Корневые ссылки dns windows server

В предыдущей части мы разобрали что такое дополнительная зона и заглушка. Теперь пройдемся по основным настройкам DNS.

Идем на наш DNS сервер и выбираем DNS-правый клик. Видм что в контекстном меню, можно создать новую зону, Установить свойства очистки для всех зон, очень удобно, очистить кэш, запустить nslookup, а так же рестартануть.

Как настроить DNS сервер в windows server 2008R2-38

Идем в свойства данного сервера. Первая вкладка которая нас интересует это Интерфейсы. На ней перечислены интерфейсы которые должен слушать DNS сервер.

Как настроить DNS сервер в windows server 2008R2-39

Вкладка Сервер пересылки позволяет задать DNS которые разрешают все остальное кроме зон данного сервера, чаще всего это провайдерские dns или гугловские как у меня.

Как настроить DNS сервер в windows server 2008R2-40

Как настроить DNS сервер в windows server 2008R2-41

Позволяет включить автоматическое удаление старых записей

Как настроить DNS сервер в windows server 2008R2-42

а так же задать откуда будет грузиться зона при старте

Как настроить DNS сервер в windows server 2008R2-43

Вкладка корневые ссылки нужна для перечисления dns серверов держателей зон интернета их 13, если сервера пересылки не заданы то запрос идет через эти сервера.

Как настроить DNS сервер в windows server 2008R2-44

Вкладка наблюдение позволяет проверить правильность настройки DNS.

Как настроить DNS сервер в windows server 2008R2-45

Как настроить DNS сервер в windows server 2008R2-46

Якори доверия нужна для настройки DNSSEC цифровой подписи зоны

Как настроить DNS сервер в windows server 2008R2-47

Теперь рассмотрим свойства конкретной зоны правый клик-свойства по нужной вам зоне. Первая будет вкладка Общие.

Как настроить DNS сервер в windows server 2008R2-49

Можно задать обновление зоны, лучше оставить безопасное

Как настроить DNS сервер в windows server 2008R2-50

Кнопка Очистка включаем удаление старых записей для данной зоны, цифры заданные тут суммируются с цифрой заданной в свойствах DNS сервера.

Как настроить DNS сервер в windows server 2008R2-51

Начальная запись зоны (SOA)

Серийный номер — номер зоны, на него ориентируются DNS сервера, сверяя не произошло ли обновлений после последней синхронизации.

Основной сервер — Сервер, отвечающий за данную зону

Ответственное лицо — тут можно прописать email ответственного.

Ну и про интервалы и так понятно все из названия.

Как настроить DNS сервер в windows server 2008R2-52

Вернемся на вкладку общие и выберем пункт Интегрированный в AD Изменить

Видим, что тут можно сменить тип зоны и при желании убрать галку хранить не в AD а в файле.

Как настроить DNS сервер в windows server 2008R2-53

Если убрать галку то зона пересохранится в файл

Как настроить DNS сервер в windows server 2008R2-54

Как настроить DNS сервер в windows server 2008R2-55

Пункт Репликация Изменить позволит выбрать уровень реплики зоны.

Как настроить DNS сервер в windows server 2008R2-56

Настройка репликации зон, интегрированных в Active Directory

Зоны, интегрированные в Active Directory, можно устанавливать только на контроллерах домена, где установлена роль DNS-сервер. Зоны, интегрированные в Active Directory, в отличие от стандартных зон обеспечивают многоуровневую репликацию данных, упрощенную конфигурацию, а также повышенную безопасность и эффективность. С помощью хранилища, интегрированного в Active Directory, DNS-клиенты могут отправлять обновления на любой DNS-сервер, интегрированный в Active Directory. Затем эти обновления копируются с помощью репликации на другие DNS-серверы, интегрированные в Active Directory.

Репликация и раздел каталога приложений

Данные DNS для отдельной зоны можно реплицировать среди контроллеров домена различными способами, в зависимости от раздела каталога приложения, где хранятся данные зоны DNS.

Раздел — это структура данных в Active Directory, которая определяет данные для репликации. По умолчанию контроллеры домена включают два раздела каталога приложений, зарезервированные для данных DNS: DomainDnsZones и ForestDnsZones. Репликация раздела DomainDnsZones выполняется на всех контроллерах домена, также являющихся DNS-серверами в отдельном домене, а репликация раздела ForestDnsZones выполняется на всех контроллерах домена, также служащих DNS-серверами в каждом домене леса Active Directory.

Каждый из этих разделов каталога приложений получает имя в соответствии с именем FQDN дочернего домена DNS. Эти разделы можно просмотреть в диспетчере DNS. Кроме того, каждая зона содержит имя DomainDnsZones, указывающее раздел, репликация которого выполняется лишь в локальных доменах.

Помимо этих двух разделов в каталоге приложений можно также создать настраиваемый или определяемый пользователем раздел и присвоить ему имя по своему усмотрению. Затем можно отконфигурировать зону для хранения данных в этой новой структуре. По умолчанию новый раздел каталога приложений существует только на сервере, где создается, однако в этом разделе можно перечислить и другие серверы, чтобы туда копировались данные репликации его содержимого.

Хранение данных DNS в разделе домена Данные зоны, интегрированной в Active Directory, хранятся в разделе домена вместе с остальными данными домена. В этой конфигурации репликация данных DNS выполняется не только на контроллерах домена, которые также являются DNS-серверами, но и па всех контроллерах локального домена. Однако при использовании этой опции генерируется дополнительный трафик репликации. Ее следует применять для репликации данных DNS на компьютерах Windows Server 2000.

Выбор области репликации зон

Раздел, в котором хранится зона, эффективно определяет область репликации для этой зоны, интегрированной в Active Directory. При использовании программы Dcpromo для назначения сервера контроллером нового домена в разделе DomainDnsZones автоматически создается новая зона, интегрированная в Active Direcrory. Однако при создании новой зоны с помощью мастера создания новой зоны на странице Область репликации зоны, интегрированной в Active Directory(Active Directory Zone Replication Scope), можно выбрать раздел для сохранения зоны.

На странице Область репликации зоны, интегрированной в Active Directory (ActiveDirectory Zone Replication Scope), представлены четыре опции.

Новая зона сохраняется в разделе ForestDnsZones. Каждый контроллер домена во всем лесу, где установлен DNS-сервер, получит копию этой зоны.

Новая зона сохраняется в разделе DomainDnsZones. Каждый контроллер локального домена, где установлен DNS-сервер, получит копию этой зоны.

■ Для всех контроллеров домена в этом домене (То All Domain Controllers In ThisDomain)

Зона сохраняется в разделе домена. Каждый контроллер локального домена получит копию этой зоны независимо от наличия па нем установленного DNS-сервера.

■ На все контроллеры домена, указанные в области данного раздела каталога(То All Domain Controllers Specified In The Scope Of This Directory Partition)

Зона сохраняется в созданном пользователем разделе каталога приложения, который указан в раскрывающемся списке. Чтобы контроллер домена попадал в область такого раздела каталога, нужно вручную указать этот контроллер домена в разделе.

Область репликации созданной зоны можно изменить в любое время. Для этого на вкладке Общие (General) щелкните кнопку Изменить (Change) напротив параметра репликации.

Откроется диалоговое окно Изменение области видимости зоны репликации (Change Zone Replication Scope), в котором представлены те же опции выбора области репликации, что и на странице мастера создания новой зоны.

При выборе области репликации нужно учесть, что увеличение этой области приводит к повышению объема сетевого трафика, связанного с репликацией. Например, если выбрать репликацию интегрированной в Active Directory зоны для всех DNS-серверов в лесу, объем сетевого трафика будет больше, чем при репликации данных зоны DNS лишь на все DNS-серверы в локальном домене. С другой стороны, репликация данных зоны на все DNS-серверы в лесу может ускорить разрешение имен и обеспечить отказоустойчивость.

ПРИМЕЧАНИЕ: Повторное создание зон DomalnDnsZones и ForestDnsZones

Удаленные или поврежденные разделы каталога приложений можно воссоздать в диспетчере DNS, щелкнув правой кнопкой мыши узел сервера и применив команду Создать используемые по умолчанию разделы каталога приложений (Create Default Application Directory Partitions).

В следующих статья мы поговорим про nslookup dnscmd и раздел Каталога.

Общие сведения о понятиях DNS Reviewing DNS Concepts

Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Служба доменных имен (DNS) — это распределенная база данных, представляющая пространство имен. Domain Name System (DNS) is a distributed database that represents a namespace. Пространство имен содержит все сведения, необходимые любому клиенту для поиска любого имени. The namespace contains all of the information needed for any client to look up any name. Любой DNS-сервер может отвечать на запросы о любом имени в своем пространстве имен. Any DNS server can answer queries about any name within its namespace. DNS-сервер отвечает на запросы одним из следующих способов: A DNS server answers queries in one of the following ways:

• Если ответ находится в кэше, он отвечает на запрос из кэша. If the answer is in its cache, it answers the query from the cache.
• Если ответ находится в зоне, размещенной на DNS-сервере, он отвечает на запрос из своей зоны. If the answer is in a zone hosted by the DNS server, it answers the query from its zone. Зона — это часть дерева DNS, хранящаяся на DNS-сервере. A zone is a portion of the DNS tree stored on a DNS server. Когда DNS-сервер размещает зону, он является полномочным для имен в этой зоне (то есть DNS-сервер может отвечать на запросы для любого имени в зоне). When a DNS server hosts a zone, it is authoritative for the names in that zone (that is, the DNS server can answer queries for any name in the zone). Например, сервер, на котором размещена зона contoso.com, может отвечать на запросы по любому имени в contoso.com. For example, a server hosting the zone contoso.com can answer queries for any name in contoso.com.
• Если сервер не может ответить на запрос из своего кэша или зон, он запрашивает у других серверов ответ. If the server cannot answer the query from its cache or zones, it queries other servers for the answer.

Важно понимать основные возможности DNS, такие как делегирование, рекурсивное разрешение имен и интегрированные в Active Directory зоны DNS, так как они непосредственно влияют на структуру Active Directory логической структуры. It is important to understand the core features of DNS, such as delegation, recursive name resolution, and Active Directory-integrated DNS zones, because they have a direct impact on your Active Directory logical structure design.

Дополнительные сведения о DNS и службах домен Active Directory (AD DS) см. в разделе DNS и AD DS. For more information about DNS and Active Directory Domain Services (AD DS), see DNS and AD DS.

Делегирование Delegation

Чтобы DNS-сервер ответил на запросы о любом имени, он должен иметь прямой или косвенный путь к каждой зоне в пространстве имен. For a DNS server to answer queries about any name, it must have a direct or indirect path to every zone in the namespace. Эти пути создаются с помощью делегирования. These paths are created by means of delegation. Делегирование — это запись в родительской зоне, которая содержит сервер доменных имен, полномочный для зоны на следующем уровне иерархии. A delegation is a record in a parent zone that lists a name server that is authoritative for the zone in the next level of the hierarchy. Делегирование позволяет серверам в одной зоне ссылаться на клиентов на серверы в других зонах. Delegations make it possible for servers in one zone to refer clients to servers in other zones. На следующем рисунке показан один пример делегирования. The following illustration shows one example of delegation.

Корневой DNS-сервер размещает корневую зону, представленную точкой (. The DNS root server hosts the root zone represented as a dot ( . ). ). Корневая зона содержит делегирование для зоны на следующем уровне иерархии — в зоне com. The root zone contains a delegation to a zone in the next level of the hierarchy, the com zone. Делегирование в корневой зоне сообщает корневому серверу DNS, что для поиска зоны com необходимо обратиться к серверу com. The delegation in the root zone tells the DNS root server that, to find the com zone, it must contact the Com server. Аналогично, делегирование в зоне com сообщает серверу com, что для поиска зоны contoso.com необходимо обратиться к серверу Contoso. Likewise, the delegation in the com zone tells the Com server that, to find the contoso.com zone, it must contact the Contoso server.

Делегирование использует два типа записей. A delegation uses two types of records. В записи ресурса сервера имен (NS) содержится имя полномочного сервера. The name server (NS) resource record provides the name of an authoritative server. Записи ресурсов узла (A) и узла (AAAA) предоставляют адреса IP версии 4 (IPv4) и IP версии 6 (IPv6) полномочного сервера. Host (A) and host (AAAA) resource records provide IP version 4 (IPv4) and IP version 6 (IPv6) addresses of an authoritative server.

Эта система зон и делегирования создает иерархическое дерево, представляющее пространство имен DNS. This system of zones and delegations creates a hierarchical tree that represents the DNS namespace. Каждая зона представляет слой в иерархии, и каждое делегирование представляет собой ветвь дерева. Each zone represents a layer in the hierarchy, and each delegation represents a branch of the tree.

Используя иерархию зон и делегирования, корневой сервер DNS может найти любое имя в пространстве имен DNS. By using the hierarchy of zones and delegations, a DNS root server can find any name in the DNS namespace. Корневая зона включает делегирования, которые напрямую или косвенно переводят на все другие зоны в иерархии. The root zone includes delegations that lead directly or indirectly to all other zones in the hierarchy. Любой сервер, который может запрашивать корневой DNS-сервер, может использовать сведения в делегировании для поиска любого имени в пространстве имен. Any server that can query the DNS root server can use the information in the delegations to find any name in the namespace.

Рекурсивное разрешение имен Recursive name resolution

Рекурсивное разрешение имен — это процесс, с помощью которого DNS-сервер использует иерархию зон и делегирований для реагирования на запросы, для которых он не является полномочным. Recursive name resolution is the process by which a DNS server uses the hierarchy of zones and delegations to respond to queries for which it is not authoritative.

В некоторых конфигурациях DNS-серверы включают корневые ссылки (то есть список имен и IP-адресов), которые позволяют им запрашивать корневые серверы DNS. In some configurations, DNS servers include root hints (that is, a list of names and IP addresses) that enable them to query the DNS root servers. В других конфигурациях серверы пересылают все запросы, которые они не могут ответить на другой сервер. In other configurations, servers forward all queries that they cannot answer to another server. Пересылка и корневые указания являются методами, которые DNS-серверы могут использовать для разрешения запросов, для которых они не являются полномочными. Forwarding and root hints are both methods that DNS servers can use to resolve queries for which they are not authoritative.

Разрешение имен с помощью корневых ссылок Resolving names by using root hints

Корневые ссылки позволяют любому DNS-серверу размещать корневые серверы DNS. Root hints enable any DNS server to locate the DNS root servers. После того как DNS-сервер обнаружит корневой сервер DNS, он может разрешить любой запрос для этого пространства имен. After a DNS server locates the DNS root server, it can resolve any query for that namespace. На следующем рисунке показано, как DNS разрешает имя с помощью корневых ссылок. The following illustration describes how DNS resolves a name by using root hints.

В этом примере происходят следующие события: In this example, the following events occur:

1. Клиент отправляет рекурсивный запрос на DNS-сервер для запроса IP-адреса, соответствующего имени ftp.contoso.com. A client sends a recursive query to a DNS server to request the IP address that corresponds to the name ftp.contoso.com. Рекурсивный запрос указывает, что клиент хочет получить окончательный ответ на запрос. A recursive query indicates that the client wants a definitive answer to its query. Ответ на рекурсивный запрос должен быть допустимым адресом или сообщением, указывающим, что адрес не найден. The response to the recursive query must be a valid address or a message indicating that the address cannot be found.
2. Так как DNS-сервер не является полномочным для имени и не имеет ответа в своем кэше, DNS-сервер использует корневые ссылки для поиска IP-адреса корневого сервера DNS. Because the DNS server is not authoritative for the name and does not have the answer in its cache, the DNS server uses root hints to find the IP address of the DNS root server.
3. DNS-сервер использует итеративный запрос, чтобы запросить у корневого сервера DNS разрешение имени ftp.contoso.com. The DNS server uses an iterative query to ask the DNS root server to resolve the name ftp.contoso.com. Итеративный запрос указывает, что сервер будет принимать ссылку на другой сервер вместо определенного ответа на запрос. An iterative query indicates that the server will accept a referral to another server in place of a definitive answer to the query. Так как имя ftp.contoso.com заканчивается на метку com, корневой сервер DNS возвращает ссылку на COM-сервер, на котором размещена зона com. Because the name ftp.contoso.com ends with the label com, the DNS root server returns a referral to the Com server that hosts the com zone.
4. DNS-сервер использует итеративный запрос, чтобы запросить у COM-сервера разрешение имени ftp.contoso.com. The DNS server uses an iterative query to ask the Com server to resolve the name ftp.contoso.com. Так как имя ftp.contoso.com заканчивается именем contoso.com, com-сервер возвращает ссылку на сервер Contoso, на котором размещена зона contoso.com. Because the name ftp.contoso.com ends with the name contoso.com, the Com server returns a referral to the Contoso server that hosts the contoso.com zone.
5. DNS-сервер использует итеративный запрос, чтобы попросить сервера Contoso разрешить имя ftp.contoso.com. The DNS server uses an iterative query to ask the Contoso server to resolve the name ftp.contoso.com. Сервер Contoso находит ответ в данных зоны, а затем возвращает ответ на сервер. The Contoso server finds the answer in its zone data and then returns the answer to the server.
6. Затем сервер возвращает результат клиенту. The server then returns the result to the client.

Разрешение имен с помощью пересылки Resolving names by using forwarding

Пересылка позволяет маршрутизировать разрешение имен через определенные серверы вместо использования корневых ссылок. Forwarding enables you to route name resolution through specific servers instead of using root hints. На следующем рисунке показано, как DNS разрешает имя с помощью пересылки. The following illustration describes how DNS resolves a name by using forwarding.

В этом примере происходят следующие события: In this example, the following events occur: