Разное

Dns server windows 2020 r2 настройка: Настройка DNS-сервера в Windows Server 2012 R2

Содержание

Установка и настройка DNS на Windows Server 2012 R2 » Самоучка

2

   Установка DNS на Windows Server 2012 R2.

 

Процесс установки DNS на сервере Windows Server 2012 R2 довольно прост и не требует перезагрузки системы. Ниже перечислены шаги, необходимые для выполнения установки и настройки службы DNS на компьютере с Windows Server 2012 R2.

 

Откройте консоль «Диспетчер серверов», переключитесь на «Локальный сервер» и в меню «Управление» жмем «Добавить роли и компоненты»:

 

 

 

 

 

Откроется мастер добавления ролей и компонентов, жмем «Далее»:

 

 

 

 

 

Выбираем тип установки: «Установка ролей и компонентов», жмем «Далее»:

 

 

 

 

 

Выбираем сервер и жмем «Далее»:

 

 

 

 

 

На вкладке «Роли сервера» выбираем: «DNS сервер», нам предлогают добавить необходимые компоненты, выбираем: «Добавить компоненты», жмем «Далее»:

 

 

 

 

На вкладке «Компоненты» жмем «Далее»:

 

 

 

 

 

«Далее»:

 

 

 

 

 

«Установить»:

 

 

 

 

 

«Закрыть»:

 

 

 

 

 

 

На этом установка завершена.

 

   Настройка DNS на Windows Server 2012 R2 на конкретных примерах.

 

Одной из первых задач, которая должна выполняться сразу же после установ­ки DNS-сервера, является настройка его TCP/IP-параметров таким образом, чтобы при преобразовании имен DNS он указывал на самого себя, если только не имеется никакой особой причины, чтобы он этого не делал.

 

Открываем «Диспечер серверов», «Локальный сервер» и жмем на доступное интернет соединение:

 

 

 

 

 

В открывшемся окне выбираем «свойства»:

 

 

 

 

 

 

Дважды щелкните на элементе Протокол Интернета версии 4 (TCP/IP):

 

 

 

 

В разделе окна, который связан с сервером DNS, удостоверьтесь, что выбран пере­ключатель Использовать следующий адрес DNS-сервера, и введите в поле «Предпочитаемый DNS-сервер» IP-адрес  вашего DNS-сервера. При наличии еще одного DNS-сервера укажите его IP-адрес в поле Альтернативный DNS-сервер.

 

 

 

 

 

В этом же окне жмем «Дополнительно», и в окне «Дополнительные параметры», жмем «Добавить IP адрес»

 

 

 

 

 

 

Вписываем дополнительный IP адрес и маску (дополнительнгый IP адрес должен находиться в диапазоне подсети основного IP адреса), затем жмем «Добавить» и «OK»:

 

 

 

 

 

В Диспетчере серверов в меню «Средства» выбираем «DNS», откроется «Диспетчер DNS»:

 

 

 

 

 

В меню  действие выбираем «Настроить DNS сервер»:

 

 

 

 

 

Откроется мастер настройки DNS сервера, жмем «Далее»:

 

 

 

 

 

Выбираем «Создать зоны прямого и обратного просмотра», жмем «Далее»:

 

 

 

Оставляем по умолчанию и «Далее»:

 

 

 

 

 

Выбираем «Основная зона» и «Далее»:

 

 

 

 

 

Задаем имя зоны. Так как у нас уже есть один сайт (admin), созданный в прошлой статье ( Установка и настройка веб-сервера IIS + PHP + MySQL на Windows Server 2012 R2 ), создадим для него зону «admin. malwselennaia.ru» (У Вас должно быть свое доменное имя) и жмем «Далее»:

 

 

 

 

 

Выбираем «Создать новый файл» и жмем «Далее»:

 

 

 

 

 

Оставляем по умолчанию и жмем «Далее»:

 

 

 

 

 

«Да создать зону обратного просмотра» и «Далее»:

 

 

 

 

 

Выбираем тип зоны и «Далее»:

 

 

 

 

 

Оставляем IPv4 и жмем «Далее»:

 

 

 

 

 

Вводим идентификатор сети (У Вас может быть по другому) и «Далее»:

 

 

 

 

 

Выбираем «создать новый фаил» и «Далее»:

 

 

 

 

 

Оставляем по умолчанию и «Далее»:

 

 

 

 

 

Выбираем : нет не пересылать запросы ижмем «Далее»:

 

 

 

 

 

Проверяем и жмем «Готово»:

 

 

 

 

 

Возвращаемся в диспетчер DNS , раскрываем зоны прямого просмотра и выделяем созданную нами зону.

Дважды щелкните на элементе «сервер имен»:

 

 

 

 

 

Откроется окно свойств созданной нами зоны. Выделяем имя нашего сервера и нажимаем «изменить».

 

 

 

 

 

Откроется окно редактирования записей. Выделяем имя нашего сервера и нажимаем «Разрешить в адрес».

 

 

 

 

 

Жмем «OK», «применить» и «OK»

 

 

 

 

 

Щелкаем мышкой в окне зоны, в открывшемся меню выбираем «создать узел А»

 

 

 

 

 

В открывшемся окне вводим созданный ранее дополнительный IP адрес (У Вас может быть другим) и нажимаем «Добавить узел»

 

 

 

 

 

Жмем «Ok» и закрываем окно «Новый узел»

 

 

 

 

 

Возвращаемся в Диспетчер серверов и в меню «средства» выбираем «Диспетчер служб IIS»:

 

 

 

 

 

В диспетчере служб IIS выделяем созданный нами сайт admin и в правой колонке «Действия» жмем «Привязки. ..»

 

 

 

 

 

 

В открывшемся окне жмем «Изменить»:

 

 

 

 

 

 

Здесь изменяем IP адрес и имя узла. Жмем «Ok»:

 

 

 

 

 

 

«Закрыть»:

 

 

 

 

 

Возвращаемся в диспетчер IIS и в колонке «Действия» выбираем «Обзор admin.malwselennaia.ru»:

 

 

 

 

 

И, если все прошло успешно, видим страничку входа:

 

 

 

 

 

   Добавление нескольких сайтов на Windows Server 2012 R2.

 

Далее добавим на наш сервер еще один веб-сайт. Для примера возмем CMS DLE (DataLife Engine), скачать можно здесь: http://dle-news.ru/demo.html

 

Установка DLE.

Сначала необходимо создать директорию для нашего сайта. Создаем папку, предположим, в уже созданной при установке IIS директории C:\inetpub\wwwroot\, и назовем (для удобства) «dle10. 1″:

 

 

 

 

 

И копируем туда распакованный дистрибутив DLE:

 

 

 

 

 

 

Далее заходим в phpMyAdmin:

 

 

 

 

 

Вводим установленный нами пароль и попадаем на главную страницу phpMyAdmin :

 

 

 

 

 

Нажимаем на вкладку «пользователи» и попадаем на страницу «Обзор учетных записей»

 

 

 

 

 

Нажимаем «Добавить пользователя», и в открывшемся окне вводим данные пользователя:
Имя пользователя: предположим dle10.1
Хост: localhost
Пароль: например dle10.1
Подтверждение: dle10.1

Чуть ниже ставим точку на «Создать базу данных с именем пользователя в названии и предоставить на нее полные привелегии». Жмем OK:

 

 

 

 

 

Далее заходим в «Диспечер IIS»,правой кнопкой мыши кликаем «сайты», и в открывшемся меню нажимаем «Добавить веб-сайт. ..»

 

 

 

 

 

Откроеться диалоговое окно «Добавление веб сайта».

Указываем :
Имя сайта — допустим: dle10.1
Физический путь — указываем где расположенна директория веб сайта: у нас C:\inetpub\wwwroot\dle10.1
Имя узла — указываем название сайта(которое будем вводить в браузере): в нашем случае dle10.1.malwselennaia.ru и потом жмем Ok

 

 

 

 

 

Далее переходим в диспетчер DNS, и в окне зон прямого просмотра щелкаем мышкой. В открывшемся меню выбираем «Создать новую зону…»:

 

 

 

 

 

Откроется мастер создания новой зоны. Жмем «Далее»:

 

 

 

 

 

Выбираем «Основная зона». Жмем «Далее»:

 

 

 

 

 

Вводим имя зоны (в моем случае dle10.1.malwselennaia.ru) и «Далее»:

 

 

 

 

 

Оставляем по умолчанию. «Далее»:

 

 

 

 

 

Тоже по умолчанию и «Далее»:

 

 

 

 

 

Все проверяем и «Готово»:

 

 

 

 

 

 

Возвращаемся в диспетчер DNS , раскрываем зоны прямого просмотра и выделяем созданную нами зону.

Дважды щелкните на элементе «сервер имен»:

 

 

 

 

 

Откроется окно свойств созданной нами зоны. Выделяем имя нашего сервера и нажимаем «изменить».

 

 

 

 

 

Откроется окно редактирования записей. Выделяем имя нашего сервера и нажимаем «Разрешить в адрес».

 

 

 

 

 

Жмем «OK», «применить» и «OK»

 

 

 

 

 

Щелкаем мышкой в окне зоны, в открывшемся меню выбираем «создать узел А»

 

 

 

 

 

В открывшемся окне вводим созданный ранее дополнительный IP адрес (У Вас может быть другим) и нажимаем «Добавить узел»

 

 

 

 

 

Возвращаемся в диспечер IIS. Выделяем наш сайт и правой кнопкой мыши открываем меню, выбираем «Редактировать разрешения»:

 

 

 

 

 

Откроется окно свойств, переходим на вкладку «Безопастность»

 

 

 

 

Нажимаем «Изменить»:

 

 

 

 

 

Откроется окно разрешений для группы dle10.1, жмем «Добавить»:

 

 

 

 

 

Жмем «Дополнительно»:

 

 

 

 

 

Жмем «Поиск»:

 

 

 

 

 

Выбираем «IUSR». Жмем OK:

 

 

 

 

 

Выставляем разрешения и нажимаем применить и OK:

 

 

 

 

 

Далее можно переходить к установке.

Вводим в браузере: dle10.1.malwselennaia.ru (это исключительно в моем случае, у Вас адрес другой) и жмем начать установку:

 

 

 

 

 

Далее принимаем лицензионное соглашение и жмем продолжить:

 

 

 

 

 

«Продолжить»:

 

 

 

 

 

«Продолжить»:

 

 

 

 

 

Вводим данные и жмем продолжить:

 

 

 

 

 

Ну вот готово:

 

 

 

 

 

Ну правда не совсем готово.

Попытаемся открыть любую новость и получаем ошибку:

 

 

 

 

 

Возвращаемся в диспетчер IIS. Выделяем наш сайт, открываем модуль переопределения адресов:

 

 

 

 

 

В колонке действия жмем «Импортировать правила»:

 

 

 

 

 

Копируем содержимое файла : «.htaccess»(лежит в корне сайта) и вставляем в поле «Правила переопределения», нажимаем «применить»

 

 

 

 

 

Теперь проверим результат:

 

 

 

 

 

На этом все.

Шаг 6. Установка и настройка 2 — DC1



  • Чтение занимает 6 мин

В этой статье

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

2 — DC1 предоставляет следующие службы:2-DC1 provides the following services:

  • Контроллер домена для домена corp2.corp.contoso.com домен Active Directory Services (AD DS).A domain controller for the corp2.corp.contoso.com Active Directory Domain Services (AD DS) domain.

  • DNS-сервер для домена corp2.corp.contoso.com DNS.A DNS server for the corp2.corp.contoso.com DNS domain.

2 — Конфигурация DC1 состоит из следующих компонентов:2-DC1 configuration consists of the following:

  • Установка операционной системы на компьютере 2 — DC1Install the operating system on 2-DC1

  • Настройка свойств TCP/IPConfigure TCP/IP properties

  • Настройте 2 — DC1 как контроллер домена и DNS-сервер.Configure 2-DC1 as a domain controller and DNS server

  • Предоставление групповая политика разрешений для CORP\User1Provide Group Policy permissions to CORP\User1

  • Разрешить компьютерам CORP2 получать сертификаты компьютеровAllow CORP2 computers to obtain computer certificates

  • Принудительная репликация между DC1 и 2 — DC1Force replication between DC1 and 2-DC1

Установка операционной системы на компьютере 2 — DC1Install the operating system on 2-DC1

Сначала установите Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012. First, install Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012.

Установка операционной системы на компьютере 2 — DC1To install the operating system on 2-DC1

  1. Запустите установку Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.Start the installation of Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 .

  2. Следуйте инструкциям по завершению установки, указав Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 (полная установка) и надежный пароль для учетной записи локального администратора.Follow the instructions to complete the installation, specifying Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 (full installation) and a strong password for the local Administrator account. Войдите, используя учетную запись локального администратора.Log on using the local Administrator account.

  3. Подключите 2 — DC1 к сети, которая имеет доступ к Интернету, и запустите Центр обновления Windows, чтобы установить последние обновления для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, а затем отключитесь от Интернета. Connect 2-DC1 to a network that has Internet access and run Windows Update to install the latest updates for Windows Server 2016, Windows Server 2012 R2 or Windows Server 2012 , and then disconnect from the Internet.

  4. Подключите 2 — DC1 к подсети с 2 сетями.Connect 2-DC1 to the 2-Corpnet subnet.

Настройка свойств TCP/IPConfigure TCP/IP properties

Настройте протокол TCP/IP со статическими IP-адресами.Configure the TCP/IP protocol with static IP addresses.

Настройка TCP/IP в 2-DC1To configure TCP/IP on 2-DC1

  1. В консоли диспетчер сервера щелкните локальный сервер, а затем в области свойства рядом с проводным Ethernet подключением щелкните ссылку.In the Server Manager console, click Local Server, and then in the Properties area, next to Wired Ethernet Connection, click the link.

  2. На панели управления Сетевые подключения щелкните правой кнопкой мыши Проводное Ethernet-подключение и затем выберите пункт Свойства. In Network Connections, right-click Wired Ethernet Connection, and then click Properties.

  3. Щелкните пункт IP версия 4 (TCP/IPv4) и нажмите кнопку Свойства.Click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  4. Выберите вариант Использовать следующий IP-адрес.Click Use the following IP address. В списке IP-адрес введите 10.2.0.1.In IP address, type 10.2.0.1. В поле Маска подсети введите 255.255.255.0.In Subnet mask, type 255.255.255.0. В качестве шлюза по умолчанию введите 10.2.0.254.In Default gateway, type 10.2.0.254. Щелкните использовать следующие адреса DNS-серверов, в поле Предпочитаемый DNS-сервер, введите 10. 2.0.1 и в поле Альтернативный DNS-сервер введите 10.0.0.1.Click Use the following DNS server addresses, in Preferred DNS server, type 10.2.0.1, and in Alternate DNS server, type 10.0.0.1.

  5. Нажмите кнопку «Дополнительно» и перейдите на вкладку «DNS».Click Advanced, and then click the DNS tab.

  6. В качестве DNS-суффикса для этого подключения введите corp2.Corp.contoso.com, а затем дважды нажмите кнопку ОК .In DNS suffix for this connection, type corp2.corp.contoso.com, and then click OK twice.

  7. Выберите Протокол IP версии 6 (TCP/IPv6), а затем Свойства.Click Internet Protocol Version 6 (TCP/IPv6), and then click Properties.

  8. Щелкните использовать следующий IPv6-адрес.Click Use the following IPv6 address. В качестве адреса IPv6 введите 2001: db8:2:: 1.In IPv6 address, type 2001:db8:2::1. В качестве длины префикса подсети введите 64.In Subnet prefix length, type 64. В качестве шлюза по умолчанию введите 2001: db8:2:: FE.In Default gateway, type 2001:db8:2::fe. Щелкните использовать следующие адреса DNS-серверов в поле Предпочитаемый DNS-сервер, введите 2001: db8:2:: 1, а в Альтернативный DNS-сервер введите 2001: db8:1:: 1.Click Use the following DNS server addresses, in Preferred DNS server, type 2001:db8:2::1, and in Alternate DNS server, type 2001:db8:1::1.

  9. Нажмите кнопку «Дополнительно» и перейдите на вкладку «DNS».Click Advanced, and then click the DNS tab.

  10. В качестве DNS-суффикса для этого подключения введите corp2.Corp.contoso.com, а затем дважды нажмите кнопку ОК .In DNS suffix for this connection, type corp2.corp.contoso.com, and then click OK twice.

  11. В диалоговом окне Свойства проводного подключения Ethernet нажмите кнопку Закрыть.On the Wired Ethernet Connection Properties dialog box, click Close.

  12. Закройте окно Сетевые подключения.Close the Network Connections window.

  13. В консоли диспетчер сервера в области Свойства на локальном сервере щелкните ссылку рядом с полем имя компьютера. In the Server Manager console, in Local Server, in the Properties area, next to Computer name, click the link.

  14. В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.On the System Properties dialog box, on the Computer Name tab, click Change.

  15. В диалоговом окне изменения имени компьютера или домена в поле имя компьютера введите 2-DC1 и нажмите кнопку ОК.On the Computer Name/Domain Changes dialog box, in Computer name, type 2-DC1, and then click OK.

  16. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.When you are prompted that you must restart the computer, click OK.

  17. В диалоговом окне Свойства системы нажмите Закрыть. On the System Properties dialog box, click Close.

  18. При появлении запроса на перезагрузку компьютера нажмите кнопку Перезагрузить сейчас.When you are prompted to restart the computer, click Restart Now.

  19. После перезагрузки войдите с учетной записью локального администратора.After restarting, login using the local administrator account.

Настройте 2 — DC1 как контроллер домена и DNS-сервер.Configure 2-DC1 as a domain controller and DNS server

Настройте 2 — DC1 в качестве контроллера домена для домена corp2.corp.contoso.com и в качестве DNS-сервера для домена corp2.corp.contoso.com DNS.Configure 2-DC1 as a domain controller for the corp2.corp.contoso.com domain and as a DNS server for the corp2.corp.contoso.com DNS domain.

Настройка 2 — DC1 в качестве контроллера домена и DNS-сервераTo configure 2-DC1 as a domain controller and DNS server

  1. В консоли диспетчер сервера на панели мониторинга щелкните Добавить роли и компоненты. In the Server Manager console, on the Dashboard, click Add roles and features.

  2. Нажмите кнопку » Далее три раза», чтобы перейти на экран выбора роли сервераClick Next three times to get to the server role selection screen

  3. На странице Выбор ролей сервера выберите домен Active Directory службы.On the Select server roles page, select Active Directory Domain Services. При появлении запроса нажмите кнопку Добавить компоненты , а затем нажмите кнопку Далее три раза.Click Add Features when prompted, and then click Next three times.

  4. На странице Подтверждение выбранных элементов для установки нажмите кнопку Установить.On the Confirm installation selections page, click Install.

  5. После успешного завершения установки щелкните повысить уровень этого сервера до контроллера домена. When the installation completes successfully, click Promote this server to a domain controller.

  6. В мастере настройки служб домен Active Directory Services на странице Конфигурация развертывания щелкните Добавить новый домен в существующий лес.In the Active Directory Domain Services Configuration Wizard, on the Deployment Configuration page, click Add a new domain to an existing forest.

  7. В качестве имени родительского домена введите Corp.contoso.com в новом доменном имени, введите corp2.In Parent domain name, type corp.contoso.com, in New domain name, type corp2.

  8. В разделе укажите учетные данные для выполнения этой операции нажмите кнопку изменить.Under Supply the credentials to perform this operation, click Change. В диалоговом окне Безопасность Windows в поле имя пользователя введите Corp. contoso. ком\администратор и в поле пароль введите пароль corp\Administrator, нажмите кнопку ОК, а затем нажмите кнопку Далее.On the Windows Security dialog box, in User name, type corp.contoso.com\Administrator, and in Password, enter the corp\Administrator password, click OK, and then click Next.

  9. На странице параметры контроллера домена убедитесь, что имя сайта имеет значение второй сайт.On the Domain Controller Options page, make sure that the Site name is Second-Site. В разделе Введите пароль в режиме восстановления служб каталогов (DSRM), в поле пароль и Подтверждение пароля дважды введите надежный пароль, а затем нажмите кнопку Далее пять раз. Under Type the Directory Services Restore Mode (DSRM) password, in Password and Confirm password, type a strong password twice, and then click Next five times.

  10. На странице Проверка необходимых компонентов после проверки предварительных требований нажмите кнопку установить.On the Prerequisites Check page, after the prerequisites are validated, click Install.

  11. Дождитесь завершения работы мастера настройки служб Active Directory и DNS, а затем нажмите кнопку Закрыть.Wait until the wizard completes the configuration of Active Directory and DNS services, and then click Close.

  12. После перезагрузки компьютера войдите в домен CORP2, используя учетную запись администратора.After the computer restarts, log in to the CORP2 domain using the Administrator account.

Предоставление групповая политика разрешений для CORP\User1Provide Group Policy permissions to CORP\User1

Используйте эту процедуру, чтобы предоставить пользователю CORP\User1 полные разрешения на создание и изменение объектов corp2 групповая политика. Use this procedure to provide the CORP\User1 user with full permissions to create and change corp2 Group Policy Objects.

Предоставление групповая политика разрешенийTo provide Group Policy permissions

  1. На начальном экране введите GPMC. msc и нажмите клавишу ВВОД.On the Start screen, type gpmc.msc, and then press ENTER.

  2. В консоли управления групповая политика откройте лес: Corp.contoso.com/Domains/corp2.Corp.contoso.com.In the Group Policy Management console, open Forest: corp.contoso.com/Domains/corp2.corp.contoso.com.

  3. В области сведений перейдите на вкладку Делегирование . В раскрывающемся списке разрешения выберите связать объекты GPO.In the details pane, click the Delegation tab. In the Permission drop-down list, click Link GPOs.

  4. Нажмите кнопку Добавить и в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.Click Add, and on the new Select User, Computer, or Group dialog box, click Locations.

  5. В диалоговом окне расположения в дереве Расположение щелкните Corp.contoso.com и нажмите кнопку ОК.On the Locations dialog box, in the Location tree, click corp.contoso.com, and click OK.

  6. В поле введите имя объекта выберите тип Пользователь1, нажмите кнопку ОК, а затем в диалоговом окне Добавление группы или пользователя нажмите кнопку ОК.In Enter the object name to select type User1, click OK, and on the Add Group or User dialog box, click OK.

  7. В консоли управления групповая политика в дереве щелкните Групповая политика объекты, а затем в области сведений щелкните вкладку Делегирование .In the Group Policy Management console, in the tree, click Group Policy Objects, and in the details pane click the Delegation tab.

  8. Нажмите кнопку Добавить и в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.Click Add, and on the new Select User, Computer, or Group dialog box, click Locations.

  9. В диалоговом окне расположения в дереве Расположение щелкните Corp.contoso.com и нажмите кнопку ОК.On the Locations dialog box, in the Location tree, click corp.contoso.com, and click OK.

  10. В поле введите имя объекта, чтобы выбрать тип Пользователь1, нажмите кнопку ОК.In Enter the object name to select type User1, click OK.

  11. В консоли управления групповая политика в дереве щелкните фильтры WMI, а затем в области сведений щелкните вкладку Делегирование .In the Group Policy Management console, in the tree, click WMI Filters, and in the details pane click the Delegation tab.

  12. Нажмите кнопку Добавить и в диалоговом окне новый Выбор пользователя, компьютера или группы щелкните расположения.Click Add, and on the new Select User, Computer, or Group dialog box, click Locations.

  13. В диалоговом окне расположения в дереве Расположение щелкните Corp. contoso.com и нажмите кнопку ОК.On the Locations dialog box, in the Location tree, click corp.contoso.com, and click OK.

  14. В поле введите имя объекта, чтобы выбрать тип Пользователь1, нажмите кнопку ОК.In Enter the object name to select type User1, click OK. В диалоговом окне Добавление группы или пользователя убедитесь, что для разрешений задан полный доступ, а затем нажмите кнопку ОК.On the Add Group or User dialog box, make sure that Permissions are set to Full control, and then click OK.

  15. Закройте консоль управления групповыми политиками.Close the Group Policy Management console.

Разрешить компьютерам CORP2 получать сертификаты компьютеровAllow CORP2 computers to obtain computer certificates

Компьютеры в домене CORP2 должны получать сертификаты компьютеров от центра сертификации на APP1. Computers in the CORP2 domain must obtain computer certificates from the certification authority on APP1. Выполните эту процедуру на APP1.Perform this procedure on APP1.

Чтобы разрешить CORP2 компьютерам автоматически получать сертификаты компьютеровTo allow CORP2 computers to automatically obtain computer certificates

  1. На APP1 нажмите кнопку Пуск, введите certtmpl. msc и нажмите клавишу ВВОД.On APP1, click Start, type certtmpl.msc, and then press ENTER.

  2. В средней области консоли шаблона сертификатов дважды щелкните Проверка подлинности «клиент-сервер«.In the Certificates Template Console, in the middle pane, double-click Client-Server Authentication.

  3. В диалоговом окне свойства проверки подлинности клиента и сервера перейдите на вкладку Безопасность .On the Client-Server Authentication Properties dialog box, click the Security tab.

  4. Нажмите кнопку Добавить, а затем в диалоговом окне Выбор пользователей, компьютеров, учетных записей служб или групп щелкните расположения.Click Add, and on the Select Users, Computers, Service Accounts, or Groups dialog box, click Locations.

  5. В диалоговом окне расположения в поле расположение разверните узел Corp.contoso.com, щелкните corp2.Corp.contoso.com, а затем нажмите кнопку ОК.On the Locations dialog box, in Location, expand corp.contoso.com, click corp2.corp.contoso.com, and then click OK.

  6. В поле Введите имена объектов для выбора введите Администраторы домена. Компьютеры домена и нажмите кнопку ОК.In Enter the object names to select, type Domain Admins; Domain Computers and then click OK.

  7. В диалоговом окне свойства проверки подлинности клиента и сервера в поле имена групп или пользователей щелкните Администраторы домена (администраторы CORP2\Domain) и в списке разрешения для администраторов домена в столбце Разрешить выберите запись и Регистрация.On the Client-Server Authentication Properties dialog box, in Group or user names, click Domain Admins (CORP2\Domain Admins), and in Permissions for Domain Admins, in the Allow column, select Write and Enroll.

  8. В поле имена групп или пользователей щелкните Компьютеры домена (CORP2\Domain компьютеры) и в списке разрешения для компьютеров домена в столбце Разрешить выберите Регистрация и автоматическая Регистрация, а затем нажмите кнопку ОК. In Group or user names, click Domain Computers (CORP2\Domain Computers), and in Permissions for Domain Computers, in the Allow column, select Enroll and Autoenroll, and then click OK.

  9. Закройте консоль шаблонов сертификатов.Close the Certificate Templates Console.

Принудительная репликация между DC1 и 2 — DC1Force replication between DC1 and 2-DC1

Перед регистрацией сертификатов на 2-EDGE1 необходимо принудительно настроить репликацию параметров с DC1 на 2 – DC1.Before you can enroll for certificates on 2-EDGE1, you must force the replication of settings from DC1 to 2-DC1. Эта операция должна выполняться на компьютере DC1.This operation should be done on DC1.

Принудительная репликацияTo force replication

  1. На компьютере DC1 нажмите кнопку Пуск и выберите Active Directory сайты и службы. On DC1, click Start, and then click Active Directory Sites and Services.

  2. В консоли Active Directory сайты и службы в дереве разверните узел межсайтовые транспорта, а затем щелкните IP-адрес.In the Active Directory Sites and Services console, in the tree, expand Inter-Site Transports, and then click IP.

  3. В области сведений дважды щелкните дефаултипсителинк.In the details pane, double-click DEFAULTIPSITELINK.

  4. В диалоговом окне Свойства дефаултипсителинк в поле стоимость введите 1, в поле Реплицировать каждые введите 15, а затем нажмите кнопку ОК.On the DEFAULTIPSITELINK Properties dialog box, in Cost, type 1, in Replicate every, type 15, and then click OK. Подождите 15 минут, пока не завершится репликация.Wait for 15 minutes for replication to complete.

  5. Чтобы принудительно выполнить репликацию в дереве консоли, разверните узел Параметры Sites\Default-First-Site-name\Servers\DC1\NTDS, в области сведений щелкните правой кнопкой мыши , щелкните Реплицировать сейчас, а затем в диалоговом окне репликация сейчас нажмите кнопку ОК.To force replication now in the console tree, expand Sites\Default-First-Site-name\Servers\DC1\NTDS Settings, in the details pane, right-click , click Replicate Now, and then on the Replicate Now dialog box, click OK.

  6. Чтобы убедиться, что репликация выполнена успешно, выполните следующие действия.To ensure replication has completed successfully do the following:

    1. На начальном экране введите cmd. exe и нажмите клавишу ВВОД.On the Start screen, type cmd.exe, and then press ENTER.

    2. Введите следующую команду и нажмите клавишу ВВОД:Type the following command, and then press ENTER.

      repadmin /syncall /e /A /P /d /q
      
    3. Убедитесь, что все секции синхронизированы без ошибок.Make sure that all partitions are synchronized with no errors. Если это не так, выполните команду повторно, пока не будут выведены сообщения об ошибках перед продолжением.If not, then rerun the command until no errors are reported before proceeding.

  7. Закройте окно командной строки.Close the Command Prompt window.

Рекомендации для параметров клиента системы доменных имен (DNS) — Windows Server



  • Чтение занимает 7 мин

В этой статье

В этой статье описываются лучшие методики настройки параметров клиента системы доменных имен (DNS). В этой статье даны рекомендации по установке сред Windows 2000 Server или Windows Server 2003, в которых ранее не определена инфраструктура DNS.

Исходная версия продукта:   Windows Server 2012 R2
Исходный номер КБ:   825036

Контроллер домена с установленной DNS

На контроллере домена, который также выступает в качестве DNS-сервера, Корпорация Майкрософт рекомендует настроить параметры клиента DNS контроллера домена в соответствии со спецификациями:

  • Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, и на сервере выполняется DNS, настройте параметры клиента DNS так, чтобы они указывают на IP-адрес первого сервера. Например, необходимо настроить параметры клиента DNS так, чтобы они указывают на себя. Не перечислять другие DNS-серверы, пока в этом домене не будет другой контроллер домена, на который будет размещена DNS.

  • Во время процесса DCPromo необходимо настроить дополнительные контроллеры домена, чтобы они могли указать на другой контроллер домена, на котором запущена DNS в домене и на сайте, и на котором размещено пространство имен домена, в котором установлен новый контроллер домена. или при использовании стороннее DNS на DNS-сервере, на котором размещена зона для домена Active Directory этого DC. Не настраивать контроллер домена для использования собственной службы DNS для разрешения имен, пока не будет проверено, работает ли репликация Active Directory входящие и исходящие. Невыполнение этого может привести к «островам» DNS.
    Для получения дополнительных сведений о связанной теме щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    DNS-сервер 275278 становится островом, когда контроллер домена указывает на себя для _msdcs. ForestDnsName домена

  • После успешного завершения репликации DNS можно настроить на каждом контроллере домена двумя способами в зависимости от требований среды. Возможные параметры конфигурации:

    • Настройте предпочтительный DNS-сервер в свойствах TCP/IP на каждом контроллере домена, чтобы использовать себя в качестве основного DNS-сервера.
      • Преимущества: обеспечивает, чтобы запросы DNS, исходя из контроллера домена, по возможности разрешались локально. Минимизирует влияние DNS-запросов контроллера домена на сеть.
      • Недостатки: зависит от репликации Active Directory, чтобы убедиться, что зона DNS находится в курсе. Длительные сбои репликации могут привести к неполному набору записей в зоне.
    • Настройте все контроллеры домена для использования централизованного DNS-сервера в качестве предпочитаемого DNS-сервера.
      • Преимущества:
        • Минимизирует зависимость от репликации Active Directory для обновлений зоны DNS записей о местонахождении контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей о местонахождении контроллера домена, так как время задержки репликации не является проблемой.
        • Предоставляет один до полномочного DNS-сервера, который может быть полезен при устранении неполадок репликации Active Directory
      • Недостатки:
        • Будет более активно использовать сеть для разрешения запросов DNS, исходя из контроллера домена
        • Разрешение имен DNS может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к сбою разрешения DNS-запросов от контроллера домена. Это может привести к явной потере подключения даже к расположениям, которые не были потеряны в сегменте сети.
  • Возможно сочетание двух стратегий: удаленный DNS-сервер задает в качестве предпочтительного DNS-сервера, а локальный контроллер домена — как альтернативный (или наоборот). Несмотря на множество преимуществ этой стратегии, перед изменением конфигурации следует учитывать некоторые факторы:

    • DNS-клиент не использует для каждого запроса все DNS-серверы, указанные в конфигурации TCP/IP. По умолчанию при запуске DNS-клиент попытается использовать сервер в предпочтительной записи DNS-сервера. Если по какой-либо причине этот сервер не отвечает, DNS-клиент переключиться на сервер, указанный в альтернативной записи DNS-сервера. DNS-клиент продолжит использовать этот альтернативный DNS-сервер до следующего:
      • Он не отвечает на DNS-запрос или:
      • Достигнуто значение ServerPriorityTimeLimit (по умолчанию 15 минут).

Примечание

Только сбой ответа приведет к переключения DNS-клиента на предпочтительные DNS-серверы; Получение достоверного, но неправильного ответа не приведет к тому, что DNS-клиент будет пытаться попробовать другой сервер. В результате настройка контроллера домена с самим и другим DNS-сервером в качестве предпочитаемых и альтернативных серверов помогает гарантировать, что ответ будет получен, но не гарантирует точность этого ответа. Сбои обновления записей DNS на любом из серверов могут привести к несогласованному разрешению имен.

  • Не настраивайте параметры клиента DNS на контроллерах домена так, чтобы они указывают на DNS-серверы поставщика услуг Интернета (ISP). Если параметры DNS-клиента указывают на DNS-серверы вашего isP, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory. С помощью этих записей другие контроллеры домена и компьютеры могут находить сведения, связанные с Active Directory. Контроллер домена должен зарегистрировать свои записи на собственном DNS-сервере.

Чтобы перенаправление внешних DNS-запросов, добавьте DNS-серверы isP в качестве DNS-серверов в консоли управления DNS. Если серверы переадстройки не настроены, используйте серверы корневых подсказок по умолчанию. В обоих случаях, чтобы внутренний DNS-сервер переадтранслл на DNS-сервер в Интернете, необходимо также удалить корневой «». (также известная как «точка») в консоли управления DNS в папке «Зоны перенаправленного подсмотра».

  • Если на контроллере домена, на котором размещена DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации DNS-имен.

Для получения дополнительных сведений о правильной настройке DNS в этой ситуации щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

292822. Проблемы с разрешением имен и подключением на сервере маршрутов и удаленного доступа, где также выполняется DNS или WINS

Чтобы проверить параметры клиента DNS контроллера домена, введите следующую команду в командной области, чтобы просмотреть сведения о конфигурации ip: ipconfig /all
Чтобы изменить конфигурацию клиента DNS контроллера домена, выполните следующие действия.

  1. Щелкните правой кнопкой мыши «Мои сетевые места» и выберите «Свойства».

  2. Щелкните правой кнопкой мыши подключение к локальной области и выберите «Свойства».

  3. Выберите протокол TCP/IP, а затем выберите «Свойства».

  4. Выберите «Дополнительные», а затем выберите вкладку DNS. Чтобы настроить данные DNS, выполните следующие действия.

    1. В поле «Адреса DNS-сервера» в порядке использования добавьте рекомендуемые адреса DNS-серверов.
    2. Если для разрешения неквалифицированных имен установлено суффикс «По порядку», майкрософт рекомендует сначала указать DNS-имя Active Directory (вверху).
    3. Убедитесь, что DNS-суффикс для этого параметра подключения такой же, как и доменное имя Active Directory.
    4. Убедитесь, что в DNS-адресе выбраны адреса этого подключения.
    5. Выберите «ОК» три раза.
  5. Если вы измените какие-либо параметры клиента DNS, необходимо очистить кэш разрешаемого DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш разрешения DNS, введите следующую команду в командной командной области: ipconfig /flushdns
    Чтобы зарегистрировать записи ресурсов DNS, введите следующую команду в командной области: ipconfig /registerdns

  6. Чтобы подтвердить правильность записей DNS в базе данных DNS, запустите консоль управления DNS. Для имени компьютера должна быть запись хоста. (Эта запись хоста является записью «A» в расширенных представлениях.) Также должна быть запись «Начало владения» (SOA) и запись сервера доменных имен (NS), которая указывает на контроллер домена.

Контроллер домена без установки DNS

Если вы не используете DNS, интегрированную с Active Directory, и у вас есть контроллеры домена, на которые не установлена служба DNS, Корпорация Майкрософт рекомендует настроить параметры клиента DNS в соответствии со спецификациями:

  • Настройте параметры DNS-клиента на контроллере домена так, чтобы они указывают на DNS-сервер, который является доверным для зоны, соответствующей домену, в котором находится компьютер. Локальный основной и дополнительный DNS-серверы предпочтительнее из-за вопросов трафика WAN.
  • Если отсутствует доступный локальный DNS-сервер, наведя указатель на DNS-сервер, доступный по надежному соединению WAN. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры клиента DNS на контроллерах домена так, чтобы они указывают на DNS-серверы вашего isP. Вместо этого внутренний DNS-сервер должен переадружать DNS-серверы isP для разрешения внешних имен.

Серверы-члены Windows 2000 Server и Windows Server 2003

На серверах-членах Windows 2000 Server и Windows Server 2003 корпорация Майкрософт рекомендует настроить параметры клиента DNS в соответствии со спецификациями:

  • Настройте основные и дополнительные параметры клиента DNS так, чтобы они указывают на локальные основные и дополнительные DNS-серверы (если доступны локальные DNS-серверы), на которые размещена зона DNS для домена Active Directory компьютера.
  • Если локальные DNS-серверы недоступны, указать DNS-сервер для домена Active Directory этого компьютера, к который можно получить доступ через надежное соединение WAN. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры DNS клиента так, чтобы они указывают на DNS-серверы вашего isP. В этом случае могут возникнуть проблемы при попытке присоединить сервер на основе Windows 2000 или Windows Server 2003 к домену или при попытке входа в домен с этого компьютера. Вместо этого внутренний DNS-сервер должен переадружать DNS-серверы isP для разрешения внешних имен.

Серверы, не в которые входит Windows 2000 Server и Windows Server 2003

  • Если у вас есть серверы, которые не являются частью домена, вы можете настроить их на использование DNS-серверов, интегрированных с Active Directory, в качестве основного и дополнительного DNS-серверов. Если в вашей среде есть серверы, не в которые входит интеграция с Active Directory, они не регистрируют динамически свои записи DNS в зоне, настроенной на прием только безопасных обновлений.
  • Если вы не используете интегрированную с Active Directory DNS и хотите настроить сторонние серверы для внутреннего и внешнего разрешения DNS, настройте параметры клиента DNS так, чтобы они укажились на внутренний DNS-сервер, который передается в Интернет.
  • Если требуется только разрешение DNS-имен Интернета, можно настроить параметры DNS-клиента на серверах, не в составе которого они не должны быть, так как они указывают на DNS-серверы интернет-провайдера.

Дополнительные сведения

Дополнительные сведения о DNS-серверах Windows 2000 и Windows Server 2003 DNS см. в следующей статье:

291382: вопросы и ответы о DNS-серверах Windows 2000 и Windows Server 2003



Настройка DNS сервера без домена — Записки сумасшедшего дроида

Возникла необходимость установки сервера DNS в локальной сети без участия Windows Active Directory, для разрешения имен этой пресловутой локальной сети, и при этом чтобы настроенный DNS сервер разрешал также доменные имена глобальной сети Интернет (т.е. выполнял функцию пересылки). Про двухминутную настройку DNS сервера на линукс машине можете не упоминать, у нас стоит задача сделать такое на продукте компании Microsoft.
И так, поехали.

Первое что нам нужно, это установленные сервисы DNS и DHCP. Они могут стоять как вместе на одном сервере, так и по отдельности.
Что нам нужно от DNS:
1. Создать зону, причем она должна быть основная.
2. Имя зоны очень важно, т.к. в дальнейшем, именно за ее разрешение (разрешение имен рабочих машин) будет отвечать новоиспеченный DNS сервер. Для удобства, присвоим имя зоны local.
3. Далее, т.к. зона у нас по сути новая (или уже существовала ранее?), создаем новый файл зоны.
4. Считается, что для разрешения локальных имен обязательно нужно запрещать динамические обновления, т.к. это может за собой понести непредсказуемые последствия (например подмену выдачи DNS имени внешнего сервера).
5. Да, нам же нужно, чтобы наш DNS сервер умел пересылать DNS запросы, если он сам не может их разрешить. Это делается довольно легко. Необходимо зайти в свойства DNS сервера и на вкладке «Сервер пересылки», указать внешний DNS сервер выданный провайдером.

Можно приступать к настройке DHCP сервера.
Что нам для этого нужно:
1. Корректно настроенная область, с указанным диапазоном, пулом адресов и при необходимости закрепленными за машинами арендованными IP адресами.
2. Для того, чтобы DNS сервер правильно переводил DNS имя локальной зоны в IP адрес, присвоенный DHCP, необходимо добавить нужный параметр области, в данном случае 015 DNS-имя домена, и в его свойствах указать ранее выбранное в DNS имя зоны Local
Почему это необходимо сделать? Да потому, что если мы не укажем так называемый DNS суффикс, то DNS сервер не поймет к какому типу доменов относится наш локальный компьютер, будет пересылать его внешнему DNS серверу, а тот знать не знает что это за название машины такое.
После таких манипуляций, и обновлении сетевых реквизитов на конечной локальной машине, DNS имя присвоенное на DNS сервере должно легко резолвится в IP адрес.

Для этого можно воспользоваться командой:

где,
pc-01 — компьютер в сети,
pdc01 — сервер DNS, на котором присвоено значение IP данному DNS имени.
В ответе должно быть четко понятно, что ответ дал наш DNS сервер.
Его значение должно выглядеть как название локальной машины + DNS суффикс присвоенный ранее, т.е.

pc-01.local
Adderess 192.168.0.50

Настройка Windows Server 2008 R2. Руководство по развертыванию и администрированию сети на основе выделенного сервера

Пользователь ESET Антон Севостьянов подготовил руководство по развертыванию и администрированию сети на основе выделенного сервера.



Сегодня хочу рассказать о настройке Windows Server 2008 R2 в условиях, приближенных к боевым (то есть в виртуальной среде). Такой подход позволит в домашних условиях протестировать и изучить все возможности данной технологии.


В статье рассматриваются следующие вопросы:

  • настройка DNS сервера;
  • установка Active Directory;
  • взаимодействия учетных записей в рабочей группе и в домене;
  • подключение компьютеров к домену;
  • создание доменных пользователей;
  • управление доступом к ресурсам;
  • настройка DHCP сервера;
  • подключение сети к интернет;
  • настройка групповой политики;

Для начала вам понадобится 64-разрядная операционная система Windows и программа управления виртуальными машинами (например, VMWare). Минимальные системные требования: 6 Гб ОЗУ и 70 Гб свободного места на жестком диске.


Требования к ресурсам вашего ПК зависят от того, сколько машин будет в виртуальной сети и какие на них установлены ОС.

Установка клиентских машин с ОС Windows 7, 8.1 и 10


В нашем примере будет 4 компьютера под управлением Windows Server 2008 R2, 7, 8. 1 и 10. Таким образом, 4 Гб оперативной памяти понадобится только для работы виртуального полигона.


Начинаем с установки и настройки DNS-сервера. С помощью программы VMWare создаем серверную и клиентские виртуальные машины:


Файл \ Новая виртуальная машина \ Выборочный \ Указываем установочный образ системы \ Windows 2008 R2 \ Путь к виртуальной машине \ D:\VirtualMashin\Domain 2008R2\2008R2 \ 1Гб \ Использовать только сеть для узла \ Создать виртуальный диск: 40 Гб, хранить в одном файле \ Готово


Затем устанавливаем ОС Windows Server 2008 R2:

  • Запускаем виртуальную машину

  • Открываем BIOS (клавиша F2) и проверяем правильность настроек для загрузки с виртуального привода. Нужно убедиться, что у виртуального привода установлен высший приоритет. Если это не так, меняем соответствующие настройки в BIOS

Аналогичным образом создаем виртуальные машины для клиентских операционных систем.


Перед настройкой DNS-сервера, переименовываем его в server, чтобы назначение компьютера в сети было понятно:


Мой компьютер \ ПКМ \ Свойства \ Имя компьютера \ Изменить параметры \ Изменить \ server \ ОК \ Перезагрузка


Теперь назначаем сетевой карте статический IP-адрес, так как у сервера IP-адрес меняться не должен:


Центр управления сетями и общим доступом \ Подключение по локальной сети \ Свойства \ Протокол интернета версии 4


Устанавливаем значения:


IP: 192.168.0.1

Mask: 255.255.255.0


Теперь переходим настройке DNS-сервера:


Пуск \ Администрирование \ Диспетчер сервера \ Роли \ Добавить роли \ Далее \ DNS-сервер \ Далее \ Далее \ Установить \ Закрыть


Далее сконфигурируем DNS-сервер:


Пуск \ Администрирование \ Диспетчер сервера \ Роли \ DNS-сервер \ DNS \ Server \ ПКМ \ Настроить DNS \ Создать зоны прямого и обратного просмотра


Зона прямого просмотра — преобразование имени в адрес, зона обратного просмотра —– преобразование адреса в имя. Выбираем «Да, создать зону прямого просмотра», затем «Основная зона», то есть зона будет храниться и обновляться на сервере. Дополнительная зона создается в ситуации, когда основная хранится на другом сервере, а на текущем сервере сохраняется копия. Это нужно для распределения нагрузки на основной сервер:


Имя зоны: office.local \ Создать новый файл зоны \ Динамическое обновление зоны

Создание файла office.local

Записи в DNS необходимо регулярно обновлять. Если у компьютера изменится IP-адрес, он должен быть изменен в записи, относящийся к доменному имени этого ПК, чтобы другие компьютеры знали, к какому IP-адресу нужно обращаться. Если записи не соответствуют действительности, то компьютер просто не сможет получить доступ к сети.


Существует несколько вариантов динамического обновления зоны DNS:

  • Разрешить только безопасные динамические обновления. Рекомендуется использовать этот способ. Однако опция будет недоступна до создания домена, пока не установлена служба Active Directory.
  • Разрешать любые динамические обновления — эту настройку лучше не использовать, так как данные могут быть недостоверны
  • Запретить динамическое обновление — записи придется обновлять вручную. Выбираем этот способ, пока динамические обновления неактивны. После поднятия домена просто изменяем настройки

В нашем примере сервер будет всего один, поэтому пересылка запросов не потребуется:


Серверы пересылки \ Нет, не пересылать запросы \ Готово



Надеюсь, статья пригодилась. Пишите замечания в комментариях!



Антон Севостьянов

системный администратор,
www.sys-team-admin.ru

Новые возможности DNS в Windows Server 2008 R2 | Windows IT Pro/RE

Служба DNS — наш надежный проводник в цифровом мире. При обращении к серверу по имени мы запрашиваем нужный нам IP-адрес у DNS. Если инфраструктура DNS будет скомпрометирована, имена могут быть преобразованы в адреса вредоносных хостов, перехватывающих личные данные и пароли и распространяющих ложную информацию или просто препятствующих обращению к необходимым службам.

В Windows Server 2008 R2 включены мощные технологии, которые могут дать такую уверенность. Давайте сначала кратко пройдемся по основам DNS, а потом посмотрим, какие возможности открывают перед нами новые функции, такие как DNS Security Extensions (DNSSEC), DNS Devolution и DNS Cache Locking.

Недостатки обычной службы DNS

В обычной службе DNS клиенты могут осуществить только базовые операции, позволяющие выявить подмену возвращаемых адресов. Клиент может проверить совпадает ли возвращаемый адрес DNS-сервера с его реальным адресом, однако эта возможность часто бывает отключена на уровне настроек сетевой инфраструктуры. Кроме того, данную проверку легко обойти: возвращаемый порт должен совпадать с портом-источником клиентского запроса, а его, в свою очередь, легко угадать.

Даже использование нового механизма случайного выбора порта-источника, представленного в системе Server 2008 R2, не столько снижает риск, сколько увеличивает время, необходимое для проведения атаки. Случайное значение XID, посылаемое клиентом (и включаемое в ответ), передается в виде открытого текста, поэтому его легко дублировать. Кроме того, в существующей службе DNS на запрос клиента сервер DNS отвечает откликом, но если технология взлома позволяет перехватывать запросы и подделывать ответы, то имитация изначального отклика не составит труда.

Ответ сервера DNS не содержит контрольную сумму, необходимую, скажем, для проверки неизменности содержания ответа. Таким образом, при атаках типа man-in-the-middle злоумышленник может изменить данные, передаваемые клиенту. Также имейте в виду, что большинство ответов DNS приходит с неавторизованных серверов DNS. Точнее, они приходят с промежуточных серверов DNS, которые кэшируют обработанные запросы и в дальнейшем выдают информацию из кэша. Многие хакеры вносят изменения в кэш серверов DNS, наполняя его ложными записями.

DNSSEC для всех

Технология DNS Security Extensions (DNSSEC) представляет собой расширение стандарта DNS, описанное в документах RFC 4033, 4034 и 4035, которое было реализовано компанией Microsoft при создании серверной роли Server 2008 R2 DNS. Предыдущая версия технологии DNSSEC была описана в документе RFC 2535, который в дальнейшем был заменен документами RFC, указанными выше. Системы Windows Server 2003 и даже Server 2008 несовместимы с реализацией данной технологии на платформе Server 2008 R2.

По сути дела, DNSSEC обеспечивает целостность инфраструктуры DNS с помощью технологий, проверяющих подлинность получаемых данных, включая авторизованные ответы типа denial-of-existence. Верификация осуществляется с помощью технологии шифрования с открытым ключом, которая позволяет использовать цифровые подписи в ответах DNS. Успешная проверка подписи означает, что данные подлинные и им можно доверять. Цифровая подпись генерируется на основе закрытого ключа зоны DNS (он держится в секрете) и содержания записи и может быть проверена с помощью открытого ключа. Если пакет был создан подозрительным источником, проверка его подписи закончится неудачно, а если пакет был изменен, то его цифровая подпись не будет соответствовать содержанию.

В реализации шифрования с открытым ключом помогают новые типы записей DNS: DNS Public Key (DNSKEY), представляющий собой контейнер для открытого ключа зоны; Resource Record Signature (RRSIG), содержащий цифровую подпись ответа сервера; Delegation Signer (DS), используемый для обмена между дочерней и родительской зоной, при условии что для них разрешены механизмы DNSSEC; и Next Secure (NSEC), позволяющий обрабатывать проверенные записи denial-of-existence. NSEC использует эффективный механизм, при котором в ответ на запрос с несуществующим именем возвращается предшествующая запись (в алфавитном порядке) и уведомление о следующей безопасной записи. Например, если в зоне DNS описаны записи A и E, а вы запрашиваете запись С, то на выходе получите ответ A NSEC E с цифровой подписью. Таким образом система проинформирует вас, что запрашиваемой записи не существует, так как между A и E других записей не обнаружено.

Важнейшим фактором является надежность. Клиент должен быть уверен в надежности открытого ключа для зоны, так как этот ключ используется для дешифрации подписи, созданной с помощью закрытого ключа, и последующей авторизации ответа. Гарантия того, что клиенты доверяют только настоящей полномочной зоне DNS, достигается при помощи построения цепи доверия.

В идеале данная иерархия инфраструктуры открытых ключей PKI должна быть автономной в рамках иерархии DNS, при условии, что корневой зоне («.») данной иерархии доверяют все клиенты и для зоны разрешено использование механизмов DNSSEC. В этом случае корневая зона сможет подписывать имена доменов верхнего уровня (например, com, net, org), которые в свою очередь смогут подписывать подчиненные домены (например, company. com), таким образом создается путь доверия. Это означает, что клиентам достаточно доверять только корневой зоне, а она уже используется для аутентификации остальных дочерних зон. В примере, отраженном на рисунке, для зоны. net включены механизмы DNSSEC, поэтому любая дочерняя зона, подписанная родительской зоной, будет доверенной для всех клиентов DNS, доверяющих зоне. net.

 

Рисунок. Настройка якоря доверия

На сегодня данная схема работает для обычных сертификатов инфраструктуры PKI. На основной массе компьютеров настроено доверие определенным корневым центрам сертификации, размещенным в Интернете, таким как VeriSign, Thawte и Equifax. Данные центры предоставляют сайтам сертификаты, подписанные корневыми центрами сертификации. Клиенты доверяют корневым центрам сертификации, следовательно, они доверяют сертификатам, подписанным центрами сертификации, чьи полномочия подтверждены корневыми центрами. Цепочка DNS работает аналогично: клиенты доверяют корневым доменам и доменам верхнего уровня (предполагается, что корневые домены и домены верхнего уровня являются якорями доверия), которые в свою очередь гарантируют безопасность дочерних сайтов.

На данный момент корневая зона DNS и домен. COM не поддерживают использование механизмов DNSSEC, но с учетом того, что многие правительства по всем миру санкционируют использование технологии DNSSEC, стоит ожидать изменения ситуации в ближайшем будущем. Поддержка технологии DNSSEC в корневой зоне DNS должна быть реализована в конце 2010 года, в зоне COM — в 2011 или 2012 году. Таким образом, нам необходимо промежуточное решение, которое бы позволило клиентам устанавливать отношения доверия с зонами DNS, поддерживающими технологию DNSSEC.

В любом процессе, использующем цифровые подписи, нам необходим механизм, с помощью которого клиенты будут эти подписи проверять. В нашем случае проблема решается с помощью шифрования с открытым ключом. Открытый ключ для защищенной зоны DNS известен клиентам, которые используют его для проверки цифровой подписи, создаваемой с помощью закрытого ключа зоны DNS. Открытый ключ, назначенный для корневой зоны доверенного пространства имен DNSSEC — например, зоны. net, — называют якорем доверия. Он поддерживает отношение доверия между клиентом и пространством имен DNS. Если клиенту известен якорь доверия, он может построить цепочку аутентификации к любой дочерней зоне для данного якоря доверия. Исчезает необходимость в построении отношений доверия непосредственно между клиентами DNS и каждой зоны внутри пространства имен. И все же разворачивать в вашем окружении полную инфраструктуру PKI не требуется. Действительно, открытые ключи для зон безопасности хранятся внутри инфраструктуры DNS, но как узнать, кому доверять? Как получить якорь доверия в ситуации, когда корневая зона DNS не может подписывать дочерние зоны?

С помощью процесса, названного DNSEC Lookaside Validation (DLV), можно настроить отношение доверия между клиентами DNS и открытыми ключами. В Интернете существуют хранилища, в которые зоны с поддержкой технологии DNSSEC могут загружать открытые ключи. После этого ключи могут использоваться клиентами. Считается, что данные хранилища гарантируют легитимность находящихся в них ключей — точно так же мы доверяем центру VeriSign в процессе проверки компаний и выдачи им сертификатов с подписью кода или сертификатов SSL. Организация может скачать содержимое хранилища, и средствами Active Directory (AD) реплицировать информацию DNSSEC между всеми серверами DNS (механизм DLV не поддерживается платформой Server 2008 R2).

Кроме того, вы можете вручную настроить якоря доверия внутри службы DNS, указав имя зоны и открытый ключ, выдаваемый серверами именования (экран 1). После того как будет настроена точка входа (то есть якорь доверия) для цепочки доверия и вы зададите ключ подписывания ключа (подробнее я расскажу о нем ниже), необходимо установить флаги Secure Entry Point (SEP) и Zone Signing Key. Если вы хотите настроить общий доступ к открытому ключу, чтобы другая организация или хранилище могли добавить его в качестве якоря доверия, данная организация должна получить доступ к содержимому файла \%systemroot%\System32\dns\keyset- (экран 2).

 

Экран 1. Настройка доверия к откликами DNS

 

Экран 2. Настройка общего доступа к открытому ключу

Данная функциональность не распространяется на отношения между клиентом DNS (например, вашей рабочей станцией) и уполномоченным сервером DNS, обслуживающим ваш запрос. Настроить якоря доверия на стороне клиента DNS просто невозможно. На самом деле, хотя я использую термин «клиент DNS», технология DNSSEC проявляет все свои достоинства только при взаимодействии между серверами DNS. В обычном процессе разрешения имен DNS клиент отправляет запрос локальному серверу DNS, а тот в свою очередь осуществляет рекурсивный поиск ответа. Таким образом, ваш сервер DNS является звеном, которому необходим механизм проверки ответов. В большинстве окружений клиент не выполняет проверку ответов: если локальный сервер использует технологию DNS, клиент доверяет проверку ответов ему.

Чтобы обеспечить максимальную защиту конечных клиентов, рекомендуется задействовать технологию IPsec для аутентификации данных и, возможно, для шифрования канала между клиентом и локальным сервером DNS. Данный метод гарантирует, что данные не будут изменены при передаче от сервера клиенту.

Для настройки ожидания клиентами DNS проверки DNSSEC используется таблица Name Resolution Policy Table (NRPT), в которой определяется, каким образом механизмы безопасности будут применяться в работе службы DNS: используются ли отдельные записи для различных пространств DNS (например, microsoft.com), требуется ли проверка механизмами DNSSEC для каждого пространства имен, а также должны ли использоваться механизмы IPsec при обменах между клиентом и ближайшим к нему сервером DNS (то есть локальным сервером DNS). Обычно управление таблицей NRPT осуществляется через групповую политику, чтобы вручную не настраивать ее на каждой клиентской машине. На экране 3 показана простейшая политика. Имейте в виду, что таблица NRPT может иметь в своей основе не только суффикс DNS — вы можете использовать префикс, полное доменное имя (FQDN), а также имя подсети.

 

Экран 3. Настройка требований DNSSEC для зоны

Теперь, когда мы выяснили, каким образом технология DNSSEC гарантирует подлинность DNS ответов, возникает вопрос, как получить доступ к этим механизмам. Для окружений, построенных на основе платформы Microsoft, необходимы серверы DNS на базе Server 2008 R2, а на клиентских системах должна быть установлена Windows 7. Также, в связи с особенностью функций DNSSEC, существуют некоторые ограничения на использование данной технологии. Нет необходимости активировать механизмы DNSSEC для каждой записи в организации — стоит применять DNSSEC для защиты записей, используемых широкой аудиторией, ориентированной на работу с Интернетом, например для защиты адреса вашего сайта. Зона с цифровой подписью DNSSEC в дальнейшем не будет воспринимать динамические обновления, используемые в большинстве окружений для автоматической регистрации соответствий имя-Ip-адрес. Таким образом, для защищенных записей необходимо создать отдельную зону, в дополнение к зоне, получающей динамические обновления из Интернета (если такая зона необходима). Каждый сервер DNS, хранящий копию подписанной зоны, должен использовать операционную систему Server 2008 R2. Кроме того, необходимо убедиться в том, что ваша сеть может работать с пакетами DNS большего размера, используемыми механизмами DNSSEC. Например, убедитесь, что сеть поддерживает стандарт Extended DNS 0 (EDNS0), разрешающий использование пакетов DNS размером до 4 Кбайт, вместо стандартных 512 байт.

Чтобы активировать технологию DNSSEC для зоны в системе Server 2008 R2, используйте утилиту DnsCmd. Создайте ключи подписывания ключей и ключи подписывания зон и сохраните их в локальном хранилище сертификатов (MS-DNSSEC). Ключ подписывания зон (ZSK в приведенном ниже коде) подписывает все записи в зоне, а ключ подписывания ключей (KSK в коде) подписывает только другие ключи. Необходимо также создать запись ресурса DNSSEC в корне цепочки доверия (это происходит автоматически). Например, для создания моих сертификатов я использовал команды

dnscmd/offlinesign/genkey/alg rsasha1
   /flags KSK/length 2048/zone secure
   . savilltech.com/SSCert/FriendlyName
   KSK-secure.savilltech.com
dnscmd/offlinesign/genkey/alg rsasha1
   /length 2048/zone secure.savilltech
   . com/SSCert/FriendlyName ZSK-secure
   . savilltech.com

При работе с зонами, интегрированными в каталог AD, необходимо сначала экспортировать зону в файл, подписать зону в файле с помощью сертификатов и сохранить ее в новый файл. Затем удалите существующую зону, импортируйте зону из файла и установите статус AD integrated. Вот основные команды, которые я использовал в своем окружении после создания вышеупомянутых сертификатов:

dnscmd/zoneexport secure. savilltech
   . net securesavilltechnet.dns
dnscmd/offlinesign/signzone/input
   securesavilltechnet.dns/output
   securesavilltechnetsigned.dns/zone
   secure.savilltech.net/signkey/cert
   /friendlyname KSK-secure.savilltech
   . net/signkey/cert/friendlyname
   ZSK-secure.savilltech.net
dnscmd/zonedelete secure.savilltech
   . net/dsdel/f
dnscmd/zoneadd secure.savilltech
   . net/primary/file
   securesavilltechnetsigned.dns/load
dnscmd/zoneresettype secure
   . savilltech.net/dsprimary

На экране 4 приведены различные записи DNSSEC.

 

Экран 4. Записи DNSSEC

Реализация механизмов DNSSEC включает множество шагов, при этом сопровождение данных механизмов и обслуживание набора ключей также занимают массу времени. Созданные ключи имеют ограниченное время жизни, и их необходимо периодически обновлять. Если в системе настроены якоря доверия, то их открытые ключи будут меняться, а, следовательно, якоря также нуждаются в обновлении. Я настоятельно рекомендую ознакомиться со статьей Microsoft «Deploying DNS Security Extensions (DNSSEC)» по адресу technet.microsoft.com/en-us/library/ee649268(WS.10).aspx — это отличное пошаговое руководство.

DNS Devolution

Вероятно, технология DNSSEC является наиболее известным нововведением для службы DNS в системе Server 2008 R2, однако не стоит забывать и про другие полезные новинки. В окружениях с многоуровневой архитектурой пространства имен DNS бывает сложно определить корректный суффикс для адреса. Например, в моем окружении есть узел с именем savdalfile01. Однако я являюсь членом домена dallas.na.savilltech.net и не могу точно сказать, какое полное имя avdalfile01.dallas.na.savilltech.net, savdalfile01.na.savilltech.net или savdalfile01.savilltech.net будет соответствовать данной системе. В прошлом приходилось создавать глобальный список суффиксов, содержащий все суффиксы DNS, которые необходимо было проверить при разрешении имени.

В системах Server 2008 R2 и Windows 7 обновлен один из ключевых механизмов — функция DNS Devolution, которая позволяет запросам DNS просматривать пространство имен до тех пор, пока не будет найдено совпадение или пока не будет выполнено определенное количество регрессий. Каждый возврат к родительскому домену в пространстве имен является регрессией на уровень выше. Вернемся к примеру с именем savdalfile01. При использовании механизма DNS Devolution сначала будет выполнен запрос на разрешение имени savdalfile01.dallas.na.savilltech.net, далее произойдет переход к домену-родителю и будет выполнен запрос для имени savdalfile01.na.savilltech.net. Происходит регрессия третьего уровня, так как суффикс DNS состоит из трех частей — na, savilltech и net. Если совпадение не найдено, происходит возврат к родительскому домену зоны и осуществляется поиск совпадений для имени savdalfile01.savilltech.net (в данном случае имеет место регрессия второго уровня, так как суффикс имеет две части). По существу, данный механизм позволяет доменам-потомкам получать доступ к ресурсам доменов-родителей, и при этом нет необходимости указывать имя родительского домена в теле запроса DNS.

В системах Server 2008 R2 и Windows 7 впервые появилась возможность настраивать уровень регрессии на стороне клиента DNS. Как администратор, вы можете указать, активирован ли механизм Devolution и на какой уровень регрессии ему разрешен доступ. Например, указав уровень регрессии 2, в процессе разрешения имени вы сможете «опуститься» до корневого домена леса (FRD) второго уровня (например, savilltech.net). Указав уровень 3, вы сможете работать только с доменом DNS третьего уровня (например, na.savilltech.net).

Вы можете настраивать механизм DNS Devolution с помощью групповой политики, используя параметры Primary DNS Suffix Devolution и Primary DNS Suffix Devolution Level, расположенные в узле \Computer Configuration\Policies\Administrative\Templates\Network\DNS Client (экран 5). Также можно напрямую задать значения параметров реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\UseDomainNameDevolution и HKEY_ LOCAL_MACHINE\SYSTEM\Current ControlSet\services\Dnscache\Parameters\DomainNameDevolutionLevel, управляющих работой функции DNS Devolution. Данный механизм полезен в окружениях с многоуровневым пространством имен DNS.

 

Экран 5. Настройка уровня регрессии

DNS Cache Locking

В начале статьи я отметил, что одним из уязвимых мест службы DNS является кэширование серверами DNS результатов рекурсивных запросов (запросы, которые сервер не в состоянии обработать сам и для ответа на которые он обращается за помощью к другим серверам). Кэширование позволяет сохранить время, необходимое для обработки запросов на разрешение одного и того же имени в будущем. Для таких запросов задается определенное время жизни (TTL), по истечении которого запись должна быть проверена на предмет изменения. При взломах происходит фальсификация кэша DNS, позволяющая передавать ложные ответы серверу DNS, просматривать и обновлять данный кэш, таким образом, клиенты, использующие сервер, будут получать неверную информацию.

Функция DNS Cache Locking — новый механизм, появившийся в системе Server 2008 R2, позволяющий уменьшить негативный эффект от фальсификации кэша: он не дает перезаписывать записи кэша DNS в течение всего времени их жизни. То есть если кто-то пытается сфальсифицировать кэш, заменив в нем запись, сервер DNS проигнорирует такую замену. Таким образом поддерживается «чистота» кэша.

Для использования механизма Cache Locking необходимо задать процентную долю времени жизни записей кэша, в течение которых они будут защищены от перезаписи: например, значение 75 означает, что кэшированные записи не могут быть перезаписаны, пока не пройдет 75% времени их жизни. По умолчанию используется значение 100, означающее, что записи не могут быть перезаписаны в течение всего времени жизни. Однако можно изменить это значение, обратившись к параметру реестра HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\DNS\Parameters\CacheLockingPercent. Если значение не задано, используется настройка по умолчанию, то есть 100%.

Еще об NRPT

Выше я рассказал о том, как таблица NRPT помогает настроить механизм обработки запросов для различных зон DNS клиентами и серверами. Таблица NRPT содержит множество записей, и, если DNS-запрос совпадает с одной из записей, он обрабатывается в соответствии с конфигурацией, указанной в данной записи. Если совпадение не найдено, система обрабатывает запрос в соответствии с настройками DNS по умолчанию.

Помимо службы DNSSEC, таблица NRPT используется в работе еще одного ключевого механизма систем Windows 7 и Server 2008 R2, а именно новой функции DirectAccess, позволяющей клиентам с системой Windows 7 подключаться к корпоративным ресурсам, расположенным в любой точке Интернета, не используя каналы VPN. Клиент устанавливает соединение, и механизм DirectAccess обеспечивает безопасное обратное подключение.

Автоматическое использование DirectAccess при доступе к ресурсам вызывает один важный вопрос: как клиентская система Windows 7 определяет, к каким ресурсам корпоративной сети необходимо обращаться через механизм DirectAccess, а к каким — через обычное подключение к Интернету.

Выбор основывается на таблице NRPT: точно так же, как мы настраивали определенные действия механизма DNSSEC для различных имен DNS и IP-адресов, мы можем задать параметры обработки механизма DirectAccess с помощью вкладки DirectAccess, приведенной на экране 6. Если вы хотите проверить правила для данной машины, настроенные через групповую политику, обратитесь к разделу реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\DnsPolicyConfig. Также вы можете создать исключения, позволяющие настроить глобальные правила для пространств имен, но в дальнейшем использовать альтернативные варианты обработки для определенного узла или части пространства имен.

 

Экран 6. Активация механизма DirectAccess

, и я рекомендую вам заменить им устаревшие службы Microsoft DNS, чтобы обеспечить максимальную безопасность работы.

Джон Сэвилл ([email protected]) — директор по технической инфраструктуре компании Geniant, имеет сертификаты CISSP, Security and Messaging MCSE для Windows Server 2003 и звание MVP

Поделитесь материалом с коллегами и друзьями

как установить и настроить систему на VDS

Windows Server 2012 R2 — решение для организации единой инфраструктуры в компании любого размера. WS также применяют для аутентификации и идентификации пользователей. Рассмотрим начало работы с Windows Server 2012 R2: установку, настройку и добавление новых пользователей для удаленного доступа.

Установка Windows Server 2012 R2 на VDS

На хороших хостингах установить Windows Server можно в автоматическом режиме при создании нового VDS. Посмотрим, как это работает, на примере Timeweb.

  1. Открываем панель управления VDS.

  2. Переходим в раздел «Список VDS».

  3. Нажимаем на кнопку «Создать сервер».

  4. Указываем любое имя и комментарий (опционально).

  5. Выбираем в списке операционных систем Windows Server 2012 R2.

  6. Настраиваем конфигурацию сервера: количество ядер процессора, объем оперативной памяти (минимум 512 МБ) и размер хранилища (минимум 32 ГБ).

  7. Включаем защиту от DDoS, если она требуется.

  8. Нажимаем на кнопку «Создать сервер».

Лицензия уже входит в итоговую стоимость сервера. При создании VDS система будет установлена и активирована. Хостер отправит на почту данные для авторизации на сервере, чтобы вы могли его настроить.

Если на хостинге нет автоматической установки Windows Server, то придется инсталлировать систему вручную. Для этого нужно купить лицензию и скачать ISO-образ WS 2012 R2. 

Для установки системы из ISO-образа обычно используется панель VMmanager. Порядок ручной инсталляции такой:

  1. Запускаем VMmanager.

  2. Открываем раздел «Виртуальные машины» в меню слева.

  3. Останавливаем VDS, на который будем устанавливать WS 2012 R2.

  4. Кликаем на кнопку «Диски» на верхней панели.

  5. Выбираем пункт «ISO» на верхней панели.

  6. В строке «Имя образа» выбираем дистрибутив Windows Server, указываем шину «IDE» и порядок загрузки «В начало».

  7. Возвращаемся в раздел «Диски виртуальной машины» и ставим шину IDE для виртуального диска.

  8. Жмем на кнопку «Интерфейсы» на верхней панели.

  9. Выбираем интерфейс и нажимаем на кнопку «Изменить».

  10. Далее – интерфейс «rtl8139». Это нужно для автоматической установки сетевого адаптера.

  11. Возвращаемся в раздел «Виртуальные машины» и запускаем VDS, которую мы остановили на втором шаге.

  12. Переходим в консоль VNC — на верхней панели есть соответствующая кнопка.

В VNC-консоли запустится установка Windows Server 2012 R2. Если вы ставили любую другую версию ОС от Майкрософт, то без проблем здесь разберетесь. 

  1. Нажимаем на кнопку «Установить».

  2. Вводим лицензионный ключ для активации системы.

  3. Выбираем установку с графическим интерфейсом — так будет проще разобраться с настройками.

  4. Принимаем лицензионное соглашение.

  5. Запускаем выборочную установку.

  6. Выбираем диск и при необходимости делим его на части.

  7. Ждем, пока скопируются файлы.

  8. Придумываем пароль администратора.

  9. Ожидаем завершения установки.

Ручная установка занимает заметно больше времени и требует опыта в администрировании. Автоматическая же инсталляция намного быстрее и проще.

Защита от DDoS + CDN в подарок при заказе VDS Timeweb

Обезопасьте свой проект и ускорьте его работу: при заказе любого тарифа вы получаете защиту от DDoS + CDN на 3 месяца бесплатно. Сообщите в поддержку промокод community3.

Заказать
Условия использования промокода

Настройка Windows Server 2012 R2

Сразу после установки рекомендуется установить обновления. 

  1. Открываем «Панель управления».

  2. Переходим в раздел «Система и безопасность».

  3. Открываем «Центр обновления».

  4. Запускаем поиск и установку апдейтов.

Система установлена, обновления есть — теперь приступаем к настройке базовых параметров. 

Первый шаг — изменение имени, чтобы было удобно настраивать подключения.

  1. Открываем раздел «Панель управления» — «Система и безопасность» — «Система».

  2. Нажимаем на ссылку «Изменить параметры».

  3. В появившемся окне на вкладке «Имя компьютера» нажимаем на кнопку «Изменить».

  4. В строке «Имя компьютера» указываем имя сервера, которое будет удобно использовать для настройки подключений. Например, WServer.

  5. Перезагружаем машину для применения параметров.

Следующий шаг — проверка IP-адреса, по которому будет доступен сервер.

  1. Открываем поисковую строку и вводим запрос «ncpa.cpl» и нажимаем на Enter.

  2. Находим основной сетевой адаптер, кликаем по нему правой кнопкой и открываем «Свойства».

  3. Выделяем «Протокол интернета версии 4» и нажимаем на кнопку «Свойства».

  4. Прописываем IP-адрес, маску сети, шлюз по умолчанию, адреса DNS-серверов.

Теперь нужно добавить роли и компоненты.

  1. Запускаем «Диспетчер серверов».

  2. В «Панели мониторинга» нажимаем «Добавить роли и компоненты».

  3. Выбираем тип установки «Установка ролей или компонентов».

  4. На вкладке «Выбор сервера» выделяем свой VDS.

Выбираем из списка стандартные роли, которые подходят для решения большинства задач. Если вам нужны другие роли, отметьте их тоже.

  • DHCP-сервер

  • DNS-сервер

  • Веб-сервер (IIS)

  • Доменные службы Active Directory

  • Сервер приложений

  • Службы политики сети и доступа

  • Службы активации корпоративных лицензий

  • Службы удаленных рабочих столов

  • Удаленный доступ

  • Файловые службы и хранилища

На вкладке «Компоненты» оставляем стандартные отметки. Единственное возможное изменение — включение службы беспроводной локальной сети.

На вкладке «Службы ролей» отмечаем роли, необходимые для работы с удаленными рабочими столами.

  • Лицензирование удаленных рабочих столов

  • Узел виртуализации удаленных рабочих столов

  • Узел сеансов удаленных рабочих столов

  • Шлюз удаленных рабочих столов

В службах ролей удаленного доступа можно также отметить работу с VPN и прокси, если есть такая необходимость.

Доходим до вкладки «Подтверждение». Отмечаем опцию «Автоматический перезапуск конечного сервера, если требуется». Нажимаем на кнопку «Установить» и ждем завершения инсталляции.

После установки нужно все настроить. Начнем с DNS.

Настройка DNS

  1. Открываем «Диспетчер серверов».

  2. Жмемна флажок на верхней панели.

  3. Кликаем на опцию «Повысить роль этого сервера до контроллера домена».

В конфигурации развертывания выбираем режим «Добавить новый лес» и придумываем корневой домен. Название может быть любым — например, domain.com.

На вкладке «Параметры контроллера» указываем новый пароль и нажимаем «Далее». Затем доходим до вкладки «Проверка предварительных требований». Если параметры установлены верно, то в окне будет сообщение о том, что все проверки готовности к установке выставлены успешно. Нажимаем на кнопку «Установить».

После завершения инсталляции перезагружаем сервер и авторизируемся под именем администратора.  

После перезагрузки продолжаем настройку DNS.

  1. Открываем «Диспетчер серверов».

  2. Переходим в меню «Средства» на верхней панели и выбираем пункт «DNS».

  3. В диспетчере DNS разворачиваем ветку DNS — Server — «Зоны обратного просмотра». Кликаем правой кнопкой мыши и выбираем пункт «Создать новую зону».

  4. Выбираем тип зоны «Основная» и отмечаем пункт «Сохранять зону в Active Directory».

  5. Выбираем режим «Для всех DNS-серверов, работающих на контроллерах домена в этом домене».

  6. Отмечаем зону обратного просмотра IPv4.

  7. В строке «Идентификатор сети» выбираем диапазон IP-адресов или имя зоны.

  8. На следующем шаге разрешаем безопасные динамические обновления.

  9. Жмем «Готово» для применения конфигурации.

Настройка DHCP

Следующий шаг — настройка DHCP. Это нужно для того, чтобы сервер мог раздавать диапазон IP.

  1. Открываем «Диспетчер серверов».

  2. Нажимаем на флажок и выбираем пункт «Завершение настройки DHCP».

  3. В разделе «Авторизация» отмечаем пункт «Использовать учетные данные следующего пользователя» и нажимаем на кнопку «Фиксировать».

  4. В разделе «Сводка» нажимаем «Закрыть».

  5. Открываем меню «Средства» на верхней панели и выбираем пункт «DHCP».

  6. Разворачиваем ветку DHCP — «Имя домена» — IPv4. Кликаем по IPv4 правой кнопкой и выбираем пункт «Создать область».

  7. Задаем любое название области.

  8. Прописываем диапазон IP-адресов, которые будет раздавать сервер. Он задается по желанию пользователя.

  9. В следующем окне исключаем определенный диапазон адресов. Этот шаг можно пропустить.

  10. Задаем срок действия IP-адреса для устройства. По истечении указанного периода адрес изменится. 

  11. Отмечаем пункт «Да, настроить эти параметры сейчас».

  12. Добавляем IP-адрес маршрутизатора или пропускаем этот шаг.

  13. Указываем имя домена в качестве родительского домена.

  14. Подтверждаем, что хотим активировать область сейчас.

  15. Нажимаем «Готово» для сохранения конфигурации.

Настройка сервера для подключения по RDP

Чтобы к VDS можно было подключаться по RDP, должны быть установлены следующие роли и компоненты:

  • Службы удаленных рабочих столов.

  • Лицензирование удаленных рабочих столов

  • Узел сеансов удаленных рабочих столов

  • Шлюз удаленных рабочих столов

Все эти роли и компоненты мы установили в предыдущем разделе. Теперь нужно настроить групповую политику.

  1. Открываем «Поиск» на панели инструментов.

  2. Находим и открываем редактор групповых политик — gpedit.msc.

  3. Переходим на ветку «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows» — «Службы удаленных рабочих столов» — «Узел сеансов удаленных рабочих столов» — «Лицензирование».

  4. Разворачиваем пункт «Использовать указанные серверы лицензирования удаленных рабочих столов».

  5. В строке «Использовать серверы лицензий» указываем имя или адрес своего сервера.

  6. Возвращаемся обратно в раздел «Лицензирование» и открываем пункт «Задать режим лицензирования».

  7. Выбираем режим лицензирования — на пользователя или на устройство в зависимости от того, какой тип лицензии имеется.

После настройки групповых политик переходим к самому лицензированию.

  1. Открываем «Панель управления».

  2. Переходим в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования». 

  3. Кликаем по серверу правой кнопкой и нажимаем «Активировать».

  4. Выбираем метод подключения «Авто».

  5. Вводим имя, фамилию, организацию, страну расположения сервера. Можно указать любые данные, они не проверяются.

  6. Запускаем мастер установки лицензий.

  7. Выбираем программу лицензирования, по которой была приобретена лицензия.

  8. Вводим ключ активации, который получили после покупки лицензии.

  9. Указываем количество пользователей/устройств, если оно не определилось автоматически.

  10. Нажимаем «Готово», чтобы завершить работу мастера установки лицензий.

Затем нужно вернуться в раздел «Администрирование» — Remote Desktop Services — «Диспетчер лицензирования» и посмотреть, активирован ли сервер. Если да, значит, настройка успешно завершена. 

На иконке сервера может быть желтый значок предупреждения. Чтобы устранить проблемы, нажимаем на ссылку «Рецензия». В меню будут пункты, которые необходимо отметить.

Добавление пользователей для подключения через RDP

После успешного лицензирования добавляем первого пользователя для подключения через RDP.

  1. Открываем «Диспетчер серверов».

  2. Раскрываем меню «Средства», выбираем пункт «Пользователи и компьютеры Active Directory».

  3. Разворачиваем раздел «Пользователи и компьютеры».

  4. Кликаем правой кнопкой по своему домену и выбираем пункт «Создать» — «Подразделение».

  5. Задаем имя подразделения — например, «Пользователи».

  6. Кликаем правой кнопкой по созданному подразделению и выбираем пункт «Создать» — «Пользователь».

  7. В карточке пользователя задаем параметры: имя, фамилию, имя на латинице для авторизации.

  8. Указываем пароль и настраиваем его параметры — например, можно запретить смену пароля пользователем и сделать срок действия неограниченным.

  9. Нажимаем «Готово» для сохранения конфигурации.

Аналогичным образом добавляются другие пользователи, которые могут удаленно подключаться к серверу с Windows Server 2012. 

Базовая настройка Windows Server 2012 R2 завершена.

Рекомендации

по настройке клиента системы доменных имен (DNS) — Windows Server

  • 8 минут на чтение

В этой статье

В этой статье описываются передовые методы настройки параметров клиента системы доменных имен (DNS). Рекомендации в этой статье предназначены для установки сред Windows 2000 Server или Windows Server 2003, в которых нет предварительно определенной инфраструктуры DNS.

Исходная версия продукта: Windows Server 2012 R2
Оригинальный номер базы знаний: 825036

Контроллер домена с установленным DNS

На контроллере домена, который также действует как DNS-сервер, Microsoft рекомендует настроить параметры DNS-клиента контроллера домена в соответствии со следующими спецификациями:

  • Если сервер является первым и единственным контроллером домена, который вы устанавливаете в домене, и на сервере работает DNS, настройте параметры клиента DNS, чтобы они указывали на IP-адрес этого первого сервера.Например, вы должны настроить параметры DNS-клиента так, чтобы он указывал на самого себя. Не указывайте другие DNS-серверы, пока у вас не будет другого контроллера домена, на котором размещен DNS в этом домене.

  • В процессе DCPromo необходимо настроить дополнительные контроллеры домена, чтобы они указывали на другой контроллер домена, на котором работает DNS в их домене и сайте, и на котором размещается пространство имен домена, в котором установлен новый контроллер домена. или при использовании стороннего DNS-сервера для DNS-сервера, на котором размещена зона для домена Active Directory этого DC.Не настраивайте контроллер домена для использования собственной службы DNS для разрешения имен, пока вы не убедитесь, что входящая и исходящая репликация Active Directory функционирует и обновлена. Невыполнение этого требования может привести к появлению «островов» DNS.
    Для получения дополнительных сведений по связанной теме щелкните следующий номер статьи в базе знаний Microsoft:

    275278 DNS-сервер становится островом, когда контроллер домена указывает на себя для _msdcs. ForestDnsName , домен

  • После того, как вы убедились, что репликация завершилась успешно, DNS можно настроить на каждом контроллере домена одним из двух способов, в зависимости от требований среды. Возможные варианты конфигурации:

    • Настройте предпочтительный DNS-сервер в свойствах TCP / IP на каждом контроллере домена для использования себя в качестве основного DNS-сервера.
      • Преимущества:
        Гарантирует, что запросы DNS, исходящие от контроллера домена, будут разрешены локально, если это возможно.Сведет к минимуму влияние DNS-запросов контроллера домена на сеть.
      • Недостатки:
        Зависит от репликации Active Directory для обеспечения актуальности зоны DNS. Длительные сбои репликации могут привести к неполному набору записей в зоне.
    • Настройте все контроллеры домена на использование централизованного DNS-сервера в качестве предпочитаемого DNS-сервера.
      • Преимущества:
        • Минимизирует зависимость от репликации Active Directory для обновлений зоны DNS записей локатора контроллера домена. Он включает более быстрое обнаружение новых или обновленных записей локатора контроллера домена, поскольку время задержки репликации не является проблемой.
        • Предоставляет единственный авторитетный DNS-сервер, который может быть полезен при устранении проблем репликации Active Directory.
      • Недостатки:
        • Будет более активно использовать сеть для разрешения DNS-запросов, исходящих от контроллера домена
        • Разрешение имени

        • DNS может зависеть от стабильности сети. Потеря подключения к предпочтительному DNS-серверу приведет к невозможности разрешить DNS-запросы от контроллера домена.Это может привести к явной потере связи даже с местами, которые не находятся в потерянном сегменте сети.
  • Возможна комбинация этих двух стратегий: удаленный DNS-сервер установлен как предпочтительный DNS-сервер, а локальный контроллер домена установлен как альтернативный (или наоборот). Несмотря на то, что эта стратегия имеет много преимуществ, перед изменением конфигурации следует учесть ряд факторов:

    • DNS-клиент не использует каждый из DNS-серверов, перечисленных в конфигурации TCP / IP для каждого запроса. По умолчанию при запуске DNS-клиент пытается использовать сервер из записи Preferred DNS server. Если этот сервер не отвечает по какой-либо причине, DNS-клиент переключится на сервер, указанный в записи альтернативного DNS-сервера. DNS-клиент будет продолжать использовать этот альтернативный DNS-сервер до тех пор, пока:
      • Не отвечает на запрос DNS, или:
      • Достигнуто значение ServerPriorityTimeLimit (по умолчанию 15 минут).

Примечание

Только отказ от ответа заставит DNS-клиент переключить предпочтительные DNS-серверы; получение достоверного, но неправильного ответа не заставляет DNS-клиент пробовать другой сервер.В результате настройка контроллера домена с самим собой и другим DNS-сервером в качестве предпочтительного и альтернативного серверов помогает гарантировать получение ответа, но не гарантирует точности этого ответа. Ошибки обновления записи DNS на любом из серверов могут привести к несогласованному разрешению имен.

  • Не настраивайте параметры клиента DNS на контроллерах домена так, чтобы они указывали на серверы DNS вашего поставщика услуг Интернета (ISP). Если вы сконфигурируете настройки DNS-клиента так, чтобы они указывали на DNS-серверы вашего интернет-провайдера, служба Netlogon на контроллерах домена не регистрирует правильные записи для службы каталогов Active Directory.С помощью этих записей другие контроллеры домена и компьютеры могут найти информацию, связанную с Active Directory. Контроллер домена должен зарегистрировать свои записи на собственном DNS-сервере.

Для пересылки внешних DNS-запросов добавьте DNS-серверы провайдера в качестве серверов пересылки DNS в консоли управления DNS. Если вы не настраиваете серверы пересылки, используйте серверы корневых ссылок по умолчанию. В обоих случаях, если вы хотите, чтобы внутренний DNS-сервер перенаправлял на DNS-сервер Интернета, вы также должны удалить корень «.»(также известная как» точка «) зона в консоли управления DNS в папке Forward Lookup Zones .

  • Если на контроллере домена, на котором размещается DNS, установлено несколько сетевых адаптеров, необходимо отключить один адаптер для регистрации имени DNS.

Для получения дополнительных сведений о том, как правильно настроить DNS в этой ситуации, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Microsoft:

292822 Разрешение имен и проблемы с подключением на сервере маршрутизации и удаленного доступа, который также выполняет DNS или WINS

Чтобы проверить настройки DNS-клиента вашего контроллера домена, введите следующую команду в командной строке, чтобы просмотреть подробные сведения о вашей конфигурации интернет-протокола (IP): ipconfig / all
Чтобы изменить конфигурацию DNS-клиента контроллера домена, выполните следующие действия:

  1. Щелкните правой кнопкой мыши Мое сетевое окружение , а затем выберите Свойства .

  2. Щелкните правой кнопкой мыши Подключение по локальной сети , а затем выберите Свойства .

  3. Выберите Протокол Интернета (TCP / IP) , а затем выберите Свойства .

  4. Выберите Advanced , а затем выберите вкладку DNS . Чтобы настроить информацию DNS, выполните следующие действия:

    1. В поле адресов DNS-серверов в поле в порядке использования добавьте рекомендуемые адреса DNS-серверов.
    2. Если для параметра Для разрешения неквалифицированных имен установлено значение Добавлять эти DNS-суффиксы (по порядку), Microsoft рекомендует сначала указать доменное имя Active Directory DNS (вверху).
    3. Убедитесь, что DNS-суффикс для этого подключения совпадает с именем домена Active Directory.
    4. Убедитесь, что «Зарегистрировать адреса этого подключения в DNS » установлен.
    5. Трижды нажмите OK .
  5. Если вы измените какие-либо настройки клиента DNS, вы должны очистить кэш распознавателя DNS и зарегистрировать записи ресурсов DNS. Чтобы очистить кэш преобразователя DNS, введите в командной строке следующую команду: ipconfig / flushdns
    Чтобы зарегистрировать записи ресурсов DNS, введите в командной строке следующую команду: ipconfig / registerdns

  6. Чтобы проверить правильность записей DNS в базе данных DNS, запустите консоль управления DNS.Для имени компьютера должна быть запись хоста. (Эта запись хоста является записью «A» в расширенном представлении.) Также должна быть запись начала авторизации (SOA) и запись сервера имен (NS), указывающая на контроллер домена.

Контроллер домена без установленного DNS

Если вы не используете DNS, интегрированный в Active Directory, и у вас есть контроллеры домена, на которых не установлен DNS, Microsoft рекомендует настроить параметры клиента DNS в соответствии со следующими спецификациями:

  • Настройте параметры DNS-клиента на контроллере домена так, чтобы они указывали на DNS-сервер, уполномоченный для зоны, соответствующей домену, участником которого является компьютер. Локальный первичный и вторичный DNS-серверы предпочтительнее из-за соображений трафика глобальной сети (WAN).
  • Если локальный DNS-сервер недоступен, укажите DNS-сервер, доступный по надежному каналу WAN. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры клиента DNS на контроллерах домена так, чтобы они указывали на серверы DNS вашего провайдера. Вместо этого внутренний DNS-сервер должен перенаправить DNS-серверы провайдера для разрешения внешних имен.

Рядовые серверы Windows 2000 Server и Windows Server 2003

На рядовых серверах Windows 2000 Server и Windows Server 2003 Microsoft рекомендует настроить параметры DNS-клиента в соответствии со следующими спецификациями:

  • Настройте параметры первичного и вторичного DNS-клиентов, чтобы они указывали на локальные первичный и вторичный DNS-серверы (если локальные DNS-серверы доступны), на которых размещается зона DNS для домена Active Directory компьютера.
  • Если нет доступных локальных DNS-серверов, укажите DNS-сервер для домена Active Directory этого компьютера, к которому можно получить доступ через надежное соединение WAN. Время работы и пропускная способность определяют надежность.
  • Не настраивайте параметры DNS клиента так, чтобы они указывали на серверы DNS вашего поставщика Интернет-услуг. В этом случае могут возникнуть проблемы при попытке присоединить сервер под управлением Windows 2000 или Windows Server 2003 к домену или при попытке войти в домен с этого компьютера.Вместо этого внутренний DNS-сервер должен перенаправить DNS-серверы провайдера для разрешения внешних имен.

Серверы, не являющиеся участниками Windows 2000 Server и Windows Server 2003

  • Если у вас есть серверы, которые не настроены как часть домена, вы все равно можете настроить их на использование DNS-серверов, интегрированных в Active Directory, в качестве первичных и вторичных DNS-серверов. Если в вашей среде есть серверы, не являющиеся членами, которые используют DNS, интегрированный в Active Directory, они не регистрируют свои записи DNS динамически в зоне, настроенной для приема только безопасных обновлений.
  • Если вы не используете DNS, интегрированный в Active Directory, и хотите настроить серверы, не являющиеся членами, как для внутреннего, так и для внешнего разрешения DNS, настройте параметры клиента DNS так, чтобы они указывали на внутренний DNS-сервер, который пересылает данные в Интернет.
  • Если требуется только разрешение DNS-имен Интернета, вы можете настроить параметры DNS-клиента на серверах, не являющихся членами, так, чтобы они указывали на DNS-серверы ISP.

Дополнительная информация

Дополнительные сведения о DNS в Windows 2000 и DNS в Windows Server 2003 см. В следующей статье:

2 Часто задаваемые вопросы о Windows 2000 DNS и Windows Server 2003 DNS

Настройка вторичного сервера имен — Windows Server

  • 4 минуты на чтение

В этой статье

В этой статье с пошаговыми инструкциями описывается, как настроить вторичный DNS-сервер.

Исходная версия продукта: Windows Server 2003
Оригинальный номер базы знаний: 816518

Определите вторичный сервер имен

На первичном DNS-сервере определите дополнительный сервер имен. Для этого выполните следующие действия:

  1. Щелкните Пуск , укажите Администрирование , а затем щелкните DNS .

  2. В дереве консоли разверните Имя хоста (где Имя хоста — это имя хоста DNS-сервера).

  3. В дереве консоли разверните Зоны прямого просмотра .

  4. Щелкните правой кнопкой мыши нужную зону (например, example.com ), а затем щелкните Свойства .

  5. Щелкните вкладку Серверы имен , а затем щелкните Добавить .

  6. В поле «Полное доменное имя сервера » (FQDN) введите имя узла сервера, который вы хотите добавить.

    Например, введите namesvr2.example.com .

  7. В поле IP-адрес введите IP-адрес сервера имен, который вы хотите добавить (например, 192.168.0.22), а затем щелкните Добавить .

  8. Щелкните ОК , а затем щелкните ОК .

  9. В дереве консоли щелкните Зоны обратного просмотра , щелкните правой кнопкой мыши нужную зону и выберите Свойства .

  10. Щелкните вкладку Серверы имен , а затем щелкните Добавить .

  11. В поле Имя сервера введите имя хоста сервера, который вы хотите добавить.

    Например, namesvr2.example.com .

  12. В поле IP-адрес введите IP-адрес сервера имен, который вы хотите добавить (например, 192. 168.0.22), а затем щелкните Добавить .

  13. Дважды нажмите ОК .

Установить DNS на вторичный сервер имен

Чтобы установить службу DNS, выполните следующие действия:

  1. Войдите в систему как администратор.

  2. Щелкните Пуск , укажите на Панель управления , а затем щелкните Установка и удаление программ .

  3. Щелкните Добавить \ Удалить компоненты Windows .

  4. В списке Компоненты щелкните Сетевые службы (не щелкайте, чтобы установить или снимать флажок), а затем щелкните Подробности .

  5. Установите флажок Система доменных имен (DNS) , а затем нажмите ОК .

  6. На странице Компоненты Windows щелкните Далее .

  7. Вставьте компакт-диск Windows 2003 Server при появлении запроса и нажмите OK .

  8. На странице Завершение мастера компонентов Windows нажмите Готово .

  9. Щелкните Закрыть .

    DNS теперь установлен. Чтобы запустить оснастку DNS, щелкните Пуск , выберите Администрирование , а затем щелкните DNS .

Настроить зону прямого просмотра

Чтобы настроить зону прямого просмотра на вторичном сервере имен, выполните следующие действия:

  1. Войдите на вторичный сервер имен как администратор.
  2. Щелкните Пуск , укажите Администрирование , а затем щелкните DNS .
  3. В дереве консоли в разделе DNS щелкните Имя хоста (где Имя хоста — это имя хоста DNS-сервера).
  4. В дереве консоли щелкните Зоны прямого просмотра .
  5. Щелкните правой кнопкой мыши Зоны прямого просмотра , а затем щелкните Новая зона .
  6. При запуске мастера новой зоны щелкните Далее , чтобы продолжить.
  7. Щелкните Secondary Zone , а затем щелкните Next .
  8. В поле Имя введите имя зоны (например, example.com ), а затем щелкните Далее .
  9. На странице Master DNS Servers введите IP-адрес первичного сервера имен для этой зоны, щелкните Add , щелкните Next , а затем щелкните Finish .

Настроить зону обратного просмотра

Чтобы настроить зону обратного просмотра на вторичном сервере имен, выполните следующие действия:

  1. Щелкните Пуск , укажите Администрирование , а затем щелкните DNS .

  2. В дереве консоли щелкните Имя хоста (где Имя хоста — это имя хоста DNS-сервера).

  3. В дереве консоли щелкните Зоны обратного просмотра .

  4. Щелкните правой кнопкой мыши Зоны обратного просмотра , а затем щелкните Новая зона .

  5. Когда запустится Мастер создания новой зоны, нажмите Далее , чтобы продолжить.

  6. Щелкните Дополнительная зона , а затем щелкните Далее .

  7. В поле Network ID введите идентификатор сети (например, 192.168.0), а затем щелкните Next .

    Примечание

    ID сети — это часть адреса TCP / IP, относящаяся к сети.

    Дополнительные сведения о сетях TCP / IP см. В разделе Общие сведения об адресации TCP / IP и основах создания подсетей.

  8. На странице Файл зоны щелкните Далее , а затем щелкните Завершить .

Устранение ошибки: зона не загружается DNS-сервером

При выборе зоны на вторичном сервере имен может появиться следующее сообщение об ошибке в правой панели окна DNS:

Зона не загружена DNS-сервером

DNS-сервер обнаружил ошибку при попытке загрузить зону.Не удалось передать данные зоны с главного сервера.

Эта проблема может возникнуть, если передача зон отключена. Чтобы решить эту проблему, выполните следующие действия:

  1. Войдите в систему на компьютере с первичным сервером имен как администратор.

  2. Щелкните Пуск , укажите Администрирование , а затем щелкните DNS .

  3. В дереве консоли щелкните Имя хоста (где Имя хоста — это имя хоста DNS-сервера).

  4. В дереве консоли щелкните Зоны прямого просмотра .

  5. В разделе Зоны прямого просмотра щелкните правой кнопкой мыши нужную зону (например, , пример . com), а затем выберите Свойства .

  6. Щелкните вкладку Переносы зоны .

  7. Установите флажок Разрешить перенос зоны , а затем щелкните один из следующих параметров:

    • На любой сервер
    • Только для серверов, перечисленных на вкладке «Серверы имен»
    • Только для следующих серверов .

    Примечание

    Если вы щелкните Только для следующих серверов , введите IP-адрес вторичного сервера имен в поле IP-адрес , а затем нажмите Добавить .

  8. Щелкните Применить , а затем щелкните ОК .

  9. Закройте оснастку DNS.

Устранение неполадок DNS

Для устранения неполадок и получения информации о конфигурации DNS используйте утилиту Nslookup.

Для получения дополнительной информации о том, как установить и настроить DNS, см. Как установить и настроить DNS-сервер в Windows Server 2003.

Настройка серверов пересылки DNS в Windows

В типичной сети Microsoft Windows все рабочие станции обращаются к контроллерам домена в поисках DNS. Контроллеры домена должны обращаться к своим собственным DNS-серверам, чтобы они могли разрешать данные о сети. Если какой-либо компьютер должен решить что-то еще, что не размещено внутри, ему нужно знать, где искать.Здесь на помощь приходят серверы пересылки DNS. Windows 2012 использует другой метод настройки пересылки DNS, чем Windows 2008, который также отличается от Windows 2000 и 2003. Обратитесь к разделу B. Windows 2008 этой статьи, если вы используете сервер Windows 2008. См. Раздел C. Windows 2003/2000 этой статьи, если вы используете сервер Windows 2003 или Windows 2000.

SecureSchool, ISBossBox, LibraryDoor, Microsoft Windows Server

А.Окна 2012

A1. На сервере Windows Server 2012/2012 R2 откройте меню «Пуск» и нажмите «Администрирование».

A2. Когда откроются средства администрирования, дважды щелкните значок консоли DNS.

Откроется диспетчер DNS.

A3. В диспетчере DNS дважды щелкните Серверы пересылки.

Вы должны попасть на вкладку «Серверы пересылки» в свойствах сервера.

A4. Нажмите кнопку «Изменить…».

Откроется диалоговое окно «Редактировать серверы пересылки».

А5. Введите IP-адреса для вашего устройства SecureSchool.

Когда вы закончите, он должен выглядеть примерно так.

А6. Щелкните ОК, чтобы закрыть диалоговое окно.

После нажатия кнопки ОК вы вернетесь в свойства DNS-сервера. Это должно выглядеть примерно так, как на скриншоте ниже.

A7. По умолчанию установлен флажок «Использовать корневые ссылки, если серверы пересылки недоступны». Снимите флажок.

А8. Когда все будет готово, нажмите ОК.

Теперь, когда вы обновили свои пересылки. Вам нужно будет очистить кеш DNS.

А9. Щелкните меню «Просмотр», а затем «Дополнительно». Это позволит вам увидеть раздел кэшированных запросов в консоли DNS.

A10. Щелкните правой кнопкой мыши Cached Lookups в диспетчере DNS и выберите Clear Cache.

Готово! Помните, что если у вас несколько DNS-серверов Windows Server 2012/2012 R2, вам нужно будет выполнить это изменение на каждом из них. Вам также необходимо запустить ipconfig.exe / flushdns на ваших клиентах, если вы хотите, чтобы это сразу же приступило к использованию SecureSchool. В противном случае вы можете подождать, и они переместятся сами по себе, когда истечет срок хранения элементов в кэше DNS.

Б. Окна 2008

B1.Чтобы настроить серверы пересылки в Microsoft Windows Server 2008, выберите «Пуск» -> «Программы» -> «Администрирование» -> «DNS». Это запустит консоль управления DNS.

B2. После запуска щелкните правой кнопкой мыши имя одного из серверов и перейдите в Свойства. Вы увидите окно, которое выглядит так:

B3. Как показано выше, выберите вкладку «Серверы пересылки».

  • Нажмите «Изменить» и добавьте IP-адрес своего устройства SecureSchool в качестве сервера пересылки.
  • Удалите все остальные серверы пересылки, которые могут быть в этом списке.
  • Снимите флажок «Использовать корневые ссылки, если серверы пересылки недоступны» .

Повторите этот процесс для каждого из ваших DNS-серверов в сети

C. Windows 2003/2000

C1. Чтобы настроить серверы пересылки в Microsoft Windows Server 2003 или 2000, выберите «Пуск» -> «Программы» -> «Администрирование» -> «DNS». Это запустит консоль управления DNS.

C2. После запуска щелкните правой кнопкой мыши имя одного из серверов и перейдите в Свойства. Вы увидите окно, которое выглядит так:

C3. Как показано выше, выберите вкладку «Серверы пересылки».

  • Добавьте IP-адрес вашего устройства SecureSchool в качестве сервера пересылки.
  • Удалите все остальные серверы пересылки, которые могут быть в этом списке.
  • Установите флажок « Не использовать рекурсию для этого домена ».

Повторите этот процесс для каждого из ваших DNS-серверов в вашей сети.

Как мне … Установить и настроить DNS-сервер в Windows Server 2008?

Без DNS компьютерам было бы очень сложно общаться друг с другом. Однако большинство администраторов Windows по-прежнему полагаются на WINS для разрешения имен в локальных сетях, а некоторые практически не имеют опыта работы с DNS.Стивен Уоррен объясняет, как установить, настроить и устранить неполадки DNS-сервера Windows Server 2008.

Как многие из вас, вероятно, знают, система доменных имен (DNS) теперь является предпочтительной системой разрешения имен в Windows. Без него компьютерам было бы очень сложно общаться друг с другом. Однако большинство администраторов Windows по-прежнему полагаются на службу Windows Internet Name Service (WINS) для разрешения имен в локальных сетях, а некоторые практически не имеют опыта работы с DNS.Если вы попадаете в эту категорию, читайте дальше. Мы объясним, как установить, настроить и устранить неполадки DNS-сервера Windows Server 2008.

Это сообщение в блоге также доступно в виде PDF-файла для загрузки TechRepublic и фотогалереи TechRepublic.

Установка

Вы можете установить DNS-сервер из Панели управления или при повышении уровня рядового сервера до контроллера домена (DC) ( Рисунок A ). Если во время акции DNS-сервер не будет найден, у вас будет возможность установить его.

Рисунок A
Контроллер домена

Чтобы установить DNS-сервер из панели управления, выполните следующие действия:

  • В меню «Пуск» выберите | Панель управления | Инструменты администрирования | Диспетчер серверов.
  • Разверните и щелкните Роли ( Рисунок B ).
  • Выберите Добавить роли и следуйте указаниям мастера, выбрав роль DNS ( Рисунок C ).
  • Нажмите «Установить», чтобы установить DNS в Windows Server 2008 ( Рисунок D ).
Рисунок B
Разверните и щелкните Роли
Рисунок C
роль DNS
Рисунок D
Установить DNS

Консоль DNS и конфигурация

После установки DNS вы можете найти консоль DNS в Пуск | Все программы | Инструменты администрирования | DNS. Windows 2008 предоставляет мастер, помогающий настроить DNS.

При настройке DNS-сервера вы должны быть знакомы со следующими понятиями:

  • Зона прямого просмотра
  • Зона обратного просмотра
  • Типы зон

Зона прямого просмотра — это просто способ преобразования имен хостов в IP-адреса.Зона обратного просмотра позволяет DNS-серверу обнаруживать DNS-имя хоста. По сути, это полная противоположность зоны прямого просмотра. Зона обратного просмотра не требуется, но ее легко настроить, и она позволит вашему серверу Windows Server 2008 использовать все функции DNS.

При выборе типа зоны DNS у вас есть следующие варианты: интегрированная Active Directory (AD), стандартная первичная и стандартная вторичная. AD Integrated хранит информацию о базе данных в AD и обеспечивает безопасное обновление файла базы данных.Эта опция появится, только если настроена AD. Если он настроен и вы выберете этот параметр, AD будет хранить и реплицировать файлы вашей зоны.

Стандартная основная зона хранит базу данных в текстовом файле. Этот текстовый файл можно использовать совместно с другими DNS-серверами, которые хранят свою информацию в текстовом файле. Наконец, стандартная вторичная зона просто создает копию существующей базы данных с другого DNS-сервера. Это в основном используется для балансировки нагрузки.

Чтобы открыть инструмент настройки DNS-сервера:

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Выделите имя своего компьютера и выберите Действие | Настроить DNS-сервер …, чтобы запустить мастер настройки DNS-сервера.
  3. Нажмите Далее и выберите настройку следующих параметров: зона прямого просмотра, зона прямого и обратного просмотра, только корневые ссылки ( Рисунок E ).
  4. Нажмите Далее, а затем нажмите Да, чтобы создать зону прямого просмотра ( Рисунок F ).
  5. Выберите соответствующий переключатель, чтобы установить требуемый тип зоны (, рисунок G ).
  6. Щелкните Далее и введите имя создаваемой зоны.
  7. Щелкните Далее, а затем щелкните Да, чтобы создать зону обратного просмотра.
  8. Повторите шаг 5.
  9. Выберите, хотите ли вы зону обратного просмотра IPv4 или IPv6 (, рисунок H, ).
  10. Нажмите Далее и введите информацию для определения зоны обратного просмотра (, рис. I, ).
  11. Вы можете создать новый файл или использовать существующий файл DNS (, рисунок J ).
  12. В окне «Динамическое обновление» укажите, как DNS принимает безопасные, небезопасные или нулевые динамические обновления.
  13. Если вам нужно применить сервер пересылки DNS, вы можете применить его в окне «Серверы пересылки». ( Рисунок K ).
  14. Нажмите «Готово» (, рисунок L ).
Рисунок E
Настроить
Рисунок F
Зона прямого просмотра
Рисунок G
Желаемая зона
Рисунок H

IPv4 или IPv6
Рисунок I
Зона обратного просмотра
Рисунок J
Выберите новый или существующий файл DNS
Рисунок K
Форвардеры окно
Рисунок L
Отделка

Управление записями DNS

Теперь вы установили и настроили свой первый DNS-сервер и готовы добавлять записи в созданные вами зоны.Доступны различные типы записей DNS. Многие из них вы никогда не воспользуетесь. Мы рассмотрим эти часто используемые записи DNS:

  • Начало полномочий (SOA)
  • Серверы имен
  • Хост (A)
  • Указатель (PTR)
  • Каноническое имя (CNAME) или псевдоним
  • Почтовый обмен (MX)

Запись начала полномочий (SOA)

Запись ресурса Start of Authority (SOA) всегда стоит первой в любой стандартной зоне. Вкладка Start of Authority (SOA) позволяет вносить любые необходимые корректировки.Вы можете изменить основной сервер, на котором хранится запись SOA, и вы можете изменить человека, ответственного за управление SOA. Наконец, одной из наиболее важных функций Windows 2000 является то, что вы можете изменять конфигурацию DNS-сервера, не удаляя зоны и не создавая заново колесо (, рисунок M, ).

Фигура M
Изменить конфигурацию

Серверы имен

Серверы имен определяют все серверы имен для определенного домена. С помощью этой записи вы настраиваете все первичные и вторичные серверы имен.

Чтобы создать сервер имен, выполните следующие действия:

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Расширьте зону прямого просмотра.
  3. Щелкните правой кнопкой мыши соответствующий домен и выберите «Свойства» (, рисунок N ).
  4. Выберите вкладку «Серверы имен» и нажмите «Добавить».
  5. Введите соответствующее имя сервера FQDN и IP-адрес DNS-сервера, который вы хотите добавить.
Рисунок N
Сервер имен

Записи хоста (A)

Запись хоста (A) сопоставляет имя хоста с IP-адресом.Эти записи помогают легко идентифицировать другой сервер в зоне прямого просмотра. Записи хоста улучшают производительность запросов в средах с несколькими зонами, и вы также можете одновременно создать запись Pointer (PTR). Запись PTR преобразует IP-адрес в имя хоста.

Чтобы создать запись хоста:

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Разверните зону прямого просмотра и щелкните папку, представляющую ваш домен.
  3. В меню «Действие» выберите «Новый хост».
  4. Введите имя и IP-адрес создаваемого хоста (, рис. O ).
  5. Установите флажок «Создать запись связанного указателя (PTR)», если вы хотите одновременно создать запись PTR. В противном случае вы можете создать его позже.
  6. Нажмите кнопку «Добавить хост».
Фиг. O
Запись хоста (A)

Указатель (PTR) записей

Запись указателя (PTR) создает соответствующую запись в зоне обратного просмотра для обратных запросов.Как вы видели на рисунке H, у вас есть возможность создать запись PTR при создании записи хоста. Если вы не выбрали создание PTR-записи в то время, вы можете сделать это в любой момент.

Для создания записи PTR:

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Выберите зону обратного просмотра, в которой вы хотите создать PTR-запись.
  3. В меню «Действие» выберите «Новый указатель» (, рисунок P ).
  4. Введите IP-номер хоста и имя хоста.
  5. Щелкните ОК.
Рисунок P
Новый указатель

Каноническое имя (CNAME) или записи псевдонима

Запись канонического имени (CNAME) или псевдонима позволяет DNS-серверу иметь несколько имен для одного хоста. Например, запись псевдонима может иметь несколько записей, указывающих на один сервер в вашей среде. Это общий подход, если и ваш веб-сервер, и почтовый сервер работают на одном компьютере.

Для создания псевдонима DNS:

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Разверните зону прямого просмотра и выделите папку, представляющую ваш домен.
  3. В меню «Действие» выберите «Новый псевдоним».
  4. Введите свой псевдоним (, рисунок Q ).
  5. Введите полное доменное имя (FQDN).
  6. Щелкните ОК.
Фигура Q

Псевдоним

Записи почтового обмена (MX)

Записи почтового обмена помогают идентифицировать почтовые серверы в зоне вашей базы данных DNS.С помощью этой функции вы можете установить приоритет, какие почтовые серверы получат наивысший приоритет. Создание записей MX поможет вам отслеживать местоположение всех ваших почтовых серверов.

Для создания записи почтового обмена (MX):

  1. Выберите DNS в папке «Администрирование», чтобы открыть консоль DNS.
  2. Разверните зону прямого просмотра и выделите папку, представляющую ваш домен.
  3. В меню «Действие» выберите «Новый почтовый обменник».
  4. Введите хост или домен (, рис. R ).
  5. Введите почтовый сервер и приоритет почтового сервера.
  6. Щелкните ОК.
Рисунок R
Хост или домен

Другие новые записи

Вы можете создавать много других типов записей. Чтобы получить полное описание, выберите Действие | Другие новые записи из консоли DNS (, рис. S ). Выберите запись по вашему выбору и просмотрите описание.

Рисунок S
Создание записей из консоли DNS

Устранение неполадок DNS-серверов

Утилита nslookup станет вашим лучшим другом при устранении неполадок DNS-серверов.Эта утилита проста в использовании и очень универсальна. Это служебная программа командной строки, входящая в состав Windows 2008. С помощью nslookup вы можете выполнять тестирование запросов ваших DNS-серверов. Эта информация полезна при устранении неполадок с разрешением имен и отладке других проблем, связанных с сервером. Вы можете получить доступ к nslookup (, рисунок T ) прямо из консоли DNS.

Рисунок T
Утилита Nslookup

Пошаговая инструкция: установка и настройка доменных служб Active Directory в Windows Server 2008 — часть 1

Пошаговая инструкция: установка и настройка доменных служб Active Directory в Windows Server 2008 — часть 1

Если вы не знали, IGX позволяет использовать внешнюю систему аутентификации пользователей.Так что вы можете управлять одной базой данных пользователей для нескольких систем от разных производителей. Доменные службы Active Directory, разработанные Microsoft, представляют собой службу каталогов для доменных сетей Windows. Он превращает сервер в контроллер домена, который аутентифицирует и авторизует всех пользователей и компьютеры в сети домена.

В Windows Server 2008 R2 окно задачи начальной настройки (ICT) запускается во время запуска. Если он был закрыт, его можно открыть, выполнив команду « oobe.exe »в командной строке.

Настройка сети
  • В окне ICT в разделе Предоставить информацию о компьютере щелкните Настроить сеть . Щелкните правой кнопкой мыши Подключение по локальной сети , выберите Свойства .
  • Выберите Интернет-протокол версии 4 (TCP / IPv4) и щелкните Свойства . Дайте серверу статический IP-адрес, а для предпочтительного DNS-сервера он будет 127.0.0.1. По завершении нажмите OK .
Добавить роли
  • В окне ICT в разделе Настроить этот сервер щелкните Добавить роли .
  • В мастере добавления ролей щелкните Далее , чтобы перейти к списку ролей сервера . Проверьте Доменные службы Active Directory , и появится всплывающее окно. Щелкните Добавить необходимые функции . Щелкните Далее , Далее и Установить .По завершении нажмите Закройте .
Настройка контроллера домена
  • Запустите команду « dcpromo.exe ». Откроется мастер установки доменных служб Active Directory .
  • Нажмите Далее , пока пользователь не увидит Выберите конфигурацию развертывания . Выберите Создайте новый домен в новом лесу и нажмите Далее . Введите имя и добавьте « .local » после имени ( например: igx.local ) для локального домена и нажмите Далее .
  • В Set Forest Functional Level выберите Windows Server 2008 R2 и нажмите Next .
  • Убедитесь, что в дополнительных параметрах контроллера домена установлен флажок DNS-сервер , и нажмите Далее . В появившемся окне нажмите Да , чтобы продолжить.
  • В Расположение для базы данных, файлов журнала и SYSVOL пользователь может либо изменить расположение папки базы данных, либо использовать расположение по умолчанию.Когда закончите, нажмите Далее .
  • В пароле администратора режима восстановления служб каталогов введите пароль для учетной записи администратора режима восстановления и нажмите Далее .
  • В Summary щелкните Next , и установка начнется. Нажмите Готово и нажмите Перезагрузить сейчас .
Создать пользователей
  • Перейдите к Запустите , Администрирование , выберите Пользователи и компьютеры Active Directory .
  • Разверните только что созданный домен на левой панели и дважды щелкните Пользователи . Все пользователи будут отображаться на правой панели. Щелкните правой кнопкой мыши пустое место на правой панели, выберите Новый , выберите Пользовательский .
  • Введите сведения о новом пользователе и нажмите Далее . Введите пароль. Пользователь может либо снять флажок Пользователь должен сменить пароль при следующем входе в систему , либо оставьте его отмеченным и нажмите Далее .
Настройка DHCP
  • Перейдите к Запустите , Администрирование , выберите Server Manager .
  • В Server Manager щелкните Roles на левой панели. На правой панели в разделе Сводка ролей щелкните Добавить роли , появится мастер добавления ролей .
  • В мастере добавления ролей щелкните Далее , чтобы перейти к списку ролей сервера . Отметьте DHCP-сервер и нажмите Далее .
  • В Select Network Connection Bindings нажмите Next .
  • В Укажите настройки DNS-сервера IPv4 , убедитесь, что родительский домен — это вновь созданный домен, который называется cool.local . Для предпочтительного IPv4-адреса DNS-сервера введите IP-адрес сервера 10.0.2.15, а не IP-адрес локального хоста (127.0.0.1). Щелкните Проверить , чтобы проверить действительность IP. Для IPv4-адреса альтернативного DNS-сервера оставьте его пустым и нажмите Далее .
  • В Укажите настройки сервера WINS IPv4 , пользователь может оставить его по умолчанию и нажать Далее .
  • В Добавить или изменить области DHCP щелкните Добавить справа, чтобы добавить область.
  • Во всплывающем окне Добавить область введите Имя области , Начальный IP-адрес и Конечный IP-адрес . Введите шлюз по умолчанию внизу. Запустите « ipconfig » в командной строке, чтобы проверить шлюз по умолчанию. Нажмите OK , чтобы закрыть всплывающее окно Добавить область и вернуться к Добавить или изменить области DHCP .Щелкните Далее .
  • В Настроить режим DHCPv6 без сохранения состояния , установите флажок Отключить режим DHCPv6 без сохранения состояния для этого сервера и нажмите Далее .
  • В Авторизовать DHCP-сервер убедитесь, что установлен флажок Использовать текущие учетные данные , и нажмите Далее .
  • В Confirm Installation Selections щелкните Install . По завершении нажмите Закройте .

Для настройки на стороне клиента см. Часть 2.

Уязвимость Windows DNS Server, связанная с удаленным выполнением кода (SIGred, Wormable, Critical, CVE-2020-1350)

Вчера Microsoft выпустила обновления для всех поддерживаемых версий Windows и Windows Server для устранения уязвимости удаленного выполнения кода в DNS-сервере, отмеченной как критическая. Его официальный идентификатор общих уязвимостей и уязвимостей (CVE) — CVE-2020-1350.

Уязвимость удаленного выполнения кода существует на серверах системы доменных имен Windows (DNS), когда они не могут должным образом обрабатывать запросы.Злоумышленник, успешно воспользовавшийся уязвимостью, может запустить произвольный код в контексте локальной системной учетной записи.

Корпорация Майкрософт считает эту уязвимость уязвимой, что означает, что она может распространяться через вредоносное ПО между уязвимыми компьютерами без вмешательства пользователя. DNS является основным сетевым компонентом и обычно устанавливается на контроллерах домена, поэтому компрометация может привести к значительным сбоям в обслуживании и компрометации учетных записей домена высокого уровня.

Чтобы воспользоваться этой уязвимостью, злоумышленник, не прошедший проверку подлинности, может отправить злонамеренные запросы на DNS-сервер Windows.

Затронутые операционные системы

Установка

Windows Server, относящаяся к Windows Server 2008 и настроенная как DNS-серверы, подвержены риску из-за этой уязвимости. Затронуты как Server Core, так и полная установка Windows Server. Недавно выпущенная версия Windows Server 2004 также уязвима.

Уязвимость возникает из-за недостатка в реализации DNS-сервера Microsoft и не является результатом недостатка на уровне протокола, поэтому она не влияет на любые другие реализации DNS-сервера, отличные от Microsoft.Если ваша организация использует контроллеры домена, а также Infoblox для DNS, например, эта уязвимость не затрагивает контроллеры домена в вашей организации.

Смягчения

Корпорация Майкрософт не выявила каких-либо факторов, смягчающих эту уязвимость.

Есть два способа устранить уязвимость:

  1. Применить обновления
  2. Добавить раздел реестра

Корпорация Майкрософт рекомендует всем, кто управляет DNS-серверами на базе Windows Server, как можно скорее установить обновление для системы безопасности.Однако, если вы не можете применить исправление сразу, Microsoft рекомендует как можно скорее использовать обходной путь для защиты вашей среды до установки обновлений.

Обновление

Эти обновления устраняют уязвимость, изменяя способ обработки запросов DNS-серверами Windows:

  • KB4565529 для 32- и 64-разрядной установки Windows Server 2008 с SP2
  • KB4565539 для 32- и 64-битных установок Windows Server 2008 R2 с SP1
  • KB4565535 для 32- и 64-битных установок Windows Server 2012
  • KB4565540 для Windows Server 2012 R2
  • KB4565511 для Windows Server 2016
  • KB4558998 для Windows Server 2019

Обходной путь

В качестве альтернативы установке вышеуказанных обновлений Microsoft также предлагает обходной путь.В качестве обходного пути для этой уязвимости можно внести изменение в реестр.

В приведенных ниже строках Windows PowerShell добавляется значение реестра и перезапускается служба DNS-сервера, если она запущена из окна Windows PowerShell с повышенными привилегиями:

$ RegPath = «HKLM: \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters»

New-ItemProperty -Path $ RegPath -Name TcpReceivePacketSize -Value 0xFF00 -PropertyType DWORD

Перезапуск службы DNS

Чтобы откатить временный раздел реестра, после применения обновления запустите следующие строки Windows PowerShell в окне Windows PowerShell с повышенными привилегиями:

$ RegPath = «HKLM: \ SYSTEM \ CurrentControlSet \ Services \ DNS \ Parameters»

Remove-ItemProperty -Path $ RegPath -Name TcpReceivePacketSize

Перезапуск службы DNS

Это может быть тот.Ожидайте выпадений типа «Красный Кодекс». Уязвимость, которая сильно бьет из-за идеальных условий; Сейчас курортный сезон. Это червячок. Устройства компании отключены от Интернета и подключаются обратно через VPN. Checkpoint опубликовала рецензию и Proof of Concept в течение нескольких часов после обновления.

CVE-2020-1350: критическая уязвимость в DNS-серверах Windows

Microsoft сообщила об уязвимости CVE-2020-1350 в DNS-сервере Windows. Плохие новости: уязвимость получила 10 баллов по шкале CVSS, что означает, что она критическая.Хорошие новости: злоумышленники могут воспользоваться им, только если система работает в режиме DNS-сервера; Другими словами, количество потенциально уязвимых компьютеров относительно невелико. Более того, компания уже выпустила исправления и обходные пути.

В чем заключается уязвимость и чем она опасна?

CVE-2020-1350 позволяет злоумышленнику заставить DNS-серверы под управлением Windows Server удаленно выполнять вредоносный код. Другими словами, уязвимость относится к классу RCE. Чтобы использовать CVE-2020-1350, достаточно отправить специально сгенерированный запрос на DNS-сервер.

Затем выполняется сторонний код в контексте учетной записи LocalSystem. У этой учетной записи есть обширные права на локальном компьютере, и она действует как компьютер в сети. Кроме того, подсистема безопасности не распознает учетную запись LocalSystem. Согласно Microsoft, основная опасность уязвимости заключается в том, что ее можно использовать для распространения угрозы по локальной сети; то есть классифицируется как червячный .

Кто находится в зоне риска CVE-2020-1350?

Все версии Windows Server уязвимы, но только при работе в режиме DNS-сервера.Если ваша компания не имеет DNS-сервера или использует DNS-сервер на базе другой операционной системы, вам не о чем беспокоиться.

К счастью, уязвимость была обнаружена Check Point Research, и пока нет общедоступной информации о том, как ее использовать. Кроме того, в настоящее время нет свидетельств использования CVE-2020-1350 злоумышленниками.

Однако весьма вероятно, что как только Microsoft порекомендовала обновить систему, киберпреступники начали изучать уязвимые DNS-серверы и выпущенные патчи, чтобы выяснить, как использовать уязвимость.Никто не должен откладывать установку патча.

Что делать

Как упоминалось выше, лучше всего установить патч Microsoft, который изменяет метод обработки запросов DNS-серверами. Патч доступен для Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server версии 1903, Windows Server версии 1909 и Windows Server версии 2004. Вы можете загрузить его со страницы Microsoft, посвященной этой уязвимости.

Однако у некоторых крупных компаний есть внутренние правила и установленная процедура для обновлений программного обеспечения, и их системные администраторы могут не иметь возможности сразу установить исправление.Чтобы предотвратить взлом DNS-серверов в таких случаях, компания также предложила обходной путь. Он предполагает внесение следующих изменений в системный реестр:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
DWORD = TcpReceivePacketSize
Значение = 0xFF00

После сохранения изменений необходимо перезапустить сервер. Обратите внимание, что этот обходной путь потенциально может привести к неправильной работе сервера в том редком случае, когда сервер получает TCP-пакет размером более 65 280 байт, поэтому Microsoft рекомендует удалить ключ TcpReceivePacketSize и его значение и вернуть запись реестра в исходное состояние после патч в итоге установлен.

Со своей стороны мы хотим напомнить вам, что DNS-сервер, работающий в вашей инфраструктуре, — это компьютер, как и любая другая конечная точка. У них также могут быть уязвимости, которые киберпреступники могут попытаться использовать. Поэтому, как и любой другой конечной точке в сети, для него требуется защитное решение, такое как Kaspersky Endpoint Security для бизнеса.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *