DNS и Active Directory — Windows Active Directory

Что такое AD DNS?

Система доменных имен (DNS) — это метод разрешения имен, который используется для преобразования имен хостов в IP-адреса. Он используется в сетях TCP/IP и в Интернете. DNS — это пространство имен. Active Directory построен на DNS. Пространство имен DNS используется во всем Интернете, а пространство имен Active Directory — в частной сети. Причина выбора DNS заключается в том, что он хорошо масштабируется и является интернет-стандартом.

В случае Active Directory DNS поддерживает базу данных служб, работающих в этой сети. Список запущенных сервисов хранится в виде сервисных записей (SRV). Служебные записи позволяют клиенту в среде Active Directory найти любую необходимую ему службу, например принтер. Эти записи SRV также используются для идентификации контроллеров домена.

Один DNS-сервер не может помочь в разрешении записи ресурса. В этом процессе используется несколько DNS-серверов. Каждый DNS-сервер запрашивает свою собственную базу данных, чтобы найти адрес, соответствующий записи  . Если запрошенная информация недоступна, он перенаправляет запрос на другой DNS-сервер. Например, разрешение имени может сначала запросить корневой сервер Интернета, затем сервер домена первого уровня, затем сервер домена второго уровня и так далее, чтобы преобразовать имя в связанный с ним адрес.

Каждый раз, когда IP-адрес компьютера изменяется, внесение записей вручную в базу данных DNS занимает много времени и может привести к тому, что некоторые записи будут упущены. Следовательно, для автоматического обновления этих обновлений требуется динамический DNS. Любой вновь установленный сервер также может автоматически регистрировать свой IP-адрес и записи SRV на DNS-сервере. Active Directory поддерживает выполнение таких динамических обновлений.

AD зависит от DNS для разрешения имен и поиска ресурсов в сети. DNS имеет базу данных, в которой хранятся записи ресурсов, помогающие идентифицировать различные серверы, домены и службы в сети. Некоторые из распространенных типов записей ресурсов DNS:

Контроллер домена регистрирует запись AD DNS во время загрузки с записью A. Контроллер домена также регистрирует записи AD DNS Service (SRV), которые помогают сопоставлять такие службы, как Kerberos и LDAP, с собой. Когда клиентский компьютер присоединяется к сети, он находит контроллер домена, отправляя запрос DNS. Затем DNS извлекает запись SRV из своей базы данных и предоставляет клиенту имя хоста контроллера домена. Далее клиент запрашивает DNS, используя это имя хоста, для получения IP-адреса контроллера домена. Таким образом, без DNS клиент не сможет аутентифицироваться в AD или найти различные службы.

Зоны DNS Active Directory   

DNS имеет распределенную базу данных, что означает, что информация обо всех доменах, поддоменах и сопоставлениях хостов не хранится только на одном DNS-сервере, а распределяется по нескольким серверам. Управление базой данных DNS упрощается благодаря разделению пространства имен DNS на несколько зон и возложению ответственности за зону на определенный сервер. Зона AD DNS — это набор иерархических доменных имен с корневым доменом, делегированным одному или нескольким серверам имен. Зона содержит всю информацию о домене, кроме частей домена, делегированных другим серверам имен. Файлы зоны начинаются с записи ресурса AD DNS Start of Authority (SOA), которая указывает первичный сервер имен для зоны.

Мастер создания новой зоны, отображающий три типа зон и хранилища

Например, рассмотрим компанию ABC, у которой пространство имен abc.com делегировано серверу имен ns1.abc.com. Все домены под abc.com, будь то продажи, маркетинг, HR, финансы, исследования и разработки или администраторы, могут быть размещены в одной зоне. Однако возможен сценарий, когда домены продаж и финансов компании администрируются в одной стране, скажем, в США, а домен исследований и разработок — в Индии. Чтобы упростить управление базой данных DNS, субдомены продаж и финансов можно поместить в зону 1, а ответственность можно передать серверу имен с именем us.abc.com, а субдомен R&D можно поместить в отдельную зону. 2, и его ответственность может быть делегирована серверу имен с именем ind.abc.com.

Делегирование DNS Active Directory   

Имена в зоне могут быть делегированы в другую зону, поддерживаемую другим сервером. Таким образом, ответственность за поддомен может быть передана другому серверу имен, который будет обрабатывать запросы на записи ресурсов посредством процесса, называемого делегированием AD DNS. Делегирование может осуществляться с помощью ресурсных записей NS и A.

DNS играет очень важную роль в бесперебойном функционировании сети. В случае сбоя DNS будет трудно найти IP-адрес хоста и, следовательно, получить доступ к какой-либо службе. DNS действует как двунаправленный переводчик между IP-адресами и именами хостов, что упрощает нашу сетевую связь.

Процесс аутентификации и авторизации пользователей: объяснение

Основы Active Directory: все, что вам нужно знать

Менеджер учетных записей безопасности

Настройка параметров DNS для доверительных отношений Active Directory — ServerAcademy.com

В этой лекции мы собираемся настроить параметры DNS для ad.serveracademy.com и co.serveracademy.com, чтобы каждый домен мог разрешать другое доменное имя. Это требование, если вы пытаетесь установить доверительные отношения между двумя доменами.

Наш домен состоит из следующих серверов в одной сети:

SADC01.ad.serveracademy.com — 10.1.0.10/8

CODC01.co.serveracademy.com — 10.2.0.10/8

Тестовое DNS-имя разрешение

Во-первых, мы можем проверить разрешение имен DNS для каждого домена, выполнив команду nslookup в каждом домене. В домене ad.serveracademy.com я запускаю:

nslookup co.serveracademy.com

, который возвращает следующую ошибку:

*** localhost не может найти co.serveracademy.com: несуществующий домен

И в домене co.serveracademy.com я запущу:

nslookup ad.serveracademy.com

Что также возвращает:

*** localhost не может найти co.serveracademy.com: несуществующий домен

Эти ошибки не позволят нам установить доверительные отношения с доменом, поскольку мы не можем найти домен, с которым хотим установить доверительные отношения. Чтобы исправить это, нам нужно создать зону-заглушку DNS в каждом домене, которая указывает на другой домен.

Создайте зону-заглушку DNS

На контроллере домена для co.serveracademy.com откройте Диспетчер серверов, затем выберите Инструменты > DNS:

Затем щелкните левой кнопкой мыши сервер CODC01, чтобы развернуть его. Теперь щелкните правой кнопкой мыши «Зоны прямого просмотра» и выберите «Новая зона»…

Нажимайте «Далее», пока не дойдете до страницы «Тип зоны». Выберите «Зона-заглушка» и нажмите «Далее»:

. Мы хотим, чтобы эта зона-заглушка реплицировалась для всех контроллеров домена в нашем домене, поэтому на следующей странице выберите значение по умолчанию и нажмите «Далее»:

В качестве имени зоны введите имя. домена, для которого мы собираемся создать зону-заглушку: ad.serveracademy.com:

Нажмите «Далее». На следующей странице нам нужно ввести IP-адрес DNS-сервера в ad.serveracademy.com. IP-адрес нашего основного контроллера домена (также DNS-сервера) — 10.1.0.10, поэтому мы введем это:

. Вы должны увидеть зеленую галочку, добавленную к записи, и «Проверено» должно быть написано «ОК». Если этого не происходит, убедитесь, что вы ввели правильный IP-адрес DNS-сервера в ad.serveracademy.com и что у вас есть сетевое подключение к этому серверу.

Теперь нажмите  Далее  и Завершить .

Примечание. Мы также можем сэкономить много времени и выполнить то же самое с помощью следующей команды PowerShell:

Add-DnsServerStubZone -Name «ad.serveracademy.com» -MasterServers «10.1.0.10» -ReplicationScope Domain -PassThru

Теперь мы можем повторно протестировать нашу команду nslookup для ad.serveracademy.com с сайта co.serveracademy.com, и она должна разрешить его IP-адрес:

Примечание. Если вы по-прежнему не можете разрешить домен, вам может потребоваться выполните команду ниже:

ipconfig /flushdns

Если это не сработает, вам может потребоваться перезапустить сервер.

Повторите эти шаги для ad.serveracademy.com

С этого момента нам нужно повторить эти шаги, но внутри домена ad.