Стартовая настройка DNS-серверов и клиентов домена Windows 2000/2003

В домене 2k/2k3, который подключен к Интернету, настройка DNS на серверах и клиентах - важнейший этап первоначального конфигурирования сети. Ошибки на этом этапе не относятся к трудно диагностируемым, однако способны сделать локальную сеть практически "невменяемой".

Перечислим основные моменты настройки:
В зонах прямого просмотра DNS-сервера следует удалить зону "." (на жаргоне: "зона точка", "корень", "корневая зона", "зона корневых серверов"), если она там есть. После этого перезапустить службу "DNS-сервер".
a) Если в вашем домене только один контроллер домена, то в "Свойствах TCP/IP" в разделе "Предпочитаемый DNS сервер" каждого интерфейса необходимо указывать только IP этого же самого интефейса, а в качестве "Альтернативный DNS сервер" не следует указывать вообще ничего.
 b) Если в вашем домене два или более контроллеров домена, то на каждом контроллере домена, на котором работает DNS-сервер, в "Свойствах TCP/IP" каждого "внутреннего" (глядящего внутрь вашей локальной сети) интерфейса следует указать
 - "первым сервером DNS" - IPшник любого другого (разумеется, ближайшего по топологии сети) контроллера этого домена с работающим DNS,
 - "вторым сервером DNS" - IPшник этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!).
 Если на контроллере с работающим DNS установлено более одного сетевого интерфейса (внимание! это плохая практика! не стОит делать любой контроллер домена многодомным/multihomed по многим причинам!), то на всех "внутренних" интерфейсах надо прописать DNSы как указано выше, а на всех "внешних" (глядящих "наружу" вашей локальной сети, например, на провайдера) интерфейсах надо указать в качестве "первого DNS" только IP этого же самого интерфейса, т.е. "самого себя" (но ни в коем случае не 127.0.0.1!), а "вторым DNSом" не указывать ничего.
В свойствах DNS-сервера на закладке "Пересылка" ("Forwarding") следует разрешить пересылку на DNS-сервер следующего (более высокого) уровня*. Изменения активизируются только после перезапуска службы "DNS-сервер".
 * - тут необходимо пояснение с повторением:
- в "Пересылке" ("Forwarding") каждого DNS-сервера вашего домена следует указать один-два DNS-серверов вашего провайдера (больше не надо; объяснять сейчас "почему всего один-два" - значит запутать вас; просто примите на веру, а потом не спеша разбирайтесь с этим вопросом сами). [будет дополнено]
 Подчеркиваем ещё раз [будет дополнено]: закладка "Пересылка" ("Forwarding") всех ваших DNS-серверов - единственное место во всех компьютерах вашего домена (серверах и рабочих станциях), где могут быть указаны айпишники DNS-серверов вашего провайдера. Нигде и никогда не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера, даже на вашем шлюзе в Инет. Исключения могут быть, но если вам нужна эта статья как помощь в настройке, то запомните - нигде не вписывайте в "Свойства TCP/IP" айпишники вашего провайдера в пределах вашей локальной сети, кроме как в закладках "Пересылка" ("Forwarding") ваших DNS-серверов -- тогда у вас точно не будет ошибок.

На всех stand alone серверах и рабочих станциях (клиентах) домена в "Свойствах TCP/IP" каждого интерфейса "Предпочитаемым сервером DNS" следует указывать айпишник ближайшего контроллера домена, "Альтернативным DNS-сервером" - айпишник любого другого (ближайшего) контроллера вашего домена (конечно, если домен-контроллер у вас не единственный).
Никаких указаний на DNS-серверы вашего провайдера в "Свойствах TCP/IP" ваших клиентов быть не должно.
Для проверки настройки на любом клиенте следует выполнить несколько команд, например:Microsoft Windows 2000 [Версия 5.00.2195]
 (C) Корпорация Майкрософт, 1985-2000.
C:\>nslookup cat
 Server: server-166.admin.vlady.ru
 Address: 172.31.252.4
 Name: cat.admin.vlady.ru
 Address: 172.31.252.1
 C:\>nslookup magister.admin.vlady.ru.
 Server: server-166.admin.vlady.ru
 Address: 172.31.252.4
 Name: magister.admin.vlady.ru
 Address: 172.31.252.2
 C:\>nslookup 172.31.252.3
 Server: server-166.admin.vlady.ru
 Address: 172.31.252.4
 Name: melissa.admin.vlady.ru
 Address: 172.31.252.3
 C:\>nslookup microsoft.com.
 Server: server-166.admin.vlady.ru
 Address: 172.31.252.4
 Non-authoritative answer:
 Name: microsoft.com
 Addresses: 207.46.245.222, 207.46.245.214
 C:\>exit

Как пользоваться командой NSLOOKUP - мы вас учить не станем, разбирайтесь сами. Напомним лишь, что точка в конце запрашиваемого имени указывает на абсолютность имени, а отсутствие точки - относительность. То есть запрос айпишника для сервера MAGISTER, находящемуся внутри домена ADMIN.VLADY.RU, можно было сделать и так:Microsoft Windows 2000 [Версия 5.00.2195]
 (C) Корпорация Майкрософт, 1985-2000.
C:\>nslookup magister
 Server: server-166.admin.vlady.ru
 Address: 172.31.252.4
 Name: magister.admin.vlady.ru
 Address: 172.31.252.2

Если в результате тестирования нет сообщений об ошибках - значит, всё настроено правильно. Не может считаться ошибкой вывод LOOKUP'а "Request timed-out" при запросе Интернет-ресурсов. Это сообщение лишь означает, что NSLOOKUP не дождался ответа от DNS-сервера в течение 2 сек. Вероятно, ваш DNS-сервер просто не успел разрешить ("выяснить") запрашиваемые данные у авторитативных серверов в Интернете. Если сейчас же повторить запрос, то вы уже получите положенный ответ - пока вы размышляли над ответом на предыдущий запрос, ваш DNS-сервер уже получил запрошенные данные, и на повторный запрос среагировал молниеносно - взял ответ из кэша.
Если же такое сообщение появляется при запросе адресов локальной сети, то это означает, что ваша сеть настроена (или даже построена) ненадлежащим образом.

Взято отсюда