1. Обобщенная структура территориально распределенной корпоративной сети Типовые методы объединения отдельных сетей офисов в единую кспд
 Скачать 3.9 Mb.
|
|
33. DNS серверы кэширования, пересылки. Примеры использования. Кэширующий DNS-сервер — сервер, который обслуживает запросы клиентов, (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаѐт рекурсивный запрос вышестоящему DNS-серверу) Кэширующий сервер DNS Если на DNS сервер не устанавливать никаких зон, то он будет выполнять функции сервера кэширования. Хотя все серверы имен DNS кэшируют запросы, которые удалось разрешить, серверы кэширования являются серверами имен DNS, которые только выполняют запросы, кэшируют ответы и возвращают результаты. Они не управляют доменами, а информация, которую они содержат, ограничивается той, что была кэширована при разрешении запросов. Время хранения записей в кэше определяется параметрами соответствующей записи SOA. При определении необходимости использования сервера такого типа следует учитывать, что в момент запуска этот сервер вообще не содержит кэшированной информации. Информация накапливается со временем по мере обслуживания запросов клиентов. Однако, если работа ведется в глобальной сети с медленными связями между узлами, такая возможность может оказаться полезной, поскольку по мере заполнения кэша трафик снижается. Кроме того, сервер кэширования не выполняет зонные передачи, что уменьшает трафик в сети и может заметно ускорить работу при подключении по медленному каналу передачи данных, и разгрузить другие сервера DNS. Сервер пересылки - это DNS-сервер в сети, который пересылает DNS-запросы внешних DNS-имен на DNS-серверы за пределами этой сети. Сервер также можно настроить на пересылку запросов в соответствии с определенными именами домена, используя условную пересылку. DNS-сервер используется как сервер пересылки, когда другие DNS-серверы в сети настроены на переадресацию запросов, которые не могут быть разрешены локально, на этот DNS- сервер. С помощью сервера пересылки можно управлять разрешением имен для имен, находящихся за пределами организации, например в сети Интернет, что может способствовать увеличению эффективности разрешения имен для компьютеров в сети. На рисунке показано, как отправляются запросы внешних имен с помощью серверов пересылки При назначении DNS-сервера в качестве сервера пересылки он становится ответственным за обработку внешнего трафика, что ограничивает его доступность из Интернета. Сервер пересылки создает большой кэш, где хранятся сведения о внешних DNS, так как все внешние DNS-запросы в сети разрешаются через него. За небольшой промежуток времени сервер пересылки может разрешить большое количество внешних DNS-запросов, используя данные в собственном кэше. Это уменьшает интернет-трафик в сети и время ожидания ответа DNS- клиентами. Поведение DNS-сервера, настроенного на использование сервера пересылки, отличается от поведения DNS-сервера, не использующего сервер пересылки. Поведение DNS-сервера, использующего сервер пересылки, заключается в следующем: 1. Если DNS-сервер получает запрос, он пытается разрешить этот запрос, используя имеющиеся зоны и собственный кэш. 2. Если запрос не может быть разрешен с помощью локальных данных, DNS-сервер переадресует запрос на DNS-сервер, назначенный как сервер пересылки. 42 3. Если серверы пересылки недоступны, DNS-сервер пытается использовать корневые ссылки для разрешения запроса. Запрос, пересылаемый DNS-сервером на сервер пересылки, является рекурсивным запросом. Он отличается от итеративного запроса, посылаемого DNS-сервером на другой DNS-сервер во время стандартного разрешения имен (то есть разрешения, при котором не задействован сервер пересылки). Серверы условной пересылки - это DNS-сервер в сети, который пересылает DNS-запросы в соответствии с DNS-именем домена в запросе. Например, можно настроить DNS-сервер на пересылку всех получаемых им запросов, которые заканчиваются на corp.contoso.com, на IP-адрес определенного DNS-сервера или IP-адреса нескольких DNS-серверов. Серверы условной пересылки являются DNS-серверами, которые пересылают запросы в соответствии с именами доменов. Вместо пересылки DNS-сервером всех неразрешенных запросов на сервер пересылки, можно настроить DNS-серверы таким образом, чтобы они пересылали запросы на различные серверы пересылки в зависимости от определенных имен доменов, содержащихся в запросах. Пересылка в зависимости от имен доменов улучшает стандартную пересылку путем добавления к процессу пересылки условия, зависящего от имени. Параметр сервера условной пересылки для DNS-сервера состоит из следующих компонентов: Имена доменов, для которых DNS-сервер будет пересылать запросы Один или несколько IP-адресов DNS-серверов для каждого указанного имени домена 43 34. Размещение серверов DNS в корпоративной сети. Расположение DNS серверов очень важно. В большинстве окружений используется два DNS сервера - ведущий и ведомый, либо два ведущих, если они используются только для кэширования - хотя на количество серверов, которые можно иметь, ограничений не существует. Нужно рассмотреть две отдельных, но связанных между собой проблемы с расположением DNS сервера: Расположение по отношению к брандмауэру: В большинстве случаев внутренние DNS серверы располагаются во внутренней сети, а доступные извне серверы помещаются в демилитаризованной зоне (DMZ) брандмауэра, которая безопасна, но в то же время доступна из сети общего пользования. Если у Вас есть только один комплект DNS серверов, его нужно разместить в DMZ и открыть к нему доступ пользователей внутренней сети. Размещение в сегментах Вашей сети по географическому или по иному принципу: Есть несколько причин размещать DNS серверы на отдельных сегментах сети и в разных местах. 1) необходимость резервирования. Если один из сегментов сети будет выведен из строя, или даже по причине какой-нибудь аварии/ катастрофы будет потерян целый микрорайон сети, можно будет и дальше оказывать услуги DNS. 2) эффективность работы внутренних DNS серверов может возрасти, если настроить систему так, чтобы в первую очередь использовался местный сервер, а удалѐнный - только в случае, когда местный выйдет из строя. Обычной практикой является размещение в каждом географическом микрорайоне сети как минимум одного внутреннего DNS сервера. В общем случае DNS-серверы следует размещать в узлах сети, доступных всем клиентам. Наиболее практично использование отдельного DNS-сервера в каждой подсети. При выборе мест для размещения DNS-серверов следует учитывать ряд факторов: если структура DNS развертывается для поддержки службы каталогов Active Directory, уточните, является ли компьютер DNS-сервера одновременно контроллером домена или будет использован в этой роли в будущем; могут ли локальные клиенты получить доступ к дополнительному DNS-серверу, если основной не отвечает; если DNS-сервер расположен в удаленной для некоторых клиентов подсети, то какие другие DNS- серверы будут доступны в случае, когда связь с сетью прервется. 44 35. Конфигурирование DNS серверов. 1 вариант: Инсталляция DNS-сервера BIND Установка сервера в Debian / Ubuntu: %# apt-get install bind9 Начальное конфигурирование DNS-сервера После установки сервера необходимо указать некоторые параметры для работы сервера. Это делается путем редактирования определенных директив в файле /etc/bind/named.conf.options: options { directory "/var/cache/bind"; forwarders { 10.0.35.1; 10.0.17.1; 10.0.1.2; }; listen-on { 192.168.15.180; 127.0.0.1; }; auth-nxdomain no; # conform to RFC1035 }; Директива directory указывает на расположение в дереве каталогов временных файлов сервера. Директива forwarders - на какие серверы пересылать запрос, если наш сервер сам не в состоянии определить имя или IP-адрес запроса клиентов - то есть настройка DNS-сервера пересылки. Директива listen-on указывает на каких интерфейсах вести прослушивание 53 порта. И проверяем: %# netstat -lnp | grep :53 tcp 0 0 192.168.15.180:53 0.0.0.0:* LISTEN 31290/named tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 31290/named udp 0 0 192.168.15.180:53 0.0.0.0:* 31290/named udp 0 0 127.0.0.1:53 0.0.0.0:* 31290/named Настройка DNS-сервера для работы в режиме авторитетного сервера Далее необходимо указать в основном конфигурационном файле сервера /etc/bind/named.conf.local имена файлов, в которых мы далее опишем зоны для прямого и обратного преобразований. Добавляем следующие строки в этот файл: zone "unix.nt" { type master; file "/etc/bind/db.unix.nt"; allow-transfer { 127.0.0.1; }; }; zone "15.168.192.in-addr.arpa" { type master; file "/etc/bind/db.rev_unix.nt"; allow-transfer { 127.0.0.1; }; }; Файл /etc/bind/db.unix.nt служит для описания зоны прямого преобразования, а файл /etc/bind/db.rev_unix.nt - для обратного Содержание файла /etc/bind/db.unix.nt: $TTL 3000h @ SOA unix.nt. user.host180.unix.nt. 2007012000 ( 10h ; slave-server connection preiod 1h ; retry 1w ; lifetime 1h ); negative ttl NS @ host1.unix.nt. A 192.168.15.1 host2.unix.nt. A 192.168.15.2 host254.unix.nt. A 192.168.15.254 Содержание файла /etc/bind/db.rev_unix.nt: 45 15.168.192.in-addr.arpa. 10800 IN SOA unix.nt. user.host180.unix.nt. 2007012001 ( 10h ; slave-server connection period 1h ; retry 1w ; life-time 1h ) ; negative ttl NS host180.unix.nt. 1 PTR host1.unix.nt. 2 PTR host2.unix.nt. 254 PTR host254.unix.nt. Рестартуем сервер: %# rndc reload server reload successful И проверим: %# host 192.168.15.190 190.15.168.192.in-addr.arpa domain name pointer host190.unix.nt. %# host host190.unix.nt host190.unix.nt has address 192.168.15.190 Настройка резолвера DNS Резолвер (resolver) -- клиентская библиотека DNS, которая используется всеми программами Unix/Linux, которым нужен доступ к доменной системе имѐн. Итак, прямое и обратное преобразование работает. На этом настройка DNS сервера завершена. Необходимо только указать операционной системе использовать только что сконфигурированный сервер. Делается это через файл /etc/resolv.conf: %# cat /etc/resolv.conf search unix.nt nameserver 127.0.0.1 nameserver 10.0.35.1 2 вариант: - записи о зонах (SOA) - настройка рекурсивных запросов (разрешены ли) - настройка Robin Round (к одному имени привязан спиксок IP-адресов, периодически меняются) - настройка взаимодействия с DHCP (чтобы динамически в зоны вносились данные от DHCP) - время до удаления «мусора» (?) 46 36. Взаимодействие DHCP и DNS при динамической регистрации и обновлении записей. DHCP-сервер может динамически регистрировать и обновлять записи ресурсов указателей и адреса от имени твоих DHCP-клиентов. Этот процесс требует использования дополнительного параметра DHCP – «Полное имя клиента» (параметр 81). Этот параметр позволяет клиенту предоставить для DHCP-сервера свое полное доменное имя. При получении от DHCP-клиента параметра 81, DHCP-сервер обрабатывает его и определяет порядок инициализации обновления от имени данного клиента. Если сервер DNS настроен на выполнение динамических обновлений, то выполняется одно из следующих действий: 1. DHCP-сервер обновляет в DNS записи адреса и указателя при наличии соответствующего запроса клиента в параметре 81 2. DHCP-сервер обновляет в DNS записи адреса и указателя независимо от того запрошено это действие или нет. Выбор действия осуществляется на основе настроек DNS сервера. 1 2 3 4 Запрос аренды Ip- адреса DHCP-клиент DNS-сервер DHCP-сервер Подтверждение аренды Ip-адреса Динамическое обновление DNS имени указателя Динамическое обновление DNS имени узла Рис.1. Обновление без параметра 81 1 2 3 4 Запрос аренды Ip- адреса DHCP-клиент DNS-сервер DHCP-сервер Подтверждение аренды Ip-адреса Динамическое обновление DNS имени указателя Динамическое обновление DNS имени узла Рис.2. Обновление с параметром 81 47 37. Конфигурирование DHCP/DNS клиента. (какой-то рисунок про суффиксы) Процесс настройки DNS включает выполнение следующих задач при задании свойств TCP/IP на каждом компьютере. Задание DNS-имени компьютера или узла для каждого компьютера. Например, в полном доменном имени узла wkstn1.example.microsoft.com. крайняя левая метка wkstn1 представляет собой DNS-имя компьютера. Задание основного суффикса DNS, размещенного после имени компьютера или узла в полном доменном имени узла. В приведенном примере основной суффикс DNS — example.microsoft.com. Задание списка DNS-серверов (таких как основной DNS-сервер и все дополнительные DNS- серверы, используемые, когда основной сервер недоступен), который будет использоваться клиентами при разрешении имен DNS. Задание списка поиска суффикса DNS или способа поиска, используемого клиентом при выполнении запроса DNS для коротких (неполных) доменных имен. Задание имен компьютеров При задании имен компьютеров для DNS полезно рассматривать как имя крайнюю левую часть полного имени узла. Например, в полном имени wkstn1.example.microsoft.com. именем компьютера является wkstn1. В задаваемых именах DNS-клиентов Windows могут использоваться любые поддерживаемые знаки, описанные в документе RFC (Requests for Comments) 1123, «Requirements for Internet Hosts — Application and Support». Эти символы включают: прописные буквы, от A до Z; строчные буквы, от a до z; цифры, от 0 до 9; дефис (-). Задание доменных имен Доменное имя используется для формирования с помощью имени клиентского компьютера полного имени узла (FQDN), которое называют также полным именем компьютера. В общем случае доменное имя DNS представляет собой ту часть полного имени узла, которая не входит в уникальное имя узла для данного компьютера. Например, доменное имя DNS для клиентского компьютера может выглядеть следующим образом: если полным именем узла или полным именем компьютера является wkstn1.example.microsoft.com, то доменным именем является часть полного имени example.microsoft.com. Существуют два типа доменных имен DNS — имя DNS и имя NetBIOS. Полное имя компьютера (полное доменное имя узла DNS) используется при выполнении запросов и обнаружении именованных ресурсов в сети. Для предыдущих версий клиентов имя NetBIOS используется для обнаружения различных служб NetBIOS, которые совместно используются в сети. Примером, демонстрирующим необходимость одновременного использования имен NetBIOS и DNS, может служить служба «Сетевой вход в систему» (Net Logon). В службе DNS операционной системы Windows Server 2003 служба сетевого входа в систему на контроллере домена регистрирует записи ресурсов (SRV) на DNS-сервере. Для Windows NT Server 4.0 и более ранних версий контроллеры домена регистрируют запись ИмяДомена в WINS для выполнения аналогичной регистрации и для объявления своей доступности для выполнения службы проверки подлинности в сети. Когда клиентский компьютер запускается в сети, он использует средство разрешения имен DNS для выполнения запроса к DNS-серверу о записях SRV, относящихся к заданному в его конфигурации доменному имени. Этот запрос используется для обнаружения контроллеров домена и обеспечения проверки подлинности при входе для доступа к сетевым ресурсам. Клиент или контроллер домена в сети дополнительно использует службу разрешения NetBIOS, чтобы выполнить запрос к WINS-серверам с целью найти записи ИмяДомена [1C], необходимые для завершения процесса входа в систему. Доменные имена DNS должны удовлетворять тем же стандартам и рекомендациям, которые применяются к правилам DNS именования компьютеров. Точка (.) в доменном имени всегда используется для разделения частей имени, которые обычно называют метками. Каждая метка соответствует дополнительному уровню, определенному в дереве пространства имен DNS. Для большинства компьютеров первичный суффикс DNS, указанный в конфигурации компьютера, может совпадать с доменным именем в службе каталогов Active Directory, хотя эти два значения могут и различаться Настройка списка DNS-серверов Для эффективной работы клиентов DNS необходимо задать на каждом компьютере список серверов имен DNS, используемый при обработке запросов и разрешении имен DNS. В большинстве случаев клиентский компьютер устанавливает контакт и использует основной DNS-сервер, который является первым DNS-сервером в локальном списке конфигурации. Контакт с дополнительными DNS-серверами осуществляется, когда основной сервер недоступен. По этой причине важно, чтобы основной DNS-сервер подходил для постоянного использования клиентом при нормальных условиях работы. 48 Настройка списка поиска суффиксов DNS Для DNS-клиентов имеется возможность создать список поиска суффиксов домена DNS, расширяющий или изменяющий возможности поиска DNS. Добавление дополнительных суффиксов в список позволяет проводить поиск по неполным именам компьютеров в нескольких указанных доменах DNS. Тогда при неудачном запросе DNS служба «DNS-клиент» может использовать этот список для добавления других суффиксов к исходному имени и повторения запросов DNS к DNS-серверу для этих дополнительных полных имен узлов. Для компьютеров и серверов предопределены и используются следующие стандартные параметры поиска DNS с дополнением и разрешением коротких неполных имен. Когда список поиска суффиксов пуст или не задан, к коротким неполным именам добавляется первичный суффикс DNS компьютера и запрос DNS используется для разрешения результирующего полного имени узла. Если такой запрос не выполняется, компьютер может попытаться выполнить дополнительные запросы для альтернативных полных имен узлов, которые образуются путем добавления суффиксов DNS, заданных для сетевых подключений. Если в конфигурации не заданы суффиксы подключений или запросы для таких полных имен узлов не дают результатов, клиент может попытаться выполнять запросы, систематически сокращая первичный суффикс (такой способ иногда называют регрессией). Например, если имеется первичный суффикс «example.microsoft.com», то в процессе регрессии могут предприниматься попытки поиска в доменах «microsoft.com» и «com». Когда список поиска по суффиксам не пуст и задан по крайней мере один суффикс DNS, попытки построить полное имя при разрешении коротких имен DNS ограничиваются только полными именами узлов, которые образуются суффиксами из списка. Если запросы по полным именам узлов, сформированным с помощью всех суффиксов из списка, не дают результатов, возвращается результат «имя не найдено». |