Тестирование DNS домена. DNSBench — программа для тестирования DNS серверов

Первоначальную настройку windows server 2008 Ent делал на виртуальной машине (VB 4.2):
Целью было научиться устанавливать DNS сервер,поднять контроллер домена (установка Active Directory) и ввести клиентскую машину (windows 7 pro) в домен.
Начальные настройки - на виртуальной машине в качестве сетевого адаптера мной был выбрал "Виртуальный адаптер хоста", и на сервере ВРУЧНУЮ прописан статический адрес (это важно для настройки dns сервера).Так же нужно в Центре управления сетями и общим доступом отключен Доступ с парольной защитой и открыт общий доступ к файлам (эти действия зависят от ваших представлений о безопасности):Перейдем у установке ролей (предварительно советую изменить имя сервера на читабельное,потому что так будет удобней тестить dns сервер). Сразу отмечу, в сети есть много статей,в которых настраивается сначала dns и только потом поднимается контроллер домена. AD не будет работать без dns сервера ,обратите на это внимание! Я делал все через установку и настройку AD, частью которой является установка dns сервера. Мастер установки удобный и понятный,на определенном шаге сам предложит установить dns сервер.

1. испетчер сервера - Роли - Добавить роль - Доменные службы Active Directory и делаем установку. Когда роль будет установлена, перезагружаем машину:2.Пуск - Выполнить - dcpromo.exe и открываем мастер настройки:
3.Выбираем Создать новый домен в новом лесу.
4.Вводим полное доменное имя корневого домена леса (FQDN) : licey.local (чтобы оно минимум было из 2 составляющих):

5. Режим работы леса выбираем Windows server 2008.

6. Обязательно оставляем галочку напротив DNS-сервер:

7.В выпадающем окошке смело нажимаем ДА , и переходим у выбору расположения для баз данных , файлов журналов и SYSVOL (по желанию меняем путь).

8.Устанавливаем пароль администратора для режима восстановления служб каталогов и заканчиваем установку.

По желанию на вкладке Сводка можно сделать экспорт выбранных параметров с выбранными настройками.Обязательно перезагружаемся!

После перезагрузки входим уже в домен (чтобы нажать Ctrl+Alt+Del в VB нужно нажать RigthCtrl+Del):

Смотрим настройки DNS сервера:

На клиентской машине, вручную прописывает адрес 192.168.0.2, маску 255.255.255.0 и предпочитаемый dns сервер 192.168.0.1,т.е. адрес нашего настроенного сервера имен. В реально работающей сети нужно будет поднять DHCP сервер,который автоматически будет раздавать перечисленные выше параметры.

Далее на клиентской машине - Пуск - Свойства системы - Изменить параметры - Выбираем Домен - вводим название домена licey.local. В выпадающем окошке,которое просит логин и пароль вводим данные учетной записи администратора которая расположена на сервере! И получаем подтверждение о входе в домен. При этом компьютер-клиент автоматически появится в списке Active-Directory Пользователи и компьютеры в группе Computers . Далее создаем учетную запись на сервере и задаем ей пароль. По умолчанию пользователь будет помещен в группу "Пользователи домена" :

Обратите внимание,что сервер очень требовательно относится к созданию паролей и проверяет их на количество введенных символов (не менее 6), наличия большого/маленького регистра и специальных символов. Щелкнув на пользователе ПКМ можно изменять его многочисленные свойства.Под логином [email protected] можно будет заходить с любого компьютера который состоит в домене. Чтобы привязать учетную запись к ПК, нужно в свойства ПК выбрать вкладку Управляется и выбрать пользователя,который будет им управлять.

На этом закончим основную настройку DNS+AD.

Тестирование работы dns сервера

Способ №1

Для тестирования работы dns сервера можно применять 2 утилиты командной строки - nslookup и dcdiag . Исчерпывающую информацию по пользованию каждой можно найти в сети. Я пользовался dcdiag,т.к. она показывает не только информацию о днс но и в общем о сервере:

Если в строках ForestDnsZone и DomainDnsZone стоит статус "Проверка пройдена",значит днс сервер работает нормально.

Способ №2

Т.к. ДНС это аспределенная система для получения информации о доменах, система для получения IP адреса по имени хоста, то работу ДНС можно проверить пингом машины по имени . Результаты будут примерно следующие:
Пинг сервера:

Пинг клиента:

Если dns сервер работает не верно или вообще не работает, то придется вручную создать зону прямого просмотра, т.к. именно она отвечает за преобразование доменного имени в IP адрес. При необходимости можно создать зону обратного просмотра (противоположность первой) и сервер пересылки.

В глобальном журнале днс сервера можно найти информацию ою ошибках и предупреждениях. Не пугайтесь предупреждений если они не критичны, сервер будет продолжать работать.
На этом пока все. Надеюсь это статья поможет начинающим найти то,что они долго искали. Также могу посоветовать хороший форум, Тут http://sysadminz.ru/ сегда помогут

DNSBench (Domein Name Server Benchmark) — это простая утилита, которая помогает быстро протестировать работу DNS серверов и отдать предпочтение для настройки в качестве основных и альтернативных DNS в зависимости от скорости работы и стабильности. Скачать программу для теста DNS можно с нашего сайта с предпочтительными настройками для Беларуси, России, Украины

Надо сказать, что утилита давно не обновляется (с конца 2010 года), но работает хорошо на всех операционных системах Windows, т.е. настройка или не потребуется.

Существуют альтернативные программы для проведения теста и выбора основного и альтернативного DNS сервера. DNSBench была выбрана за возможность изначально тестировать только те сервера, которые работают стабильно и быстро в названных регионах: Беларуси, России, Украине (других из бывшего союза).

Таким образом DNSBench поможет протестировать скорость DNS серверов без дополнительных настроек и очень быстро. Программа может пригодиться в случае ошибок при работе DNS серверов провайдера. В том числе при частом возникновении ошибки .

Конфигурация, установка, системные требования DNSBench

Программа DNSBench состоит из одного.exe файла и не нуждается в установке на компьютер или ноутбук. В архиве с программой сохранён файл конфигурации.ini для быстрой настройки самых распространённых серверов для СНГ. Файл конфигурации для корректной работы должен находиться в одной папке — это единственное требование по настройке.

Сайты, утилиты и програмы для тестирования DNS домена:

Ниже описано как и чем можно протестировать DNS .

Бесплатные сайты на которых можно проверить DNS:

Платные сайты для тестирования DNS

Этот сервис раньше был бесплатным, сейчас владельцы берут абонентскую плату за пользованием сервисом. Когда он был бесплатным я пользовался довольно часто им, так как сервис показывает ошибки в настройках DNS домена.
Если есть возможность платить, то очень рекомендую для системных администраторов
http://www.dnsstuff.com/products/dnsreport

Утилиты используемые для тестирования DNS

nslookup - (от английского: name server lookup поиск на сервере имён) - утилита, предоставляющая пользователю интерфейс командной строки для обращения к системе DNS. Позволяет задавать различные типы запросов и запрашивать произвольно указываемые сервера. Её аналогом являются утилиты host и dig. Разработана в составе пакета BIND (для UNIX-систем).
Утилита портирована на Windows непосредственно фирмой Microsoft и поставляется вместе с операционной системой.
Подробное описание nslookup на ВикиПедии : http://ru.wikipedia.org/wiki/Nslookup

dig - (от англиского слова «копать», а формально - сокращение от «domain information groper») - утилита (DNS-клиент), предоставляющая пользователю интерфейс командной строки для обращения к системе DNS. Позволяет задавать различные типы запросов и запрашивать произвольно указываемые сервера. Является аналогом утилиты nslookup.
Утилита dig входит в стандартный комплект DNS сервера BIND.
Подробное описание dig на ВикиПедии : http://ru.wikipedia.org/wiki/Dig

Стандартная процедура тестирования DNS-серверов запускается при регистрации нового домена в домене RU, SU или РФ и при автоматическом изменении данных в домене (в тех случаях, когда список серверов в поступившей заявке не пустой).Для доменов.RU и.РФ необходимо наличие успешно пройденной мобильной авторизации.

Тестирование проводится в течение четырех суток каждые три часа до первого удачного тестирования. Тестирование считается удачным, если все DNS-сервера, перечисленные в поступившей заявке, удовлетворяют требованиям п.4.5 Регламента регистрации доменов в доменах RU и РФ и Регламента регистрации доменов в домене SU , а также рекомендациям по заполнению поля dns-servers. После каждой неудачной попытки тестирования отправляется соответствующее автоматическое сообщение об ошибке на контактный адрес, указанный в Договоре (раздел Регистрационная информация в Пользователя).

Если в течение четырех суток зона не протестировалась, тестирование прекращается.

При этом:

• В случае регистрации нового домена не происходит его делегирование.
• В случае попытки изменения данных о домене список DNS-серверов не заменяется на новый. Домен остается делегированным со старым списком DNS-серверов.

Список DNS-серверов, находящихся в процессе тестирования, и список DNS-серверов, содержащийся в базе данных, можно посмотреть в панели управления Пользователя, раздел Услуги, Серверы DNS.

Последовательность тестирования DNS-серверов

В случае неудачной проверки по любому из пунктов отсылается сообщение об ошибке.

Пример:

• Проверяется, не пуст ли список DNS-серверов

Для каждого DNS-сервера, указанного в списке, выясняется IP-адрес:

Nslookup имя_сервера

Для DNS-серверов, имя которых содержит название делегируемого домена, IP-адреса берутся из заявки.

• Проверяется, не является ли указанное имя DNS-сервера синонимом (CNAME).
• Проверяется, содержит ли список DNS-серверов по крайней мере два DNS-сервера, лежащих в разных сетях класса С.

У каждого DNS-сервера, указанного в заявке, с любого из его IP-адресов запрашивается SOA-запись и список DNS-серверов для данного домена:

Nslookup -q=any >server IP-адрес_сервера >имя_домена

SOA-запись и список DNS-серверов для домена должны быть получены со всех DNS-серверов.

• Происходит сравнение SOA-записей, полученных со всех DNS-серверов. SOA-записи на всех DNS-серверах должны быть идентичны (сравниваются все параметры, кроме serial).
• Происходит сравнение списков DNS-серверов для домена, полученных со всех DNS-серверов. Списки DNS-серверов для домена должны быть идентичны.

Специальная процедура тестирования DNS-серверов

Специальная процедура тестирования DNS-серверов используется Администратором в случае необходимости проверить работоспособность DNS-серверов, указанных в базе данных для домена. Процедура запускается вручную для любого домена. Если список DNS-серверов перестал соответствовать требованиям п.4.5 Регламента регистрации доменных имен в доменах.RU и.РФ и п.4.5 Регламента регистрации доменных имен в домене.SU , делегирование домена может быть снято.

Последовательность тестирования аналогична стандартной процедуре тестирования.

В случае неудачного тестирования на адрес mnt-nfy, указанный в Договоре Администратора домена, направляется письмо с уведомлением о неудачном тестировании DNS-серверов и диагностикой ошибок при тестировании. Письмо содержит дату возможной приостановки делегирования.

Если зона не протестировалась в течение четырех дней, тестирование прекращается, и на адреса e-mail и mnt-nfy, указанные в Договоре Администратора домена, направляется письмо с уведомлением о том, что список DNS-серверов не удовлетворяет требованиям п.4.5 Регламента, в связи с чем делегирование домена временно снимается. Освобождаться и удаляться из базы данных в этом случае домен не будет.

Делегирование домена будет восстановлено после получения заказа на изменение списка DNS-серверов и их удачного тестирования (стандартная процедура).

Требования к DNS-серверам при делегировании домена. Некоторые рекомендации по заполнению полей dns-servers при занесении в базу данных.

1. Для DNS-серверов, имя которых содержит название делегируемого домена, необходимо указывать IP-адрес. Например:

   Domain: newtime.ru dns-server: ns.newtime.ru 193.123.45.67 dns-server: ns3.newtime.ru

   В данном случае автомат сообщит об ошибке, поскольку имя сервера ns3.newtime.ru содержит название делегируемого домена, и необходимо указать его IP-адрес.

2. Последовательность, в которой перечисляются DNS-сервера, роли не играет, т.к. в базу данных они заносятся в алфавитном порядке.

По крайней мере два из перечисленных DNS-серверов должны быть расположены в разных IP-сетях (в различных сетях класса С в традиционной терминологии) и иметь надежное подключение к Internet. Под «надежным подключением» понимается такое, при котором суммарное время отсутствия связи с сервером не превышает двух часов в сутки. Например:

Dns-server-1: ns.newtime.ru 193.123.45.67 dns-server-2: ns2.newtime.ru 193.123.45.68

В данном случае первичный и вторичный DNS-сервера находятся в одной сети класса С, автомат сообщит об ошибке.

3. DNS-записи о данном домене на всех DNS-серверах из представленного списка должны быть идентичны (сравниваются все параметры, кроме serial).

Символьное имя DNS-сервера не может быть укороченным, т.е. полностью совпадать с именем регистрируемого домена, например:

Domain: test.ru dns-server: test.ru 121.121.121.121

В подобной ситуации автомат сообщит о невозможности использования данного имени DNS-сервера.

4. Нельзя использовать CNAME-записи для определения имен серверов. При проверке работоспособности зоны эти имена заменяются на канонические, что приводит к сообщениям об ошибках.

VPN не всегда в состоянии защитить DNS-запросы вашего устройства, даже если весь остальной трафик надежно защищен туннелем VPN. Это называется «утечкой DNS». Если происходит утечка DNS-запросов, то третьи лица, например ваш интернет-провайдер или оператор DNS-сервера, могут видеть, какие веб-сайты вы посещаете и какими приложениями пользуетесь.

Так как DNS - это система адресных книг, то с ней связано практически все, что вы делаете в Интернете. Ваш браузер и другие приложения используют DNS для поиска серверов, на которых работают сайты и сервисы, которыми вы пользуетесь. Ваше устройство направляет запросы на DNS-сервер, который посылает назад инструкции, как найти то, что вы ищете. Именно поэтому DNS-запросы ставят вашу конфиденциальность под угрозу.

Что такое DNS

Как мне проверить, защищает меня VPN-сеть или нет?

Если приложение ExpressVPN настроено правильно, то оно защищает вас от утечки DNS. Тест на утечку DNS на этой странице позволяет убедиться, что ExpressVPN выполняет поставленную задачу.

Как ExpressVPN предотвращает утечку DNS?

Без VPN устройство обычно использует службу DNS, предоставляемую интернет-провайдером. Но когда вы подключаетесь к ExpressVPN, ваше устройство использует только DNS-серверы ExpressVPN. Это дает многочисленные преимущества, потому что:

• DNS-серверы ExpressVPN работают очень быстро
• ExpressVPN не хранит журналы онлайн-активности и подключений
• Весь трафик между вашим устройством и DNS-серверами полностью шифруется

Вот как это работает. Чтобы открыть веб-страницу, вы вводите URL-адрес или щелкаете ссылку в браузере. Этот URL-адрес отправляется через зашифрованный туннель ExpressVPN к собственному DNS-серверу ExpressVPN. DNS-сервер ищет IP-адрес и отправляет его серверу ExpressVPN, который получает доступ к нужной странице. В одно мгновение ExpressVPN возвращает эту страницу вам. Весь трафик остается под надежной защитой VPN-туннеля.

Если я уже использую VPN, зачем мне нужно проверять, имеется ли утечка DNS?

Может произойти одно из двух:

В обоих случаях третьи лица могут видеть список веб-сайтов и приложений, которые вы используете.

Что вызывает утечку DNS-запросов при использовании VPN?

Утечки DNS могут происходить по многим причинам. Вот некоторые из них:

1. Ваша VPN-сеть настроена вручную. Если вы вручную настраиваете VPN-соединение, риск утечки DNS-запросов увеличивается и зависит от конфигурации вашей операционной системы. Использование приложений ExpressVPN устраняет многие из опасностей.
2. Ваш роутер контролируется злоумышленником , например, оператором Wi-Fi в кафе. Злоумышленник может сделать так, чтобы ваше устройство отправляло DNS-запросы за пределы туннеля VPN. Приложения ExpressVPN защищают от утечки DNS, но другие приложения и ручные настройки могут быть уязвимыми.
3. Ручная настройка DNS. Вы (или программное обеспечение на вашем устройстве) дали команду операционной системе не использовать DNS-серверы ExpressVPN. Опытные пользователи могут запросить конкретную службу DNS, но большинству людей по соображениям безопасности лучше этого не делать.