355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 44)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 44 (всего у книги 91 страниц)

(Active Directory D o m a i n Services) и щелкните кнопку Далее (Next).

6. П р о с м о т р и т е в ы б р а н н ы е п а р а м е т р ы и щ е л к н и т е кнопку Установить

(Install).

7. Просмотрите результаты установки и щелкните кнопку Закрыть (Close).

Ваша установка выполнена.

8. Затем в Д и с п е т ч е р е сервера (Server Manager) щелкните узел Доменные

службы Active Directory (Active Directory Domain Services).

9. В панели сведений щелкните ссылку Запустите мастер установки домен-

ных с л у ж б Active D i r e c t o r y ( R u n T h e Active Directory Domain Services

Installation Wizard).

10. Запустится М а с т е р установки доменных служб Active Directory (Active

Directory Domain Services Installation Wizard). Установите флажок Исполь-

зовать р а с ш и р е н н ы й р е ж и м установки (Use Advanced Mode Installation)

и щелкните к н о п к у Далее (Next).

Эта о п ц и я позволяет создать новое дерево.

11. Просмотрите и н ф о р м а ц и ю на странице Совместимость операционных сис-

тем ( O p e r a t i n g System Compatibility) и щелкните кнопку Далее (Next).

12. На странице Выберите конфигурацию развертывания (Choose A Deployment

Configuration) выберите Существующий лес (Existing Forest) и тип конфи-

гурации Создать новый домен в существующем лесу (Create A New Domain

In An Existing Forest), установите флажок Создать новый корень доменного

дерева вместо нового дочернего домена (Create A New Domain Tree Root

Instead Of A New Child Domain) и щелкните кнопку Далее (Next).

13. На странице Сетевые учетные данные (Network Credentials) введите имя

домена treyresearch.net и щелкните кнопку Задать (Set), чтобы ввести аль-

тернативные учетные данные. Введите имя treyresearch.netAdMumcmpamop

или аналогичные имя и пароль. Щелкните ОК, а затем щелкните кнопку

Далее (Next).

14. На странице Укажите имя нового корневого домена (Name The New Domain

Tree Root) введите имя northwincltraders.com и щелкните кнопку Далее (Next).

4 3 6 Интеграция DNS с AD DS

Глава 9

15. На странице NetBIOS – имя домена ( D o m a i n N e t B I O S N a m e ) примите имя

по умолчанию и щелкните кнопку Далее ( N e x t ) .

Эта страница открывается потому, что мастер з а п у щ е н в расширенном ре-

жиме. Отметим, что это имя не содержит п о с л е д н ю ю букву S, поскольку

оно ограничено пятнадцатью с и м в о л а м и . Ш е с т н а д ц а т ы й символ всегда

резервируется системой.

16. На странице Выбор сайта (Select A Site) п р и м и т е сайт по умолчанию и щел-

кните кнопку Далее (Next). Эта страница т а к ж е о т к р ы в а е т с я по причине

того, что мастер запущен в р а с ш и р е н н о м р е ж и м е .

17. На странице Дополнительные п а р а м е т р ы к о н т р о л л е р а домена (Additional

Domain Controller Options) проверьте у с т а н о в л е н н ы й ф л а ж о к DNS-сервер

(DNS Server). Установите, ф л а ж о к Г л о б а л ь н ы й к а т а л о г (Global Catalog)

и щелкните кнопку Далее (Next).

' 18. Если вы не назначали статический IP-адрес, п о я в и т с я предупреждение об

использовании динамического IP-адреса. Щ е л к н и т е о п ц и ю Да, компьютер

будет использовать динамически н а з н а ч а е м ы й I P – а д р е с (не рекомендует-

ся) (Yes, The Computer Will Use A D y n a m i c a l l y Assigned IP Address (Not

Recommended)).

Мастер установки AD DS предупредит о н а л и ч и и существующей инфра-

структуры для этого домена. Поэтому у вас есть выбор: попытаться создать

делегирование DNS и л и пропустить его, как п о к а з а н о на рис. 9-11.

РЗ Art** DifMtoiy Domain Sciviff i !ri!t»fijti6r> WrzvJ

Oeate DNS Delegation

– i :

Ал еюУпд Dorr.*! Name System(DNS) infiastmctue lex ihe patent zone o( thli

donvan has been delected Before «hit DNS rtiastiuctuie can tesolve computet na

met

n the Лжпап. you rrvsl cieMe a DNS detonation n the paient zo

u n

s e that ports to 1

Do you wart to aea>e the DNS delegation?

Yes, aUomatcaly atempt to cieate the DNS delegation dung tto nstalabon

(J) You may be piorcrfed to «цзр1у аЛМюпЫ credentials to cieate the

DNS delegation

о No. do nt* cieate the DNS detegaton

1 Caution E«jtngco«r*>uteiion you rietivoikwl not be able to use

DNS to locate any compuleii n thn new ttomamrtil you cieate Ihe

DNS delegation

Moie about DRS ДскоУдУВ

< Back Ne*> С »nc el

Рис. 9-11. Создание делегирования DNS

19. Выберите опцию Нет, не создавать д е л е г и р о в а н и е D N S (No, Do Not Create

The DNS Delegation) и щ е л к н и т е к н о п к у Д а л е е (Next).

Этот параметр следует выбрать по п р и ч и н е того, что делегирование уже

создано вручную. Мастер не может создать это делегирование, поскольку

оно создается на DNS-сервере с к о р н е в ы м именем .com, а у вас нет права

доступа к этому серверу.

Занятие 1

Установка DNS 4"| 4 3 7

20. На странице Н а ч а л ь н ы й контроллер домена (Source Domain Controller)

установите ф л а ж о к Позволить мастеру выбрать соответствующий конт-

роллер домена ( L e t T h e Wizard Choose An Appropriate Domain Controller)

и щелкните к н о п к у Д а л е е (Next).

21. На странице Р а с п о л о ж е н и е д л я базы данных, файлов журнала и SYSVOL

(Location F o r D a t a b a s e , Log Files And SYSVOL) примите параметры по

умолчанию и щ е л к н и т е к н о п к у Далее (Next).

22. Просмотрите выбранные параметры на странице Сводка (Summary) и щелк-

ните кнопку Далее (Next). Установите флажок Перезагрузка по завершении

(Reboot On C o m p l e t i o n ) и подождите; пока будет выполняться операция.

23. После перезагрузки компьютера войдите на него с помощью новых учетных

данных (North w i n d T r a d e r s Администратор) и в Диспетчере сервера (Server

Manager) выберите узел DNS-сервер (DNS Server). Просмотрите изменения

в зонах прямого просмотра для нового доменного дерева, внесенные во время

установки AD DS. О т м е т и м , что эти данные DNS включают контейнер

только д л я дерева, но не для домена (рис. 9-12.)

Все дочерние домены, создаваемые в этом дереве, также будут создавать

делегирование и перечисляться в этой зоне.

3 Server Manager

File Action View Help

–T-IXi. • Uf~; f l i

i йк Stiver Manager (SERVEUO)

! 4 f > Role >

i U? Active Directory Domain Services

Type

Dat .j

1 л 4 DNS Server

' & DNS

| j'j _)itei

л | SERVE R20

! Щ MP

: JJ Global Logs

– 12 Forward lookup Zonei U j DomainDnsZones

j J; NorthwindTraders.com Q (same as parent folder) Start of Authority (SOA)

[19L server20.northwindtr.ij

" : I _midcj

! i (same as parent folder) Name Server (NS) server20.north»indtrad«rs:;

.те»

J j(same as parent folder) Host (A)

192.168.1.116

s Ш Jcp

server20

Host (A)

192-168.1.116

Uj DomainDnjZoneJ

Ш1 Reverie Lookup Zonei

; Conditonal Forwarder}

Рис. 9-12. Записи доменных служб Active Directory для нового доменного дерева

в существующем лесу

У п р а ж н е н и е 5. У с т а н о в к а AD DS и создание дочернего домена

В этом у п р а ж н е н и и вы используете независимый компьютер для установки

роли AD DS и создания нового дочернего домена. Упражнение выполняется на

машине S E R V E R 3 0 . После установки AD DS вы, воспользовавшись мастером

установки доменных служб Active Directory, создадите дочерний домен в лесу

Trey Research.

1. Войдите на машину S E R V E R 3 0 как локальный администратор.

2. В Диспетчере сервера (Server Manager) щелкните правой кнопкой мыши

узел Роли (Roles) и примените команду Добавить роли (Add Roles).

3. Просмотрите сведения на странице Перед началом работы (Before You

Begin) и щелкните кнопку Далее (Next).

Глава 9

4. На странице Выбор ролей сервера (Select Server Roles) мастера добавле-

ния ролей установите флажок Доменные службы Active Directory (Active

Directory Domain Services) и щелкните кнопку Далее (Next).

5. Просмотрите информацию на странице AD DS и щелкните кнопку Далее

(Next).

6. Просмотрите выбранные параметры и щ е л к н и т е к н о п к у Установить

(Install).

7. Просмотрите результаты установки и щелкните кнопку Закрыть (Close).

8. Затем в Диспетчере сервера (Server Manager) щелкните узел Доменные

службы Active Directory (Active Directory Domain Services).

9. В панели сведений щелкните ссылку Запустите мастер установки доменных

служб Active Directory (Run The Active Directory Domain Services Installa-

tion Wizard). Запустится мастер установки AD DS.

10. Щелкните кнопку Далее (Next).

11. Просмотрите информацию на странице Совместимость операционных сис-

тем (Operating System Compatibility) и щелкните кнопку Далее (Next).

12. На странице Выберите конфигурацию развертывания (Choose A Deployment

Configuration) выберите Существующий лес (Existing Forest), тип конфи-

гурации Создать новый домен в существующем лесу (Create A New Domain

In An Existing Forest) и щелкните кнопку Далее (Next).

13. На странице Сетевые учетные данные (Network Credentials) введите имя

домена treyresearch.net, а затем щелкните кнопку Задать (Set), чтобы доба-

вить соответствующие учетные данные.

14. В диалоговом окне Сетевые учетные данные (Network Credentials) введите

данные treyresearch.netAdMunucmpamop, пароль, щелкните ОК и щелкните

кнопку Далее (Next).

15. На странице Укажите имя нового корневого домена (Name The New Domain

Tree Root) введите FQDN-имя родительского домена treyresearch.net, введи-

те в поле дочернего домена имя intranet и щелкните кнопку Далее (Next).

Полное FQDN-имя должно быть intranet.treyresearch.net.

При создании глобального дочернего производственного домена ему назна-

чается соответствующее имя, например Intranet. Это имя четко указывает

пользователям, что они подключены к внутренней'защищенной сети.

16. На странице Выбор сайта (Select A Site) примите сайт по умолчанию и щелк-

ните кнопку Далее (Next).

17. На странице Дополнительные параметры контроллера домена (Additional

Domain Controller Options) проверьте установленный флажок DNS-сервер

(DNS Server). Установите флажок Глобальный каталог (Global Catalog)

и щелкните кнопку Далее (Next).

Отметим, что для этого доменного имени нет уполномоченных DNS-cep-

веров.

Занятие 1

Установка DNS 4"| 462

Если вы не н а з н а ч и л и статический IP-адрес, мастер установки AD DS

отобразит предупреждение об использовании динамического IP-адреса.

18. Щелкните опцию Да, компьютер будет использовать динамически назначае-

мый IP-адрес (не рекомендуется) (Yes, The Computer Will Use A Dynamically

Assigned IP Address (Not Recommended)).

19. На странице Р а с п о л о ж е н и е для базы данных, файлов журнала и SYSVOL

( L o c a t i o n For Database, Log Files And SYSVOL) примите параметры по

умолчанию и щ е л к н и т е кнопку Далее (Next).

20. На странице П а р о л ь администратора для восстановления служб каталогов

(Directory Services Restore Mode Administrator Password) введите строгий

пароль, подтвердите его и щелкните кнопку Далее (Next).

21. Просмотрите выбранные параметры на странице Сводка (Summary) и щелк-

ните к н о п к у Д а л е е (Next).

Отметим, что в данном случае мастер создает делегирование DNS для это-

го домена (рис. 9 – 1 3 ) . П р и ч и н а состоит в том, что родительский домен

уполномочен для зоны treyresearch.net и поэтому может создать корректное

делегирование для дочернего домена.

A

&

f

o

W Option,

A

e

a

d

o

n

V dcmaai cewoler. Но

*±oj Vn

D

N

S Servei Ye,

OeateDtJS Deletion– Ye,

Seuce

d

M

w

e

i conutie: .Metis

d

o

m

e

m eotftolef

DSAaielcJJet

C

W

W

o

«

V

N

T

D

S

tog HeloWet: С WrdowiWIDS

?™L fddat С

W

r

d

o

w

,

W

>

S

V

O

L

Tochsye an

W

o

n ok* Back. To be^i Ihe

с

с

Д

О

ю

п

. ck* KM

Tt«e uylr^i can ba eqmted to an пм He to un

otttoturailet*iml«»iatwn

M

o

t

e a«ut '

Рис. 9-13. Результаты установки доменных служб Active Directory

22. Установите ф л а ж о к Перезагрузка по завершении (Reboot On Completion)

и подождите, пока будет выполняться операция.

23. После перезагрузки компьютера войдите на него с помощью новых учетных

данных (TreyResearchAflMHHiicTpaTop) и в окне Диспетчер сервера (Server

Manager) перейдите на узел DNS-сервер (DNS Server).

24. Просмотрите изменения, внесенные в зоны прямого просмотра при уста-

новке AD DS. В данных DNS только одна секция влияет на этот отдельный

домен, как показано на рис. 9-14. Если вернуться к машине SERVER10, вы

увидите, что в зоне прямого просмотра treyresearch.net для этого дочернего

домена создано новое делегирование DNS (серый значок вместо желтого).

f 4 4 0 Интеграция DNS с AD DS

Глава 9

jb Managtr

Wt Acton View Help

«•<•' • x в О П 5

' 3s, Server Manager (S£RVIR30)

j ' jp Rolei

> Active Directory Domain Service» 1 Nam,

Type

Data

< £ DNS Server

HS.mjdc»

л Л 0NS

•! Л _»йе»

, | SJRVJR30

У-xJcp

У Global logi

i: J.udp

* Forward Lookup Zone»

.,.' OomainDniZonei

4 blrantl.Treyfintaich.ntt 1; f3(»ame a» parent folder) Start of Authority (SOA) |52L »erver30.intranet.ri;;

• ,m»dc>

!j О (»ame at parent folder) Name Server (NS)

»erver30.intraneUreyrei^:

_>ite»

! j -}(»ame ai parent folder) Ho»t (A)

192.168.1.109

>-up

' i О (>»me ai parent folder) Host (A)

192.168.1.118

_udp

ij , ;j»erver30

Ho»t (A)

192.168.1.109

s DomamDniZone»

Ho »t (A)

192.168.1.118

• ;_3 Reverie lookup Zone»

' Conditonal Forwarder»

Рис. 9-14. Записи служб AD DS для нового дочернего домена в существующем лесу

Резюме

• Система разрешения имен DNS использует и е р а р х и ч е с к у ю структуру имен

для сопоставления IP-адресов с и м е н а м и F Q D N в ф о р м а т е объект.про-

странство_имен.корневое_имя.

• В AD DS также используется иерархическая структура. Структура леса AD

DS полностью основана на иерархической с т р у к т у р е D N S .

• Поскольку Windows Server 2008 п о д д е р ж и в а е т I P v 6 , а структура IPv6 по

умолчанию устанавливается с л о к а л ь н ы м и а д р е с а м и каналов, DNS-сервер

в Windows Server 2008 поддерживает 128-битовый ф о р м а т адресов IPv6.

• DNS-сервер может управлять т р е м я т и п а м и зон. О с н о в н ы е зоны с правом

чтения и записи содержат данные для п о д д е р ж к и р а з р е ш е н и я имен отдель-

ного именного пространства. Д о п о л н и т е л ь н ы е з о н ы с правом только для

чтения содержат копию основной зоны. З о н ы – з а г л у ш к и – это указатели

на другие DNS-серверы и содержат л и ш ь серверы, уполномоченные для

именного пространства, на которое у к а з ы в а ю т . К а ж д ы й тип зон можно

интегрировать в AD DS д л я х р а н е н и я в базе д а н н ы х каталогов.

Закрепление материала

Следующие вопросы можно использовать д л я п р о в е р к и знаний, полученных

на занятии 1. Эти же вопросы есть и на с о п р о в о д и т е л ь н о м компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на зти вопросы с пояснениями, почему тот или иной вариант ответа является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Вы являетесь администратором в компании Contoso, Ltd. Ваша организация

приняла решение переходить на п л а т ф о р м у W i n d o w s Server 2008 и вам,

вместо того чтобы обновить существующую инфраструктуру, поручено со-

здать новую реализацию серверов. После создания новой инфраструктуры

вы переместите все данные (учетные записи, параметры служб каталогов

и т. д.) в новый лес, который реализуете с помощью Windows Server 2008.

Занятие 2

Настройка и использование DNS 45-1

Вы д о л ж н ы описать начальную структуру леса. Этот лес содержит кор-

невой домен, глобальный дочерний производственный домен и доменное

дерево. Л е с именуется с расширением .net, а доменное дерево использует

расширение .ms в производственном лесу. Вы успешно создаете корневой

домен леса и дочерний домен, однако, приступив к доменному дереву, об-

наруживаете, что не можете локализовать его параметр. В чем причина?

A. Вы не можете создать доменное дерево с помощью мастера установки

доменных служб Active Directory. Д л я этого нужно использовать инс-

трумент к о м а н д н о й строки Dcpromo.exe.

Б. Вы не использовали соответствующие учетные данные при входе в систему.

B. Н е о б х о д и м о в е р н у т ь с я иа страницу приветствия мастера и выбрать

р а с ш и р е н н ы й р е ж и м его работы.

Г. И с п о л ь з у е м ы й сервер не является членом корневого домена леса.

2. Вы я в л я е т е с ь а д м и н и с т р а т о р о м в компании Contoso, Ltd. Ваша органи-

зация п р и н я л а р е ш е н и е переходить на платформу Windows Server 2008

и вам поручено создать новую реализацию серверов вместо обновления

существующей и н ф р а с т р у к т у р ы . После создания новой инфраструктуры

вы переместите все данные (учетные записи, параметры служб каталогов и

т. д.) в новый лес, к о т о р ы й реализуете с помощью Windows Server 2008. Вы

д о л ж н ы описать начальную структуру леса. Этот лес содержит корневой

домен, глобальный дочерний производственный домен и доменное дерево.

Л е с именуется с р а с ш и р е н и е м .net, а доменное дерево использует расши-

рение .ms в производственном лесу. Вы успешно создаете корневой домен

леса и дочерний домен, однако, приступив к доменному дереву, обнаружи-

ваете, что не можете создать делегирование независимо от используемых

параметров и учетных данных. В чем причина? (Укажите все варианты)

A. Д л я создания делегирования необходимо использовать расширенный

режим работы мастера.

Б. Перед созданием доменного дерева нужно создать делегирование вруч-

ную.

B. Вы д о л ж н ы дать у к а з а н и е мастеру создать делегирование во время

с о з д а н и я доменного дерева и обеспечить соответствующие учетные

данные.

Г. Вы должны дать указание мастеру пропустить создание делегирования

во время создания доменного дерева.

Д. Вы д о л ж н ы создать делегирование вручную после создания доменного

дерева.

Занятие 2. Настройка и использование DNS

При установке роли DNS-сервера вам не потребуется вместе с AD DS конфи-

гурировать много параметров. З о н ы прямого просмотра FLZ создаются авто-

матически, репликация конфигурируется автоматически с помощью системы

репликации AD DS с множеством равноправных участников (Multimaster),

и вам даже не нужно добавлять записи, поскольку все компьютерные системы

f 4 4 2 Интеграция DNS с AD DS

Глава 9

не ниже Windows 2000 могут регистрировать и о б н о в л я т ь свои записи с помо-

щью динамических обновлений DNS в AD DS.

Однако некоторые операции автоматически не в ы п о л н я ю т с я . Например,

конфигурация DNS-сервера по умолчанию не в к л ю ч а е т з о н ы обратного про-

смотра RLZ. Их нужно вручную добавлять для п о д д е р ж к и обратного просмот-

ра. Кроме того, для DNS-сервера требуется з а в е р ш е н и е конфигурации. В част-

ности, его нужно настроить для поддержки очистки записей и автоматического

удаления устаревших записей.

Неплохо также ознакомиться с п о л н ы м с о д е р ж и м ы м D N S и обеспечить

соответствие всех данных и значений р е а л ь н ы м т р е б о в а н и я м .

Изучив материал этого занятия, вы сможете:

S Завершить конфигурацию DNS-серверов.

S Администрировать DNS-серверы и репликацию DNS.

Продолжительность занятия – около 40 мин.

Настройка DNS

В процессе настройки DNS в ы п о л н я ю т с я с л е д у ю щ и е действия:

• анализ безопасности DNS-серверов с ц е л ь ю с н и ж е н и я ф р о н т а атак;

• настройка параметров очистки сервера;

• завершение настройки зон прямого п р о с м о т р а FLZ;

• создание зон обратного просмотра RLZ;

• добавление настраиваемой записи в з о н ы F L Z д л я конкретных служб и ре-

сурсов.

Кроме того, нужно обеспечить к о р р е к т н у ю р е п л и к а ц и ю данных DNS.

Анализ безопасности роли D N S – с е р в е р а

DNS-серверы в Интернете представляют б о л ь ш о й интерес для злонамеренных

пользователей. Ч а щ е всего на эти с е р в е р ы о с у щ е с т в л я ю т с я атаки, провоци-

рующие отказ в о б с л у ж и в а н и и D o S ( D e n i a l – o f – S e r v i c e ) , когда служба DNS

переполняется огромным количеством запросов, в результате чего не может

отвечать на подлинные запросы. Е щ е один р а с п р о с т р а н е н н ы й тип атаки за-

ключается в том, что з л о у м ы ш л е н н и к п ы т а е т с я п о л у ч и т ь все данные DNS-

сервера, чтобы использовать их для и д е н т и ф и к а ц и и объектов в сети. Эта атака

называется получением сетевых следов ( f o o t p r i n t i n g t h e network). В еще двух

типах атак осуществляются п о п ы т к и м о д и ф и к а ц и и д а н н ы х DNS-сервера и

перенаправления пользовательских запросов с подлинного DNS-сервера на

еще один DNS-сервер, который к о н т р о л и р у е т с я злоумышленниками. Обычно

такие атаки предпринимаются путем м о д и ф и к а ц и и данных DNS в кэше DNS.

Помните, что для повышения скорости ответов на запросы DNS использует

кэширование в памяти. В случае м о д и ф и к а ц и и этих данных пользователи могут

получать недействительные ответы на свои запросы.

Занятие 2

Настройка и использование DNS 45-1

В связи с этим важно применять меры безопасности к установке DNS. При

использовании неразделенного типа конфигурации DNS и интеграции DNS с

AD DS во внутренней сети внутренние DNS-серверы менее уязвимы к атакам,

поскольку не используют именное пространство совместно с внешним миром и

поэтому защищены от внешнего доступа брандмауэрами, которые не разрешают

внешним пользователям получать доступ к внутренним DNS-серверам. Это не

означает, что внутренние серверы не нуждаются в защите. Всегда существует

угроза того, что н е с а н к ц и о н и р о в а н н ы й пользователь может подключиться к

сети через проводное и л и беспроводное подключение. Поэтому рекомендуется

тщательно проверять незнакомцев, прежде чем разрешить им доступ в сеть.

Р а с с м о т р и м б е з о п а с н о с т ь в н у т р е н н и х и внешних DNS-серверов. Когда

серверы р а з м е щ е н ы во внешней сети или в периметре сети, для них нужно

обеспечить в ы с о к и й уровень безопасности. Один из неплохих методов защиты

состоит в использовании во внешней сети лишь дополнительного или подчи-

ненного сервера. Затем можно отконфигурировать обновления зон только от

известных источников, в к л ю ч е н н ы х в DNS.

Во в н у т р е н н и х сетях с в я ж и т е роль DNS-сервера с ролыо контроллера до-

мена и отконфигурируйте только поддержку безопасных динамических обнов-

лений, чтобы избежать получения и передачи ошибочных данных. Регулярно

проверяйте данные D N S и отслеживайте журналы событий DNS для быстрой

и д е н т и ф и к а ц и и потенциальных неполадок.

СОВЕТ К ЭКЗАМЕНУ

Сертификационный экзамен 70-640 посвящен использованию DNS вместе с AD

DS. По этой причине в темы экзамена не включены внешние и независимые DNS-

серверы. Если вам нужно отконфигурировать внешний DNS-сервер, информацию о

безопасности DNS можно найти по адресу http://technet2.microsoft.com/windowsserver/

en/library/fea46d0d-2de7-4da0-9c6f-2bb0ae9ca7e91033.mspx?mfr=true.

Параметры DNS-сервера

Записи имен хранятся в DNS определенный период времени. Каждой записи

имени назначается время ж и з н и T T L (Time То Live). По его окончании запись

должна быть удалена, чтобы не генерировать ошибочные результаты для поль-

зователей. В W i n d o w s Server 2008 сервер DNS может выполнять эту задачу

автоматически, путем очистки сервера или зон. Очистка, применяемая к сер-

веру, выполняется во всех активных зонах на сервере. В случае ее применения

к отдельной зоне выполняется л и ш ь очистка записей зоны.

Настройк а очистки д л я в с е х зои Д л я того чтобы отконфигурировать очист-

ку для всего сервера, этот параметр необходимо назначить в меню действий

сервера.

1. В узле DNS-сервер ( D N S Server) Диспетчера сервера (Server Manager) щелк-

ните правой кнопкой мыши и м я сервера и примените команду Установить

свойства очистки д л я всех зон (Set Aging/Scavenging For All Zones).

2. Установите флажок Удалять устаревшие записи ресурсов (Scavenge Stale

Resource Records).

f 444

Интеграция DNS с AD DS

Глава 9

Интервал блокирования (No-Refresh Interval) указывает время между мо-

ментами последнего обновления штампа в р е м е н и з а п и с и и повторным

обновлением штампа времени. Интервал о б н о в л е н и я ( R e f r e s h Interval)

указывает промежуток между самым ранним обновлением штампа времени

записи и самым ранним временем начала очистки записи. Д л я большинства

сетей значение 7 дней по умолчанию вполне приемлемо.

3. Примите значения по умолчанию и щелкните О К .

4. Поскольку вы задаете значения для существующих зон, DNS также поз-

воляет задавать их для любой создаваемой зоны, в к л ю ч а я интегрирован-

ные зоны Active Directory. Установите ф л а ж о к П р и м е н и т ь эти параметры

к существующим зонам, интегрированным в Active Directory (Apply These

Settings To The Existing Active Directory-Integrated Zones) и щелкните ОК.

Ваши зоны DNS отконфигурированы для удаления устаревших записей.

Примените эти параметры к каждому DNS-серверу в сети. Задайте эти парамет-

ры как конфигурацию по умолчанию для DNS-серверов. П р и необходимости в

модификации параметра отдельной зоны нужно использовать диалоговое окно

Свойства (Properties) этой зоны. Чтобы выполнить очистку зоны, на вкладке

Общие (General) диалогового окна свойств зоны щ е л к н и т е к н о п к у Очистка

(Scavenging).

В контекстном меню сервера также можно вручную инициировать очис-

тку, выполнив команду Удалить устаревшие записи (Scavenge Stale Resource

Records). Эту операцию можно применять и при обнаружении того, что серверы

пересылают устаревшие данные.

В случае обнаружения устаревших записей т а к ж е м о ж н о использовать

команду контекстного меню Очистить кэш (Clear Cache). Поскольку для по-

вышения производительности DNS-сервер интенсивно использует кэш в па-

мяти, вы можете удалить устаревшие записи из базы данных, но они все равно

останутся в кэше, генерируя ошибочные результаты.

Завершение настройки зон прямого просмотра ( F L Z ) В диалоговом окне

Свойства (Properties) зоны прямого просмотра для каждой зоны можно задать

несколько параметров. Проанализируйте их и отконфигурируйте следующие

параметры для каждой производственной зоны D N S в соответствии с реко-

мендациями.

• На вкладке Общие (General) убедитесь, что каждая в н у т р е н н я я зона DNS

интегрирована в Active Directory, использует корректную область репли-

кации и поддерживает только безопасные динамические обновления.

• Зоны DNS домена должны реплицироваться на все DNS-серверы в до-

мене. Эту зону включает каждый контроллер домена с ролью DNS.

• Зоны DNS леса должны реплицироваться на все DNS-серверы в лесу,

о Если в сети поддерживаются контроллеры домена Windows 2000 Server,

нужно использовать параметр Для всех контроллеров домена в этом доме-

не (для совместимости с Windows 2000) (То All Domain Controllers In This

Domain (For Windows 2000 Compatibility)), поскольку в Windows 2000

Server разделы каталогов приложений не поддерживаются.

Занятие 2

Настройка и использование DNS 45-1

Выберите, к з к т сбраэсм следует сеглмикровать информацию зоны.

С Для eceicDt-S-cepeepoee атом лесу: tieyTesearcii.nei

(• Для ecexDNS-cepeepoeesrTon домене: treyfesetrth.net

С Для веек ломгроллеров д смена s угон доиене (для совместимости с Windows

2DCO): deyreseatch.net

• Репликацию также можно задать для настраиваемых разделов каталогов

приложений, однако вначале нужно создать каталог.

• На вкладке Серверы имен (Name Servers) убедитесь, что каждая зона DNS

включает хотя бы два сервера имен. Аналогично созданию двух контрол-

леров, для каждого домена рекомендуется создать по два DNS-сервера для

каждой зоны.

• На вкладке W I N S назначьте просмотр WINS только в том случае, если вы

не можете использовать зоны GNZ (GlobalNames Zone) и вам необходимо

развернуть WINS. Процесс управления именами из одной метки описан

далее.

• На вкладке Передачи зон (Zone Transfers) укажите серверы имен, которым

разрешено передавать данные зон для запросов. Если эта зона интегриро-

вана с Active Directory, передачи зон не требуются. В основном эта вкладка

используется для традиционных DNS-серверов.

• На вкладке Безопасность (Security) просмотрите параметры безопасности

по умолчанию. Эти параметры имеют соответствующую конфигурацию для

большинства сетей, однако при настройке очень высокого уровня безопас-

ности их следует пересмотреть и модифицировать.

• Последней здесь является вкладка Начальная запись зоны (SOA). Записи

SOA идентифицируют зону и связанную с ней информацию, такую, напри-

мер, как владелец, оператор, графики обновления и т. д. Указанные записи

содержат следующие сведения.

о Серийный номер (Serial Number), назначаемый при создании зоны.

В случае необходимости этот номер можно увеличить,

о Основной сервер (Primary Server), который является мастер-сервером

для этой зоны. Обычно это сервер, где изначально создавалась зона.

• Ответственное лицо (Responsible Person), указывающее имя опера-

тора этого сервера. Обычно для него используется стандартный тер-

мин, например Hostmaster или Operations. По умолчанию в Windows

Server 2008 назначается имя hostmaster.uMM_dns_3oHbi с FQDN-именем

зоны. Записи Ответственное лицо (Responsible Person) основаны на

записях RP (Responsible Person), которые не создаются по умолчанию.

f 446

Интеграция DNS с AD DS

Глава 9

Создайте соответствующую запись RP для каждой зоны и л и хотя бы

для каждого мастер-сервера DNS и назначьте ей это значение.

• Начальная запись SOA, где перечислены р а з л и ч н ы е интервалы и па-

раметры времени, включая параметры Интервал обновления (Refresh

Interval), Интервал повтора ( R e t r y I n t e r v a l ) , С р о к истекает после

(Expires After) и М и н и м а л ь н ы й срок ж и з н и T T L ( п о у м о л ч а н и ю )

(Minimum (Default) TTL). Для большинства типов записи можно ис-

пользовать значения по умолчанию.

• Последним значением начальной записи SOA я в л я е т с я Срок жизни

(TTL) записи (TTL For This Record). Отметим, что ему присваивается

то же значение, что и параметру М и н и м а л ь н ы й срок ж и з н и T T L (по

умолчанию) (Minimum (Default) TTL), названному раньше в этом диа-

логовом окне.

и и и и и •

Сврверхим-аи | W1HS 1 Пеоеагчи зо

1 с е к о о о о с т * 1

Обшив

Начагъмаи заг wo. so*., {SOAJ

номер.

F

У&елметъ J

Ооюеиой сервер

JwrterOl corto» com

Оваср |

Ответствен»*» ivu> (RP – Reipans&le Penon'/.

jhoflmeslef cortoso.corv

| Обзд. |

Интервал обновления

| § р

Иитеовал повтора

S M V

zi

Срок истекает после

Г " i– zJ

Мин с р о к э о а ^ и Т П у ю

Wl.

умотна^ес)

Срок жизни (ТТЦ h

1 о а

у ш д а ч ч . м м сх>

•VMCti: Г

ОК

Отмена j

j Сгравха

(Сконфигурируйте перечисленные параметры для каждой зоны, которой


    Ваша оценка произведения:

Популярные книги за неделю