Rozdział 12.
System nazw domen (DNS)
Dogłębnie
System nazw domen (DNS) analizuje nazwy hostów — zarówno nazwy hostów lokalnych, jak i w
pełni kwalifikowane nazwy domen (FQDN) — na adresy
Protokołu IP
. System DNS
wykorzystuje hierarchiczną, rozszerzalną bazę danych oraz pojęcie hierarchicznej przestrzeni
nazw domen. System ten został zdefiniowany po raz pierwszy w roku 1984 i był jednym z
ważniejszych czynników w procesie tworzenia sieci WWW.
Kompatybilność DNS systemu Windows 2000
DNS systemu Windows 2000 jest preferowanym systemem nazw dla systemów operacyjnych
Windows 2000 zarówno w środowiskach macierzystych, jak i mieszanych. Chociaż inne
implementacje systemu DNS, takie jak domena nazw internetowych Berkeley (BIND) w wersji
8.1.2, są kompatybilne z wymaganiami systemu Windows 2000, to Windows 2000 DNS jest w
pełni zintegrowany z usługą Active Directory i korzysta z replikacji wielonarzędnej.
Klienty niższego poziomu, takie jak Windows NT4, korzystają z rozwiązywania nazw
podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS), szczególnie przy lokalizowaniu
kontrolerów domeny (DC). Klienty te opierają się na emisjach i usługach nazw NetBIOS (NBNS),
takich jak usługa nazw internetowych systemu Windows (WINS). Windows 2000 DNS jest
przystosowany do usługi WINS i wykorzystuje integrację WINS w środowiskach mieszanych do
lokalizowania usług i zasobów sieciowych. Klienty systemu Windows NT4 mogą rejestrować się
w usłudze WINS systemu Windows 2000, a klienty systemu Windows 2000 mogą się rejestrować
w usłudze WINS systemu Windows NT4.
Klienty systemu Windows 2000 używają DNS do rozpoznawania nazw i lokalizowania usług,
włącznie z lokalizowaniem kontrolerów domen. Ponieważ DNS systemu Windows 2000 obsługuje
aktualizacje dynamiczne — to jest funkcje DNS dynamicznego, lub DDNS — nie jest wymagana
integracja z WINS w celu rozwiązywania nazw hostów lokalnych w środowisku macierzystym.
DNS systemu Windows 2000 jest zintegrowany z protokołem dynamicznej konfiguracji hosta
(DHCP) systemu Windows 2000, a przydziały adresów IP dokonywane za pomocą DHCP są
wpisywane do bazy danych systemu DNS (patrz: rozdział 11).
Standardy DNS
DNS systemu Windows 2000 obsługuje kilka standardów oraz szkiców standardów. W tabeli 12.1
wypisane są obsługiwane standardy specyfikacji RFC zespołu do spraw sieci Internet (IETF), a
tabela 12.2 podaje obsługiwane projekty IETF. W momencie czytania niniejszej książki niektóre z
projektów IETF mogą już być standardami, inne z kolei mogą być nieaktualne.
Tabela 12.1. Obsługiwane specyfikacje RFC
Specyfikacja RFC
Tytuł
1034
Nazwy domen — Pojęcia i cechy
1035
Nazwy domen — Implementacja i specyfikacja
1123
Wymagania dla hostów internetowych — Stosowanie i obsługa
1886
Rozszerzenia systemu DNS do obsługi protokołu IP w wersji 6
1995
Przyrostowy transfer stref w systemie DNS
1996
Mechanizm powiadamiania systemu DNS o zmianach stref
2136
Dynamiczne aktualizacje w systemie nazw domen (DNS UPDATE)
2181 Wyjaśnienia dotyczące specyfikacji DNS
2308
Negatywne buforowanie kwerend DNS (DNS NCACHE)
Tabela 12.2. Obsługiwane projekty
Projekt Tytuł
Draft-ietf-dnsind-rfc2052bis-02.txt DNS RR do określania lokalizacji usług (DNS SRV)
Draft-skwan-utf8-dns-02.txt
Korzystanie z zestawu znaków UTF-8 w systemie nazw
domen
Draft-ietf-dhc-dhcp-dns-08.txt Interakcja
między protokołem DHCP i systemem DNS
Draft-ietf-dnsind-tsig-11.txt
Sygnatury transakcji tajnego klucza dla systemu DNS (TSIG)
Draft-ietf-dnsind-tkey-00.txt Ustanowienie
tajnego klucza dla systemu DNS (TKEY RR)
Draft-skwan-gss-tsig-04.txt
Algorytm GSS dla TSIG (GSS-TSIG)
RR to rekord zasobów, UTF oznacza format transmisji UCS (gdzie UCS to system znaków
Unicode), a GSS oznacza ogólne usługi zabezpieczeń. Internetowe projekty i specyfikacje RFC
dostępne są pod adresem
www.ietf.org
. Pełną listę specyfikacji RFC aktualnie dostępnych w
Internecie można uzyskać pod adresem
http://info.internet.isi.edu/innotes/rfc/files
.
Przestrzeń nazw domen
System DNS jest implementowany w formie hierarchicznej rozproszonej bazy danych,
zawierającej różnego typu dane, łącznie z nazwami hostów i nazwami domen. Nazwy te tworzą
hierarchiczną strukturę drzewa, zwaną przestrzenią nazw domen.
Nazwa FQDN jednoznacznie identyfikuje pozycję danego hosta w obrębie przestrzeni nazw
systemu DNS poprzez podanie listy nazw określonych kropkami — na przykład
authors.coriolis.com
. Częściami przestrzeni nazw głównego i najwyższego poziomu (tj.
com
,
gov
,
edu
, itd.) zarządza w Internecie urząd rejestracji nazw, na przykład internetowe centrum informacji
sieciowej, InterNIC (pod adresem
www.internic.net
), którego wyznaczonym przedstawicielem jest
Network Solutions, Inc. (pod adresem
www.networksolutions.com
).
Organizacje takie jak przedsiębiorstwa i placówki oświatowe rejestrują nazwy domen oraz adresy
IP i administrują swoją własną częścią przestrzeni nazw bez potrzeby odwoływania się do urzędu
rejestracji nazw. Rysunek 12.1 przedstawia hierarchiczną przestrzeń nazw domen.
Serwery główne, lub serwery z kropką („.”)
.com
.edu .mil .net .gov
Zarządzane przez urząd rejestracji
nazw
coriolis.com
www.coriolis.com authors.coriolis.com
ian.authors.coriolis.com
Zarządzane przez Coriolis
Rysunek 12.1. Hierarchiczna przestrzeń nazw domen
Nazwy domen są zgodne z międzynarodowym standardem ISO 3166. Zastrzeżone skróty
pokazane są w tabeli 12.3.
Tabela 12.3. Skróty systemu DNS
Skrót Typ
organizacji
com
Handlowe i biznesowe
edu
Edukacyjne
org
Niekomercyjne
net
Sieci szkieletowe
gov
Rządowe, niemilitarne
mil
Rządowe, militarne
num
Numery telefoniczne
arpa
DNS wsteczny
xx
Kod krajowy (np.
uk
,
fr
,
aus
)
DNS wsteczny tłumaczy adres IP na nazwę FQDN i jest wykorzystywany, na przykład, przez
aplikacje zabezpieczeń internetowych.
Baza danych systemu DNS
Baza danych DNS przechowuje rekordy zasobu w plikach stref. Strefa DNS jest jednostką
administracyjną, która niekoniecznie odwzorowuje się na domenę. W domenie może być kilka
stref, a w strefie może być więcej niż jedna domena. Podstawowy plik strefy może być kopiowany
do pomocniczego pliku strefy tylko do odczytu w celu utworzenia kopii zapasowej i zabezpieczeń,
polegających na przejmowaniu zadań przez serwer rezerwowy. Pliki te mogą być przechowywane
na różnego typu serwerach nazw DNS. Kwerendy bazy danych DNS dotyczące rozpoznawania
nazw mogą być przeprowadzane przy użyciu kwerend rekursywnych lub iteracyjnych. Znajomość
struktury i działania bazy danych DNS jest podstawą znajomości samego systemu nazw, przy
czym wszystkie te tematy są opisane w niniejszej części.
Wskazówka: Niekiedy serwer nazw DNS określa się po prostu jako serwer nazw, z akronimem
NS. Dzieje się tak dlatego, że rekord zasobu serwera NS w bazie danych DNS (patrz: poniżej)
identyfikuje serwer nazw DNS. Należy jednak ostrożnie używać tej terminologii. Serwer WINS
jest również serwerem nazw.
Rekordy zasobów (RR) DNS
Do rozpoznawania nazw hostów, rozpoznawania wstecznego i innych celów administracyjnych
potrzebne są różnego typu rekordy zasobów. Najpopularniejsze typy rekordów zasobów opisane są
poniżej.
Rekord zasobu adresu startowego uwierzytelniania (SOA)
Rekord zasobu SOA identyfikuje strefę DNS (lub strefę pełnomocnictwa). Zawiera on następujące
pola danych:
•
Nazwa właściciela
— nazwa hosta podstawowego serwera nazw DNS autorytatywnego
dla danej strefy.
•
Osoba odpowiedzialna
— adres e-mail osoby odpowiedzialnej za administrację strefy. W
tej nazwie e-mail zamiast znaku (@) używana jest kropka (.).
•
Numer seryjny
— numer poprawki pliku strefy. Ten numer zwiększa się za każdym
razem, kiedy rekord zasobu w strefie ulega zmianie.
•
Interwał odświeżania
— czas, wyrażony w sekundach, przez który pomocniczy serwer
DNS czeka, zanim rozpocznie kwerendę zarządcy strefy, mającą na celu dokonanie próby
odnowienia informacji dotyczących strefy. Wartością domyślną tego pola jest 900 (15
minut).
•
Interwał ponawiania
— czas, wyrażony w sekundach, przez który pomocniczy serwer
czeka przed ponowieniem nieudanego transferu strefy. Wartością domyślną jest 600 (10
minut).
•
Czas przeterminowania
— czas, wyrażony w sekundach, przed wstrzymaniem
odpowiadania pomocniczego serwera na kwerendy po upłynięciu interwału odświeżania,
w którym strefa nie została odświeżona ani zaktualizowana. Po wygaśnięciu tego czasu
serwer pomocniczy uznaje swoje dane lokalne za nieprawdziwe. Wartością domyślną jest
86 400 (24 godziny)
•
Minimalny czas TTL
— czas
Time-To-Live
(TTL) w sekundach, stosowany wobec
wszystkich rekordów zasobów w strefie, które mają nieokreślone wartości czasu TTL
specyficzne dla rekordu. Ta wartość określa, jak długo należy buforować rekord zasobu
przesłany w odpowiedzi (patrz: dalsza część niniejszego rozdziału). Wartością domyślną
jest 3 600 (1 godzina).
Host
Rekord zasobu hosta, lub rekord adresu (A), zawiera nazwę hosta (lub nazwę DNS) oraz
odpowiedni adres IP (Ipv4). Jest to najprostszy i najpopularniejszy typ rekordu w bazie danych
DNS. Rekord A jest wymagany dla każdego hosta współużytkującego zasoby w danej sieci.
Host Ipv6
Rekord zasobu hosta Ipv6, lub rekord AAAA, to to samo co rekord A, z tym że odwzorowuje
nazwę hosta na 128-bitowy adres IPv6 (patrz: rozdział 18).
Wskazówka: Istnieją również inne rekordy zasobu hosta, które nie zostały tutaj opisane, na
przykład rekord zasobu bazy danych Andrew File System (AFSDB) czy rekord zasobu adresu
trybu transferu asynchronicznego (ATMA). Aby uzyskać więcej szczegółów, odwołaj się,
odpowiednio, do dokumentu RFC 1183 oraz do witryny
ftp://ftp.atmforum.com/pub/approved-
specs/
.
Serwer nazw
Rekord zasobu serwera nazw (NS) identyfikuje serwer nazw DNS i jest wykorzystywany do
przypisywania adresu startowego uwierzytelniania dla strefy DNS określonemu serwerowi na dwa
sposoby:
• Ustanawia serwer nazw autorytatywnych dla danej strefy i identyfikuje ten serwer dla
innych, które żądają informacji dotyczących strefy.
• Identyfikuje autorytatywny serwer DNS dla każdej domeny podrzędnej
delegowanej
ze
strefy (patrz: dalsza część tego rozdziału).
Rekordy zasobów NS zawierają nazwę domeny lub strefy (nazwę właściciela) oraz nazwę FQDN
serwera nazw DNS, który jest autorytatywny dla strefy.
Wskazówka: Jeżeli serwer nazw zostanie określony w rekordzie zasobu NS jako autorytatywny
dla delegowanej strefy, to będzie on miał nazwę pozastrefową. Do rozwiązania tej nazwy
pozastrefowej może być konieczny rekord zasobu A. Ów rekord A znany jest jako
rekord
sklejający
.
Nazwa kanoniczna
Rekord zasobu nazwy kanonicznej (CNAME) zapewnia alias (nazwę alternatywną) dla nazwy
hosta poprzez odwzorowanie alternatywnej nazwy domeny DNS określonej w polu
właściciel
na
kanoniczną, lub podstawową, nazwę domeny DNS określoną w
nazwa_kanoniczna
.
Wskaźnik
Rekord zasobu wskaźnika (PTR) łączy nazwę DNS w polu
właściciel
z inną lokalizacją w
przestrzeni nazw DNS w sposób określony w polu
nazwa_domeny_docelowej
. Rekordy PTR są
zazwyczaj wykorzystywane do łączenia nazw DNS z rekordami w drzewie domeny
in-addr.arpa
,
aby zapewnić wyszukiwanie wsteczne odwzorowań adresów na nazwy.
Usługa wymiany poczty
Rekord zasobu usługi wymiany poczty (MX) umożliwia routowanie wiadomości, wysyłanych do
nazwy domeny określonej w polu
właściciel
, do hosta usługi wymiany poczty określonego w polu
host_usługi_wymiany_poczty
. Dwucyfrowa wartość preferencji określa kolejność preferowaną,
jeżeli określonych jest wiele hostów usługi wymiany. Każdy host wymiany musi mieć
odpowiadający mu rekord zasobu A.
Skrzynka pocztowa
Rekord zasobu skrzynki pocztowej (MB) odwzorowuje nazwę skrzynki pocztowej domeny,
określoną w polu
użytkownik
, na nazwę hosta skrzynki pocztowej, określoną w polu
mailbox_hostname
. Nazwa hosta skrzynki pocztowej musi być taka sama, jak ważny rekord
zasobu adresu (A) używany już przez hosta w tej samej strefie.
Wskazówka: Inne typy rekordów zasobu związanych z pocztą elektroniczną to grupa pocztowa
(MG), informacje listy pocztowej skrzynki pocztowej (MINFO) oraz skrzynka pocztowa o
zmienionej nazwie (MR). Szczegółowe informacje można znaleźć w dokumentacji Windows
2000.
Lokalizacja usługi
Rekord zasobu lokalizacji usługi (SRV) umożliwia lokalizowanie wielu serwerów,
zapewniających podobną usługę opartą na protokole TCP/IP, przy użyciu pojedynczej kwerendy
DNS. Rekordy zasobu SRV utrzymują listę serwerów dla dobrze znanych portów serwera i typów
protokołów transportu dla nazwy domeny DNS. Lista uporządkowana jest według
uprzywilejowania. Może ona, na przykład, lokalizować kontrolery domeny korzystające z usługi
protokołu uproszczonego dostępu do katalogów (LDAP) przez port TCP 389. Te rekordy zasobu
mają złożoną strukturę o dużej liczbie pól. Aby uzyskać szczegółowe informacje, odwołaj się do
dokumentacji Windows 2000.
Informacje hosta
Rekord zasobu informacji hosta (HINFO) określa typ procesora i systemu operacyjnego (OS) dla
nazwy domeny DNS hosta określonej w polu
właściciel
. Informacje te zawarte są w polach,
odpowiednio,
typ_cpu
i
typ_os
.
Wskazówka: Inne rekordy zasobu, które dostarczają informacji ogólnych, to osoba
odpowiedzialna (RP), rozsyłanie poprzez (RT), tekst (TXT), dobrze znana usługa (WKS),
Integrated Services Digital Network
(ISDN) oraz X25. Aby uzyskać informacje szczegółowe,
odwołaj się do dokumentacji Windows 2000.
Wyszukiwanie do przodu usługi nazw internetowych systemu Windows
Rekord zasobu wyszukiwania do przodu usługi nazw internetowych systemu Windows (WINS)
wykorzystywany jest, aby zapewnić rozwiązywanie kwerend DNS dotyczących nazw nie
znalezionych w danej strefie, poprzez kwerendę serwerów WINS skonfigurowanych i
umieszczonych na liście przy użyciu tego rekordu. Rekord WINS dotyczy tylko najwyższego
poziomu strefy, a nie domen podrzędnych wykorzystywanych w tej strefie. Więcej szczegółów
można znaleźć w rozdziale 13.
Wyszukiwanie wsteczne usługi nazw internetowych systemu Windows
Rekord zasobu wyszukiwania wstecznego usługi nazw internetowych systemu Windows (WINS-
R) wykorzystywany jest, aby zapewnić dalsze rozwiązywanie kwerend wstecznych nie
znalezionych w danej strefie, poprzez użycie w WINS kwerendy stanu węzła karty NetBIOS dla
wyszukiwanych adresów IP. Więcej szczegółów można znaleźć w rozdziale 13.
Strefy systemu DNS
Strefa to część bazy danych DNS zawierająca rekordy zasobów dla nazw właścicieli, które należą
do zwartej części przestrzeni nazw systemu DNS. Jeden serwer DNS może być skonfigurowany
jako host dla jednej lub większej liczby stref (a czasem dla żadnej strefy).
Każda strefa jest definiowana przez konkretną nazwę domeny, określaną jako domena główna.
Gdyby na przykład domeną główną strefy była domena
coriolis.com
, to zawierałaby ona
informacje dotyczące wszystkich nazw FQDN kończących się na
coriolis.com
(każda nazwa hosta
lokalnego w domenie
coriolis.com
ma nazwę FQDN, który kończy się na
coriolis.com
). Serwer
DNS uznawany jest za autorytatywny dla danej nazwy, jeżeli ładuje plik strefy zawierający tę
nazwę. Rekord zasobu SOA dla strefy identyfikuje podstawowy serwer nazw DNS strefy jako
najlepsze źródło informacji dla danych w obrębie tej strefy i jako serwer przetwarzający
aktualizacje dla tej strefy.
Nazwy w obrębie strefy mogą być delegowane do innej strefy (lub innych stref). Na przykład
nazwy w domenie
authors.coriolis.com
kończą się na
coriolis.com
i są, domyślnie, członkami
strefy
coriolis.com
. Jednakże odpowiedzialność za te nazwy może zostać oddelegowana do strefy
authors.coriolis.com
, która będzie wtedy miała swoją własną strefę pełnomocnictwa, swój własny
rekord zasobu SOA i prawdopodobnie, swój własny podstawowy serwer nazw DNS.
Delegowanie to proces przydzielania odpowiedzialności za część przestrzeni nazw DNS
oddzielnej jednostce. Jednostka ta może być oddziałem lub zespołem w obrębie przedsiębiorstwa,
lub przedsiębiorstwem w obrębie większej organizacji. Delegowanie implementuje się przy użyciu
rekordu zasobu NS, określającego zarówno delegowaną strefę, jak i nazwę DNS serwera
autorytatywnego dla tej strefy. Delegowanie poprzez wiele stref było jednym z pierwotnych
zamierzeń projektu DNS w roku 1984. Autorzy oryginalnych dokumentów RFC 882 i 883 (teraz
zastąpionych) zidentyfikowali kilka powodów delegowania przestrzeni nazw DNS:
• potrzeba oddelegowania zarządzania domeną DNS do kilku przedsiębiorstw lub
oddziałów w obrębie organizacji;
• potrzeba rozdzielenia obciążenia związanego z utrzymywaniem jednej dużej bazy danych
DNS na wiele serwerów nazw, aby poprawić wydajność rozpoznawania nazw oraz
utworzyć środowisko DNS odporne na uszkodzenia;
• potrzeba uwzględnienia przynależności organizacyjnej hosta poprzez włączenie go do
odpowiedniej domeny.
Rekordy zasobów NS znajdują się we wszystkich strefach wyszukiwania w przód i wyszukiwania
wstecznego, i wspierają delegowanie poprzez identyfikowanie serwerów DNS dla każdej ze stref.
Ilekroć serwer DNS musi zyskać dostęp do rekordu w delegowanej strefie (co jest znane jako
krzyżowanie delegowania), zwraca się do rekordów zasobu NS o zidentyfikowanie serwerów DNS
w strefie docelowej.
Na rysunku 12.2 zarządzanie domeną
coriolis.com
jest delegowane poprzez dwie strefy,
coriolis.com
i
authors.coriolis.com
.
Domena
coriolis.com
.com
coriolis.com
ftp.coriolis.com www.coriolis.com
authors.coriolis.com
strefa coriolis.com
ian.authors.coriolis.com
mary.authors.coriolis.com
strefa authors.coriolis.com
Rysunek 12.2. Strefy delegowane
Wskazówka: Przeważnie plik strefy dla strefy delegowanej jest ładowany na więcej niż dwa
serwery nazw DNS, a zatem serwer najwyższego poziomu dla domeny zawiera wiele rekordów
zasobów NS identyfikujących serwery nazw DNS, dostępnych w celu przeprowadzania
kwerend. W tej sytuacji Windows 2000 DNS wybiera najbliższy serwer nazw DNS na podstawie
interwałów transmisji i potwierdzenia przyjęcia mierzonych w czasie dla każdego ze
wspomagających serwerów nazw DNS.
Replikacja bazy danych
Są dwa typy stref DNS,
podstawowe
oraz
pomocnicze
, które mają odpowiadające im pliki stref
podstawowych i pomocniczych. Wszystkie aktualizacje rekordów stref przeprowadzane są w
strefie podstawowej. Strefa pomocnicza jest kopią tylko do odczytu strefy podstawowej. Wszelkie
zmiany dokonywane w pliku strefy podstawowej są replikowane do pliku strefy pomocniczej.
Strefy pomocnicze zapewniają zabezpieczenia, polegające na przejmowaniu zadań przez inny
serwer i mogą przyspieszać rozpoznawanie nazw w zdalnych segmentach sieci.
Możliwe jest, aby serwer nazw DNS zawierał plik strefy podstawowej (lub główną kopię pliku
strefy) dla jednej strefy oraz plik strefy pomocniczej (lub kopię tylko do odczytu pliku strefy) dla
drugiej. Serwer ten jest w tym przypadku podstawowym serwerem nazw DNS dla pierwszej strefy
i pomocniczym serwerem DNS dla drugiej strefy.
Proces replikowania pliku strefy do wielu serwerów nazw zwany jest
transferem stref
. Dokonuje
się tego poprzez skopiowanie informacji pliku strefy z serwera
nadrzędnego
na serwer
pomocniczy
(zwany czasem serwerem
podległym
), gdzie serwer nadrzędny jest źródłem informacji o strefie.
Serwer nadrzędny może być podstawowy lub pomocniczy. Jeżeli serwer nadrzędny jest
podstawowy, to transfer stref pochodzi bezpośrednio od źródła. Jeżeli serwer nadrzędny jest
pomocniczy, to plik otrzymany z serwera nadrzędnego za pomocą transferu jest kopią pliku strefy
pomocniczej. To rozróżnienie przedstawione jest na rysunku 12.3.
Nadrzędne i podstawowe serwery nazw DNS
Rozróżnienie pomiędzy nadrzędnym i podstawowym serwerem nazw DNS może być źródłem
zamieszania. Podstawowy i pomocniczy odnoszą się do typu strefy. Serwer nazw DNS
zawierający podstawowy (możliwy do uaktualnienia) plik strefy jest serwerem podstawowym dla
tej strefy. Serwery nazw DNS zawierające pomocniczy (tylko do odczytu) plik strefy są
serwerami pomocniczymi dla tej strefy.
Serwery nadrzędne stanowią część procesu transferu stref. Jeżeli Serwer C otrzymuje
informacje dotyczące strefy DNS od Serwera B, to Serwer B jest serwerem nadrzędnym, a
Serwer C jest serwerem pomocniczym dla tego transferu stref. Wszelkie replikowane informacje
u adresata są tylko do odczytu. Serwer B może posiadać plik podstawowy dla jednej, określonej
strefy oraz plik pomocniczy dla drugiej. Serwer C otrzymuje wtedy pliki pomocnicze dla obydwu
stref.
Jeżeli plik strefy pomocniczej znajdujący się Serwerze B jest replikowany z Serwera A, który
posiada plik podstawowy dla tej strefy, to Serwer A jest serwerem nadrzędnym, a Serwer B jest
serwerem pomocniczym dla tego transferu stref. Odwołaj się do rysunku 12.3
Serwer
A Serwer
B Serwer
C
Strefa 1 (podstawowa)
Strefa 1 (pomocnicza)
Strefa 1 (pomocnicza)
Strefa
2
(podstawowa)
Strefa 2 (pomocnicza)
Jestem podstawowym
serwerem nazw dla strefy 1.
Jestem podstawowym
Jestem pomocniczym
serwerem
serwerem
nazw
dla
strefy 2.
nazw dla strefy 1 i 2.
Jestem pomocniczym serwerem
Serwer B jest moim
serwerem
nazw
dla
strefy
1. nadrzędnym dla obu stref.
Serwer
A
jest
moim
serwerem
nadrzędnym dla strefy 1.
Rysunek 12.3. Nadrzędne, podstawowe oraz pomocnicze serwery nazw DNS.
Transfer stref inicjowany jest na dwa sposoby:
• Serwer nadrzędny wysyła do serwera pomocniczego (serwerów pomocniczych)
powiadomienie
, że plik strefy uległ zmianie. Dokument RFC opisuje ten proces
szczegółowo.
• Kiedy uruchamia się usługa DNS serwera pomocniczego lub ulega przeterminowaniu
jego
interwał odświeżania
, to przeprowadza on kwerendę serwera podstawowego
dotyczącą tych zmian. Interwał odświeżania określony jest w rekordzie zasobu SOA i
domyślnie wynosi 15 minut.
Są dwa typy replikacji pliku strefy:
•
Pełny transfer strefy (AXFR)
— replikuje cały plik strefy. Są dwa typy AXFR. Pierwszy z
nich przesyła jeden rekord na pakiet, a drugi dopuszcza wiele rekordów na pakiet. DNS
systemu Windows 2000 obsługuje obydwa typy. Domyślnie stosuje on wiele rekordów na
pakiet, o ile nie został skonfigurowany inaczej dla zapewnienia zgodności ze starymi
serwerami DNS, takimi jak BIND w wersji 4.9.4 i wcześniejsze, które obsługują tylko
jeden rekord na pakiet. System Windows NT4 obsługuje AXFR o wielu rekordach na
pakiet.
•
Przyrostowy transfer strefy (IXFR)
— replikuje tylko zmienione rekordy strefy. DNS
systemu Windows 2000 obsługuje IXFR; Windows NT4 nie. Protokół IXFR jest opisany
w dalszej części tego rozdziału.
Serwery tylko buforujące
Wszystkie serwery nazw DNS buforują kwerendy, które przeanalizowały. Można jednak
zainstalować serwer nazw DNS specjalnie jako serwer tylko buforujący. Serwer
tylko buforujący
wykonuje kwerendy, buforuje odpowiedzi i zwraca wyniki. Nie jest on autorytatywny dla żadnej
domeny i zawiera tylko informacje buforowane w czasie analizowania kwerend.
Jeżeli masz witrynę o dużym natężeniu ruchu DNS, lub jeśli masz witryny satelickie, takie jak
filie, które korzystają z powolnego łącza sieci WAN, to w celu wyrównania obciążenia i obniżenia
ruchu w sieci można użyć serwera tylko buforującego. Serwer tylko buforujący nie wykonuje
transferów stref, które mogą intensywnie korzystać z sieci w środowiskach WAN.
Windows 2000 DNS wprowadza pojęcie
analizatora buforującego
strony klienckiej. Jest to
opisane w dalszej części niniejszego rozdziału.
Kwerendy systemu DNS
Kwerendy DNS są wysyłane od klienta DNS (analizatora) do serwera nazw DNS (
serwera nazw
).
Ponadto serwer nazw może wysłać kwerendę do drugiego serwera nazw. Kwerendy DNS są
przeważnie, lecz nie wyłącznie, kwerendami analizy nazw. Kwerenda może na przykład żądać
wszystkich rekordów zasobu hosta o określonej nazwie.
Są dwa typy kwerend DNS:
•
Rekursywna
— żąda, aby serwer nazw zwrócił albo pomyślną odpowiedź, albo
komunikat o błędzie. Zazwyczaj kwerendę rekursywną wykonuje analizator. Analizator
nie bierze już dalej udziału w procesie kwerendy, tylko czeka na odpowiedź. Serwer
nazw może wysłać kwerendę rekursywną do swojego
serwera przekazującego
, który jest
innym serwerem nazw skonfigurowanym specjalnie do obsługiwania przekazywanych do
niego żądań.
•
Iteracyjna
— badany kwerendą serwer nazw dostarcza najlepszych informacji
dotyczących kwerendy, jakie są dostępne. Zazwyczaj, jeżeli badany serwer nie jest
autorytatywny dla danej strefy, to wysyła
odsyłacz
, który jest listą zawierającą jeden lub
więcej serwerów, które mogą być w stanie spełnić kwerendę lub dostarczyć na jej temat
więcej informacji. Serwer wykonujący kwerendę wysyła następnie kwerendę do jednego
z serwerów znajdujących się na liście odsyłacza i proces kwerendy przebiega dalej jako
szereg iteracji, dopóki kwerenda nie zostanie przeanalizowana.
Rysunek 12.4 przedstawia proces kwerendy. Jest to przykład troszkę nadmiernie uproszczony,
ponieważ nie bierze pod uwagę kwerend do bufora żadnego z analizujących uczestników. Nie
opisuje on również korzystania z serwerów WINS (ani innych serwerów NBNS), czy emisji
mających na celu rozpoznanie lokalnych nazw hostów, co miałoby miejsce w starych lub
mieszanych domenach. Ten przykład opisuje jedynie analizowanie nazw DNS.
Kwerendy
iteracyjne
Główny serwer nazw („.”)
2
3
Serwer nazw
.com
4
Serwer nazw
5
Kwerenda
rekursywna
6 Serwer
nazw
coriolis.com
1 8 7
Analizator
Chcę znaleźć
www.coriolis.com
.
www.coriolis.com
Rysunek 12.4. Analizowanie nazw DNS
W poniższym przykładzie klient (analizator) w domenie zdalnej chce przetłumaczyć
www.coriolis.com
na adres IP. Mogłoby to mieć miejsce, gdyby przeglądarka kliencka podjęła
próbę połączenia z URL.
1. Analizator
wysyła do swojego serwera nazw lokalnych kwerendę rekursywną dotyczącą
nazwy FQDN
www.coriolis.com
.
2. Serwer nazw lokalnych nie może przeanalizować nazwy FQDN ze swojej własnej bazy
danych. Dlatego też
parsuje
nazwę FQDN. Jest oczywiste, że wszystkie nazwy FQDN
kończą się kropką. Nie jest ona normalnie wpisywana, ale jej założona obecność jest
podstawą analizy składniowej FQDN. Serwer nazw lokalnych parsuje końcową kropkę i
rozumie, że oznacza ona w przestrzeni nazw domeny serwer główny (czasem zwany
serwerem z kropką). Wszystkie implementacje systemu DNS zawierają w sobie plik
bufora (albo
root hints
serwera), w skład którego wchodzą adresy IP głównych serwerów
dla domen internetowych. Serwer nazw lokalnych wysyła iteracyjną kwerendę do serwera
głównego, prosząc go o rozpoznanie
www.coriolis.com
.
Wskazówka: Najnowszą wersję pliku bufora serwera głównego można pobrać z witryny
InterNIC pod adresem
ftp://rs.internic.net/domain/named.cache
.
3. Serwer
główny nie może rozpoznać
www.coriolis.com
, ale
może
rozpoznać
com
. Dlatego
też wysyła z powrotem do serwera nazw lokalnych odsyłacz z listą adresów IP serwerów
nazw w przestrzeni nazw
com
.
4. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw
com
, prosząc go o
rozpoznanie
www.coriolis.com
.
5. Serwer
nazw
com
nie może rozpoznać
www.coriolis.com
, ale
może
rozpoznać
coriolis.com
. Wysyła z powrotem do serwera nazw lokalnych odsyłacz, podający adres
autorytatywnego serwera nazw dla
coriolis.com
.
6. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw
coriolis.com
, który
może
rozpoznać
www.coriolis.com
.
7. Serwer
nazw
coriolis.com
zwraca adres IP
www.coriolis.com
do serwera nazw lokalnych.
8. Serwer nazw lokalnych spełnia kwerendę rekursywną wysyłając adres IP dla
www.coriolis.com
do analizatora.
Serwery przekazujące
Jeżeli nie chcesz, aby serwer nazw DNS używał kwerend iteracyjnych (albo w ogóle, albo
domyślnie), to możesz go skonfigurować, aby korzystał z
serwera przekazującego
. Serwer
przekazujący to serwer nazw DNS, który zajmuje się żądaniami iteracyjnymi w imieniu innych
serwerów i zwraca im wyniki. Serwer nazw DNS, który nie może przeanalizować danego żądania
w oparciu o swoje własne informacje dotyczące strefy, może wysłać żądanie rekursywne do
serwera przekazującego. Dlatego też mówi się, że serwer przekazujący dostarcza żądającemu
serwerowi
usługę rekursywną
.
Serwery przekazujące są zazwyczaj wykorzystywane w przypadku dostępu do zdalnych serwerów
nazw DNS poprzez powolne łącze. Mogłoby się na przykład zdarzyć, że administrujesz szybką
siecią wewnętrzną podłączoną do Internetu przez względnie wolne połączenie; w takim przypadku
możesz zechcieć wykorzystać do kwerend iteracyjnych usługę nazw DNS dostarczoną przez
swojego dostawcę usług internetowych (ISP). To mogłoby znacząco obniżyć ruch w Twojej sieci.
Serwer nazw DNS, który korzysta z serwera przekazującego, może mieć całkowicie wyłączoną
iterację. Ewentualnie można określić serwer przekazujący i opóźnienie czasowe. W tym drugim
przypadku serwer najpierw wysyła żądanie rekursywne do swojego serwera przekazującego, a
następnie podejmuje próbę iteracji, jeżeli serwer przekazujący nie może spełnić żądania w
granicach określonego czasu.
Serwera przekazującego można również używać do współużytkowania informacji dotyczących
analizowania nazw. Przypuśćmy na przykład, że nasze przedsiębiorstwo ma kilka serwerów nazw
DNS. Zamiast zmuszać każdy z serwerów, aby wysyłał kwerendy do Internetu (prawdopodobnie
przez
firewalla
), można skonfigurować wszystkie swoje serwery, aby przedkładały kwerendy do
pojedynczego serwera przekazującego. Serwer przekazujący buduje bufor internetowych nazw
DNS z otrzymywanych odpowiedzi i może spełnić kwerendę pochodzącą z jednego serwera
bazując na informacjach wynikłych z kwerendy, która pochodzi z innego serwera.
Konfigurowanie serwera nazw DNS, aby korzystał z serwera przekazującego jest opisane w
podrozdziale rozwiązań natychmiastowych niniejszego rozdziału.
Wskazówka: Serwer nazw DNS zainstalowany na serwerze głównym w domenie nie może
korzystać z serwerów przekazujących.
Czas istnienia rekordów zasobu
Po przeanalizowaniu kwerendy zarówno analizator, jak i serwer nazw mogą buforować informacje
i używać zapamiętanych odpowiedzi przy odpowiadaniu na kolejne kwerendy. Dane zapamiętane
w buforze mają ograniczony czas istnienia, określany w parametrze TTL, który jest zwracany wraz
z danymi. Daje to gwarancję, że DNS nie będzie trzymał informacji tak długo, aż staną się one
nieaktualne. TTL bufora można ustawić w bazie danych DNS albo dla pojedynczego rekordu
zasobów poprzez ustawienie pola TTL zasobu, albo dla strefy, ustawiając pole minimalnego TTL
w rekordzie SOA. TTL bufora można również ustawiać na analizatorze.
Ustawiając TTL należy wziąć pod uwagę dwa konkurencyjne czynniki. Jeżeli TTL jest krótki, to
zmniejsza się prawdopodobieństwo, iż informacje ulegną przedawnieniu, ale zwiększa się ruch w
sieci oraz wykorzystanie serwera nazw DNS. Jeżeli TTL jest długi, to klient może otrzymywać
błędne odpowiedzi na kwerendy, ale zmniejsza się wykorzystanie serwera DNS i ruch w sieci.
Jeżeli odpowiedź na kwerendę zostanie udzielona przy użyciu wpisu zawartego w buforze, to wraz
z nią wysyłany jest TTL wpisu, dzięki czemu analizatory otrzymujące odpowiedź wiedzą jak
długo jest ona ważna. Analizatory uznają TTL od odpowiadającego serwera i nie ustawiają go
ponownie w oparciu o swój własny TTL.
Aktualizowanie bazy danych
DNS systemu Windows 2000 obsługuje zarówno statyczne, jak i dynamiczne aktualizacje bazy
danych DNS. Aktualizacje statyczne implementuje się przy użyciu narzędzia przystawki MMC
(konsoli zarządzania firmy Microsoft) systemu DNS. Korzystanie z tego narzędzia jest obszernie
opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału. Aktualizacja
dynamiczna jest udoskonaleniem DNS systemu Windows 2000 i jest opisana w następnej części.
Udoskonalenia systemu Windows 2000
Komunikacja użytkownika z usługą DNS systemu Windows 2000 przebiega poprzez przystawkę
konsoli MMC. Zapewnia to zgodność z innymi usługami systemu Windows 2000 i daje
administratorowi spójne, łatwe w użyciu narzędzie do zarządzania. Oprócz ułatwionego
zarządzania DNS systemu Windows 2000 oferuje kilka udoskonaleń oraz nowych funkcji. W ich
skład wchodzą:
• integracja usługi Active Directory;
• aktualizacja dynamiczna, łącznie z zabezpieczoną aktualizacją dynamiczną;
• starzenie się i oczyszczanie rekordów;
• przyrostowy transfer strefy (IXFR);
• analizator buforujący;
• obsługa znaków Unicode;
• udoskonalony lokalizator domen.
Integracja usługi Active Directory
System Windows 2000 może wykorzystywać usługi Active Directory jako swoją pamięć masową
do przechowywania danych oraz jako mechanizm replikacji. Strefa DNS wykorzystująca
integrację usługi Active Directory musi być załadowana na kontroler domeny; określa się ją wtedy
jako strefę zintegrowaną z usługą katalogową (DS). Strefy zintegrowane z DS dają następujące
korzyści:
• replikacja wielonarzędna DNS wykonywana jest przez usługę Active Directory i nie ma
potrzeby obsługiwania osobnej metodologii replikacji dla informacji DNS;
• replikacja usługi Active Directory zawsze zapewnia wymagane rozdrobnienie replikacji,
łącznie z osobną replikacją dla każdej właściwości;
• replikacja usługi Active Directory jest bezpieczna, można też implementować bezpieczne
aktualizacje DNS dynamicznego;
• podstawowy serwer DNS zostaje wyeliminowany jako pojedynczy punkt awarii. Można
dokonać aktualizacji każdego kontrolera domeny serwera nazw DNS, a zmiana zostanie
rozpropagowana do innych kontrolerów domen.
Integracja usługi Active Directory ułatwia administrację przestrzeni nazw DNS, obsługując
jednocześnie standardowy transfer stref do serwerów nazw DNS systemów innych niż Windows
2000.
Replikacja wielonarzędna
Informacje aktualizacyjne stref dla stref zintegrowanych z DS są zapisywane w usłudze Active
Directory, a usługa Active Directory jest odpowiedzialna za replikowanie danych. Serwery nazw
DNS uruchomione na innych kontrolerach domen będą zapytywały usługę Active Directory o
aktualizacje. Aktualizacje DNS mogą być zapisywane na dowolnym serwerze DNS
zintegrowanym z DS, a dane są automatycznie replikowane do wszystkich kontrolerów domen
przy użyciu replikacji wielonarzędnej. Z replikacji wielonarzędnej wynika kilka problemów.
Możliwość zapisu w usłudze Active Directory z kilku kontrolerów domen jednocześnie może
powodować sytuacje konfliktowe, ponieważ dokonywane są zmiany tego samego obiektu na
dwóch lub większej liczbie serwerów. Ten konflikt zostaje ostatecznie rozwiązany na korzyść
ostatniej aktualizacji obiektu, w oparciu o znaczniki czasu aktualizacji. Ta sama zasada
obowiązuje w przypadku, kiedy dwa lub większa ilość węzłów o tej samej nazwie zostanie
utworzonych na dwóch lub większej liczbie serwerów DNS. Dopóki konflikt nie zostanie
rozwiązany, a serwer DNS zawierający nieważną aktualizację zapytuje usługę Active Directory o
ważne dane, jest możliwe, że żądania dotyczące tego samego obiektu zgłoszone do dwóch różnych
serwerów DNS zostaną przeanalizowane w różny sposób.
Uwaga! Jeżeli strefa zintegrowana z DS zostaje przekształcona na oryginalny (nie zintegrowany
z DS) plik strefy podstawowej, to serwer DNS ładujący nową strefę podstawową musi być
jedynym podstawowym źródłem pełnomocnictwa dla strefy. Dlatego też przekształcona strefa
musi zostać usunięta z usługi Active Directory — to jest ze wszystkich kontrolerów domen, które
były poprzednio autorytatywne dla strefy. W przeciwnym wypadku replikowane będą
nieaktualne i nieprawidłowe informacje.
Obniżanie czasu zwłoki informacji dotyczących transferu stref
Jeżeli dana strefa DNS została uaktualniona, ale owa aktualizacja musi jeszcze zostać
zreplikowana do innych serwerów nazw DNS, to dla strefy wciąż istnieją serwery nazw
posiadające różne informacje. Aby obniżyć czas zwłoki w propagowaniu zmian do bazy danych
DNS, DNS systemu Windows 2000 wykorzystuje rozszerzenie NOTIFY, które aktywnie
powiadamia serwery nazw o wystąpieniu zmiany. Pakiet NOTIFY, wysyłany przez serwer
nadrzędny, nie zawiera żadnych informacji dotyczących zmian strefy. Po prostu powiadamia on
drugą stronę, że trzeba zainicjować transfer strefy.
Aktualizacje dynamiczne (DDNS)
System DNS był pierwotnie zaprojektowany, aby obsługiwać kwerendy za pomocą bazy danych
skonfigurowanej statycznie, w której częstotliwość zmian miała być niska. W tej sytuacji
wszystkie aktualizacje były implementowane jako zewnętrzne modyfikacje pliku nadrzędnego
strefy podstawowej.
Dynamiczna alokacja adresów IP przy użyciu protokołu DHCP spowodowała, że ręczne
uaktualnianie informacji DNS stało się niewystarczające; innym powodem były wzrastające
rozmiary zarówno intranetów wewnętrznych, jak i Internetu. System Windows NT4 wychodził
naprzeciw temu problemowi poprzez zintegrowanie systemów WINS i DNS, lecz było to co
najwyżej częściowe rozwiązanie, gdyż działanie procesu analizowania opierało się na tym, że
nazwy hostów i nazwy NetBIOS były takie same (lub wystarczająco podobne). W systemie
Windows 2000 automatyczne przedzielanie adresów przez DHCP jest zintegrowane z
aktualizacjami dynamicznymi DNS. Ta funkcja, znana jako
aktualizacja dynamiczna
lub DDNS,
jest zdefiniowana w dokumencie RFC 2136. Dokument ten wprowadza nowy
kod operacji
, czy też
format wiadomości
, zwany AKTUALIZACJĄ.
Komunikat aktualizacji
może dodawać i usuwać
rekordy zasobów z określonej strefy i testować pod kątem warunków wstępnych. Aktualizowanie
jest operacją
niepodzielną
— co oznacza, że muszą być spełnione wszystkie warunki wstępne.
Inaczej nie będzie miała miejsca żadna aktualizacja.
Aktualizacja strefy musi być implementowana na podstawowym serwerze nazw dla tej strefy,
jeżeli aktualizację otrzyma serwer pomocniczy, to jest ona przesyłana poprzez topologię
replikacyjną dopóki nie dotrze do serwera głównego. W strefie zintegrowanej z DS aktualizacja
może być wysłana do dowolnego serwera DNS uruchomionego na kontrolerze domeny, na który
załadowana jest ta strefa. W czasie trwania transferu strefa jest zablokowana i nie może
otrzymywać żadnych aktualizacji. Może to stanowić problem w dużej strefie, która implementuje
DDNS i jest często blokowana w celu dokonania transferu strefy. DNS systemu Windows 2000
wychodzi naprzeciw temu problemowi poprzez kolejkowanie żądań aktualizacji przychodzących
podczas transferu strefy i przetwarzanie ich po zakończeniu transferu strefy.
Każdy host systemu Windows 2000 podejmuje próbę zarejestrowania swoich rekordów A i PTR
poprzez usługę kliencką DHCP. Usługa ta działa na każdym kliencie niezależnie od tego, czy jest
on skonfigurowany jako klient DHCP, czy nie. Algorytm aktualizacji dynamicznej różni się w
zależności od typu klienta dostarczającego informacje rekordu zasobu procesowi aktualizacji
dynamicznej. Klient może być:
• klientem protokołu DHCP,
• klientem skonfigurowanym statycznie,
• klientem usługi dostępu zdalnego (RAS).
Klient protokołu DHCP
Kiedy klient protokołu DHCP systemu Windows 2000 uzyskuje swoje informacje dotyczące
konfiguracji IP, to negocjuje z serwerem DHCP procedurę aktualizacji dynamicznej DNS.
Domyślnie, klient zawsze proponuje, że uaktualni rekord A, natomiast serwer DHCP uaktualni
rekord PTR.
Serwer protokołu DHCP systemu Windows 2000 może być konfigurowany w taki sposób, aby
odpowiadał na dwa możliwe sposoby:
• zawsze aktualizując serwer DNS według żądania klienta (ustawienie domyślne),
• zawsze aktualizując wyszukiwanie w przód i wyszukiwanie wsteczne.
Jeżeli serwer DHCP jest skonfigurowany, aby zawsze aktualizować wyszukiwanie w przód i
wstecz, to uaktualni zarówno rekord A, jak i PTR niezależnie od żądania klienta DHCP.
Jeżeli na serwerze DHCP są wyłączone aktualizacje dynamiczne, to klient DHCP będzie sam
próbował uaktualnić zarówno rekord A, jak i PTR. Rysunek 12.5 przedstawia okno dialogowe
służące do konfigurowania aktualizacji dynamicznych na serwerze DHCP. Narzędzie przystawki
MMC protokołu DHCP (menedżer DHCP) opisane zostało w rozdziale 11.
Rysunek 12.5. Konfigurowanie aktualizacji dynamicznych na serwerze DHCP.
Po upływie dzierżawy adresu IP muszą zostać usunięte związane z nią rekordy A i PTR.
Oczyszczanie dynamiczne wymaga, aby rekordy były usuwane przez hosty — w tym przypadku
przez klienta i/lub serwer DHCP — które je utworzyły. Jeżeli host, który utworzył rekord A lub
PTR, zostanie odłączony od sieci przed upływem dzierżawy DHCP, to odnośne rekordy zasobu
mogą ulec przedawnieniu. Jako że serwer DHCP jest właścicielem adresu IP, zalecane jest, aby
serwery DHCP rejestrowały rekordy PTR, kiedy to tylko możliwe.
W środowisku mieszanym klient protokołu DHCP systemu Windows 2000 może podjąć próbę
negocjowania procedury aktualizacji dynamicznej z serwerem protokołu DHCP systemu Windows
NT4. W takim wypadku klient protokołu DHCP systemu Windows 2000 sam uaktualni zarówno
rekord A, jak i PTR. Jeżeli klient niższego poziomu (na przykład Windows NT4 lub 9x) uzyska
dzierżawę od serwera protokołu DHCP systemu Windows 2000, to serwer zarejestruje w DNS
zarówno rekord A, jak i PTR, pod warunkiem, że wybrana została opcja dokonywania aktualizacji
klientów DHCP niższego poziomu.
Po upływie dzierżawy klienta DHCP serwer protokołu DHCP systemu Windows 2000 usuwa
rekord zasobu PTR klienta. Serwer usuwa również odnośny rekord zasobu A, jeżeli ustawiona jest
opcja Odrzuć wyszukiwania do przodu po wygaśnięciu.
Klient skonfigurowany statycznie
Statycznie skonfigurowany klient systemu Windows 2000 dynamicznie aktualizuje tak rekord A,
jak i PTR przy każdym przeładowaniu, zmianie adresu IP lub zmianie nazwy jego domeny.
Klient usługi RAS
Klient usługi RAS systemu Windows 2000 podejmuje próbę dynamicznej aktualizacji zarówno
rekordu A, jak i PTR oraz wymazania obydwu rekordów przed zamknięciem połączenia. Jeżeli
jednak aktualizacja dynamiczna się nie powiedzie (na przykład serwer DNS nie działał w tym
czasie), lub jeżeli połączenie zdalne nieoczekiwanie „padnie”, to rekord ulega przedawnieniu.
Ponowna rejestracja
DDNS zapewnia pewien poziom odporności na uszkodzenia. Serwer DHCP dokonuje ponownej
rejestracji rekordów zasobu DNS po odnowieniu dzierżawy, a klienty oparte na systemie Windows
2000 dokonują ponownej rejestracji rekordów zasobu co 24 godziny. Ponowna rejestracja
odświeża wszystkie rekordy zasobu, w których pojawiły się błędy od czasu ostatniej rejestracji.
Wskazówka: Parametr
Rejestru
DefaultRegistrationRefreshInterval
określa interwał
pomiędzy rejestracjami klienta. Aby uzyskać szczegóły, odwołaj się do dodatku C.
Konflikty nazw
Jeżeli klient DDNS odkryje, że jego nazwa jest już zarejestrowana w DNS wraz z adresem IP
należącym do innego hosta, to (domyślnie) usuwa istniejącą rejestrację i rejestruje swoje własne
rekordy zasobu. To zachowanie można wyłączyć w
Rejestrze klienta
, skutkiem czego klient nie
rejestruje rekordu zasobu i zapisuje błąd w
Podglądzie zdarzeń
. Oprócz niedogodności
wynikających z konieczności łamania kodu
Rejestru
każdego klienta to rozwiązanie nie jest
zupełnie zadowalające. Zachowanie domyślne usuwa przedawnione rekordy, ale jest narażone na
złośliwe ataki. Zmiana tego zachowania chroni przed atakami, lecz przedawnione rekordy muszą
być usuwane ręcznie. Rozwiązaniem jest wykorzystanie bezpiecznych aktualizacji dynamicznych
(patrz: poniżej), co gwarantuje, że tylko właściciel istniejącego rekordu może go uaktualnić.
Bezpieczna aktualizacja dynamiczna
Strefy zintegrowane z DS mogą być konfigurowane, aby korzystały z bezpiecznej aktualizacji
dynamicznej. Usługa Active Directory utrzymuje listy kontrolne dostępu (ACL) określające grupy
lub użytkowników, którym wolno aktualizować rekordy zasobu w takich strefach. Implementacja
bezpiecznej aktualizacji dynamicznej DNS systemu Windows 2000 wykorzystuje algorytm
zdefiniowany w projekcie IETF
Algorytm GSS dla TSIG (GSS-TSIG)
. Algorytm ten jest oparty na
interfejsie
Generic Security Service Application Program Interface
(GSS-API), określonym w
specyfikacji RFC 2078.
Klient, który podejmuje próbę aktualizacji dynamicznej na serwerze DNS może być
skonfigurowany, aby stosować jedną z następujących metod:
• Najpierw podejmować próbę niezabezpieczonej aktualizacji dynamicznej. Jeśli ta się nie
powiedzie, negocjować bezpieczną aktualizację dynamiczną (ustawienie domyślne).
• Zawsze negocjować bezpieczną aktualizację dynamiczną.
• Podejmować tylko próbę niezabezpieczonej aktualizacji dynamicznej.
Microsoft zaleca metodę domyślną, ponieważ umożliwia ona klientom rejestrację na serwerach
DNS, które nie mają funkcji bezpiecznej aktualizacji dynamicznej.
Listy ACL mogą być określane dla całej strefy lub modyfikowane dla określonych nazw.
Domyślnie każdy uwierzytelniony użytkownik może tworzyć rekordy zasobu A lub PTR w każdej
strefie. Jednak po utworzeniu nazwy użytkownika tylko użytkownicy lub grupy, które są określone
na liście ACL z pozwoleniem zapisu dla tej nazwy, mogą zmieniać odpowiadające jej rekordy.
Choć zazwyczaj spełnia to wymagania, są sytuacje, w których pozwolenia na modyfikowanie
rekordów bezpiecznej aktualizacji dynamicznej mogą być nadawane innym kontom użytkownika
lub komputera. Aby wyjść naprzeciw takim sytuacjom, system Windows 2000 zapewnia grupy
zabezpieczeń
DnsUpdateProxy
oraz
DnsAdmins
.
Grupa DnsUpdateProxy
W środowisku mieszanym serwer DHCP może być konfigurowany tak, aby rejestrował
dynamicznie rekordy A i R dla klientów niższego poziomu. W tej sytuacji domyślna konfiguracja
bezpiecznej aktualizacji dynamicznej może powodować przedawnienie rekordów. Kiedy serwer
DHCP dokona bezpiecznej aktualizacji dynamicznej danej nazwy, staje się on właścicielem tej
nazwy. Gdyby później ów serwer DHCP „padł”, to rezerwowy serwer DHCP nie mógłby
uaktualnić rekordu, ponieważ go nie posiada. Również gdyby klient dolnego poziomu został
później uaktualniony do systemu Windows 2000, to nie mógłby uaktualnić swoich własnych
rekordów zasobu, ponieważ ich nie posiada.
Naprzeciw temu problemowi wychodzi zastosowanie grupy zabezpieczeń
DnsUpdateProxy
.
Żaden obiekt utworzony przez członka tej grupy nie posiada żadnych zabezpieczeń, a pierwsza
jednostka, która nie jest członkiem tej grupy i uzyska dostęp do tego obiektu, staje się jego
właścicielem. Każdy serwer DHCP, który rejestruje rekordy A dla klientów dolnego poziomu
zostaje umieszczony w grupie
DnsUpdateProxy
. Serwery te tworzą rekordy, lecz ich nie posiadają,
więc problem zostaje wyeliminowany.
Jednakże takie rozwiązanie sprawia, że wszelkie nazwy DNS zarejestrowane przez serwer DHCP
w grupie
DnsUpdateProxy
są niezabezpieczone. Jest to szczególnie istotne, jeżeli usługa DHCP
jest zainstalowana na kontrolerze domeny. W takim przypadku wszystkie rekordy SRV, A oraz
CNAME zarejestrowane przez usługę Netlogon dla tego kontrolera domeny są niezabezpieczone.
Aby zminimalizować ten problem, Microsoft zaleca, aby serwery DHCP, szczególnie w
środowisku mieszanym, nie były instalowane na kontrolerach domen. Następnym argumentem
przemawiającym przeciwko instalowaniu usługi DHCP na kontrolerze domeny jest to, że daje ona
serwerowi DHCP pełną kontrolę nad wszystkimi obiektami DNS przechowywanymi w usłudze
Active Directory, ponieważ serwer DHCP działa pod kontem komputera (kontrolera domeny).
Grupa DnsAdmins
Grupa
DnsAdmins
ma, domyślnie, pełną kontrolę nad wszystkimi strefami i rekordami w domenie
systemu Windows 2000. Ta grupa zabezpieczeń pozwala administratorowi domeny delegować
administrację DNS bez przyznawania członkom grup przywilejów administracyjnych do innych
usług i zasobów.
Wskazówka: Procedury służące dodawaniu kont do grup
DnsUpdateProxy
oraz
DnsAdmins
są
opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału.
Przedawnienie i oczyszczanie rekordów
Jeżeli używasz aktualizacji dynamicznych, to rekordy są automatycznie dodawane do strefy przy
dodawaniu komputerów i kontrolerów domen. W niektórych przypadkach nie są one
automatycznie aktualizowane i mogą ulegać przedawnieniu. Przedawnione rekordy zasobów
zajmują przestrzeń na serwerze i mogą podawać nieprawidłowe informacje w odpowiedzi na
kwerendę. DNS systemu Windows 2000
oczyszcza
przedawnione rekordy. Można określić rekordy
które
muszą
być oczyszczone, jeśli ulegną przedawnieniu, strefy, które mają być oczyszczone oraz
serwery oczyszczające te strefy.
Uwaga! Nie włączaj oczyszczania, jeżeli nie masz pewności, że rozumiesz wszystkie
parametry. W przeciwnym wypadku mogłoby się zdarzyć, że skonfigurujesz serwer tak, aby
usuwał ważne rekordy, które powinien zachowywać.
Mechanizm oczyszczania jest domyślnie wyłączony. Można ręcznie włączać lub wyłączać
oczyszczanie osobno dla każdego serwera, każdej strefy, lub każdego rekordu. Jeżeli włączysz
oczyszczanie w rekordzie, który nie jest aktualizowany dynamicznie, to ów rekord zostanie
usunięty, chyba że jest okresowo odświeżany.
Jeżeli włączysz oczyszczanie w standardowej strefie, a oczyszczanie było poprzednio wyłączone,
to serwer nie oczyszcza rekordów, które istniały, zanim zostało włączone oczyszczanie. Aby
włączyć oczyszczanie takich rekordów, skorzystaj z programu usługowego
dnscmd
, dostarczanego
z zestawem Windows 2000 Resource Kit. Aby uzyskać więcej informacji, wejdź do witryny
internetowej
http://windows.microsoft.com/windows2000/reskit
.
Serwer DNS systemu Windows 2000 wykorzystuje znacznik czasu oraz konfigurowalne
parametry oczyszczania, aby określać, kiedy ma oczyszczać rekordy. Parametry oczyszczania
można konfigurować osobno dla każdej strefy lub dla każdego serwera.
Parametry oczyszczania dla strefy
Parametry przedawniania i oczyszczania, które można konfigurować osobno dla każdej strefy to:
•
Interwał braku odświeżania
— okres, kiedy serwer nie przyjmuje odświeżeń dla rekordu,
który następuje po ostatnim odświeżeniu znacznika czasu rekordu. W czasie trwania
interwału odświeżania
, serwer nadal przyjmuje aktualizacje. Kiedy zostaje utworzona
strefa zintegrowana z DS, ten parametr jest ustawiany na parametr serwera DNS
DefaultNoRefreshInterval
.
•
Interwał odświeżania
— okres, kiedy serwer przyjmuje odświeżenia, który następuje po
upływie
interwału braku odświeżania
. Po upływie
interwału odświeżania
, serwer DNS
może oczyszczać rekordy, które nie zostały odświeżone podczas lub po zakończeniu
interwału odświeżania. Kiedy zostaje utworzona strefa zintegrowana z DS, parametr ten
jest ustawiany na parametr serwera
DefaultRefreshInterval
.
•
Włączanie odświeżania
— wskazuje, czy dla rekordów w danej strefie włączone jest
przedawnienie i oczyszczanie. Kiedy zostaje utworzona strefa zintegrowana z DS, ten
parametr jest ustawiany na parametr serwera DNS
DefaultEnableScavenging
.
•
serwery oczyszczające
— określa, które serwery mogą oczyszczać rekordy w danej
strefie. Ten parametr nie jest konfigurowalny przy użyciu narzędzia przystawki MMC
systemu DNS, ale można go konfigurować za pomocą programu usługowego
dnscmd
.
Wskazówka: Parametr
StartScavenging
nie jest bezpośrednio konfigurowalny, lecz
ustawiany podczas procesu oczyszczania. Algorytm oczyszczania dla tego procesu opisany jest
w dalszej części tego podrozdziału.
Parametry przedawnienia i oczyszczania dla serwera
Parametry przedawnienia i oczyszczania dla serwera określają parametry domyślne dla wszelkich
stref utworzonych na tym serwerze. Są to następujące parametry:
•
DefaultNoRefreshInterval
— określa
interwał braku odświeżania
stosowany
domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten
ustawia się w oknie
Interwał braku odświeżania
w konsoli DNS. Ustawienie domyślne to
7 dni.
•
DefaultRefreshInterval
— określa
interwał odświeżania
stosowany domyślnie dla
strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten ustawia się w
oknie
Interwał odświeżania w konsoli DNS
. Ustawienie domyślne to 7 dni.
•
DefaultEnableScavenging
— określa parametr
włączanie odświeżania
stosowany
domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten
włącza się (ustawia na
1
) poprzez zaznaczenie pola wyboru
Włącz odświeżanie
w
konsoli. Ustawienie domyślne to
0
(wyłączone),
•
EnableScavenging
— określa, czy dany serwer DNS może oczyszczać przedawnione
rekordy. Jeżeli na serwerze jest włączone oczyszczanie, to automatycznie oczyszcza on
rekordy z częstotliwością określoną przez parametr
ScavengingPeriod
. Parametr
EnableScavenging
włącza się (ustawia na
1
) poprzez zaznaczenie pola wyboru
Włącz
automatyczne oczyszczanie starych rekordów
na zakładce
Zaawansowane
konsoli DNS.
Ustawienie domyślne to
0
(wyłączone).
•
ScavengingPeriod
— określa, jak często dany serwer DNS wykonuje oczyszczanie.
Parametr ten ustawia się w polu
Okres oczyszczania
na zakładce
Zaawansowane
konsoli
DNS. Ustawienie domyślne to 7 dni.
Algorytm oczyszczania
Można skonfigurować serwer w taki sposób, aby przeprowadzał oczyszczanie w regularnych
interwałach, a oczyszczanie można również wyzwalać ręcznie. Serwer podejmuje próbę
oczyszczenia wszystkich stref podstawowych, o ile spełnione są następujące warunki:
• parametr
EnableScavenging
jest ustawiony na
1
zarówno dla serwera, jak i dla strefy;
• w strefie jest włączona aktualizacja dynamiczna;
• parametr
ScavengingServers
jest albo nieokreślony, albo zawiera adres IP serwera;
• aktualny czas jest większy niż wartość w parametrze strefy
StartScavenging
.
Serwer ustawia czas w parametrze
StartScavenging
, kiedy wystąpi jedno z następujących
zdarzeń:
• zostanie włączona aktualizacja dynamiczna;
• parametr strefy
EnableScavenging
zostanie zmieniony z
0
na
1
;
• strefa zostanie załadowana;
• strefa zostanie wznowiona.
Czas w parametrze
StartScavenging
jest równy czasowi, w którym występuje zdarzenie
wyzwolenia plus okres czasu określony w interwale odświeżania dla danej strefy. Zapobiega to
oczyszczeniu strefy oraz utracie ważnych rekordów, ponieważ strefa nie jest dostępna — na
przykład, kiedy strefa jest wstrzymana lub serwer jest w trybie offline.
Kiedy dany serwer oczyszcza strefę, to sprawdza wszystkie rekordy w strefie. Jeżeli znacznik
czasu któregoś rekordu nie wynosi zero, a aktualny czas jest późniejszy niż czas określony w
znaczniku czasu plus interwały braku odświeżania oraz odświeżania dla danej strefy, to rekord
zostaje usunięty.
Konfigurowanie oczyszczania
Jeżeli korzystasz z usługi DHCP systemu Windows 2000, to domyślne wartości oczyszczania i
przedawnienia są zazwyczaj możliwe do przyjęcia. Jeśli z kolei używasz innego źródła protokołu
DHCP (takiego jak serwer DHCP systemu Windows NT4), to możesz być zmuszony do
zmodyfikowania ustawień domyślnych. Jeżeli zdecydujesz się na rekonfigurację parametrów
oczyszczania, upewnij się, że interwał odświeżania jest większy niż okres odświeżania dla
każdego z rekordów podlegających oczyszczaniu w obrębie danej strefy. To z kolei gwarantuje, że
żadne rekordy nie zostaną usunięte, zanim klient aktualizacji dynamicznej będzie miał czas, aby je
odświeżyć. Wiele różnych usług może odświeżać rekordy w różnych interwałach. Na przykład:
• usługa Netlogon odświeża rekordy raz na godzinę;
• serwery klastra zazwyczaj odświeżają rekordy co 15 do 20 minut;
• serwery DHCP odświeżają rekordy za każdym razem, kiedy tylko zostają odnowione
dzierżawy adresów IP;
• hosty systemu Windows 2000 odświeżają swoje rekordy zasoby A i PTR co 24 godziny.
Im dłuższe interwały braku odświeżania i odświeżania ustawisz, tym dłużej będą pozostawać
przedawnione rekordy. Dlatego też powinieneś ustawić najkrótsze interwały odświeżania, jakie
tylko mieszczą się w granicach rozsądku. Jeżeli jednak ustawisz zbyt krótki interwał braku
odświeżania, to możesz spowodować niepotrzebną replikację usługi Active Directory.
Przyrostowy transfer strefy
AXFR nie jest wydajnym środkiem propagowania zmian dokonanych w strefie, ponieważ
dokonuje transferu całego pliku strefy. IXFR dokonuje transferu samych tylko zmian w informacji
strefy i w związku z tym, jest mechanizmem bardziej wydajnym. IXFR, zdefiniowany w
specyfikacji RFC 1995, jest implementowany w DNS systemu Windows 2000. Działa on w
następujący sposób:
1. Klient IXFR inicjuje transfer strefy wysyłając komunikat IXFR, zawierający w rekordzie
SOA numer seryjny jego kopii strefy.
2. Serwer IXFR, który odpowie na żądanie IXFR, zapamiętuje rekord najnowszej wersji
strefy oraz pliki zawierające różnice pomiędzy tą kopią a kilkoma starszymi wersjami. Z
przyczyn wydajnościowych, jedynie pewna ograniczona liczba niedawnych zmian
dokonanych w strefie jest trzymana na serwerze. Kiedy zostanie otrzymane żądanie IXFR
mające starszy numer seryjny, to serwer IXFR wysyła tylko te zmiany, które są
wymagane, aby wersja klienta IXFR stała się aktualna.
Pełny transfer strefy może być implementowany w następujących przypadkach:
• liczba zmian jest większa niż liczba rekordów w całej strefie;
• numer seryjny klienta jest niższy niż ten, który znajduje się na serwerze jako
jego najstarszy rekord zmian;
• serwer nazw, który odpowiada na żądanie IXFR, nie rozpoznaje typu kwerendy
(to znaczy serwer nie jest serwerem IXFR). W takim wypadku klient IXFR
automatycznie inicjuje AXFR.
Rysunek 12.6 przedstawia mechanizm IXFR.
Zmiany
numeru
seryjnego
20
Serwer
podległy
Numer
seryjny 19
Pliki dziennika
Strefy
Zmiany numeru seryjnego 19
IXFR
Zmiany
numeru
seryjnego
20
Zmiany numeru seryjnego 18
IXFR
Zmiany
numeru
seryjnego
20
Serwer
podległy
Plik
całej strefy
Zmiany numeru seryjnego 19
Numer
seryjny 20
Serwer nadrzędny
Numer seryjny 20
IXFR
Pełny transfer strefy
Serwer
podległy
Numer
seryjny 15
Rysunek 12.6. Przyrostowy transfer strefy
W środowisku zintegrowanym z DS zmiany strefy DNS mogą być dokonywane na każdym
serwerze nadrzędnym. Dlatego też różne serwery nadrzędne zawierają zmiany strefy zastosowane
w różnej kolejności. Powoduje to problemy, kiedy nadrzędny serwer IXFR, który poprzednio
dostarczył zmiany strefy klientowi IXFR, nie jest aktualnie dostępny. Jeżeli klient IXFR wybierze
inny serwer nadrzędny, który ma zmiany strefy zastosowane w innej kolejności, to integralność
strefy klienta IXFR może zostać naruszona po transferze przyrostowym. W takim przypadku
klient IXFR inicjujący transfer strefy zażąda AXFR.
Analizator buforowania
DNS systemu Windows 2000 wprowadza
analizator buforujący
strony klienckiej dla celów
analizowania nazw DNS.
Analizator buforujący
to usługa systemu Windows 2000, która poprawia
wydajność wyszukiwania nazw i zmniejsza ruch sieciowy związany z wyszukiwaniem nazw,
poprzez zminimalizowanie liczby podróży analiz nazw w obie strony. Działa on w kontekście
menedżera kontroli usług i można go włączać i wyłączać, jak każdą inną usługę.
Analizator buforujący Windows 2000 DNS zawiera następujące funkcje:
• Ogólne buforowanie kwerend.
• Buforowanie negatywne.
• Usuwanie nazw poprzednio przeanalizowanych z bufora w oparciu o potwierdzenie
negatywne.
• Śledzenie tymczasowych kart sieciowych (
Plug and Play
) oraz ich konfiguracji IP.
• Utrzymywanie rejestru nazw domen każdej z kart.
• Zarządzanie nie reagującymi serwerami nazw.
• Ustalanie priorytetów wielu rekordów A zwracanych z serwera DNS w oparciu o ich
adres IP. Jeżeli analizator wyśle kwerendę określającą priorytety, to serwer DNS znajdzie
rekordy A z adresami IP z sieci, z którą analizator jest bezpośrednio połączony i umieści
je jako pierwsze w swojej odpowiedzi. Ta funkcja uniemożliwia właściwe działanie
rotacji
round-robin
i można ją wyłączyć za pomocą parametru
Rejestru
PrioritizeRecordData
. Aby uzyskać szczegóły, odwołaj się do dodatku C.
Rotacja
round-robin
Rotacja
round-robin
to przydzielanie wielu adresów IP temu samemu hostowi w bazie danych
DNS. Zazwyczaj jest ona wykorzystywana w przypadku usług o częstym dostępie, takich jak
internetowe usługi informacyjne (IIS). Jeżeli twoja strona główna znajduje się na kilku
serwerach IIS, to możesz im wszystkim przypisać ten sam alias, a następnie połączyć z nim
wszystkie ich adresy IP. Zapewnia to wyrównanie obciążenia i zabezpieczenie w postaci
przejmowania zadań przez serwer rezerwowy.
• Przyjmowanie odpowiedzi od adresów IP nie podlegających kwerendzie. Ta funkcja jest
domyślnie włączona i można ją wyłączyć za pomocą parametru
Rejestru
QueryIpMatching
. Aby uzyskać szczegóły, odwołaj się do dodatku C.
• Automatyczne przeładowywanie uaktualnionego pliku hostów lokalnych do bufora
analizatora. Jak tylko zmieni się plik hostów, bufor analizatora zostaje uaktualniony.
• Inicjowanie przeterminowania awarii sieci. Jeżeli wszystkie kwerendy analizatora ulegają
przeterminowaniu, to zakłada on, iż miała miejsce awaria sieci i nie przesyła żadnych
kwerend przez pewien okres czasu (domyślnie 30 sekund). Ów okres czasu określa się
przy użyciu parametru
Rejestru
NetFailureCacheTime
. Ustawienie tego parametru na
0
wyłącza funkcję. Aby uzyskać szczegóły, odwołaj się do dodatku C.
Jeśli serwer nazw DNS nie odpowie na kwerendę, to przesuwa się w dół listy priorytetów.
Zapobiega to wielokrotnym kwerendom nie reagującego serwera. Jeżeli serwer, który poprzednio
nie odpowiedział, zostanie wypróbowany drugi raz i udzieli odpowiedzi, to przesuwa się z
powrotem w górę listy priorytetów.
Buforowanie negatywne
Buforowanie negatywne to zapamiętywanie faktu, iż żądane informacje nie istnieją. Jest ono
przydatne, ponieważ skraca czas odpowiedzi dla odpowiedzi negatywnych. Zmniejsza ono
również liczbę komunikatów, które muszą być przesyłane pomiędzy analizatorami a serwerami
nazw, jak również ruch generowany przez te komunikaty.
Implementacja buforowania negatywnego w systemie Windows 2000 opiera się na specyfikacji
RFC 2308. Ustawienie parametru
Rejestru
NegativeCacheTime
na
0
wyłącza buforowanie
negatywne. Aby uzyskać szczegóły, odwołaj się do dodatku C.
Wyłączanie analizatora buforującego
Analizator buforujący wyłącza się przy użyciu jednej z dwóch metod:
• wpisanie
net stop dnscache
w wierszu polecenia. Wyłącza to wszystkie funkcje
analizatora buforującego, co prowadzi do analizowania nazw w taki sposób, jak w
systemie Windows NT4;
• ustawienie parametru
Rejestru
MaxCacheEntryTtlLimit
na
0
(Aby uzyskać szczegóły,
odwołaj się do dodatku C). Wartość tego parametru określa maksymalną ilość czasu,
przez jaki buforowane jest wyszukiwanie, na które udzielono pozytywnej odpowiedzi.
Ustawienie tej wartości na
0
eliminuje buforowanie rekordów zasobu, ale nie wyłącza
porządkowania serwerów nazw DNS ani obsługi
Plug and Play
.
Obsługa znaków Unicode
Pierwotnie nazwy DNS były ograniczone do zestawu znaków określonego w dokumentach RFC
952 i 1123 — to jest a – z, 0 – 9 oraz kilku dodatkowych znaków. Nazwy NetBIOS mogą
wykorzystywać znacznie szerszy zestaw znaków niż oryginalne nazwy DNS. Przewidywano, że
różnica w zestawach znaków wykorzystywanych przez te dwie usługi nazw będzie stanowić
problem przy aktualizacji nazw NetBIOS systemu Windows NT4 do nazw DNS
wykorzystywanych w systemie Windows 2000. Nie uważano za praktyczne usuwać wszystkich
nazw NetBIOS systemu Windows 2000, aby dostosować się do istniejących wtedy standardów
DNS. Zamiast tego rozszerzono zestaw znaków DNS.
Dokument RFC 2181 powiększa zestaw znaków dozwolonych w nazwach DNS. Określa on, że
etykieta DNS może być dowolnym ciągiem binarnym, który nie musi być koniecznie
interpretowany jako ASCII. DNS systemu Windows 2000 obsługuje zestaw znaków UTF-8 w
sposób opisany w dokumencie RFC 2044. Jest to nadzbiór ASCII i translacja kodowania znaków
UCS-2 (lub Unicode). Zestaw znaków UTF-8 zawiera znaki pochodzące z większości
zapisywanych języków, co pozwala na dużo większy zakres możliwych nazw, a także pozwala
nazwom korzystać ze znaków związanych z określonym regionem.
Uwaga! Należy zachować ostrożność przy implementowaniu systemu DNS korzystającego z
kodowania UTF-8, ponieważ niektóre protokoły nakładają ograniczenia w kwestii znaków
dozwolonych w nazwie. Poza tym nazwy, które mają być widoczne globalnie (odwołaj się[PO13]
do dokumentu RFC 1958), powinny zawierać tylko znaki określone w dokumencie RFC 1123.
Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub
wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy.
Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8,
lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z
pliku strefy. Należy zachować szczególną ostrożność przeprowadzając transfer strefy zawierającej
nazwy UTF-8 do innego serwera. Należy sprawdzić, czy serwer docelowy obsługuje UTF-8. Jeżeli
nie, to należy sprawdzić, czy wszystkie rekordy zostały przesłane prawidłowo. Jeżeli wystąpią
problemy, może się okazać konieczne wyłączenie znaków UTF-8.
Udoskonalony lokalizator domen
Lokalizator domen systemu Windows 2000 implementowany jest w usłudze
Netlogon
. Pozwala on
klientowi zlokalizować kontroler domeny i zawiera lokalizatory zgodne z IP/DNS oraz z
systemem Windows NT4. Zapewnia to współdziałanie w środowisku mieszanym.
Algorytm lokalizacji DC implementowany jest w następujący sposób:
1. Klient zbiera informacje potrzebne do wybrania kontrolera domeny. Mogą one zawierać:
1. nazwę domeny DNS domeny Active Directory klienta;
2. globalnie unikatowy identyfikator (GUID) domeny, wobec której przeprowadzana
jest kwerenda. Zazwyczaj jest on znany tylko wtedy, jeżeli domena, wobec której
przeprowadzana jest kwerenda, jest podstawową domeną klienta. Jeżeli GUID
domeny nie jest znany, to pozostaje pusty;
3. nazwa witryny. Jest ona uzyskiwana z poprzedniej kwerendy lub informacji
dotyczących ręcznej konfiguracji witryny. Jeżeli żadne z powyższych źródeł nie jest
dostępne, to nazwa witryny pozostaje pusta.
2. Usługa
NetLogon
wywołuje serwer DNS przy użyciu lokalizatora zgodnego z IP/DNS.
3. DNS
wywołuje usługę
DnsQuery
, określając kryteria wyboru podane w kroku 1.
4. Usługa albo dostarcza listę jednego lub większej liczby kontrolerów domen, które
spełniają kryteria, albo zwraca komunikat, iż kontroler domeny nie może zostać
zlokalizowany.
5. Lokalizator zgodny z IP/DNS przeprowadza ping kontrolerów domen w losowej
kolejności (aby zaimplementować wyrównywanie obciążenia) i czeka na odpowiedź
przez 100 milisekund. Pingowanie przeprowadzane jest dalej, do momentu, kiedy
zostanie otrzymana pozytywna odpowiedź lub zostaną wypróbowane wszystkie
kontrolery domen.
6. Kiedy kontroler domeny odpowie na ping, to parametry dostarczone w odpowiedzi
zostają porównane z parametrami potrzebnymi klientowi. Jeżeli informacje się nie
zgadzają, odpowiedź zostaje zignorowana.
7. Pierwszy kontroler domeny, który odpowie na ping i zaspokoi wymagania klienta, zostaje
przez niego zastosowany.
8. Jeżeli komputer, na którym jest uruchomiona usługa NetLogon, nie jest skonfigurowana,
aby korzystać z lokalizatora zgodnego z IP/DNS lub jeżeli IP/DNS nie zdoła odkryć
kontrolera domeny, usługa NetLogon przeprowadza odnajdywanie kontrolera domeny
przy użyciu lokalizatora domeny zgodnego z systemem Windows NT4 — to jest przy
użyciu emisji lub usługi WINS.
9. Informacje
dotyczące kontrolera domeny zostają zwrócone do klienta.
10. Usługa NetLogon buforuje odnaleziony kontroler domeny, aby wspomóc analizowanie
przyszłych żądań.
Współdziałanie
DNS systemu Windows 2000 w pełni współpracuje ze wszystkimi innymi serwerami DNS
zgodnymi z RFC. Jednakże w środowisku mieszanym z serwerami innych firm niż Microsoft
niektóre z funkcji dodatkowych oferowanych przez DNS systemu Windows 2000 mogą
wywoływać pewne problemy związane ze współdziałaniem. Szczególnie rekordy WINS i WINS-
R nie są obsługiwane przez implementacje DNS innych firm niż Microsoft; może również nie być
rozpoznawany zestaw znaków UTF-8.
Rekordy WINS i WINS-R
Obecnie tylko serwery DNS firmy Microsoft obsługują rekordy zasobu WINS i WINS-R.
Microsoft zaleca wyłączenie replikacji tych rekordów, jeżeli przynajmniej jedna ze stref
pomocniczych rezyduje na serwerze nazw innej firmy niż Microsoft. Implikuje to, że rekordy
zasobu nie będą replikowane do stref pomocniczych rezydujących na pomocniczych serwerach
nazw DNS firmy Microsoft i że wymagane jest wprowadzanie ręczne.
Format znaków UTF-8
Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub
wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy.
Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8,
lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z
pliku strefy. Dlatego też może się okazać konieczne wyłączenie UTF-8, jeżeli wtórne serwery
nazw DNS go nie obsługują.
Dane niezgodne z dokumentami RFC
Jeżeli serwer nazw DNS systemu Windows 2000 obsługuje strefę wtórną i otrzymuje rekordy
zasobu niezgodne z RFC, to pomija te rekordy i kontynuuje replikację strefy. Opuszcza również
cykliczne rekordy CNAME (X to alias dla Y, a Y to alias dla X) jeżeli je otrzyma.
Rozwiązania natychmiastowe
Instalowanie i konfigurowanie systemu DNS
System DNS można instalować na serwerze członkowskim domeny. Jeżeli jednak chcemy
skorzystać z integracji usług Active Directory, to należy go zainstalować na kontrolerze domeny.
Po zainstalowaniu, można konfigurować serwer według własnych potrzeb. Poniższe procedury
zakładają, że wszystkie serwery, na których instalujesz i konfigurujesz DNS, mają statyczne
konfiguracje IP. Jest to praktyka zalecana.
Instalowanie DNS
Aby zainstalować DNS, wykonaj następujące czynności:
1. Zaloguj
się na serwerze jako administrator.
2. Wejdź do
Start|Ustawienia
i wybierz
Panel sterowania
.
3. Dwukrotnie
kliknij
Dodaj/Usuń programy
.
4. Kliknij
Dodaj/Usuń składniki systemu Windows
, aby uruchomić
Kreatora składników
systemu
Windows.
5. Wybierz
Usługi sieciowe
i kliknij
Szczegóły
.
6. Zaznacz
System DNS (Domain Name System)
i kliknij
OK
.
7. Kliknij
Dalej
.
8. Jeśli zostaniesz o to poproszony, włóż CD-ROM Windows 2000 lub wpisz ścieżkę do
plików dystrybucyjnych systemu Windows 2000, a następnie kliknij przycisk
Kontynuuj
.
9. Kliknij
Zakończ
i zamknij okno
Dodaj/Usuń programy
.
Wskazówka: Microsoft zaleca przeładowanie serwera po zainstalowaniu systemu DNS. System
działa wprawdzie bez przeładowania, jednak przeładowanie jest na tym etapie wskazane.
Konfigurowanie świeżo zainstalowanego serwera nazw DNS
Po zainstalowaniu systemu DNS należy skonfigurować serwer nazw DNS. Służąca do tego celu
procedura przedstawia się następująco:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Kliknij serwer prawym przyciskiem myszy i wybierz
Konfiguruj serwer
.
4. Kiedy pojawi się
Kreator konfiguracji serwerów DNS
, kliknij
Dalej
.
5. Zaczekaj,
aż serwer zbierze informacje konfiguracyjne. Może to chwilę potrwać.
6. Określ czy jest to pierwszy serwer DNS w sieci, czy nie. Jeżeli w sieci działa już jeden
lub większa liczba serwerów DNS, to musisz podać adres IP jednego z nich. Kliknij
Dalej
.
7. Wybierz
Tak, utwórz strefę wyszukiwania do przodu
(chyba że masz ważny powód, aby
postąpić inaczej). Kliknij
Dalej
.
8. Wybierz czy twój serwer nazw DNS ma być zintegrowany z usługą Active Directory
(tylko kontrolery domeny), czy ma być podstawowym serwerem standardowym, czy też
pomocniczym serwerem standardowym. O ile to możliwe, zaleca się zainstalowanie
systemu DNS na kontrolerze domeny i zintegrowanie go z usługą Active Directory.
Kliknij
Dalej
.
Wskazówka: Strefa zintegrowana z usługą Active Directory to to samo, co strefa zintegrowana z
DS. To nazewnictwo jest tutaj stosowane dlatego, że jest ono wykorzystywane w oknach
dialogowych.
9. Wpisz
nazwę strefy. Kliknij
Dalej
.
10. Jeżeli określisz standardowy pomocniczy serwer nazw, to zostaniesz poproszony o adres
IP serwera dostarczającego informacje dotyczące strefy. Użyj przycisku
Dodaj
, aby
dodać jeden lub więcej serwerów w preferowanej kolejności. Kliknij
Dalej
.
11. Wybierz czy utworzyć strefę wyszukiwania wstecznego, czy nie. Powszechną praktyką
jest utworzenie takiej strefy. Kliknij
Dalej
.
12. Wybierz typ strefy, którą chcesz utworzyć. Jeżeli to możliwe, to zaleca się
przechowywanie strefy w usłudze Active Directory.
13. Jeżeli zdecydujesz się utworzyć strefę wyszukiwania w tył, to zostaniesz poproszony o
nazwę strefy lub identyfikator sieci (ID). Wpisz odnośne informacje i kliknij
Dalej
.
14. Jeżeli konfigurujesz pomocniczy serwer standardowy, to zostaniesz poproszony o
określenie serwera (serwerów) DNS, z których chcesz skopiować informacje dotyczące
strefy wyszukiwania wstecznego. Ten krok jest podobny do kroku 10. Kiedy skończysz,
kliknij
Dalej
.
15. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij
Zakończ
.
16. Zamknij konsolę.
Dodawanie pomocniczego serwera DNS do istniejącej strefy
Jeżeli instalujesz system DNS na serwerze (zazwyczaj nie będącym kontrolerem domeny), który
już ma w swojej sieci inny serwer nazw DNS, to możesz skonfigurować nowo zainstalowany
serwer jako pomocniczy serwer nazw DNS przy użyciu poprzedniej procedury.
Czasami jednak może się zdarzyć, że masz już w sieci skonfigurowane dwa serwery nazw DNS,
oba prawdopodobnie będące serwerami podstawowymi dla oddzielnych stref i chcesz uczynić
jeden z nich serwerem pomocniczym dla strefy podstawowej drugiego. Ta procedura dodaje strefę
do serwera nazw DNS jako strefę pomocniczą.
Poniższą procedurę przeprowadza się zazwyczaj z tego komputera, który ma pełnić funkcję
pomocniczego serwera nazw DNS. Jeżeli wolisz, to możesz przeprowadzić tę procedurę z
podstawowego serwera nazw DNS. Aby to zrobić, wejdź do przystawki systemu DNS, prawym
przyciskiem myszy kliknij ikonę DNS u podstawy drzewa konsoli i wybierz
Dodaj komputer
, aby
dodać nowy serwer DNS do konsoli. Pozwoli ci to administrować obydwoma serwerami nazw
DNS z tej samej konsoli. (Możesz również dodać podstawowy serwer nazw DNS do konsoli DNS
na pomocniczym serwerze DNS przy użyciu tej samej techniki).
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Kliknij prawym przyciskiem myszy odpowiedni serwer i wybierz
Nowa strefa
.
4. Uruchomi
się
Kreator nowej strefy
. Kliknij
Dalej
.
5. Wybierz
Pomocnicza standardowa
. Kliknij
Dalej
.
6. Wybierz albo strefę wyszukiwania do przodu, albo strefę wyszukiwania wstecz, w
zależności od tego typu strefy pomocniczej, którą chcesz utworzyć. Jeżeli chcesz
utworzyć pomocniczą dla obu typów stref, to musisz przeprowadzić procedurę
dwukrotnie. Kliknij
Dalej
.
7. Wpisz
nazwę strefy lub użyj przycisku
Przeglądaj
. Kliknij
Dalej
.
8. Określ serwer DNS, z którego chcesz kopiować informacje dotyczące strefy. Zazwyczaj
jest to podstawowy serwer nazw DNS, ale niekoniecznie. Możesz, jeżeli chcesz, określić
już istniejący pomocniczy serwer nazw DNS jako swój serwer nadrzędny. Kliknij
Dodaj
.
9. Opcjonalnie
możesz powtórzyć krok 8, aby określić kilka serwerów nazw DNS w
preferowanej kolejności. Kiedy zakończysz, kliknij
Dalej
.
10. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij
Zakończ
.
11. Zamknij konsolę.
Dodawanie nowej strefy
Ostatnia procedura wykorzystywała
Kreatora nowej strefy
, aby dodać strefę, która już istnieje na
jednym serwerze nazw DNS, do drugiego serwera nazw DNS, który wtedy pełni rolę
pomocniczego. Można również wykorzystać tę samą procedurę, aby dodać nową strefę do serwera
nazw DNS. W tym przypadku strefa może być zintegrowana z usługą Active Directory (na
kontrolerze domeny) lub podstawowa standardowa; może też być strefą wyszukiwania w przód,
albo strefą wyszukiwania wstecznego. Wszystko, co jest potrzebne oprócz tych informacji, to
nazwa dla strefy.
Instalowanie tylko buforującego serwera DNS
Tylko buforujące serwery nazw DNS nie pełnią funkcji hostów żadnych stref. Budują one lokalny
bufor nazw poznanych w czasie przeprowadzania kwerend rekursywnych w imieniu swoich
klientów. Informacje te są potem dostępne w buforze w czasie odpowiadania na późniejsze
kwerendy klienckie.
Procedura instalowania serwera tylko buforującego jest bardzo prosta:
1. Zainstaluj system DNS w sposób opisany w procedurze
Instalowanie DNS
.
2. Nie rób nic więcej. Serwer nazw DNS, który nie jest skonfigurowany, domyślnie pełni
rolę serwera tylko buforującego.
Konfigurowanie serwera DNS, aby korzystał z usług przesyłania dalej
Usługi przesyłania dalej to serwery DNS, które dostarczają usług rekursywnych dla innych
serwerów DNS. Kiedy usługi przesyłania dalej są określone, to podejmują one próbę
przeanalizowania wszelkich nazw DNS, na które nie może odpowiedzieć żądający serwer.
Aby skonfigurować serwer DNS, żeby korzystał z usług przesyłania dalej, wykonaj następujące
czynności:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Wybierz odpowiedni serwer (nie serwer główny), kliknij go prawym przyciskiem myszy i
wybierz
Właściwości
.
4. Na
zakładce
Usługi przesyłania dalej
zaznacz pole wyboru
Włącz usługi przesyłania
dalej
. Jeżeli jest to potrzebne, możesz określić kilka usług przesyłania dalej w kolejności
pierwszeństwa.
5. Albo zaznacz pole wyboru
Nie używaj rekursji
, albo określ
Limit czasu przesyłania dalej
w sekundach. W tym pierwszym wypadku serwer nie będzie podejmował prób kwerend
iteracyjnych. W drugim przypadku podejmie próbę iteracyjnej analizy nazwy, jeżeli
przekroczy ona limit czasu bez odpowiedzi ze strony jej usługi przesyłania dalej.
6. Kliknij
OK
. Zamknij konsolę.
Delegowanie administracji DNS
Można delegować administrację DNS poprzez dodawanie użytkowników lub grup do grupy
zabezpieczeń DnsAdmins. Członkowie tej grupy mają prawo wykonywać zadania administracji
DNS i nie mają żadnych innych praw na poziomie administracyjnym w domenie. Tym niemniej
członkostwo w tej grupie powinno być surowo ograniczone i starannie dobierane.
Użytkowników dodaje się do tych grup przeważnie na kontrolerze domeny będącym również
serwerem nazw DNS, a służąca do tego procedura jest opisana poniżej. Użytkowników można
również dodawać do tych grup na serwerze członkowskim; w tym przypadku korzysta się z
narzędzia
Zarządzanie komputerem
, a nie z narzędzia
Komputery i użytkownicy usługi Active
Directory
. Aby dodać konto do grupy DnsAdmins, wykonaj co następuje:
1. Zaloguj
się na serwerze DNS (kontrolerze domeny) jako administrator.
2. Wejdź do
Start|Programy|Narzędzia administracyjne
i wybierz
Komputery i użytkownicy
usługi Active Directory
.
3. Rozwiń ikonę serwera i kliknij
Użytkownicy
.
4. Wybierz i kliknij prawym przyciskiem myszy grupę DnsAdmins, a następnie wybierz
Właściwości
.
5. Pojawi
się okno
Właściwości grupy
. Na zakładce
Członkowie
kliknij
Dodaj
.
6. Z listy rozwijanej
Szukaj w
wybierz komputer lub domenę, która zawiera konta
użytkowników lub grup, które chcesz dodać (lub wybierz cały katalog).
7. Kliknij
użytkowników i/lub usługi, które mają zostać dodane. Możesz również wybrać
konto komputera. Jest jednak mało prawdopodobne, abyś chciał dodać konto komputera
(a nawet konto grupy) do DnsAdmins. Kliknij
Dodaj
.
8. Kliknij
OK
.
9. Kliknij
OK
, aby zamknąć okno
Właściwości grupy
. Zamknij konsolę.
Dodawanie kont do grupy DnsUpdateProxy
Członkowie grupy
DnsUpdateProxy
mogą wykonywać aktualizacje dynamiczne w imieniu innych
klientów, ale nie posiadają rekordów zasobu, które tworzą. Funkcją tej grupy jest umożliwienie
serwerowi DHCP tworzenia rekordów zasobu, jednocześnie zapobiegając przedawnianiu tych
zasobów, jeżeli ów serwer DHCP „padnie” oraz (dodatkowo) umożliwienie klientom, które
zostały uaktualnione do systemu Windows 2000, przejęcia własności nad swoimi własnymi
rekordami A i PTR. W środowisku mieszanym konta komputerowe serwera DHCP są dodawane
do tej grupy. W tej sytuacji nie instaluj serwerów DHCP na kontrolerach domeny.
Tę procedurę trzeba przeprowadzać na kontrolerze domeny. Jest ona taka sama, jak poprzednia
procedura, mająca na celu dodawanie użytkowników do grupy DnsAdmins, z tym że wybiera się
grupę DnsUpdateProxy i dodaje się konta komputerowe serwerów DHCP.
Konfigurowanie i zarządzanie strefami
Po zainstalowaniu systemu DNS, skonfigurowaniu swoich serwerów nazw DNS i utworzeniu
potrzebnych stref twoim następnym zadaniem jest skonfigurowanie i zarządzanie tymi strefami.
Niniejszy zestaw procedur opisuje, jak modyfikować właściwości strefy (łącznie z włączaniem
aktualizacji dynamicznych), tworzyć strefę delegowaną i inicjować transfery stref z pomocniczego
serwera nazw DNS.
Modyfikowanie właściwości strefy
Poniższa procedura opisuje, jak można wykorzystać okno dialogowe
Właściwości dla strefy
, aby
wykonać co następuje:
• zmienić nazwę strefy;
• zmienić typ strefy;
• umożliwić aktualizacje dynamiczne;
• umożliwić tylko aktualizacje dynamiczne;
• określić inne serwery DNS jako autorytatywne;
• ustawić parametry przedawnienia i oczyszczania;
• regulować interwały odświeżania, ponowienia i przeterminowania, oraz inne parametry
SOA;
• umożliwić DNS korzystanie z analizy WINS;
• zmodyfikować zabezpieczenia dla strefy zintegrowanej z Active Directory.
Aby zmodyfikować właściwości strefy, wykonaj co następuje:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń albo
Strefy wyszukiwania do przodu
, albo
Strefy wyszukiwania wstecznego
i
kliknij strefę, którą chcesz skonfigurować.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz
Właściwości
. Rysunek 12.7
przedstawia okno dialogowe właściwości strefy dla standardowej strefy podstawowej.
6. Na
pasku
Ogólne
kliknij
Wstrzymaj
. Jest dobrym zwyczajem zatrzymywać strefę na czas
dokonywania zmian.
7. Jeśli jest taka potrzeba, zmień nazwę strefy. Ta opcja nie jest dostępna, jeżeli jest to strefa
zintegrowana usługi Active Directory.
8. Kliknij
Zmień
. Jeśli jest to potrzebne, zmień typ strefy w oknie dialogowym
Zmienianie
typu strefy
. Typ strefy zintegrowanej usługi Active Directory jest dostępny tylko na
kontrolerze domeny. Kliknij
OK
.
9. W oknie dialogowym
Czy zezwolić na aktualizacje dynamiczne
określ czy chcesz, aby
strefa była aktualizowana dynamicznie, czy nie. Jeżeli strefa jest standardową strefą
pomocniczą, to ta funkcja nie jest dostępna w oknie dialogowym. Jeżeli jest to strefa
zintegrowana usługi Active Directory, możesz również wybrać opcję zezwolenia tylko na
aktualizacje dynamiczne.
10. Jeżeli jest to standardowa strefa pomocnicza, to możesz dodawać lub usuwać serwery
autorytatywne, od których strefa otrzymuje informacje dotyczące aktualizacji. Kliknięcie
przycisku
Znajdź nazwy
uruchamia szukanie nazw serwerów nadrzędnych na liście
adresów i dodaje wyniki wyszukiwania do wyświetlanej listy.
11. Jeżeli nie jest to standardowa strefa pomocnicza, kliknij
Przedawnienie
. Jeżeli zachodzi
taka potrzeba, zaznacz pole wyboru
Oczyść stare rekordy zasobów
. Okno dialogowe
podaje opisy interwału braku odświeżania oraz interwału odświeżania — więcej
szczegółów dostępnych jest w podrozdziale
Dogłębnie
. Przeczytaj opisy i ustaw
odpowiednio interwały. Kliknij
OK
.
12. Wybierz zakładkę
Adres startowy uwierzytelniania (SOA)
, jak na rysunku 12.8. W
standardowej strefie pomocniczej ta zakładka jest obecna, ale parametry mają szary kolor.
13. Jeśli zachodzi taka potrzeba, wyreguluj interwały odświeżania, ponawiania prób i
wygaśnięcia. Możesz również zmienić minimalny czas TTL, TTL dla rekordu SOA,
serwer podstawowy i numer seryjny. Jeżeli uruchomisz przeglądanie pod kątem osoby
odpowiedzialnej, to wyszukiwanie zwróci wszystkie rekordy RP w strefie.
14. Wybierz zakładkę
Serwery nazw
. Pozwala ona określać dodatkowe serwery nazw, które
będą ładować strefę.
15. Wybierz zakładkę
Transfery stref
. Możesz wybrać, czy zezwalać na transfery stref i do
jakich serwerów mogą one być wysyłane. Kliknięcie
Powiadom
pozwala określić serwery
pomocnicze, które mają być powiadamiane, kiedy informacje o strefie zostaną
zaktualizowane.
16. Wybierz zakładkę
WINS
. Pozwala ona na określanie, czy ma być włączone wyszukiwanie
do przodu WINS. Tej funkcji używa się w domenie mieszanej, gdzie do analizy nazw
hostów lokalnych oraz identyfikacji kontrolerów domen potrzebna jest usługa NetBIOS.
Możesz również określić czy replikować rekord WINS, czy, w przypadku standardowej
strefy pomocniczej, używać lokalnego rekordu zasobu WINS. Kliknięcie przycisku
Zaawansowane
pozwala wyregulować limit czasu pamięci podręcznej oraz limit czasu
wyszukiwania WINS. Możesz również skorzystać z zakładki
WINS
, aby określić serwery
WINS.
17. Zakładka
Zabezpieczenia
jest dostępna tylko w przypadku stref zintegrowanych usługi
Active Directory. Wybierając tę zakładkę, zyskuje się dostęp do edytora listy kontroli
dostępu (ACL) usługi Active Directory. Aby uzyskać informacje dotyczące ustawiania
zabezpieczeń usługi Active Directory, odwołaj się do dokumentacji systemu Windows
2000 Server.
18. Po dokonaniu wszystkich potrzebnych zmian kliknij
Uruchom
na zakładce
Ogólne
, aby
ponownie uruchomić strefę. Kliknij
OK
, aby zamknąć okno dialogowe właściwości
strefy.
19. Zamknij konsolę.
Rysunek 12.7. Okno dialogowe właściwości strefy dla standardowej strefy podstawowej
Rysunek 12.8. Zakładka
Adres startowy uwierzytelniania (SOA)
Tworzenie strefy delegowanej
Niniejsza procedura deleguje odpowiedzialność za część przestrzeni nazw
coriolis.com
do domeny
podrzędnej
authors.coriolis.com
. Ten przykład został użyty ze względu na przejrzystość. Podstaw
sobie swoje własne nazwy domeny i domeny podrzędnej w tej procedurze.
Aby utworzyć strefę delegowaną, wykonaj następujące czynności:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń albo
Strefy wyszukiwania do przodu
, albo
Strefy wyszukiwania wstecznego
i
kliknij tę strefę, na której chcesz utworzyć nową delegację. W tym przykładzie będzie to
coriolis.com
.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz
Nowe pełnomocnictwo
.
6. Uruchomi
się
Kreator nowych pełnomocnictw
. Kliknij
Dalej
.
7. Wpisz
nazwę delegowanej domeny. W tym przykładzie będzie to
authors
. Kliknij
Dalej
.
8. Kliknij
Dodaj
, a następnie określ nazwę i adres IP serwera nazw DNS, który ma pełnić
funkcję hosta delegowanej strefy. Kliknij
OK
.
9. Powtarzaj krok 8 dla każdego serwera, który chcesz dodać. Po zakończeniu kliknij
Dalej
.
10. Kliknij
Zakończ
. Kliknij nową strefę delegowaną i sprawdź, czy zawiera ona co najmniej
jeden rekord serwera nazw.
11. Zamknij konsolę.
Ręczne inicjowanie transferu strefy
Normalnie strefa pomocnicza jest automatycznie aktualizowana z częstotliwością aktualizacji
określoną przez interwał odświeżania oraz przez to, jak często dokonywane są zmiany jej strefy
podstawowej. Czasami jednak zachodzi potrzeba inicjacji ręcznego odświeżenia — na przykład po
wniesieniu do podstawowej istotnej poprawki, która ma być natychmiastowo replikowana do
pomocniczej. Tę procedurę zazwyczaj implementuje się na pomocniczym serwerze nazw DNS, ale
jeżeli dodałeś ten serwer do konsoli DNS na podstawowym, to możesz ją przeprowadzać na obu
komputerach.
Aby zainicjować ręczny transfer strefy, wykonaj co następuje:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń albo
Strefy wyszukiwania do przodu
, albo
Strefy wyszukiwania wstecznego
i
kliknij strefę docelową.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz
Transferuj z wzorca
.
6. W oknie szczegółów konsoli sprawdź, czy informacje dotyczące strefy zostały
uaktualnione.
7. Zamknij
konsolę.
Dodawanie domeny do strefy
Strefa DNS może obejmować kilka domen. Domenę można dodać tylko do strefy podstawowej,
ponieważ podstawowa jest dla tej strefy autorytatywna. Aby dodać domenę do strefy
pełnomocnictwa, wykonaj co następuje:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń albo
Strefy wyszukiwania do przodu
, albo
Strefy wyszukiwania wstecznego
i
kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz
Nowa domena
.
6. Wpisz
nazwę domeny. Powinna to być nazwa domeny lokalnej i nie może ona zawierać
kropki.
7. Kliknij
OK
.
8. Zamknij
konsolę.
Dodawanie rekordów do strefy
Podobnie jak integracja WINS w NT4 i domenach mieszanych, aktualizacje dynamiczne w DNS
systemu Windows 2000 radykalnie zmniejszają liczbę rekordów, które trzeba ręcznie dodać do
bazy danych DNS. Niemniej jednak są sytuacje, w których może być konieczna ręczna
aktualizacja — na przykład klient nie może się zarejestrować w DDNS czy WINS. Możesz
również zechcieć dodać typ rekordu zasobu, taki jak RP czy ISDN, który nie jest wprowadzany
dynamicznie.
Dodawanie rekordów hosta
Możesz dodać rekord hosta (A) do podstawowej strefy wyszukiwania w przód. Aby tego dokonać,
należy przeprowadzić następujące działania:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń
Strefy wyszukiwania do przodu
i kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz pozycję
Nowy host
.
6. Wpisz
nazwę hosta. Powinna to być nazwa hosta lokalnego i nie może ona zawierać
kropki. Wpisz odnośny adres IP. Jeżeli chcesz utworzyć odnośny rekord PTR w strefie
wyszukiwania wstecznego, zaznacz pole wyboru. Kliknij
Dodaj
. Kliknij
OK
.
7. Powtarzaj kroki 5 i 6 dla każdego hosta, którego chcesz dodać. Kiedy skończysz, kliknij
Gotowe
.
8. Sprawdź, czy rekordy w oknie szczegółów są prawidłowe.
9. Rozwiń
Strefy wyszukiwania wstecznego
i kliknij odnośną strefę wyszukiwania
wstecznego, aby ją wybrać.
10. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz
Odśwież
.
11. Sprawdź, czy zostały utworzone rekordy PTR dla odnośnych rekordów A (przy
założeniu, że ta opcja była włączona, kiedy były tworzone rekordy A).
12. Zamknij konsolę.
Dodawanie rekordu zasobu alias
Można dodać rekord
Alias
(lub CNAME) albo w strefie wyszukiwania do przodu, albo wstecz,
chociaż tego typu rekord dodaje się zazwyczaj do strefy wyszukiwania do przodu. Aby dodać
alias, wykonaj następujące czynności:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń albo
Strefy wyszukiwania do przodu
, albo
Strefy wyszukiwania wstecznego
i
kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i kliknij opcję
Nowy alias
.
6. Wpisz
nazwę aliasu. Nie może ona zawierać kropki.
7. Wpisz w pełni kwalifikowaną nazwę dla hosta docelowego (FQDN) lub użyj przycisku
Przeglądaj
.
8. Kliknij
OK
.
9. Sprawdź okno szczegółów, aby się upewnić, że alias został dodany.
10. Zamknij konsolę.
Dodawanie rekordu zasobu usługi wymiany poczty
Rekordy zasobu usługi wymiany poczty (MX) można dodawać do podstawowej strefy
przeglądania do przodu. W strefie musi już istnieć rekord A dla hosta usługi wymiany poczty.
Tam, gdzie w obrębie strefy jest wiele usług wymiany poczty, stosowana jest dwucyfrowa wartość
priorytetu w celu określenia kolejności priorytetów.
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń
Strefy wyszukiwania do przodu
i kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz pozycję
Nowa usługa
wymiany poczty
.
6. Wpisz
nazwę hosta lub domeny. Nie może ona zawierać kropki.
7. Wpisz w pełni kwalifikowaną nazwę (FQDN) serwera pocztowego lub użyj przycisku
Przeglądaj
.
8. Wpisz
wartość priorytetu.
9. Kliknij
OK
.
10. Sprawdź okno szczegółów, aby się upewnić, że rekord MX został dodany.
11. Zamknij konsolę.
Dodawanie rekordu zasobu wskaźnika
Rekord zasobu wskaźnika (PTR) może być dodawany do podstawowej strefy wyszukiwania
wstecznego. Zazwyczaj odbywa się to automatycznie, kiedy tworzone są rekordy A. Możesz
jednak dodać rekord PTR ręcznie. Rekord A musi się już znajdować w odnośnej strefie
wyszukiwania do przodu. Możesz automatycznie tworzyć rekordy PTR, kiedy tworzysz rekordy
A, ale w odwrotnym kierunku nie jest to możliwe.
Aby utworzyć rekord zasobu PTR, podejmij następujące kroki:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń
Strefy wyszukiwania wstecznego
i kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz pozycję
Nowy wskaźnik
.
6. Określ adres IP i albo wpisz FQDN, albo kliknij
Przeglądaj,
aby znaleźć FQDN
odnośnego hosta. Kliknij
OK
.
7. Sprawdź, czy nowy rekord PTR w oknie szczegółów jest poprawny.
8. Zamknij
konsolę.
Dodawanie dodatkowych rekordów zasobu
Można dodawać dodatkowe rekordy zasobu za pomocą pozycji menu
Inne nowe rekordy
. Ta
pozycja menu jest dostępna zarówno w strefach wyszukiwania do przodu, jak i w strefach
wyszukiwania wstecznego, ale te rekordy zazwyczaj dodaje się do strefy wyszukiwania do przodu.
Niewielki sens miałoby, na przykład, tworzenie rekordu AAAA w strefie wyszukiwania
wstecznego. Rekordy można tworzyć tylko w strefach podstawowych.
Aby tworzyć rekordy zasobu, wykonaj co następuje:
1. Zaloguj
się na serwerze nazw DNS jako administrator.
2. Wejdź do
Start|Narzędzia administracyjne
i wybierz
DNS
.
3. Rozwiń ikonę odpowiedniego serwera.
4. Rozwiń
Strefy wyszukiwania do przodu
i kliknij odpowiednią strefę.
5. Kliknij
wybraną strefę prawym przyciskiem myszy i wybierz pozycję
Inne nowe rekordy
.
Pojawi się okno wyboru
Typ rekordu zasobu
.
Wskazówka: Wchodzenie do okna dialogowego
Typ rekordu
zasobu jest dobrą metodą
przeglądania wszystkich typów rekordów i uzyskiwania opisu dla każdego z nich.
6. Wybierz typ rekordu zasobu i kliknij
Utwórz rekord
. Podaj żądane informacje, a
następnie kliknij
OK
.
7. Po wprowadzeniu wszystkich potrzebnych rekordów kliknij
Gotowe
.
8. Sprawdź, czy rekordy pojawiają się w oknie szczegółów. Zamknij konsolę.
Administrowanie klientem z konsoli polecenia
Aby przeglądać i kasować bufor analizatora klienta i odnawiać rejestrację klienta systemu DNS,
można wpisywać polecenia w wierszu polecenia. Zazwyczaj (ale niekoniecznie) wypełnia te
zadania administrator. Procedury te zakładają, że na kliencie zainstalowany jest system Windows
2000 i że uruchomiona jest usługa klient DNS.
Wskazówka: Do administracji DNS wykorzystuje się również polecenie
nslookup
. Jest ono
jednak używane głównie do usuwania usterek i dlatego jest omówione w rozdziale 17.
Aby administrować klientem za pomocą konsoli polecenia, wykonaj następujące czynności:
1. Zaloguj
się na kliencie jako administrator.
2. Wejdź do
Start|Programy|Akcesoria
i wybierz
Wiersz polecenia
.
3. Aby
wyświetlić bufor analizatora klienta, wprowadź
ipconfig /displaydns|more
.
Do przewijania ekranu używaj klawisza spacji.
4. Aby
opróżnić bufor analizatora klienta, wprowadź
ipconfig /flushdns
. Usuwa to
wszystkie pozycje dodane dynamiczne, łącznie z pozycjami negatywnymi bufora. Nie
usuwa to pozycji wstępnie załadowanych z pliku hostów lokalnych.
5. Aby
odnowić rejestrację DNS na kliencie, wprowadź
ipconfig /registerdns
.
Inicjuje to ręcznie rejestrację dynamiczną, odświeża wszystkie dzierżawy adresów
protokołu DHCP i rejestruje wszystkie odnośne nazwy DNS skonfigurowane i
wykorzystywane przez klienta. Opcja ta zakłada, że na komputerze uruchomiona jest
usługa klienta DHCP. Usługa ta działa domyślnie na wszystkich klientach systemu
Windows 2000 niezależnie od tego czy są one skonfigurowane do dynamicznej
konfiguracji adresów IP, czy nie.
Wskazówka: Opcji polecenia
ipconfig /registerdns
można używać osobno dla każdej
karty. Aby dowiedzieć się, jakie karty są dostępne na kliencie do użycia z tą opcją, wpisz
ipconfig
bez żadnych parametrów.