Konfiguracja DNS, część I (Instalacja)
Data publikacji: 2004-05-04 11:38 |
Odsłon: 44282 |
Dodał: zespół red.
Autor: Szymon Śmiech
Spis treści
Wprowadzenie
Funkcje serwera DNS
Integracja Active Directory i DNS
Zalety integracji
Podział serwerów DNS
Instalacja usługi Serwer DNS
Konfiguracja podstawowego serwera DNS
Konfiguracja wyszukiwania wprzód
Konfiguracja wyszukiwania wstecz
Konfiguracja pomocniczego serwera DNS
Materiały dodatkowe
Domain Name System (DNS) to hierarchiczna, rozproszona baza danych,
zawierająca mapowania nazw domen DNS do różnych typów danych, jakimi są
adresy IP. System DNS umożliwia lokalizowanie komputerów i usług na podstawie
nazw przyjaznych dla użytkownika, a także odnajdowanie innych informacji
przechowywanych w bazie danych.
Dzięki DNS w pełni kwalifikowana nazwa hosta, taka jak omega.microsoft.com
zostaje zastąpiona adresem IP tego komputera, co pozwala komputerom na
komunikowanie się ze sobą.
DNS działa w oparciu o zestaw protokołów TCP/IP i może zostać zintegrowany z
WINS, DHCP i usługą katalogową Active Directory. Pełna integracja z tymi
funkcjami sieciowymi umożliwia optymalizację DNS w domenach Microsoft Windows
Serwer 2003.
DNS jest systemem porządkowania adresów sieciowych poprzez organizowanie
grup komputerów w domeny. Domeny te tworzą strukturę hierarchiczną, która
może być zdefiniowana w oparciu o standardy internetowe w przypadku sieci
publicznych lub własne standardy korporacji lub sieci prywatnych (zwanych także
Intranetami lub ekstranetami). Kolejne poziomy hierarchii identyfikują pojedyncze
komputery, domeny organizacyjne i domeny najwyższego poziomu.
Funkcje serwera
Serwer DNS oferuje następujące funkcje:
Współdziałanie z innymi implementacjami serwera DNS.
Usługa serwera DNS jest zgodna ze specyfikacjami RFC, może korzystać ze
standardowych formatów plików danych, rekordów zasobów DNS i może
współpracować z większością innych implementacji serwera DNS, takimi jak
korzystające z oprogramowania Berkeley Internet Name Domain (BIND).
Obsługa usługi Active Directory.
Usługa DNS jest wymagana do obsługi usługi katalogowej Active Directory.
Podczas instalowania usługi Active Directory na serwerze można automatycznie
zainstalować i skonfigurować serwer DNS, jeśli nie można odnaleźć serwera
DNS spełniającego wymagania usługi Active Directory.
Ulepszenia w zakresie przechowywania stref DNS w usłudze Active Directory.
Strefy DNS mogą być przechowywane w partycjach katalogów domen lub
aplikacji usługi Active Directory. Partycja to struktura danych w ramach usługi
Active Directory służąca do rozróżniania danych wykorzystywanych w różnych
celach związanych z replikacją. Można określić, w której partycji usługi Active
Directory strefa ma być przechowywana, a w efekcie również zbiór kontrolerów
domen, między którymi dane strefy będą replikowane.
Usługi warunkowego przesyłania dalej.
Usługa warunkowego przesyłania dalej to serwer DNS w sieci, który służy do
przekazywania kwerend DNS stosownie do nazw domen DNS zawartych w tych
kwerendach. Serwer DNS można na przykład skonfigurować do przesyłania
dalej wszystkich otrzymywanych kwerend o nazwy kończące się ciągiem
nazwa.przyklad.com na adres IP określonego serwera DNS lub adresy IP wielu
serwerów DNS.
Strefy skrótowe.
System DNS obsługuje nowy typ stref, zwanych strefami skrótowymi. Strefa
skrótowa to kopia strefy zawierająca tylko rekordy zasobów wymagane do
zidentyfikowania serwerów DNS autorytatywnych dla tej strefy. Strefa skrótowa
służy do informowania serwera DNS obsługującego strefę nadrzędną o
autorytatywnych serwerach DNS dla jego strefy podrzędnej, pomagając w ten
sposób w efektywnym rozpoznawaniu nazw DNS.
Rozszerzone funkcje zabezpieczeń systemu DNS.
W systemie DNS są teraz dostępne rozszerzone funkcje administrowania
zabezpieczeniami usług serwera i klienta DNS oraz danymi systemu DNS.
Integracja z usługami sieciowymi firmy Microsoft.
Usługa serwera DNS oferuje integrację z innymi usługami firmy Microsoft.
Obejmują one integrację z usługami Active Directory, WINS i DHCP.
Obsługa protokołu dynamicznej aktualizacji zgodnego ze standardami RFC.
Usługa serwera DNS pozwala klientom dynamicznie aktualizować rekordy
zasobów w oparciu o protokół dynamicznej aktualizacji DNS. Pozwala to
usprawnić administrację systemem DNS, skracając czas potrzebny do ręcznego
zarządzania tymi rekordami.
Obsługa przyrostowego transferu stref między serwerami.
Transfery stref są stosowane między serwerami DNS do replikowania informacji
o części obszaru nazw DNS. Przyrostowy transfer stref jest stosowany do
replikowania tylko zmienionych części strefy, co pozwala ograniczyć obciążenie
sieci.
Obsługa nowych typów rekordów zasobów.
Usługa serwera DNS obejmuje obsługę kilku nowych typów rekordów zasobów.
Te typy, do których należą rekordy zasobów lokalizacji usługi (SRV) i adresu
ATM (ATMA), rozszerzają możliwości stosowania systemu DNS jako usługi bazy
danych nazw.
Integracja Active Directory i DNS
Domeny Active Directory wykorzystują DNS do zaimplementowania swojej
hierarchii i struktury nazw. Active Directory i DNS są, zatem ściśle powiązane, tak
bardzo, że nie jest możliwe zainstalowanie usługi katalogowej bez wcześniejszego
zainstalowania serwera DNS w sieci.
Podczas instalacji pierwszego kontrolera domeny w sieci Active Directory, dostępna
jest możliwość automatycznego zainstalowania serwera DNS, jeśli taki serwer nie
został odnaleziony w sieci. W procesie instalacji jest możliwość określenia stopnia
integracji DNS i Active Directory. Dzięki pełnej integracji informacje DNS
przechowywane są bezpośrednio w katalogu Active Directory.
Różnice pomiędzy częściową i całkowitą integracją
Active Directory i DNS.
Częściowa integracja
W przypadku integracji częściowej informacje domenowe przechowywane są w
standardowej formie plików. Dane DNS zapisywane są w plikach tekstowych o
rozszerzeniu
.dns
. Domyślną lokalizacja dla tych plików jest katalog
%SystemRoot%System32/Dns
. Aktualizacje danych DNS są obsługiwane przez
pojedynczy autorytatywny serwer DNS, wskazany jako serwer podstawowy dla
konkretnej domeny lub obszaru w obrębie domeny nazywanego strefą. Klienci
korzystający z dynamicznego uaktualniania DNS poprzez DHCP muszą zostać
skonfigurowani tak, aby korzystali z podstawowego serwera DNS, gdyż w
przeciwnym wypadku dynamiczne aktualizacje nie będą mogły być wykonywane.
Podobnie dynamiczne aktualizacje poprzez DHCP nie będą wykonywane, jeśli
podstawowy serwer DNS nie będzie dostępny.
Pełna integracja
W przypadku pełnej integracji domena korzysta z magazynu katalogu do
przechowywania danych. Informacje DNS są zapisywane bezpośrednio w katalogu
DNS i są dostępne w kontenerze obiektu dnsZone. Ze względu na fakt, że
informacje te są częścią katalogu Active Directory, każdy kontroler domeny może
uzyskać dostęp do tych danych. Można też wykorzystać model o wielu wzorcach do
dynamicznego uaktualniania wpisów DNS poprzez DHCP. Umożliwia to każdemu
kontrolerowi domeny na którym uruchomiony jest serwer DNS, obsługę
dynamicznych aktualizacji. Dalej, każdy klient DHCP używający aktualizacji
dynamicznej może skorzystać z dowolnego serwera DNS w danej strefie. Wreszcie
dodatkową korzyścią pełnej integracji jest możliwość wykorzystania mechanizmów
zabezpieczeń katalogu do ochrony danych i sterowania dostępem do informacji
DNS.
Zalety integracji z usługą Active Directory
Replikacja usługi Active Directory jest szybsza i wydajniejsza niż
standardowa replikacja systemu DNS.
Przetwarzanie replikacji usługi Active Directory jest wykonywane na podstawie
właściwości, przesyłane są tylko istotne zmiany. Rozdzielenie DNS i Active
Directory zwiększa obciążenie sieci i wydłuża czas potrzebny do
rozpropagowania zmian DNS w całej sieci.
Po dodaniu nowego kontrolera do domeny usługi Active Directory strefy są
automatycznie replikowane i synchronizowane z takim kontrolerem.
Dzięki integracji przechowywania baz danych stref DNS z usługą Active
Directory można usprawnić planowanie replikacji bazy danych w sieci.
Integracja przechowywania składników systemu DNS pozwala zunifikować
zarządzanie przechowywaniem i kwestie dotyczące replikacji dla obu usług DNS
i Active Directory, scalając je i prezentując jako spójny moduł administracyjny.
Podział serwerów DNS
Dostępne są cztery typy serwerów DNS:
Serwer podstawowy zintegrowany z Active Directory.
Serwer DNS w pełni zintegrowany z usługą Active Directory. Wszytkie dane
DNS przechowywane są w katalogu Active Directory.
Serwer podstawowy.
Główny serwer DNS dla domeny, wykorzystujący częściową integrację z Active
Direcory. Serwer ten przechowuje główną kopię rekordów DNS i pliki
konfiguracyjne domeny. Dane te są przechowywane w postaci tekstowej w
plikach z rozszerzeniem
.dns
.
Serwer pomocniczy.
Serwer DNS zapewniający dodatkową usługę DNS dla domeny. Serwer ten
przechowuje kopię rekordów DNS otrzymaną z preferowanego serwera DNS,
wykonując aktualizację za pomocą transferu stref. Serwery pomocnicze
uzyskują informacje z serwera preferowanego i przechowują ją do momentu jej
odświeżenia lub wygaśnięcia.
Serwer przesyłania dalej.
Serwer buforujący informacje DNS, zawsze przekazujący zapytania do innych
serwerów. W odróżnieniu od serwerów pomocniczych, serwery takie nie
przechowują pełnych kopii danych dla strefy. Oznacza to, że w momencie
uruchomienia serwera przesyłania dalej, jego baza danych nie zwiera żadnych
informacji.
Instalacja usługi Serwer DNS
W trakcie instalacji kontrolera domeny dostępna jest opcja zainstalowania i
skonfigurowania DNS. Jeśli opcja została wybrana, usługa DNS jest już
zainstalowana z domyślna konfiguracją, nie ma zatem potrzeby jej ponownej
instalacji. Jeśli wykorzystywany serwer jest serwerem członkowskim, a nie
kontrolerem domeny, lub też nie zainstalowano usługi DNS w trakcie instalacji
kontrolera, usługę można doinstalować wykonując następującą procedurę:
Z narzędzi administracyjnych należy wybrać Kreator konfigurowania
serwera.
Wybrać rolę serwer DNS.
W kolejnym kroku należy zaznaczyć opcję konfiguruj tylko wskazówki
główne, następnie należy kliknąć Dalej oraz Zakończ.
Od tej chwili usługa DNS będzie uruchamiana automatycznie przy starcie
komputera.
Konfiguracja podstawowego serwera DNS
Serwer DNS może być zintegrowany z usługą Active Directory lub działać jako
standardowy podstawowy serwer. Serwery podstawowe powinny zawierać strefy
wyszukiwania do przodu oraz strefy wyszukiwania wstecznego dla danej domeny.
Wyszukiwanie do przodu umożliwia zmianę nazw domen na adresy IP.
Wyszukiwanie wsteczne pozwala potwierdzić zapytania DNS poprzez znalezienie
nazw odpowiadających podanym adresom IP.
Konfiguracja wyszukiwania wprzód.
Po zainstalowaniu usługi Serwer DNS można przystąpić do konfiguracji serwera
wykonując następujące czynności:
Konsola DNS
Należy uruchomić konsolę DNS, zawartą w narzędziach administracyjnych.
Alternatywą dla konsoli DNS jest węzeł DNS dostępny w gałęzi Usługi i aplikacje
konsoli Zarządzanie komputerem.
Wybór typu stref
Kliknąć prawym klawiszem myszy nazwę serwera wyświetloną w lewym
panelu konsoli i wybrać polecenie Nowa strefa z menu podręcznego.
Uruchomiony zostanie kreator nowych stref.
Kreator umożliwia wybór typu stref. Jeśli konfigurowany serwer ma być
podstawowym serwerem DNS zintegrowanym z usługą Active Directory (jest to
kontroler domeny), należy wybrać opcje Strefa podstawowa i upewnić się, że
pole wyboru Przechowuj strefę w usłudze Active Directory jest zaznaczone. Jeśli
usługa DNS nie ma być zintegrowana z Active Directory, należy wyczyścić to
pole wyboru. Następnie należy kliknąć Dalej.
Zakres replikacji danych DNS
Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory,
należy wybrać jeden z następujących sposobów replikowania danych DNS:
Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja
ta powoduje najszersze replikowanie danych DNS. Należy pamietać, że las
domen tworzą wszystkie domeny Active Directory mające wspólne dane
katalogowe z aktualną domeną.
Do wszystkich serwerów DNS w domenie usługi Active Directory.
Opcja ta powoduje replikowanie informacji DNS tylko w obrębie bieżącej
domeny Active Directory i jej poddomen.
Do wszystkich kontrolerów domeny w domenie usługi Active
Directory. Strategia ta powoduje replikowanie danych DNS do wszystkich
kontrolerów domeny w domenie bieżącej i domenach podrzędnych. Z
jednej strony zapewnia to szersze rozpowszechnianie informacji, z drugiej
jednak nie każdy kontroler domeny jest serwerem DNS i nie ma potrzeby
takiej konfiguracji.
Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję
Strefa wyszukiwania do przodu i kliknąć Dalej.
Nazwa strefy
Wpisać pełną nazwę dla nowej strefy. Tworząc na przykład podstawowy
serwer DNS dla domeny windows2003.pl, należy podać windows2003.pl jako
nazwę strefy.
Jeśli konfigurowana jest strefa podstawowa, ale nie zintegrowana z Active
Directory, kolejna strona kreatora umożliwi wybór nazwy pliku strefy. Można
użyć z domyślnej nazwy lub wpisać własną.
Aktualizacje dynamiczne
Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje
dynamiczne. Dostępne są trzy możliwości:
Zezwalaj tylko na zabezpieczone aktualizacje dynamiczne. Jeśli strefa
jest zintegrowana z Active Directory, można posłużyć się listami kontroli
dostępu w celu określenia, którzy klienci mogą dokonywać aktualizacji
dynamicznych. Po wybraniu tej opcji jedynie klienci posiadający
uwierzytelnione konta komputerów i odpowiednie uprawnienia będą mogli
dynamicznie modyfikować swoje rekordy DNS w przypadki zmian.
Zezwalaj na zabezpieczone i niezabezpieczone aktualizacje
dynamiczne. Ta opcja umożliwia dynamiczne aktualizacje wszystkim
klientom, bez względu na to, czy są oni uwierzytelniani, czy nie.
Nie zezwalaj na aktualizacje dynamiczne. Wybranie tej opcji wyłącza
aktualizacje dynamiczne. Opcji tej należy użyć, jeśli strefa nie jest
zintegrowana z usługa Active Directory.
Następnie należy kliknąć Dalej, a następnie Zakończ, aby zakończyć
tworzenie strefy. Serwer automatycznie utworzy podstawowe rekordy DNS dla
tej strefy.
Jeśli w administrowanej sieci istnieje kilka domen nadrzędnych (np.
microsoft.com., msn.com), można powtórzyć procedurę, aby utworzyć kolejne
strefy wyszukiwania wprzód.
Następnym etapem jest utworzenie rekordów DNS dla komputerów.
Konfiguracja wyszukiwania wstecznego
Wyszukiwanie wsteczne umożliwia znalezienie nazwy domeny, do której należy
wskazany adres IP. Konwencja nazw dla stref wyszukiwania wstecznego polega na
wpisaniu adresu sieci w odwrotnej kolejności i uzupełnieniu go sufiksem
in-
addr.arpa
. Wpisy w strefach wyszukiwania wstecznego muszą być zgodne z
odpowiednimi wpisami w strefach wyszukiwania wprzód.
W celu utworzenia strefy wyszukiwania wstecz należy wykonać następujące
czynności:
Uruchomić konsolę DNS i podłączyć się do serwera, który ma być
konfigurowany.
Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po
czym wybrać polecenie Nowa strefa, aby uruchomić Kreator nowych stref.
Kliknąć Dalej.
Jeśli konfigurowany serwer ma być podstawowym serwerem DNS
zintegrowanym z usługą Active Directory(jest to kontroler domeny), należy
wybrać opcję Strefa podstawowa i upewnić się, że pole wyboru Przechowuj
strefę w usłudze Active Directory jest zaznaczone. Jeśli usługa DNS nie ma być
zintegrowana z Active Directory, należy wyczyścić pole wyboru.
Jeśli konfigurowany serwer ma pełnić funkcję serwera pomocniczego, należy
wybrać opcję strefa pomocnicza i kliknąć Dalej.
Zakres replikacji danych DNS
Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory,
należy wybrać jeden ze sposobów replikowania danych DNS:
Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja
ta powoduje najszersze replikowanie danych DNS. Należy pamietać, że las
domen tworzą wszystkie domeny Active Directory mające wspólne dane
katalogowe z aktualną domeną.
Do wszystkich serwerów DNS w domenie usługi Active Directory.
Opcja powoduje replikowanie informacji DNS tylko w obrębie bieżącej
domeny Active Directory i jej poddomen.
Do wszystkich kontrolerów domeny w domenie usługi Active
Directory. Strategia ta powoduje replikowanie danych DNS do wszystkich
kontrolerów domeny w domenie bieżącej i domenach podrzędnych (jeśli
istnieją). Z jednej strony zapewnia to szersze rozpowszechnianie
informacji, z drugiej jednak nie każdy kontroler domeny jest serwerem
DNS i nie ma potrzeby takiej konfiguracji.
Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję
Strefa wyszukiwania wstecznego i kliknąć Dalej.
Identyfikator sieci
Wpisać identyfikator (adres) sieci dla strefy. Podane wartości utworzą
domyślną nazwę strefy wyszukiwania wstecznego. Następnie kliknąć Dalej.
W przypadku serwera nie zintegrowanego z usługą Active Directory lub
serwera pomocniczego konieczne jest podanie nazwy pliku dla strefy. Można
zaakceptować domyślną nazwę lub wpisać własną, po czym kliknąć Dalej.
Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje
dynamiczne. Tą opcję należy konfigurować w identyczny sposób jak dla strefy
wyszukiwania wprzód, opisany powyżej.
Kliknąć Dalej i następnie Zakończ.
Konfigurowanie pomocniczego serwera DNS
Pomocniczy serwer DNS zapewnia kopie zapasową usług DNS. W przypadku
korzystania z pełnej integracji usług DNS z usługą Active Directory nie ma
prawdziwej potrzeby tworzenia serwerów pomocniczych. Należy wówczas
skonfigurować kilka kontrolerów domen do pełnienia roli serwerów DNS. Jeśli
jednak wykorzystywana jest tylko częściowa integracja, utworzenie serwerów
pomocniczych umożliwia zmniejszenie obciążenia serwera podstawowego.
Ze względu na to, że serwery pomocnicze do większości zapytań wykorzystują
strefy wyszukiwania do przodu, tworzenie stref wyszukiwania wstecznego można w
tym przypadku pominąć. Strefy te są niezbędne na serwerach podstawowych.
Aby utworzyć serwer pomocniczy w celu zapewnienia gwarancji usług i
zrównoważenia obciążenia, należy wykonać następujące czynności:
Uruchomić konsolę DNS i podłączyć się do serwera który ma być
konfigurowany.
Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po
czym wybrać polecenie Nowa strefa, aby uruchomić Kreator nowych stref.
Następnie należy kliknąć Dalej.
Zaznaczyć opcję Strefa pomocnicza i kliknąć Dalej.
Wpisać pełną nazwę DNS dla nowej strefy i kliknąć Dalej.
Kolejna strona wymaga podania adresu IP podstawowego serwera DNS dla
tej strefy
Kliknąć Dalej a następnie Zakończ.
W ruchliwych sieciach lub bardzo rozległych może być konieczne utworzenie na
serwerach pomocniczych stref wyszukiwania wstecznego.