Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 44 (всего у книги 91 страниц)
(Active Directory D o m a i n Services) и щелкните кнопку Далее (Next).
6. П р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е кнопку Установить
(Install).
7. Просмотрите результаты установки и щелкните кнопку Закрыть (Close).
Ваша установка выполнена.
8. Затем в Д и с п е т ч е р е сервера (Server Manager) щелкните узел Доменные
службы Active Directory (Active Directory Domain Services).
9. В панели сведений щелкните ссылку Запустите мастер установки домен-
ных с л у ж б Active D i r e c t o r y ( R u n T h e Active Directory Domain Services
Installation Wizard).
10. Запустится М а с т е р установки доменных служб Active Directory (Active
Directory Domain Services Installation Wizard). Установите флажок Исполь-
зовать р а с ш и р е н н ы й р е ж и м установки (Use Advanced Mode Installation)
и щелкните к н о п к у Далее (Next).
Эта о п ц и я позволяет создать новое дерево.
11. Просмотрите и н ф о р м а ц и ю на странице Совместимость операционных сис-
тем ( O p e r a t i n g System Compatibility) и щелкните кнопку Далее (Next).
12. На странице Выберите конфигурацию развертывания (Choose A Deployment
Configuration) выберите Существующий лес (Existing Forest) и тип конфи-
гурации Создать новый домен в существующем лесу (Create A New Domain
In An Existing Forest), установите флажок Создать новый корень доменного
дерева вместо нового дочернего домена (Create A New Domain Tree Root
Instead Of A New Child Domain) и щелкните кнопку Далее (Next).
13. На странице Сетевые учетные данные (Network Credentials) введите имя
домена treyresearch.net и щелкните кнопку Задать (Set), чтобы ввести аль-
тернативные учетные данные. Введите имя treyresearch.netAdMumcmpamop
или аналогичные имя и пароль. Щелкните ОК, а затем щелкните кнопку
Далее (Next).
14. На странице Укажите имя нового корневого домена (Name The New Domain
Tree Root) введите имя northwincltraders.com и щелкните кнопку Далее (Next).
4 3 6 Интеграция DNS с AD DS
Глава 9
15. На странице NetBIOS – имя домена ( D o m a i n N e t B I O S N a m e ) примите имя
по умолчанию и щелкните кнопку Далее ( N e x t ) .
Эта страница открывается потому, что мастер з а п у щ е н в расширенном ре-
жиме. Отметим, что это имя не содержит п о с л е д н ю ю букву S, поскольку
оно ограничено пятнадцатью с и м в о л а м и . Ш е с т н а д ц а т ы й символ всегда
резервируется системой.
16. На странице Выбор сайта (Select A Site) п р и м и т е сайт по умолчанию и щел-
кните кнопку Далее (Next). Эта страница т а к ж е о т к р ы в а е т с я по причине
того, что мастер запущен в р а с ш и р е н н о м р е ж и м е .
17. На странице Дополнительные п а р а м е т р ы к о н т р о л л е р а домена (Additional
Domain Controller Options) проверьте у с т а н о в л е н н ы й ф л а ж о к DNS-сервер
(DNS Server). Установите, ф л а ж о к Г л о б а л ь н ы й к а т а л о г (Global Catalog)
и щелкните кнопку Далее (Next).
' 18. Если вы не назначали статический IP-адрес, п о я в и т с я предупреждение об
использовании динамического IP-адреса. Щ е л к н и т е о п ц и ю Да, компьютер
будет использовать динамически н а з н а ч а е м ы й I P – а д р е с (не рекомендует-
ся) (Yes, The Computer Will Use A D y n a m i c a l l y Assigned IP Address (Not
Recommended)).
Мастер установки AD DS предупредит о н а л и ч и и существующей инфра-
структуры для этого домена. Поэтому у вас есть выбор: попытаться создать
делегирование DNS и л и пропустить его, как п о к а з а н о на рис. 9-11.
РЗ Art** DifMtoiy Domain Sciviff i !ri!t»fijti6r> WrzvJ
•
Oeate DNS Delegation
– i :
Ал еюУпд Dorr.*! Name System(DNS) infiastmctue lex ihe patent zone o( thli
donvan has been delected Before «hit DNS rtiastiuctuie can tesolve computet na
met
n the Лжпап. you rrvsl cieMe a DNS detonation n the paient zo
u n
s e that ports to 1
Do you wart to aea>e the DNS delegation?
Yes, aUomatcaly atempt to cieate the DNS delegation dung tto nstalabon
(J) You may be piorcrfed to «цзр1у аЛМюпЫ credentials to cieate the
DNS delegation
о No. do nt* cieate the DNS detegaton
1 Caution E«jtngco«r*>uteiion you rietivoikwl not be able to use
DNS to locate any compuleii n thn new ttomamrtil you cieate Ihe
DNS delegation
Moie about DRS ДскоУдУВ
< Back Ne*> С »nc el
Рис. 9-11. Создание делегирования DNS
19. Выберите опцию Нет, не создавать д е л е г и р о в а н и е D N S (No, Do Not Create
The DNS Delegation) и щ е л к н и т е к н о п к у Д а л е е (Next).
Этот параметр следует выбрать по п р и ч и н е того, что делегирование уже
создано вручную. Мастер не может создать это делегирование, поскольку
оно создается на DNS-сервере с к о р н е в ы м именем .com, а у вас нет права
доступа к этому серверу.
Занятие 1
Установка DNS 4"| 4 3 7
20. На странице Н а ч а л ь н ы й контроллер домена (Source Domain Controller)
установите ф л а ж о к Позволить мастеру выбрать соответствующий конт-
роллер домена ( L e t T h e Wizard Choose An Appropriate Domain Controller)
и щелкните к н о п к у Д а л е е (Next).
21. На странице Р а с п о л о ж е н и е д л я базы данных, файлов журнала и SYSVOL
(Location F o r D a t a b a s e , Log Files And SYSVOL) примите параметры по
умолчанию и щ е л к н и т е к н о п к у Далее (Next).
22. Просмотрите выбранные параметры на странице Сводка (Summary) и щелк-
ните кнопку Далее (Next). Установите флажок Перезагрузка по завершении
(Reboot On C o m p l e t i o n ) и подождите; пока будет выполняться операция.
23. После перезагрузки компьютера войдите на него с помощью новых учетных
данных (North w i n d T r a d e r s Администратор) и в Диспетчере сервера (Server
Manager) выберите узел DNS-сервер (DNS Server). Просмотрите изменения
в зонах прямого просмотра для нового доменного дерева, внесенные во время
установки AD DS. О т м е т и м , что эти данные DNS включают контейнер
только д л я дерева, но не для домена (рис. 9-12.)
Все дочерние домены, создаваемые в этом дереве, также будут создавать
делегирование и перечисляться в этой зоне.
3 Server Manager
File Action View Help
–T-IXi. • Uf~; f l i
i йк Stiver Manager (SERVEUO)
! 4 f > Role >
i U? Active Directory Domain Services
Type
Dat .j
1 л 4 DNS Server
' & DNS
| j'j _)itei
л | SERVE R20
! Щ MP
: JJ Global Logs
– 12 Forward lookup Zonei U j DomainDnsZones
j J; NorthwindTraders.com Q (same as parent folder) Start of Authority (SOA)
[19L server20.northwindtr.ij
" : I _midcj
! i (same as parent folder) Name Server (NS) server20.north»indtrad«rs:;
.те»
J j(same as parent folder) Host (A)
192.168.1.116
s Ш Jcp
server20
Host (A)
192-168.1.116
• Uj DomainDnjZoneJ
Ш1 Reverie Lookup Zonei
; Conditonal Forwarder}
Рис. 9-12. Записи доменных служб Active Directory для нового доменного дерева
в существующем лесу
У п р а ж н е н и е 5. У с т а н о в к а AD DS и создание дочернего домена
В этом у п р а ж н е н и и вы используете независимый компьютер для установки
роли AD DS и создания нового дочернего домена. Упражнение выполняется на
машине S E R V E R 3 0 . После установки AD DS вы, воспользовавшись мастером
установки доменных служб Active Directory, создадите дочерний домен в лесу
Trey Research.
1. Войдите на машину S E R V E R 3 0 как локальный администратор.
2. В Диспетчере сервера (Server Manager) щелкните правой кнопкой мыши
узел Роли (Roles) и примените команду Добавить роли (Add Roles).
3. Просмотрите сведения на странице Перед началом работы (Before You
Begin) и щелкните кнопку Далее (Next).
Глава 9
4. На странице Выбор ролей сервера (Select Server Roles) мастера добавле-
ния ролей установите флажок Доменные службы Active Directory (Active
Directory Domain Services) и щелкните кнопку Далее (Next).
5. Просмотрите информацию на странице AD DS и щелкните кнопку Далее
(Next).
6. Просмотрите выбранные параметры и щ е л к н и т е к н о п к у Установить
(Install).
7. Просмотрите результаты установки и щелкните кнопку Закрыть (Close).
8. Затем в Диспетчере сервера (Server Manager) щелкните узел Доменные
службы Active Directory (Active Directory Domain Services).
9. В панели сведений щелкните ссылку Запустите мастер установки доменных
служб Active Directory (Run The Active Directory Domain Services Installa-
tion Wizard). Запустится мастер установки AD DS.
10. Щелкните кнопку Далее (Next).
11. Просмотрите информацию на странице Совместимость операционных сис-
тем (Operating System Compatibility) и щелкните кнопку Далее (Next).
12. На странице Выберите конфигурацию развертывания (Choose A Deployment
Configuration) выберите Существующий лес (Existing Forest), тип конфи-
гурации Создать новый домен в существующем лесу (Create A New Domain
In An Existing Forest) и щелкните кнопку Далее (Next).
13. На странице Сетевые учетные данные (Network Credentials) введите имя
домена treyresearch.net, а затем щелкните кнопку Задать (Set), чтобы доба-
вить соответствующие учетные данные.
14. В диалоговом окне Сетевые учетные данные (Network Credentials) введите
данные treyresearch.netAdMunucmpamop, пароль, щелкните ОК и щелкните
кнопку Далее (Next).
15. На странице Укажите имя нового корневого домена (Name The New Domain
Tree Root) введите FQDN-имя родительского домена treyresearch.net, введи-
те в поле дочернего домена имя intranet и щелкните кнопку Далее (Next).
Полное FQDN-имя должно быть intranet.treyresearch.net.
При создании глобального дочернего производственного домена ему назна-
чается соответствующее имя, например Intranet. Это имя четко указывает
пользователям, что они подключены к внутренней'защищенной сети.
16. На странице Выбор сайта (Select A Site) примите сайт по умолчанию и щелк-
ните кнопку Далее (Next).
17. На странице Дополнительные параметры контроллера домена (Additional
Domain Controller Options) проверьте установленный флажок DNS-сервер
(DNS Server). Установите флажок Глобальный каталог (Global Catalog)
и щелкните кнопку Далее (Next).
Отметим, что для этого доменного имени нет уполномоченных DNS-cep-
веров.
Занятие 1
Установка DNS 4"| 462
Если вы не н а з н а ч и л и статический IP-адрес, мастер установки AD DS
отобразит предупреждение об использовании динамического IP-адреса.
18. Щелкните опцию Да, компьютер будет использовать динамически назначае-
мый IP-адрес (не рекомендуется) (Yes, The Computer Will Use A Dynamically
Assigned IP Address (Not Recommended)).
19. На странице Р а с п о л о ж е н и е для базы данных, файлов журнала и SYSVOL
( L o c a t i o n For Database, Log Files And SYSVOL) примите параметры по
умолчанию и щ е л к н и т е кнопку Далее (Next).
20. На странице П а р о л ь администратора для восстановления служб каталогов
(Directory Services Restore Mode Administrator Password) введите строгий
пароль, подтвердите его и щелкните кнопку Далее (Next).
21. Просмотрите выбранные параметры на странице Сводка (Summary) и щелк-
ните к н о п к у Д а л е е (Next).
Отметим, что в данном случае мастер создает делегирование DNS для это-
го домена (рис. 9 – 1 3 ) . П р и ч и н а состоит в том, что родительский домен
уполномочен для зоны treyresearch.net и поэтому может создать корректное
делегирование для дочернего домена.
A
&
f
o
W Option,
A
e
a
d
o
n
V dcmaai cewoler. Но
*±oj Vn
D
N
S Servei Ye,
OeateDtJS Deletion– Ye,
Seuce
d
M
w
e
i conutie: .Metis
d
o
m
e
m eotftolef
DSAaielcJJet
C
W
W
o
«
V
N
T
D
S
tog HeloWet: С WrdowiWIDS
?™L fddat С
W
r
d
o
w
,
W
>
S
V
O
L
Tochsye an
W
o
n ok* Back. To be^i Ihe
с
с
Д
О
ю
п
. ck* KM
Tt«e uylr^i can ba eqmted to an пм He to un
otttoturailet*iml«»iatwn
M
o
t
e a«ut '
Рис. 9-13. Результаты установки доменных служб Active Directory
22. Установите ф л а ж о к Перезагрузка по завершении (Reboot On Completion)
и подождите, пока будет выполняться операция.
23. После перезагрузки компьютера войдите на него с помощью новых учетных
данных (TreyResearchAflMHHiicTpaTop) и в окне Диспетчер сервера (Server
Manager) перейдите на узел DNS-сервер (DNS Server).
24. Просмотрите изменения, внесенные в зоны прямого просмотра при уста-
новке AD DS. В данных DNS только одна секция влияет на этот отдельный
домен, как показано на рис. 9-14. Если вернуться к машине SERVER10, вы
увидите, что в зоне прямого просмотра treyresearch.net для этого дочернего
домена создано новое делегирование DNS (серый значок вместо желтого).
f 4 4 0 Интеграция DNS с AD DS
Глава 9
jb Managtr
Wt Acton View Help
«•<•' • x в О П 5
' 3s, Server Manager (S£RVIR30)
j ' jp Rolei
> Active Directory Domain Service» 1 Nam,
Type
Data
< £ DNS Server
HS.mjdc»
л Л 0NS
•! Л _»йе»
, | SJRVJR30
У-xJcp
У Global logi
i: J.udp
* Forward Lookup Zone»
.,.' OomainDniZonei
4 blrantl.Treyfintaich.ntt 1; f3(»ame a» parent folder) Start of Authority (SOA) |52L »erver30.intranet.ri;;
• ,m»dc>
!j О (»ame at parent folder) Name Server (NS)
»erver30.intraneUreyrei^:
_>ite»
! j -}(»ame ai parent folder) Ho»t (A)
192.168.1.109
>-up
' i О (>»me ai parent folder) Host (A)
192.168.1.118
_udp
ij , ;j»erver30
Ho»t (A)
192.168.1.109
s DomamDniZone»
Ho »t (A)
192.168.1.118
• ;_3 Reverie lookup Zone»
' Conditonal Forwarder»
Рис. 9-14. Записи служб AD DS для нового дочернего домена в существующем лесу
Резюме
• Система разрешения имен DNS использует и е р а р х и ч е с к у ю структуру имен
для сопоставления IP-адресов с и м е н а м и F Q D N в ф о р м а т е объект.про-
странство_имен.корневое_имя.
• В AD DS также используется иерархическая структура. Структура леса AD
DS полностью основана на иерархической с т р у к т у р е D N S .
• Поскольку Windows Server 2008 п о д д е р ж и в а е т I P v 6 , а структура IPv6 по
умолчанию устанавливается с л о к а л ь н ы м и а д р е с а м и каналов, DNS-сервер
в Windows Server 2008 поддерживает 128-битовый ф о р м а т адресов IPv6.
• DNS-сервер может управлять т р е м я т и п а м и зон. О с н о в н ы е зоны с правом
чтения и записи содержат данные для п о д д е р ж к и р а з р е ш е н и я имен отдель-
ного именного пространства. Д о п о л н и т е л ь н ы е з о н ы с правом только для
чтения содержат копию основной зоны. З о н ы – з а г л у ш к и – это указатели
на другие DNS-серверы и содержат л и ш ь серверы, уполномоченные для
именного пространства, на которое у к а з ы в а ю т . К а ж д ы й тип зон можно
интегрировать в AD DS д л я х р а н е н и я в базе д а н н ы х каталогов.
Закрепление материала
Следующие вопросы можно использовать д л я п р о в е р к и знаний, полученных
на занятии 1. Эти же вопросы есть и на с о п р о в о д и т е л ь н о м компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на зти вопросы с пояснениями, почему тот или иной вариант ответа является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Вы являетесь администратором в компании Contoso, Ltd. Ваша организация
приняла решение переходить на п л а т ф о р м у W i n d o w s Server 2008 и вам,
вместо того чтобы обновить существующую инфраструктуру, поручено со-
здать новую реализацию серверов. После создания новой инфраструктуры
вы переместите все данные (учетные записи, параметры служб каталогов
и т. д.) в новый лес, который реализуете с помощью Windows Server 2008.
Занятие 2
Настройка и использование DNS 45-1
Вы д о л ж н ы описать начальную структуру леса. Этот лес содержит кор-
невой домен, глобальный дочерний производственный домен и доменное
дерево. Л е с именуется с расширением .net, а доменное дерево использует
расширение .ms в производственном лесу. Вы успешно создаете корневой
домен леса и дочерний домен, однако, приступив к доменному дереву, об-
наруживаете, что не можете локализовать его параметр. В чем причина?
A. Вы не можете создать доменное дерево с помощью мастера установки
доменных служб Active Directory. Д л я этого нужно использовать инс-
трумент к о м а н д н о й строки Dcpromo.exe.
Б. Вы не использовали соответствующие учетные данные при входе в систему.
B. Н е о б х о д и м о в е р н у т ь с я иа страницу приветствия мастера и выбрать
р а с ш и р е н н ы й р е ж и м его работы.
Г. И с п о л ь з у е м ы й сервер не является членом корневого домена леса.
2. Вы я в л я е т е с ь а д м и н и с т р а т о р о м в компании Contoso, Ltd. Ваша органи-
зация п р и н я л а р е ш е н и е переходить на платформу Windows Server 2008
и вам поручено создать новую реализацию серверов вместо обновления
существующей и н ф р а с т р у к т у р ы . После создания новой инфраструктуры
вы переместите все данные (учетные записи, параметры служб каталогов и
т. д.) в новый лес, к о т о р ы й реализуете с помощью Windows Server 2008. Вы
д о л ж н ы описать начальную структуру леса. Этот лес содержит корневой
домен, глобальный дочерний производственный домен и доменное дерево.
Л е с именуется с р а с ш и р е н и е м .net, а доменное дерево использует расши-
рение .ms в производственном лесу. Вы успешно создаете корневой домен
леса и дочерний домен, однако, приступив к доменному дереву, обнаружи-
ваете, что не можете создать делегирование независимо от используемых
параметров и учетных данных. В чем причина? (Укажите все варианты)
A. Д л я создания делегирования необходимо использовать расширенный
режим работы мастера.
Б. Перед созданием доменного дерева нужно создать делегирование вруч-
ную.
B. Вы д о л ж н ы дать у к а з а н и е мастеру создать делегирование во время
с о з д а н и я доменного дерева и обеспечить соответствующие учетные
данные.
Г. Вы должны дать указание мастеру пропустить создание делегирования
во время создания доменного дерева.
Д. Вы д о л ж н ы создать делегирование вручную после создания доменного
дерева.
Занятие 2. Настройка и использование DNS
При установке роли DNS-сервера вам не потребуется вместе с AD DS конфи-
гурировать много параметров. З о н ы прямого просмотра FLZ создаются авто-
матически, репликация конфигурируется автоматически с помощью системы
репликации AD DS с множеством равноправных участников (Multimaster),
и вам даже не нужно добавлять записи, поскольку все компьютерные системы
f 4 4 2 Интеграция DNS с AD DS
Глава 9
не ниже Windows 2000 могут регистрировать и о б н о в л я т ь свои записи с помо-
щью динамических обновлений DNS в AD DS.
Однако некоторые операции автоматически не в ы п о л н я ю т с я . Например,
конфигурация DNS-сервера по умолчанию не в к л ю ч а е т з о н ы обратного про-
смотра RLZ. Их нужно вручную добавлять для п о д д е р ж к и обратного просмот-
ра. Кроме того, для DNS-сервера требуется з а в е р ш е н и е конфигурации. В част-
ности, его нужно настроить для поддержки очистки записей и автоматического
удаления устаревших записей.
Неплохо также ознакомиться с п о л н ы м с о д е р ж и м ы м D N S и обеспечить
соответствие всех данных и значений р е а л ь н ы м т р е б о в а н и я м .
Изучив материал этого занятия, вы сможете:
S Завершить конфигурацию DNS-серверов.
S Администрировать DNS-серверы и репликацию DNS.
Продолжительность занятия – около 40 мин.
Настройка DNS
В процессе настройки DNS в ы п о л н я ю т с я с л е д у ю щ и е действия:
• анализ безопасности DNS-серверов с ц е л ь ю с н и ж е н и я ф р о н т а атак;
• настройка параметров очистки сервера;
• завершение настройки зон прямого п р о с м о т р а FLZ;
• создание зон обратного просмотра RLZ;
• добавление настраиваемой записи в з о н ы F L Z д л я конкретных служб и ре-
сурсов.
Кроме того, нужно обеспечить к о р р е к т н у ю р е п л и к а ц и ю данных DNS.
Анализ безопасности роли D N S – с е р в е р а
DNS-серверы в Интернете представляют б о л ь ш о й интерес для злонамеренных
пользователей. Ч а щ е всего на эти с е р в е р ы о с у щ е с т в л я ю т с я атаки, провоци-
рующие отказ в о б с л у ж и в а н и и D o S ( D e n i a l – o f – S e r v i c e ) , когда служба DNS
переполняется огромным количеством запросов, в результате чего не может
отвечать на подлинные запросы. Е щ е один р а с п р о с т р а н е н н ы й тип атаки за-
ключается в том, что з л о у м ы ш л е н н и к п ы т а е т с я п о л у ч и т ь все данные DNS-
сервера, чтобы использовать их для и д е н т и ф и к а ц и и объектов в сети. Эта атака
называется получением сетевых следов ( f o o t p r i n t i n g t h e network). В еще двух
типах атак осуществляются п о п ы т к и м о д и ф и к а ц и и д а н н ы х DNS-сервера и
перенаправления пользовательских запросов с подлинного DNS-сервера на
еще один DNS-сервер, который к о н т р о л и р у е т с я злоумышленниками. Обычно
такие атаки предпринимаются путем м о д и ф и к а ц и и данных DNS в кэше DNS.
Помните, что для повышения скорости ответов на запросы DNS использует
кэширование в памяти. В случае м о д и ф и к а ц и и этих данных пользователи могут
получать недействительные ответы на свои запросы.
Занятие 2
Настройка и использование DNS 45-1
В связи с этим важно применять меры безопасности к установке DNS. При
использовании неразделенного типа конфигурации DNS и интеграции DNS с
AD DS во внутренней сети внутренние DNS-серверы менее уязвимы к атакам,
поскольку не используют именное пространство совместно с внешним миром и
поэтому защищены от внешнего доступа брандмауэрами, которые не разрешают
внешним пользователям получать доступ к внутренним DNS-серверам. Это не
означает, что внутренние серверы не нуждаются в защите. Всегда существует
угроза того, что н е с а н к ц и о н и р о в а н н ы й пользователь может подключиться к
сети через проводное и л и беспроводное подключение. Поэтому рекомендуется
тщательно проверять незнакомцев, прежде чем разрешить им доступ в сеть.
Р а с с м о т р и м б е з о п а с н о с т ь в н у т р е н н и х и внешних DNS-серверов. Когда
серверы р а з м е щ е н ы во внешней сети или в периметре сети, для них нужно
обеспечить в ы с о к и й уровень безопасности. Один из неплохих методов защиты
состоит в использовании во внешней сети лишь дополнительного или подчи-
ненного сервера. Затем можно отконфигурировать обновления зон только от
известных источников, в к л ю ч е н н ы х в DNS.
Во в н у т р е н н и х сетях с в я ж и т е роль DNS-сервера с ролыо контроллера до-
мена и отконфигурируйте только поддержку безопасных динамических обнов-
лений, чтобы избежать получения и передачи ошибочных данных. Регулярно
проверяйте данные D N S и отслеживайте журналы событий DNS для быстрой
и д е н т и ф и к а ц и и потенциальных неполадок.
СОВЕТ К ЭКЗАМЕНУ
Сертификационный экзамен 70-640 посвящен использованию DNS вместе с AD
DS. По этой причине в темы экзамена не включены внешние и независимые DNS-
серверы. Если вам нужно отконфигурировать внешний DNS-сервер, информацию о
безопасности DNS можно найти по адресу http://technet2.microsoft.com/windowsserver/
en/library/fea46d0d-2de7-4da0-9c6f-2bb0ae9ca7e91033.mspx?mfr=true.
Параметры DNS-сервера
Записи имен хранятся в DNS определенный период времени. Каждой записи
имени назначается время ж и з н и T T L (Time То Live). По его окончании запись
должна быть удалена, чтобы не генерировать ошибочные результаты для поль-
зователей. В W i n d o w s Server 2008 сервер DNS может выполнять эту задачу
автоматически, путем очистки сервера или зон. Очистка, применяемая к сер-
веру, выполняется во всех активных зонах на сервере. В случае ее применения
к отдельной зоне выполняется л и ш ь очистка записей зоны.
Настройк а очистки д л я в с е х зои Д л я того чтобы отконфигурировать очист-
ку для всего сервера, этот параметр необходимо назначить в меню действий
сервера.
1. В узле DNS-сервер ( D N S Server) Диспетчера сервера (Server Manager) щелк-
ните правой кнопкой мыши и м я сервера и примените команду Установить
свойства очистки д л я всех зон (Set Aging/Scavenging For All Zones).
2. Установите флажок Удалять устаревшие записи ресурсов (Scavenge Stale
Resource Records).
f 444
Интеграция DNS с AD DS
Глава 9
Интервал блокирования (No-Refresh Interval) указывает время между мо-
ментами последнего обновления штампа в р е м е н и з а п и с и и повторным
обновлением штампа времени. Интервал о б н о в л е н и я ( R e f r e s h Interval)
указывает промежуток между самым ранним обновлением штампа времени
записи и самым ранним временем начала очистки записи. Д л я большинства
сетей значение 7 дней по умолчанию вполне приемлемо.
3. Примите значения по умолчанию и щелкните О К .
4. Поскольку вы задаете значения для существующих зон, DNS также поз-
воляет задавать их для любой создаваемой зоны, в к л ю ч а я интегрирован-
ные зоны Active Directory. Установите ф л а ж о к П р и м е н и т ь эти параметры
к существующим зонам, интегрированным в Active Directory (Apply These
Settings To The Existing Active Directory-Integrated Zones) и щелкните ОК.
Ваши зоны DNS отконфигурированы для удаления устаревших записей.
Примените эти параметры к каждому DNS-серверу в сети. Задайте эти парамет-
ры как конфигурацию по умолчанию для DNS-серверов. П р и необходимости в
модификации параметра отдельной зоны нужно использовать диалоговое окно
Свойства (Properties) этой зоны. Чтобы выполнить очистку зоны, на вкладке
Общие (General) диалогового окна свойств зоны щ е л к н и т е к н о п к у Очистка
(Scavenging).
В контекстном меню сервера также можно вручную инициировать очис-
тку, выполнив команду Удалить устаревшие записи (Scavenge Stale Resource
Records). Эту операцию можно применять и при обнаружении того, что серверы
пересылают устаревшие данные.
В случае обнаружения устаревших записей т а к ж е м о ж н о использовать
команду контекстного меню Очистить кэш (Clear Cache). Поскольку для по-
вышения производительности DNS-сервер интенсивно использует кэш в па-
мяти, вы можете удалить устаревшие записи из базы данных, но они все равно
останутся в кэше, генерируя ошибочные результаты.
Завершение настройки зон прямого просмотра ( F L Z ) В диалоговом окне
Свойства (Properties) зоны прямого просмотра для каждой зоны можно задать
несколько параметров. Проанализируйте их и отконфигурируйте следующие
параметры для каждой производственной зоны D N S в соответствии с реко-
мендациями.
• На вкладке Общие (General) убедитесь, что каждая в н у т р е н н я я зона DNS
интегрирована в Active Directory, использует корректную область репли-
кации и поддерживает только безопасные динамические обновления.
• Зоны DNS домена должны реплицироваться на все DNS-серверы в до-
мене. Эту зону включает каждый контроллер домена с ролью DNS.
• Зоны DNS леса должны реплицироваться на все DNS-серверы в лесу,
о Если в сети поддерживаются контроллеры домена Windows 2000 Server,
нужно использовать параметр Для всех контроллеров домена в этом доме-
не (для совместимости с Windows 2000) (То All Domain Controllers In This
Domain (For Windows 2000 Compatibility)), поскольку в Windows 2000
Server разделы каталогов приложений не поддерживаются.
Занятие 2
Настройка и использование DNS 45-1
Выберите, к з к т сбраэсм следует сеглмикровать информацию зоны.
С Для eceicDt-S-cepeepoee атом лесу: tieyTesearcii.nei
(• Для ecexDNS-cepeepoeesrTon домене: treyfesetrth.net
С Для веек ломгроллеров д смена s угон доиене (для совместимости с Windows
2DCO): deyreseatch.net
• Репликацию также можно задать для настраиваемых разделов каталогов
приложений, однако вначале нужно создать каталог.
• На вкладке Серверы имен (Name Servers) убедитесь, что каждая зона DNS
включает хотя бы два сервера имен. Аналогично созданию двух контрол-
леров, для каждого домена рекомендуется создать по два DNS-сервера для
каждой зоны.
• На вкладке W I N S назначьте просмотр WINS только в том случае, если вы
не можете использовать зоны GNZ (GlobalNames Zone) и вам необходимо
развернуть WINS. Процесс управления именами из одной метки описан
далее.
• На вкладке Передачи зон (Zone Transfers) укажите серверы имен, которым
разрешено передавать данные зон для запросов. Если эта зона интегриро-
вана с Active Directory, передачи зон не требуются. В основном эта вкладка
используется для традиционных DNS-серверов.
• На вкладке Безопасность (Security) просмотрите параметры безопасности
по умолчанию. Эти параметры имеют соответствующую конфигурацию для
большинства сетей, однако при настройке очень высокого уровня безопас-
ности их следует пересмотреть и модифицировать.
• Последней здесь является вкладка Начальная запись зоны (SOA). Записи
SOA идентифицируют зону и связанную с ней информацию, такую, напри-
мер, как владелец, оператор, графики обновления и т. д. Указанные записи
содержат следующие сведения.
о Серийный номер (Serial Number), назначаемый при создании зоны.
В случае необходимости этот номер можно увеличить,
о Основной сервер (Primary Server), который является мастер-сервером
для этой зоны. Обычно это сервер, где изначально создавалась зона.
• Ответственное лицо (Responsible Person), указывающее имя опера-
тора этого сервера. Обычно для него используется стандартный тер-
мин, например Hostmaster или Operations. По умолчанию в Windows
Server 2008 назначается имя hostmaster.uMM_dns_3oHbi с FQDN-именем
зоны. Записи Ответственное лицо (Responsible Person) основаны на
записях RP (Responsible Person), которые не создаются по умолчанию.
f 446
Интеграция DNS с AD DS
Глава 9
Создайте соответствующую запись RP для каждой зоны и л и хотя бы
для каждого мастер-сервера DNS и назначьте ей это значение.
• Начальная запись SOA, где перечислены р а з л и ч н ы е интервалы и па-
раметры времени, включая параметры Интервал обновления (Refresh
Interval), Интервал повтора ( R e t r y I n t e r v a l ) , С р о к истекает после
(Expires After) и М и н и м а л ь н ы й срок ж и з н и T T L ( п о у м о л ч а н и ю )
(Minimum (Default) TTL). Для большинства типов записи можно ис-
пользовать значения по умолчанию.
• Последним значением начальной записи SOA я в л я е т с я Срок жизни
(TTL) записи (TTL For This Record). Отметим, что ему присваивается
то же значение, что и параметру М и н и м а л ь н ы й срок ж и з н и T T L (по
умолчанию) (Minimum (Default) TTL), названному раньше в этом диа-
логовом окне.
и и и и и •
Сврверхим-аи | W1HS 1 Пеоеагчи зо
1 с е к о о о о с т * 1
Обшив
Начагъмаи заг wo. so*., {SOAJ
номер.
F
У&елметъ J
Ооюеиой сервер
JwrterOl corto» com
Оваср |
Ответствен»*» ivu> (RP – Reipans&le Penon'/.
jhoflmeslef cortoso.corv
| Обзд. |
Интервал обновления
| § р
Иитеовал повтора
S M V
zi
Срок истекает после
Г " i– zJ
Мин с р о к э о а ^ и Т П у ю
Wl.
умотна^ес)
Срок жизни (ТТЦ h
1 о а
у ш д а ч ч . м м сх>
•VMCti: Г
ОК
Отмена j
j Сгравха
(Сконфигурируйте перечисленные параметры для каждой зоны, которой
