Опубликован: 20.02.2006 | Уровень: специалист | Доступ: платный
Лекция 8:

TCP/IP и DNS

Консоль DNS

DNS, как и все остальные компоненты WS03, администрируется при помощи консоли MMC (см. рис. 8.11). Консоль MMC DNS открывается с помощью команды Start\Administrative Tools\DNS (Пуск\Администрирование\DNS).

Консоль DNS

Рис. 8.11. Консоль DNS

В консоли DNS в левой области под именем компьютера располагаются три компонента: Event Virewer (Просмотр событий), Forward Lookup Zones (Зоны прямого поиска) и Reverse Lookup Zones (Зоны обратного поиска).

Просмотр событий

Секция Event Viewer содержит часть DNS Events (События DNS) обычной программы просмотра событий. Это делает консоль DNS универсальным средством управления сервером доменных имен. Опции управления данной секции соответствуют опциям, доступным при обычном просмотре событий.

Зоны прямого поиска

Секция Forward Lookup Zones (Зоны прямого поиска) выводит список всех зон прямого поиска компьютера для обычных записей домена DNS (A, SRV, MX и т.д.).

Для создания зоны прямого поиска выполните следующие шаги.

  1. Откройте консоль DNS MMC.
  2. Щелкните правой кнопкой мыши на пункте Forward Lookup Zones (Зоны прямого поиска), затем во всплывающем меню выберите New Zone (Создать зону).
  3. Откроется мастер создания новых зон (New Zone Wizard). Нажмите на кнопку Next (Далее).
  4. Выберите тип создаваемой зоны, затем отметьте опцию Store In Active Directory (Сохранить в Active Directory), если она доступна.
  5. Введите имя зоны.
  6. Укажите имя файла, который будет использоваться (если не AD).
  7. Разрешите/запретите динамические обновления.
  8. Нажмите на кнопку Finish (Готово).

После создания зоны обратного поиска можно создать записи. Самым распространенным типом записи является Address (Адрес), поэтому мы начнем именно с нее.

  1. Откройте консоль DNS.
  2. Щелкните правой кнопкой мыши на зоне, в которую нужно добавить записи, и выберите New Other Records (Создать другие записи). Отобразится перечень всех типов записей, которые можно расположить в данной зоне.
  3. Укажите нужный тип записи. В нашем примере следует указать Host(A).
  4. Нажмите на кнопку Create Record (Создать запись). Появится окно New Resurce Record (Новая запись ресурса).
  5. Введите имя узла. При создании веб-сайта в качестве имени узла обычно указывается WWW.
  6. Введите IP-адрес узла.
  7. Если есть зона обратного поиска, и вы хотите обновить обратную запись, отметьте опцию, после чего произойдет ее автоматическое обновление.
  8. Нажмите на кнопку OK.
  9. Нажмите на кнопку Done (Готово) для закрытия окна Resouce Record type (Тип записи ресурса).

Зоны обратного поиска

Зоны обратного поиска содержат связи IP-адресов с именами, которые позволяют клиентам находить имена по IP-адресам. Это позволяет замкнуть цикл преобразования имен, поскольку можно преобразовать имя в IP-адрес с прямым поиском, а затем преобразовать IP-адрес обратно в имя с обратным поиском. Это важно для подтверждения подлинности клиентов и серверов, поскольку процессы администрирования прямого и обратного поиска выполняются отдельно. Кто-то может представиться под определенным именем, но поскольку обратные адреса делегируются в отдельном порядке, невозможно подделать обратный процесс. Если исходный и конечный адреса не совпадают, это может быть признаком злоумышленных действий.

Совет. Следует заметить, что несовпадение обратного и прямого адресов не обязательно является тревожным признаком. Клиенты ISP часто используют характерные имена обратного просмотра, например, в коммерческих доменах, особенно в электронной почте. Многие серверы электронной почты игнорируют почту, если почтовый сервер отправителя не соответствует прямому и обратному DNS.

Давайте рассмотрим пример, связанный с работой зон обратно поиска. Предположим, кто-то представился под именем mail.someisp.com и IP-адресом – 55.56.57.58. При проверке обратного соответствия выясняется, что данный IP-адрес принадлежит имени spamalot.badmail.com. С точки зрения безопасности здесь что-то не так. Именно для этого и предназначены обратные DNS-адреса.

Как функционируют зоны обратного поиска

Зоны обратного поиска аналогичны зонам прямого поиска, за исключением двух важных отличий. Все IP-адреса являются частью одного домена с именем in-addr.arpa. Этот домен является полномочным для всех операций поиска имен по IP-адресам. Такие домены делегируются посредством блоков IP-адресов. Например, для IP-блока класса C адресов 192.168.0.0 / 24 ( 192.168.0.0 – 192.168.0.255 ) зоной обратного поиска в DNS является 0.168.192.in-addr.arpa. Обратные зоны присваиваются в обратном порядке. Часть IP-адреса, представляющая собой номер сети, формирует зону, а номера узлов образуют записи PTR.

Ниже приведены несколько примеров.

Блок IP Маска подсети Зона обратного поиска
10.0.0.0 255.0.0.0 10.in-addr.arpa
145.162.0.0 255.255.0.0 162.145.in-addr.arpa

Обратный адрес DNS делегируется блоком IP, начиная с верхнего блока вниз до используемого вами блока. Это означает, что адреса класса A делегируются с первого октета, адреса класса B – со второго октета, а адреса класса С – с третьего октета.

Рассмотрим последовательность преобразования IP-адреса в имя посредством обратного поиска DNS.

  1. Клиенту нужно выяснить, кем является определенный IP-адрес, скажем, 55.66.77.88. Клиент спрашивает у DNS-сервера: "Кто такой 88.77.66.55.in-addr.arpa?".
  2. Поскольку это адрес класса A, начинаем с первого октета. DNS-сервер начнет с опроса корневых серверов: "Кто такой 88.77.66.55.in-addr.arpa?".
  3. Корневой сервер отвечает, что ему это не известно, но 0.0.0.55.in-addr.arpa принадлежит MongoISP.
  4. DNS-сервер спрашивает у DNS-сервера провайдера MongoISP: "Кто такой 88.77.66.55.in-addr.arpa?".
  5. DNS-сервер провайдера MongoISP отвечает, что ему это не известно, однако ему принадлежит 0.0.0.55.in-addr.arpa, и он делегировал 0.0.66.55.in-addr.arpa провайдеру MidTierISP.
  6. DNS-сервер спрашивает у DNS-сервера провайдера MidTierISP: "Кто такой 88.77.66.55.in-addr.arpa?".
  7. DNS-сервер MidTierISP отвечает, что ему это не известно, но в его владении находится 0.0.66.55.in-addr.arpa, и что он делегировал 0.77.66.55.in-addr.arpa провайдеру HomeTownISP.
  8. DNS-сервер спрашивает у DNS-сервера HomeTownISP "Кто такой 88.77.66.55.in-addr.arpa?"
  9. DNS-сервер провайдера HomeTownISP отвечает, что он точно знает, кто это, и что данный адрес принадлежит mail.somebody.com.

Это довольно сложный процесс, так как в делегировании используется уровень октетов IP-адреса, особенно если маска подсети не соответствует точным образом строкам подсети. Тем не менее, можно делегировать любую нужную подсеть.

Например, обратной зоной DNS для подсети 192.168.0.128 / 26 является 128/26.0.168.192.in-addr.arpa. Число 128 говорит о том, что нужно начать с этой подсети с 26-битной маской подсети.

Почему "делегирование"?

Поскольку обратное делегирование выполняется, начиная с корневых серверов имен и далее по направлению вниз, оно должно осуществляться через "официальные" процедуры. Это значит, что корневой сервер сообщает клиенту о следующем сервере, через который нужно пройти в процессе преобразования имени. Каждый нижестоящий сервер должен быть официально назначен корректным сервером для конкретной обратной зоны DNS, поэтому фальсификация присвоения становится намного более трудной задачей.

Если вас интересуют более глубокие аспекты, связанные с работой обратного поиска DNS, обратитесь к документу RFC 2317 "Classless IN-ADDR.ARPA Delegation".

Создание зоны обратного поиска

Рассмотрим процесс создания зоны обратного поиска.

  1. Откройте консоль DNS.
  2. Щелкните правой кнопкой мыши на сервере, где нужно создать зону, после чего выберите команду New Zone (Создать зону).
  3. Выберите тип зоны. В данном примере – Standard Primary (Стандартная главная) (не в AD).
  4. Выберите создание зоны обратного поиска Reverse Lookup Zone (Зона обратного поиска).
  5. Введите сетевой идентификатор создаваемой зоны. В данном примере используйте 192.168.0. Обратите внимание на то, что здесь не указывается четвертый октет, поскольку с ним нельзя создать зону обратной DNS. Если создается бесклассовая (в подсети) обратная зона, то следует ввести имя, а не использовать область мастера Network ID (Сетевой идентификатор).
  6. Выберите создание зоны с данным именем файла, введите новое имя файла либо используйте существующий файл. Помните, что при создании бесклассовой зоны в имени файла нельзя использовать прямой слеш, поскольку он является недопустимым символом в именах файлов Windows. Вместо него следует использовать дефис ("-"). При использовании существующего файла преимущество заключается в том, что готовый файл DNS уже настроен и содержит все записи.
  7. Разрешите или запретите динамическое обновление. Если не используется интегрированная с AD зона, нельзя разрешить только защищенные динамические обновления, потому что невозможно настроить списки контроля доступа на стандартных зонах. Тем не менее, можно разрешить динамические обновления с любого клиента.
  8. Нажмите на кнопку Finish (Готово) для завершения процесса.

После создания зоны в ней можно создать записи. В нашей зоне требуется создание записи PTR и обеспечение делегирования.

Создание записей в зоне обратного поиска

Для создания записей обратного поиска выполните следующие действия.

  1. Выделите зону, в которой нужно создать записи.
  2. Выберите команду Action\New Pointer (PTR) (Действие\Новый указатель [PTR]).
  3. Введите узловую часть IP-адреса в соответствующем текстовом поле.
  4. Введите имя узла.
  5. Нажмите на клавишу OK.
Делегирование зон DNS

Рассмотрим процесс делегирования зоны обратного поиска в DNS.

  1. Выделите зону обратного поиска, для которой необходимо реализовать делегирование.
  2. Выберите команду Action\New Delegation (Действие\Новое делегирование).
  3. Введите номер подсети, которую нужно делегировать. Например, если для подсети 10.10.0.0/16 нужно делегировать 10.10.5.0/24, то следует ввести 5.
  4. Нажмите на кнопку Next (Далее).
  5. Добавьте имя (имена) DNS-сервера (серверов), на которых будет располагаться зона, нажав на кнопку Add (Добавить).
  6. Нажмите на кнопку Next (Далее).
  7. Нажмите на кнопку Finish (Готово) для завершения работы мастера.

Вам необходимо также создать соответствующую зону на рассмотренном сервере. В этом случае запись указывает клиенту на сервер имен при выполнении преобразования клиентом имени DNS.

Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Владимир Кирин
Владимир Кирин
Неполодки на ресурсе.При сдаче 7 теста, открывается пустое окно, и ничего не происходит.Поправте пожалуйста. При этом попытка считается защитана, перездача только через 30 мин. Использую браузер опера.
Евгений Северин
Евгений Северин
Казахстан, Астана
Ярославй Грива
Ярославй Грива
Россия, г. Санкт-Петербург