Большинство системных администраторов знают, что служба Active Directory зависит от службы DNS. Однако возможно Вы не осознаете, что DNS сервер выполняет еще несколько важных задач в фоновом режиме. Сбой в службе DNS может иметь гораздо худшие последствия, чем представляет большинство людей. В этой статье я объясню, почему так происходит и как этого избежать.
Когда я впервые начал писать самостоятельные технические статьи десять лет назад, я очень быстро понял, что мне необходимо создать домашнюю сеть, чтобы я смог поэкспериментировать с различными программными продуктами и методик, о которых я пишу. Когда я впервые создал домашнюю сеть, она была довольно скромной. Она состояла из двух серверов и двух рабочих станций. Я использовал одну из рабочих станций для набора документов и сохранял их на одном из серверов. Второй сервер и рабочую станцию я использовал для экспериментов.
Начавшись однажды, как простая помощь другу в написании случайной статьи в журнал, со временем это переросло в занимавшую целый день работу. Вскоре я стал писать около 50 статей каждый месяц. Мне пришлось добавить дюжины компьютеров в мою сеть только для того, чтобы вместить все продукты и методики, о которых я писал. Я также поддерживал базовый принцип, с которого начал, состоящий в наличии рабочей и экспериментальной сетей. Моя тестовая сеть состояла из всех компьютеров, которые я использовал для тестирования методик из моих статей. Много всего прошло через тестовую сеть, так как это просто лабораторией для экспериментов, но я всегда пытался поддерживать и мою рабочую сеть в соответствующем состоянии, так как она содержала все мои данные и все компьютеры, которые я использовал для своего бизнеса.
Конечно, написание 50, или около того, статей в месяц не оставляло мне много времени на игры в системного администратора. Некоторые вещи я просто обязан был случайно пропустить. Спустя год, я на своем горьком опыте убедился, что одной из вещей, которую я упустил, когда расширял свою сеть, был второй DNS сервер.
Возможно, Вам известно, что Active Directory полностью зависит от службы DNS. Если DNS сервер прекращает работу, то Active Directory полностью прекратит функционирование, пока Вы не восстановите работоспособность DNS сервера. Моя проблема состояла в том, что оказал жесткий диск на моем единственном DNS сервере. Существуют методики, используя которые Вы можете установить Windows на сервер, запустить DNS службы и вручную создать недостающие записи DNS для восстановления работоспособности службы Active Directory. К сожалению, в моем случае все было несколько сложнее.
Когда Вы устанавливаете Windows 2000 Server или Windows Server 2003 в качестве первого контроллера домена в доменном лесу, происходит несколько вещей. Одна из них состоит в том, что установщик спрашивает Вас о том, что необходимо настроить DNS сервер на этом компьютере или использовать существующий DNS сервер. Как и большинство людей, впервые развертывающих Active Directory, я выбрал настройку DNS сервера прямо на контроллере домена. Следовательно, мой отказавший сервер представлял собой как DNS сервер, так и контроллер домена. Первому контроллеру домена в доменном лесе автоматически назначаются все роли хозяина операций (operations master) в доменном лесу и все роли хозяина операций (operations master) в домене, в котором этот контроллер домена располагается. Если Вам не очень хорошо известны роли хозяина операций, они используются для определения серверов, которые будут обрабатывать различные рутинные операции службы Active Directory на уровне домена или доменного леса. Сбой в функционировании сервера, выполняющего функции хозяина операций, не критичен, если он длится короткий отрезок времени, однако Active Directory не сможет долго функционировать без выполнения подобных операций.
Серверу, на котором произошел сбой, также была назначена еще одна функция. Он был определен, как сервер глобального каталога. Как Вы, вероятно, знаете, Active Directory позволяет Вам создавать объекты на любом контроллере домена, затем эти объекты будут реплицированы на все остальные контроллеры домена. В результате представляется возможной ситуация, когда два разных администратора создают два различных объекта на двух разных контроллерах домена с одинаковыми именами. Для предотвращения подобного, глобальный каталог хранит список всех объектов в домене. Когда создается новый объект, происходит опрос глобального каталога, чтобы удостовериться, что объекта с таким именем не существует.
Вы, возможно, предполагаете, что побочным эффектом сбоя в работе глобального каталога является не невозможность создания новых объектов Active Directory. Все немного серьезнее. Если глобальный каталог организации прекращает функционирование, ни одному администратору домена не позволяется войти в систему. Возможно назначение нескольких контроллеров домена как серверов глобального каталога, но в большинстве случаев существует только один глобальный каталог на домен, за исключением случаев, когда Вы специально не создали большее количество.
Итак, как видно, моя ситуация была ужасной. У меня была поломка жесткого диска на контроллере домена, который хранил глобальный каталог и исполнял все роли хозяина операций и был DNS сервером. Возможен захват ролей хозяина операций, если возникает такая необходимость, но для этого нужен функционирующий DNS сервер. Возможно назначение других северов для выполнения служб глобального каталога, но для этого опять-таки нужен работающий DNS сервер для того, чтобы сервер мог получить список объектов с других контроллеров домена.
Короче говоря, моя служба Active Directory рухнула. Я попытался вручную создать новый DNS сервер, захватить роли хозяина операций и назначить новый сервер для хранения глобального каталога, но я не смог заставить корректно работать новый глобальный каталог в условиях недоступности старого. В конце концов, мне пришлось полностью переустановить Active Directory с нуля. Для меня главным неудобством была неработоспособность моей сети в течение нескольких дней. Однако помните, что это была сеть, которую я создал дома. На предприятии Вы ни в коем случае не заходите оказаться в подобной ситуации. Процесс создания заново может очень затянуться и быть гораздо более сложным, если вовлечены пользователи. Для предотвращения подобной аварии вы можете сделать только одно – будьте уверены, что в Вашей сети как минимум два DNS сервера и как минимум два сервера глобального каталога.
Самый простой путь установки дополнительного DNS сервера, это настроить его вторичным DNS сервером. Для осуществления этого, зайдите на компьютере, который будет вторичным DNS сервером, в пункт Add / Remove Programs (Установка и удаление программ) в Control Panel (Панели Управления). Когда запустится этот апплет, щелкните мышью по кнопке Add / Remove Windows components (Установка компонентов Windows). Вы увидите список дополнительных компонентов Windows. Выберите Networking Services (Сетевые службы) и щелкните по кнопке Details (Состав). Затем установите галку у пункта Domain Name System и щелкните OK, а затем кнопку Next (Далее). После этого Windows установит службу DNS. Возможно, Вас попросят вставить диск с дистрибутивом Windows. Щелкните Finish (Завершить) для выхода из мастера, когда установка завершится.
Следующее, что Вы должны сделать, это открыть оснастку DNS консоли управления Windows, выбрав пункт DNS из меню Administrative Tools (Администрирование) на сервере. По дереву в оснастке пройдите через пункты DNS | Ваш сервер | Forward Lookup Zone (обязательно удостоверьтесь, что Вы щелкнули по значку «плюс» у контейнера Forward Lookup Zone (Зона прямого поиска), даже если в нем нет подконтейнеров). Теперь щелкните правой кнопкой по контейнеру Forward Lookup Zone (Зона прямого поиска) и выберите команду New zone (Новая зона) из выпадающего меню. Это запустит мастер создания новой зоны. Щелкните Next (Далее) в пригласительном окне мастера и вы увидите диалог, который спрашивает о типе создаваемой зоны: primary (первичная), secondary (вторичная) или stub zone (псевдо-зона). Выберите secondary (вторичную) зону и щелкните Next (Далее). Вам будет предложено ввести имя зоны. Введите DNS имя Вашей организации. К примеру, в моей организации, я ввел brienposey.com в качестве имени зоны. Щелкните Next (Далее), и Вам будет предложено ввести IP адрес сервера, с которого Вы хотите скопировать информацию о зоне. Введите IP адрес существующего DNS сервера и щелкните Next (Далее). Вы увидите форму, содержащую результирующую информацию о параметрах, которые Вы выбрали. Если все правильно щелкните Finish (Закончить).
В данный момент зона прямого поиска, имя которой Вы определили в мастере создания зоны, должна появиться. Однако мы еще не все сделали. Если Ваш первичный DNS сервер запущен под Windows Server 2003, Вам придется сконфигурировать его на разрешение пересылки информации о зонах. Для этого откройте оснастку DNS на первичном DNS сервере. Щелкните правой кнопкой по зоне и выберите пункт Properties (Свойства) из выпадающего меню. Вы увидите вкладку со свойствами зоны. Теперь выберите вкладку Zone transfers (Пересылка зоны), отметьте пункт Allow Zone Transfers (Разрешить пересылку зон) и щелкните ОК. Теперь вернитесь на вторичный DNS сервер, щелкните правой кнопкой по зоне и выберите команду Transfer From Master из выпадающего меню. Информация зоны после этого должна быть передана (возможно, Вам придется выполнить эту команду несколько раз). Теперь у Вас есть вторичный DNS сервер, не забудьте изменить настройку TCP/IP на рабочих станциях для того, чтобы они были осведомлены о вторичном DNS сервере.
Итак, я рассказал об установке вторичного DNS сервера, теперь же я хочу быстро показать Вам, как назначить контроллер домена хранилищем глобального каталога. Помните, Вам необходимо иметь как минимум два сервера глобального каталога в каждом домене для предотвращения проблем, которые я описал выше.
Чтобы назначить контроллер домена сервером глобального каталога, откройте оснастку Active Directory Sites and Services. Теперь по дереву оснастки пройдите через пункты Active Directory Sites and Services | Sites (Сайты) | Default First Site Name (Имя первого сайта по умолчанию)| Servers (Серверы) | Сервер, который Вы выбрали для хранения глобального каталога | NTDS Settings (Параметры NTDS). Теперь щелкните правой кнопкой по контейнеру NTDS Settings (Параметры NTDS) и выберите пункт Properties (Свойства) в выпадающем меню. Вы увидите вкладку NTDS Settings (Настройки NTDS). Отметьте пункт Global Catalog, находящийся на вкладке General (Общие) и щелкните OK. Спустя примерно 5 минут, сервер начнет функционировать как сервер глобального каталога.
Наличие в сети DNS сервера может иметь катастрофические последствия для Вашей сети, если отказавший DNS сервер являлся также единственным сервером глобального каталога и выполнял роли хозяина операций в организации. В этой статье я объяснил, как Вы можете создать вторичный DNS сервер и дополнительные серверы глобального каталога для предотвращения таких проблем.
www.windowsnetworking.com