Занятие № 6. Серверы DNS
advertisement
Занятие № 6. Серверы DNS Для снижения количества ручных операций в целях разрешения имен существуют специальные серверы — DNS-серверы (Domain Name System). Серверы DNS обеспечивают получение доменного имени по запросу на основе IP- адреса, и наоборот. Поэтому указание адреса сервера DNS — это одна из основных настроек протокола ТСР/IР, необходимых для работы в Интернете. З АМЕЧАНИЕ Если в настройках не указан IP-адрес сервера DNS, то пользователь не будет полноценно работать в Интернете, поскольку не сможет переходить по ссылкам, в которых присутствует доменное имя. А это практически все ссылки на информационных серверах. Адрес сервера DNS обычно назначается автоматически при инициализации протокола IP. Имена серверов DNS сообщаются DHCP-серверами. Обычно указывается несколько DNS-серверов, чтобы система могла использовать второй сервер при временной недоступности первичного DNS. Основные понятия DNS DNS (Domain Name System, система доменных имен) — это служба разрешения имен в сетях на основе протокола TCP/IP. Для уверенной работы с DNS необходимо четко представлять себе, что означают те или иные термины. □ Зоны DNS. Зона DNS — это часть пространства имен, для которого DNS-сервер может выполнять операции разрешения имен. Существуют зоны прямого и обратного просмотра, которые на практике для удобства называют прямыми и обратными зонами. Прямая зона позволяет по имени системы получать ее IP-адрес, обратная — по IP-адресу "выдает" информацию об имени хоста. Поэтому если нужно по имени компьютера узнать его адрес, то говорят о прямом разрешении имени. Если по IP-адресу хотят получить имя компьютера, то в этом случае происходит обратное разрешение имени. Строго говоря, если в DNS зарегистрировано прямое разрешение имени, то должно быть и обратное. П РИМЕЧАНИЕ Если ваша организация зарегистрировала на свое имя домен, то для нормальной работы почтового сервера необходимо зарегистрировать обратное разрешение имени. Проверьте (по протоколу telnet) ответ почтового сервера на обращение "Hello" и зарегистрируйте это имя в обратной зоне. Владельцами обратных зон являются, обычно, провайдеры. Поэтому именно к ним и нужно обращаться с подобной просьбой. Для разрешения обратных имен в домене самого верхнего уровня создана зона in-addr.агра. Названия зон обратного просмотра формируются с указанием этого имени и добавлением к нему слева имени трех октетов адреса сети в обратном порядке. Например, для сети 195.161.192.0/24 имя обратной зоны будет 192.161.195.in-addr.агра. □ Первичная и вторичная зоны. У создаваемых записей DNS должен быть один "хозяин". Чтобы все записи были корректны, их необходимо вносить на одном DNS-сервере. В этом случае говорят, что на таком DNS-сервере расположена первичная зона. Для отказоустойчивости на других серверах можно создать копии этой зоны. Такие зоны будут называться вторичными. Вторичная зона содержит те же записи, что и первичная, но в нее нельзя вносить изменения или добавлять новые записи. Эти операции можно делать только для первичной зоны. З АМЕЧАНИЕ В случае домена Windows 200х и использования зоны DNS, интегрированной со службой каталогов, изменения можно вносить на любом DNS-сервере такой зоны. □ Серверы имен зоны. Для каждой первичной зоны можно создать сколько угодно копий на других серверах. Принято определять серверы имен, информация кото- рых "официальна". Такие серверы называют NS-записями соответствующего домена. Обычно для каждого домена создается два или три NSсервера. Если ответ на запрос разрешения имени получен от NS-сервера, то он считается авторизованным, другие серверы возвращают неавторизованные ответы (принципиально возможна ситуация, что информация с таких серверов уже устарела). П РИМЕЧАНИЕ Для обновления записей DNS на клиентских компьютерах следует очистить кэш DNSзаписей (ipconfig /flushdns). □ Передача зон. Так называется специальная операция копирования всех записей данной зоны с одного DNS-сервера на другой. По соображениям безопасности часто передача зон разрешается только на заранее определенный администратором системы список IP-адресов DNS-серверов. □ Делегирование зон. Если на DSN-сервере создана, например, прямая зона для домена test.local, то запись о домене третьего уровня ievel3.test.local должна содержаться на этом же сервере. Если географически домен level3.test.local удален от основного домена, то поддержание записей о его зоне на DNS-сервере становится не очень удобным. Проще поручить администратору этого домена вносить изменения в DNS-записи самостоятельно с помощью делегирования зоны. При делегировании DNSсервер создает у себя запись, указывающую, что запросы разрешения имени для этой зоны должны перенаправляться на другой DNS-сервер, на который произведено делегирование зоны. □ Stub-зоны (зона-заглушка). При делегировании зоны на исходном сервере сохраняется информация о NS-сервере делегированной зоны. Поскольку администратор делегированной зоны может изменять ее DNS-записи, то он может и сменить записи NS-сервера. Если соответствующее изменение не будет внесено на сервер, который осуществляет делегирование, то процесс разрешения имен нарушится (основной сервер по-прежнему будет отправлять запросы на несуществующий уже адрес, в результате будет формироваться неверный ответ). Для исправления подобной ситуации введено понятие stub-зоны. При создании stub-зоны в ней определяются NS-записи делегированной зоны. Причем если администратор делегированной зоны меняет эти записи, то соответствующие изменения вносятся и в записи stub-зоны. В результате гарантируется целостность процесса разрешения имен. □ Зона "точка". Домен самого верхнего уровня, как уже писалось, принято называть именем "точка". Если в DNS создать зону "точка", то это будет фактически означать, что данный сервер является корневым в структуре DNS, т. е. он должен разрешать самостоятельно любые запросы имен. Если этот DNSсервер не может разрешить имя, то его ответ будет гласить, что такого хоста не существует. Основные типы записей DNS При создании первичной зоны для своего домена следует обратить внимание на создание некоторых специальных записей ресурсов (resource records), которые полезны для получения информации общего типа. □ SOA (Start of Authority). Серийный номер зоны. В DNS автоматически увеличивается при любом изменении записей зоны. Используется в операциях переноса зон (если номер изменился, то происходит обновление записей вторичной зоны). На практике принято этот номер формировать на основе даты последнего изменения: год-месяц-день-(время), например, так: 20090810. □ NS (Name Server). Адреса "официальных" серверов имен данной зоны. Эти серверы возвращают авторизованные ответы. □ RP (Responsible Person). Адрес электронной почты лица, ответственного за внесение изменений в записи зоны. Наличие записи и поддержание ее актуальности желательно, чтобы при возникновении каких-либо вопросов по домену организации, у специалистов были реальные контактные данные. Обратите внимание, что символ 0 адреса электронной почты заменяется на точку. □ A (Host Address). Эта запись содержит информацию об имени системы и ее IP-адресе. Именно этот тип записи добавляется в DNS- сервер при регистрации хостов. □ PTR (Pointer, указатель). Так называется запись в обратной зоне. Настройками DNS локальных доменов обычно предусматривается автоматическое создание (изменение) PTR-записи при добавлении A-записи в прямую зону. □ CNAME (Canonical NAME). Записи псевдонима. Используются, если хосту необходимо дать второе DNS-имя. □ MX (Mail eXchanger). Запись хранит IP-адрес сервера электронной почты (SMTP-сервера), который обслуживает данный домен. Чтобы на данный домен можно было отправлять электронную почту, в DNS для домена должна быть обязательно создана MX-запись. Для целей резервирования может быть создано несколько MX-записей. Чтобы различать их, каждой записи соответствует определенный вес. По умолчанию почта отправляется на адрес, содержащийся в MX-записи с наименьшим весом. Если этот сервер не отвечает, то делаются попытки отправить почту на адреса, соответствующие МХ- записям с последующими весами. □ SRV (Запись службы). Специальный тип записи для обнаружения служб в домене (например, службы IP-телефонии и т. п ). Записи о системных службах Windows автоматически создаются службой каталогов. Вручную записи добавляют при настройке дополнительных продуктов в соответствии с прилагаемой технической документацией. Разделение DNS Все большее число сотрудников начинают использовать мобильные компьютеры для доступа к ресурсам организации как изнутри локальной сети, так и из Интернета. Для сокращения затрат на изменение конфигураций персональных компьютеров следует выполнять настройки программного обеспечения так, чтобы доступ к сетевым ресурсам локальной сети осуществлялся единообразно, независимо от того, выполняется подключение из локальной или глобальной сети. Реализуется такое требование разделением DNS (DNS split). Технология разделения DNS подразумевает, что разрешение имен локальной сети и Интернета для одного доменного имени настраивается на различные DNS-серверы. Суть решения будет понятна из рассмотрения двух возможных ситуаций. Одинаковые имена локального домена и домена Интернета Если имя домена Windows совпадает с именем домена Интернета, то единственная необходимая операция — это правильная настройка публикации внутренних ресурсов в глобальной сети. Когда клиент локальной сети пытается получить доступ к каким-либо ресурсам, он запрашивает их месторасположение у локального, внутреннего сервера DNS. Этот сервер возвращает клиенту внутренний адрес ресурса, к которому и осуществляется подключение (рис. 2.3). Рис. 2.3. Разделение DNS На сервере DNS, обслуживающем домен Интернета этой же организации, необходимо настроить A-запись соответствующего ресурса на внешний адрес брандмауэра данной организации. А на брандмауэре настроить публикацию внутреннего ресурса таким образом, чтобы запрос, приходящий на брандмауэр и адресованный на данное имя, перенаправлялся на локальный адрес ресурса. В результате, независимо от точки подключения, запрос клиента всегда будет доставлен на один и тот же локальный ресурс системы. При реализации технологии разделения DNS клиент локальной сети и компьютер Интернета при разрешении одного и того же имени будут обращаться к различным DNS-серверам. Локальный клиент в результате будет обращаться по локальному адресу, а клиент Интернета перешлет запрос на брандмауэр организации, который и переправит его на локальный адрес запрашиваемого ресурса. В результате никакой перестройки прикладных программ на клиенте осуществлять не придется. Различные имена локального домена и домена Интернета Если "внутреннее" и "внешнее" имена домена организации не совпадают, то на внутреннем сервере DNS необходимо создать первичную зону для домена с "внешним" именем. В эту зону внести записи, соответствующие именам систем, предоставляющих необходимые службы (естественно, изменять записи этой зоны придется вручную). Причем в качестве IPадресов этих записей следует указать локальные IP-адреса систем. Таким образом, на внутренних DNS-серверах будет по две зоны: зона, соответствующая "внутреннему" домену (реальные внутренние названия компьютеров локальной сети), и зона с "внешним" именем (содержит фактически синонимы, вторые имена только для компьютеров, публикующих ресурсы в глобальной сети). Так же как и в предыдущем примере, следует настроить публикацию внутренних ресурсов на брандмауэре организации. Клиентов необходимо настроить (в том числе и в локальной сети) на подключение к ресурсам по внешним именам. Если клиент обратится к почтовому серверу изнутри организации, то он запросит внутренний сервер DNS об адресе, соответствующем внешнему имени почтовой системы. Поскольку на внутреннем сервере DNS существует одноименная первичная зона, то сервер будет считаться авторизованным для ответов и сообщит клиенту внутренний адрес почтовой системы. Произойдет подключение по локальному адресу системы. А если, например, клиенту необходимо обратиться к этому же почтовому серверу из Интернета, то он запросит внешний сервер DNS, получит от него адрес брандмауэра и отправит запрос на него. Брандмауэр, получив запрос, проанализирует его и перешлет на локальный адрес почтовой системы. КОНТРОЛЬНЫЕ ВОПРОСЫ 1. Определение DNS, зона DNS, прямая зона, обратная зона, первичная и вторична зона, авторизованный сервер, делегирование зоны, зона-заглушка, зона «точка». 2. Что означает адрес 192.161.195.in-addr.агра? 3. Пояснить назначение основных типов записей DNS. 4. Назначение технологии разделения DNS. 5. Особенности разделения DNS при совпадении имен локального домена и домена Интернета. 6. Особенности разделения DNS при различных именах локального домена и домена Интернета.