DNS, som er ansvarlig for at løse domænenavne til IP—adresser, er ikke kun det navneopløsningssystem, der understøtter det globale Internet-Det er også en kritisk komponent i Active Directory (AD) til lokalisering af netværksressourcer. Men på trods af den allestedsnærværende karakter af DNS i vinduer netværk i løbet af det sidste årti som erstatning for Microsofts proprietære gevinster, DNS er et komplekst hierarkisk system, som mange junioradministratorer har svært ved at forstå.
i denne artikel ser vi ud over en ANNONCESTRUKTUR med enkelt skov/enkelt domæne, hvor DNS-konfiguration er relativt ligetil, og undersøger, hvordan DNS fungerer i et mere komplekst annoncedesign. Undervejs introducerer vi nogle af de nye DNS-koncepter i Server 2008 R2.
Active Directory og DNS Integration
for at hjælpe os med at forstå, hvordan DNS integreres med AD, lad os konfigurere en ANNONCESTRUKTUR, der ofte implementeres i mellemstore og store organisationer. Vi opretter en enkelt skov med to domæner, som Figur 1 viser. Det første domæne vil være det, der ofte omtales som en tom rod, eller bare rod, domæne. Et tomt roddomæne sidder øverst i ANNONCEHIERARKIET og indeholder, som navnet antyder, ingen ressourcer. Denne type domæne giver organisationer mere fleksibilitet og bedre adskillelse af sikkerhedsroller end et enkelt skov/enkelt domæne. Det andet domæne vil sidde under vores tomme rod og er derfor et barnedomæne; det vil fungere som hoveddomæne for vores organisation, hvor ressourcer (f.eks. grupper, bruger-og computerkonti) er placeret.
Figur 1: enkelt skov med to domæner
vi starter med at køre Dcpromo på den første server for at oprette skoven og det tomme roddomæne. Log på Server 2008 R2 som administrator. Sørg for, at du har givet serveren et passende navn, såsom DC1, og indstil en IP-adresse, undernetmaske og standardportal på serverens NIC. Du kan lade NIC ‘ s DNS-indstillinger være tomme og lade vinduer tilføje en lokal adresse.
Kør Dcpromo fra Startmenuen og opret en ny skov og domæne kaldet ADcompany.com. Bemærk, at jeg tilføjede AD som et præfiks til firmanavnet for at holde de interne og eksterne DNS-navnerum adskilt. ADCOMPANY bliver NetBIOS-navnet på domænet. Selvom domænet kun er beregnet til intern brug, er det vigtigt at registrere ADcompany.com domæne på internettet for at sikre, at klienter ikke ved et uheld kan omdirigeres til en enhed, der er uden for organisationens kontrol. Det er også almindeligt at bruge AD.company.com navneområde hierarki, hvor AD bliver NETBIOS navn for domænet. I dette tilfælde antager company.com er allerede registreret af virksomheden på internettet, er der ikke behov for yderligere handling.
på skærmen ekstra Domænecontrollerindstillinger skal du sørge for, at DNS-serverindstillingen er valgt. Når du har klikket på Næste, og Dcpromo begynder at validere de valgte indstillinger, får du en advarsel om, at der ikke kan oprettes en delegation, fordi det autoritative overordnede område ikke kan findes. Med andre ord kan Dcpromo ikke finde en autoritativ DNS-server (dvs .en server, der indeholder en primær eller sekundær kopi af områdedata til. com-domænet), hvor den kan oprette et delegationsområde til ADcompany.com domæne.
et DNS-område indeholder alle ressourceposter for en del af navneområdet, f.eks. ADCOMPANY eller COM. Da dette er vores interne rodannoncedomæne, er en delegationspost i det offentlige COM-område ikke nødvendig, og du kan sikkert ignorere denne advarsel. Vi forstår mere klart, hvad delegation betyder, når vi opretter vores barnedomæne.
test med Dcdiag
når Dcpromo er færdig, skal du genstarte serveren som bedt om det. For at sikre, at alt fungerer som forventet med vores nye domæne, skal du åbne en kommandoprompt og køre dcdiag. Der udføres en række tests, der skal bestå med succes, hvis DNS og andre kritiske ANNONCEKOMPONENTER er konfigureret korrekt.
før du kører Dcdiag, kan du slette system-og DFS-replikeringshændelseslogfiler for at forhindre, at værktøjet rapporterer forskellige fejl på grund af fejladvarsler, der er logget under domæneopsætningen. For eksempel vises DFS—replikationsfejl typisk, når Dcdiag køres for første gang på en ny domænecontroller (DC) – men de indikerer ikke nødvendigvis et problem med DNS, som ofte er kilden til replikationsfejl. Når hændelseslogfilerne er ryddet, skal du køre
dcdiag /test:dfsrevent
denne kommando skal bestå testen med succes.
indtil du konfigurerer en passende tidskilde, får du fejl i dcdiag-testene for roddomænets DC. Se Microsoft-artiklen “Sådan konfigureres en autoritativ tidsserver i Microsoft-serveren”for at få oplysninger om konfiguration af tidsserveren.
Root Hints
nu hvor ad DNS er i funktionsdygtig stand, hvis DC har forbindelse til internettet, skal den installerede DNS-server lade os løse internetdomænenavne, selvom vi ikke har konfigureret nogen speditører eller tilføjet en IP-adresse til en internetudbyders DNS-server på DC ‘ s NIC-indstillinger. DNS-serveren indeholder rodtips, der peger på DNS-serverne på øverste niveau på internettet, så den kan løse forespørgsler for navne, som den ikke er autoritativ for og ikke allerede har i sin cache.
for at se de rodtips, der er indlæst fra cachen.dns-Fil, Åbn DNS fra Administrative værktøjer i menuen Start. Højreklik på DNS-serveren i venstre rude i DNS-konsollen og vælg Egenskaber i menuen. I dialogboksen Serveregenskaber skal du vælge fanen Root Hints, som figur 2 viser.
figur 2: Visning af rodtip
du kan også støde på situationer, såsom kravet om at bruge en tjeneste som OpenDNS til filtrering af internetindhold, hvor du opretter en speditør til opløsning af Internetnavn i stedet for at stole på rodtip. Når du designer din DNS-infrastruktur, skal du huske, at hvis speditører er konfigureret på en DNS-server, bruges de til navneopløsning før rodtips.
Iterative og rekursive forespørgsler
anmodninger fra DNS—serveren om at løse Navne ved hjælp af rodtip er iterative, hvilket betyder, at et bedste svar vil blive accepteret-hvilket kan være en henvisning til en navneserver lavere nede i hierarkiet, der kan løse forespørgslen endeligt. Dette er i modsætning til DNS-klienten, som sender rekursive forespørgsler til en DNS-server, der kræver et endeligt svar eller en fejl, der angiver, at ressourcen ikke findes. Rekursive forespørgsler sendes typisk af DNS-klienter eller speditører.
konfiguration af et Barnedomæne
nu hvor intern og Internet navneopløsning er blevet testet og arbejder i vores roddomæne, er det tid til at tilføje et barnedomæne, kaldet HR (HR.ADcompany.com), hvor alle vores ressourcer vil være placeret. Log på den anden Server 2008 R2-maskine som lokal administrator, og sørg for, at den har et passende navn, såsom DC2. Tildel en IP-adresse og undernetmaske, og indstil derefter den primære DNS-server til serverens NIC med IP-adressen på din DC i roddomænet. Når vi kører Dcpromo, skal værktøjet finde root DNS-domænet og DC, så en DNS-server, der kan besvare disse forespørgsler, skal konfigureres.
før vi starter, kan vi køre
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
for at sikre, at alt er konfigureret korrekt til Dcpromo for at promovere denne server til en DC for det domæne, der er angivet ved hjælp af /dnsdomain-kontakten.
figur 3: Oprettelse af et nyt domæne i en eksisterende skov
Kør nu Dcpromo fra startmenuen, denne gang vælger du at oprette et nyt domæne i en eksisterende skov. På skærmen netværksoplysninger skal du indtaste skovdomænet (ADcompany.com) og en konto, der er medlem af gruppen Virksomhedsadministratorer i roddomænet, som figur 3 viser. I dialogboksen navngiv det nye domæne skal du indtaste det fuldt kvalificerede domænenavn for roddomænet (ADcompany.com) og single-label navn for det nye barn domæne (HR), som figur 4 viser. Vælg DNS-server i dialogboksen ekstra Domænecontrollerindstillinger. For resten af guiden skal du acceptere standardindstillingerne.
figur 4: Navngivning af det nye domæne
genstart serveren, når du bliver bedt om det, og kør Dcdiag på HR DC for at sikre, at alt fungerer som forventet, efter mit tidligere råd til at køre dcdiag. Åbn en kommandoprompt, og kør
ipconfig /all
Bemærk, at serverens Nic primære DNS er indstillet til den lokale serveradresse, og roddomænets DNS-server IP-adresse skiftes til at fungere som en sekundær DNS-server.
delegering og videresendelse
arbejder stadig fra kommandoprompten, skal du sørge for, at du kan pinge DC i roddomænet ved hjælp af enten DC ‘ s single-label-navn (DC1) eller DC1.ADcompany.com). du skal også være i stand til at pinge et Internetdomænenavn fra barnedomænets DC, forudsat at det har internetforbindelse. Fra roddomænets DC skal du sørge for, at du kan pinge DC i underdomænet. DNS-serveren i det underordnede domæne henviser til forespørgsler om ressourcer i ADcompany.com til en speditør, som automatisk konfigureres, når Dcpromo kører. For at se denne konfiguration skal du åbne DNS-serverkonsollen på det underordnede domænes DC fra Administrative værktøjer i menuen Start. Højreklik på serveren i venstre rude i DNS-konsollen og vælg Egenskaber i menuen. I dialogboksen Egenskaber skal du vælge fanen speditører; du vil se, at serveren er konfigureret til at sende alle forespørgsler, som den ikke kan løse, til roddomænets DNS-server. Både interne og internetforespørgsler videresendes; dette adskiller sig fra en betinget speditør, som er konfigureret til at videresende forespørgsler, der ikke kun kan løses lokalt for et bestemt navneområde.
omvendt finder du på roddomænets DNS-server en delegationspost (undertiden benævnt et delegationsområde) for HR-domænet. Igen blev denne post konfigureret som en del af dcpromo-processen for barnedomænets DC og lader roddomænets DC lokalisere ressourcer i barnedomænet. Åbn DNS-konsollen på roddomænets DC; i venstre rude skal du udvide DNS-serveren, videresende Opslagsområder, ADCompany.com. Klik på HR-delegationsområdet i bunden af træet. I højre rude kan du se en host (a) – post for det underordnede domænes DNS-server. Delegering og videresendelse er standardmekanismerne i server til at aktivere opløsning op og ned i en gren af et sammenhængende DNS-navneområde, som figur 5 viser.
figur 5: delegering og videresendelse
DNS-Devolution
DNS-devolution er en funktion af vinduerne DNS-klient. Det er ikke nyt for Server 2008 R2 eller Vinduer 7, men det indeholder nogle ændringer for at forbedre sikkerheden. Fra barnedomænets DC kan vi pinge ressourcer i roddomænet uden at specificere FKDN (dvs., vi kan pinge DC1 uden at skulle indtaste DC1.ADcompany.com). det samme gælder fra roddomænets DC; Vi kan pinge DC2 med succes uden FKDN.
som standard forsøger devolution at løse et enkelt etiketnavn ved at tilføje domæner fra klientens primære DNS-suffiks (PDS). Så en maskine, der tilhører AD.contoso.com domæne vil først forsøge at løse et maskinnavn som DC1.AD.contoso.com og så DC1.contoso.com. det vil ikke forsøge at løse DC1.com fordi standard devolution niveau er 2, som er standardindstillingen i vinduer før Server 2008 R2 og Vinduer 7. I nogle situationer kan et standardniveau på 2 skabe et sikkerhedsproblem, hvis DNS-klienter forsøger at løse Fkdn ‘ er, der er uden for organisationens kontrol. Overvej f. eks. følgende sæt forespørgsler, når decentraliseringsniveauet er indstillet til 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. den endelige forespørgsel, DC1.co.us, er uden for organisationens kontrol og kan resultere i, at en klient ved et uheld opretter forbindelse til en ondsindet maskine på internettet.
i Server 2008 R2 og Vinduer 7 er standardadfærden at indstille decentraliseringsniveauet til antallet af etiketter i Forest Root Domain (FRD), hvis PDS slutter med FRD. Vores PDS er HR.ADcompany.com og vores FRD er ADcompany. com – så i henhold til standardadfærd i Server 2008 R2 og Vinduer 7 er devolution aktiveret, og niveauet er indstillet til 2 for vores DNS-klienter. Microsoft udstedte en opdatering for at ændre DNS-devolutionsadfærd i Vinduer Vista, Vinduer og vinduer 2000. Du kan finde flere oplysninger om opdateringen i Microsoft-artiklen “adfærd efter installation på klientcomputere, når du har installeret DNS-opdateringen”.
DNS-suffiks søgeliste
hvis vi tilføjer et tredje domæne til vores skov, finance.ADcompany.com, DNS-devolution er muligvis ikke nok til at løse enkeltmærkede navne på ressourcer i HR.ADcompany.com fra kunder i FINANSDOMÆNET. Single-label navneopløsning fungerer fra FINANCE-domænet, hvis du prøver at pinge ressourcer i HR-domænet, når alle enheder er placeret på det samme fysiske undernet. Dette skyldes, at vinduer sendes til IP-adressen, hvis den ikke med succes kan løse navnet fra maskinens lokale cache eller konfigurerede DNS-server.
hvis du bruger Nslookup til at teste DNS-opløsning, vil du se, at uden en DNS-suffikssøgningsliste, skal du indtaste FKDN for den ressource, der findes i HR-domænet, fordi Nslookup som et værktøj til test af DNS-navneopløsning udelukkende bruger DNS. For at teste DNS med Nslookup skal du åbne en kommandoprompt fra Start-menuen, skrive
nslookup
og trykke på Enter. Ved den nye prompt skal du indtaste det navn, du vil løse, og trykke på Enter. Nslookup returnerer enten IP-adressen eller rapporterer en opslagsfejl.
hvis det er vigtigt for dit miljø at løse navne med en etiket på tværs af alle ANNONCEDOMÆNER, kan du konfigurere DNS-suffikssøgningslisten på alle enheder med en liste over primære DNS-suffikser, som du vil løse (i vores tilfælde, finance.ADcompany.com, HR.ADcompany.com, og ADcompany.com). hvis en DNS-suffiks søgeliste er konfigureret til en DNS-klient, deaktiveres DNS-devolution automatisk. En søgeliste kan konfigureres manuelt (Vælg Skift adapterindstillinger i vinduer 7s Netværks-og delingscenter) for hver NIC på fanen DNS i dialogboksen Avancerede TCP/IP-indstillinger for egenskaberne IPv6 og IPv4. Alternativt kan en søgeliste konfigureres ved hjælp af en kommasepareret liste i indstillingen DNS-suffiks søgeliste under Computerkonfiguration, politikker, Administrative Skabeloner, netværk, DNS-klient i Gruppepolitik.
tilsvarende, hvis vi tilføjer et nyt DNS-område, secure. HR. ADcompany.com, på HR DNS-serveren med det formål at oprette et separat område til vigtige serverressourceposter, der skal sikres med DNS-Sikkerhedsudvidelser (DNSSEC), er vi nødt til at implementere en DNS-suffikssøgningsliste, så DNS-klienter kan finde ressourcer i det nye område ved hjælp af single-label-navn. Et nyt DNS—område er påkrævet i dette tilfælde, fordi DNSSEC ikke understøtter dynamiske opdateringer—klientens værtsregistrers evne til automatisk at opdatere på en DNS-server-hvilket er standardindstillingen og den ønskede indstilling for DNS-områder, hvor værtsregistreringer gemmes til klientcomputere. Under normale omstændigheder ændres ip-adresser på servercomputere ikke, så sikrede områder kan administreres manuelt.
betinget videresendelse
vi kan hjælpe vores to underordnede domæner, finance.ADcompany.com og HR.ADcompany.com, løs forespørgsler på tværs af domæner mere effektivt uden behov for at sende en rekursiv forespørgsel til DNS-serveren i skovroden ved at konfigurere en betinget speditør på DNS-serverne i begge underordnede domæner. Betingede speditører prioriterer speditører på serverniveau og er mere effektive, idet vi kan indstille forespørgsler til specifikt domænesuffiks(r), der skal sendes til en foruddefineret DNS-server, som figur 6 viser.
figur 6: betinget videresendelse
DNS-serveren i HR.ADcompany.com vil indeholde en speditør, der sender alle forespørgsler til finance.ADcompany.com til den primære DNS-server for FINANCE-domænet og omvendt. For at konfigurere en betinget speditør skal du åbne DNS-konsollen på DC i HR-domænet fra Administrative værktøjer i Start-menuen. I venstre rude i DNS-konsollen skal du udvide DNS-serveren, højreklikke på betingede speditører og vælge Ny betinget speditør i menuen. I dialogboksen Ny betinget speditør skal du indtaste finance.adcompany.com i feltet DNS-domæne. Under IP-adresser på masterserverne skal du indtaste IP-adressen eller servernavnet på DNS-serveren i FINANCE-domænet, som Figur 7 viser, og trykke på Enter. Klik på OK for at afslutte proceduren. Gentag processen på DNS-serveren i FINANCE-domænet, men indtast HR.ADcompany.com i feltet DNS-domæne og IP-adressen på DNS-serveren i HR-domænet.
Figur 7: oprettelse af en ny betinget speditør
DNS—kompleksiteter
det er umuligt at dække alle baser i en artikel-for eksempel er der to yderligere områdetyper, sekundære og stubområder, som du kan bruge til at forbedre ydeevnen i komplekse DNS-implementeringer samt ny Server 2008 R2 funktioner, såsom DNSSEC. Men at have en grundlæggende forståelse af, hvordan DNS og AD fungerer sammen som en integreret løsning, hjælper dig med at designe nye ANNONCEUDRULNINGER og fejlfinde eventuelle problemer, der opstår. Vigtigst er det, når du tester en ny eller eksisterende ANNONCEINFRASTRUKTUR, skal du sørge for, at du for hvert domæne kan pinge ressourcer i alle andre betroede domæner. Derudover skal du implementere delegation og betinget videresendelse for at aktivere opløsning mellem navneområder. Disse grundlæggende hjælper dig med at bruge DNS mere effektivt i komplekse ANNONCEMILJØER.