|
Настройка DNS |
  
|
|
Настройка DNS |
|
Правильная настройка DNS имеет важнейшее значение. Ошибки могут привести к плохой работе сети и появлению лишнего трафика DNS. В зависимости от требуемой задачи возможны разные варианты.
В качестве своих служб DNS может использоваться DNS-сервер в серверных версиях Windows или кэширующий DNS от NAT. Использование своих служб актуально, если у провайдера DNS-трафик платный, т.к. они за счет кэширования позволяют его экономить.
DNS-сервер, присутствующий в домене Windows, следует настроить на работу с внешним Интернетом (DNS-сервером). Здесь возможен только третий вариант - см. далее.
1. Пользователи и сервер используют DNS-сервер провайдера, службы DNS в своей сети совсем не используются.
У пользователей в качестве DNS-сервера следует прописать IP-адреса DNS-серверов провайдера. А также, если пользователи получают настройки через DHCP от ICS или RRAS.
У пользователей NAT должен быть разрешен. Если в настройках фильтрации трафик у них по умолчанию запрещен, то стоит разрешить UDP/TCP по порту 53.
2. Используется служба кэширования DNS от NAT.
В ICS это включено по умолчанию, а в RRAS надо явно разрешить. Эта настройка находится в окне общих настроек NAT консоли RRAS. У пользователей в качестве DNS-сервера должен указываться IP-адрес внутреннего интерфейса. При использовании DHCP от NAT данную настройку они получат автоматически.
По причине отсутствия внутреннего DNS-домена в этом варианте ни в коем случае в настройках DNS у пользователей не прописывайте зону, которой принадлежит компьютер. У Windows 9x/ME это поле "Домен" в окне настроек DNS TCP/IP. В Windows 2000/XP/2003 членство рабочей станции в DNS-домене указывается в общих свойствах системы (Мой компьютер/Свойства). Достаточно здесь ошибиться и указать несуществующую зону - появится огромный внешний DNS-трафик. Это произойдет, если какие-либо программы будут обращаться внутри сети по именам хостов. Тогда каждая такая попытка будет сопровождаться внешним DNS-запросом к несуществующей зоне.
Все запросы DNS из внутренней сети эта служба будет пересылать на DNS-сервера, указанные в настройках внешнего интерфейса сервера. Проверьте их.
По умолчанию DNS-трафик для пользователей в этом случае считаться не будет, т.к. идет на IP-адрес интерфейса внутренней сети. При настройках Traffic Inspector его можно сделать платным. Для этого добавьте правило "для тарификации" на UDP/TCP по порту 53 для локального интерфейса.
3. Используется свой DNS-сервер.
Наиболее предпочтительный вариант. Позволяет описать свою внутреннюю прямую и обратную зону. Наличие своей внутренней зоны упростит обращение внутри сети по именам хостов и позволит исключить паразитный внешний DNS-трафик, связанный с этим.
DNS-сервер лучше всего ставить на сервере, подключенном к Интернету. Он может быть настроен на использование DNS-сервера провайдера или работать автономно. Первое предпочтительно, если DNS-трафик у провайдера бесплатный. Второе желательно, если у провайдера DNS-сервер работает неустойчиво.
Для использования DNS-сервера провайдера настройте forwarding. Для этого откройте общие настройки в консоли DNS-сервера. Там можно прописать список IP-адресов, по которым будут перенаправляться его запросы. Для автономной работы DNS-сервера этот список оставьте пустым, но у него в окне настроек должен присутствовать список корневых DNS-серверов Интернета.
После установки домена в Windows DNS-сервер может оказаться настроенным для локального применения. В этом случае forwarding у него будет запрещен, и список корневых серверов будет пустой. Для разрешения работы DNS-сервера с Интернетом следует удалить в нем зону с одной точкой. После сервер следует перезапустить. Если есть домен Windows, то перезапустить весь сервер.
В службе NAT RRAS использование DNS необходимо обязательно отключить. Если этого не сделать, она будет перехватывать DNS-запросы пользователей и DNS-сервер работать не будет.
Если есть домен Windows, а домен-контроллер находится на сервере, подключенном к Интернету, следует настроить его привязки. Рекомендуется оставить привязку только к IP-адресу внутренней сети. А на всех интерфейсах сервера указывать именно этот адрес в качестве DNS-сервера. Это исключит появление во внутренней DNS-зоне нескольких IP-адресов для имени данного сервера и самой зоны. Проверьте эти записи, а лишние удалите.
Пропишите в DNS-сервере внутреннюю прямую зону. В случае если домен Windows уже настроен - такая зона имеет место быть. Имя зоны выбирается таким образом, чтобы оно не пересекалось с именами Интернета, например, mynetwork.local. Следует также прописать и обратную зону на все внутренние IP-сети, что позволит ускорить и упростить работу некоторых приложений (появится возможность преобразования IP-адреса в имя).
В открытых внутренних зонах обязательно пропишите NS-записи с IP-адресом вашего DNS-сервера.
Настройки пользователей аналогичны второму варианту, но в качестве DNS-домена следует указать имя своей внутренней прямой зоны. DNS-трафик можно сделать еще и платным.
Прямую и обратную зону можно заполнять вручную. Если используется DHCP-сервер от серверных версий Windows, то его можно настроить на автоматическую прописку в DNS всех пользователей.
Если имеются DNS-сервера внутри сети, например, с контроллерами домена, то необходимо настроить у них forwarding на DNS-сервер, находящийся на сервере, подключенном к Интернету.
Текущая страница справки: http://help.smart-soft.ru/doc201/index.html?installdns.htm