Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 42 (всего у книги 91 страниц)
по причине того, что и з д а т е л ь с т в о разрешает использовать эти подлинные
имена для представления ф и к т и в н ы х организаций. Однако для внутреннего
использования в структуре каталогов AD DS того же имени, что и в Интернете,
нужно реализовать разделенную службу DNS.
Д в а именных пространства необходимы для выполнения двух задач через
брандмауэр. Ваши п о л ь з о в а т е л и должны иметь возможность использовать
внутренние и внешние ресурсы с одинаковым именем. Если компания Contoso,
Ltd использует и м я contoso.com во внутреннем и внешнем пространствах имен,
ее администраторам D N S потребуется управлять разделением вручную, пере-
ключаясь между м е х а н и з м а м и внутреннего и внешнего разрешения имен.
Однако если компания Contoso использует имя contoso.com исключительно
во внешних целях, а во внутреннем пространстве имен применяет такое же имя
с другим расширением, например .net, администраторам DNS не потребуется
что-либо делать для сегрегации именных пространств. Сам факт использования
р а з л и ч н ы х и н с т р у м е н т о в означает автоматическую сегрегацию имен и двух
DNS-серверов, к о т о р ы е использовались бы для их поддержки. Потребуется
л и ш ь передать в И н т е р н е т стандартные именные ссылки, которые использу-
ются д л я любого имени, локализованного вне внутренней сети.
Кроме того, к о м п а н и я Contoso может без труда купить и поддерживать лю-
бые в о з м о ж н ы е к о м б и н а ц и и имени в Интернете, в том числе известные корни
.com, .net, .info, .ms, .ws и т. д. Таким образом, она может использовать все свои
имена д л я реализации, производства, тестирования и разработки любого леса
для любых целей в пределах своих именных пространств, не занимая чужие
пространства.
Проблемы, часто возникающие в этой области, обычно связаны с владением
службой DNS. По т р а д и ц и и сетевые операторы располагают ранними служ-
бами DNS, которые очень часто поддерживаются в средах, основанных не на
Microsoft Windows. Однако Windows, и особенно службы AD DS, очень плотно
интегрируются с D N S – с л у ж б о й Windows. Хотя Windows можно применять
для работы и с другими серверами (не Windows), поступать таким образом
не рекомендуется, поскольку при этом многократно возрастет объем работы.
При использовании DNS-службы Windows и ее интеграции со службами AD
DS среда автоматизируется. Без автоматики все приходится делать вручную,
в результате чего конкретные компоненты не работают из-за некорректной
или неполной конфигурации, назначаемой администраторами других систем
(не Windows).
В ситуации, когда требуется использовать две технологии DNS, лучше всего
применять метод без разделения и задействовать два различных пространства
имен, интегрировав внутреннее пространство имен с DNS-сёрверами Windows
4 1 4
Интеграция DNS с AD DS Глава 9
на контроллерах домена и просто связав два п р о с т р а н с т в а и м е н с помощью
стандартных механизмов разрешения имен DNS. В результате будет получена
реализация с минимальной административной н а г р у з к о й и гарантией посто-
янной работы всех служб (рис. 9-4).
Более того, вам не нужно беспокоиться о т н о с и т е л ь н о пользователей. Если
вы применяете другое внутреннее пространство имен, но хотите разрешить
вход с помощью внешнего сетевого имени, такого, например, как contoso.com,
достаточно добавить его в каталог в качестве U P N – с у ф ф и к с а (User Principal
Name – основное имя пользователя). Системой D N S станет проще управлять,
внутренняя сеть будет защищена от внешнего доступа, а пользователи не по-
чувствуют разницы.
К СВЕДЕНИЮ Разделение DNS
Более подробную информацию о разделении DNS можно найти по адресу http://www.
microsoft.com/serviceproviders/resources/techresaiticlesdnssplit.inspx.
Темы экзамена:
• Настройка системы доменных имен ( D N S ) для Active Directory.
• Настройка зон.
• Конфигурирование параметров DNS-сервера.
• Настройка передач и репликации зон.
Прежде всего 415
Прежде всего
Для в ы п о л н е н и я у п р а ж н е н и й в этой главе потребуется следующее.
• Система W i n d o w s Server 2008, установленная на физическом или вирту-
альном компьютере с именем S E R V E R 1 0 , который является независимым
сервером. Этот к о м п ь ю т е р будет у п р а в л я т ь DNS-сервером и службами
контроллера домена, которые вы установите в упражнениях данной главы.
Назначьте IPv/i-адрес в одном из частных диапазонов, например 192.168.х.х,
и сопоставьте адрес DNS-сервера с адресом этого компьютера.
• Система W i n d o w s Server 2008, установленная на физическом или вирту-
альном компьютере с именем S E R V E R 2 0 , который является независимым
сервером. Этот компьютер должен управлять DNS-сервером и службами
контроллера домена, к о т о р ы е вы установите в упражнениях данной главы.
Назначьте 1Ру4-адрес в одном из частных диапазонов, например 192.168.х.х,
и сопоставьте адрес DNS-сервера с адресом компьютера SERVER10.
• Система W i n d o w s Server 2008, установленная на физическом или вирту-
альном компьютере с именем S E R V E R 3 0 , который является независимым
сервером. Этот компьютер д о л ж е н управлять DNS-сервером и службами
контроллера домена, которые вы установите в упражнениях данной главы.
Назначьте 1Ру4-адрес в одном из частных диапазонов, например 192.168.х.х,
и сопоставьте адрес DNS-сервера с адресом компьютера SERVER10.
Мы настоятельно рекомендуем использовать в этом упражнении виртуаль-
ные машины. Р о л и к о н т р о л л е р а домена и DNS-сервера идеальны для виртуа-
лизации в Microsoft Virtual Server 2005 R2 и Windows Server 2008 Hyper-V.
История и з ж и з н и
Даниэль Реет и Нельсон Реет
В 2002 году мы заканчивали трудиться над книгой «Windows Server 2003, Best
Practices for Enterprise Deployments» для издательства McGraw-Hill Osborne.
Книга была основана на нашем опыте работы с потребителями в области проек-
тирования и развертывания структур Active Directory иа основе Windows. Для
нас одним из самых интригующих компонентов был новый раздел каталогов
приложений в Microsoft Windows Server 2003. В соответствии с документацией,
предоставляемой вместе с бета-версиями, разделы каталога приложений предна-
значались для хранения в них данных DNS и управления областью их репликации.
Когда наши клиенты создавали леса по рекомендуемым методикам, исполь-
зуя корневой домен леса и один глобальный дочерний домен производства, мы
обнаружили, что при создании корневого домена леса данные DNS корректно
размещались в разделе корневого домена леса, но при создании дочернего домена
эти данные автоматически не сохранялись в каталоге дочернего домена. Это при-
водило к серьезным проблемам с данными DNS. Все наши клиенты использовали
корневой домен леса из двух контроллеров, стараясь обеспечить максимальный
уровень безопасности и контроля доступа к администрированию корневого домена
леса. По этой причине контроллеры корневого домена леса всегда размещались
в центральных узлах предприятия. Дочерний производственный домен широко
распространялся и включал контроллеры в каждом удаленном узле с определен-
ным числом пользователей.
I
[см. след. стр.)
439 Интеграция DNS с AD DS Глава 9
Поскольку данные DNS для дочернего домена реально вносились в раздел
корневого домена леса, а не в дочерний раздел, для коммуникаций с контрол-
лерами корневого домена леса каждому клиенту приходилось выполнять поиск
DNS через соединения WAN. Однако если данные DNS хранились в каталоге и
были доступны для контроллеров домена, их следовало размещать на локальных,
а не иа удаленном контроллере домена.
Мы обнаружили, что после развертывания службы каталогов можем из-
менить область репликации данных DNS дочернего домена, но такие методы
не соответствовали рекомендациям. Это означало, что нам нужно было найти
способ хранения данных DNS в корректном размещении во время установки,
а не после нее.
Мы обратились к команде разработчиков Microsoft Active Directory и со-
общили, что в поведении DNS есть ошибка. Они согласились, что эту ошибку
следует исправлять при установке, а не после нее. Дальнейшие исследования
показали, что поскольку пространство имен дочернего домена является расши-
рением пространства имен корневого домена, имя дочернего домена корректно
разрешалось при проверках, выполняемых мастером установки Active Directory.
Это означало, что мастер хранит данные в корневом домене леса. Таким образом,
мы не получили достаточно информации.
В ходе последующих исследований выяснилось, что при создании делеги-
рования DNS вручную перед созданием дочернего домена мастер корректно
локализует данные в разделе дочернего домена, то есть делегирование вручную
указывало пока еще не существующий сервер, так как дочерний домен еще не
создан. Например, если у вас есть корневой домен treyresearch.com и планируется
дочерний домен intranet.treyresearch.com, вы укажете делегирование на сервер
«j(«_cepaepa.intranet.treyresearch.com. Поскольку сервера с таким именем не су-
ществует до тех пор, пока не будет создан дочерний домен, делегирование будет
содержать ложные данные и должно называться ложным делегированием DNS.
При запуске мастер находит этот сервер в DNS и пытается использовать его для
разрешения DNS-имени дочернего домена. Разрешение не будет выполнено,
в результате чего мастер установит DNS во время создания домена и создаст
соответствующий раздел данных DNS.
Мастер установки доменных служб Active Directory (Active Directory Domain
Services Installation Wizard) теперь корректно создает делегирование для до-
черних доменов. Многие типы реализации Active Directory на основе Windows
Server 2003 после установки не локализовали данные DNS в соответствующем
разделе, и только администраторы, знающие о проблеме ложного делегирования,
могли решить эту задачу. В Windows Server 2008 эта проблема устранена.
Занятие 1. Установка DNS
Разрешение доменных имен представляет собой с л о ж н ы й процесс, использую-
щий иерархию имен для сопоставления IP-адресов I P v 4 и IPv6 с системными
именами. Разрешение имен DNS т а к ж е п о д д е р ж и в а е т локализацию служб.
С его помощью выполняется процесс входа в AD DS. Разрешение имен DNS
играет важную роль в этом процессе, и по этой причине такие службы, как AD
DS, просто не могут работать без службы DNS.
Занятие 1
Установка DNS 4"| 7
Д л я в ы п о л н е н и я своих задач служба DNS использует записи имен. Записи
можно регистрировать вручную, в частности на основном DNS-сервере, обес-
печивающем с л у ж б ы чтения и записи. Однако.запись может регистрироваться
только администраторами или автоматически, например с помощью динамичес-
ких DNS-серверов, которые принимают имена от устройств. Такие смарт-уст-
ройства, как компьютеры с Windows 2000, Windows ХР, Windows 2003, Windows
Vista и W i n d o w s Server 2008, могут регистрировать свои имена в DDNS, од-
нако устройства с более р а н н и м и выпусками операционной системы, напри-
мер Windows NT, не могут это делать. Старые устройства будут использовать
D H C P д л я р е г и с т р а ц и и , о д н а к о такая реализация инфраструктуры DDNS
менее безопасна.
Система D N S с о д е р ж и т т и п ы записей, с помощью которых можно разре-
шать имена конкретных типов служб и л и компьютеров. Кроме того, эти записи
хранятся в зонах D N S – особых папках, которые обеспечивают функциональ-
ность р а з р е ш е н и я имен конкретного именного пространства.
З н а н и е р а з л и ч н ы х компонентов DNS-службы Windows Server 2008 играет
важную роль в п о н и м а н и и п р и н ц и п о в работы и использования DNS.
К СВЕДЕНИЮ Служба DNS в Windows Server 2008
Более подробную информацию о DNS в Windows Server 2008 можно найти по адресу
http://tecknet2.microsoft.com/windowsseruer2008/en/seruermanager/dnsserver.mspx.
.Изучив материал этого занятия, вы сможете:
Понимать принципы использования DNS.
Установить DNS.
Локализовать и просмотреть параметры установки DNS.
Продолжительность занятия – около 70 мин.
Концепция DNS
При работе с D N S в первую очередь нужно знать принцип разрешения имен.
Мы уже говорили, что D N S использует иерархию серверов, поскольку DNS-
сервер сам не может хранить все возможные имена. По этой причине служба
DNS использует для разрешения имен так называемые именные ссылки, как
показано на рис. 9-5.
Далее описан принцип работы разрешения имен.
1. Вы д о л ж н ы найтн веб-страницу на сайте Microsoft TechNet. Для этого в ад-
ресную строку браузера введите адрес http://technet.microsoft.com и нажмите
клавишу Enter. Начнется процесс разрешения имен.
2. Ваш компьютер посылает запрос на свой локальный DNS-сервер или хотя
бы на один из серверов, перечисленных в параметрах конфигурации IP.
'3. Если этот сервер не содержит нужное имя в своей базе данных или кэше,
он посылает запросы именной ссылки на сервер имен. Поскольку имя сайта
Microsoft заканчивается на .com, сервер DNS перешлет запросы именной
ссылки на сервер имен .com.
418
Интеграция DNS с AD DS Глава 9
Глава 9
4. Сервер имен .com уполномочен д л я всех и м е н с с у ф ф и к с о м .com. Этот
сервер знает расположение всех DNS-серверов, у п о л н о м о ч е н н ы х для от-
дельных имен, заканчивающихся на .com. В д а н н о м случае он посылает
запрос на DNS-сервер, у п о л н о м о ч е н н ы й д л я и м е н и microsoft.com.
5. DNS-сервер, уполномоченный для имени microsoft.com, отсылает клиент-
скому компьютеру соответствующий I P – а д р е с з а п р а ш и в а е м о й страницы.
6. Система разрешения имен на компьютере клиента использует этот IP-адрес
для запроса страницы у своего провайдера И н т е р н е т а .
7. Если страница еще не помещена в л о к а л ь н ы й к э ш провайдера Интернета,
провайдер запрашивает страницу и п е р е с ы л а е т ее клиенту.
Новая веб-страница Microsoft TechNEt
Начинается процесс
по адресу http://technet.microsoft.com
разрешения имени
На локальный DNS-сервер
посылается запрос
DNS
DNS-сервер посылает запрос
именной ссылки на сервер-имен .com
Сервер имен .com
Запрос пересылается на DNS-сервер,;
уполномоченный для имени.:
•Microsoft.conv ; г . .
.com name server
Уполномоченный DNS-сервер
IP-адрес
DNS-сервер MicrosoftcomnepecbwaeT
клиенту соответствующий IP-адрес
Authorative DNS server
Система разрешения имен клиента »
IP-адрес
использует IP-адрес
для запроса веб-страницы. • – .-
. Веб-страница пересылается:
.пользователю
Рис. 9-5. Процесс разрешения имен DNS
Эта процедура разрешения имен выполняется в течение нескольких секунд;
насколько быстро открывается веб-страница, з а в и с и т от скорости подключе-
ния и текущей нагрузки запрашиваемого сервера. Ход выполнения процесса
отображается в виде зеленого индикатора в н и ж н е й части браузера. Во время
Занятие 1
Установка DNS 4-j g
выполнения процесса на ваш компьютер загружается и такое содержимое, как
текст и графика.
Система D N S не может работать самостоятельно. Для разрешения имен
она должна связываться с д р у г и м и серверами. Служба DNS использует собс-
твенную терминологию. В табл. 9-2 описаны основные термины, применяемые
при работе с DNS.
Табл. 9-2. Термины и концепции DNS
Термин Описание
Интегрирован-
При интеграции в Active Directory зона DNS помещается в базу
ная зона Active
данных AD DS (файл с именем NTDS.dit) и реплицируется в ката-
Directory (Active логе вместе с другими данными
Directory Integ-
rated zone, ADI)
Срок действия
Записи DNS имеют срок действия, или время жизни TTL (Time То
(Aging)
Live). Когда срок действия записи истекает, она становится недейс-
твительной н может приводить к ошибочным результатам
Разделы катало– Данные DNS, которые хранятся в базах данных каталогов AD DS,
га приложений
по умолчанию реплицируются вместе с данными каталога, с ко-
торыми они связаны. Однако для данных DNS можно определить
настраиваемую область репликации. Например, данные DNS, при-
надлежащие корневому домену леса, должны быть доступны для
всего леса. Управление областью репликации данных осуществля-
ется с помощью разделов каталога приложений
DDNS
Служба DNS, которая может автоматически обновляться клиен-
тами. В Windows Server 2008 служба DDNS устанавливается при
инсталляции службы DNS вместе с AD DS. Поскольку все клиенты
в реализации DDNS располагают учетными записями AD DS, они
защищены и авторизованы для обновления DNS-сервера своими
записями
Сообщение DNS Традиционные или предыдущие DNS-серверы управляют данными
Notify
в локальных файлах. Эти файлы локализованы на основном серве-
ре. Они часто пересылаются с помощью механизма опроса и пере-
дачи зон для чтения лишь дополнительных серверов. Однако запи-
си в больших зонах часто нужно обновлять, что может привести к
появлению некорректных записей на дополнительном сервере. Для
решения этой проблемы DNS использует особый процесс, уведом-
ляющий подчиненные серверы о доступности'обновления, которое
затем предлагает передавать зону на серверы лишь с правом чтения
Доменная зона
Зона, которая содержит записи отдельного корневого или дочерне-
DNS
го домена в структуре леса AD DS
DNS-зона леса
Зона, которая содержит записи всего леса в структуре леса AD DS
Прямой про-
Система DNS поддерживает два типа поиска или просмотра: пря-
смотр
мой и обратный. Прямой просмотр осуществляется путем предо-
ставления запрашиваемого FQDN-именн серверу, который затем
сопоставляет это FQDN-имя с соответствующим IP-адресом
Зона прямого
Содержит контейнеры DNS (базы данных и текстовые файлы),
просмотра
включающие разрешение имен для прямого просмотра
(см. спея– стр.)
4 2 0 Интеграция DNS с AD DS
Глава 9
Табл. 9-2 ( продолжение)
Термин
Описание
Серверы пере-
DNS-серверы используют два механизма для разрешения имен:
сылки
серверы пересылки и корневые ссылки. DNS-серверы, обеспе-
чивающие службы разрешения имен для внутренней сети, часто
используют серверы пересылки для передачи иа доверенный
внешний DNS-сервер всех запросов, которые не могут разрешить
сами. В Windows Server 2008 также можно использовать условную
пересылку для запросов с соответствующими условиями. Напри-
мер, если имя предназначено для внутреннего домена, но не управ-
ляется данным сервером, сервер может автоматически переслать
запрос иа внутренний сервер имен этого домена
Зона Global-
Имена NetBIOS из одной метки не используют формат FQ.DN.
Names (Global-
Например, низкоуровневые имена компьютеров состоят из одной
Names Zone,
метки. По традиции этими именами управляет служба Windows
GNZ)
Интернет-имен WINS (Windows Internet Name Service). Что-
бы исключить эту старую службу из сети Windows, корпорация
Microsoft реализовала в DNS системы Windows Server 2008 зону
GlobalNames, которая может содержать имена из одной метки
и заменять WINS в сети Windows
Предыдущая
Нединамические DNS-серверы, где записи зон обновляются вруч-
версия DNS
ную. В соответствии с документацией RFC, определяющей стан-
дарты протокола DNS в Интернете, Windows Server 2008 может
поддерживать старые DNS-серверы, а также динамическую DNS-
службу для AD DS. Ранние DNS-серверы содержат основные или
дополнительные зоны
Рекурсия имен
Разрешение имен может быть итеративным или рекурсивным.
В итеративном запросе каждый DNS-сервер хранит лишь часть
ответа на запрос и для получения полного ответа на должен запро-
сить другие DNS-серверы. В рекурсивном запросе DNS-сервер
хранит полный ответ и предоставляет его запрашивающей стороне.
По истечении срока действия записей рекурсивный запрос может
указать в ответе неправильный IP-адрес
Основные зоны Зоны, которые содержат информацию с правом чтения и записи
для отдельного домена. Основные зоны хранятся на нединамичес-
ких и динамических DNS-серверах. Те из них, которые хранятся на
нединамических DNS-серверах, содержатся в текстовых файлах,
вручную редактируемых администратором. Основные зоны иа
DDNS-серверах содержатся в Active Directory и автоматически
обновляются каждым хранителем записей или вручную админист-
ратором
Записи ресурсов Записи имен в базах данных DNS. Записи ресурсов обычно связы-
ваются с IP-адресами с использованием FQDN-имени
Обратный про-
Система DNS поддерживает два вида просмотра: прямой и об-
смотр
ратный. Обратный просмотр выполняется путем предоставления
IP-адреса и запрашивания FQPN-имеии, соответствующего этому
адресу
Зона обратного
Содержит контейнеры DNS (базы данных или текстовые файлы),
просмотра
включающие разрешение имен для обратного просмотра в отдель-
ном домене
Занятие 1 Установка DNS 4"| 421
Табл. 9-2 ( продолжение)
Термин
Описание
Корневые DNS-серверы содержат два механизма разрешения имен: серверы
ссылки пересылки и корневые ссылки. DNS-серверы, обеспечивающие
службы разрешения имен для внутренней сети и располагающие
прямым подключением к Интернету, могут использовать корне-
вые ссылки с целью локализации серверов, уполномоченных для
корневых имен в Интернете, таких, например, как .com, .org, .net
и т. д., и предоставления служб разрешения имен внутренним
клиентам. По умолчанию DNS-серверы Windows Server 2008
используют корневые ссылки для внешнего разрешения имен.
Эти корневые подсказки регулярно обновляются в центре обнов-
ления Windows (Microsoft Windows Update). Корневые ссылки
содержатся в особом файле Cache.dns, который также можно
использовать для изменения корневых подсказок в случае воз-
никновения проблем с процессом внешнего разрешения имей
Алгоритм DNS-службы можно использовать для обеспечения высокой сте-
Round-Robin пени готовности. С этой целью для одного ресурса создается мно-
жество записей, в каждой из которых указан отдельный IP-адрес.
При получении запроса DNS-сервер предоставит первый адрес,
затем второй, третий и т. д., обеспечивая баланс нагрузки среди
множества серверов, управляющих одной и той же службой.
Например, серверы Edge Transport Server в Microsoft Exchange
Server 2007, которые подключены к Интернету, а также прини-
мают и пересылают внутреннюю электронную почту, используют
алгоритм Round-Robin для балансировки нагрузки электронной
почты
Дополнительная Зона только для чтения, полученная с основного DNS-сервера.
зона
Дополнительные зоны обеспечивают локальное разрешение DNS
в распределенных сетях
Оценка и очист-
Компонент, который появился вместе с динамической службой
ка записей
DNS в Windows 2000 Server. Поскольку записи обладают возрас-
сервера
том (или временем жизни), они могут устареть по истечении сро-
ка действия. Очистка записей сервера выполняется в базе данных
DNS с целью локализации и удаления устаревших записей
Имена NetBIOS, которые не используют формат FQDN. Напри-
Имена из одной
метки
мер, низкоуровневые имена компьютеров состоят из одной мет-
ки. Эти имена включают 16 символов и не поддерживают такие
знаки, как точки. Можно использовать только первые 15 знаков
имени из одной метки, поскольку шестнадцатый символ зарезер-
вирован системой для заполнения имени. По традиции управле-
ние этими именами осуществляет служба WINS. В DNS системы
Windows Server 2008 вместо WINS можно использовать зону
GNZ
Запись SOA Особая запись DNS с такой информацией домена, как схема
(Start Of Autho– обновления записей, интервал проверки обновлений на других
rity) DNS-серверах, а также время и дата первого обновления, вместе
с другими сведениями, в том числе информация о контактах
с доменом н т. д. В файле зоны может содержаться только одна
запись SOA. Запись SOA должен содержать каждый файл зоны
(см. след. стр.)
Глава 9
Табл.9-2 ( окончание)
Термин
Описание
Зона-заглушка
Особый тип зоны, содержащей лишь записи других DNS-серверов,
поддерживающих саму зону. Эта зона может ускорить разрешение
имен и снизить вероятность возникновения ошибок, поскольку
зоны-заглушки используются как ссылки на другие DNS-серверы,
уполномоченные для зоны
Время жизни
Каждая запись DNS располагает временем жизни TTL (Time То
TTL
Live). Это значение определяет срок действия записи. По истече-
нии срока действия запись может быть удалена в процессе очистки.
Однако если запись остается подлинной до окончания срока жиз-
ни, ее можно обновить, обновив таким образом значение TTL
Делегирование
Делегирование используется для передачи управления различны-
зои
ми секциями пространства имен. Например, корпорация Microsoft
может делегировать различные секции своего именного пространс-
тва, в частности секции MSDN и TechNet пространства Microsoft,
com, чтобы администрирование этих секций осуществляли другие
подразделения корпорации. При управлении пространствами
имен DNS в AD DS нужно делегировать зоны новых создаваемых
доменов, поскольку в противном случае управление зоной будет
осуществляться иа уровне леса, а не на уровне домена. В Windows
Server 2003 это делегирование приходилось выполнять вручную
перед созданием домена. В Windows Server 2008 мастер установки
доменных служб Active Directory (Active Directory Domain Services
Installation Wizard) автоматически выполняет делегирование при
создании дочернего домена
Очистка зон
Очистка выполняется на DNS-сервере для удаления старых запи-
сей, время жизни (TTL) которых истекло. Очистка зон осущест-
вляется в случае применения процесса очистки к отдельной зоне,
а не ко всему серверу
Передачи зон
Транзакции, которые DNS-серверы используют для репликации
информации с одного сервера на другой. При полной передаче
зоны все ее содержимое пересылается на один или несколько дру-
гих DNS-серверов, при инкрементной передаче пересылается лишь
поднабор данных. По традиции полная передача выполняется в
асинхронном режиме передачи AXFR (Asynchronous Full Transfer),
а инкрементные передачи выполняются в инкрементном режиме
передачи IXFR (Incremental Zone Transfer). В Windows Server 2008
также поддерживаются безопасные передачи зон, которые выпол-
няются посредством репликации с множеством равноправных
участников (Multimaster)
Служба DNS в Windows Server 2008 п о д д е р ж и в а е т три типа зон, как по-
казано на рис. 9-6.
м Основная зона Зоны, которые м о ж н о интегрировать в AD DS, или стан-
дартные зоны. Эти зоны у п о л н о м о ч е н ы д л я с о д е р ж а щ е г о с я в них про-
странства имен. О с н о в н ы е з о н ы (за и с к л ю ч е н и е м зон, размещенных на
контроллере R O D C ) предоставляют право чтения и записи.
• Дополнительная з о н а С т а н д а р т н ы й у с т а р е в ш и й т и п зон, содержащих
только реплику данных, п о д д е р ж и в а е м ы х о с н о в н ы м или уполномочен-
Занятие 1
Установка DNS 4"| 4 2 3
ным сервером именного пространства. При создании дополнительной зоны
в D N S н у ж н о указать адрес основной зоны или источника ее данных.
• З о и а – з а г л у ш к а Зоны, которые являются лишь указателями на другие сер-
веры, у п о л н о м о ч е н н ы е для поддерживаемого именного пространства. При
создании зоны-заглушки нужно указать список серверов, уполномоченных
д л я этого именного пространства.
Тип зоны
ONS-cepMp поддерживает разгмчные типы зон и хранения информации
Выберите тип зоны, к о т с р у ю необходимо создать:
Основная зона
Созд»,ие KOfww :•>*.< непосредственно обновляемой нз данной сервере.
С Дополнительная зона
Создание к о т и * зоны, р а ш о л о ж е ж о й на другой сервере. Это позволяет
распределять нзгрузку о с н о в а х серверов и обеспечивает отказоустойчивость.
Зона-заглушке
Создание котам зсеты, содержащей только затаю! сервера имен (fJ J). началиые
з а т о ! зоны (SOA) и, возможно, связанные записи узлов (тип А). Сервер,
содержании зану-заг л у н к у , не является полномочным для этом зоны.
I»* Сохранять з о н / в Active Directory (доступно только для DfJS-ceceepa,
являющегося доступный для записи крнтроллерон доиена)
< Назад | Далее > | Отмена |
Рис. 9-6. Мастер создания новой зоны позволяет создать любую из трех
поддерживаемых зон
Все т и п ы зон можно хранить в текстовом файле или в разделе каталогов
Active Directory.
СОВЕТ К ЭКЗАМЕНУ
При подготовке к сертификационному экзамену 70-640 запомните эти типы зон.
В DNS одну зону можно заменить другой, однако помните, что самым распростра-
ненным типом является основная зона. Этот тип используется в структуре AD DS
при интеграции в нее службы DNS.
З о н ы представляют собой контейнеры, которые содержат информацию об
управляемых ими объектах. Эта и н ф о р м а ц и я представлена в виде записей.
В DNS могут содержаться различные типы записей. Наиболее распространенные
типы записей, используемых DNS в Windows Server 2008, описаны в табл. 9-3.
Записи, перечисленные в табл. 9-3, обеспечивают основную функциональ-
ность DNS в Windows Server 2008.
СОВЕТ К ЭКЗАМЕНУ
В табл. 9-3 перечислены самые распространенные типы записей, однако при подго-
товке к сертификационному экзамену 70-640 следует просмотреть все типы записей,
Поддерживаемые DNS-сервером Windows Server 2008.
4 2 4
Интеграция DNS с AD DS
Глава 9
Табл. 9-3. Типы записей DNS в Windows Server 2008
Тип записи
Использование
Псевдоним CNAME Предназначена для создания альтернативной записи или псев-
(Alias)
донима DNS для имени, уже указанного в еще одной записи
конкретной зоны. Эта запись также называется каноническим
именем CNAME (Canonical Name). Например, если вам нужно
создать такую запись, как intranet.contoso.com, указывающую
сервер или ферму серверов Microsoft Office SharePoint Server,
вы можете создать псевдоним. В качестве псевдонима можно
указать более функциональное имя, чем.имя сервера
Узел (А гаи АААА) Самый распространенный тип записи в DNS. Эти записи пред-
ставляют объекты компьютеров в пространстве имен и исполь-
зуются для разрешения IP-адресов устройств
Почтовый обмеиник Маршрутизирует сообщения электронной почты в конкретном
MX (Mail Exchanger) именном пространстве. Например, запись MX пространства
имен contoso.com указывает, что вся электронная почта, на-
правленная в contoso.com, должна пересылаться через компью-
тер или компьютеры, идентифицированные в этой записи
Указатель PTR
Указывает конкретное расположение в пространстве имен.
(Pointer)
Записи PTR обычно используются для обратного просмотра
в именном пространстве
Расположение
Указывает расположение конкретной службы TCP/IP. На-
службы SRV
пример, чтобы использовать Microsoft Office Communications
(Service Location)
Server, нужно создать запись о расположении службы протоко-
ла установления сеанса SIP (Session Initiation Protocol)
и указать все устройства, которые используют данную службу
в сети. Аналогичным образом службы AD DS создают несколь-
