plik

Rozdział 10

Określanie nazw w TCP/IP przy użyciu
DNS

DNS (Domain Name System) jest hierarchicznym, rozproszonym syste-
mem nazewniczym, powszechnie używanym w sieciach opartych na
TCP/IP. DNS jest również podstawową usługą nazewniczą w Internecie.
W niniejszym rozdziale omówiono tworzenie serwerów nazw i delego-
wanie poddomen. Opisano także sposób integracji DNS i WINS oraz
usuwanie problemów w pracy usług nazewniczych. Głównym narzę-
dziem służącym do tworzenia i konfigurowania serwera DNS jest gra-
ficzny program DNS Admin, chociaż można również korzystać z plików
tekstowych BIND.

Serwer Windows NT może pracować jako serwer DNS. Serwer DNS
oparty na Windows NT posiada dwie unikalne cechy:

Można w nim zintegrować usługi DNS z WINS, co pozwala na
dynamiczne uaktualnianie bazy adresów IP w trakcie rejestrowania
nazw NetBIOS.

Wyposażony jest w program narzędziowy DNS Admin, którego
graficzny interfejs pozwala na proste zarządzanie wszystkimi
aspektami DNS.

Czym jest DNS?

DNS jest rozproszoną bazą danych, służącą do przechowywania
odwzorowań pomiędzy nazwami hostów i adresami IP (ma też kilka
innych zastosowań, omówionych w

dalszej części rozdziału). Po

dostarczeniu nazwy komputera, DNS zwraca jego adres IP lub inne
żądane informacje. Rozproszona struktura DNS wynika z tego, że różne
serwery DNS zarządzają różnymi częściami drzewa nazw.

Struktura DNS jest kluczowym aspektem poprawnego funkcjonowania
Internetu. Rozproszenie usług nazewniczych redukuje obciążenie poje-
dynczych serwerów, a ich hierarchiczność umożliwia administratorom

Rozdział 10

330

elastyczne nadawanie nazw komputerom - nie muszą się martwić, że
ktoś na zewnątrz ich domeny wykorzystał już jakąś nazwę.

Utrzymywanie przez pojedynczą osobę lub organizację autorytatywnego
pliku nazw hostów stawało się coraz trudniejsze wraz z powiększaniem
się Internetu. Plik nie zapewniał żadnej hierarchii, co powodowało
problemy związane z

konfliktami nazw, i

rósł zbyt szybko, aby

komputery mogły go wydajnie przetwarzać. Być może największym
problemem był fakt, że plik hostów był statyczny, przez co jego kopie
były zawsze nieaktualne. Użytkownicy bardzo często usiłowali pobrać
najnowszą kopię, a liczba ich próśb - w połączeniu z trudnościami
w zarządzaniu plikiem głównym - była takim obciążeniem, że nawet
główny plik bywał nieaktualny.

Użytkownicy Internetu rozwiązali ten problem, tworząc system DNS
(Domain Name System).

Kiedy korzystać z DNS?

Zanim rozpoczniemy konfigurowanie serwera DNS, powinniśmy
zdecydować, czy na pewno jest on potrzebny. Często dostawcy Internetu
zapewniają usługi DNS za niewielką opłatą; skorzystanie z ich oferty jest
korzystne, zwłaszcza w przypadku niewielkich sieci. Własny serwer DNS
potrzebny jest w następujących okolicznościach:

Posiadamy własną nazwę domeny w Internecie i chcemy stworzyć
oraz delegować w niej poddomeny.

Chcemy lokalnie zarządzać usługami DNS w

celu osiągnięcia

większej elastyczności.

Posiadamy oprogramowanie firewall, ukrywające przed zewnętrzną
siecią przynajmniej niektóre z wewnętrznych nazw komputerów.

Czynności wstępne

Przed konfiguracją serwera DNS konieczne jest podjęcie kilku decyzji.
Trzeba zdecydować się, w którym miejscu hierarchii chcemy się znaleźć,
aby możliwe było zarejestrowanie się w nadrzędnych domenach. Jedna
z domen używana jest do odwzorowywania nazw na adresy IP, a druga
(in-addr.arpa) adresów IP na nazwy. Zazwyczaj informacji tych dostarcza
dostawca Internetu; jeśli z jakiś względów tego nie zrobi, należy skontak-
tować się z InterNIC (Internet Network Information Center) pod adresem:

http://

www

.internic.net/

Określanie nazw w TCP/IP przy użyciu DNS

331

Wyjąwszy interakcję z WINS i DHCP (opisaną w

rozdziale 8,

"Konfigurowanie i

zarządzanie DHCP"), DNS nie jest systemem

dynamicznym i musi zostać skonfigurowany ręcznie. Należy z rozwagą
zaplanować przydział nazw - dobry projekt pomoże uniknąć wielu
późniejszych kłopotów, a administrator oszczędzi sobie pracy, jeśli nie
będzie musiał dokonywać częstych zmian. Ze względu na hierarchiczną
strukturę bazy danych DNS największe znaczenie mają wyższe poziomy
drzewa nazw, które w miarę możliwości nie powinny się zmieniać - jeśli
np. przedsiębiorstwo często się reorganizuje, należy rozważyć możliwość
użycia nazw poddomen uwarunkowanych geograficznie, a

nie

organizacyjnie.

Jeśli w sieci znajduje się więcej niż kilkaset hostów, powinno się je
w miarę równo rozdzielić pomiędzy podsieci, aby leżały w różnych
strefach i

poddomenach. Pomaga to w

utrzymaniu rozsądnych

rozmiarów stref - projekt sieci zakładający rozległe strefy i ograniczoną
dystrybucję prowadzi do potencjalnych problemów z przepustowością,
spowodowanych transferami międzystrefowymi, które zachodzą
podczas odbierania przez wtórne serwery nazw uaktualnionej informacji
z serwerów głównych.

Serwer DNS powinien pracować nieprzerwanie, aby zapewnić ciągłą
łączność z

Internetem. Z

tego względu zaleca się ustanowienie

przynajmniej jednego zapasowego serwera DNS. W

niektórych

przypadkach potrzebne może być nawet kilka serwerów DNS,
aczkolwiek ogłaszanie w sieci więcej niż siedmiu autorytatywnych
serwerów uważane jest za niewłaściwe. Serwery wtórne regularnie
otrzymują uaktualnienia od serwera głównego. Można ustanowić jeden
serwer DNS w każdej sieci lub podsieci w przedsiębiorstwie, aby
możliwe było lokalne określanie nazw nawet w przypadku awarii
routera. Dostęp do wtórnego serwera DNS często zapewnia dostawca
Internetu, co pomaga ograniczyć ruch w wewnętrznej sieci - wszystkie
zapytania zewnętrzne są określane poza siecią.

Instalowanie usług DNS na serwerze Windows NT

Instalowanie usług DNS na serwerze Windows NT jest
nieskomplikowane. Wymagany jest system Windows NT Server w wersji
4 lub późniejszej. Niniejszy opis dotyczy wersji Windows NT Server 5.

Konfigurowanie serwera

Podczas instalowania Windows NT Server 5 do grupy Administrative
Tools dołączana jest opcja DNS Management. Jeśli zamierzamy skorzy-

Rozdział 10

332

stać z usług DNS, musimy najpierw zainstalować protokół TCP/IP. Poni-
żej podano procedurę konfigurowania serwera DNS:

1. Zalogować się jako administrator i upewnić się, że w napędzie CD-

ROM znajduje się dysk instalacyjny Windows NT.

2. Wybrać Start/Programs/Administrative Tools/DNS Management.

3. Jeśli serwer DNS jest konfigurowany po raz pierwszy, ukaże się okno

z zapytaniem, czy chcemy skonfigurować serwer DNS. Należy
wybrać Yes.

4. Powinno pojawić się okno Configure New Server Wizard (patrz rysunek

10.1).

5. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera

DNS (patrz rysunek 10.2). Można tu wybrać opcję Private DNS - dla
prywatnej sieci, niepołączonej z Internetem, albo Internet DNS - dla
serwera podłączonego do Internetu (bezpośrednio lub poprzez fire-
wall). Po wybraniu Internet DNS, serwer będzie używał interneto-
wych serwerów bazowych, a po wybraniu Private DNS - prywatnych
serwerów bazowych. W dalszych punktach procedury zakładamy, że
wybrano opcję Private DNS.

6. Kliknąć Next. Pojawi się okno umożliwiające założenie serwera

bazowego (root server - patrz rysunek 10.3). Po wybraniu opcji Make
this

server a root server, na konfigurowanym serwerze zostanie

założony plik danych serwera bazowego. Po wybraniu opcji Do not
make this server a root server

, konieczne będzie wprowadzenie adresu

IP serwera bazowego w sieci. W dalszych punktach procedury
zakładamy, że wybrano opcję Make this server a root server.

7. Kliknąć Next. Pojawi się okno umożliwiające dodanie strefy zwykłego

wyszukiwania (forward lookup zone - patrz rysunek 10.4). Można
dodać strefę w tym momencie, można uczynić to później. W dalszych
punktach procedury zakładamy, że dodawana jest strefa zwykłego
wyszukiwania.

8. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera

DNS (patrz rysunek 10.5). Można wybrać pomiędzy serwerem
podstawowym (Primary), podstawowym serwerem usług
katalogowych (Primary DS) oraz serwerem wtórnym (Secondary).

Serwerów podstawowych używa się do utworzenia głównej kopii
nowej strefy. Są przeznaczone do zapisu i odczytu.

Podstawowych serwerów usług katalogowych używa się do
utworzenia głównej kopii strefy zintegrowanej z

usługą

katalogową. Są przeznaczone do zapisu i odczytu.

Określanie nazw w TCP/IP przy użyciu DNS

333

Serwerów wtórnych używa się do utworzenia repliki istniejącej
strefy. Są przeznaczone wyłącznie do odczytu.

W dalszych punktach procedury zakładamy, że wybrano serwer
podstawowy (Primary server).

Rysunek 10.1

Okno Configure New Server Wizard.

Rysunek 10.2

Okno Select DNS.

Rysunek 10.3

Okno Configure as Root Server.

Rysunek 10.4

Okno Add Forward Lookup Zone.

8. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy

podstawowej strefy domeny (patrz rysunek 10.6). Należy tu wpisać
nazwę strefy; zazwyczaj jest to nazwa zarejestrowana w InterNIC. Je-
śli np. przedsiębiorstwo nazywa się XYZ i

zarejestrowano je

w domenie COM, jako nazwę podstawowej strefy domeny należy
podać XYZ.COM.

9. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy

pliku strefy (patrz rysunek 10.7). Można utworzyć nowy plik albo za-

Rozdział 10

334

importować plik z danymi. Można również składować informacje
o strefie w katalogu aktywnym (Active Directory), zamiast w pliku
tekstowym. Importowane pliki z danymi muszą być w formacie zde-
finiowanym w dokumentach RFC 1034 i 1035. Pliki takie mogły zo-
stać wcześniej utworzone w implementacjach DNS dla systemu
UNIX. Najpopularniejszą i najbardziej rozpowszechnioną implemen-
tacją DNS dla UNIX jest BIND (Berkeley Internet Name Domain), a pliki
przechowujące informacje o strefie nazywane są plikami danych stre-
fy albo plikami BIND.

10. Kliknąć Next. Pojawi się okno umożliwiające dodanie strefy odwrot-

nego wyszukiwania (Reverse Lookup Zone - patrz rysunek 10.8). Moż-
na dodać strefę w tym momencie, można uczynić to później.
W dalszych punktach procedury zakładamy, że strefa odwrotnego
wyszukiwania została dodana. Stref takich używa się do zwracania
rezultatów odwrotnych zapytań DNS; odwrotne zapytania przekazu-
ją DNS adresy IP i oczekują odesłania odpowiadających im symbo-
licznych nazw. Jest to odwrotność zwykłych zapytań DNS, które
przekazują DNS symboliczne nazwy i

oczekują odesłania

odpowiadających im adresów IP.

11. Kliknąć Next. Ukaże się okno umożliwiające wybranie typu serwera

DNS (patrz rysunek 10.5). Można wybrać pomiędzy serwerem
podstawowym (Primary), podstawowym serwerem usług
katalogowych (Primary DS) oraz serwerem wtórnym (Secondary),
które omówiono wcześniej - tym razem określa się jednak typ
serwera dla wyszukiwania odwrotnego.

Rysunek 10.5

Okno Select Type.

Rysunek 10.6

Okno do wprowadzania nazwy podstawowej
strefy domeny

Określanie nazw w TCP/IP przy użyciu DNS

335

strefy domeny.

Rysunek 10.7

Okno do wprowadzania nazwy pliku strefy.

Rysunek 10.8

Okno Add Reverse Lookup.

12. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy

podstawowej domeny strefy wyszukiwania odwrotnego (patrz
rysunek 10.9). Można tu wprowadzić identyfikator podsieci dla strefy
wyszukiwania odwrotnego (opcja Enter the Subnet ID for the Reverse
Lookup Zone

) albo wprowadzić inną nazwę strefy (opcja Enter the

Name of the Zone

). Jeśli np. wprowadzimy jako identyfikator podsieci

199.245.180, wtedy nazwą strefy będzie 180.245.199.in-addr.arpa.

13. Kliknąć Next. Pojawi się okno umożliwiające wprowadzenie nazwy

pliku strefy odwrotnego wyszukiwania (patrz rysunek 10.10). Można
utworzyć nowy plik albo zaimportować plik z danymi.

14. Kliknąć Next. Pojawi się końcowe okno konfiguracyjne, streszczające

dokonane dotychczas wybory (patrz rysunek 10.11).

15. Kliknąć Finish, aby zakończyć konfigurację serwera. Pojawi się okno

DNS Admin

, zawierające nazwę skonfigurowanego właśnie serwera

DNS.

16. Po kliknięciu na nazwie serwera DNS w oknie DNS Admin, pojawią

się nazwy stref utworzonych na serwerze (patrz rysunek 10.12).

Rozdział 10

336

Rysunek 10.9

Okno do wprowadzenia nazwy podstawowej
domeny strefy odwrotnego wyszukiwania.

Rysunek 10.10

Okno do wprowadzania nazwy pliku strefy
odwrotnego wyszukiwania.

Pliki bazy danych DNS

Pliki bazy danych DNS są plikami tekstowymi, w formacie używanym
w BIND (Berkeley Internet Domain). BIND jest najpopularniejszą
w Internecie implementacją DNS, zwyczajowo używaną w systemach
UNIX.

Można skonfigurować serwer DNS w Windows NT bezpośrednio
edytując te pliki; ich format jest identyczny, jak w systemach UNIX. Jeśli
administrator zna format plików konfiguracyjnych BIND, może
skonfigurować system w ten sposób.

Podczas konfigurowania serwera DNS za pomocą opisanej
w poprzednim podrozdziale procedury, w katalogu

\%KatalogSystemowy%\

system32\DNS

tworzone są następujące pliki:

root.dns
cache.dns
zonedata.dns
odwrócony_identyfikator_podsieci.in-addr.arpa

Poniżej podano przykłady zawartości wymienionych plików DNS.

Oto przykładowy plik root.dns: ;

;

Database file root.dns for. zone.

;

Zone version: 3

;

SOA

(

tpnts.siyan.com.

;

primary

DNS

Server

Określanie nazw w TCP/IP przy użyciu DNS

337

administrator.siyan.com.

;

zone

admin e – mail
3

;

serial

number

3600

;

refresh

600

;

retry

86400

;

expire

3600

) ; minimum TTL

;
;

Zone NS records

;

tpnts.siyan.com

;
; Zone

records

;

;
;

Delegated sub – zone: 0.in – addr.arpa.

;
0.in – addr.arpa

tpnts.siyan.com

; End

delegation

;
;

Delegated sub – zone:

127.in – addr.arpa.

;
127.in – addr.arpa

tpnts.siyan.com

; End

delegation

;
;

Delegated sub – zone:

180.245.199.in – addr.arpa.

;
180.245.199.in – addr.arpa

tpnts.siyan.com

; End

delegation

;
;

Delegated sub – zone:

255.in – addr.arpa.

;
255.in – addr.arpa

tpnts.siyan.com

; End

delegation

;
Delegated sub – zone: kinetics.com.
;
kinetics.com

tpnts.siyan.com

; End

delegation

tpnts.siyan.com A

199.245.180.9

Rozdział 10

338

Rysunek 10.11

Końcowe okno konfiguracyjne.

Rysunek 10.12

Okno DNS Admin pokazujące nazwy stref.

Oto przykładowy plik cache.dns: ;

;

cache.dns - - DNS CACHE FILE

;
;

Initial cache data for root domain servers.

;
;

YOU SHOULD CHANGE:

;

Nothing if connected to the Internet. Edit this file

only when
;

updated rot name serveeer list is released.

;

If NOT connected to the Internet, remove these

records and replace
;

with NS and A records for the DNS Server

authoritative for the root domain at
; your

site.

;
;

Note, if you are a root domain server, for your own private

intranet,
;

no cache is required, and you may edit your boot file to

remove
; it
;

;
;

This file holds the information on root name servers

needed to
;

initialize cache of Internet domain name servers

;

(e. g. reference this file in the "cache. <file>"

;

configuration file of BIND domain name servers).

;
;

This file is made available by InterNIC registration

services
;

under anonymus FTP as

;

file

/domain/named.root

;

server

FTP.RS.INTERNIC.NET

;

-OR- under Gopher at

RS.INTERNIC.NET

;

under menu

InterNIC Registration Services

(NSI)
;

submenu

InterNIC Registration Archives

;

file

named.root

;
;

last update:

Aug 22, 1997

;

related version of root zone: 1997082200

;
;
; formerly

NS.INTERNIC.NET

;
.

3600000

IN NS A.ROOT

–

SERVERS.NET.

A.ROOT – SERVERS.NET. 3600000 A

198.41.0.4

;
; formerly

NS1.ISI.EDU

;
.

3600000

B.ROOT – SERVERS.NET.

B.ROOT – SERVERS.NET. 3600000 A

128.9.0.107

;
; formerly

C.PSI.NET

Określanie nazw w TCP/IP przy użyciu DNS

339

;
.

3600000

C.ROOT – SERVERS.NET

C.ROOT – SERVERS.NET. 3600000 A

192.33.4.12

;
; formerly

TERP.UMD.EDU

;
.

3600000

D.ROOT – SERVERS.NET.

D.ROOT – SERVERS.NET. 3600000 A

128.8.10.90

;
; formerly

NS.NASA.GOV

;
.

3600000

E.ROOT – SERVERS.NET.

E.ROOT – SERVERS.NET 3600000 A

192.203.230.10

;
; formerly

NS.ISC.ORG

;
.

3600000

F.ROOT – SERVERS.NET

F.ROOT – SERVERS.NET. 3600000 A

192.5.5.241

;
; formerly

NS.NIC.DDN.MIL

;
.

3600000

G.ROOT – SERVERS.NET.

G.ROOT – SERVERS.NET. 3600000 A

192.112.36.4

;
; formerly

AOS.ARL.ARMY.MIL

;
.

3600000

H.ROOT – SERVERS. NET.

H.ROOT – SERVERS.NET. 3600000 A

128.63.2.53

;
; formerly

NIC.NORDU.NET

;
.

3600000

I.ROOT – SERVERS. NET.

I.ROOT – SERVERS.NET. 3600000 A

192.36.148.17

;
;

temporarily housed at NSI (InterNIC)

;
.

3600000

J.ROOT – SERVERS. NET.

J.ROOT – SERVERS.NET. 3600000 A

198.41.0.10

;
;

housed in LINX, operated by RIPE NCC

;
.

3600000

K.ROOT – SERVERS. NET.

K.ROOT – SERVERS.NET. 3600000 A

193.0.144.129

;
;

temporarily housed at ISI (IANA)

;
.

3600000

L.ROOT – SERVERS. NET.

L.ROOT – SERVERS.NET. 3600000 A

198.32.64.12

;
;

housed in Japan, operated by WIDE

;
.

3600000

M.ROOT – SERVERS. NET.

M.ROOT – SERVERS.NET. 3600000 A

202.12.27.93

;

End of File

Oto przykładowy plik zonedata.dns: ;

;

Database file kinetics.com.dns for kinetics.com zone.

;

Zone version: 1

;

SOA

(

Rozdział 10

340

tpnts.siyan.com.

;

primary

DNS

Server

administrator.siyan.com.

; Zone admin e –

mail
1

;

serial

number

3600

;

refresh

600

;

retry

86400

;

expire

3600

)

;

minimum

TTL

;
;

Zone NS records

;

tpnts.siyan.com.

;
; Zone

records

;

Oto przykładowy plik odwrócony_identyfikator_podsieci.in-addr.arpa: ;

;

Database file 180.245.199.in – addr.arpa.dns for

180.245.199.in – addr.arpa zone.
; Zone

version:

;

SOA

(

tpnts.siyan.com.

;primary

DNS Server
administrator.siyan.com.

;

zone

admin e – mail
1

;

serial

number

3600

;

refresh

600

;

retry

86400

;

expire

3600

)

;

minimum

TTL

;
;

Zone NS records

;

tpnts.siyan.com.

;
; Zone

records

;

Aktualizowanie systemu z wersji NT 3.51

Jeśli używamy Windows NT w

wersji 3.51 z

serwerem DNS,

pochodzącym z Microsoft's 3.51 Resource Kit, i planujemy uaktualnić
system do wersji 4.0 (z dołączonym serwerem DNS), wówczas
powinniśmy za pomocą programu REGEDT32.EXE usunąć wszystkie
związane z DNS wpisy Rejestru przed rozpoczęciem aktualizacji.

Po zakończeniu aktualizacji należy skonfigurować serwer DNS za
pomocą procedury, opisanej we wcześniejszym podrozdziale
"Konfigurowanie serwera".

Przeniesienie z serwera DNS opartego na BIND

BIND jest wciąż najszerzej stosowanym programem serwera nazw,
wchodzącym w skład dystrybucji większości systemów UNIX. Jeśli obec-

Określanie nazw w TCP/IP przy użyciu DNS

341

nie korzystamy z serwera DNS BIND na innej platformie i planujemy
przeniesienie jego zadań na serwer NT, możemy to zrobić kopiując pliki
bazy danych BIND do katalogu %KatalogSystemowy%\ system32\DNS po
zainstalowaniu, lecz przed uruchomieniem usług DNS. Aby móc używać
WINS i NBSTAT do określania nazw NetBIOS, należy zmodyfikować
plik in-addr.arpa w katalogu %KatalogSystemowy%\ system32\DNS tak, aby
uwzględniał te opcje. Plik in-addr.arpa zawiera informacje
o odwzorowaniu adresów IP na nazwy hostów, wykorzystywane pod-
czas odwrotnego wyszukiwania DNS. Należy otworzyć plik
in-addr.arpa

w edytorze tekstowym (np. WordPad). Odpowiednia część

pliku przypomina podaną niżej:

;
;

arpa – 192.rev

;
;

Reverse lookup file for 29.5.192.in – addr.arpa. domain.

;
;

This file provides addres to name matching (reverselookup)

;

for addresses 192.5.29?.

;
;
;

Note that all domain names given in this file, which are not

;

terminated by a"." and hence fully qualified domain names

(FQDN),
;

are impllicitly appended with "29.5.192.in – addr.arpa."

;
; Examples:
;
"6"

6.29.5.192.in

–

addr.arpa

;
;

If a name outside of "29.5.192.in – addr.arpa." is required,

then it
;

must be explicitly terminated with a dot, to indicate that

it is a
; FQDN.
;
; Example:
;

"7.30.5.192.in – addr.arpa." =>

7.30.5.192.in –

addr.arpa.
;

;
;
; NBSTAT

Record

;
;

The NBSTAT RR is specific to Windows NT and may be attached

ONLY
;

to the zone root of a reverse lookup domain.

;
;

Presence of an NBSTAT record at the zone root instructs the

name server
;

to use a NetBIOS node status request for any reverse lookup

;

requests for IP addresses which are NOT given in PTR records

below.
;
; Examples:
;
;

1) A query for 135.29.5.192.in – addr.arpa. (192.5.29.135)

;

192.5.29.135 has a PTR record below, so DNS Server responds

Rozdział 10

342

;

with the PTR record without NBSTAT lookup.

;
;

2) A query for 206.29.5.192.in – addr.arpa. (192.5.29.206)

;

192.5.29.206 is within the 29.5.192.in – addr.arpa zone, but

;

there is no PTR record for it in this zone file.

;

DNS will issue an NBSTAT query to 192.5.29.206.

;

If a response is received, the host name in the response

will be
;

appended to the result domain in the NBSTAT record and used

;

as the host name corresponding to 192.5.29.206. The PTR

;

record will be cached and a response sent to the client.

;

If a response is NOT received, the DNS Server responds to

;

the client with a name error.

;
;

3) A query for 29.5.192.in – addr.arpa. (192.5.29)

;

192.5.29 is within the 29.5.192.in – addr.arpa zone, but is

NOT
;

an IP address. Hence no NBSTAT lookup is done, and the

server
;

responds with a name error.

;
;
;

NBSTAT and zone transfer:

;
;

The MS DNS Server will configure NBSTAT information an

a resource
;

record to allow it to be transferred tp MS DNS secondary

servers.
;
;

If you have MS DNS secondaries, and want them to use exactly

the
;

same NBSTAT info as the primary server, then omit the LOCAL

flag
;

in the NBSTAT record.

;
;

If you have Unix secondaries, or MS secondaries using

different
;

NBSTAT information, then use the "LOCAL" flag after the

"NBSTAT"
;

flag and the NBSTAT information will NOT be considered part

of the
;

zone`s resource records and will Not be sent in the zone

transfer.
;
;
;

YOU SHOULD CHANGE:

;

- Change the resulting domain that should be appended

to
;

names found with NBSTAT lookup.

;

- Uncomment the line with LOCAL flag, if NBSTAT in-

formation should
;

not be transferrrred as part of the zone

data.
;

- Uncomment the line without the LOCAL flag, if

NBSTAT information
;

should be transferred to MS DNS secondaries.

;

- Leave this line commented out, if NBSTAT lookup not

desired

;

NBSTAT

place.com.

;

IN NBSTAT

LOCAL

place.com.

Określanie nazw w TCP/IP przy użyciu DNS

343

Aby włączyć NBSTAT, należy usunąć średnik (znak komentarza) z linii
NBSTAT. Aby możliwe było używanie WINS, należy wymienić serwery
WINS w sekcji PTR.

Zarządzanie DNS

Bazą danych DNS można zarządzać bezpośrednio, modyfikując pliki za
pomocą edytora tekstowego. Może to być naturalne dla kogoś, kto wcze-
śniej pracował z plikami BIND w systemie UNIX, ale większość użyt-
kowników woli korzystać z graficznego środowiska programu DNS Ad-
min.

Pliki bazy danych, które zawierają rekordy zasobów, muszą być umiesz-
czone w katalogu %KatalogSystemowy%\system32\DNS. Przykładowe pliki
znajdują się w katalogu %KatalogSystemowy%\system32\DNS\Samples; peł-
nią one rolę przewodnika.

Program DNS Admin pracuje w podobny sposób, co programy WINS
Manager lub DHCP Manager. DNS Admin zapisuje informacje z pliku
DNS BOOT w Rejestrze Windows NT.

Pliki bazy danych DNS w katalogu %KatalogSystemowy%\system32\DNS są
czytane podczas inicjalizacji serwera DNS. Jeśli zmodyfikowano te pliki
za pomocą edytora tekstowego, wówczas należy zatrzymać i ponownie
uruchomić serwer DNS, aby uwzględnić zmiany. Jeśli bazą danych za-
rządza się przy pomocy DNS Admin, wówczas wszystkie zmiany prze-
kazywane są automatycznie do serwera bez konieczności zatrzymywania
i ponownego uruchamiania DNS.

Program DNS Admin znajduje się w grupie Administrative Tools. Aby go
uruchomić, należy wybrać Start/Administrative Tools/DNS Admin.

Podczas modyfikowania ustawień DNS przy pomocy DNS Admin,
zmiany są co pewien czas zapisywane do odpowiednich plików bazy
danych. W dowolnym momencie można wymusić uaktualnienie plików
serwera DNS - należy wybrać z menu DNS/Update Server Data Files.
Wszystkie pliki zostaną natychmiast uaktualnione. Pliki są regularnie
uaktualniane nawet wtedy, kiedy serwer DNS lub program DNS Admin
nie pracują.

Za pomocą programu DNS Admin można zarządzać następującymi
aspektami pracy serwera:

Serwerami. Patrz następny podrozdział, "Serwery"

Strefami. Patrz dalszy podrozdział, "Strefy"

Rekordami. Patrz dalszy podrozdział, "Rekordy zasobów DNS"

Rozdział 10

344

Domenami. Patrz dalszy podrozdział, "Domeny"

Integracją z WINS. Patrz dalszy podrozdział, "Integracja z WINS"

Opcjami specjalnymi. Patrz dalszy podrozdział, "Opcje specjalne".

Serwery

Kolejne podrozdziały opisują różne procedury zarządzania serwerami,
jak dodawanie i usuwanie serwerów z listy DNS Admin oraz przegląda-
nie statystyk serwerów.

Dodawania i usuwanie serwerów z listy DNS Admin

Do listy DNS Admin należy dodać wszystkie pracujące serwery DNS,
łącznie z serwerami wtórnymi. Wykonuje się to następująco:

1. Kliknąć prawym klawiszem myszy na folderze DNS Admin w oknie

DNS Admin

i wybrać opcję Connect To Computer.

2. Wpisać nazwę lub adres IP serwera, który będzie zarządzany przez

program DNS Admin.

3. Kliknąć OK.

W polu Server List, DNS Admin wyświetla ikonę dla każdego skonfigu-
rowanego serwera DNS, przedstawiającą graficznie jego status. Zielone
światło oznacza, że serwer pracuje, a DNS Admin może się z nim połą-
czyć. Jeśli nad ikoną pojawi się czerwony znak "X", wówczas DNS Admin
nie może połączyć się z usługą DNS na tym serwerze. W takim przypad-
ku, po podświetleniu serwera, w prawym dolnym rogu okna DNS Ad-
min pojawi się wiadomość o błędzie.

Aby usunąć serwer z listy, należy podświetlić go i nacisnąć klawisz
Delete

Wpływ usuwania i ponownej instalacji serwera DNS na pliki bazy

danych

Jeśli serwer DNS zostanie usunięty i ponownie zainstalowany, pliki BOOT,
CACHE i inne pozostaną nienaruszone. Jeśli potrzebne są nowe kopie tych
plików, należy zmienić nazwę starych plików (lub usunąć je) przed ponowną
instalacją serwera DNS.

Określanie nazw w TCP/IP przy użyciu DNS

345

Przeglądanie statystyk serwera

W statystykach serwera uwzględniane są różne czynności, np. liczba
zapytań i odpowiedzi UDP, połączeń klientów TCP, odwrotnych zapytań
czy zapytań WINS (patrz rysunek 10.13).

Aby obejrzeć statystyki, należy kliknąć prawym klawiszem myszy na
ikonie odpowiedniego serwera. Wybrać Properties, a następnie zakładkę
Statistics

. Tabela 10.1 wymienia niektóre informacje pojawiające się

w oknie statystyk i objaśnia ich znaczenie.

Tabela 10.1 Statystyki serwera

Statystyka Opis

Udp Queries

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
otrzymuje zapytanie o nazwę poprzez UDP.

Udp Responses

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź poprzez UDP.

Tcp Client Connections

Zwiększa się o 1 za każdym razem, kiedy inny system
otwiera połączenie TCP z portem DNS serwera.

Tcp Queries

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
otrzymuje zapytanie o nazwę poprzez TCP.

Tcp Responses

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź poprzez TCP.

Recursive Lookups

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
musi wysłać zapytanie do innych serwerów, aby
odpowiedzieć na rekursywne zapytanie klienta.

Recursive Responses

Zwiększa się o 1 za każdym razem, kiedy serwer DNS
przesyła odpowiedź na rekursywne zapytanie klienta.

WINS Forward Lookups

Zwiększa się o 1 za każdym razem, kiedy klient zapyta
o odwzorowanie nazwy WINS na adres IP.

WINS Forward Responses

Zwiększa się o 1 za każdym razem, kiedy serwer
odpowiada na pytanie klienta o odwzorowanie nazwy
WINS na adres IP.

WINS Reverse Lookups

Zwiększa się o 1 za każdym razem, kiedy klient zapyta
o odwzorowanie adresu IP na nazwę WINS.

WINS Reverse Responses

Zwiększa się o 1 za każdym razem, kiedy serwer
odpowiada na pytanie klienta o odwzorowanie nazwy
WINS na adres IP .

Master Zone Notify Sent

Określa liczbę komunikatów transferu strefy
podstawowej, wysłanych w odpowiedzi na żądania
transferu do strefy wtórnej.

Secondary Zone Notify
Received

Określa liczbę otrzymanych żądań transferu do strefy
wtórnej.

Master Zone Axfr xxxxx

Transfery adresów dla rekordów adresów w strefie
podstawowej, dla określonego stanu xxxxx.

Rozdział 10

346

Statystyka Opis

Secondary Zone Axfr xxxxx

Transfery adresów dla rekordów adresów w strefie
wtórnej, dla określonego stanu xxxxx.

Rysunek 10.13

Okno statystyki DNS.

Strefy (Zones)

Strefa zawiera jedną lub kilka domen, może również zawierać poddome-
ny. Strefa jest autorytatywna, jeśli chodzi o wszelkie informacje DNS
w zawartych w niej domenach i poddomenach. Jeśli poddomena zostanie
delegowana do serwera, wówczas serwer ten przechowuje autorytatyw-
ną strefę dla tej poddomeny. Istnieją dwa typy stref:

podstawowe

wtórne

Strefa podstawowa posiada własny rekord SOA (Start of Authority, patrz
podrozdział "Rekordy zasobów DNS"). Strefy podstawowe korzystają
bezpośrednio z informacji zwartych w plikach bazy danych DNS.

Standardowe pliki tworzone przez serwer DNS

Podczas instalowania serwera DNS w Windows NT automatycznie tworzone są
trzy strefy wyszukiwania odwrotnego, dla odwzorowań adresów IP na nazwy
hostów. Są to następujące strefy:
■

0.in-addr.arpa

■

127.in-addr.arpa

■

255.in-addr.arpa

Określanie nazw w TCP/IP przy użyciu DNS

347

Strefa 127.in-addr.arpa służy jako standardowy interfejs pętli zwrotnej. Strefy
wyszukiwania odwrotnego są częścią domeny in-addr.arpa i są dodawane dla
każdego serwera DNS znajdującego się na liście Server List. Strefy te służą do
zwiększenia wydajności i nie powinno się ich edytować ani usuwać.

Serwery stref wtórnych polegają na informacjach otrzymywanych od
innych serwerów, zazwyczaj serwerów podstawowych. Serwer stref
wtórnych pobiera informacje za pomocą transferu strefy.

Tworzenie strefy podstawowej

Strefę podstawową tworzy się następująco:

1. Kliknąć na ikonie serwera, na którym będzie tworzona nowa strefa.

2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create

a New Zone

3. W oknie Add New Zone Wizard wybrać opcję Primary.

4. Kliknąć Next i wybrać metodę wyszukiwania dla strefy (zwykłe lub

odwrotne).

5. Kliknąć Next i wpisać nazwę strefy.

6. Kliknąć Next i wpisać nazwę pliku strefy, w którym będzie przecho-

wywana baza danych.

7. Kliknąć Next.

8. Kliknąć Finish.

Do serwera dodawana zostanie nowa strefa, z rekordami zasobów SOA
i A (informacje o rekordach zasobów omówione są w podrozdziale "Re-
kordy zasobów DNS").

Tworzenie strefy wtórnej

Strefa wtórna jest kopią strefy podstawowej, przeznaczoną tylko do od-
czytu. Służy głównie jako kopia zapasowa strefy podstawowej; może
także pomóc w rozłożeniu obciążenia i zminimalizowaniu ruchu w sieci -
dzięki niej można wyeliminować potrzebę korzystania z routera w celu
dostępu do strefy podstawowej. Dla strefy wtórnej należy wybrać inny
serwer niż dla strefy podstawowej, chociaż dany serwer dla strefy pod-
stawowej może być jednocześnie serwerem dla innej strefy wtórnej.

1. Kliknąć na ikonie serwera.

2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create

a New Zone

Rozdział 10

348

3. W oknie Add New Zone Wizard wybrać opcję Secondary.

4. Kliknąć Next i wybrać metodę wyszukiwania dla strefy (zwykłe lub

odwrotne).

5. Kliknąć Next i wpisać nazwę strefy.

6. Kliknąć Next, wpisać odpowiedni adres w polu IP Master i kliknąć

przycisk Add. Pole IP Master zawiera adresy jednego lub wielu serwe-
rów DNS, z których należy kopiować strefę.

7. Kliknąć Next.

8. Kliknąć Finish.

Tworzenie strefy podstawowej w domenie in-addr.arpa

Domena in-addr.arpa jest specjalną domeną, używaną w odwrotny spo-
sób niż wszystkie pozostałe. Zamiast sprawdzać nazwę i zwracać przypi-
sany jej adres IP, in-addr.arpa sprawdza adres i zwraca związaną z nim
nazwę. Strefa ta musi być skoordynowana z autorytatywną strefą dla
nazw komputerów w danej przestrzeni nazw. Jeśli zwykła domena nazw
i domena in-addr.arpa nie są zsynchronizowane, wówczas wiele serwe-
rów w Internecie nie zezwoli na dostęp.

1. Kliknąć na ikonie serwera.

2. Kliknąć prawym klawiszem myszy na prawym panelu i wybrać Create

a New Zone

3. W oknie Add New Zone Wizard wybrać opcję Primary.

4. Kliknąć Next i wybrać metodę wyszukiwania odwrotnego (Reverse

Lookup) dla strefy.

5. Kliknąć Next i wprowadzić identyfikator podsieci (Subnet ID) dla stre-

fy wyszukiwania odwrotnego. Spowoduje to automatyczne utworze-
nie nazwy pliku, zawierającej odwrócony identyfikator podsieci.

6. Kliknąć Next i wprowadzić nazwę pliku strefy albo zaakceptować

domyślną nazwę.

7. Kliknąć Next.

8. Kliknąć Finish.

Komputery spoza konfigurowanej sieci będą musiały mieć dostęp do tej
strefy, aby mogły zweryfikować tożsamość komputerów poprzez od-
wrotne wyszukiwanie. W tym celu należy zarejestrować utworzoną strefę
w nadrzędnej domenie, in-addr.arpa. Zazwyczaj delegowaniem strefy
zajmuje się organizacja, która przyznała numer (lub numery) sieci, czyli

Określanie nazw w TCP/IP przy użyciu DNS

349

dostawca Internetu. O

ile nie posiadamy własnego numeru sieci

i przynajmniej dwóch serwerów nazw, nie będziemy mogli się zareje-
strować w domenie in-addr.arpa. Jeśli od dawna posiadamy własne nu-
mery sieci, których nigdy nie zarejestrowaliśmy, konieczne będzie bezpo-
średnie skontaktowanie się z InterNIC. Informacje o rejestracji (i inne
pożyteczne informacje) można znaleźć na witrynie DNS Resource
Directory pod internetowym adresem:

http://www.dns.net/dnsrd

Dodawanie nowego hosta do strefy podstawowej

Poniżej podano sposób dodawania nowego hosta do strefy podstawowej:

1. Kliknąć Forward Lookup Zones albo Reverse Lookup Zones.

2. Kliknąć prawym klawiszem myszy na nazwie strefy.

3. Wybrać New/Host.

4. Wpisać nazwę hosta i jego adres IP w oknie New Host (patrz rysunek

10.14).

5. Jeśli rekord PTR dla wyszukiwania odwrotnego ma być utworzony

automatycznie, należy zaznaczyć pole wyboru Create Associated PTR
Record

6. Kliknąć przycisk Add Host.

W oknie New Host można dodać dowolną liczbę hostów. Każdy host,
który ma być dostępny poprzez Internet, powinien posiadać przynajm-
niej rekordy A i PTR (patrz następny podrozdział). Dodany host i jego
adres IP pojawią się w oknie informacji o strefie jako rekord adresu (A).

Rekordy zasobów DNS

Każdy zbiór informacji przechowywany w bazie danych DNS nazywany
jest rekordem zasobu. Najważniejszymi typami rekordów są:

Serwer nazw (Name Server, NS)

Adres (Address, A)

Początek autorytatywnej informacji (Start of Authority, SOA)

Wskaźnik (Pointer, PTR)

Wymiennik poczty (Mail Exchange, MX)

Rozdział 10

350

Rysunek 10.14

Okno dialogowe New Host.

Istnieje wiele innych typów rekordów, ale tylko niektóre są szerzej wyko-
rzystywane (np. CNAME). Niektóre typy rekordów są eksperymentalne,
inne po prostu mało rozpowszechnione. Tabela 10.2 wymienia różne
rekordy zasobów i przechowywane w nich informacje. Szczegółowy opis
rekordów zasobów znajduje się w dalszej części rozdziału.

Dodawanie nowego rekordu

1. Kliknąć prawym klawiszem myszy na strefie lub domenie, do której

należy dodać rekord.

2. Wybrać New/Other Record. Pojawi się okno dialogowe Record Type

(patrz rysunek 10.15).

3. Z listy Select Record Type wybrać żądany typ rekordu, np. MX, A lub

CNAME.

4. Wpisać odpowiednie dane i kliknąć OK.

Pośród rekordów zasobów jest wiele eksperymentalnych typów, nie ma-
jących większego wpływu na usługi DNS. Kilka typów ma szczególne
znaczenie: rekord adresu (A), wskaźnika (PTR), wymiennika poczty
(MX), nazwy kanonicznej (CNAME) oraz początku autorytatywnej in-
formacji (SOA). Kolejne podrozdziały opisują rekordy i ich funkcje.

Rekord adresu (Adress Record, A)

Rekord A odwzorowuje nazwę hosta (lub innego urządzenia sieciowego)
na adres IP w domenie DNS i posiada trzy pola:

Domena (Domain). Wpisuje się tu nazwę domeny, w której znajduje się
host.

Nazwa hosta (Hostname). Wpisuje się tutaj nazwę komputera lub
urządzenia sieciowego.

Określanie nazw w TCP/IP przy użyciu DNS

351

Adres IP hosta (Host IP Address). Wpisuje się tutaj adres hosta.

Nazwa hosta w połączeniu z nazwą domeny tworzy w pełni określoną
nazwę domenową FQDN (Fully Qualified Domain Name). Program DNS
Admin automatycznie generuje rekord A, kiedy dodawany jest nowy
serwer, host lub domena.

Tabela 10.2 Najpowszechniej używane rekordy zasobów DNS

Nazwa rekordu

Opis

A (Adres)

Odwzorowuje nazwę hosta lub innego
urządzenia sieciowego na adres IP w strefie
DNS.

CNAME (Nazwa kanoniczna)

Tworzy alias dla wyszczególnionej nazwy
hosta.

MX (Wymiennik poczty)

Określa wymiennik poczty dla danego hosta.

NS (Serwer nazw)

Określa serwer nazw dla danej domeny DNS.

PTR (Wskaźnik)

Odwzorowuje adres IP na nazwę hosta
w strefie wyszukiwania odwrotnego DNS.

SOA (Początek autorytatywnej
informacji)

Wskazuje, że dany serwer DNS jest
najlepszym źródłem informacji na temat
danej domeny DNS.

Rysunek 10.15

Okno dialogowe Record
Type.

Rekord bazy danych AFS (AFS Database Record, AFSDB)

Rekord AFSDB (pochodzący z systemu plików Andrew) określa lokaliza-
cję serwera bazy danych dla komórki AFS (Andrew File System) lub uwie-
rzytelniony serwer nazw dla komórki DCE (Distributed Computer Envi-
ronment). Oprócz nazwy domeny i opcjonalnej nazwy hosta należy podać
nazwę DNS serwera, który może być serwerem bazy danych dla komórki
AFS lub serwerem nazw DCE - a następnie określić typ serwera. Wybrać

Rozdział 10

352

AFS Cell Database Server

albo DCE Name Server. Niewiele sieci posiada

takie serwery.

Rekord nazwy kanonicznej (Canonical Name Record,
CNAME)

Rekord CNAME tworzy alias dla wyszczególnionej nazwy hosta. Można
użyć tego rekordu, aby ukryć szczegóły implementacji sieci przed łączą-
cymi się z nią klientami. W aliasach można użyć skróconej nazwy hosta,
np. serwer public1.business.com może mieć alias www.business.com.
Rekord posiada następujące trzy pola:

Domena alias (Alias Domain). Wpisuje się tu nazwę domeny, w której
znajduje się host.

Nazwa alias (Alias Name). Wpisuje się tu nazwę kanoniczną, jak
www...

Dla nazwy komputera (For Hostname). Wprowadzić nazwę komputera
(zdefiniowaną w rekordzie

), dla której tworzony jest alias. Jest to

"prawdziwa" nazwa komputera.

Rekord informacji o sprzêcie (Hardware Information Record,
HINFO)

Rekord HINFO określa typ sprzętowy i system operacyjny hosta. Stan-
dardowe skróty nazw różnych systemów operacyjnych są publikowane
w dokumentach RFC "Assigned Numbers" (w momencie pisania tej
książki aktualnym dokumentem był RFC 1700), w rozdziale "System
Names List". Można tam również znaleźć skrótowe nazwy typów sprzę-
tu; nazwy identyfikujące typ procesora znajdują się w rozdziale "Machine
Names List". Zamieszczona niżej lista podaje niektóre spośród typów,
zdefiniowanych w dokumencie "Assigned Numbers". Nazwy mają dłu-
gość do 40 znaków i składają się z dużych liter, cyfr, oraz znaku myślnika
(-) i ukośnika (/). Muszą zaczynać się od litery i kończyć literą lub cyfrą.

[316]

Oto niektóre spośród kodów systemów operacyjnych, które można umie-
ścić w rekordzie HINFO, według RFC 1700:

APOLLO OPENVMS

TANDEM

AIX/370 OS/2

UNIXDOMAIN

PCDOS UNIX-BSD
DOS SCO-OPEN-DESKTOP-2.0

UNIX-PC

INTERLISP SCO-OPEN-DESKTOP-3.0

UNKNOWN

ITS SCO-UNIX-3.2V4.0

Określanie nazw w TCP/IP przy użyciu DNS

353

LISP SCO-UNIX-3.2V4.1 VM/370
MSDOS SCO-UNIX-3.2V4.2

VMS

MULTICS SUN

WANG

MVS SUN-OS-3.5 WIN32
NONSTOP SUN-OS-4.0

X11R3

Oto niektóre spośród kodów procesorów, które można umieścić
w rekordzie HINFO:

APOLLO IBM-RS/6000

SUN-4/200

APPLE-MACINTOSH INTEL-386

SUN-4/390

APPLE-POWERBOOK M68000

SYMBOLICS-3600

CRAY-2 MAC-II

UNKNOWN

DECSTATION MAC-POWERBOOK VAX
DEC-VAX MACINTOSH

VAX-11/725

DEC-VAXCLUSTER MICROVAX

VAXCLUSTER

DEC-VAXSTATION PDP-11 VAXSTATION
IBM-PC/AT SILICON-GRAPHICS
IBM-PC/XT SUN

Rekord ISDN (ISDN Record, ISDN)

Rekord ISDN (Integrated Services Digital Network) odwzorowuje nazwę
hosta na adres ISDN. Numer telefoniczny ISDN może również zawierać
numer DDI (Direct Dial In). Podadres ISDN jest opcjonalny. Rekordy
ISDN mają kilka potencjalnych zastosowań: mogą w prosty sposób do-
kumentować adresy, których należy użyć w statycznej konfiguracji apli-
kacji dial-up przeznaczonych dla ISDN. W przyszłości być może będą
z nich automatycznie korzystać internetowe routery.

Rekord skrzynki pocztowej (Mailbox Record, MB)

Rekord MB określa skrzynkę pocztową dla wyszczególnionego hosta.
Należy podać nazwę skrzynki pocztowej i w pełni określoną nazwę do-
menową (FQDN) hosta, który ją przechowuje. Ten typ rekordu jest uwa-
żany za eksperymentalny i powinien być używany tylko przez osoby
biorące udział w eksperymencie.

Rekord grupy pocztowej (Mailgroup Record, MG)

Rekord MG określa skrzynkę pocztową, która jest członkiem listy wysył-
kowej w określonej domenie DNS. Nazwa skrzynki pocztowej musi zo-
stać wpisana jako FQDN. Ten typ rekordu jest uważany za eksperymen-

Rozdział 10

354

talny i powinien być używany tylko przez osoby biorące udział
w eksperymencie.

Rekord wymiennika poczty (Mail Exchange Record, MX)

Rekord MX określa nazwę serwera, który będzie przetwarzał lub przeka-
zywał pocztę dla danej domeny lub hosta. Nazwa wymiennika poczty
musi zostać wpisana jako FQDN. Format rekordu MX składa się
z następujących pól:

Dla domeny (For Domain). Wpisuje się tu nazwę domeny, dla której
wymiennik przetwarza pocztę.

Nazwa DNS serwera wymiany poczty (Mail Exchange Server DNS
Name

). Wpisuje się tu nazwę FQDN wymiennika poczty.

Numer preferencji (Preference Number). Wpisuje się tu numer preferen-
cji dla danego wymiennika poczty.

Numer preferencji jest liczbą z zakresu 0...65535, która określa priorytet
danego wymiennika poczty względem innych wymienników dla tego
samego miejsca przeznaczenia. Niższe numery preferencji mają wyższy
priorytet; najwyższy priorytet ma wymiennik o numerze preferencji 0.
Absolutna wartość numeru preferencji nie ma znaczenia, liczy się tylko
jego relacja z numerami wymienników poczty dla tego samego miejsca
przeznaczenia. Program pocztowy próbuje najpierw dostarczyć pocztę
do wymiennika z najniższym numerem preferencji. Jeśli operacja się nie
powiedzie, używany jest serwer o następnym z klei numerze preferencji.
Jeśli dwa (lub więcej) wymienniki poczty mają ten sam numer preferencji,
wówczas program pocztowy musi zdecydować, którego z nich użyje;
kolejność nie jest zdefiniowana w dokumentach RFC, lecz zależna od
implementacji - może być np. wybierana losowo. Przed przejściem do
kolejnego numeru preferencji program pocztowy musi jednak spróbować
dostarczyć pocztę do wszystkich wymienników z takim samym nume-
rem preferencji. Zazwyczaj używa się numeru 10 dla najwydajniejszego
wymiennika, kolejnym przypisując numery 20, 30 itd. Umożliwia to,
w razie potrzeby, umieszczenie pomiędzy nimi nowego wymiennika
poczty.

Wyszukiwanie rekordów MX nie jest rekursywne. Po znalezieniu rekor-
du MX, który identyfikuje najlepsze miejsce przeznaczenia, poszukuje się
tylko rekordu A dla wymiennika poczty. Rekordy MX dla samego wy-
miennika poczty są ignorowane, chyba że poczta jest adresowana doń
bezpośrednio.

Określanie nazw w TCP/IP przy użyciu DNS

355

Rekord informacji pocztowej (Mail Information Record,
MINFO)

Rekord MINFO dostarcza informacji o liście wysyłkowej lub skrzynce
pocztowej. Posiada dwa pola:

Nazwa DNS odpowiedzialnej skrzynki (Responsible Mailbox DNS). Zawiera

nazwę FQDN skrzynki pocztowej, która jest odpowiedzialna za listę wysył-
kową zdefiniowaną w rekordzie zasobu.

Nazwa DNS skrzynki błędów (Error Mailbox DNS). Zawiera nazwę
FQDN skrzynki pocztowej, która będzie otrzymywać komunikaty
o błędach związanych z daną listą wysyłkową.

Chociaż można powiązać te rekordy ze zwykłą skrzynką pocztową, za-
zwyczaj używa się ich z listami wysyłkowymi, które używają innych
adresów pocztowych dla spraw administracyjnych, jak np. obsługa sub-
skrypcji (jest to zazwyczaj skrzynka odpowiedzialna za listę), a innych
dla komunikatów o błędach, np. o niemożności dostarczenia poczty (jest
to zazwyczaj skrzynka błędów).

Rekord zmiany nazwy skrzynki (Mail Rename Record, MR)

Rekord MR zmienia nazwę danej skrzynki. Należy wpisać nazwę FQDN
nowej skrzynki w polu Replacement Mailbox DNS Name. Nazwy takiej
można użyć podczas przenoszenia skrzynki pocztowej na inny kompu-
ter. Ten typ rekordu jest uważany za eksperymentalny i powinien być
używany tylko przez osoby biorące udział w eksperymencie.

Rekord serwera nazw (Name Server Record, NS)

Rekord NS identyfikuje autorytatywny serwer DNS dla danej domeny.
W każdej domenie powinny znaleźć się co najmniej dwa takie rekordy.
Rekord NetBIOS posiada dwa pola:

Dla domeny (For Domain). Wpisuje się tutaj nazwę domeny.

Nazwa DNS serwera nazw (Name Server DNS Name). Wpisuje się tutaj
nazwę autorytatywnego serwera (powinna odnosić się do odpowied-
niego rekordu

Rekord wskaźnika (Pointer Record, PTR)

Rekordy PTR odwzorowują adres IP na nazwę hosta w domenie odwrot-
nego wyszukiwania (in-addr.arpa). Posiadają pola adresu IP (IP Address)
oraz nazwy hosta (Host DNS Name). Można sprawić, aby program DNS
Admin automatycznie tworzył rekordy PTR dla nowo dodawanych re-
kordów A zaznaczając opcję Create Associated PTR Record. Jeśli rekordy te

Rozdział 10

356

tworzy się ręcznie, należy podać nazwę hosta jako FQDN. Jeśli tworzy się
rekordy PTR używając DNS Admin, wówczas wystarczy wpisać adres IP
hosta; program automatycznie dołączy do niego
"in-addr.arpa".

Rekord odpowiedzialnej osoby (Responsible Person Record,
RP)

Rekord RP wskazuje, kto jest odpowiedzialny za urządzenie określone
przez daną nazwę DNS. Chociaż rekord SOA określa, kto jest odpowie-
dzialny za strefę, i daje możliwość kontaktu we wszystkich sprawach
związanych z DNS, zazwyczaj różne hosty w domenie są zarządzane
przez różne osoby. Rekord RP daje możliwość określenia osoby, z którą
należy kontaktować się w sprawach związanych z urządzeniem o danej
nazwie DNS. Jest to przydatne w sytuacji, kiedy awarii ulegnie ważny
serwer, bądź też inni użytkownicy obserwują nienormalne zachowanie
się hosta.

Rekord RP wymaga podania adresu e-mail oraz nazwy FQDN, którą
należy sprawdzić w poszukiwaniu rekordu TXT zawierającego dalsze
informacje. Adres e-mail wpisuje się w standardowym formacie DNS, tj.
z kropką w miejscu znaku "@", używanego w większości adresów e-mail.
Odnośnik tekstowy DNS (DNS text reference) jest nazwą domeny, która
służy jako wskaźnik do rekordu TXT. Można go użyć, aby dostarczyć
informację o możliwościach kontaktu z odpowiedzialną osobą, jak np.
imię i nazwisko oraz numer telefonu lub pagera.

Rekord trasowania (Route Through Record, RT)

Rekord RT określa pośredniczącego hosta, który przekazuje pakiety do
hosta przeznaczenia, nie mającego bezpośredniej łączności. Nazwa po-
średniczącego hosta (Intermediate Host DNS Name), który będzie przeka-
zywał pakiety do miejsca przeznaczenia, musi być podana jako FQDN.
Host pośredniczący przypomina wymiennika poczty, ponieważ dopusz-
czalny jest tylko jeden poziom przekazywania - oznacza to, że trasa do
hosta pośredniczącego nie może wieść przez inny host pośredniczący.

Rekord początku uprawnionej informacji (Start of Authority
Record, SOA)

Rekord SOA wskazuje, że dany serwer nazw DNS jest najlepszym źró-
dłem informacji w domenie. Rekordy SOA (patrz rysunek 10.16) służą do
określenia adresu e-mail osoby odpowiedzialnej za strefę, zdefiniowania
zmian dokonanych w pliku bazy danych oraz do ustawienia zegarów,

Określanie nazw w TCP/IP przy użyciu DNS

357

które odmierzają czas pomiędzy kolejnymi uaktualnieniami kopii infor-
macji o strefie, znajdującymi się na innych serwerach.

Kwestie bezpieczeństwa związane z rekordami

PTR

Wiele siedzib w Internecie ze względów bezpieczeństwa odmówi dostępu
komputerom, które nie mają pasujących do siebie rekordów A i PTR., dlatego
rekordy PTR powinny być zawsze zsynchronizowane z rekordami

Można obejrzeć rekord SOA dla każdej ze stref podstawowych, klikając
na nazwie strefy i wybierając opcję Properties. Pole Primary Name Server
DNS Name

zawiera nazwę serwera, który jest podstawowym źródłem

danych dotyczących danej domeny.

Pole Serial Number zawiera numer seryjny, który steruje transferami stref
pomiędzy podstawowymi i wtórnymi serwerami nazw DNS. Serwer
wtórny co pewien czas kontaktuje się z podstawowym i pyta o numer
seryjny danych strefy podstawowej. Jeśli numer ten jest większy niż po-
siadany przez serwer wtórny, wówczas kopia jest nieaktualna i należy
przeprowadzić transfer nowej kopii danych strefy. Serwer DNS firmy
Microsoft próbuje powiadomić serwery wtórne o zmianach, ale starsze
wersje BIND nie potrafią korzystać z takich ofert odświeżenia danych.

Liczba w polu Refresh Interval określa, jak często wtórne serwery DNS
sprawdzają dane strefy na serwerze podstawowym. Domyślnym okre-
sem odświeżania są trzy godziny; jeśli serwery wtórne potrafią korzystać
z powiadomień o zmianach, można znacznie wydłużyć ten okres (do
jednego dnia lub więcej), aby zmniejszyć liczbę zapytań - jest to przydat-
ne zwłaszcza na wolnych łączach.

Pole Retry Interval określa, jak często serwer wtórny powinien próbować
połączyć się ponownie po zerwaniu połączenia. Okres ten jest zazwyczaj
krótszy, niż okres odświeżania - domyślną wartością jest 60 minut.

Pole Expire Interval określa czas, w którym dane serwera wtórnego są
uważane za aktualne. Jeśli serwer wtórny nie może skontaktować się
z podstawowym, jego dane mogą być zdezaktualizowane. Po upłynięciu
podanego tutaj okresu serwer wtórny przestaje odpowiadać na zapytania
hostów. Domyślną wartością są trzy dni; wartość ta musi być większa od
obu poprzednich.

Rozdział 10

358

Rysunek 10.16

Rekord SOA.

Pole Minimum TTL (minimalnego czasu życia) ma największy wpływ na
ruch sieciowy generowany przez DNS. Określa ono, jak długo odbierają-
cy serwer może buforować dane. Każda odpowiedź na zapytanie jest
wysyłana z wartością TTL; domyślnie są to 24 godziny. Jeśli zamierzamy
dokonać poważniejszych zmian w strefie, powinniśmy przejściowo
ustawić tę wartość na krótszy czas (np. jedną godzinę), a następnie od-
czekać tak długo, ile wynosiła poprzednia wartość TTL, zanim zaczniemy
dokonywać zmian. Po zweryfikowaniu dokonanych modyfikacji należy
przywrócić poprzednią wartość TTL. Metoda ta pozwala na szybkie roz-
powszechnienie zmian w Internecie i redukuje czas, w którym inne ser-
wery buforują nieaktualne dane.

Rekord tekstowy (Text Record, TXT)

Rekord TXT przechowuje informacje w postaci czystego tekstu, często
nazwiska i numery telefonów lub inne ważne informacje. Łańcuch tekstu
musi mieć długość mniejszą niż 256 znaków.

Rekord powszechnie znanych usług (Well Known Service Re-
cord, WKS)

Rekord WKS określa usługi (np. Telnet lub FTP) udostępniane za pomocą
konkretnego protokołu, na konkretnym interfejsie zdefiniowanym przez
adres IP. Pole Access Protocol określa protokół, za pomocą którego można
korzystać z usługi. Ten typ rekordu jest bardzo rzadko używany; doku-
ment RFC 1123 odradza jego stosowanie.

Określanie nazw w TCP/IP przy użyciu DNS

359

Rekord X25 (X25 Record, X25)

Rekord X25 przypomina rekord A, ale odwzorowuje nazwę hosta na
adres X.121, a nie adres IP. Adresy X.121 są standardową formą adreso-
wania w sieciach X.25. Adres PSDN (Public Switched Data Network) rozpo-
czyna się czterocyfrowym kodem DNIC (Data Network Identification Code),
zdefiniowanym w X.121 - zbiorze wskazówek wydanym przez ITTCC
(International Telephone and Telegraph Consultative Commitee). Nie należy
używać w adresie przedrostków narodowych. Rekord X25 jest zaprojek-
towany do użycia łącznie z rekordem RT.

Domeny

Podrozdział ten omawia czynności administracyjne związane
z domenami, jak tworzenie domeny wewnątrz strefy podstawowej.

Aby utworzyć domenę wewnątrz strefy podstawowej, należy:

1. Kliknąć prawym klawiszem myszy na strefie pod serwerem.

2. Wybrać New/Subdomain.

3. Wpisać nazwę nowej domeny i kliknąć OK.

Tworzenie i delegowanie poddomen

Jeśli nie deleguje się stworzonej poddomeny, wówczas WINS nie będzie
mogło określać w niej nazw. Powinno się zatem zawsze delegować pod-
domeny, jeśli celem jest integracja DNS i WINS. Więcej informacji
o określaniu nazw przy pomocy WINS znajduje się w następnym pod-
rozdziale, "Integracja z WINS".

Aby delegować poddomenę, należy:

1. Z

listy

Server List w DNS Admin

wybrać serwer, który będzie autoryta-

tywny dla nowej poddomeny. Może być to serwer, z którego delego-
wana jest poddomena, bądź też inny serwer.

2. Stworzyć poddomenę jako nową strefę podstawową na autorytatyw-

nym serwerze.

3. Dodać do nowej strefy odpowiednie rekordy zasobów (A, CNAME,

MX itd.). Tworzenie różnych typów rekordów omawia poprzedni
rozdział, "Rekordy zasobów DNS".

4. Jeśli ma być używane wyszukiwanie WINS, należy kliknąć na strefie

i wybrać opcję Properties.

Rozdział 10

360

5. Wybrać zakładkę WINS Lookup i zaznaczyć pole wyboru Use WINS

Resolution

6. Wpisać adresy IP serwerów WINS i kliknąć OK.

7. Na liście Server List kliknąć podwójnie na ikonie strefy nadrzędnej

domeny.

8. Usunąć wszystkie rekordy, które obecnie należą do nowej poddome-

ny.

9. Wpisać nazwę nowej, właśnie utworzonej poddomeny.

10. Kliknąć prawym klawiszem myszy na nowo utworzonej ikonie pod-

domeny (znajdującej się pod domeną nadrzędną) i wybrać Properties,
a następnie zakładkę Name Servers.

11. Kliknąć Add. Wprowadzić nazwę serwera dla nowej poddomeny

w polu Server Name, a jego adres IP w polu Name Server IP Address.
Kliknąć OK.

12. Kliknąć prawym klawiszem myszy na nazwie strefy. Wybrać opcję

New/Other Record

i wybrać rekord A. Wpisać nazwę serwera dla no-

wej poddomeny (taką samą, jak w poprzednim punkcie) w polu
Hostname, a adres IP w polu Host IP Address

. Kliknąć OK.

13. Wybrać DNS/Update Server Data Files.

Integracja z WINS

WINS jest dynamicznym systemem określania nazw, w którym każda
stacja robocza samodzielnie rejestruje swoją nazwę i adres IP. Usługa ta
działa automatycznie w stacjach roboczych Windows 95 i Windows NT.
Jeśli wyłączymy tę funkcję lub komputer, DNS nie będzie mogło skorzy-
stać z WINS w celu określenia nazwy komputera. Należy zauważyć, że
WINS może określić tylko nazwy znajdujące się bezpośrednio w domenie
podstawowej. Innymi słowy, nazwy hostów znajdujące się
w poddomenach nie mogą być określone przez DNS, chyba że poddo-
meny te zostaną delegowane - w takim przypadku nazwy znajdują się
w swojej własnej domenie podstawowej. Najwygodniej jest więc, o ile jest
to możliwe, umieścić wszystkie hosty WINS w jednej strefie.

Serwer DNS może pracować jako serwer WINS lub wskazywać na inny
serwer WINS. Obecnie tylko serwery DNS oparte na Windows NT mogą
przeszukiwać bazę danych WINS, aby określić ustalone dynamicznie
nazwy. Różnice pomiędzy WINS i DNS podsumowuje tabela 10.3.

Określanie nazw w TCP/IP przy użyciu DNS

361

Można skonfigurować hosty nie obsługujące NetBIOS tak, aby zapytania
o wszystkie nazwy w strefie, używającej wyszukiwania WINS, kierowały
do serwera DNS. Jeśli dynamiczna część sieci rozciąga się na kilka stref,
wówczas można ustanowić pojedynczy serwer DNS Windows NT jako
serwer podstawowy dla wszystkich stref albo umieścić serwer DNS Win-
dows NT w każdej strefie.

Włączanie wyszukiwania WINS w podstawowej strefie domeny

Poniżej podano procedurę włączania wyszukiwania WINS w podstawo-
wej strefie domeny:

1. Na liście Server List kliknąć na ikonie strefy podstawowej i wybrać

opcję Properties.

2. Wybrać zakładkę WINS (patrz rysunek 10.17)

3. Zaznaczyć pole wyboru Use WINS Resolution.

4. W polu WINS Servers wprowadzić adresy IP serwerów WINS znajdu-

jących się w sieci.

Po kliknięciu przycisku Advanced pojawią się zaawansowane parametry.
Można tu określić, czy sieć używa zakresów NetBIOS, oraz zmienić do-
myślne wartości zegarów

Włączanie odwrotnego wyszukiwania WINS w podstawowej
strefie domeny in-addr.arpa

Serwer DNS firmy Microsoft umożliwia komputerom o nazwach okre-
ślonych przez WINS uzyskanie dostępu do zasobów na komputerach
przeprowadzających odwrotne wyszukiwanie.

1. Na liście Server List kliknąć na ikonie strefy podstawowej in-addr.arpa

i wybrać opcję Properties.

2. Wybrać zakładkę WINS-R (patrz rysunek 10.18)

3. Zaznaczyć pole wyboru Use WINS Reverse Lookups.

4. W polu Domain name to be appended to reverse lookup, wprowadzić do-

myślną nazwę domeny, która powinna być dołączana do odpowiedzi
zwracanych przez WINS.

5. Jeśli istnieje potrzeba zmiany domyślnych wartości zegarów, kliknąć

przycisk Advanced.

Rozdział 10

362

Tabela 10.3 Porównanie WINS i DNS

WINS DNS

Określa adresy IP nazw NetBIOS.

Określa nazwy hostów na adresy IP .

Płaska i dynamiczna struktura.

Hierarchiczna i statyczna struktura.

Obsługuje DHCP.

Obsługuje aplikacje TCP/IP, które potrzebują
dodatkowych informacji oprócz nazwy hosta
i adresu IP. Dynamiczne uaktualnianie DHCP
jest dostępne począwszy od wersji Windows NT
5.

Rysunek 10.17

Zakładka WINS.

Rysunek 10.18

Zakadka WINS-R.

Opcje specjalne

Podrozdział ten omawia aspekty DNS nie dające się przypisać do szer-
szych kategorii, jak selektywne włączanie DNS na serwerach z wieloma
kartami sieciowymi lub określanie metody ładowania serwera DNS.

Selektywne włączanie DNS na serwerach z wieloma kartami
sieciowymi

Należy zauważyć, że DNS może pracować na wszystkich kartach siecio-
wych serwera, jeśli nie wpisze się konkretnych adresów IP. Zazwyczaj
właśnie dlatego instaluje się wiele kart, ale w niektórych sytuacjach może
zaistnieć potrzeba wyszczególnienia, które karty sieciowe będą akcepto-
wały zapytania DNS. Wykonuje się to następująco:

1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-

wera.

Określanie nazw w TCP/IP przy użyciu DNS

363

2. Wybrać Properties, a następnie zakładkę Interfaces.

3. W polu DNS Server IP Addresses (patrz rysunek 10.19) wpisać adresy

IP tych kart sieciowych, które powinny obsługiwać DNS.

Określanie metody ładowania serwera DNS

Aby określić metodę ładowania serwera DNS, należy:

1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-

wera.

2. Wybrać Properties, a następnie zakładkę Advanced (patrz rysunek

10.20).

3. Z listy Boot Method wybrać opcję Boot From Registry lub Boot From

BootFile

Jeśli wybrano opcję Boot From Registry, serwer DNS nie sprawdza infor-
macji konfiguracyjnych w pliku BOOT, ale używa informacji przecho-
wywanych w Rejestrze. Jeśli dokonano zmian w pliku BOOT, które nale-
ży uwzględnić przy starcie serwera, wówczas należy wybrać opcję Boot
From BootFile

Rysunek 10.19

Zakładka Interfaces.

Rysunek 10.20

Zakładka Advanced.

Rozdział 10

364

Włączanie powiadamiania stref wtórnych o zmianach
w strefach podstawowych

Jeśli strefy podstawowe powinny powiadamiać strefy wtórne o zmia-
nach, należy:

1. Na liście Server List, kliknąć prawym klawiszem myszy na ikonie ser-

wera.

2. Wybrać Properties, a następnie zakładkę Notify.

3. Na liście Notify List wpisać adresy IP wtórnych serwerów.

Z możliwości tej można skorzystać, jeśli serwery wtórne pracują
z programem Microsoft DNS Server, z programem BIND w wersji 4.9.3
lub wyższej czy inną implementacją obsługującą powiadamianie serwe-
rów wtórnych o zmianach w strefie podstawowej.

Modyfikowanie bufora

Bufor zawiera listę bazowych serwerów nazw w Internecie. Jeśli sieć nie
ma połączenia z Internetem i w związku z tym wprowadzono znak ko-
mentarza przed linią opisującą bufor w pliku BOOT, wówczas na liście
serwerów w programie DNS Admin nie ma ikony bufora.

Bufor należy modyfikować tylko wtedy, jeśli zmienią się serwery bazo-
we, co zdarza się rzadko. Należy kontaktować się w tej sprawie z Inter-
NIC mniej więcej co rok.

1. Na liście Server List kliknąć na ikonie bufora.

2. Kliknąć prawym klawiszem myszy na rekordzie, który należy zmie-

nić, i wybrać opcję Properties.

3. W rekordzie NS wpisać nową nazwę serwera. W rekordzie A wpisać

nowy adres IP.

Jedynymi rekordami zasobów używanymi przez bufor są rekordy serwe-
ra nazw (NS) i adresu (A).

Zagadnienia bezpieczeństwa

Chociaż możliwość dostępu do Internetu i innych miejsc poza własną
siecią może wydawać się pociągająca, nie powinno się umożliwiać nie-
ograniczonego dostępu do własnej sieci. Najpopularniejsze filtry pracują-
ce na routerach i serwerach proxy służą tylko konkretnym aplikacjom, jak
Telnet, FTP i przeglądarki WWW.

Określanie nazw w TCP/IP przy użyciu DNS

365

W serwerach DNS można zastosować pewne środki ostrożności, które
zminimalizują grożące niebezpieczeństwa. Najczęściej konfiguruje się
publicznie dostępne serwery tak, aby przeprowadzały odwrotne wyszu-
kiwanie i odrzucały komputery, które fałszują swoją tożsamość. Ograni-
cza się także transfery stref tylko do autoryzowanych serwerów wtór-
nych.

Użycie wyszukiwań odwrotnych konfiguruje się zasadniczo dla każdej
usługi (FTP, Telnet) z osobna, ale uzasadnienie jest dość oczywiste. Jeśli
nieautoryzowany komputer używa takiej samej nazwy, jak zaufany sys-
tem, a odwrotne wyszukiwanie w domenie in-addr.arpa zwraca niepasu-
jącą nazwę, wówczas możemy mieć do czynienia z oszustwem - należy
więc odmówić dostępu. Jeśli prowadzimy publiczne, anonimowe usługi,
nie ma to szczególnego znaczenia; jeśli jednak konieczne jest ograniczenie
dostępu tylko do komputerów o określonych nazwach, wówczas od-
wrotne wyszukiwanie jest bardzo przydatne.

Jeśli postanowimy ukryć niektóre z hostów za barierą firewall, możemy
zastosować podział kompetencji serwerów DNS. W metodzie tej podsta-
wowe serwery DNS po dwóch stronach bariery mają inne informacje.
Serwer DNS na zewnątrz bariery posiada niekompletne dane o wewnęt-
rznej sieci - zazwyczaj zna tylko kilka hostów (jak serwery WWW lub
poczty), które mogą łączyć się przez barierę, ale za to jest bezpośrednio
połączony z Internetem. Serwer DNS wewnątrz bariery firewall ma pełne
informacje na temat wewnętrznej sieci, ale jest skonfigurowany tak, aby
przekazywać do serwera na zewnątrz bariery wszystkie zapytania nie
dotyczące lokalnej przestrzeni nazw. Konfiguracja ta pozwala kompute-
rom wewnątrz bariery na przeprowadzanie wyszukiwań DNS w całym
Internecie, jednocześnie uniemożliwiając komukolwiek z zewnątrz po-
znanie zawartości wewnętrznej sieci

Aby wprowadzić taki podział kompetencji, należy skonfigurować oba
serwery DNS jako podstawowe oraz zapewnić, że serwer wewnętrzny
będzie używał przekaźników do skontaktowania się z serwerem ze-
wnętrznym. Należy również ograniczyć możliwości kontaktu pomiędzy
nimi (np. ustawiając filtr typu "konkretny host-konkretny host", prze-
puszczający tylko ruch DNS).

Określanie, które z serwerów wtórnych mają dostęp do serwera
podstawowego

Ograniczenie transferów stref tylko do autoryzowanych serwerów wtór-
nych jest przydatne, ponieważ ukrywa szczegóły wewnętrznej sieci
przed osobami z zewnątrz. Umożliwiając innym łatwe zdobycie pełnej
informacji o strukturze sieci ryzykujemy, że staniemy się celem ataku

Rozdział 10

366

hackerów, którzy mogą uznać włamanie się do naszej sieci za interesujące
czy wręcz dochodowe.

Aby ograniczyć transfery stref, należy:

1. Kliknąć prawym klawiszem myszy na ikonie strefy podstawowej.

2. Wybrać Properties.

3. W zakładce Notify wpisać adresy IP serwerów wtórnych, które będą

miały dostęp do serwera podstawowego.

4. Kliknąć na opcji Only allow access from secondaries included on notify list.

Po dokonaniu jakichkolwiek zmian w programie DNS Admin należy
uaktualnić pliki danych serwera, wybierając z menu opcję Update Server
Data Files

. W innym przypadku DNS nie zapisze od razu bieżących in-

formacji do plików konfiguracyjnych, i w razie awarii serwera przed
następnym regularnym uaktualnieniem, zmiany zostaną utracone.

Usuwanie problemów związanych z DNS

Jeśli program DNS Admin nie daje się uruchomić, stwierdzi błędne dane
lub zasygnalizuje, że któryś z serwerów jest nieosiągalny, konieczne mo-
że być zdiagnozowanie problemu. Należy użyć w tym celu programów
NsLookup oraz Event Log, opisanych w kolejnych podrozdziałach.

NsLookup

NsLookup jest programem obsługiwanym z linii poleceń, głównym na-
rzędziem diagnostycznym dla DNS. Aby go używać (zresztą podobnie
jak i DNS), należy wcześniej zainstalować TCP/IP. NsLookup jest narzę-
dziem testującym, z

którego korzysta się w

pierwszej kolejności.

NsLookup wysyła zapytania do serwerów nazw DNS i wyświetla otrzy-
mane rezultaty, w razie życzenia bardzo szczegółowo. Długość zapytania
nie może przekraczać 256 znaków. Można w dowolnym momencie prze-
rwać działanie programu za pomocą kombinacji klawiszy CTRL+C. Aby
opuścić program, należy wpisać exit. Wszystkie nierozpoznane polecenia
są traktowane jako nazwy komputerów i wysyłane do domyślnego ser-
wera nazw w celu wyszukania ich w bazie nazw DNS. NsLookup posia-
da dwa tryby: interaktywny i nieinteraktywny. Podczas usuwania pro-
blemów wygodniej jest korzystać z trybu interaktywnego, ponieważ
umożliwia on wprowadzenie większej liczby zapytań.

Oto lista poleceń NsLookup w trybie interaktywnym:
help

Określanie nazw w TCP/IP przy użyciu DNS

367

exit
finger
ls
lserver
root
server
set
view

Aby wysłać zapytanie z linii poleceń, należy wpisać polecenie nslookup
w następujący sposób:

1. Wpisać nazwę lub adres IP wyszukiwanego komputera (jeśli nie znaj-

duje się on w tej samej domenie, co serwer nazw, wpisać kropkę (.) po
nazwie komputera).

2. Jeśli chcemy określić serwer DNS, należy wpisać jego nazwę i adres

IP. Jeśli nie określimy serwera, wówczas NsLookup użyje domyślnego
serwera nazw.

Kolejne punkty omawiają polecenia trybu interaktywnego NsLookup.
Każdy punkt przedstawia polecenie i podaje jego składnię.

help

Polecenie help wyświetla krótkie streszczenie poleceń NsLookup. Syno-
nimem tego polecenia jest znak zapytania (?).

help | ?

exit

Polecenie to kończy pracę programu.

exit

finger

Polecenie finger łączy się z serwerem finger na bieżącym komputerze.
Bieżący komputer jest zdefiniowany, jeśli poprzednie wyszukiwanie
nazwy komputera zakończyło się zwróceniem jego adresu (patrz dalszy
punkt "set q[uerytype] lub set type").

finger

[nazwa_użytkownika] [>nazwa_pliku] | [>>nazwa_pliku]

Rozdział 10

368

Polecenie ls służy do wyświetlenia informacji dla danej domeny DNS.
Domyślnie są to nazwy komputerów i ich adresy IP. Wyniki można skie-
rować do pliku; znaki hash (#) rozdzielają każde 50 rekordów. Tabela
10.4 wymienia różne opcje tego polecenia.

ls [opcja] domena_dns [>nazwa_pliku] | [>>nazwa_pliku}

Tabela 10.4 Opcje polecenia ls.

Opcja Opis

-t Wyświetla wszystkie rekordy określonego typu (patrz dalszy punkt

"set q[uerytype] lub set type")

-a Wyświetla aliasy nazw komputerów w domenie DNS (tak samo działa

-t CNAME).

-d Wyświetla wszystkie rekordy w domenie DNS (tak samo działa -t

ANY).

-h Wyświetla informacje o procesorze i systemie operacyjnym dla

domeny (tak samo działa -t HINFO).

-s Wyświetla powszechnie znane usługi komputerów w domenie DNS

(tak samo działa -t WKS).

Po opcjach należy wpisać nazwę badanej domeny oraz opcjonalnie na-
zwę pliku, w którym mają być zapisane wyniki. Można użyć w zwykły
sposób operatorów przekierunkowania wyjścia > oraz >>.

Oto przykładowe polecenie ls i jego wyniki:

> ls hq.mycompany.com
res_mkquery(0, hq.mycompany.com, 1, 252)
[nameserver1.hq.mycompany.com]
hq.mycompany.com.

server = mailer.hq.mycompany.com

mailer.hq.mycompany.com.

10.132.13.2

hq.mycompany.com.

server = nameserver1.hq.mycompany.com

nameserver1.hq.mycompany.com

10.132.40.80

hq.mycompany.com

server = sal.hq.mycompany.com

sal.hq.mycompany.com

10.132.13.25

hq.mycompany.com

10.132.13.2

bill.hq.mycompany.com

10.132.70.3

database.hq.mycompany.com

10.132.13.248

mary.hq.mycompany.com

10.132.29.4

Określanie nazw w TCP/IP przy użyciu DNS

369

lserver

Polecenie lserver używa lokalnego serwera DNS, aby wyszukał informa-
cję o innym serwerze DNS (podanym jako argument), a następnie usta-
wia sprawdzany serwer jako domyślny. Polecenie to przydaje się
w sytuacji, kiedy domyślny serwer przestanie odpowiadać, a użytkownik
zna tylko nazwy (a nie adresy IP) innych serwerów DNS.

lserver

<nazwa>

root

Domyślnym serwerem dla podstawy przestrzeni nazw DNS jest
ns.nic.ddn.mil. Można zmienić domyślny serwer dla podstawy za pomo-
cą opisanego dalej polecenia set root. Polecenie lserver ns.nic.ddn.mil
działa tak samo.

server

Polecenie server używa bieżącego domyślnego serwera DNS, aby wyszu-
kał informację o innym serwerze DNS (podanym jako argument),
a następnie ustawia sprawdzany serwer jako domyślny.

server

<nazwa>

set

Polecenie set ma wiele podpoleceń, zmieniających funkcjonowanie wy-
szukiwania. Oto ich pełna lista:
set all
set cl[ass]
set [no]d2
set [no]deb[ug]
set [no]def[name]
set do[main]
set [no]ig[nore]
set po[rt]
set [no]rec[urse]
set q[uerytype]
set ty[pe]
set ret[ry]
set ro[ot]
set [no]sea[rch]

Rozdział 10

370

set srchl[ist]
set ti[meout]
set [no]v[c]

set all

Polecenie set all zwraca informacje o bieżącej konfiguracji NsLookup, jak
np. nazwę domyślnego serwera lub typ przeprowadzanych wyszukiwań.

Oto przykład:

>set all
Default Server: nameserver1.hq.mycompany.com
Address: 10.132.40.254f

set options:
nodebug

defname

recurse

nod2

novc

noignoretc

port=53

querytype=A

class=IN

timeout=6

retry=4

root=NetBIOS.nic.dnn.mil.
domain=hq.mycompany.com
srchlist=hq.mycompany.com

set cl[ass]

Można zmienić protokół na jedną z następujących klas:
IN. Klasa Internet.

CHAOS

. Klasa Chaos.

HESIOD

. Klasa MIT Athena Hesiod

ANY

. Którakolwiek z powyższych klas.

Domyślną klasą jest klasa Internet; pozostałe klasy raczej nie będą po-
trzebne, ponieważ nie są szeroko używane.

set

class=wartość

set [no]d2

Polecenie d2 włącza, a nod2 wyłącza tryb wyczerpującego debugowania,
w którym wyświetlane są pola każdego pakietu. Domyślnym trybem jest
nod2.

set

[no]d2

Określanie nazw w TCP/IP przy użyciu DNS

371

set [no]deb[ug]

Można włączyć lub wyłączyć debugowanie. Kiedy jest włączone, wów-
czas wyświetlane jest więcej informacji na temat pakietu wysłanego do
serwera i otrzymanej odpowiedzi. Domyślnie debugowanie jest wyłączo-
ne.

set

nodebug

Oto część przykładowego rezultatu:

...........
Name: nameserver2.hq.mycompany.com
Address: 10.132.13.251

> set debug
> nameserver2
Server: nameserver1.hq.mycompany.com
Address: 10.132.40.80

res_mkquery(0, nameserver2.hq.mycompany.com, 1, 1)
...........
SendRequest(), len 48
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR

header flags: query, want recursion
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
nameserver2.hq.mycompany.com, type = A, class = IN

...........
...........
Got answer (56 bytes):
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: response, auth. answer, want recursion,recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0

QUESTIONS:
nameserver2.hq.mycompany.com, type = A, class = IN
ANSWERS:
-> nameserver2.hq.mycompany.com
type = A, class = IN, dlen = 4
internet address = 10.132.13.239
ttl = 3600 (1 hour)
...........
Name: nameserver2.hq.mycompany.com
Address: 10.132.13.239

Rozdział 10

372

set [no]def[name]

Ustawienie defname powoduje, że do zapytań z pojedynczym elementem
(nie zawierającym kropek) dołączana jest domyślna nazwa domeny.
Standardowe ustawienie to defname.

set

defname

set do[main]

Za pomocą tego polecenia można zmienić domyślną domenę na domenę
o podanej nazwie. Niektóre z opcji wyszukiwania dołączają ją do wysy-
łanego zapytania. Początkowo jest to domena zawierająca komputer.

set

domain=nazwa

set [no]ig[nore]

Jeśli ustawiona jest opcja ignore, wówczas NsLookup ignoruje błędy ob-
cięcia pakietów. Domyślnym ustawieniem jest noignore.

set

noignore

set po[rt]

Aby zmienić numer portu UDP/TCP serwera nazw DNS z domyślnego
portu 53, należy podać inny numer w poleceniu set port. Więcej informa-
cji na temat numerów portów zawiera tabela 10.5.

set

port=numer

set [no]rec[urse]

Jeśli serwer DNS nie posiada żądanej informacji, opcja recurse nakazuje
mu przesłać zapytanie do innego serwera. Domyślnym ustawieniem jest
recurse

set

recurse

set q[uerytype] lub set ty[pe]

Polecenie to zmienia typ zapytań (więcej informacji o różnych typach
informacji zawiera dokument RFC 1035). Domyślnym typem jest zapyta-
nie o

adres (A). W

tabeli 10.5 umieszczono wartości używane

w poleceniu set q[uerytype].

set

querytype=wartość

Jeśli NsLookup nie zdobędzie żądanej informacji, zazwyczaj wyświetla
komunikat błędu. W następnym podrozdziale znajduje się lista najczęst-

Określanie nazw w TCP/IP przy użyciu DNS

373

szych komunikatów błędów, wyjaśniająca ich znaczenia i sugerująca
możliwe rozwiązania.

Tabela 10.5 Wartości parametrów polecenia set querytype

Wartość Opis

Adres IP komputera

ANY

Wszystkie typy danych

CNAME

Kanoniczna nazwa dla aliasu

GID

Identyfikator nazwy grupowej

HINFO

Procesor i system operacyjny komputera

Nazw skrzynki pocztowej

MG Członek grupy pocztowej
MINFO

Informacja o skrzynce pocztowej lub liście wysyłkowej

Zmiana nazwy skrzynki pocztowej

MX Wymiennik

poczty

Serwer nazw DNS dla danej domeny

PTR

Nazwa komputera, jeśli w zapytaniu podano adres IP;
w innym przypadku wskaźnik do innych informacji.

SOA Rekord

początku autorytatywnej informacji dla danej

domeny DNS

TXT Informacja

tekstowa

Identyfikator

użytkownika

UINFO

Informacja o użytkowniku

WKS

Opis powszechnie znanej usługi

set ret[ry]

Jeśli odpowiedź serwera nie nadejdzie w określonym czasie, wówczas
zapytanie jest wysyłane ponownie. Wartość retry określa liczbę kolejnych
prób przed rezygnacją z połączenia; domyślnie są to cztery próby.

set

retry=liczba

set ro[ot]

Za pomocą tego polecenia można zmienić nazwę serwera bazowego.
Domyślnym ustawieniem jest ns.nic.ddn.mil.

set

root=<serwer>

set [no]sea[rch]

Ustawienie search sprawia, że jeśli szukana nazwa zawiera chociaż jedną
kropkę, ale nie jest zakończona kropką, wówczas NsLookup dodaje do

Rozdział 10

374

niej kolejno nazwy domen wyszczególnione w liście wyszukiwania (sear-
chlist), aż otrzyma odpowiedź. Domyślnym ustawieniem jest search.

set

set srchl[ist]

Można użyć listy wyszukiwania z innej domeny, zmieniając domyślne
ustawienie srchlist. Można podać do sześciu nazw, odseparowanych uko-
śnikami (/). Polecenie to unieważnia polecenie set domain. Aby wyświe-
tlić listę wyszukiwania, można skorzystać z polecenia set all. Domyślnie
lista wyszukiwania jest określona przez nazwę komputera.

set

srchlist=nazwa1/nazwa2/...

Np. poniższe polecenie ustawia domenę na mfg.widgets.com, a listę wy-
szukiwania na trzy podane nazwy domen:

set

srchlist=mfg.widgets.com/mrp2.widgets.com/widgets.com

set ti[meout]

Wartość timeout określa w sekundach czas oczekiwania na odpowiedź
serwera. Jeśli odpowiedź nie nadejdzie w określonym czasie, wówczas
zapytanie wysyła się ponownie, a okres oczekiwania podwaja się
w stosunku do początkowej wartości timeout. Domyślną wartością jest 5
sekund.

set

timeout=liczba

set [no]v[c]

Polecenie to sprawia, że podczas wysyłania zapytań do serwera ustana-
wiany jest wirtualny obwód. Standardowym ustawieniem jest novc.

set

novc

view

Polecenie view służy do sortowania i wyświetlania plików wyjściowych
poprzednich poleceń ls.

view

<nazwa_pliku>

Komunikaty błędu

Poniżej zamieszczono wyjaśnienie niektórych komunikatów błędu, które
mogą się pojawić podczas pracy z programem NsLookup.:

Komunikat: Timed out

Określanie nazw w TCP/IP przy użyciu DNS

375

Opis: Serwer nie odpowiedział w określonym czasie.

Sugestie: Użyć polecenia ping

aby sprawdzić, czy serwer jest osiągal-

ny. Sprawdzić ogólne problemy z łącznością w sieci, jak źle skonfigu-
rowane domyślne routery lub maski podsieci. Jeśli serwer odpowiada
na ping, ale nie na zapytania DNS, należy sprawdzić, czy usługa DNS
jest poprawnie skonfigurowana. Sprawdzić, czy systemowy dziennik
zdarzeń zawiera komunikaty o problemach z DNS. W przypadku od-
ległych serwerów może pomóc wydłużenie czasu oczekiwania.

Komunikat: No response from server

Opis: DNS nie pracuje na serwerze. Serwer odpowiedział komunika-
tem ICMP "nieosiągalny port", aby poinformować, że nie udostępnia
usług DNS.

Sugestie: Należy sprawdzić na liście usług w Control Panel, czy serwer
DNS rzeczywiście nie pracuje. Sprawdzić, czy systemowy dziennik
zdarzeń zawiera komunikaty o problemach z DNS. Dodatkowo po-
prawnie skonfigurować i uruchomić usługi DNS albo wysyłać zapy-
tania do innego serwera.

Komunikat: No records

Opis: Serwer DNS nie posiada żadnych rekordów żądanego typu.

Sugestie: Przy pomocy programu DNS Admin przejrzeć bazę danych
DNS, aby sprawdzić, jakie zawiera rekordy. Przy pomocy edytora
tekstu sprawdzić, czy pliki bazy danych DNS w

katalogu

%KatalogSystemowy%\system32\DNS

zawierają szukane rekordy.

Sprawdzić w dzienniku zdarzeń, czy DNS znalazł błędy podczas ła-
dowania plików.

Komunikat: Format error

Opis: Pakiet zapytania ma niewłaściwy format

Sugestie: Błąd ten może oznaczać, że zapytanie wysłano do starszej
wersji serwera DNS albo pakiet uległ uszkodzeniu w sieci.

Komunikat: Server failure

Opis: W bazie danych DNS istnieje wewnętrzna sprzeczność.

Sugestie: Sprawdzić, czy w plikach bazy danych DNS nie ma błędów
typograficznych, zwłaszcza w adresach IP.

Komunikat: Connection refused lub Network is unreachable

Opis: Nie można było ustanowić połączenia z serwerem.

Rozdział 10

376

Sugestie: Przy pomocy programów ping i tracert sprawdzić, czy łącze
z serwerem jest drożne.

Komunikat: Refused

Opis: Serwer DNS odmówił obsługi zapytania.

Sugestie: Upewnić się, że zapytania DNS są kierowane do akceptują-
cego je interfejsu. Być może serwer jest skonfigurowany tak, że używa
do obsługi DNS tylko niektórych interfejsów.

Inne narzędzia diagnostyczne

Drugim bardzo pomocnym narzędziem jest program Event Viewer, który
umożliwia zidentyfikowanie różnego typu problemów napotkanych
podczas uruchamiania DNS. Uruchamia się go klikając podwójnie na
ikonie Event Viewer w grupie Administrative Tools.

Program zawiera kilka opcji konfiguracyjnych. Należy upewnić się, że
w menu Log zaznaczona jest opcja System. W kolejnych punktach wymie-
niono problemy, które można zidentyfikować za pomocą dziennika zda-
rzeń:

Network Adapter Not Responding

Karta sieciowa nie odpowiada. Sprawdzić, czy jest dobrze osadzona i czy
podłączony jest do niej kabel sieciowy. Sprawdzić konfigurację karty,
zwłaszcza przerwania IRQ, zakres pamięci i zakres I/O. Upewnić się, że
karta używa właściwego sterownika.

DNS Failed To Start

DNS nie uruchomiło się. Sprawdzić, czy w katalogu DNS istnieją pliki
Boot i Cache lub czy istnieją odpowiednie wpisy w Rejestrze pod gałęzią
DNS. Sprawdzić, czy zainstalowano TCP/IP. Sprawdzić przy pomocy
Performance Meter, czy system posiada wystarczające zasoby.

Incorrect Data in Boot or Cache File

Błędne dane w pliku Boot lub Cache. Sprawdzić, czy w plikach Boot lub
Cache nie ma błędów typograficznych. Upewnić się, że w nazwach obec-
ne są końcowe kropki.