Книга Active directory
.pdf458 |
Интеграция DNS с AD DS |
Глава 9 |
Создание и назначение настраиваемых разделов каталога приложений
Настраиваемые разделы каталога приложений создаются в командной строке с помощью команды Dnscmd.exe. Для создания этих разделов графический интерфейс не предусмотрен. Однако графический интерфейс можно использовать для назначения уже созданных разделов. При желании все операции можно производить в командной строке. Необходимо выполнить три задачи:
•создать раздел;
•включить в него DNS-серверы;
•назначить новому разделу зоны, область репликации которых нужно изменить.
Чтобы иметь возможность создавать разделы каталога приложений, нужно быть членом группы Администраторы предприятия (Enterprise Admins), поскольку требуется полный доступ к лесу.
1.Войдите на DNS-сервер как член группы Администраторы предприятия (Enterprise Admins) леса.
2.С помощью команды контекстного меню запустите окно командной строки от имени администратора.
3.Введите следующую команду:
dnscmd HMR_dns_cepBepa /createdirectorypartition fqdn_nm_pa3nena
В качестве имени DNS-сервера введите F Q D N - и м я DNS-сервера или его IP-адрес.
Например, если вам нужно создать на машине SERVER10 новый раздел с именем partition01.treyresearch.net, введите следующую команду:
dnscmd server10.treyresearch.net /createdirectorypartition partitionOI. treyresearch. net
4.Включите сервер в этот раздел. Для этого вы снова можете использовать команду Dnscmd.exe. Введите следующую команду:
dnscmd HMR_dns_cepeepa /enlistdirectorypartition ?рс!п_имя_раздела
Эту команду нужно выполнить на каждом DNS-сервере, который включается в раздел. Отметим, что сервер, используемый для создания раздела, включен в этот раздел по умолчанию. В предыдущем сценарии в раздел следует включить все DNS-серверы производственного домена, а также
все DNS-серверы домена разработчиков. Например, чтобы включить в новый раздел partition01.treyresearch.net сервер дочернего домена SERVER30 в качестве дополнительного сервера, введите следующую команду:
dnscmd server30.intranet.treyresearch.net / e n l i s t d i r e c t o r y p a r t i t i o n partition01.treyresearch.net
Теперь вы можете изменить область репликации зон, которые хотите сделать доступными для членов нового раздела каталога приложений.
5.В Диспетчере сервера (Server Manager) вернитесь к узлу DNS-сервер (DNS Server), щелкните правой кнопкой мыши имя зоны, область репликации которой хотите изменить, и примените команду Свойства (Properties).
460 |
Интеграция DNS с AD DS |
Глава 9 |
|
|
|
|
|
Т а 6 л 9.4. распространенные средства администрирования DNS |
|
||
Т ^ ^ у м е н Г з ^ Г |
Расположение |
||
"qNS(DNS • |
Выполняет начальную настройку нового |
Программная |
|
Manager) |
сервера. |
группа Админист- |
|
|
• |
Подключается к локальному-DNS-cepBepy |
рирование (Admi- |
|
nistrative Tools) |
||
|
|
и управляет им. |
|
|
|
или Диспетчер |
|
|
• |
Добавляет и удаляет зоны прямого и обратного |
|
|
сервера (Server |
||
|
|
просмотра. |
Manager) |
•Модифицирует хранение и репликацию зон среди серверов.
•Модифицирует обработку запросов и управление динамическими обновлениями на сервере.
•Модифицирует безопасность конкретных зон и записей ресурсов.
•Выполняет техническое обслуживание.
•Отслеживает содержимое кзша сервера.
•Выполняет настройку дополнительных параметров сервера.
•Конфигурирует устаревшие записи ресурсов и производит их очистку
Dnscmd |
Управляет всеми аспектами DNS-серверов. Самое |
Командная строка |
||
|
мощное средство командной строки для админист- |
|
||
|
рирования DNS. Далее приведен список переключа- |
|
||
|
телей команды: |
|
||
|
• |
/info — для получения сведений о сервере; |
|
|
|
• |
/condig — для модификации параметров |
|
|
|
|
конфигурации сервера; |
|
|
|
• |
/statistics — для получения данных статистики |
|
|
|
|
оперирования на сервере; |
|
|
|
• |
/clearcache — для очистки и сброса данных кэша; |
|
|
|
• |
|
/startscavenging — для инициирования очистки; |
|
|
• |
|
/directorypaititioninfo — для получения сведений |
|
|
|
|
о разделах; |
|
|
• |
|
/exportsettings — для создания резервного файла |
|
|
|
|
параметров сервера |
|
Dnslint |
|
Выполняет диагностику распространенных-иепола- |
Командная строка |
|
|
док, связанных с разрешением имен. Далее приведен |
|||
|
|
список переключателей команды: |
|
|
|
|
• |
/d — для запроса тестов разрешения доменных |
|
|
|
|
имен; |
|
|
|
• |
/ql — для проверки тестов запросов DNS |
|
|
|
|
из списка; |
|
• /ad — для проверки записей, связанных с Active Directory
|
|
Настройка и использование DNS |
461 |
|
Табл. 9-4 |
(окончание) |
|
|
|
Инструмент Задача |
Расположение |
|
||
Просмотр |
Для мониторинга DNS-серверов используются две |
Диспетчер сервера |
||
событий |
опции: |
(Server Manager) |
||
(Event |
• |
Регистрация событий DNS-сервера в журнале |
|
|
Viewer) |
|
событий DNS-сервер (DNS Server). |
|
|
|
• |
Ведение журнала отладки DNS-сервера с запи- |
|
|
|
|
сью в текстовый файл. Эта опция включается в |
|
|
|
|
диалоговом окне свойств DNS-сервера. По умол- |
|
|
|
|
чанию она отключена; ее следует использовать |
|
|
|
|
только в сценариях отладки |
|
|
Jpconfig |
Отображает и модифицирует параметры коифигу- |
Командная строка |
||
|
рации IP. Далее приведен список распространенных |
|
|
|
|
переключателей этой команды: |
|
|
|
|
• |
/all — для отображения всех параметров конфи- |
|
|
|
|
гурации сети в системе; |
|
|
|
• |
/renew — для запроса обновления динамического |
|
|
|
|
1Ру4-адреса из DHCP; |
|
|
|
• |
/release — для освобождения динамического |
|
|
|
|
IPv4-адреса; |
|
|
|
• |
/releasee — для освобождения динамического |
|
|
|
|
IPvG-адреса; |
|
|
|
• |
/flushdns —для очистки кэша разрешителя DNS |
|
|
|
|
в системе; |
|
|
|
• |
/registerdns — для обновления динамической ре- |
|
|
|
|
гистрации DNS в системе |
|
|
Nslookup |
Выполняет тестирование запросов пространства |
Командная строка |
||
|
имен DNS. Утилита Nslookup также является коман- |
|
|
|
|
дным интерпретатором, вход в который выполняет- |
|
|
|
|
ся с помощью команды nslookup. Чтобы вернуться к |
|
|
|
|
командной строке, введете exit. Однако указанную |
|
|
|
|
утилиту можно использовать и напрямую. Для этого |
|
|
|
|
введите команду nslookup с именем узла или IP-ад- |
|
|
|
|
ресом компьютера |
|
|
|
Системный |
Создает диаграммы и графики трендов производи- |
Диспетчер сервера |
||
монитор |
тельностй сервера. Определяет критерии произво- |
(Server Manager), |
|
|
(System |
дительности |
Диагностика |
|
|
Monitor) |
|
|
(Diagnostics),Ста- |
|
|
|
|
бильность и про- |
|
|
|
|
изводительность |
|
|
|
|
(Reliability, and |
|
|
|
|
Performance) |
|
Если следовать приведенным здесь инструкциям, ничего плохого с внутренней реализацией DNS не случится. Тем не менее всегда существует вероятность неуправляемых неполадок. Поэтому нужно уметь работать с инструментами, перечисленными в табл. 9-4. Проанализируйте события DNS, чтобы понять причины их возникновения.
f 462 |
Интеграция DNS с AD DS |
Глава 9 |
|
К СВЕДЕНИЮ |
Устранение неполадок DNS |
|
|
Более подробную информацию об устранении неполадок DNS и потенциальных решениях проблем, связанных с DNS, можно найти по адресу http://technet2. mimsoft.com/mndowsseiver2008/en/libmiy/8e3f7e44-91dd-44c4-81cf-158cea7089021033. mspx?mfr**true. Утилиту Dnslint.exe можно загрузить по адресу http://support.microsoft. com/kb/321045.
Практические занятия. Завершение настройки DNS-серверов
влесу
Впредложенных далее упражнениях вы завершите настройку службы DNS. Вначале вы включите управление именами из одной метки в лесу компании Trey Research. Затем вы создадите имена из одной метки для заполнения зоны GlobalNames (GNZ). И наконец, модифицируете глобальный список адресовзапросов для защиты серверов от фальсификации записей динамического обновления.
Упражнение 1. Управление именами из одной метки
В этом упражнении вы создадите и отконфигурируете зону GlobalNames для леса treyresearch.net. Эта операция выполняется вручную с использованием учетных данных администратора домена, поскольку ваши DNS-серверы запущены на контроллерах домена. Для выполнения упражнения понадобятся машины SERVER10, SERVER20 и SERVER30.
1.Войдите на машину SERVER10 с использованием учетной записи Тгеуге5еагсЬ\Администратор.
2.В Диспетчере сервера (Server Manager) разверните роль DNS-сервера (DNS Server) и выберите узел Зоны прямого просмотра (Forward Lookup Zones).
3.Щелкните правой кнопкой мыши узел Зоны прямого просмотра (Forward Lookup Zones) и примените команду Создать зону (New Zone).
4.На странице приветствия щелкните кнопку Далее (Next).
5.Выберите тип Основная зона (Primary Zone) и установите флажок Сохранять зону в Active Directory (Store The Zone In Active Directory). Щелкните кнопку Далее (Next).
6. На следующей странице выберите область репликации Д л я всех DNSсерверов в этом лесу: treyresearch.net (То АН DNS Servers In This Forest: treyresearch.net) и щелкните кнопку Далее (Next).
7.На странице Имя зоны (Zone Name) введите имя GlobalNames и щелкните кнопку Далее (Next).
8.На странице Динамическое обновление (Dynamic Update) выберите тип
Запретить динамические обновления (Do Not Allow Dynamic Updates) и щелкните кнопку Далее (Next).
Мы запрещаем динамическое обновление этой зоны, поскольку все имена из одной метки вручную создаются в DNS.
4 64 |
Интеграция DNS с AD DS |
Глава 9 |
8.Введите следующие команды:
dnscmd server10.treyresearch.net /recordadd globalnames server20 cname server20. northwindtraders.com
dnscmd server10.treyresearch.net /recordadd globalnames server30 cname server30. intranet, treyresearch.net
9. Закройте окно командной строки и вернитесь к зоне GlobalNames (GNZ) в диспетчере сервера, чтобы просмотреть новые записи. Д л я обновления паиели сведений щелкните кнопку Обновление (Refresh).
Если вам нужно добавить много имен, для упрощения процесса можно использовать сценарий.
Упражнение 3. Модификация глобального списка блокирования запросов
В данном упражнении вы модифицируете существующий глобальный список блокирования запросов на машине SERVER10. Эта операция выполняется вручную с использованием учетных данных администратора домена, поскольку ваш DNS-сервер установлен на контроллере домена. Вы добавите в список особое DNS-имя manufacturing, чтобы блокировать разрешение имен объектов, использующих это имя.
1.Войдите на машину SERVER10 с использованием учетной записи Тгеуге5еагсЬ\Администратор.
2.Модификация списка блокирования выполняется в командной строке. В меню Пуск (Start) щелкните правой кнопкой мыши значок Командная строка (Command Prompt) и примените команду Запуск от имени администратора (Run As Administrator).
3.Введите следующую команду:
dnscmd /config /globalqueryblocklist wpad isatap manufacturing
Вы должны добавить существующие имена W P A D и ISATAP в список, чтобы они продолжали блокироваться.
4.Закройте окно командной строки.
Ваш список блокирования адресов отконфигурирован.
Резюме
•После установки DNS-сервера требуется завершить его настройку. Для этого следует настроить параметры безопасности, очистки, конфигурацию зон и возможное создание зон обратного просмотра.
•Каждая зона прямого просмотра и зона-заглушка содержат начальную запись ресурса (SOA). Эта запись должна быть соответствующим образом отконфигурирована и содержать адреса электронной почты, отвечающих за операции DNS лиц, а также информацию об операционных стандартах DNS.
•Для управления именами из одной метки в сети нужно задействовать зоны GlobalNames или службу WINS. Зоны GNZ (GlobalNames Zone) используются в том случае, если требуется лишь ограниченный список имен. В си-II туации с большим количеством имен нужно использовать службу WINS. I
Занятие 2 |
Настройка и использование DNS 45-1 |
•По умолчанию DNS-серверы используют для разрешения имен корневые ссылки. Вы также можете применять пересылки, которые при определенных обстоятельствах направляют DNS-сервер на еще один DNS-сервер.
•По умолчанию области видимости репликации данных DNS, интегрированных в Active Directory, автоматически распространяются на соответствующие DNS-серверы. Тем не менее при определенных обстоятельствах для более точного контроля репликации можно вручную создавать разделы каталога приложений.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1.Вы являетесь администратором DNS внутренней зоны прямого просмотра contoso.com. Вам нужно закончить настройку этой зоны. Какие действия следует предпринять? (Укажите все варианты.)
A. Отконфигурировать очистку записей в зоне.
Б. Подтвердить область видимости репликации для этой зоны. B. Создать настраиваемые записи для зоны.
Г. Создать текстовую запись (ТХТ) для зоны.
Д. Назначить для зоны электронный адрес.
Е.Удалить неиспользуемые записи из зоны.
Ж. Создать зону обратного просмотра для данной зоны.
2.Вы являетесь системным администратором в домене treyresearch.net. Ваша организация приняла решение создать новый домен разработчиков, чтобы отделить разработку от производственного домена. Всем пользователям производственного домена, за исключением операционного персонала, требуется предоставить лишь стандартный уровень прав доступа. Это означает, что разработчикам нужно предоставить права доступа, отличные от уровня привилегий в производственном домене. Однако поскольку разработчики будут постоянно использовать новый домен, для ускорения разрешения имен DNS между двумя доменами было принято решение создать новый раздел каталога приложений. Все зоны прямого просмотра интегрированы в Active Directory. Этот новый раздел следует назначить зоне прямого просмотра. Однако опция назначения недоступна. Какие действия следует предпринять? (Укажите все варианты.)
A.Требуется войти в систему с использованием учетных данных администратора домена.
Б.Используемый сервер нужно включить в раздел.
B. Нужно войти в систему как администратор предприятия.
466 |
Интеграция DNS с AD DS |
Глава9 |
Г.В командной строке нужно включить зону в раздел.
Д.Область репликации зоны прямого просмотра нельзя изменить после создания.
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо выполнить следующие задания:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
• В качестве самых распространенных типов структуры DNS используются динамический DNS-сервер, основной DNS-сервер и дополнительный DNSсервер. Динамические DNS-серверы принимают автоматическую регистрацию имен от авторизованных сущностей в своей сети. Основные DNSсерверы с правом чтения и записи обычно поддерживаются авторизованными администраторами. Имена можно вводить вручную или с помощью автоматизированных процессов, однако их нельзя вводить динамически. Дополнительные DNS-серверы обычно являются подчиненными серверами с данными только для чтения, полученными с еще одного DNS-сервера (как правило, с основного DNS-сервера). В Windows Server 2008 также есть еще один тип DNS-сервера только для чтения, который устанавливается на контроллере домена только для чтения и управляет основными DNS-зонами
с правом чтения.
•Типичный сценарий DNS в Windows Server 2008 может включать развертывание до четырех DNS-серверов. Первым и главным из них является динамический DNS-сервер, интегрированный в каждый контроллер домена в сети. Контроллеры домена с правом чтения и записи также содержат DNS-серверы с правом чтения и записи. В удаленных узлах без локального административного персонала, где требуется контроллер домена, можно размещать контроллеры RODC, содержащие DNS-серверы только для чтения. Внешние сети могут включать как минимум один независимый DNSсервер, техническая поддержка которого будет осуществляться вручную. Если требуется больше DNS-серверов, следует использовать дополнительные DNS-серверы только для чтения. В физически незащищенных местах безопасней развертывать DNS-серверы только для чтения, чем серверы с правом чтения и записи.
•Для поддержки перехода на IPv6 в Windows Server 2008 также поддерживается протокол разрешения имен одноранговых участников PRNP (Peer
Практические задания |
467 |
Name Resolution Protocol) и включен PRNP-сервер, обеспечивающий разрешение имен. Системы P R N P и DNS работают по-разному и используют различные компоненты. Однако большинство организаций продолжают применять разрешение имен DNS. Например, иерархии AD DS не поддерживаются в PNRP. Поэтому рекомендуется продолжать использование DNS.
Основные термины
Запомните представленные далее термины и понятия, чтобы лучше понимать описываемые концепции.
• |
Запись |
В DNS-зоне запись обеспечивает соответствие между адресом |
|
IPv4 или IPv6 и полным доменным именем FQDN. |
|
• |
Зона |
Специальный контейнер в DNS, содержащий записи, которые бу- |
|
дут разрешаться в действительные IP-адреса. Зоны указывают конкретное |
|
|
пространство имен, причем только одно именное пространство. |
|
Сценарий. Блокирование конкретных DNS-имен
В прошлом в компании Trey Research возникали проблемы с отделами Biometrics и Biology, когда неавторизованные пользователи для запуска своих исследовательских программ устанавливали в этих отделах собственные серверы не на платформе Windows. Эти серверы не располагали соответствующим уровнем безопасности и были быстро взломаны злоумышленниками. После взлома серверы начали отправлять динамические обновления для отдела Biometrics, подделывая адреса. Теперь в компании Trey Research нужно гарантировать, что в будущем такое больше не повторится. Решено предпринять административные меры, чтобы в случае необходимости в операционных системах не на платформе Windows они устанавливались в соответствии с корректными инструкциями IT.
Какие еще технические меры может предпринять компания Trey Research, чтобы эти два отдела не создавали проблем с разрешением имен DNS во внутренней сети?
Практические задания
Чтобы успешно сдать сертификационный экзамен, выполните следующие упражнения.
Работа с DNS
В Windows Server 2008 структура DNS плотно интегрирована с доменными службами Active Directory (Active Directory Domain Services). Вам нужно попрактиковаться в использовании динамических систем DNS, которые поддерживают AD DS.
•Упражнение 1 Попрактикуйтесь в установке и удалении независимой структуры DNS с помощью мастера установки доменных служб Active Directory в различных сценариях. Кроме того, создайте делегирование вручную и сравните его с автоматическим созданием делегирования, генерируемого мастером.