DNS 1x1 II. rész
2003/12/30 16:46
4987 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A DNS 1x1 sorozat jelen cikkében, egy - a belső hálózatra szánt - DNS szerver telepítésével kapcsolatos hibákra hívnám fel a figyelmet. A cél: kiválasztani a megfelelő telepítési módszert a korrekt Active Directory működés érdekében.

A telepítés előtti fejtörő
Az előző DNS cikkből is kiderült, hogy a Windows 2000/2003 DNS szerverét akkor mindenképpen kell telepítenünk, ha a kiszolgálónk fő DC lesz, vagy ha DC-k közül az, amelyiknek a másodlagos (tartalék) DNS szerver szerepet szánjuk. Ha van két szerverünk, feltétlenül legyen másodlagos DNS szerverünk is. Még akkor is van ennek értelme, ha ez utóbbi nem tartományvezérlőként, hanem csak tagkiszolgálóként funkcionál a tartományban. Természetesen a tartományunk névfeloldását kiszolgáló DNS szerver szerepkör mellett a hagyományos (az interneten működő) DNS szerver funkcióra is használhatjuk a Windows 200x DNS szerverét, ennek megfelelően az ilyen irányú felhasználásról a sorozat egy későbbi részében még lesz szó. Viszont visszatérve a lényegre, kaptam egy olvasói kérdést az előző DNS cikkemmel kapcsolatban, és mivel okos kérdés és passzol is a telepítési előkészületekhez, érdemes nyilvánosan válaszolni rá. Szóval a kérdező azt írta, hogy van DC-je, van tartománya, viszont eddig még nem telepítette fel DNS szervert (igaz valamit automatikusan kiválaszott a telepítés közben), tehát akkor mégis hogyan működhetnek a dolgok? Merthogy nála működik a tartomány, de akkor mégsem kell a DNS?

De kell, sőt mi több: van ilyenkor is. Méghozzá automatikusan telepítődik az első DC-re a tartomány létrehozása közben, azaz, miután elindítottuk a dcpromo-t (és amikor ezt megkérdezi a telepítő). De vannak vele problémák, számszerint legalább három közismert.

A root DNS probléma
A Windows 2000 Servernél tehát többek között azért nem ajánlott az automatikus telepítést választani, mert ebben az esetben a telepítő ún. root DNS-t tesz fel, amivel az a gond, hogy nem köthetjük a mi DNS szerverünket egy másik (külső) DNS szerverhez (ez lenne a forwarder azaz "továbbító" funkció), azaz a nem belső hálózatra irányuló névfeloldási kérésék (tipikusan az internetes DNS lekérdezések) nem továbbítódnak a mi szerverünkről, ergo nem is oldódnak fel, tehát nem is tudjuk majd pl. böngészővel elérni az internetet. Ha így van, akkor indítsuk el a DNS Manager MMC-t és töröljük a "." (pont) nevű zónát, majd jegyezzük be külső DNS-eket (pl. a sulinetes központi DNS szervereket) a szerver (nem a zóna!) tulajdonságai között a "Forwarders" fülön. Ez a root DNS zóna telepítés probléma egyébként a Windows Server 2003 esetén már nincs. Viszont kicsit máshogy is néz ki az alábbi panel, mert megjelenik az ún "conditional forwarding" funkció, azaz különböző feltételek mellett, más és más továbbítót használhatunk, de alapból itt sincs bejegyezve egy sem. A továbbítók bejegyzése itt történhet meg A DDNS probléma
Az automatikus telepítés esetén (de ez a manuális módszerre is igaz, bár ennél azért lényegesen hamarabb észlelhető a megoldás) a következő probléma az, hogy biztonsági okokból egy nem DDNS (lásd: első DNS 1x1 cikk) szerver kerül telepítésre amely ugyan egy Bind kompatibilis zónaállományba (ez a netlogon.dns) írja a létfontosságú erőforrás rekordokat (az ún. SRV rekordokat), de miután az első DC telepítéskor ez az állomány létrejön, a tartalma többé automatikusan egyáltalán nem változik meg. Ez azért gond, mert ha még egy kiszolgálót szeretnénk előlépteni tartományvezérlővé, akkor a telepítés során ez a leendő második DC-nk mindenképpen szeretné beírni magát (pontosabban az erőforrás rekordjait) a zónába, amely így nem fog sikerülni, ergo a második DC telepítése kudarcba fullad. Igazából megoldható ennek az állománynak a kézzel történő szerkesztése (azaz a második DC SRV rekordjainak a beimportálása az azon a szerveren lévő netlogon.dns állományból), de ez kicsit nehézkes dolog és egyébként is ezt aztán minden további DC esetén meg kell ismételnünk, valamint ebben az esetben a klienseket is manuálisan kell bejegyeznünk. Viszont az egész problémakört likvidálni lehet a DDNS engedélyezésével a zóna tulajdonságai panelen, amit az alábbi ábra alapján célszerű is megtennünk rögtön a DNS szerver telepítés után, még a dcpromo futtatása előtt. A DDNS engedélyezése A több hálókártya probléma
Még egy utolsó közismert problémáról is beszámolnék, ez pedig a kettő vagy több hálókártya kontra Windows 2000/2003 DNS szerver esete. Ha több hálózati interfészünk van, akkor alapbeállítás szerint a DNS szerver mindegyiken akar dolgozni. Ez több problémát is okozhat, pl. az AD telepítése és újraindítás után egyáltalán nem vagy csak nagyon hosszú várakozás után tudunk belépni, mert a DNS esetleg a külső, publikus hálókártyán keresi a tartományt, amely persze nem fog sikerülni. Olyan eset is előfordulhat több hálózati kártya esetén, hogy néha működik a DNS lekérdezés rendesen, néha meg nem. Ez azért van, mert működik a "round robin" azaz a terheléselosztás miatt váltogatva kérdezi le a DNS a hálózati interfészeket. Ebben az esetben persze a belső hálózati kártyán szépen működik a dolog, de egy külsőn vagy egy virtuális (mondjuk egy Localhost Adapter-en) kártyán nyilván abszolút nem. Ezt a hibát is lehet persze orvosolni, az alábbi panelen (szintén a szerver tulajdonságainál)a megfelelő kártya IP címének kiválasztásával és a többi IP cím eltávolításával. A megfelelő hálózati kártya kijelölése Összegzés
Tehát visszatérve az eredeti kérdésre: DNS szerver mindig van (mert muszáj), de nem minden telepítési formánál tökéletes, sőt... Ha viszont a kérdezőnél egy új (azaz pl. második) DC-t kell telepíteni, vagy dinamikusan frissíteni, vagy két hálókártyája van, vagy esetleg csak belenéz az Eseménynaplóba, (ahol látni fogja a különböző piros stoptáblákat ezekkel a hibákkal kapcsolatban), akkor után eljuthat odáig, hogy érdemes még a címtártelepítés előtt kézzel saját zónát készíteni, engedélyezni a DDNS-t, a továbbító(ka)t, a hálózati kártya korlátozásokat beállítani, és ezek után már tényleg relaxálhatunk hátradőlve, mert innentől kezdve már megy is minden szépen, jól és automatikusan.

Összegezve tehát két módszer áll a rendelkezésünkre: vagy manuálisan feltelepítjük és előkészítjük még az Active Directory telepítése előtt a DNS szervert és a zónát, vagy az egész folyamatot az AD telepítőre bízzuk, amely szintén feltelepíti és be is állítja automatikusan (de mint fentebb láthatja a Kedves Olvasó nem kevés problémával). A következő cikkben ezért, plusz a láthatóság miatt is az első variációt fogjuk követni, amely a fentiek értelmében minden szempontból a korrekt választás.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten