Hva er en DNS-server og adressene deres: fra teori til finjustering. Hva er en DNS-server, hvordan finner du ut din foretrukne leverandøradresse, erstatter den med Google Public DNS eller alternative alternativer Ytterligere DNS

DNS (eller også kjent som Domain Name System) er et system som matcher domenenavn som Google.com eller Yandex.ru med de riktige IP-adressene. Dette systemet er en database med domenenavn og IP-adresser. Den brukes til å opprettholde en katalog med domenenavn og hjelper til med å løse disse domenenavnene til riktige IP-adresser.

Domenenavn er adresser som kan leses av mennesker som vi bruker hver dag. For eksempel, Domenenavn Yandex - yandes.ru. Hvis du vil besøke Yandex-nettstedet, skriver du bare inn yandex.ru i adressefeltet til nettleseren din.

Men datamaskinen din vet ikke hvor "yandex.ru" er plassert. Bak kulissene vil datamaskinen din kontakte DNS-serverne og spørre hvilken IP-adresse som er knyttet til yandex.ru.

Den vil deretter koble til den nettserveren, laste ned innholdet og vise det i nettleseren din.

I dette tilfellet ligger yandex.ru på IP-adressen 77.88.55.70 på Internett. Du kan skrive inn denne IP-adressen i nettleseren din for å besøke Yandex-nettstedet. Men i stedet for 77.88.55.70 bruker vi "yandex.ru" fordi det er lettere å huske.

Uten DNS vil ikke hele Internett være tilgjengelig. Vi skal tilbake til en tid før Internett ble født. Og datamaskinen din kan bare brukes til å lage dokumenter eller spille offline spill.

Selvfølgelig er dette bare en enkel forklaring, faktisk er det litt komplisert. For å få tilleggsinformasjon, jeg vil anbefale deg å lese denne artikkelen eller se videoen nedenfor.

Ulike Internett-leverandører (ISP) bruker forskjellige DNS-servere. Som standard, med mindre du har konfigurert spesifikke DNS-servere på datamaskinen (eller ruteren), vil standard DNS-serverne fra Internett-leverandøren din bli brukt.

Hvis disse DNS-serverne er ustabile, kan det hende du opplever noen problemer mens du bruker Internett på datamaskinen. Kan for eksempel ikke laste inn nettsider helt eller har ikke tilgang til Internett. For å unngå uønskede DNS-feil, bytt til offentlige DNS-servere som Google DNS og OpenDNS.

Her er noen vanlige DNS-relaterte feil som du kan se nærmere på:

• Rettet DNS-oppslagsfeil i Google Chrome
• Hvordan fikse Err_Connection_Timed_Out-feil
• Hvordan fikse Err_Connection_Refused-feil
• Fiks Dns_Probe_Finished_Nxdomain Error
• Reparer DNS-serveren som ikke svarer på Windows

Du kan fikse disse feilene ved å bytte til tredjeparts DNS-servere i listen nedenfor.

Fordeler med å bruke offentlige DNS-servere

Du kan spørre om Internett-leverandøren din har standard DNS-servere, hvorfor trenger du disse offentlige DNS-serverne? Her er grunnene til at du bør bruke disse alternative DNS-serverne:

• Noen standard DNS-servere er ikke raske nok, og noen ganger får de timeout. Internett-tilkoblingen din er imidlertid ikke stabil. Å bytte til disse raskeste DNS-serverne vil bidra til å forbedre internetthastigheten din.
• Bruk av disse offentlige DNS-serverne vil bidra til å forbedre stabiliteten.
• Noen tredjeparts DNS-servere har sikkerhets- og filtreringsfunksjoner. Disse funksjonene vil hjelpe deg med å beskytte datamaskinen mot phishing-angrep.
• Dette vil hjelpe deg å komme forbi geografiske innholdsbegrensninger og webinspeksjoner. Du kan for eksempel enkelt se en YouTube-video når den sier «Denne videoen er ikke tilgjengelig i ditt land».

Liste over topp 10 offentlige DNS-servere

Etter å ha lest forklaringen på hva en DNS-server er, er tredjeparts DNS-servere nyttige, sjekk ut listen nedenfor. Dette er en liste over de 10 beste tredjeparts DNS-serverne:

1. Googles offentlige DNS-server

Dette er en av de raskeste DNS-serverne som mange brukere bruker på datamaskinene sine. Ved å bruke Googles DNS-servere får du større sikkerhet og en bedre opplevelse på datamaskinen.

For å bruke Googles offentlige DNS-servere, konfigurer nettverksinnstillingene med følgende IP-adresser:

8.8.8.8 som foretrukket DNS-server

8.8.4.4 som din alternative DNS-server

2.OpenDNS

Bortsett fra Google DNS-servere, er OpenDNS en av de beste sky-DNS-serverne. Dette vil bidra til å beskytte datamaskinen mot ondsinnede angrep.

For å bruke OpenDNS, la oss konfigurere nettverksinnstillingene dine med følgende IP-adresser:

208.67.222.222

208.67.222.220

OpenDNS tilbyr også to gratisløsninger for privatkunder: OpenDNS Family Shield og OpenDNS Home.

OpenDNS Shield-familien leveres forhåndskonfigurert for å blokkere voksent innhold. For å bruke den må du konfigurere forskjellige DNS-servere med følgende IP-adresser i nettverksinnstillingene.

Foretrukket DNS-server: 208.67.222.123

Alternativ DNS-server: 208.67.220.123

I mellomtiden kommer OpenDNS Home med tilpasset tyveri- og phishing-beskyttelse.

3. Norton ConnectSafe

Norton tilbyr ikke bare antivirusprogrammer og Internett-sikkerhetsprogramvare. Den tilbyr også en DNS-servertjeneste kalt Norton ConnectSafe. Denne sky-DNS-tjenesten vil bidra til å beskytte datamaskinen din mot phishing-nettsteder.

Norton ConnectSafe kommer med tre forhåndsdefinerte retningslinjer for innholdsfiltrering. Dette er sikkerhet, sikkerhet + Pornografi og sikkerhet + Pornografi + annet.

Du kan ta en titt på bildet nedenfor for mer informasjon om hver forhåndsdefinerte policy. Besøk for mer informasjon.

4. Comodo Secure DNS

Comodo Secure DNS er en domenenavnservertjeneste som løser DNS-spørsmålene dine gjennom flere globale DNS-servere. Det gir en mye raskere og bedre internettopplevelse enn å bruke standard DNS-servere levert av Internett-leverandøren din.

Hvis du ønsker å bruke Comodo Secure DNS, trenger du ikke installere maskinvare eller programvare. Bare endre dine primære og sekundære DNS-servere til 8.26.56.26 og 8.20.247.20.

5. Nivå 3

Nivå 3 er den neste gratis DNS-tjeneste på denne listen. Den opererer på lag 3-kommunikasjon. For å utnytte dette gratis tjeneste, bare konfigurer nettverksinnstillingene ved hjelp av følgende DNS IP-adresser:

209.244.0.3

208.244.0.4

Besøk for flere detaljer.

6. DNS-fordel

Det er en av de raskeste DNS-serverne som tilbyr Best ytelse når du jobber på Internett. Dette vil hjelpe deg å laste inn nettsteder raskere og sikrere. For å bruke DNS Advantage, konfigurer dine foretrukne/alternative DNS-servere med følgende detaljer:

156.154.70.1

156.154.71.1

7.OpenNIC

Som mange andre DNS-servere ovenfor, er OpenNIC et godt alternativ til å erstatte standard DNS-servere. Dette vil beskytte datamaskinen din mot myndighetene og beskytte personvernet ditt. For å bruke denne DNS-tjenesten, konfigurer dine foretrukne og alternative DNS-servere som følger:

46.151.208.154

128.199.248.105

For å finne mer pålitelige DNS-servere.

8. Dekan

Dyn er den nest beste gratis tredjeparts DNS-serveren på listen. Det gir en fantastisk nettleseropplevelse og beskytter informasjonen din mot de fleste phishing-angrep. Konfigurer nettverksinnstillingene med følgende DNS IP-adresser for å bruke Dyn DNS-serveren.

216.146.35.35

216.146.36.36

9. SafeDNS

SafeDNS er en annen skybasert DNS-tjeneste. Dette vil hjelpe deg med å beskytte datamaskinen din og også gi en bedre nettleseropplevelse. For å bruke SafeDNS, bruk følgende DNS-informasjon nedenfor:

195.46.39.39

195.46.39.40

Om gratis og premium DNS-tjenester fra SafeDNS.

10. DNS.Watch

DNS.Watch er den siste gratis offentlige DNS-tjenesten på denne listen. Det gir en usensurert, rask og pålitelig nettleseropplevelse gratis. For å konfigurere PC-en eller ruteren med "DNS.Watch", bruk to IP-adresser DNS-adresser under:

84.200.69.80

84.200.70.40

Noen ganger, hvis du ikke klarer å surfe på nettet ordentlig, kan du prøve å endre standard DNS-servere på datamaskinen eller ruteren til disse DNS-serverne. Dette vil gi deg en bedre nettleseropplevelse og også beskytte deg mot mulige angrep.

Vet du ikke hvordan du endrer DNS-servere på Windows, Mac eller Android? Bare les .

Hilsener! I dag skal vi diskutere alt viktige poeng om DNS-serveren. Fra hva det er til å sette opp og velge alternativ DNS... La oss ta plass og ikke glem å spenne fast!

Hvis du har spørsmål eller har noe å legge til, vennligst skriv i kommentarene til denne artikkelen. Du vil hjelpe både oss og andre lesere!

Hva er DNS?

La oss starte med en fjern teori. For de som ikke er interessert, gå til ønsket kapittel under - alle innstillinger og valg vil være der. Og her skal vi snakke om selve DNS-fenomenet.

DNS – Domain Name System – domenenavnsystem

Er du redd? La oss prøve å forvirre det enda mer... dvs. nøste opp. La oss gå punkt for punkt:

1. Mens du bruker Internett, skriver du inn navnet på et nettsted i nettleservinduet. For eksempel GUGL.FU (kan de tilgi oss og også gi oss trafikk).
2. I nettverk skjer all adressering via IP-adresser. De. maskinvare kan søke etter ruter kun etter tall. For eksempel 7.7.7.7. Men det er upraktisk for brukere å huske disse numrene (husk i det minste numrene til 50 av kontaktene dine fra telefonen).
3. Og her er analogien med telefonen. Du trenger ikke å kunne tallene, men du husker omtrent navnene. De. du skriver inn et navn i telefonen, og anropet går til nummeret. Det er det samme på Internett - du skriver inn et symbolsk navn (domenenavn), og nettleseren, utenom øynene dine, går for å lete etter det ønskede nettstedet etter IP-adresse.

DNS-serveren er ansvarlig for å konvertere domenenavnet til en IP-adresse. Tar imot bokstaver - gir tall.

For å bekrefte denne transformasjonen kan du pinge et hvilket som helst nettsted:

ya.ru-domenet har en gjeldende IP på 87.250.250.242

Servere - teori

Vi vil ikke gå for dypt inn i arkitekturen til DNS-servere, men for en generell forståelse er det verdt å vite:

1. Det er mange av dem - det er ingen riktig, som regel får du en DNS-leverandør, men dette er ikke alltid den beste løsningen.
2. De har en nestet struktur - root, land, leverandører, rutere (veldig grovt). I den forstand at all DNS arver informasjon fra hverandre, og hvis noe ikke er på den gjeldende, vil forespørselen bli sendt høyere.
3. De har en IP-adresse - du banker på den, og den gir allerede ut de nødvendige IP-adressene til nettstedene.

Som regel, etter å ha koblet til Internett, hvis du ikke gjør noe med innstillingene, vil du motta DNS fra Internett-leverandøren din.

Hvordan finne ut den nåværende?

Før du fortsetter med installasjonen, må du kanskje finne ut gjeldende DNS-server. For å unngå flere spørsmål, skal jeg vise deg hvordan du gjør det raskt:

1. Vi må åpne kommandolinjen (det er andre åpningsalternativer, du kan Google det). Trykk på tastene Win+R(«Kjør»-verktøyet åpnes, gå inn i det cmd

1. Tast inn nsoppslag

I mitt tilfelle er gjeldende DNS 192.168.0.1. For avanserte brukere er dette ruteradressen. Alle forespørsler er adressert til den, og den sender den videre (Google DNS kjører for øyeblikket på den).

Forsørger

Du kan henvise til nettsteder gjennom leverandøren din, men dette fungerer ikke alltid som forventet. For en vanlig hjemmebruker kan alt gå upåaktet hen resten av livet, men jobber du veldig tett med Internett, kan trøbbel komme uventet. Mine teser om leverandørservere:

1. Stabilitet etterlater mye å være ønsket - i den forstand at en gang i året skyter pinnen, og her en gang hvert par år krasjer serverne deres, nettsteder åpnes ikke ordentlig. Et ubehagelig øyeblikk, kan en hjemmebruker tro at Internett hadde falt av, og problemet ble begravd på overflaten. For noen er det nok å falle en gang hvert par år til å gjøre dem lykkelige.
2. Territoriale begrensninger - noen nettsteder vil bli utestengt fra DNS og kadaveret vil gå tapt. Faktisk forbyr folk sjelden noe gjennom det nå, men forresten, det var presedens for dette.
3. Sakte soneoppdateringer (for meg er dette det viktigste punktet). Leverandørens servere oppdateres veldig sakte. Eieren av nettstedet endret serveren sin (han ønsket å flytte til kraftigere maskinvare), endret DNS-innstillingene til en ny IP-adresse, og slik informasjon kan bare nå en bruker i regionen om et par dager. Og han vil banke på en ikke-eksisterende adresse, motta et utilgjengelig nettsted eller et nettsted med brudd på sikkerhetssertifikater og et hav av andre problemer.

Oppsummert fungerer alt, noen ganger i veldig lang tid og vel, men det er ulemper som enkelt kan erstattes med alternativ DNS.

Alternativ DNS

I Windows-innstillinger, som vi skal se på nedenfor, er det et felt med en alternativ DNS. Så i så fall vi snakker om bare om backup-DNS-serveradressen hvis den viktigste er utilgjengelig. I samme kapittel betyr "alternativ" bare at det ikke er utstedt av tilbyderen.

Her er en tabell over de viktigste gjeldende DNS-ene:

Service	DNS 1	DNS 2
Googles offentlige DNS	8.8.8.8 2001:4860:4860::8888 (IPv6)	8.8.4.4 2001:4860:4860::8844 (IPv6)
Åpne DNS	208.67.222.222	208.67.220.220
Yandex	77.88.8.8 77.88.8.88 (uten svindelsider) 77.88.8.7 (ingen nettsteder for voksne)	77.88.8.1 77.88.8.2 (uten svindelsider) 77.88.8.3 (ingen nettsteder for voksne)
DNS SE	82.200.69.80	84.200.70.40
Norton Connect Safe	198.153.192.1 198.153.192.40 (bare sikre nettsteder) 198.153.192.50 (ingen porno) 198.153.192.60 (full sikkerhet)	198.153.194.1 198.153.194.40 (bare sikre nettsteder) 198.153.194.50 (ingen porno) 198.153.194.60 (full sikkerhet)
Nivå 3 DNS	209.244.0.3 4.2.2.1 4.2.2.3	209.244.0.4 4.2.2.2 4.2.2.4
Comodo Secure DNS	8.26.56.26	8.20.247.20
Åpne NIC DNS	Velg fra listen https://servers.opennic.org	Velg fra listen https://servers.opennic.org

Jeg skal gå gjennom hver enkelt kort:

• Google Public DNS – jeg bruker det selv og anbefaler det til det er forbudt. Fungerer som en sjarm og oppdateres raskt. Adresser er enkle å huske - "åtter". Det finnes også IPv6-versjoner.
• Åpen DNS er den nest mest populære tjenesten. Jeg brukte det en stund og merket ikke mye forskjell fra Google. Det fungerer og jammen.
• Yandex - som en bonus er det ekstra servere med nettstedsfiltre - uten kjente phishing og uredelige nettsteder, og uten nettsteder for voksne - de vil rett og slett ikke åpne. En slags foreldrekontroll.
• Resten jobber også. Jeg ser ikke noe poeng i å beskrive det, det vil være vannaktig vann. For huset er den første nok, og om nødvendig den andre. Resten er overskudd til tekniske spesialister. Dessverre eller heldigvis er ikke vår WiFiGid for spesialister.

Innstillinger

Nå skal jeg vise deg hvor du skal sette inn disse adressene slik at alt fungerer som en dyr sveitsisk klokke.

1. Gå til "Nettverks- og delingssenter" (Windows 7) eller "Nettverks- og Internett-innstillinger" (Windows 10). Du kan gjøre dette ved å høyreklikke på nettverksikonet og velge dette elementet:

1. Deretter "Konfigurere adapterinnstillinger" (eller "Endre adapterinnstillinger"):

1. Og her ser vi allerede etter adapteren vår, som vi koblet til nettverket gjennom, høyreklikk - "Egenskaper" og gjør alt som i diagrammet:

Her setter jeg Google-adressene - første og andre (henholdsvis første og andre kolonne i tabellen ovenfor). Du kan gjøre det samme, eller du kan eksperimentere med andre tjenester.

Disse handlingene utføres identisk i operasjonssaler. Windows-systemer 7, Windows 8, Windows 10.

Dette kan gjøres på alle enheter, inkludert telefoner (se instruksjoner for å sette opp DNS for modellen din). Et eksempel som kan gjøres:

Det er bedre å gjøre alt med en gang på ruteren i innstillingene til DHCP-serveren (som distribuerer nettverksinnstillinger til tilkoblede enheter). Da vil alle enheter som er koblet til den umiddelbart gå gjennom vanlige servere. Bruk TP-Link som eksempel, se etter innstillinger for modellen din gjennom søket på nettstedet vårt:

Noen programmer, applikasjoner og mobile enheter i sine konfigurasjoner spør de etter DNS-adressefeltet - IP-adresser fra tabellen ovenfor er også egnet.

Mulige feil

Det er ingen måte å liste opp alt mulige feil, relatert til DNS-feil - du kan søke etter dem etter navn på nettsiden vår, vi har virkelig sortert ut de viktigste. Men essensen av å løse noen av dem er veldig enkel:

1. Vi starter ruteren og datamaskinen, bærbar PC, telefon på nytt - for å prøve igjen for å få nettverksinnstillinger.
2. Mens alt starter på nytt, sjekker vi ledningene for å se om alt fungerer som det skal, om det er brudd noe sted.
3. Hvis det ikke hjelper, skriv inn DNS-adressene manuelt som i avsnittet ovenfor.
4. Hvis dette ikke hjelper, er det en feil et sted på leverandørens side eller på selve siden (den samme mulige bevegelsen). Hvis ingenting åpnes i det hele tatt, for sikkerhets skyld, prøver vi å deaktivere antivirus, brannmurer, proxyer, VPN-er og annen programvare som bruker nettverket.

Hvis alt er virkelig dårlig og du ikke har funnet noe, skriv en kommentar nedenfor!

Vil du raskt teste systemadministratorens kunnskaper? Spør ham om Googles offentlige DNS IP-adresse. Enhver systemadministrator med respekt for seg selv vil svare: "8.8.8.8", og en avansert vil legge til "... og 8.8.4.4".

Hva har skjeddDNS?

DNS er et akronym for Domain Name System. Oversatt som et domenenavnsystem, er det et system som matcher et domenenavn og en verts IP-adresse. Så når du kjenner vertsnavnet, kan du få adressen og omvendt. Hva er den til? Verdensveven Internett er utformet på en slik måte at hver enhet (datamaskin, telefon, nettbrett, ruter) har sin egen unike adresse (faktisk kan adresser gjentas hvis vi snakker om forskjellige LAN-nettverk, men i denne artikkelen snakker vi om globalt nettverk og vi vil ikke gå inn på detaljer om NAT, PAT og ruting), og du kan bare få tilgang til denne enheten ved å kjenne adressen på nettverket. Når vi jobber på Internett, får vi tilgang til dusinvis av nettsteder hver dag. Det ville være vanskelig å huske alle adressene deres, bestående av en sekvens av tall og prikker, for eksempel, hva er lettere å huske 77.222.61.238 eller integrus.compumur.ru? Selvfølgelig den andre. Og domenenavnsystemet vil huske adressen for deg.

DNS er tilgjengelig på hver datamaskin, på alle nettverk og på alle leverandører; i tillegg har den en hierarkisk form, og i tilfellet når domenenavnsystemet ikke kan bestemme adressen til den forespurte ressursen fra domenenavnet, sender det forespørselen til en DNS-server på høyere nivå. Forespørselen kan overføres opp til en av de 13 "verdens viktigste" rot-DNS-servere.

Hvordan installere en DNS-server?

Serveren kan utføre ulike funksjoner, den kan fungere som en global katalog, lagre filinformasjon, jobbe med databaser og jobbe med flere brukere samtidig. Avhengig av formålet med serveren, er roller installert på den - et spesielt sett med programmer som lar serveren utføre de nødvendige funksjonene.

Hvordan installere en rolleDNS-servere? Vi utfører monteringen kl Windows Server 2012 R2.

Oftest er DNS-serverrollen installert med en domenekontroller. Men hvis under installasjonen Active Directory Hvis du fjernet merket for "DNS-server", eller AD er rett og slett ikke nødvendig, trenger du bare å installere DNS-serveren. For å gjøre dette, gå til Server Manager og klikk på "Legg til roller og funksjoner"-knappen.

Vinduet Veiviser for roller og funksjoner åpnes. Les veiviserens introduksjonstekst og klikk på Neste.

Sørg for at Installer roller og funksjoner er valgt, og klikk på Neste.

Velg en server fra servergruppen. I vårt tilfelle er det bare én server, du kan ha flere.

Velg Rolle DNS Server.

Ved å merke av i den nødvendige boksen vil vi se "Legg til roller og komponenter"-vinduet vises. Disse komponentene er nødvendige for å administrere den installerte rollen. Hvis du skal administrere DNS-serveren fra en annen server, kan du hoppe over å legge til disse komponentene.

Tilbake i vinduet med DNS-server merket, klikk Neste, deretter Neste og Neste igjen til Installer-knappen blir aktiv.

Klikk på "Installer"-knappen.

Installasjonen vil begynne.

Etter at installasjonen er fullført (installasjonen vil ta mindre enn 5 minutter), vil følgende melding vises: "Installasjon fullført på YourServerName." Du kan klikke på "Lukk"-knappen. Nå vil en ny linje "DNS" vises i Serverovervåkingspanelet, samt i Start-menyen. Hvis du klikker på denne linjen, vil "DNS Manager" starte.

Det ser slik ut.

På dette øyeblikket Ingen soner er konfigurert på DNS-serveren. En slik server kalles en caching-server. Soner er deler av navneområdet som serveren er ansvarlig for. Forward lookup soner involverer å løse et navn til en IP-adresse. En omvendt oppslagssone, derimot, matcher en IP-adresse med et navn.

La oss lage en direkte visningssone og lage den enkelt oppsett.

For å gjøre dette, høyreklikk på inskripsjonen "Videresend visningssoner" og deretter "Opprett en ny sone".

Vinduet "New Zone Creation Wizard" åpnes, klikk på "Next". Vinduet for valg av sonetype åpnes. Hvis du ikke har en annen DNS-server, velg "Hovedsone" og "Neste".

I neste vindu må du spesifisere sonenavnet. Det anbefales å bruke domenet ditt. I vårt tilfelle vil navnet være: . Klikk "Neste".

I neste vindu velger du den dynamiske oppdateringstypen. Det anbefales å tillate dynamiske oppdateringer, men bare hvis DNS skal brukes utelukkende i din lokalt nettverk. Ellers kan dette elementet innebære sikkerhetsrisikoer, som "New Zone Wizard" vil advare deg om.

Klikk "Neste" og "Fullfør". Den direkte visningssonen har blitt opprettet, la oss utføre den enkle konfigurasjonen. Sette opp en nettlesingssone gjøres ved å legge til DNS-poster i sonen. Det finnes flere typer DNS-poster. La oss se på hovedtypene:

• En rekord. Korrelerer vertsnavn og IPV-protokolladresse
• AAAA rekord. Korrelerer vertsnavn og IPV-protokolladresse
• CNAME-post. Alias, brukes til å omdirigere til et annet navn.
• MX-post. E-postpost, peker på e-postservere.
• NS-rekord. Peker på domenets DNS-server.

La oss lage en A-rekord for vår nye foroveroppslagssone. For å gjøre dette, høyreklikk på sonen og velg det aktuelle kontekstmenyelementet, som vist i figuren.

I "Ny node"-vinduet som åpnes, skriv inn nodenavnet, for eksempel GateWay, og dens IP-adresse, for eksempel 192.168.0.1. Klikk på "Legg til node"-knappen.

Klar! Oppføringen er opprettet!

I denne artikkelen prøvde vi å forklare på det mest forståelige språket til en vanlig person uten dyp IT-kunnskap hva DNS er, hvordan du installerer DNS-serverrollen på Windows Server 2012, ble kjent med hovedtypene poster og viste i bilder hvordan disse registreringene er laget. Og hvis alt det ovennevnte virket vanskelig for deg, vil spesialistene våre sette opp en server for deg på mindre enn en time.

En sone er en database som inneholder autoritativ informasjon om en region i DNS-navneområdet. Når du installerer en DNS-server med en domenekontroller, opprettes det automatisk en DNS-sone for å støtte Active Directory-domenet. Hvis DNS-serveren ble installert på en domenekontroller, domenemedlemsserver eller frittstående server, må soner opprettes og konfigureres manuelt.

Denne leksjonen beskriver hvordan du oppretter og konfigurerer en sone og gir informasjonen som trengs for å konfigurere en sone riktig.

Opprette soner

sone DNS er en database som inneholder poster somknytte navn til adresser i den beskrevne regionen i DNS-navneområdet. Selv omfor å svare på navnespørsmål, kan DNS-serveren bruke cachedinformasjon fra andre servere, er han autorisert til å svare på forespørsler kun ilokalt kontrollert område. For ethvert omfang av DNS-navneområdet,representert av et domenenavn (for eksempel google .ru), er det bare ettautoritativ kilde til sonedata.
Hvis du trenger å opprette en ny sone på DNS-serveren, kan du bruke New Zone Wizard i DNS Manager. For å starte veiviseren, høyreklikk på serverikonet i DNS Manager-konsolltreet og bruk kommandoen Ny sone.

Veiviseren for ny sone inneholder følgende konfigurasjonssider:

■ Sone Type;

■ Sonereplikasjonsområde, integrert V Active Directory (Active Directory Zone Replication Scope);

■ Forward eller Reverse Lookup Zone;

■ Sonenavn;

■ Dynamisk oppdatering (Dynamisk oppdatering).

De følgende delene beskriver konfigurasjonskonseptene knyttet til disse fem veivisersidene.

Velge en sonetype

På Zone Type-siden til New Zone Wizard kan du velge å opprette en primær sone, en sekundær sone eller en stubbsone. Ved å opprette en primær- eller stubsone på en domenekontroller kan du lagre sonedata i Active Directory.

* Hovedområder

Den vanligste typen DNS-sone er primærsonen. Den gir kildens lese-/skrivedata som gir den lokale DNS-serveren autoritet til å svare på DNS-forespørsler med DNS-navneområde.

Den lokale DNS-serveren som administrerer den primære sonen fungerer som den primære kilden til data om denne sonen. Serveren lagrer en hovedkopi av sonedata i en lokal fil eller i Active Directory Domain Services (AD DS). Hvis sonen er lagret i en fil i stedet for i Active Directory, er standard filnavn sonenavn.dns og er lagret i mappen %systemroot%\System 32\Dns på serveren.

*Ytterligere soner

Gir en autoritativ, skrivebeskyttet kopi av primærsonen eller én ekstra sone.

Sekundære soner gir muligheten til å redusere mengden av DNS-spørringstrafikk i områder av nettverket der sonedata er mye forespurt og brukt. I tillegg, hvis serveren som administrerer den primære sonen ikke er tilgjengelig, kan den sekundære sonen gi navneoppløsning til den primære serveren blir tilgjengelig igjen.

Kildesonene som ekstra soner mottar informasjon fra kalles hovedsoner, og datakopieringsprosedyrene som sikrer at soneinformasjon oppdateres jevnlig kalles soneoverføringer. En hovedsone kan være en hovedsone eller en annen tilleggssone. En hovedsone kan tilordnes en ekstra sone som opprettes i New Zone Wizard. Fordi en sekundær sone er en kopi av den primære sonen som administreres av en annen server, kan den ikke lagres i Active Directory.

* Stubbsoner

Ligner på en sekundær sone, men inneholder ressursposter som er nødvendige for å identifisere autoritative DNS-servere i hovedsonen. Stubbsoner brukes ofte for å la en overordnet sone (for eksempel google .ru) bruke en oppdatert liste over navnetjenere som er tilgjengelige i en delegert underordnet sone (for eksempel: translate .google .ru). De tjener også til å forbedre navneoppløsning og forenkle DNS-administrasjon.

* Lagring av soner iAktivKatalog

Når du oppretter en primær sone eller en stubbsone på en domenekontroller, på Zone Type-siden i veiviseren, kan du velge alternativet for å lagre sonen i Active Directory. Active Directory-integrerte sonedata blir automatisk replikert til Active Directory i henhold til innstillingene som er valgt på Active Directory Zone Replication Scope-siden. Takket være dette alternativet er det ikke nødvendig å konfigurere soneoverføring til flere servere.

Å integrere en DNS-sone i Active Directory gir flere fordeler. For det første, fordi Active Directory-tjenester utfører sonereplikering, er det ikke nødvendig å konfigurere en separat DNS-soneoverføringsmekanisme mellom primær- og sekundærserveren. Multiple nettverksreplikering gir automatisk feiltoleranse og forbedret ytelse på grunn av tilgjengeligheten av flere lese/skrive primære servere. For det andre lar Active Directory deg oppdatere og replikere individuelle ressurspostegenskaper på DNS-servere.Fordi mange komplette ressursposter ikke overføres, reduseres belastningen på nettverksressurser under soneoverføringer. Til slutt gir Active Directory-integrerte soner også valgfrie sikkerhetskrav for dynamiske oppdateringer, som kan konfigureres på Dynamic Update-siden til New Zone Wizard.

MERK: Skrivebeskyttede domenekontrollere og soner integrert med Active Directory

På tradisjonelle domenekontrollere får en kopi av sonen lese-/skrivetillatelse. På skrivebeskyttede domenekontrollere (RODCs) er sonekopien tildelt skrivebeskyttet tillatelse.

* Standard soner

Når du oppretter en sone på en domenekontroller, velges alternativet for å lagre sonen i Active Directory på Sonetype-siden som standard. Du kan imidlertid fjerne merket i denne boksen og opprette en såkalt standardsone. På en server som ikke er en domenekontroller kan du bare opprette standardsoner, og avkrysningsboksen på denne siden er nedtonet.

I motsetning til en Active Directory-integrert sone, lagrer en standardsone dataene sine i tekstfil på den lokale DNS-serveren. I tillegg, hvis du bruker standardsoner, kan du konfigurere bare den primære kopien med lese- og skrivetillatelser for sonedataene. Alle andre kopier av sonen (ekstra soner) er tildelt skrivebeskyttet tillatelse.

Standardsonemodellen forutsetter et enkelt feilpunkt for den skrivbare versjonen av sonen. Hvis hovedsonen ikke er tilgjengelig på nettverket, kan det ikke gjøres endringer i sonen. Imidlertid kan forespørsler om navn i en sone ikke avbrytes mens flere soner er tilgjengelige.

Velge sonereplikeringsomfanget integrert iAktivKatalog

På Active Directory Zone Replication Scope-siden i New Zone Wizard kan du velge domenekontrollerne på nettverket du vil lagre sonedata til. Denne siden vises bare når du velger alternativet for å lagre sonen og Active Directory. Valgalternativene for sonereplikeringsomfang bestemmer domenekontrollerne som sonedata skal replikeres blant.

Denne siden inneholder følgende alternativer:

■ Sonepersistens på alle domenekontrollere, som også er DNS-servere, gjennom hele Active Directory-skogen;

■ Bevaring av sonen på alle domenekontrollere, som også fungerer som DNS-servere og det lokale Active Directory-domenet;

■ Bevaring av sonen på alle domenekontrollere og det lokale Active Directory-domenet (brukes for kompatibilitet med Windows 2000);

■ Bevarer sonen på alle spesifiserte domenekontrollere og omfanget av den tilpassede Active Directory-katalogpartisjonen.

Disse alternativene er beskrevet mer detaljert i det andre emnet.

Opprette forover- og bakoversøkssoner

På siden for Forward eller Reverse Lookup Zone i veiviseren for ny sone må du velge sonetypen som skal opprettes; Forward Lookup Zone eller Reverse Lookup Zone.

I foroveroppslagssoner kartlegger DNS-servere FQDN-er til IP-adresser. I soner med omvendt oppslag kartlegger DNS-servere IP-adresser til FQDN-er. Således svarer foroveroppslagssoner på forespørsler om å løse FQDN-er til IP-adresser, og omvendt oppslagssoner svarer på forespørsler om å løse IP-adresser til FQDN-er. Merk at foroveroppslagssoner er navngitt i henhold til D NS-domenenavnene som tillatelsen er utført for, for eksempel google .com. Soner for omvendt oppslag er navngitt i omvendt rekkefølge av de tre første oktettene i adresseområdet som navneoppløsningen er gitt for, pluss en ekstra in-addr.arpa-tag. For eksempel, hvis du løser navn for 192.168.1.0/24-delnettet, vil sonen for omvendt oppslag bli kalt 1.168.192.in-addr.arpa. I foroveroppslagssonen kalles den individuelle databaseposten som tilordner et vertsnavn til en adresse en post node(EN). I en omvendt oppslagssone kalles den individuelle databaseoppføringen som tilordner en IP-adresse til et vertsnavn pekeren eller PTR-post.

Driftsprinsippet for mine forover- og bakoveroppslag er demonstrert i figuren.

Live View-sone

Omvendt oppslagssone

MERK: Veiviser for oppsett av DNS-server

Du kan bruke veiviseren Konfigurer en DNS-server til å opprette forover- og bakoveroppslagssoner samtidig. For å starte veiviseren, høyreklikk på serverikonet i DNS Manager-konsolltreet og velg Konfigurer en DNS-server.

Velge et sonenavn

På siden for sonenavn i veiviseren for ny sone kan du velge et navn for sonen for foroveroppslag som skal opprettes. Omvendt oppslagssoner gis spesielle navn basert på rekkevidden av IP-adresser de er autoritative for.

Hvis du oppretter en sone for navneoppløsning i et Active Directory-domene, er det best å spesifisere et sonenavn som samsvarer med Active Directory-domenenavnet. For eksempel, hvis en organisasjon inneholder to Active Directory-domener kalt google.ru og translate.google.ru, må navneløsningsinfrastrukturen inneholde to soner oppkalt etter disse domenenavnene.

Hvis du oppretter en sone for et DNS-navneområde som ikke er i et ActiveDirectory-miljø, må du spesifisere organisasjonens Internett-domenenavn, for eksempel wikipedia .org.

MERK: AddisjonDNS-server per domenekontroller

For å legge til en DNS-server til en eksisterende domenekontroller, legger du vanligvis til en kopi av den primære sonen for å gi navneoppløsning til det lokale Active Directory-domenet. For å gjøre dette oppretter du ganske enkelt en sone hvis navn samsvarer med navnet på en eksisterende sone i det lokale Active Directory-domenet. Den nye sonen vil fylles ut med data fra andre DNS-servere i domenet.

Konfigurering av dynamiske oppdateringsinnstillinger

DNS-klientdatamaskiner kan registrere og dynamisk oppdatere ressurspostene sine ved hjelp av en DNS-server. Som standard oppdaterer DNS-klienter med statiske IP-adresser verts- (A eller AAAA) og peker- (PTR)-poster, mens DNS-klienter som er DHCP-klienter bare oppdaterer vertsposter. I et arbeidsgruppemiljø oppdaterer DHCP-serveren indeksoppføringer på vegne av DHCP-klienten hver gang IP-konfigurasjonen oppdateres.

For at dynamiske DNS-oppdateringer skal lykkes, må sonen der klienter registrerer eller oppdaterer poster konfigureres til å akseptere dynamiske oppdateringer. Det er to typer av denne oppdateringen:

■ SikkerOppdater (Sikreoppdateringer)

Lar deg utføre registrering kun fra datamaskiner i Active Directory-domenet og kun oppdatere fra datamaskinen som opprinnelig utførte registreringen.

■ Utrygtoppdateringer (Usikkeroppdateringer)

Lar deg oppdatere fra hvilken som helst datamaskin.

På siden for dynamisk oppdatering i veiviseren for ny sone kan du tillate sikre, usikre dynamiske oppdateringer eller deaktivere oppdateringer helt for sonen du oppretter.

Analysere innebygde ressursposter

Når du oppretter en ny sone, opprettes det automatisk to typer poster. For det første inkluderer en slik sone alltid en innledende SOA (Start Of Authority) sonepost som definerer de grunnleggende egenskapene til sonen. I tillegg inneholder nye soner minst én NS-post (Name Server) som spesifiserer navnet på sonens autoritative server(e). Det følgende beskriver funksjonene til disse to ressurspostene.

Innledende soneoppføringer

Når du laster inn en sone, bruker DNS-serveren sonens SOA-post (Start Of Authority) for å bestemme de grunnleggende egenskapene og autoritetene til sonen. Disse parameterne karakteriserer også frekvensen av soneoverføringer mellom hoved- og tilleggsservere. Ved å dobbeltklikke på en SOA-oppføring åpnes fanen Start Of Authority (SOA) i dialogboksen for soneegenskaper.

■ Seriellnummer (serienummer)

Dette tekstfeltet på fanen Initial Zone Record (SOA) inneholder revisjonsnummeret til sonefilen. Antallet som er spesifisert her øker hver gang ressurspostene i sonen endres. Den kan også økes manuelt ved å bruke Inkrement-knappen.

Hvis soner er konfigurert til å utføre soneoverføringer til én eller flere sekundære servere, spør disse sekundære serverne med jevne mellomrom primærserveren etter sonens serienummer. Disse forespørslene kalles SOA-forespørsler. Hvis SOA-forespørselen mottar et primærsones serienummer som er lik serienummeret for den sekundære sonen, mislykkes overføringen. Hvis sonens serienummer på hovedserveren er større enn den tilsvarende verdien på den forespørende sekundære serveren, starter sistnevnte en soneoverføring.

MERK: Overføring av soner på hovedserveren

Ved å klikke på Øk-knappen starter soneoverføring.

■ Grunnleggendeserver (Hovedserver)

■ AnsvarligAnsvarlig person

Dette feltet er der du skriver inn navnet på den ansvarlige personen (RP) som tilsvarer soneadministratorens domenepostkasse. Navnet som legges inn i dette feltet må alltid slutte med et punktum. Standardnavnet er hostmaster.

■ Intervalloppdateringer (oppdateringsintervall)

Verdien i dette feltet bestemmer hvor lenge den sekundære DNS-serveren venter før den ber om en soneoppdatering på den primære serveren. Etter at oppdateringsintervallet utløper, spør den sekundære DNS-serveren primærserveren om en kopi av gjeldende SOA-post. Etter å ha mottatt svaret, sammenligner den sekundære DNS-serveren serienummeret til den gjeldende SOA-posten til primærserveren (spesifisert i svaret) med serienummer din lokale SOA-oppføring. Hvis disse verdiene er forskjellige, ber den sekundære DNS-serveren om en soneoverføring fra den primære DNS-serveren. Standard oppdateringsintervall er 15 minutter.

■ IntervallPrøv på nytt Intervall

■ BegreputløperEtter (utløper etter)

Verdien i dette feltet bestemmer hvor lang tid den sekundære serveren fortsetter å utføre DNS-klientspørringer uten å kontakte den primære serveren. Etter dette tidspunktet anses dataene som upålitelige. Som standard er denne innstillingen satt til én dag.

■ Minimumbegrepliv TTL (minimum (standard)TTL)

TTL-verdier gjelder ikke for ressursposter i autoritative soner. Og disse sonene bruker levetiden på ressursskrivebufferen på ikke-autoritative servere for TTL-verdier. DNS-serveren som bufret ressursposten fra forrige forespørsel, tilbakestiller den posten, men TTL-en til posten har utløpt.

■ Begrep liv(TTL)poster(TTL for denne posten)

Verdien spesifisert i dette feltet bestemmer levetiden til gjeldende SOA-oppføring. Denne verdien erstatter standardverdien angitt i forrige felt.

Navnetjenerposter

Navnetjenerposten (NS) spesifiserer den autoritative serveren for sonen. Når du oppretter en sone i Windows Server 2008, vil hver server som administrerer en primær kopi av en Active Directory-integrert sone motta sin egen NS-post i den nye sonen som standard. Når du oppretter en standard primær sone, legges den lokale server NS-posten til som standard.

For servere som administrerer ekstra soner, må du manuelt legge til NS-poster i hovedkopi av sonen.

NS-poster opprettes ved hjelp av en annen prosedyre enn når du oppretter andre typer ressursposter. For å legge til NS-poster, dobbeltklikk en hvilken som helst i DNS Manager eksisterende oppføring NS. Kategorien Navnetjenere i dialogboksen for soneegenskaper åpnes. I kategorien Navneservere klikker du på Legg til-knappen for å legge til FQDN og IP-adressen til serveren som administrerer den sekundære sonen til den lokale primærsonen. Ved å legge til ny server, klikker du OK - den vises i DNS Manager Ny inngang NS som indikerer denne serveren.

MERK: Aktiver overføring til flere soner

Den sekundære sonen gjenkjenner ikke denne oppføringen som en gyldig navneserver så lenge den inneholder en gyldig kopi av sonedataene. For at en ekstra sone skal motta disse dataene, må soneoverføringer være aktivert for den serveren i kategorien Soneoverføringer i sonens egenskapsdialogboks. Denne kategorien er beskrevet mer detaljert i neste emne.

Nedenfor er et eksempel på en oppføring opprettet i en standard sonefil:

@NS dns1.lucernepublishing.com.

@-symbolet representerer sonen som er definert av SOA-oppføringen i sonefilen. Den fullstendige posten tilordner deretter wikipedia.org-domenet til DNS-serveren dns1.wikipedia.org.

Opprette ressursposter

I tillegg til SOA- og NS-postene opprettes det automatisk flere andre ressursposter. For eksempel, under installasjonen av en ny DNS-server, når serveren er utpekt som en domenekontroller, opprettes mange Active Directory Domain Services (AD DS) SRV-poster automatisk i den lokalt administrerte sonen. I tillegg, gjennom dynamisk oppdatering, registrerer mange DNS-klienter automatisk verts- (A og AAAA) og pekerposter (PTR) i sonen som standard.

Selv om mange ressursposter opprettes automatisk, krever bedriftsmiljøer vanligvis at noen ressursposter opprettes manuelt, for eksempel MX (Mail Exchangers) for e-postservere, aliaser (CNAME) for web- og applikasjonsservere og vertsposter for servere og klienter , som kan ikke utføre sine egne oppdateringer.

For å legge til en ressurspost manuelt for en sone, høyreklikk på soneikonet i DNS Manager-konsollen og kontekstmenyen velg typen post som skal opprettes.

Etter at du har valgt en oppføring fra kontekstmenyen, åpnes en dialogboks der du kan spesifisere oppføringsnavnet og datamaskinen som er knyttet til den. Merk at bare vertsposter knytter et datamaskinnavn til en IP-adresse. De fleste posttyper knytter et tjenestenavn eller alias til den opprinnelige vertsposten. Dermed er MX-posten avhengig av tilstedeværelsen av SRV-noden 12.nwtraders .msft i postens område.

Posttyper

Følgende er vanlige ressursposter som opprettes manuelt:

■ node(ENellerALAA);

■ kallenavn (CNAME);

■ postveksler (MX);

■ peker (PTR);

■ plasseringtjenester (SRV).

Knute (A eller AAAA)

For de fleste nettverk er hoveddelen av ressurspostene i sonedatabasen vertsressursposter. Disse postene brukes i en sone for å knytte datamaskinnavn (vertsnavn) til IP-adresser.

Selv med dynamiske oppdateringer aktivert for soner, vil enkelte vertsinngangsscenarier kreve at du manuelt legger til oppføringer i sonen. I figuren nedenfor viser Contoso, Inc. bruker domenenavnet contoso.com i det offentlige navneområdet og det interne Active Directory-domenet. I dette tilfellet er den offentlige webserveren www.contoso.com plassert utenfor Active Directory-domenet og gjør kun oppdateringer til den offentlige autoritative DNS-serveren contoso.com. Men interne klienter videresender DNS-forespørslene sine til interne DNS-servere. Fordi www .contoso .com A-posten ikke oppdateres dynamisk på interne DNS-servere, legges den til manuelt slik at interne klienter kan løse navn og koble til den offentlige webserveren.

Vertsoppføringer kan legges til manuelt hvis nettverket bruker en UNIX-server. For eksempel, Fabrikam, Inc. har ett Active Directory-domene i sitt private nettverk kalt fabrikam,com. Dette nettverket inkluderer også en UNIX-server, App1.fabrikam, com, som kjører kritiske applikasjoner for selskapets daglige drift. Siden UNIX-servere ikke kan utføre dynamiske oppdateringer, må du manuelt legge til App1-serververtsposten til DNS-serveren som administrerer fabrikam.com-sonen. Ellers vil ikke brukere kunne koble til applikasjonsserveren ved å spesifisere dens FQDN.

Alias ​​(CNAME)

Disse oppføringene kalles noen ganger kanoniske navn. De lar flere navn brukes for å referere til en enkelt node. For eksempel blir kjente servernavn (ftp, www) vanligvis registrert ved hjelp av CNAME-poster. Disse postene kartlegger vertsnavnene som tilsvarer deres tjenester til den faktiske posten til AComputeren som kontrollerer tjenesten.

■ Når du vil gi nytt navn til en node spesifisert i A-posten for samme sone.

■ Når en velkjent servers generiske navn (f.eks. www) må løses inn i en gruppe individuelle datamaskiner (som hver inneholder individuelle A-poster) som tilbyr den samme tjenesten (f.eks. en gruppe redundante webservere).

Postveksler (MX)

Disse postene brukes av applikasjoner E-post for lokalisering e-postserver i sonen. De lar deg matche domenenavnet angitt i e-postadressen med posten til datamaskinen som kontrollerer e-postserveren i domenet. Dermed lar denne posttypen DNS-serveren håndtere e-postadresser som ikke har spesifisert en e-postserver.

Ofte opprettes MX-poster for å gi failover til en annen e-postserver i tilfelle den foretrukne serveren ikke er tilgjengelig.

Flere servere er tildelt preferanseverdier. Jo lavere denne verdien, desto høyere er serverens preferanserekkefølge.

MERK: Symbol @

I dette eksemplet representerer @-symbolet det lokale domenenavnet i e-postadressen.

PekerPTR

Denne oppføringen brukes bare i omvendt oppslagssoner for å støtte omvendt oppslag som oppstår når IP-adresser løses til vertsnavn eller FQDN-er. Omvendte oppslag utføres på rotsonene til in -addr .arpa-domenet. PTR-poster kan legges til soner manuelt eller automatisk.

Nedenfor er et eksempel på tekstrepresentasjon i en sonefil av en PTR-post opprettet i DNS Manager som tilordner IP-adressen 192.168.0.99 til vertsnavnetjeneren 1.google.ru:

99 PTRserver 1.Google.ru.

MERK: Rekordnummer 99PRT

I sonen for omvendt oppslag tilsvarer den siste oktetten av IPv 4-adressen vertsnavnet. Derfor representerer tallet 99 navnet som er tildelt noden innenfor 0.168.192.in -addr .arpa-sonen. Denne sonen tilsvarer subnettet 192.168.0.0.

TjenestestedSRV

Innlegg SRV brukes til å indikere plasseringen av tjenester i et domene. Klientapplikasjoner som bruker SRV kan hente SRV-postene til applikasjonsservere gjennom DNS.

Et program som bruker SRV er Windows Server 2008 Active Directory. Netlogon-nettverkspåloggingstjenesten bruker SRV-poster for å finne domenekontrollere ved å søke etter et LDAP-domene (Active Directory Lightweight Directory Access Protocol). DNS for å forbedre feiltoleransen eller feilsøke nettverkstjenester.

InkluderingDNS for oppløsningVINNER

På WINS-fanen i soneegenskaper-vinduet kan du spesifisere WINS-serveren som DNS-servertjenesten vil kontakte for å slå opp navn som ikke finnes av DNS-spørringer. Når du spesifiserer en WINS-server på WINS-fanen i dialogboksen Forward Lookup Zone Properties, legges en spesiell WINS-oppføring til den sonen som refererer til den WINS-serveren. Når du spesifiserer en WINS-server på WINS-fanen i dialogboksen for soneegenskaper for omvendt oppslag, legges en spesiell WINS -R-oppføring til sonen for å identifisere den WINS-serveren.

For eksempel, hvis en DNS-klient ber om navnet ClientZ .contoso .com og den foretrukne DNS-serveren ikke finner svaret fra vanlige kilder (cache, lokale sonedata og ved å spørre andre servere), ber serveren om navnet CLIENTZ . på WINS-serveren som er spesifisert i WINS-posten. Hvis WINS-serveren svarer på spørringen, returnerer DNS-serveren svaret til klienten.

Rengjøring og sletting av foreldede poster

Tidsstempler brukes i DNS for å spore alderen til dynamisk registrerte ressursposter. Rensing av foreldede poster er prosessen med å fjerne foreldede poster med tidsstempler. Rydding kan kun utføres hvis tidsstempler brukes. Tidsstempler og skrubbing fungerer sammen for å fjerne gamle opptak som kan ha samlet seg i en sone over tid. Som standard er tidsstempler og skrubbing deaktivert.

Aktiver rengjøring

For å aktivere skrubbing for en individuell sone, må du aktivere funksjonen på servernivå og sonenivå.

For å aktivere rensing på servernivå, høyreklikk på serverikonet i DNS Manager-konsolltreet og bruk kommandoen Angi aldring/Scavenging for alle soner. Velg deretter Scavenge Stale Resource Records i dialogboksen Server Aldring / Scavenging Properties som åpnes. Selv om denne innstillingen aktiverer tidsstempling og opprydding på servernivå for alle nye soner, aktiverer den ikke tidsstempling og opprydding av eksisterende Active Directory-integrerte soner.

For å aktivere dem, klikk OK, og velg deretter avmerkingsboksen i dialogboksen Server Aldring/Scavenging Confirmation som åpnes for å bruke disse innstillingene på eksisterende Active Directory-integrerte soner.

For å aktivere tidsstempler og opprydding på sonenivå, åpne Soneegenskaper, og klikk deretter på Aldring-knappen i kategorien Generelt. I dialogboksen Zone Aging/Scavenging Properties som åpnes, merker du av for Scavenge Stale Resource Records.

Tidsstempler DNS-serveren utfører rensing ved å bruke tidsstemplene som er satt på ressurspostene i sonen. Active Directory-integrerte soner setter tidsstempelverdier for dynamisk loggede oppføringer som standard før skrubbing er aktivert. Grunnleggende standardsoner setter imidlertid tidsstempler for dynamisk loggede oppføringer i sonen først etter at skrubbing er aktivert. Ressursposter opprettet manuelt for alle sonetyper er tildelt et tidsstempel på 0; dette betyr at deres alder ikke vil bli bestemt.- dette er tiden mellom siste oppdatering stempel og mulig neste oppdatering. Blokkering hindrer serveren i å behandle unødvendige oppdateringer og reduserer mengden trafikk. Standard blokkeringsintervall er 7 dager.

■ Modifikasjonintervalloppdateringer

Oppdateringsintervallet er intervallet mellom det tidligste tidspunktet tidsstemplet ble oppdatert og den tidligste tidsregistreringsoppryddingen startet. Etter blokkering og oppdateringsintervaller kan oppføringer fjernes fra sonen. Som standard er intervallet 7 dager. Derfor, hvis tidsstempler er aktivert, kan dynamisk loggede ressursposter slettes etter 14 dager.

Utfører en opprydding

Rengjøring utføres i sonen automatisk eller manuelt. For å utføre opprydding automatisk, må du aktivere automatisk sletting av foreldede ressursposter i kategorien Avansert i dialogboksen DNS-serveregenskaper.

Hvis dette alternativet ikke er aktivert, kan du manuelt utføre soneopprydding ved å høyreklikke på serverikonet i DNS Manager-konsolltreet og bruke kommandoen Scavenge Stale Resource Records.

Sone globale navn

Windows Server 2008 inneholder en ny funksjon som lar alle DNS-klienter i en Active Directory-skog bruke navn fra samme etikett, for eksempel Mail, for å koble til serverressurser. Denne komponenten er nyttig hvis standard DNS-suffiksoppslagsliste for DNS-klienter ikke lar brukere raskt (eller i det hele tatt) koble til en ressurs ved å bruke det enkeltetikettnavnet.

DNS-serveren i Windows Server 2008 lar deg opprette en GlobalNames-sone. Som standard eksisterer ikke GlobalNames-sonen, men ved å distribuere en sone med dette navnet kan du gi tilgang til utvalgte ressurser ved å bruke enkeltetikettnavn uten å bruke WINS. Vanligvis tildeles enkeltetikettnavn til viktige og mye brukte servere som allerede er tildelt statiske IP-adresser. GlobalNames på ekstern server, i stedet for en prikk, skriv inn navnet på den eksterne serveren.

■ OpprettelseGlobalNames-soner

Neste trinn i distribusjon av GlobalNames-sonen er å opprette en sone for DNS-serveren som fungerer som domenekontrolleren for Windows Server 2008. GlobalNames-sonen er ikke en spesiell type sone, men snarere en Active Directory-integrert foroveroppslagssone kalt GlobalNames . Når du oppretter en sone, velger du å replikere sonedata for alle DNS-servere i skogen. Dette alternativet er plassert på den Active Directory-integrerte sonereplikeringsomfang-siden (for å aktivere enkeltetikettnavnoppløsning, opprett en ressursalias (CNAME)-post i GlobalNames-sonen. Navnet som er tildelt hver CNAME-post representerer enkeltetikettnavnet som brukere kan bruke for å koble til en ressurs. Merk at hver CNAME-post spesifiserer en vertspost i enda en sone.

På et tidspunkt oppdaget jeg en enkel sannhet: hvis du vil huske noe, ta notater (selv når du leser en bok), men hvis du vil konsolidere og systematisere den, formidle den til folk (skriv en artikkel). Derfor, etter to års arbeid med systemintegrasjon (et område hvor jeg Systemadministrator, betraktet som et overflødighetshorn for spesialister som er sultne på å gå opp i nivå), da jeg innså at kunnskap gradvis ble erstattet av ferdighetene til å redigere dokumentasjon og konfigurere i henhold til manualer og instruksjoner, for å holde meg i form begynte jeg å skrive artikler om grunnleggende ting. Her handler det for eksempel om DNS. Den gang gjorde jeg det mer for meg selv, men jeg tenkte at det kanskje ville være nyttig for noen.

Service i moderne nettverk er, om ikke nøkkelen, så en av dem. De som DNS-tjenesten ikke er ny for kan trygt hoppe over den første delen.

(ingen ankere, så innhold uten lenker)

1. Grunnleggende informasjon

DNS er en database som hovedsakelig inneholder informasjon om kartlegging av navn på nettverksobjekter til deres IP-adresser. "I utgangspunktet" - fordi noe annen informasjon er lagret der. Mer presist, ressursposter (RR) av følgende typer:

EN- den samme tilordningen av et symbolsk domenenavn til dets IP-adresse.

AAAA- det samme som A, men for IPv6-adresser.

CNAME- Kanonisk NAVN - alias. Hvis du vil at en server med et uleselig navn, for eksempel nsk-dc2-0704-ibm, som bedriftsportalen kjører på, også skal svare på navneportalen, kan du opprette en annen post av type A for den, med navneportalen og samme IP-adresse. Men hvis IP-adressen endres (alt kan skje), må du gjenopprette alle slike poster på nytt. Og hvis du lager en CNAME med navneportalen og peker på nsk-dc2-0704-ibm, trenger du ikke å endre noe.

MX- Mail eXchanger - peker til postutveksleren. I likhet med CNAME er det en symbolsk peker til en eksisterende post av type A, men i tillegg til navnet inneholder den også en prioritet. Det kan være flere MX-poster for ett e-postdomene, men først og fremst sendes e-post til serveren som den laveste verdien er spesifisert for i prioritetsfeltet. Hvis den ikke er tilgjengelig - til neste server osv.

N.S.- Navneserver - inneholder navnet på DNS-serveren som er ansvarlig for dette domenet. For hver post av type NS skal det naturligvis være en tilsvarende post av type A.

SOA- Start of Authority - angir på hvilken av NS-serverne referanseinformasjonen om dette domenet er lagret, kontaktinformasjon til den ansvarlige for sonen, tidspunkt for lagring av informasjon i cachen.

SRV- en peker til en server, innehaveren av en tjeneste (brukes til AD-tjenester og for eksempel Jabber). I tillegg til servernavnet, inneholder den slike felt som Priority (prioritet) - lik det samme for MX, Weight (weight) - brukes til å balansere belastningen mellom servere med samme prioritet - klienter velger en server tilfeldig med en sannsynlighetsbasert på vekt og portnummer - portnummer, som tjenesten "lytter" etter forespørsler på.

Alle de ovennevnte posttypene finnes i foroveroppslagssonen til DNS. Det er også en omvendt oppslagssone - poster som PTR- PointTeR - en post motsatt av type A. Lagrer tilordningen av en IP-adresse til dens symbolske navn. Nødvendig for å behandle omvendte forespørsler - bestemme vertsnavnet fra IP-adressen. Det er ikke nødvendig for at DNS skal fungere, men er nødvendig for ulike diagnoseverktøy, samt for noen typer anti-spam-beskyttelse i e-posttjenester.

I tillegg er selve sonene, som lagrer informasjon om domenet, av to typer (klassisk):

Hoved- er en tekstfil som inneholder informasjon om vertene og tjenestene til domenet. Filen kan redigeres.

Sekundær- også en tekstfil, men i motsetning til hovedfilen kan den ikke redigeres. Trekker automatisk fra serveren som lagrer hovedsonen. Øker tilgjengelighet og pålitelighet.

For å registrere et domene på Internett, må informasjon om det lagres på minst to DNS-servere.

I Windows 2000 dukket det opp en sonetype: integrert i AD- sonen lagres ikke i en tekstfil, men i AD-databasen, som gjør at den kan replikeres til andre domenekontrollere sammen med AD, ved hjelp av replikeringsmekanismene. Den største fordelen med dette alternativet er muligheten til å implementere sikker dynamisk registrering i DNS. Det vil si at bare datamaskiner som er medlemmer av domenet kan opprette poster om seg selv.

Dukket også opp i Windows 2003 stubbesone - stubbesone. Den lagrer kun informasjon om DNS-servere som er autoritative for et gitt domene. Det vil si NS poster. Som i betydning ligner betinget videresending ( betinget videresending), som dukket opp i det samme Windows-versjoner Server, men listen over servere som forespørsler videresendes til oppdateres automatisk.

Iterative og rekursive søk.

Det er tydelig at en enkelt DNS-server ikke vet om alle domener på Internett. Derfor, når en forespørsel mottas til en adresse som er ukjent for den, for eksempel metro.yandex.ru, startes følgende sekvens med iterasjoner:

DNS-serveren får tilgang til en av Internett-rotserverne, som lagrer informasjon om autoriserte innehavere av førstenivådomener eller soner (ru, org, com, etc.). Han rapporterer den mottatte adressen til den autoritative serveren til klienten.

Klienten kontakter ru-soneinnehaveren med samme forespørsel.

DNS-serveren til RU-sonen ser etter en tilsvarende oppføring i hurtigbufferen, og hvis den ikke finner den, returnerer den til klienten adressen til serveren som er autoritativ for andrenivådomenet - i vårt tilfelle, yandex.ru

Klienten kontakter DNS yandex.ru med samme forespørsel.

Yandex DNS returnerer den nødvendige adressen.

Et slikt hendelsesforløp er sjeldent i vår tid. Fordi det er noe slikt som en rekursiv spørring - dette er når DNS-serveren, som klienten først kontaktet, utfører alle iterasjoner på vegne av klienten og deretter returnerer et ferdig svar til klienten, og også lagrer den mottatte informasjonen i cachen sin. Støtte for rekursive spørringer kan deaktiveres på serveren, men de fleste servere støtter det.

Klienten kommer som regel med en forespørsel som har flagget "rekursjon nødvendig".

2. Litt om DNS-meldingsformatet

Meldingen består av en 12-byte overskrift etterfulgt av 4 felt med variabel lengde.

Overskriften består av følgende felt:

DNS-meldingsformat

Identifikasjon - klienten genererer en bestemt identifikator i dette feltet, som deretter kopieres inn i det tilsvarende feltet til serversvaret slik at du kan forstå hvilken forespørsel svaret kom til.

Flagg - 16-bits felt delt inn i 8 deler:

• QR(meldingstype), 1-bits felt: 0 betyr forespørsel, 1 betyr svar.
• opcode(opkode), 4-bits felt. Normal verdi er 0 (standard forespørsel). Andre verdier er 1 (invers forespørsel) og 2 (serverstatusforespørsel).
• A.A.- 1-bits flagg som betyr "autoritativt svar". DNS-serveren har autoritet for dette domenet i spørsmålsdelen.
• TC- Et 1-bits felt som betyr "avkortet". Når det gjelder UDP, betyr dette at den totale svarstørrelsen oversteg 512 byte, men bare de første 512 bytene av svaret ble returnert.
• R.D.- Et 1-bits felt som betyr "ønsket rekursjon". Biten kan settes i en forespørsel og deretter returneres i et svar. Dette flagget krever at DNS-serveren behandler denne forespørselen selv (det vil si at serveren må bestemme den nødvendige IP-adressen selv, og ikke returnere adressen til en annen DNS-server), som kalles en rekursiv spørring. Hvis denne biten ikke er angitt og den forespurte DNS-serveren ikke har et autoritativt svar, vil den forespurte serveren returnere en liste over andre DNS-servere som må kontaktes for å få svaret. Dette kalles en iterativ spørring. Vi skal se på eksempler på begge typer søk i de følgende eksemplene.
• R.A.- 1-bits felt som betyr "rekursjon tilgjengelig". Denne biten er satt til 1 i svaret hvis serveren støtter rekursjon. Vi vil se i våre eksempler at de fleste DNS-servere støtter rekursjon, med unntak av noen få rotservere (rotservere er ikke i stand til å håndtere rekursive spørringer på grunn av deres arbeidsbelastning).
• 0 - Dette 3-bits feltet må være lik 0.
• rcode dette er et 4-bits returkodefelt. Vanlige verdier er 0 (ingen feil) og 3 (navnefeil). En navnefeil returneres kun fra en autoritativ DNS-server og betyr at domenenavnet spesifisert i forespørselen ikke eksisterer.

De neste fire 16-bits feltene indikerer antall elementer i de fire variabellengde feltene som fullfører posten. I en forespørsel er antallet spørsmål vanligvis 1, og de resterende tre tellerne er 0. I et svar er antallet svar minst 1, og de resterende to tellerne kan være null eller ikke.

Eksempel (oppnået ved hjelp av WinDump når du utfører ping www.ru-kommandoen):

IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53: 36587+ A? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036: 36587 1/2/5 A 194.87.0.50 (196)

Den første linjen er forespørselen: navnet på PC-en min, 51036 er en tilfeldig valgt senderport, 53 er en forhåndskjent DNS-serverport, 36587 er forespørsels-IDen, + er "rekursjon nødvendig", A er en forespørsel om en type A post, betyr spørsmålstegnet at dette er en forespørsel, ikke et svar. I parentes står lengden på meldingen i byte.

Den andre linjen er serversvaret: til den angitte kildeporten med den angitte forespørsels-IDen. Svaret inneholder én RR (DNS resource record), som er svaret på forespørselen, 2 autoritetsposter og 5 tilleggsposter. Den totale lengden på svaret er 196 byte.

3. TCP og UDP

Det er informasjon om at DNS opererer over UDP-protokollen (port 53). Dette er faktisk tilfellet som standard - forespørsler og svar sendes via UDP. Tilstedeværelsen av TC (Truncated)-flagget i meldingshodet er imidlertid nevnt ovenfor. Den er satt til 1 hvis størrelsen på svaret overskred 512 byte - grensen for et UDP-svar - som betyr at det ble avbrutt og bare de første 512 bytene ble sendt til klienten. I dette tilfellet gjentar klienten forespørselen, men via TCP, som på grunn av sine spesifikasjoner trygt kan overføre store mengder data.

Også overføringen av soner fra hovedserverne til de ekstra utføres via TCP, siden i dette tilfellet overføres mye mer enn 512 byte.

4. DNS i Windows Server 2008 og 2012

Windows 2008 introduserte følgende funksjoner:

Bakgrunnslasting av soner

I svært store organisasjoner med ekstremt store soner som bruker Active Directory Domain Services til å lagre DNS-data, kan det ta en time eller mer å starte DNS-serveren på nytt mens DNS-dataene hentes fra katalogtjenesten. I dette tilfellet er DNS-serveren utilgjengelig for å betjene klientforespørsler så lenge Active Directory Domain Services-soner lastes inn.
Windows Server 2008 DNS-serveren laster nå sonedata fra Active Directory Domain Services inn i bakgrunn, takket være at den samtidig kan behandle dataforespørsler fra andre soner. Når DNS-serveren starter, utføres følgende handlinger:

• alle soner som må lastes bestemmes;
• Rotlenker lastes fra filer eller Active Directory Domain Services-lagring;
• Alle filstøttede soner lastes inn, det vil si soner som er lagret i filer i stedet for i Active Directory Domain Services;
• behandling av forespørsler og fjernprosedyreanrop (RPC) begynner;
• En eller flere tråder opprettes for å laste inn soner som er lagret i Active Directory Domain Services.

Fordi oppgaven med å laste soner utføres i separate tråder, kan DNS-serveren behandle spørringer mens sonen lastes. Hvis en DNS-klient ber om data for en vert i en sone som allerede er lastet inn, svarer DNS-serveren med dataene (eller, hvis det er aktuelt, et negativt svar). Hvis det gjøres en spørring for en vert som ennå ikke er lastet inn i minnet, leser DNS-serveren vertens data fra Active Directory Domain Services og oppdaterer vertens liste over poster tilsvarende.

Støtte for IPv6-adresser

Internet Protocol versjon 6 (IPv6) definerer adresser som er 128 bit lange, i motsetning til Internet Protocol versjon 4 (IPv4) adresser, som er 32 biter lange.
DNS-servere som kjører Windows Server 2008 støtter nå fullt ut både IPv4- og IPv6-adresser. Midler kommandolinje dnscmd godtar også adresser i begge formatene. Listen over videresendere kan inneholde både IPv4-adresser og IPv6-adresser. DHCP-klienter kan også registrere IPv6-adresser sammen med (eller i stedet for) IPv4-adresser. Endelig støtter DNS-servere nå ip6.arpa-domenenavneområdet for omvendt kartlegging.

DNS-klientendringer

LLMNR navneoppløsning
DNS-klientdatamaskiner kan bruke LLMNR (Link-local Multicast Name Resolution), også kalt multicast DNS eller mDNS, for å løse navn på et lokalt nettverkssegment der en DNS-server ikke er tilgjengelig. For eksempel, hvis et subnett er isolert fra alle DNS-servere på nettverket på grunn av en ruterfeil, kan klienter på det subnettet som støtter LLMNR-navneoppløsning fortsatt løse navn ved å bruke et node-til-node-skjema inntil tilkoblingen til nettverket er gjenopprettet.
I tillegg til å løse navn i tilfelle nettverkssvikt, kan LLMNR også være nyttig i peer-to-peer nettverksdistribusjoner, for eksempel i flyplasslounger.

Windows 2012 endringer når det gjelder DNS, påvirket de hovedsakelig DNSSEC-teknologi (som sikrer DNS-sikkerhet ved å legge til digitale signaturer Til DNS-poster), spesielt - gir dynamiske oppdateringer som ikke var tilgjengelige da DNSSEC ble aktivert i Windows Server 2008.

5. DNS og Active Directory

Active Directory er sterkt avhengig av DNS for driften. Med dens hjelp ser domenekontrollere etter hverandre for replikering. Med hjelpen (og Netlogon-tjenesten) identifiserer klienter domenekontrollere for autorisasjon.

For å sikre søk, under prosessen med å heve rollen til en domenekontroller på serveren, registrerer Netlogon-tjenesten de tilsvarende A- og SRV-postene i DNS.

SRV-poster registrert av Net Logon-tjenesten:

_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.DnsDomainName
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsForestName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.SiteName._sites.DnsDomainName
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName

Den første delen av SRV-posten identifiserer tjenesten som SRV-posten peker på. Følgende tjenester finnes:

_ldap - Active Directory er en LDAP-kompatibel katalogtjeneste med domenekontrollere som fungerer som LDAP-servere. _ldap SRV-postene identifiserer LDAP-serverne som finnes på nettverket. Disse serverne kan være Windows Server 2000+ domenekontrollere eller andre LDAP-servere;

_kerberos - _kerberos SRV-poster identifiserer alle nøkkeldistribusjonssentre (KDC - nøkkeldistribusjonssentre) i nettverket. De kan være domenekontrollere som kjører Windows Server 2003 eller andre KDC-servere;

_kpassword - identifiserer kerberos passordbytteservere på nettverket;

_gc - En oppføring relatert til den globale katalogfunksjonen i Active Directory.

Bare domenekontrollere er registrert i underdomenet _mcdcs Microsoft Windows Server. De lager både hovedposter og poster i et gitt underdomene. Ikke-Microsoft-tjenester gjør bare grunnleggende oppføringer.

DomainGuid - global domeneidentifikator. En post som inneholder den er nødvendig i tilfelle domene endres.

Hvordan fungerer DC-søkeprosessen?

Under brukerpålogging starter klienten en DNS-lokaliser ved hjelp av en Remote Procedure Call (RPC) av NetLogon-tjenesten. Datamaskinnavnet, domenenavnet og nettstedets navn sendes inn i prosedyren som inndata.

Tjenesten sender en eller flere forespørsler ved hjelp av DsGetDcName() API-funksjonen

DNS-serveren returnerer den forespurte listen over servere, sortert etter prioritet og vekt. Klienten sender deretter en LDAP-forespørsel ved å bruke UDP-port 389 til hver av inngangsadressene i den rekkefølgen de ble returnert.

Alle tilgjengelige domenekontrollere svarer på denne forespørselen og rapporterer helsetilstanden deres.

Etter å ha oppdaget en domenekontroller, oppretter klienten en LDAP-forbindelse til den for å få tilgang til Active Directory. Som en del av samtalen deres, bestemmer domenekontrolleren hvilket nettsted klienten er vert på, basert på IP-adressen. Og hvis det viser seg at klienten ikke kontaktet nærmeste DC, men for eksempel nylig flyttet til et annet nettsted og av vane ba om en DC fra den gamle (informasjon om nettstedet er bufret på klienten basert på resultatene av den siste vellykkede påloggingen), sender kontrolleren ham navnet på det (klienten) nye nettsted. Hvis klienten allerede har prøvd å finne en kontroller på dette nettstedet, men ikke lyktes, fortsetter den å bruke den som ble funnet. Hvis ikke, startes en ny DNS-forespørsel som indikerer det nye nettstedet.

Netlogon-tjenesten bufrer informasjon om domenekontrollerplassering slik at den ikke trenger å starte hele prosessen hver gang den må kontakte en DC. Imidlertid, hvis en "suboptimal" DC (plassert på et annet sted) brukes, tømmer klienten denne hurtigbufferen etter 15 minutter og starter søket på nytt (i et forsøk på å finne sin optimale kontroller).

Hvis en datamaskin ikke har informasjon om nettstedet i hurtigbufferen, vil den kontakte enhver domenekontroller. For å stoppe denne oppførselen kan du konfigurere NetMask-bestilling på DNS. DNS vil da liste opp DC-ene i en slik rekkefølge at kontrollere som er plassert på samme nettverk som klienten, vises først.

Eksempel: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003F vil indikere subnettmasken 255.255.255.192 for prioriterte DC-er. Standardmasken er 255.255.255.0 (0x000000FF)