Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 45 (всего у книги 91 страниц)

управляете на DNS-серверах.

Создание записи ответственного лица Как мы уже говорили, каждой зоне

нужно назначить Ответственное лицо (Responsible Person, RP). Это означает,

что в конфигурации DNS должна присутствовать хотя бы одна запись RP. Для

создания записи используйте контекстное меню зоны, которая будет управлять

этой записью. Помните, что для создания записи потребуются различные эле-

менты, описанные далее.

• Общее имя группы Будет отображаться в записи.

• Почтовый ящик группы в каталоге Д л я своевременной доставки сообще-

ний по этому адресу лучше всего использовать почтовый ящик.

• Текстовое примечание для записи ответственного лица Может содержать

информацию об организации в ее политиках управления DNS.

Для создания записи RP используйте следующую процедуру. Начните с за-

писи Текст (Text).

1. Щелкните правой кнопкой мыши имя зоны и примените команду Другие

новые записи ( O t h e r New Records).

2. В списке Выбор типа записи ресурса (Select A Resource Record Туре) най-

дите запись Текст (Text) ( T X T ) и щелкните кнопку Создать запись (Create

Record).

3. В диалоговом окне Новая запись ресурса (New Resource Record) введите

имя записи, например Disclaimer, и перейдите к полю Текст (Text).

4. Введите свое сообщение. Щелкните О К, чтобы создать запись. После этого

вы вернетесь к диалоговому окну Тип записи ресурса (Resource Record

Type).

Это окно должно содержать информацию о вас и вашем управлении DNS.

Текст сначала набирается в текстовом редакторе, а затем вставляется в это

диалоговое окно.

5. В списке Выбор типа записи ресурса (Select A Resource Record Туре) най-

дите тип записи Ответственное лицо (PR) (Responsible Person (PR)) и щелк-

ните команду Создать запись (Create Record).

6. В диалоговом окне Новая запись ресурса (New Resource Record) введите

имя записи в текстовое поле Узел или домен (Host Or Domain), например

Operations, и щелкните кнопку Обзор (Browse), чтобы локализовать поч-

товый ящик ответственного лица. Вы также можете ввести адрес.

7. Щелкните кнопку Обзор (Browse), чтобы локализовать новую созданную

текстовую запись (необязательное примечание). Найдите зону, с которой

работаете, локализуйте и выберите в ней запись. Щелкните ОК.

8. Щелкните ОК, чтобы создать запись. Щелкните кнопку Готово (Done), что-

бы закрыть диалоговое окно Типы записи ресурса (Resource Record Type).

9. Вернитесь к диалоговому окну Свойства (Properties) или дважды щелкните

запись Начальная запись зоны (Start Of Authority), чтобы назначить запись

PR для начальной записи зоны SOA.

Выполните эти операции для каждой зоны, которой управляете. Всегда

лучше полностью отконфигурировать зону, чем заниматься этим во время

устранения неполадок, когда в зоне не откоифигурированы параметры.

Создание зон обратного просмотра

: Небольшим сетям, скажем до 500 компьютеров, могут и не требоваться зоны

обратного просмотра RLZ (Reverse Lookup Zone). Эти зоны необходимы для

разрешения IP-адреса в имя, а не имени в IP-адрес. Такие зоны чаще всего

используются приложениями. Например, защищенное веб-приложение приме-

няет обратный просмотр, чтобы подтвердить подлинность подключившегося

компьютера. Если в вашей сети нет таких приложений, зоны обратного про-

смотра вам не понадобятся.

Однако клиенты, которые могут динамически обновлять свои записи DNS,

также создают запись указателя PTR, который сопоставляет IP-адрес с именем

f 448 Интеграция DNS с AD DS

Глава 9

и пытается сохранить его в зоне обратного просмотра (RLZ), соответствующей

зоне прямого просмотра (FLZ), где локализована запись. Если зоны обратного

просмотра не существуют, эти записи никогда не генерируются.

К СВЕДЕНИЮ Принцип динамических обновлений

Более подробную информацию о работе динамических обновлений можно найти

по адресу http://technet2.microsoft.com/windowsserver/en/libraiy/e760737e-9e55-458d-

b5ed-a1ae9e04819e1033.mspx?mfr=ttve.

Если вам необходимы зоны обратного просмотра ( R L Z ) , создайте их для

соответствующих зон прямого просмотра ( F L Z ) . Создайте зону для каждой

именованной зоны FLZ. В реализации DNS с интеграцией в Active Directory

зона обратного просмотра создается для каждой D N S – з о н ы домена. В лесу из

множества доменов нужно создать зону RLZ для.зоны корневого домена, всех

дочерних доменов и всех доменных деревьев. И с п о л ь з у й т е для этого следую-

щую процедуру.

1. В узле DNS-сервер ( D N S Server) Диспетчера сервера ( S e r v e r Manager)

выберите секцию Зоны обратного просмотра (Reverse Lookup Zones).

2. Щелкните правой кнопкой контейнер З о н ы обратного просмотра и приме-

ните команду Создать новую зону (New Zone).

3. Просмотрите информацию в окне приветствия и щ е л к н и т е к н о п к у Далее

(Next).

4. Выберите тип Основная зона (Primary Zone), установите флажок Сохранять

флажок в Active Directory (Store The Zone In Active Directory) и щелкните

кнопку Далее (Next).

5. Поскольку зоны обратного просмотра привязаны к конкретному доменному

имени, выберите область репликации Д л я всех DNS-серверов в этом домене

(То All DNS Servers In This Domain) и щ е л к н и т е к н о п к у Далее (Next).

6. На странице Имя зоны обратного просмотра (Reverse Lookup Zone Name)

выберите IPv4 или IPv6 и щелкните кнопку Далее (Next).

Помните, что в обратном просмотре IP-адрес сопоставляется с именем. Вы

должны создать зону обратного просмотра для типа IP-адресации, исполь-

зуемой в сети. Если вы используете I P v 4 и IPv6, нужно создать две зоны.

Имя зоны генерируется на следующей странице. Вид этой страницы зависит

от используемой версии IP.

7. Если вы используете IPv4, введите ID сети для зоны. Отметим, что при

вводе сетевого адреса имя генерируется автоматически в н и ж н е й части

страницы в секции Имя зоны обратного просмотра (Reverse Lookup Zone

Name).

8. Щелкните кнопку Далее (Next).

Если вы используете IPv6, одновременно можете добавить до восьми зон.

Помните, что ареса IPv6 используют шестнадцатеричный формат. Напри-

Занятие 2

Настройка и использование DNS 45-1

мер, е с л и вы и с п о л ь з у е т е в с е т и л о к а л ь н ы е а д р е с а узла, можете ввести

а д р е с н у ю о б л а с т ь / е 8 0 : : / 6 4 . П р и э т о м в с е к ц и и З о н ы обратного просмотра

( R e v e r s e L o o k u p Z o n e s ) с т р а н и ц ы а в т о м а т и ч е с к и генерируется имя зоны.

Е с л и в а м н у ж н а т о л ь к о о д н а з о н а , п е р е х о д и т е к с л е д у ю щ е й странице.

х|

Имя зоны обратного просмотра

Зона обратного просмотра отображает IP-адреса в DNS-tmeHa.

Для именования зоны обратного проснотра с автоматическим созданием имен зон

введите префикс IPv6-адресов. 8 зависимости от введенного префикса может

быть создано до 8 юн.

Префикс lPv£-aapecoe:

J fe80::/64

Зоны обратного просмотра

0 0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.p6.arpa

< Цазад | Далее > | Отмена

9. На с л е д у ю щ е й с т р а н и ц е в ы б е р и т е т и п д и н а м и ч е с к о г о обновлення, который

х о т и т е р а з р е ш и т ь . В б о л ь ш и н с т в е с л у ч а е в следует выбирать опцию Раз-

р е ш и т ь т о л ь к о б е з о п а с н ы е д и н а м и ч е с к и е о б н о в л е н и я (Allow Only Secure

D y n a m i c U p d a t e s ) . Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . Щ е л к н и т е кнопку Го-

тово ( F i n i s h ) , ч т о б ы с о з д а т ь з о н у

Динамическое обновление

Можно разрешить зтои DNS-зоне принимать безопасные или небезопасные Щ "

динамические обновления или запретить их.

Дима»«ческие обновления позволяют DNS-клиентам регистрироваться и

динажмески обновлять свои sarwoi ресурсов на DNS-сервере при и» изменении.

Выберите нужный тип динашчеосого обновления:

(* Разрешить только безопасные динамические обновления (ресоменд. для АО)

>та возможность доступна только для зон, интегрирован*** с Active Directory.

С Разрешить любые динамические обновления

Динамические обновления могут выполняться любьн юыемтон.

Этот параметр опасен, поскольку обновления могут быть получены от

1 источников, не заслуживающих доверия.

Г Запретить динамические обновления

Динамические обновления записей ресурсов не приминаются этой зоной.

Необходимо выполнить обновлена врущую.

I С о з д а н н ы е з о н ы н а ч и н а ю т о б е с п е ч и в а т ь поддержку управления записями

при в ы п о л н е н и и следующего д и н а м и ч е с к о г о обновления в клиентских системах.

450

Интеграция DNS с AD DS

Глава 9

СОВЕТ К ЭКЗАМЕНУ

' Попрактикуйтесь в работе с зонами и их свойствами, поскольку они являются важ-

ной темой сертификационного экзамена 70-640.

Контрольные вопросы

1. Почему на DNS-сервере нужно конфигурировать очистку записей?

2. В каких случаях необходимо создавать зоны обратного просмотра?

Ответы на контрольные вопросы

1. Каждой создаваемой записи имени DNS назначается время жизни TTL (Time

То Live). Это значение определяет срок действия информации в записи.

Если запись не обновляется, она устаревает. В процессе оценки и очистки на

DNS-сервере устаревшие записи удаляются автоматически с целыо снижения

вероятности ошибочных ответов на пользовательские запросы данных DNS-

сервера.

2. Зоны обратного просмотра чаще всего используются для безопасных веб-

приложений, которые должны проверить IP-адреса систем, с которыми свя-

зываются. Если в сети нет таких приложений, зоны обратного просмотра не

нужны.

Создание настраиваемых записей

Последний этап настройки конфигурации DNS-сервера состоит в создании

настраиваемых записей для зон прямого просмотра. Н а с т р а и в а е м ы е записи

создаются вручную и определяют различные службы в сети. Далее описаны

ситуации, когда создаются настраиваемые записи.

• Запись MX, указывающая почтовые серверы.

• Запись псевдонима, например intranet.имя_домеиа, для у к а з а н и я фермы

серверов Office SharePoint Server, п о д д е р ж и в а ю щ е й совместную работу

в сети.

• Записи SRV для различных служб в сети. Например, для развертывания

Microsoft Office Communication Server нужно создать записи SIP.

Со временем вы определите, какие настраиваемые записи вам нужны. Во

внутренней сети записи редко создают вручную, так как клиентские системы

инициируют динамический процесс обновления.

СОВЕТ К ЭКЗАМЕНУ

Попрактикуйтесь в создании записей, поскольку это также является важной темой

сертификационного экзамена 70-640.

Серверы пересылки и корневые ссылки

Разрешение имен выполняется с помощью двух основных методов. DNS-сер-

веры либо содержат корневые ссылки, позволяющие идентифицировать и ло-

кализовать DNS-серверы, уполномоченные для корневых имен, либо исполь-

Занятие 2 Настройка и использование DNS 45-1

зуют серверы пересылки для перенаправления на еще один сервер, который

осуществляет просмотр.

По умолчанию DNS-сервер Windows использует для просмотра корне-

вые ссылки. Это означает, что если пользователям нужно выполнить поиск в

Интернете, DNS-серверы будут связываться с серверами имен. В небольших

организациях такая модель вполне приемлема, поскольку даже если ваши DNS-

серверы открывают себя, непосредственно связываясь с Интернетом, подклю-

чение инициируют именно ваши серверы. Внешние системы только реагируют

на инициируемое подключение, но не могут инициировать его сами.

Тем не менее в сетях с высоким уровнем безопасности вместо корневых

ссылок могут применяться серверы пересылки. Например, в периметре сети

можно разместить два независимых DNS-сервера и связать внутренние DNS-

серверы с этими серверами через брандмауэры. Когда внутреннему серверу

нужно разрешить и м я Интернета, он связывается с серверами, расположен-

ными в периметре, и запрашивает выполнение поиска имени. Таким образом,

с внешним миром будут связываться только защищенные независимые серверы,

расположенные в периметре сети.

Серверы пересылки конфигурируются в свойствах DNS-сервера на вкладке

Пересылка (Forwarders) диалогового окна Свойства (Properties) сервера DNS,

показанной на рис. 9-15. Когда серверы пересылки конфигурируются из сообра-

жений безопасности, сбросьте флажок Использовать корневые ссылки, если нет

доступных пересылок (Use Root Hints Option If No Forwarders Are Available),

поскольку в противном случае, если серверы в периметре сети не отвечают,

внутренние DNS-серверы будут напрямую связываться с Интернетом.

иы'-ьми. !.'• ТМГГГНГ" jj«j

i Чорывяыа сыпки I бвванпа журима отладки

Ж,р«ал событий I Набшодйниа j Безопасность

ЛттврсеЛсы Пересылка j Лолсгнительно

Л(ева*ткняаЛяюТсрО,Аз-с«рввра>»..которь.ед»«имДсервер

мо»атиспопьзомтъ для разрешения DNS-залросов длвзумсад,

которые не могут быть pcjrtffc. де^пт-. серзесо-

Г IP-адрес I Сервер MDN I

1S2.16S.012 SERVERIO

к 132 1&8152 А сЛствнтка разрешении .

(7 Матогьасаатькорне«*»е ссылки всяинвт ) Изменить I

достут^шхпереоылск '

Пр»печ1н»в Если для саыееъ амиенэ wee Делены клееные

гтесвсы,ки, они б,дут использоваться вместо пересылок на троена

сервере* ЧтрСы создать иты просмотреть условна тчеесылки

пврейлпвнаузвл 'ОсверыусловтР. пеевсыяот' в дерева

вадаспй

ОК ) Отмене j Пр,*миить j Справка

Рис. 9-15. Настройка пересылки в DNS

В конфигурации DNS также можно использовать условную пересылку.

Условные пересылки используются для направления запросов с конкретными

452

Интеграция DNS с AD DS

Глава 9

I условиями. Например, с помощью условных пересылок можно связывать два

| пространства имен только в том случае, когда пользователь запрашивает от-

I дельное имя.

' Рассмотрим следующий сценарий. Ваша сеть охватывает два леса. Пер-

вым является производственный лес, который содержит учетные записи всех

пользователей организации. Второй лес, особый, был создан для тестирования

интеграции сторонних приложений со схемой леса AD DS перед развертыва-

нием в производственном лесу. Поскольку схема леса меняется, вы не можете

связать леса с помощью доверительной связи лесов. Поэтому вы создаете в

каждом лесу условные пересылки, чтобы пользователи в производственном

домене, по большей части являющиеся разработчиками и профессионалами

IT, могли связываться с лабораторным доменом.

Для условных пересылок в конфигурации DNS-сервера предусмотрен от-

дельный контейнер.

1. Чтобы создать условную пересылку, щелкните правой кнопкой мыши узел

Серверы условной пересылки (Conditional Forwarders) и примените коман-

ду Создать условную пересылку (New Conditional Forwarder).

2. Введите имя домена DNS, для которого хотите создать пересылку.

3. Щелкните строку <Щелкните здесь, чтобы добавить IP-адрес или DNS-

имя> ( ) и введите IP-адрес

сервера.

Ш

IP-адресе основах серверов:

IP-адрес

I Сервер f QDN

I Проверка выполнена

сЩежжтс здесь, чтобы добавить IP-адрес или DNS-имя >|

17 Сохранять условную лересыжу в Active Director у и реплицировать ее следующим образом:

(все DNS-cepeepbi в этом домене {

, Не будет выполняться репликация на Dffi-cepeepoi, являсшиеся

' контроллерами домена с ОС ад Wndowt Server 20QS

Зреия ожидали лерешл«л (сек): 15

Полное доменюе имя сермра будет недоступно, ее ли не настроены соответствующие зоны

обратного проо«отрд и записи.

ш Ш . OX j Отмена

4. Добавьте в список хотя бы два сервера.

5. Рекомендуется сохранить условную пересылку в Active Directory и опре-

делить область репликации для пересылки. Щ е л к н и т е ОК.

В предыдущем примере данные реплицируются только в производствен-

ный домен, так как их не нужно реплицировать во всем лесу. В других случаях

может возникнуть необходимость в репликации этих данных во всем лесу.

Занятие 2

Настройка и использование DNS 45-1

Отметим, что при создании условной пересылки для домена в узле Серве-

ры условной пересылки (Conditional Forwarders) создается новый контейнер.

Каждый раз, когда пользователь будет запрашивать разрешение этого домен-

ного имени, D N S – с е р в е р ы автоматически будут направлять этот запрос на

DNS-серверы, указанные в списке.

Управление именами из одной метки

Чтобы получить возможность управлять именами из одной метки, нужно вруч-

ную создать зону G N Z (GlobalName Zone). Д л я каждого леса требуется одна

зона GNZ. Б а з о в ы й процесс создания GNZ состоит из пяти шагов, однако он

должен в ы п о л н я т ь с я на к а ж д о м DNS-сервере в лесу. Если вы используете

DNS-серверы, интегрированные в Active Directory, и служба DNS работает на

каждом контроллере домена, эту операцию необходимо выполнить на каждом

контроллере домена. Д л я в ы п о л н е н и я операции потребуются учетные данные

' администратора домена.

• Создайте зону прямого просмотра GlobalNames.

• Назначьте д л я нее область репликации на все DNS-серверы в лесу.

• Не включайте динамические обновления для этой зоны.

• Включите поддержку зоны GlobalNames на каждом DNS-сервере в лесу.

• Добавьте в зону DNS имена из одной метки.

Настройка конфигурации выполняется в корне командной строки, посколь-

ку графического интерфейса для выполнения таких задач не существует. Одна-

ко зону GlobalNames м о ж н о создать в Диспетчере сервера (Server Manager),

хотя для поддержки этой зоны GNZ на DNS-сервере потребуется модифици-

ровать реестр Windows. Такая модификация выполняется с помощью команды

Dnscmd.exe, имеющей следующий формат:

dnscmd /config /enableglobalnamessupport 1

Эту команду нужно запустить на каждом DNS-сервере в лесу. Чтобы обес-

печить поддержку имен из одной метки без использования службы WINS, эту

команду можно включить в стандартный процесс установки и настройки DNS-

. сервера. После запуска к о м а н д ы нужно перезапустить службу DNS.

После включения поддержки зоны GNZ можно приступать к добавлению

записей. Имена в зоне GNZ являются псевдонимами, поскольку каждый объект

в сети уже располагает именем узла в DNS. Поэтому создается псевдоним и

указывается соответствующее F Q D N – и м я объекта. Аналогично именам WINS,

псевдонимы GNZ не могут содержать более 15 символов (используются 16 сим-

волов, однако система резервирует л и ш ь последний из них). При создании

имен с помощью командного ф а й л а используйте для каждого имени такой

формат команды:

dnscmd nm_dns_cepBepa /recordadd globalnames имя_из_одной_метки cname

соответствующее_отличительное_с1п5_имя

Укажите имя DNS-сервера, имя, состоящее из 15 символов, и отличительное

DNS-имя ( F Q D N – и м я объекта, для которого вы добавляете имя GNZ).

f 454 Интеграция DNS с AD DS

Глава 9

I К СВЕДЕНИЮ Зоны GlobalNames

' Более подробную информацию о зонах GNZ можно найти в документе «DNS Glo-

I balNames Zone Deployment» по адресу http://www.microsoft.com/domiloads/details.

I aspx?FamilyID= 1c6b31cd-3dd9-4c3f-8acd-3201a57194f1 & display lang=en.

Системы DNS и WINS

Если в сети требуется использовать много имен из одной метки и вы не мо-

жете обеспечить их поддержку с помощью GNZ из-за с л и ш к о м большого их

количества, установите службу W I N S хотя бы на двух серверах в сети. Служба

WINS автоматически генерирует и управляет и ме на ми всех объектов в сети.

Помните, что служба W I N S является компонентом W i n d o w s Server 2008, а не

ролью, и представляет устаревшую технологию, которая не обновлялась с мо-

мента выхода Windows Server 2003.

Далее раскроем нюансы, о которых нельзя забывать при развертывании

WINS.

• Служба WINS не отображается в Диспетчере сервера (Server Manager). Для

ее администрирования нужно использовать консоль W I N S в программной

группе Администрирование (Administrative Tools).

• Служба WINS поддерживает л и ш ь 1Ру4-адреса и не обновляется для под-

держки IPv6.

• Чтобы обеспечить отказоустойчивость для имен из одной метки, в сети

нужно разместить хотя бы два WINS-сервера. Эти два сервера следует кон-

фигурировать для использования синхронизации обеих баз данных имен.

• Необходимо убедиться, что значения д л я W I N S у к а з а н ы в параметрах

DHCP, пересылаемых на компьютеры, которые требуют использовать ди-

намические 1Ру4-адреса. Следует указать два параметра: первый перечис-

ляет серверы имен, а второй идентифицирует тип узла, с которым будет

работать каждый клиент.

о Параметр 044 WINS/NBNS-серверы (044 W I N S / N B N S Servers) указы-

вает серверы со службой W I N S .

• Параметр 046 Тип узла W I N S / N B T (046 W I N S / N B T Node Туре) опреде-

ляет, как узлы взаимодействуют с W I N S . Ч а щ е всего используется тип

узла 0x8 или тип узла Смешанный ( H y b r i d ) . Этот тип сводит к мини-

муму широковещание, необходимое в сетях с именами из одной метки.

• Вы также можете интегрировать W I N S и DNS, м о д и ф и ц и р о в а в свойс-

тва зоны прямого просмотра ( F L Z ) . Это окно свойств содержит вклад-

ку WINS, которая не и с п о л ь з у е т с я , если в сети нет WINS-серверов

(рис. 9-16). Данный компонент удобно использовать в сетях, где многие

клиенты полагаются на службу WINS, причем имена некоторых клиентских

устройств не представлены в DNS. Однако участниками динамической

инфраструктуры DNS могут являться все операционные системы Windows

начиная с Windows 2000. Сети с клиентами ниже Windows 2000 попадаются

все реже.

Настройка и использование DNS 4 5 5

I'liWln'il-ifl– •• .il'WWUHMR'1 j i g

Обшие 1 Н а ч а л а м гапмсь зомы (SDAJ

Серверы имен WlttS j ЛврвДДЧИ зон | &59СЛ«СМОСТЬ

Можно использовать V/IW5 для разрешения »т-«е н. не найми»»» ло

запросу к пространству DNS. )VtNS лоддерхмвэет rontxo

1Ру4-адоесв

р" Иоадльаонатьпрлмейпрогмдтр WINS

Г" He выполнять репликации этой записи

IP-aapec

Дополнительно. |

I OK | Отмена j Применить j Справка

Рис. 9-16. Связывание DNS с WINS для обеспечения разрешения FQDN

и имен из одной метки

DNS и DHCP

При работе с динамической системой DNS и интеграции службы DNS в хра-

, нилище AD DS необходимо менять традиционные методы, используемые ад-

министраторами сети для настройки параметров D H C P каждого клиентского

устройства с применением динамических адресов IPv4 или IPv6.

По традиции сетевые администраторы указывают в параметрах DHCP

сервера лишь два центральных DNS-сервера. Эти серверы обеспечивают все

клиентские устройства адресами DNS, необходимыми для разрешения внешних

и внутренних имен FQDN, поскольку в силу централизованной локализации

серверов любому клиенту в удаленном узле придется выполнять просмотр

DNS через соединение WAN.

^ Однако в случае интеграции DNS в хранилище каталогов данные DNS

становятся доступными на контроллерах домена, поэтому для предоставле-

ния служб проверки подлинности клиентов независимо от их расположения

контроллеры домена распределяются в сети. Некоторые организации содержат

контроллеры доменов, которые доступны в любой точке, где есть хотя бы 20

клиентов. С возможностями виртуализации серверов Hyper-V и с появлением

контроллеров R O D C теперь можно создавать сети, где преобладают контролле-

ры доменов. Это означает, что данные DNS только для чтения будут доступны

в каждом удаленном узле или филиале. Для поиска FQDN-имен клиенты могут

Использовать серверы в своем локальном узле.

Но для выполнения локального поиска клиенты должны знать о наличии

локальных DNS-серверов. Рассмотрим следующий сценарий.

• Клиент в удаленном узле использует динамический IP-адрес, выделяемый

через DHCP.

456

Интеграция DNS с AD DS

Глава 9

• В удаленном узле есть два контроллера домена.

• Структура DNS интегрирована в каталог и реплицируется вместе с разде-

лом домена.

• Служба D H C P передает значения только двух DNS-серверов в централь-

ном узле.

• Когда клиент загружает утром свою машину, он в ы п о л н я е т поиск D N S для

локализации и входа на ближайший контроллер домена.

• Для запроса разрешения имен от одного из двух центральных контроллеров

доменов через соединение WAN выполняется поиск DNS.

• Центральные DNS-серверы просматривают узел клиента и определяют, что

в нем есть два локальных контроллера домена для поддержки входа.

• DNS-сервер возвращает клиенту местоположение ближайшего контроллера

домена, опять-таки через соединение WAN.

• Клиент связывается со своим локальным к о н т р о л л е р о м домена для входа

в сеть.

Если в этом сценарии отсутствует подключение WAN, к л и е н т не может

войти в сеть, даже несмотря на то, что данные D N S хранятся локально на двух

контроллерах домена.

По этой причине параметры D H C P нужно м о д и ф и ц и р о в а т ь следующим

образом.

• Для обеспечения избыточности область видимости сервера должна вклю-

чать хотя бы два адреса центральных DNS-серверов. В случае отказа ло-

кальных контроллеров домена к л и е н т ы смогут в о й т и в сеть, но только

через подключение WAN.

• Каждая отдельная область адресов д о л ж н а включать параметры серверов

разрешения имен, причем эти записи должны указывать на локальные кон-

троллеры домена узла. Это означает, что в каждую отдельную область види-

мости D H C P добавляется значение 006 DNS-серверы (006 DNS Servers).

м На всех контроллерах домена также должна быть установлена роль DNS-

сервер (DNS Server). Если зона D N S содержится в хранилище каталогов

AD DS, она будет доступна для службы D N S сразу после установки роли

DNS-сервера на контроллер домена. Б о л ь ш е ничего не нужно конфигури-

ровать, за исключением глобальных параметров DNS.

Используйте приведенные инструкции при планировании интеграции DNS

с DHCP.

Разделы каталога приложений

В определенных ситуациях для поддержки р е п л и к а ц и и данных DNS может

потребоваться создать настраиваемые разделы каталога приложений. Помните,

что разделы каталога приложений контролируют область репликации содержа-

щихся в них данных. Сервер DNS, при его установке вместе с AD DS, создает в

лесу два раздела каталога приложений: один для данных леса и один в каждом

домене для данных домена, однако в определенных обстоятельствах эти две

области могут не соответствовать ситуации, особенно в комплексных лесах-

Занятие 2

Настройка и использование DNS 45-1

Рассмотрим следующий сценарий. Ваш лес содержит три домена: корневой

домен леса, глобальный дочерний производственный домен и домен для раз-

работок. Вы создали домен для разработок, поскольку вашим разработчикам

нужны особые права доступа и вы не хотите предоставлять им такие права в

производственном домене. Все пользователи производственного домена, за ис-

ключением системных администраторов, обладают стандартным уровнем прав

доступа. В домене для разработок вы можете предоставить разработчикам более

высокий уровень прав доступа (создание, модификация и удаление объектов),

поскольку этот домен н и к а к не влияет на производственные операции.

Вы создали по о д н о й учетной записи для каждого разработчика. Эта учет-

ная запись л о к а л и з о в а н а в глобальном дочернем производственном домене

и обладает с т а н д а р т н ы м у р о в н е м прав доступа, однако путем наследования

транзитивного д о в е р и я в каждом лесу разработчики могут использовать свои

учетные записи из производственного домена для получения доступа к объ-

ектам в домене д л я разработок, где их учетные записи из производственного

домена обладают более в ы с о к и м уровнем прав доступа.

По умолчанию разрешение имен между двумя дочерними доменами выпол-

няется через корневой домен леса. Разработчики ежедневно получают доступ к

этому домену, поэтому с целыо ускорения разрешения имен вы создали настра-

иваемый раздел каталога п р и л о ж е н и й для совместного использования записей

DNS производственным доменом и доменом разработчиков. Это означает, что,

поскольку эти данные доступны в разделе, производственным DNS-серверам

не потребуется разрешать им ена домена разработчиков через корневой домен

леса, как показано на рис. 9-17.

| Корневой домен леса ]

Повышенный уровень

Стандартный уровень

прав доступа

прав доступа

для разработчика

I

для разработчика

Разработчик получает доступ к домену разработок

из глобального дочернего производственного домена

для ускорения процесса разрешения имен DNS

Рис. 9-17. Использование настраиваемых разделов каталога приложений для совместного

использования данных DNS двумя дочерними доменами

16 Зак. 3399

458

Интеграция DNS с AD DS

Глава 9

Создание и назначение настраиваемых разделов каталога п р и л о ж е н и й

Настраиваемые разделы каталога приложений создаются в командной строке

с помощью команды Dnscmd.exe. Д л я создания этих разделов графический ин-

терфейс не предусмотрен. Однако графический интерфейс можно использовать

для назначения уже созданных разделов. При ж е л а н и и все операции можно

производить в командной строке. Необходимо в ы п о л н и т ь три задачи:

• создать раздел;

• включить в него DNS-серверы;

• назначить новому разделу зоны, область р е п л и к а ц и и которых нужно из-

менить.

Чтобы иметь возможность создавать разделы каталога приложений, нуж-

но быть членом группы Администраторы п р е д п р и я т и я ( E n t e r p r i s e Admins),

поскольку требуется полный доступ к лесу.

1. Войдите на DNS-сервер как член группы А д м и н и с т р а т о р ы предприятия

(Enterprise Admins) леса.

2. С помощью команды контекстного меню запустите окно командной строки

от имени администратора.

3. Введите следующую команду:

dnscmd HMR_dns_cepBepa /createdirectorypartition fqdn_nm_pa3nena

В качестве имени DNS-сервера введите F Q D N – и м я DNS-сервера и л и его

IP-адрес.

Например, если вам нужно создать на машине S E R V E R 1 0 новый раздел

с именем partition01.treyresearch.net, введите следующую команду:

dnscmd server10.treyresearch.net / c r e a t e d i r e c t o r y p a r t i t i o n

partitionOI. treyresearch. net

4. Включите сервер в этот раздел. Д л я этого вы снова можете использовать

команду Dnscmd.exe. Введите следующую команду:

dnscmd HMR_dns_cepeepa /enlistdirectorypartition ?рс!п_имя_раздела

Эту команду нужно выполнить на каждом DNS-сервере, который включа-

ется в раздел. Отметим, что сервер, используемый для создания раздела,

включен в этот раздел по умолчанию. В п р е д ы д у щ е м сценарии в раздел

следует включить все DNS-серверы производственного домена, а также

все DNS-серверы домена разработчиков. Например, чтобы включить в но-

вый раздел partition01.treyresearch.net сервер дочернего домена SERVER30

в качестве дополнительного сервера, введите следующую команду:

dnscmd server30.intranet.treyresearch.net / e n l i s t d i r e c t o r y p a r t i t i o n

partition01.treyresearch.net

Теперь вы можете изменить область репликации зон, которые хотите сде-

лать доступными для членов нового раздела каталога приложений.

5. В Диспетчере сервера (Server Manager) вернитесь к узлу DNS-сервер (DNS

Server), щелкните правой кнопкой мыши и м я зоны, область репликации