Разное

Репликация dns: Как работает репликация зон DNS

Содержание

Как работает репликация зон DNS

Одним из критически важных компонентов любой корпоративной сети, является сервер DNS. Практически все сетевые приложения основаны на использовании серверов DNS и их услугах, и в том случае если сервер DNS недоступен, практически вся сетевая активность может остановиться. Для того, чтобы обеспечить отказоустойчивость служб DNS, даже в случае выхода из строя сервера DNS, необходимо настроить как минимум один вторичный DNS сервер для каждой зоны.

Репликация зоны — это процедура обновления вторичного (secondary) сервера DNS, при которой копируются и обновляются все DNS записи с первичного (primary) сервера DNS. В том случае, если в вашей зоне содержится большое количество записей, который обновляются достаточно часто (например, динамическими клиентами DNS), необходимо продумать вопросы эффективного использования сети для трафика репликации зон DNS. Для оптимальной производительности рекомендуется размещать DNS сервера на контроллерах домена, и использовать интегрированные зоны Active Directory. Интегрированные зоны Active Directory разработаны для осуществления автоматической, безопасной репликации зон DNS. В службе Microsoft DNS выделяют следующие зоны репликации:

To All DNS Servers In This Forest (на все DNS сервера в лесу) репликация выполняется на все сервера DNS в лесу Active Directory, на контроллеры домена с ОС Microsoft Windows Server 2003 и Windows Server 2008. Данный тип репликации используется, если имеется множество серверов DNS во множестве доменах в лесу.

To All DNS Servers In This Domain (на все DNS сервера в этом домене) репликация на все контроллеры домена в текущем домене. Данная опция используется по умолчанию для интегрированных зон Active Directory.

To All Domain Controllers In This Domain (на все контроллеры домена в этом домене) – репликация на все контроллеры, в том числе, запущенные на ОС Microsoft Windows 2000 Server. Данная опция используется только в том случае, если у вас в сети есть сервера DNS на Windows 2000 Server. При такой конфигурации объем трафика репликации увеличивается, т.к. выполняется репликация всех записей DNS.

To All Domain Controllers In The Scope Of This Directory Partition – репликация на все контроллеры домена в указанном разделе приложений, в том числе и на сервера с Windows 2000 Server. В такой ситуации данные DNS реплицируются на определенные сервера DNS с Windows 2000 Server, тем самым, уменьшая область репликации. Такая опция позволяет уменьшить объем трафика репликации, однако требует дополнительной настройки.

Интегрированные зоны Active Directory могут находится только на контролерах домена; рядовые сервера домена, а также отдельные компьютеры не поддерживают интегрированные зоны Active Directory. В том случае, если вы не используете интегрированные в Active Directory зоны, репликация на вторичные сервера DNS осуществляется путем стандартной передачи зон DNS (zone transfer), которая является стандартным методом обновления DNS серверов и определена в RFC 1034 (http://www.ietf.org/rfc/rfc1034.txt) и RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Сервера Microsoft DNS также поддерживают инкрементальную передачу зон, описанную в RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), которая предназначена для уменьшения трафика.

Как работает передача зон

Стандартные запросы DNS используют 53 порт UDP, а для передачи зон используется 53 порт протокола TCP. Протокол UDP более эффективен для пересылки запросов DNS, которые обычно состоят из двух составляющих: пакет с запросом, посылаемый на сервер DNS, и пакет с ответом, отправляемом серверов клиенту. Объем трафика передачи зон может быть достаточно большим (особенно для первой передачи зоны), поэтому решено использовать такие преимущества протокола TCP, как надежность и контроль передачи данных. Стоит отметить, что передача зоны является одним из потенциально уязвимых мест в безопасности сети, ведь получатель зоны может увидеть практически всю структуру вашей организации. К счастью, DNS сервер в Windows Server 2008 не позволяет передать зону на неавторизованные сервера. Для создания дополнительного эшелона защиты, на внешних межсетевых экранах следует закрыть 53 TCP порт (естественно, если это не будет препятствовать нормальной передаче зон).

В том случае, если и первичный и вторичный сервера DNS поддерживают инкрементальную передачу зон (эта функция появилась в Windows 2000 Server, в BIND 8.2.1 и более поздних версиях), будут передаваться только изменения в базе DNS. В том случае, если первичный или вторичный DNS сервер не поддерживает инкрементальную репликацию, каждый раз будет передаваться вся база данных целиком, а при большом количестве записей в зоне, эта передача может существенно утилизировать сеть.

Проверка работоспособности DNS для поддержки репликации каталогов

  • Статья
  • Чтение занимает 7 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Чтобы проверить параметры системы доменных имен (DNS), которые могут помешать репликации Active Directory, можно начать с выполнения базового теста, обеспечивающего правильную работу DNS для вашего домена. После выполнения базового теста можно протестировать другие аспекты функций DNS, включая регистрацию записей ресурсов и динамическое обновление.

хотя вы можете выполнять этот тест основных функций DNS на любом контроллере домена, обычно этот тест выполняется на контроллерах домена, на которых могут возникать проблемы репликации, например контроллеры домена, которые сообщают о событиях с идентификаторами 1844, 1925, 2087 или 2088 в журнале DNS службы каталогов Просмотр событий.

Выполнение базовой проверки DNS контроллера домена

Основная проверка DNS проверяет следующие аспекты функциональности DNS:

  • Подключение: Тест определяет, зарегистрированы ли контроллеры домена в DNS, может ли он ping связаться с помощью команды и иметь подключение к серверу Lightweight Directory или вызов удаленного вызова процедур (LDAP/RPC). Если проверка подключения завершается сбоем на контроллере домена, другие тесты для этого контроллера домена не выполняются. Проверка подключения выполняется автоматически перед запуском любого другого теста DNS.
  • Ключевые службы: Тест подтверждает, что следующие службы работают и доступны на проверенном контроллере домена: служба клиента DNS, служба сетевого входа в систему, служба центр распространения ключей (KDC) и служба DNS-сервера (если служба DNS установлена на контроллере домена).
  • Конфигурация клиента DNS: Тест подтверждает доступность DNS-серверов на всех сетевых адаптерах клиентского компьютера DNS.
  • Регистрация записей ресурсов: Тест подтверждает, что запись ресурса узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиентском компьютере.
  • Зона и начало центра (SOA): Если на контроллере домена работает служба DNS-сервера, тест подтверждает, что Active Directory зона домена и запись ресурса начальной зоны (SOA) для зоны домена Active Directory.
  • Корневая зона: Проверяет наличие корневой зоны (.).

членство в Enterprise «администраторы» или «эквивалентное» является минимальным требованием для выполнения этих процедур.

Для проверки основных функций DNS можно использовать следующую процедуру.

Чтобы проверить основные функциональные возможности DNS:

  1. на контроллере домена, который требуется протестировать, или на компьютере, входящем в домен, на котором установлены средства доменные службы Active Directory (AD DS), откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск.

  2. В поле Начать поиск введите Командная строка.

  3. Вверху меню Пуск щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName> /DnsBasic /f:dcdiagreport.txt подставьте фактические различающееся имя, NetBIOS-имя или имя DNS контроллера домена для < DCName. > В качестве альтернативы можно проверить все контроллеры домена в лесу, введя/e: вместо/s:. Параметр/f указывает имя файла, которое в предыдущей команде dcdiagreport.txt. Если требуется поместить файл в расположение, отличное от текущего рабочего каталога, можно указать путь к файлу, например/f:c:reportsdcdiagreport.txt.

  5. откройте файл dcdiagreport.txt в Блокнот или в аналогичном текстовом редакторе. чтобы открыть файл в Блокнот, в командной строке введите блокнот dcdiagreport.txt и нажмите клавишу ввод. Если файл помещен в другой рабочий каталог, укажите путь к файлу. Например, если вы поместили файл в к:Репортс, введите Notepad c:reportsdcdiagreport.txt и нажмите клавишу ВВОД.

  6. Перейдите к сводной таблице в нижней части файла. Обратите внимание на имена всех контроллеров домена, которые сообщают о состоянии «предупреждать» или «ошибка» в сводной таблице. Попробуйте определить, существует ли проблемный контроллер домена, выполнив поиск по строке «DC: DCName», где DCName — фактическое имя контроллера домена.

При появлении очевидных изменений конфигурации внесите необходимые изменения. Например, если вы заметили, что один из контроллеров домена имеет очевидно неверный IP-адрес, его можно исправить. Затем повторно запустите тест.

Чтобы проверить изменения конфигурации, повторно выполните команду Dcdiag/test: DNS/v с параметром/e: или/s:, как нужно. Если на контроллере домена не включена версия IP 6 (IPv6), то следует рассчитывать на сбой проверки узла (AAAA) в тесте, но если IPv6 не используется в сети, эти записи не требуются.

Проверка регистрации записи ресурса

Конечный контроллер домена использует запись ресурса DNS-псевдонима (CNAME) для указания партнера по репликации исходного контроллера домена. хотя контроллеры домена, работающие Windows server (начиная с Windows server 2003 с пакетом обновления 1 (sp1)), могут обнаружить исходные партнеры репликации с помощью полных доменных имен или, если это не удается, ожидается, что NetBIOS-намессе запись ресурса псевдонима (CNAME) будет проверяться на предмет правильной работы DNS.

Для проверки регистрации записей ресурсов, включая регистрацию записи ресурса псевдонима (CNAME), можно использовать следующую процедуру.

Проверка регистрации записи ресурса

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск. В поле Начать поиск введите Командная строка.
  2. Вверху меню Пуск щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить. С помощью средства Dcdiag можно проверить регистрацию всех записей ресурсов, необходимых для расположения контроллера домена, выполнив dcdiag /test:dns /DnsRecordRegistration команду.

Эта команда проверяет регистрацию следующих записей ресурсов в DNS:

  • псевдоним (CNAME): запись ресурса на основе глобального уникального идентификатора (GUID), которая находит партнера репликации.
  • узел (A): запись ресурса узла, которая содержит IP-адрес контроллера домена.
  • Записи ресурсов LDAP SRV: службы (SRV), которые находят LDAP-серверы.
  • GC SRV: записи ресурсов службы (SRV), которые находят серверы глобального каталога
  • PDC SRV: записи ресурсов службы (SRV), которые находят хозяева операций эмулятора основного контроллера домена.

Для проверки регистрации записи ресурса псевдонима (CNAME) можно использовать следующую процедуру.

Проверка регистрации записи ресурса псевдонима (CNAME)

  1. Откройте оснастку DNS. Чтобы открыть службу DNS, нажмите кнопку Пуск. В окне начать поиск введите днсмгмт. msc и нажмите клавишу ВВОД. Если откроется диалоговое окно Контроль учетных записей пользователей, убедитесь, что оно отображает нужное действие, и нажмите кнопку продолжить.
  2. Используйте оснастку DNS, чтобы выбрать любой контроллер домена, на котором работает служба DNS-сервера, где на сервере размещается зона DNS с тем же именем, что и домен Active Directory контроллера домена.
  3. В дереве консоли щелкните зону с именем _msdcs. Dns_Domain_Name.
  4. В области сведений убедитесь, что имеются следующие записи ресурсов: запись ресурса псевдонима (CNAME) с именем Dsa_Guid. _msdcs. < Dns_Domain_Name > и соответствующую запись ресурса узла (a) для имени DNS-сервера.

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамическое обновление работает правильно. Используйте тест в следующем разделе, чтобы проверить динамическое обновление.

Проверка динамического обновления

Если основная проверка DNS показывает, что записи ресурсов не существуют в DNS, используйте динамический тест обновления, чтобы определить, почему служба сетевого входа в систему не зарегистрировала записи ресурсов автоматически. Чтобы убедиться, что Active Directory зона домена настроена на принятие безопасных динамических обновлений и на регистрацию тестовой записи (_dcdiag_test_record), выполните следующую процедуру. Тестовая запись удаляется автоматически после теста.

Проверка динамического обновления

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск. В поле Начать поиск введите Командная строка. Вверху меню Пуск щелкните правой кнопкой мыши элемент Командная строка и выберите пункт Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName> /DnsDynamicUpdate заменяйте различающееся имя, NetBIOS-имя или имя DNS контроллера домена для < DCName. > В качестве альтернативы можно проверить все контроллеры домена в лесу, введя/e: вместо/s:. Если IPv6 не включен на контроллере домена, следует рассчитывать на сбой записи ресурса узла (AAAA) в тесте, что является нормальным условием, когда IPv6 не включен.

Если безопасные динамические обновления не настроены, для их настройки можно использовать следующую процедуру.

Включение безопасных динамических обновлений

  1. Откройте оснастку DNS. Чтобы открыть службу DNS, нажмите кнопку Пуск.
  2. В окне начать поиск введите днсмгмт. msc и нажмите клавишу ВВОД. Если откроется диалоговое окно Контроль учетных записей пользователей, убедитесь, что оно отображает нужное действие, и нажмите кнопку продолжить.
  3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите пункт Свойства.
  4. На вкладке Общие убедитесь, что тип зоны — интегрированная Active Directory.
  5. В меню динамические обновления щелкните только безопасные.

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите зарегистрировать записи ресурсов DNS немедленно, можно принудительно выполнить регистрацию вручную с помощью следующей процедуры. Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, необходимые для того, чтобы контроллер домена находился в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Регистрация записей ресурсов DNS вручную

  1. Откройте командную строку как администратор. Чтобы открыть командную строку от имени администратора, нажмите кнопку Пуск.
  2. В поле Начать поиск введите Командная строка.
  3. В верхней части меню Пуск щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. Если отобразится диалоговое окно Контроль учетных записей пользователей, подтвердите, что отображаемое в нем действие — то, которое требуется, и нажмите кнопку Продолжить.
  4. Чтобы вручную инициировать регистрацию записей ресурсов локатора контроллеров домена на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД: net stop netlogon && net start netlogon
  5. Чтобы инициировать регистрацию записи ресурса узла (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД: ipconfig /flushdns && ipconfig /registerdns
  6. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s:<DCName> заменяйте различающееся имя, NetBIOS-имя или имя DNS контроллера домена для < DCName. > Проверьте выходные данные теста, чтобы убедиться, что тесты DNS пройдены. Если IPv6 не включен на контроллере домена, следует рассчитывать на сбой записи ресурса узла (AAAA) в тесте, что является нормальным условием, когда IPv6 не включен.

Проверка функциональности DNS для поддержки репликации каталогов

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья
  • 9 минут на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Чтобы проверить настройки системы доменных имен (DNS), которые могут мешать репликации Active Directory, вы можете начать с выполнения базового теста, который гарантирует, что DNS работает правильно для вашего домена. После запуска базового теста вы можете протестировать другие аспекты функциональности DNS, включая регистрацию записей ресурсов и динамическое обновление.

Несмотря на то, что вы можете запустить этот тест базовой функциональности DNS на любом контроллере домена, обычно вы запускаете этот тест на контроллерах домена, которые, по вашему мнению, могут испытывать проблемы с репликацией, например контроллеры домена, которые сообщают идентификаторы событий 1844, 1925, 2087 или 2088 в журнале DNS службы каталогов просмотра событий.

Запуск базового теста DNS контроллера домена

Базовый тест DNS проверяет следующие аспекты функциональности DNS:

  • Возможности подключения: Тест определяет, зарегистрированы ли контроллеры домена в DNS, с которыми можно связаться с помощью команды ping , а также иметь возможность подключения к облегченному протоколу доступа к каталогам/вызову удаленных процедур (LDAP/RPC). Если проверка подключения на контроллере домена завершается неудачей, никакие другие тесты для этого контроллера домена не выполняются. Тест подключения выполняется автоматически перед запуском любого другого теста DNS.
  • Основные службы: Тест подтверждает, что следующие службы запущены и доступны на тестируемом контроллере домена: служба DNS-клиента, служба сетевого входа в систему, служба центра распространения ключей (KDC) и служба DNS-сервера (если служба DNS установлена ​​на контроллере домена). контроллер домена).
  • Конфигурация DNS-клиента: Тест подтверждает доступность DNS-серверов на всех сетевых адаптерах клиентского компьютера DNS.
  • Регистрации записей ресурсов: Тест подтверждает, что запись ресурса узла (A) каждого контроллера домена зарегистрирована по крайней мере на одном из DNS-серверов, настроенных на клиентском компьютере.
  • Зона и начало полномочий (SOA): Если на контроллере домена запущена служба DNS-сервера, тест подтверждает наличие доменной зоны Active Directory и записи ресурса начала полномочий (SOA) для доменной зоны Active Directory.
  • Корневая зона: Проверяет наличие корневой (.) зоны.

Членство в Enterprise Admins или эквивалентное — это минимум, необходимый для выполнения этих процедур.

Вы можете использовать следующую процедуру для проверки основных функций DNS.

Чтобы проверить основные функции DNS:

  1. На контроллере домена, который вы хотите протестировать, или на компьютере-члене домена, на котором установлены инструменты доменных служб Active Directory (AD DS), откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите Старт .

  2. В меню «Начать поиск» введите «Командная строка».

  3. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите «Продолжить».

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s: /DnsBasic /f:dcdiagreport.txt Замените фактическим отличительным именем, именем NetBIOS или DNS-именем контроллера домена. В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Переключатель /f указывает имя файла, которое в предыдущей команде было dcdiagreport.txt. Если вы хотите поместить файл в место, отличное от текущего рабочего каталога, вы можете указать путь к файлу, например /f:c:reportsdcdiagreport.txt.

  5. Откройте файл dcdiagreport.txt в Блокноте или аналогичном текстовом редакторе. Чтобы открыть файл в Блокноте, в командной строке введите notepad dcdiagreport.txt и нажмите клавишу ВВОД. Если вы поместили файл в другой рабочий каталог, укажите путь к файлу. Например, если вы поместили файл в папку c:reports, введите notepad c:reportsdcdiagreport.txt и нажмите клавишу ВВОД.

  6. Прокрутите до сводной таблицы в нижней части файла. Обратите внимание на имена всех контроллеров домена, которые сообщают о состоянии «Предупреждение» или «Сбой» в сводной таблице. Попробуйте определить, есть ли проблема с контроллером домена, найдя подробный раздел разбивки по строке «DC: DCName», где DCName — фактическое имя контроллера домена.

Если вы видите очевидные необходимые изменения конфигурации, внесите их соответствующим образом. Например, если вы заметили, что один из ваших контроллеров домена имеет явно неверный IP-адрес, вы можете исправить его. Затем повторите тест.

Чтобы проверить изменения конфигурации, повторно запустите команду Dcdiag /test:DNS /v с параметром /e: или /s: в зависимости от ситуации. Если на контроллере домена не включен протокол IP версии 6 (IPv6), вы должны ожидать, что часть проверки узла (AAAA) завершится ошибкой, но если вы не используете IPv6 в своей сети, эти записи не нужны.

Проверка регистрации записи ресурса

Конечный контроллер домена использует запись ресурса псевдонима DNS (CNAME) для обнаружения своего партнера по репликации исходного контроллера домена. Хотя контроллеры домена под управлением Windows Server (начиная с Windows Server 2003 с пакетом обновления 1 (SP1)) могут находить исходных партнеров по репликации, используя полные доменные имена (FQDN) или, если это не удается, имена NetBIOS, присутствие ресурса псевдонима (CNAME) запись ожидается и должна быть проверена на правильность функционирования DNS.

Вы можете использовать следующую процедуру для проверки регистрации записи ресурса, включая регистрацию записи ресурса псевдонима (CNAME).

Проверка регистрации записи ресурсов

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск». В меню «Начать поиск» введите «Командная строка».
  2. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите «Продолжить». Вы можете использовать средство Dcdiag для проверки регистрации всех записей ресурсов, необходимых для определения местоположения контроллера домена, запустив команда dcdiag /test:dns /DnsRecordRegistration .

Эта команда проверяет регистрацию следующих записей ресурсов в DNS:

  • псевдоним (CNAME): запись ресурса на основе глобального уникального идентификатора (GUID), которая находит партнера по репликации
  • хост (A): запись ресурса хоста, содержащая IP-адрес контроллера домена
  • LDAP SRV: записи ресурсов службы (SRV), определяющие местоположение серверов LDAP
  • GC SRV : записи ресурсов службы (SRV), которые обнаруживают серверы глобального каталога
    • .
  • PDC SRV : записи ресурсов службы (SRV), которые определяют местонахождение мастеров операций эмулятора основного контроллера домена (PDC)

Вы можете использовать следующую процедуру для проверки регистрации записи ресурса псевдонима (CNAME).

Проверка регистрации записи ресурса псевдонима (CNAME)

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите «Пуск». В поле «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что оно отображает нужное действие, а затем нажмите «Продолжить».
  2. Используйте оснастку DNS, чтобы найти любой контроллер домена, на котором запущена служба DNS-сервера, где на сервере размещается зона DNS с тем же именем, что и у домена Active Directory контроллера домена.
  3. В дереве консоли щелкните зону с именем _msdcs.Dns_Domain_Name.
  4. В области сведений убедитесь, что присутствуют следующие записи ресурсов: запись ресурса псевдонима (CNAME) с именем Dsa_Guid._msdcs. и соответствующая запись ресурса узла (A) для имени DNS-сервера.

Если запись ресурса псевдонима (CNAME) не зарегистрирована, убедитесь, что динамическое обновление работает правильно. Используйте тест в следующем разделе, чтобы проверить динамическое обновление.

Проверка динамического обновления

Если базовая проверка DNS показывает, что записи ресурсов не существуют в DNS, используйте проверку динамического обновления, чтобы определить, почему служба сетевого входа в систему не зарегистрировала записи ресурсов автоматически. Чтобы убедиться, что доменная зона Active Directory настроена на прием безопасных динамических обновлений и регистрацию тестовой записи (_dcdiag_test_record), используйте следующую процедуру. Запись теста автоматически удаляется после теста.

Для проверки динамического обновления

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск». В меню «Начать поиск» введите «Командная строка». В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите «Продолжить».
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s: /DnsDynamicUpdate Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена на . В качестве альтернативы вы можете протестировать все контроллеры домена в лесу, введя /e: вместо /s:. Если на контроллере домена не включен IPv6, вы должны ожидать, что часть теста записи ресурсов узла (AAAA) завершится ошибкой, что является нормальным состоянием, когда IPv6 не включен.

Если безопасные динамические обновления не настроены, для их настройки можно использовать следующую процедуру.

Чтобы включить безопасные динамические обновления

  1. Откройте оснастку DNS. Чтобы открыть DNS, нажмите «Пуск».
  2. В поле «Начать поиск» введите dnsmgmt.msc и нажмите клавишу ВВОД. Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что оно отображает нужное действие, а затем нажмите «Продолжить».
  3. В дереве консоли щелкните правой кнопкой мыши соответствующую зону и выберите пункт Свойства.
  4. На вкладке Общие убедитесь, что тип зоны интегрирован с Active Directory.
  5. В разделе «Динамические обновления» выберите «Только безопасные».

Регистрация записей ресурсов DNS

Если записи ресурсов DNS не отображаются в DNS для исходного контроллера домена, вы проверили динамические обновления и хотите немедленно зарегистрировать записи ресурсов DNS, вы можете принудительно зарегистрировать вручную, выполнив следующую процедуру. Служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов DNS, необходимые для размещения контроллера домена в сети. Служба DNS-клиента регистрирует запись ресурса узла (A), на которую указывает запись псевдонима (CNAME).

Чтобы вручную зарегистрировать записи ресурсов DNS

  1. Откройте командную строку от имени администратора. Чтобы открыть командную строку от имени администратора, нажмите «Пуск».
  2. В меню «Начать поиск» введите «Командная строка».
  3. В верхней части меню «Пуск» щелкните правой кнопкой мыши «Командная строка» и выберите «Запуск от имени администратора». Если появится диалоговое окно «Контроль учетных записей пользователей», убедитесь, что отображаемое в нем действие соответствует вашим требованиям, а затем нажмите «Продолжить».
  4. Чтобы вручную инициировать регистрацию записей ресурсов локатора контроллера домена на исходном контроллере домена, в командной строке введите следующую команду и нажмите клавишу ВВОД: net stop netlogon && net start netlogon
  5. Чтобы инициировать регистрацию записи ресурса узла (A) вручную, в командной строке введите следующую команду и нажмите клавишу ВВОД: ipconfig /flushdns && ipconfig /registerdns
  6. В командной строке введите следующую команду и нажмите клавишу ВВОД: dcdiag /test:dns /v /s: Замените различающееся имя, имя NetBIOS или DNS-имя контроллера домена на . Просмотрите выходные данные теста, чтобы убедиться, что тесты DNS пройдены. Если на контроллере домена не включен IPv6, вы должны ожидать, что часть теста записи ресурсов узла (AAAA) завершится ошибкой, что является нормальным состоянием, когда IPv6 не включен.

Обратная связь

Просмотреть все отзывы о странице

зон DNS, интегрированных с Active Directory | Microsoft Узнайте

Редактировать

Твиттер LinkedIn Фейсбук Электронная почта

  • Статья
  • 2 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Серверы системы доменных имен (DNS), работающие на контроллерах домена, могут хранить свои зоны в доменных службах Active Directory (AD DS). Таким образом, нет необходимости настраивать отдельную топологию репликации DNS, использующую обычные передачи зон DNS, поскольку все данные зоны реплицируются автоматически посредством репликации Active Directory. Это упрощает процесс развертывания DNS и дает следующие преимущества:

  • Для репликации DNS создается несколько мастеров. Таким образом, любой контроллер домена в домене, на котором запущена служба DNS-сервера, может записывать обновления в зоны DNS, интегрированные в Active Directory, для имени домена, для которого они являются полномочными. Отдельная топология передачи зоны DNS не требуется.

  • Поддерживаются безопасные динамические обновления. Безопасные динамические обновления позволяют администратору контролировать, какие компьютеры обновляют имена, и предотвращают перезапись неавторизованными компьютерами существующих имен в DNS.

Служба DNS, интегрированная с Active Directory в Windows Server 2008, хранит данные зоны в разделах каталога приложений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *