Настройка DNS на контроллере домена для двух подсетей
При миграции пользователей из одной подсети в другую на одном контроллере домена (КД) важно правильно сконфигурировать службу DNS. В этой статье мы разберём, как настроить зоны прямого и обратного просмотра для двух сетей (192.168.1.x и 10.0.x.x) с привязкой IP+MAC, и выясним, нужен ли второй контроллер домена.
Можно ли использовать один КД для двух подсетей?
Да, один контроллер домена способен обслуживать несколько сетей. Для этого не требуется создавать второй КД. Достаточно правильно настроить DNS-зоны и убедиться, что маршрутизация между подсетями настроена корректно. Единый КД упрощает администрирование и снижает затраты на оборудование.
Настройка зон прямого просмотра
Зона прямого просмотра (Forward Lookup Zone) отвечает за преобразование имён узлов в IP-адреса. Для каждой подсети можно создать отдельную зону или использовать одну, если имена уникальны. Рекомендуется создать две зоны прямого просмотра:
- zone1.local - для подсети 192.168.1.x
- zone2.local - для подсети 10.0.x.x
В каждой зоне добавьте записи A (или AAAA для IPv6) для всех компьютеров и серверов. При использовании привязки IP+MAC убедитесь, что DHCP-сервер выдаёт одинаковые IP-адреса одним и тем же MAC-адресам, чтобы DNS-записи оставались актуальными.
Настройка зон обратного просмотра
Зоны обратного просмотра (Reverse Lookup Zone) позволяют определить имя узла по его IP-адресу. Для каждой подсети необходимо создать отдельную зону:
- 1.168.192.in-addr.arpa - для сети 192.168.1.0/24
- 0.10.in-addr.arpa - для сети 10.0.0.0/16 (или более точная маска, например 10.0.1.0/24)
В каждой зоне добавьте записи PTR, соответствующие записям A из прямых зон. Это обеспечит полное двустороннее разрешение имён и корректную работу многих служб, включая проверку подлинности.
Особенности привязки IP+MAC
При использовании статических назначений IP на основе MAC-адресов (например, через резервирование DHCP) важно, чтобы DNS-записи обновлялись автоматически или вручную соответствовали выданным адресам. Настройте DHCP-сервер на динамическое обновление DNS (DDNS) - тогда при каждом продлении аренды IP запись A и PTR будет обновляться автоматически. Это особенно полезно при перемещении пользователей между подсетями.
Когда стоит создать второй контроллер домена?
Дополнительный КД рекомендуется в следующих случаях:
- Высокие требования к отказоустойчивости - второй КД обеспечит репликацию и доступность при сбое основного.
- Географическая распределённость - если пользователи находятся в разных зданиях или городах, локальный КД снизит задержки.
- Большое количество клиентов - при нагрузке более 5000 пользователей на один КД стоит добавить второй для балансировки.
Если ваша цель - просто перенести часть пользователей в новую подсеть, а количество клиентов невелико, одного КД вполне достаточно. Главное - правильно настроить DNS и маршрутизацию.
Пошаговая инструкция по настройке DNS
- Откройте оснастку DNS на контроллере домена.
- Создайте зону прямого просмотра для подсети 10.0.x.x (например, newzone.local).
- Создайте зону обратного просмотра для подсети 10.0.x.x (10.0.in-addr.arpa).
- Добавьте записи A и PTR для всех устройств в новой подсети.
- Настройте DHCP-сервер на динамическое обновление DNS (DDNS) для обеих подсетей.
- Проверьте разрешение имён с помощью команд
nslookupиping.
После настройки протестируйте доступность ресурсов из обеих сетей. Убедитесь, что клиенты из подсети 10.0.x.x могут обращаться к контроллеру домена по имени и IP.