany.com doména na internetu, aby bylo zajištěno, že klienti nemohou být náhodně přesměrováni na zařízení, které je mimo kontrolu organizace. Je také běžné používat AD.company.com hierarchie jmenného prostoru, kde se AD stává názvem NETBIOS pro doménu. V tomto případě za předpokladu company.com společnost je již zaregistrována na internetu, není nutná žádná další akce.
na obrazovce Další možnosti řadiče domény se ujistěte, že je vybrána možnost serveru DNS. Poté, co kliknete na tlačítko Další a Dcpromo začne ověřovat vybrané možnosti, obdržíte varování, že delegaci nelze vytvořit, protože nelze najít autoritativní nadřazenou zónu. Jinými slovy, Dcpromo nemůže najít autoritativní server DNS (tj. server, který obsahuje primární nebo sekundární kopii dat zóny pro doménu. com), kde může vytvořit delegační zónu pro ADcompany.com doména.
zóna DNS obsahuje všechny záznamy prostředků pro jednu část jmenného prostoru, například ADCOMPANY nebo COM. Protože se jedná o naši interní doménu kořenové reklamy, záznam Delegace ve veřejné zóně COM není nutný a toto varování můžete bezpečně ignorovat. Jasněji pochopíme, co znamená delegace, když vytvoříme naši podřízenou doménu.
testování pomocí Dcdiag
po dokončení Dcpromo restartujte server podle výzvy. Chcete-li se ujistit, že s naší novou doménou funguje vše podle očekávání, otevřete příkazový řádek a spusťte Dcdiag. Bude provedena řada testů, které by měly úspěšně projít, pokud jsou DNS a další kritické komponenty reklamy správně nakonfigurovány.
před spuštěním Dcdiag možná budete chtít vymazat protokoly událostí replikace systému a DFS, abyste zabránili nástroji v hlášení různých selhání kvůli chybovým varováním zaznamenaným během procesu nastavení domény. Například chyby replikace DFS se obvykle zobrazují při prvním spuštění Dcdiag na novém řadiči domény (DC)—nemusí však nutně znamenat problém s DNS, který je často zdrojem selhání replikace. Po vymazání protokolů událostí spusťte
dcdiag /test:dfsrevent
tento příkaz by měl úspěšně projít testem.
dokud nenakonfigurujete vhodný zdroj času, dostanete chyby W32tm (Windows Time service) v testech Dcdiag pro DC kořenové domény. Informace o konfiguraci služby Windows Time naleznete v článku společnosti Microsoft „jak nakonfigurovat autoritativní časový server v systému Windows Server“.
kořenové rady
Nyní, když je AD DNS v provozuschopném stavu, má-li DC připojení k internetu, nainstalovaný server DNS by nám měl umožnit vyřešit Názvy internetových domén, i když jsme nenakonfigurovali žádné dopravce ani nepřidali IP adresu pro server DNS ISP v nastavení NIC DC. Server DNS obsahuje kořenové rady, které odkazují na servery DNS nejvyšší úrovně na internetu, takže může vyřešit dotazy na jména, pro která není autoritativní a která již nemá ve své mezipaměti.
Chcete-li zobrazit kořenové rady, které jsou načteny z mezipaměti.soubor dns, otevřete DNS z nástrojů pro správu v nabídce Start. V konzole DNS klepněte pravým tlačítkem myši na server DNS v levém podokně a v nabídce vyberte Vlastnosti. V dialogovém okně Vlastnosti serveru vyberte kartu kořenové rady, jak ukazuje obrázek 2.
Obrázek 2: prohlížení kořenových rad
můžete se také setkat s situacemi, jako je požadavek používat službu, jako je OpenDNS pro filtrování webového obsahu, ve které nastavíte dopravce pro rozlišení názvu Internetu místo spoléhání se na kořenové rady. Při navrhování infrastruktury DNS nezapomeňte, že pokud jsou přeposílatelé nakonfigurováni na serveru DNS, používají se pro rozlišení jmen před kořenovými radami.
iterativní a rekurzivní dotazy
požadavky serveru DNS na vyřešení jmen pomocí kořenových rad jsou iterativní, což znamená, že bude přijata nejlepší odpověď—což může být odkaz na jmenný server nižší v hierarchii, který může definitivně vyřešit dotaz. To je na rozdíl od klienta DNS systému Windows, který odesílá rekurzivní dotazy na server DNS a vyžaduje definitivní odpověď nebo chybu, která uvádí, že prostředek neexistuje. Rekurzivní dotazy jsou obvykle odesílány klienty DNS nebo dopravci.
konfigurace podřízené domény
Nyní, když byly testovány interní a internetové rozlišení názvů a pracují v naší kořenové doméně, je čas přidat podřízenou doménu nazvanou HR (HR.ADcompany.com), kde budou umístěny všechny naše zdroje. Přihlaste se k druhému počítači Server 2008 R2 jako místní správce a ujistěte se, že má odpovídající název, například DC2. Přiřaďte IP adresu a masku podsítě a poté nastavte primární server DNS pro NIC serveru s adresou IP vašeho DC v kořenové doméně. Když spustíme Dcpromo, nástroj musí najít kořenovou doménu DNS a DC, takže musí být nakonfigurován server DNS, který dokáže odpovědět na tyto dotazy.
před spuštěním můžeme spustit
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
, abychom zajistili, že je vše správně nakonfigurováno pro Dcpromo pro propagaci tohoto serveru na DC pro doménu určenou pomocí přepínače / dnsdomain.
obrázek 3: Vytvoření nové domény v existujícím lese
Nyní spusťte Dcpromo z nabídky Start, tentokrát se rozhodnete vytvořit novou doménu v existujícím lese. Na obrazovce pověření sítě zadejte doménu lesa (ADcompany.com) a účet, který je členem skupiny Enterprise Administrator v kořenové doméně, jak ukazuje obrázek 3. V dialogovém okně Název nové domény zadejte plně kvalifikovaný název domény (FQDN) pro kořenovou doménu (ADcompany.com) a název s jedním štítkem pro novou podřízenou doménu (HR), jak ukazuje obrázek 4. V dialogovém okně Další možnosti řadiče domény vyberte DNS server. Pro zbytek průvodce přijměte výchozí nastavení.
obrázek 4: Pojmenování nové domény
restartujte server po výzvě a spusťte Dcdiag na HR DC, abyste se ujistili, že vše funguje podle očekávání, podle mých dřívějších rad pro spuštění Dcdiag. Otevřete příkazový řádek a spusťte
ipconfig /all
Všimněte si, že primární DNS server NIC je nastaven na adresu místního serveru a adresa IP serveru DNS kořenové domény je posunuta tak, aby fungovala jako sekundární server DNS.
delegování a předávání
stále pracuje z příkazového řádku, ujistěte se, že můžete ping DC v kořenové doméně pomocí názvu DC s jedním štítkem (DC1) nebo FQDN (DC1.ADcompany.com). měli byste být také schopni ping název internetové domény z DC podřízené domény, za předpokladu, že má připojení k internetu. Z kořenové domény DC se ujistěte, že můžete ping DC v podřízené doméně. Server DNS v podřízené doméně odkazuje na dotazy na zdroje v ADcompany.com na dopravce, který je automaticky nakonfigurován při spuštění Dcpromo. Chcete-li zobrazit tuto konfiguraci, otevřete konzolu serveru DNS V DC podřízené domény z nástrojů pro správu v nabídce Start. V konzole DNS klepněte pravým tlačítkem myši na server v levém podokně a v nabídce vyberte Vlastnosti. V dialogovém okně Vlastnosti vyberte kartu předávání; uvidíte, že server je nakonfigurován tak, aby odesílal všechny dotazy, které nemůže vyřešit, na server DNS kořenové domény. Interní i internetové dotazy jsou přeposílány; to se liší od podmíněného forwarderu, který je nakonfigurován tak, aby předával dotazy, které nelze vyřešit lokálně pouze pro konkrétní jmenný prostor.
naopak na serveru DNS kořenové domény najdete záznam delegace (někdy označovaný jako delegační zóna)pro doménu HR. Tento záznam byl opět nakonfigurován jako součást procesu Dcpromo pro DC podřízené domény a umožňuje DC kořenové domény lokalizovat zdroje v podřízené doméně. Otevřete konzolu DNS V DC kořenové domény; v levém podokně rozbalte DNS Server, zóny dopředného vyhledávání, ADCompany.com. klikněte na delegační zónu HR ve spodní části stromu. V pravém podokně uvidíte záznam hostitele (a) pro server DNS podřízené domény. Delegování a předávání jsou výchozí mechanismy v systému Windows Server pro povolení rozlišení nahoru a dolů větev souvislého jmenného prostoru DNS, jak ukazuje obrázek 5.
obrázek 5: delegování a předávání
DNS převod
DNS převod je funkce klienta DNS systému Windows. Není to nový Server 2008 R2 nebo Windows 7, ale obsahuje některé změny pro zlepšení zabezpečení. Z DC podřízené domény můžeme ping zdroje v kořenové doméně bez zadání FQDN (tj., můžeme ping DC1, aniž bychom museli zadávat DC1.ADcompany.com). totéž platí z kořenové domény DC; můžeme ping DC2 úspěšně bez FQDN.
ve výchozím nastavení se devolution pokouší vyřešit název s jedním štítkem připojením domén z primární přípony DNS klienta (PDS). Takže stroj, který patří do AD.contoso.com doména se nejprve pokusí vyřešit název počítače jako DC1.AD.contoso.com a pak DC1.contoso.com. nebude se snažit vyřešit DC1.com protože výchozí úroveň převodu je 2, což je výchozí nastavení v systému Windows před serverem 2008 R2 a Windows 7. V některých situacích může výchozí úroveň 2 vytvořit bezpečnostní problém, pokud se klienti DNS pokusí vyřešit FQDN, které jsou mimo kontrolu organizace. Zvažte například následující sadu dotazů, když je úroveň převodu nastavena na 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. poslední dotaz, DC1.co.us, je mimo kontrolu organizace a může vést k náhodnému připojení klienta k škodlivému počítači na internetu.
V Server 2008 R2 a Windows 7 je výchozím chováním nastavení úrovně převodu na počet štítků v kořenové doméně lesa (FRD), pokud PDS končí FRD. Naše PDS je HR.ADcompany.com a naše FRD je ADcompany. com-takže podle výchozího chování V Server 2008 R2 a Windows 7 je povolena devolution a úroveň je nastavena na 2 pro naše klienty DNS. Společnost Microsoft vydala aktualizaci pro změnu chování při převodu DNS v systémech Windows Vista, Windows XP a Windows 2000. Další informace o aktualizaci naleznete v článku společnosti Microsoft „chování po instalaci na klientských počítačích po instalaci aktualizace DNS“.
seznam Vyhledávání přípon DNS
pokud do našeho lesa přidáme třetí doménu, finance.ADcompany.com, decentralizace DNS nemusí stačit k vyřešení názvů zdrojů s jedním štítkem v HR.ADcompany.com od klientů v oblasti financí. Rozlišení názvu s jedním štítkem funguje z domény FINANCE, pokud se pokusíte ping zdroje v doméně HR, když jsou všechna zařízení umístěna ve stejné fyzické podsíti. Důvodem je, že systém Windows bude vysílat pro adresu IP, pokud nemůže úspěšně vyřešit název z místní mezipaměti počítače nebo nakonfigurovaného serveru DNS.
pokud používáte Nslookup k testování rozlišení DNS, uvidíte, že bez seznamu vyhledávání přípony DNS musíte zadat FQDN zdroje umístěného v doméně HR, protože jako nástroj pro testování rozlišení názvu DNS používá Nslookup výhradně DNS. Chcete-li otestovat DNS pomocí Nslookup, otevřete příkazový řádek z nabídky Start, zadejte
nslookup
a stiskněte klávesu Enter. Na nové výzvě zadejte název FQDN nebo single-label, který chcete vyřešit, a stiskněte klávesu Enter. Nslookup buď vrátí IP adresu, nebo nahlásí selhání vyhledávání.
pokud je pro vaše prostředí důležité řešení názvů s jedním štítkem ve všech doménách AD, můžete nakonfigurovat seznam vyhledávání přípon DNS na všech zařízeních se seznamem primárních přípon DNS, které chcete vyřešit (v našem případě, finance.ADcompany.com, HR.ADcompany.com a ADcompany.com). pokud je seznam vyhledávání přípon DNS nakonfigurován pro klienta DNS, převod DNS je automaticky deaktivován. Seznam Vyhledávání lze nakonfigurovat ručně (vyberte Změnit nastavení adaptéru v centru sítí a sdílení systému Windows 7) pro každou NIC na kartě DNS v dialogovém okně Pokročilé nastavení protokolu TCP/IP pro vlastnosti IPv6 a IPv4. Alternativně lze vyhledávací seznam nakonfigurovat pomocí seznamu odděleného čárkami v Nastavení seznamu vyhledávání přípony DNS v části Konfigurace počítače, zásady, šablony pro správu, síť, klient DNS v Zásadách skupiny (pro Windows Server 2003 a XP nebo novější).
podobně, pokud přidáme novou zónu DNS, Zabezpečte.HR. ADcompany.com, na serveru HR DNS pro účely vytvoření samostatné zóny pro důležité záznamy o zdrojích serveru, které by měly být zabezpečeny pomocí rozšíření zabezpečení DNS (DNSSEC), musíme nasadit seznam vyhledávání přípon DNS, aby klienti DNS mohli lokalizovat zdroje v nové zóně podle názvu s jedním štítkem. V tomto případě je vyžadována nová zóna DNS, protože DNSSEC nepodporuje dynamické aktualizace-Schopnost záznamů hostitele klienta automaticky aktualizovat na serveru DNS – což je výchozí a požadované nastavení pro zóny DNS, kde jsou záznamy hostitele uloženy pro klientské počítače. Za normálních okolností se IP adresy serverových počítačů nemění, takže zabezpečené zóny lze spravovat ručně.
podmíněné přeposílání
můžeme pomoci našim dvěma podřízeným doménám, finance.ADcompany.com a HR.ADcompany.com, efektivněji řešit dotazy mezi doménami, aniž by bylo nutné odeslat rekurzivní dotaz na server DNS v kořenovém adresáři lesa, konfigurací podmíněného forwarderu na serverech DNS v obou podřízených doménách. Podmíněné přeposílače mají přednost před předposílači na úrovni serveru a jsou efektivnější v tom, že můžeme nastavit dotazy pro konkrétní příponu domény, která má být odeslána na předdefinovaný server DNS, jak ukazuje obrázek 6.
obrázek 6: podmíněné přesměrování
DNS server v HR.ADcompany.com bude obsahovat dopravce, který odešle všechny dotazy pro finance.ADcompany.com na primární DNS server pro finanční doménu a naopak. Chcete-li nakonfigurovat podmíněný forwarder, otevřete konzolu DNS na DC v doméně HR z nástrojů pro správu v nabídce Start. V levém podokně konzoly DNS rozbalte server DNS, klepněte pravým tlačítkem myši na podmíněné předávání a v nabídce vyberte Nový podmíněný předávání. V dialogovém okně Nový podmíněný Přeposílatel zadejte finance.adcompany.com v poli domény DNS. Pod adresami IP hlavních serverů zadejte adresu IP nebo název serveru serveru DNS v doméně FINANCE, jak ukazuje obrázek 7, a stiskněte klávesu Enter. Klepnutím na tlačítko OK dokončete postup. Opakujte postup na serveru DNS v doméně FINANCE, ale zadejte HR.ADcompany.com v poli domény DNS a IP adresa serveru DNS v doméně HR.
Obrázek 7: Vytvoření nového podmíněného předávání
složitosti DNS
není možné pokrýt všechny základny v jednom článku—například existují dva další typy zón, sekundární a pahýlové zóny, které můžete použít ke zlepšení výkonu při komplexním nasazení DNS, stejně jako nové funkce Serveru 2008 R2, jako je DNSSEC. Základní znalosti o tom, jak DNS a AD spolupracují jako integrované řešení, vám však pomohou navrhnout nové nasazení reklam a vyřešit všechny problémy, které se vyskytnou. A co je nejdůležitější, při testování nové nebo existující reklamní infrastruktury se ujistěte, že pro každou doménu můžete ping zdroje ve všech ostatních důvěryhodných doménách. Kromě toho nasadit delegování a podmíněné předávání, aby bylo možné rozlišení mezi jmennými prostory. Tyto základy vám pomohou efektivněji využívat DNS ve složitých reklamních prostředích.