Стартовая настройка DNS-серверов и клиентов домена Windows 2000/2003
(черновик)

Править домен летит Айболит. И одно только слово твердит:
- DNS! DNS! DNS!

Choks

В домене 2k/2k3, который подключен к Интернету, настройка DNS на серверах и клиентах - важнейший этап первоначального конфигурирования сети. Ошибки на этом этапе не относятся к трудно диагностируемым, однако способны сделать локальную сеть практически "невменяемой".

Перечислим основные моменты настройки:

  1. В зонах прямого просмотра DNS-сервера следует удалить зону "." (на жаргоне: "зона точка", "корень", "корневая зона", "зона корневых серверов"), если она там есть. После этого перезапустить службу "DNS-сервер".

  2. a) Если в вашем домене только один контроллер домена, то в "Свойствах TCP/IP" в разделе "Предпочитаемый DNS сервер" каждого интерфейса необходимо указывать только IP этого же самого интефейса, а в качестве "Альтернативный DNS сервер" не следует указывать вообще ничего.
    b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере домена, на котором работает DNS-сервер, в "Свойствах TCP/IP" каждого "внутреннего" (глядящего внутрь вашей локальной сети) интерфейса следует указать
    - "первым сервером DNS" - IPшник любого другого (разумеется, ближайшего по топологии сети) контроллера этого домена с работающим DNS,
    - "вторым сервером DNS" - IPшник этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!).
    Если на контроллере с работающим DNS установлено более одного сетевого интерфейса (внимание! это плохая практика! не стОит делать любой контроллер домена многодомным/multihomed по многим причинам!), то на всех "внутренних" интерфейсах надо прописать DNSы как указано выше, а на всех "внешних" (глядящих "наружу" вашей локальной сети, например, на провайдера) интерфейсах надо указать в качестве "первого DNS" только IP этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!), а "вторым DNSом" не указывать ничего.

  3. В свойствах DNS-сервера на закладке "Пересылка" ("Forwarding") следует разрешить пересылку на DNS-сервер следующего (более высокого) уровня*. Изменения активизируются только после перезапуска службы "DNS-сервер".
    * - тут необходимо пояснение с повторением:
    - в "Пересылке" ("Forwarding") каждого DNS-сервера вашего домена следует указать один-два DNS-серверов вашего провайдера (больше не надо; объяснять сейчас "почему всего один-два" - значит запутать вас; просто примите на веру, а потом не спеша разбирайтесь с этим вопросом сами). [будет дополнено]
    Подчеркиваем ещё раз [будет дополнено]: закладка "Пересылка" ("Forwarding") всех ваших DNS-серверов - единственное место во всех компьютерах вашего домена (серверах и рабочих станциях), где могут быть указаны айпишники DNS-серверов вашего провайдера. Нигде и никогда не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера, даже на вашем шлюзе в Инет. Исключения могут быть, но если вам нужна эта статья как помощь в настройке, то запомните - нигде не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера в пределах вашей локальной сети, кроме как в закладках "Пересылка" ("Forwarding") ваших DNS-серверов -- тогда у вас точно не будет ошибок.


  4. На всех stand alone серверах и рабочих станциях (клиентах) домена в "Свойствах TCP/IP" каждого интерфейса "Предпочитаемым сервером DNS" следует указывать айпишник ближайшего контроллера домена, "Альтернативным DNS-сервером" - айпишник любого другого (ближайшего) контроллера вашего домена (конечно, если домен-контроллер у вас не единственный).
    Никаких указаний на DNS-серверы вашего провайдера в "Свойствах TCP/IP" ваших клиентов быть не должно.

Для проверки настройки на любом клиенте следует выполнить несколько команд, например:

Microsoft Windows 2000 [Версия 5.00.2195]
(C) Корпорация Майкрософт, 1985-2000.

C:\>nslookup cat
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: cat.admin.vlady.ru
Address: 172.31.252.1

C:\>nslookup magister.admin.vlady.ru.
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: magister.admin.vlady.ru
Address: 172.31.252.2

C:\>nslookup 172.31.252.3
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: melissa.admin.vlady.ru
Address: 172.31.252.3

C:\>nslookup microsoft.com.
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Non-authoritative answer:
Name: microsoft.com
Addresses: 207.46.245.222, 207.46.245.214

C:\>exit

Как пользоваться командой NSLOOKUP - мы вас учить не станем, разбирайтесь сами. Напомним лишь, что точка в конце запрашиваемого имени указывает на абсолютность имени, а отсутствие точки - относительность. То есть запрос айпишника для сервера MAGISTER, находящемуся внутри домена ADMIN.VLADY.RU, можно было сделать и так:

Microsoft Windows 2000 [Версия 5.00.2195]
(C) Корпорация Майкрософт, 1985-2000.

C:\>nslookup magister
Server: server-166.admin.vlady.ru
Address: 172.31.252.4

Name: magister.admin.vlady.ru
Address: 172.31.252.2

Если в результате тестирования нет сообщений об ошибках - значит, всё настроено правильно. Не может считаться ошибкой вывод LOOKUP'а "Request timed-out" при запросе Интернет-ресурсов. Это сообщение лишь означает, что NSLOOKUP не дождался ответа от DNS-сервера в течение 2 сек. Вероятно, ваш DNS-сервер просто не успел разрешить ("выяснить") запрашиваемые данные у авторитативных серверов в Интернете. Если сейчас же повторить запрос, то вы уже получите положенный ответ - пока вы размышляли над ответом на предыдущий запрос, ваш DNS-сервер уже получил запрошенные данные, и на повторный запрос среагировал молниеносно - взял ответ из кэша.
Если же такое сообщение появляется при запросе адресов локальной сети, то это означает, что ваша сеть настроена (или даже построена) ненадлежащим образом.


© Vlady, Choks, 2004    Rambler's Top100