Настройка dns сервера windows 2003 домен

Править домен летит Айболит. И одно только слово твердит:
— DNS! DNS! DNS!

Choks

В домене 2k/2k3, который подключен к Интернету, настройка DNS на серверах и клиентах — важнейший этап первоначального конфигурирования сети. Ошибки на этом этапе не относятся к трудно диагностируемым, однако способны сделать локальную сеть практически «невменяемой».

Перечислим основные моменты настройки:

В зонах прямого просмотра DNS-сервера следует удалить зону «.» (на жаргоне: «зона точка», «корень», «корневая зона», «зона корневых серверов»), если она там есть. После этого перезапустить службу «DNS-сервер».

a) Если в вашем домене только один контроллер домена, то в «Свойствах TCP/IP» в разделе «Предпочитаемый DNS сервер» каждого интерфейса необходимо указывать только IP этого же самого интефейса, а в качестве «Альтернативный DNS сервер» не следует указывать вообще ничего.
b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере домена, на котором работает DNS-сервер, в «Свойствах TCP/IP» каждого «внутреннего» (глядящего внутрь вашей локальной сети) интерфейса следует указать
— «первым сервером DNS» — IPшник любого другого (разумеется, ближайшего по топологии сети) контроллера этого домена с работающим DNS,
— «вторым сервером DNS» — IPшник этого же самого интерфейса, т.е. «самого себя» (но ни в коем случае не 127.0.0.1!).
Если на контроллере с работающим DNS установлено более одного сетевого интерфейса (внимание! это плохая практика! не стОит делать любой контроллер домена многодомным/multihomed по многим причинам!), то на всех «внутренних» интерфейсах надо прописать DNSы как указано выше, а на всех «внешних» (глядящих «наружу» вашей локальной сети, например, на провайдера) интерфейсах надо указать в качестве «первого DNS» только IP этого же самого интерфейса, т.е. «самого себя» (но ни в коем случае не 127.0.0.1!), а «вторым DNSом» не указывать ничего.

В свойствах DNS-сервера на закладке «Пересылка» («Forwarding») следует разрешить пересылку на DNS-сервер следующего (более высокого) уровня*. Изменения активизируются только после перезапуска службы «DNS-сервер».
* — тут необходимо пояснение с повторением:
— в «Пересылке» («Forwarding») каждого DNS-сервера вашего домена следует указать один-два DNS-серверов вашего провайдера (больше не надо; объяснять сейчас «почему всего один-два» — значит запутать вас; просто примите на веру, а потом не спеша разбирайтесь с этим вопросом сами). [будет дополнено]
Подчеркиваем ещё раз [будет дополнено]: закладка «Пересылка» («Forwarding») всех ваших DNS-серверов — единственное место во всех компьютерах вашего домена (серверах и рабочих станциях), где могут быть указаны айпишники DNS-серверов вашего провайдера. Нигде и никогда не вписывайте в «Свойства TCP/IP» айпишники вашего провайдера, даже на вашем шлюзе в Инет. Исключения могут быть, но если вам нужна эта статья как помощь в настройке, то запомните — нигде не вписывайте в «Свойства TCP/IP» айпишники вашего провайдера в пределах вашей локальной сети, кроме как в закладках «Пересылка» («Forwarding») ваших DNS-серверов — тогда у вас точно не будет ошибок.

На всех stand alone серверах и рабочих станциях (клиентах) домена в «Свойствах TCP/IP» каждого интерфейса «Предпочитаемым сервером DNS» следует указывать айпишник ближайшего контроллера домена, «Альтернативным DNS-сервером» — айпишник любого другого (ближайшего) контроллера вашего домена (конечно, если домен-контроллер у вас не единственный).
Никаких указаний на DNS-серверы вашего провайдера в «Свойствах TCP/IP» ваших клиентов быть не должно.

Для проверки настройки на любом клиенте следует выполнить несколько команд, например:

Microsoft Windows 2000 [Версия 5.00.2195] (C) Корпорация Майкрософт, 1985-2000.

C:\>nslookup cat
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: cat.admin.vlady.ru
Address: 172.31.252.1

C:\>nslookup magister.admin.vlady.ru.
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: magister.admin.vlady.ru
Address: 172.31.252.2

C:\>nslookup 172.31.252.3
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: melissa.admin.vlady.ru
Address: 172.31.252.3

C:\>nslookup microsoft.com.
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Non-authoritative answer:
Name: microsoft.com
Addresses: 207.46.245.222, 207.46.245.214

Как пользоваться командой NSLOOKUP — мы вас учить не станем, разбирайтесь сами. Напомним лишь, что точка в конце запрашиваемого имени указывает на абсолютность имени, а отсутствие точки — относительность. То есть запрос айпишника для сервера MAGISTER, находящемуся внутри домена ADMIN.VLADY.RU, можно было сделать и так:

Microsoft Windows 2000 [Версия 5.00.2195] (C) Корпорация Майкрософт, 1985-2000.

C:\>nslookup magister
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: magister.admin.vlady.ru
Address: 172.31.252.2

Если в результате тестирования нет сообщений об ошибках — значит, всё настроено правильно. Не может считаться ошибкой вывод LOOKUP’а «Request timed-out» при запросе Интернет-ресурсов. Это сообщение лишь означает, что NSLOOKUP не дождался ответа от DNS-сервера в течение 2 сек. Вероятно, ваш DNS-сервер просто не успел разрешить («выяснить») запрашиваемые данные у авторитативных серверов в Интернете. Если сейчас же повторить запрос, то вы уже получите положенный ответ — пока вы размышляли над ответом на предыдущий запрос, ваш DNS-сервер уже получил запрошенные данные, и на повторный запрос среагировал молниеносно — взял ответ из кэша.
Если же такое сообщение появляется при запросе адресов локальной сети, то это означает, что ваша сеть настроена (или даже построена) ненадлежащим образом.

Развертывание домена на базе Windows Server 2003 R2

Цель данной заметки, задокумментировать пошаговый процесс развертывания Active Directory на системе Windows Server 2003 R2 Enterprise Edition. Почему я это делаю, я думал, что данная ось уже более нигде не используется, прогресс администрирования убежал вперед S erver 2008/R2 & Server 2012 – вот главные системы с которыми я работал в последнее время на предыдущих местах работы. А тут на тебе, компания и не думала идти в ногу со временем.

Но с приходом нарастающих требований и нового функционала, мне была поставлена задача, проработать процесс миграции с домена на базе Windows Server 2003 R2 x64 на домен с осью Windows Server 2008 R2. Но чтобы это сделать, мне нужно сперва разобрать все от и до. Поэтому данная заметка будет своего рода первой в небольшом цикле заметок по миграции.

И так у меня в наличии система со следующими характеристиками:

В настройках сетевой карточки у меня прописаны следующие IP адреса:

Тестировать все моменты буду под Virtualbox (благо мой рабочий ноутбук обладает повышенными характеристиками и дает мне полную свободу прорабатывания действий перед их практическим применением в организации, потому как я не люблю быть просто болтуном, я практик и прежде чем советовать что либо, предпочитаю убедиться в этом сам, что это работает.)

Важное замечание: советуя и придерживаюсь сам, что Windows система должна быть только англоязычной, но не как не русской. Это лично мое мнение.

Все действия ниже выполняю под Административной учетной запись — Administrator

После того, как развернули систему следует поставить накопительный пакет обновления

Update for Windows Server 2003 (KB2570791) для отмены перехода на «зимнее» время. Скачать который можно по этой ссылке — http://support.microsoft.com/kb/2570791/ru

Ниже пошаговые шаги как развернуть «Контроллер домена»

Запускаем утилиту dcpromo:

Win + R → dcpromo – Next – Next – выбираем « Domain controller for a new domain» и нажимем Next – выбираем « Domain in a new forest» и нажимаем Next – указываем полное DNS имя для нового домена, в моем случаем это « polygon.local» и нажимаем Next

Мастер предлагает либо изменить NetBIOS имя либо оставить текущее, оставляем текущее и нажимаем Next

Каталоги с базой и логами оставляем по дефолту и нажимаем Next

С каталогом SYSVOL поступаем точно также, по дефолту и нажимаем Next

На следующем этапе как сконфигурировать DNS оставляем по умолчанию, убедившись что выбран пункт « Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server» и нажимаем Next

На следующем этапе — доступ к объектам для пользователей и группы разрешаем только аутентифицированным пользователям и нажимаем Next

Далее задаем пароль Администратора на случай аварийного восстановления — я указываю 712mbddr@ и нажимаем Next

На следующем этапе просматриваем результирующие данные, если со всем согласны то нажимаем Next и начнется процесс разворачивания

В процессе установки, мастер попросит подмонтировать дистрибутив второго диска (у меня дистрибутив состоит из двух iso образов)

После того, как процесс завершится (нажимаем Finish) , потребуется проверить настройки сетевого адаптера на предмет корректного указания сетевых настроек и уже после только перезагрузить систему.

а нужно привести к виду:

После того, как система перезагрузиться можно авторизоваться под учетной записью Administrator, открыть далее оснастку «Пользователи и компьютеры» и создать специализированного Административного пользователя под котором уже работать, но пока это не совсем полное развертывание.

Далее нужно добавить роль DHCP чтобы в контролируемой доменной сети выдача IP адресов производилась автоматически:

Start – Control Panel – Add or Remove Programs – Add/Remove Windows Components – Networking Services – Details – отмечаем пункт Dynamic Host Configuration Protocol (DHCP) и нажимаем OK – Next, после начнется доустановка необходимых компонентов в систему (понадобится подмонтированный установочный диск) — Finish.

Запускаем оснастку DHCP:

Start – Control Panel – Administrative Tools – DHCP, по умолчанию сервис DHCP не активен, об этом свидетельствует «красная стрелочка опущенная вниз»

Первым делом создадим область IP адресов которую будет обслуживать DHCP сервер, для этого на выделенной надписи: dc 1. polygon . local через правый клик вызываем меню « New Scope” — Next – именуем как удобно — Next – задаем стартовые и конечные значения в пределах которых будет инициализироваться выдача IP адресов клиентам в нашей сети обслуживающего домена, в моем случае это :

Start IP address: 10.9.9.10

End IP address: 10.9.9.20

Length: 24 – маска подсети

Subnet mask: 255.255.255.0

IP адреса на следующем шаге которые хотим исключить пропускаем, позже к данной настройке можно будет вернуться.

Далее указываем срок аренды DHCP адресов клиентским станциям или устройствам, по умолчанию обычно указывают 7 дней, но Вы можете опираясь на Ваш опыт предопределить другое значение.

Далее настраиваем чтобы предопределенные настройки в ступили в силу немедленно — Yes, I want to configure these options now

Далее, указываем IP адрес шлюза для локальной сети – в моем случае это 10.9.9.1 (потом можно изменить если что)

Далее, указываем имя DNS -сервера используемого в сети:

Parent domain: polygon.local

Server name: dc1.polygon.local

IP address: 10.9.9.1

Следующий шаг пропускаю, т. к. WINS не использую

Далее активирую созданную область сейчас — Yes, I want to activate this scope now

Теперь нужно авторизовать DHCP службу :

Start – Control Panel – Administration – оснастка DHCP – выделяем dc 1. polygon . local [10.9.9.1], после чего через правый клик вызываем меню настроек и находим пункт « Authorize », как видно из скриншота ниже служба работает, «зеленая стрелочка смотрит вверх»

Проверяем, что домен отвечает на ICMP -запрос:

C:\Documents and Settings\Administrator>ping polygon.local

Pinging polygon.local [10.9.9.1] with 32 bytes of data:

Reply from 10.9.9.1: bytes=32 time

Reply from 10.9.9.1: bytes=32 time

Reply from 10.9.9.1: bytes=32 time

Reply from 10.9.9.1: bytes=32 time

Ping statistics for 10.9.9.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

Теперь можно подключаться рабочие станции к домену и управлять, опубликовывать, писать групповые политики из одного места, а не бегая как раньше по местам. Этим мы добились централизованности и стабильности. Имея в сети домен пользователи не почувствуют особой разницы, разве только в упорядоченности предоставляемых сервисов и служб. Что еще можно сделать используя домен я покажу в последующих заметках. А пока я хочю закончить данную заметку, она работает и шаги рассмотренные выше на удивление очень просты и не требуют каких либо более подробных документирований, пока во всяком случаем. Напоследок замечу, ознакомтесь с документацией представленной на официальном сайте не пренебрегайте ею, многие интересные вещи там представлены. Все же в заметке описать не представляется возможным да и не зачем, я ведь расписываю только те задачи с которыми мне приходится сталкиваться. Поэтому н а этом всё, с уважением автора блога ekzorchik.

Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:

Поблагодари автора и новые статьи

будут появляться чаще 🙂

Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047

Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.