134
Глава 3
к различным DNS-серверам. В результате локальный клиент будет обращаться
по локальному адресу, а клиент Интернета перешлет запрос на брандмауэр
предприятия, который и перенаправит его на локальный адрес запрашиваемого
ресурса;
различные имена локального домена и домена Интернета
— если внутрен-
нее и внешнее имена домена предприятия не совпадают, то
на внутреннем сер-
вере DNS необходимо создать первичную зону для домена с внешним именем.
Далее в этой зоне следует создать записи, соответствующие именам систем,
предоставляющих необходимые службы (естественно, что изменение записей
этой зоны должно выполняться только вручную), причем в качестве IP-адресов
этих записей должны быть указаны
локальные
IP-адреса систем. Таким образом,
на внутренних
DNS-серверах будет по две зоны: зона, соответствующая внут-
реннему домену Windows (реальные внутренние названия компьютеров локаль-
ной сети), и зона с внешним именем (фактически содержащая синонимы,
вторые
имена только для компьютеров, публикующих ресурсы в глобальной сети). Так
же, как и в предыдущем примере, следует настроить публикацию внутренних
ресурсов на брандмауэре предприятия.
Клиентов необходимо настроить (в том числе и в локальной сети) на подключе-
ние к ресурсам по
внешним именам
. Если клиент обратится к почтовому серверу
изнутри
предприятия, то он запросит
внутренний
сервер DNS об адресе, соот-
ветствующем внешнему имени почтовой системы. Поскольку на внутреннем
сервере DNS существует одноименная первичная зона, то
сервер будет считать-
ся авторизованным для ответов, сообщит клиенту
внутренний адрес
почтовой
системы и произойдет подключение по локальному адресу системы.
А если, например, клиенту необходимо обратиться к этому же почтовому серве-
ру из Интернета, то он запросит внешний сервер DNS, получит от него адрес
брандмауэра и отправит запрос на него. Брандмауэр, получив запрос, проанали-
зирует его и перешлет на локальный адрес почтовой системы.
Настройка
DNS в удаленных офисах
Возможны различные варианты конфигурации разрешения имен для удаленных
офисов. В наиболее часто используемом случае подключения удаленного офиса
к основному через Интернет по VPN-каналу можно реализовать следующую на-
стройку DNS: DNS-сервер удаленного офиса настроить на пересылку запросов раз-
решения имени на DNS-сервер интернет-провайдера, а пересылку запросов на раз-
решение внутренних имен настроить на DNS-сервер центрального офиса. Такая
конфигурация легко реализуется на DNS-серверах Windows Server 2008/2012/2016.
Обслуживание и диагностика неисправностей DNS-сервера
Самый простой способ проверить работоспособность сервера — включить опции
мониторинга на соответствующей вкладке консоли управления. Вы должны полу-
чить положительную диагностику при тестировании самого сервера и ответа от
сервера, на который настроена пересылка запросов.
Структура сети
135
Сервер DNS ведет протокол своих основных событий в специальном журнале —
DNS-сервер (доступен с помощью программы Просмотр событий). В
этом журнале
по умолчанию фиксируются только основные события (старт или остановка служ-
бы, серьезные ошибки — невозможность передачи зоны, и т. п.). Если необходимо
подробно проанализировать работу сервера, то можно включить крайне детализиро-
ванный протокол — установить опции
ведения журнала отладки
на соответст-
вующей вкладке консоли управления сервером DNS. Но использовать эту возмож-
ность следует
только
на период отладки. В журнал по умолчанию заносится вся
информация (подробно — все данные пакетов), что негативно
сказывается на про-
изводительности сервера.
Универсальная утилита, которую можно использовать для получения данных с лю-
бого DNS-сервера (и, соответственно, проверки его работоспособности), — это
nslookup, которая вызывается одноименной командой. Она по умолчанию присут-
ствует среди утилит в системах с установленным протоколом TCP/IP.
Утилита nslookup позволяет вручную получить от сервера DNS такую же информа-
цию, какую системы получают в автоматическом режиме при разрешении имен.
Поэтому она часто используется при диагностике систем.
После запуска утилиты осуществляется подключение к серверу DNS, указанному
в настройках сетевого адаптера по умолчанию. Далее в режиме командной строки
можно получить ответ на запрос к любому DNS-серверу.
Рассмотрим пример использования утилиты nslookup (строки, вводимые пользова-
телем, отмечены в начале строки знаком
>
).
>nslookup
Default Server: ack
Address: 192.168.0.10
П
ОЯСНЕНИЕ
После запуска программа выдала сообщение, что подключена к DNS-серверу
ack
с
IP-адресом
192.168.0.10
.
>server ns.unets.ru
Default Server: ns.unets.ru
Address: 195.161.15.19
П
ОЯСНЕНИЕ
В окне программы nslookup была введена команда подключения к DNS-серверу
ns.unets.ru
. В ответ программа сообщила, что подключилась к этому серверу и со-
общила его IP-адрес.
>uzvt.ru
Server: ns.unets.ru
Address: 195.161.15.19
Non-authoritative answer:
uzvt.ru nameserver = ns.isp.ru
