Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 43 (всего у книги 91 страниц)
ко записей расположения служб для поддержки входа
и процессов распространения групповой политики. Записи
расположения служб обычно состоят из IP-адреса сервера
и TCP/IP-порта, на котором доступна служба
Компоненты DNS в Windows Server 2008
DNS-сервер Windows Server 2008 полностью соответствует стандартам RFC,
генерируемым специальной к о м и с с и е й и н т е р н е т – р а з р а б о т о к I E T F (Internet
Engineering Task Force) ( h t t p : / / w w w . i e t f . o r g ) , а также содержит набор компонен-
тов, предназначенных для поддержки ф у н к ц и й сетевой операционной системы
NOS (Network Operating System) в AD DS. Сервер D N S в Windows Server 2008
также может оперировать с DNS-серверами на основе Windows, поскольку он
отвечает всем стандартам RFC, с в я з а н н ы м с D N S .
При интеграции DNS в AD DS д а н н ы е D N S м о ж н о хранить в различных
местах базы данных каталогов, в том числе в разделе Domain каталога. Эта
опция применяется для данных, п р е д с т а в л я ю щ и х сам домен. Например, до-
черний домен в лесу обычно располагает д а н н ы м и , которые хранятся в его
разделе Domain, чтобы все DNS-серверы в домене могли получать к ним доступ.
Данные также можно хранить в разделах каталога приложений. В отличие от
разделов домена, область репликации разделов каталога приложений является
управляемой. Например, DNS-данные леса хранятся в разделе каталога при-
Занятие 1
Установка DNS 4"| 4 2 5
ложений, к о т о р ы й распространяется во всем лесу. Таким образом, эти данные
доступны всем DNS-серверам в лесу. По умолчанию DNS в Windows Server 2008
создает два р а з д е л а каталога п р и л о ж е н и й для управления данными DNS в
к а ж д о м лесу. Эти р а з д е л ы п о л у ч а ю т имена соответственно ForestDnsZones
и D o m a i n D n s Z o n e s . Кроме того, раздел DomainDnsZones создается в каждом
дочернем домене леса д л я управления данными этого домена.
СОВЕТ К Э К З А М Е Н У
Области репликации DNS – ключевая тема сертификационного экзамена 70-640.
Проанализируйте их в своей реализации DNS-сервера и определите содержимое
для каждого типа области действия.
В W i n d o w s Server 2008 служба D N S улучшена с точки зрения поддержки
фоновой загрузки зон. Когда DNS-сервер управляет значительным количеством
зон и записей AD DS, д л я его запуска может потребоваться больше времени,
поскольку перед о б с л у ж и в а н и е м запросов ему необходимо загрузить данные
всех зон. И с п о л ь з у я ф о н о в у ю загрузку, служба DNS может быстрее отвечать
на запросы, п р о д о л ж а я з а г р у з к у д а н н ы х в фоновом режиме после запуска
компьютера и входа в систему.
С целыо п о д д е р ж к и новой роли контроллера домена только для чтения
DNS-сервер к о н т р о л л е р а R O D C предоставляет DNS-данные основных зон
л и ш ь с правом чтения. Эта мера предпринята с целыо обеспечения безопас-
ности, чтобы на потенциально незащищенных серверах никто не мог создавать
записи для п р о н и к н о в е н и я в сеть.
СОВЕТ К Э К З А М Е Н У
Помните, что на контроллерах RODC используются основные зоны DNS с правом
чтения. По традиции зоны только для чтения являются дополнительными зонами.
Ч т о б ы и с к л ю ч и т ь с л у ж б у W I N S из сетей и по-прежнему поддерживать
имена из одной метки и л и имена, в которые не включены имена родителей
(например, S E R V E R 1 0 вместо SERVER10.contoso.com), в структуру DNS до-
бавлена зона G N Z (GlobalName Zone). Эту зону можно использовать для уп-
равления небольшим числом имен со статическими IP-адресами.
СОВЕТ К ЭКЗАМЕНУ
Помните, что зоны GNZ позволяют заменить реализацию WINS только при управ-
лении небольшим количеством имен из одной метки. Имена из одной метки или
NetBIOS часто необходимы старым приложениям, которые не могут работать с бо-
лее сложной структурой FQDN. Имена из одной метки появились еще в сетях и
приложениях Windows NT. В большинстве случаев организациям следует удалять
такие приложения из своих сетей, за некоторыми исключениями. Зоны GNZ пред-
назначены, для поддержки этих нескольких приложений, используемых в качестве
исключения. Однако если организации нужно использовать много имен из одной
метки, вместе с DNS следует реализовать службу WINS.
115 Зак. 3300
Глава 9
И наконец, для защиты от подделки записей D N S теперь поддерживает до-
бавление списков глобальной блокировки запросов. Когда клиенты используют
такие протоколы, как W P A D (Web Proxy A u t o m a t i c Discovery Protocol) или
ISATAP (Intra-site Automatic Tunnel Addressing P r o t o c o l ) , и разрешают имена
узлов с помощью DNS, то они становятся у я з в и м ы м и д л я злоумышленников,
применяющих динамическое о б н о в л е н и е д л я р е г и с т р а ц и и компьютеров, не
являющихся официальными узлами.
Протокол WPAD обычно используется веб-браузерами д л я автоматическо-
го обнаружения параметров сетевого прокси-сервера. И м и т а ц и я этого адреса
может перенаправлять пользователей на в р е д о н о с н ы е серверы, представля-
ющие собой о ф и ц и а л ь н ы е п р о к с и – с е р в е р ы и п о т е н ц и а л ь н о в з л а м ы в а ю щ и е
сеть. Протокол передачи ISATAP обеспечивает с о в м е с т н у ю работу сетей IPv4
и IPv6, инкапсулируя пакеты I P v 6 в ф о р м а т е I P v 4 д л я п е р е с ы л к и через мар-
шрутизаторы. Этот протокол не п о д д е р ж и в а е т д и н а м и ч е с к о е обнаружение
маршрутизаторов, а использует список п о т е н ц и а л ь н ы х м а р ш р у т и з а т о р о в для
идентификации потенциальных м а р ш р у т и з а т о р о в ISATAP. В случае взлома
данного списка пакеты IPv6 могут м а р ш р у т и з и р о в а т ь с я на вредоносные мар-
шрутизаторы и в свою очередь быть в з л о м а н н ы м и .
Такие потенциальные у я з в и м о с т и м о ж н о у с т р а н и т ь путем блокирования
списков запросов, которые содержат к о н к р е т н ы е д и а п а з о н ы адресов. В списки
блокирования адресов включается т о л ь к о л е в а я ч а с т ь F Q D N – и м е н и . Когда
DNS-сервер получает запрос с указанием этого имени, возвращается сообщение
о том, что такой записи не существует. По у м о л ч а н и ю D N S – с е р в е р генерирует
указанный список при установке или о б н о в л е н и и существующей службы DNS.
Если существует один из двух протоколов, он не будет блокироваться. Если
протоколов не существует, они будут б л о к и р о в а н ы . К р о м е того, в этот список
можно добавлять свои имена д л я б л о к и р о в а н и я и м е н – в т а к о м случае ими
нельзя будет оперировать в сети.
К СВЕДЕНИЮ Глобальные списки блокирования запросов
Более подробные сведения о списке блоков запросов DNS можно найти иа веб-сайте
компании Microsoft.
Короче говоря, служба D N S в W i n d o w s Server 2008 полностью поддержи-
вает все стандартные функции DNS-сервера, а т а к ж е с о д е р ж и т настраиваемые
компоненты, доступные только в Windows.
Контрольные вопросы
1. Какие основные типы адресов используются в IPv6 и какой тип используется
по умолчанию в системах Windows Server 2008 и Windows Vista?
2. В чем состоит основное различие между PNRP и DNS?
3. Какие два типа DNS-серверов только для чтения поддерживаются в Windows
Server 2008?
4. Каким будет первый шаг в процессе входа AD DS?
5. Какой тип делегирования может быть автоматически удален мастером уста-
новки доменных служб Active Directory?
Занятие 1
Установка DNS 4"| 4 2 7
Ответы на к о н т р о л ь н ы е вопросы
1. Самыми распространенными типами IPvG-адресов являются локальный адрес
канала, локальный адрес узла и глобальный однонаправленный адрес. По
умолчанию Windows Server 2008 и Windows Vista используют динамичес-
кие IPvG-адреса. Однако при наличии в сети серверов DHCPv6 интерфейсу
автоматически назначается локальный 1Ру6-адрес канала.
2. Основное отличие между PNRP и DNS состоит в количестве записей, которое
может содержать каждая система. Система PNRP может содержать миллионы
записей имен, а система DNS намного скромнее и использует для именования
иерархию серверов.
3. DNS-сервер в Windows Server 2008 поддерживает два режима чтения. Пер-
вый режим представлен традиционными дополнительными серверами DNS.
Дополнительные DNS-серверы подчинены одному или нескольким основным
серверам и содержат лишь копии данных, полученных из источника с правом
чтения-записи. Вторым типом сервера с правом чтения является DNS-сервер
иа контроллере RODC. Однако этот DNS-сервер содержит основные зоны
с правом чтения.
4. Первый шаг в процессе входа AD DS состоит в запуске запроса DNS для ло-
кализации SRV-записи ближайшего контроллера домена. В случае разреше-
ния этой записи может начинаться процесс входа, заключающийся в обмене
данными с контроллером домена.
5. Мастер установки доменных служб Active Directory (Active Directory Domain
Services Installation Wizard) поддерживает удаление любого делегирования.
Это означает, что он удаляет делегирование дочерних доменов, но не может
удалить делегирование высшего уровня, поскольку корневые серверы рас-
положены в Интернете и у вас нет доступа к ним.
Интеграция в AD DS
С учетом особых в о з м о ж н о с т е й W i n d o w s всегда развертывайте DNS-сервер
Windows одновременно с д о м е н н ы м и службами AD DS. Для поддержки разре-
шения имен AD DS также можно использовать сторонний DNS-сервер, однако
для его подготовки потребуется выполнить намного больше работы, чем при
использовании сервера, встроенного в Windows. При использовании DNS-
сервера Windows вместе с AD DS все содержимое DNS конфигурируется по
умолчанию. Таким образом, установка DNS интегрируется мастером установ-
ки контроллера домена. При установке DNS вместе с AD DS реализуются
несколько задач, которые обычно полностью прозрачны для администратора,
запустившего мастер. Эти операции выполняются только во время создания
леса, доменного дерева или нового домена в существующем лесу.
Если службы AD DS развертываются для корневого домена леса, система
DNS создает заполнители д л я зон прямого просмотра FLZ (Forward Lookup
Zone), з о н обратного поиска RLZ (Reverse Lookup Zone) и серверов условной
пересылки CF (Conditional Forwarder). Затем DNS генерирует внутри FLZ
две новые зоны. Первая из них служит контейнером для всего леса пространс-
тва имен, которое создается во время установки AD DS, и обычно получает
Глава 9
имя _1шс1сз.имя_домена. Например, в случае домена contoso.com эта зона полу-
чит имя _msdcs.contoso.com. Кроме того, DNS создает в н у т р и FLZ еще одну зону
для самого корневого домена (рис. 9-7).
РЕ
ЙУЙЯ
«хал» Дсйстм
Слмм
0 г i
С.ютчщ :гг*р4 (SRvtROtJ
S faп.
S *. 045 «мер
а % Jj seivfROi
J>B&» contota.uni
[16), serveiOl.cofttceo.c
served, can toso.com.
3 !e2ddSS-970f*td-M?i-CO. Гсгедо^ч. (CNAME;
served 2. car toso.сот.
ЗМв«в%»«293-»?аОчИИ-2. П<еао*<и (CNAME)
served I .cor toso. com.
. Jc-w ofx^'xvc тоэтстра
С rats» >озепои ncoecwi»J
и с/т,»*». *cs* q« ecu* »
DkKUry -погыоюте/м и i
L)
Рис. 9-7. Зоны прямого просмотра леса contoso.com
Когда процесс AD DS создает доменное дерево в существующем лесу, перед
этим он требует проведения делегирования вручную. Поскольку имя доменного
дерева отличается от имени корневого домена (оно д о л ж н о отличаться, потому
что таково определение дерева в лесу), мастер не может самостоятельно создать
делегирование. Если два именных пространства D N S отличаются, причем ни
одно из них не уполномочено делегировать и н ф о р м а ц и ю для другого, возникает
необходимость в делегировании вручную. Затем после создания делегирования
мастер установки AD DS создает и м е н н о е пространство D N S и сохраняет его
соответственно в разделе каталогов нового доменного дерева.
Когда процесс AD DS создает дочерний домен в существующем лесу, он ав-
томатически создает делегирование в корневом домене высшего уровня, а затем
сохраняет данные DNS дочернего домена в разделе дочернего домена.
Чтобы удалить домен, нужно вновь запустить М а с т е р установки доменных
служб Active Directory (Active Directory D o m a i n Services Installation Wizard)
и удалить роль контроллера домена, после чего м о ж н о удалить роль AD DS,
Однако из-за отсутствия интерфейса доступа к мастеру для его запуска нужно
открыть меню Пуск ( S t a r t ) и в поле Поиск (Search) ввести команду Dcpromo.
ехе. При удалении роли контроллера домена, к о т о р ы й я в л я е т с я последним
в домене, также удаляются созданные д л я него д а н н ы е D N S . Кроме того,
если контроллер домена является сервером глобального каталога GC (Global
Catalog), во время удаления контроллера домена появится предупреждение,
поскольку серверы глобального каталога поддерживают ф у н к ц и и поиска в AD
DS. Во время удаления роли контроллера домена будет предложено удалит^
Занятие 1
Установка DNS 4"| 429
делегирование DNS, как показано на рис. 9-8. Если удаляется домен высшего
уровня, такой, например, как корневой домен дерева или леса, установите этот
флажок. В противном случае вы получите ошибку, поскольку мастер потребует
учетные данные для удаления делегирования. Ввиду отсутствия делегирования
корневого уровня (для имен .com, .net, .org и т. д.) вы не можете указать такие
данные и делегировать корневой уровень. Однако для дочернего домена вы
можете совершенно спокойно удалить делегирование DNS.
Удаление DNS-яелегирооамия
«к
Дж+ь'Я cepst<>также являвтся DNS-ospeepo* и содержи' зокл.
имта-рирсзе»»«*е с AcOve DrectOiy. Эти ззиы будут уавяены гри удалении
доме-чиъос служб <43rve ПгесЮг/ с данного сервере. П о д п ^ с к т ^ у д е т м в
W»;T«(>; Г" Уда.-и-ъ доегировемк DNS. р с а з & е м ш м ь а э ' о г сераеь. Г>#ес ynsrmwwi депепссвамии мэ*ет Сы гь еьеедеио л р и г л к t a m t указать у«етмыв данной. • Если ив yfiamtb делегирование DM S сЬЬлс, прилете* адомую дагыть соответствующую зыисъ в роливльском осме«е Рис. 9-В. Удаление делегирования DNS с помощью мастера установки AD DS Практические занятия. Установка службы DNS В предложенных далее упражнениях вам необходимо установить службу DNS. В упражнении 1 вы это сделаете в независимом режиме, чтобы научиться со- здавать традиционный основной сервер. Затем, в упражнении 2, вы установите службы AD DS и создадите корневой домен в новом лесу. Таким образом на DNS-сервере будут созданы DNS-зоны леса. В упражнении 3 вы создадите делегирование зоны вручную для подготовки к интеграции нового доменного дерева в тот же лес, где расположен первый сервер. В результате в DNS будут созданы зоны леса на основе предложенного вами делегирования. И нако- нец, в упражнении 4 вы установите AD DS и создадите дочерний домен для просмотра зон дочернего домена в DNS. Отметим, что в данном случае мас- тер корректно создает соответствующее делегирование для дочернего домена. Для выполнения упражнений понадобятся машины SERVER10, SERVER20 и SERVER30. У п р а ж н е н и е 1. Установка основного DNS-сервера В данном упражнении вы используете независимый компьютер для установки службы DNS и анализа ее работы в нединамическом режиме. Это упражнение (следует выполнить на машине SERVER10. f 4 3 0 Интеграция DNS с AD DS Глава 9 1. Войдите на машину S E R V E R 1 0 как л о к а л ь н ы й администратор. 2. В Диспетчере сервера (Server Manager) щ е л к н и т е п р а в о й кнопкой мыши узел Роли (Roles) и примените команду Д о б а в и т ь р о л и (Add Roles). 3. Просмотрите информацию на странице Перед н а ч а л о м работы (Before You Begin) и щелкните кнопку Далее (Next). 4. На странице Выбор ролей сервера (Select Server Roles) мастера добавления ролей (Add Roles Wizard) установите ф л а ж о к D N S – с е р в е р ( D N S Server) и щелкните кнопку Далее (Next). 5. Просмотрите информацию на странице D N S – с е р в е р ( D N S Server) и щелк- ните кнопку Далее (Next). 6. Просмотрите выбранные параметры и щелкните кнопку Установить (Install). 7. Просмотрите результаты установки и щ е л к н и т е к н о п к у З а к р ы т ь (Close). Ваша установка завершена. 8. В Диспетчере сервера (Server Manager) перейдите к у з л у DNS-сервер (DNS Server) и разверните все его секции. Д л я о б н о в л е н и я узлов может потре- боваться закрыть и заново открыть д и с п е т ч е р сервера. Как видите, при установке D N S создаются все к о н т е й н е р ы , необходимые для запуска службы D N S в W i n d o w s Server 2008, однако поскольку этот процесс используется для установки т р а д и ц и о н н о г о DNS-сервера, в струк- туре контейнеров DNS не с о д е р ж и т с я н и к а к о й и н ф о р м а ц и и (рис. 9-9). Информацию зон на старых DNS-серверах н у ж н о создавать вручную. Этот процесс ввода д а н н ы х м о ж н о а в т о м а т и з и р о в а т ь , но п о с к о л ь к у система Windows не знает, для чего будет и с п о л ь з о в а т ь с я этот DNS-сервер, она не будет создавать эти данные д л я вас. • J f f l a l Юхсиъ ДвЧтале бия Crvew-a ШлЫШ Дкпег^ер сервер* (S6RVERQI) Дейсгтал Зоны прямоте просмотра .» Е CNS-cepeep CNS-cepee е i е ONS ON Добавить ноаух» JOMY Дополнительные действия » Ё Гпоба/ьиь* журпм» Зс**я DNS псиеоляет ратб^авто пространства иг*и ncwMjro чх>>стрв DNS на jcrtji. Каждая эона хранит t ffi S3 3c»*j оЬратхго псхююгрл об одном uiu более соогдии» домнах ONS. ЕЕ Сервер» усложвй переа*лки Чтобы ас^гвмть пзеую зону, в пемо Ш KOrtXHTbJ "Действие* выверите ыханлу "Создать л х у ' й 8в Д.«агиостм<4 Ж ЙЗ Конфигурации а И Храиимде Рис. 9-9. Контейнеры DNS-сервера по умолчанию 9. Перед тем как переходить к у п р а ж н е н и ю 2, просмотрите структуру кон- тейнеров DNS-сервера. Упражнение 2. Установка AD DS и с о з д а н и е нового леса В этом упражнении вы используете н е з а в и с и м ы й компьютер для установки роли AD DS, а затем создадите новый лес. После установки AD DS вы исполь- зуете мастер установки доменных служб Active Directory для создания корне- вого домена в новом лесу. Занятие 1 Установка DNS 4"| 431 1. Войдите на м а ш и н у S E R V E R 1 0 как локальный администратор. 2. В Диспетчере сервера (Server Manager) щелкните правой кнопкой мыши узел Р о л и (Nodes) и примените команду Добавить роли (Add Roles). 3. Просмотрите и н ф о р м а ц и ю на странице Перед началом работы (Before You Begin) и щ е л к н и т е к н о п к у Далее (Next). 4. На странице Выбор ролей сервера (Select Server Roles) мастера добавления ролей (Add Roles W i z a r d ) установите флажок Доменные службы Active Directory (Active Directory Domain Services) и щелкните кнопку Далее (Next). 5. Просмотрите и н ф о р м а ц и ю на странице Доменные службы Active Directory (Active Directory Domain Services) и щелкните кнопку Далее (Next). 6. П р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е кнопку Установить (Install). 7. Просмотрите результаты установки и щелкните кнопку Закрыть (Close). Ваша установка завершена. 8. Затем в Д и с п е т ч е р е сервера (Server Manager) выберите узел Доменные службы Active Di rec t ory (Active Directory Domain Services). 9. В панели сведений щ е л к н и т е ссылку Запустите мастер установки домен- ных с л у ж б Active D i r e c t o r y ( R u n The Active Directory Domain Services Installation Wizard). З а п у с т и т с я Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). 10. Щ е л к н и т е к н о п к у Далее (Next). 11. Просмотрите и н ф о р м а ц и ю на странице Совместимость операционных сис- тем ( O p e r a t i n g System Compatibility) и щелкните кнопку Далее (Next). 12. На странице Выберите конфигурацию развертывания (Choose A Deployment Configuration) выберите тип конфигурации Создать новый домен в новом лесу ( C r e a t e A New Domain In A New Forest) 13. На странице Укажите и м я корневого домена леса (Name The Forest Root Domain) введите и м я treyresearch.net и щелкните кнопку Далее (Next). Вы используете и м я с расширением .net, поскольку не будете применять модель разделения DNS. В Интернете компания Trey Research использует публичное и м я с расширением .com, а для внутренних целей применяет расширение .net. К о м п а н и я Trey Research приобрела оба доменных имени, поэтому никто не может использовать их для структур AD DS. Если ком- пания будет поглощена или присоединена к другой корпорации, ей будет намного проще интегрировать свой лес с еще одним лесом. 14. На странице Задание режима работы леса (Set Forest Functional Level) вы- берите в раскрывающемся списке режим Windows Server 2008 и щелкните кнопку Далее (Next). 15. На странице Дополнительные параметры контроллера домена (Additional Domain Controller Options) проверьте установленные флажки DNS-сервер (DNS Server) и Глобальный каталог (Global Catalog) и щелкните кнопку Да- лее (Next). Отметим, что на этом сервере уже установлена служба DNS. 4 3 2 Интеграция DNS с AD DS Глава 9 16. Если вы не назначали статический IP-адрес, мастер установки доменных служб Active Directory отобразит предупреждение об использовании дина- J мического IP-адреса. Щелкните опцию Да, к о м п ь ю т е р будет использовать I динамически назначаемый IP-адрес (не р е к о м е н д у е т с я ) (Yes, The Computer I Will Use A Dynamically Assigned IP Address ( N o t R e c o m m e n d e d ) ) . 17. Мастер установки доменных служб Active D i r e c t o r y с о о б щ и т о невозмож- ности создания делегирования для этого сервера. Щ е л к н и т е кнопку Да (Yes). Эта ошибка возникает по двум п р и ч и н а м . Во-первых, поскольку вы назна- чили IP-адрес данного сервера в сетевой к о н ф и г у р а ц и и DNS-сервера, то не можете связаться с соответствующим D N S – с е р в е р о м д л я создания деле- гирования. Во-вторых, даже если вы м о ж е т е с в я з а т ь с я с DNS-сервером, то используете при этом имя на основе корневого и м е н и высшего уровня (.net) и не авторизованы для создания д е л е г и р о в а н и я д л я этого расширения. 18. На странице Расположение д л я базы данных, ф а й л о в ж у р н а л а и SYSVOL (Location For Database, Log Files And S Y S V O L ) п р и м и т е параметры по умолчанию и щелкните к н о п к у Д а л е е ( N e x t ) . 19. На странице Пароль а д м и н и с т р а т о р а д л я р е ж и м а восстановления служб каталогов (Directory Services Restore M o d e Administrator Password) введите строгий пароль и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . 20. Просмотрите выбранные параметры на странице Сводка (Summary) и щелк- ните кнопку Далее (Next). 21. Установите флажок Перезагрузка по з а в е р ш е н и и ( R e b o o t On Completion) и подождите, пока будет в ы п о л н я т ь с я о п е р а ц и я . 22. После перезагрузки компьютера войдите на него с помощью новых учетных данных (TreyResearchAflMHHHCTpaTop) и в Д и с п е т ч е р е сервера (Server Manager) перейдите на узел D N S – с е р в е р ( D N S Server). Просмотрите изменения, внесенные в з о н ы п р я м о г о просмотра при уста- новке AD DS. Данные D N S разбиты на две с е к ц и и : первая влияет на весь лес, а вторая, как показано на рис. 9-10, только на к о р н е в о й домен. иг ШШШI –«JSf-SJ Конекъ Дебетам: Спял^е f ЩОЖащ 7 " I &«петчер сермра (CSlvtRlO) ! f» > Par* j SRVERIO '•i ij СгоЬнъЯсЯ *>Р*41Ы • Ль •S ...,j 5»1Ы пэсяэго проочгр» 'iik ."wfct «ntojo.com ' borvarOruZone» Й! ; jntiatreyi esevdi.net . FweitDceZooeJ ; (как narva верльего уровни) Начагмш м m) Сервер men 1 уровни) yjen (A) 192.163 0. Узея (A) 192.166.0. Узея (A) 192.168.0. tfi 21 O&r+rOneZcrKt SB F®estDni2onei Зоы оттого фоэтстра Рис. 9-10. Записи доменных служб Active Directory для нового леса Занятие 1 Установка DNS 4"| 4 3 3 У п р а ж н е н и е 3. С о з д а н и е делегирования зоны вручную В этом у п р а ж н е н и и , в ы п о л н я е м о м на машине SERVER10, вы используете созданный к о н т р о л л е р д о м е н а treyrbsecirch.net для создания делегирования DNS-зоны вручную. Это делегирование будет использоваться в упражнении 4 для загрузки д а н н ы х D N S доменного дерева. Создаваемое делегирование не будет содержать данные, указывающие на еще не созданный сервер (так на- зываемое л о ж н о е д е л е г и р о в а н и е ) . Кроме того, поскольку доменное дерево использует D N S – и м я , отличающееся от имени леса, для дерева нужно создать новую зону прямого просмотра FLZ. В противном случае вы не сможете ис- пользовать новое и м я для делегирования. 1. Войдите на м а ш и н у S E R V E R 1 0 как администратор домена. 2. В Д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) разверните узел DNS-сервер ( D N S Server) и щ е л к н и т е узел З о н ы прямого просмотра (Forward Lookup Zones). 3. Щ е л к н и т е правой к н о п к о й м ы ш и узел З о н ы прямого просмотра (Forward Lookup Zones) и п р и м е н и т е команду Создать новую зону (New Zone). Запустится М а с т е р создания новой зоны (New Zone Wizard). 4. Щ е л к н и т е к н о п к у Д а л е е (Next). 5. На странице Тип зоны ( Z o n e Туре) выберите тип Основная зона (Primary Zone) и установите ф л а ж о к Сохранять зону в Active Directory (Store The Zone In Active Directory). Щ е л к н и т е кнопку Далее (Next). Вы д о л ж н ы создать новую зону для управления делегированием, так как при попытке сохранить делегирование в существующей зоне к ней авто- матически д о б а в л я е т с я и м е н н о й с у ф ф и к с . Поскольку доменное дерево распознается в пространстве имен по суффиксу, для его управления нужно создать новую зону. 6. На странице Область репликации зоны, интегрированной в Active Directory (Active Directory Zone Replication Scope), выберите опцию Для всех DNS- серверов в этом домене: treyresearch.net (То All DNS Servers In This Domain: treyresearch.net) и щ е л к н и т е к н о п к у Далее (Next). Данные DNS будут п о м е щ е н ы в раздел каталога п р и л о ж е н и й DomainDnsZones для домена treyresearch.net. 7. На странице И м я зоны (Zone Name) введите имя зоны northwindtraders.com и щелкните кнопку Далее (Next). Компания Trey Research приняла решение расширить свою деятельность и создать новую организацию, которая будет заниматься новой спортив- ной одеждой на основе последних исследований Trey. В связи с этим в их существующем лесу потребовалось создать новое доменное дерево. ВНИМАНИЕ! Расширения имен, кроме .com Чтобы защитить внутреннюю сеть от потенциальных конфликтов имен и избежать разделения DNS, именное расширение .com обычно не используется. Однако рас- ширение .com можно использовать для выполнения данного упражнения. 434 Интеграция DNS с AD DS Глава 9 8. На странице Динамическое обновление ( D y n a m i c U p d a t e ) выберите опцию Разрешить только безопасные д и н а м и ч е с к и е о б н о в л е н и я (рекомендуется для AD) (Allow Only Secure D y n a m i c U p d a t e s ( R e c o m m e n d e d For Active Directory)) и щелкните кнопку Д а л е е ( N e x t ) . Динамические обновления на самом деле не н у ж н ы для этой зоны, посколь- ку она будет управлять лишь делегированием, однако использование данно- го параметра обеспечит потенциальный рост в случае и з м е н е н и я стратегии Trey Research для этого домена. 9. Щелкните кнопку Готово (Finish), чтобы создать зону. 10. Выберите зону northwindtraders.com. Особенность DNS-сервера состоит в том, что он не предоставляет команды контекстного меню, если вначале не будет в ы б р а н сам элемент. Нужно вы- делить этот элемент левой кнопкой м ы ш и , после чего м о ж н о использовать правую кнопку мыши для о т к р ы т и я контекстного меню. 11. Щелкните правой кнопкой м ы ш и зону northvvindtraders.com и примените команду Создать делегирование (New Delegation). 12. Щелкните кнопку Далее (Next). 13. На странице Имя делегируемого домена ( D e l e g a t e d D o m a i n Name) введите имя SERVER20, чтобы для S E R V E R 2 0 было указано F Q D N – и м я SERVER20. northwindtraders.com и щелкните к н о п к у Д а л е е ( N e x t ) . 14. На странице Серверы и м е н ( N a m e S e r v e r s ) щ е л к н и т е к н о п к у Добавить (Add) и введите F Q D N – и м я сервера, к о т о р ы й создадите д л я этой зоны. Должно быть указано значение S E R V E R 2 0 . n o r t h w i n d t r a d e r s . c o m . 15. Перейдите в секцию IP-адреса з а п и с и сервера и м е н ( I P Addresses Of This NS Record) диалогового окна, щ е л к н и т е с с ы л к у < Щ е л к н и т е здесь, чтобы добавить 1Р-адрес> ( IP-адрес, который назначите для S E R V E R 2 0 . Щ е л к н и т е О К . 16. Щелкните кнопку Далее ( N e x t ) , а з а т е м к н о п к у Готово (Finish), чтобы создать делегирование. Сообщение об ошибке появится из-за того, что домен northwindtraders.com пока еще не создан и сервера с D Q D N – и м е н е м SERVER20.northwindtraders. com пока не существует. Поэтому т а к о й т и п д е л е г и р о в а н и я называется ложным. ВНИМАНИЕ! Добавление серверов имен в делегирование В производственной среде нужно создать хотя бы два сервера имен для такого де- легирования. В этом упражнении достаточно и одного сервера, однако при создании любого домена AD DS всегда нужно создать хотя бы два контроллера домена. Поэ- тому вы должны вернуться к этому делегированию после создания второго сервера и добавить сервер в делегирование для отказоустойчивости. Упражнение 4. Установка AD DS и с о з д а н и е нового д о м е н н о г о дерева В данном упражнении вы используете н е з а в и с и м ы й компьютер для установки роли AD DS, а затем создадите новое доменное дерево в существующем лесу. Занятие 1 Установка DNS 435 Упражнение следует в ы п о л н я т ь на машине SERVER20 с запущенной маши- ной S E R V E R 1 0 . После установки AD DS вы используете мастер установки доменных служб Active Directory для создания нового доменного дерева в су- ществующем лесу. 1. Войдите на м а ш и н у S E R V E R 2 0 как локальный администратор. 2. В Диспетчере сервера (Server Manager) щелкните правой кнопкой мыши узел Р о л и (Roles) и примените команду Добавить роли (Add Roles). 3. П р о с м о т р и т е с в е д е н и я на странице Перед началом работы (Before You Begin) и щ е л к н и т е к н о п к у Далее (Next). 4. На странице Выбор ролей сервера (Select Server Roles) мастера добавле- ния ролей установите ф л а ж о к Доменные службы Active Directory (Active Directory D o m a i n Services) и щелкните кнопку Далее (Next). 5. Просмотрите и н ф о р м а ц и ю на странице Доменные службы Active Directory