4. Сервер имен .com уполномочен для всех имен с суффиксом .com. Этот сервер знает расположение всех DNS-серверов, уполномоченных для отдельных имен, заканчивающихся на .com. В данном случае он посылает запрос на DNS-сервер, уполномоченный для имени microsoft.com.
5.DNS-сервер, уполномоченный для имени microsoft.com, отсылает клиентскому компьютеру соответствующий IP-адрес запрашиваемой страницы.
6.Система разрешения имен на компьютере клиента использует этот IP-адрес для запроса страницы у своего провайдера Интернета.
7.Если страница еще не помещена в локальный к э ш провайдера Интернета, провайдер запрашивает страницу и пересылает ее клиенту.
Новая веб-страница Microsoft TechNEt по адресу http://technet.microsoft.com
На локальный DNS-сервер посылается запрос
DNS-сервер посылает запрос именной ссылки на сервер-имен .com
Запрос пересылается на DNS-сервер,; уполномоченный для имени.:
•Microsoft.conv ; г . .
DNS-серверMicrosoftcomnepecbwaeT
клиенту соответствующий IP-адрес
Система разрешения имен клиента » использует IP-адрес
для запроса веб-страницы. • - .-
. Веб-страница пересылается:
.пользователю
Начинается процесс разрешения имени
DNS
Сервер имен .com
.com name server
Уполномоченный DNS-сервер
IP-адрес
Authorative DNS server
IP-адрес
Рис. 9-5. Процесс разрешения имен DNS
Эта процедура разрешения имен выполняется в течение нескольких секунд; насколько быстро открывается веб-страница, зависит от скорости подключения и текущей нагрузки запрашиваемого сервера. Ход выполнения процесса отображается в виде зеленого индикатора в нижней части браузера. Во время
Занятие 1 Установка DNS 4-j g
выполнения процесса на ваш компьютер загружается и такое содержимое, как текст и графика.
Система DNS не может работать самостоятельно. Для разрешения имен она должна связываться с другими серверами. Служба DNS использует собственную терминологию. В табл. 9-2 описаны основные термины, применяемые при работе с DNS.
Табл. 9-2.
Термины и концепции DNS
Термин
Описание
Интегрированная зона Active Directory (Active Directory Integrated zone, ADI) Срок действия (Aging)
Разделы каталога приложений
DDNS
Сообщение DNS
Notify
Доменная зона DNS
DNS-зона леса Прямой просмотр
Зона прямого просмотра
При интеграции в Active Directory зона DNS помещается в базу данных AD DS (файл с именем NTDS.dit) и реплицируется в каталоге вместе с другими данными
Записи DNS имеют срок действия, или время жизни TTL (Time То Live). Когда срок действия записи истекает, она становится недействительной н может приводить к ошибочным результатам Данные DNS, которые хранятся в базах данных каталогов AD DS, по умолчанию реплицируются вместе с данными каталога, с которыми они связаны. Однако для данных DNS можно определить настраиваемую область репликации. Например, данные DNS, принадлежащие корневому домену леса, должны быть доступны для всего леса. Управление областью репликации данных осуществляется с помощью разделов каталога приложений
Служба DNS, которая может автоматически обновляться клиентами. В Windows Server 2008 служба DDNS устанавливается при инсталляции службы DNS вместе с AD DS. Поскольку все клиенты в реализации DDNS располагают учетными записями AD DS, они защищены и авторизованы для обновления DNS-сервера своими записями
Традиционные или предыдущие DNS-серверы управляют данными в локальных файлах. Эти файлы локализованы на основном сервере. Они часто пересылаются с помощью механизма опроса и передачи зон для чтения лишь дополнительных серверов. Однако записи в больших зонах часто нужно обновлять, что может привести к появлению некорректных записей на дополнительном сервере. Для решения этой проблемы DNS использует особый процесс, уведомляющий подчиненные серверы о доступности'обновления, которое затем предлагает передавать зону на серверы лишь с правом чтения Зона, которая содержит записи отдельного корневого или дочернего домена в структуре леса AD DS
Зона, которая содержит записи всего леса в структуре леса AD DS Система DNS поддерживает два типа поиска или просмотра: прямой и обратный. Прямой просмотр осуществляется путем предоставления запрашиваемого FQDN-именн серверу, который затем сопоставляет это FQDN-имя с соответствующим IP-адресом Содержит контейнеры DNS (базы данных и текстовые файлы), включающие разрешение имен для прямого просмотра
(см. спеястр.)
4 20
Интеграция DNS с AD DS
Глава 9
Табл. 9-2 (продолжение)
Термин Описание
Серверы пересылки
Зона GlobalNames (GlobalNames Zone, GNZ)
DNS-серверы используют два механизма для разрешения имен: серверы пересылки и корневые ссылки. DNS-серверы, обеспечивающие службы разрешения имен для внутренней сети, часто используют серверы пересылки для передачи иа доверенный внешний DNS-сервер всех запросов, которые не могут разрешить сами. В Windows Server 2008 также можно использовать условную пересылку для запросов с соответствующими условиями. Например, если имя предназначено для внутреннего домена, но не управляется данным сервером, сервер может автоматически переслать запрос иа внутренний сервер имен этого домена
Имена NetBIOS из одной метки не используют формат FQ.DN. Например, низкоуровневые имена компьютеров состоят из одной метки. По традиции этими именами управляет служба Windows Интернет-имен WINS (Windows Internet Name Service). Что-
бы исключить эту старую службу из сети Windows, корпорация Microsoft реализовала в DNS системы Windows Server 2008 зону GlobalNames, которая может содержать имена из одной метки
и заменять WINS в сети Windows
Предыдущая версия DNS
Нединамические DNS-серверы, где записи зон обновляются вручную. В соответствии с документацией RFC, определяющей стандарты протокола DNS в Интернете, Windows Server 2008 может поддерживать старые DNS-серверы, а также динамическую DNSслужбу для AD DS. Ранние DNS-серверы содержат основные или дополнительные зоны
Рекурсия имен
Разрешение имен может быть итеративным или рекурсивным.
В итеративном запросе каждый DNS-сервер хранит лишь часть
ответа на запрос и для получения полного ответа на должен запро-
сить другие DNS-серверы. В рекурсивном запросе DNS-сервер
хранит полный ответ и предоставляет его запрашивающей стороне.
По истечении срока действия записей рекурсивный запрос может
указать в ответе неправильный IP-адрес
Основные зоны
Зоны, которые содержат информацию с правом чтения и записи
для отдельного домена. Основные зоны хранятся на нединамичес-
ких и динамических DNS-серверах. Те из них, которые хранятся на
нединамических DNS-серверах, содержатся в текстовых файлах,
вручную редактируемых администратором. Основные зоны иа
DDNS-серверах содержатся в Active Directory и автоматически
обновляются каждым хранителем записей или вручную админист-
ратором
Записи ресурсов
Обратный просмотр
Зона обратного просмотра
Записи имен в базах данных DNS. Записи ресурсов обычно связываются с IP-адресами с использованием FQDN-имени
Система DNS поддерживает два вида просмотра: прямой и обратный. Обратный просмотр выполняется путем предоставления IP-адреса и запрашивания FQPN-имеии, соответствующего этому адресу
Содержит контейнеры DNS (базы данных или текстовые файлы), включающие разрешение имен для обратного просмотра в отдельном домене
Занятие 1
УстановкаDNS 4"| 421
Табл. 9-2 (продолжение)
Термин
Описание
Корневые
DNS-серверы содержат два механизма разрешения имен: серверы
ссылки
пересылки и корневые ссылки. DNS-серверы, обеспечивающие
службы разрешения имен для внутренней сети и располагающие
прямым подключением к Интернету, могут использовать корне-
вые ссылки с целью локализации серверов, уполномоченных для
корневых имен в Интернете, таких, например, как .com, .org, .net
и т. д., и предоставления служб разрешения имен внутренним
клиентам. По умолчанию DNS-серверы Windows Server 2008
используют корневые ссылки для внешнего разрешения имен.
Эти корневые подсказки регулярно обновляются в центре обнов-
ления Windows (Microsoft Windows Update). Корневые ссылки
содержатся в особом файле Cache.dns, который также можно
использовать для изменения корневых подсказок в случае воз-
никновения проблем с процессом внешнего разрешения имей
Алгоритм
DNS-службы можно использовать для обеспечения высокой сте-
Round-Robin
пени готовности. С этой целью для одного ресурса создается мно-
жество записей, в каждой из которых указан отдельный IP-адрес.
При получении запроса DNS-сервер предоставит первый адрес, затем второй, третий и т. д., обеспечивая баланс нагрузки среди множества серверов, управляющих одной и той же службой.
Например, серверы Edge Transport Server в Microsoft Exchange Server 2007, которые подключены к Интернету, а также принимают и пересылают внутреннюю электронную почту, используют алгоритм Round-Robin для балансировки нагрузки электронной почты
Дополнительная
зона
Оценка и очистка записей сервера
Имена из одной метки
Запись SOA (Start Of Authority)
Зона только для чтения, полученная с основного DNS-сервера. Дополнительные зоны обеспечивают локальное разрешение DNS в распределенных сетях
Компонент, который появился вместе с динамической службой DNS в Windows 2000 Server. Поскольку записи обладают возрастом (или временем жизни), они могут устареть по истечении срока действия. Очистка записей сервера выполняется в базе данных DNS с целью локализации и удаления устаревших записей Имена NetBIOS, которые не используют формат FQDN. Например, низкоуровневые имена компьютеров состоят из одной метки. Эти имена включают 16 символов и не поддерживают такие знаки, как точки. Можно использовать только первые 15 знаков имени из одной метки, поскольку шестнадцатый символ зарезервирован системой для заполнения имени. По традиции управление этими именами осуществляет служба WINS. В DNS системы Windows Server 2008 вместо WINS можно использовать зону GNZ
Особая запись DNS с такой информацией домена, как схема обновления записей, интервал проверки обновлений на других DNS-серверах, а также время и дата первого обновления, вместе
сдругими сведениями, в том числе информация о контактах
сдоменом н т. д. В файле зоны может содержаться только одна запись SOA. Запись SOA должен содержать каждый файл зоны
(см. след. стр.)
Глава 9
Табл.9-2 (окончание)
Термин
Зона-заглушка
Время жизни TTL
Делегирование
зои
Очистка зон
Передачи зон
Описание
Особый тип зоны, содержащей лишь записи других DNS-серверов, поддерживающих саму зону. Эта зона может ускорить разрешение имен и снизить вероятность возникновения ошибок, поскольку зоны-заглушки используются как ссылки на другие DNS-серверы, уполномоченные для зоны
Каждая запись DNS располагает временем жизни TTL (Time То Live). Это значение определяет срок действия записи. По истечении срока действия запись может быть удалена в процессе очистки. Однако если запись остается подлинной до окончания срока жизни, ее можно обновить, обновив таким образом значение TTL Делегирование используется для передачи управления различными секциями пространства имен. Например, корпорация Microsoft может делегировать различные секции своего именного пространства, в частности секции MSDN и TechNet пространства Microsoft, com, чтобы администрирование этих секций осуществляли другие подразделения корпорации. При управлении пространствами имен DNS в AD DS нужно делегировать зоны новых создаваемых доменов, поскольку в противном случае управление зоной будет осуществляться иа уровне леса, а не на уровне домена. В Windows Server 2003 это делегирование приходилось выполнять вручную перед созданием домена. В Windows Server 2008 мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) автоматически выполняет делегирование при создании дочернего домена
Очистка выполняется на DNS-сервере для удаления старых записей, время жизни (TTL) которых истекло. Очистка зон осуществляется в случае применения процесса очистки к отдельной зоне, а не ко всему серверу
Транзакции, которые DNS-серверы используют для репликации информации с одного сервера на другой. При полной передаче зоны все ее содержимое пересылается на один или несколько других DNS-серверов, при инкрементной передаче пересылается лишь поднабор данных. По традиции полная передача выполняется в асинхронном режиме передачи AXFR (Asynchronous Full Transfer), а инкрементные передачи выполняются в инкрементном режиме передачи IXFR (Incremental Zone Transfer). В Windows Server 2008 также поддерживаются безопасные передачи зон, которые выполняются посредством репликации с множеством равноправных участников (Multimaster)
Служба DNS в Windows Server 2008 поддерживает три типа зон, как показано на рис. 9-6.
м
Основная зона Зоны, которые можно интегрировать в AD DS, или стан-
дартные зоны. Эти зоны уполномочены для содержащегося в них про-
странства имен. Основные зоны (за исключением зон, размещенных на
контроллере R O D C ) предоставляют право чтения и записи.
•
Дополнительная зона
Стандартный устаревший тип зон, содержащих
только реплику данных,
поддерживаемых основным или уполномочен-
Занятие 1
Установка DNS 4"| 423
ным сервером именного пространства. При создании дополнительной зоны в DNS нужно указать адрес основной зоны или источника ее данных.
• Зоиа-заглушка Зоны, которые являются лишь указателями на другие серверы, уполномоченные для поддерживаемого именного пространства. При создании зоны-заглушки нужно указать список серверов, уполномоченных для этого именного пространства.
Тип зоны
ONS-cepMp поддерживает разгмчные типы зон и хранения информации
Выберите тип зоны, к о т с р у ю необходимо создать:
Основная зона
Созд»,ие KOfww :•>*.< непосредственно обновляемой нз данной сервере.
СДополнительная зона
Создание к о т и * зоны, р а ш о л о ж е ж о й на другой сервере. Это позволяет распределять нзгрузку о с н о в а х серверов и обеспечивает отказоустойчивость.
Зона-заглушке
Создание котам зсеты, содержащей только затаю! сервера имен (fJ J). началиые з а т о ! зоны (SOA) и, возможно, связанные записи узлов (тип А). Сервер, содержании зану-заг л у н к у , не является полномочным для этом зоны.
I»* Сохранять з о н / в Active Directory (доступно только для DfJS-ceceepa,
являющегося доступный для записи крнтроллерон доиена)
< Назад | Далее > |
Отмена |
Рис. 9-6. Мастер создания новой зоны позволяет создать любую из трех поддерживаемых зон
Все типы зон можно хранить в текстовом файле или в разделе каталогов Active Directory.
СОВЕТ К ЭКЗАМЕНУ
При подготовке к сертификационному экзамену 70-640 запомните эти типы зон. В DNS одну зону можно заменить другой, однако помните, что самым распространенным типом является основная зона. Этот тип используется в структуре AD DS при интеграции в нее службы DNS.
Зоны представляют собой контейнеры, которые содержат информацию об управляемых ими объектах. Эта информация представлена в виде записей. В DNS могут содержаться различные типы записей. Наиболее распространенные типы записей, используемых DNS в Windows Server 2008, описаны в табл. 9-3.
Записи, перечисленные в табл. 9-3, обеспечивают основную функциональность DNS в Windows Server 2008.
СОВЕТ К ЭКЗАМЕНУ
В табл. 9-3 перечислены самые распространенные типы записей, однако при подготовке к сертификационному экзамену 70-640 следует просмотреть все типы записей, Поддерживаемые DNS-сервером Windows Server 2008.
Указатель PTR (Pointer)
Расположение службы SRV (Service Location)
4 24
Интеграция DNS с AD DS
Глава 9
Табл. 9-3.
Типы записей DNS в Windows Server 2008
Тип записи
Использование
Псевдоним CNAME
Предназначена для создания альтернативной записи или псев-
(Alias)
донима DNS для имени, уже указанного в еще одной записи
конкретной зоны. Эта запись также называется каноническим
именем CNAME (Canonical Name). Например, если вам нужно
создать такую запись, как intranet.contoso.com, указывающую
сервер или ферму серверов Microsoft Office SharePoint Server,
вы можете создать псевдоним. В качестве псевдонима можно
указать более функциональное имя, чем.имя сервера
Узел (А гаи АААА)
Самый распространенный тип записи в DNS. Эти записи пред-
ставляют объекты компьютеров в пространстве имен и исполь-
зуются для разрешения IP-адресов устройств
Почтовый обмеиник
Маршрутизирует сообщения электронной почты в конкретном
MX (Mail Exchanger)
именном пространстве. Например, запись MX пространства
имен contoso.com указывает, что вся электронная почта, направленная в contoso.com, должна пересылаться через компьютер или компьютеры, идентифицированные в этой записи Указывает конкретное расположение в пространстве имен. Записи PTR обычно используются для обратного просмотра
в именном пространстве
Указывает расположение конкретной службы TCP/IP. Например, чтобы использовать Microsoft Office Communications Server, нужно создать запись о расположении службы протокола установления сеанса SIP (Session Initiation Protocol)
иуказать все устройства, которые используют данную службу
всети. Аналогичным образом службы AD DS создают несколько записей расположения служб для поддержки входа
ипроцессов распространения групповой политики. Записи расположения служб обычно состоят из IP-адреса сервера
иTCP/IP-порта, на котором доступна служба
Компоненты DNS в Windows Server 2008
DNS-сервер Windows Server 2008 полностью соответствует стандартам RFC, генерируемым специальной комиссией интернет-разработок I E T F (Internet Engineering Task Force) (http://www.ietf.org), а также содержит набор компонентов, предназначенных для поддержки функций сетевой операционной системы NOS (Network Operating System) в AD DS. Сервер DNS в Windows Server 2008 также может оперировать с DNS-серверами на основе Windows, поскольку он отвечает всем стандартам RFC, связанным с DNS.
При интеграции DNS в AD DS данные DNS можно хранить в различных местах базы данных каталогов, в том числе в разделе Domain каталога. Эта опция применяется для данных, представляющих сам домен. Например, дочерний домен в лесу обычно располагает данными, которые хранятся в его разделе Domain, чтобы все DNS-серверы в домене могли получать к ним доступ. Данные также можно хранить в разделах каталога приложений. В отличие от разделов домена, область репликации разделов каталога приложений является управляемой. Например, DNS-данные леса хранятся в разделе каталога при-
Занятие 1
Установка DNS 4"| 425
ложений, который распространяется во всем лесу. Таким образом, эти данные доступны всем DNS-серверам в лесу. По умолчанию DNS в Windows Server 2008 создает два раздела каталога приложений для управления данными DNS в каждом лесу. Эти разделы получают имена соответственно ForestDnsZones и DomainDnsZones. Кроме того, раздел DomainDnsZones создается в каждом дочернем домене леса для управления данными этого домена.
СОВЕТ К ЭКЗАМЕНУ
Области репликации DNS — ключевая тема сертификационного экзамена 70-640. Проанализируйте их в своей реализации DNS-сервера и определите содержимое для каждого типа области действия.
В Windows Server 2008 служба DNS улучшена с точки зрения поддержки фоновой загрузки зон. Когда DNS-сервер управляет значительным количеством зон и записей AD DS, для его запуска может потребоваться больше времени, поскольку перед обслуживанием запросов ему необходимо загрузить данные всех зон. Используя фоновую загрузку, служба DNS может быстрее отвечать на запросы, продолжая загрузку данных в фоновом режиме после запуска компьютера и входа в систему.
С целыо поддержки новой роли контроллера домена только для чтения DNS-сервер контроллера R O D C предоставляет DNS-данные основных зон лишь с правом чтения. Эта мера предпринята с целыо обеспечения безопасности, чтобы на потенциально незащищенных серверах никто не мог создавать записи для проникновения в сеть.
СОВЕТ К ЭКЗАМЕНУ
Помните, что на контроллерах RODC используются основные зоны DNS с правом чтения. По традиции зоны только для чтения являются дополнительными зонами.
Чтобы исключить службу W I N S из сетей и по-прежнему поддерживать имена из одной метки или имена, в которые не включены имена родителей (например, SERVER10 вместо SERVER10.contoso.com), в структуру DNS добавлена зона GNZ (GlobalName Zone). Эту зону можно использовать для управления небольшим числом имен со статическими IP-адресами.
СОВЕТ К ЭКЗАМЕНУ
Помните, что зоны GNZ позволяют заменить реализацию WINS только при управлении небольшим количеством имен из одной метки. Имена из одной метки или NetBIOS часто необходимы старым приложениям, которые не могут работать с более сложной структурой FQDN. Имена из одной метки появились еще в сетях и приложениях Windows NT. В большинстве случаев организациям следует удалять такие приложения из своих сетей, за некоторыми исключениями. Зоны GNZ предназначены, для поддержки этих нескольких приложений, используемых в качестве исключения. Однако если организации нужно использовать много имен из одной метки, вместе с DNS следует реализовать службу WINS.
115 Зак. 3300
Глава 9
И наконец, для защиты от подделки записей DNS теперь поддерживает добавление списков глобальной блокировки запросов. Когда клиенты используют такие протоколы, как WPAD (Web Proxy Automatic Discovery Protocol) или ISATAP (Intra-site Automatic Tunnel Addressing Protocol), и разрешают имена узлов с помощью DNS, то они становятся уязвимыми для злоумышленников, применяющих динамическое обновление для регистрации компьютеров, не являющихся официальными узлами.
Протокол WPAD обычно используется веб-браузерами для автоматического обнаружения параметров сетевого прокси-сервера. Имитация этого адреса может перенаправлять пользователей на вредоносные серверы, представляющие собой официальные прокси-серверы и потенциально взламывающие сеть. Протокол передачи ISATAP обеспечивает совместную работу сетей IPv4 и IPv6, инкапсулируя пакеты IPv6 в формате IPv4 д л я пересылки через маршрутизаторы. Этот протокол не поддерживает динамическое обнаружение маршрутизаторов, а использует список потенциальных маршрутизаторов для идентификации потенциальных маршрутизаторов ISATAP. В случае взлома данного списка пакеты IPv6 могут маршрутизироваться на вредоносные маршрутизаторы и в свою очередь быть взломанными .
Такие потенциальные уязвимости можно устранить путем блокирования списков запросов, которые содержат конкретные диапазоны адресов. В списки блокирования адресов включается только левая часть F Q D N - и м е н и . Когда DNS-сервер получает запрос с указанием этого имени, возвращается сообщение о том, что такой записи не существует. По умолчанию DNS-сервер генерирует указанный список при установке или обновлении существующей службы DNS. Если существует один из двух протоколов, он не будет блокироваться. Если протоколов не существует, они будут блокированы. Кроме того, в этот список можно добавлять свои имена для блокирования имен — в таком случае ими нельзя будет оперировать в сети.
К СВЕДЕНИЮ Глобальные списки блокирования запросов
Более подробные сведения о списке блоков запросов DNS можно найти иа веб-сайте компании Microsoft.
Короче говоря, служба DNS в Windows Server 2008 полностью поддерживает все стандартные функции DNS-сервера, а также содержит настраиваемые компоненты, доступные только в Windows.
Контрольные вопросы
1.Какие основные типы адресов используются в IPv6 и какой тип используется по умолчанию в системах Windows Server 2008 и Windows Vista?
2.В чем состоит основное различие между PNRP и DNS?
3.Какие два типа DNS-серверов только для чтения поддерживаются в Windows Server 2008?
4.Каким будет первый шаг в процессе входа AD DS?
5.Какой тип делегирования может быть автоматически удален мастером установки доменных служб Active Directory?
Занятие 1
Установка DNS 4"| 4 2 7
Ответы на контрольные вопросы
1.Самыми распространенными типами IPvG-адресов являются локальный адрес канала, локальный адрес узла и глобальный однонаправленный адрес. По умолчанию Windows Server 2008 и Windows Vista используют динамические IPvG-адреса. Однако при наличии в сети серверов DHCPv6 интерфейсу автоматически назначается локальный 1Ру6-адрес канала.
2.Основное отличие между PNRP и DNS состоит в количестве записей, которое может содержать каждая система. Система PNRP может содержать миллионы записей имен, а система DNS намного скромнее и использует для именования иерархию серверов.
3.DNS-сервер в Windows Server 2008 поддерживает два режима чтения. Первый режим представлен традиционными дополнительными серверами DNS. Дополнительные DNS-серверы подчинены одному или нескольким основным серверам и содержат лишь копии данных, полученных из источника с правом чтения-записи. Вторым типом сервера с правом чтения является DNS-сервер иа контроллере RODC. Однако этот DNS-сервер содержит основные зоны с правом чтения.
4.Первый шаг в процессе входа AD DS состоит в запуске запроса DNS для локализации SRV-записи ближайшего контроллера домена. В случае разрешения этой записи может начинаться процесс входа, заключающийся в обмене данными с контроллером домена.
5.Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) поддерживает удаление любого делегирования. Это означает, что он удаляет делегирование дочерних доменов, но не может удалить делегирование высшего уровня, поскольку корневые серверы расположены в Интернете и у вас нет доступа к ним.
Интеграция в AD DS
С учетом особых возможностей Windows всегда развертывайте DNS-сервер Windows одновременно с доменными службами AD DS. Для поддержки разрешения имен AD DS также можно использовать сторонний DNS-сервер, однако для его подготовки потребуется выполнить намного больше работы, чем при использовании сервера, встроенного в Windows. При использовании DNSсервера Windows вместе с AD DS все содержимое DNS конфигурируется по умолчанию. Таким образом, установка DNS интегрируется мастером установки контроллера домена. При установке DNS вместе с AD DS реализуются несколько задач, которые обычно полностью прозрачны для администратора, запустившего мастер. Эти операции выполняются только во время создания леса, доменного дерева или нового домена в существующем лесу.
Если службы AD DS развертываются для корневого домена леса, система DNS создает заполнители для зон прямого просмотра FLZ (Forward Lookup Zone), зон обратного поиска RLZ (Reverse Lookup Zone) и серверов условной пересылки CF (Conditional Forwarder). Затем DNS генерирует внутри FLZ две новые зоны. Первая из них служит контейнером для всего леса пространства имен, которое создается во время установки AD DS, и обычно получает
