DNS, który jest odpowiedzialny za rozwiązywanie nazw domen na adresy IP, to nie tylko system rozpoznawania nazw, który stanowi podstawę globalnego Internetu—to także krytyczny komponent w Windows Active Directory (AD) do lokalizowania zasobów sieciowych. Ale pomimo wszechobecnego charakteru DNS W Sieci Windows w ciągu ostatniej dekady jako zamiennik zastrzeżonych wygranych Microsoftu, DNS jest złożonym systemem hierarchicznym, który wielu młodszym administratorom trudno zrozumieć.
w tym artykule wyjdziemy poza strukturę reklam z pojedynczą/pojedynczą domeną, gdzie Konfiguracja DNS jest stosunkowo prosta, i zbadamy, jak działa DNS w bardziej złożonym projekcie reklam. Po drodze przedstawimy niektóre z nowych koncepcji DNS w systemie Windows Server 2008 R2.
Integracja usługi Active Directory i DNS
aby pomóc nam zrozumieć, w jaki sposób DNS integruje się z reklamą, skonfigurujmy strukturę reklam, która jest powszechnie stosowana w średnich i dużych organizacjach. Stworzymy jeden las z dwoma domenami, jak pokazuje rysunek 1. Pierwsza domena będzie czymś, co jest często określane jako pusty root, lub po prostu root, domena. Pusta domena główna znajduje się na górze hierarchii reklam i, jak sama nazwa wskazuje, nie zawiera żadnych zasobów. Ten typ domeny zapewnia organizacjom większą elastyczność i lepszy rozdział ról zabezpieczeń niż pojedynczy Las/pojedyncza domena. Druga domena będzie znajdować się pod naszym pustym root i dlatego jest domeną potomną; będzie funkcjonować jako główna domena naszej organizacji, w której znajdują się zasoby (np. grupy, konta użytkowników i komputerów).
Rysunek 1: pojedynczy las z dwiema domenami
zaczynamy od uruchomienia Dcpromo na pierwszym serwerze, aby utworzyć las i pustą domenę główną. Zaloguj się na serwer 2008 R2 jako administrator. Upewnij się, że nadałeś serwerowi odpowiednią nazwę, na przykład DC1, i ustaw adres IP, maskę podsieci i bramę domyślną na karcie sieciowej serwera. Możesz zostawić ustawienia DNS NIC i pozwolić systemowi Windows dodać adres lokalny.
Uruchom Dcpromo z menu Start i utwórz nowy las i domenę o nazwie ADcompany.com. zauważ, że dodałem AD jako prefiks do nazwy firmy, aby zachować wewnętrzną i zewnętrzną przestrzeń nazw DNS osobno. ADCOMPANY stanie się nazwą NETBIOS dla domeny. Mimo że domena jest przeznaczona tylko do użytku wewnętrznego, ważne jest, aby zarejestrować ADcompany.com domeny w Internecie, aby upewnić się, że klienci nie mogą zostać przypadkowo przekierowani na urządzenie, które jest poza kontrolą organizacji. Często używa się również AD.company.com hierarchia przestrzeni nazw, gdzie AD staje się nazwą NETBIOS dla domeny. W tym przypadku, zakładając company.com jest już zarejestrowany przez firmę w Internecie, nie jest wymagane żadne dodatkowe działanie.
na ekranie dodatkowe opcje kontrolera domeny upewnij się, że wybrano opcję serwer DNS. Po kliknięciu przycisku Dalej i rozpoczęciu weryfikacji wybranych opcji przez Dcpromo pojawi się ostrzeżenie, że delegacja nie może zostać utworzona, ponieważ nie można znaleźć autorytatywnej strefy nadrzędnej. Innymi słowy, Dcpromo nie może znaleźć autorytatywnego serwera DNS (tj. serwera, który przechowuje podstawową lub wtórną kopię danych strefy dla domeny. com), gdzie może utworzyć strefę delegacji dla ADcompany.com domena.
Strefa DNS przechowuje wszystkie rekordy zasobów dla jednej części przestrzeni nazw, takich jak ADCOMPANY lub COM. Ponieważ jest to nasza wewnętrzna domena reklamowa, zapis delegacji w publicznej strefie COM nie jest konieczny i możesz bezpiecznie zignorować to Ostrzeżenie. Lepiej zrozumiemy, co oznacza delegacja, gdy stworzymy naszą domenę potomną.
Testowanie z Dcdiag
po zakończeniu Dcpromo uruchom ponownie serwer zgodnie z monitem. Aby upewnić się, że wszystko działa zgodnie z oczekiwaniami w naszej nowej domenie, otwórz wiersz polecenia i uruchom Dcdiag. Zostanie przeprowadzona seria testów, które powinny przejść pomyślnie, jeśli DNS i inne krytyczne komponenty AD są poprawnie skonfigurowane.
przed uruchomieniem Dcdiag możesz wyczyścić dzienniki zdarzeń replikacji systemu i DFS, aby zapobiec zgłaszaniu różnych błędów przez narzędzie z powodu ostrzeżeń o błędach rejestrowanych podczas procesu konfiguracji domeny. Na przykład błędy replikacji DFS są zwykle wyświetlane, gdy Dcdiag jest uruchamiany po raz pierwszy na nowym kontrolerze domeny (DC)—jednak niekoniecznie wskazują na problem z DNS, który często jest źródłem niepowodzeń replikacji. Po wyczyszczeniu dzienników zdarzeń Uruchom
dcdiag /test:dfsrevent
to polecenie powinno pomyślnie przejść test.
dopóki nie skonfigurujesz odpowiedniego źródła czasu, otrzymasz błędy w32tm (Windows Time service) w testach DCDIAG dla DC domeny głównej. Aby uzyskać informacje na temat konfigurowania usługi czasu systemu Windows, zobacz artykuł firmy Microsoft „jak skonfigurować autorytatywny serwer czasu w systemie Windows Server”.
podpowiedzi roota
teraz, gdy AD DNS jest w stanie sprawnym, jeśli DC ma połączenie z Internetem, zainstalowany serwer DNS powinien pozwolić nam rozwiązać nazwy domen internetowych, nawet jeśli nie skonfigurowaliśmy żadnych spedytorów ani nie dodaliśmy adresu IP dla serwera DNS dostawcy usług internetowych w Ustawieniach NIC DC. Serwer DNS zawiera wskazówki roota, które wskazują na serwery DNS najwyższego poziomu w Internecie, dzięki czemu może rozwiązywać zapytania o Nazwy, dla których nie jest autorytatywny i nie ma już w pamięci podręcznej.
aby zobaczyć podpowiedzi głównego, które są ładowane z pamięci podręcznej.plik dns, otwórz DNS z narzędzi administracyjnych w menu Start. W konsoli DNS kliknij prawym przyciskiem myszy serwer DNS w lewym okienku i wybierz Właściwości z menu. W oknie dialogowym Właściwości serwera wybierz kartę wskazówki Administratora, jak pokazano na rysunku 2.
Rysunek 2: Wyświetlanie podpowiedzi administratora
Możesz również napotkać sytuacje, takie jak wymóg korzystania z usługi takiej jak OpenDNS do filtrowania treści internetowych, w której skonfigurujesz spedytora do rozwiązywania nazw internetowych zamiast polegać na podpowiedziach administratora. Podczas projektowania infrastruktury DNS pamiętaj, że jeśli spedytorzy są skonfigurowani na serwerze DNS, są one używane do rozwiązywania nazw przed podpowiedziami administratora.
zapytania iteracyjne i rekurencyjne
żądania serwera DNS dotyczące rozwiązywania nazw przy użyciu podpowiedzi roota są iteracyjne, co oznacza, że najlepsza odpowiedź zostanie zaakceptowana—co może być odesłaniem do serwera nazw niżej w hierarchii, który może ostatecznie rozwiązać zapytanie. Jest to w przeciwieństwie do klienta DNS systemu Windows, który wysyła rekurencyjne zapytania do serwera DNS, wymagając ostatecznej odpowiedzi lub błędu stwierdzającego, że zasób nie istnieje. Zapytania rekurencyjne są zazwyczaj wysyłane przez klientów DNS lub spedytorów.
Konfigurowanie domeny potomnej
teraz, gdy wewnętrzna i internetowa rozdzielczość nazw zostały przetestowane i działają w naszej domenie głównej, nadszedł czas, aby dodać domenę potomną o nazwie HR (HR.ADcompany.com), gdzie znajdą się wszystkie nasze zasoby. Zaloguj się na drugą maszynę Server 2008 R2 jako lokalny administrator i upewnij się, że ma odpowiednią nazwę, taką jak DC2. Przypisz adres IP i maskę podsieci, a następnie Ustaw główny serwer DNS dla karty sieciowej serwera z adresem IP Twojego DC w domenie głównej. Kiedy uruchamiamy Dcpromo, narzędzie musi zlokalizować domenę root DNS i DC, więc serwer DNS, który może odpowiedzieć na te zapytania, musi być skonfigurowany.
przed uruchomieniem możemy uruchomić
dcdiag /test:dcpromo /dnsdomain:HR.ADcompany.com /ChildDomain
, aby upewnić się, że wszystko jest poprawnie skonfigurowane dla Dcpromo, aby promować ten serwer do DC dla domeny określonej za pomocą przełącznika /dnsdomain.
Rysunek 3: Tworzenie nowej domeny w istniejącym lesie
Teraz uruchom Dcpromo z menu Start, tym razem wybierając utworzenie nowej domeny w istniejącym lesie. Na ekranie poświadczenia sieci wprowadź domenę forest (ADcompany.com) oraz konto należące do grupy Enterprise Administrators w domenie głównej, jak pokazuje rysunek 3. W oknie dialogowym Nazwa nowej domeny wprowadź w pełni kwalifikowaną nazwę domeny (FQDN) dla domeny głównej (ADcompany.com) i jednokrotna nazwa nowej domeny potomnej (HR), jak pokazano na rysunku 4. W oknie dialogowym Opcje dodatkowego kontrolera domeny wybierz opcję serwer DNS. Dla pozostałej części kreatora Zaakceptuj ustawienia domyślne.
Rysunek 4: Nazwanie nowej domeny
Uruchom ponownie serwer po wyświetleniu monitu i uruchom Dcdiag na HR DC, aby upewnić się, że wszystko działa zgodnie z oczekiwaniami, zgodnie z moją wcześniejszą radą dotyczącą uruchomienia Dcdiag. Otwórz wiersz polecenia i uruchom
ipconfig /all
zwróć uwagę, że podstawowy DNS NIC serwera jest ustawiony na lokalny adres serwera, a adres IP serwera DNS domeny głównej zostanie przesunięty, aby działał jako dodatkowy serwer DNS.
delegowanie i przekazywanie
nadal działa z wiersza polecenia, upewnij się, że możesz pingować DC w domenie głównej, używając nazwy pojedynczej etykiety DC (DC1) lub FQDN (FQDN). DC1.ADcompany.com). powinieneś również być w stanie pingować nazwę domeny internetowej z DC domeny potomnej, zakładając, że ma ona połączenie z Internetem. W domenie głównej DC upewnij się, że możesz pingować DC w domenie potomnej. Serwer DNS w domenie potomnej odsyła zapytania o zasoby w ADcompany.com do spedytora, który jest automatycznie konfigurowany po uruchomieniu Dcpromo. Aby zobaczyć tę konfigurację, otwórz konsolę serwera DNS NA DC domeny potomnej z narzędzi administracyjnych w menu Start. W konsoli DNS kliknij prawym przyciskiem myszy serwer w lewym okienku i wybierz Właściwości z menu. W oknie dialogowym Właściwości wybierz kartę spedytorzy; zobaczysz, że serwer jest skonfigurowany do wysyłania wszystkich zapytań, których nie może rozwiązać do serwera DNS domeny głównej. Zarówno wewnętrzne, jak i internetowe zapytania są przekazywane dalej; różni się to od spedytora warunkowego, który jest skonfigurowany do przekazywania zapytań, których nie można rozwiązać lokalnie tylko dla określonej przestrzeni nazw.
odwrotnie, na serwerze DNS domeny głównej znajdziesz rekord delegacji (czasami określany jako strefa delegacji) dla domeny HR. Ponownie, rekord ten został skonfigurowany jako część procesu Dcpromo dla DC domeny podrzędnej i pozwala DC domeny głównej zlokalizować zasoby w domenie podrzędnej. Otwórz konsolę DNS NA DC domeny głównej; w lewym okienku rozwiń serwer DNS, Prześlij Strefy wyszukiwania, ADCompany.com. kliknij strefę delegowania HR u dołu drzewa. W prawym okienku zobaczysz rekord hosta (a) dla serwera DNS domeny podrzędnej. Delegowanie i przekazywanie są domyślnymi mechanizmami w systemie Windows Server umożliwiającymi Rozwiązywanie w górę iw dół gałęzi ciągłej przestrzeni nazw DNS, Jak pokazano na rysunku 5.
Rysunek 5: delegowanie i przekazywanie
decentralizacja DNS
decentralizacja DNS jest cechą klienta DNS systemu Windows. Nie jest nowy W Server 2008 R2 lub Windows 7, ale zawiera pewne zmiany w celu poprawy bezpieczeństwa. Z DC domeny potomnej możemy pingować zasoby w domenie głównej bez określania FQDN (np., możemy ping DC1 bez konieczności wprowadzania DC1.ADcompany.com). to samo dotyczy DC domeny głównej; możemy ping DC2 pomyślnie bez FQDN.
domyślnie decentralizacja próbuje rozwiązać nazwę pojedynczej etykiety, dodając domeny z głównego sufiksu DNS (PDS) klienta. Więc maszyna, która należy do AD.contoso.com domena najpierw spróbuje rozwiązać nazwę Maszyny jako DC1.AD.contoso.com a potem DC1.contoso.com. It won ’ t try to resolve DC1.com ponieważ domyślny poziom decentralizacji to 2, który jest domyślnym ustawieniem w Windows przed Server 2008 R2 i Windows 7. W niektórych sytuacjach Domyślny poziom 2 może powodować obawy dotyczące bezpieczeństwa, jeśli klienci DNS spróbują rozwiązać FQDNs, które są poza kontrolą organizacji. Na przykład, rozważ następujący zestaw zapytań, gdy poziom decentralizacji jest ustawiony na 2: DC1.HR.company.co.us, DC1.company.co.us, DC1.co.us. Ostatnie zapytanie, DC1.co.us, jest poza kontrolą organizacji i może spowodować, że klient przypadkowo połączy się ze złośliwym komputerem w Internecie.
W Server 2008 R2 i Windows 7 domyślnym zachowaniem jest ustawienie poziomu decentralizacji na liczbę etykiet w domenie Root Forest (FRD), jeśli PD kończy się FRD. Nasze PDS to HR.ADcompany.com a naszym FRD jest ADcompany. com – więc zgodnie z domyślnym zachowaniem W Server 2008 R2 i Windows 7, decentralizacja jest włączona, a poziom jest ustawiony na 2 dla naszych klientów DNS. Microsoft wydał aktualizację, aby zmienić zachowanie decentralizacji DNS w systemach Windows Vista, Windows XP i Windows 2000. Aby uzyskać więcej informacji na temat aktualizacji, zobacz artykuł firmy Microsoft „zachowanie po instalacji na komputerach klienckich po zainstalowaniu aktualizacji DNS”.
lista wyszukiwania sufiksów DNS
jeśli dodamy trzecią domenę do naszego lasu, finance.ADcompany.com, decentralizacja DNS może nie wystarczyć do rozwiązania nazw pojedynczych etykiet zasobów w HR.ADcompany.com od klientów z dziedziny finansów. Rozdzielczość nazw z pojedynczą etykietą działa z domeny Finanse, jeśli próbujesz pingować zasoby w domenie HR, gdy wszystkie urządzenia znajdują się w tej samej podsieci fizycznej. Dzieje się tak dlatego, że system Windows będzie nadawał adres IP, jeśli nie może pomyślnie rozwiązać nazwy z lokalnej pamięci podręcznej komputera lub skonfigurowanego serwera DNS.
jeśli używasz Nslookup do testowania rozdzielczości DNS, zobaczysz, że bez listy wyszukiwania sufiksów DNS musisz wprowadzić FQDN zasobu znajdującego się w domenie HR, ponieważ jako narzędzie do testowania rozdzielczości nazw DNS, Nslookup używa wyłącznie DNS. Aby przetestować DNS za pomocą Nslookup, otwórz wiersz polecenia z menu Start, wpisz
nslookup
i naciśnij Enter. W nowym monicie wprowadź nazwę FQDN lub nazwę pojedynczej etykiety, którą chcesz rozwiązać, i naciśnij klawisz Enter. Nslookup zwróci adres IP lub zgłosi błąd wyszukiwania.
jeśli rozwiązywanie nazw pojedynczych etykiet we wszystkich domenach reklam jest ważne dla Twojego środowiska, możesz skonfigurować listę wyszukiwania sufiksów DNS na wszystkich urządzeniach z listą podstawowych sufiksów DNS, które chcesz rozwiązać (w naszym przypadku, finance.ADcompany.com, HR.ADcompany.com, oraz ADcompany.com). jeśli lista wyszukiwania sufiksów DNS jest skonfigurowana dla klienta DNS, decentralizacja DNS jest automatycznie wyłączona. Listę Wyszukiwania można skonfigurować ręcznie (wybierz Zmień ustawienia karty w Centrum sieci i udostępniania systemu Windows 7) dla każdej karty sieciowej na karcie DNS w oknie dialogowym Zaawansowane ustawienia TCP/IP dla właściwości IPv6 I IPv4. Alternatywnie, listę Wyszukiwania można skonfigurować za pomocą listy rozdzielanej przecinkami w ustawieniu listy wyszukiwania przyrostków DNS w obszarze Konfiguracja komputera, Zasady, Szablony administracyjne, sieć, Klient DNS w zasadach grupy (Dla Windows Server 2003 i XP lub nowszych).
Podobnie, jeśli dodamy nową strefę DNS, secure. HR. ADcompany.com, na serwerze HR DNS w celu utworzenia oddzielnej strefy dla ważnych rekordów zasobów serwera, które powinny być zabezpieczone rozszerzeniami zabezpieczeń DNS (DNSSEC), musimy wdrożyć listę wyszukiwania przyrostków DNS, aby klienci DNS mogli zlokalizować zasoby w nowej strefie według nazwy pojedynczej etykiety. W tym przypadku wymagana jest nowa strefa DNS, ponieważ DNSSEC nie obsługuje aktualizacji dynamicznych—możliwości automatycznej aktualizacji rekordów hosta klienta na serwerze DNS—co jest domyślnym i pożądanym ustawieniem dla stref DNS, w których rekordy hosta są przechowywane dla komputerów klienckich. W normalnych okolicznościach adresy IP komputerów serwerów Nie zmieniają się, więc zabezpieczone strefy mogą być administrowane ręcznie.
przekazywanie warunkowe
możemy pomóc naszym dwóm domenom potomnym, finance.ADcompany.com oraz HR.ADcompany.com, rozwiązuj zapytania między domenami bardziej efektywnie, bez potrzeby wysyłania rekurencyjnego zapytania do serwera DNS w korzeniu lasu, konfigurując spedytora warunkowego na serwerach DNS w obu domenach potomnych. Spedytorzy warunkowi mają pierwszeństwo przed spedytorami na poziomie serwera i są bardziej wydajni, ponieważ możemy ustawić zapytania dla określonych sufiksów domenowych, które mają być wysyłane do predefiniowanego serwera DNS, Jak pokazuje rysunek 6.
Rysunek 6: przekazywanie warunkowe
serwer DNS w HR.ADcompany.com będzie zawierał spedytora, który wysyła wszystkie zapytania do finance.ADcompany.com do głównego serwera DNS dla domeny FINANCE i odwrotnie. Aby skonfigurować spedytora warunkowego, otwórz konsolę DNS NA DC w domenie HR z narzędzi administracyjnych w menu Start. W lewym okienku konsoli DNS rozwiń serwer DNS, kliknij prawym przyciskiem myszy spedytorzy warunkowi i wybierz nowy spedytor warunkowy z menu. W nowym oknie dialogowym spedytor warunkowy wprowadź finance.adcompany.com w polu domeny DNS. W obszarze adresy IP serwerów głównych wprowadź adres IP lub nazwę serwera DNS w domenie Finanse, jak pokazuje rysunek 7, i naciśnij klawisz Enter. Kliknij OK, aby zakończyć procedurę. Powtórz proces na serwerze DNS w domenie finanse, ale wprowadź HR.ADcompany.com w polu domeny DNS oraz adres IP serwera DNS w domenie HR.
Rysunek 7: Tworzenie nowego spedytora warunkowego
złożoność DNS
nie można objąć wszystkich baz w jednym artykule—na przykład istnieją dwa dodatkowe typy stref, strefy drugorzędne i strefy wejściowe, których można użyć do poprawy wydajności złożonych wdrożeń DNS, a także nowego serwera 2008 R2 funkcje, takie jak DNSSEC. Ale podstawowa wiedza na temat tego, jak DNS I AD współpracują ze sobą jako zintegrowane rozwiązanie, pomoże Ci zaprojektować nowe wdrożenia reklam i rozwiązać wszelkie pojawiające się problemy. Co najważniejsze, testując nową lub istniejącą infrastrukturę reklam, upewnij się, że dla każdej domeny możesz pingować zasoby we wszystkich innych zaufanych domenach. Ponadto wdrażaj delegację i przekazywanie warunkowe, aby umożliwić rozwiązywanie problemów między przestrzeniami nazw. Te podstawy pomogą Ci efektywniej korzystać z DNS w złożonych środowiskach reklamowych.