Оптимизация DNS

В этой главе обсужда отся методики настройки и управления DNSв сети. DNS- служба разрешения имен, сопоставляющая имена компьютеров IP-адресам. При помощи DNSполное имя узла, например oniega.microsoft.com, можно разрешить в IP-адрес, ш; которому компьютеры находят друг друга. DNSработает через стек протоколов TCP/IPи может интегрироваться с WINS, DHCPи службой каталогов ActiveDirectory. Полная интеграция с этими сетевыми функциями Windowsпозволяет оптимизировать DNSдля доменов Windows2000.

Понятие DNS

DNSорганизует группы компьютеров в домены, которые для общедоступных сетей организованы в иерархическую структуру на базе Интернега, а для частных сетей — в масштабе предприятия (такие сети называют интрасетями и экстрасетями). Разные уровни внутри иерархии идентифицируют индивидуальные компьютеры, домены организаций и домены верхнего уровня. В полком имени узла omega.microsoft. com, omega — имя узла индивидуального компьютера, Microsoft — домен организации, а сот — домен верхнего уровня. Домены верхнего уровня находятся в корне иерархии DNSи называются корневыми (root domains). Они организуются географически, по тинам организации и назначению. Обычные домены типа microsoft.com также называют родительскими (parent), так как они — родители организационной структуры. Родительские домены могут состоять из поддоменов, которые могут использоваться для групп или отделов в пределах организации. Поддомены часто называют дочерними доменами (daughter domains). Например, полное доменное имя компьютера в отделе кадров может быть jacoh.hr.microsoft.com, где Jacob — имя узла, hr — дочерний домен, а microsoft.com — родительский.

Интеграция ActiveDirectoryи DNS

Как сказано в главе 5, домены ActiveDirectoryиспользуют DNSдля реализации своей структуры именования и иерархии. Служба каталогов ActiveDirectoryи DNSинтегрированы так тесно, что вы должны устаноиить DNSв сети до установки ActiveDirectory. При установке первого контроллера домена в сети ActiveDirectoryу вас будет возможность автоматически установить DNS, если DNS-сервер нельзя найти в сети. Вы также сможете указать, интегрировать ли DNSи ActiveDirectoryполиостью. Обычно на оба вопроса отвечают утвердительно. При полной интеграции информация DNSсохраняется прямо в ActiveDirectory, что позволяет задейстновать дополнительные возможности ActiveDirectory. Важно отличать частичную и полную интеграцию.

• При частичной интеграции домен хранит данные DNSи обычной файловой системе в текстовых файлах с расширением .DNS. По умолчанию эти файлы находятся к папке %SYSTEMRoot%\SYSTEM32\DNS. Обновления DNSобрабатываются через единственный полномочный DNS-сервер, назначенный первичным DNS-сернером для конкретного домена или области внутри домена, называемой зоной. Клиенты, динамически обновляющие данные DNSсредствами DHCP, должны обращаться к первичному DNSсериеру в зоне, иначе их DNS-информация не будет об* новлена. Аналогично динамические обновления не пройдут через DHCP, если первичный DNS-сервер недоступен.

• При полной интеграции домен использует интегрированное в каталог хранилище. DNS-ипформация хранится прямо и ActiveDirectoryи доступна через контейнер для объекта DNSZone. Поскольку эти данные — часть ActiveDirectory, любой контроллер домена может получить доступ к ним, а динамическое обновление средствами DHCPможно производить с несколькими хозяевами. Это позволяет любому контроллеру домена, выполняющему службу DNSSERVER, обрабатывать динамические обновления. Остальные клиенты, динамически обновляющие данные DNSчерез DHCP, обращаться к любому DNS-ссрверу в своей зоне. Дополнительное преимущество интеграции каталогов — возможность задействовать систему безопасности каталогов при доступе к DNS-информации. Рассмотрев способ репликации DNS-информации во всей сети, вы также увидите преимущества полной интеграции с ActiveDirectory. При частичной интеграции DNS-информация хранится и реплицируется отдельно от ActiveDirectory. Имея две отдельные структуры, вы снижаете эффективность работы как DNS, так и ActiveDirectoryи усложняете администрирование. Поскольку в DNSизменения реплицируются менее эффективно, чем в ActiveDirectory, наличие двух структур также увеличит сетевой трафик и время репликации изменений DNSпо всей сети,

Развертывание DNSв сети

Чтобы задействовать DNSв сети, нужно настроить DNSклиенты и DNS-серверы. Настраивая клиенты, вы задаете IPадреса DNS-серверов в сети. По этим адресам клиенты могут сообщаться с DNS-серверами из любой точки сети, даже если серверы находятся в других подсетях. Если есть использует DHCP, нужно настроить DHCPдля работы с DNS, задав параметры области DHCP— 006 DNSSERVERs и 015 DNSDomain Name (см. глг.ву 17). Кроме того, если компьютеры в сети должны быть доступны из других доменов ActiveDirectory, для них надо создать записи в DNS. Записи DNSорганизованы в зоны — области внутри домена. Примечание О настройке DNS-клиента см. главу 15, о настройке DNS-серзера — следующий раздел.

Установка DNS-серверов

Вы можете настроить любой сервер Microsoft Windows2000 как DNS-сервер одного из четырех типов.

• Первичный интегрированный в ActiveDirectory— DNSсервер, полностью интегрированный с ActiveDirectory. Все данные DNSхранятся в каталоге.

• Первичный сервер — главный DNS-сервер для домена, частично интегрированный в ActiveDirectory, хранит оригинал записей DNSи файлы конфигурации домена в текстовом формате с расширением .DNS.

• Вторичный сервер — DNS-сервер, предоставляющий резервные службы домену, хранит копию записей DNS, полученных от первичного сервера, выполняет обновления путем зонных передач. Вторичные серверы при старте получают данные DNSот первичного сервера и поддерживают их, пока они не будут обновлены или аннулированы.

• Перенаправляющий сервер кэширует DNS-информацию, полученную в результате поиска, и всегда передает запросы другим серверам. Такие серверы хранят данные DNSпока они не будут обновлены или аннулированы или пока не будет перезапущен сервер. В отличие от вторичных перенаправляющие серверы не запрашивает полные копии файлов БД зоны, т. е. когда вы запускаете перенаправляющий сервер, его база пуста. Перед настройкой DNS-сервсра нужно установить службу DNSSERVER. Позже вы сможете настроить сервер, чтобы он предоставлял интегрированные, первичные, вторичные или перенаправляющие службы DNS. Установка службы DNSSERVERВсе контроллеры домена могут выступать в качестве DNSсерверов и в ПРОЦЕССе установки контроллера домена вам могут предложить установить и настроить DNS. Если вы ответили утвердительно, значит, DNSуже установлена, а стандартная конфигурация задана автоматически; вам не нужно ничего переустанавливать. Если вы работаете с рядовым сервером или еще не установили DNS, чтобы установить DNS, сделайте так. 1. Нажмите Start (Пуск), выберите Settings (Параметры), а затем — Control Panel (Панель управления). 2. В Control Panel дважды щелкните Add/Remove Programs (Установка и удаление программ) и нажмите Add/Remove Components (Добавление и удаление компонентов Windows). Вид окна Add/Remove Programs изменится. 3. Под Components щелкните Networking Services (Сетевые службы), а затем — Details (Состав). 4. В открывшемся окне в списке пометьте флажок Domain Name SYSTEM(DNS). 5. Щелкните OK, а затем — Next. Если спросят, наберите полный путь к файлам дистрибутива Windows2000 и щелкните Continue (Продолжить). Теперь служба DNSдолжна запускаться автоматически при каждой перезагрузке сервера. Если она не запускается, вам придется запускать ее вручную (см. раздел «Пуск и остановка DNS-сервера»).

Настройка первичного DNS-сервера

Каждый домен ДОЛЖСЕ! иметь периичный DNS-сервер. Он может быть интегрирован с ActiveDirectoryили быть стандартным первичным сервером. Первичные серверы должны иметь зоны прямого и обратного просмотра. Первые служат для разрешения доменных имен в IP-адреса, вторые позволяют подтверждать запросы DNSи решать обратную задачу — сопоставлять IP-адреса доменным именам. Установив службу DNSSERVERна сервере, вы можете настроить первичный сервер. 1. Запустите консоль DNS. Раскройте меню Start\Programs\ Administrative Tools (Пуск\Программы\Администрирование) и выберите DNS. Появится консоль DNS(рис. 19-1).

2. Если сервер, который вы хотите настроить, не указан в виде дерева, подключитесь к нему. Правой кнопкой щелкните DNSв дереве консоли и выберите Connect To Computer (Соединение с компьютером). Если вы подключаетесь:

• к локальному серверу, выберите This Computer (Этот компьютер) и щелкните ОК;

• к удаленному серверу, выберите The Following Computer (Следующий компьютер), введите имя или IPадрес сервера и щелкните ОК. 3. Запись для DNS-сервера должна появится в дереве консоли DNS. Правой кнопкой щелкните запись сервера и выберите New Zone (Добавление новой зоны). Запустится мастер создания зоны. Щелкните ОК. 4. Теперь вы можете выбрать тип зоны (рис. 19-2). Если вы настраиваете первичный сервер, интегрированный в ActiveDirectory, выберите ActiveDirectory-Integrated (Интегрированная в ActiveDirectory) и щелкните Next. Иначе выберите Standard Primary (Основная) и щелкните Next.

5. Выберите Forward Lookup Zone (Зона прямого просмотра) и щелкните Next. 6. Введите полное имя DNSдля зоны. Это имя определяет, где в иерархии домена DNSбудет располагаться сервер или зона. Например, если вы создаете первичный сервер для домена microsoft.com, наберите имя зоны microsoft.com. 7. Если вы настраиваете стандартную первичную зону, задайте имя файла зоны. В соответствующем поле автоматически вводится стандартное имя файла БД для зоны DNS. Вы можете оставить это имя файла или ввести свое. 8. Щелкните Next, а латем — Finish, чтобы завершить ПРОЦЕСС. Новая зона добавится к серверу, и основные записи DNSбудут созданы автоматически. 9. Один DNS-сервер может обслуживать несколько доменов. Если в сети несколько родительских доменов, например microsoft.com и msn.com, вы можете, повторив этот ПРОЦЕСС, настроить другие зоны прямого просмотра. Вам также нужно настроить зоны обратного просмотра (см. раздел «Настройка обратных просмотров*). 10. Создайте дополнительные записи для любых компьютеров, которые должны быть доступны в других доменах DNS(см. раздел «Управление записями DNS»).

Настройка вторичного DNS-сервера

Вторичные серверы предоставляют резервные службы DNSв сети. Если вы используете полную интеграцию с ActiveDirectory, вторичные серверы настраивать не нужно. Вместо этого надо настроить несколько контроллеров домена, чтобы оперировать службами DNS. С другой стороны, если иы используете частичную интеграцию, вам может понадобиться настроить вторичные серверы, чтобы снизить нагрузку на первичный. В небольшой сети в качестве вторичных серверов можно указать имена серверов вашего поставщика услуг Интернета (Internet service provider, ISP), Тогда вы должны обратиться к TSP, чтобы тот настроил для вас вторичные службы DNS. Поскольку вторичные серверы используют зоны прямого просмотра для большинства типов запросов, зоны обратного просмотра могут не понадобиться. Но файлы зон обратного просмотра нужны для первичных серверов, и они должны быть настроены для корректного разрешения имени домена. Чтобы создать собственные вторичные серверы для балансировки загрузки и резервирования, сделайте так. 1. Откройте консоль DNSи подключитесь к серверу, который хотите настроить. 2. Щелкните правой кнопкой запись сервера и выберите New Zone. 3. В окне Zone Type (Тип зоны) выберите Standard Secondary (Дополнительная) и щелкните Next. 4. Вторичные серверы могут использовать файлы зоны как прямого, так и обратного просмотра. Сначала создайте зону прямого просмотра, выбрав Forward Lookup Zone и щелкнув Next. 5. Введите имя файла зоны и щелкните Next. 6. Вторичные серверы должны копировать файлы зоны с первичных серверов. Наберите IP-адрес первичного сервера зоны и щелкните Add. Чтобы скопировать данные из других зон, наберите IP-адрес дополнительных серверов. 7. Щелкните Next, а затем — Finish. 8. В загруженной или крупной сети может понадобиться настроить зоны обратного просмотра на вторичных серверах (см. раздел «Настройка обратных просмотров»). Настройка обратных просмотров Прямые просмотры нужны для разрешения имен доменов в IP-адреса, а обратные — для разрешения IP-адресов в имена доменов. Каждый сегмент в вашей сети должен иметь зону обратного просмотра. Например, если у вас есть подсети 192.168.10.0, 192.168.11.0 и 192.168.12.0, вы должны иметь три зоны обратного просмотра. Стандартное правило именования зон обратного просмотра — запись идентификатора сети в обратном порядке и добавление суффикса in-addr.arpa. В предыдущем примере у вас должны получиться зоны 10.168.192.in-addr.arpa, ll.168.192.inaddr. arpa и 12.168.192.in-addr.arpa. Записи в зоне обратного просмотра должны быть синхронизированы с зоной прямого просмотра. При рассинхронизации зон проверка подлинности в домене может дать сбой. Создать зону обратного просмотра можно так. 1. Запустите консоль DNSи подключитесь к серверу, который хотите настроить. 2. Щелкните правой кнопкой запись сервера и выберите New Zone. Запустится мастер создания зоны. Щелкните Next. 3. Выберите ActiveDirectory-Integrated, Standard Primary или Standard Secondary rt зависимости от типа сервера, с которым работаете. 4. Выберите Reverse Lookup Zone и щелкните Next. 5. Наберите идентификатор сети и маску подсети для зоны обратного просмотра. Вводимое значение задает стандартное имя для зоны обратного просмотра. /|Х Совет Если у вас множество подсетей в одной сети, скажем, 192.168.10 и 192.168.11, вводите только сетевую часть для имени зоны, т. е. наберите 168.192.in-addr.arpa и позвольте консоли DNSсоздать, когда нужно, нужные зоны подсетей. 6. Если вы настраиваете стандартный первичный или вторичный сервер, задайте имя файла зоны. Стандартное имя для файла БД зоны DNSзаполняется автоматически. Вы можете использовать это имя файла или ввести свое. 7. Если вы настраиваете вторичный сервер, наберите IP-адрес для первичного сервера зоны и щелкните Add. Если вы хотите скопировать данные из других зон, наберите ГРадреса дополнительных серверов. 8. Щелкните Next, а затем — Finish. Настроив зоны обратного просмотра, убедитесь, что они правильно делегируются. Обратитесь и ИТ-отдел организации или к вашему ISP, чтобы проверить, что зоны зарегистрированы в родительском домене.

Управление DNS-серверами

Консоль DNS— удобное средство управления локальными и удаленными DNS-серверами. Основное окно консоли DNSразделено на две панели (рис. 19-3). Левая позволяет получить доступ к DNS-серверам и их зонам, правая — показывает выбранный пункт в развернутом виде. Бы можете работать с консолью DNSнесколькими способами:

• двойной щелчок записи в левой панели раскрывает список файлов для выбранной записи;

• выберите запись в левой панели, чтобы просмотреть в правой панели подробности: состояние зоны, записи домена и т. п.;

• щелкните правой кнопкой запись, чтобы отобразить контекстное меню с доступными командами.

Панки Forward Lookup Zones и Reverse Lookup Zones предоставляют доступ к доменам и подсетям, настроенным для использования на этом сервере. Выбирая папки домена или подсети в левой панели, вы можете управлять записями DNSдля домена или подсети. Добавление удаленных серверов в консоль DNS1. Щелкните правой кнопкой DNSв дереве консоли и выберите Connect To Computer, чтобы открыть диалоговое окно (рис. 19-4). 2. Если вы подключаетесь к локальному компьютеру, выберите This Computer. Иначе выберите The Following Computer и наберите IP-адрес или полное имя узла удаленного компьютера, к которому хотите подключиться. 3. Щелкните ОК. Если подключение удалось, запись сервера появится в консоли.

Примечание Если сервер автономный или недоступен изза ограничений безопасности или проблем со службой удаленного вызова процедур (RPC), подключение не удастся. Однако вы можете добавить сервер к консоли, щелкнув Yes в ответ на запрос.

Удаление сервера из консоли DNS

В консоли DNSможно удалить сервер, выбрав его запись, нажав клавишу DEL и щелкнув ОК, чтобы подтвердить удаление. При этом сервер удаляется только из списка серверов; фактически он не удаляется из сети.

Пуск и остановка DNS-сервера

Служба DNSSERVERпозволяет управлять DNS-сёраерами. Вы можете запустить, остановить, приостановить и возобновить ее работу из узла Services (Службы) консоли Computer Management или из командной строки. Вы можете также управлять этой службой из консоли DNS. Щелкните правой кнопкой нужный сервер, выберите All Tasks (Все задачи), а затем — Start, Stop, Pause, Resume или Restart. Примечание В консоли Computer Management щелкните правой кнопкой DNS, выберите All Tasks, а затем — Start, Stop, Pause, Resume или Restart. Создание дочерних доменов в зонах Из консоли DNSможно создать дочерний домен в зоне. Например, если вы создали первичную зону microsoft.com,

вы могли бы создать в ней поддомены hr.microsoft.coni и mis.microsoft.com. Дочерние домены создаются так. 1. В консоли DNSраскройте папку Forward Lookup Zones для нужного вам сервера. 2. Щелкнув правой кнопкой запись родительского домена, выберите New Domain. 3. Введите имя нового домена и щелкните ОК. Для hr.microsoft. com введите hr, а для mis.microsoft.com — mis. Создание дочерних доменов в отдельных зонах По мере роста организации вам может понадобиться разделить пространство имен DNSна зоны. В корпоративной штабквартире вы могли бы определить зону для родительского домена microsoft.com, в филиалах — зоны для каждого офиса, например, memphis.microsoft.com, newyork.microsoft.com и la.microsoft.com. Дочерний домен создается так. 1. Установите DNS-сервер э каждом дочернем домене и создайте зоны прямого и обратного просмотра для дочернего домена (см. раздел «Установка DNS-серверов»). 2. На полномочном сервере DNSдля родительского домена делегируйте полномочия каждому дочернему домену, чтобы дочерние домены могли разрешать и отвечать на DNS-запросы от компьютеров внутри и за пределами локальной подсети. Полномочия дочернему домену делегируются так. 1. В консоли DNSраскройте папку Forward Lookup Zones для сервера, с которым хотите работать. 2. Щелкните правой кнопкой запись родительского домена и выберите New Delegation. Запустится мастер делегирования. 3. Наберите имя дочернего домена и щелкните кнопку Next (рис. 19-5). Вводимое нами имя обновляет значение в поле Fully Qualified Domain Name (Полное имя домена). 4. Щелкните Add, чтобы открыть диалоговое окно (рис. 19-6). 5. В поле SERVERName (Имя сервера) наберите полное имя узла DNS-сервера для дочернего домена.

6. В поле IPAddress (IP-адрес) наберите первичный IP-адрес для сервера. Щелкните Add. Повторите этот ПРОЦЕСС, чтобы задать дополнительные IP-адреса для сервера. Порядок записей определяет приоритет использования ГРадрссов; его можно изменить кнопками Up и Down. Совет Если вы знаете имя сервера, а не его IP-адрес, введите имя в поле SERVERName и щелкните Resolve {Сопоставить}: IP-адрес отобразится в поле IPAddress. Добавьте сервер, щелкнув Add. 7. Щелкните ОК и повторите нп. 3-5, чтобы определить другие полномочные DNS-серверы для дочернего домена. 8. Щелкните Next, а затем — Finish, чтобы завершить ПРОЦЕСС.

Удаление домена или подсети

1. В консоли DNSщелкните правой кнопкой запись домена или подсети. 2. Выберите Delete (Удалить) и подтвердите действие, щелкнув ОК. Примечание Удаление домена или подсети удаляет все записи DNSв файле зоны, но фактически не удаляет файл зоны на стандартном первичном или стандартном вторичном сервере. Файл зоны остается в папке %SYSTEMRoot%/ SYSTEM32/DNS. Если хотите, можете удалить его.

Управление записями DNS

Создав файлы зоны, к зонам можно добавить записи. Компьютеры, доступные из ActiveDirectoryи доменов DNS, должны иметь записи DNS. Типов записей DNSмножество, но большинство обычно не используют, так что мы сосредоточимся на тех, что вам понадобятся.

• А (адрес) — проецирует ими узла на ГР-адрес. Сколько в компьютере сетевых адаптеров или IP-адресов, столько у него будет и записей адресов.

• CNAME (каноническое имя) — задает псевдоним для имени узла. Например, запись позволит zeta.microsoft.com получить псевдоним www.microsoft.com.

• MX (обмен почтой) — определяет почтовый сервер для домена, куда будет доставляться почта.

• NS (сервер имен) — указывает сервер имен для домена, обеспечивающий поиск по DNSв разных зонах. Каждый первичный и вторичный сервер имен должен быть объявлен такой записью.

• PTR (указатель) — создает указатель, проецирующий IPадреса на имя узла для обратного просмотра,

• SOA (начальная запись зоны) — описывает самый полномочный узел зоны, являющийся наилучшим источником данных DNSдля зоны. Каждый файл зоны должен содержать SOA-запись (создается автоматически при добавлении зоны).

Добавление записей адреса и указателя

А-запись проецирует имя узла на IP-адрес, а PTR-занись создает указатель на узел для обратного просмотра. Вы можете создать записи адреса и указателя одновременно или по отдельности. 1. В консоли DNSраскройте папку Forward Lookup Zones для нужного вам сервера. 2. Щелкнув правой кнопкой домен, который хотите обновить, выберите New Host (Создать узел). Появится диалоговое окно (рис. 19-7).

3. Наберите имя компьютера без пробелов и IP-адрес. 4. Пометьте флажок Create Associated Pointer (PTR) Record (Создать соответствующую PTR-запись). 5. Щелкните ОК. Примечание Вы можете создать только PTR-записи, если доступна соответствующая зона обратного просмотра (см. раздел «Настройка обратных просмотров»). 6. Щелкните Add Host (Добавить узел). Повторите для добавления других узлов. 7. Кончив, щелкните Done (Готово). Последующее добавление PTR-записи 1. В консоли DNSраскройте папку Reverse Lookup Zones для нужного вам сервера. 2. Щелкнув правой кнопкой подсеть, которую хотите обновить, выберите New Pointer (Создать указатель) (рис. 19-8).

3. Наберите IP-адрес узла и полное доменное имя компьютера, например 10.10.1.14 и heanie.microsoft.com. Щелкните ОК.

Добавление псевдонимов DNSс записями CNAME

Псевдонимы узла задаются в CNAME-записях. Псевдонимы позволяют компьютеру представляться многоадресным. Например, узел gamma.microsoft.com можно представить как www.microsoft.com и ftp.microsoft.com. CNAME-запись создается так. 1. В консоли DNSоткройте палку Forward Lookup Zones для нужного вам сервера. 2. Щелкнув правой кнопкой домен, который хотите обновить, выберите New Alias (рис. 19-9).

3. Наберите псевдоним в поле Alias Name (Имя псевдонима). Псевдоним — одна из частей имени узла, например www или ftp. 4. В поле Fully Qualified Name For Target Host (Полное имя конечного узла), наберите полное имя узла компьютера, для которого должен быть использован псевдоним. 5. Щелкните ОК.

Добавление почтовых серверов

МХ-записи задают почтовые серверы для домена. Эти серверы отвечают за обработку или пересылку почты в домене, При создании МХ-Записи нужно определить приоритет почтоиого сервера в диапазоне 0-65 535. Почтовый сервер с самым низким номером имеет самый высокий приоритет и первым получаст почту. Если почту не удается доставить, ее пытается получить почтовый сервер со следующим номером. МХ-запись создается так. 1. В консоли DNS, откройте папку Forward Lookup Zones нужного вам сервера. 2. Щелкнув правой кнопкой домен, который хотите обновить, выберите New Mail Exchanger (Создать почтовый обменник) (рис. 19-10).

3. Теперь вы можете создать запись для почтового сервера, заполнив поля:

• Host Or Domain (Узел или домен) — произвольное имя узла;

• Mail SERVER(Почтовый сервер) — полное имя узла;

• Mail SERVERPriority (Приоритет почтового сервера) — приоритет узла от 0 до 65 535. /Ж Совет Назначайте номера, чтобы оставалось место для дальнейшего роста. Скажем, введите 10 для почтового сервера с самым высоким приоритетом, 20 — для следующего и т. д. 4. Щелкните ОК.

Добавление серверов имен

Записи NS определяют серверы имен для домена. Каждый первичный и вторичный сервер имен должен иметь такую запись. Если ваша сеть обслуживается вторичными службами ISP, не забудьте добавить соответствующие записи NS. Запись NS создается так. 1. В консоли DNSоткройте папку Forward Lookup Zones нужного вам сервера. 2. Выберите папку домена в дереве, чтобы просмотреть его записи DNS. 3. Щелкнув правой квопкой имеющуюся запись NS в панели просмотра, выберите Properties. Появится окно свойств домена с выбранной вкладкой Name SERVERs (рис. 19-11).

4. Щелкните Add. 5. В поле SERVERName наберите полное имя узла добавляемого DNS-сервера. 6. В ноле IPAddress введите основной IP-адрес сервера. Щелкните Add. Повторив эту операцию, укажите дополнительные IP-адреса для сервера. Порядок записей определяет IP-адрес, используемый первым. Порядок позволяют изменить кнопки Up и Down. 7. Щелкните ОК. Повторите пп. 5-7, чтобы указать другие DNS-ссрверы для домена.

Просмотр и обновление записей DNS

1. Днажды щелкните нужную зону. Записи для зоны отобразятся в правой панели. 2. Дважды щелкните запись DNS, которую хотите просмотреть или обновить. В открывшемся окне сделайте нужные изменения и щелкните ОК. Обновление свойств зоны и записи SOA Отдельные свойства зоны можно настроить. Эти свойства задают основные параметры зоны с помощью начальной записи зоны (SOA), уведомления об изменении и интеграции WINS. В консоли DNSсвойства зоны настраиваются так. 1. Щелкните правой кнопкой обновляемую зону и выберите Properties. 2. Выберите зону, а затем в меню Action — команду Properties. Окна свойств для зон прямого и обратного просмотра идентичны, кроме вкладок WINS и WIXS-R. Для зон прямого просмотра отображается вкладка WINS, позволяющая настроить поиск NelBIOS-имен компьютеров, для зон обратного просмотра — вкладка WINS-R, позволяющая настроить обратный просмотр для NetBIOS-имен компьютеров.

Модификация записи SOA

Начальная запись зоны (start of authority, SOA) назначает полномочный сервер имен для зоны и задает основные свойства зоны, например интервалы повтора и обновления. Вы можете изменить эту информацию так. 1. В консоли DNSщелкните правой кнопкой обновляемую зону и выберите Properties. 2. Щелкните вкладку Start Of Authority (SOA) и обновите параметры (рис. 19-12).

Бы используете следующие поля вкладки Start Of Authority (SOA).

• Serial Number (Серийный номер) — серийный номер, указывающий иерсшо файлов БД DNS. Обновляется автоматически при любом изменении файлов зоны. Вы можете, однако, обновлять этот номер вручную. Его используют вторичные серверы для установления факта изменения записей зон. Если серийный номер первичного сервера больше серийного номера вторичного, записи изменились, и вторичный сервер может запросить обновленные записи для ;юны. Вы также можете настроить DNS, чтобы уведомлять вторичные серверы об изменениях (это ускорит ПРОЦЕССобновления).

• Primary SERVER(Основной сервер) — полное доменное имя для сервера имен, заканчивающееся тонкой. Точка позволяет ограничить иня и гарантировать, что доменная информация не добавляется к записи.

• Responsible Person (Ответственное лицо) — электронной адрес сотрудника, ответственного за домен. По умолчанию это администратор с точкой в конце, т. е. адмипистратор@ваш_домен. При изменении записи поставьте точку вместо символа at (@) в адресе электронной почты и закончите адрес точкой.

• Refresh Interval (Интервал обновления) — интервал, в течение которого вторичный сервер проверяет обновления зон. Если он равен 60 минутам, изменения NS-записи могут не передаваться вторичному серверу час. Увеличивая это значение, вы уменьшаете сетевой трафик.

• Retry Interval (Интервал повтора) — время ожидания вторичного сервера после неудачной попытки загрузки БД зоны. Если он равен 10 минутам и передача БД зоны не удалась, вторичный сервер прождет 10 минут, прежде чем снова запросит БД зоны.

• Expires After (Срок истекает после) — период, в течение которого информация зоны на вторичном сервере действительна. Если за это время вторичный сервер не загрузит данные с первичного, то аннулирует данные в своем кэше и перестанет отвечать на запросы DNS. Если задано 7 дней, данные на вторичном сервере будут доступны 7 суток.

• Minimum (Default) TTL (Минимальный срок жизни) минимальное время жизни кэшированных записей на вторичном сервере в формате дни : часы : минуты : секунды. По достижении этого значения вторичный сервер аннулирует связанную запись и отбрасывает ее. Следующий запрос этой записи должен быть отправлен первичному серверу для разрешения имени. Чтобы сократить трафик в сети и повысить эффективность, задайте большое значение, например 24 часа. Впрочем, учтите, что это замедлит распространение обновлений через Интернет.

• TTL For This Record (Срок жизни этой записи) — время жизни самой SOA-заииси в формате дни : часы : минуты : секунды. Как правило, должно совпадать с минимальным временем жизни обычных записей. Уведомление вторичных серверов об изменениях Свойства зоны, задаваемые на начальной записи, контролируют распространение DNS-информации в сети. Вы также можете указать, что первичный сервер должен уведомлять вторичные серверы имен об изменениях в БД зоны. 1. В консоли DNSщелкните правой кнопкой обновляемый домен/подсеть и выберите Properties. 2. На вкладке Zone Transfers (Передачи зон) щелкните Notify (Уведомить). Появится диалоговое окно (рис. 19-13)

3. По умолчанию все вторичные серверы, перечисленные на вкладке, уведомляются об изменениях. Если вы хотите указать определенные серверы, выберите The Following SERVERs и наберите IP-адреса вторичных серверов. Щелкните ОК.

Ограничение зонных передач

Ограничение доступа к информации зоны — обычная мера предосторожности. Когда вы ограничиваете доступ к информации зоны, запросить обновления с первичного сервера зоны могут только указанные вами серверы. Это позволяет пропускать запросы через выбранные группы вторичных серверов, например вторичные серкеры имен вашего ISP, и скрывать подробности внутренней сети от внешнего мира. Чтобы ограничить доступ к БД первичной зоны, сделайте так. 1. В консоли DNSправой кнопкой щелкните обновляемый домен/подсеть и выберите Properties. 2. Щелкните вкладку Zone Transfers. Зонные передачи отправляют копию информации зоны другим DNS-серверам, которые могут быть в том же домене или в других доменах. По умолчанию информация зоны передается любому серверу, который ее запросит. 3. Чтобы ограничить передачи серверами имен с вкладки Name SERVERs, выберите Allow Zone Transfers (Разрешить передачи зон) и щелкните Only To SERVERs Listed On The Name SERVERs Tab (Только серверам на вкладке «Серверы имен»), 4. Чтобы ограничить передачи определенными серверами, выберите Allow Zone Transfers и щелкните Only To The Following SERVERs (Только следующим серверам). Щелкните ОК.

Настройка типа зоны

1. В консоли DNSщелкните правой кнопкой обновляемый домен/подсеть и выберите Properties. 2. На вкладке General (Общие) щелкните Change (Изменить). В окне Change Zone Type (Изменение типа зоны) выберите новый тип зоны. Включение и выключение динамических обновлений Динамические обновления позволяют клиентам DNSрегистрировать и поддерживать собственный адрес и записи указателей. Это полезно для компьютеров, динамически настраиваемых средствами DHCP. Динамические обновления облегчают динамически настраиваемым компьютерам поиск друг друга в сети. Если зона интегрирована с ActiveDirectoryвы можете включить безопасные обновления. Тогда динамически обновлять DNSсмогут лишь компьютеры и пользователи из списка управления доступом. Динамические обновления включаются/выключаются так. 1. В консоли DNSщелкните правой-кнопкой обновляемый домен/подсеть и выберите Properties. 2. Используйте следующие значения списка Allow Dynamic Updates (Динамическое обновление), чтобы включить/ выключить динамические обновления:

• No — выключить динамические обновления;

• Yes — включить динамические обновления;

• Only Secure Updates (Только безопасные обновления) — включает динамические обновления через механизм безопасности ActiveDirectory; доступно только при интеграции с ActiveDirectory, 3. Щелкните ОК. Примечание Параметры интеграции DNSдолжны также быть настроены для DHCP(см. главу 17).

Управление конфигурацией и безопасностью DNS-сервера

Для управления общей конфигурацией DNS-ссрверов служит окно свойств сервера. Отсюда вы можете включать/ выключать IP-адреса для сервера и управлять доступом к DNS-серверам извне организации. Вы также можете настроить мониторинг, регистрацию и расширенные параметры. Включение и выключение IP-адресов для DNS-сервера По умолчанию многоадресные DNS-серверы отвечают на запросы DNSна всех доступных сетевых адаптерах и настроенных IP-адресах. Из консоли DNSвы можете указать, чтобы сервер отвечал на запросы только по заданным IP-адресам. 1. В консоли DNSщелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. На вкладке Interfaces (Интерфейсы) выберите Only The Following IPAddresses (Только следующие IP-адреса) и наберите IP-адреса, которые должны отвечать на DNSзапросы (рис. 19-14). Только эти IP-адреса будут использоваться для DNS. Остальные IP-адреса на сервере будут недоступны для DNS.

Управление доступом к DNS-серверам извне организации

Ограничение доступа к информации зоны позволяет указать, какие внутренние и внешние серверы имеют доступ к первичному серверу. Для внешних серверов это определяет, какие серверы могут обратиться в вашу сеть из внешнего мира. Вы можете также указать, какие DNS-сервсры в вашей организации могут иметь доступ к внешним серверам. Для этого нужно настроить перенаправление внутри домена. В отношении перенапранления DNS-серверы внутри домена могут быть такими.

• Nonforwarders (Непересылающие) передавают неразрешимые DNS-запросы указанным перенаправляющим серверам. Эти серверы играют роль клиентов для перенаправляющих серверов.

• Forwarding-only (Перенаправляющие) могут только кэшировать ответы и передавать запросы на перенаправляющие серверы. Их также называют только кэширующими DNS-серверами.

• Forwarders (Пересылающие) получают запросы от непересылающих и перенаправляющих серверов. Они. используют обычные методы связи DNS, чтобы решать запросы и возвращать ответы другим DNS-серверам.

Примечание Корневой сервер домена нельзя настроить для чистого перенаправления, но все остальные — можно. Создание непереадресующего DNS-сервера 1. Б консоли DNSщелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. На вкладке Forwarders (Пересылка) выберите Enable Forwarders (Разрешить пересылку). 3. Введите IP-адреса пересылающих серверов сети. 4. Укажите Forward Time Out. Это значение контролирует длительность опроса сервера, если тот не откликается. По окончании этого срока опрашивается следующий сервер в списке. Значение по умолчанию — 0 секунд. Щелкните ОК.

Создание перенаправляющего сервера

1. В консоли DNSщелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. На вкладке Forwarders выберите Enable Forwarders, а затем — Operate As Slave SERVER(Действовать как подчиненный сервер). 3. Введите IP-адреса пересылающих серверов сети. 4. Укажите Forward Time Out. Это значение контролирует длительность опроса сервера, если тот не откликается. По окончании этого срока опрашивается следующий сервер к списке. Значение но умолчанию — 0 секунд. Щелкните ОК. Создание пересылающих серверов Любой DNS-сервер. не определенный как непересылающий или только перенаправляющий, играет роль пересылающего. Поэтому убедитесь, что на пересылающих серверах не включены параметры E.nablc Forwarders и Operate As Slave SERVER.

Протоколирование работы DNS

Обычно для наблюдения за работой DNSна сервере используется журнал событий DNS-сервера. Записи этого журнала соответствуют событиям DNSи доступны из узла Event View (Просмотр событий) консоли Computer Management (Управление компьютером). Выявить неполадки DNSпоможет временныи журнал отладки, отслеживающий определенные тины событий DNS. 1. В консоли DNSщелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. На вкладке Logging (рис. 19-15) выберите события, которые хотите временно отслеживать. По умолчанию эти события записываются в файл % SYSTEMRoot %\SYSTEM32\ DNS\DNS.log.

3. Щелкните ОК. По окончании отладки выключите веление протокола, сбросив любые выбранные ранее флажки на вкладке Logging (Ведение журнала).

Мониторинг DNS-сервера

Windows2000 имеет встроенные функции мониторинга DNSсервера. Вы можете вести мониторинг вручную или автоматически. 1. В консоли DNSщелкните правой кнопкой настраиваемый сериер и выберите Properties. Перейдите на вкладку Monitoring (рис. 19-16). Вы можете выполнить два типа тестов. Чтобы тестировать разрешение имен DNSна текущем сервере, выберите A Simple Query Against This DNSSERVER(Простой запрос к этому DNS-серверу). Чтобы тестировать разрешение имен DNSв домене, выберите A Recursive Query To Other DNSSERVERs (Рекурсивный запрос к другим DNS-cepверам).

3. Вы можете выполнить тест вручную, щелкнув Test Now. или назначить автоматический мониторинг по расписанию, выбрав Perform Automatic Testing At The Following Interval (Выполнить автоматическое тестирование в следующем интервале) и задав интервал в секундах, минутах или часах. Примечание Если вы активно выявляете неполадки DNS, можете включать тестирование каждые 10-15 секунд, чтобы быстро получить нужные результаты. Если вы проверяете DNSежедневно, задайте более длинный интервал, например 2-3 часа. 4. Результаты проверки показаны в области Test Results. Вы увидите дату и временную метку, отражающие время выполнения теста и получения результата. Если единственный отказ может быть результатом временного выхода из строя, то несколько отказов обычно свидтельствуют о проблеме разрешения имен DNS.

Интеграция WINS и DNS

Вы можете интегрировать DNSс WINS. Интеграция с WINS позволяет серверу играть роль WINS-сервера или пересылать запросы WINS определенному WINS-серверу. Настроив WINS и DNSдля совместной работы, вы можете определить прямой и обратный просмотр по NetBIOS-именам компьютеров, кэширование и значения времени ожидания для разрешения имел W[NS и полную интеграцию с областями NetBIOS.

Настройка поиска WINS в DNS

Когда вы настраиваете поиск WIXS в DNS, самая лская часть полного доменного имени может быть разрешена при помощи WINS. Процедура работает так: DNS-сервер ищет занис'ь адреса для полного доменного имени; если запись найдена, сернер применяет ее для разрешения имени, используемого только DNS; иначе сервер выделяет самую левую часть имени и г помощью WINS разрешает имя (как NetBIOS-имя компьютера). Чтобы настроить поиск WINS n DNS, сделайте так. 1. В консоли DNSщелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. Щелкните вкладку WINS (рис. 19-17). 3. Щелкните Use WINS Forward. Lookup и наберите IP-ад: реса WINS-серверов в сети. Вы должны указать минимум один сервер WINS. 4. Чтобы гарантировать, что запись WINS на этом сервере не реплицируется на другие DNS-серверы в зонных передачах, выберите Do Not Replicate This Record (He выполнять репликацию этой записи). Это удобно для выявления ошибок и сбоев передачи не-Microsoft DNS-ccpверу. Щелкните ОК.

Настройка обратного поиска WINS в DNS

Когда настроен обратный поиск.WINS в DNS, IP-адрес узла можно разрешить в NetBIOS-имя компьютера. Процедура работает так: DNS-сервер ищет запись указателя ресурса для определенного IP-адреса; если запись найдена, сервер использует ее для разрешегия полного доменного имени; иначе сервер отправляет запрос WINS, и но возможности WINS возвращает NetBIOS-имя компьютера для IP-адреса, после чего к этому имени компьютера добавляется домен узла, Обратный поиск WINS в DNSнастраивается так. 1. В консоли DK'S щелкните правой кнопкой настраиваемый сервер и выберите Properties. 2. Перейдите на вкладку WINS-R (рис. 19-18). 3. Выберите Use WINS-R Lookup и, если хотите, — Do Not Replicate This Record. Как и с прямым просмотром, обычно не рекомендуется реплицировать запись WINS-R на неMicrosoft DNS-ссрверы.

4. В ноле Domain To Append To Returned Name (Домен, добавляемый к возвращенному имени) наберите информацию о домене узла. Домен добавляется к имени компьютера, возвращаемому WINS. Например, если вы наберете seattle.domain.com и WINS вернет NetBIOS-имя компьютера gamma, DNS-сервер соединит два значения и вернет gamma.seattlc.domain.com. 5. Щелкните ОК.

Кэширование параметров и значениевремени ожидания для WINS в DNS

Интегрируя WINS и DNS, ны должны настроить кэширование и значения времени ожидания для WINS. Параметры кэша определяют, как долго действительны записи, возвращенные WINS. Срок задержки определяет, сколько времени DNSдолжна ожидать ответа от WINS до истечения таймаута и возвращения ошибки. Эти значения задаются как для прямого, так и обратного поиска WINS. 1. В консоли DNSщелкните правой кнопкой обновляемый домен/подсеть и выберите Properties. 2. Выберите вкладвл WINS или WINS-R и щелкните Advanced (Дополнительно). Появится диалоговое окно (рис. 19-19).

3. Задайте значения таймаутов кэширования и времени ожидания в полях Cache Time-Out (Перерыл кэширования) и Lookup Time-Out (Перерыв при поиске). По умолчанию DNSкэшируст записи WINS па 15 минут, а время ожидания — 2 секунды. Обычно стоит увеличить эти значения. Попробуйте 60 минут для кэширования и 3 секунды для времени ожидания. 4. Щелкните ОК. Понторите этот ПРОЦЕССдля других доменов/подсетей.

Настройка полной интеграции с областями NetBIOS

Когда ны настраиваете полную интеграцию, поиск может быть разрешен при помощи NetBIOS-имен компьютеров и областей NetBIOS. Здесь прямой поиск работает так: DNS-cepвер ищет запись адреса для полного доменного имени и, если находит, использует ее, чтобы разрешить имя, применяя только DNS; если запись не найдена, сервер извлекает самую левую часть имени как NetBIOS-имя компьютера и остаток имени как область NetBIOS, а затем направляет эти значения WINS для разрешения имени. Полная интеграция WINS и DNSнастраивается так. ]. В консоли DNSщелкните правой кнопкой настраиваемый домен/подсеть и выберите Properties.