Включаем DNSSEC: Операции с DNS-зонами
Подписываем зону
У нас будет два варианта, отличающихся друг от друга – подпись зоны, хранящейся в текстовом файле, и подпись зоны, хранящейся в Active Directory.
С точки зрения DNSSEC, это несущественно, потому что DNSSEC никак не регламентирует хранение зоны, у него другая задача. Однако с точки зрения администратора, выполняющего эту задачу, различия есть.
Не забудьте, что вне зависимости от метода хранения зоны, у DNSSEC-зоны не должны использоваться динамические обновления. Под это подпадают как динамические обновления с точки зрения хостов (добавление/обновление записей), так и результаты работы механизмов aging/scavenging. Их тоже надо выключить на DNSSEC-зонах.
Приступим. Команда
сделает нам подписанную зону, плюс ещё 2 файла – и , где FQDN_зоны – тот же, который идёт в команде после ключа .
Порядок указания KSK- и ZSK-сертификатов не критичен; утилита по битовым флагам догадается, кто KSK.
Исходный файл зоны по умолчанию лежит в .
Флаги и , как обычно, опциональны.
Теперь наша зона готова. Можно удалить её неподписанную копию и загрузить подписанную (т.е. просто заменить файл). Сервер поймёт и теперь будет возвращать клиентам дополнительные типы записей (если клиенты намекнут ему до этого, что они умеют читать такие типы записей). Но если клиент – это другой DNS-сервер, то как же он будет проверять, правду ли ему прислали или нет? Чтобы он мог это делать, ему нужны криптографические ключи, которые помогут понять, целостна ли или нет.
Распространяем trust anchor’ы нашей подписанной зоны
Эти ценные записи типа будут находиться в файле, который автоматически создался при предыдущем шаге (подписи зоны) и начинается с . Их необходимо добавить на другие сервера. Есть два способа – через графический интерфейс и через . Через графический интерфейс достаточно просто: зайдите в у сервера, выберите вкладку , нажмите для добавления информации о новой “чужой” подписанной зоне, информацию из которой этот сервер должен научиться проверять, и введите два параметра – FQDN зоны и её открытый ключ (находится в файле путём открытия его Блокнотом). Так как речь о реализации в Windows Server 2008 R2, которая кроме RSA/SHA-1 других вариантов не знает, особо настраивать в , кроме вышеупомянутых двух полей, нечего.
Вариант с командной строкой подразумевает ввод команды:
Флаги из файла – это то, число, которое после параметра DNSKEY в keyset-файле, открытый ключ – аналогично. Файл маленький, не перепутаете.
DNS Lookup Tool
The dns lookup is one of the best things you can do to troubleshoot dns records and servers, and we will point this as your #1 dns tip.
A DNS lookup can give you a full report of your DNS zones, TLD server, Nameservers and dns records for some specific remote queries.
Let’s see how to run a dns lookup on the all major operating systems:
nslookup is one of your best friends, you just don’t know it.
nslookup command syntax
nslookup is a dns tool that is present on all operating systems, and the usage syntax is pretty simple:
nslookup domain.com
As you see on this example:
$ nslookup dnspropagation.net Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: dnspropagation.net Address: 208.167.225.60
On windows can be run from your MS-DOS command line, or from the powershell of latest Windows versions.
On Linux and Unix systems like Mac OS the syntax is the same.
From the command line or shell terminal, you can run the nslookup command as you saw before, or you can pass many other nslookup parameters like this:
querytype=value type=value Change the type of the information query. (Default = A; abbreviations = q, ty) recurse Tell the name server to query other servers if it does not have the information. (Default = recurse; abbreviation = rec) retry=number Set the number of retries to number. timeout=number
Change the initial timeout interval for waiting for a reply to number seconds.
Syntax
Parameters
Parameter | Description |
---|---|
nslookup exit | Exits the nslookup command-line tool. |
nslookup finger | Connects with the finger server on the current computer. |
nslookup help | Displays a short summary of subcommands. |
nslookup ls | Lists information for a DNS domain. |
nslookup lserver | Changes the default server to the specified DNS domain. |
nslookup root | Changes the default server to the server for the root of the DNS domain name space. |
nslookup server | Changes the default server to the specified DNS domain. |
nslookup set | Changes configuration settings that affect how lookups function. |
nslookup set all | Prints the current values of the configuration settings. |
nslookup set class | Changes the query class. The class specifies the protocol group of the information. |
nslookup set d2 | Turns exhaustive Debugging mode on or off. All fields of every packet are printed. |
nslookup set debug | Turns Debugging mode on or off. |
nslookup set domain | Changes the default DNS domain name to the name specified. |
nslookup set port | Changes the default TCP/UDP DNS name server port to the value specified. |
nslookup set querytype | Changes the resource record type for the query. |
nslookup set recurse | Tells the DNS name server to query other servers if it doesn’t have the information. |
nslookup set retry | Sets the number of retries. |
nslookup set root | Changes the name of the root server used for queries. |
nslookup set search | Appends the DNS domain names in the DNS domain search list to the request until an answer is received. This applies when the set and the lookup request contain at least one period, but do not end with a trailing period. |
nslookup set srchlist | Changes the default DNS domain name and search list. |
nslookup set timeout | Changes the initial number of seconds to wait for a reply to a request. |
nslookup set type | Changes the resource record type for the query. |
nslookup set vc | Specifies to use or not use a virtual circuit when sending requests to the server. |
nslookup view | Sorts and lists the output of the previous ls subcommand or commands. |
Remarks
-
If computerTofind is an IP address and the query is for an A or PTR resource record type, the name of the computer is returned.
-
If computerTofind is a name and doesn’t have a trailing period, the default DNS domain name is appended to the name. This behavior depends on the state of the following set subcommands: domain, srchlist, defname, and search.
-
If you type a hyphen (-) instead of computerTofind, the command prompt changes to nslookup interactive mode.
-
If the lookup request fails, the command-line tool provides an error message, including:
Error message Description timed out The server didn’t respond to a request after a certain amount of time and a certain number of retries. You can set the time-out period with the nslookup set timeout command. You can set the number of retries with the nslookup set retry command. No response from server No DNS name server is running on the server computer. No records The DNS name server doesn’t have resource records of the current query type for the computer, although the computer name is valid. The query type is specified with the nslookup set querytype command. Nonexistent domain The computer or DNS domain name doesn’t exist. Connection refused or Network is unreachable The connection to the DNS name server or finger server could not be made. This error commonly occurs with the ls and finger requests. Server failure The DNS name server found an internal inconsistency in its database and could not return a valid answer. Refused The DNS name server refused to service the request. format error The DNS name server found that the request packet was not in the proper format. It may indicate an error in nslookup.
List of Best DNS Tools for Windows, Linux and Mac
All operating systems in the world come with a default group of networking tools, that also include DNS tools, which can be used to detect and help you to fix dns errors.
This DNS tools are useful to investigate and analyse DNS records, and how these respond against common dns queries.
DNS lookups against DNS servers can help you to get valuable information about dns server setup, dns zones and general dns record health.
Flushing the DNS, while it is not a dns tool itself, sometimes can also help to fix dns resolution issues, if you want to know how to flush DNS on your operating system, check out this article: Flush DNS Cache.
Let’s move on with the most useful and popular DNS utilities for Mac OS, Linux / Unix and Windows operating systems.
Table of Contents
Утилита Tracert
Отсылает ICMP (аналогичная по сути утилита tcptraceroute отсылает TCP) запросы и определяет каждый узел при похождении пакета от компьютера запроса до цели. В выводе показывает все хопы(маршрутизаторы) в виде строк след-го вида () 74.881 ms 74.888 ms 74.895 ms
где значения в ms разница между временем отправки пакета и получением ответа. По умолчанию делается 3 запроса.
В командную строку введите tracert . При обнаружении знаков * в одном из хопов или появлении строки «request timeout» c большой долей вероятности вы нашли узел, где прерывается маршрут пакетов и решение вопроса стоит искать совместно с владельцами таких серверов
Также обратите внимание на большие значения в ms.
Дополнительная информация
Функция заказа netmask используется для возврата адресов для запросов типа A DNS для приоритета локальных ресурсов для клиента. Например, если эти условия верны, результаты запроса на имя возвращаются клиенту на основе близости ip-адресов.
- У вас есть восемь записей типа A для того же имени DNS.
- Каждый из восьми записей типа A имеет отдельный адрес.
В начальном выпуске Microsoft Windows 2000 Server эта близость вычисляется на основе исходного класса адреса, назначенного клиенту. Если клиенту назначен адрес родного класса A, то ответы, отосланные клиенту, будут приоритизированы записями, которые соответствуют членству в сети класса клиента A. Это также относится к родным адресам класса B и родному классу C.
Функция кругового робина используется для рандомизации результатов аналогичного типа запроса, чтобы обеспечить базовую функциональность балансировки нагрузки. В более ранних примерах восемь записей типа А с одинаковым именем и разными IP-адресами приводят к тому, что для каждого запроса в верхней части будет приоритизирован другой ответ. Так как новый IP-адрес приоритизирован в верхней части каждого запроса, клиенты не будут повторно маршрутизироваться на один и тот же сервер.
Начальный выпуск Windows 2000 Server не может одновременно использовать функцию заказа netmask и функцию кругового робина. Если включена функция заказа netmask, ответы всегда предоставляются клиентам в том же порядке. В Windows Server 2003 это поведение изменилось, чтобы разрешить использование как функции заказа netmask на основе подсетей, так и функции кругового робина. Использование функции заказа netmask и функции кругового робина обеспечивает осведомленность о близости и балансировку нагрузки.
Во многих текущих сетевых средах часто бывает необычно иметь маску подсети, которая является родным для фактического адреса. Поэтому нетмаск-заказ, основанный на родном классе IP-адреса, ненадежен при прогнозировании локальности сети. Windows Сервер 2003 расположен вблизи класса C независимо от типа родного адреса.
Например, компании назначена подсеть 126.45.x.x. Маловероятно, что для определения этой подсети во внутренней сети будет использоваться 8-битная подсетевая маска. Кроме того, компания владеет только частью подсети класса A. Поскольку этот диапазон, скорее всего, будет разделен на сети класса B или меньшие сети, заказ netmask может не возвращать результаты, близкие к клиенту. Это верно, если конфигурация сети отличается от конфигурации сети, подразумеваемой родным классом адреса. Поскольку Windows Сервер 2003 расположен вблизи класса C, более открыты близкие ресурсы.
Вы можете использовать команду для восстановления параметров Windows Server 2003 в параметры по умолчанию.
Хотя параметр по умолчанию в Windows Server 2003 является базой близости к классу C, этот параметр можно изменить. Можно определить, какая часть маски является относительной для заказа netmask в зависимости от среды. При выпуске коммутатора /LocalNetPriorityNetMask можно указать те биты, которые важны для операции заказа netmask. Вы можете использовать команду, чтобы использовать класс B (или 16 бит) для заказа netmask.
В следующей таблице перечислены другие параметры заказа netmask:
Netmask | LocalPriorityNet |
---|---|
255.255.255.0 | 0x000000ff |
255.255.0.0 | 0x0000ffff |
255.0.0.0 | 0x00ffffff |
Если для хоста используется только 6 битов, маска — 255.255.255.192. В ciDR-нотации, бесклассовом маршрутизации междоменов, это будет маска /26. Вы можете использовать команду для настройки подсети класса C.
Значительные биты устанавливают, какая часть адреса — это место хозяйского адреса. Поскольку двоичный эквивалент 0x3 равно 11, а двоичный эквивалент 0xF — 1111, в качестве части хост-адреса устанавливаются 6 битов. Если требуется 7 битов (255.255.255.128 или /25), значение будет 0x0000007F, так как двоичный эквивалент 0x7F 0111 1111. Если требуется всего 5 битов (255.255.255.224 или /27), значение будет 0x0000001F, так как двоичный эквивалент 0x1F равен 0001 1111.
Команда настраивает Windows Server 2003 для использования кругового и сетевого заказа на основе класса ip-адресов клиента.
Очистка кеша публичных DNS
Кеш публичных DNS — кеш, хранящийся на используемых устройством DNS-серверах. Очистка кеша публичных DNS влияет только на тех, кто их использует. Если на вашем устройстве используются не публичные DNS, а, к примеру, DNS-сервера вашего провайдера, то очистка кеша публичных DNS не повлияет на информацию, отдаваемую DNS-серверами вашего провайдера. Чтобы исправить ситуацию и быстрее актуализировать у себя данные по домену, установите публичные DNS.
Cloudflare
- Откройте эту страницу.
-
Заполните поля и нажмите «Purge Cache»:
- «Domain Name» — укажите название домена, для записи которого нужно очистить кеш.
- «Record Type» — выберите запись, информацию по которой нужно удалить из кеша.
- Повторите операцию для каждой записи, по которой нужно актуализировать информацию.
- Откройте эту страницу.
-
Заполните поля, установите галочку напротив «Я не робот» и нажмите «Flush cache»:
- «Domain name» — укажите название домена, для записи которого нужно очистить кеш.
- «RR type» — выберите запись, информацию по которой нужно удалить из кеша.
- Повторите операцию для каждой записи, по которой нужно актуализировать информацию.
OpenDNS
- Откройте эту страницу.
- В поле «Enter a domain name to check» укажите название домена и нажмите «CHECK THIS DOMAIN»:
- Прокрутите страницу вниз и нажмите «REFRESH THE CACHE»:
Синтаксис
Параметры
Параметр | Описание |
---|---|
выход из nslookup | Выход из программы командной строки Nslookup. |
nslookup Finger | Подключается к серверу finger на текущем компьютере. |
nslookup help | Отображает краткую сводку по подкомандам. |
nslookup ls | Выводит сведения для домена DNS. |
nslookup lserver | Изменяет сервер по умолчанию на указанный домен DNS. |
nslookup root | Изменяет сервер по умолчанию на сервер для корня пространства имен домена DNS. |
nslookup server | Изменяет сервер по умолчанию на указанный домен DNS. |
nslookup set | Изменяет параметры конфигурации, влияющие на работу функций Lookup. |
nslookup set all | Выводит текущие значения параметров конфигурации. |
nslookup set class | Изменяет класс запроса. Класс указывает группу протоколов сведений. |
nslookup set d2 | Включает или выключает режим полной отладки. Выводятся все поля каждого пакета. |
nslookup set debug | Включает или выключает режим отладки. |
nslookup set domain | Изменяет имя домена DNS по умолчанию на указанное имя. |
nslookup set port | Изменяет порт сервера DNS-имен TCP/UDP по умолчанию на указанное значение. |
nslookup set querytype | Изменяет тип записи ресурса для запроса. |
nslookup set recurse | Сообщает серверу DNS-имен о необходимости запрашивать другие серверы, если эти сведения отсутствуют. |
nslookup set retry | Задает число повторных попыток. |
nslookup set root | Изменяет имя корневого сервера, используемого для запросов. |
nslookup set search | Добавляет DNS-имена доменов в списке поиска доменов DNS в запрос, пока не будет получен ответ. Это применимо, когда набор и запрос уточняющего запроса содержат по крайней мере одну точку, но не заканчиваются точкой в конце. |
nslookup set srchlist | Изменяет имя домена DNS по умолчанию и список поиска. |
nslookup set timeout | Изменяет начальное число секунд ожидания ответа на запрос. |
nslookup set type | Изменяет тип записи ресурса для запроса. |
nslookup set vc | Указывает, следует ли использовать виртуальный канал при отправке запросов на сервер. |
nslookup view | Сортирует и перечисляет выходные данные предыдущей подкоманды Ls или команд. |
Комментарии
-
Если компутертофинд является IP-адресом и запрос предназначен для типа записи ресурса A или ptr , возвращается имя компьютера.
-
Если компутертофинд является именем и не имеет точки в конце, имя домена DNS по умолчанию добавляется к имени. Это поведение зависит от состояния следующих подкоманд Set : domain, срчлист, дефнамеи Search.
-
Если ввести дефис (-) вместо компутертофинд, Командная строка изменится на интерактивный режим nslookup .
-
Если запрос на поиск завершается неудачей, программа командной строки выдает сообщение об ошибке, в том числе:
Сообщение об ошибке Описание истекло время ожидания Сервер не ответил на запрос по истечении определенного промежутка времени и определенного числа повторных попыток. Время ожидания можно установить с помощью команды nslookup set timeout . Число повторных попыток можно задать с помощью команды nslookup set retry . Нет ответа от сервера Сервер DNS-имен не работает на компьютере сервера. Записи отсутствуют Сервер DNS-имен не содержит записи ресурсов текущего типа запроса для компьютера, хотя имя компьютера является допустимым. Тип запроса указывается с помощью команды nslookup set QueryType . Несуществующий домен Имя компьютера или домена DNS не существует. Подключение отклонено или сеть недоступна Не удалось установить подключение к серверу DNS-имен или серверу finger. Эта ошибка обычно возникает при запросах Ls и finger . Сбой сервера Сервер DNS-имен обнаружил внутреннюю несогласованность в своей базе данных и не смог вернуть допустимый ответ. Препятству Серверу DNS-имен отказано в обслуживании запроса. Ошибка формата Сервер DNS-имен обнаружил, что пакет запроса имеет неправильный формат. Это может указывать на ошибку в nslookup.
Не рано ли внедрять DNSSEC?
Не рано ли внедрять DNSSEC? Не поздно ли Microsoft добавила его в Windows Server 2008 R2?
Нет и нет.
Для полноценного функционирования DNSSEC необходимо, чтобы цепочка доверия начиналась с корневой зоны, т.е. “точки”. “Точку” подписали 28 июля 2010 года, а, к примеру, зону “com” – только 31 марта 2011 года. Поэтому и внедрять DNSSEC уже можно, и Microsoft добавил DNSSEC в продукт заранее (вспомните, что Windows Server 2008 R2 вышел 1 августа 2009 года). Плюс необходима поддержка со стороны client resolver – этот функционал поддерживается Windows 7 (правда, фигово).
Поэтому для использования DNSSEC в корпоративных сетях есть все основания даже если клиентский парк имеет в своём составе далеко не современную Windows 7.
Диагностика разрешения имен (nslookup, dig)
Разобравшись с сетевой связностью и маршрутизацией приходим к следующему этапу — разрешение доменных имен. В большинстве случаев в работе с удаленными сервисами мы не используем IP-адреса, а указываем доменные имена удаленных ресурсов. За перевод символических имен в IP-адреса отвечает служба DNS — это сеть серверов, которые содержат актуальную информацию о соответствии имен и IP в пределах доверенных им доменных зон.
Самый простой способ проверить работает ли разрешение имен — запустить утилиту ping с указанием доменного имени вместо IP-адреса (например, ping ya.ru). Если ответные пакеты от удаленного сервера приходят, значит все работает как надо. В противном случае нужно проверить прописан ли DNS-сервер в сетевых настройках и удается ли получить от него ответ.
Способы выяснения какой DNS-сервер использует наш сервер различаются в зависимости от используемой версии и дистрибутива ОС Linux. Например, если ОС используется Network Manager для управления сетевыми интерфейсами (CentOS, RedHat и др.), может помочь вывод команды nmcli:
Скриншот №7. Команда nmcli
В настройках сетевого интерфейса, в разделе DNS configuration, мы увидим IP-адрес сервера. В Ubuntu 18.04 и выше, использующих Netplan, используем команду systemd-resolve —status:
Скриншот №8. Команда systemd-resolve —status
Используемый сервер также будет указан в настройках интерфейса, в разделе DNS Servers. В более старых версиях Ubuntu потребуется проверить содержимое файлов /etc/resolve.conf и /etc/network/interfaces. Если сервер не указан, воспользуйтесь статьей для ОС Ubuntu 18.04 или CentOS, чтобы скорректировать настройки.
Проверить работу сервиса разрешения имен нам помогут утилиты nslookup или dig. Функционально они почти идентичны: G-вывод утилиты dig содержит больше диагностической информации и гибко регулируется, но это далеко не всегда нужно. Поэтому используйте ту утилиту, которая удобна в конкретной ситуации. Если эти команды недоступны, потребуется доставить пакеты на CentOS/RedHat:
для Debian/Ubuntu:
После успешной установки сделаем тестовые запросы:
Скриншот №9. Тестовые запросы
В разделе Answer Section видим ответ от DNS сервера — IP-адрес для A-записи с доменным именем ya.ru. Разрешение имени работает корректно:
Скриншот №10. Подтверждение корректной работы
Аналогичный запрос утилитой nslookup выдает более компактный вывод, но вся нужная сейчас информация в нем присутствует.
Что же делать, если в ответе отсутствует IP-адрес? Возможно, DNS-сервер недоступен. Для проверки можно отправить тестовый запрос на другой DNS-сервер. Обе утилиты позволяют эти сделать. Направим тестовый запрос на DNS-сервер Google:
Скриншот №11. Отправка тестового запроса 1
Скриншот №12. Отправка тестового запроса 2
Если имена разрешаются публичным DNS-сервером корректно, а установленным по умолчанию в ОС нет, вероятно, есть проблема в работе этого DNS-сервера. Временным решением данной проблемы может быть использование публичного DNS-сервера в качестве сервера для разрешения имен в операционной системе. В том случае, если разрешение имен не работает ни через локальный, ни через публичный DNS сервер — стоит проверить не блокируют ли правила файрвола отправку на удаленный порт 53 TCP/UDP пакетов (именно на этом порту DNS-серверы принимают запросы).
Часто используемые параметры:
- nslookup имя сервер — разрешить доменное имя, используя альтернативый сервер;
- nslookup –type=тип имя — получить запись указанного типа для доменного имени (например, nslookup -type=mx ya.ru – получить MX-записи для домена ya.ru);
- dig @сервер имя — разрешить доменное имя, используя альтернативый сервер;
- dig имя тип — получить запись указанного типа для доменного имени (например, dig ya.ru mx — получить MX-записи для домена ya.ru).
Как обычно, полный набор опций и параметров для указанных утилит можно найти во встроенной справке операционной системы, используя команду man.
191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А
+7 (812) 403-06-99
700
300
ООО «ИТГЛОБАЛКОМ ЛАБС»
700
300
Параметры ведения журнала
Если необходимо выполнить отладку пакета установки, можно задать параметры, чтобы создать файл журнала с конкретными сведениями.
Параметры
Параметр | Описание |
---|---|
/i | Задает нормальную установку. |
/x | Удаляет пакет. |
Указывает расположение и имя файла пакета установки. | |
/Li | Включает ведение журнала и включает сообщения о состоянии в выходной файл журнала. |
/лв | Включает ведение журнала и включает в выходной файл журнала некритические предупреждения. |
/ле | Включает ведение журнала и включает все сообщения об ошибках в выходной файл журнала. |
/ла | Включает ведение журнала и включает сведения о том, когда действие запускается в выходном файле журнала. |
/лр | Включает ведение журнала и включает записи, относящиеся к конкретному действию, в выходной файл журнала. |
/лу | Включает ведение журнала и включает сведения о запросе пользователя в выходной файл журнала. |
/лк | Включает ведение журнала и включает исходные параметры пользовательского интерфейса в выходной файл журнала. |
/LM | Включает ведение журнала и включает в выходной файл журнала сведения о нехватке памяти или аварийном завершении. |
/ло | Включает ведение журнала и включает в выходной файл журнала сообщения о нехватке места на диске. |
/лп | Включает ведение журнала и включает свойства терминала в выходной файл журнала. |
/лп | Включает ведение журнала и включает свойства терминала в выходной файл журнала. |
/лв | Включает ведение журнала и включает подробный вывод в выходной файл журнала. |
/лп | Включает ведение журнала и включает свойства терминала в выходной файл журнала. |
/лкс | Включает ведение журнала и включает дополнительные отладочные данные в выходной файл журнала. |
/l + | Включает ведение журнала и добавляет данные в существующий файл журнала. |
/l! | Включает ведение журнала и сбрасывает каждую строку в файл журнала. |
/l | Включает ведение журнала и регистрирует все данные, за исключением Verbose (/лв) или дополнительной отладочной информации (/ЛКС). |
Указывает расположение и имя выходного файла журнала. |
Примеры
Чтобы установить пакетную C:\example.msi, в обычном процессе установки со всеми предоставленными сведениями о ведении журнала, включая подробные выходные данные, и сохранения выходного файла журнала по адресу к:\паккаже.лог, введите:
Операция Statistics
Операция statistics позволяет получить большой объем информации о сервере DNS, включая:
- запросы, отправленные и полученные;
- типы полученных запросов (A, NS, MX, PTR);
- попытки передачи зон и частота успешных попыток;
- ссылки на WINS;
- статистику динамических обновлений (безопасные обновления, типы записей);
- статистику производительности записи.
Вывод команды содержит большой объем информации, часть из которой более полезна в разработке, а не при диагностике
Обычно, основное внимание следует уделить записанным ошибкам, после чего попытаться изолировать проблему на основе полученной информации
Синтаксис команды для операции statistics выглядит следующим образом:
dnscmd /statistics
Параметры команды для операции statistics рассматриваются в следующей таблице.
Параметры команды dnscmd /statistics
Параметр |
Использование |
сервер |
Используется для указания имени или адреса IP удаленного сервера DNS, статистику которого необходимо сообщить |
id |
Этот параметр позволяет ограничить категории сообщаемой статистической информации о сервере DNS. Допустимые значения параметра id рассматриваются в табл. 8.2 |
/clear |
Сбрасывает счетчик статистики указанного сервера DNS в 0. Счетчики автоматически сбрасываются и перезапускаются при запуске или перезапуске сервера DNS |
Значения параметра id для команды dnscmd /statistics
Значение |
Cтатистика |
1 |
Time |
2 |
Query |
5 |
Query2 |
8 |
Recurse |
10 |
Master |
20 |
Secondary |
40 |
WINS |
100 |
Update |
200 |
SkwanSec |
400 |
DS |
10000 |
Memory |
40000 |
Database |
80000 |
Records |
100000 |
Packet Memory |
200000 |
NBTStat Memory |
Хотя статистические категории имеют не самые интуитивно-понятные названия, основное внимание следует уделить связанным с ними записям. При первом запуске этой команды не указывайте значение параметра id и обратите внимание на категории, которые особенно полезны при диагностике
Таким образом, при последующих попытках запуска утилиты объем выдаваемой информации будет намного меньшим.
Так как команда выдает большой объем статистической информации, стоит рассмотреть возможность перенаправления ее вывода в файл (на другую программу). Например, для получения всей статистики сервера dns1.microsoft.com и сохранения этой информации в файле D:\Info\dns.txt, необходимо ввести следующую команду:
dnscmd dns1.microsoft.com /statistics > D:\Info\dns.txt
После завершения выполнения команды ее вывод можно просмотреть, открыв файл в любом редакторе, например, в Блокноте.
Настройка времени хранения DNS кэша на сервере
Каждая запись DNS имеет значение времени жизни (TTL), связанное с ней, и именно это значение обычно определяет, как долго запись будет сохраняться в кэше, но это можно изменить с помощью значения реестра MaxCacheTtl. Существуют настройки MaxCacheTtl как для серверного, так и для клиентского кеша, которые хранятся в разных местах реестра:
- Для сервера — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters
- Для клиента — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNSCache\Parameters
На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org, до скорых встречь.
Синтаксис
Параметры
Параметр | Описание |
---|---|
Указывает имя удаленного сервера, на котором расположена служба. Имя должно использовать формат UNC (например, \мисервер). Чтобы запустить SC.exe локально, не используйте этот параметр. | |
Указывает имя службы, возвращенное операцией жеткэйнаме . | |
Указывает тип службы. Эти способы могут быть следующими:
|
|
Указывает тип запуска для службы. Эти способы могут быть следующими:
|
|
Указывает серьезность ошибки, если служба не запускается при запуске компьютера. Эти способы могут быть следующими:
|
|
Указывает путь к двоичному файлу службы. Значение по умолчанию для BinPath =, и эта строка должна быть указана. | |
Указывает имя группы, членом которой является эта служба. Список групп хранится в реестре в подразделе хклм\систем\куррентконтролсет\контрол\сервицеграупордер . По умолчанию используется значение NULL. | |
Указывает, следует ли получить TagID из вызова CreateService. Теги используются только для драйверов загрузки и запуска системы. | |
Указывает имена служб или групп, которые должны быть запущены перед этой службой. Имена разделяются косой чертой (/). | |
указывает имя учетной записи, в которой будет выполняться служба, или задает имя объекта драйвера Windows, в котором будет выполняться драйвер. Значение по умолчанию — LocalSystem. | |
Указывает понятное имя для идентификации службы в программах пользовательского интерфейса. Например, имя подраздела одной конкретной службы — wuauserv, которое имеет более понятное отображаемое имя автоматическое обновление. | |
Указывает пароль. Это необходимо, если используется учетная запись, отличная от учетной записи LocalSystem. | |
/? | Отображение справки в командной строке. |
Комментарии
-
Каждый параметр командной строки (параметр) должен включать знак равенства как часть имени параметра.
-
Между параметром и его значением требуется пробел (например, Type =an). Если пространство не указано, операция завершается ошибкой.
Примеры
Чтобы задать для переменной среды машины в локальной среде значение Brand1, введите:
Чтобы задать переменную среды компьютера в системной среде на значение Brand1 Computer, введите:
Чтобы задать переменную среды MYPATH в локальной среде для использования пути поиска, определенного в переменной среды path , введите:
Чтобы задать переменную среды MYPATH в локальной среде для использования пути поиска, определенного в переменной среды path после замены на , введите:
Чтобы задать переменную среды компьютера в локальной среде для Brand1 на удаленном компьютере с именем COMPUTER1, введите:
Чтобы задать переменную среды MYPATH в локальной среде для использования пути поиска, определенного в переменной среды path на удаленном компьютере с именем COMPUTER1, введите:
Чтобы задать для переменной среды тзоне в локальной среде значение, найденное в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation\StandardName , введите:
Чтобы установить переменную среды тзоне в локальной среде удаленного компьютера с именем COMPUTER1 в значение, найденное в разделе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation\StandardName , введите:
Чтобы задать переменную среды сборки в системной среде в качестве значения, находящихся в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\CurrentBuildNumber , введите:
Чтобы задать переменную среды сборки в системной среде удаленного компьютера с именем COMPUTER1, в значение, найденное в разделе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\CurrentBuildNumber , введите:
Чтобы отобразить содержимое файла с именем ipconfig. out, а также соответствующие координаты содержимого, введите:
Чтобы задать переменную среды reduce в локальной среде до значения, находящейся в координате 5, 11 в файле ipconfig. out , введите:
Чтобы задать переменную среды OCTET1 в локальной среде до значения, находящейся в координате 5, 3 в файле ipconfig. out с разделителями # $ *., введите:
Чтобы задать переменную среды ипгатевай в локальной среде до значения, находящейся в координате 0, 7 по отношению к координатам шлюза в файле ipconfig. out , введите:
Чтобы отобразить содержимое файла ipconfig. out , а также соответствующие координаты содержимого на компьютере с именем COMPUTER1, введите: