Как перенести зону DNS на другой сервер
Обновлено: 21.11.2024
Сегодня давайте пройдемся по длинному шагу по настройке передачи зоны DNS.
Прежде чем я начну пошагово, давайте рассмотрим некоторую информацию о переносе зоны DNS.
Передача зоны DNS определяет, как инфраструктура DNS перемещает информацию о зоне DNS с одного сервера на другой. Без переноса зон различные серверы имен в вашей организации хранят разрозненные копии данных зоны.
*_* Вы также должны учитывать, что зона содержит конфиденциальные данные, и важно обеспечить безопасность передачи зон.
Перенос зоны происходит, когда вы реплицируете зону DNS, которая находится на одном сервере, на другой сервер DNS.
Передача зон синхронизирует первичную и вторичную зоны DNS-серверов. Именно так DNS повышает свою устойчивость в Интернете.
Зоны DNS должны постоянно обновляться на первичном и вторичном серверах. Расхождения в основной и дополнительной зонах могут привести к перебоям в обслуживании и неправильному разрешению имен хостов.
Напоминание: выполните этот шаг в изолированной сети и на собственной виртуальной машине.
Требования к инфраструктуре:
- 1 СЕРВЕР DC (DC-CLOUD.Windows.ae) ADDS, DNS
- 1 ПОДСЕРВЕР (SUB-01.Windows.ae) DNS
Начнем с моего первого сервера DC-CLOUD.Windows.ae
1. Прежде чем мы начнем передачу зоны DNS, давайте добавим некоторую информацию в DNS. Для этой демонстрации я добавлю новый хост в свой DNS. щелкните правой кнопкой мыши доменное имя (Windows.ae) и выберите «Новый хост» (A или AAAA).
2. Затем в поле «Новый хост» я ввожу Server-Exchange2016 в поле «Имя» (этот сервер — мой демонстрационный сервер Exchange), а затем ввожу IP-адрес сервера.
3 — должно появиться сообщение об успешном создании записи хоста.
4. Затем снова щелкните правой кнопкой мыши имя домена, чтобы создать запись New mail Exchange (MX).
5. В поле «Новая запись ресурса» введите полное доменное имя для моего почтового сервера (Exchange Server) и нажмите «ОК».
6 — он должен появиться в вашем списке источников DNS.
7. Далее, все еще на сервере DC-CLOUD.Windows.ae, в консоли DNS щелкните правой кнопкой мыши Зону обратного просмотра и выберите Новая зона.
*_* Зона обратного просмотра преобразует IP-адрес в доменное имя и содержит записи ресурсов начала полномочий (SOA), сервера имен (NS) и указателя (PTR). р>
8 — В мастере создания новой зоны нажмите «Далее».
9 – В разделе "Тип зоны" нажмите "Основная зона" и нажмите "Далее", чтобы продолжить.
10 — В области репликации зоны Active Directory нажмите кнопку №2 (см. рис.)
11 – Далее в поле "Имя зоны обратного просмотра" нажмите "Зона обратного просмотра IPv4" и нажмите "Далее", чтобы продолжить.
12 — Далее в поле "Имя зоны обратного просмотра" введите 712.16 и нажмите "Далее".
13. В поле «Динамическое обновление» нажмите «Разрешить только безопасные динамические обновления» (рекомендуется для Active Directory), затем нажмите «Далее».
14 — Далее нажмите "Готово".
15. Теперь продолжим установку служб DNS на SUB-01.Windows.ae (сервер домена), который является этим сервером, будет реплицировать всю информацию DNS.
*_* На сервере SUB-01.Windows.ae в списке Выбор ролей сервера щелкните DNS-сервер и нажмите Далее, чтобы продолжить.
16 — Затем на странице "Выбрать функции" нажмите "Далее", чтобы продолжить.
17 — Затем на странице DNS-сервера нажмите "Далее", чтобы продолжить.
18 — Затем нажмите "Установить".
19. После завершения установки DNS нажмите «Закрыть».
20. Теперь давайте создадим дополнительную зону с помощью Windows PowerShell. Тип:
Add-DnsServerSecondaryZone -Name «Windows.ae» -ZoneFile «Windows.ae.dns» -MasterServers 172.16.1.254
21 — Затем вернитесь на сервер домена (DC-CLOUD.Windows.ae) и откройте PowerShell, введите этот командлет, чтобы включить перенос зоны.
Set-DnsServerPrimaryZone -Name «Windows.ae» –Notify Notifyservers –notifyservers «172.16.1.240» -SecondaryServers «172.16.1.240» –SecureSecondaries TransferToSecureServers
22. Далее, все еще на сервере домена DC-CLOUD.Windows.ae, откройте консоль DNS, чтобы обновить информацию, затем щелкните правой кнопкой мыши имя домена (Windows.ae), затем щелкните свойства.
23. В окне свойств Windows.ae щелкните вкладку Zone Transfer, а затем проверьте IP-адрес и полное доменное имя сервера. затем нажмите уведомление.
24. Затем в поле «Уведомление» убедитесь, что IP-адрес SUB-01 подтвержден, и нажмите «Отмена».
25 — Затем настройте устаревание/очистку для всех существующих зон, щелкните правой кнопкой мыши имя сервера (DC-CLOUD.Windows.ae) и выберите "Установить устаревание/очистку для всех зон".
26 — В свойствах устаревания/очистки сервера щелкните поле "Очистить устаревшие записи ресурсов" и нажмите "ОК", чтобы продолжить.
27. Затем в окне «Подтверждение устаревания/очистки сервера» щелкните «Применить эти параметры к существующим зонам, интегрированным с Active Directory», а затем нажмите «ОК».
28. Наш последний шаг позволяет убедиться, что и наш доменный сервер, и рядовой сервер должны реплицировать запись ресурса DNS.
В этой статье описывается, как переместить файлы зоны с одного DNS-сервера под управлением Windows 2000 на другой DNS-сервер под управлением Windows 2000.
Применимо к: Windows Server 2012 R2, Windows Server 2016
Исходный номер базы знаний: 280061
Переместить файлы зоны
Чтобы переместить файлы зон с одного сервера на другой, выполните следующие действия:
Чтобы использовать следующий метод, служба DNS-сервера Windows 2000 должна быть установлена на новом сервере под управлением Windows 2000. Служба DNS-сервера еще не должна быть настроена.
На DNS-сервере, на котором в данный момент размещаются зоны DNS, измените все зоны, интегрированные в Active Directory, на стандартные первичные. Это действие создает файлы зоны, необходимые для целевого DNS-сервера.
Остановите службу DNS-сервера на обоих DNS-серверах.
Вручную скопируйте все содержимое (включая подпапки) папки %SystemRoot%\System32\DNS с исходного сервера на сервер назначения.
Этот раздел, метод или задача содержат инструкции по изменению реестра.Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как выполнить резервное копирование и восстановление реестра в Windows
На текущем DNS-сервере запустите редактор реестра (Regedit.exe).
Найдите и щелкните следующий подраздел реестра:
Экспортируйте запись Zones в файл реестра.
Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\DNS-сервер\Зоны
Экспортируйте запись Zones в файл реестра.
На целевом DNS-сервере дважды щелкните каждый файл реестра, чтобы импортировать подразделы Zones в реестр.
Выключите текущий DNS-сервер и передайте его IP-адрес целевому DNS-серверу.
На целевом DNS-сервере запустите службу DNS-сервера. Чтобы инициировать регистрацию записей ресурсов A и PTR сервера, выполните следующую команду в командной строке:
Если этот сервер также является контроллером домена, остановите и перезапустите службу сетевого входа в систему, чтобы зарегистрировать записи службы (SRV), или выполните следующую команду в командной строке:
Стандартные зоны, которые ранее были интегрированы в Active Directory, можно преобразовать обратно в Active Directory на заменяющем DNS-сервере, если он является контроллером домена.
Убедитесь, что записи ресурсов SOA в каждой зоне содержат правильное имя основного сервера и что записи ресурсов NS для зон (зон) верны.
Действия, описанные в этой статье, не переносят следующие настройки DNS-сервера:
Если в настройках передачи зоны разрешена передача зоны на любой сервер, вы можете отправить данные зоны системы доменных имен (DNS) на мошеннический DNS-сервер. Эти открытые данные зоны DNS могут сделать вашу сеть более уязвимой для атак, поскольку злоумышленники будут использовать эти данные зоны DNS, чтобы помочь им составить карту вашей сети с точки зрения доменных имен, имен компьютеров и IP-адресов ваших конфиденциальных сетевых ресурсов. р>
Посмотрите, как специалист по работе с клиентами объясняет проблему
Контекст и рекомендации
Процесс репликации файла зоны на несколько DNS-серверов называется передачей зоны. Передача зоны достигается путем копирования файла зоны с одного DNS-сервера на второй DNS-сервер. Главный DNS-сервер является источником информации о зоне во время передачи. Главный DNS-сервер может быть первичным или вторичным DNS-сервером. Если главный DNS-сервер является первичным DNS-сервером, то передача зоны происходит непосредственно с DNS-сервера, на котором размещена первичная зона. Если главный сервер является вторичным DNS-сервером, то файл зоны, полученный от главного DNS-сервера посредством передачи зоны, является копией файла вторичной зоны, доступного только для чтения.
Система доменных имен (DNS) изначально была разработана как открытый протокол и поэтому уязвима для злоумышленников. По умолчанию служба DNS-сервера разрешает передачу информации о зоне только на серверы, указанные в записях ресурсов сервера имен (NS) зоны. Это безопасная конфигурация, но для повышения безопасности этот параметр следует изменить на параметр, разрешающий передачу зоны на указанные IP-адреса. Если этот параметр изменить, чтобы разрешить передачу зоны на любой сервер, ваши данные DNS могут быть раскрыты злоумышленнику, пытающемуся проникнуть в вашу сеть.
Отпечатки — это процесс, с помощью которого злоумышленник получает данные зоны DNS, чтобы предоставить злоумышленнику доменные имена DNS, имена компьютеров и IP-адреса для конфиденциальных сетевых ресурсов. Злоумышленник обычно начинает атаку, используя эти данные DNS для построения диаграммы или следа сети. Имена доменов и компьютеров DNS обычно указывают на функцию или расположение домена или компьютера, чтобы помочь пользователям легче запомнить и идентифицировать домены и компьютеры. Злоумышленник использует тот же принцип DNS, чтобы узнать функцию или расположение доменов и компьютеров в сети.
Ознакомьтесь со следующими рекомендациями по настройке передачи зоны с точки зрения безопасности:
- Низкий уровень безопасности: все зоны DNS разрешают передачу зоны на любой сервер.
- Безопасность среднего уровня. Все зоны DNS ограничивают передачу зон серверам, указанным в записях ресурсов сервера имен (NS) в их зонах.
- Высокий уровень безопасности: все зоны DNS ограничивают передачу зон указанным IP-адресам.
Предлагаемые действия
Чтобы настроить зону DNS для безопасной передачи зоны, измените настройку передачи зоны на параметр, разрешающий передачу зоны на определенные IP-адреса, выполнив следующие действия:
- В диспетчере DNS щелкните правой кнопкой мыши имя зоны DNS и выберите "Свойства".
- На вкладке "Передача зоны" нажмите "Разрешить передачу зоны".
- Выберите Только для следующих серверов.
- Нажмите «Изменить», затем в списке IP-адресов дополнительных серверов введите IP-адреса серверов, которые вы хотите указать.
- После ввода всех необходимых IP-адресов нажмите кнопку "ОК".
Вы также можете использовать инструмент командной строки «dnscmd» для достижения того же результата.
- Откройте командную строку с повышенными правами.
- В командной строке введите следующую команду и нажмите Enter:
dnscmd /ZoneResetSecondaries /SecureList [ ]
Подробнее
Чтобы получить общий отзыв о Центре ресурсов или контенте, отправьте свой ответ на UserVoice. Для конкретных запросов и обновлений контента, касающихся Services Hub, свяжитесь с нашей службой поддержки, чтобы отправить запрос.
Сегодня давайте пройдемся по длинному шагу по настройке передачи зоны DNS.
Прежде чем я начну пошагово, давайте рассмотрим некоторую информацию о переносе зоны DNS.
Передача зоны DNS определяет, как инфраструктура DNS перемещает информацию о зоне DNS с одного сервера на другой. Без переноса зон различные серверы имен в вашей организации хранят разрозненные копии данных зоны.
** Вы также должны учитывать, что зона содержит конфиденциальные данные, и важно обеспечить безопасность передачи зон.
Перенос зоны происходит, когда вы реплицируете зону DNS, которая находится на одном сервере, на другой сервер DNS.
Передача зон синхронизирует первичную и вторичную зоны DNS-серверов. Именно так DNS повышает свою устойчивость в Интернете.
Зоны DNS должны постоянно обновляться на первичном и вторичном серверах. Расхождения в основной и дополнительной зонах могут привести к перебоям в обслуживании и неправильному разрешению имен хостов.
Напоминание: выполните этот шаг в изолированной сети и на собственной виртуальной машине.
Начнем с моего первого сервера OSI-ADDS01.
1. Прежде чем мы начнем передачу зоны DNS, давайте добавим некоторую информацию в DNS, для этой демонстрации я добавлю новый хост в свой DNS.
— щелкните правой кнопкой мыши имя домена (osi.local), а затем выберите Новый хост (A или AAAA)…
2. Затем в поле «Новый хост» я ввожу OSI-Exchange01 в поле «Имя» (этот сервер — мой демонстрационный сервер Exchange), а затем ввожу IP-адрес сервера…
— должно появиться сообщение об успешном создании записи хоста.
3 – Затем снова щелкните правой кнопкой мыши имя домена, чтобы создать запись New mail Exchange (MX)…
4. В поле «Новая запись ресурса» введите полное доменное имя для моего почтового сервера (Exchange Server) и нажмите «ОК»…
— Он должен появиться в вашем списке источников DNS…
5 – Затем, все еще на сервере OSI-ADDS01, в консоли DNS щелкните правой кнопкой мыши Зону обратного просмотра и выберите Новая зона…
– К вашему сведению, зона обратного просмотра преобразует IP-адрес в доменное имя и содержит записи ресурсов начала полномочий (SOA), сервера имен (NS) и указателя (PTR). р>
6. В мастере создания новой зоны нажмите Далее…
7. В разделе «Тип зоны» нажмите «Основная зона» и нажмите «Далее», чтобы продолжить…
8 — В области репликации зоны Active Directory нажмите кнопку № 2 (см. рис.)…
9 – Далее в поле "Имя зоны обратного просмотра" нажмите "Зона обратного просмотра IPv4" и нажмите "Далее", чтобы продолжить…
10 – Далее в поле "Имя зоны обратного просмотра" введите 712.16 и нажмите "Далее"…
11 — В поле "Динамическое обновление" нажмите "Разрешить только безопасные динамические обновления" (рекомендуется для Active Directory), затем нажмите "Далее"…
12 – Далее нажмите Готово…
13. Теперь давайте продолжим установку служб DNS на OSI-Svr01 (сервер-член домена), который является сервером, который будет реплицировать всю информацию DNS.
— На сервере OSI-Svr01 в списке «Выбор ролей сервера» щелкните «DNS-сервер» и нажмите «Далее», чтобы продолжить…
— Затем на странице "Выбрать функции" нажмите "Далее", чтобы продолжить.
— Затем на странице DNS-сервера нажмите «Далее», чтобы продолжить…
— Далее нажмите Установить…
— После завершения установки DNS нажмите Закрыть…
14 – затем дважды подтвердите свой IP-адрес на сервере OSI-Svr01…
15 — Теперь давайте создадим дополнительную зону с помощью Windows PowerShell.
тип: Add-DnsServerSecondaryZone -Name "osi.local" -ZoneFile "osi.local.dns" -MasterServers 172.16.0.101
16 — Затем вернитесь на сервер домена (OSI-ADDS01) и откройте PowerShell, введите этот командлет, чтобы включить перенос зоны…
Set-DnsServerPrimaryZone -Name «osi.local» –Notify Notifyservers –notifyservers «172.16.0.103» -SecondaryServers «172.16.0.103» –SecureSecondaries TransferToSecureServers
17 – Затем, все еще на сервере домена OSI-ADDS01, откройте консоль DNS, чтобы обновить информацию, затем щелкните правой кнопкой мыши имя домена (osi.local), затем выберите свойства…
18 – в окне свойств osi.local перейдите на вкладку Zone Transfer, затем проверьте IP-адрес и полное доменное имя сервера… затем нажмите уведомление…
19 – Затем в поле "Уведомление" убедитесь, что IP-адрес Svr01 подтвержден, и нажмите "Отмена"…
20 — Затем настройте устаревание/очистку для всех существующих зон, щелкните правой кнопкой мыши имя сервера (ADDS01) и выберите "Установить устаревание/очистку для всех зон..."
21 — В свойствах устаревания/очистки сервера щелкните поле "Удалить устаревшие записи ресурсов" и нажмите "ОК", чтобы продолжить…
22 — Затем в окне "Подтверждение устаревания/очистки сервера" нажмите "Применить эти настройки к существующим зонам, интегрированным с Active Directory", а затем нажмите "ОК"…
23. Наш последний шаг: давайте проверим, что и наш доменный сервер, и рядовой сервер должны реплицировать запись ресурса DNS.
Итак, у вас есть несколько зон DNS на ваших контроллерах домена, и вы создаете тестовую лабораторию или другой домен, в который хотите их скопировать. Легко правильно — не так просто, если они являются зонами, интегрированными с AD. Это означает, что файлы для этих зон не хранятся в C:\Windows\System32\dns в обычном режиме, они фактически хранятся и реплицируются на все контроллеры домена внутри AD.
Мне нужно было переместить интегрированную зону прямого просмотра из одного домена в другой, поэтому я делюсь своими действиями ниже.
Войдите в свой DC с интегрированной зоной и запустите нашего друга Powershell.
Get-DNSServerZone
Вы увидите свои зоны в списке.
Здесь вы увидите, какие зоны интегрированы, а какие нет.
Столбец ZoneName является ключевым для следующего бита, запишите ZoneName, который вы хотите экспортировать.
Export-DNSServerZone -Name -Filename
Для этой команды нет подтверждения, но она экспортирует зону в файл, который можно повторно использовать.
Откройте C:\Windows\System32\dns в проводнике.
Здесь вы увидите файл зоны DNS. Сделайте копию этого и поместите куда-нибудь.
Войдите на новый DNS-сервер, куда будет импортирована зона.
Откройте C:\Windows\System32\dns в проводнике и скопируйте только что экспортированный файл в эту папку.
Теперь откройте консоль управления DNZ.
Щелкните правой кнопкой мыши «Зоны прямого просмотра» и выберите «Новая зона». Нажмите «Далее», чтобы начать.
Выберите тип зоны и не забудьте снять флажок «Сохранить зону в Active Directory».
Я знаю, я знаю, мы хотим, чтобы это было в AD; не волнуйся. Так и будет, когда мы закончим.
Заполните имя зоны и нажмите «Далее».
Выберите «Использовать существующий файл» и введите имя файла, который вы скопировали в «C:\Windows\System32\dns», нажмите «Далее».
Выберите «Далее» в параметрах динамического обновления. Примечание. Защищенный вариант станет доступен после преобразования этой зоны в зону, интегрированную с AD.
Теперь зона должна отображаться полностью заполненной в консоли DNS. Теперь пришло время преобразовать эту зону обратно в зону, интегрированную с AD.
Щелкните правой кнопкой мыши зону и выберите "Свойства".
Выберите «Изменить» справа от «Тип».
Вы можете узнать этот экран. Выберите «Сохранить зону в Active Directory» и нажмите «ОК». Подтвердите, что хотите переместить зону в AD.
Теперь у вас есть возможность изменить динамические обновления для этой зоны, выберите в соответствии с вашими предпочтениями.
На этом импорт зоны завершается, весь процесс можно легко написать с помощью Powershell. С удовольствием попробую, если кому интересно.
Читайте также: