Как настроить DNS и Active Directory под систему Windows Server

В этом документе приведены инструкции по настройке Microsoft® Windows 2000 Active Directory на контроллерах домена для создания леса доменов. Подробно описаны настройка DNS, процесс создания новых доменов и их размещение в дереве, создание новых деревьев, а также резервных контроллеров домена. Обсуждается процедура безопасного «разжалования» контроллера домена. Рассматриваются также дополнительные вопросы настройки DNS, такие как обратное разрешение адресов, интеграция с Active Directory и безопасное динамическое обновление. Кроме того, приведен ряд замечаний, касающихся DNS серверов сторонних поставщиков программного обеспечения.

 

Введение

В Microsoft® Windows 2000 впервые реализована Active Directory - расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.

База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.

Настоящий документ состоит из 5 глав:

Настройка контроллеров домена - эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.

Дополнительные настройки DNS - из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.

Перевод домена в «естественный» режим работы - естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.

«Разжалование» контроллера домена - В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.

Использование DNS серверов сторонних поставщиков - Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.

Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com.

Повышение статуса: настройка контроллеров домена Active Directory

Операция превращения сервера в контроллер домена называется повышением статуса (promotion).

Из последующих разделов вы узнаете, как:

Подготовить повышение статуса - в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.

Создать первый домен в лесу - Лес - это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.

Добавление серверов и рабочих станций в домен - В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.

Добавление резервного контроллера в домен - После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.

Добавление дочернего домена в дерево - Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.

Добавление дерева в лес - Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.

Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.

Подготовка сервера к повышению статуса

Любой отдельный сервер или сервер-член домена, работающий под управлением Windows 2000 Server, может получить статус контроллера домена.

Перед тем как приступить к настройке, используйте диск CD-ROM Beta 2 для «чистой» установки Windows 2000 Server на компьютер или модернизируйте существующий отдельный сервер или сервер-член домена до Windows NT 4.0 Server.

Замечание: Для повышения статуса вы должны зарегистрироваться, используя учетную запись локального администратора. Не регистрируйтесь с использованием глобальной учетной записи - члена группы локальных администраторов. В последующих версиях вы сможете использовать глобальную учетную запись при повышении статуса.

Модернизация контроллеров домена Windows NT

Вы можете также модернизировать главный (PDC) или резервный (BDC) контроллер домена, работающий под управлением Windows NT 4.0. Главный контроллер домена должен быть модернизирован в первую очередь. После модернизации PDC могут быть по возможности модернизированы серверы BDC. После модернизации BDC вы можете сохранить его в качестве дублирующего в том домене, где он находится, либо превратить его в сервер-член домена.

Если вы решили модернизировать контроллер домена Windows NT 4.0, процесс повышения статуса начнется автоматически после того, как обновление операционной системы завершится и компьютер будет перезагружен.

Создание первого домена

Первый домен в лесу становится вершиной первого дерева в лесу. Домены Active Directory используют систему имен DNS, например «nttest.microsoft.com». Если вы создаете дочерние домены в дереве «nttest.microsoft.com», имена всех доменов дерева должны оканчиваться на «nttest.microsoft.com». Начните обдумывать, какое имя присвоить своему первому домену, уже сейчас.

Настройка контроллера первого домена выполняется в два этапа:

  • Установка Microsoft DNS Server.
  • Запуск мастера установки Active Directory.

Замечание: Если контроллер вашего первого домена Active Directory - модернизированный PDC Windows NT 4.0, мастер Active Directory Promotion будет автоматически запущен сразу после завершения обновления системы. Однако перед повышением статуса вы должны выполнить дополнительную настройку, как это описано далее. Прервав в этот момент работу мастера повышения статуса, вы сможете запустить его позднее.

Установка Microsoft Active Directory

Клиенты Active Directory используют DNS для поиска контроллеров домена. Microsoft рекомендует использовать DNS сервер, который входит в состав Windows 2000, однако допускается использование и других серверов DNS, если они удовлетворяют определенным функциональным требованиям. Более подробную информацию об использовании DNS серверов сторонних производителей вы можете найти в главе «Использование DNS серверов сторонних поставщиков» в конце настоящего документа.

Если вы уже установили и настроили DNS сервер для поддержки домена Active Directory и контроллеров этого домена, вы можете перейти к следующему этапу. Если нет - Microsoft рекомендует установить Windows 2000 DNS на первом контроллере домена.

Во время установки вам может быть выдан запрос на установку статического IP адреса сервера. Серверы DNS требуют для корректной работы указания как минимум одного постоянного IP адреса на компьютере.

Установка Microsoft DNS Server

  • Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете главный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
  • В меню Start выберите пункт Settings, а затем - пункт Control Panel.
  • Дважды щелкните по значку Add/Remove Programs.
  • Нажмите кнопку Add/Remove Windows Components.
  • Будет запущена программа-мастер Windows Components Wizard.
  • Выберите пункт Networking Services и нажмите кнопку Details.

Замечание: Не устанавливайте флажок Networking Services во включенное положение. В этом случае будут установлены все сетевые службы. Просто выберите пункт Networking Services.

  • Установите во включенное положение флажок рядом с пунктом Dynamic Name Service (DNS).
  • Нажмите кнопку OK, чтобы закрыть диалоговое окно.
  • Нажмите кнопку Next для установки программного обеспечения сервера DNS. Если диск Windows 2000 Beta 3 еще не вставлен в дисковод CD-ROM, программа предложит вам сделать это.
  • Если появится запрос с предложением указать статический IP адрес, нажмите кнопку OK и проделайте следующее:

В диалоговом окне Local Area Connection Properties, которое должно появиться после этого, выберите пункт Internet Protocol (TCP/IP) и нажмите кнопку Properties.

Установите переключатель в положение Use the following IP address и укажите значения в полях IP address, Subnet mask и Default Gateway. Если вы не знаете, какие значения использовать, обратитесь к администратору сети. Если вы работаете в собственной сети, вы можете использовать значения из зарезервированного диапазона 10.x.x.x адресов класса A. Например, установите IP адрес компьютера равным 10.0.0.1, используйте предложенное по умолчанию значение маски подсети и оставьте поле адреса шлюза пустым. Каждый компьютер должен иметь свой уникальный IP адрес.

Если в вашей сети имеются другие серверы DNS, установите переключатель в положение Use the following DNS server addresses и введите IP адрес сервера DNS в поле Primary DNS Server. Если у вас в сети нет других серверов DNS, оставьте переключатель в положении Obtain DNS server address automatically или оставьте поле Primary DNS Server пустым.

  • Нажмите кнопку OK, чтобы закрыть диалоговое окно Internet Protocol (TCP/IP) Properties.
  • Нажмите кнопку OK, чтобы закрыть панель Connection configuration.
  • Нажмите кнопку Finish для завершения установки DNS.
  • Закройте окно Add/Remove Programs. Сервер DNS установлен.

Если вы указали в пункте «с» существовавший ранее сервер DNS, вам придется настроить его так, чтобы он делегировал обслуживание имен в домене Active Directory серверу DNS, который вы только что установили. Это делается путем добавления ресурсных записей Name Server в файл зоны, ответственной за обслуживание имен вашего домена Active Directory. О том, как это осуществить, вы можете узнать из документации к своему DNS серверу. Сделайте это после того, как работа мастера установки Active Directory будет завершена.

Если вы не указывали существующего сервера DNS, компьютер будет автоматически настроен для использования установленного на нем сервера DNS.

Замечание: В отличие от предыдущих версий Windows 2000, вам больше не нужно вручную настраивать DNS перед повышением статуса сервера. Теперь это делается автоматически в процессе повышения статуса, если на компьютере установлен DNS сервер. В последующих версиях сервер DNS будет устанавливаться автоматически, и выполнять эти действия не потребуется.

Запуск мастера установки Active Directory

Повышение статуса серверов до контроллеров домена происходит с помощью программы-мастера установки Active Directory, известной также под названием DCpromo.

Запуск DCpromo

  • В меню Start выберите пункт Run.
  • Введите dcpromo и нажмите кнопку OK.
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
  • Если появится сообщение о том, что выбранный вами путь не принадлежит разделу NTFS 5.0 и в системе существует только раздел FAT, вам придется преобразовать его в NTFS 5.0. Если это сообщение не появится - пропустите следующие два пункта.
  • Нажмите кнопку OK, чтобы закрыть окно сообщения.

Нажмите кнопку Cancel, чтобы прервать работу DCpromo.

В меню Start выберите пункт Programs, а затем пункт Command Prompt. Введите команду:

convert drive: /FS:NTFS

где drive - имя логического диска, где установлена Windows 2000.

Утилита Convert сообщит вам о текущей файловой системе раздела и проинформирует о необходимости перезагрузки. Введите Y и нажмите клавишу Enter.

Перезагрузите систему. Логический том будет преобразован в NTFS 5.0 в процессе загрузки. Зарегистрируйтесь и вновь запустите DCpromo, пролистайте окна до окна System Volume path и продолжайте работу.

  • Выберите пункт New domain и нажмите кнопку Next.
  • Выберите пункт Create new domain tree и нажмите кнопку Next.
  • Выберите пункт Create a new forest of domain trees и нажмите кнопку Next.
  • Введите полное DNS-имя, которое вы выбрали для своего первого домена Active Directory, например «nttest.microsoft.com», и нажмите кнопку Next. DCpromo проверит, не используется ли уже введенное вами имя.
  • DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next.
  • DCpromo предложит вам путь для размещения базы данных и файлов журнала Active Directory. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next.
  • DCpromo предложит путь файла для создания резервной копии системного тома. Прочтите советы по выбору путей файлов и примите предложенный или укажите новый, а затем нажмите кнопку Next.
  • Если появится предупреждение о том, что DCpromo не может связаться с DNS сервером для разрешения указанного вами имени, нажмите кнопку OK.
  • Выберите Yes, чтобы DCpromo настроил для DNS и нажмите кнопку Next.
  • Прочитайте информацию в окне подтверждения и нажмите кнопку Next для запуска процесса повышения статуса. Он займет несколько минут.
  • Нажмите кнопку Finish.
  • Нажмите кнопку Restart Now, чтобы перезагрузить компьютер.

Поздравляем, вы только что создали свой первый домен Active Directory! После того, как компьютер перезагрузится, вы можете зарегистрироваться, используя глобальную учетную запись администратора. Используйте тот же самый пароль, что и до повышения статуса сервера.

Теперь вы можете продолжить добавление контроллеров домена с различным статусом или сразу приступить к экспериментам с каталогом.

Добавление серверов и рабочих станций в домен

Серверы и рабочие станции подключаются к домену так же, как и в Windows NT 4.0.

На компьютерах, работающих под управлением Windows 2000, необходимо настроить как минимум один IP адрес сервера DNS, чтобы они могли обнаружить контроллер домена в процессе подключения. IP адрес сервера DNS может сообщаться клиентским системам автоматически при помощи DHCP или устанавливаться вручную в окне настройки сетевых соединений. Более подробную информацию о DHCP вы найдете в официальном документе Microsoft Dynamic Host Configuration Protocol for Windows 2000 (Протокол динамической конфигурации хоста для Windows 2000), опубликованном по адресу microsoft.com.

Windows NT 4.0 и клиентские системы Microsoft Windows 9x используют для обнаружения контроллеров домена службу WINS. Вы должны установить и запустить WINS, если хотите, чтобы такие клиенты участвовали в домене Windows 2000.

Учетные записи для подключаемых компьютеров можно создать в домене заранее или в процессе присоединения к домену. Если вы хотите сделать это заранее, то можете воспользоваться средством Active Directory Manager.

Включение в домен Windows 2000 серверов или рабочих станций, работающих под управлением Windows 2000, производится следующим образом.

Соединение сервера или рабочей станции Windows к домену

  • В меню Start выберите пункт Settings, а затем - пункт Control Panel.
  • Щелкните дважды по значку System. (Вместо этого вы можете щелкнуть правой клавишей мыши по значку My Computer на Рабочем столе и выбрать в динамическом меню пункт Properties.)
  • Щелкните закладке Network Identification.
  • Нажмите кнопку Change, чтобы изменить статус членства компьютера.
  • В списке Member of выберите пункт Windows NT secure domain.
  • В текущем поле ввода укажите полное DNS-имя домена, к которому вы хотите присоединить компьютер, например «nttest.microsoft.com».
  • Нажмите кнопку OK.
  • Введите имя и пароль учетной записи домена, обладающей достаточными привилегиями для выполнения операции присоединения компьютера к домену. Если вы создали учетную запись для данного компьютера заранее, введите имя и пароль пользователя, который будет на нем работать. Если вы хотите создать учетную запись в процессе присоединения, введите имя и пароль пользователя, имеющего полномочие на создание объектов в используемом по умолчанию контейнере Computers. В любом случае, полномочий администратора домена будет достаточно.
  • Нажмите кнопку OK для отправки имени и пароля.
  • Если попытка присоединения окончится неудачей, возможно, вы неправильно указали имя домена или использовали учетную запись пользователя, не обладающего достаточными полномочиями. Если присоединение произошло успешно, появится подтверждающее сообщение. Нажмите кнопку OK.
  • Нажмите кнопку OK, чтобы закрыть окно предупреждения о перезагрузке.
  • Нажмите кнопку OK, чтобы закрыть панель System.
  • Нажмите кнопку Yes для перезагрузки компьютера.
  • После перезагрузки компьютер будет присоединен к домену.

Добавление в домен резервного контроллера

Для создания резервных копий домена используется программа-мастер Active Directory Installation Wizard.

Замечание: Перед запуском DCpromo вы должны присоединить компьютер к домену, копию которого хотите создать. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Создания копии домена

  • Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
  • Нажмите кнопку Start и выберите в меню пункт Run.
  • Введите dcpromo и нажмите кнопку OK.
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
  • Выберите пункт Replica domain controller in existing domain и нажмите кнопку Next.
  • Введите полное DNS-имя домена, копию которого хотите создать, например «nttest.microsoft.com’, и нажмите кнопку Next.
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в домене, копию которого вы создаете, и нажмите кнопку Next.
  • Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.

Добавление дочернего домена

Для создания дочернего домена в существующем дереве используется программа-мастер Active Directory Installation Wizard.

Замечание: Перед запуском DCpromo вы должны присоединить компьютер к домену, который будет родительским для нового. Для этого следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дочернего домена через запись администратора

Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.

  • Нажмите кнопку Start и выберите в меню пункт Run.
  • Введите dcpromo и нажмите кнопку OK.
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
  • Выберите пункт New domain и нажмите кнопку Next.
  • Выберите пункт Create new child domain и нажмите кнопку Next.
  • Введите полное DNS-имя существующего домена, который будет в дереве родительским для нового, например «nttest.microsoft.com’, и нажмите кнопку Next.
  • Введите короткое имя нового дочернего домена, например «redmond». Имя родительского домена будет добавлено к этому имени для создания полного DNS-имени дочернего домена, например «redmond.nttest.microsoft.com.»
  • Нажмите кнопку Next. DCpromo проверит, не существует ли уже такого имени.
  • DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next.
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в родительском домене, и нажмите кнопку Next.
  • Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

Замечание: В последующих версиях вы сможете делегировать отдельным пользователям или группам полномочия на создание дочерних доменов. При этом им не нужно будет передавать всю полноту административных полномочий в родительском домене.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дочернем домене.

Добавление дерева в лес

Для создания новых деревьев в существующем лесу используется программа-мастер Active Directory Installation Wizard.

Замечание: Перед запуском DCpromo вы должны присоединить компьютер к корневому (root) домену леса. Корневой домен - это первый из созданных вами доменов. Следуйте инструкциям, приведенным в разделе «Добавление серверов и рабочих станций в домен». Сделав это, запустите Dcpromo и выполните действия, описанные ниже. Присоединение компьютера к домену перед повышением его статуса будет необязательным в последующих версиях.

Добавления дерево в лес через администратора

  • Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 - вы уже зарегистрированы.
  • Нажмите кнопку Start и выберите в меню пункт Run.
  • Введите dcpromo и нажмите кнопку OK.
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
  • Выберите пункт New domain и нажмите кнопку Next.
  • Выберите пункт Create new domain tree и нажмите кнопку Next.
  • Выберите пункт Put this domain in an existing forest и нажмите кнопку Next.
  • Введите полное DNS-имя корневого домена леса, например «nttest.microsoft.com.»
  • Введите полное DNS-имя нового дерева, например «ntdev.microsoft.com». Это имя не может быть подчиненным (subordinate) или главенствующим (superior) по отношению к какому-либо из существующих в лесу деревьев. Например, если в вашем лесу существует одно дерево с именем «nttest.microsoft.com», вы не можете создать новое дерево с именем «microsoft.com» (главенствующее), а также новое дерево с именем «redmond.nttest.microsoft.com» (подчиненное).
  • Нажмите кнопку Next. DCpromo проверит, не существует ли уже такого имени.
  • DCpromo предложит вам NetBIOS-имя домена. Для обеспечения обратной совместимости с такими клиентами, как Windows NT 4.0, это имя будет использоваться ими для идентификации домена. Используйте предложенное имя или введите другое и нажмите кнопку Next.
  • Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в корневом домене леса, и нажмите кнопку Next.
  • Завершите работу с программой-мастером так же, как при создании первого домена в лесу.

После перезагрузки компьютера он будет функционировать как первый контроллер в новом дереве.

Дополнительные настройки Microsoft DNS Server (Рекомендации)

Если вы используете Microsoft DNS Server, который поставляется в составе Windows NT, вы можете сконфигурировать и изучить следующие дополнительные возможности:

Обратное разрешение адресов

Интеграцию с Active Directory, которая позволит вам также сконфигурировать:

Защищенное динамическое обновление

Дополнительные серверы DNS для обеспечения отказоустойчивости

Процедуры конфигурации для каждого из этих средств описываются ниже.

Настройка обратного разрешения адресов

Обычно сервер DNS используется для преобразования имен в IP адреса, этот процесс известен под названием прямого разрешения имен (forward lookup). Кроме этого, он может использоваться и для преобразования IP адресов обратно в имена. Этот процесс называется обратным разрешением адресов (reverse lookup). Он конфигурируется отдельно от прямого разрешения имен. Хотя обратное для корректной работы не требуется разрешение адресов Windows 2000 или Active Directory, возможность обратного преобразования IP адресов в имена компьютеров может оказаться полезной при анализе проблем в сети.

Конфигурирование обратного разрешения адресов

  • Нажмите кнопку Start, выберите в меню пункт Programs, затем - пункт Administrative Tools и, наконец, пункт DNS Management.
  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Щелкните по папке Reverse Lookup Zones.
  • Щелкните правой клавишей мыши по папке Reverse Lookup Zones и выберите в динамическом меню пункт Create a New Zone.
  • Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next.
  • Выберите пункт Active Directory Integrated, если вы хотите хранить новую зону в каталоге. Вы можете также выбрать пункт Standard Primary, если хотите хранить новую зону в стандартном файле обратного просмотра зоны.
  • Введите информацию о подсети, для которой вы хотите организовать обратное разрешение адресов. Например, если ваша подсеть имеет адреса класса B 157.55.80/20, укажите 157.55.80.0 в качестве идентификатора подсети (subnet ID) и 255.255.240.0 в качестве маски подсети. Нажмите кнопку Next.
  • Если вы выбрали пункт Standard Primary, программа-мастер предложит вам имя для нового файла зоны. Примите значение по умолчанию или введите новое имя. Нажмите кнопку Next.
  • Проверьте правильность веденной информации в заключительном окне программы-мастера и нажмите кнопку Finish.
  • Щелкните по зоне обратного разрешения адресов, которую вы только что создали.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties.
  • На закладке основных свойств General выберите пункт Allow Updates или пункт Allow Secure Updates в раскрывающемся списке Dynamic Update.
  • Нажмите кнопку OK, чтобы закрыть окно диалоговое свойств зоны.

Повторите этот процесс для каждой подсети, для которой вы хотите организовать поддержку обратного разрешения адресов.

Если ваш сервер DNS - не единственный в сети, вам придется ввести в существующую систему DNS информацию о делегировании, чтобы другие серверы DNS могли найти вашу зону. Для получения информации о том, как это сделать, изучите документацию по используемым у вас серверам DNS.

Интеграция с Active Directory

Microsoft DNS Server в составе Windows 2000 может хранить данные не в стандартных файлах зоны, а в Active Directory. При этом дубликаты зон поддерживаются на контроллерах домена и могут быть загружены любым DNS сервером, функционирующим на контроллере этого домена. Таким образом реализуются преимущества динамического обновления с несколькими мастер-копиями.

Если ваши зоны интегрированы в Active Directory, вы можете:

Организовать защищенное динамическое обновление. Легко настроить дополнительные DNS серверы для повышения отказоустойчивости. Вы можете интегрировать в Active Directory столько зон, сколько пожелаете.

Добавление зон в Active Directory

  • Нажмите кнопку Start, выберите в меню пункт Programs, затем - пункт Administrative Tools и, наконец, пункт DNS Management.
  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones, чтобы развернуть ее.
  • Щелкните по зоне, которую хотите хранить в Active Directory.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties.
  • На закладке основных свойств General нажмите кнопку Change, чтобы сменить тип зоны.
  • Выберите пункт Active Directory integrated primary и нажмите кнопку OK.
  • Нажмите кнопку OK, чтобы подтвердить свой выбор.
  • Нажмите кнопку OK, чтобы закрыть панель свойств.
  • В зависимости от размеров зоны для преобразования может потребоваться несколько минут.
  • Повторите этот процесс для каждой зоны прямого и обратного просмотра, которую вы хотите хранить в Active Directory.

Замечание: В отличие от некоторых предварительных версий Windows 2000, вам больше не требуется переводить домен в естественный режим (Native Mode) перед интеграцией DNS с Active Directory.

Организация защищенного динамического обновления

Для зон, интегрированных в Active Directory, можно организовать защищенное динамическое обновление. При этом только указанные вами компьютеры могут добавлять новые или модифицировать существующие элементы в зоне. По умолчанию все аутентифицированные компьютеры в лесу могут создавать новые элементы в зоне, и лишь тот компьютер, который создал имя, может модифицировать связанные с ним данные.

Вы можете разрешить защищенное динамическое обновление в любых зонах, интегрированных в Active Directory.

Включение возможности защищенного динамического обновления

  • Нажмите кнопку Start, выберите в меню пункт Programs, затем - пункт Administrative Tools и, наконец, пункт DNS Management.
  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Щелкните по папке Forward Lookup Zones или папке Reverse Lookup Zones, чтобы развернуть ее.
  • Выберите интегрированную в Active Directory зону, для которой вы хотите разрешить защищенное динамическое обновление.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties.
  • На закладке основных свойств General выберите пункт Allow Only Secure Updates в раскрывающемся списке Dynamic Update.
  • Нажмите кнопку OK, чтобы закрыть панель свойств.
  • Подобным образом вы можете включить возможность защищенного динамического обновления для любого числа зон.

Установка дополнительных серверов DNS Servers для повышения отказоустойчивости

Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.

Установка серверов DNS для повышения отказоустойчивости

  • Установите Microsoft DNS Server на резервный контроллер домена. Описание процесса установки приведено в разделе «Создание первого домена в лесу».

Нажмите кнопку Start, выберите в меню пункт Programs, затем - пункт Administrative Tools и, наконец, пункт DNS Management.

  • Щелкните по объекту DNS Server, чтобы развернуть его.
  • Выберите папку Forward Lookup Zones.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Create New Zone.
  • Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next.
  • Выберите пункт Active Directory Integrated и нажмите кнопку Next.
  • Введите имя зоны, которую вы интегрировали в каталог на предыдущем сервере DNS, и нажмите кнопку Next.
  • Нажмите кнопку Finish.

Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.

Замечание: В последующих версиях вам не придется вручную добавлять зоны в DNS сервер. Сервер будет автоматически загружать все зоны, которые он обнаружит в каталоге.

Перевод домена в «естественный» (Native) режим работы

По умолчанию созданный домен работает в Смешанном (Mixed) режиме. При этом в домен могут входить резервные контроллеры (BDC) Windows NT 4.0. Когда все резервные контроллеры Windows NT 4.0 будут модернизированы или отключены, можно переключить домен в «естественный» (Native) режим работы.

Единственная разница между смешанным и естественным режимом работы заключается в ограничениях на включение контроллеров домена в группы и в том, как обрабатывается членство в группах при регистрации пользователя в сети. Переключение в естественный режим работы позволяет воспользоваться некоторыми новыми особенностями групп безопасности Windows 2000, например, возможностью организации вложенных групп.

Замечание: В отличие от некоторых более ранних предварительных версий Windows 2000, репликация с несколькими мастер-копиями может осуществляться между контроллерами домена Windows 2000 даже в естественном режиме работы.

Для переключения в естественный режим работы применяется нижеописанная процедура. При этом в домене не должно быть резервных контроллеров Windows NT 4.0. После переключения в естественный режим обратное переключение в смешанный режим работы невозможно.

Для переключения в естественный режим работы

  • Нажмите кнопку Start, выберите в меню пункт Programs, затем - пункт Administrative Tools и, наконец, пункт Active Directory for Users and Computers
  • Щелкните по узлу домена.
  • Нажмите правую клавишу мыши и выберите в динамическом меню пункт Properties.
  • На закладке основных свойств General нажмите кнопку Change Mode.
  • Нажмите кнопку Yes для подтверждения.
  • Нажмите кнопку OK, чтобы закрыть панель свойств.
  • Нажмите кнопку OK после прочтения информации о перезагрузке. Каждый контроллер домена должен быть перезагружен после того, как в поле Mode на закладке основных свойств General будет установлено значение Native Mode.
  • Закройте консоль управления Directory Management.
  • Перезагрузите компьютер, чтобы изменения вступили в силу.

Понижение статуса: «разжалование» контроллеров домена Active Directory

Компьютер, играющий роль контроллера домена, может быть превращен в отдельный сервер или сервер-член домена. Этот процесс также называют понижением статуса (demotion). Понижение статуса сервера приводит к его удалению из конфигурации леса и DNS. «Разжалование» последнего контроллера в домене означает прекращение существования домена.

Корневой домен леса может быть удален, только если он последний из оставшихся в лесу.

Понижение статуса приводит к удалению с сервера каталога и всех принципалов безопасности и их замещению базой данных безопасности, используемой по умолчанию. Она соответствует базе данных, которая создается при «чистой» установке Windows 2000.

Чтобы заработал «разжаловать» контроллер домена

  • Нажмите кнопку Start и выберите в меню пункт Run.
  • Введите команду dcpromo и нажмите кнопку OK.
  • Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
  • Выберите пункт This is the last domain controller in the domain, если это уместно, и нажмите кнопку Next.
  • После понижения статуса будет создана новая база данных безопасности. Введите и подтвердите новый пароль для учетной записи Administrator, после чего нажмите кнопку Next.
  • Нажмите кнопку Next для запуска процесса понижения статуса.
  • Нажмите кнопку Finish, чтобы завершить работу мастера.
  • Нажмите кнопку Restart Now для перезагрузки сервера.

Использование DNS серверов сторонних поставщиков

Использование Microsoft DNS Server, входящего в состав Windows 2000, не является обязательным. Однако Windows 2000 требует использования DNS сервера, обеспечивающего поддержку следующих стандартов:

Ресурсные записи Service Location (SRV RR), RFC 2052

Протокол динамического обновления Dynamic Update protocol, RFC 2136

Настоящая предварительная версия Windows 2000 была протестирована на совместимость с сервером BIND версии 8.1.2. Для получения подробной информации о настройке динамического обновления с помощью директивы update изучите документацию к серверу BIND.

 
Яндекс.Метрика