Лекция 36. Установка и базовое конфигурирование dns сервера в операционной системе Microsoft Windows Server
| скачать Лекция 36. Установка и базовое конфигурирование DNS сервера в операционной системе Microsoft Windows Server. Рассмотрим вопросы, касающиеся установки и базового конфигурирования DNS сервера в операционной системе Microsoft Windows Server. Установка сервера DNS производится в администрировании с помощью апплета «Диспетчер сервера», с использованием «Мастера добавления ролей», добавляем роль «DNS сервер»:       После установки оснастка для управления DNS сервером становится доступна в инструментах администрирования. Запустив оснастку, мы получим управление над установленным, но не сконфигурированным сервером. Мы можем сконфигурировать, на каких сетевых интерфейсах будет отвечать наш DNS сервер, по умолчанию он отвечает на запросы на всех интерфейсах, однако можно указать и желаемый интерфейс или набор интерфейсов:  Как нам известно, после установки DNS сервера он, будучи не сконфигурирован, не несет в себе никакой части базы данных доменных имен, однако уже может использоваться для разрешения имен, так как содержит список корневых серверов пространства имен Интернета, т.е. серверов, отвечающих за домен «.». Для получения списка (редактируемого) этих корневых ссылок откроем свойства сервера:  Как нам известно, для того, чтобы DNS сервер даже с настроенными корневыми ссылками мог разрешать имена для клиентов, он должен поддерживать рекурсивное обслуживание, по умолчанию поддержка рекурсии включена в DNS сервере, изменять настройки можно следующим образом:  Так же мы знаем, что обращение к корневым серверам – не единственный способ разрешать имена для DNS сервера, помимо этого он может быть настроен перенаправлять все поступающие на него рекурсивные запросы на другой DNS сервер, это можно сконфигурировать следующим образом:   Наконец, как нам известно, DNS сервер, рекурсивно разрешающий имена для клиентов, может кэшировать разрешенные имена. Просмотреть кэш имен DNS сервера можно следующим образом:   Далее мы рассмотрим, порядок конфигурирования сервера DNS. При этом будут рассмотрены примеры конфигурирования сервера DNS интегрированного в пространство имен DNS, и сервера DNS для разрешения локальных имен в сети предприятия. Прежде чем приступить к рассмотрению примеров, определим основные термины, используемые при описании структуры DNS. Термин «Домен» (Domain – область англ.) – это пространство (совокупность) имен, объединенных некоторой общей частью. Например: www.example.com managers. example.com ftp.example.com sales.managers.example.com Указанные имена имеет общую часть – example.com. Таким образом, можно сказать, что указанные имена принадлежат к домену example.com. www.lessons.edu managers.lessons.edu ftp.lessons.edu sales.managers.lessons.edu Указанные имена имеет общую часть – lessons.edu. Таким образом, можно сказать, что все указанные имена принадлежат к домену lessons.edu. Система доменных имен DNS позволяет разделить пространство имен DNS на зоны, в которых сохраняется информация об именах для одного или нескольких доменов DNS. Для каждого доменного имени DNS, включенного в зону, зона становится полномочным источником информации об этом домене. Зоной принято называть совокупность авторитетной информации, хранящейся на DNS сервере, которая содержит сведения о некоторой части пространства имен, т.е. домена. Фактически ЗОНА – это совокупность записей DNS относительно некоторого домена. Зона создается как база данных для единственного доменного имени DNS. Если под доменом, используемым для создания зоны, добавляются другие домены, эти домены могут быть частью той же зоны или служить основой для образования новой зоны. Например: - пусть существует зона example.com, и в этой зоне описывает единственный домен example.com. В домене example.com со временем появляется новое имя first.example.com и тогда запись об этом имени появляется в описании зоны example.com в виде first.example.com. Далее появляется новое имя second и тогда запись об этом имени появляется в описании зоны example.com в виде second.example.com. В случае если возникает необходимость организации имени вида test.second.example.com – то в этом случае возможно два варианта решения задачи: 1 вариант - данное имя регистрируется в существующей зоне (базе данных) example.com и имеет вид test.second.example.com 2 вариант - организуется новая зона second.example.com , запись об этой зоне заносится в базу данных зоны example.com . И далее во вновь созданной зоне second.example.com создается запись о домене second.example.com и об имени test.second.example.com . В новой зоне second.example.com возможна дальнейшая регистрация имен, а если понадобится – то и новых зон. При этом в вышележащей зоне example.com по прежнему будет присутствовать только одна запись – описывающая зону second.example.com . Такой вариант решения является рациональным с точки зрения равномерного распределения хранимой информации в общей структуре базы имен DNS. Таким образом, конфигурируя сервер, НЕЛЬЗЯ создать ДОМЕН – такое выражение является некорректным, в этом случае говорят о создании зоны, если необходимо перенести базу данных DNS с одного сервера на другой, так же говорят о переносе зоны, т.е. зоной принято называть САМУ базу данных, описывающую имена некоторого домена. Если сервер DNS конфигурируется для того, чтобы разрешать запросы в некотором пространстве имен, например, its.org, в таком случае говорят о том, что на DNS сервере необходимо создать зону its.org. Рассмотрим простейший пример конфигурирования зоны на сервере DNS на примере небольшой офисной сети, не связанной с Интернет. В данном случае служба DNS используется для именования узлов с целью обеспечения удобства доступа пользователей. Как для адресации третьего уровня в частных, не подключенных к Интернет, сетях предлагается использовать специальные, не используемые в Интернет IP адреса, так и для именования узлов в таких сетях НЕ стоит использовать имена из пространства имен Интернет. Как отмечалось ранее, в корневом домене Интернет используется только жестко ограниченное количество доменов верхнего уровня, так что для именования узлов частных сетей достаточно использовать имена доменов верхнего уровня, не применяемые в Интернет. Например, если для имени домена выбирается название компании its, то в таком случае, узлы этой сети могут получить имена вида: comp1.its. Однако создание таких имен доменов не слишком хорошо вписывается в идею использования имен Интернет – с целью организации некоторого подобия локальных имен именам Интернет в таком случае нередко принято создавать домен с именем компании в домене local или private, например: its.local или its.private. В случае небольшой сети, в которой будет использоваться только один локальный домен имен никаких сложностей быть не должно: на одном DNS сервере создается зона, например, company_name.private, все клиенты DNS конфигурируются для использования данного DNS сервера для разрешения имен – проблем не возникает. Создадим на DNS сервере зону, например, its.local. Важным является вопрос: как клиенты будут разрешать имена, к какому resolver они будут обращаться? Ясно, что для разрешения имен в такой сети НЕТ необходимости устанавливать и конфигурировать ЕЩЕ один сервер для того, чтобы клиенты передавали ему запросы – достаточно сконфигурировать все узлы нашей локальной сети на использование этого же DNS сервера для разрешения имен. Вполне логично, хотя и формально не обязательно, если и сам DNS сервер будет иметь имя в этом же домене its.local. Однако, в случае, когда пространство имен DNS должно быть интегрировано в Интернет необходимо более тщательно подходить к вопросу именования самого DNS сервера. В условиях локальной сети присвоим серверу DNS имя ns.its.local. Вначале создаем новую зону прямого просмотра. Зона прямого просмотра служит для разрешения запросов IP адреса по известному FQDN имени, в то же время зоны обратного просмотра необходимы для решения обратной задачи – выяснения доменного имени по известному IP адресу. Примеры использования зон обратного просмотра будут рассмотрены нами позднее.   Выбираем создание Основной зоны. Дополнительные зоны необходимы для организации отказоустойчивости и балансировки нагрузки DNS.  Создаем зону its.local  Мастер сообщает имя файла описания зоны. Файл будет размещаться по адресу %SystemRoot%\system32\dns\ и содержать записи базы. С помощью данного файла можно перенести существующую зону на другой DNS сервер – для этого при создании зоны необходимо указать, что зону необходимо взять из файла. Формат файла описания зоны, который использует DNS сервер Microsoft унифицирован и может использоваться и другими DNS серверами, например, серверами BIND (Berkeley Internet Name Domain) для Unix систем  Оставляем по умолчанию запрет динамических обновлений зоны  В завершении сообщается о создании зоны its.local  После создания зоны консоль имеет вид  В ОС Windows Server по умолчанию, имя компьютера на котором запущен DNS сервер, берется в качестве имени сервера имен создаваемой зоны, однако это можно изменить при последующей конфигурации.   Далее создаем запись типа A, для описания IP адреса сервера имен нашей зоны, т.е. компьютера на котором запущен сервер DNS.  Назовем сервер имен ns.its.local , ns – т.е. name server – принятое название для серверов имен DNS. Если серверов несколько, то их называют по порядку – ns1, ns2 и т.д.  Запись добавлена   Изменяем запись NS созданную мастером описания зоны   Изменяем значение записи – кнопка «Изменить …»  Вписываем наш сервер имен (сервер DNS):  Далее указываем в окне ниже, IP адрес сервера DNS   После чего возвращаемся в окно свойств зоны its.local  Далее выбираем закладку «Начальная запись зоны (SOA)»  В поле «Основной сервер» изменяем значение на существующую запись типа А, описывающую наш сервер (ns.its.local). Изменение производится, так же как и в предыдущем случае, используя кнопку «Обзор …».  После применения изменений консоль имеет вид  Далее добавим несколько записей типа А, описывающих остальные компьютера сети организации.  После завершения конфигурации сервера, рассмотрим полученный файл описания зоны its.local.dns  Символ «точка с запятой» (;), используется в фале описания зоны в качестве указателя комментариев. Все что находится правее данного символа, до окончания строки является комментарием и не принимается к исполнению сервером. Символ «коммерческое эт» (@), используется как переменная, содержащая имя зоны, т.е. в нашем случае символ «@» равен its.local. Данный символ используется так же и в почтовом адресе (e-mail), однако в случае с DNS – в файле описания зоны знак @ используется только как указатель имени зоны. Таким образом, первая (после комментариев) строка начинается с указания того, какую зону описывает данный файл базы данных. Далее в строке указывается тип зоны «IN» , т.е. Internet. Данная позиция называется поле «class» и определяет класс записи описания ресурса. В Internet используется только один класс записей - класс IN. В принципе существуют еще классы HS(Hessiod) и CH(Chaos), но в рамках нашего контекста - системы доменных имен Internet - они не рассматриваются. Далее в строке указывается код SOA. SOA (Start of Authority) – это тип записи базы DNS указывает имя полное имя зоны и содержит имя сервера, который является основным источником информации для зоны. Запись ресурса начальной записи зоны (SOA) всегда является первой в любой стандартной зоне. Данная запись указывает DNS-сервер, который либо был создан изначально, либо в процессе работы был определен как основной сервер зоны. Эта запись также используется для сохранения других свойств, таких как сведения о версии и временных параметрах, затрагивающих обновление и истечение срока существования зоны. Эти свойства определяют способ выполнения зонных передач между серверами, которые являются удостоверяющими серверами зоны. Только тот сервер DNS, у которого есть SOA запись для некоторого домена является авторитетным в данном домене. Запись типа SOA ставит в соответствие имени домена следующие параметры: Основной сервер (владелец) - имя узла основного DNS-сервера зоны. В приведенном примере это значение равно ns.its.local. Ответственное лицо - адрес электронной почты ответственного за администрирование зоны. Точка (.) используется вместо символа (@) в имени электронной почты. В приведенном примере, это значение не отконфигурировано и равно hostmaster. В случае верной конфигурации с сохранением имени владельца адреса «hostmaster» и домена its.local имеет вид hostmaster.its.local, что соответствует почтовому адресу hostmaster@its.local. Например: @ IN SOA ns.its.local. hostmaster.itstep.local ( Символ «открытая круглая скобка» указывает на то, что указанная дальше информация читается как одна строка, до тех пор, пока не встретится знак «закрытая круглая скобка». Серийный номер зоны - номер редакции файла зоны. Этот номер возрастает при каждом изменении записи ресурсов в зоне. Важно понимать, что это значение увеличивается при каждом изменении зоны. Это позволяет в последующих передачах реплицировать на дополнительные серверы как частичные, так и полные изменения зоны. В приведенном примере, серийный номер зоны равен 6. Интервал обновления - время в секундах, по истечении которого дополнительный DNS-сервер запрашивает свой источник для выполнения попытки обновления зоны. По истечении интервала обновления дополнительный DNS-сервер запрашивает копию текущей записи SOA зоны от источника, который отвечает на этот запрос. Затем дополнительный DNS-сервер сравнивает серийный номер текущей записи SOA в источнике (указанный в ответе) с серийным номером собственной локальной записи SOA. Если номера различаются, дополнительный DNS-сервер запрашивает зонную передачу с основного DNS-сервера. Значение по умолчанию этого поля составляет 900 секунд (15 минут). Дополнительный DNS сервер узнает данный параметр во время первой операции передачи записи SOA с основного сервера. В приведенном примере, интервал обновления равен 900 секунд. Интервал повтора - время в секундах, после которого дополнительный сервер повторяет неудачную попытку зонной передачи. Обычно это значение меньше значения интервала обновления. Значение по умолчанию составляет 600 секунд (10 минут). В приведенном примере, интервал обновления равен 600 секунд. Срок действия - время в секундах, по истечении которого дополнительный сервер перестает отвечать на запросы после прекращения действия интервала обновления, когда зона остается не обновленной. Истечение срока в этот момент происходит из-за того, что дополнительный сервер должен рассматривать свои локальные данные как ненадежные. Значение по умолчанию составляет 86 400 секунд (24 часа). В приведенном примере, срок действия составляет 86 400 секунд (24 часа). Минимальный срок жизни (TTL) - используемое по умолчанию значение срока жизни (Time-To-Live, TTL) зоны и максимальный интервал для кэширования отрицательных ответов для запросов имен. Значение по умолчанию составляет 3600 секунд (1 час). Далее следует запись ресурса сервера имен (NS) используемая для обозначения DNS-сервера (или нескольких серверов), назначенных удостоверяющими серверами для зоны. После включения сервера в запись ресурса NS такой сервер становится известным для других как удостоверяющий сервер для этой зоны. Это означает, что любой сервер, указанный в записи ресурса NS, должен рассматриваться остальными как авторизованный источник информации зоны и может отвечать на запросы, относящиеся к именам, включенным в эту зону. Таким образом, строка @ NS ns.its.local. содержит информацию о том, что в зоне its.local сервером имен является сервер ns.its.local. Записи ресурсов SOA и NS играют особую роль в конфигурации зоны. Эти записи являются обязательными для любой зоны и обычно являются первыми записями ресурсов, перечисленными в файлах. Мастер создания зоны по умолчанию автоматически создает эти записи, когда новая основная зона добавляется с помощью консоли DNS. Далее следуют строки, содержащие записи типа А. Записи ресурсов имен узлов (A) используются в зоне для связывания доменных имен DNS компьютеров (узлов) с их IP-адресами. Таким образом, строка ns A 192.168.0.1 содержит информацию о том, что узел ns в зоне its.local имеет IP адрес 192.168.0.1. Структурированное и масштабируемое пространство имен, обеспечиваемое системой DNS является избыточным решением данной задачи, возможно задачу именования узлов в рамках малой сети можно было бы решить другими, более простыми методами. Речь идет о службе именования NBNS (NetBIOS Name System), данная служба использует плоские имена, более пригодные для использования в малых сетях из-за своей простоты, однако данная технология не является в полной мере технологий IP сетей, и привязана к использованию некоторым протоколов, не входящих в стек TCP/IP непосредственно. В то же время, DNS является промышленным стандартом именования узлов в IP сетях и универсальной альтернативы в этом случае не существует, кроме разве что уже известного нам файла HOSTS, который можно разместить на каждом узле сети. Таким образом, DNS можно применять и активно применяют для организации системы именования узлов в малых сетях, не подключенных к Интернет и не нуждающихся, по большому счету во всех возможностях DNS. Настройка зоны обратного просмотра осуществляется следующим образом.           ^ Данная утилита реализована в большинстве стеков TCP/IP и предназначена для диагностики проблем, связанных с работой системы DNS. Эта утилита позволяет администратору управлять генерацией DNS запросов различного типа к различным DNS серверам и играет незаменимую роль в поиске и устранении неисправностей в системе доменных имен. При использовании Nslookup.exe необходимо учитывать следующее.
Существует два режима использования средства Nslookup.exe: интерактивный и неинтерактивный. Неинтерактивный режим используется, если ответ может быть получен в виде одного набора данных. Ниже представлен синтаксис, используемый при запуске средства nslookup в неинтерактивном режиме. nslookup [-параметры] [узел] [сервер] Чтобы запустить средство Nslookup.exe в интерактивном режим, выполните в командной строке команду nslookup (пример см. ниже). C:\> nslookup Default Server: nameserver1.domain.com Address: 10.0.0.1 > Чтобы ознакомиться со списком доступных команд, выполните в командной строке средства nslookup команду help или «?». Если данные, введенные в командной строке, не являются правильной командой средства nslookup, то эти данные рассматриваются как имя узла, и делается попытка разрешить это имя с помощью сервера по умолчанию. Чтобы прервать выполнение команды в интерактивном режиме, нажмите клавиши CTRL+C. Чтобы завершить работу средства nslookup, находясь в интерактивном режиме, введите в командной строке команду exit. Ниже приведен результат выполнения команды help, содержащий полный перечень параметров. Commands: (identifiers are shown in uppercase, [] means optional) NAME - print info about the host/domain NAME using default сервер NAME1 NAME2 - as above, but use NAME2 as server help or ? - print info on common commands set OPTION - set an option all - print options, current server and host [no]debug - print debugging information [no]d2 - print exhaustive debugging information [no]defname - append domain name to each query [no]recurse - ask for recursive answer to query [no]search - use domain search list [no]vc - always use a virtual circuit domain=NAME - set default domain name to NAME srchlist=N1[/N2/.../N6] - set domain to N1 and search list to N1, N2, and so on root=NAME - set root server to NAME retry=X - set number of retries to X timeout=X - set initial time-out interval to X seconds type=X - set query type (for example, A, ANY, CNAME, MX, NS, PTR, SOA, SRV) querytype=X - same as type class=X - set query class (for example, IN (Internet), ANY) [no]msxfr - use MS fast zone transfer ixfrver=X - current version to use in IXFR transfer request server NAME - set default server to NAME, using current default server lserver NAME - set default server to NAME, using initial server finger [USER] - finger the optional NAME at the current default host root - set current default server to the root ls [opt] DOMAIN [> FILE] - list addresses in DOMAIN (optional: output to FILE) -a - list canonical names and aliases -d - list all records -t TYPE - list records of the given type (for example, A, CNAME, MX, NS, PTR, and so on) view FILE - sort an 'ls' output file and view it with pg exit - exit the program Чтобы изменить параметры, используемые средством Nslookup.exe, воспользуйтесь командой set. Чтобы определить текущие значения данных параметров, выполните команду set all (список параметров приведен в результатах выполнения команды help и следует непосредственно за командой set). ^ Чтобы найти в адресном пространстве домена данные различных типов, выполните команды set type или set q[uerytype]. Например, чтобы получить список почтовых обменников, выполните следующие команды. C:\> nslookup Default Server: ns1.domain.com Address: 10.0.0.1 > set q=mx > mailhost Server: ns1.domain.com Address: 10.0.0.1 mailhost.domain.com MX preference = 0, mail exchanger = mailhost.domain.com mailhost.domain.com internet address = 10.0.0.5 > Ответ на первый запрос относительно удаленного имени является авторизованным, ответы на последующие запросы являются неавторизованными. При первом запросе сведений об удаленном узле локальный сервер DNS обращается к серверу DNS, авторизованному для соответствующего удаленного домена. После этого локальный сервер DNS кэширует полученную информацию, поэтому последующие запросы разрешаются на основании данных, находящихся в кэше локального сервера. ^ Чтобы направить запрос удаленному серверу имен напрямую, задайте имя нужного сервера с помощью команды server или lserver. Команда lserver определяет адрес сервера на который следует отправлять запросы, используя локальный сервер; команда server использует для получения этого адреса текущий сервер по умолчанию. Пример: C:\> nslookup Default Server: nameserver1.domain.com Address: 10.0.0.1 > server 10.0.0.2 Default Server: nameserver2.domain.com Address: 10.0.0.2 > Для примера приведенного в лекции C:\Documents and Settings\XP-SP3>nslookup Default Server: ns.its.local Address: 192.168.0.1 > 192.168.0.1 Server: ns.its.local Address: 192.168.0.1 Name: ns.its.local Address: 192.168.0.1 > ns.its.local Server: ns.its.local Address: 192.168.0.1 Name: ns.its.local Address: 192.168.0.1
|
хорошо
1 