Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5117 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Харьковский национальный университет радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory

.pdf
Скачиваний:
267
Добавлен:
02.02.2021
Размер:
8.2 Mб
Скачать

f 448

Интеграция DNS с AD DS

Глава 9

и пытается сохранить его в зоне обратного просмотра (RLZ), соответствующей зоне прямого просмотра (FLZ), где локализована запись. Если зоны обратного просмотра не существуют, эти записи никогда не генерируются.

К СВЕДЕНИЮ

Принцип динамических обновлений

Более подробную информацию о работе динамических обновлений можно найти по адресу http://technet2.microsoft.com/windowsserver/en/libraiy/e760737e-9e55-458d- b5ed-a1ae9e04819e1033.mspx?mfr=ttve.

Если вам необходимы зоны обратного просмотра (RLZ), создайте их для соответствующих зон прямого просмотра (FLZ). Создайте зону для каждой именованной зоны FLZ. В реализации DNS с интеграцией в Active Directory зона обратного просмотра создается для каждой DNS-зоны домена. В лесу из множества доменов нужно создать зону RLZ для.зоны корневого домена, всех дочерних доменов и всех доменных деревьев. Используйте для этого следующую процедуру.

1.В узле DNS-сервер (DNS Server) Диспетчера сервера (Server Manager) выберите секцию Зоны обратного просмотра (Reverse Lookup Zones).

2.Щелкните правой кнопкой контейнер Зоны обратного просмотра и примените команду Создать новую зону (New Zone).

3.Просмотрите информацию в окне приветствия и щелкните кнопку Далее (Next).

4.Выберите тип Основная зона (Primary Zone), установите флажок Сохранять флажок в Active Directory (Store The Zone In Active Directory) и щелкните кнопку Далее (Next).

5.Поскольку зоны обратного просмотра привязаны к конкретному доменному имени, выберите область репликации Для всех DNS-серверов в этом домене (То All DNS Servers In This Domain) и щелкните кнопку Далее (Next).

6.На странице Имя зоны обратного просмотра (Reverse Lookup Zone Name) выберите IPv4 или IPv6 и щелкните кнопку Далее (Next).

Помните, что в обратном просмотре IP-адрес сопоставляется с именем. Вы должны создать зону обратного просмотра для типа IP-адресации, используемой в сети. Если вы используете IPv4 и IPv6, нужно создать две зоны. Имя зоны генерируется на следующей странице. Вид этой страницы зависит от используемой версии IP.

7.Если вы используете IPv4, введите ID сети для зоны. Отметим, что при вводе сетевого адреса имя генерируется автоматически в нижней части страницы в секции Имя зоны обратного просмотра (Reverse Lookup Zone Name).

8.Щелкните кнопку Далее (Next).

Если вы используете IPv6, одновременно можете добавить до восьми зон. Помните, что ареса IPv6 используют шестнадцатеричный формат. Напри-

Занятие 2

Настройка и использование DNS 45-1

мер, если вы и с п о л ь з у е т е в

сети л о к а л ь н ы е адреса узла, можете ввести

адресную о б л а с т ь / е 8 0 : : / 6 4 . П р и этом в секции З о н ы обратного просмотра

(Reverse L o o k u p Zones) с т р а н и ц ы

автоматически генерируется имя зоны.

Если вам н у ж н а т о л ь к о одна зона,

переходите к следующей странице.

 

х|

Имя зоны обратного просмотра

Зона обратного просмотра отображает IP-адреса в DNS-tmeHa.

Для именования зоны обратного проснотра с автоматическим созданием имен зон введите префикс IPv6-адресов. 8 зависимости от введенного префикса может быть создано до 8 юн.

Префикс lPv£-aapecoe:

J fe80::/64

Зоны обратного просмотра

0 0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.p6.arpa

< Цазад | Далее > | Отмена

9. На следующей странице выберите тип динамического обновлення, который

хотите

разрешить . В б о л ь ш и н с т в е случаев следует выбирать опцию Раз-

решить

только безопасные д и н а м и ч е с к и е обновления (Allow Only Secure

Dynamic U p d a t e s ) . Щ е л к н и т е к н о п к у Далее (Next). Щелкните кнопку Готово (Finish), чтобы создать з о н у

Динамическое обновление

Можно разрешить зтои DNS-зоне принимать безопасные или небезопасные Щ " динамические обновления или запретить их.

Дима»«ческие обновления позволяют DNS-клиентам регистрироваться и динажмески обновлять свои sarwoi ресурсов на DNS-сервере при и» изменении.

Выберите нужный тип динашчеосого обновления:

(* Разрешить только безопасные динамические обновления (ресоменд. для АО) >та возможность доступна только для зон, интегрирован*** с Active Directory.

СРазрешить любые динамические обновления Динамические обновления могут выполняться любьн юыемтон.

Этот параметр опасен, поскольку обновления могут быть получены от

1источников, не заслуживающих доверия.

ГЗапретить динамические обновления

Динамические обновления записей ресурсов не приминаются этой зоной. Необходимо выполнить обновлена врущую.

I Созданные зоны начинают обеспечивать поддержку управления записями при выполнении следующего динамического обновления в клиентских системах.

450

Интеграция DNS с AD DS

Глава 9

СОВЕТ К ЭКЗАМЕНУ

' Попрактикуйтесь в работе с зонами и их свойствами, поскольку они являются важной темой сертификационного экзамена 70-640.

Контрольные вопросы

1.Почему на DNS-сервере нужно конфигурировать очистку записей?

2.В каких случаях необходимо создавать зоны обратного просмотра?

Ответы на контрольные вопросы

1.Каждой создаваемой записи имени DNS назначается время жизни TTL (Time То Live). Это значение определяет срок действия информации в записи. Если запись не обновляется, она устаревает. В процессе оценки и очистки на DNS-сервере устаревшие записи удаляются автоматически с целыо снижения вероятности ошибочных ответов на пользовательские запросы данных DNSсервера.

2.Зоны обратного просмотра чаще всего используются для безопасных вебприложений, которые должны проверить IP-адреса систем, с которыми связываются. Если в сети нет таких приложений, зоны обратного просмотра не нужны.

Создание настраиваемых записей

Последний этап настройки конфигурации DNS-сервера состоит в создании настраиваемых записей для зон прямого просмотра. Настраиваемые записи создаются вручную и определяют различные службы в сети. Далее описаны ситуации, когда создаются настраиваемые записи.

Запись MX, указывающая почтовые серверы.

Запись псевдонима, например intranet.имя_домеиа, для указания фермы серверов Office SharePoint Server, поддерживающей совместную работу в сети.

Записи SRV для различных служб в сети. Например, для развертывания Microsoft Office Communication Server нужно создать записи SIP.

Со временем вы определите, какие настраиваемые записи вам нужны. Во внутренней сети записи редко создают вручную, так как клиентские системы инициируют динамический процесс обновления.

СОВЕТ К ЭКЗАМЕНУ

Попрактикуйтесь в создании записей, поскольку это также является важной темой сертификационного экзамена 70-640.

Серверы пересылки и корневые ссылки

Разрешение имен выполняется с помощью двух основных методов. DNS-сер- веры либо содержат корневые ссылки, позволяющие идентифицировать и локализовать DNS-серверы, уполномоченные для корневых имен, либо исполь-

Занятие 2

Настройка и использование DNS

45-1

зуют серверы пересылки для перенаправления на еще один сервер, который осуществляет просмотр.

По умолчанию DNS-сервер Windows использует для просмотра корневые ссылки. Это означает, что если пользователям нужно выполнить поиск в Интернете, DNS-серверы будут связываться с серверами имен. В небольших организациях такая модель вполне приемлема, поскольку даже если ваши DNSсерверы открывают себя, непосредственно связываясь с Интернетом, подключение инициируют именно ваши серверы. Внешние системы только реагируют на инициируемое подключение, но не могут инициировать его сами.

Тем не менее в сетях с высоким уровнем безопасности вместо корневых ссылок могут применяться серверы пересылки. Например, в периметре сети можно разместить два независимых DNS-сервера и связать внутренние DNSсерверы с этими серверами через брандмауэры. Когда внутреннему серверу нужно разрешить имя Интернета, он связывается с серверами, расположенными в периметре, и запрашивает выполнение поиска имени. Таким образом, с внешним миром будут связываться только защищенные независимые серверы, расположенные в периметре сети.

Серверы пересылки конфигурируются в свойствах DNS-сервера на вкладке Пересылка (Forwarders) диалогового окна Свойства (Properties) сервера DNS, показанной на рис. 9-15. Когда серверы пересылки конфигурируются из соображений безопасности, сбросьте флажок Использовать корневые ссылки, если нет доступных пересылок (Use Root Hints Option If No Forwarders Are Available), поскольку в противном случае, если серверы в периметре сети не отвечают, внутренние DNS-серверы будут напрямую связываться с Интернетом.

 

иы'-ьми. !.'• ТМГГГНГ"

 

jj«j

i

Чорывяыа ссыпки

I

бвванпа журима отладки

 

Ж,р«ал событий I

Набшодйниа

j

Безопасность

 

ЛттврсеЛсы

Пересылка

j

Лолсгнительно

 

Л(ева*ткняаЛяюТсрО,Аз-с«рввра>»..которь.ед»«имДсервер

 

мо»атиспопьзомтъ для разрешения DNS-залросов длвзумсад,

 

которые не могут быть pcjrtffc. де^пт-. серзесо-

 

 

Г IP-адрес

I Сервер MDN

I

 

1S2.16S.012

SERVERIO

 

к

132 1&8152А

сЛствнтка разрешении .

 

(7 Матогьасаатькорне«*»е ссылки всяинвт

) Изменить I

достут^шхпереоылск

'

Пр»печ1н»в Если для саыееъ амиенэ wee Делены клееные гтесвсы,ки, они б,дут использоваться вместо пересылок на троена сервере* ЧтрСы создать иты просмотреть условна тчеесылки пврейлпвнаузвл 'ОсверыусловтР. пеевсыяот' в дерева вадаспй

ОК

)

Отмене j Пр,*миить j

Справка

 

 

 

 

 

Рис. 9-15. Настройка пересылки в DNS

В конфигурации DNS также можно использовать условную пересылку. Условные пересылки используются для направления запросов с конкретными

 

452

Интеграция DNS с AD DS

Глава 9

I

условиями. Например, с помощью условных пересылок можно связывать два

|

пространства имен только в том случае, когда пользователь запрашивает от-

Iдельное имя.

'Рассмотрим следующий сценарий. Ваша сеть охватывает два леса. Первым является производственный лес, который содержит учетные записи всех пользователей организации. Второй лес, особый, был создан для тестирования интеграции сторонних приложений со схемой леса AD DS перед развертыванием в производственном лесу. Поскольку схема леса меняется, вы не можете связать леса с помощью доверительной связи лесов. Поэтому вы создаете в каждом лесу условные пересылки, чтобы пользователи в производственном домене, по большей части являющиеся разработчиками и профессионалами IT, могли связываться с лабораторным доменом.

Для условных пересылок в конфигурации DNS-сервера предусмотрен отдельный контейнер.

1.Чтобы создать условную пересылку, щелкните правой кнопкой мыши узел Серверы условной пересылки (Conditional Forwarders) и примените команду Создать условную пересылку (New Conditional Forwarder).

2.Введите имя домена DNS, для которого хотите создать пересылку.

3.Щелкните строку <Щелкните здесь, чтобы добавить IP-адрес или DNSимя> (<Click Here То Add An IP Address Or DNS Name>) и введите IP-адрес сервера.

Ш

IP-адресе основах серверов:

IP-адрес

I Сервер f QDN

I Проверка выполнена

сЩежжтс здесь, чтобы добавить IP-адрес или DNS-имя >|

17 Сохранять условную лересыжу в Active Director у и реплицировать ее следующим образом:

(все DNS-cepeepbi в этом домене

{

,Не будет выполняться репликация на Dffi-cepeepoi, являсшиеся

'контроллерами домена с ОС ад Wndowt Server 20QS

Зреия ожидали лерешл«л (сек): 15

Полное доменюе имя сермра будет недоступно, ее ли не настроены соответствующие зоны обратного проо«отрд и записи.

ш Ш . OX j Отмена

4.Добавьте в список хотя бы два сервера.

5.Рекомендуется сохранить условную пересылку в Active Directory и определить область репликации для пересылки. Щелкните ОК.

Впредыдущем примере данные реплицируются только в производственный домен, так как их не нужно реплицировать во всем лесу. В других случаях может возникнуть необходимость в репликации этих данных во всем лесу.

Занятие 2

Настройка и использование DNS 45-1

Отметим, что при создании условной пересылки для домена в узле Серверы условной пересылки (Conditional Forwarders) создается новый контейнер. Каждый раз, когда пользователь будет запрашивать разрешение этого доменного имени, DNS-серверы автоматически будут направлять этот запрос на DNS-серверы, указанные в списке.

Управление именами из одной метки

Чтобы получить возможность управлять именами из одной метки, нужно вручную создать зону GNZ (GlobalName Zone). Для каждого леса требуется одна зона GNZ. Базовый процесс создания GNZ состоит из пяти шагов, однако он должен выполняться на каждом DNS-сервере в лесу. Если вы используете DNS-серверы, интегрированные в Active Directory, и служба DNS работает на каждом контроллере домена, эту операцию необходимо выполнить на каждом контроллере домена. Для выполнения операции потребуются учетные данные

'администратора домена.

Создайте зону прямого просмотра GlobalNames.

Назначьте для нее область репликации на все DNS-серверы в лесу.

Не включайте динамические обновления для этой зоны.

Включите поддержку зоны GlobalNames на каждом DNS-сервере в лесу.

Добавьте в зону DNS имена из одной метки.

Настройка конфигурации выполняется в корне командной строки, поскольку графического интерфейса для выполнения таких задач не существует. Однако зону GlobalNames можно создать в Диспетчере сервера (Server Manager), хотя для поддержки этой зоны GNZ на DNS-сервере потребуется модифицировать реестр Windows. Такая модификация выполняется с помощью команды Dnscmd.exe, имеющей следующий формат:

dnscmd /config /enableglobalnamessupport 1

Эту команду нужно запустить на каждом DNS-сервере в лесу. Чтобы обеспечить поддержку имен из одной метки без использования службы WINS, эту команду можно включить в стандартный процесс установки и настройки DNS-

. сервера. После запуска команды нужно перезапустить службу DNS.

После включения поддержки зоны GNZ можно приступать к добавлению записей. Имена в зоне GNZ являются псевдонимами, поскольку каждый объект в сети уже располагает именем узла в DNS. Поэтому создается псевдоним и указывается соответствующее FQDN - имя объекта. Аналогично именам WINS, псевдонимы GNZ не могут содержать более 15 символов (используются 16 символов, однако система резервирует лишь последний из них). При создании имен с помощью командного файла используйте для каждого имени такой формат команды:

dnscmd nm_dns_cepBepa /recordadd globalnames имя_из_одной_метки cname

соответствующее_отличительное_с1п5_имя

Укажите имя DNS-сервера, имя, состоящее из 15 символов, и отличительное DNS-имя (FQDN-имя объекта, для которого вы добавляете имя GNZ).

f 454 Интеграция DNS с AD DS Глава 9

I К СВЕДЕНИЮ Зоны GlobalNames

' Более подробную информацию о зонах GNZ можно найти в документе «DNS Glo-

I

balNames Zone Deployment» по адресу http://www.microsoft.com/domiloads/details.

I

aspx?FamilyID= 1c6b31cd-3dd9-4c3f-8acd-3201a57194f1 & display lang=en.

Системы DNS и WINS

Если в сети требуется использовать много имен из одной метки и вы не можете обеспечить их поддержку с помощью GNZ из-за слишком большого их количества, установите службу WINS хотя бы на двух серверах в сети. Служба WINS автоматически генерирует и управляет именами всех объектов в сети. Помните, что служба WINS является компонентом Windows Server 2008, а не ролью, и представляет устаревшую технологию, которая не обновлялась с момента выхода Windows Server 2003.

Далее раскроем нюансы, о которых нельзя забывать при развертывании WINS.

Служба WINS не отображается в Диспетчере сервера (Server Manager). Для ее администрирования нужно использовать консоль W I N S в программной группе Администрирование (Administrative Tools).

Служба WINS поддерживает лишь 1Ру4-адреса и не обновляется для поддержки IPv6.

Чтобы обеспечить отказоустойчивость для имен из одной метки, в сети нужно разместить хотя бы два WINS-сервера. Эти два сервера следует конфигурировать для использования синхронизации обеих баз данных имен.

Необходимо убедиться, что значения для W I N S указаны в параметрах DHCP, пересылаемых на компьютеры, которые требуют использовать динамические 1Ру4-адреса. Следует указать два параметра: первый перечисляет серверы имен, а второй идентифицирует тип узла, с которым будет работать каждый клиент.

о Параметр 044 WINS/NBNS-серверы (044 W I N S / N B N S Servers) указывает серверы со службой WINS.

• Параметр 046 Тип узла W I N S / N B T (046 W I N S / N B T Node Туре) определяет, как узлы взаимодействуют с WINS . Чаще всего используется тип узла 0x8 или тип узла Смешанный (Hybrid). Этот тип сводит к минимуму широковещание, необходимое в сетях с именами из одной метки.

• Вы также можете интегрировать W I N S и DNS, модифицировав свойства зоны прямого просмотра (FLZ). Это окно свойств содержит вкладку WINS, которая не используется, если в сети нет WINS-серверов (рис. 9-16). Данный компонент удобно использовать в сетях, где многие клиенты полагаются на службу WINS, причем имена некоторых клиентских устройств не представлены в DNS. Однако участниками динамической инфраструктуры DNS могут являться все операционные системы Windows начиная с Windows 2000. Сети с клиентами ниже Windows 2000 попадаются все реже.

Настройка и использование DNS

4 5 5

I'liWln'il-ifl- •• .il'WWUHMR'1

j i g

Обшие

1

Началам гапмсь зомы (SDAJ

Серверы имен

WlttS

j ЛврвДДЧИ зон |

&59СЛ«СМОСТЬ

Можно использовать V/IW5 для разрешения »т-«ен. не найми»»» ло запросу к пространству DNS. )VtNS лоддерхмвэет rontxo 1Ру4-адоесв

р" Иоадльаонатьпрлмейпрогмдтр WINS

Г" He выполнять репликации этой записи IP-aapec

 

 

Дополнительно. |

I

OK

| Отмена j Применить j Справка

Рис. 9-16.

Связывание DNS с WINS для обеспечения разрешения FQDN

и имен из

одной

метки

DNS и DHCP

При работе с динамической системой DNS и интеграции службы DNS в хра- , нилище AD DS необходимо менять традиционные методы, используемые администраторами сети для настройки параметров DHCP каждого клиентского

устройства с применением динамических адресов IPv4 или IPv6.

По традиции сетевые администраторы указывают в параметрах DHCP сервера лишь два центральных DNS-сервера. Эти серверы обеспечивают все клиентские устройства адресами DNS, необходимыми для разрешения внешних и внутренних имен FQDN, поскольку в силу централизованной локализации серверов любому клиенту в удаленном узле придется выполнять просмотр DNS через соединение WAN.

^ Однако в случае интеграции DNS в хранилище каталогов данные DNS становятся доступными на контроллерах домена, поэтому для предоставления служб проверки подлинности клиентов независимо от их расположения контроллеры домена распределяются в сети. Некоторые организации содержат контроллеры доменов, которые доступны в любой точке, где есть хотя бы 20 клиентов. С возможностями виртуализации серверов Hyper-V и с появлением контроллеров RODC теперь можно создавать сети, где преобладают контроллеры доменов. Это означает, что данные DNS только для чтения будут доступны в каждом удаленном узле или филиале. Для поиска FQDN-имен клиенты могут Использовать серверы в своем локальном узле.

Но для выполнения локального поиска клиенты должны знать о наличии локальных DNS-серверов. Рассмотрим следующий сценарий.

• Клиент в удаленном узле использует динамический IP-адрес, выделяемый через DHCP.

456

Интеграция DNS с AD DS

Глава 9

В удаленном узле есть два контроллера домена.

Структура DNS интегрирована в каталог и реплицируется вместе с разделом домена.

Служба DHCP передает значения только двух DNS-серверов в центральном узле.

Когда клиент загружает утром свою машину, он выполняет поиск DNS для локализации и входа на ближайший контроллер домена.

Для запроса разрешения имен от одного из двух центральных контроллеров доменов через соединение WAN выполняется поиск DNS.

Центральные DNS-серверы просматривают узел клиента и определяют, что

внем есть два локальных контроллера домена для поддержки входа.

DNS-сервер возвращает клиенту местоположение ближайшего контроллера домена, опять-таки через соединение WAN.

Клиент связывается со своим локальным контроллером домена для входа

всеть.

Если в этом сценарии отсутствует подключение WAN, клиент не может войти в сеть, даже несмотря на то, что данные DNS хранятся локально на двух контроллерах домена.

По этой причине параметры D H C P нужно модифицировать следующим образом.

Для обеспечения избыточности область видимости сервера должна включать хотя бы два адреса центральных DNS-серверов. В случае отказа локальных контроллеров домена клиенты смогут войти в сеть, но только через подключение WAN.

Каждая отдельная область адресов должна включать параметры серверов разрешения имен, причем эти записи должны указывать на локальные контроллеры домена узла. Это означает, что в каждую отдельную область види-

мости D H C P добавляется значение 006 DNS-серверы (006 DNS Servers). м На всех контроллерах домена также должна быть установлена роль DNSсервер (DNS Server). Если зона DNS содержится в хранилище каталогов AD DS, она будет доступна для службы DNS сразу после установки роли DNS-сервера на контроллер домена. Больше ничего не нужно конфигури-

ровать, за исключением глобальных параметров DNS.

Используйте приведенные инструкции при планировании интеграции DNS с DHCP.

Разделы каталога приложений

В определенных ситуациях для поддержки репликации данных DNS может потребоваться создать настраиваемые разделы каталога приложений. Помните, что разделы каталога приложений контролируют область репликации содержащихся в них данных. Сервер DNS, при его установке вместе с AD DS, создает в лесу два раздела каталога приложений: один для данных леса и один в каждом домене для данных домена, однако в определенных обстоятельствах эти две области могут не соответствовать ситуации, особенно в комплексных лесах-

Занятие 2

Настройка и использование DNS 45-1

Рассмотрим следующий сценарий. Ваш лес содержит три домена: корневой домен леса, глобальный дочерний производственный домен и домен для разработок. Вы создали домен для разработок, поскольку вашим разработчикам нужны особые права доступа и вы не хотите предоставлять им такие права в производственном домене. Все пользователи производственного домена, за исключением системных администраторов, обладают стандартным уровнем прав доступа. В домене для разработок вы можете предоставить разработчикам более высокий уровень прав доступа (создание, модификация и удаление объектов), поскольку этот домен никак не влияет на производственные операции.

Вы создали по одной учетной записи для каждого разработчика. Эта учетная запись локализована в глобальном дочернем производственном домене и обладает стандартным уровнем прав доступа, однако путем наследования транзитивного доверия в каждом лесу разработчики могут использовать свои учетные записи из производственного домена для получения доступа к объектам в домене для разработок, где их учетные записи из производственного домена обладают более высоким уровнем прав доступа.

По умолчанию разрешение имен между двумя дочерними доменами выполняется через корневой домен леса. Разработчики ежедневно получают доступ к этому домену, поэтому с целыо ускорения разрешения имен вы создали настраиваемый раздел каталога приложений для совместного использования записей DNS производственным доменом и доменом разработчиков. Это означает, что, поскольку эти данные доступны в разделе, производственным DNS-серверам не потребуется разрешать имена домена разработчиков через корневой домен леса, как показано на рис. 9-17.

| Корневой домен леса ]

Повышенный уровень

Стандартный уровень

прав доступа

прав доступа

Iдля разработчика

для разработчика

 

Разработчик получает доступ к домену разработок из глобального дочернего производственного домена для ускорения процесса разрешения имен DNS

Рис. 9-17. Использование настраиваемых разделов каталога приложений для совместного использования данных DNS двумя дочерними доменами

16 Зак. 3399

Соседние файлы в папке ЛБ
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности