В домене 2k/2k3, который подключен к Интернету, настройка
DNS на серверах и клиентах - важнейший этап первоначального конфигурирования
сети. Ошибки на этом этапе не относятся к трудно диагностируемым, однако способны
сделать локальную сеть практически "невменяемой".
Перечислим основные моменты настройки:
В зонах прямого просмотра DNS-сервера следует удалить зону "." (на жаргоне:
"зона точка", "корень", "корневая зона", "зона корневых серверов"),
если она там есть. После этого перезапустить службу "DNS-сервер".
a) Если в вашем домене только один контроллер домена, то в "Свойствах TCP/IP" в
разделе "Предпочитаемый DNS сервер" каждого интерфейса необходимо указывать только
IP этого же самого интефейса, а в качестве "Альтернативный DNS сервер" не следует
указывать вообще ничего.
b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере
домена, на котором работает DNS-сервер, в "Свойствах
TCP/IP" каждого "внутреннего" (глядящего внутрь вашей локальной сети)
интерфейса следует указать
- "первым сервером DNS" - IPшник любого другого (разумеется, ближайшего по
топологии сети) контроллера этого домена с работающим DNS,
- "вторым сервером DNS" - IPшник этого же самого интерфейса, т.е. "самого
себя" (но ни в коем случае не 127.0.0.1!).
Если на контроллере с работающим DNS установлено более одного сетевого
интерфейса (внимание! это плохая практика! не стОит делать любой контроллер
домена многодомным/multihomed по многим причинам!), то на всех "внутренних"
интерфейсах надо прописать DNSы как указано выше, а на всех "внешних"
(глядящих "наружу" вашей локальной сети, например, на провайдера)
интерфейсах надо указать в качестве "первого DNS" только IP этого же самого
интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!), а
"вторым DNSом" не указывать ничего.
В свойствах DNS-сервера на закладке "Пересылка" ("Forwarding") следует разрешить
пересылку на DNS-сервер следующего (более высокого) уровня*. Изменения активизируются
только после перезапуска службы "DNS-сервер".
* - тут необходимо пояснение с повторением: - в "Пересылке" ("Forwarding") каждого DNS-сервера вашего домена следует указать
один-два DNS-серверов вашего провайдера (больше не надо; объяснять сейчас "почему
всего один-два" - значит запутать вас; просто примите на веру, а потом не спеша
разбирайтесь с этим вопросом сами). [будет дополнено]
Подчеркиваем ещё раз [будет дополнено]: закладка "Пересылка" ("Forwarding") всех ваших DNS-серверов -
единственное место во всех компьютерах вашего домена (серверах и рабочих
станциях), где могут быть указаны айпишники DNS-серверов вашего провайдера. Нигде и никогда
не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера, даже на вашем шлюзе в Инет.
Исключения могут быть, но если вам нужна эта
статья как помощь в настройке, то запомните - нигде не вписывайте в "Свойства TCP/IP"
айпишники вашего провайдера в пределах вашей локальной сети, кроме
как в закладках "Пересылка" ("Forwarding") ваших DNS-серверов -- тогда у вас точно
не будет ошибок.
На всех stand alone серверах и рабочих станциях (клиентах) домена в "Свойствах TCP/IP"
каждого интерфейса "Предпочитаемым сервером DNS" следует указывать айпишник ближайшего
контроллера домена, "Альтернативным DNS-сервером" - айпишник любого другого (ближайшего)
контроллера вашего домена (конечно, если домен-контроллер у вас не единственный). Никаких указаний на DNS-серверы вашего провайдера в "Свойствах TCP/IP" ваших клиентов
быть не должно.
Для проверки настройки на любом клиенте следует выполнить несколько команд, например:
Microsoft Windows 2000 [Версия 5.00.2195]
(C) Корпорация Майкрософт, 1985-2000.
Как пользоваться командой NSLOOKUP - мы вас учить не станем, разбирайтесь сами.
Напомним лишь, что точка в конце запрашиваемого имени указывает на абсолютность имени,
а отсутствие точки - относительность. То есть запрос айпишника для сервера MAGISTER,
находящемуся внутри домена ADMIN.VLADY.RU, можно было сделать и так:
Microsoft Windows 2000 [Версия 5.00.2195]
(C) Корпорация Майкрософт, 1985-2000.
C:\>nslookup magister
Server: server-166.admin.vlady.ru
Address: 172.31.252.4
Если в результате тестирования нет сообщений об ошибках - значит, всё настроено правильно.
Не может считаться ошибкой вывод LOOKUP'а "Request timed-out" при запросе Интернет-ресурсов.
Это сообщение лишь означает, что NSLOOKUP не дождался ответа от DNS-сервера в течение 2 сек.
Вероятно, ваш DNS-сервер просто не успел разрешить ("выяснить") запрашиваемые данные у
авторитативных серверов в Интернете. Если сейчас же повторить запрос, то вы уже получите
положенный ответ - пока вы размышляли над ответом на предыдущий запрос, ваш DNS-сервер уже
получил запрошенные данные, и на повторный запрос среагировал молниеносно - взял ответ из
кэша. Если же такое сообщение появляется при запросе адресов локальной сети, то это
означает, что ваша сеть настроена (или даже построена) ненадлежащим образом.
