Введение
В Microsoft Windows 2000 впервые реализована Active Directory — расширяемая и масштабируемая служба каталогов, которая позволяет организовать распределенную защиту и управление, а также работает в качестве хранилища информации о сети, которая может быть легко извлечена с помощью запросов.
База данных Active Directory хранится и дублируется на серверах, выступающих в роли контроллеров домена. Этот обзор поможет вам приступить к настройке серверов-контроллеров домена.
Настоящий документ состоит из 5 глав:
Настройка контроллеров домена — эта глава посвящена подготовке контроллеров домена и серверов DNS к созданию деревьев и лесов доменов Active Directory.
Дополнительные настройки DNS — из этой главы вы узнаете, как настроить другие возможности DNS, такие как обратное разрешение адресов, интеграция с Active Directory и защищенное динамическое обновление. Здесь же приведены рекомендации по настройке дополнительных серверов DNS.
Перевод домена в «естественный» режим работы — естественный режим (Native Mode) позволит вам в полной мере использовать преимущества новых возможностей управления группами безопасности в Windows 2000.
«Разжалование» контроллера домена — В Windows 2000 контроллеры домена могут быть созданы или лишены своего статуса без переустановки операционной системы. В этой главе продемонстрировано, как «разжаловать» компьютер из контроллера домена в отдельный сервер или сервер-член домена.
Использование DNS серверов сторонних поставщиков — Использование Microsoft DNS Server не является обязательным условием работы Active Directory. Могут быть использованы и другие реализации серверов DNS, если они поддерживают ряд стандартных протоколов. В этой главе показано, как настроить BIND 8.1.2 для поддержки Active Directory.
Перед тем, как приступить к настройке контроллеров домена, будет полезно лучше познакомиться с концепциями пространства имен Active Directory, такими как домены, деревья и леса. Дополнительную информацию можно получить в официальном документе Технический обзор Active Directory (Active Directory Technical Summary), опубликованном по адресу microsoft.com.
Новые понятия
Чтобы создать политики для поддержки описанных выше сценариев, необходимо иметь возможность определять группы записей в зоне, группы клиентов в сети, а также другие элементы. Эти элементы представлены следующими новыми объектами DNS:
-
Клиентская подсеть: объект клиентской подсети представляет подсеть IPv4 или IPv6, из которой запросы отправляются на DNS-сервер. Вы можете создать подсети, чтобы позже определить политики, которые будут применяться на основе подсети, из-за чего исходят запросы. Например, в сценарии с разделенным мозгом DNS запрос на разрешение имени, например www.microsoft.com , можно ответить с внутренним IP-адресом для клиентов из внутренних подсетей и другим IP-адресом для клиентов во внешних подсетях.
-
Область рекурсии: области рекурсии являются уникальными экземплярами группы параметров, управляющих рекурсией на DNS-сервере. Область рекурсии содержит список переадресаторов и указывает, включена ли рекурсия. DNS-сервер может иметь множество областей рекурсии. Политики рекурсии DNS-сервера позволяют выбрать область рекурсии для набора запросов. Если DNS-сервер не является заслуживающим доверия для определенных запросов, политики рекурсии DNS-сервера позволяют управлять разрешением этих запросов. Можно указать, какие серверы пересылки следует использовать и следует ли использовать рекурсию.
-
Области зоны: зона DNS может иметь несколько областей зоны с каждой областью, содержащей собственный набор записей DNS. Одинаковая запись может присутствовать в нескольких областях с разными IP-адресами. Кроме того, передача между зонами выполняется на уровне области зоны. Это означает, что записи из области зоны в основной зоне будут переданы в ту же область зоны в дополнительной зоне.
Создания копии домена
- Зарегистрируйтесь, используя локальную учетную запись администратора. Если вы модернизируете резервный контроллер домена Windows NT 4.0 — вы уже зарегистрированы.
- Нажмите кнопку Start и выберите в меню пункт Run.
- Введите dcpromo и нажмите кнопку OK.
- Будет запущена программа-мастер DCpromo. Нажмите кнопку Next, чтобы продолжить работу с ней.
- Выберите пункт Replica domain controller in existing domain и нажмите кнопку Next.
- Введите полное DNS-имя домена, копию которого хотите создать, например «nttest.microsoft.com’, и нажмите кнопку Next.
- Введите имя, пароль и домен учетной записи пользователя, обладающего административными привилегиями в домене, копию которого вы создаете, и нажмите кнопку Next.
- Завершите работу с программой-мастером так же, как при создании первого домена в лесу.
После перезагрузки компьютера он будет функционировать как копия контроллера домена в указанном вами домене.
Настройка DNS-сервера для использования серверов пересылки
Сервер пересылки — это DNS-сервер в сети, который пересылает DNS-запросы внешних DNS-имен на DNS-серверы за пределами этой сети. Сервер также можно настроить на пересылку запросов в соответствии с определенными именами домена, используя условную пересылку.
DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS-сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. Дополнительные сведения об использовании серверов пересылки и условной пересылки см. в разделе Общее представление о серверах пересылки.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
Настройка DNS-сервера для использования пересылки
Откройте диспетчер DNS.
В дереве консоли щелкните необходимый DNS-сервер.
- DNS/
необходимый DNS-сервер
В меню Действие выберите команду Свойства.
На вкладке Серверы пересылки в разделе Домен DNS щелкните имя домена.
В поле Список IP-адресов серверов пересылки для выбранного домена введите IP-адрес сервера пересылки, а затем нажмите кнопку Добавить.
Дополнительные сведения
Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.
Можно отключить рекурсию для DNS-сервера, чтобы она не выполнялась для любого запроса. Если рекурсия на DNS-сервере отключена, на этом сервере невозможно будет использовать пересылку.
Откройте окно командной строки.
Введите указанную ниже команду и нажмите клавишу ВВОД.
Имя средства командной строки, предназначенного для управления DNS-серверами.
Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).
Обязательный компонент. Настройка сервера пересылки.
Обязательный компонент. Разделенный пробелами список, состоящий из одного или нескольких IP-адресов DNS-серверов, на которые пересылаются запросы. Можно указать список IP-адресов, разделенных запятыми.
Параметр времени ожидания. Параметр времени ожидания — это количество секунд перед истечением срока действия пересланных запросов.
Указывает значение для параметра /TimeOut. Значение указывается в секундах. По умолчанию это время составляет 5 секунд.
Определяет, использует ли DNS-сервер рекурсию при запросе имени домена, указанного в параметре имя_зоны.
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
Дополнительная информация
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
Команда /ZoneAdd служит для добавления зоны, указанной в параметре имя_зоны. Параметр IP-адрес — это IP-адрес, на который DNS-сервер будет пересылать неразрешенные DNS-запросы. С помощью параметра /Slave DNS-сервер обозначается как подчиненный сервер. При указанном параметре /NoSlave (параметр по умолчанию) DNS-сервер не является подчиненным сервером, а это означает, что он может выполнять рекурсию. Параметры /Timeout и Время были рассмотрены в предыдущей таблице.
С помощью параметра /Local можно задать локальный список главных серверов для серверов пересылки, интегрированных в Active Directory. Параметр IP-адреса_серверов является списком, состоящим из одного или нескольких IP-адресов главных серверов для зоны. Главными серверами могут быть DNS-серверы, содержащие основные или дополнительные копии зоны, однако в главные серверы не могут быть записаны IP-адреса DNS-серверов таким образом, чтобы два DNS-сервера, содержащие копии зоны, использовали друг друга в качестве главных серверов. Такая настройка приведет к созданию циклической пересылки.
Повышение статуса: настройка контроллеров домена Active Directory
Операция превращения сервера в контроллер домена называется повышением статуса (promotion).
Из последующих разделов вы узнаете, как:
Подготовить повышение статуса — в этом разделе рассказывается, как настроить сервер, чтобы можно было повысить его статус.
Создать первый домен в лесу — Лес — это набор доменов, связанных доверительными отношениями и использующих общую схему, конфигурацию сайта и служб, а также глобальный каталог. Первый сервер Windows 2000, получивший статус контроллера домена, будет обслуживать первый домен в лесу.
Добавление серверов и рабочих станций в домен — В этом разделе рассказывается, что нужно для добавления сервера-члена домена или рабочих станций в домен Windows 2000.
Добавление резервного контроллера в домен — После настройки первого контроллера домена вы можете добавить дублирующие контроллеры для более равномерного распределения нагрузки и повышения отказоустойчивости.
Добавление дочернего домена в дерево — Вы можете создать дерево доменов Active Directory, добавляя к существующему домену дочерние. Домены в дереве образуют единое пространство имен.
Добавление дерева в лес — Если домен, который вы хотите добавить, имеет имя, не смежное ни с одним именем других доменов леса, вы можете добавить его в новое дерево леса.
Изучение этой главы следует начать с первых двух разделов: «Подготовка сервера к повышению статуса» и «Создание первого домена в лесу». Последующие разделы можно изучить позднее в любой последовательности.
Блокировка запросов из домена
В некоторых случаях может потребоваться блокировать разрешение DNS-имен для доменов, которые определены как вредоносные, или для доменов, которые не соответствуют рекомендациям по использованию вашей организации. Можно выполнять блокировку запросов для доменов с помощью политики DNS.
Политика, настроенная в этом примере, не создается в какой-либо конкретной зоне. вместо этого создается политика уровня сервера, которая применяется ко всем зонам, настроенным на DNS-сервере. Политики уровня сервера оцениваются первыми и, таким же, сначала сопоставляются при получении запроса DNS-сервером.
В следующем примере команда настраивает политику на уровне сервера, чтобы заблокировать любые запросы с суффиксом домена contosomalicious.com.
Примечание
Если для параметра действия задано значение игнорировать, DNS-сервер настроен на удаление запросов без ответа. Это приводит к истечению времени ожидания DNS-клиента в вредоносном домене.
Установка платформы 1С 8.3.20.1363 и более старших версий на RHEL8 и любые другие rpm-based linux. Решение проблемы установки меньших версий 1С8.3 (webkitgtk3) на RHEL 8 / CentOS 8 / Fedora Linux
Начиная с версии платформы 1С 8.3.20.1363 реализована программа установки компонентов системы «1С:Предприятие» для ОС Linux. Теперь любой пользователь Линукс может без проблем установить 1С на свою любимую систему. Попытка установки 1С:Предприятия 8.3 меньших версий, чем 1С 8.3.20.1363 на RedHat Enterprise Linux 8 / CentOS 8 / Fedora не увенчается успехом, произойдет ошибка: Неудовлетворенные зависимости: libwebkitgtk-3.0.so.0()(64bit) нужен для 1c-enterprise-8.3.18.1128-training-8.3.18-1128.x86_64. Конфликт заключается в том, что 1С требует устаревшую версию пакета libwebkitgtk-3.0.so.0()(64bit), запрещенную из-за проблем безопасности, и не может работать с актуальной версией пакета webkit2gtk3. Гуглить в интернете можно долго, хочу поделиться с Вами уже найденным рабочим решением в конце данной статьи.
Фильтрация запросов DNS, политики разрешения имен в Windows Server 2016
В Windows Server 2016 появилась новая фича в службе DNS сервера – DNS политики. DNS политики позволяют настроить DNS сервер так, чтобы он возвращал различные ответы на DNS запросы в зависимости от местоположения клиента (с какого IP адреса или подсети пришел запрос), интерфейса DNS сервера, времени суток, типа запрошенной записи (A, CNAME, PTR, MX) и т.д. DNS политики в Windows Server 2016 позволяют реализовать сценарии балансировки нагрузки, фильтрации DNS трафика, возврата DNS записей в зависимости от геолокации (IP адреса клиента) и многие другие сложные сценарии.
Вы можете создать политику как на уровне DNS сервера, так и на уровне всей зоны. Настройка DNS политик в Windows Server 2016 возможна только из командной строки PowerShell.
Попробуем создать простую политику, которая позволяет вернуть разный ответ на DNS запрос в зависимости от геолокации клиента. Допустим, вы хотите, чтобы клиенты в каждом офисе использовали собственный прокси на площадке. Вы создали политику назначения прокси в домене (на всех клиентах будет указано proxy.winitpro.ru). Но клиент из каждого офиса должен резолвить этот адрес по-разному, чтобы использовать для доступа свой локальный прокси-сервер.
Я создал 3 подсети для разных офисов компании:
Чтобы вывести список всех IP подсетей клиентов, выполните:
Теперь нужно для каждого офиса создать отдельную DNS область:
Следующие команды добавят 3 DNS записи с одним именем, но указывающие на разные IP адреса в разных областях DNS:
Теперь нужно создать DNS политики, которые свяжут IP подсети, DNS области и A записи.
Можно использовать следующие параметры в фильтре DNS:
-InternetProtocol «EQ,IPv4,NE,IPv6»-TransportProtocol «EQ,UDP,TCP»-ServerInterfaceIP «EQ,192.168.1.21»-QType «EQ,A,AAAA,NE,PTR»-TimeOfDay «EQ,9:00-18:00»
Вывести список всех DNS политик для DNS зоны на сервере можно так:
Теперь с устройств из различных офисов проверьте, что DNS сервер на один и тот же запрос возвращает различные IP адреса прокси:
Можно запретить DNS серверу возвращать DNS адреса для определенного пространства имен (домена):
Управление политиками DNS
Вы можете создавать политики DNS и управлять ими с помощью PowerShell. В приведенных ниже примерах рассматриваются различные примеры сценариев, которые можно настроить с помощью политик DNS.
Управление трафиком
Трафик, основанный на полном доменном имени, можно направить на разные серверы в зависимости от расположения DNS-клиента. В приведенном ниже примере показано, как создать политики управления трафиком для направления клиентов из определенной подсети в центр обработки данных для Северной Америки и из другой подсети в Европейский центр обработки данных.
Первые две строки скрипта создают объекты подсети клиента для Северная Америка и Европы. Две строки после этого создают область зоны в домене contoso.com, по одной для каждого региона. Две строки после этого создают запись в каждой зоне, которая связывает ww.contoso.com с разным IP-адресом, один для Европы, другой — для Северная Америка. Наконец, в последних строках скрипта создаются две политики разрешения DNS-запросов, одна из которых применяется к подсети Северная Америка, другой — к подсети Europe.
Блокировать запросы для домена
Для блокировки запросов к домену можно использовать политику разрешения DNS-запросов. В приведенном ниже примере блокируются все запросы к treyresearch.net:
Блокировка запросов из подсети
Кроме того, можно блокировать запросы, поступающие из определенной подсети. Приведенный ниже сценарий создает подсеть для 172.0.33.0/24, а затем создает политику для игнорирования всех запросов, поступающих из этой подсети.
Разрешить рекурсию для внутренних клиентов
Вы можете управлять рекурсией с помощью политики разрешения DNS-запросов. Приведенный ниже пример можно использовать для включения рекурсии для внутренних клиентов, отключив его для внешних клиентов в сценарии раздельного мозгового случая.
Первая строка скрипта изменяет область рекурсии по умолчанию, просто именуемую «.» (точка) для отключения рекурсии. Вторая строка создает область рекурсии с именем интерналклиентс с включенной рекурсией. А третья строка создает политику для применения новой области рекурсии к любым запросам, поступающим через серверный интерфейс, который имеет 10.0.0.34 в качестве IP-адреса.
Создание политики зонных передач на уровне сервера
Вы можете управлять зонными перемещениями в более детализированной форме, используя политики зонных передач DNS. Приведенный ниже пример скрипта можно использовать, чтобы разрешить передачу зоны для любого сервера в данной подсети.
Первая строка скрипта создает объект подсети с именем алловедсубнет и блоком IP 172.21.33.0/24. Во второй строке создается политика передачи зоны, позволяющая передавать зоны на любой DNS-сервер в подсети, созданной ранее.
Создание политики зонных передач на уровне зоны
Кроме того, можно создать политики зонных передач на уровне зоны. В приведенном ниже примере игнорируются любые запросы на зонную пересылку для contoso.com, поступающих из интерфейса сервера с IP-адресом это 10.0.0.33:
Response Rate Limiting (RRL)
ТYou can configure RRL settings to control how to respond to requests to a DNS client when your server receives several requests targeting the same client.
By doing this, you can prevent someone from sending a Denial of Service (Dos) attack using your DNS servers.
For instance, a bot net can send requests to your DNS server using the IP address of a third computer as the requestor. Without RRL, your DNS servers might respond to all the requests, flooding the third computer.
When you use RRL, you can configure the following settings:
Responses per second This is the maximum number of times the same response is given to a client within one second.
Errors per second This is the maximum number of times an error response is sent to the same client within one second.
Window This is the number of seconds for which responses to a client are suspended if too many requests are made.
Leak rate This is how frequently the DNS server responds to a query during the time responses are suspended. For instance, if the server suspends responses to a client for 10 seconds, and the leak rate is 5, the server still responds to one query for every 5 queries sent. This allows the legitimate clients to get responses even when the DNS server is applying response rate limiting on their subnet or FQDN.
TC rate This is used to tell the client to try connecting with TCP when responses to the client are suspended. For instance, if the TC rate is 3, and the server suspends responses to a given client, the server issues a request for TCP connection for every 3 queries received. Make sure the value for TC rate is lower than the leak rate, to give the client the option to connect via TCP before leaking responses.
Maximum responses This is the maximum number of responses the server issues to a client while responses are suspended.
Allowlist domains This is a list of domains to be excluded from RRL settings.
Allowlist subnets This is a list of subnets to be excluded from RRL settings.
Allowlist server interfaces This is a list of DNS server interfaces to be excluded from RRL settings.
Перенаправляющий сервер
В простом примере перенаправляющий сервер DNS отправляет запросы имен внешних доменов на удаленные DNS-серверы за пределами своей локальной сети для разрешения.
Внутренние запросы имен обрабатываются внутренним DNS-сервером
Если на DNS-сервере нет отправителя, указанного для имени, указанного в запросе, он может попытаться разрешить запрос с помощью стандартной рекурсии с использованием
файла root hints
Существует два типа запросов DNS-имен: рекурсивные и итеративные.
Хотя как переадресация DNS, так и условная переадресация DNS выполняются в соответствии с описанными выше общими шагами, каждый из них немного отличается.
Рекурсивный запрос имени
Переадресованные запросы отправляются в рекурсивном виде.
В этом случае DNS-клиент требует, чтобы DNS-сервер ответил клиенту либо запрошенной записью ресурса, либо сообщением об ошибке, в котором указывается, что запись или доменное имя не существуют.
DNS-сервер не может просто перенаправить DNS-клиента на другой DNS-сервер.
Рекурсивные запросы имен выполняются быстрее, чем итеративные запросы имен
Итеративный запрос имени
DNS-клиент позволяет DNS-серверу возвращать наилучший ответ, который он может дать на основе данных своего кэша или зоны.
DNS-сервер, настроенный на использование пересылки, будет вести себя иначе, чем DNS-сервер, не настроенный на использование пересылки.
Вот как работает DNS-сервер при использовании переадресации
- Когда DNS-сервер получает запрос имени, он пытается разрешить этот запрос, используя свои первичные зоны, вторичные зоны и, наконец, свой кэш в таком порядке.
-
Если запрос имени не может быть разрешен с использованием данных локальной зоны или кэша, он перенаправит запрос на DNS-сервер, назначенный в качестве переадресатора.
В результате метод разрешения имен корневых подсказок использоваться не будет.
-
Исходный DNS — сервер, получивший первоначальный запрос, будет недолго ждать ответа от отправителя.
Если это не удастся, он попытается связаться с DNS-серверами, указанными в его корневых подсказках, в качестве последнего средства.
Вводная информация DNS forwarding
Если используете маршрутизатор MikroTik с настроенным VPN между офисами, вероятно приходилось сталкиваться с проблемой переадресации DNS-запросов на внутренний сервер имён. Существует DNS-сервер, который автоматически разрешает имена сайтов на другом конце туннеля. Однако, если вы запрашиваете DNS-запись для внутреннего домена, например, company.ru, на другом конце, маршрутизатор MikroTik попытается преобразовать запрос через собственный DNS-сервер, который, очевидно, не имеет необходимой информации. Разберемся с проблемой DNS forwarding более детально.
У вас всегда есть возможность создавать записи вручную в файле хостов или добавлять ручные записи на ваш DNS-сервер, однако, если количество сайтов является значительным, это может превратиться в настоящую проблему, не говоря уже о том, что ваши записи не будут обновляться в случае изменения записей DNS на корпоративном сервере.
Как ни странно, у Микротика нет простого решения для условной пересылки DNS или пересылки DNS-запросов для определенного домена на конкретный сервер, однако мы сможем решить данную задачу с помощью командной строки.
Буду считать, что читатель знаком с командной строкой Mikrotik и нет необходимости расписывать используемый функционал, – это выходит за рамки этой публикации. В решении мы будем работать на 7 уровне сетевой модели OSI или прикладном уровне.
Прежде чем начать, вам понадобится следующая информация:
- Внутренний IP адрес вашего маршрутизатора MikroTik (172.16.100.1 в моем случае)
- IP адрес внутреннего DNS сервера (10.100.100.2 в моем случае)
- Имя внутреннего домена (mycompany.ru в моем случае)
- Доступ к маршрутизатору Микротик по протоколу ssh
Настройка DNS Conditional Forwarder в Windows Server
Попробуем настроить условное перенаправление DNS запросов для определенной доменной зоны на Windows Server 2016. Например, я хочу, чтобы все DNS запросы к зоне corp.winitpro.ru пересылались на DNS сервер 10.1.10.11.
- Запустите консоль управления DNS ( );
- Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
- В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
- В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
- Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
- Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).
Настройка зоны обратного смотра
Чтобы настроить зону обратного смотра на сервере вторичных имен, выполните следующие действия:
-
Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и DNS.
-
В дереве консоли щелкните имя host (где имя host — это имя хост-сервера DNS).
-
В дереве консоли щелкните Обратные зоны lookup.
-
Щелкните правой кнопкой мыши обратный просмотр зон, а затем нажмите кнопку Новая зона.
-
Когда начинается мастер новой зоны, нажмите кнопку Далее, чтобы продолжить.
-
Щелкните вторичную зону и нажмите кнопку Далее.
-
В поле Сетевой ID введите сетевой ID (например, тип 192.168.0), а затем нажмите кнопку Далее.
Примечание
Сетевой ID — это та часть TCP/IP-адреса, которая относится к сети.
Дополнительные сведения о TCP/IP-сетях см. в см. в этой ссылке Understand TCP/IP Addressing and Subnetting Basics.
-
На странице Файл зоны нажмите кнопку Далее и нажмите кнопку Готово.
Что нового в DNS роли в Windows Server 2016 Technical Preview 3
Что нового в DNS роли в Windows Server 2016 Technical Preview 3
Всем привет сегодня хочу рассказать что появилось нового в DNS роли в Windows Server 2016 Technical Preview 3. Помимо поддержки управления DNS-сервером из PowerShell, появилась новая возможность – DNS policy.
DNS policy – это расширение DNS-сервера для адаптации его работы в зависимости от содержания приходящих запросов. Благодаря первоочередному применению политик на поступивший запрос, можно существенно облегчить работу сервера, отсеяв заведомо ненужные запросы, либо указав серверу, изменить содержание ответа в соответствии с описанными правилами.
Настройка DNS Conditional Forwarder в Windows Server
- Запустите консоль управления DNS ( dnsmgmt.msc );
- Разверните ваш DNS сервер, щелкните правой кнопкой по разделу Conditional Forwarders и выберите New Conditional Forwarder;
- В поле DNS domain укажите FQDN имя домена, для которого нужно включить условную пересылку;
- В поле IP addresses of the master servers укажите IP адрес DNS сервера, на который нужно пересылать все запросы для указанного пространства имен;
- Если вы хотите хранить правило условной переадресации не только на этом DNS сервере, вы можете интегрировать его в AD. Выберите опцию “Store this conditional forwarder in Active Directory”;
- Выберите правило репликации записи conditional forwarding (All DNS servers in this forest, All DNS servers in this domain или All domain controllers in this domain).