DNSیکی از موضوعات مهم در اکتیو دایرکتوری Active Directory میباشد که با هم رابطه تنگاتنگ دارند. در این مقاله میخواهیم کمی توضیحات مهم بدهیم، ولی این به آن معنا نیست که این مقاله کاملترین اطلاعات را دارد. در مقاله تلاش میکنیم که اطلاعتی که اکثر ادمین ها باید دقیق بدانند ولی متاسفانه نمیدانند را تذکر دهیم . طراحی DNS میتواند از ساده ترین آغاز شده و در سایر محیطها به پیچیده ترین مرحله برسد . به طور مثال منظور از ساده ترین شبکه ای است که همه در یک Subnet داخل شبکه LAN هستند. در این شبکه از این توصیه های گفته شده در زیر برای محیط DNS استفاده میکنیم . ۱ -همه دومین کنترولرها DCs باید به صورت سرور DNS نیز پیکربندی شوند . توجه: باید علاوه بر این دو سرور WINS نیز وجود داشته باشند. بهترین حالت این است که این سرورهای WINS بر روی همین دومین کنترولرها DCs باشند. در ضمن بیشتر از دو سرور WINS احتیاج نیست . ۲ -نام مربوط به DNS Zone با نام اکتیو دایرکتوری AD یکسان انتخاب میشود . ۳ -در قسمت گزینه های پیکربندی مربوط به DNS Zone، قسمت Active DirectoryIntegrated، حالت Secure only Update را انتخاب میکنیم. با این کار فقط لازم است که یکبار Zone ست شود. سایر دومین کنترولرهایی که سرور DNS نیز هستند Zone را به صورت اتوماتیک دریافت میکنند. منظور این است که لازم نیست کارهای اضافه انجام دهیم، فقط DNS را اینستال کرده و صبر میکنیم تا به صورت اتوماتیک تغییرات اعمال شوند . ۴ -نام DNS و اکتیو دایرکتوری AD باید یک اسم حقیقی DNS باشد. منظور این است بین اسم باید یک نقطه Point باشد و یک TLD داشته باشد . به طور مثال contoso.com یک اسم حقیقی است که میتوان انتخاب کرد ولی شما نمیتوانید فقط contoso را انتخاب کنید . ۵ -یک Reverse Lookup zones برای این شبکه حتما، واجب یا ضروری نیست، اما اگر باشد میتواند سبب جلوگیری از برخی ایرادها شود . ۶ -هر عضو دومین Domain Member باید برای آنها آدرس IP این دومین کنترولرها که سرور DNS نیز هستند، برایشان ست شود . توجه: در شرایط ایده آل آدرس IP دو سرور WINS هم برایشان ست شود. این کار را میتوان از طریق سرور DHCP بسیار آسان انجام داد . ۷ -به هیچ وجه، دوباره تاکید میکنم به هیچ وجه از IP آدرس یک سرور DNS خارجی (مثال آدرس Provider, ISP خودتان) جهت ست کردن آدرس DNS مربوط به کارت شبکه کلاینت (DNS Client) استفاده نکنید. اگر احتیاج به Name Resolution اینترنت در روی کلاینت دارید، باید در سرور DNS ، قسمت Forwarders آدرس IP سرور خارجی خود را ست کنید . ۸- هرکدام از دومین کنترولرها DCs نیز باید برایشان در کارت شبکه قسمت DNS ، آدرس سرورهای DNS ست شود. در این رابطه توصیه میشود IP آدرس سرور DNS دیگر به عنوان Preferred DNS Server و IP آدرس خود سرور که برایش این تنظیمات را انجام میدهیم به عنوان Alternate DNS Server ست شود. با این کار برخی از ایراداتی که امکان دارد رخ دهد را جلوگیری میکنیم . ۹- در قسمت تنظیم آدرس DNS مربوط به کارت شبکه باید آدرس یک سرور DNS واقعی ست شود. آدرس 127.0.0.1 که بعد از اجرای فرمان DCPROMO و تمام شدن آن روی تنظیم DNS کارت شبکه ست میشود، باید با آدرس IP یک سرور DNS واقعی تغییر باید داده شود. اگر ویندوز سرور 2008 یا2008R2 است،DNS Client مربوط به IPv6 را روی Obtain DNS server addresses automatically ست کنید، آدرس 1:: همان 127.0.0.1 میباشد ۱۰- رکوردهای دومین کنترولرها باید دقیق و کامل در سرور DNS ست شده باشند .(A, SRV, PTR) توجه: برای این کار با Force انجام شود به ترتیب از فرمانهای زیر استفاده میکنیم :
ipconfig /flushdns ipconfig /registerdns net stop netlogon net start netlogon
۱۱- همه کلاینتها و سرورها و دومین کنترولرها باید در سرور DNS در Forward Lookup Zones و Reverse Lookup Zones دارای رکورد دقیق و کامل باشند. اگر همه چیز درست پیکربندی شده باشد، تمام اینها به صورت اتوماتیک انجام میشود . حال اگر محیط ما پیچیده باشد، طراحی DNS فرق میکند که دارای Subnet های زیاد ویا شعبه های فراوان Sites است و آن هم برمیگردد به نحوه طراحی شبکه که نمیتوان برای آن استانداردی یا روتینی در نظر گرفت و توضیح داد. اما یک مثال کوچک میزنیم تا قضیه را بتوانیم کمی قابل فهم و درک کنیم . در سنترال Central Office اکتیو دایرکتوری AD با سرورهای DNS متعددی راه اندازی شده است. رئیس بخش IT نامه ای دریافت میکند که یک شعبه جدید Branch Office راه اندازی شده و احتیاج است که آنجا یک دومین کنترولر DC نصب شود و با سنترال ارتباط داشته باشد. به نفر ساپورت این کار واگذار میشود. ایشان در همان سنترال دومین کنترولر DC را اینستال Install و به احتمال زیاد نیز در زمان اینستال از Subnet شبکه LAN سنترال استفاده میکند. دومین کنترولر آماده به شعبه جدید برده شده و راه اندازی میشود. نفر مربوطه در شعبه آدرسIP را عوض کرده و آدرس IP ای که ازSubnet که برای شعبه در نظر گرفته شده به دومین کنترولر DC تخصیص میدهد. در قسمت DNS مربوط به کارت شبکه دومین کنترولر، Preferred DNS Server آدرس IP خود دومین کنترولر DC را نشان میدهد، چون قبلا در سنترال DNS را نیز اینستال کرده است. حالا ایشان اینترنت WAN را وصل و دومین کنترولر DC را Force میکند که عملیات replication را انجام دهد و بیصبرانه منتظر است که در سنترال Resource نشان داده شود و همه چیز نرمال شود. داستان زیبا از اینجا آغاز میشود . عملیات Replication همچنان Error نشان میدهد و ایشان مرتب از خود میپرسد چرا؟ خوب اگر ما دقیق موارد مربوط به یک شبکه ساده را خوندیم و درک کردیم، فوری ایراد را پیدا میکنیم . دومین کنترولرهای DCs سنترال در Zone های خودشان هنوزIP آدرس قدیمی این دومین کنترولری DC که در شعبه است را دارند و چون دومین کنترولر شعبه در Preferred DNS Server آدرس IP خود را دارد فقط دیتای DNS خود را به روز میکند و دومین کنترولرهای DCs سنترال نمیتوانند نام دومین کنترولر DC شعبه را Resolve کنند. برای همین اکتیو دایرکتوری AD در عملیات replication پیاپی Error نشان میدهد . برای این که این اتفاق پیش نیاید، جاهایی که تعداد شعبه های Branch Offices زیاد دارند از طراحی ستاره Star برای DNS استفاده میکنند. در کارت شبکه قسمت Preferred DNS Server تنظیم DNS دومین کنترولر شعبه، آدرس IP مربوط به یک سرور DNS اصلی در سنترال ست میشود که در صورت هر تغییری، این تغییرات به همه توسط عملیات Replication اعمال میشود. برای Alternate DNS Server میتوان از آدرس IP خود دومین کنترولر DC که سرور DNS نیز است استفاده کرد .
Patris_70 edited Revision 1. Comment: added photos, text
Great article