AD+82

41

33. DNS серверы кэширования, пересылки. Примеры использования.

Кэширующий DNS-сервер — сервер, который обслуживает запросы клиентов, (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаѐт рекурсивный запрос вышестоящему DNS-серверу)

Кэширующий сервер DNS

Если на DNS сервер не устанавливать никаких зон, то он будет выполнять функции сервера кэширования. Хотя все серверы имен DNS кэшируют запросы, которые удалось разрешить, серверы кэширования являются серверами имен DNS, которые только выполняют запросы, кэшируют ответы и возвращают результаты. Они не управляют доменами, а информация, которую они содержат, ограничивается той, что была кэширована при разрешении запросов. Время хранения записей в кэше определяется параметрами соответствующей записи SOA.

При определении необходимости использования сервера такого типа следует учитывать, что в момент запуска этот сервер вообще не содержит кэшированной информации. Информация накапливается со временем по мере обслуживания запросов клиентов. Однако, если работа ведется в глобальной сети с медленными связями между узлами, такая возможность может оказаться полезной, поскольку по мере заполнения кэша трафик снижается. Кроме того, сервер кэширования не выполняет зонные передачи, что уменьшает трафик в сети и может заметно ускорить работу при подключении по медленному каналу передачи данных, и разгрузить другие сервера DNS.

Сервер пересылки - это DNS-сервер в сети, который пересылает DNS-запросы внешних DNS-имен на DNS-серверы за пределами этой сети. Сервер также можно настроить на пересылку запросов в соответствии с определенными именами домена, используя условную пересылку.

DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNSсервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. На рисунке показано, как отправляются запросы внешних имен с помощью серверов пересылки

При назначении DNS-сервера в качестве сервера пересылки он становится ответственным за обработку внешнего трафика, что ограничивает его доступность из Интернета. Сервер пересылки создает большой кэш, где хранятся сведения о внешних DNS, так как все внешние DNS-запросы в сети разрешаются через него. За небольшой промежуток времени сервер пересылки может разрешить большое количество внешних DNS-запросов, используя данные в собственном кэше. Это уменьшает интернет-трафик в сети и время ожидания ответа DNSклиентами.

Поведение DNS-сервера, настроенного на использование сервера пересылки, отличается от поведения DNS-сервера, не использующего сервер пересылки. Поведение DNS-сервера, использующего сервер пересылки, заключается в следующем:

1.Если DNS-сервер получает запрос, он пытается разрешить этот запрос, используя имеющиеся зоны и собственный кэш.

2.Если запрос не может быть разрешен с помощью локальных данных, DNS-сервер переадресует запрос на DNS-сервер, назначенный как сервер пересылки.

42

3. Если серверы пересылки недоступны, DNS-сервер пытается использовать корневые ссылки для разрешения запроса.

Запрос, пересылаемый DNS-сервером на сервер пересылки, является рекурсивным запросом. Он отличается от итеративного запроса, посылаемого DNS-сервером на другой DNS-сервер во время стандартного разрешения имен (то есть разрешения, при котором не задействован сервер пересылки).

Серверы условной пересылки - это DNS-сервер в сети, который пересылает DNS-запросы в соответствии с DNS-именем домена в запросе. Например, можно настроить DNS-сервер на пересылку всех получаемых им запросов, которые заканчиваются на corp.contoso.com, на IP-адрес определенного DNS-сервера или IP-адреса нескольких DNS-серверов.

Серверы условной пересылки являются DNS-серверами, которые пересылают запросы в соответствии с именами доменов. Вместо пересылки DNS-сервером всех неразрешенных запросов на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в запросах. Пересылка в зависимости от имен доменов улучшает стандартную пересылку путем добавления к процессу пересылки условия, зависящего от имени.

Параметр сервера условной пересылки для DNS-сервера состоит из следующих компонентов:

Имена доменов, для которых DNS-сервер будет пересылать запросы

Один или несколько IP-адресов DNS-серверов для каждого указанного имени домена

43

34. Размещение серверов DNS в корпоративной сети.

Расположение DNS серверов очень важно. В большинстве окружений используется два DNS сервера - ведущий и ведомый, либо два ведущих, если они используются только для кэширования - хотя на количество серверов, которые можно иметь, ограничений не существует.

Нужно рассмотреть две отдельных, но связанных между собой проблемы с расположением DNS сервера:

Расположение по отношению к брандмауэру: В большинстве случаев внутренние DNS серверы располагаются во внутренней сети, а доступные извне серверы помещаются в демилитаризованной зоне (DMZ) брандмауэра, которая безопасна, но в то же время доступна из сети общего пользования. Если у Вас есть только один комплект DNS серверов, его нужно разместить в DMZ и открыть к нему доступ пользователей внутренней сети.

Размещение в сегментах Вашей сети по географическому или по иному принципу: Есть несколько причин размещать DNS серверы на отдельных сегментах сети и в разных местах. 1) необходимость резервирования. Если один из сегментов сети будет выведен из строя, или даже по причине какой-нибудь аварии/ катастрофы будет потерян целый микрорайон сети, можно будет и дальше оказывать услуги DNS. 2) эффективность работы внутренних DNS серверов может возрасти, если настроить систему так, чтобы в первую очередь использовался местный сервер, а удалѐнный - только в случае, когда местный выйдет из строя. Обычной практикой является размещение в каждом географическом микрорайоне сети как минимум одного внутреннего DNS сервера.

В общем случае DNS-серверы следует размещать в узлах сети, доступных всем клиентам. Наиболее практично использование отдельного DNS-сервера в каждой подсети. При выборе мест для размещения DNS-серверов следует учитывать ряд факторов:

если структура DNS развертывается для поддержки службы каталогов Active Directory, уточните, является ли компьютер DNS-сервера одновременно контроллером домена или будет использован в этой роли в будущем;

могут ли локальные клиенты получить доступ к дополнительному DNS-серверу, если основной не отвечает;

если DNS-сервер расположен в удаленной для некоторых клиентов подсети, то какие другие DNSсерверы будут доступны в случае, когда связь с сетью прервется.

44

35. Конфигурирование DNS серверов.

1 вариант:

Инсталляция DNS-сервера BIND Установка сервера в Debian / Ubuntu:

%# apt-get install bind9

Начальное конфигурирование DNS-сервера

После установки сервера необходимо указать некоторые параметры для работы сервера. Это делается путем редактирования определенных директив в файле /etc/bind/named.conf.options:

options {

directory "/var/cache/bind"; forwarders {

10.0.35.1;

10.0.17.1;

10.0.1.2;

}; listen-on {

192.168.15.180;

127.0.0.1;

};

auth-nxdomain no; # conform to RFC1035

};

Директива directory указывает на расположение в дереве каталогов временных файлов сервера. Директива forwarders - на какие серверы пересылать запрос, если наш сервер сам не в состоянии определить имя или IP-адрес запроса клиентов - то есть настройка DNS-сервера пересылки.

Директива listen-on указывает на каких интерфейсах вести прослушивание 53 порта.

Настройка DNS-сервера для работы в режиме авторитетного сервера

Далее необходимо указать в основном конфигурационном файле сервера /etc/bind/named.conf.local имена файлов, в которых мы далее опишем зоны для прямого и обратного преобразований. Добавляем следующие строки в этот файл:

zone "unix.nt" { type master;

file "/etc/bind/db.unix.nt"; allow-transfer { 127.0.0.1; };

};

zone "15.168.192.in-addr.arpa" { type master;

file "/etc/bind/db.rev_unix.nt"; allow-transfer { 127.0.0.1; };

};

Файл /etc/bind/db.unix.nt служит для описания зоны прямого преобразования, а файл /etc/bind/db.rev_unix.nt - для обратного

Содержание файла /etc/bind/db.unix.nt: $TTL 3000h

@ SOA unix.nt. user.host180.unix.nt. 2007012000 (

10h ; slave-server connection preiod

1h ; retry

1w ; lifetime

1h ); negative ttl

NS @

host1.unix.nt. A 192.168.15.1 host2.unix.nt. A 192.168.15.2

.

host254.unix.nt. A 192.168.15.254

Содержание файла /etc/bind/db.rev_unix.nt:

45

15.168.192.in-addr.arpa. 10800 IN SOA unix.nt. user.host180.unix.nt. 2007012001 ( 10h ; slave-server connection period

1h ; retry

1w ; life-time

1h ) ; negative ttl

NS host180.unix.nt.

1 PTR host1.unix.nt.

2 PTR host2.unix.nt.

.

.

.

254 PTR host254.unix.nt.

Рестартуем сервер: %# rndc reload

server reload successful

И проверим:

%# host 192.168.15.190

190.15.168.192.in-addr.arpa domain name pointer host190.unix.nt.

%# host host190.unix.nt

host190.unix.nt has address 192.168.15.190

Настройка резолвера DNS

Резолвер (resolver) -- клиентская библиотека DNS, которая используется всеми программами Unix/Linux, которым нужен доступ к доменной системе имѐн.

Итак, прямое и обратное преобразование работает. На этом настройка DNS сервера завершена. Необходимо только указать операционной системе использовать только что сконфигурированный сервер. Делается это через файл /etc/resolv.conf:

%# cat /etc/resolv.conf

search unix.nt nameserver 127.0.0.1 nameserver 10.0.35.1

2 вариант:

-записи о зонах (SOA)

-настройка рекурсивных запросов (разрешены ли)

-настройка Robin Round (к одному имени привязан спиксок IP-адресов, периодически меняются)

-настройка взаимодействия с DHCP (чтобы динамически в зоны вносились данные от

DHCP)

-время до удаления «мусора» (?)

46

36. Взаимодействие DHCP и DNS при динамической регистрации и обновлении записей.

DHCP-сервер может динамически регистрировать и обновлять записи ресурсов указателей и адреса от имени твоих DHCP-клиентов.

Этот процесс требует использования дополнительного параметра DHCP – «Полное имя клиента» (параметр 81). Этот параметр позволяет клиенту предоставить для DHCP-сервера свое полное доменное имя. При получении от DHCP-клиента параметра 81, DHCP-сервер обрабатывает его и определяет порядок инициализации обновления от имени данного клиента. Если сервер DNS настроен на выполнение динамических обновлений, то выполняется одно из следующих действий:

1.DHCP-сервер обновляет в DNS записи адреса и указателя при наличии соответствующего запроса клиента в параметре 81

2.DHCP-сервер обновляет в DNS записи адреса и указателя независимо от того запрошено это

действие или нет.

Выбор действия осуществляется на основе настроек DNS сервера.

DHCP-сервер

4 Динамическое обновление DNS имени указателя

Подтверждение 2 аренды Ip-адреса

имени указателя

Динамическое обновление DNS 3 имени узла

Подтверждение 2 аренды Ip-адреса

1 Запрос аренды Ipадреса

DHCP-клиент

Рис.2. Обновление с параметром 81

47

37. Конфигурирование DHCP/DNS клиента. (какой-то рисунок про суффиксы)

Процесс настройки DNS включает выполнение следующих задач при задании свойств TCP/IP на каждом компьютере.

Задание DNS-имени компьютера или узла для каждого компьютера. Например, в полном доменном имени узла wkstn1.example.microsoft.com. крайняя левая метка wkstn1 представляет собой DNS-имя компьютера.

Задание основного суффикса DNS, размещенного после имени компьютера или узла в полном доменном имени узла. В приведенном примере основной суффикс DNS — example.microsoft.com.

Задание списка DNS-серверов (таких как основной DNS-сервер и все дополнительные DNSсерверы, используемые, когда основной сервер недоступен), который будет использоваться клиентами при разрешении имен DNS.

Задание списка поиска суффикса DNS или способа поиска, используемого клиентом при выполнении запроса DNS для коротких (неполных) доменных имен.

Задание имен компьютеров

При задании имен компьютеров для DNS полезно рассматривать как имя крайнюю левую часть полного имени узла. Например, в полном имени wkstn1.example.microsoft.com. именем компьютера является wkstn1.

В задаваемых именах DNS-клиентов Windows могут использоваться любые поддерживаемые знаки,

описанные в документе RFC (Requests for Comments) 1123, «Requirements for Internet Hosts — Application and Support». Эти символы включают: прописные буквы, от A до Z; строчные буквы, от a до z; цифры, от 0 до 9; дефис (-).

Задание доменных имен

Доменное имя используется для формирования с помощью имени клиентского компьютера полного имени узла (FQDN), которое называют также полным именем компьютера. В общем случае доменное имя DNS представляет собой ту часть полного имени узла, которая не входит в уникальное имя узла для данного компьютера.

Например, доменное имя DNS для клиентского компьютера может выглядеть следующим образом: если полным именем узла или полным именем компьютера является wkstn1.example.microsoft.com, то доменным именем является часть полного имени example.microsoft.com.

Существуют два типа доменных имен DNS — имя DNS и имя NetBIOS. Полное имя компьютера (полное доменное имя узла DNS) используется при выполнении запросов и обнаружении именованных ресурсов в сети. Для предыдущих версий клиентов имя NetBIOS используется для обнаружения различных служб NetBIOS, которые совместно используются в сети.

Примером, демонстрирующим необходимость одновременного использования имен NetBIOS и DNS, может служить служба «Сетевой вход в систему» (Net Logon). В службе DNS операционной системы Windows Server 2003 служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов (SRV) на DNS-сервере. Для Windows NT Server 4.0 и более ранних версий контроллеры домена регистрируют запись ИмяДомена в WINS для выполнения аналогичной регистрации и для объявления своей доступности для выполнения службы проверки подлинности в сети.

Когда клиентский компьютер запускается в сети, он использует средство разрешения имен DNS для выполнения запроса к DNS-серверу о записях SRV, относящихся к заданному в его конфигурации доменному имени. Этот запрос используется для обнаружения контроллеров домена и обеспечения проверки подлинности при входе для доступа к сетевым ресурсам. Клиент или контроллер домена в сети дополнительно использует службу разрешения NetBIOS, чтобы выполнить запрос к WINS-серверам с целью найти записи ИмяДомена [1C], необходимые для завершения процесса входа в систему.

Доменные имена DNS должны удовлетворять тем же стандартам и рекомендациям, которые применяются к правилам DNS именования компьютеров. Точка (.) в доменном имени всегда используется для разделения частей имени, которые обычно называют метками. Каждая метка соответствует дополнительному уровню, определенному в дереве пространства имен DNS.

Для большинства компьютеров первичный суффикс DNS, указанный в конфигурации компьютера, может совпадать с доменным именем в службе каталогов Active Directory, хотя эти два значения могут и различаться

Настройка списка DNS-серверов

Для эффективной работы клиентов DNS необходимо задать на каждом компьютере список серверов имен DNS, используемый при обработке запросов и разрешении имен DNS. В большинстве случаев клиентский компьютер устанавливает контакт и использует основной DNS-сервер, который является первым DNS-сервером в локальном списке конфигурации. Контакт с дополнительными DNS-серверами осуществляется, когда основной сервер недоступен. По этой причине важно, чтобы основной DNS-сервер подходил для постоянного использования клиентом при нормальных условиях работы.

48

Настройка списка поиска суффиксов DNS

Для DNS-клиентов имеется возможность создать список поиска суффиксов домена DNS, расширяющий или изменяющий возможности поиска DNS. Добавление дополнительных суффиксов в список позволяет проводить поиск по неполным именам компьютеров в нескольких указанных доменах DNS. Тогда при неудачном запросе DNS служба «DNS-клиент» может использовать этот список для добавления других суффиксов к исходному имени и повторения запросов DNS к DNS-серверу для этих дополнительных полных имен узлов.

Для компьютеров и серверов предопределены и используются следующие стандартные параметры поиска DNS с дополнением и разрешением коротких неполных имен.

Когда список поиска суффиксов пуст или не задан, к коротким неполным именам добавляется первичный суффикс DNS компьютера и запрос DNS используется для разрешения результирующего полного имени узла. Если такой запрос не выполняется, компьютер может попытаться выполнить дополнительные запросы для альтернативных полных имен узлов, которые образуются путем добавления суффиксов DNS, заданных для сетевых подключений.

Если в конфигурации не заданы суффиксы подключений или запросы для таких полных имен узлов не дают результатов, клиент может попытаться выполнять запросы, систематически сокращая первичный суффикс (такой способ иногда называют регрессией).

Например, если имеется первичный суффикс «example.microsoft.com», то в процессе регрессии могут предприниматься попытки поиска в доменах «microsoft.com» и «com».

Когда список поиска по суффиксам не пуст и задан по крайней мере один суффикс DNS, попытки построить полное имя при разрешении коротких имен DNS ограничиваются только полными именами узлов, которые образуются суффиксами из списка. Если запросы по полным именам узлов, сформированным с помощью всех суффиксов из списка, не дают результатов, возвращается результат «имя не найдено».

49

38. Логическая структура AD. Схема AD. Классы объектов, атрибуты. Домен, дерево, лес.

Логическая структура Active Directory по сути представляет собой контейнеры, которые используются для хранения объектов службы каталога (разделов каталога, доменов и лесов) на предприятии.

Домены – это базовые элементы,

создается домен. Количество объектов

компьютеров, коллективно управляемых с помощью контроллеров домена, т. е.

систем Windows Server 2003,

регулирующих доступ к сети, базе данных каталога и общим ресурсам.

Все сетевые объекты (принтеры, общие папки, компы, приложения и т. д...)

существуют в границах того или иного домена. Каждый домен хранит информацию только о самом себе, то есть только об объектах, хранящихся в данном домене.

Общие характеристики для всех доменов таковы:

Все объекты сети существуют в рамках того домена, в котором они были включены.

Границами домена определяются границы безопасности.

Доступ к объектам домена осуществляется в базе "списки управления доступом" (ACL - access control list), в которых содержится информация о разрешениях на каждый объект домена. Эти разрешения определяют, к примеру, каким пользователям разрешен доступ к конкретному объекту в сети и какие права каждого пользователя на данный объект.

Деревом (tree) называется группировка или иерархическая структура одного или нескольких доменов использующая общие пространство имен Active Directory. Формируется дерево путем введения нескольких дочерних доменов в состав родительского или корневого домена.

Иерархичность структуры имен сохраняется путем добавление нового имени в иерархии имен путем разделения от корневого имени через точку. Если у нас корневой домен rk.com, то дочерние домены второго уровня arctida.rk.com и office.rk.com. А домен третьего уровня в нашей иерархии с соблюдением пространства имен будет домен roga.arctida.rk.com.

Создание в рамках дерева иерархической структуры позволяет нам поддерживать на должном уровне безопасность и выполнять административные функции по управлению доменов в масштабе, как подразделения, так и отдельного домена, входящего в дерево. Дерево легко подается модификации.

Лесом (forest) называется группировка или иерархическая система, состоящая из одного или нескольких полностью независимых друг от друга деревьев доменов.

Имена в иерархии имен DNS бывают смежными (contiguous) или несмежными (discontiguous). То есть если мы имеем дерево, то имена смежные и прорастают от одного корня (родителя). Если лес то имена несмежные. Все домены и доменные деревья существуют в пределах одного или несколько лесов Active

Directory.

Характеристики леса:

Все домены в составе леса построены на основе общей схемы.

Общая конфигурация доверительных отношений. Все домены в лесу автоматически сконфигурированы так, чтобы доверять всем другим доменам леса. Все домены леса связаны неявными двухсторонними транзитивными отношениями.

Структура имен деревьев леса различаются в соответствие с доменами.

Домены в составе леса функционируют независимо друг от друга, но в то же время лес позволяет обмениваться информацией между любыми доменами (в независимости от дерева, в

котором он состоит) в пределах всей организации, которой принадлежит лес.

50

39. Физическая структура Active Directory. Сайты, подсети, контроллеры домена.

Физические компоненты Active Directory - это узлы (сайты) и контроллеры домена. Эти компоненты применяются для разработки структуры каталога, отражающей физическую структуру организации, которая, в свою очередь, влияет на создание сайтов для компании.

Физическое проявление службы Active Directory состоит в наличии отдельного файла данных, расположенного на каждом контроллере домена. Физическая реализация службы Active Directory описывается местоположением контроллеров домена, на которых расположена служба. При реализации службы Active Directory можно добавлять столько контроллеров доменов, сколько необходимо для поддержания служб каталога в данной организации. Имеется пять определенных ролей, которые может играть каждый из контроллеров домена. Они известны как роли хозяина операций (operations master roles). Еще одна роль, которую может выполнять любой отдельный контроллер домена в домене, связана с глобальным каталогом (GC -Global Catalog).

Контроллер домена - это компьютер, на котором установлен Windows Server 2003, и который поддерживает копию базы данных службы Active Directory.

папке %SystemRoot%\NTDS, расположенной на контроллере домена. В нем хранится вся информация каталога, предназначенная для данного домена, а также данные, являющиеся общими для всех контроллеров домена в данной организации или предприятии. Такое обозначение как %SystemRoot% надо понимать как, та директория (папка), в которой мы установили Windows Server 2003. По умолчанию (если мы в процессе инсталляции ничего не меняли) это директория под именем Windows.

Вторая копия файла Ntds.dit находится в папке %SystemRoot%\System32. Эта версия файла - поставляемая копия (копия, заданная по умолчанию) базы данных каталога, она используется для установки службы Active Directory. Этот файл копируется на сервер во время установки Microsoft Windows Server 2003, чтобы сервер можно было назначать контроллером домена без необходимости обращаться к инсталляционной среде. Во время

действующей копией хранилища данных каталога. Если это не первый контроллер домена в домене, то файл будет обновлен из других контроллеров домена через процесс репликации.

Компьютерная сеть любой большой компании (предприятии, фирме), как правило, состоит из некоторого количества сетей или скажем совокупности сетей, соединенных между собой. Один из важных параметров сетей есть их пропускная способность. Недостаточная пропускная способность отдельных сетей нашей компании может стать причиной при регистрации пользователей в сети, при поиске объектов в сети, а так же при репликации, и другое.

В зависимость от пропускной способности коммуникационных линий что образуют компьютерные сети, сетевой администратор делит вычислительную сеть компании (предприятия) на области, которые получили такое название как сайт. Сайт (site) или узел представляет собой часть от общей сети предприятия. Сайты сведены между собой.

Получается, что сайт - это группа компьютеров в одной или нескольких IP-

подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов. Также нет связи между диапазоном IP-адресов сайта и пространством имен домена.