- •Федеральное агентство по образованию
- •Редактор м.Е. Цветкова
- •390005, Рязань, ул. Гагарина, 59/1.
- •Введение
- •1. Функции, процедуры и объекты администрирования ис
- •1.1. Элементы ис, подвергаемые администрированию
- •1.2. Функции администрирования в сетевых ис
- •1.3. Задачи, решаемые при администрировании ис
- •1.4. Планирование и реализация эффективной рабочей среды
- •1.5. Технические и организационные службы администрирования
- •1.6. Администрирование ис на основе сетевых ос
- •2. Сетевые и коммуникационные службы
- •2.1. Основы протокола tcp/ip
- •2.1.2. Маска подсети
- •2.2. Служба dhcp
- •2.2.1. Назначение службы dhcp
- •2.2.2. Выделение ip-адреса
- •2.2.3. Компоненты dhcp
- •2.2.4. Процесс выдачи ip-адреса
- •2.2.5. Алгоритм выбора адреса
- •2.2.6. Обнаружение конфликтов ip-адресации
- •2.2.7. Обновление ip-адреса
- •2.2.8. Отклонение обновления и негативное подтверждение
- •2.2.9. Установка и настройка dhcp-сервера
- •2.2.10. Авторизация серверов dhcp
- •2.2.11. Создание области действий dhcp
- •2.2.12. Настройка конфигурационных параметров службы dhcp
- •2.2.13. Активация и деактивация dhcp
- •2.2.14. Документирование информации в журнале
- •2.2.15. Проверка и обновление конфигурации клиентов dhcp
- •2.3. Домены и разрешение имен
- •2.3.1. Система доменных имен
- •2.3.2. Dns и разрешение имен
- •2.3.3. Зоны dns
- •2.3.4. Серверы dns
- •2.3.5. Отказоустойчивость и распределение нагрузки
- •2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- •2.3.7. Создание и трансферты зоны
- •2.3.8. Записи о ресурсах
- •3. Службы аудита и управления безопасностью
- •3.1. Необходимость защиты
- •3.2. Причины существования угроз
- •3.3. Каналы утечки информации
- •3.4. Способы защиты информации
- •3.5. Работа протокола Kerberos
- •3.6. Организация безопасности сети
- •4. Служба учета
- •4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- •4.2. Проверка отчетов, полученных при аудите
- •4.3. Управление аудитом
- •5. Службы контроля характеристик
- •5.1. Счетчики производительности
- •5.2. Мониторинг системы
- •5.3. Накладные расходы мониторинга
- •6. Архивирование и восстановление данных
- •6.1. Архивирование и его виды
- •6.2. Восстановление данных
- •6.3. Требования к архивированию и восстановлению
- •Библиографический список
- •Оглавление
2.3.2. Dns и разрешение имен
Служба DNS представляет собой распределенную базу данных, содержащую информацию об IP-адресах и соответствующих им доменных именах. При этом данные, образующие пространство имен DNS, не концентрируются в одном месте, а хранятся в виде фрагментов на отдельных серверах. Компьютеры, на которых функционирует служба DNS, называются DNS–серверами. Рассмотрим пример разрешения доменного имени в IP-адрес. Допустим, пользователь пытается связаться с web–сервером компании, расположенной в Пакистане. Этот сервер обладает доменным именем www.fareast.co.pk. Запрос к данному серверу адресуется от клиента, находящегося в домене shazbot.com. Процедура разрешения имени происходит следующим образом. Домен sharbot.com, не обнаружив в своей БД информацию о домене www.fareast.co.pk, адресует запрос на разрешение доменного имени серверу, расположенному в корне иерархии. Корневой сервер сообщает ссылку на адрес DNS-сервера pk, являющегося также авторитетным для области co.pk. При обращении к серверу co.pk клиент из домена shazbot.com получает ссылку на адрес DNS–сервера, являющегося авторитетным для домена fareast.co.pk. Выполнив запрос к данному домену, клиент получает IP–адрес домена www.fareast.co.pk. После этого клиент может использовать полученный IP–адрес для обмена данными с интересующим его web-сервером.
Графическое представление рассмотренного механизма разрешения DNS-имени в IP-адрес показано на рис. 6. Процесс разрешения доменного имени выполняется при помощи двух типов запросов.
-
Служба разрешения имен, работающая на стороне клиента (часто ее называют термином resolver), посылает запрос локальному серверу DNS. В ответ на такой запрос клиент может получить либо интересующий его адрес, либо сообщение об ошибке. Такой запрос называется рекурсивным.
-
Если локальный сервер DNS не может разрешить запрос клиента, используя только собственный файл зоны и содержимое собственного кэша (области памяти временного хранения), он передает запрос другому серверу DNS от имени resolverа клиента. В ответ на этот запрос он может получить как интересующую клиента информацию, так и сообщение-ссылку (refferal) на другой DNS-сервер, который позволит осуществить разрешение имени. Такой запрос называется итеративным.
В рассмотренном примере в процессе разрешения имени www.fareast.co.pk локальный сервер DNS shazbot.com сохраняет всю полученную ранее информацию в кэше. Если после этого клиент обращается к нему с просьбой разрешить имя www.paktrevel.co.pk, то он не будет
Р ис. 6
обращаться к корневому серверу, а направит запрос напрямую DNS-серверу, авторитетному для домена co.pk, так как IP-адрес этого сервера хранится в кэше.
2.3.3. Зоны dns
В системе DNS используется распределенная модель администрирования. Отдельной административной единицей в составе домена является зона. Зона – это файл (zone file), хранящийся на DNS-сервере и содержащий информацию о некоторой части пространства имен, принадлежащих домену. Сервер, на котором хранится главный файл зоны (master zone file), является первичным DNS-сервером домена. Любой сервер, содержащий главный файл зоны или его копию, называется авторитетным для данной зоны. Некоторые зоны могут содержать информацию обо всех именах как домена, так и его субдоменов. Например, можно предоставить одному подразделению права на управление субдоменом support.sharbot.com, а другому – на управление как доменом sharbot.com, так и его субдоменом sales.shazbot.com. Оба последних домена могут входить в состав одной зоны. Графическая интерпретация разделения зон показана на рис. 7.