DNS w Windows Server - Katedra Telekomunikacji AGH

Hierarchia nazw,
hierarchia domen,
rejestracja domen,
rodzaje i zastosowanie
rekordów DNS
Wydział Informatyki, Elektroniki i Telekomunikacji
Katedra Telekomunikacji
Kraków, 21.11.2016 r.
Plan wykładu
•
•
•
Windows Server
DNS – zasada działania
DNS w Windows Server
Active Directory
•
•
•
•
Produkt Microsoft pierwotnie zastosowany w Windows 2000
Lepsze narzędzia administracyjne
Bardziej niezawodny i skalowalny
Szybszy i bardziej wygodny w zarządzaniu
Nowy uzytkownik
w AD
Kadry
+ nowy
pracownik
Tozsamosc
sieciowa
Konto e-mail
Konto poczty
glosowej
8
Pager
6
7
5
4
Aplikacje Serwerowe
Kontroler domeny
•
–
Uwierzytelnianie użytkowników w serwerze
Serwer wykazu globalnego
•
–
Kopia listy użytkowników w Active Directory
Serwer DNS
•
–
Lista sieciowych serwerów i systemów
Serwer DHCP
•
–
Przydzielanie adresów sieciowych
Cluster Server
•
–
Umożliwia przełączanie na inny system w razie awarii
Terminal Server (Serwer terminali)
•
–
Usługi dostępu przez terminal
Remote Access Server (Serwer dostępu zdalnego)
•
–
Udostępnia usługi dostępu zdalnego
Serwer WWW
•
–
Udostępnia technologie hostingu dla aplikacji przez WWW
Distributed File System (Serwer rozproszonego systemu plików)
•
–
Udostępnia rozproszony system plików
Windows Server
Kreatory instalacji, konfiguracji i zarządzania
•
–
–
Ułatwiają dodawanie, modyfikacje, usuwanie elementów konfiguracji systemu
Często stosowane zamiast instalacji ręcznej
Bezpieczeństwo
•
–
–
Najbardziej „bezpieczny” system z rodziny Windows
Większość usług bezpośrednio po instalacji jest wyłączonych
Obsługa standardów sieciowych i innych
•
–
–
–
IPv6
Web XML (XML jest językiem programowania, a usługi Web środowiskiem
udostępniającym dynamiczne usługi WWW)
Standardy zabezpieczeń IETF
Windows Server – korzyści administracyjne
Automatic Server Recovery (ASR) – automatyczny system przywracania systemu
•
–
–
–
–
Narzędzie do przywracania systemu
Pozwala administratorowi na odbudowę uszkodzonego serwera bez konieczności reinstalacji
systemu operacyjnego
ASR „robi zdjęcie” serwera, obejmujące system operacyjny, parametry konfiguracji systemu,
informacje o konfiguracji partycji na dyskach
Przy przywracaniu danych ASR odtwarza dane ścieżka po ścieżce, co pozwala na brak konieczności
formatowania dysków
Software Update Service (SUS) – usługa aktualizacji oprogramowania
•
–
–
Pozwala administratorom na automatyczne wyszukiwanie i pobieranie aktualizacji i łat do
centralnego serwera, a następnie skonfigurować zasadę grup automatycznie rozprowadzającą
aktualizacje do poszczególnych serwerów
Minimalizacja nakładów pracy administratorów
Out-of-Band Management – zarządzanie poza siecią
•
–
–
Pozwala połączyć się z modemem lub portem szeregowym RS-232 serwera i zarządzać nim z
poziomu wiersza poleceń
Pozwala administratorowi zalogować się do systemu i dokonać zrzutu obrazu lub uruchomić
ponownie serwer
Windows Server – korzyści administracyjne
Group Policy Management Console – konsola zarządzania zasadami grup
•
–
–
–
Pozwala administratorom na łatwiejsze tworzenie zasad grup i zarządzanie nimi
Zamiast pracować z szeregiem indywidualnych zasad, administrator może utworzyć
grupy definicji pozwalające definiować ustawienia dla określonych działań
użytkowników i komputerów
Udostępnia grupy definicji pozwalające definiować typowe aktualizacje systemów,
instalować określone aplikacje, zarządzać profilami użytkowników itp.
Remote Installation Service for Servers (RIS for Servers) – usługi zdalnej
instalacji dla serwerów
•
–
–
–
Pozwala na tworzenie obrazów konfiguracji serwerów, które następnie można wysłać
do serwera RIS i w przyszłości użyć do odtworzenia nowego systemu
Umożliwia stworzenie nowego, czystego obrazu serwera z zainstalowanymi
wszystkimi podstawowymi narzędziami  za każdym razem, gdy administrator chce
zainstalować nowy serwer, zamiast tworzyć go od nowa, może użyć obrazu z
instalacji RIS z pakietami Service Pack, łatami, aktualizacjami itp.
Może być również stosowany jako funkcjonalne narzędzie przywracania systemu po
awarii
Windows Server – instalowanie
poprzez RIS
•
•
•
•
Istota działania RIS (Remote Installation Service) polega na
instalacji systemów operacyjnych Windows poprzez sieć
Źródłem instalacji są obrazy systemów przechowywane na jednym
lub wielu serwerach usługi
Rozpoczęcie instalacji polega na uaktywnieniu w klientach rozruchu z
karty sieciowej - wtedy serwer RIS w odpowiedzi na rozruch
komputera-klienta rozpoczyna instalację sieciową
Instalację RIS można połączyć z instalacją nienadzorowaną
Windows Server – instalacja poprzez
RIS
Wymagania RIS względem sieci:
•
–
–
–
musi w niej istnieć serwer DNS
musi w niej istnieć serwer DHCP
przynajmniej jeden kontroler domeny musi być dostępny w momencie instalacji usługi RIS oraz
później podczas instalacji zdalnych
Wymagania RIS względem serwera:
•
–
–
–
–
musi pracować pod kontrolą systemu Windows Server,
wraz z klientami RIS musi należeć do domeny Active Directory
musi posiadać dwa woluminy, z czego jeden sformatowany jako NTFS 5.0 lub nowszy,
udostępniony na potrzeby usług RIS, nie zawierający żadnego systemu oraz dostatecznie pojemny
aby zmieścić oprogramowanie RIS jak i obrazy instalacji
musi być komputerem jednoadresowym, tzn. posiadać tylko jedną kartę sieciową z jednym
adresem IP
Wymagania RIS względem klientów:
•
–
–
konfiguracja sprzętowa pokrywa się lub przekracza minimalne wymagania sprzętowe dla danego
systemu operacyjnego
posiada kartę sieciową zgodną ze specyfikacją NetPC lub posiada kartę sieciową wyposażoną w
Boot ROM zgodny z PXE oraz BIOS zawierający obsługę uruchamiania systemu z PXE lub posiada
kartę sieciową obsługiwaną przez system oraz dyskietkę uruchomieniową instalacji zdalnej
Windows Server – Active Directory
•
Active Directory to usługa katalogowa (hierarchiczna baza danych) dla systemów
Windows, będąca implementacją protokołu LDAP (ang. Lightweight Directory Access
Protocol – okrojony protokół dostępu do katalogu)
•
Domena pozwalała na przechowywanie informacji o ograniczonej stałej ilości typów
obiektów (konto użytkownika lub komputera, grupie) z ograniczoną stałą ilością
atrybutów przypisanych do konkretnych typów obiektów - nie istniała możliwość
rozszerzenia schematu domeny o dodatkowe atrybuty lub typy obiektów, które można
przechowywać. Domeny posiadały też technologiczne ograniczenie liczby obiektów, które
mogły być przechowywane (do ok. 40 tys. obiektów w jednej domenie). Domeny nie
były oparte też na żadnym otwartym protokole - nie istniała możliwość dostępu z
aplikacji innych producentów bez wykorzystania bibliotek pochodzących od producenta
firmy Microsoft.
•
Active Directory jako następca usuwa największe wady domen, tj. wprowadzono:
–
hierarchiczność przechowywania informacji
dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active
Directory)
–
rozszerzalność schematu zawierającego definicje obiektów
–
Wikipedia
Windows Server – Active Directory
•
•
•
Usługa Active Directory jest usługą katalogową przeznaczoną dla produktów
Windows Server Standard Edition, Windows Server Enterprise Edition i
Windows Server Datacenter Edition
Usługa Active Directory przechowuje informacje o obiektach znajdujących się
w sieci oraz ułatwia administratorom i użytkownikom wyszukiwanie i
korzystanie z informacji tego typu
Usługa Active Directory używa strukturalnego magazynu danych jako
podstawy logicznej, hierarchicznej organizacji informacji o katalogu
Microsoft
Windows Server – najważniejsze
funkcje Active Directory
Zgodność z TCP/IP
•
–
Obsługa LDAP (Lightweight Directory Access Protocol)
•
–
Standardowy internetowy protokół usług katalogowych stosowany do aktualizacji i
odpytywania o dane zawarte w katalogu
Obsługa DNSu (ang. Domain Name Server – system nazw domen)
Obsługa zabezpieczeń
•
•
–
•
Podstawowy środek komunikacji
Wbudowana obsługa IPSec oraz szyfrowania SSL
Łatwość zarządzania
Windows Server – struktura Active
Directory
Domena Active Directory
•
Główny logiczny obszar ograniczający w strukturach
Użytkownicy i komputery mieszczą się w obrębie domeny i w niej są zarządzani
Obszary ograniczone zabezpieczeń dla obiektów, stosujące własne zasady
Możliwość zmiany nazwy domeny
–
–
–
–
Drzewa domen Active Directory
•
Składa się z dwóch lub więcej domen połączonych dwukierunkowymi, przechodnimi
relacjami zaufania
–
•
•
Ponieważ domeny POLSKA I NIEMCY ufają
domenie EUROPA, to ufają też sobie
Prawa dostępu są przydzielane osobno
EUROPA
Lasy w Active Directory
•
–
–
Grupa połączonych ze sobą drzew domen
Bezpośrednie relacje zaufania łączą korzenie
(domeny główne) wszystkich drzew
we wspólny las
POLSKA
NIEMCY
Windows Server – bezpośrednie
relacje zaufania w AD
Bezpośrednie relacje zaufania
•
–
–
–
–
–
Tworzone ręcznie
Jednokierunkowe
Może połączyć dwie domeny w las
Możliwość tworzenia tzw. skrótów
Możliwość tworzenia zewnętrznych relacji zaufania, a więc łączących las domen AD
z domeną zewnętrzną
Bezposrednia relacja zaufania
EUROPA
AZJA
Przechodnie relacje zaufania
Przechodnie relacje zaufania
POLSKA
NIEMCY
Skrótowa relacja zaufania
JAPONIA
Windows Server – grupy w
środowisku Active Directory
Efektywny mechanizm zarządzania zabezpieczeniami dla dużej liczby użytkowników
Pozwalają logicznie organizować użytkowników
Podział grup ze względu na zasięg:
•
•
•
Grupy lokalne komputera (ang. machine local group)
–
•
•
•
Obejmują zasięgiem członków z dowolnej zaufanej lokalizacji
Członkami mogą być użytkownicy i grupy w lokalnej domenie oraz z innych zaufanych domen
i lasów
Zezwalają jedynie na dostęp do zasobów w komputerze, do którego należą (ograniczona przydatność)
Grupy lokalne domeny (ang. domain local group)
–
•
•
•
Służą do zarządzania zasobami mieszczącymi się tylko w swojej domenie
Mogą zawierać użytkowników i grupy z dowolnej innej zaufanej domeny, lecz są dostępne tylko w macierzystych
domenach Windows 2000
Głównym zastosowaniem jest przyznawanie dostępu do zasobów grupom z różnych domen
Grupy globalne (ang. global group)
–
•
•
•
Przeciwieństwo grup lokalnych domeny
Mogą zawierać tylko użytkowników z domeny, w której istnieją, lecz służą do przyznawania dostępu do zasobów
położonych w innych zaufanych domenach
Np. Globalna grupa pracowników działu kadr
Grupy uniwersalne (ang. universal group)
–
•
•
•
Mogą zawierać użytkowników i grupy z dowolnej domeny w lesie i przyznawać dostęp do dowolnego zasobu w
lesie
Dostępne tylko w domenach działających w trybie macierzystym
Wszyscy członkowie wszystkich grup uniwersalnych są zapisani w wykazie globalnym, co zwiększa obciążenie
replikacjami
Windows Server 2008 – nowe funkcje
•
•
•
•
•
•
•
•
serwer Internet Information Services w wersji 7
ulepszony model łatek, nie wymagający restartów systemu
przyspieszona instalacja z użyciem Windows Imaging Format
nowe narzędzia do zarządzania, zorientowane na role wykonywane
przez serwer
znacznie usprawnione usługi terminalowe (obsługa RDP w wersji 6.0) z
możliwością uruchamiania tylko jednej aplikacji, zamiast całego pulpitu
SharePoint Services 3.0
Server Message Block 2.0
znaczne zmniejszenie jądra systemu – wiele dotychczasowych jego
funkcjonalności, m.in. menedżer okien, zostało przeniesione do usług
Windows Server 2012 – nowe funkcje
• przystosowany do pracy w chmurze i jest zgodny z platformą Azure
• zwiększono m.in. obsługiwaną ilość pamięci (z 64 GB do 1 TB) oraz
liczbę procesorów (z 4 do 64 - może z nich korzystać pojedyncza
maszyna wirtualna)
• zwiększono dostępną pojemność dysków wirtualnych z 2 TB do 64 TB
• mechanizm DAC (Dynamic Access Control) - dynamiczne prawa
dostępu do plików, automatyczne szyfrowanie dokumentów
• nowy system plików ReFS (Resilient File System) - do obsługi np.
serwerów plików, a nie do instalacji oprogramowania systemowego lub
innych aplikacji
Windows Server 2016 – nowe funkcje
• Nowe podejście do magazynowania danych oparte na pamięci masowej
zdefiniowanej programowo
• Lepsze klastrowanie i zagnieżdżona wirtualizacja dzięki przetwarzaniu
zdefiniowanemu programowo
• Dynamiczne zabezpieczenia i hybrydowa elastyczność dzięki sieci
zdefiniowanej programowo
• Nowe poziomy zabezpieczeń przeciwko pojawiającym się zagrożeniom
DNS (Domain Name Server)
• Mechanizm dokonujący konwersji nazw ("adresów
ASCII") na stosowne adresy IP
• system hierarchiczny – na górze hierarchii stoją
tzw. TLD (Top Level Domains), czyli domeny
najwyższego rzędu, np. .com (komercyjne), .pl
(krajowe), .net (sieci) i inne
• Każda z głównych domen posiada swoje
subdomeny, np. google.com, onet.pl, itp.
• Każda domena może mieć swoje poddomeny – w
ten sposób powstają zagęszczone hierarchie w
obrębie danej domeny
DNS (Domain Name Server) – c.d.
• Każda domena (strefa) musi mieć co najmniej dwa
serwery DNS, jest to wymóg instytucji oferujących
możliwość rejestracji domen - jeden z serwerów
określa się jako podstawowy (również master lub
primary) a drugi jako zapasowy (slave lub
secondary).
DNS – zasada działania
• Serwery DNS po otrzymaniu zapytania próbują
zamienić adres domenowy (np.: kt.agh.edu.pl) na
adres IP (149.156.114.3)
– gdy serwer nie odnajduje odwzorowania nazwy
domeny, zwraca odwołanie do kolejnego serwera
DNS; cała procedura przekazywania zapytania między
serwerami DNS może być powtarzana aż, do
osiągnięcia limitu czasu - w takim przypadku pod
wyjściowy adres IP zostanie zwrócony komunikat o
błędzie
– odwołania do kolejnych serwerów DNS są generowane
za pomocą cyklu zapytań iteracyjnych, klient DNS zaś
posługuje się zapytaniami rekurencyjnymi
DNS – przykłady domen najwyższego
poziomu
.com - (comercial) - do zastosowań komercyjnych,
firmy etc.
.edu - (education) - do zastosowań edukacyjnych,
dla uniwerystetów, instytutów naukowych etc.
.gov – (government) - do zastosowań rządów
krajów (początkowo rządu USA), strony kongresu,
sejmu etc.
.int – (institutions) - stworzona dla instytucji
.mil – (military) - dla wojska
.net – (networking) - do zastosowań dla dostawców
usług internetowych
.org – (organization) - dla organizacji
pozarządowych, non-profit
DNS – przykłady domen rodzajowych
.biz - (biznes) - dla biznesu
.info – (information) - dla celów informacyjnych
.name - stworzone dla indywidualnych
użytkowników
.pro - (proffesional) - dla profesjonalistów,
popularnych zawodów etc.
.aero - dla przemysłu kosmicznego
.coop - dla współpracy (kooperacji)
.museum - dla muzealnictwa
DNS – delegacja i zarządzanie domenami
• Każda domena identyfikuje pewne poddrzewo w
drzewie hierarchii przestrzeni nazw, czyli
identyfikuje węzeł grafu wraz z węzłami będącymi
jego potomkami.
• Wielkość liter w nazwie domeny nie ma znaczenia,
nazwy każdego członu domeny mogą liczyć co
najwyżej 63 znaki, długość całej nazwy domeny
ograniczona jest natomiast do 255 znaków.
DNS – delegacja i zarządzanie domenami
• Aby stworzyć domenę potrzebna jest zgoda
zarządzającego domeną macierzystą (np. NASK).
– Domena kt.agh.edu.pl musi mieć zgodę
zarządzającego domeną agh.edu.pl
– właściciel nowo utworzonej domeny staje się jej
zarządcą i może definiować jej poddomeny bez
pytania kogokolwiek wyżej w hierarchii nazw o zgodę.
DNS – rodzaje serwerów
• ROOT SERVER - zna wszystkie domeny najwyższego
poziomu (TLD) w sieci Internet.
• MASTER SERVER - jest "miarodajny" dla całego
obszaru bieżącej domeny, prowadzi bazy danych dla
całej strefy. Istnieją dwa rodzaje MASTER
SERVERów:
- PRIMARY MASTER SERVER
- SECONDARY MASTER SERVER
• CACHING SERVER – serwer buforujący
• FORWARDING SERVER – serwer przekazujący –
przekazuje rekursywne zapytanie, które nie zostało
rozwiązane lokalnie
• SLAVE SERVER – bez dostępu do Internetu
DNS – działanie resolvera
• Resolver - program, który potrafi wysyłać zapytania
do serwera DNS.
• Gdy system operacyjny potrzebuje określić adres IP
ukryty pod daną nazwą domenową, zleca to zadanie
resolverowi.
• Program ten wysyła zapytanie do serwera DNS na
port 53 w pakiecie UDP.
• Gdy serwer DNS odwzoruje nazwę wysyła pakiet
UDP z adresem IP poszukiwanego hosta z portu 53
na port powyżej 1024 (z tego portu wyszło
zapytanie).
DNS – proces poszukiwania adresu IP
1. Klient DNS wysyła zapytanie o adres IP
www.kt.agh.edu.pl do serwera DNS
2. Serwer DNS wysyła zapytanie do jednego z głównych
serwerów nazw dla internetu (jest ich 13 - tzw.: root
servers ich obowiązkiem jest udostępnianie
informacji o adresach IP serwerów zarządzających
domenami najwyższego poziomu).
3. "Root Server" odsyła listę serwerów posiadających
informacje dla domeny .pl
4. Serwer DNS wysyła więc zapytanie o host
www.kt.agh.edu.pl do serwera odpowiedzialnego za
domenę .pl, a ten zwraca listę adresów IP serwerów
DNS odpowiedzialnych za domenę .edu.pl
DNS – proces poszukiwania adresu IP
5. Podobna kolejność zdarzeń wysłania przez serwer
DNS zapytania o host i odpowiedź serwera DNS
odpowiedzialnego za daną domenę występuje aż do
określenia adresu IP serwera DNS odpowiedzialnego
za domenę kt.agh.edu.pl, który po otrzymaniu
zapytania o adres IP host-a zwraca go do naszego
"początkowego" serwera DNS.
DNS (ang. Domain Name Server)
Podstawowy system nazw w Windows Server
Niezbędny składnik implementacji Active Directory w Windows
Server
Implementacja zgodna z RFC
DNS stosuje hierarchiczną metodę rozwiązywania nazw
•
•
•
•
–
–
–
Zapytanie o nazwę jest przekazywane w górę i w dół hierarchii nazw
domen, dopóki nie zostanie znaleziony poszukiwany komputer
Poszczególne poziomy hierarchii są oddzielone kropkami
symbolizującymi podział
Przestrzeń nazw DNSu to ograniczony obszar zdefiniowany przez
nazwę
•
•
Publiczne przestrzenie nazw (publikowane w Internecie)
Prywatne przestrzenie nazw (nie publikowane w Internecie); najczęściej
używane w Active Directory ze względu na bezpieczeństwo
DNS – konfiguracja DNS wskazującego
na siebie
•
W ustawieniach TCP/IP można skonfigurować serwer DNS,
tak by wskazywał na siebie w celu rozwiązywania nazw
–
Start/Panel sterowania/Połączenia sieciowe  wybór adaptera
sieciowego z usługą DNS  właściwości
–
W zakładce TCP/IP należy wybrać opcje „użyj następujących
adresów serwerów DNS” i wpisać odpowiedni adres serwera
DNS
DNS – Rekordy zasobów
Rekordy zasobów (ang. resource records) służą do
identyfikowania obiektów w hierarchii DNS
Stosowane do podstawowego wyszukiwania użytkowników i
zasobów w podanej domenie i są unikatowe w obrębie swojej
domeny
•
•
Rekordy SOA (ang. Start of Authority)
– początek pełnomocnictwa
•
–
–
–
W bazie danych DNSu wskazuje,
który serwer jest autorytatywny
dla określonej strefy
Wskazany serwer jest uznawany
za najlepsze źródło informacji o
danej strefie i odpowiada za
przetwarzanie aktualizacji strefy
Rekord zawiera:
•
•
•
Interwał TTL
Osobę odpowiedzialną za DNS
Inne krytyczne informacje
DNS – Rekord hosta (A)
•
•
•
Najczęściej spotykany typ rekordu
zasobu w DNS
Zawiera nazwę hosta i
odpowiadający jej adres IP
Stosowane do podstawowego
wyszukiwania użytkowników
i zasobów w podanej domenie
i są unikatowe w obrębie
swojej domeny
DNS – Rekord serwera nazw
i rekordy usług
Rekordy serwera nazw (ang. Name Server):
•
–
Identyfikują komputery pełniące role serwerów nazw dla
określonej strefy
Rekordy usług (SRV):
•
–
–
–
Wskazują, który zasób świadczy określoną usługę
Każdy rekord SRV zawiera informacje o określonej
funkcjonalności udostępnianej przez usługę
Np. serwer LDAP może dodać rekord SRV wskazujący, że
potrafi obsługiwać zapytania LDAP dla określonej strefy
DNS – Rekord skrzynki pocztowej (MX) i
wskaźnika (PTR)
Rekordy skrzynki pocztowej (ang. Mail Exchanger):
•
–
–
Wskazują, które zasoby są dostępne dla przyjmowania poczty
SMTP
Z reguły tworzone dla poszczególnych domen
•
Np. rekord MX dla domeny firma.abc będzie oznaczał, że cała
poczta wysyłana na adres [email protected] będzie wysyłana na
serwer wskazany w tym rekordzie
Rekord wskaźnika (PTR)
•
–
–
–
–
Zapytania odwrotne korzystają z rekordów PTR (ang. Pointer)
Szukanie nazwy zasobu skojarzonej z określonym adresem IP
wykonuje wyszukiwanie wstecz, używając tego adresu IP
Serwer DNS odpowiada rekordem PTR, który zawiera nazwę
skojarzoną z adresem IP
Najczęściej spotykane w strefach wyszukiwania wstecz
DNS – Rekord nazwy kanonicznej
(CNAME) i inne rekordy
Rekord nazwy kanonicznej (ang. Canonical Name):
•
–
Zawiera alias hosta i pozwala na reprezentowanie jednego lub
wielu serwerów przez kilka nazw w DNSie
Inne rekordy
•
–
–
–
–
AAAA – odwzorowuje standardowy adres IP na 128-bitowy
adres IPv6
ISDN – odwzorowuje nazwę DNS na numer telefonu ISDN
KEY – zawiera klucz publiczny, służący do szyfrowania w
danej domenie
RP – wskazuje osobę odpowiedzialną za domenę (ang.
Responsible Person)
DNS – hierachiczna struktura
• RFC 819 oraz częściowo w RFC 1034 i RFC 1035
• Zestaw domen tworzy graf skierowany (w formie
drzewa, którego korzeniem jest domena
najwyższego poziomu)
Strefy DNS
•
•
Strefa oznacza fragment przestrzeni nazw kontrolowany
przez określony serwer DNS lub grupę serwerów
Definiują granice, w ramach których określony serwer
może rozwiązywać zapytania
Strefy DNS
Strefa podstawowa
•
–
Wszelkie zmiany w tej strefie muszą być wprowadzone w
serwerze zawierającym kopię główną tej strefy
Strefa pomocnicza
•
–
–
–
Zapewnia redundancję i równoważenie obciążenia strefie
podstawowej
Tylko do odczytu
Tworzona jako kopia zapisów z strefy podstawowej
Strefa skrótowa
•
–
–
–
Nie zawiera informacji o członkach domeny
Zawiera informacje o serwerach przekazujących dalej
zapytania do wyznaczonych serwerów nazw dla różnych
domen
Zawiera jedynie rekordy NS, SOA i tzw. doklejone (rekordy A,
skojarzone z określonym rekordem NS, aby rozwiązać nazwę
określonego serwera nazw na adres IP)
Zapytania DNS
Zapytania rekurencyjne
•
–
–
–
Najczęściej zadawane przez resolwery (klienty wymagające
rozwiązania określonej nazwy przez serwer DNS)
Zadawane również przez serwer DNS (o ile dla danego serwera są
skonfigurowane forwardery –
serwery przekazujące dalej)
Sprawdzają czy określony serwer
nazw może rozwiązać określony
rekord (odpowiedź pozytywna lub
negatywna)
Zapytania iteracyjne
•
–
–
W odpowiedzi na nie serwer albo
powinien rozwiązać nazwę albo
wskazać inny serwer, który jego
zdaniem może być skuteczniejszy
Powyższy krok jest powtarzany
do skutku
Inne składniki DNS
Czas życia TTL
•
–
–
–
Czas (w sekundach) przez jaki resolwer lub serwer nazw
będzie przetrzymywać w pamięci podręcznej odpowiedź na
żądanie, zanim zażąda jej ponownie od serwera nazw
Pozwala utrzymać poprawność informacji w bazie danych
DNSu
Wartość jest kwestią równoważenia pomiędzy
zapotrzebowaniem na aktualność informacji i potrzebą
zmniejszenia ruchu sieciowego powodowanego przez DNS
Wskazówki główne
•
–
–
Gdy serwer DNS nie potrafi rozwiązać lokalnie zapytania na
podstawie pamięci podręcznej i lokalnych stref, wówczas
korzysta z listy wskazówek głównych określającej, od których
serwerów zacząć iteracyjne zapytania
Lista musi być regularnie aktualizowana
Inne składniki DNS
Forwardery (serwery przekazujące)
•
–
–
Serwery nazw obsługujące wszystkie zapytania iteracyjne dla
serwera nazw
Jeśli serwer nie może odpowiedzieć na zapytanie resolwera
klienta, wówczas serwery dysponujące forwarderami
przekazują żądanie dalej do forwardera znajdującego się
wyżej w hierarchii, który dokona iteracyjnych zapytań do
internetowych serwerów nazw poziomu głównego
Wyszukiwanie za pomocą WINS
•
–
–
Baza danych WINS może posłużyć w połączeniu z DNSem do
wspomagania rozwiązywania nazw przez DNS
Gdy dla zapytania skierowanego do DNSu wyczerpią się
wszystkie możliwości rozwiązania nazwy metodami DNSu,
można odpytać o tę nazwę serwer WINS
Ewolucja usługi Microsoft DNS
Strefy zintegrowane z Active Directory
•
–
W Windows 2000 strefy DNS były zintegrowane z AD
•
•
–
Przechowywane w AD
Podczas replikacji AD, strefy DNS również były replikowane (m.in.
bezpieczne aktualizacje, uwierzytelnianie)
Od Windows 2003 strefy DNS składowane są w partycji
aplikacji
•
Zmniejszony ruch sieciowy replikacji
Aktualizacje dynamiczne
•
–
Pozwalają klientom automatycznie rejestrować i
wyrejestrowywać własne rekordy hostów przy łączeniu z siecią
Obsługa zestawu znaków Unicode
•
–
–
Pozwala na zapisywanie w DNSie rekordów zapisanych w
Unicode, a więc w wielu zestawach znaków z różnych języków
Pozwala serwerowi DNS wykorzystywać i wyszukiwać rekordy
zawierające niestandardowe znaki, np. podkreślenie
DNS w Windows Server
DNS w partycji aplikacji
•
–
Przechowywanie stref zintegrowanych z AD w partycji aplikacji AD
•
•
Dla każdej domeny tworzona jest osobna partycja aplikacji służąca do
przechowywania wszystkich rekordów istniejących w każdej strefie
zintegrowanej z AD
Partycja aplikacji nie jest zawarta w wykazie globalnym, tak więc rekordy DNS
nie są objęte replikacją wykazu globalnego
Automatyczne tworzenie stref DNS
•
–
Ułatwia proces tworzenia strefy, zwłaszcza dla AD
Koniec problemu „wyspy”
•
–
W Win 2000 pojawiał się problem, gdy serwer DNS wskazywał na siebie
jako swój serwer DNS
•
•
–
Gdy adres tego serwera zmieniał się, serwer DNS aktualizował własny wpis,
lecz od tego momentu inne serwery nie były w stanie odebrać od niego
aktualizacji wpisów (żądały ich od „starego” adresu IP)  izolacja serwera
DNS
W celu rozwiązania problemu należało wskazać serwerowi głównemu DNS inny
serwer DNS do aktualizacji
Od Win 2003 DNS najpierw zmienia swoje rekordy hostów w
wystarczającej liczbie innych autorytatywnych serwerów DNS, aby
zmiany IP zostały pomyślnie replikowane  eliminuje to problem wyspy
DNS w środowisku Active Directory
AD wykorzystuje DNS do wszelkich wewnętrznych operacji
wyszukiwania, od logowania klientów do wyszukiwania w wykazie
globalnym
Wpływ DNSu na AD
•
•
–
–
–
Nawet w mniejszych środowiskach warto rozważyć użycie duplikatu
podstawowej strefy DNSu
Bezpieczeństwo bazy danych DNS nie powinno być brane za coś
oczywistego
Zaleca się:
•
•
•
Bezpieczne aktualizacje stref zintegrowanych z AD
Utrzymywanie serwerów DHCP poza kontrolerami domen również pomaga
zabezpieczyć DNS
Ograniczenie dostępu administracyjnego do DNSu
AD i DNS innych producentów
•
–
–
AD może współistnieć z implementacjami DNSu innych producentów niż
Microsoft, a nawet korzystać z nich (z reguły nowszymi)
W organizacjach stosujących starsze wersje DNSu, które nie mogą
obsługiwać klientów AD we własnych bazach danych, DNS Active Directory
można oddelegować do osobnej strefy, w której będzie autorytatywny (w
serwerach Win server można skonfigurować forwardery do obcych
implementacji DNSu zapewniające rozwiązywanie nazw w oryginalnej strefie)
Rozwiązywanie problemów z DNSem
Diagnozowanie problemów za pomocą dziennika zdarzeń DNSu
•
–
–
Event Viewer jest pierwszym miejscem, do którego należy zajrzeć w razie
problemów
•
Analiza tego zbioru zapisów może pomóc w rozwiązaniu problemów z
replikacją DNSu, zapytaniami itp.
Dla bardziej zaawansowanej diagnostyki dziennika zdarzeń można włączać
rejestrację uruchomieniową (ang. Debug Logging) dla poszczególnych serwerów
•
Zaleca się włączać tę funkcjonalność tylko w razie potrzeby, gdyż może ona
spowodować szybkie zapełnienie plików dziennika
Monitorowanie DNSu za pomocą monitora wydajności
•
–
–
Monitor wydajności (ang. performance monitor) wbudowane, często ignorowane
narzędzie, które daje solidny wgląd w problemy sieci
Pozwala monitorować wiele ważnych liczników związanych z zapytaniami,
transferami stref, wykorzystaniem pamięci itp.
Buforowanie po stronie klienta i problemy z plikiem HOSTS
•
–
–
–
Komputery klienty posiadają wbudowaną pamięć podręczną na rozwiązane nazwy,
w której buforowane są wszystkie informacje otrzymane z serwerów nazw
Resolwer najpierw przegląda tę pamięć podręczną zanim skontaktuje się z
serwerem nazw
Problemy mogą wystąpić, gdy ręcznie wpisane pozycje wejdą w konflikt z DNSem
Rozwiązywanie problemów z DNSem c.d.
Narzędzia wiersza poleceń NSLOOKUP
•
–
–
–
Uznane za najprzydatniejsze narzędzie do rozwiązywania problemów z DNSem
Najprostsze działanie NSLOOKUP polega na skontaktowaniu się z domyślnym
serwerem DNS klienta i próbie rozwiązania podanej nazwy
Funkcjonalność NSLOOKUP nie ogranicza się do prostego wyszukiwania
•
Polecenie nslookup /? wyświetla długą listę funkcji
Narzędzie wiersza poleceń IPCONFIG
•
Narzędzie, które służy do rozwiązywania typowych problemów z TCP/IP
Oferuje funkcje związane z DNSem
–
–
•
•
•
ipconfig /flushdns – usuwa wszystkie buforowane do tej pory zapytania, które może
przechowywać klient (stosuje się najczęściej, gdy serwer zmienia adres IP)
ipconfig /registerdns – wymusza ponowne zarejestrowanie się klienta w DNSie, jeśli
dana strefa obsługuje aktualizacje dynamiczne
ipconfig /displaydns – wyświetla zawartość pamięci podręcznej klienta
Narzędzie wiersza poleceń TRACERT
•
–
Pozwala poznać trasę zapytania DNS przesyłanego siecią
Dziękuję za uwagę