8

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

8

Серверы DNS

Для снижения количества ручных операций в целях разрешения имен существуют специальные серверы - DNS-серверы (Domain Name System). Серверы DNS обеспечивают получение доменного имени по запросу на основе IP - адреса, и наоборот. Поэтому указание адреса сервера DNS - это одна из основных настроек протокола ТСР/IР, необходимых для работы в Интернете.

Замечание

Если в настройках не указан IP-адрес сервера DNS, то пользователь не будет полноценно работать в Интернете, поскольку не сможет переходить по ссылкам, в которых присутствует доменное имя. А это практически все ссылки на информационных серверах.

Адрес сервера DNS обычно назначается автоматически при инициализации протокола IP. Имена серверов DNS сообщаются DHCP-серверами. Обычно указывается несколько DNS-серверов, чтобы система могла использовать второй сервер при временной недоступности первичного DNS.

Основные понятия DNS

DNS (Domain Name System, система доменных имен) - это служба разрешения имен в сетях на основе протокола TCP/IP. Для уверенной работы с DNS необходимо четко представлять себе, что означают те или иные термины.

? Зоны DNS.

Зона DNS - это часть пространства имен, для которого DNS-сервер может выполнять операции разрешения имен. Существуют зоны прямого и обратного просмотра, которые на практике для удобства называют прямыми и обратными зонами.

Прямая зона позволяет по имени системы получать ее IP-адрес, обратная - по IP-адресу "выдает" информацию об имени хоста. Поэтому если нужно по имени компьютера узнать его адрес, то говорят о прямом разрешении имени. Если по IP-адресу хотят получить имя компьютера, то в этом случае происходит обратное разрешение имени. Строго говоря, если в DNS зарегистрировано прямое разрешение имени, то должно быть и обратное.

Примечание

Если ваша организация зарегистрировала на свое имя домен, то для нормальной работы почтового сервера необходимо зарегистрировать обратное разрешение имени. Проверьте (по протоколу telnet) ответ почтового сервера на обращение "Hello" и зарегистрируйте это имя в обратной зоне. Владельцами обратных зон являются, обычно, провайдеры. Поэтому именно к ним и нужно обращаться с подобной просьбой.

Для разрешения обратных имен в домене самого верхнего уровня создана зона in-addr. агра. Названия зон обратного просмотра формируются с указанием этого имени и добавлением к нему слева имени трех октетов адреса сети в обратном порядке. Например, для сети 195.161.192.0/24 имя обратной зоны будет 192.161.195. in-addr. агра.

?Первичная и вторичная зоны.

У создаваемых записей DNS должен быть один "хозяин". Чтобы все записи были корректны, их необходимо вносить на одном DNS-сервере. В этом случае говорят, что на таком DNS-сервере расположена первичная зона. Для отказоустойчивости на других серверах можно создать копии этой зоны. Такие зоны будут называться вторичными. Вторичная зона содержит те же записи, что и первичная, но в нее нельзя вносить изменения или добавлять новые записи. Эти операции можно делать только для первичной зоны.

Замечание

В случае домена Windows 200х и использования зоны DNS, интегрированной со службой каталогов, изменения можно вносить на любом DNS-сервере такой зоны.

?Серверы имен зоны.

Для каждой первичной зоны можно создать сколько угодно копий на других серверах. Принято определять серверы имен, информация которых "официальна". Такие серверы называют NS-записями соответствующего домена. Обычно для каждого домена создается два или три NS-сервера. Если ответ на запрос разрешения имени получен от NS-сервера, то он считается авторизованным, другие серверы возвращают неавторизованные ответы (принципиально возможна ситуация, что информация с таких серверов уже устарела).

Примечание

Для обновления записей DNS на клиентских компьютерах следует очистить кэш DNS-записей (ipconfig /flushdns).

?Передача зон.

Так называется специальная операция копирования всех записей данной зоны с одного DNS-сервера на другой. По соображениям безопасности часто передача зон разрешается только на заранее определенный администратором системы список IP-адресов DNS-серверов.

?Делегирование зон.

Если на DSN-сервере создана, например, прямая зона для домена test. local, то запись о домене третьего уровня ievel3. test. local должна содержаться на этом же сервере. Если географически домен level3. test. local удален от основного домена, то поддержание записей о его зоне на DNS-сервере становится не очень удобным. Проще поручить администратору этого домена вносить изменения в DNS-записи самостоятельно с помощью делегирования зоны. При делегировании DNS-сервер создает у себя запись, указывающую, что запросы разрешения имени для этой зоны должны перенаправляться на другой DNS-сервер, на который произведено делегирование зоны.

?Stub-зоны (зона-заглушка).

При делегировании зоны на исходном сервере сохраняется информация о NS-сервере делегированной зоны. Поскольку администратор делегированной зоны может изменять ее DNS-записи, то он может и сменить записи NS-сервера. Если соответствующее изменение не будет внесено на сервер, который осуществляет делегирование, то процесс разрешения имен нарушится (основной сервер по-прежнему будет отправлять запросы на несуществующий уже адрес, в результате будет формироваться неверный ответ).

Для исправления подобной ситуации введено понятие stub-зоны. При создании stub-зоны в ней определяются NS-записи делегированной зоны. Причем если администратор делегированной зоны меняет эти записи, то соответствующие изменения вносятся и в записи stub-зоны. В результате гарантируется целостность процесса разрешения имен.

?Зона "точка".

Домен самого верхнего уровня, как уже писалось, принято называть именем "точка". Если в DNS создать зону "точка", то это будет фактически означать, что данный сервер является корневым в структуре DNS, т.е. он должен разрешать самостоятельно любые запросы имен. Если этот DNS - сервер не может разрешить имя, то его ответ будет гласить, что такого хоста не существует.

Основные типы записей DNS

При создании первичной зоны для своего домена следует обратить внимание на создание некоторых специальных записей ресурсов (resource records), которые полезны для получения информации общего типа.

?SOA (Start of Authority).

Серийный номер зоны. В DNS автоматически увеличивается при любом изменении записей зоны. Используется в операциях переноса зон (если номер изменился, то происходит обновление записей вторичной зоны). На практике принято этот номер формировать на основе даты последнего изменения: год-месяц-день- (время), например, так: 20090810.

?NS (Name Server).

Адреса "официальных" серверов имен данной зоны. Эти серверы возвращают авторизованные ответы.

?RP (Responsible Person).

Адрес электронной почты лица, ответственного за внесение изменений в записи зоны. Наличие записи и поддержание ее актуальности желательно, чтобы при возникновении каких-либо вопросов по домену организации, у специалистов были реальные контактные данные. Обратите внимание, что символ 0 адреса электронной почты заменяется на точку.

?A (Host Address).

Эта запись содержит информацию об имени системы и ее IP-адресе. Именно этот тип записи добавляется в DNS - сервер при регистрации хостов.

?PTR (Pointer, указатель).

Так называется запись в обратной зоне. Настройками DNS локальных доменов обычно предусматривается автоматическое создание (изменение) PTR-записи при добавлении A-записи в прямую зону.

?CNAME (Canonical NAME).

Записи псевдонима. Используются, если хосту необходимо дать второе DNS-имя.

?MX (Mail eXchanger).

Запись хранит IP-адрес сервера электронной почты (SMTP-сервера), который обслуживает данный домен. Чтобы на данный домен можно было отправлять электронную почту, в DNS для домена должна быть обязательно создана MX-запись. Для целей резервирования может быть создано несколько MX-записей. Чтобы различать их, каждой записи соответствует определенный вес. По умолчанию почта отправляется на адрес, содержащийся в MX-записи с наименьшим весом. Если этот сервер не отвечает, то делаются попытки отправить почту на адреса, соответствующие МХ - записям с последующими весами.

?SRV (Запись службы).

Специальный тип записи для обнаружения служб в домене (например, службы IP-телефонии и т.п.). Записи о системных службах Windows автоматически создаются службой каталогов. Вручную записи добавляют при настройке дополнительных продуктов в соответствии с прилагаемой технической документацией.

Разделение DNS

Все большее число сотрудников начинают использовать мобильные компьютеры для доступа к ресурсам организации как изнутри локальной сети, так и из Интернета. Для сокращения затрат на изменение конфигураций персональных компьютеров следует выполнять настройки программного обеспечения так, чтобы доступ к сетевым ресурсам локальной сети осуществлялся единообразно, независимо от того, выполняется подключение из локальной или глобальной сети. Реализуется такое требование разделением DNS (DNS split).

Технология разделения DNS подразумевает, что разрешение имен локальной сети и Интернета для одного доменного имени настраивается на различные DNS-серверы. Суть решения будет понятна из рассмотрения двух возможных ситуаций.

Одинаковые имена локального домена и домена Интернета

Если имя домена Windows совпадает с именем домена Интернета, то единственная необходимая операция - это правильная настройка публикации внутренних ресурсов в глобальной сети.

Когда клиент локальной сети пытается получить доступ к каким-либо ресурсам, он запрашивает их месторасположение у локального, внутреннего сервера DNS.

Этот сервер возвращает клиенту внутренний адрес ресурса, к которому и осуществляется подключение (рис.2.3).

Рис.2.3 Разделение DNS

На сервере DNS, обслуживающем домен Интернета этой же организации, необходимо настроить A-запись соответствующего ресурса на внешний адрес брандмауэра данной организации. А на брандмауэре настроить публикацию внутреннего ресурса таким образом, чтобы запрос, приходящий на брандмауэр и адресованный на данное имя, перенаправлялся на локальный адрес ресурса.

В результате, независимо от точки подключения, запрос клиента всегда будет доставлен на один и тот же локальный ресурс системы.

При реализации технологии разделения DNS клиент локальной сети и компьютер Интернета при разрешении одного и того же имени будут обращаться к различным DNS-серверам. Локальный клиент в результате будет обращаться по локальному адресу, а клиент Интернета перешлет запрос на брандмауэр организации, который и переправит его на локальный адрес запрашиваемого ресурса. В результате никакой перестройки прикладных программ на клиенте осуществлять не придется.

Различные имена локального домена и домена Интернета