Active Directory: Урок 2. DNS – Разбираем MS Windows Se… — Transcript

Перед тобой продолжение курса по Active Directory, и сегодня мы будем разбирать каждый параметр в DNS по винтикам.

Если ты не смотрел первый урок, то обязательно посмотри, прежде чем продолжать, иначе много что может быть непонятно, а также разверни два контроллера домена в своей лаборатории, так как показано на видео развёртывание Active Directory.

А теперь на связи Идиев Сергей, и мы погнали.

Для начала давай раз и навсегда зафиксируем параметры сетевого адаптера на контроллере домена, в качестве Primary DNS сервера мы указываем свой собственный IP-адрес контроллера домена, то есть прямо то же самое, что у нас написано в поле IP-адрес.

В качестве Secondary DNS сервера указываем просто другой контроллер домена, обычно в качестве второго DNS сервера лично я указываю контроллер домена с ролью PDC эмулятор, но об этом попозже.

Такую конфигурацию я рекомендую, потому что это позволяет контроллеру домена запуститься автономно одному.

Без необходимости иметь сеть и возможность разрешать записи из других контроллеров домена, и, конечно же, чтобы не иметь задержек при разрешении записей зоны, которые и так на нём хостятся.

Про остальные возможные конфигурации параметров DNS сетевого адаптера можно почитать на сайте Microsoft, ссылку я оставлю в описании.

Итак, я подготовил тестовую инфраструктуру, вот так выглядят мои параметры сетевого адаптера для IPv4, то есть точно так, как я проговорил буквально минуту назад.

А ещё, если у тебя не внедрён IPv6, убери оттуда адрес DNS сервера, который там прописался, как показано на картинке, ну а если внедрён, пропиши, соответственно, по аналогии с IPv4 свой собственный IP-адрес в качестве первичного DNS сервера.

Так, теперь посмотрим на консоль управления DNS сервером, она у нас исполнена в виде оснастки MMC, открыть её можно из Server Manager или просто найти через поиск, как это делаю и я.

На верхнем уровне иерархии мы видим название сервиса DNS.

Кликнув сюда правой кнопкой мышки, мы можем подключиться к другому DNS серверу для управления, у нас есть второй домен контроллер, давайте это сделаем, вот, например, так.

Кстати, я рекомендую устанавливать оснастки для управления всеми службами, включая DNS, на ПК администратора и администрировать всё непосредственно с него, не подключаясь к контроллеру домена.

Итак, на следующем уровне у нас находятся все DNS сервера, которые мы подключили в консоль, кликнув на любой из них правой кнопкой мышки, мы можем выполнить некоторые действия, о которых мы поговорим позже.

Опускаясь ниже по иерархии, мы видим группировку по типам зон, тип зон мы обсуждали на прошлом занятии, повторяться не будем, а также здесь есть Trust Points и Conditional Forwarders, о которых мы поговорим попозже.

Итак, раскрываем нашу доменную зону, давайте её найдём, и видим слева в дереве наши поддомены, справа содержание, собственно, выделенной зоны, в том числе и поддомены тоже.

Давайте сначала внимательно посмотрим на DNS записи нового домена, первым делом мы видим, естественно, SOA запись, в которой перечислены все публичные параметры зоны, с помощью неё клиенты знают, насколько времени кэшировать разрешённую запись, а вторичные для зоны сервера знают, когда надо реплицировать с неё изменения и сколько времени хранить записи.

Ниже мы видим NS записи серверов, которые эту зону обслуживают, тут, я думаю, всё понятно, если нет, опять же, смотрим урок первый, эти записи DNS сервер создаёт автоматически и берёт их с параметров зоны, где перечислены NS сервера, обслуживающие зону.

Мы ещё посмотрим на этот раздел в настройках попозже, а также есть А записи для самой зоны и для каждого контроллера домена, эти записи регистрируют DNS клиенты контроллеров домена автоматически или по команде ipconfig /registerdns.

Все команды, которые я буду тут упоминать, будут в описании.

Обратите внимание на поддомен _msdcs, что расшифровывается как Microsoft Domain Controller Services.

Здесь мы видим делегирование, делегирование - это когда мы создаём поддомены, указываем только NS сервера, это такой же процесс, как, например, когда ты регистрируешь свой собственный домен, например, contoso.com, ты указываешь, на какие DNS сервера делегировать его, в этом случае в домене .com будут прописаны NS сервера хостинга, который ты указал, если ты всё ещё не понимаешь, как это работает, пересмотри первый урок.

В нашем случае домен _msdcs делегирован на те же DNS сервера, где и основная зона, про записи в основных поддоменах мы поговорим в следующих видео, поскольку сначала нам надо разобраться, как работает Active Directory, и там уже расскажу, при каких процессах какие записи используются.

Хорошо, перейдём к настройкам DNS сервера, открываются они вот так.

Правой кнопкой по DNS серверу, настройки, и на первой вкладке мы видим Binding, то есть привязку, тут мы можем выбрать, на каком IP-адресе будет отвечать наш DNS сервер, по умолчанию здесь стоят все адреса, но давай потренируемся здесь.

Тут мы можем выбрать, на каком IP-адресе будет отвечать наш DNS сервер, и если у тебя указано больше одного адреса, как у меня, удалим все и оставим только один основной, собственно, тот, который указан у нас в качестве основного IP-адреса в параметрах сетевого адаптера.

Попробуй сделать это сам, а потом я покажу, как я это делаю.

Ну и, собственно, вот так это делается.

И на второй вкладке у нас Forwarders.

Без крайней необходимости не используй их, это пересылка DNS запросов на другой сервер, без них твой DNS сервер сам разрешает запросы, кэширует записи, находится под твоим управлением, с Forwarders ты этот контроль теряешь, то есть ты не сможешь сбросить кэш, например, и вынужден ждать, пока кэш истечёт на твоём Forwarder, уж не говоря о том, что этот Forwarder может перестать отвечать, и все запросы будут выполняться в вечность.

Итак, третья вкладка у нас отвечает за расширенные параметры, поговорим в этом видео только про основные.

Disable recursion, ну или выключить рекурсию, когда активный сервер не будет разрешать записи из зон, не находящихся на этом DNS сервере, то есть, например, google.com он разрешать не будет.

Enable Round Robin, если эта опция включена, то когда есть несколько ресурсных записей с одним именем, он будет их выдавать постоянно в разном порядке, так как клиент пытается подключиться в первую очередь к первой выданной записи, разные клиенты будут подключаться к разным записям, это простейший механизм балансировки нагрузки.

Enable netmask ordering, это опция, которая позволяет выдавать клиенту в первую очередь адреса, находящиеся в его подсети, это полезно, когда клиент находится, например, в сети 192.168.0.0, а служба, которую он запрашивает, работает сразу на нескольких серверах, один из которых находится в этой же подсети, так вот в этом случае клиенту в первую очередь будет выдан адрес этого сервиса именно из его подсети, остальные параметры нам пока не важны.

На вкладке Root Hints у нас должен быть список Root Hints, если не знаешь, что это, пересмотри, опять же, первый урок, этот список идёт в комплекте поставки любого DNS сервера, менять его не нужно никогда, кроме того, как если ты увидел, что список не полный или их тут просто нет.

То есть мы не добавляем и не удаляем записи отсюда никогда, он всегда остаётся у нас по умолчанию, что такое Security, я думаю, тебе, в принципе, и так очевидно, здесь хранятся права на управление параметрами DNS сервера, тут тоже ничего не трогаем, пока не станем экспертами, и идём дальше.

На вкладке Monitoring у нас есть возможность протестировать, работает ли разрешение имён на нашем DNS сервере, что такое простые рекурсивные запросы, ты уже знаешь из прошлого видео, так что ставим обе галочки и нажимаем тест, мы должны в двух колонках получить результат Pass, в моём случае у лаборатории нет доступа в интернет, и у меня отработает только Simple Query, если в твоей инфраструктуре есть централизованное хранилище логов или мониторинг, рекомендую оставить автозапуск этого теста каждую минуту, так ты всегда увидишь, что твой DNS перестал работать.

На вкладке Event Logging мы видим, какие логи сохраняются в Event-ах, я обычно оставляю все логи, ну и Debug Logging - это инструмент, который мы будем включать и использовать для детальной диагностики, если у нас что-то сломалось.

Теперь посмотрим на настройки зоны.

На вкладке General мы видим основные непубличные настройки зоны, параметр Status просто отвечает за включение-выключение, собственно, этой зоны, Type отвечает за тип DNS зоны, их бывает три.

Primary - это зона, которой ты управляешь на этом сервере, Secondary - зона, которая управляется на другом сервере, а сюда прилетают только изменения, Stub Zone - это у нас зона-заглушка, которая используется для пересылки, об этом поговорим, когда будем разбирать тему доверия в Active Directory вместе с Conditional Forwarders, и признак, хранится ли эта зона прямо в каталоге Active Directory или просто в файле.

Если зона хранится в каталоге Active Directory, то она реплицируется вместе с каталогом AD, а в случае с файлом, передавать записи на другие DNS сервера можно только настроив механизм передачи зоны на Secondary сервер.

Параметр Replication у нас отвечает за то, на какие домен контроллеры мы можем передавать нашу зону.

И мы дошли до динамических обновлений, итак, тут главное запомнить, что мы всегда исходим из того, что разрешены только безопасные обновления, иначе любое устройство из сети сможет зарегистрировать любое имя в этой зоне, а значит, может представиться для всех пользователей сети каким-нибудь сервером или вообще контроллером домена.

Aging у нас отвечает за устаревание записей, он нужен, чтобы удалять устаревшие записи, узлы, находящиеся в домене, регистрируют, обновляют свои записи в DNS, если они долгое время не обновляются, значит, записи нужно удалить, чтобы эти имена можно было переиспользовать и не раздувать размер зоны, давай попробуем настроить, итак, у нас есть два параметра, Non-refresh interval и Refresh interval.

Сейчас очень внимательно, сложновато они механизм сделали.

Non-refresh interval - это время, в которое запись не обновляется на DNS сервере клиентом, даже по запросу.

Refresh Interval - это время от последнего обновления записи до того, как она будет помечена как старая.

То есть, запись через 7 дней после последнего обновления клиентом считается старой.

Давайте оставим здесь 7 дней и 7 дней по умолчанию.

Итак, теперь у нас записи устаревают и помечаются как устаревшие.

Но для того, чтобы они начали удаляться, этого недостаточно.

Давайте сейчас покажу, как сделать, чтобы записи удалялись.

Делается это у нас в настройках DNS сервера.

Вот здесь.

Называется Scavenging period.

Ну и давайте здесь тоже оставим 7 дней.

Теперь у нас записи будут удаляться.

То есть, в нашей конфигурации, в среднем, если запись не обновляется, то через 21 день она будет удалена.

7 дней у нас уйдёт на Non-refresh interval, 7 дней на Refresh interval и 7 дней на Scavenging.

Так, давайте вернёмся в настройки нашей зоны.

Ну вот мы дошли до Start of Authority.

Недавно мы про неё говорили.

Это, как я уже сказал, публичные настройки зоны.

Давайте разберёмся с основными параметрами.

И первый параметр - это Serial number, это серийный номер зоны, который нужен, чтобы Secondary сервера понимали, нужно ли с неё забирать изменения или нет.

Primary server просто указывает на мастер-сервер, откуда реплицировать изменения, если у тебя схема Primary-Secondary.

Responsible person - это просто email человека, отвечающего за зону, в этой записи собачка заменяется на точку.

Параметр Refresh interval здесь означает интервал, с которым Secondary сервера должны запрашивать обновление зоны.

Retry interval - это интервал, с которым Secondary сервера должны повторно запросить обновление зоны после неудачи.

Expires after - это то время, через которое, если зону обновить не удалось, она считается недействительной, и Secondary сервер её просто выключит из обслуживания.

Minimum TTL - это минимальное время, на которое клиент должен закэшировать отрицательный ответ от любого сервера, обслуживающего эту зону.

Под отрицательным ответом подразумевается, что запись не найдена.

Ну и TTL для этой записи, то есть для SOA записи, это, собственно, время её жизни.

Такой параметр, как TTL, имеют все DNS записи, и после истечения TTL они удаляются из кэша клиента.

Ну, про Name Servers мы уже говорили, про Security, я думаю, здесь всё очевидно.

Там права на управление зоной, а также мы пропустим WINS.

Так как технология эта устарела безнадёжно уже больше 10 лет назад.

Поговорим лучше о Zone Transfer.

Здесь у нас параметры передачи зоны по схеме Primary-Secondary.

Схему Primary-Secondary мы уже долго здесь обсуждаем.

Давайте на ней остановимся поподробнее в контексте настроек.

То есть, мы можем создать зону, в параметрах указать, что она Primary, но вот как наша, например, зона, которую мы рассматриваем, test.contoso.com, она у нас Primary.

Вот здесь это указывается.

Ну, соответственно, у нас есть зона, она заполнена записями, и здесь мы можем указать, на какие сервера разрешено её передавать.

Соответственно, на другом DNS сервере мы создаём также зону.

Указываем, что она Secondary, и указываем, с какого сервера её загружать.

Вот примерно так это можно сделать.

Вот, указываем, что она Secondary.

Указываем, что она Forward Lookup.

Указываем имя зоны там и так далее.

Здесь мы Secondary зону с таким же именем создать не сможем.

Поэтому такую конфигурацию рассмотрим ещё в этом курсе чуть попозже.

Итак, а также у нас есть параметр оповещения здесь.

То есть, если зона обновилась, DNS сервер оповестит Secondary сервера о том, что есть обновления, и они запустят процедуру обновления.

Так, теперь давай разберём, что можно делать из контекстного меню с этим сервером.

Ну, для начала его можно сконфигурировать через мастер.

Но ты же теперь знаешь, как это сделать, используя все настройки, а не только основные.

Так что этот функционал я рекомендую использовать только новичкам.

Ну, а студенту этого курса всё-таки лучше настроить его по-взрослому.

Итак, следующий пункт у нас Create Default Application Directory Partitions.

Об этом мы поговорим в других видео, когда будем разбирать репликацию в больших инфраструктурах.

Также можно создать новую зону.

Также здесь у нас есть настройка Aging-а и Scavenging-а.

Тут у нас можно установить дефолтные параметры для устаревания, но не путайте с глобальным включением тут этой функции.

Потому что это просто настройка параметров по умолчанию.

Даже если ты настроил здесь, на каждой зоне надо также явно включить устаревание.

Update Server Data Files позволяет у нас сбросить записи, которые хранятся в оперативной памяти в файл.

Clear Cache позволяет очистить кэш DNS сервера.

Здесь не путай с очисткой кэша DNS клиента.

Ну и с NS Lookup ты знаком из прошлого видео.

Отлично.

Давай теперь попробуем создать пару записей.

Например, давай создадим А запись, TXT запись и PTR запись.

Попробуй сначала сам.

А потом я покажу, как это делаю я.

О'кей, вот так это делаю я.

Создаём А запись.

Создам, например, sergey-pc.

Ну и какой-нибудь IP-адрес.

Можно, кстати, прямо отсюда создать Pointer для этой записи.

Теперь создадим TXT запись.

Ну, а Pointer у меня создался сам, когда я создавал А запись.

А теперь попробуй разрешить записи, которые ты создал, с помощью утилиты nslookup из прошлого урока.

Ну, а вот так это делаю я.

Это у нас для А записи.

Это для нашей TXT записи.

И это для PTR записи.

Соответственно, как видим, типы А и PTR указывать не нужно.

Если после nslookup мы указываем просто доменное имя, то разрешим А запись.

А если указываем IP-адрес, то разрешим автоматически PTR запись.

На следующем уроке у нас будет обширная практика.

Мы создадим разные типы зон и записей.

Посмотрим разные виды репликаций зон.

И понастраиваем сервер под наши нужды.

В общем, будет очень интересно.

Все практические занятия с разными сценариями использования будут выходить на Boosty и Patreon.

Подписывайся и ожидай выхода.

Пока.