Настройка DNS | |
Правильная настройка DNS имеет важнейшее значение. Ошибки могут привести к плохой работе сети и появлению значительного лишнего трафика DNS. В зависимости от требуемой задачи возможны разные варианты.
В качестве своих служб DNS может использоваться DNS-сервер в серверных версиях Windows или кэширующий DNS от NAT. Использование своих служб актуально, если у провайдера DNS трафик платный, так как они за счет кэширования позволяют его экономить.
Если у Вас имеется домен Windows, то свой DNS-сервер обязательно присутствует и его надо настроить на работу с внешним Интернет. Тут возможен только вариант 3 - см. далее.
1. | Клиенты и сервер используют DNS-сервер провайдера, службы DNS в своей сети совсем не используются. |
У клиентов в качестве DNS-сервера надо прописать IP-адреса DNS-серверов провайдера. Это надо также обязательно сделать, если клиенты получают настройки через DHCP от ICS или RRAS.
У клиентов NAT должен быть разрешен. Если в настройках фильтрации у них трафик по умолчанию запрещен, то надо разрешить UDP/TCP по порту 53.
2. | Используется служба кэширования DNS от NAT. |
В ICS это включено по умолчанию, а в RRAS надо явно разрешить. Эта настройка находится в окне общих настроек NAT консоли RRAS. У клиентов в качестве DNS-сервера должен указываться IP-адрес внутреннего интерфейса. При использовании DHCP от NAT эту настройку они получат автоматически.
Так как внутреннего DNS-домена в этом варианте нет, то ни в коем случае у клиентов в настройках DNS не прописывайте зону, которой принадлежит компьютер. У Windows 9x/ME это поле "домен" в окне настроек DNS TCP/IP. В Windows 2000/XP/2003 членство рабочей станции в DNS домене указывается в общих свойствах системы (Мой компьютер/Свойства). Если тут ошибиться и указать несуществующую зону, то это приведет к появлению огромного внешнего DNS-трафика. Это возникнет, если какие-то программы будут обращаться внутри сети по именам хостов. Тогда каждая такая попытка будет сопровождаться внешним DNS-запросом к несуществующей зоне.
Все запросы DNS из внутренней сети эта служба будет пересылать на DNS-сервера, указанные в настройках внешнего интерфейса сервера. Проверьте их.
По умолчанию DNS-трафик для клиентов в этом случае считаться не будет, так как идет на IP-адрес интерфейса внутренней сети. При настройках Traffic Inspector его можно сделать платным. Для этого добавьте фильтр "для тарификации" на UDP/TCP по порту 53 для локального интерфейса.
3. | Используется свой DNS-сервер. |
Наиболее предпочтительный вариант. Позволяет описать свою внутреннюю прямую и обратную зону. Наличие своей внутренней зоны упростит обращение внутри сети по именам хостов и позволит исключить паразитный внешний DNS-трафик, связанный с этим.
DNS-сервер лучше всего ставить на сервере, подключенном к Интернет. Он может быть настроен на использование DNS-сервера провайдера, или работать автономно. Первое предпочтительно, если DNS-трафик у провайдера бесплатный. Второе желательно, если у провайдера DNS-сервер работает неустойчиво.
Для использования DNS-сервера провайдера настройте forwarding. Для этого откройте общие настройки в консоли DNS-сервера. Там можно прописать список IP-адресов, по которым будут перенаправляться его запросы. Для автономной работы DNS-сервера этот список оставьте пустым, но у него должен в этом окне настроек присутствовать список корневых DNS-серверов Интернет.
После установки домена в Windows DNS-сервер может оказаться настроенным для локального применения. В этом случае у него forwarding будет запрещен и список корневых серверов будет пустой. Для разрешения работы DNS-сервера с Интернет надо в нем удалить зону с одной точкой. После этого сервер надо перезапустить. Если имеется домен Windows, то перезапустите весь сервер.
В службе NAT RRAS использование DNS надо обязательно отключить. Если это не сделать, она будет перехватывать DNS запросы клиентов и DNS-сервер работать не будет.
Если имеется домен Windows и домен контроллер находится на сервере, подключенном к Интернет, то надо настроить его привязки. Лучше всего у него оставить привязку только к IP-адресу интерфейса внутренней сети. А на всех интерфейсах сервера указывать именно этот адрес в качестве DNS-сервера. Это исключит появление во внутренней DNS-зоне нескольких IP-адресов для имени этого сервера и самой зоны. Проверьте эти записи и лишние удалите.
Пропишите в DNS-сервере внутреннюю прямую зону. Если домен Windows уже настроен, то такая зона уже должна быть. Имя этой зоны надо выбрать таким, чтобы оно не пересекалось с именами Интернет, например mynetwork.local. Также следует прописать и обратную зону на все внутренние IP-сети. Это ускорит и упростит работу некоторых приложений, так как будет возможно преобразование IP-адреса в имя.
В открытых внутренних зонах обязательно пропишите NS-записи с IP-адресом Вашего DNS-сервера.
Настройки клиентов аналогичны варианту 2, но в качестве DNS-домена укажите имя своей внутренней прямой зоны. Также DNS-трафик можно сделать платным.
Прямую и обратную зону можно заполнять вручную. Если используется DHCP-сервер от серверных версий Windows, то его можно настроить на автоматическую прописку в DNS всех клиентов.
Если имеются DNS-сервера внутри сети, например с контроллерами домена, то настройте у них forwarding на DNS-сервер, находящийся на сервере, подключенном к Интернет.
Комментариев нет:
Отправить комментарий