» Замена DNS сервера в домене

Доброго времени суток. Есть AD, несколько серверов на W2k3.
Люди, подскажите как правильно установить дополнительный DNS сервер в домене, если один основной уже есть и каким минимумом прав надо обладать для этого?

очень просто, добавляешь роль ДНС-сервера на новом сервере он автоматически реплицирует зоны...

Сервер АД не должен нормально работать без dns-роли. По ходу, сколько контроллеров в домене, столько и днс-серверов.

Здесь речь идет не о дополнительном DC + DNS а об отдельно взятом дополнительном DNS.
Когда его создаешь, он спрашивает какие зоны создать, что лучше выбрать - и прямую и обратную?
И еще - достаточно ли будет прав DNS admins чтоб его поднять или надо Domain Admins чтоб он авторизовался в AD?

Цитата:

что лучше выбрать - и прямую и обратную?

Лучше обе.

Цитата:

достаточно ли будет прав DNS admins чтоб его поднять

Нет.

Vadik_K

Цитата:

По ходу, сколько контроллеров в домене, столько и днс-серверов.

Не обязательно. В общем случае число серверов DNS не равно числу контроллеров домена.

Да, поднялся с первого раза

Последние 2 вопроса: Во вкладке forwarding можно настроить чтоб DNS сервер передавал запросы другому DNS серверу. Так вот, он будет их ВСЕ передавать или только те, которые не сможет разрешить сам?
И последний. Репликация между новым DNS сервером и старым поднимется автоматически или надо ручками команду давать ( если есть - какую ) ?

Большое спасибо всем ответившим

aamst
будет передавать только те, которые не сможет разрешить сам
Репликация автоматом после авторизации сервера в АД

Не подскажите че делать.Сеть доменная,есть 2КД и один шлюз на Linux'e.Тот КД,на котором все роли весять поднять ДНС(интегрированный с AD),а на втором нету ДНСа.На шлюзе тоже поднять ДНС,не знаю как и на чем(не шарю в Linux'e еще).Второй КЛ у меня как резервный,ну если вдруг сдохнет,что бы он на время продолжил работу.На клиентских машинах ДНС сервером указан ИП-адрес сервера,который роль шлюза выполняеть(а не ИП-адрес КД,где реализован интегрированный ДНС).На втором КД ДНС'ром указан ИП 1-го КД.
Выключил 1КД,и на втором КД ДНС указал ИП-адрес шлюзовского сервера.Выполнил вход с пару компов,после ввода пароля,долго принимается параметры компьютера и ползователь долго ждет (около 2-3 мин).Вопрос,все это проблемы из-за неправилных настроек ДНС серверов?Че как сделать,если да?

Здесь начали обсуждать,но как то все остановилось и мне хотелось уточнить кое что до конца

rkhodjaev Подыми DNS сервер на втором DC, в tcp/ip укажи днс сервером ip первого DC. Cоздай зону с тем же именем, что на первом DC. сделай на втором DC.
net stop netlogon
net start netlogon
ipconfig /flushdns
ipconfig /registerdns
всё.
Убедись что новый днс сервер видит все зоны, что на первом DC.
Если нужно резолвить внешние днс имена, в настройках днс сервера укажи форвардить неразрешимые днс запросы на линуксовый днс сервер. На рабочих станциях по идее нужно писать днс сервером не линуксовый шлюз, а ip твоих DC, предварительно сделать на DC, то что выше написал (форвардить на линукс).

ipmanyak

Цитата:

Cоздай зону с тем же именем, что на первом DC. сделай на втором DC.

А у меня в первом DC в пункте Forward Lookup Zones.есть 2-е зоны:
1) .(root)
2) text.text

Не знаю,откуда там .рут зона....там написали,что надо удалить....
А если я добавлю дополнительный ДНС на второй DC,то зоны сразу не реплицируются что ли?

На DCрах надо в форварде указать ИП-адрес линуксового сервера?


Цитата:

На рабочих станциях по идее нужно писать днс сервером не линуксовый шлюз, а ip твоих DC,

М...да,теперь на всех машинах лен менять,надо в ГПО поискать,есть ли возможность поменять всем ИП ДНС адресов

rkhodjaev Зону точка можно удалить.

Цитата:

На DCрах надо в форварде указать ИП-адрес линуксового сервера?

Да.

Цитата:

М...да,теперь на всех машинах лен менять,надо в ГПО поискать,есть ли возможность поменять всем ИП ДНС адресо

Есть такая возможность, например логон скриптом
netsh interface ip set dns "Подключение по локальной сети" static zzz.zzz.zzz.zzz
netsh interface ip set dns "Local Area Connection" static zzz.zzz.zzz.zzz
Имей ввиду "Подключение по локальной сети" на машинах может отличаться, например
Подключение по локальной сети 2, и др

ipmanyak

Цитата:

rkhodjaev Зону точка можно удалить.

В смысле?Что это даст?
А есть практические методы по удаленнию и сделать различные операции с ДНС'ом?Например,что удалить?Как добавить доп.ДНС? и т.д.

Остальные действия вроде понятно!Спасибо

rkhodjaev Настройка DNS и Active Directory
http://www.microsoft.com/Rus/Download.aspx?file=/Docs/windows2000/library/activedirectory/addns.doc


Добавлено:
Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
http://support.microsoft.com/kb/291382/ru

ipmanyak
Огромное Вам спасибо за ссылки.Скачал и прочитал:

Цитата:

Установка дополнительных серверов DNS Servers для повышения отказоустойчивости
Если вы воспользовались возможностью интеграции своих зон в Active Directory, вам будет легко установить и сконфигурировать дополнителные серверы DNS для равномерного распределения нагрузки и повышения отказоустойчивости. Для этого достаточно просто установить Microsoft DNS Server на копии контроллера домена и добавить в него зоны, интегрированные в Active Directory.
Чтобы установить серверы DNS для повышения отказоустойчивости
1.Установите Microsoft DNS Server на резервный контроллер домена. Описание процесса установки приведено в разделе “Создание первого домена в лесу”.
2.Нажмите кнопку Start, выберите в меню пункт Programs, затем — пункт Administrative Tools и, наконец, пункт DNS Management.
3.Щелкните по объекту DNS Server, чтобы развернуть его.
4.Выберите папку Forward Lookup Zones.
5.Нажмите правую клавишу мыши и выберите в динамическом меню пункт Create New Zone.
6.Будет запущена программа-мастер создания новой зоны. Нажмите кнопку Next.
7.Выберите пункт Active Directory Integrated и нажмите кнопку Next.
8.Введите имя зоны, которую вы интегрировали в каталог на предыдущем сервере DNS, и нажмите кнопку Next.
9.Нажмите кнопку Finish.
Повторяйте этот процесс, начиная с п. 4 для каждой интегрированной в Active Directory зоны, существующей на первом сервере DNS этого домена. Если вы создадите новые интегрированные в Active Directory зоны на этом или другом сервере, вам придется создать их также на всех остальных серверах, чтобы они могли загружать соответствующую информацию.

Значит ручками надо сбивать имена зон (Forward LookUp Zones и Reverse LookUp Zones ), то есть они должны быть идентичными,да?У меня в обоих областях есть по одному зон,значит 2 раза надо проделывать пункты 1,2..9?


Теперь об зоны ".",точнее у меня ".root" называется.

Цитата:

Наличие этой зоны делает DNS-сервер сервером корневых ссылок. Как правило, эта зона удаляется. Наличие этой зоны может препятствовать разрешению внешних имен с помощью серверов корневых ссылок в Интернете.

Честно я не знаю,что такое ДНС-сервер корневых ссылок.Но догадываюсь,что ДНС сервер который отвечает за разрешения внешних имен в Интернете.
Значит,если я удалю ".root" из Forward Zone,то потом проблемы не будут у пользователей с выходом в нет?Я знаю,что в нет они выходят через ДНС,который в Линуксовом сервере поднять.А в зоне,который в Forward Lookup Zone в свойствах указан след.>
Forward Lookup Zones>zone_name>Properties>Zone Transfers>Only to following Servers и там указан ИП-адрес линуксовкого сервера....

Таким образом,я понял как поднимать дополнительный ДНС на 2-ом КД.А вот думаю,насколько правильно настроен основной ДНС и линуксовким сервером(DNS-сервер корневых ссылок).И как повлияет удаления ".root"а....?




Добавлено:

Цитата:

netsh interface ip set dns "Подключение по локальной сети" static zzz.zzz.zzz.zzz

Сделал *.cmd файл,и запустил,но у меня не поменялся IP address ДНС сервера?

rkhodjaev Мужик, у тебя сервер англиский? Имя соединения как называется? неужто "Подключение по локальной сети" ? Может все-таки "Local Area Connection" ? Или вообще по-другому?

Честно я не знаю,что такое ДНС-сервер корневых ссылок.Но догадываюсь,что ДНС сервер который отвечает за разрешения внешних имен в Интернете.
Значит,если я удалю ".root" из Forward Zone,то потом проблемы не будут у пользователей с выходом в нет?Я знаю,что в нет они выходят через ДНС,который в Линуксовом сервере поднять.А в зоне,который в Forward Lookup Zone в свойствах указан след.>
Forward Lookup Zones>zone_name>Properties>Zone Transfers>Only to following Servers и там указан ИП-адрес линуксовкого сервера....

Таким образом,я понял как поднимать дополнительный ДНС на 2-ом КД.А вот думаю,насколько правильно настроен основной ДНС и линуксовким сервером(DNS-сервер корневых ссылок).И как повлияет удаления ".root"а....?

ipmanyak

Цитата:

rkhodjaev Мужик, у тебя сервер англиский? Имя соединения как называется? неужто "Подключение по локальной сети" ? Может все-таки "Local Area Connection" ? Или вообще по-другому?

У меня именно "Подключение по локальной сети",без двоек и не на английском.

rkhodjaev"Зона точки идентифицирует сервер DNS как корневой сервер. В обычном случае домен Active Directory, для которого требуется внешний доступ (Интернет), не следует настраивать в качестве корневого сервера DNS." Удаляй смело.
Цитата:

Сделал *.cmd файл,и запустил,но у меня не поменялся IP address ДНС сервера?

Дык включи echo on и поставь pause в коце батника и смотри ошибки
Вот это точно работает:
echo on
netsh interface ip set address "Local Area Connection" source=static 10.131.3.77 mask=255.255.254.0
pause

ipmanyak

Цитата:

Зона точки идентифицирует сервер DNS как корневой сервер. В обычном случае домен Active Directory, для которого требуется внешний доступ (Интернет), не следует настраивать в качестве корневого сервера DNS." Удаляй смело.

Короче каша у нас,чувак который рулит BIND говорит,что мой ДНС сервер является первичным и главным,и то что его ДНС именно с моего обновляется....
Как я понял через его сервер,мы выходим в нет(то есть Люниксовский сервер является Сервером корневых ссылок....)
У меня поднялся вопрос,можно ли его ДНС-сервер BIND вообще удалить из сети.И на КД настроить корневой сервер,разрещающий выход в нет и управляющий внутренними запросами?+ на 2-ом КД поднимать дополнительный ДНС-сервер,и у клиентов прописать ИП-адресса обоих КД.
Как сейчас теперь избавится от BIND'a и настроить ДНС-сервер интегрированный в AD настроить и для внешних разрешения имен и для внутренних?
Насколько это будет правильным,то есть как ему объяснить,что пара удалить BIND и на обоих КД настроить ДНС?

Добавлено:
ipmanyak

Цитата:

echo on
netsh interface ip set address "Local Area Connection" source=static 10.131.3.77 mask=255.255.254.0
pause

Получился в енг версии,а на русском после написания под ДОС тоже получился,а то раньше абра-кадабра была....Спасибо за эту инфу.

rkhodjaev - у меня работает именно такая схема.

Для примера:
Домен mail.ru является внешним. Домен int.mail.ru является внутренним.

На КД настраиваем DNS. При этом mail.ru храниться в файлах и обновляется вручную.
int.mail.ru - AD Integrated с автоматическим обновлением.

DNS также настроен на форвардинг неизвестных запросов на провайдера.

До этого как раз был BIND на внешнем.

rkhodjaev Точно каша. Начнем с того кто у вас провайдер и какие днс серверы он вам дал. Вот на эти нэймсерверы прова и форварди неразрешиме днс запросы в DC, если не хочешь на линукс отправлять. Как я понял шлюзом в инет является линукс, (лично я бы его таковым и оставил). Если уберешь линукс совсем, то кто тогда будет раздавать инет? ISA ? Очень не рекомендую шлюзом в инет ставить ДОМЕНКОНТРОЛЛЕРЫ, хотя это можно и у меня так работало.
Цитата:

можно ли его ДНС-сервер BIND вообще удалить из сети

Разумеется можно, всё в твоих руках, но я бы оставил линукс шлюзом в инет, это наиболее надежное и более безопасное решение.

L38Crow
Ты имеешь виду без BIND можно настроить КД разрешения имен в нете?

ipmanyak

Цитата:

Как я понял шлюзом в инет является линукс, (лично я бы его таковым и оставил).

Да,честно и мне не хотелось новым гемороем заниматься,пусть он править шлюзом и разадает инет всем.

Теперь не поджкажите или нету ли у вас инфы,как настраивать Домен Конроллеры (хотя думаю только одну,основную надо настраивать) с BIND и какие настройки должны быть в обратном направлении,то есть с BIND на КД?

Добавлено:
L38Crow
Ты имеешь виду без BIND можно настроить КД разрешения имен в нете?

ipmanyak

Цитата:

Как я понял шлюзом в инет является линукс, (лично я бы его таковым и оставил).

Да,честно и мне не хотелось новым гемороем заниматься,пусть он править шлюзом и разадает инет всем.

Теперь не поджкажите или нету ли у вас инфы,как настраивать Домен Конроллеры (хотя думаю только одну,основную надо настраивать) с BIND и какие настройки должны быть в обратном направлении,то есть с BIND на КД?

rkhodjaev Собственно что требуется передавать Бинду и зачем?
Если нужно передать зону от AD то в настройках зоны во вкладке Transfer укажите ip адрес сервера с BIND, в Bind создайте зону как slave и укажите что master - ваш основной DC
zone "наш.домен.ru" in {
type slave;
file "имя.файла";
allow-query { 10.0.0.0/8; 192.168.0.0/24 };
masters { ip_адрес_DC; };
check-names ignore ;

ipmanyak

Цитата:

Если нужно передать зону от AD

Как?коллега говорит,что надо наоборот,то есть с BINDA на AD надо передавать зоны...?

Цитата:

во вкладке Transfer укажите ip адрес сервера

Как я ране говорил,у меня 3 зоны ".root", "domain.name" (оба Forward Lookup Zone'нах) и "172.х.х.х"(Subnet в Reverse LookUp Zone'e),хотя я еще ".root" удалю.
А вот в свойствах зоны "domain.name" во вкладке Zone Transfers указан ИП BIND'a.А в свойствах зоны "172.х.х.х" во вкладке Zone Transfers ничего не указанно

rkhodjaev
Цитата:

с BINDA на AD надо передавать зоны...?

Что там за зоны ? И зачем они нужны в AD?

ipmanyak

Цитата:

Что там за зоны ? И зачем они нужны в AD?

*** знает че за зоны,говорит что там зоны есть.Думаю они не нужны,да?те которые в AD будут достаточны,да?
Таким образом я сделал такой план развертывания.
1.В BINDе создам slave зон(ы)
"наш.домен.ru" in {
type slave;
file "имя.файла";
allow-query { 10.0.0.0/8; 192.168.0.0/24 };
masters { ip_адрес_DC; };
check-names ignore ;
Надо создавать одну слейв зону или столько же сколько в DCs?

Цитата:

file "имя.файла";

- что за файл?если в КД ДНС интегрирован с AD,то как указан днс файл?или это совсем другой файл?

Цитата:

allow-query { 10.0.0.0/8; 192.168.0.0/24 };

- диапазон наших адресов?

Цитата:

masters { ip_адрес_DC; };

- если в обоих DCs будут ДНС,то укажем ип-адреса обоих DCs?

2.Потом на втором КД поднимаю дополнительный ДНС и создаю идентичные зоны,которые есть в первом?

3.На обоих DCs свойства>Zone Transfers>указываю ИП-адрес BIND сервера,да?
4.всем пользователям прописываю DNS-сервером,ИП 2-х КД?

Правильно ли?ничего я не пропустил?

Цитата:

file "имя.файла";

любое имя файла, в нем будет храниться зона

Цитата:

allow-query { 10.0.0.0/8; 192.168.0.0/24 };

ваши сети, которым разрешено резолвить хосты в этой зоне

Цитата:

masters { ip_адрес_DC; };

укажи ip основного DC.

Цитата:

3.На обоих DCs свойства>Zone Transfers>указываю ИП-адрес BIND сервера,да?

только на основном DC.

P.S
Зачем нужно передавать зону на линукс? Какой в этом смысл?

ipmanyak

Цитата:

любое имя файла, в нем будет храниться зона

- не понял,какая зона?

Цитата:

ваши сети, которым разрешено резолвить хосты в этой зоне

у меня будет allow-query { 172.10.0.0/16 };

Цитата:

Зачем нужно передавать зону на линукс? Какой в этом смысл?

значит не буду,только создам слейв и все да?

rkhodjaev Ну емаё!

Цитата:

- не понял,какая зона?

Вот эта - "наш.домен.ru"

Цитата:

значит не буду,только создам слейв и все да?

Тогда вообще ничего делать не нужно, ни создавать в бинде ни передавать с винды. Забудть про BIND и всё!

ipmanyak

Цитата:

rkhodjaev Ну емаё!

Цитата:

Вот эта - "наш.домен.ru"

Как я понял,это любое имя файла,который будет хранится в Linuxе и где будет хранится зона.Или же названия файла "наш.домен.ru" должен сопадать с именем зоны AD(просто у нас зона называется как "наш.домен.ru" там)?

Цитата:

Тогда вообще ничего делать не нужно, ни создавать в бинде ни передавать с винды. Забудть про BIND и всё!

Спасибо,значит слейв сам найдет,да,что к чему.....?