Vad är en DNS-server och deras adresser: från teori till finjustering. Vad är en DNS-server, hur du tar reda på din föredragna leverantörsadress, ersätter den med Google Public DNS eller alternativa alternativ Ytterligare DNS

DNS (eller även känt som Domain Name System) är ett system som matchar domännamn som Google.com eller Yandex.ru med rätt IP-adresser. Detta system är en databas med domännamn och IP-adresser. Det används för att upprätthålla en katalog med domännamn och hjälper till att lösa dessa domännamn till korrekta IP-adresser.

Domännamn är läsbara adresser som vi använder varje dag. Till exempel, Domän namn Yandex - yandes.ru. Om du vill besöka Yandex webbplats anger du bara yandex.ru i adressfältet i din webbläsare.

Men din dator vet inte var "yandex.ru" finns. Bakom kulisserna kommer din dator att kontakta DNS-servrarna och fråga vilken IP-adress som är associerad med yandex.ru.

Den kommer sedan att ansluta till den webbservern, ladda ner innehållet och visa det i din webbläsare.

I det här fallet finns yandex.ru på IP-adressen 77.88.55.70 på Internet. Du kan ange denna IP-adress i din webbläsare för att besöka Yandex webbplats. Men istället för 77.88.55.70 använder vi "yandex.ru" eftersom det är lättare att komma ihåg.

Utan DNS kommer inte hela Internet att vara tillgängligt. Vi ska gå tillbaka till en tid innan Internet föddes. Och din dator kan bara användas för att skapa dokument eller spela offlinespel.

Naturligtvis är detta bara en enkel förklaring, i själva verket är det lite komplicerat. För att få ytterligare information, jag skulle rekommendera att du läser den här artikeln eller tittar på videon nedan.

Olika Internetleverantörer (ISP) använder olika DNS-servrar. Som standard, såvida du inte har konfigurerat specifika DNS-servrar på din dator (eller router), kommer standard DNS-servrarna från din ISP att användas.

Om dessa DNS-servrar är instabila kan det hända att du upplever vissa problem när du använder Internet på din dator. Kan till exempel inte ladda hemsidor helt eller har inte tillgång till Internet. För att undvika oönskade DNS-fel, byt till offentliga DNS-servrar som Google DNS och OpenDNS.

Här är några vanliga DNS-relaterade fel som du kan titta på:

• Fixat DNS-uppslagsfel i Google Chrome
• Så här fixar du felet Err_Connection_Timed_Out
• Så här fixar du felet Err_Connection_Refused
• Åtgärda Dns_Probe_Finished_Nxdomain Error
• Fixa DNS-servern som inte svarar på Windows

Du kan åtgärda dessa fel genom att byta till tredjeparts DNS-servrar i listan nedan.

Fördelar med att använda offentliga DNS-servrar

Du kanske frågar om din internetleverantör har standard DNS-servrar, varför behöver du dessa offentliga DNS-servrar? Här är skälen till varför du bör använda dessa alternativa DNS-servrar:

• Vissa standard DNS-servrar är inte tillräckligt snabba och ibland tar de timeout. Din internetanslutning är dock inte stabil. Att byta till dessa snabbaste DNS-servrar hjälper dig att förbättra din internethastighet.
• Att använda dessa offentliga DNS-servrar kommer att bidra till att förbättra stabiliteten.
• Vissa DNS-servrar från tredje part har säkerhets- och filtreringsfunktioner. Dessa funktioner hjälper dig att skydda din dator från nätfiskeattacker.
• Detta hjälper dig att komma förbi geografiska innehållsbegränsningar och webbinspektioner. Du kan till exempel enkelt titta på en YouTube-video när det står "Denna video är inte tillgänglig i ditt land."

Lista över topp 10 offentliga DNS-servrar

Efter att ha läst förklaringen om vad en DNS-server är, är tredjeparts DNS-servrar användbara, kolla in listan nedan. Det här är en lista över de 10 bästa tredje parts DNS-servrarna:

1. Googles offentliga DNS-server

Detta är en av de snabbaste DNS-servrarna som många användare använder på sina datorer. Genom att använda Googles DNS-servrar får du större säkerhet och en bättre upplevelse på din dator.

För att använda Googles offentliga DNS-servrar, konfigurera dina nätverksinställningar med följande IP-adresser:

8.8.8.8 som föredragen DNS-server

8.8.4.4 som din alternativa DNS-server

2.ÖppnaDNS

Bortsett från Googles DNS-servrar är OpenDNS en av de bästa moln-DNS-servrarna. Detta kommer att hjälpa till att skydda din dator från skadliga attacker.

För att använda OpenDNS, låt oss konfigurera dina nätverksinställningar med följande IP-adresser:

208.67.222.222

208.67.222.220

OpenDNS erbjuder även två gratislösningar för privatkunder: OpenDNS Family Shield och OpenDNS Home.

OpenDNS Shield-familjen kommer förkonfigurerad för att blockera vuxet innehåll. För att använda den måste du konfigurera olika DNS-servrar med följande IP-adresser i dina nätverksinställningar.

Föredragen DNS-server: 208.67.222.123

Alternativ DNS-server: 208.67.220.123

Under tiden kommer OpenDNS Home med anpassat stöld- och nätfiskeskydd.

3. Norton ConnectSafe

Norton erbjuder inte bara antivirusprogram och Internetsäkerhetsprogram. Den erbjuder också en DNS-servertjänst som heter Norton ConnectSafe. Denna moln-DNS-tjänst hjälper till att skydda din dator från nätfiskewebbplatser.

Norton ConnectSafe kommer med tre fördefinierade policyer för innehållsfiltrering. Detta är säkerhet, säkerhet + Pornografi och säkerhet + Pornografi + annat.

Du kan ta en titt på bilden nedan för mer information om varje fördefinierad policy. Besök för mer information.

4. Comodo Secure DNS

Comodo Secure DNS är en domännamnsservertjänst som löser dina DNS-frågor genom flera globala DNS-servrar. Det ger en mycket snabbare och bättre internetupplevelse än att använda standard DNS-servrarna som tillhandahålls av din ISP.

Om du vill använda Comodo Secure DNS behöver du inte installera någon hårdvara eller programvara. Ändra helt enkelt dina primära och sekundära DNS-servrar till 8.26.56.26 och 8.20.247.20.

5. Nivå 3

Level3 är nästa gratis DNS-tjänst på den här listan. Den fungerar på lager 3-kommunikation. Att dra nytta av detta gratis tjänst, konfigurera helt enkelt dina nätverksinställningar med följande DNS IP-adresser:

209.244.0.3

208.244.0.4

Besök för mer detaljer.

6. DNS-fördel

Det är en av de snabbaste DNS-servrarna som tillhandahåller bästa prestanda när du arbetar på internet. Detta hjälper dig att ladda webbplatser snabbare och säkrare. För att använda DNS Advantage, konfigurera dina föredragna/alternativa DNS-servrar med följande detaljer:

156.154.70.1

156.154.71.1

7.OpenNIC

Precis som många andra DNS-servrar ovan är OpenNIC ett bra alternativ för att ersätta dina standard DNS-servrar. Detta kommer att skydda din dator från regeringen och skydda din integritet. För att använda denna DNS-tjänst, konfigurera dina föredragna och alternativa DNS-servrar enligt följande:

46.151.208.154

128.199.248.105

För att hitta mer pålitliga DNS-servrar.

8. Dekanus

Dyn är den näst bästa gratis DNS-servern från tredje part på listan. Det ger en fantastisk surfupplevelse och skyddar din information från de flesta nätfiskeattacker. Konfigurera dina nätverksinställningar med följande DNS IP-adresser för att använda Dyn DNS-servern.

216.146.35.35

216.146.36.36

9. SafeDNS

SafeDNS är en annan molnbaserad DNS-tjänst. Detta kommer att hjälpa dig att skydda din dator och även ge en bättre webbupplevelse. För att använda SafeDNS, använd följande DNS-information nedan:

195.46.39.39

195.46.39.40

Om gratis och premium DNS-tjänster från SafeDNS.

10. DNS.Watch

DNS.Watch är den sista gratis offentliga DNS-tjänsten på den här listan. Det ger en ocensurerad, snabb och pålitlig webbupplevelse gratis. För att konfigurera din PC eller router med "DNS.Watch", använd två IP-adresser DNS-adresser Nedan:

84.200.69.80

84.200.70.40

Ibland, om du inte kan surfa ordentligt på webben, kan du prova att ändra standard-DNS-servrarna på din dator eller router till dessa DNS-servrar. Detta kommer att ge dig en bättre webbupplevelse och även skydda dig från eventuella attacker.

Vet du inte hur man ändrar DNS-servrar på Windows, Mac eller Android? Läs bara .

Hälsningar! Idag kommer vi att diskutera allt viktiga punkter om DNS-servern. Från vad det är till att ställa in och välja alternativ DNS... Låt oss ta plats och glöm inte att spänna fast!

Om du har några frågor eller har något att tillägga, Vänligen skriv i kommentarerna till den här artikeln. Du kommer verkligen att hjälpa både oss och andra läsare!

Vad är DNS?

Låt oss börja med en avlägsen teori. För den som inte är intresserad, gå till önskat kapitel nedan - alla inställningar och val kommer att finnas där. Och här kommer vi att prata om själva DNS-fenomenet.

DNS – Domain Name System – domännamnssystem

Är du rädd? Låt oss försöka förvirra det ännu mer... d.v.s. reda ut. Låt oss gå punkt för punkt:

1. När du använder Internet skriver du in namnet på en webbplats i ditt webbläsarfönster. Till exempel GUGL.FU (må de förlåta oss och även ge oss trafik).
2. I nätverk sker all adressering via IP-adresser. De där. hårdvara kan endast söka efter rutter med siffror. Till exempel 7.7.7.7. Men det är obekvämt för användare att komma ihåg dessa nummer (kom ihåg åtminstone numren för 50 av dina kontakter från din telefon).
3. Och här är analogin med telefonen. Du behöver inte kunna siffrorna, men du kommer ungefär ihåg namnen. De där. du anger ett namn i telefonen och samtalet går till numret. Det är samma sak på Internet - du anger ett symboliskt namn (domännamn), och webbläsaren går förbi dina ögon och letar efter den önskade platsen efter IP-adress.

DNS-servern ansvarar för att konvertera domännamnet till en IP-adress. Tar emot bokstäver - ger siffror.

För att verifiera denna transformation kan du pinga vilken webbplats som helst:

ya.ru-domänen har en aktuell IP på 87.250.250.242

Servrar - teori

Vi kommer inte att fördjupa oss i arkitekturen för DNS-servrar, men för en allmän förståelse är det värt att veta:

1. Det finns många av dem - det finns ingen korrekt, som regel får du en DNS-leverantör, men det här är inte alltid den bästa lösningen.
2. De har en kapslad struktur - root, länder, leverantörer, routrar (mycket grovt). I den meningen att alla DNS ärver information från varandra, och om något inte finns på den aktuella kommer begäran att skickas högre.
3. De har en IP-adress - du knackar på den, och den ger redan ut de nödvändiga IP-adresserna till webbplatserna.

Som regel, efter att ha anslutit till Internet, om du inte gör något med inställningarna, kommer du att få DNS ​​från din ISP.

Hur får man reda på den nuvarande?

Innan du fortsätter med installationen kan du behöva ta reda på den aktuella DNS-servern. För att undvika ytterligare frågor visar jag hur du gör det snabbt:

1. Vi måste öppna kommandoraden (det finns andra öppningsalternativ, du kan Google det). Tryck på tangenterna Win+R(verktyget "Kör" öppnas, gå in i det cmd

1. Stiga på nslookup

I mitt fall är nuvarande DNS 192.168.0.1. För avancerade användare är detta routeradressen. Alla förfrågningar riktas till den, och den skickar den vidare (Google DNS körs för närvarande på den).

Leverantör

Du kan hänvisa till webbplatser via din leverantör, men det fungerar inte alltid som förväntat. För en vanlig hemanvändare kan allt gå obemärkt förbi resten av livet, men om du arbetar väldigt nära Internet kan problem komma oväntat. Mina teser om leverantörsservrar:

1. Stabilitet lämnar mycket övrigt att önska - i den meningen att en gång om året skjuter stickan, och här en gång vartannat år kraschar deras servrar, sajter öppnas inte ordentligt. Ett obehagligt ögonblick, en hemanvändare kanske tror att Internet hade fallit av, och problemet låg begravt på ytan. För vissa räcker det att falla en gång vartannat år för att göra dem lyckliga.
2. Territoriella begränsningar - en del webbplats kommer att förbjudas från DNS och slaktkroppen kommer att gå förlorad. Faktum är att folk sällan förbjuder något genom det nu, men förresten, det fanns prejudikat för detta.
3. Långsamma zonuppdateringar (för mig är detta den viktigaste punkten). Leverantörernas servrar uppdateras mycket långsamt. Ägaren av sajten ändrade sin server (han ville flytta till mer kraftfull hårdvara), ändrade sina DNS-inställningar till en ny IP-adress, och sådan information kan bara nå en användare i regionen om ett par dagar. Och han kommer att knacka på en obefintlig adress, få en otillgänglig webbplats eller en sida med en kränkning av säkerhetscertifikat och ett hav av andra problem.

Sammanfattningsvis fungerar allt, ibland väldigt länge och väl, men det finns nackdelar som enkelt kan ersättas med alternativ DNS.

Alternativ DNS

I Windows-inställningar, som vi kommer att titta på nedan, finns det ett fält med en alternativ DNS. Så i så fall vi pratar om bara om backup-DNS-serveradressen om den huvudsakliga är otillgänglig. I samma kapitel betyder "alternativ" endast att det inte är utfärdat av leverantören.

Här är en tabell över de viktigaste aktuella DNS:erna:

Service	DNS 1	DNS 2
Google Public DNS	8.8.8.8 2001:4860:4860::8888 (IPv6)	8.8.4.4 2001:4860:4860::8844 (IPv6)
Öppna DNS	208.67.222.222	208.67.220.220
Yandex	77.88.8.8 77.88.8.88 (utan bluffwebbplatser) 77.88.8.7 (inga webbplatser för vuxna)	77.88.8.1 77.88.8.2 (utan bluffwebbplatser) 77.88.8.3 (inga webbplatser för vuxna)
DNS-klocka	82.200.69.80	84.200.70.40
Norton Connect Safe	198.153.192.1 198.153.192.40 (endast säkra webbplatser) 198.153.192.50 (ingen porr) 198.153.192.60 (full säkerhet)	198.153.194.1 198.153.194.40 (endast säkra webbplatser) 198.153.194.50 (ingen porr) 198.153.194.60 (full säkerhet)
Nivå 3 DNS	209.244.0.3 4.2.2.1 4.2.2.3	209.244.0.4 4.2.2.2 4.2.2.4
Comodo Secure DNS	8.26.56.26	8.20.247.20
Öppna NIC DNS	Välj från listan https://servers.opennic.org	Välj från listan https://servers.opennic.org

Jag ska gå igenom var och en kort:

• Google Public DNS – jag använder det själv och rekommenderar det tills det förbjuds. Fungerar som en charm och uppdaterar snabbt. Adresser är lätta att komma ihåg - "åttor". Det finns även IPv6-versioner.
• Open DNS är den näst mest populära tjänsten. Jag använde det ett tag och märkte inte någon större skillnad från Google. Det fungerar och jaja.
• Yandex - som en bonus finns det ytterligare servrar med webbplatsfilter - utan kända nätfiske och bedrägliga webbplatser och utan webbplatser för vuxna - de kommer helt enkelt inte att öppnas. En sorts föräldrakontroll.
• Resten jobbar också. Jag ser ingen mening med att beskriva det, det blir vattnigt vatten. För huset räcker den första, och vid behov den andra. Resten är överskott för tekniska specialister. Tyvärr eller lyckligtvis är vår WiFiGid inte för specialister.

inställningar

Nu ska jag visa dig var du ska infoga dessa adresser så att allt fungerar som en dyr schweizisk klocka.

1. Gå till "Nätverks- och delningscenter" (Windows 7) eller "Nätverks- och Internetinställningar" (Windows 10). Du kan göra detta genom att högerklicka på nätverksikonen och välja detta objekt:

1. Nästa, "Konfigurera adapterinställningar" (eller "Ändra adapterinställningar"):

1. Och här letar vi redan efter vår adapter, genom vilken vi anslutit till nätverket, högerklicka - "Egenskaper" och gör allt som i diagrammet:

Här ställer jag in Google-adresserna - första och andra (första och andra kolumnen i tabellen ovan). Du kan göra detsamma, eller så kan du experimentera med andra tjänster.

Dessa åtgärder utförs identiskt i operationssalar. Windows-system 7, Windows 8, Windows 10.

Detta kan göras på alla enheter, inklusive telefoner (se instruktioner för att ställa in DNS för din modell). Ett exempel som kan göras:

Det är bättre att göra allt direkt på routern i inställningarna för DHCP-servern (som distribuerar nätverksinställningar till anslutna enheter). Då går alla enheter som är anslutna till den omedelbart genom vanliga servrar. Använd TP-Link som exempel, leta efter inställningar för din modell genom sökningen på vår webbplats:

Vissa program, applikationer och Mobil enheter i sina konfigurationer frågar de efter DNS-adressfältet - IP-adresser från tabellen ovan är också lämpliga.

Möjliga misstag

Det finns inget sätt att lista allt möjliga misstag, relaterade till DNS-buggar - du kan söka efter dem med namn på vår webbplats, vi har verkligen sorterat ut de viktigaste. Men kärnan i att lösa någon av dem är väldigt enkel:

1. Vi startar om routern och datorn, den bärbara datorn, telefonen - för att försöka igen för att få nätverksinställningar.
2. Medan allt startar om kontrollerar vi ledningarna för att se om allt fungerar som det ska, om det är ett avbrott någonstans.
3. Om det inte hjälper anger du DNS-adresserna manuellt som i avsnittet ovan.
4. Om detta inte hjälper finns det ett fel någonstans på leverantörens sida eller på själva webbplatsen (samma möjliga drag). Om inget öppnas alls, för säkerhets skull, försöker vi inaktivera antivirus, brandväggar, proxyservrar, VPN och annan programvara som använder nätverket.

Om allt är riktigt dåligt och du inte har hittat något, skriv en kommentar nedan!

Vill du snabbt testa din systemadministratörs kunskaper? Fråga honom om Googles offentliga DNS-IP-adress. Alla systemadministratörer med självrespekt kommer att svara: "8.8.8.8", och en avancerad kommer att lägga till "... och 8.8.4.4".

Vad har häntDNS?

DNS är en akronym för Domain Name System. Översatt som ett domännamnssystem är det ett system som matchar ett domännamn och en värds IP-adress. Så genom att känna till värdnamnet kan du få dess adress och vice versa. Vad är det för? World Wide Web Internet är utformat på ett sådant sätt att varje enhet (dator, telefon, surfplatta, router) har sin egen unika adress (i själva verket kan adresser upprepas om vi pratar om olika LAN-nätverk, men i den här artikeln talar vi om globalt nätverk och vi kommer inte att gå in på detaljer om NAT, PAT och routing), och du kan bara komma åt den här enheten genom att känna till dess adress i nätverket. Genom att arbeta på Internet har vi tillgång till dussintals sajter varje dag. Det skulle vara svårt att komma ihåg alla deras adresser, bestående av en sekvens av siffror och punkter, till exempel, vad är lättare att komma ihåg 77.222.61.238 eller integrus.compumur.ru? Naturligtvis den andra. Och domännamnssystemet kommer ihåg adressen åt dig.

DNS är tillgängligt på varje dator, i varje nätverk och på varje leverantör; dessutom har den en hierarkisk form och i de fall då domännamnssystemet inte kan fastställa adressen till den begärda resursen från domännamnet skickar det begäran till en DNS-server på högre nivå. Begäran kan sändas upp till en av de 13 "världens viktigaste" rot-DNS-servrar.

Hur installerar man en DNS-server?

Servern kan utföra olika funktioner, den kan fungera som en global katalog, lagra filinformation, arbeta med databaser och arbeta med flera användare samtidigt. Beroende på syftet med servern installeras roller på den - en speciell uppsättning program som låter servern utföra de nödvändiga funktionerna.

Hur man installerar en rollDNS-servrar? Vi kommer att utföra installationen kl Windows Server 2012 R2.

Oftast installeras DNS-serverrollen med en domänkontrollant. Men om under installationen Active Directory Om du avmarkerade kryssrutan "DNS-server", eller om AD helt enkelt inte behövs, behöver du bara installera DNS-servern. För att göra detta, gå till Serverhanteraren och klicka på knappen "Lägg till roller och funktioner".

Fönstret Guiden Lägg till roller och funktioner öppnas. Läs guidens inledande text och klicka på Nästa.

Se till att Installera roller och funktioner är markerat och klicka på Nästa.

Välj en server från serverpoolen. I vårt fall finns det bara en server, du kan ha fler.

Välj Roll DNS Server.

Genom att markera den önskade rutan kommer vi att se "Guiden Lägg till roller och komponenter" visas. Dessa komponenter krävs för att hantera den installerade rollen. Om du ska administrera DNS-servern från en annan server kan du hoppa över att lägga till dessa komponenter.

Tillbaka i fönstret med DNS-server markerad, klicka på Nästa, sedan Nästa och Nästa igen tills knappen Installera blir aktiv.

Klicka på knappen "Installera".

Installationen börjar.

När installationen är klar (installationen tar mindre än 5 minuter) kommer följande meddelande att visas: "Installationen slutförd på YourServerName." Du kan klicka på knappen "Stäng". Nu kommer en ny rad "DNS" att visas i Serverövervakningspanelen, såväl som i Start-menyn. Om du klickar på den här raden kommer "DNS Manager" att starta.

Det ser ut så här.

På det här ögonblicket Inga zoner är konfigurerade på DNS-servern. En sådan server kallas en cachningsserver. Zoner är delar av namnområdet som servern ansvarar för. Framåtslagningszoner involverar att lösa ett namn till en IP-adress. En omvänd uppslagszon, å andra sidan, matchar en IP-adress med ett namn.

Låt oss skapa en direkt visningszon och göra den enkel installation.

För att göra detta, högerklicka på inskriptionen "Vidarebefordra visningszoner" och sedan "Skapa en ny zon".

Fönstret "New Zone Creation Wizard" öppnas, klicka på "Nästa". Fönstret för val av zontyp öppnas. Om du inte har en annan DNS-server, välj "Huvudzon" och "Nästa".

I nästa fönster måste du ange zonnamnet. Det rekommenderas att använda din domän. I vårt fall skulle namnet vara: . Klicka på "Nästa".

I nästa fönster väljer du typen av dynamisk uppdatering. Det rekommenderas att tillåta dynamiska uppdateringar, men endast om DNS kommer att användas exklusivt i din lokalt nätverk. Annars kan det här objektet medföra säkerhetsrisker, som "New Zone Wizard" kommer att varna dig om.

Klicka på "Nästa" och "Slutför". Den direkta visningszonen har skapats framgångsrikt, låt oss utföra dess enkla konfiguration. Att ställa in en surfzon görs genom att lägga till DNS-poster i zonen. Det finns flera typer av DNS-poster. Låt oss titta på huvudtyperna:

• En skiva. Korrelerar värdnamn och IPV-protokolladress
• AAAA rekord. Korrelerar värdnamn och IPV-protokolladress
• CNAME-post. Alias, används för att omdirigera till ett annat namn.
• MX-post. E-postpost, pekar på e-postservrar.
• NS rekord. Pekar på domänens DNS-server.

Låt oss skapa ett A-rekord för vår nya framåtsökningszon. För att göra detta, högerklicka på zonen och välj lämplig kontextmeny, som visas i bilden.

I fönstret "Ny nod" som öppnas anger du nodnamnet, till exempel GateWay, och dess IP-adress, till exempel 192.168.0.1. Klicka på knappen "Lägg till nod".

Redo! Posten har skapats framgångsrikt!

I den här artikeln försökte vi på det mest förståeliga språket förklara för en vanlig person utan djup IT-kunskap vad DNS är, hur man installerar DNS-serverrollen på Windows Server 2012, bekantade oss med huvudtyperna av poster och visade i bilder hur dessa register görs. Och om allt ovanstående verkade svårt för dig, kommer våra specialister att konfigurera en server åt dig på mindre än en timme.

En zon är en databas som innehåller auktoritativ information om en region i DNS-namnområdet. När du installerar en DNS-server med en domänkontrollant skapas en DNS-zon automatiskt för att stödja Active Directory-domänen. Om DNS-servern har installerats på en domänkontrollant, domänmedlemsserver eller fristående server måste zoner skapas och konfigureras manuellt.

Den här lektionen beskriver hur man skapar och konfigurerar en zon och ger den information som behövs för att korrekt konfigurera en zon.

Skapar zoner

Zon DNS är en databas som innehåller poster somassociera namn med adresser i den beskrivna regionen i DNS-namnområdet. Fastänför att svara på namnfrågor kan DNS-servern använda cachadinformation från andra servrar, är han behörig att svara på förfrågningar endast ilokalt kontrollerat område. För alla omfattningar av DNS-namnutrymmet,representeras av ett domännamn (till exempel google .ru), det finns bara ettauktoritativ källa till zondata.
Om du behöver skapa en ny zon på DNS-servern kan du använda New Zone Wizard i DNS Manager. För att starta guiden, högerklicka på serverikonen i DNS Manager-konsolträdet och använd kommandot New Zone.

New Zone Wizard innehåller följande konfigurationssidor:

■ Zontyp;

■ Zonreplikeringsområde, integrerad V Active Directory (Active Directory Zone Replication Scope);

■ Framåt- eller bakåtsökningszon;

■ Zonnamn;

■ Dynamisk uppdatering (Dynamisk uppdatering).

Följande avsnitt beskriver konfigurationskoncepten som är associerade med dessa fem guidesidor.

Välja en zontyp

På sidan Zontyp i guiden New Zone kan du välja att skapa en primär zon, en sekundär zon eller en stubbzon. Genom att skapa en primär- eller stubzon på en domänkontrollant kan du lagra zondata i Active Directory.

* Huvudområden

Den vanligaste typen av DNS-zon är den primära zonen. Den tillhandahåller källläs-/skrivdata som ger den lokala DNS-servern behörighet att svara på DNS-förfrågningar med DNS-namnområde.

Den lokala DNS-servern som hanterar den primära zonen fungerar som den primära datakällan om den zonen. Servern lagrar en huvudkopia av zondata i en lokal fil eller i Active Directory Domain Services (AD DS). Om zonen sparas i en fil istället för i Active Directory är standardfilnamnet zonnamn.dns och lagras i mappen %systemroot%\System 32\Dns på servern.

*Ytterligare zoner

Ger en auktoritativ, skrivskyddad kopia av den primära zonen eller ytterligare en zon.

Sekundära zoner ger möjlighet att minska mängden DNS-frågetrafik i områden av nätverket där zondata är mycket efterfrågade och används. Dessutom, om servern som hanterar den primära zonen inte är tillgänglig, kan den sekundära zonen tillhandahålla namnupplösning tills den primära servern blir tillgänglig igen.

Källzonerna från vilka ytterligare zoner tar emot information kallas huvudzoner, och datakopieringsprocedurerna som säkerställer att zoninformation uppdateras regelbundet kallas zonöverföringar. En huvudzon kan vara en huvudzon eller en annan ytterligare zon. En huvudzon kan tilldelas en ytterligare zon som skapas i guiden Ny zon. Eftersom en sekundär zon är en kopia av den primära zonen som hanteras av en annan server, kan den inte lagras i Active Directory.

* Stubbzoner

Liknar en sekundär zon, men innehåller resursposter som är nödvändiga för att identifiera auktoritativa DNS-servrar i huvudzonen. Stubzoner används ofta för att tillåta en överordnad zon (till exempel google .ru) att använda en uppdaterad lista över namnservrar som är tillgängliga i en delegerad underordnad zon (till exempel: translate .google .ru). De tjänar också till att förbättra namnupplösning och förenkla DNS-administration.

* Förvara zoner iAktivaKatalog

När du skapar en primär zon eller en stubbzon på en domänkontrollant, på sidan Zontyp i guiden, kan du välja alternativet att spara zonen i Active Directory. Active Directory-integrerade zondata replikeras automatiskt till Active Directory enligt de inställningar som valts på sidan Active Directory Zone Replication Scope. Tack vare detta alternativ finns det inget behov av att konfigurera zonöverföring till ytterligare servrar.

Att integrera en DNS-zon i Active Directory ger flera fördelar. För det första, eftersom Active Directory-tjänster utför zonreplikering, finns det inget behov av att konfigurera en separat DNS-zonöverföringsmekanism mellan den primära och sekundära servern. Multipel nätverksreplikering ger automatiskt feltolerans och förbättrad prestanda på grund av tillgången på flera primära läs/skrivservrar. För det andra låter Active Directory dig uppdatera och replikera individuella resurspostegenskaper på DNS-servrar Eftersom många kompletta resursposter inte överförs, minskar belastningen på nätverksresurser under zonöverföringar. Slutligen har Active Directory-integrerade zoner även valfria säkerhetskrav för dynamiska uppdateringar, som kan konfigureras på sidan Dynamisk uppdatering i guiden New Zone.

NOTERA: Skrivskyddade domänkontrollanter och zoner integrerade med Active Directory

På traditionella domänkontrollanter ges en kopia av zonen läs-/skrivbehörighet. På skrivskyddade domänkontrollanter (RODC) tilldelas zonkopian skrivskyddad behörighet.

* Standardzoner

När du skapar en zon på en domänkontrollant är alternativet att spara zonen i Active Directory på sidan Zontyp valt som standard. Du kan dock avmarkera den här kryssrutan och skapa en så kallad standardzon. På en server som inte är en domänkontrollant kan du bara skapa standardzoner, och kryssrutan på den här sidan är nedtonad.

Till skillnad från en Active Directory-integrerad zon, lagrar en standardzon sina data i textfil på den lokala DNS-servern. Om du använder standardzoner kan du dessutom endast konfigurera den primära kopian med läs- och skrivbehörigheter för zondata. Alla andra kopior av zonen (ytterligare zoner) tilldelas skrivskyddad behörighet.

Standardzonmodellen förutsätter en enda felpunkt för den skrivbara versionen av zonen. Om huvudzonen inte är tillgänglig i nätverket kan inga ändringar göras i zonen. Förfrågningar om namn i en zon får dock inte avbrytas medan ytterligare zoner är tillgängliga.

Väljer zonreplikeringsomfånget integrerat iAktivaKatalog

På sidan Active Directory Zone Replication Scope i New Zone Wizard kan du välja de domänkontrollanter på ditt nätverk att spara zondata till. Den här sidan visas bara när du väljer alternativet att spara zonen och Active Directory. Valmöjligheterna för zonreplikeringsomfång bestämmer de domänkontrollanter bland vilka zondata kommer att replikeras.

Den här sidan innehåller följande alternativ:

■ Zonbeständighet på alla domänkontrollanter, som också är DNS-servrar, genom hela Active Directory-skogen;

■ Bevarande av zonen på alla domänkontrollanter, som också fungerar som DNS-servrar och den lokala Active Directory-domänen;

■ Bevarande av zonen på alla domänkontrollanter och den lokala Active Directory-domänen (används för kompatibilitet med Windows 2000);

■ Bevarar zonen på alla angivna domänkontrollanter och omfattningen av den anpassade Active Directory-katalogpartitionen.

Dessa alternativ beskrivs mer i detalj i det andra ämnet.

Skapa framåt- och bakåtsökningszoner

På sidan framåt- eller bakåtsökningszon i guiden Ny zon måste du välja vilken typ av zon som ska skapas; Forward Lookup Zone eller Reverse Lookup Zone.

I forward lookup-zoner mappar DNS-servrar FQDN till IP-adresser. I zoner för omvänd sökning mappar DNS-servrar IP-adresser till FQDN. Sålunda svarar zoner för framåtsökning på förfrågningar om att lösa FQDN till IP-adresser, och zoner för omvänd sökning svarar på förfrågningar om att lösa IP-adresser till FQDN. Observera att zoner för framåtsökning är namngivna enligt D NS-domännamnen för vilka behörighet exekveras, för exempel google .com. Zoner för omvänd sökning namnges i omvänd ordning av de tre första oktetterna i adressutrymmet för vilket namnupplösning tillhandahålls, plus en extra in-addr.arpa-tagg. Om du till exempel löser namn för undernätet 192.168.1.0/24 kommer zonen för omvänd sökning att heta 1.168.192.in-addr.arpa. I framåtsökningszonen kallas den individuella databasposten som mappar ett värdnamn till en adress en post nod(A). I en zon för omvänd sökning anropas den individuella databasposten som mappar en IP-adress till ett värdnamn pekare eller PTR-post.

Funktionsprincipen för mina framåt- och bakåtsökningar visas i figuren.

Live View Zone

Omvänd sökningszon

NOTERA: Installationsguide för DNS-server

Du kan använda guiden Konfigurera en DNS-server för att skapa zoner för framåt- och bakåtsökning samtidigt. För att starta guiden, högerklicka på serverikonen i DNS Manager-konsolträdet och välj Konfigurera en DNS-server.

Välja ett zonnamn

På sidan Zonnamn i guiden New Zone kan du välja ett namn för zonen för framåtsökning som ska skapas. Omvända uppslagszoner ges speciella namn baserat på intervallet av IP-adresser som de är auktoritativa för.

Om du skapar en zon för namnupplösning i en Active Directory-domän är det bäst att ange ett zonnamn som matchar Active Directory-domännamnet. Om en organisation till exempel innehåller två Active Directory-domäner med namnet google.ru och translate.google.ru, måste infrastrukturen för namnupplösning innehålla två zoner som är namngivna efter dessa domännamn.

Om du skapar en zon för ett DNS-namnområde som inte finns i en ActiveDirectory-miljö måste du ange organisationens Internetdomännamn, till exempel wikipedia .org.

NOTERA: TilläggDNS-server per domänkontrollant

För att lägga till en DNS-server till en befintlig domänkontrollant lägger du vanligtvis till en kopia av den primära zonen för att ge namnupplösning till den lokala Active Directory-domänen. För att göra detta skapar du helt enkelt en zon vars namn matchar namnet på en befintlig zon i den lokala Active Directory-domänen. Den nya zonen kommer att fyllas med data från andra DNS-servrar i domänen.

Konfigurera dynamiska uppdateringsinställningar

DNS-klientdatorer kan registrera och dynamiskt uppdatera sina resursposter med hjälp av en DNS-server. Som standard uppdaterar DNS-klienter med statiska IP-adresser värdposter (A eller AAAA) och pekare (PTR), medan DNS-klienter som är DHCP-klienter endast uppdaterar värdposter. I en arbetsgruppsmiljö uppdaterar DHCP-servern indexposter på uppdrag av DHCP-klienten när IP-konfigurationen uppdateras.

För att dynamiska DNS-uppdateringar ska lyckas måste zonen där klienter registrerar sig eller uppdaterar poster konfigureras för att acceptera dynamiska uppdateringar. Det finns två typer av denna uppdatering:

■ Säkeruppdatering (Säkrauppdateringar)

Tillåter dig att endast utföra registrering från datorer i Active Directory-domänen och endast uppdatera från den dator som ursprungligen utförde registreringen.

■ Osäkeruppdateringar (Osäkeruppdateringar)

Låter dig uppdatera från vilken dator som helst.

På sidan Dynamisk uppdatering i guiden New Zone kan du tillåta säkra, osäkra dynamiska uppdateringar eller inaktivera uppdateringar helt och hållet för den zon du skapar.

Analysera inbyggda resursposter

När du skapar en ny zon skapas automatiskt två typer av poster. För det första inkluderar en sådan zon alltid en initial SOA-zonpost (Start Of Authority) som definierar de grundläggande egenskaperna för zonen. Dessutom innehåller nya zoner minst en NS-post (Name Server) som anger namnet på zonens auktoritativa server(ar). Följande beskriver funktionerna för dessa två resursposter.

Inledande zoningångar

När en zon laddas använder DNS-servern zonens SOA-post (Start Of Authority) för att fastställa zonens grundläggande egenskaper och behörigheter. Dessa parametrar kännetecknar också frekvensen av zonöverföringar mellan huvud- och extraservrarna. Om du dubbelklickar på en SOA-post öppnas fliken Start Of Authority (SOA) i dialogrutan för zonegenskaper.

■ Serienummer (serienummer)

Detta textfält på fliken Initial Zone Record (SOA) innehåller versionsnumret för zonfilen. Antalet som anges här ökar varje gång resursposterna i zonen ändras. Den kan också ökas manuellt med hjälp av knappen Öka.

Om zoner är konfigurerade för att utföra zonöverföringar till en eller flera sekundära servrar, frågar dessa sekundära servrar regelbundet den primära servern efter zonens serienummer. Dessa förfrågningar kallas SOA-förfrågningar. Om SOA-begäran tar emot ett primärt sektionsserienummer som är lika med det sekundära sektionens serienummer misslyckas överföringen. Om zonens serienummer på huvudservern är större än motsvarande värde på den begärande sekundära servern, initierar den senare en zonöverföring.

NOTERA: Överför zoner på huvudservern

Genom att klicka på knappen Öka initieras zonöverföring.

■ Grundläggandeserver (PrimärServer)

■ AnsvarigAnsvarsfull person

I det här fältet anger du namnet på den ansvariga personen (RP) som motsvarar zonadministratörens domänbrevlåda. Namnet som anges i detta fält måste alltid sluta med en punkt. Standardnamnet är hostmaster.

■ Intervalluppdateringar (uppdateringsintervall)

Värdet i det här fältet bestämmer hur länge den sekundära DNS-servern väntar innan den begär en zonuppdatering på den primära servern. När uppdateringsintervallet löper ut frågar den sekundära DNS-servern den primära servern efter en kopia av den aktuella SOA-posten. Efter att ha mottagit svaret jämför den sekundära DNS-servern serienumret för den aktuella SOA-posten för den primära servern (anges i svaret) med serienummer din lokala SOA-post. Om dessa värden skiljer sig, begär den sekundära DNS-servern en zonöverföring från den primära DNS-servern. Standarduppdateringsintervallet är 15 minuter.

■ IntervallFörsök igen Intervall

■ Terminlöper utEfter (Upphör efter)

Värdet i det här fältet bestämmer hur lång tid den sekundära servern fortsätter att utföra DNS-klientfrågor utan att kontakta den primära servern. Efter denna tid anses uppgifterna vara otillförlitliga. Som standard är den här inställningen inställd på en dag.

■ Minimumterminlivslängd TTL (Minimum (Standard)TTL)

TTL-värden gäller inte för resursposter i auktoritativa zoner. Och dessa zoner använder resursskrivcachens livslängd på icke-auktoritativa servrar för TTL-värden. DNS-servern som cachelagrade resursposten från föregående begäran återställer posten, men postens TTL har löpt ut.

■ Termin liv(TTL)uppgifter(TTL för denna post)

Värdet som anges i det här fältet bestämmer livslängden för den aktuella SOA-posten. Detta värde ersätter standardvärdet som angetts i föregående fält.

Namnserverposter

Namnserverposten (NS) anger den auktoritativa servern för zonen. När du skapar en zon i Windows Server 2008 kommer varje server som hanterar en primär kopia av en Active Directory-integrerad zon att få sin egen NS-post i den nya zonen som standard. När du skapar en standard primär zon kommer den lokala serverns NS-post att läggas till som standard.

För servrar som hanterar ytterligare zoner måste du manuellt lägga till NS-poster till huvudkopian av zonen.

NS-poster skapas med en annan procedur än när andra typer av resursposter skapas. För att lägga till NS-poster, dubbelklicka på någon i DNS Manager befintlig post NS. Fliken Namnservrar i dialogrutan för zonegenskaper öppnas. På fliken Namnservrar klickar du på knappen Lägg till för att lägga till FQDN och IP-adressen för servern som hanterar den sekundära zonen för den lokala primära zonen. Genom att lägga till ny server, klicka på OK - det kommer att visas i DNS Manager ny ingång NS indikerar denna server.

NOTERA: Aktivera överföring till ytterligare zoner

Den sekundära zonen känner inte igen denna post som en giltig namnserver så länge den innehåller en giltig kopia av zondata. För att ytterligare en zon ska kunna ta emot dessa data måste zonöverföringar vara aktiverade för den servern på fliken Zonöverföringar i dialogrutan för zonens egenskaper. Denna flik beskrivs mer i detalj i nästa avsnitt.

Nedan är ett exempel på en post skapad i en standardzonfil:

@NS dns1.lucernepublishing.com.

@-symbolen representerar den zon som definieras av SOA-posten i zonfilen. Den fullständiga posten mappar sedan wikipedia.org-domänen till DNS-servern dns1.wikipedia.org.

Skapa resursposter

Utöver SOA- och NS-posterna skapas automatiskt flera andra resursposter. Till exempel, under installationen av en ny DNS-server, när servern är designad som en domänkontrollant, skapas många SRV-poster för Active Directory Domain Services (AD DS) automatiskt i den lokalt hanterade zonen. Dessutom, genom dynamisk uppdatering, registrerar många DNS-klienter automatiskt värdposter (A och AAAA) och pekare (PTR) i zonen som standard.

Även om många resursposter skapas automatiskt kräver företagsmiljöer vanligtvis att vissa resursposter skapas manuellt, såsom MX (Mail Exchangers) för e-postservrar, alias (CNAME) för webb- och applikationsservrar och värdposter för servrar och klienter , vilket kan inte utföra sina egna uppdateringar.

För att manuellt lägga till en resurspost för en zon, högerklicka på zonikonen i DNS Manager-konsolen och innehållsmeny välj den typ av post som ska skapas.

När du har valt en post från snabbmenyn öppnas en dialogruta där du kan ange postens namn och den dator som är associerad med den. Observera att endast värdposter associerar ett datornamn med en IP-adress. De flesta posttyper associerar ett tjänstnamn eller alias med den ursprungliga värdposten. Således förlitar sig MX-posten på närvaron av SRV-noden 12.nwtraders .msft i postens område.

Inläggstyper

Följande är vanliga resursposter som skapas manuellt:

■ nod (AellerALAA);

■ smeknamn (CNAME);

■ postväxlare (MX);

■ pekare (PTR);

■ platstjänster (SRV).

Knut (A eller AAAA)

För de flesta nätverk är huvuddelen av resursposterna i zondatabasen värdresursposter. Dessa poster används i en zon för att associera datornamn (värdnamn) med IP-adresser.

Även med dynamiska uppdateringar aktiverade för zoner kommer vissa scenarier för värdinträde att kräva att du manuellt lägger till poster i zonen. I bilden nedan visar Contoso, Inc. använder domännamnet contoso.com i det offentliga namnområdet och den interna Active Directory-domänen. I det här fallet är den offentliga webbservern www.contoso.com belägen utanför Active Directory-domänen och gör endast uppdateringar av den offentliga auktoritativa DNS-servern contoso.com. Men interna klienter vidarebefordrar sina DNS-förfrågningar till interna DNS-servrar. Eftersom www .contoso .com A-posten inte uppdateras dynamiskt på interna DNS-servrar läggs den till manuellt så att interna klienter kan lösa namn och ansluta till den offentliga webbservern.

Värdposter kan läggas till manuellt om nätverket använder en UNIX-server. Till exempel, Fabrikam, Inc. har en Active Directory-domän i sitt privata nätverk som heter fabrikam,com. Detta nätverk innehåller även en UNIX-server, App1.fabrikam, com, som kör kritiska applikationer för företagets dagliga verksamhet. Eftersom UNIX-servrar inte kan utföra dynamiska uppdateringar måste du manuellt lägga till App1-serverns värdpost till DNS-servern som hanterar fabrikam.com-zonen. Annars kommer användare inte att kunna ansluta till applikationsservern genom att ange dess FQDN.

Alias ​​(CNAME)

Dessa poster kallas ibland kanoniska namn. De tillåter att flera namn används för att referera till en enda nod. Till exempel, välkända servernamn (ftp, www) registreras vanligtvis med CNAME-poster. Dessa poster mappar värdnamnen som motsvarar deras tjänster till den faktiska posten för A-datorn som kontrollerar tjänsten.

■ När du vill byta namn på en nod som anges i A-posten för samma zon.

■ När en välkänd servers generiska namn (t.ex. www) behöver lösas in i en grupp av individuella datorer (var och en innehåller individuella A-poster) som tillhandahåller samma tjänst (t.ex. en grupp redundanta webbservrar).

Postväxlare (MX)

Dessa poster används av applikationer E-post för lokalisering Mejl server i zonen. De låter dig matcha domännamnet som anges i e-postadressen med posten för den dator som kontrollerar e-postservern i domänen. Den här posttypen tillåter alltså DNS-servern att hantera e-postadresser som inte har en angiven e-postserver.

Ofta skapas MX-poster för att ge failover till en annan e-postserver om den föredragna servern inte är tillgänglig.

Flera servrar tilldelas preferensvärden. Ju lägre detta värde desto högre är serverns preferensordning.

NOTERA: Symbol @

I det här exemplet representerar @-symbolen det lokala domännamnet som finns i e-postadressen.

PekarePTR

Den här posten används endast i zoner för omvänd sökning för att stödja den omvända sökning som sker när IP-adresser löses till värdnamn eller FQDN. Omvända sökningar utförs på rotzonerna för in-addr .arpa-domänen. PTR-poster kan läggas till zoner manuellt eller automatiskt.

Nedan är ett exempel på textrepresentation i en zonfil av en PTR-post skapad i DNS Manager som mappar IP-adressen 192.168.0.99 till värdnamnsservern 1.google.ru:

99 PTRserver 1.Google.ru.

NOTERA: Rekordnummer 99PRT

I zonen för omvänd sökning motsvarar den sista oktetten i IPv 4-adressen värdnamnet. Därför representerar siffran 99 det namn som tilldelats noden inom 0.168.192.in -addr .arpa-zonen. Denna zon motsvarar undernätet 192.168.0.0.

ServiceplatsSRV

Inlägg SRV används för att indikera platsen för tjänster i en domän. Klientapplikationer som använder SRV kan hämta SRV-poster för applikationsservrar via DNS.

Ett program som använder SRV är Windows Server 2008 Active Directory. Netlogons nätverksinloggningstjänst använder SRV-poster för att lokalisera domänkontrollanter genom att söka efter en LDAP-domän (Active Directory Lightweight Directory Access Protocol). DNS för att förbättra feltoleransen eller felsöka nätverkstjänster.

InkluderingDNS för upplösningVINNER

På fliken WINS i fönstret för zonegenskaper kan du ange den WINS-server som DNS-servertjänsten ska kontakta för att leta upp namn som inte hittas av DNS-frågor. När du anger en WINS-server på fliken WINS i dialogrutan Egenskaper för Forward Lookup Zone, läggs en speciell WINS-post till i den zonen som refererar till den WINS-servern. När du anger en WINS-server på fliken WINS i dialogrutan för zonegenskaper för omvänd sökning läggs en speciell WINS -R-post till i zonen för att identifiera den WINS-servern.

Till exempel, om en DNS-klient begär namnet ClientZ .contoso .com och den föredragna DNS-servern inte kan hitta svaret från vanliga källor (cache, lokal zondata och genom att polla andra servrar), begär servern namnet CLIENTZ . på WINS-servern som anges i WINS-posten. Om WINS-servern svarar på frågan, returnerar DNS-servern sitt svar till klienten.

Rensa och radera föråldrade register

Tidsstämplar används i DNS för att spåra åldern på dynamiskt registrerade resursposter. Rensning av inaktuella poster är processen att ta bort föråldrade poster med tidsstämplar. Rensning kan endast utföras om tidsstämplar används. Tidsstämplar och skrubbning samverkar för att ta bort gamla inspelningar som kan ha samlats i en zon över tiden. Som standard är tidsstämplar och skrubbning inaktiverade.

Aktivera rengöring

För att aktivera skrubbning för en enskild zon måste du aktivera funktionen på servernivå och zonnivå.

För att aktivera rensning på servernivå högerklickar du på serverikonen i DNS Manager-konsolträdet och använder kommandot Ställ in åldrande/Scavenging för alla zoner. Markera sedan kryssrutan Scavenge Stale Resource Records i dialogrutan Server Aging/Scavenging Properties som öppnas. Även om den här inställningen möjliggör tidsstämpling och rensning på servernivå för alla nya zoner, aktiverar den inte tidsstämpling och rensning av befintliga Active Directory-integrerade zoner.

För att aktivera dem klickar du på OK och markerar sedan kryssrutan i dialogrutan Server Aging/Scavenging Confirmation som öppnas för att tillämpa dessa inställningar på befintliga Active Directory-integrerade zoner.

För att aktivera tidsstämplar och rensning på zonnivå öppnar du Zonegenskaper och klickar sedan på knappen Åldrande på fliken Allmänt. Markera kryssrutan Scavenge Stale Resource Records i dialogrutan Zone Aging/Scavenging Properties som öppnas.

Tidsstämplar DNS-servern utför rensning genom att använda tidsstämplarna som är inställda på resursposterna i zonen. Active Directory-integrerade zoner ställer in tidsstämpelvärden för dynamiskt loggade poster som standard innan skrubbning är aktiverad. Men grundläggande standardzoner anger tidsstämplar för dynamiskt loggade poster i zonen först efter att skrubbning har aktiverats. Resursposter som skapats manuellt för alla zontyper tilldelas en tidsstämpel på 0; det betyder att deras ålder inte kommer att fastställas.- det här är tiden mellan senaste uppdatering stämpel och dess möjliga nästa uppdatering. Blockering förhindrar servern från att bearbeta onödiga uppdateringar och minskar mängden trafik. Standardblockeringsintervallet är 7 dagar.

■ Modifieringintervalluppdateringar

Uppdateringsintervallet är intervallet mellan den tidigaste tidpunkten då tidsstämpeln uppdaterades och den tidigaste tidspostrensningen började. Efter blockering och uppdateringsintervaller kan poster tas bort från zonen. Som standard är intervallet 7 dagar. Därför, om tidsstämplar är aktiverade, kan dynamiskt loggade resursposter tas bort efter 14 dagar.

Utför en städning

Rengöring utförs i zonen automatiskt eller manuellt. För att automatiskt utföra rensning måste du aktivera automatisk radering av föråldrade resursposter på fliken Avancerat i dialogrutan DNS-serveregenskaper.

Om det här alternativet inte är aktiverat kan du utföra zonrensning manuellt genom att högerklicka på serverikonen i DNS Manager-konsolträdet och använda kommandot Scavenge Stale Resource Records.

Zon globala namn

Windows Server 2008 innehåller en ny funktion som gör att alla DNS-klienter i en Active Directory-skog kan använda namn från samma etikett, som Mail, för att ansluta till serverresurser. Den här komponenten är användbar om standarduppslagslistan för DNS-suffix för DNS-klienter inte tillåter användare att snabbt (eller överhuvudtaget) ansluta till en resurs med det enda namnet.

DNS-servern i Windows Server 2008 låter dig skapa en GlobalNames-zon. Som standard existerar inte zonen GlobalNames, men genom att distribuera en zon med det här namnet kan du ge åtkomst till utvalda resurser med namn på en enda etikett utan att använda WINS. Vanligtvis tilldelas namn med en etikett till viktiga och ofta använda servrar som redan tilldelas statiska IP-adresser. GlobalNames på Fjärrserver, i stället för en prick anger du namnet på fjärrservern.

■ SkapandeGlobalNames-zoner

Nästa steg i distributionen av GlobalNames-zonen är att skapa en zon för DNS-servern som fungerar som domänkontrollant för Windows Server 2008. GlobalNames-zonen är inte en speciell typ av zon, utan snarare en Active Directory-integrerad forward lookup-zon som kallas GlobalNames . När du skapar en zon väljer du att replikera zondata för alla DNS-servrar i skogen. Det här alternativet finns på den Active Directory-integrerade zonreplikeringsomfångssidan (för att aktivera namnupplösning för en etikett, skapa en resursaliaspost (CNAME) i zonen GlobalNames. Namnet som tilldelas varje CNAME-post representerar namnet på en etikett som användare kan använda för att ansluta till en resurs. Observera att varje CNAME-post anger en värdpost i ytterligare en zon.

Vid ett tillfälle upptäckte jag en enkel sanning: om du vill komma ihåg något, gör anteckningar (även när du läser en bok), men om du vill konsolidera och systematisera det, förmedla det till människor (skriv en artikel). Därför, efter två års arbete med systemintegration (ett område där jag systemadministratör, som helt enkelt betraktas som ett ymnighetshorn för specialister som är sugna på att gå upp i nivå), när jag insåg att kunskap gradvis ersattes av färdigheter att redigera dokumentation och konfigurera enligt manualer och instruktioner, för att hålla mig i form började jag skriva artiklar om grundläggande saker. Här handlar det till exempel om DNS. Då gjorde jag det mer för mig själv, men jag tänkte att det kanske skulle vara användbart för någon.

Service i moderna nätverk är, om inte nyckeln, så en av dem. De för vilka DNS-tjänsten inte är ny kan säkert hoppa över den första delen.

(inga ankare, så innehåll utan länkar)

1. Grundläggande information

DNS är en databas som huvudsakligen innehåller information om att mappa namnen på nätverksobjekt till deras IP-adresser. "I grunden" - eftersom viss annan information lagras där. Mer exakt, resursposter (RR) av följande typer:

A- samma mappning av ett symboliskt domännamn till dess IP-adress.

AAAA- samma som A, men för IPv6-adresser.

CNAME- Kanoniskt NAMN - alias. Om du vill att en server med ett oläsligt namn, såsom nsk-dc2-0704-ibm, som företagsportalen körs på, också ska svara på namnportalen, kan du skapa en annan post av typ A för den, med namnportalen och samma IP-adress. Men sedan, om IP-adressen ändras (vad som helst kan hända), måste du återskapa alla sådana poster igen. Och om du gör ett CNAME med namnportalen, pekar på nsk-dc2-0704-ibm, så behöver du inte ändra någonting.

MX- Mail eXchanger - pekare till postväxlaren. Liksom CNAME är det en symbolisk pekare till en befintlig post av typ A, men den innehåller förutom namnet också en prioritet. Det kan finnas flera MX-poster för en e-postdomän, men först och främst kommer e-post att skickas till servern för vilken det lägre värdet anges i prioritetsfältet. Om den inte är tillgänglig - till nästa server osv.

N.S.- Namnserver - innehåller namnet på den DNS-server som ansvarar för denna domän. Naturligtvis måste det för varje post av typ NS finnas en motsvarande post av typ A.

SOA- Start av auktoritet - indikerar på vilken av NS-servrarna referensinformationen om denna domän är lagrad, kontaktinformation för den person som ansvarar för zonen, tidpunkter för lagring av information i cachen.

SRV- en pekare till en server, innehavaren av en tjänst (används för AD-tjänster och till exempel Jabber). Förutom servernamnet innehåller den sådana fält som Priority (prioritet) - liknande samma för MX, Weight (weight) - används för att balansera belastningen mellan servrar med samma prioritet - klienter väljer en server slumpmässigt med en sannolikhetsbaserad på vikt och portnummer - portnummer, på vilket tjänsten "lyssnar" efter förfrågningar.

Alla ovanstående posttyper finns i forward lookup-zonen för DNS. Det finns också en omvänd uppslagszon - poster som PTR- PointTeR - en post motsatt typ A. Lagrar mappningen av en IP-adress till dess symboliska namn. Behövs för att behandla omvända förfrågningar - bestämma värdnamnet från dess IP-adress. Det krävs inte för att DNS ska fungera, men behövs för olika diagnostiska verktyg, såväl som för vissa typer av anti-spam-skydd i e-posttjänster.

Dessutom är själva zonerna, som lagrar information om domänen, av två typer (klassiskt):

Primär- är en textfil som innehåller information om domänens värdar och tjänster. Filen kan redigeras.

Sekundär- även en textfil, men till skillnad från den huvudsakliga kan den inte redigeras. Hämtar automatiskt från servern som lagrar huvudzonen. Ökar tillgänglighet och tillförlitlighet.

För att registrera en domän på Internet måste information om den lagras på minst två DNS-servrar.

I Windows 2000 dök en zontyp upp: integrerat i AD- Zonen lagras inte i en textfil, utan i AD-databasen, vilket gör att den kan replikeras till andra domänkontrollanter tillsammans med AD, med hjälp av dess replikeringsmekanismer. Den största fördelen med detta alternativ är möjligheten att implementera säker dynamisk registrering i DNS. Det vill säga att endast datorer som är medlemmar i domänen kan skapa poster om sig själva.

Dök även upp i Windows 2003 stubbzon - stubbzon. Den lagrar endast information om DNS-servrar som är auktoritativa för en viss domän. Det vill säga NS-poster. Vilket i betydelse liknar villkorlig vidarebefordran ( villkorlig vidarebefordran), som förekom i samma Windows-versioner Server, men listan över servrar som förfrågningar vidarebefordras till uppdateras automatiskt.

Iterativa och rekursiva frågor.

Det är tydligt att en enda DNS-server inte känner till alla domäner på Internet. Därför, när en begäran tas emot till en adress som är okänd för den, till exempel metro.yandex.ru, initieras följande sekvens av iterationer:

DNS-servern får åtkomst till en av Internetrotservrarna, som lagrar information om de auktoriserade innehavarna av domäner eller zoner på första nivån (ru, org, com, etc.). Han rapporterar den mottagna adressen till den auktoritativa servern till klienten.

Klienten kontaktar ru-zonens innehavare med samma begäran.

DNS-servern för RU-zonen letar efter en motsvarande post i sin cache och, om den inte hittar den, returnerar den till klienten adressen till servern som är auktoritativ för andranivådomänen - i vårt fall, yandex.ru

Klienten kontaktar DNS yandex.ru med samma begäran.

Yandex DNS returnerar den önskade adressen.

Ett sådant händelseförlopp är sällsynt i vår tid. Eftersom det finns något sådant som en rekursiv fråga - det är när DNS-servern, som klienten först kontaktade, utför alla iterationer på uppdrag av klienten och sedan returnerar ett färdigt svar till klienten, och även lagrar den mottagna informationen i sin cache. Stöd för rekursiva frågor kan inaktiveras på servern, men de flesta servrar stöder det.

Klienten gör som regel en begäran som har flaggan "rekursionskrav".

2. Lite om DNS-meddelandeformatet

Meddelandet består av en 12-byte rubrik följt av 4 fält med variabel längd.

Rubriken består av följande fält:

DNS-meddelandeformat

Identifiering - klienten genererar en viss identifierare i detta fält, som sedan kopieras till motsvarande fält för serversvaret så att du kan förstå vilken begäran svaret kom till.

Flaggor - 16-bitars fält uppdelat i 8 delar:

• QR(meddelandetyp), 1-bitars fält: 0 betyder begäran, 1 betyder svar.
• opcode(opkod), 4-bitars fält. Normalvärdet är 0 (standardförfrågan). Andra värden är 1 (omvänd begäran) och 2 (serverstatusbegäran).
• A.A.- 1-bitars flagga som betyder "auktoritativt svar". DNS-servern har behörighet för den här domänen i frågeavsnittet.
• TC- Ett 1-bitars fält som betyder "trunkerat". I fallet med UDP betyder detta att den totala svarsstorleken översteg 512 byte, men endast de första 512 byten av svaret returnerades.
• R.D.- Ett 1-bitars fält som betyder "önskad rekursion". Biten kan ställas in i en begäran och sedan returneras i ett svar. Denna flagga kräver att DNS-servern själv bearbetar denna begäran (det vill säga att servern måste bestämma den erforderliga IP-adressen själv och inte returnera adressen till en annan DNS-server), vilket kallas en rekursiv fråga. Om denna bit inte är inställd och den efterfrågade DNS-servern inte har ett auktoritativt svar, kommer den efterfrågade servern att returnera en lista över andra DNS-servrar som måste kontaktas för att få svaret. Detta kallas en iterativ fråga. Vi ska titta på exempel på båda typerna av frågor i följande exempel.
• R.A.- 1-bitars fält som betyder "rekursion tillgänglig". Denna bit är satt till 1 i svaret om servern stöder rekursion. Vi kommer att se i våra exempel att de flesta DNS-servrar stöder rekursion, med undantag för ett fåtal rotservrar (rotservrar kan inte hantera rekursiva frågor på grund av deras arbetsbelastning).
• 0 - Detta 3-bitarsfält måste vara lika med 0.
• rcode detta är ett 4-bitars returkodsfält. Vanliga värden är 0 (inget fel) och 3 (namnfel). Ett namnfel returneras endast från en auktoritativ DNS-server och innebär att domännamnet som anges i begäran inte existerar.

De nästa fyra 16-bitarsfälten indikerar antalet objekt i de fyra fälten med variabel längd som kompletterar posten. I en förfrågan är antalet frågor vanligtvis 1, och de återstående tre räknarna är 0. I ett svar är antalet svar minst 1, och de återstående två räknarna kan vara noll eller inte.

Exempel (erhålls med WinDump när du kör kommandot ping www.ru):

IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53: 36587+ A? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036: 36587 1/2/5 A 194.87.0.50 (196)

Den första raden är begäran: namnet på min dator, 51036 är en slumpmässigt vald sändande port, 53 är en förkänd DNS-serverport, 36587 är begäran-ID, + är "rekursion krävs", A är en begäran om en typ A post betyder frågetecknet att detta är en begäran, inte ett svar. Inom parentes står meddelandets längd i byte.

Den andra raden är serverns svar: till den angivna källporten med det angivna begäran-ID. Svaret innehåller en RR (DNS-resurspost), som är svaret på begäran, 2 myndighetsposter och 5 ytterligare poster. Den totala längden på svaret är 196 byte.

3. TCP och UDP

Det finns information om att DNS fungerar över UDP-protokollet (port 53). Detta är verkligen fallet som standard - förfrågningar och svar skickas via UDP. Förekomsten av TC-flaggan (Truncated) i meddelandehuvudet nämns dock ovan. Den är satt till 1 om storleken på svaret översteg 512 byte - gränsen för ett UDP-svar - vilket betyder att det skars av och endast de första 512 byten skickades till klienten. I det här fallet upprepar klienten förfrågan, men via TCP, som på grund av sina detaljer säkert kan överföra stora mängder data.

Överföringen av zoner från huvudservrarna till de ytterligare utförs också via TCP, eftersom i detta fall mycket mer än 512 byte överförs.

4. DNS i Windows Server 2008 och 2012

Windows 2008 introducerade följande funktioner:

Bakgrundsladdning av zoner

I mycket stora organisationer med extremt stora zoner som använder Active Directory Domain Services för att lagra DNS-data, kan det ta en timme eller mer att starta om DNS-servern medan DNS-data hämtas från katalogtjänsten. I det här fallet är DNS-servern inte tillgänglig för klientförfrågningar så länge Active Directory Domain Services-zoner laddas.
Windows Server 2008 DNS-servern laddar nu zondata från Active Directory Domain Services till bakgrund, tack vare vilken den samtidigt kan behandla dataförfrågningar från andra zoner. När DNS-servern startar utförs följande åtgärder:

• alla zoner som måste laddas bestäms;
• Rotlänkar laddas från filer eller Active Directory Domain Services-lagring;
• Alla filstödda zoner laddas, det vill säga zoner lagrade i filer snarare än i Active Directory Domain Services;
• behandling av förfrågningar och fjärranrop (RPC) börjar;
• En eller flera trådar skapas för att ladda zoner lagrade i Active Directory Domain Services.

Eftersom uppgiften att ladda zoner utförs i separata trådar, kan DNS-servern behandla frågor medan zonen laddas. Om en DNS-klient begär data för en värd i en zon som redan är laddad, svarar DNS-servern med datan (eller, om så är lämpligt, ett negativt svar). Om en fråga görs för en värd som ännu inte har laddats in i minnet läser DNS-servern värdens data från Active Directory Domain Services och uppdaterar värdens lista med poster i enlighet med detta.

Stöd för IPv6-adresser

Internet Protocol version 6 (IPv6) definierar adresser som är 128 bitar långa, till skillnad från Internet Protocol version 4 (IPv4) adresser, som är 32 bitar långa.
DNS-servrar som kör Windows Server 2008 stöder nu fullt ut både IPv4- och IPv6-adresser. Betyder kommandorad dnscmd accepterar även adresser i båda formaten. Listan över vidarebefordrare kan innehålla både IPv4-adresser och IPv6-adresser. DHCP-klienter kan också registrera IPv6-adresser tillsammans med (eller istället för) IPv4-adresser. Slutligen har DNS-servrar nu stöd för domännamnutrymmet ip6.arpa för omvänd mappning.

DNS-klientändringar

LLMNR Namnupplösning
DNS-klientdatorer kan använda LLMNR (Link-local Multicast Name Resolution), även kallad multicast-DNS eller mDNS, för att lösa namn på ett lokalt nätverkssegment där en DNS-server inte är tillgänglig. Till exempel, om ett undernät är isolerat från alla DNS-servrar i nätverket på grund av ett routerfel, kan klienter på det undernätet som stöder LLMNR-namnupplösning fortfarande lösa namn med ett peer-to-peer-schema tills anslutningen till nätverket återställs.
Förutom att lösa namn i händelse av nätverksfel, kan LLMNR också vara användbart i peer-to-peer-nätverksinstallationer, till exempel i flygplatslounger.

Windows 2012 ändringar när det gäller DNS påverkade de främst DNSSEC-teknik (som säkerställer DNS-säkerhet genom att lägga till digitala signaturer Till DNS-poster), i synnerhet - tillhandahåller dynamiska uppdateringar som inte var tillgängliga när DNSSEC aktiverades i Windows Server 2008.

5. DNS och Active Directory

Active Directory är starkt beroende av DNS för sin verksamhet. Med dess hjälp letar domänkontrollanter efter varandra för replikering. Med dess hjälp (och Netlogon-tjänsten) identifierar klienter domänkontrollanter för auktorisering.

För att säkerställa sökning, under processen att höja rollen som en domänkontrollant på servern, registrerar dess Netlogon-tjänst motsvarande A- och SRV-poster i DNS.

SRV-poster registrerade av Net Logon-tjänsten:

_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.DnsDomainName
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsForestName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.SiteName._sites.DnsDomainName
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName

Den första delen av SRV-posten identifierar tjänsten som SRV-posten pekar på. Följande tjänster finns:

_ldap - Active Directory är en LDAP-kompatibel katalogtjänst med domänkontrollanter som fungerar som LDAP-servrar. _ldap SRV-posterna identifierar de LDAP-servrar som finns på nätverket. Dessa servrar kan vara Windows Server 2000+ domänkontrollanter eller andra LDAP-servrar;

_kerberos - _kerberos SRV-poster identifierar alla nyckeldistributionscentra (KDC - Key Distribution Centers) i nätverket. De kan vara domänkontrollanter som kör Windows Server 2003 eller andra KDC-servrar;

_klösenord - identifierar kerberos lösenordsbyteservrar på nätverket;

_gc - En post relaterad till den globala katalogfunktionen i Active Directory.

Endast domänkontrollanter är registrerade i underdomänen _mcdcs Microsoft Windows Server. De gör både huvudposter och poster i en given underdomän. Icke-Microsoft-tjänster gör bara grundläggande poster.

DomainGuid - global domänidentifierare. En post som innehåller den behövs vid byte av domän.

Hur fungerar DC-sökningsprocessen?

Under användarinloggning initierar klienten en DNS-lokaliserare med hjälp av ett Remote Procedure Call (RPC) av NetLogon-tjänsten. Datornamnet, domännamnet och webbplatsens namn skickas till proceduren som indata.

Tjänsten skickar en eller flera förfrågningar med hjälp av DsGetDcName() API-funktionen

DNS-servern returnerar den begärda listan med servrar, sorterad efter prioritet och vikt. Klienten skickar sedan en LDAP-förfrågan med UDP-port 389 till var och en av ingångsadresserna i den ordning de returnerades.

Alla tillgängliga domänkontrollanter svarar på denna begäran och rapporterar sin hälsa.

Efter att ha upptäckt en domänkontrollant upprättar klienten en LDAP-anslutning till den för att få åtkomst till Active Directory. Som en del av deras konversation bestämmer domänkontrollanten vilken webbplats klienten är värd på, baserat på dess IP-adress. Och om det visar sig att klienten inte kontaktade närmaste DC, utan till exempel nyligen flyttade till en annan plats och av vana begärde en DC från den gamla (information om webbplatsen cachelagras på klienten baserat på resultatet av den senaste lyckade inloggningen), skickar kontrollanten honom namnet på den (klienten) nya webbplats. Om klienten redan har försökt hitta en kontroller på den här webbplatsen, men misslyckats, fortsätter den att använda den som hittades. Om inte, initieras en ny DNS-begäran som anger den nya platsen.

Tjänsten Netlogon cachar platsinformation för domänkontrollanter så att den inte behöver initiera hela processen varje gång den behöver kontakta en DC. Men om en "suboptimal" DC (som finns på en annan plats) används, rensar klienten denna cache efter 15 minuter och påbörjar sökningen igen (i ett försök att hitta dess optimala styrenhet).

Om en dator inte har information om sin webbplats i sin cache kommer den att kontakta valfri domänkontrollant. För att stoppa detta beteende kan du konfigurera NetMask Ordering på DNS. DNS kommer då att lista DC:erna i sådan ordning att styrenheter som finns på samma nätverk som klienten listas först.

Exempel: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003F kommer att indikera subnätmasken 255.255.255.192 för prioriterade DCs. Standardmasken är 255.255.255.0 (0x000000FF)