Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3143 / 506 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 3:

Ознакомление с DNS

< Лекция 2 || Лекция 3: 1234 || Лекция 4 >

DNS Windows Server 2003

Теперь поговорим о новых возможностях. Имеется довольно много отличий, которые вы увидите в DNS 2003. Вот их список.

  • Круговая система обновлений (Round robin). В DNS обычно используется круговая система, когда у сервера запрашиваются ресурсные записи одинакового типа для одного и того же доменного имени. Если это вызывает проблемы, то вы можете отключить использование круговой системы для определенных типов записей. Для этого нужно внести следующие изменения в реестр.
    • HKLM\System\CurrentControlSet\Services\DNS\Parameters\
    • DoNotRoundRobinTypes
    • Тип: REG_DWORD
    • Допустимый диапазон значений: любой тип RR (SRV, A, NS)
  • Разъединенное пространство имен. Если вы модернизируете сервер NT4 к Windows 2003 и хотите использовать имя Active Directory, которое отличается от предыдущего первичного суффикса NT4, то текущий первичный суффикс FQDN будет всегда соответствовать доменному имени. Если вы еще не сталкивались с этим и хотите получить более подробные сведения, обратитесь к статье Knowledge Base Q257623, "Domain Controller’s DNS Suffix Does Not Match Domain Name" (Суффикс DNS контроллера домена не совпадает с доменным именем).
  • Корневая зона (Root zone). Начиная с NT4, MS DNS автоматически добавляла корневые зоны к серверам DNS. В Windows 2003 это прекращено. В NT4 это инициировалось, когда сервер DNS впервые подключался к сети и не мог еще выдавать информацию серверам корневых подсказок в Интернет. Это вызывало пару проблем, в особенности невозможность задания пересылки запросов или взаимодействия с этими серверами. Теперь, если вам нужна корневая зона ".", вы можете сделать это вручную.
  • Выбор вариантов репликации зон. Теперь вы можете выбирать один из четырех способов репликации. Вы можете выбирать их при создании вашей зоны или когда хотите изменить метод хранения зоны. Вот эти варианты; читайте внимательно, поскольку отличия невелики. Кроме того, учитывайте влияние, которое может оказать ваш выбор на используемую долю пропускной способности сети и нагрузку сети.
    • Все серверы DNS в домене AD [Active Directory] (All DNS Servers in AD Domain). Это репликация всех данных вашей зоны на каждый контроллер домена в домене AD. Это вариант по умолчанию, когда вы создаете интегрированные с AD зоны DNS в системе Windows Server 2003.
    • Все серверы DNS в лесу AD (All DNS Servers in AD Forest). Это максимально возможный охват, при котором ваши зоны реплицируются на каждый контроллер домена в данном лесу. Такая репликация требует значительной части пропускной способности. Выбор вариантов позволяет администратору управлять возможностями репликации, чтобы можно было использовать не слишком большую долю пропускной способности или настраивать соединение с низкой пропускной способностью. В этом примере будет реплицироваться каждый сервер DNS в заданном лесу, что вызовет максимальное увеличение трафика.
    • Все контроллеры домена (DC) в домене AD (All DCs in AD Domain). Информация зоны реплицируется на все контроллеры домена в домене AD. Это вариант, который вы должны выбрать, если хотите, чтобы серверы DNS Windows 2000 загружали зону AD.
    • Все серверы DNS в указанном разделе каталога приложений (All DCs Servers in a Specified Application Directory Partition). Вы можете реплицировать информацию зоны согласно охвату репликации указанного раздела каталога приложений. Если выбрать этот вариант, то сервер DNS, на котором хранится ваша зона, должен быть зарегистрирован в выбранном вами каталоге приложений. Для этого вы можете использовать DNSCMD (более подробно о DNSCMD см. ниже в разделе "Средства DNS"):
      dnscmd Имя-вашего-сервера /CreateDirectoryPartition ваш-контроллер-домена.ваш-домен.com

Вы должны использовать здесь полностью уточненное доменное имя (FQDN). Регистрация вашего сервера DNS в новом разделе происходит почти так же:

dnscmd Имя-вашего-сервера /EnlistDirectoryPartition ваш-контроллер-домена.ваш-домен.com

И, наконец, если вы решили использовать разделы AD, то все объекты DNS удаляются из Глобального каталога (Global Catalog). DNSCMD не устанавливается по умолчанию; это должны сделать вы:

  1. Перейдите на свой дистрибутивный CD.
  2. Войдите в папку support\tools.
  3. Щелкните на suptools.msi. Произойдет запуск программы установки, после чего будут установлены средства поддержки (Support tools).
    • Автоматическое конфигурирование DNS в DCPromo. Это позволяет автоматически задавать настройки ваших клиентов DNS, если выполняются следующие условия.
      • Имеется какое-либо одно сетевое соединение.
      • Предпочтительные и альтернативные настройки DNS совпадают.
      • Настройки DNS имеются только по одному соединению.

В результате будут запрошены текущие серверы DNS, указанные в сетевых настройках, обновлены корневые подсказки, сконфигурированы серверы перенаправления запросов (forwarders) с помощью предпочтительных и альтернативных серверов DNS, заданы настройки DNS с адресом "обратной связи" 127.0.0.1 и затем сконфигурированы все предыдущие предпочтительные и альтернативные серверы DNS. Если все это проходит успешно, то в Event Viewer (Просмотр событий) записывается соответствующий журнал.

  • Фиктивные (Stub) зоны. Мы рассматривали stub-зоны выше; по сути это делегированные дочерние зоны, содержащие SOA-записи, NS-записи и A-записи хостов. Они "склеивают" пространства имен. Сервер DNS может запрашивать сервер имен (NS) непосредственно вместо рекурсии. Изменения вносятся в зоны, когда происходит обновление или загрузка главной зоны. Локальный список главных зон определяет физически локальные серверы, из которых нужно выполнять пересылку.
  • Серверы перенаправления запросов по условиям. Когда сервер DNS получает запрос от клиента, этот сервер выполняет локальный поиск, то есть просматривает информацию своей зоны или информацию, содержащуюся в его кэше. Если он не получает ответа, то перенаправляет данный запрос (если это задано) серверам DNS, для которых он был сконфигурирован. Перенаправление по условиям является более детальным в том смысле, что вместо простого перенаправления запроса любому серверу перенаправление выполняется в соответствии с конкретными доменными именами, заданными в этих запросах. Во вкладке Conditional Forwarders (Серверы перенаправления по условиям), для вызова которой нужно щелкнуть правой кнопкой на сервере в оснастке DNS management, показано, что соответствующие условия можно задавать по конкретному доменному имени или по IP-адресу сервера перенаправления данного домена
  • Group policy (Групповая политика). Это средство конфигурирования клиентов. В среде со многими клиентами DNS не существует средства, с помощью которого можно было конфигурировать всех клиентов сразу, и это конфигурирование исторически выполнялось по отдельности для каждой системы. Такие вещи, как задание доменных суффиксов и может или не может клиент динамически обновлять свои записи, указывались вручную. Средство Group Policy позволяет конфигурировать группу клиентов идентичным образом посредством определенной групповой политики. В конкретные настройки включаются разрешение/отключение динамических обновлений, вывод списка серверов DNS для использования клиентом, предоставление списков суффиксов DNS и передача суффикса первичной DNS в процессе разрешения имен. Если вы разрешаете определенную проблему и при этом используете какую-либо групповую политику, то вам следует помнить, что групповая политика замещает любые другие настройки, например, локальные настройки и/или настройки DHCP. Если вам нужно, то вы можете обойти это правило через реестр, хотя это относится только к динамической регистрации:
    • Имя. DoNotUseGroupPolicyForDisableDynamicUpdate
    • Раздел (Key). HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    • Тип данных. REG_DWORD
    • Допустимый диапазон. 0x0 (использовать групповую политику) и 0x1 (использовать локальные настройки)
    • По умолчанию (Default). 0x0

Записи реестра клиентской стороны

Ниже приводится более подробный список записей реестра клиентской стороны

Динамическое обновление (Dynamic Update)

Эта настройка политики определяет, включено ли динамическое обновление. Компьютеры, сконфигурированные для динамического обновления, автоматически регистрируют и обновляют свои ресурсные записи DNS с помощью сервера DNS

Имя: RegistrationEnabled

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0x0 (отключено) и 0x1 (включено)

Список поиска суффиксов DNS (DNS Suffix Search List)

Групповая политика для списка поиска суффиксов DNS важна для будущего перехода к свободной от NetBIOS среде. Если вы включаете эту настройку, то пользователь направляет запрос поиска имени с одной меткой (например, "widgets"), а клиент локальной DNS присоединяет суффикс (например, "microsoft.com"), что дает в результате запрос поиска "widgets.microsoft.com", прежде чем отправить этот запрос какому-либо серверу DNS.

Имя: SearchList

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_SZ

Допустимый диапазон: разделенные запятой строки суффиксов DNS

Передача первичного суффикса DNS (Primary DNS Suffix Devolution)

Эта настройка политики определяет, будет ли клиент DNS выполнять передачу первичного суффикса DNS в процессе разрешения имени. Если клиент направляет запрос имени с одной меткой (например, "mybox"), то локальный клиент DNS присоединяет суффикс (например, "skillet.com"), что дает в результате запрос "mybox.skillet.com", прежде чем отправить этот запрос серверу DNS.

Первичный суффикс DNS передается до тех пор, пока не будет разрешен запрос или суффикс DNS не будет иметь две метки (например, "skillet.com"). Первичный суффикс DNS не может быть передан менее чем двум меткам.

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0x0 (отключено) и 0x1 (включено)

Регистрация PTR-записи (Register PTR Record)

Эта настройка политики разрешает или запрещает клиенту регистрировать PTR-записи. В состоянии по умолчанию клиенты DNS, сконфигурированные для выполнения динамической регистрации DNS, пытаются выполнить регистрацию ресурсной PTR-записи, только если они успешно зарегистрировали соответствующую ресурсную A-запись. Чтобы включить эту политику, выберите Enable (Включить) и выберите одно из следующих значений.

  • Do not register (Не регистрировать). Компьютеры никогда не будут пытаться регистрировать ресурсные PTR-записи.
  • Register (Регистрировать). Компьютеры пытаются регистрировать ресурсные PTR-записи независимо от успешности регистрации A-записей.
  • Register only if A record registration succeeds (Регистрировать, только если успешно зарегистрирована A-запись). Компьютеры пытаются регистрировать ресурсные PTR-записи, только если они успешно зарегистрировали соответствующие ресурсные A-записи.

Имя: RegisterReverseLookup

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0x0 (отключено), 0x1 (включено)

Интервал обновления регистрации (Registration Refresh Interval)

Эта настройка политики определяет интервал обновления регистрации ресурсных A- и PTR-записей для компьютеров. Эту настройку можно применять только к компьютерам, которые используют динамическое обновление. Если ресурсные записи DNS регистрируются в зонах с включенной очисткой, то значение этой настройки должно быть не больше, чем Refresh Interval (Интервал обновления), заданный для этих зон. Задание величины Registration Refresh Interval, превышающей Refresh Interval этих зон DNS может вызывать преждевременное удаление ресурсных A- и PTR-записей, что может вызвать определенную проблему.

Имя: RegistrationRefreshInterval

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: больше или равно 1800 (секунд)

Замена адресов в конфликтах (Replace Addresses in Conflicts)

Эта настройка политики определяет, будет ли клиент DNS, который пытается зарегистрировать свою ресурсную A-запись, замещать существующие ресурсные A-записи, содержащие конфликтные IP-адреса. Во время динамического обновления зоны, которая не использует Secure Dynamic Update (Защищенное динамическое обновление), клиент может обнаружить, что существующая ресурсная A-запись связывает DNS-имя хоста данного клиента с IP-адресом другого компьютера. Согласно конфигурации по умолчанию этот клиент DNS попытается заместить эту существующую A-запись той A-записью, которая связывает DNS-имя с IP-адресом клиента.

Имя: RegistrationOverwritesInConflict

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0x0 (отключено) и 0x1 (включено)

Регистрация записей DNS с помощью суффикса DNS для конкретного соединения (Register DNS Records with Connection Specific DNS Suffix)

Эта настройка политики определяет, может ли компьютер, выполняющий динамическую регистрацию, регистрировать свои ресурсные A- и PTR-записи путем конкатенации своего имени (Computer Name) и суффикса DNS для конкретного соединения (в дополнение к регистрации этих записей путем конкатенации своего имени и первичного (Primary) суффикса DNS.

Имя: RegisterAdapterName

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0x0 (отключено), 0x1 (включено)

Примечание. Если динамическая регистрация DNS отключена на компьютере (или отключена для конкретного сетевого соединения, к которому применяется эта настройка), то компьютер не будет пытаться выполнять динамическую регистрацию DNS для его A- и PTR-записей независимо от настройки этой политики.
Задание TTL (Срок действия) в A- и PTR-записях (TTL Set in the A and PTR Records)

Эта настройка политики указывает значение для поля TTL (time-to-live) ресурсных A- и PTR-записей, регистрируемых в компьютерах, к которым относится эта настройка.

Имя: RegistrationTTL

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0-4294967200 (секунд)

По умолчанию: 600

Уровень защиты обновлений (Update Security Level)

Эта политика указывает, какой вид обновлений для регистрации DNS-записей будут использовать компьютеры, к которым применяется эта настройка, – защищенные динамические обновления или стандартные динамические обновления. Чтобы включить эту настройку, выберите вариант Enable и выберите одно из следующих значений.

  • Unsecure Followed By Secure (Защищенные после незащищенных). Если выбран этот вариант, то компьютеры отправляют защищенные динамические обновления, только если получают отказ в незащищенных динамических обновлениях.
  • Only Unsecure (Только незащищенные). Если выбран этот вариант, то компьютеры отправляют только незащищенные динамические обновления.
  • Only Secure (Только защищенные). Если выбран этот вариант, то компьютеры отправляют только защищенные динамические обновления.

Имя: UpdateSecurityLevel

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Допустимый диапазон: 0 (UnsecureFollowedBySecure), 16 (OnlyUnsecure), 256 (OnlySecure)

Обновление зон доменов верхнего уровня (Update Top Level Domain Zones)

Эта настройка политики указывает, могут ли компьютеры, к которым применяется эта политика, отправлять динамические обновления зонам, имя которых содержит одну метку (т.е. зонам доменов верхнего уровня, например, "com").

По умолчанию клиент DNS, сконфигурированный для выполнения динамических обновлений, будет отправлять динамические обновления зоне или зонам DNS, которые является руководящими для его ресурсных записей DNS, кроме руководящих зон верхнего уровня и корневой зоны.

Если включить эту политику, то компьютеры, к которым применяется эта политика, будут отправлять динамические обновления любой зоне, которая является руководящей для его ресурсных записей, за исключением корневой зоны.

Имя: UpdateTopLevelDomainZones

Раздел: HKLM\Software\Polices\Microsoft\Windows NT\DNSClient

Тип: REG_DWORD

Значения: 0x0 (отключено) и 0x1 (включено)

Базовая поддержка для DNSSEC (RFC 2535)

Важно отметить, что Windows Server 2003 не полностью поддерживает стандарт DNSSEC, но его назначение – использовать криптографию для обеспечения защиты данных, когда информация зоны передается по проводам (или иным способом, например, в случае беспроводных соединений). Это важно, поскольку злоумышленник может перехватывать эту информацию, чтобы найти "стратегически" важные серверы для последующей подделки или компрометации этих серверов. Имеются открытые (public) и личные (private) ключи, которые связываются с этими зонами, чтобы в случае компрометации сервера DNS клиентские компоненты (resolver) все же могли аутентифицировать ресурсные записи из этих зон (например, эти ключи применяются к зонам, а не к серверу).

Эта служба использует с помощью личных ключей шифрованные цифровые подписи, которые отправляются как ресурсные записи от серверов DNS, где хранятся подписанные зоны. Эти записи принимаются клиентским компонентом (resolver), который может аутентифицировать их с помощью открытого ключа. Цифровые подписи и открытые ключи добавляются к подписанной зоне как ресурсные записи. Отметим, что если вы хотите использовать эту службу, то для этого нужно обратиться к реестру (ее нет в оснастке DNS).

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\

Parameters

Добавьте EnableDnsSec в поле DWORD.

Этому полю передается одно из трех значений в зависимости от того, что вы хотите сделать.

  • 0x0. Исключение ресурсных записей (RR) DNSSEC в ответах на запросы, если это не запись типа NXT, SIG или KEY. В этом случае соответствующие RR будут отправляться только в ответ на записи типа NXT, SIG или KEY.
  • 0x2. Включение ресурсных записей (RR) DNSSEC во все ответы.
  • 0x1 (или пустое поле). Если вам нужно, чтобы записи DNSSEC включались в ответы для тех случаев, когда запрос клиента содержит OPT-запись, то добавьте 0x1 или оставьте это поле пустым.

Возможны случаи, когда у вас имеется сервер DNS с несколькими адаптерами (multihomed), но вы хотите, чтобы этот сервер DNS выполнял прием и отвечал только через один сетевой адаптер (NIC). Для такого компьютера (два сетевых адаптера, соединенных с различными сетями) существует еще одна задача безопасности: когда один из сетевых адаптеров соединен с Интернет, сконфигурировать DNS, чтобы она принимала запросы только из частной сети. Это можно сделать средствами GUI (графического интерфейса). Для этого используется консоль управления Microsoft. Загрузите оснастку DNS и перейдите в раскрывающееся меню Actions (Действия). Щелкните на кнопке Properties (Свойства). Щелкните на вкладке Interface (Интерфейс), выберите Only The Following IP Addresses (Только следующие IP-адреса) и добавьте свой IP-адрес. По окончании щелкните на кнопке Add.

Записи расширения для DNS (EDNSO)

Исходная спецификация для DNS ограничивала размер пакета 512 октетами. EDNS0 (RFC 2671) позволяет передавать пакеты большего размера. Когда сервер DNS получает запрос (используется протокол UDP), он ищет ресурсную OPT-запись клиента и изменяет свой ответ, чтобы можно было передать столько ресурсных записей, сколько указано этим клиентом в OPT-записи (размер UDP указывается в OPT-записи).

Ведение журналов DNS

Возможности ведения журналов DNS не изменились после Windows 2000, но работать с ними стало удобнее за счет использования графического интерфейса (GUI), который включен как часть оснастки Event Viewer. Вы можете задавать фильтрацию по пользователям, по компьютерам, по идентификаторам событий, по категориям или источникам событий от первого до последнего события и в соответствии с типами событий (обычная информация, предупреждения или ошибки). Ведение журнала DNS (DNS logging) представлено в оснастке DNS или в оснастке Event Viewer, включенной в окно Administrative Tools (Администрирование). Для выбора опций ведения журнала событий и отладки щелкните правой кнопкой на сервере в оснастке DNS и выберите пункт Properties. Появятся вкладки журнала отладки (Debug logging) и журнала событий (Event logging), и вы сможете выбрать нужные варианты. Это следующие варианты: Query (Запрос), Notify (Уведомление), Update (Изменение), Questions (Вопросы), Answers (Ответы), Send (Отправка), Receive (Получение), UDP, TCP, Full Packets (Полные пакеты) и Write Through (Сквозная запись).

< Лекция 2 || Лекция 3: 1234 || Лекция 4 >
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск