Rozdział 10
Określanie nazw w TCP/IP przy użyciu
DNS
DNS (Domain Name System) jest hierarchicznym, rozproszonym syste-
mem nazewniczym, powszechnie używanym w sieciach opartych na
TCP/IP. DNS jest również podstawową usługą nazewniczą w Internecie.
W niniejszym rozdziale omówiono tworzenie serwerów nazw i delego-
wanie poddomen. Opisano także sposób integracji DNS i WINS oraz
usuwanie problemów w pracy usług nazewniczych. Głównym narzę-
dziem służącym do tworzenia i konfigurowania serwera DNS jest gra-
ficzny program DNS Admin, chociaż można również korzystać z plików
tekstowych BIND.
Serwer Windows NT może pracować jako serwer DNS. Serwer DNS
oparty na Windows NT posiada dwie unikalne cechy:
Można w nim zintegrować usługi DNS z WINS, co pozwala na
dynamiczne uaktualnianie bazy adresów IP w trakcie rejestrowania
nazw NetBIOS.
Wyposażony jest w program narzędziowy DNS Admin, którego
graficzny interfejs pozwala na proste zarządzanie wszystkimi
aspektami DNS.
Czym jest DNS?
DNS jest rozproszoną bazą danych, służącą do przechowywania
odwzorowań pomiędzy nazwami hostów i adresami IP (ma też kilka
innych zastosowań, omówionych w
dalszej części rozdziału). Po
dostarczeniu nazwy komputera, DNS zwraca jego adres IP lub inne
żądane informacje. Rozproszona struktura DNS wynika z tego, że różne
serwery DNS zarządzają różnymi częściami drzewa nazw.
Struktura DNS jest kluczowym aspektem poprawnego funkcjonowania
Internetu. Rozproszenie usług nazewniczych redukuje obciążenie poje-
dynczych serwerów, a ich hierarchiczność umożliwia administratorom
Rozdział 10
330
elastyczne nadawanie nazw komputerom - nie muszą się martwić, że
ktoś na zewnątrz ich domeny wykorzystał już jakąś nazwę.
Utrzymywanie przez pojedynczą osobę lub organizację autorytatywnego
pliku nazw hostów stawało się coraz trudniejsze wraz z powiększaniem
się Internetu. Plik nie zapewniał żadnej hierarchii, co powodowało
problemy związane z
konfliktami nazw, i
rósł zbyt szybko, aby
komputery mogły go wydajnie przetwarzać. Być może największym
problemem był fakt, że plik hostów był statyczny, przez co jego kopie
były zawsze nieaktualne. Użytkownicy bardzo często usiłowali pobrać
najnowszą kopię, a liczba ich próśb - w połączeniu z trudnościami
w zarządzaniu plikiem głównym - była takim obciążeniem, że nawet
główny plik bywał nieaktualny.
Użytkownicy Internetu rozwiązali ten problem, tworząc system DNS
(Domain Name System).
Kiedy korzystać z DNS?
Zanim rozpoczniemy konfigurowanie serwera DNS, powinniśmy
zdecydować, czy na pewno jest on potrzebny. Często dostawcy Internetu
zapewniają usługi DNS za niewielką opłatą; skorzystanie z ich oferty jest
korzystne, zwłaszcza w przypadku niewielkich sieci. Własny serwer DNS
potrzebny jest w następujących okolicznościach:
Posiadamy własną nazwę domeny w Internecie i chcemy stworzyć
oraz delegować w niej poddomeny.
Chcemy lokalnie zarządzać usługami DNS w
celu osiągnięcia
większej elastyczności.
Posiadamy oprogramowanie firewall, ukrywające przed zewnętrzną
siecią przynajmniej niektóre z wewnętrznych nazw komputerów.
Czynności wstępne
Przed konfiguracją serwera DNS konieczne jest podjęcie kilku decyzji.
Trzeba zdecydować się, w którym miejscu hierarchii chcemy się znaleźć,
aby możliwe było zarejestrowanie się w nadrzędnych domenach. Jedna
z domen używana jest do odwzorowywania nazw na adresy IP, a druga
(in-addr.arpa) adresów IP na nazwy. Zazwyczaj informacji tych dostarcza
dostawca Internetu; jeśli z jakiś względów tego nie zrobi, należy skontak-
tować się z InterNIC (Internet Network Information Center) pod adresem:
http://
www
.internic.net/
Określanie nazw w TCP/IP przy użyciu DNS
331
Wyjąwszy interakcję z WINS i DHCP (opisaną w
rozdziale 8,
"Konfigurowanie i
zarządzanie DHCP"), DNS nie jest systemem
dynamicznym i musi zostać skonfigurowany ręcznie. Należy z rozwagą
zaplanować przydział nazw - dobry projekt pomoże uniknąć wielu
późniejszych kłopotów, a administrator oszczędzi sobie pracy, jeśli nie
będzie musiał dokonywać częstych zmian. Ze względu na hierarchiczną
strukturę bazy danych DNS największe znaczenie mają wyższe poziomy
drzewa nazw, które w miarę możliwości nie powinny się zmieniać - jeśli
np. przedsiębiorstwo często się reorganizuje, należy rozważyć możliwość
użycia nazw poddomen uwarunkowanych geograficznie, a
nie
organizacyjnie.
Jeśli w sieci znajduje się więcej niż kilkaset hostów, powinno się je
w miarę równo rozdzielić pomiędzy podsieci, aby leżały w różnych
strefach i
poddomenach. Pomaga to w
utrzymaniu rozsądnych
rozmiarów stref - projekt sieci zakładający rozległe strefy i ograniczoną
dystrybucję prowadzi do potencjalnych problemów z przepustowością,
spowodowanych transferami międzystrefowymi, które zachodzą
podczas odbierania przez wtórne serwery nazw uaktualnionej informacji
z serwerów głównych.
Serwer DNS powinien pracować nieprzerwanie, aby zapewnić ciągłą
łączność z
Internetem. Z
tego względu zaleca się ustanowienie
przynajmniej jednego zapasowego serwera DNS. W
niektórych
przypadkach potrzebne może być nawet kilka serwerów DNS,
aczkolwiek ogłaszanie w sieci więcej niż siedmiu autorytatywnych
serwerów uważane jest za niewłaściwe. Serwery wtórne regularnie
otrzymują uaktualnienia od serwera głównego. Można ustanowić jeden
serwer DNS w każdej sieci lub podsieci w przedsiębiorstwie, aby
możliwe było lokalne określanie nazw nawet w przypadku awarii
routera. Dostęp do wtórnego serwera DNS często zapewnia dostawca
Internetu, co pomaga ograniczyć ruch w wewnętrznej sieci - wszystkie
zapytania zewnętrzne są określane poza siecią.
Instalowanie usług DNS na serwerze Windows NT
Instalowanie usług DNS na serwerze Windows NT jest
nieskomplikowane. Wymagany jest system Windows NT Server w wersji
4 lub późniejszej. Niniejszy opis dotyczy wersji Windows NT Server 5.
Konfigurowanie serwera
Podczas instalowania Windows NT Server 5 do grupy Administrative
Tools dołączana jest opcja DNS Management. Jeśli zamierzamy skorzy-
Rozdział 10
332
stać z usług DNS, musimy najpierw zainstalować protokół TCP/IP. Poni-
żej podano procedurę konfigurowania serwera DNS:
1. Zalogować się jako administrator i upewnić się, że w napędzie CD-
ROM znajduje się dysk instalacyjny Windows NT.
2. Wybrać Start/Programs/Administrative Tools/DNS Management.
3. Jeśli serwer DNS jest konfigurowany po raz pierwszy, ukaże się okno
z zapytaniem, czy chcemy skonfigurować serwer DNS. Należy
wybrać Yes.
4. Powinno pojawić się okno Configure New Server Wizard (patrz rysunek
10.1).
5. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera
DNS (patrz rysunek 10.2). Można tu wybrać opcję Private DNS - dla
prywatnej sieci, niepołączonej z Internetem, albo Internet DNS - dla
serwera podłączonego do Internetu (bezpośrednio lub poprzez fire-
wall). Po wybraniu Internet DNS, serwer będzie używał interneto-
wych serwerów bazowych, a po wybraniu Private DNS - prywatnych
serwerów bazowych. W dalszych punktach procedury zakładamy, że
wybrano opcję Private DNS.
6. Kliknąć Next. Pojawi się okno umożliwiające założenie serwera
bazowego (root server - patrz rysunek 10.3). Po wybraniu opcji Make
this
server a root server, na konfigurowanym serwerze zostanie
założony plik danych serwera bazowego. Po wybraniu opcji Do not
make this server a root server
, konieczne będzie wprowadzenie adresu
IP serwera bazowego w sieci. W dalszych punktach procedury
zakładamy, że wybrano opcję Make this server a root server.
7. Kliknąć Next. Pojawi się okno umożliwiające dodanie strefy zwykłego
wyszukiwania (forward lookup zone - patrz rysunek 10.4). Można
dodać strefę w tym momencie, można uczynić to później. W dalszych
punktach procedury zakładamy, że dodawana jest strefa zwykłego
wyszukiwania.
8. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera
DNS (patrz rysunek 10.5). Można wybrać pomiędzy serwerem
podstawowym (Primary), podstawowym serwerem usług
katalogowych (Primary DS) oraz serwerem wtórnym (Secondary).
Serwerów podstawowych używa się do utworzenia głównej kopii
nowej strefy. Są przeznaczone do zapisu i odczytu.
Podstawowych serwerów usług katalogowych używa się do
utworzenia głównej kopii strefy zintegrowanej z
usługą
katalogową. Są przeznaczone do zapisu i odczytu.
Określanie nazw w TCP/IP przy użyciu DNS
333
Serwerów wtórnych używa się do utworzenia repliki istniejącej
strefy. Są przeznaczone wyłącznie do odczytu.
W dalszych punktach procedury zakładamy, że wybrano serwer
podstawowy (Primary server).
Rysunek 10.1
Okno Configure New Server Wizard.
Rysunek 10.2
Okno Select DNS.
Rysunek 10.3
Okno Configure as Root Server.
Rysunek 10.4
Okno Add Forward Lookup Zone.
8. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy
podstawowej strefy domeny (patrz rysunek 10.6). Należy tu wpisać
nazwę strefy; zazwyczaj jest to nazwa zarejestrowana w InterNIC. Je-
śli np. przedsiębiorstwo nazywa się XYZ i
zarejestrowano je
w domenie COM, jako nazwę podstawowej strefy domeny należy
podać XYZ.COM.
9. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy
pliku strefy (patrz rysunek 10.7). Można utworzyć nowy plik albo za-
Rozdział 10
334
importować plik z danymi. Można również składować informacje
o strefie w katalogu aktywnym (Active Directory), zamiast w pliku
tekstowym. Importowane pliki z danymi muszą być w formacie zde-
finiowanym w dokumentach RFC 1034 i 1035. Pliki takie mogły zo-
stać wcześniej utworzone w implementacjach DNS dla systemu
UNIX. Najpopularniejszą i najbardziej rozpowszechnioną implemen-
tacją DNS dla UNIX jest BIND (Berkeley Internet Name Domain), a pliki
przechowujące informacje o strefie nazywane są plikami danych stre-
fy albo plikami BIND.
10. Kliknąć Next. Pojawi się okno umożliwiające dodanie strefy odwrot-
nego wyszukiwania (Reverse Lookup Zone - patrz rysunek 10.8). Moż-
na dodać strefę w tym momencie, można uczynić to później.
W dalszych punktach procedury zakładamy, że strefa odwrotnego
wyszukiwania została dodana. Stref takich używa się do zwracania
rezultatów odwrotnych zapytań DNS; odwrotne zapytania przekazu-
ją DNS adresy IP i oczekują odesłania odpowiadających im symbo-
licznych nazw. Jest to odwrotność zwykłych zapytań DNS, które
przekazują DNS symboliczne nazwy i
oczekują odesłania
odpowiadających im adresów IP.
11. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera
DNS (patrz rysunek 10.5). Można wybrać pomiędzy serwerem
podstawowym (Primary), podstawowym serwerem usług
katalogowych (Primary DS) oraz serwerem wtórnym (Secondary),
które omówiono wcześniej - tym razem określa się jednak typ
serwera dla wyszukiwania odwrotnego.
Rysunek 10.5
Okno Select Type.
Rysunek 10.6
Okno do wprowadzania nazwy podstawowej
strefy domeny
Określanie nazw w TCP/IP przy użyciu DNS
335
strefy domeny.
Rysunek 10.7
Okno do wprowadzania nazwy pliku strefy.
Rysunek 10.8
Okno Add Reverse Lookup.
12. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy
podstawowej domeny strefy wyszukiwania odwrotnego (patrz
rysunek 10.9). Można tu wprowadzić identyfikator podsieci dla strefy
wyszukiwania odwrotnego (opcja Enter the Subnet ID for the Reverse
Lookup Zone
) albo wprowadzić inną nazwę strefy (opcja Enter the
Name of the Zone
). Jeśli np. wprowadzimy jako identyfikator podsieci
199.245.180, wtedy nazwą strefy będzie 180.245.199.in-addr.arpa.
13. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy
pliku strefy odwrotnego wyszukiwania (patrz rysunek 10.10). Można
utworzyć nowy plik albo zaimportować plik z danymi.
14. Kliknąć Next. Pojawi się końcowe okno konfiguracyjne, streszczające
dokonane dotychczas wybory (patrz rysunek 10.11).
15. Kliknąć Finish, aby zakończyć konfigurację serwera. Pojawi się okno
DNS Admin
, zawierające nazwę skonfigurowanego właśnie serwera
DNS.
16. Po kliknięciu na nazwie serwera DNS w oknie DNS Admin, pojawią
się nazwy stref utworzonych na serwerze (patrz rysunek 10.12).
Rozdział 10
336
Rysunek 10.9
Okno do wprowadzenia nazwy podstawowej
domeny strefy odwrotnego wyszukiwania.
Rysunek 10.10
Okno do wprowadzania nazwy pliku strefy
odwrotnego wyszukiwania.
Pliki bazy danych DNS
Pliki bazy danych DNS są plikami tekstowymi, w formacie używanym
w BIND (Berkeley Internet Domain). BIND jest najpopularniejszą
w Internecie implementacją DNS, zwyczajowo używaną w systemach
UNIX.
Można skonfigurować serwer DNS w Windows NT bezpośrednio
edytując te pliki; ich format jest identyczny, jak w systemach UNIX. Jeśli
administrator zna format plików konfiguracyjnych BIND, może
skonfigurować system w ten sposób.
Podczas konfigurowania serwera DNS za pomocą opisanej
w poprzednim podrozdziale procedury, w katalogu
\%KatalogSystemowy%\
system32\DNS
tworzone są następujące pliki:
root.dns
cache.dns
zonedata.dns
odwrócony_identyfikator_podsieci.in-addr.arpa
Poniżej podano przykłady zawartości wymienionych plików DNS.
Oto przykładowy plik root.dns: ;
;
Database file root.dns for. zone.
;
Zone version: 3
;
@
IN
SOA
(
tpnts.siyan.com.
;
primary
DNS
Server
Określanie nazw w TCP/IP przy użyciu DNS
337
administrator.siyan.com.
;
zone
admin e – mail
3
;
serial
number
3600
;
refresh
600
;
retry
86400
;
expire
3600
) ; minimum TTL
;
;
Zone NS records
;
@
NS
tpnts.siyan.com
;
; Zone
records
;
;
;
Delegated sub – zone: 0.in – addr.arpa.
;
0.in – addr.arpa
NS
tpnts.siyan.com
; End
delegation
;
;
Delegated sub – zone:
127.in – addr.arpa.
;
127.in – addr.arpa
NS
tpnts.siyan.com
; End
delegation
;
;
Delegated sub – zone:
180.245.199.in – addr.arpa.
;
180.245.199.in – addr.arpa
NS
tpnts.siyan.com
; End
delegation
;
;
Delegated sub – zone:
255.in – addr.arpa.
;
255.in – addr.arpa
NS
tpnts.siyan.com
; End
delegation
;
Delegated sub – zone: kinetics.com.
;
kinetics.com
NS
tpnts.siyan.com
; End
delegation
tpnts.siyan.com A
199.245.180.9
Rozdział 10
338
Rysunek 10.11
Końcowe okno konfiguracyjne.
Rysunek 10.12
Okno DNS Admin pokazujące nazwy stref.
Oto przykładowy plik cache.dns: ;
;
cache.dns - - DNS CACHE FILE
;
;
Initial cache data for root domain servers.
;
;
YOU SHOULD CHANGE:
;
->
Nothing if connected to the Internet. Edit this file
only when
;
updated rot name serveeer list is released.
;
OR
;
->
If NOT connected to the Internet, remove these
records and replace
;
with NS and A records for the DNS Server
authoritative for the root domain at
; your
site.
;
;
Note, if you are a root domain server, for your own private
intranet,
;
no cache is required, and you may edit your boot file to
remove
; it
;
;
;
This file holds the information on root name servers
needed to
;
initialize cache of Internet domain name servers
;
(e. g. reference this file in the "cache. <file>"
;
configuration file of BIND domain name servers).
;
;
This file is made available by InterNIC registration
services
;
under anonymus FTP as
;
file
/domain/named.root
;
on
server
FTP.RS.INTERNIC.NET
;
-OR- under Gopher at
RS.INTERNIC.NET
;
under menu
InterNIC Registration Services
(NSI)
;
submenu
InterNIC Registration Archives
;
file
named.root
;
;
last update:
Aug 22, 1997
;
related version of root zone: 1997082200
;
;
; formerly
NS.INTERNIC.NET
;
.
3600000
IN NS A.ROOT
–
SERVERS.NET.
A.ROOT – SERVERS.NET. 3600000 A
198.41.0.4
;
; formerly
NS1.ISI.EDU
;
.
3600000
NS
B.ROOT – SERVERS.NET.
B.ROOT – SERVERS.NET. 3600000 A
128.9.0.107
;
; formerly
C.PSI.NET
Określanie nazw w TCP/IP przy użyciu DNS
339
;
.
3600000
NS
C.ROOT – SERVERS.NET
C.ROOT – SERVERS.NET. 3600000 A
192.33.4.12
;
; formerly
TERP.UMD.EDU
;
.
3600000
NS
D.ROOT – SERVERS.NET.
D.ROOT – SERVERS.NET. 3600000 A
128.8.10.90
;
; formerly
NS.NASA.GOV
;
.
3600000
NS
E.ROOT – SERVERS.NET.
E.ROOT – SERVERS.NET 3600000 A
192.203.230.10
;
; formerly
NS.ISC.ORG
;
.
3600000
NS
F.ROOT – SERVERS.NET
F.ROOT – SERVERS.NET. 3600000 A
192.5.5.241
;
; formerly
NS.NIC.DDN.MIL
;
.
3600000
NS
G.ROOT – SERVERS.NET.
G.ROOT – SERVERS.NET. 3600000 A
192.112.36.4
;
; formerly
AOS.ARL.ARMY.MIL
;
.
3600000
NS
H.ROOT – SERVERS. NET.
H.ROOT – SERVERS.NET. 3600000 A
128.63.2.53
;
; formerly
NIC.NORDU.NET
;
.
3600000
NS
I.ROOT – SERVERS. NET.
I.ROOT – SERVERS.NET. 3600000 A
192.36.148.17
;
;
temporarily housed at NSI (InterNIC)
;
.
3600000
NS
J.ROOT – SERVERS. NET.
J.ROOT – SERVERS.NET. 3600000 A
198.41.0.10
;
;
housed in LINX, operated by RIPE NCC
;
.
3600000
NS
K.ROOT – SERVERS. NET.
K.ROOT – SERVERS.NET. 3600000 A
193.0.144.129
;
;
temporarily housed at ISI (IANA)
;
.
3600000
NS
L.ROOT – SERVERS. NET.
L.ROOT – SERVERS.NET. 3600000 A
198.32.64.12
;
;
housed in Japan, operated by WIDE
;
.
3600000
NS
M.ROOT – SERVERS. NET.
M.ROOT – SERVERS.NET. 3600000 A
202.12.27.93
;
End of File
Oto przykładowy plik zonedata.dns: ;
;
Database file kinetics.com.dns for kinetics.com zone.
;
Zone version: 1
;
@
IN
SOA
(
Rozdział 10
340
tpnts.siyan.com.
;
primary
DNS
Server
administrator.siyan.com.
; Zone admin e –
mail
1
;
serial
number
3600
;
refresh
600
;
retry
86400
;
expire
3600
)
;
minimum
TTL
;
;
Zone NS records
;
@
NS
tpnts.siyan.com.
;
; Zone
records
;
Oto przykładowy plik odwrócony_identyfikator_podsieci.in-addr.arpa: ;
;
Database file 180.245.199.in – addr.arpa.dns for
180.245.199.in – addr.arpa zone.
; Zone
version:
1
;
@
IN
SOA
(
tpnts.siyan.com.
;primary
DNS Server
administrator.siyan.com.
;
zone
admin e – mail
1
;
serial
number
3600
;
refresh
600
;
retry
86400
;
expire
3600
)
;
minimum
TTL
;
;
Zone NS records
;
@
NS
tpnts.siyan.com.
;
; Zone
records
;
Aktualizowanie systemu z wersji NT 3.51
Jeśli używamy Windows NT w
wersji 3.51 z
serwerem DNS,
pochodzącym z Microsoft's 3.51 Resource Kit, i planujemy uaktualnić
system do wersji 4.0 (z dołączonym serwerem DNS), wówczas
powinniśmy za pomocą programu REGEDT32.EXE usunąć wszystkie
związane z DNS wpisy Rejestru przed rozpoczęciem aktualizacji.
Po zakończeniu aktualizacji należy skonfigurować serwer DNS za
pomocą procedury, opisanej we wcześniejszym podrozdziale
"Konfigurowanie serwera".
Przeniesienie z serwera DNS opartego na BIND
BIND jest wciąż najszerzej stosowanym programem serwera nazw,
wchodzącym w skład dystrybucji większości systemów UNIX. Jeśli obec-
Określanie nazw w TCP/IP przy użyciu DNS
341
nie korzystamy z serwera DNS BIND na innej platformie i planujemy
przeniesienie jego zadań na serwer NT, możemy to zrobić kopiując pliki
bazy danych BIND do katalogu %KatalogSystemowy%\ system32\DNS po
zainstalowaniu, lecz przed uruchomieniem usług DNS. Aby móc używać
WINS i NBSTAT do określania nazw NetBIOS, należy zmodyfikować
plik in-addr.arpa w katalogu %KatalogSystemowy%\ system32\DNS tak, aby
uwzględniał te opcje. Plik in-addr.arpa zawiera informacje
o odwzorowaniu adresów IP na nazwy hostów, wykorzystywane pod-
czas odwrotnego wyszukiwania DNS. Należy otworzyć plik
in-addr.arpa
w edytorze tekstowym (np. WordPad). Odpowiednia część
pliku przypomina podaną niżej:
;
;
arpa – 192.rev
;
;
Reverse lookup file for 29.5.192.in – addr.arpa. domain.
;
;
This file provides addres to name matching (reverselookup)
;
for addresses 192.5.29?.
;
;
;
Note that all domain names given in this file, which are not
;
terminated by a"." and hence fully qualified domain names
(FQDN),
;
are impllicitly appended with "29.5.192.in – addr.arpa."
;
; Examples:
;
"6"
=>
6.29.5.192.in
–
addr.arpa
;
;
If a name outside of "29.5.192.in – addr.arpa." is required,
then it
;
must be explicitly terminated with a dot, to indicate that
it is a
; FQDN.
;
; Example:
;
"7.30.5.192.in – addr.arpa." =>
7.30.5.192.in –
addr.arpa.
;
;
;
; NBSTAT
Record
;
;
The NBSTAT RR is specific to Windows NT and may be attached
ONLY
;
to the zone root of a reverse lookup domain.
;
;
Presence of an NBSTAT record at the zone root instructs the
name server
;
to use a NetBIOS node status request for any reverse lookup
;
requests for IP addresses which are NOT given in PTR records
below.
;
; Examples:
;
;
1) A query for 135.29.5.192.in – addr.arpa. (192.5.29.135)
;
192.5.29.135 has a PTR record below, so DNS Server responds
Rozdział 10
342
;
with the PTR record without NBSTAT lookup.
;
;
2) A query for 206.29.5.192.in – addr.arpa. (192.5.29.206)
;
192.5.29.206 is within the 29.5.192.in – addr.arpa zone, but
;
there is no PTR record for it in this zone file.
;
DNS will issue an NBSTAT query to 192.5.29.206.
;
If a response is received, the host name in the response
will be
;
appended to the result domain in the NBSTAT record and used
;
as the host name corresponding to 192.5.29.206. The PTR
;
record will be cached and a response sent to the client.
;
If a response is NOT received, the DNS Server responds to
;
the client with a name error.
;
;
3) A query for 29.5.192.in – addr.arpa. (192.5.29)
;
192.5.29 is within the 29.5.192.in – addr.arpa zone, but is
NOT
;
an IP address. Hence no NBSTAT lookup is done, and the
server
;
responds with a name error.
;
;
;
NBSTAT and zone transfer:
;
;
The MS DNS Server will configure NBSTAT information an
a resource
;
record to allow it to be transferred tp MS DNS secondary
servers.
;
;
If you have MS DNS secondaries, and want them to use exactly
the
;
same NBSTAT info as the primary server, then omit the LOCAL
flag
;
in the NBSTAT record.
;
;
If you have Unix secondaries, or MS secondaries using
different
;
NBSTAT information, then use the "LOCAL" flag after the
"NBSTAT"
;
flag and the NBSTAT information will NOT be considered part
of the
;
zone`s resource records and will Not be sent in the zone
transfer.
;
;
;
YOU SHOULD CHANGE:
;
- Change the resulting domain that should be appended
to
;
names found with NBSTAT lookup.
;
- Uncomment the line with LOCAL flag, if NBSTAT in-
formation should
;
not be transferrrred as part of the zone
data.
;
- Uncomment the line without the LOCAL flag, if
NBSTAT information
;
should be transferred to MS DNS secondaries.
;
OR
;
- Leave this line commented out, if NBSTAT lookup not
desired
;
@
IN
NBSTAT
place.com.
;
@
IN NBSTAT
LOCAL
place.com.
Określanie nazw w TCP/IP przy użyciu DNS
343
Aby włączyć NBSTAT, należy usunąć średnik (znak komentarza) z linii
NBSTAT. Aby możliwe było używanie WINS, należy wymienić serwery
WINS w sekcji PTR.
Zarządzanie DNS
Bazą danych DNS można zarządzać bezpośrednio, modyfikując pliki za
pomocą edytora tekstowego. Może to być naturalne dla kogoś, kto wcze-
śniej pracował z plikami BIND w systemie UNIX, ale większość użyt-
kowników woli korzystać z graficznego środowiska programu DNS Ad-
min.
Pliki bazy danych, które zawierają rekordy zasobów, muszą być umiesz-
czone w katalogu %KatalogSystemowy%\system32\DNS. Przykładowe pliki
znajdują się w katalogu %KatalogSystemowy%\system32\DNS\Samples; peł-
nią one rolę przewodnika.
Program DNS Admin pracuje w podobny sposób, co programy WINS
Manager lub DHCP Manager. DNS Admin zapisuje informacje z pliku
DNS BOOT w Rejestrze Windows NT.
Pliki bazy danych DNS w katalogu %KatalogSystemowy%\system32\DNS są
czytane podczas inicjalizacji serwera DNS. Jeśli zmodyfikowano te pliki
za pomocą edytora tekstowego, wówczas należy zatrzymać i ponownie
uruchomić serwer DNS, aby uwzględnić zmiany. Jeśli bazą danych za-
rządza się przy pomocy DNS Admin, wówczas wszystkie zmiany prze-
kazywane są automatycznie do serwera bez konieczności zatrzymywania
i ponownego uruchamiania DNS.
Program DNS Admin znajduje się w grupie Administrative Tools. Aby go
uruchomić, należy wybrać Start/Administrative Tools/DNS Admin.
Podczas modyfikowania ustawień DNS przy pomocy DNS Admin,
zmiany są co pewien czas zapisywane do odpowiednich plików bazy
danych. W dowolnym momencie można wymusić uaktualnienie plików
serwera DNS - należy wybrać z menu DNS/Update Server Data Files.
Wszystkie pliki zostaną natychmiast uaktualnione. Pliki są regularnie
uaktualniane nawet wtedy, kiedy serwer DNS lub program DNS Admin
nie pracują.
Za pomocą programu DNS Admin można zarządzać następującymi
aspektami pracy serwera:
Serwerami. Patrz następny podrozdział, "Serwery"
Strefami. Patrz dalszy podrozdział, "Strefy"
Rekordami. Patrz dalszy podrozdział, "Rekordy zasobów DNS"
Rozdział 10
344
Domenami. Patrz dalszy podrozdział, "Domeny"
Integracją z WINS. Patrz dalszy podrozdział, "Integracja z WINS"
Opcjami specjalnymi. Patrz dalszy podrozdział, "Opcje specjalne".
Serwery
Kolejne podrozdziały opisują różne procedury zarządzania serwerami,
jak dodawanie i usuwanie serwerów z listy DNS Admin oraz przegląda-
nie statystyk serwerów.
Dodawania i usuwanie serwerów z listy DNS Admin
Do listy DNS Admin należy dodać wszystkie pracujące serwery DNS,
łącznie z serwerami wtórnymi. Wykonuje się to następująco:
1. Kliknąć prawym klawiszem myszy na folderze DNS Admin w oknie
DNS Admin
i wybrać opcję Connect To Computer.
2. Wpisać nazwę lub adres IP serwera, który będzie zarządzany przez
program DNS Admin.
3. Kliknąć OK.
W polu Server List, DNS Admin wyświetla ikonę dla każdego skonfigu-
rowanego serwera DNS, przedstawiającą graficznie jego status. Zielone
światło oznacza, że serwer pracuje, a DNS Admin może się z nim połą-
czyć. Jeśli nad ikoną pojawi się czerwony znak "X", wówczas DNS Admin
nie może połączyć się z usługą DNS na tym serwerze. W takim przypad-
ku, po podświetleniu serwera, w prawym dolnym rogu okna DNS Ad-
min pojawi się wiadomość o błędzie.
Aby usunąć serwer z listy, należy podświetlić go i nacisnąć klawisz
Delete
.
Wpływ usuwania i ponownej instalacji serwera DNS na pliki bazy
danych
Jeśli serwer DNS zostanie usunięty i ponownie zainstalowany, pliki BOOT,
CACHE i inne pozostaną nienaruszone. Jeśli potrzebne są nowe kopie tych
plików, należy zmienić nazwę starych plików (lub usunąć je) przed ponowną
instalacją serwera DNS.
Określanie nazw w TCP/IP przy użyciu DNS
345
Przeglądanie statystyk serwera
W statystykach serwera uwzględniane są różne czynności, np. liczba
zapytań i odpowiedzi UDP, połączeń klientów TCP, odwrotnych zapytań
czy zapytań WINS (patrz rysunek 10.13).
Aby obejrzeć statystyki, należy kliknąć prawym klawiszem myszy na
ikonie odpowiedniego serwera. Wybrać Properties, a następnie zakładkę
Statistics
. Tabela 10.1 wymienia niektóre informacje pojawiające się
w oknie statystyk i objaśnia ich znaczenie.
Tabela 10.1 Statystyki serwera
Statystyka Opis
Udp Queries
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
otrzymuje zapytanie o nazwę poprzez UDP.
Udp Responses
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź poprzez UDP.
Tcp Client Connections
Zwiększa się o 1 za każdym razem, kiedy inny system
otwiera połączenie TCP z portem DNS serwera.
Tcp Queries
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
otrzymuje zapytanie o nazwę poprzez TCP.
Tcp Responses
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź poprzez TCP.
Recursive Lookups
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
musi wysłać zapytanie do innych serwerów, aby
odpowiedzieć na rekursywne zapytanie klienta.
Recursive Responses
Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź na rekursywne zapytanie klienta.
WINS Forward Lookups
Zwiększa się o 1 za każdym razem, kiedy klient zapyta
o odwzorowanie nazwy WINS na adres IP.
WINS Forward Responses
Zwiększa się o 1 za każdym razem, kiedy serwer
odpowiada na pytanie klienta o odwzorowanie nazwy
WINS na adres IP.
WINS Reverse Lookups
Zwiększa się o 1 za każdym razem, kiedy klient zapyta
o odwzorowanie adresu IP na nazwę WINS.
WINS Reverse Responses
Zwiększa się o 1 za każdym razem, kiedy serwer
odpowiada na pytanie klienta o odwzorowanie nazwy
WINS na adres IP .
Master Zone Notify Sent
Określa liczbę komunikatów transferu strefy
podstawowej, wysłanych w odpowiedzi na żądania
transferu do strefy wtórnej.
Secondary Zone Notify
Received
Określa liczbę otrzymanych żądań transferu do strefy
wtórnej.
Master Zone Axfr xxxxx
Transfery adresów dla rekordów adresów w strefie
podstawowej, dla określonego stanu xxxxx.
Rozdział 10
346
Statystyka Opis
Secondary Zone Axfr xxxxx
Transfery adresów dla rekordów adresów w strefie
wtórnej, dla określonego stanu xxxxx.
Rysunek 10.13
Okno statystyki DNS.
Strefy (Zones)
Strefa zawiera jedną lub kilka domen, może również zawierać poddome-
ny. Strefa jest autorytatywna, jeśli chodzi o wszelkie informacje DNS
w zawartych w niej domenach i poddomenach. Jeśli poddomena zostanie
delegowana do serwera, wówczas serwer ten przechowuje autorytatyw-
ną strefę dla tej poddomeny. Istnieją dwa typy stref:
podstawowe
wtórne
Strefa podstawowa posiada własny rekord SOA (Start of Authority, patrz
podrozdział "Rekordy zasobów DNS"). Strefy podstawowe korzystają
bezpośrednio z informacji zwartych w plikach bazy danych DNS.
Standardowe pliki tworzone przez serwer DNS
Podczas instalowania serwera DNS w Windows NT automatycznie tworzone są
trzy strefy wyszukiwania odwrotnego, dla odwzorowań adresów IP na nazwy
hostów. Są to następujące strefy:
■
0.in-addr.arpa
■
127.in-addr.arpa
■
255.in-addr.arpa
Określanie nazw w TCP/IP przy użyciu DNS
347
Strefa 127.in-addr.arpa służy jako standardowy interfejs pętli zwrotnej. Strefy
wyszukiwania odwrotnego są częścią domeny in-addr.arpa i są dodawane dla
każdego serwera DNS znajdującego się na liście Server List. Strefy te służą do
zwiększenia wydajności i nie powinno się ich edytować ani usuwać.
Serwery stref wtórnych polegają na informacjach otrzymywanych od
innych serwerów, zazwyczaj serwerów podstawowych. Serwer stref
wtórnych pobiera informacje za pomocą transferu strefy.
Tworzenie strefy podstawowej
Strefę podstawową tworzy się następująco:
1. Kliknąć na ikonie serwera, na którym będzie tworzona nowa strefa.
2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create
a New Zone
.
3. W oknie Add New Zone Wizard wybrać opcję Primary.
4. Kliknąć Next i wybrać metodę wyszukiwania dla strefy (zwykłe lub
odwrotne).
5. Kliknąć Next i wpisać nazwę strefy.
6. Kliknąć Next i wpisać nazwę pliku strefy, w którym będzie przecho-
wywana baza danych.
7. Kliknąć Next.
8. Kliknąć Finish.
Do serwera dodawana zostanie nowa strefa, z rekordami zasobów SOA
i A (informacje o rekordach zasobów omówione są w podrozdziale "Re-
kordy zasobów DNS").
Tworzenie strefy wtórnej
Strefa wtórna jest kopią strefy podstawowej, przeznaczoną tylko do od-
czytu. Służy głównie jako kopia zapasowa strefy podstawowej; może
także pomóc w rozłożeniu obciążenia i zminimalizowaniu ruchu w sieci -
dzięki niej można wyeliminować potrzebę korzystania z routera w celu
dostępu do strefy podstawowej. Dla strefy wtórnej należy wybrać inny
serwer niż dla strefy podstawowej, chociaż dany serwer dla strefy pod-
stawowej może być jednocześnie serwerem dla innej strefy wtórnej.
1. Kliknąć na ikonie serwera.
2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create
a New Zone
.
Rozdział 10
348
3. W oknie Add New Zone Wizard wybrać opcję Secondary.
4. Kliknąć Next i wybrać metodę wyszukiwania dla strefy (zwykłe lub
odwrotne).
5. Kliknąć Next i wpisać nazwę strefy.
6. Kliknąć Next, wpisać odpowiedni adres w polu IP Master i kliknąć
przycisk Add. Pole IP Master zawiera adresy jednego lub wielu serwe-
rów DNS, z których należy kopiować strefę.
7. Kliknąć Next.
8. Kliknąć Finish.
Tworzenie strefy podstawowej w domenie in-addr.arpa
Domena in-addr.arpa jest specjalną domeną, używaną w odwrotny spo-
sób niż wszystkie pozostałe. Zamiast sprawdzać nazwę i zwracać przypi-
sany jej adres IP, in-addr.arpa sprawdza adres i zwraca związaną z nim
nazwę. Strefa ta musi być skoordynowana z autorytatywną strefą dla
nazw komputerów w danej przestrzeni nazw. Jeśli zwykła domena nazw
i domena in-addr.arpa nie są zsynchronizowane, wówczas wiele serwe-
rów w Internecie nie zezwoli na dostęp.
1. Kliknąć na ikonie serwera.
2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create
a New Zone
.
3. W oknie Add New Zone Wizard wybrać opcję Primary.
4. Kliknąć Next i wybrać metodę wyszukiwania odwrotnego (Reverse
Lookup) dla strefy.
5. Kliknąć Next i wprowadzić identyfikator podsieci (Subnet ID) dla stre-
fy wyszukiwania odwrotnego. Spowoduje to automatyczne utworze-
nie nazwy pliku, zawierającej odwrócony identyfikator podsieci.
6. Kliknąć Next i wprowadzić nazwę pliku strefy albo zaakceptować
domyślną nazwę.
7. Kliknąć Next.
8. Kliknąć Finish.
Komputery spoza konfigurowanej sieci będą musiały mieć dostęp do tej
strefy, aby mogły zweryfikować tożsamość komputerów poprzez od-
wrotne wyszukiwanie. W tym celu należy zarejestrować utworzoną strefę
w nadrzędnej domenie, in-addr.arpa. Zazwyczaj delegowaniem strefy
zajmuje się organizacja, która przyznała numer (lub numery) sieci, czyli
Określanie nazw w TCP/IP przy użyciu DNS
349
dostawca Internetu. O
ile nie posiadamy własnego numeru sieci
i przynajmniej dwóch serwerów nazw, nie będziemy mogli się zareje-
strować w domenie in-addr.arpa. Jeśli od dawna posiadamy własne nu-
mery sieci, których nigdy nie zarejestrowaliśmy, konieczne będzie bezpo-
średnie skontaktowanie się z InterNIC. Informacje o rejestracji (i inne
pożyteczne informacje) można znaleźć na witrynie DNS Resource
Directory pod internetowym adresem:
http://www.dns.net/dnsrd
Dodawanie nowego hosta do strefy podstawowej
Poniżej podano sposób dodawania nowego hosta do strefy podstawowej:
1. Kliknąć Forward Lookup Zones albo Reverse Lookup Zones.
2. Kliknąć prawym klawiszem myszy na nazwie strefy.
3. Wybrać New/Host.
4. Wpisać nazwę hosta i jego adres IP w oknie New Host (patrz rysunek
10.14).
5. Jeśli rekord PTR dla wyszukiwania odwrotnego ma być utworzony
automatycznie, należy zaznaczyć pole wyboru Create Associated PTR
Record
.
6. Kliknąć przycisk Add Host.
W oknie New Host można dodać dowolną liczbę hostów. Każdy host,
który ma być dostępny poprzez Internet, powinien posiadać przynajm-
niej rekordy A i PTR (patrz następny podrozdział). Dodany host i jego
adres IP pojawią się w oknie informacji o strefie jako rekord adresu (A).
Rekordy zasobów DNS
Każdy zbiór informacji przechowywany w bazie danych DNS nazywany
jest rekordem zasobu. Najważniejszymi typami rekordów są:
Serwer nazw (Name Server, NS)
Adres (Address, A)
Początek autorytatywnej informacji (Start of Authority, SOA)
Wskaźnik (Pointer, PTR)
Wymiennik poczty (Mail Exchange, MX)
Rozdział 10
350
Rysunek 10.14
Okno dialogowe New Host.
Istnieje wiele innych typów rekordów, ale tylko niektóre są szerzej wyko-
rzystywane (np. CNAME). Niektóre typy rekordów są eksperymentalne,
inne po prostu mało rozpowszechnione. Tabela 10.2 wymienia różne
rekordy zasobów i przechowywane w nich informacje. Szczegółowy opis
rekordów zasobów znajduje się w dalszej części rozdziału.
Dodawanie nowego rekordu
1. Kliknąć prawym klawiszem myszy na strefie lub domenie, do której
należy dodać rekord.
2. Wybrać New/Other Record. Pojawi się okno dialogowe Record Type
(patrz rysunek 10.15).
3. Z listy Select Record Type wybrać żądany typ rekordu, np. MX, A lub
CNAME.
4. Wpisać odpowiednie dane i kliknąć OK.
Pośród rekordów zasobów jest wiele eksperymentalnych typów, nie ma-
jących większego wpływu na usługi DNS. Kilka typów ma szczególne
znaczenie: rekord adresu (A), wskaźnika (PTR), wymiennika poczty
(MX), nazwy kanonicznej (CNAME) oraz początku autorytatywnej in-
formacji (SOA). Kolejne podrozdziały opisują rekordy i ich funkcje.
Rekord adresu (Adress Record, A)
Rekord A odwzorowuje nazwę hosta (lub innego urządzenia sieciowego)
na adres IP w domenie DNS i posiada trzy pola:
Domena (Domain). Wpisuje się tu nazwę domeny, w której znajduje się
host.
Nazwa hosta (Hostname). Wpisuje się tutaj nazwę komputera lub
urządzenia sieciowego.
Określanie nazw w TCP/IP przy użyciu DNS
351
Adres IP hosta (Host IP Address). Wpisuje się tutaj adres hosta.
Nazwa hosta w połączeniu z nazwą domeny tworzy w pełni określoną
nazwę domenową FQDN (Fully Qualified Domain Name). Program DNS
Admin automatycznie generuje rekord A, kiedy dodawany jest nowy
serwer, host lub domena.
Tabela 10.2 Najpowszechniej używane rekordy zasobów DNS
Nazwa rekordu
Opis
A (Adres)
Odwzorowuje nazwę hosta lub innego
urządzenia sieciowego na adres IP w strefie
DNS.
CNAME (Nazwa kanoniczna)
Tworzy alias dla wyszczególnionej nazwy
hosta.
MX (Wymiennik poczty)
Określa wymiennik poczty dla danego hosta.
NS (Serwer nazw)
Określa serwer nazw dla danej domeny DNS.
PTR (Wskaźnik)
Odwzorowuje adres IP na nazwę hosta
w strefie wyszukiwania odwrotnego DNS.
SOA (Początek autorytatywnej
informacji)
Wskazuje, że dany serwer DNS jest
najlepszym źródłem informacji na temat
danej domeny DNS.
Rysunek 10.15
Okno dialogowe Record
Type.
Rekord bazy danych AFS (AFS Database Record, AFSDB)
Rekord AFSDB (pochodzący z systemu plików Andrew) określa lokaliza-
cję serwera bazy danych dla komórki AFS (Andrew File System) lub uwie-
rzytelniony serwer nazw dla komórki DCE (Distributed Computer Envi-
ronment). Oprócz nazwy domeny i opcjonalnej nazwy hosta należy podać
nazwę DNS serwera, który może być serwerem bazy danych dla komórki
AFS lub serwerem nazw DCE - a następnie określić typ serwera. Wybrać
Rozdział 10
352
AFS Cell Database Server
albo DCE Name Server. Niewiele sieci posiada
takie serwery.
Rekord nazwy kanonicznej (Canonical Name Record,
CNAME)
Rekord CNAME tworzy alias dla wyszczególnionej nazwy hosta. Można
użyć tego rekordu, aby ukryć szczegóły implementacji sieci przed łączą-
cymi się z nią klientami. W aliasach można użyć skróconej nazwy hosta,
np. serwer public1.business.com może mieć alias www.business.com.
Rekord posiada następujące trzy pola:
Domena alias (Alias Domain). Wpisuje się tu nazwę domeny, w której
znajduje się host.
Nazwa alias (Alias Name). Wpisuje się tu nazwę kanoniczną, jak
www...
Dla nazwy komputera (For Hostname). Wprowadzić nazwę komputera
(zdefiniowaną w rekordzie
A
), dla której tworzony jest alias. Jest to
"prawdziwa" nazwa komputera.
Rekord informacji o sprzêcie (Hardware Information Record,
HINFO)
Rekord HINFO określa typ sprzętowy i system operacyjny hosta. Stan-
dardowe skróty nazw różnych systemów operacyjnych są publikowane
w dokumentach RFC "Assigned Numbers" (w momencie pisania tej
książki aktualnym dokumentem był RFC 1700), w rozdziale "System
Names List". Można tam również znaleźć skrótowe nazwy typów sprzę-
tu; nazwy identyfikujące typ procesora znajdują się w rozdziale "Machine
Names List". Zamieszczona niżej lista podaje niektóre spośród typów,
zdefiniowanych w dokumencie "Assigned Numbers". Nazwy mają dłu-
gość do 40 znaków i składają się z dużych liter, cyfr, oraz znaku myślnika
(-) i ukośnika (/). Muszą zaczynać się od litery i kończyć literą lub cyfrą.
[316]
Oto niektóre spośród kodów systemów operacyjnych, które można umie-
ścić w rekordzie HINFO, według RFC 1700:
APOLLO OPENVMS
TANDEM
AIX/370 OS/2
UNIXDOMAIN
PCDOS UNIX-BSD
DOS SCO-OPEN-DESKTOP-2.0
UNIX-PC
INTERLISP SCO-OPEN-DESKTOP-3.0
UNKNOWN
ITS SCO-UNIX-3.2V4.0
VM
Określanie nazw w TCP/IP przy użyciu DNS
353
LISP SCO-UNIX-3.2V4.1 VM/370
MSDOS SCO-UNIX-3.2V4.2
VMS
MULTICS SUN
WANG
MVS SUN-OS-3.5 WIN32
NONSTOP SUN-OS-4.0
X11R3
Oto niektóre spośród kodów procesorów, które można umieścić
w rekordzie HINFO:
APOLLO IBM-RS/6000
SUN-4/200
APPLE-MACINTOSH INTEL-386
SUN-4/390
APPLE-POWERBOOK M68000
SYMBOLICS-3600
CRAY-2 MAC-II
UNKNOWN
DECSTATION MAC-POWERBOOK VAX
DEC-VAX MACINTOSH
VAX-11/725
DEC-VAXCLUSTER MICROVAX
VAXCLUSTER
DEC-VAXSTATION PDP-11 VAXSTATION
IBM-PC/AT SILICON-GRAPHICS
IBM-PC/XT SUN
Rekord ISDN (ISDN Record, ISDN)
Rekord ISDN (Integrated Services Digital Network) odwzorowuje nazwę
hosta na adres ISDN. Numer telefoniczny ISDN może również zawierać
numer DDI (Direct Dial In). Podadres ISDN jest opcjonalny. Rekordy
ISDN mają kilka potencjalnych zastosowań: mogą w prosty sposób do-
kumentować adresy, których należy użyć w statycznej konfiguracji apli-
kacji dial-up przeznaczonych dla ISDN. W przyszłości być może będą
z nich automatycznie korzystać internetowe routery.
Rekord skrzynki pocztowej (Mailbox Record, MB)
Rekord MB określa skrzynkę pocztową dla wyszczególnionego hosta.
Należy podać nazwę skrzynki pocztowej i w pełni określoną nazwę do-
menową (FQDN) hosta, który ją przechowuje. Ten typ rekordu jest uwa-
żany za eksperymentalny i powinien być używany tylko przez osoby
biorące udział w eksperymencie.
Rekord grupy pocztowej (Mailgroup Record, MG)
Rekord MG określa skrzynkę pocztową, która jest członkiem listy wysył-
kowej w określonej domenie DNS. Nazwa skrzynki pocztowej musi zo-
stać wpisana jako FQDN. Ten typ rekordu jest uważany za eksperymen-
Rozdział 10
354
talny i powinien być używany tylko przez osoby biorące udział
w eksperymencie.
Rekord wymiennika poczty (Mail Exchange Record, MX)
Rekord MX określa nazwę serwera, który będzie przetwarzał lub przeka-
zywał pocztę dla danej domeny lub hosta. Nazwa wymiennika poczty
musi zostać wpisana jako FQDN. Format rekordu MX składa się
z następujących pól:
Dla domeny (For Domain). Wpisuje się tu nazwę domeny, dla której
wymiennik przetwarza pocztę.
Nazwa DNS serwera wymiany poczty (Mail Exchange Server DNS
Name
). Wpisuje się tu nazwę FQDN wymiennika poczty.
Numer preferencji (Preference Number). Wpisuje się tu numer preferen-
cji dla danego wymiennika poczty.
Numer preferencji jest liczbą z zakresu 0...65535, która określa priorytet
danego wymiennika poczty względem innych wymienników dla tego
samego miejsca przeznaczenia. Niższe numery preferencji mają wyższy
priorytet; najwyższy priorytet ma wymiennik o numerze preferencji 0.
Absolutna wartość numeru preferencji nie ma znaczenia, liczy się tylko
jego relacja z numerami wymienników poczty dla tego samego miejsca
przeznaczenia. Program pocztowy próbuje najpierw dostarczyć pocztę
do wymiennika z najniższym numerem preferencji. Jeśli operacja się nie
powiedzie, używany jest serwer o następnym z klei numerze preferencji.
Jeśli dwa (lub więcej) wymienniki poczty mają ten sam numer preferencji,
wówczas program pocztowy musi zdecydować, którego z nich użyje;
kolejność nie jest zdefiniowana w dokumentach RFC, lecz zależna od
implementacji - może być np. wybierana losowo. Przed przejściem do
kolejnego numeru preferencji program pocztowy musi jednak spróbować
dostarczyć pocztę do wszystkich wymienników z takim samym nume-
rem preferencji. Zazwyczaj używa się numeru 10 dla najwydajniejszego
wymiennika, kolejnym przypisując numery 20, 30 itd. Umożliwia to,
w razie potrzeby, umieszczenie pomiędzy nimi nowego wymiennika
poczty.
Wyszukiwanie rekordów MX nie jest rekursywne. Po znalezieniu rekor-
du MX, który identyfikuje najlepsze miejsce przeznaczenia, poszukuje się
tylko rekordu A dla wymiennika poczty. Rekordy MX dla samego wy-
miennika poczty są ignorowane, chyba że poczta jest adresowana doń
bezpośrednio.
Określanie nazw w TCP/IP przy użyciu DNS
355
Rekord informacji pocztowej (Mail Information Record,
MINFO)
Rekord MINFO dostarcza informacji o liście wysyłkowej lub skrzynce
pocztowej. Posiada dwa pola:
Nazwa DNS odpowiedzialnej skrzynki (Responsible Mailbox DNS). Zawiera
nazwę FQDN skrzynki pocztowej, która jest odpowiedzialna za listę wysył-
kową zdefiniowaną w rekordzie zasobu.
Nazwa DNS skrzynki błędów (Error Mailbox DNS). Zawiera nazwę
FQDN skrzynki pocztowej, która będzie otrzymywać komunikaty
o błędach związanych z daną listą wysyłkową.
Chociaż można powiązać te rekordy ze zwykłą skrzynką pocztową, za-
zwyczaj używa się ich z listami wysyłkowymi, które używają innych
adresów pocztowych dla spraw administracyjnych, jak np. obsługa sub-
skrypcji (jest to zazwyczaj skrzynka odpowiedzialna za listę), a innych
dla komunikatów o błędach, np. o niemożności dostarczenia poczty (jest
to zazwyczaj skrzynka błędów).
Rekord zmiany nazwy skrzynki (Mail Rename Record, MR)
Rekord MR zmienia nazwę danej skrzynki. Należy wpisać nazwę FQDN
nowej skrzynki w polu Replacement Mailbox DNS Name. Nazwy takiej
można użyć podczas przenoszenia skrzynki pocztowej na inny kompu-
ter. Ten typ rekordu jest uważany za eksperymentalny i powinien być
używany tylko przez osoby biorące udział w eksperymencie.
Rekord serwera nazw (Name Server Record, NS)
Rekord NS identyfikuje autorytatywny serwer DNS dla danej domeny.
W każdej domenie powinny znaleźć się co najmniej dwa takie rekordy.
Rekord NetBIOS posiada dwa pola:
Dla domeny (For Domain). Wpisuje się tutaj nazwę domeny.
Nazwa DNS serwera nazw (Name Server DNS Name). Wpisuje się tutaj
nazwę autorytatywnego serwera (powinna odnosić się do odpowied-
niego rekordu
A
).
Rekord wskaźnika (Pointer Record, PTR)
Rekordy PTR odwzorowują adres IP na nazwę hosta w domenie odwrot-
nego wyszukiwania (in-addr.arpa). Posiadają pola adresu IP (IP Address)
oraz nazwy hosta (Host DNS Name). Można sprawić, aby program DNS
Admin automatycznie tworzył rekordy PTR dla nowo dodawanych re-
kordów A zaznaczając opcję Create Associated PTR Record. Jeśli rekordy te
Rozdział 10
356
tworzy się ręcznie, należy podać nazwę hosta jako FQDN. Jeśli tworzy się
rekordy PTR używając DNS Admin, wówczas wystarczy wpisać adres IP
hosta; program automatycznie dołączy do niego
"in-addr.arpa".
Rekord odpowiedzialnej osoby (Responsible Person Record,
RP)
Rekord RP wskazuje, kto jest odpowiedzialny za urządzenie określone
przez daną nazwę DNS. Chociaż rekord SOA określa, kto jest odpowie-
dzialny za strefę, i daje możliwość kontaktu we wszystkich sprawach
związanych z DNS, zazwyczaj różne hosty w domenie są zarządzane
przez różne osoby. Rekord RP daje możliwość określenia osoby, z którą
należy kontaktować się w sprawach związanych z urządzeniem o danej
nazwie DNS. Jest to przydatne w sytuacji, kiedy awarii ulegnie ważny
serwer, bądź też inni użytkownicy obserwują nienormalne zachowanie
się hosta.
Rekord RP wymaga podania adresu e-mail oraz nazwy FQDN, którą
należy sprawdzić w poszukiwaniu rekordu TXT zawierającego dalsze
informacje. Adres e-mail wpisuje się w standardowym formacie DNS, tj.
z kropką w miejscu znaku "@", używanego w większości adresów e-mail.
Odnośnik tekstowy DNS (DNS text reference) jest nazwą domeny, która
służy jako wskaźnik do rekordu TXT. Można go użyć, aby dostarczyć
informację o możliwościach kontaktu z odpowiedzialną osobą, jak np.
imię i nazwisko oraz numer telefonu lub pagera.
Rekord trasowania (Route Through Record, RT)
Rekord RT określa pośredniczącego hosta, który przekazuje pakiety do
hosta przeznaczenia, nie mającego bezpośredniej łączności. Nazwa po-
średniczącego hosta (Intermediate Host DNS Name), który będzie przeka-
zywał pakiety do miejsca przeznaczenia, musi być podana jako FQDN.
Host pośredniczący przypomina wymiennika poczty, ponieważ dopusz-
czalny jest tylko jeden poziom przekazywania - oznacza to, że trasa do
hosta pośredniczącego nie może wieść przez inny host pośredniczący.
Rekord początku uprawnionej informacji (Start of Authority
Record, SOA)
Rekord SOA wskazuje, że dany serwer nazw DNS jest najlepszym źró-
dłem informacji w domenie. Rekordy SOA (patrz rysunek 10.16) służą do
określenia adresu e-mail osoby odpowiedzialnej za strefę, zdefiniowania
zmian dokonanych w pliku bazy danych oraz do ustawienia zegarów,
Określanie nazw w TCP/IP przy użyciu DNS
357
które odmierzają czas pomiędzy kolejnymi uaktualnieniami kopii infor-
macji o strefie, znajdującymi się na innych serwerach.
Kwestie bezpieczeństwa związane z rekordami
PTR
Wiele siedzib w Internecie ze względów bezpieczeństwa odmówi dostępu
komputerom, które nie mają pasujących do siebie rekordów A i PTR., dlatego
rekordy PTR powinny być zawsze zsynchronizowane z rekordami
A
.
Można obejrzeć rekord SOA dla każdej ze stref podstawowych, klikając
na nazwie strefy i wybierając opcję Properties. Pole Primary Name Server
DNS Name
zawiera nazwę serwera, który jest podstawowym źródłem
danych dotyczących danej domeny.
Pole Serial Number zawiera numer seryjny, który steruje transferami stref
pomiędzy podstawowymi i wtórnymi serwerami nazw DNS. Serwer
wtórny co pewien czas kontaktuje się z podstawowym i pyta o numer
seryjny danych strefy podstawowej. Jeśli numer ten jest większy niż po-
siadany przez serwer wtórny, wówczas kopia jest nieaktualna i należy
przeprowadzić transfer nowej kopii danych strefy. Serwer DNS firmy
Microsoft próbuje powiadomić serwery wtórne o zmianach, ale starsze
wersje BIND nie potrafią korzystać z takich ofert odświeżenia danych.
Liczba w polu Refresh Interval określa, jak często wtórne serwery DNS
sprawdzają dane strefy na serwerze podstawowym. Domyślnym okre-
sem odświeżania są trzy godziny; jeśli serwery wtórne potrafią korzystać
z powiadomień o zmianach, można znacznie wydłużyć ten okres (do
jednego dnia lub więcej), aby zmniejszyć liczbę zapytań - jest to przydat-
ne zwłaszcza na wolnych łączach.
Pole Retry Interval określa, jak często serwer wtórny powinien próbować
połączyć się ponownie po zerwaniu połączenia. Okres ten jest zazwyczaj
krótszy, niż okres odświeżania - domyślną wartością jest 60 minut.
Pole Expire Interval określa czas, w którym dane serwera wtórnego są
uważane za aktualne. Jeśli serwer wtórny nie może skontaktować się
z podstawowym, jego dane mogą być zdezaktualizowane. Po upłynięciu
podanego tutaj okresu serwer wtórny przestaje odpowiadać na zapytania
hostów. Domyślną wartością są trzy dni; wartość ta musi być większa od
obu poprzednich.
Rozdział 10
358
Rysunek 10.16
Rekord SOA.
Pole Minimum TTL (minimalnego czasu życia) ma największy wpływ na
ruch sieciowy generowany przez DNS. Określa ono, jak długo odbierają-
cy serwer może buforować dane. Każda odpowiedź na zapytanie jest
wysyłana z wartością TTL; domyślnie są to 24 godziny. Jeśli zamierzamy
dokonać poważniejszych zmian w strefie, powinniśmy przejściowo
ustawić tę wartość na krótszy czas (np. jedną godzinę), a następnie od-
czekać tak długo, ile wynosiła poprzednia wartość TTL, zanim zaczniemy
dokonywać zmian. Po zweryfikowaniu dokonanych modyfikacji należy
przywrócić poprzednią wartość TTL. Metoda ta pozwala na szybkie roz-
powszechnienie zmian w Internecie i redukuje czas, w którym inne ser-
wery buforują nieaktualne dane.
Rekord tekstowy (Text Record, TXT)
Rekord TXT przechowuje informacje w postaci czystego tekstu, często
nazwiska i numery telefonów lub inne ważne informacje. Łańcuch tekstu
musi mieć długość mniejszą niż 256 znaków.
Rekord powszechnie znanych usług (Well Known Service Re-
cord, WKS)
Rekord WKS określa usługi (np. Telnet lub FTP) udostępniane za pomocą
konkretnego protokołu, na konkretnym interfejsie zdefiniowanym przez
adres IP. Pole Access Protocol określa protokół, za pomocą którego można
korzystać z usługi. Ten typ rekordu jest bardzo rzadko używany; doku-
ment RFC 1123 odradza jego stosowanie.
Określanie nazw w TCP/IP przy użyciu DNS
359
Rekord X25 (X25 Record, X25)
Rekord X25 przypomina rekord A, ale odwzorowuje nazwę hosta na
adres X.121, a nie adres IP. Adresy X.121 są standardową formą adreso-
wania w sieciach X.25. Adres PSDN (Public Switched Data Network) rozpo-
czyna się czterocyfrowym kodem DNIC (Data Network Identification Code),
zdefiniowanym w X.121 - zbiorze wskazówek wydanym przez ITTCC
(International Telephone and Telegraph Consultative Commitee). Nie należy
używać w adresie przedrostków narodowych. Rekord X25 jest zaprojek-
towany do użycia łącznie z rekordem RT.
Domeny
Podrozdział ten omawia czynności administracyjne związane
z domenami, jak tworzenie domeny wewnątrz strefy podstawowej.
Aby utworzyć domenę wewnątrz strefy podstawowej, należy:
1. Kliknąć prawym klawiszem myszy na strefie pod serwerem.
2. Wybrać New/Subdomain.
3. Wpisać nazwę nowej domeny i kliknąć OK.
Tworzenie i delegowanie poddomen
Jeśli nie deleguje się stworzonej poddomeny, wówczas WINS nie będzie
mogło określać w niej nazw. Powinno się zatem zawsze delegować pod-
domeny, jeśli celem jest integracja DNS i WINS. Więcej informacji
o określaniu nazw przy pomocy WINS znajduje się w następnym pod-
rozdziale, "Integracja z WINS".
Aby delegować poddomenę, należy:
1. Z
listy
Server List w DNS Admin
wybrać serwer, który będzie autoryta-
tywny dla nowej poddomeny. Może być to serwer, z którego delego-
wana jest poddomena, bądź też inny serwer.
2. Stworzyć poddomenę jako nową strefę podstawową na autorytatyw-
nym serwerze.
3. Dodać do nowej strefy odpowiednie rekordy zasobów (A, CNAME,
MX itd.). Tworzenie różnych typów rekordów omawia poprzedni
rozdział, "Rekordy zasobów DNS".
4. Jeśli ma być używane wyszukiwanie WINS, należy kliknąć na strefie
i wybrać opcję Properties.
Rozdział 10
360
5. Wybrać zakładkę WINS Lookup i zaznaczyć pole wyboru Use WINS
Resolution
.
6. Wpisać adresy IP serwerów WINS i kliknąć OK.
7. Na liście Server List kliknąć podwójnie na ikonie strefy nadrzędnej
domeny.
8. Usunąć wszystkie rekordy, które obecnie należą do nowej poddome-
ny.
9. Wpisać nazwę nowej, właśnie utworzonej poddomeny.
10. Kliknąć prawym klawiszem myszy na nowo utworzonej ikonie pod-
domeny (znajdującej się pod domeną nadrzędną) i wybrać Properties,
a następnie zakładkę Name Servers.
11. Kliknąć Add. Wprowadzić nazwę serwera dla nowej poddomeny
w polu Server Name, a jego adres IP w polu Name Server IP Address.
Kliknąć OK.
12. Kliknąć prawym klawiszem myszy na nazwie strefy. Wybrać opcję
New/Other Record
i wybrać rekord A. Wpisać nazwę serwera dla no-
wej poddomeny (taką samą, jak w poprzednim punkcie) w polu
Hostname, a adres IP w polu Host IP Address
. Kliknąć OK.
13. Wybrać DNS/Update Server Data Files.
Integracja z WINS
WINS jest dynamicznym systemem określania nazw, w którym każda
stacja robocza samodzielnie rejestruje swoją nazwę i adres IP. Usługa ta
działa automatycznie w stacjach roboczych Windows 95 i Windows NT.
Jeśli wyłączymy tę funkcję lub komputer, DNS nie będzie mogło skorzy-
stać z WINS w celu określenia nazwy komputera. Należy zauważyć, że
WINS może określić tylko nazwy znajdujące się bezpośrednio w domenie
podstawowej. Innymi słowy, nazwy hostów znajdujące się
w poddomenach nie mogą być określone przez DNS, chyba że poddo-
meny te zostaną delegowane - w takim przypadku nazwy znajdują się
w swojej własnej domenie podstawowej. Najwygodniej jest więc, o ile jest
to możliwe, umieścić wszystkie hosty WINS w jednej strefie.
Serwer DNS może pracować jako serwer WINS lub wskazywać na inny
serwer WINS. Obecnie tylko serwery DNS oparte na Windows NT mogą
przeszukiwać bazę danych WINS, aby określić ustalone dynamicznie
nazwy. Różnice pomiędzy WINS i DNS podsumowuje tabela 10.3.
Określanie nazw w TCP/IP przy użyciu DNS
361
Można skonfigurować hosty nie obsługujące NetBIOS tak, aby zapytania
o wszystkie nazwy w strefie, używającej wyszukiwania WINS, kierowały
do serwera DNS. Jeśli dynamiczna część sieci rozciąga się na kilka stref,
wówczas można ustanowić pojedynczy serwer DNS Windows NT jako
serwer podstawowy dla wszystkich stref albo umieścić serwer DNS Win-
dows NT w każdej strefie.
Włączanie wyszukiwania WINS w podstawowej strefie domeny
Poniżej podano procedurę włączania wyszukiwania WINS w podstawo-
wej strefie domeny:
1. Na liście Server List kliknąć na ikonie strefy podstawowej i wybrać
opcję Properties.
2. Wybrać zakładkę WINS (patrz rysunek 10.17)
3. Zaznaczyć pole wyboru Use WINS Resolution.
4. W polu WINS Servers wprowadzić adresy IP serwerów WINS znajdu-
jących się w sieci.
Po kliknięciu przycisku Advanced pojawią się zaawansowane parametry.
Można tu określić, czy sieć używa zakresów NetBIOS, oraz zmienić do-
myślne wartości zegarów
Włączanie odwrotnego wyszukiwania WINS w podstawowej
strefie domeny in-addr.arpa
Serwer DNS firmy Microsoft umożliwia komputerom o nazwach okre-
ślonych przez WINS uzyskanie dostępu do zasobów na komputerach
przeprowadzających odwrotne wyszukiwanie.
1. Na liście Server List kliknąć na ikonie strefy podstawowej in-addr.arpa
i wybrać opcję Properties.
2. Wybrać zakładkę WINS-R (patrz rysunek 10.18)
3. Zaznaczyć pole wyboru Use WINS Reverse Lookups.
4. W polu Domain name to be appended to reverse lookup, wprowadzić do-
myślną nazwę domeny, która powinna być dołączana do odpowiedzi
zwracanych przez WINS.
5. Jeśli istnieje potrzeba zmiany domyślnych wartości zegarów, kliknąć
przycisk Advanced.
Rozdział 10
362
Tabela 10.3 Porównanie WINS i DNS
WINS DNS
Określa adresy IP nazw NetBIOS.
Określa nazwy hostów na adresy IP .
Płaska i dynamiczna struktura.
Hierarchiczna i statyczna struktura.
Obsługuje DHCP.
Obsługuje aplikacje TCP/IP, które potrzebują
dodatkowych informacji oprócz nazwy hosta
i adresu IP. Dynamiczne uaktualnianie DHCP
jest dostępne począwszy od wersji Windows NT
5.
Rysunek 10.17
Zakładka WINS.
Rysunek 10.18
Zakadka WINS-R.
Opcje specjalne
Podrozdział ten omawia aspekty DNS nie dające się przypisać do szer-
szych kategorii, jak selektywne włączanie DNS na serwerach z wieloma
kartami sieciowymi lub określanie metody ładowania serwera DNS.
Selektywne włączanie DNS na serwerach z wieloma kartami
sieciowymi
Należy zauważyć, że DNS może pracować na wszystkich kartach siecio-
wych serwera, jeśli nie wpisze się konkretnych adresów IP. Zazwyczaj
właśnie dlatego instaluje się wiele kart, ale w niektórych sytuacjach może
zaistnieć potrzeba wyszczególnienia, które karty sieciowe będą akcepto-
wały zapytania DNS. Wykonuje się to następująco:
1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-
wera.
Określanie nazw w TCP/IP przy użyciu DNS
363
2. Wybrać Properties, a następnie zakładkę Interfaces.
3. W polu DNS Server IP Addresses (patrz rysunek 10.19) wpisać adresy
IP tych kart sieciowych, które powinny obsługiwać DNS.
Określanie metody ładowania serwera DNS
Aby określić metodę ładowania serwera DNS, należy:
1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-
wera.
2. Wybrać Properties, a następnie zakładkę Advanced (patrz rysunek
10.20).
3. Z listy Boot Method wybrać opcję Boot From Registry lub Boot From
BootFile
.
Jeśli wybrano opcję Boot From Registry, serwer DNS nie sprawdza infor-
macji konfiguracyjnych w pliku BOOT, ale używa informacji przecho-
wywanych w Rejestrze. Jeśli dokonano zmian w pliku BOOT, które nale-
ży uwzględnić przy starcie serwera, wówczas należy wybrać opcję Boot
From BootFile
.
Rysunek 10.19
Zakładka Interfaces.
Rysunek 10.20
Zakładka Advanced.
Rozdział 10
364
Włączanie powiadamiania stref wtórnych o zmianach
w strefach podstawowych
Jeśli strefy podstawowe powinny powiadamiać strefy wtórne o zmia-
nach, należy:
1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-
wera.
2. Wybrać Properties, a następnie zakładkę Notify.
3. Na liście Notify List wpisać adresy IP wtórnych serwerów.
Z możliwości tej można skorzystać, jeśli serwery wtórne pracują
z programem Microsoft DNS Server, z programem BIND w wersji 4.9.3
lub wyższej czy inną implementacją obsługującą powiadamianie serwe-
rów wtórnych o zmianach w strefie podstawowej.
Modyfikowanie bufora
Bufor zawiera listę bazowych serwerów nazw w Internecie. Jeśli sieć nie
ma połączenia z Internetem i w związku z tym wprowadzono znak ko-
mentarza przed linią opisującą bufor w pliku BOOT, wówczas na liście
serwerów w programie DNS Admin nie ma ikony bufora.
Bufor należy modyfikować tylko wtedy, jeśli zmienią się serwery bazo-
we, co zdarza się rzadko. Należy kontaktować się w tej sprawie z Inter-
NIC mniej więcej co rok.
1. Na liście Server List kliknąć na ikonie bufora.
2. Kliknąć prawym klawiszem myszy na rekordzie, który należy zmie-
nić, i wybrać opcję Properties.
3. W rekordzie NS wpisać nową nazwę serwera. W rekordzie A wpisać
nowy adres IP.
Jedynymi rekordami zasobów używanymi przez bufor są rekordy serwe-
ra nazw (NS) i adresu (A).
Zagadnienia bezpieczeństwa
Chociaż możliwość dostępu do Internetu i innych miejsc poza własną
siecią może wydawać się pociągająca, nie powinno się umożliwiać nie-
ograniczonego dostępu do własnej sieci. Najpopularniejsze filtry pracują-
ce na routerach i serwerach proxy służą tylko konkretnym aplikacjom, jak
Telnet, FTP i przeglądarki WWW.
Określanie nazw w TCP/IP przy użyciu DNS
365
W serwerach DNS można zastosować pewne środki ostrożności, które
zminimalizują grożące niebezpieczeństwa. Najczęściej konfiguruje się
publicznie dostępne serwery tak, aby przeprowadzały odwrotne wyszu-
kiwanie i odrzucały komputery, które fałszują swoją tożsamość. Ograni-
cza się także transfery stref tylko do autoryzowanych serwerów wtór-
nych.
Użycie wyszukiwań odwrotnych konfiguruje się zasadniczo dla każdej
usługi (FTP, Telnet) z osobna, ale uzasadnienie jest dość oczywiste. Jeśli
nieautoryzowany komputer używa takiej samej nazwy, jak zaufany sys-
tem, a odwrotne wyszukiwanie w domenie in-addr.arpa zwraca niepasu-
jącą nazwę, wówczas możemy mieć do czynienia z oszustwem - należy
więc odmówić dostępu. Jeśli prowadzimy publiczne, anonimowe usługi,
nie ma to szczególnego znaczenia; jeśli jednak konieczne jest ograniczenie
dostępu tylko do komputerów o określonych nazwach, wówczas od-
wrotne wyszukiwanie jest bardzo przydatne.
Jeśli postanowimy ukryć niektóre z hostów za barierą firewall, możemy
zastosować podział kompetencji serwerów DNS. W metodzie tej podsta-
wowe serwery DNS po dwóch stronach bariery mają inne informacje.
Serwer DNS na zewnątrz bariery posiada niekompletne dane o wewnęt-
rznej sieci - zazwyczaj zna tylko kilka hostów (jak serwery WWW lub
poczty), które mogą łączyć się przez barierę, ale za to jest bezpośrednio
połączony z Internetem. Serwer DNS wewnątrz bariery firewall ma pełne
informacje na temat wewnętrznej sieci, ale jest skonfigurowany tak, aby
przekazywać do serwera na zewnątrz bariery wszystkie zapytania nie
dotyczące lokalnej przestrzeni nazw. Konfiguracja ta pozwala kompute-
rom wewnątrz bariery na przeprowadzanie wyszukiwań DNS w całym
Internecie, jednocześnie uniemożliwiając komukolwiek z zewnątrz po-
znanie zawartości wewnętrznej sieci
Aby wprowadzić taki podział kompetencji, należy skonfigurować oba
serwery DNS jako podstawowe oraz zapewnić, że serwer wewnętrzny
będzie używał przekaźników do skontaktowania się z serwerem ze-
wnętrznym. Należy również ograniczyć możliwości kontaktu pomiędzy
nimi (np. ustawiając filtr typu "konkretny host-konkretny host", prze-
puszczający tylko ruch DNS).
Określanie, które z serwerów wtórnych mają dostęp do serwera
podstawowego
Ograniczenie transferów stref tylko do autoryzowanych serwerów wtór-
nych jest przydatne, ponieważ ukrywa szczegóły wewnętrznej sieci
przed osobami z zewnątrz. Umożliwiając innym łatwe zdobycie pełnej
informacji o strukturze sieci ryzykujemy, że staniemy się celem ataku
Rozdział 10
366
hackerów, którzy mogą uznać włamanie się do naszej sieci za interesujące
czy wręcz dochodowe.
Aby ograniczyć transfery stref, należy:
1. Kliknąć prawym klawiszem myszy na ikonie strefy podstawowej.
2. Wybrać Properties.
3. W zakładce Notify wpisać adresy IP serwerów wtórnych, które będą
miały dostęp do serwera podstawowego.
4. Kliknąć na opcji Only allow access from secondaries included on notify list.
Po dokonaniu jakichkolwiek zmian w programie DNS Admin należy
uaktualnić pliki danych serwera, wybierając z menu opcję Update Server
Data Files
. W innym przypadku DNS nie zapisze od razu bieżących in-
formacji do plików konfiguracyjnych, i w razie awarii serwera przed
następnym regularnym uaktualnieniem, zmiany zostaną utracone.
Usuwanie problemów związanych z DNS
Jeśli program DNS Admin nie daje się uruchomić, stwierdzi błędne dane
lub zasygnalizuje, że któryś z serwerów jest nieosiągalny, konieczne mo-
że być zdiagnozowanie problemu. Należy użyć w tym celu programów
NsLookup oraz Event Log, opisanych w kolejnych podrozdziałach.
NsLookup
NsLookup jest programem obsługiwanym z linii poleceń, głównym na-
rzędziem diagnostycznym dla DNS. Aby go używać (zresztą podobnie
jak i DNS), należy wcześniej zainstalować TCP/IP. NsLookup jest narzę-
dziem testującym, z
którego korzysta się w
pierwszej kolejności.
NsLookup wysyła zapytania do serwerów nazw DNS i wyświetla otrzy-
mane rezultaty, w razie życzenia bardzo szczegółowo. Długość zapytania
nie może przekraczać 256 znaków. Można w dowolnym momencie prze-
rwać działanie programu za pomocą kombinacji klawiszy CTRL+C. Aby
opuścić program, należy wpisać exit. Wszystkie nierozpoznane polecenia
są traktowane jako nazwy komputerów i wysyłane do domyślnego ser-
wera nazw w celu wyszukania ich w bazie nazw DNS. NsLookup posia-
da dwa tryby: interaktywny i nieinteraktywny. Podczas usuwania pro-
blemów wygodniej jest korzystać z trybu interaktywnego, ponieważ
umożliwia on wprowadzenie większej liczby zapytań.
Oto lista poleceń NsLookup w trybie interaktywnym:
help
Określanie nazw w TCP/IP przy użyciu DNS
367
exit
finger
ls
lserver
root
server
set
view
Aby wysłać zapytanie z linii poleceń, należy wpisać polecenie nslookup
w następujący sposób:
1. Wpisać nazwę lub adres IP wyszukiwanego komputera (jeśli nie znaj-
duje się on w tej samej domenie, co serwer nazw, wpisać kropkę (.) po
nazwie komputera).
2. Jeśli chcemy określić serwer DNS, należy wpisać jego nazwę i adres
IP. Jeśli nie określimy serwera, wówczas NsLookup użyje domyślnego
serwera nazw.
Kolejne punkty omawiają polecenia trybu interaktywnego NsLookup.
Każdy punkt przedstawia polecenie i podaje jego składnię.
help
Polecenie help wyświetla krótkie streszczenie poleceń NsLookup. Syno-
nimem tego polecenia jest znak zapytania (?).
help | ?
exit
Polecenie to kończy pracę programu.
exit
finger
Polecenie finger łączy się z serwerem finger na bieżącym komputerze.
Bieżący komputer jest zdefiniowany, jeśli poprzednie wyszukiwanie
nazwy komputera zakończyło się zwróceniem jego adresu (patrz dalszy
punkt "set q[uerytype] lub set type").
finger
[nazwa_użytkownika] [>nazwa_pliku] | [>>nazwa_pliku]
Rozdział 10
368
ls
Polecenie ls służy do wyświetlenia informacji dla danej domeny DNS.
Domyślnie są to nazwy komputerów i ich adresy IP. Wyniki można skie-
rować do pliku; znaki hash (#) rozdzielają każde 50 rekordów. Tabela
10.4 wymienia różne opcje tego polecenia.
ls [opcja] domena_dns [>nazwa_pliku] | [>>nazwa_pliku}
Tabela 10.4 Opcje polecenia ls.
Opcja Opis
-t Wyświetla wszystkie rekordy określonego typu (patrz dalszy punkt
"set q[uerytype] lub set type")
-a Wyświetla aliasy nazw komputerów w domenie DNS (tak samo działa
-t CNAME).
-d Wyświetla wszystkie rekordy w domenie DNS (tak samo działa -t
ANY).
-h Wyświetla informacje o procesorze i systemie operacyjnym dla
domeny (tak samo działa -t HINFO).
-s Wyświetla powszechnie znane usługi komputerów w domenie DNS
(tak samo działa -t WKS).
Po opcjach należy wpisać nazwę badanej domeny oraz opcjonalnie na-
zwę pliku, w którym mają być zapisane wyniki. Można użyć w zwykły
sposób operatorów przekierunkowania wyjścia > oraz >>.
Oto przykładowe polecenie ls i jego wyniki:
> ls hq.mycompany.com
res_mkquery(0, hq.mycompany.com, 1, 252)
[nameserver1.hq.mycompany.com]
hq.mycompany.com.
server = mailer.hq.mycompany.com
mailer.hq.mycompany.com.
10.132.13.2
hq.mycompany.com.
server = nameserver1.hq.mycompany.com
nameserver1.hq.mycompany.com
10.132.40.80
hq.mycompany.com
server = sal.hq.mycompany.com
sal.hq.mycompany.com
10.132.13.25
hq.mycompany.com
10.132.13.2
bill.hq.mycompany.com
10.132.70.3
database.hq.mycompany.com
10.132.13.248
mary.hq.mycompany.com
10.132.29.4
Określanie nazw w TCP/IP przy użyciu DNS
369
lserver
Polecenie lserver używa lokalnego serwera DNS, aby wyszukał informa-
cję o innym serwerze DNS (podanym jako argument), a następnie usta-
wia sprawdzany serwer jako domyślny. Polecenie to przydaje się
w sytuacji, kiedy domyślny serwer przestanie odpowiadać, a użytkownik
zna tylko nazwy (a nie adresy IP) innych serwerów DNS.
lserver
<nazwa>
root
Domyślnym serwerem dla podstawy przestrzeni nazw DNS jest
ns.nic.ddn.mil. Można zmienić domyślny serwer dla podstawy za pomo-
cą opisanego dalej polecenia set root. Polecenie lserver ns.nic.ddn.mil
działa tak samo.
server
Polecenie server używa bieżącego domyślnego serwera DNS, aby wyszu-
kał informację o innym serwerze DNS (podanym jako argument),
a następnie ustawia sprawdzany serwer jako domyślny.
server
<nazwa>
set
Polecenie set ma wiele podpoleceń, zmieniających funkcjonowanie wy-
szukiwania. Oto ich pełna lista:
set all
set cl[ass]
set [no]d2
set [no]deb[ug]
set [no]def[name]
set do[main]
set [no]ig[nore]
set po[rt]
set [no]rec[urse]
set q[uerytype]
set ty[pe]
set ret[ry]
set ro[ot]
set [no]sea[rch]
Rozdział 10
370
set srchl[ist]
set ti[meout]
set [no]v[c]
set all
Polecenie set all zwraca informacje o bieżącej konfiguracji NsLookup, jak
np. nazwę domyślnego serwera lub typ przeprowadzanych wyszukiwań.
Oto przykład:
>set all
Default Server: nameserver1.hq.mycompany.com
Address: 10.132.40.254f
set options:
nodebug
defname
search
recurse
nod2
novc
noignoretc
port=53
querytype=A
class=IN
timeout=6
retry=4
root=NetBIOS.nic.dnn.mil.
domain=hq.mycompany.com
srchlist=hq.mycompany.com
set cl[ass]
Można zmienić protokół na jedną z następujących klas:
IN. Klasa Internet.
CHAOS
. Klasa Chaos.
HESIOD
. Klasa MIT Athena Hesiod
ANY
. Którakolwiek z powyższych klas.
Domyślną klasą jest klasa Internet; pozostałe klasy raczej nie będą po-
trzebne, ponieważ nie są szeroko używane.
set
class=wartość
set [no]d2
Polecenie d2 włącza, a nod2 wyłącza tryb wyczerpującego debugowania,
w którym wyświetlane są pola każdego pakietu. Domyślnym trybem jest
nod2.
set
[no]d2
Określanie nazw w TCP/IP przy użyciu DNS
371
set [no]deb[ug]
Można włączyć lub wyłączyć debugowanie. Kiedy jest włączone, wów-
czas wyświetlane jest więcej informacji na temat pakietu wysłanego do
serwera i otrzymanej odpowiedzi. Domyślnie debugowanie jest wyłączo-
ne.
set
nodebug
Oto część przykładowego rezultatu:
...........
Name: nameserver2.hq.mycompany.com
Address: 10.132.13.251
> set debug
> nameserver2
Server: nameserver1.hq.mycompany.com
Address: 10.132.40.80
res_mkquery(0, nameserver2.hq.mycompany.com, 1, 1)
...........
SendRequest(), len 48
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
nameserver2.hq.mycompany.com, type = A, class = IN
...........
...........
Got answer (56 bytes):
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: response, auth. answer, want recursion,recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
nameserver2.hq.mycompany.com, type = A, class = IN
ANSWERS:
-> nameserver2.hq.mycompany.com
type = A, class = IN, dlen = 4
internet address = 10.132.13.239
ttl = 3600 (1 hour)
...........
Name: nameserver2.hq.mycompany.com
Address: 10.132.13.239
Rozdział 10
372
set [no]def[name]
Ustawienie defname powoduje, że do zapytań z pojedynczym elementem
(nie zawierającym kropek) dołączana jest domyślna nazwa domeny.
Standardowe ustawienie to defname.
set
defname
set do[main]
Za pomocą tego polecenia można zmienić domyślną domenę na domenę
o podanej nazwie. Niektóre z opcji wyszukiwania dołączają ją do wysy-
łanego zapytania. Początkowo jest to domena zawierająca komputer.
set
domain=nazwa
set [no]ig[nore]
Jeśli ustawiona jest opcja ignore, wówczas NsLookup ignoruje błędy ob-
cięcia pakietów. Domyślnym ustawieniem jest noignore.
set
noignore
set po[rt]
Aby zmienić numer portu UDP/TCP serwera nazw DNS z domyślnego
portu 53, należy podać inny numer w poleceniu set port. Więcej informa-
cji na temat numerów portów zawiera tabela 10.5.
set
port=numer
set [no]rec[urse]
Jeśli serwer DNS nie posiada żądanej informacji, opcja recurse nakazuje
mu przesłać zapytanie do innego serwera. Domyślnym ustawieniem jest
recurse
.
set
recurse
set q[uerytype] lub set ty[pe]
Polecenie to zmienia typ zapytań (więcej informacji o różnych typach
informacji zawiera dokument RFC 1035). Domyślnym typem jest zapyta-
nie o
adres (A). W
tabeli 10.5 umieszczono wartości używane
w poleceniu set q[uerytype].
set
querytype=wartość
Jeśli NsLookup nie zdobędzie żądanej informacji, zazwyczaj wyświetla
komunikat błędu. W następnym podrozdziale znajduje się lista najczęst-
Określanie nazw w TCP/IP przy użyciu DNS
373
szych komunikatów błędów, wyjaśniająca ich znaczenia i sugerująca
możliwe rozwiązania.
Tabela 10.5 Wartości parametrów polecenia set querytype
Wartość Opis
A
Adres IP komputera
ANY
Wszystkie typy danych
CNAME
Kanoniczna nazwa dla aliasu
GID
Identyfikator nazwy grupowej
HINFO
Procesor i system operacyjny komputera
MB
Nazw skrzynki pocztowej
MG Członek grupy pocztowej
MINFO
Informacja o skrzynce pocztowej lub liście wysyłkowej
MR
Zmiana nazwy skrzynki pocztowej
MX Wymiennik
poczty
NS
Serwer nazw DNS dla danej domeny
PTR
Nazwa komputera, jeśli w zapytaniu podano adres IP;
w innym przypadku wskaźnik do innych informacji.
SOA Rekord
początku autorytatywnej informacji dla danej
domeny DNS
TXT Informacja
tekstowa
Identyfikator
użytkownika
UINFO
Informacja o użytkowniku
WKS
Opis powszechnie znanej usługi
set ret[ry]
Jeśli odpowiedź serwera nie nadejdzie w określonym czasie, wówczas
zapytanie jest wysyłane ponownie. Wartość retry określa liczbę kolejnych
prób przed rezygnacją z połączenia; domyślnie są to cztery próby.
set
retry=liczba
set ro[ot]
Za pomocą tego polecenia można zmienić nazwę serwera bazowego.
Domyślnym ustawieniem jest ns.nic.ddn.mil.
set
root=<serwer>
set [no]sea[rch]
Ustawienie search sprawia, że jeśli szukana nazwa zawiera chociaż jedną
kropkę, ale nie jest zakończona kropką, wówczas NsLookup dodaje do
Rozdział 10
374
niej kolejno nazwy domen wyszczególnione w liście wyszukiwania (sear-
chlist), aż otrzyma odpowiedź. Domyślnym ustawieniem jest search.
set
search
set srchl[ist]
Można użyć listy wyszukiwania z innej domeny, zmieniając domyślne
ustawienie srchlist. Można podać do sześciu nazw, odseparowanych uko-
śnikami (/). Polecenie to unieważnia polecenie set domain. Aby wyświe-
tlić listę wyszukiwania, można skorzystać z polecenia set all. Domyślnie
lista wyszukiwania jest określona przez nazwę komputera.
set
srchlist=nazwa1/nazwa2/...
Np. poniższe polecenie ustawia domenę na mfg.widgets.com, a listę wy-
szukiwania na trzy podane nazwy domen:
set
srchlist=mfg.widgets.com/mrp2.widgets.com/widgets.com
set ti[meout]
Wartość timeout określa w sekundach czas oczekiwania na odpowiedź
serwera. Jeśli odpowiedź nie nadejdzie w określonym czasie, wówczas
zapytanie wysyła się ponownie, a okres oczekiwania podwaja się
w stosunku do początkowej wartości timeout. Domyślną wartością jest 5
sekund.
set
timeout=liczba
set [no]v[c]
Polecenie to sprawia, że podczas wysyłania zapytań do serwera ustana-
wiany jest wirtualny obwód. Standardowym ustawieniem jest novc.
set
novc
view
Polecenie view służy do sortowania i wyświetlania plików wyjściowych
poprzednich poleceń ls.
view
<nazwa_pliku>
Komunikaty błędu
Poniżej zamieszczono wyjaśnienie niektórych komunikatów błędu, które
mogą się pojawić podczas pracy z programem NsLookup.:
Komunikat: Timed out
Określanie nazw w TCP/IP przy użyciu DNS
375
Opis: Serwer nie odpowiedział w określonym czasie.
Sugestie: Użyć polecenia ping
,
aby sprawdzić, czy serwer jest osiągal-
ny. Sprawdzić ogólne problemy z łącznością w sieci, jak źle skonfigu-
rowane domyślne routery lub maski podsieci. Jeśli serwer odpowiada
na ping, ale nie na zapytania DNS, należy sprawdzić, czy usługa DNS
jest poprawnie skonfigurowana. Sprawdzić, czy systemowy dziennik
zdarzeń zawiera komunikaty o problemach z DNS. W przypadku od-
ległych serwerów może pomóc wydłużenie czasu oczekiwania.
Komunikat: No response from server
Opis: DNS nie pracuje na serwerze. Serwer odpowiedział komunika-
tem ICMP "nieosiągalny port", aby poinformować, że nie udostępnia
usług DNS.
Sugestie: Należy sprawdzić na liście usług w Control Panel, czy serwer
DNS rzeczywiście nie pracuje. Sprawdzić, czy systemowy dziennik
zdarzeń zawiera komunikaty o problemach z DNS. Dodatkowo po-
prawnie skonfigurować i uruchomić usługi DNS albo wysyłać zapy-
tania do innego serwera.
Komunikat: No records
Opis: Serwer DNS nie posiada żadnych rekordów żądanego typu.
Sugestie: Przy pomocy programu DNS Admin przejrzeć bazę danych
DNS, aby sprawdzić, jakie zawiera rekordy. Przy pomocy edytora
tekstu sprawdzić, czy pliki bazy danych DNS w
katalogu
%KatalogSystemowy%\system32\DNS
zawierają szukane rekordy.
Sprawdzić w dzienniku zdarzeń, czy DNS znalazł błędy podczas ła-
dowania plików.
Komunikat: Format error
Opis: Pakiet zapytania ma niewłaściwy format
Sugestie: Błąd ten może oznaczać, że zapytanie wysłano do starszej
wersji serwera DNS albo pakiet uległ uszkodzeniu w sieci.
Komunikat: Server failure
Opis: W bazie danych DNS istnieje wewnętrzna sprzeczność.
Sugestie: Sprawdzić, czy w plikach bazy danych DNS nie ma błędów
typograficznych, zwłaszcza w adresach IP.
Komunikat: Connection refused lub Network is unreachable
Opis: Nie można było ustanowić połączenia z serwerem.
Rozdział 10
376
Sugestie: Przy pomocy programów ping i tracert sprawdzić, czy łącze
z serwerem jest drożne.
Komunikat: Refused
Opis: Serwer DNS odmówił obsługi zapytania.
Sugestie: Upewnić się, że zapytania DNS są kierowane do akceptują-
cego je interfejsu. Być może serwer jest skonfigurowany tak, że używa
do obsługi DNS tylko niektórych interfejsów.
Inne narzędzia diagnostyczne
Drugim bardzo pomocnym narzędziem jest program Event Viewer, który
umożliwia zidentyfikowanie różnego typu problemów napotkanych
podczas uruchamiania DNS. Uruchamia się go klikając podwójnie na
ikonie Event Viewer w grupie Administrative Tools.
Program zawiera kilka opcji konfiguracyjnych. Należy upewnić się, że
w menu Log zaznaczona jest opcja System. W kolejnych punktach wymie-
niono problemy, które można zidentyfikować za pomocą dziennika zda-
rzeń:
Network Adapter Not Responding
Karta sieciowa nie odpowiada. Sprawdzić, czy jest dobrze osadzona i czy
podłączony jest do niej kabel sieciowy. Sprawdzić konfigurację karty,
zwłaszcza przerwania IRQ, zakres pamięci i zakres I/O. Upewnić się, że
karta używa właściwego sterownika.
DNS Failed To Start
DNS nie uruchomiło się. Sprawdzić, czy w katalogu DNS istnieją pliki
Boot i Cache lub czy istnieją odpowiednie wpisy w Rejestrze pod gałęzią
DNS. Sprawdzić, czy zainstalowano TCP/IP. Sprawdzić przy pomocy
Performance Meter, czy system posiada wystarczające zasoby.
Incorrect Data in Boot or Cache File
Błędne dane w pliku Boot lub Cache. Sprawdzić, czy w plikach Boot lub
Cache nie ma błędów typograficznych. Upewnić się, że w nazwach obec-
ne są końcowe kropki.