DHCP i DNS na Windows Server — konfiguracja od zera [2026]

DHCP i DNS to dwie usługi sieciowe, bez których żadna firmowa infrastruktura oparta na Windows Server nie może prawidłowo funkcjonować. DHCP automatycznie przydziela adresy IP urządzeniom w sieci, eliminując konieczność ręcznej konfiguracji każdej stacji roboczej. DNS z kolei tłumaczy przyjazne nazwy hostów na adresy IP — i odwrotnie. W środowisku z Active Directory poprawna konfiguracja DNS jest wręcz warunkiem koniecznym: kontrolery domeny, logowanie użytkowników, replikacja usług katalogowych — wszystko to opiera się na precyzyjnym działaniu serwera DNS. W tym przewodniku przeprowadzę cię przez konfigurację dhcp windows server i dns windows server od zera, krok po kroku, obejmując instalację ról, tworzenie zakresów DHCP, rezerwacje, opcje serwera, failover dla wysokiej dostępności, strefy DNS, integrację z Active Directory, podstawy DNSSEC oraz diagnostykę. Przewodnik dotyczy Windows Server 2022 i Windows Server 2025, choć kroki są niemal identyczne dla wersji 2019.

Dlaczego DHCP i DNS są fundamentem każdej sieci Windows

Zanim przejdziemy do konfiguracji, warto zrozumieć, dlaczego obie usługi są nierozłączne i dlaczego należy je traktować jako jeden system.

W sieci bez DHCP administrator musi ręcznie przypisać adres IP, maskę podsieci, bramę domyślną i adresy serwerów DNS każdemu urządzeniu z osobna. W firmie z 50 komputerami jest to żmudne. W firmie z 500 urządzeniami — niemożliwe do efektywnego utrzymania. DHCP rozwiązuje ten problem, centralnie zarządzając pulą adresów i automatycznie dystrybuując konfigurację sieciową przy każdym połączeniu urządzenia z siecią.

DNS pełni rolę "książki telefonicznej" sieci. Gdy użytkownik wpisuje w przeglądarce adres serwera plików \\serwer-pliki\zasoby lub gdy komputer próbuje się zalogować do domeny, system operacyjny wysyła zapytanie do serwera DNS, aby uzyskać adres IP odpowiadający tej nazwie. Bez działającego DNS żadna z tych operacji nie powiedzie się.

W środowisku Active Directory zależność jest jeszcze głębsza. Active Directory używa DNS do publikowania rekordów SRV (Service Location), które informują klientów o lokalizacji kontrolerów domeny, serwerów Kerberos i serwerów LDAP. Błędna konfiguracja DNS oznacza, że komputery nie będą mogły dołączyć do domeny, użytkownicy nie będą mogli się zalogować, a replikacja AD między kontrolerami domeny może zostać przerwana.

Instalacja roli DHCP w Windows Server 2022 — krok po kroku

Instalacja roli DHCP odbywa się przez Menedżera serwera. Przed rozpoczęciem upewnij się, że serwerowi przypisany jest statyczny adres IP — serwer DHCP sam nie może pobierać adresu dynamicznie.

Krok 1: Dodawanie roli przez Menedżera serwera

1. Otwórz Menedżer serwera (Server Manager) — pojawi się automatycznie po zalogowaniu lub uruchom go z menu Start.
2. W prawym górnym rogu kliknij Zarządzaj (Manage), a następnie wybierz Dodaj role i funkcje (Add Roles and Features).
3. W kreatorze wybierz Instalacja oparta na rolach lub funkcjach (Role-based or feature-based installation) i kliknij Dalej.
4. Wybierz serwer z puli serwerów i kliknij Dalej.
5. Na liście ról zaznacz Serwer DHCP (DHCP Server). System poprosi o dodanie wymaganych narzędzi zarządzania — kliknij Dodaj funkcje (Add Features).
6. Przejdź przez kolejne strony kreatora, nie zmieniając domyślnych ustawień, i kliknij Zainstaluj (Install).
7. Po zakończeniu instalacji w Menedżerze serwera pojawi się żółty trójkąt ostrzegawczy z komunikatem o konieczności dokończenia konfiguracji DHCP. Kliknij w powiadomienie i wybierz Dokończ konfigurację funkcji DHCP (Complete DHCP Configuration).
8. W kreatorze post-konfiguracji potwierdź poświadczenia konta domenowego (domyślnie konto administratora domeny) i kliknij Zatwierdź. Ten krok autoryzuje serwer DHCP w usłudze Active Directory, co jest wymagane w środowiskach domenowych — nieautoryzowany serwer DHCP nie będzie odpowiadał na zapytania klientów.

Krok 2: Autoryzacja serwera DHCP w AD

Windows Server wymaga, aby każdy serwer DHCP był autoryzowany w Active Directory. Zapobiega to sytuacji, w której przypadkowo uruchomiony (lub złośliwy) serwer DHCP zacznie przydzielać błędne adresy IP urządzeniom w sieci — atak znany jako "rogue DHCP server". Autoryzacja następuje automatycznie podczas kroku post-konfiguracji, ale można ją również wykonać ręcznie: w konsoli DHCP kliknij prawym przyciskiem myszy na nazwie serwera i wybierz Autoryzuj (Authorize). Zielona ikona serwera potwierdza poprawną autoryzację.

Tworzenie zakresu DHCP, rezerwacje i opcje serwera

Po instalacji serwer DHCP nie przydziela jeszcze żadnych adresów — konieczne jest stworzenie co najmniej jednego zakresu (scope), który definiuje pulę adresów IP dostępną dla klientów.

Tworzenie nowego zakresu

1. Otwórz konsolę DHCP przez Menedżer serwera: Narzędzia → DHCP.
2. W drzewie po lewej stronie rozwiń węzeł serwera, kliknij prawym przyciskiem myszy na IPv4 i wybierz Nowy zakres (New Scope).
3. Uruchomi się kreator. W polu Nazwa wpisz opisową nazwę zakresu, np. "Biuro_Glowne_192.168.10.x".
4. Podaj adres IP początku puli (Start IP address) i końca puli (End IP address) oraz maskę podsieci. Przykład dla sieci firmowej: Start: 192.168.10.100, End: 192.168.10.250, Maska: 255.255.255.0.
5. Opcjonalnie skonfiguruj wykluczenia (Exclusions) — adresy wewnątrz puli, które DHCP nie będzie przydzielał. Wykluczenia stosuje się dla urządzeń z adresami statycznymi (drukarki, serwery, switche) mieszczącymi się w zakresie puli.
6. Ustaw czas trwania dzierżawy (Lease Duration). Dla komputerów biurowych, które rzadko opuszczają sieć, wartość 8 dni jest rozsądna. Dla sieci gościnnych lub konferencyjnych, gdzie urządzenia zmieniają się często, ustaw 2–4 godziny, aby adresy szybko wracały do puli.

Konfiguracja opcji zakresu — brama domyślna i DNS

Kreator zaproponuje skonfigurowanie opcji DHCP — koniecznie to zrób. Opcje DHCP to dodatkowe parametry konfiguracyjne przekazywane klientowi razem z adresem IP.

• Opcja 003 — Router (brama domyślna): Wpisz adres IP routera/firewalla dla tej podsieci, np. 192.168.10.1. Bez tej opcji klienci nie będą mieli dostępu do Internetu ani innych podsieci.
• Opcja 006 — Serwery DNS: Wpisz adresy IP serwerów DNS — w pierwszej kolejności wewnętrzny kontroler domeny z rolą DNS (np. 192.168.10.10), a jako drugi adres zapasowy — drugi kontroler domeny lub zewnętrzny DNS. Nigdy nie podawaj jako jedynego serwera DNS adresu 8.8.8.8 (Google) w środowisku domenowym — klienci nie będą mogli rozwiązywać nazw domeny Active Directory.
• Opcja 015 — Sufiks domeny DNS: Wpisz nazwę domeny Active Directory, np. firma.local. Ta opcja sprawia, że klienci automatycznie dołączają sufiks do krótkich nazw hostów przy rozwiązywaniu DNS.

Po ukończeniu kreatora aktywuj zakres — serwer DHCP zacznie teraz odpowiadać na zapytania klientów w tej podsieci.

Rezerwacje DHCP — stały adres przez DHCP

Rezerwacja (reservation) to mechanizm, który gwarantuje, że konkretne urządzenie zawsze otrzyma ten sam adres IP z serwera DHCP — na podstawie jego adresu MAC. To idealne rozwiązanie dla drukarek sieciowych, kamer IP, kontrolerów dostępu i innych urządzeń, które potrzebują stałego adresu, ale które chcemy nadal zarządzać centralnie przez DHCP.

1. W konsoli DHCP rozwiń zakres i kliknij prawym przyciskiem myszy na Rezerwacje (Reservations).
2. Wybierz Nowa rezerwacja (New Reservation).
3. Wpisz: nazwę rezerwacji (np. "Drukarka_HP_Recepcja"), adres IP do zarezerwowania, adres MAC urządzenia (bez myślników, np. 0800275E3A1F lub w formacie 08-00-27-5E-3A-1F) oraz opcjonalny opis.
4. Kliknij Dodaj.

Adres MAC urządzenia znajdziesz wpisując ipconfig /all na kliencie Windows lub arp -a na serwerze po tym, jak urządzenie pojawiło się w sieci. W konsoli DHCP możesz też kliknąć prawym przyciskiem na istniejącą dzierżawę aktywną (active lease) i wybrać "Dodaj do rezerwacji", co automatycznie wypełni formularz danymi urządzenia.

DHCP Failover — wysoka dostępność serwera DHCP

W środowisku produkcyjnym pojedynczy serwer DHCP stanowi krytyczny punkt awarii. Jeśli serwer DHCP ulegnie awarii, nowe urządzenia nie będą mogły uzyskać konfiguracji sieciowej, a urządzenia z wygasłymi dzierżawami stracą łączność. DHCP Failover, dostępny od Windows Server 2012 R2, rozwiązuje ten problem poprzez synchronizację stanu dzierżaw między dwoma serwerami DHCP.

Tryby DHCP Failover

Konfiguracja DHCP Failover krok po kroku

1. Upewnij się, że drugi serwer ma zainstalowaną rolę DHCP i jest autoryzowany w AD. Nie twórz na nim żadnych zakresów — zostaną zsynchronizowane automatycznie.
2. Na pierwszym serwerze otwórz konsolę DHCP, kliknij prawym przyciskiem myszy na zakresie i wybierz Konfiguruj tryb failover (Configure Failover).
3. W polu "Serwer partnerski" wpisz nazwę lub adres IP drugiego serwera DHCP i kliknij Dalej.
4. Wybierz tryb: Load Balance (zalecany). Ustaw współczynnik podziału obciążenia — domyślne 50% jest odpowiednie w większości przypadków.
5. Skonfiguruj czas trybu bezpiecznego (Maximum Client Lead Time, MCLT) — domyślnie 1 godzina. To czas, przez który jeden serwer może przydzielić dzierżawę bez potwierdzenia przez partnera podczas przerwy w komunikacji.
6. Opcjonalnie ustaw współdzielony sekret (shared secret) dla uwierzytelnienia komunikacji między serwerami.
7. Zakończ kreator. Stan replikacji możesz monitorować w konsoli DHCP — zakres powinien pokazywać status "Normal".

Instalacja roli DNS i tworzenie stref wyszukiwania

W środowisku Active Directory instalacja DNS jest integralną częścią procesu instalacji kontrolera domeny — rola DNS jest instalowana automatycznie wraz z AD DS. Jeśli jednak instalujesz DNS na osobnym serwerze lub dodajesz rolę DNS na istniejącym serwerze, postępuj podobnie jak przy DHCP.

Instalacja roli DNS Server

1. W Menedżerze serwera wybierz Zarządzaj → Dodaj role i funkcje.
2. Na liście ról zaznacz Serwer DNS (DNS Server) i dodaj wymagane narzędzia zarządzania.
3. Zainstaluj rolę — w przeciwieństwie do DHCP, DNS nie wymaga dodatkowej konfiguracji post-instalacyjnej przez kreator. Konsola DNS jest dostępna od razu w Menedżerze serwera: Narzędzia → DNS.

Strefa wyszukiwania do przodu — Forward Lookup Zone

Strefa forward lookup zone to podstawowa strefa DNS, która mapuje nazwy hostów na adresy IP. W środowisku AD ta strefa jest zazwyczaj tworzona automatycznie podczas promowania serwera na kontroler domeny. Aby ją sprawdzić lub utworzyć ręcznie:

1. Otwórz konsolę DNS przez Menedżer serwera: Narzędzia → DNS.
2. Rozwiń węzeł serwera, kliknij prawym przyciskiem myszy na Strefy wyszukiwania do przodu (Forward Lookup Zones) i wybierz Nowa strefa (New Zone).
3. W kreatorze wybierz typ strefy:
   — Strefa podstawowa (Primary Zone) — jeśli DNS nie jest integrowany z AD
   — Strefa zintegrowana z Active Directory (Active Directory–Integrated Zone) — zdecydowanie zalecana w środowisku domenowym
4. Wybierz zakres replikacji AD. Opcja "Do wszystkich serwerów DNS uruchomionych na kontrolerach domeny w tej domenie" jest właściwa dla większości wdrożeń.
5. Wpisz nazwę strefy — powinna być identyczna z nazwą domeny AD, np. firma.local lub firma.com.
6. Skonfiguruj aktualizacje dynamiczne. W środowisku AD wybierz Zezwalaj tylko na bezpieczne aktualizacje dynamiczne (Allow only secure dynamic updates). Dzięki temu tylko uwierzytelnione konta komputerów z domeny mogą rejestrować swoje rekordy DNS.

Strefa wyszukiwania wstecznego — Reverse Lookup Zone

Strefa reverse lookup zone (strefa odwrotna) tłumaczy adresy IP na nazwy hostów. Jest niezbędna do prawidłowego działania narzędzi diagnostycznych (nslookup, ping -a), weryfikacji tożsamości hostów w logach systemowych, a w niektórych konfiguracjach — do uwierzytelniania aplikacji.

1. W konsoli DNS kliknij prawym przyciskiem myszy na Strefy wyszukiwania wstecznego (Reverse Lookup Zones) i wybierz Nowa strefa.
2. Wybierz typ strefy — analogicznie jak przy forward zone, wybierz zintegrowaną z AD.
3. W polu Identyfikator sieci (Network ID) wpisz fragment adresu sieciowego — dla sieci 192.168.10.0/24 wpisz 192.168.10. System automatycznie uzupełni pełną nazwę strefy w formacie 10.168.192.in-addr.arpa.
4. Skonfiguruj dynamiczne aktualizacje — tak samo jak dla strefy forward: bezpieczne aktualizacje dynamiczne.

Po utworzeniu strefy odwrotnej upewnij się, że rekordy PTR są rejestrowane. Na kliencu Windows możesz wymusić ponowną rejestrację DNS poleceniem ipconfig /registerdns. Na serwerze sprawdź, czy rekordy PTR pojawiły się w strefie odwrotnej.

Warunkowe przesyłanie dalej — Conditional Forwarders

Conditional Forwarder (warunkowy serwer przesyłania dalej) to konfiguracja DNS, która nakazuje serwerowi kierować zapytania dotyczące konkretnej domeny do wskazanego serwera DNS, zamiast przeprowadzać standardowy proces rekurencji.

Typowe zastosowania w środowiskach firmowych:

• Połączenie między dwiema domenami AD: Firma A (firma-a.local) i Firma B (firma-b.local) po fuzji muszą wzajemnie rozwiązywać swoje nazwy. Zamiast konfigurować relacje zaufania i pełną integrację, dodajesz conditional forwarder na każdej ze stron wskazujący na serwery DNS partnera.
• Dostęp do usług chmurowych przez VPN: Jeśli firma używa Azure lub AWS, można skierować zapytania dla *.database.windows.net bezpośrednio do resolverów Azure.
• Środowisko testowe: Zapytania dla test.firma.local kierowane do serwera DNS środowiska deweloperskiego.

Konfiguracja Conditional Forwarder

1. W konsoli DNS kliknij prawym przyciskiem myszy na Warunkowe przesyłanie dalej (Conditional Forwarders) i wybierz Nowy warunkowy serwer przesyłania dalej.
2. W polu Domena DNS wpisz nazwę domeny, dla której ma obowiązywać reguła, np. firma-b.local.
3. W sekcji serwerów IP wpisz adresy IP serwerów DNS docelowej domeny. Dodaj co najmniej dwa adresy dla redundancji.
4. Opcjonalnie zaznacz Przechowaj ten warunkowy serwer przesyłania dalej w Active Directory — to sprawi, że konfiguracja zostanie zreplikowana do wszystkich kontrolerów domeny z rolą DNS, co jest zdecydowanie zalecane.

DNS i Active Directory — strefy zintegrowane z AD

Integracja DNS z Active Directory to jedna z najważniejszych decyzji projektowych przy wdrożeniu sieci Windows. Strefy AD-integrated przechowują dane DNS bezpośrednio w bazie danych Active Directory, zamiast w plikach tekstowych na dysku. Przynosi to szereg korzyści:

• Replikacja przez AD: Dane DNS są automatycznie replikowane między wszystkimi kontrolerami domeny z rolą DNS w ramach istniejącej topologii replikacji AD. Nie trzeba konfigurować osobnych transferów stref (zone transfers).
• Wielomistrzowska replikacja (multi-master): Każdy kontroler domeny z rolą DNS może przyjmować aktualizacje DNS. W przypadku standardowych stref primary/secondary tylko serwer primary może przyjmować zmiany.
• Bezpieczne aktualizacje dynamiczne: Tylko uwierzytelnione konta komputerów mogą rejestrować lub aktualizować rekordy DNS. Eliminuje to możliwość sfałszowania wpisów DNS przez nieuprawnione urządzenia.
• Skrócone RTO: Przy awarii serwera DNS data jest natychmiast dostępna na pozostałych kontrolerach domeny — bez czekania na transfer strefy.

Zalecana praktyka: każdy kontroler domeny powinien pełnić rolę serwera DNS. Karty sieciowe kontrolerów domeny powinny wskazywać na inne kontrolery domeny jako główny DNS — nigdy na siebie samego jako 127.0.0.1. Ten ostatni punkt jest częstym błędem i może prowadzić do problemów z replikacją AD.

Rekordy SRV w Active Directory

Active Directory automatycznie rejestruje rekordy SRV w strefie DNS, informując klientów o lokalizacji usług domenowych. Możesz je zobaczyć w konsoli DNS, rozwijając strefę domenową i przechodząc do folderu _msdcs. Najważniejsze rekordy to:

• _ldap._tcp.firma.local — lokalizacja serwerów LDAP (kontrolerów domeny)
• _kerberos._tcp.firma.local — lokalizacja serwerów Kerberos
• _gc._tcp.firma.local — lokalizacja Global Catalog

Jeśli te rekordy znikną lub będą wskazywać na błędne adresy, komputery w domenie nie będą w stanie zlokalizować kontrolerów domeny. Aby wymusić ponowną rejestrację rekordów SRV na kontrolerze domeny, uruchom usługę Netlogon: net stop netlogon && net start netlogon.

Bezpieczeństwo DNS — podstawy DNSSEC w Windows Server

DNSSEC (DNS Security Extensions) to zestaw rozszerzeń protokołu DNS, które dodają kryptograficzne podpisy do odpowiedzi DNS. Chroni przed atakami typu DNS spoofing i cache poisoning — sytuacją, w której atakujący podsyła fałszywe odpowiedzi DNS, kierując użytkowników na złośliwe serwery.

Jak działa DNSSEC

Serwer DNS ze skonfigurowanym DNSSEC podpisuje każdy rekord DNS kluczem prywatnym. Klient (lub resolwer) weryfikuje podpis używając publicznego klucza DNSKEY. Łańcuch zaufania zaczyna się od strefy root (.) i propaguje się w dół przez TLD (np. .pl) do strefy domeny.

Podpisywanie strefy DNSSEC w Windows Server 2022

1. W konsoli DNS kliknij prawym przyciskiem myszy na strefę i wybierz DNSSEC → Podpisz strefę (Sign the Zone).
2. Kreator oferuje trzy opcje: "Dostosuj parametry podpisywania strefy" (zalecane dla środowisk produkcyjnych), "Podpisz strefę z parametrami domyślnymi" (szybka konfiguracja) lub "Użyj ustawień z istniejącej strefy".
3. Dla parametrów klucza: wybierz algorytm RSA/SHA-256 dla klucza KSK (Key Signing Key) oraz algorytm RSA/SHA-256 dla klucza ZSK (Zone Signing Key). Długość klucza 2048 bitów dla KSK i 1024 bity dla ZSK są standardem.
4. Skonfiguruj dystrybucję punktu zaufania — w środowisku AD możliwa jest automatyczna dystrybucja przez Group Policy.

Uwaga: DNSSEC dla wewnętrznych stref AD-integrated (np. firma.local) ma ograniczone zastosowanie, ponieważ strefa nie jest publicznie dostępna. DNSSEC jest szczególnie istotny dla publicznych stref DNS. W środowisku wewnętrznym większe znaczenie mają bezpieczne aktualizacje dynamiczne i segmentacja sieci.

DNS Scavenging i najlepsze praktyki konfiguracyjne

W środowiskach z dużą liczbą komputerów i dynamicznym DHCP strefa DNS szybko zapełnia się przestarzałymi rekordami. Komputer zmienia nazwę, zostaje zastąpiony, przeniesiony do innej podsieci — stary rekord A pozostaje, niepotrzebnie zajmując przestrzeń i potencjalnie powodując konflikty przy rozwiązywaniu nazw. DNS Scavenging automatycznie usuwa rekordy, które nie były odświeżane przez określony czas.

Mechanizm timestampów i scavengingu

Kiedy komputer rejestruje rekord DNS, przypisywany jest mu znacznik czasu. Przy każdym odnowieniu dzierżawy DHCP lub ręcznym ipconfig /registerdns znacznik jest aktualizowany. Scavenging działa w dwóch fazach:

1. No-refresh interval: Przez ten czas rekord nie może być odświeżony (aktualizacje są odrzucane). Zapobiega to nadmiernej replikacji AD powodowanej przez ciągłe aktualizacje timestampów. Zalecana wartość: 7 dni.
2. Refresh interval: Po upłynięciu no-refresh interval, przez czas refresh interval rekord może być normalnie odświeżany. Jeśli nie zostanie odświeżony, staje się kandydatem do usunięcia. Zalecana wartość: 7 dni.

Rekord zostaje usunięty, gdy suma obu interwałów (domyślnie 14 dni) upłynie bez odświeżenia. Scavenging nie działa automatycznie po konfiguracji interwałów — musi być dodatkowo włączony.

Włączanie DNS Scavenging

1. W konsoli DNS kliknij prawym przyciskiem myszy na nazwie serwera (nie na strefie) i wybierz Ustaw starzenie/czyszczenie dla wszystkich stref (Set Aging/Scavenging for All Zones).
2. Zaznacz Zezwól na starzenie i czyszczenie rekordów zasobów i ustaw interwały (No-refresh: 7 dni, Refresh: 7 dni).
3. Kliknij OK, a następnie zaznacz opcję zastosowania ustawień do istniejących stref.
4. Następnie włącz automatyczne czyszczenie na serwerze: kliknij prawym przyciskiem na serwer, wybierz Właściwości, zakładka Zaawansowane, zaznacz Włącz automatyczne czyszczenie przestarzałych rekordów.

Ostrzeżenie: przed włączeniem scavengingu w istniejącym środowisku sprawdź, czy urządzenia z adresami statycznymi (drukarki, serwery, switche) mają swoje rekordy DNS ustawione jako statyczne (bez znacznika czasu). Rekordy statyczne są ignorowane przez scavenging. Rekordy dynamiczne dla urządzeń ze statycznym IP, które nigdy nie odświeżają DNS, zostaną usunięte.

Najlepsze praktyki — DNS na DC, czy osobny serwer?

Standardowe zalecenie Microsoft: rola DNS powinna być zainstalowana na każdym kontrolerze domeny. Uzasadnienie jest proste — AD i DNS są tak ściśle powiązane, że utrzymanie ich na tych samych serwerach gwarantuje spójność i upraszcza zarządzanie. Osobny, dedykowany serwer DNS ma sens jedynie w bardzo dużych środowiskach (powyżej kilkuset kontrolerów domeny w wielu lokalizacjach) lub przy specyficznych wymaganiach bezpieczeństwa dotyczących izolacji usług.

Diagnostyka i rozwiązywanie problemów — nslookup, ipconfig i nie tylko

Znajomość podstawowych narzędzi diagnostycznych jest kluczowa dla każdego administratora. Poniżej najważniejsze komendy i ich zastosowanie w praktyce.

Diagnostyka DNS — nslookup

nslookup to podstawowe narzędzie do testowania serwerów DNS. Uruchamia się z wiersza poleceń (cmd lub PowerShell):

• nslookup nazwa-hosta — rozwiązuje nazwę na adres IP używając domyślnego serwera DNS
• nslookup nazwa-hosta 192.168.10.10 — wymusza zapytanie do konkretnego serwera DNS (adres po nazwie hosta)
• nslookup 192.168.10.50 — odwrotne wyszukiwanie: tłumaczy adres IP na nazwę hosta (wymaga strefy reverse)
• nslookup -type=SRV _ldap._tcp.firma.local — sprawdza rekordy SRV dla Active Directory
• nslookup -type=MX firma.com — sprawdza rekordy MX dla poczty e-mail

Jeśli nslookup pokazuje "Non-authoritative answer", oznacza to, że odpowiedź pochodzi z pamięci podręcznej serwera DNS, nie bezpośrednio ze strefy autorytatywnej. Nie jest to błąd — to normalny, efektywny mechanizm działania DNS.

Diagnostyka DHCP — ipconfig

• ipconfig /all — wyświetla pełne informacje o wszystkich kartach sieciowych: adres IP, maska, brama, serwery DNS, adres serwera DHCP, czas uzyskania i wygaśnięcia dzierżawy
• ipconfig /release — zwalnia bieżącą dzierżawę DHCP (usuwa adres IP z karty sieciowej)
• ipconfig /renew — żąda nowej dzierżawy DHCP. Używaj /release przed /renew przy rozwiązywaniu problemów
• ipconfig /flushdns — czyści lokalną pamięć podręczną DNS klienta. Niezbędne po zmianach w strefach DNS lub po przeprowadzce komputera do innej podsieci. Po wykonaniu tej komendy kolejne zapytania DNS trafią bezpośrednio do serwera DNS
• ipconfig /registerdns — wymusza ponowną rejestrację hosta w DNS. Używaj po zmianie nazwy komputera lub gdy rekord DNS hosta zniknął ze strefy

Typowe problemy i ich rozwiązania

Problem: Klient otrzymuje adres APIPA (169.254.x.x)
Adres z zakresu 169.254.0.0/16 oznacza, że klient nie otrzymał odpowiedzi od serwera DHCP. Sprawdź: czy serwer DHCP działa i jest autoryzowany w AD, czy klient ma łączność sieciową z serwerem DHCP (ping), czy zakres nie jest wyczerpany (zbyt mała pula adresów), oraz czy zapora ogniowa nie blokuje portów 67/68 UDP.

Problem: Nie można rozwiązać nazw w domenie AD
Wykonaj nslookup firma.local — jeśli serwer DNS odpowiada błędem, sprawdź: czy adres serwera DNS w konfiguracji karty sieciowej wskazuje na wewnętrzny serwer DNS (nie 8.8.8.8), czy strefa dla domeny istnieje w konsoli DNS, czy usługa DNS Server jest uruchomiona na kontrolerze domeny.

Problem: Rekordy DNS nie są aktualizowane po zmianie adresu IP
Uruchom ipconfig /flushdns na kliencie, następnie ipconfig /registerdns. Na serwerze DNS sprawdź w strefie, czy stary rekord nadal istnieje i usuń go ręcznie jeśli nie zostanie nadpisany. Jeśli problem jest systemowy, rozważ zmniejszenie czasu TTL rekordów lub weryfikację konfiguracji dynamicznych aktualizacji.

Problem: "DNS_PROBE_FINISHED_NXDOMAIN" w przeglądarce
Serwer DNS nie może znaleźć rekordu dla żądanej domeny. Sprawdź pisownię domeny, następnie wykonaj nslookup adres-domeny — jeśli DNS odpowiada ale adres jest błędny, wyczyść cache DNS serwera: w konsoli DNS kliknij prawym przyciskiem na serwer i wybierz "Wyczyść pamięć podręczną" (Clear Cache).

Licencje Windows Server w KluczeSoft

Wdrożenie usług DHCP i DNS opisanych w tym przewodniku wymaga poprawnie licencjonowanego systemu Windows Server. KluczeSoft oferuje oryginalne klucze licencyjne w konkurencyjnych cenach, z gwarancją aktywacji i wsparciem posprzedażowym:

• Windows Server 2022 Standard — 2990 zł
• Windows Server 2025 Standard
• Windows Server 2022 — 50 User CAL

Pamiętaj, że licencja Windows Server 2022 Standard pokrywa do 16 rdzeni fizycznych i zezwala na uruchomienie 2 maszyn wirtualnych Hyper-V. Dla środowisk z większą liczbą rdzeni lub wirtualizacji konieczne jest dokupienie dodatkowych pakietów licencji lub rozważenie wersji Datacenter. Licencje CAL (Client Access License) są wymagane dla każdego użytkownika lub urządzenia łączącego się z usługami serwera — w tym z DHCP i domeną Active Directory.