DNS, dat verantwoordelijk is voor het oplossen van domeinnamen naar IP—adressen, is niet alleen het naamomzettingssysteem dat ten grondslag ligt aan het wereldwijde Internet-Het is ook een cruciaal onderdeel in Windows Active Directory (AD) voor het lokaliseren van netwerkbronnen. Maar ondanks de alomtegenwoordige aard van DNS in Windows-netwerken in de afgelopen tien jaar als vervanging voor Microsoft ‘ s eigen WINS, DNS is een complex hiërarchisch systeem dat veel junior beheerders moeilijk te begrijpen vinden.
In dit artikel zullen we verder kijken dan een single-forest/single-domain AD-structuur, waar DNS-configuratie relatief eenvoudig is, en onderzoeken hoe DNS werkt in een complexer AD-ontwerp. Onderweg introduceren we enkele van de nieuwe DNS-concepten in Windows Server 2008 R2.
Active Directory-en DNS-integratie
om ons te helpen begrijpen hoe DNS integreert met AD, laten we een AD-structuur configureren die vaak wordt ingezet in middelgrote en grote organisaties. We maken een enkel forest met twee domeinen, zoals figuur 1 laat zien. Het eerste domein zal zijn wat vaak wordt aangeduid als een lege root, of gewoon root, domein. Een leeg rootdomein staat bovenaan de AD-hiërarchie en bevat, zoals de naam al doet vermoeden, geen bronnen. Dit type domein geeft organisaties meer flexibiliteit en een betere scheiding van beveiligingsfuncties dan een enkel forest/enkel domein. Het tweede domein zal onder onze lege root zitten en is daarom een dochterdomein; het zal functioneren als het hoofddomein voor onze organisatie, waar resources (bijvoorbeeld groepen, gebruikers-en computeraccounts) zich bevinden.
figuur 1: een forest met twee domeinen
we beginnen met het uitvoeren van Dcpromo op de eerste server om het forest aan te maken en het lege hoofddomein. Meld u aan bij Server 2008 R2 als beheerder. Zorg ervoor dat u de server een passende naam hebt gegeven, zoals DC1, en stel een IP-adres, subnetmasker en standaardgateway in op de NIC van de server. U kunt de DNS-instellingen van de NIC leeg laten en Windows een lokaal adres laten toevoegen.
voer Dcpromo uit vanuit het menu Start en maak een nieuw forest en domein genaamd ADcompany.com merk op dat ik AD als een voorvoegsel aan de bedrijfsnaam toegevoegd om de interne en externe DNS-naamruimten gescheiden te houden. ADCOMPANY wordt de NETBIOS – naam voor het domein. Hoewel het domein is bedoeld voor intern gebruik, is het belangrijk om de ADcompany.com domein op het Internet om ervoor te zorgen dat clients niet per ongeluk kunnen worden doorgestuurd naar een apparaat dat buiten de controle van de organisatie. Het is ook gebruikelijk om de AD.company.com naamruimtehiërarchie, waarbij AD De NETBIOS-naam voor het domein wordt. In dit geval, uitgaande van company.com is al geregistreerd door het bedrijf op het Internet, geen extra actie is vereist.
controleer of de optie DNS-server is geselecteerd op het scherm extra Domeincontrolleropties. Nadat u op Volgende klikt en Dcpromo de geselecteerde opties begint te valideren, ontvangt u een waarschuwing dat er geen delegatie kan worden gemaakt omdat de gezaghebbende bovenliggende zone niet kan worden gevonden. Met andere woorden, Dcpromo kan geen gezaghebbende DNS-server vinden (dat wil zeggen een server die een primaire of secundaire kopie van zonegegevens voor het .com-domein bevat), waar het een delegatiezone voor de ADcompany.com domein.
een DNS-zone bevat alle bronrecords voor een deel van de naamruimte, zoals ADCOMPANY of COM. Omdat dit ons interne root AD domein is, is een delegatierecord in de publieke COM zone niet nodig en kunt u deze waarschuwing veilig negeren. We zullen beter begrijpen wat delegeren betekent wanneer we ons kinddomein creëren.
testen met Dcdiag
nadat Dcpromo is voltooid, herstart de server zoals gevraagd. Om er zeker van te zijn dat alles werkt zoals verwacht met ons nieuwe domein, open een opdrachtprompt en voer Dcdiag uit. Er zal een reeks tests worden uitgevoerd die met succes moeten worden uitgevoerd als DNS en andere kritieke AD-componenten correct zijn geconfigureerd.
voordat u Dcdiag uitvoert, wilt u misschien de gebeurtenislogboeken voor systeem-en DFS-replicatie wissen om te voorkomen dat het hulpprogramma verschillende fouten rapporteert als gevolg van foutwaarschuwingen die zijn geregistreerd tijdens het domeininstellingsproces. DFS-replicatiefouten worden bijvoorbeeld meestal weergegeven wanneer Dcdiag voor het eerst wordt uitgevoerd op een nieuwe DC (domeincontroller), maar ze wijzen niet noodzakelijkerwijs op een probleem met DNS, wat vaak de bron is van replicatiefouten. Nadat de gebeurtenislogboeken zijn gewist, voert u
dcdiag /test:dfsrevent
uit. dit commando moet de test succesvol doorstaan.
totdat u een geschikte tijdbron configureert, krijgt u w32tm (Windows Time service) – fouten in de dcdiag-tests voor de DC van het hoofddomein. Zie het Microsoft-artikel ‘een gezaghebbende tijdserver configureren in Windows Server’ voor meer informatie over het configureren van de Windows Time-service.
Root Hints
nu AD DNS in werkende staat is, moet de geïnstalleerde DNS-server ons internetdomeinnamen laten oplossen, Ook al hebben we geen doorstuurservers geconfigureerd of een IP-adres toegevoegd voor de DNS-server van een ISP op de NIC-instellingen van de DC. De DNS-server bevat root hints die verwijzen naar de hoogste niveau DNS-servers op het Internet, zodat het query ‘ s kan oplossen voor Namen die het niet gezaghebbend voor en niet al in de cache.
om de root hints te zien die vanuit de cache geladen zijn.dns-bestand, open DNS vanuit beheerprogramma ‘ s in het menu Start. Klik in de DNS-console met de rechtermuisknop op de DNS-server in het linkerdeelvenster en selecteer Eigenschappen in het menu. Selecteer in het dialoogvenster servereigenschappen het tabblad Hoofdaanwijzingen, zoals figuur 2 laat zien.
Figuur 2: root-hints bekijken
u kunt ook situaties tegenkomen, zoals de eis om een service als OpenDNS te gebruiken voor het filteren van webcontent, waarbij u een doorstuurserver instelt voor het oplossen van internetnamen in plaats van te vertrouwen op root-hints. Bij het ontwerpen van uw DNS-infrastructuur, vergeet niet dat als doorstuurservers zijn geconfigureerd op een DNS-server, ze worden gebruikt voor naamresolutie vóór root hints.
iteratieve en recursieve Queries
verzoeken die door de DNS-server worden gedaan om namen op te lossen met behulp van root—hints zijn iteratief, wat betekent dat een beste antwoord zal worden geaccepteerd-wat een verwijzing kan zijn naar een naamserver lager in de hiërarchie die de query definitief kan oplossen. Dit in tegenstelling tot de Windows DNS-client, die recursieve query ‘ s naar een DNS-server stuurt, waarvoor een definitief antwoord of een fout nodig is waarin staat dat de bron niet bestaat. Recursieve query ‘ s worden meestal verzonden door DNS-clients of doorstuurservers.
een Dochterdomein configureren
nu de interne en Internetnaam-resolutie zijn getest en werken in ons hoofddomein, is het tijd om een dochterdomein toe te voegen, genaamd HR (HR.ADcompany.com), waar al onze middelen zullen worden gevestigd. Log in op de tweede Server 2008 R2-machine als een lokale beheerder en zorg ervoor dat deze een juiste naam heeft, zoals DC2. Wijs een IP-adres en een subnetmasker toe en stel vervolgens de primaire DNS-server in voor de NIC van de server met het IP-adres van uw DC in het hoofddomein. Wanneer we Dcpromo draaien, moet de tool de root DNS-domein en DC lokaliseren, dus een DNS-server die deze query ‘ s kan beantwoorden moet worden geconfigureerd.
voordat u start, kunnen we
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
uitvoeren om ervoor te zorgen dat alles correct is geconfigureerd voor Dcpromo om deze server te promoten naar een DC voor het domein dat is opgegeven met behulp van de /dnsdomain-schakelaar.
Figuur 3: Een nieuw domein aanmaken in een bestaand forest
Voer nu Dcpromo uit vanuit het menu Start, ditmaal kiest u ervoor om een nieuw domein aan te maken in een bestaand forest. Voer in het scherm netwerkreferenties het forestdomein (ADcompany) in.com) en een account dat lid is van de groep Ondernemingsadministrators in het hoofddomein, zoals figuur 3 laat zien. Voer in het dialoogvenster Naam van het nieuwe domein de FQDN-naam (Fully Qualified Domain Name) in voor het hoofddomein (ADcompany.com) en single-label naam voor het nieuwe dochterdomein (HR), zoals figuur 4 laat zien. Selecteer DNS-server in het dialoogvenster Opties voor extra domeincontrollers. Voor de rest van de wizard accepteert u de standaardinstellingen.
Figuur 4: Naamgeving van het nieuwe domein
Herstart de server wanneer daarom wordt gevraagd, en voer Dcdiag uit op de HR DC om ervoor te zorgen dat alles werkt zoals verwacht, volgens mijn eerdere advies voor het uitvoeren van Dcdiag. Open een opdrachtprompt en voer
ipconfig /all
uit Merk op dat de NIC-primaire DNS van de server is ingesteld op het lokale serveradres, en het IP-adres van de DNS-server van het hoofddomein wordt verschoven naar een secundaire DNS-server.
delegatie en doorsturen
werkt nog steeds vanaf de opdrachtprompt, zorg ervoor dat u de DC kunt pingen in het rootdomein, met behulp van de single-label naam van de DC (DC1) of FQDN (DC1.ADcompany.com). u moet ook in staat zijn om een Internet domeinnaam te pingen vanuit de DC van het onderliggende domein, ervan uitgaande dat het internetverbinding heeft. Zorg er vanuit de DC van het hoofddomein voor dat u de DC in het onderliggende domein kunt pingen. De DNS-server in het onderliggende domein verwijst query ‘ s naar bronnen in ADcompany.com naar een doorstuurserver, die automatisch wordt geconfigureerd wanneer Dcpromo wordt uitgevoerd. Als u deze configuratie wilt weergeven, opent u de DNS-serverconsole in de DC van het onderliggende domein vanuit beheerprogramma ‘ s in het menu Start. Klik in de DNS-console met de rechtermuisknop op de server in het linkerdeelvenster en selecteer Eigenschappen in het menu. Selecteer in het dialoogvenster Eigenschappen het tabblad doorstuurservers.u ziet dat de server is geconfigureerd voor het verzenden van alle query ‘ s die niet kunnen worden opgelost naar de DNS-server van het hoofddomein. Zowel interne als Internet query ’s worden doorgestuurd; dit verschilt van een voorwaardelijke doorstuurserver, die is geconfigureerd om query’ s door te sturen die niet lokaal kunnen worden opgelost voor een specifieke naamruimte.
omgekeerd vindt u op de DNS-server van het hoofddomein een delegatierecord (soms een delegatiezone genoemd) voor het HR-domein. Nogmaals, deze record is geconfigureerd als onderdeel van het Dcpromo-proces voor de DC van het onderliggende domein en laat de DC van het hoofddomein bronnen in het onderliggende domein lokaliseren. Open de DNS-console op DC van het hoofddomein; vouw in het linkerdeelvenster DNS-Server uit, Zones voor Forward Lookup, ADCompany.com. klik op de HR-delegatiezone onderaan de boomstructuur. In het rechterdeelvenster ziet u een host (a) – record voor de DNS-server van het dochterdomein. Delegeren en doorsturen zijn de standaardmechanismen in Windows Server voor het inschakelen van resolutie op en neer een tak van een aangrenzende DNS-naamruimte, zoals figuur 5 laat zien.
Figuur 5: delegeren en doorsturen
DNS-devolutie
DNS-devolutie is een functie van de Windows DNS-client. Het is niet nieuw voor Server 2008 R2 of Windows 7, maar het bevat enkele wijzigingen om de beveiliging te verbeteren. Vanuit de DC van het onderliggende domein kunnen we bronnen in het hoofddomein pingen zonder de FQDN (d.w.z., we kunnen pingen DC1 zonder in te voeren DC1.ADcompany.com). hetzelfde geldt voor de DC van het rootdomein; we kunnen DC2 succesvol pingen zonder de FQDN.
standaard probeert devolution een naam met één label om te zetten door domeinen toe te voegen van het primaire DNS-achtervoegsel (PDS) van de client. Dus een machine die behoort tot de AD.contoso.com domein zal eerst proberen om een machine naam op te lossen als DC1.AD.contoso.com en dan DC1.contoso.com. het zal niet proberen op te lossen DC1.com omdat het standaard devolutieniveau 2 is, de standaardinstelling in Windows vóór Server 2008 R2 en Windows 7. In sommige situaties kan een standaardniveau van 2 een beveiligingsprobleem veroorzaken als DNS-clients FQDN ‘ s proberen op te lossen die buiten de controle van de organisatie vallen. Denk bijvoorbeeld aan de volgende set query ‘ s wanneer het devolutieniveau is ingesteld op 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. de laatste vraag, DC1.co.us, buiten de controle van de organisatie en kan resulteren in een client per ongeluk verbinding maken met een kwaadaardige machine op het Internet.
in Server 2008 R2 en Windows 7 is het standaardgedrag om het devolutieniveau in te stellen op het aantal labels in het foresthoofddomein (FRD) als de PDS eindigt met de FRD. Onze PDS is HR.ADcompany.com en onze FRD is ADcompany. com-dus volgens het standaardgedrag in Server 2008 R2 en Windows 7, devolution is ingeschakeld en het niveau is ingesteld op 2 voor onze DNS-clients. Microsoft heeft een update uitgebracht om het DNS-devolutiegedrag in Windows Vista, Windows XP en Windows 2000 te wijzigen. Zie het Microsoft-artikel “gedrag na installatie op clientcomputers nadat u de DNS-update hebt geïnstalleerd”voor meer informatie over de update.
DNS-Achtervoegselzoeklijst
als we een derde domein aan ons forest toevoegen, finance.ADcompany.com, DNS deconcentratie misschien niet genoeg om single-label namen van de middelen op te lossen in HR.ADcompany.com van klanten in het financiële domein. Naamomzetting met één label werkt vanuit het FINANCE-domein als u bronnen probeert te pingen in het HR-domein wanneer alle apparaten zich in hetzelfde fysieke subnet bevinden. Dit komt omdat Windows zal uitzenden voor het IP-adres als het niet met succes kan oplossen van de naam van de lokale cache van de machine of geconfigureerde DNS-server.
als u Nslookup gebruikt om de DNS-resolutie te testen, zult u zien dat u zonder een DNS-achtervoegselzoeklijst de FQDN van de bron in het HR-domein moet invoeren, omdat Nslookup als hulpmiddel voor het testen van de DNS-naamresolutie uitsluitend DNS gebruikt. Om DNS met Nslookup te testen, opent u een opdrachtprompt in het menu Start, typt u
nslookup
en drukt u op Enter. Voer bij de nieuwe prompt de FQDN-of single-label-naam in die u wilt oplossen en druk op Enter. Nslookup retourneert het IP-adres of rapporteert een lookup-fout.
als het oplossen van single-label namen in alle AD-domeinen belangrijk is voor uw omgeving, kunt u de zoeklijst voor DNS-achtervoegsels configureren op alle apparaten met een lijst met primaire DNS-achtervoegsels die u wilt oplossen (in ons geval, finance.ADcompany.com, HR.ADcompany.com, en ADcompany.com als een DNS-achtervoegselzoeklijst is geconfigureerd voor een DNS-client, wordt DNS-devolutie automatisch uitgeschakeld. Een zoeklijst kan handmatig worden geconfigureerd (selecteer adapterinstellingen wijzigen in Windows 7 ‘ s Network and Sharing Center) voor elke NIC op het tabblad DNS in het dialoogvenster Geavanceerde TCP/IP-instellingen voor de eigenschappen IPv6 en IPv4. U kunt ook een zoeklijst configureren met een door komma ‘ s gescheiden lijst in de instelling DNS-Achtervoegselzoeklijst onder Computerconfiguratie, Beleid, Beheersjablonen, netwerk, DNS-Client in Groepsbeleid (voor Windows Server 2003 en XP of hoger).
Evenzo, als we een nieuwe DNS-zone toevoegen, secure. HR. ADcompany.com, op de HR DNS-server voor het maken van een aparte zone voor belangrijke serverbronrecords die moeten worden beveiligd met DNS-Beveiligingsextensies (DNSSEC), moeten we een DNS-achtervoegselzoeklijst implementeren, zodat DNS-clients bronnen in de nieuwe zone kunnen vinden op basis van de naam met één label. In dit geval is een nieuwe DNS—zone vereist, omdat DNSSEC geen ondersteuning biedt voor dynamische updates—de mogelijkheid dat clienthostrecords automatisch worden bijgewerkt op een DNS-server-wat de standaard en gewenste instelling is voor DNS-zones waar hostrecords voor clientcomputers worden opgeslagen. Onder normale omstandigheden veranderen IP-adressen van servercomputers niet, zodat beveiligde zones handmatig kunnen worden beheerd.
Conditional Forwarding
we kunnen onze twee dochterdomeinen helpen, finance.ADcompany.com en HR.ADcompany.com los domeinoverschrijdende query ‘ s efficiënter op, zonder dat een recursieve query naar de DNS-server in de foresthoofdmap hoeft te worden verzonden, door een voorwaardelijke doorstuurserver op de DNS-servers in beide subdomeinen te configureren. Voorwaardelijke doorstuurservers hebben voorrang op doorstuurservers op serverniveau en zijn efficiënter omdat we query ‘ s kunnen instellen voor specifieke domeinachtervoegsels die naar een vooraf gedefinieerde DNS-server moeten worden verzonden, zoals in Figuur 6 wordt weergegeven.
Figuur 6: Conditional forwarding
de DNS-server in HR.ADcompany.com zal een doorstuurserver bevatten die alle query ‘ s verzendt voor finance.ADcompany.com naar de primaire DNS-server voor het FINANCE-domein en vice versa. Als u een voorwaardelijke doorstuurserver wilt configureren, opent u de DNS-console op de DC in het HR-domein vanuit beheerprogramma ‘ s in het menu Start. Vouw in het linkerdeelvenster van de DNS-console de DNS-server uit, klik met de rechtermuisknop op voorwaardelijke doorstuurservers en selecteer nieuwe voorwaardelijke doorstuurserver in het menu. Voer in het dialoogvenster Nieuwe voorwaardelijke doorstuurserver in finance.adcompany.com in het vak DNS-domein. Voer onder IP-adressen van de masterservers het IP-adres of de servernaam van de DNS-server in het FINANCE-domein in, zoals in Figuur 7 wordt weergegeven, en druk op Enter. Klik op OK om de procedure te voltooien. Herhaal het proces op de DNS-server in het FINANCE-domein, maar voer in HR.ADcompany.com in het vak DNS-domein en het IP-adres van de DNS-server in het HR-domein.
Figuur 7: Een nieuwe voorwaardelijke doorstuurserver
DNS-complexiteiten
het is onmogelijk om alle bases in één artikel te behandelen—er zijn bijvoorbeeld twee extra zonetypes, secundaire en stub-zones, die u kunt gebruiken om de prestaties in complexe DNS-implementaties te verbeteren, evenals nieuwe Server 2008 R2-functies, zoals DNSSEC. Maar het hebben van een basiskennis van hoe DNS en advertentie samenwerken als een geïntegreerde oplossing zal u helpen bij het ontwerpen van nieuwe advertentie implementaties en het oplossen van eventuele problemen die zich voordoen. Het belangrijkste is dat u bij het testen van een nieuwe of bestaande AD-infrastructuur voor elk domein bronnen kunt pingen in alle andere vertrouwde domeinen. Daarnaast kunt u delegeren en voorwaardelijke doorsturen implementeren om de resolutie tussen naamruimten in te schakelen. Deze basisprincipes helpen u DNS effectiever te gebruiken in complexe AD-omgevingen.