Protokół TCP IP, R12 5

background image

Rozdział 12.
System nazw domen (DNS)

Dogłębnie

System nazw domen (DNS) analizuje nazwy hostów — zarówno nazwy hostów lokalnych, jak i w
pełni kwalifikowane nazwy domen (FQDN) — na adresy

Protokołu IP

. System DNS

wykorzystuje hierarchiczną, rozszerzalną bazę danych oraz pojęcie hierarchicznej przestrzeni
nazw domen. System ten został zdefiniowany po raz pierwszy w roku 1984 i był jednym z
ważniejszych czynników w procesie tworzenia sieci WWW.

Kompatybilność DNS systemu Windows 2000

DNS systemu Windows 2000 jest preferowanym systemem nazw dla systemów operacyjnych
Windows 2000 zarówno w środowiskach macierzystych, jak i mieszanych. Chociaż inne
implementacje systemu DNS, takie jak domena nazw internetowych Berkeley (BIND) w wersji
8.1.2, są kompatybilne z wymaganiami systemu Windows 2000, to Windows 2000 DNS jest w
pełni zintegrowany z usługą Active Directory i korzysta z replikacji wielonarzędnej.

Klienty niższego poziomu, takie jak Windows NT4, korzystają z rozwiązywania nazw
podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS), szczególnie przy lokalizowaniu
kontrolerów domeny (DC). Klienty te opierają się na emisjach i usługach nazw NetBIOS (NBNS),
takich jak usługa nazw internetowych systemu Windows (WINS). Windows 2000 DNS jest
przystosowany do usługi WINS i wykorzystuje integrację WINS w środowiskach mieszanych do
lokalizowania usług i zasobów sieciowych. Klienty systemu Windows NT4 mogą rejestrować się
w usłudze WINS systemu Windows 2000, a klienty systemu Windows 2000 mogą się rejestrować
w usłudze WINS systemu Windows NT4.

Klienty systemu Windows 2000 używają DNS do rozpoznawania nazw i lokalizowania usług,
włącznie z lokalizowaniem kontrolerów domen. Ponieważ DNS systemu Windows 2000 obsługuje
aktualizacje dynamiczne — to jest funkcje DNS dynamicznego, lub DDNS — nie jest wymagana
integracja z WINS w celu rozwiązywania nazw hostów lokalnych w środowisku macierzystym.
DNS systemu Windows 2000 jest zintegrowany z protokołem dynamicznej konfiguracji hosta
(DHCP) systemu Windows 2000, a przydziały adresów IP dokonywane za pomocą DHCP są
wpisywane do bazy danych systemu DNS (patrz: rozdział 11).

background image

Standardy DNS

DNS systemu Windows 2000 obsługuje kilka standardów oraz szkiców standardów. W tabeli 12.1
wypisane są obsługiwane standardy specyfikacji RFC zespołu do spraw sieci Internet (IETF), a
tabela 12.2 podaje obsługiwane projekty IETF. W momencie czytania niniejszej książki niektóre z
projektów IETF mogą już być standardami, inne z kolei mogą być nieaktualne.

Tabela 12.1. Obsługiwane specyfikacje RFC

Specyfikacja RFC

Tytuł

1034

Nazwy domen — Pojęcia i cechy

1035

Nazwy domen — Implementacja i specyfikacja

1123

Wymagania dla hostów internetowych — Stosowanie i obsługa

1886

Rozszerzenia systemu DNS do obsługi protokołu IP w wersji 6

1995

Przyrostowy transfer stref w systemie DNS

1996

Mechanizm powiadamiania systemu DNS o zmianach stref

2136

Dynamiczne aktualizacje w systemie nazw domen (DNS UPDATE)

2181 Wyjaśnienia dotyczące specyfikacji DNS

2308

Negatywne buforowanie kwerend DNS (DNS NCACHE)

Tabela 12.2. Obsługiwane projekty

Projekt Tytuł

Draft-ietf-dnsind-rfc2052bis-02.txt DNS RR do określania lokalizacji usług (DNS SRV)

Draft-skwan-utf8-dns-02.txt

Korzystanie z zestawu znaków UTF-8 w systemie nazw
domen

Draft-ietf-dhc-dhcp-dns-08.txt Interakcja

między protokołem DHCP i systemem DNS

Draft-ietf-dnsind-tsig-11.txt

Sygnatury transakcji tajnego klucza dla systemu DNS (TSIG)

Draft-ietf-dnsind-tkey-00.txt Ustanowienie

tajnego klucza dla systemu DNS (TKEY RR)

Draft-skwan-gss-tsig-04.txt

Algorytm GSS dla TSIG (GSS-TSIG)

RR to rekord zasobów, UTF oznacza format transmisji UCS (gdzie UCS to system znaków
Unicode), a GSS oznacza ogólne usługi zabezpieczeń. Internetowe projekty i specyfikacje RFC
dostępne są pod adresem

www.ietf.org

. Pełną listę specyfikacji RFC aktualnie dostępnych w

Internecie można uzyskać pod adresem

http://info.internet.isi.edu/innotes/rfc/files

.

Przestrzeń nazw domen

System DNS jest implementowany w formie hierarchicznej rozproszonej bazy danych,
zawierającej różnego typu dane, łącznie z nazwami hostów i nazwami domen. Nazwy te tworzą
hierarchiczną strukturę drzewa, zwaną przestrzenią nazw domen.

background image

Nazwa FQDN jednoznacznie identyfikuje pozycję danego hosta w obrębie przestrzeni nazw
systemu DNS poprzez podanie listy nazw określonych kropkami — na przykład

authors.coriolis.com

. Częściami przestrzeni nazw głównego i najwyższego poziomu (tj.

com

,

gov

,

edu

, itd.) zarządza w Internecie urząd rejestracji nazw, na przykład internetowe centrum informacji

sieciowej, InterNIC (pod adresem

www.internic.net

), którego wyznaczonym przedstawicielem jest

Network Solutions, Inc. (pod adresem

www.networksolutions.com

).

Organizacje takie jak przedsiębiorstwa i placówki oświatowe rejestrują nazwy domen oraz adresy
IP i administrują swoją własną częścią przestrzeni nazw bez potrzeby odwoływania się do urzędu
rejestracji nazw. Rysunek 12.1 przedstawia hierarchiczną przestrzeń nazw domen.

Serwery główne, lub serwery z kropką („.”)

.com

.edu .mil .net .gov

Zarządzane przez urząd rejestracji

nazw

coriolis.com

www.coriolis.com authors.coriolis.com

ian.authors.coriolis.com

Zarządzane przez Coriolis

Rysunek 12.1. Hierarchiczna przestrzeń nazw domen

Nazwy domen są zgodne z międzynarodowym standardem ISO 3166. Zastrzeżone skróty
pokazane są w tabeli 12.3.

Tabela 12.3. Skróty systemu DNS

background image

Skrót Typ

organizacji

com

Handlowe i biznesowe

edu

Edukacyjne

org

Niekomercyjne

net

Sieci szkieletowe

gov

Rządowe, niemilitarne

mil

Rządowe, militarne

num

Numery telefoniczne

arpa

DNS wsteczny

xx

Kod krajowy (np.

uk

,

fr

,

aus

)

DNS wsteczny tłumaczy adres IP na nazwę FQDN i jest wykorzystywany, na przykład, przez
aplikacje zabezpieczeń internetowych.

Baza danych systemu DNS

Baza danych DNS przechowuje rekordy zasobu w plikach stref. Strefa DNS jest jednostką
administracyjną, która niekoniecznie odwzorowuje się na domenę. W domenie może być kilka
stref, a w strefie może być więcej niż jedna domena. Podstawowy plik strefy może być kopiowany
do pomocniczego pliku strefy tylko do odczytu w celu utworzenia kopii zapasowej i zabezpieczeń,
polegających na przejmowaniu zadań przez serwer rezerwowy. Pliki te mogą być przechowywane
na różnego typu serwerach nazw DNS. Kwerendy bazy danych DNS dotyczące rozpoznawania
nazw mogą być przeprowadzane przy użyciu kwerend rekursywnych lub iteracyjnych. Znajomość
struktury i działania bazy danych DNS jest podstawą znajomości samego systemu nazw, przy
czym wszystkie te tematy są opisane w niniejszej części.

Wskazówka: Niekiedy serwer nazw DNS określa się po prostu jako serwer nazw, z akronimem
NS. Dzieje się tak dlatego, że rekord zasobu serwera NS w bazie danych DNS (patrz: poniżej)
identyfikuje serwer nazw DNS. Należy jednak ostrożnie używać tej terminologii. Serwer WINS
jest również serwerem nazw.

Rekordy zasobów (RR) DNS

Do rozpoznawania nazw hostów, rozpoznawania wstecznego i innych celów administracyjnych
potrzebne są różnego typu rekordy zasobów. Najpopularniejsze typy rekordów zasobów opisane są
poniżej.

Rekord zasobu adresu startowego uwierzytelniania (SOA)

Rekord zasobu SOA identyfikuje strefę DNS (lub strefę pełnomocnictwa). Zawiera on następujące
pola danych:

Nazwa właściciela

— nazwa hosta podstawowego serwera nazw DNS autorytatywnego

dla danej strefy.

background image

Osoba odpowiedzialna

— adres e-mail osoby odpowiedzialnej za administrację strefy. W

tej nazwie e-mail zamiast znaku (@) używana jest kropka (.).

Numer seryjny

— numer poprawki pliku strefy. Ten numer zwiększa się za każdym

razem, kiedy rekord zasobu w strefie ulega zmianie.

Interwał odświeżania

— czas, wyrażony w sekundach, przez który pomocniczy serwer

DNS czeka, zanim rozpocznie kwerendę zarządcy strefy, mającą na celu dokonanie próby
odnowienia informacji dotyczących strefy. Wartością domyślną tego pola jest 900 (15
minut).

Interwał ponawiania

— czas, wyrażony w sekundach, przez który pomocniczy serwer

czeka przed ponowieniem nieudanego transferu strefy. Wartością domyślną jest 600 (10
minut).

Czas przeterminowania

— czas, wyrażony w sekundach, przed wstrzymaniem

odpowiadania pomocniczego serwera na kwerendy po upłynięciu interwału odświeżania,
w którym strefa nie została odświeżona ani zaktualizowana. Po wygaśnięciu tego czasu
serwer pomocniczy uznaje swoje dane lokalne za nieprawdziwe. Wartością domyślną jest
86 400 (24 godziny)

Minimalny czas TTL

— czas

Time-To-Live

(TTL) w sekundach, stosowany wobec

wszystkich rekordów zasobów w strefie, które mają nieokreślone wartości czasu TTL
specyficzne dla rekordu. Ta wartość określa, jak długo należy buforować rekord zasobu
przesłany w odpowiedzi (patrz: dalsza część niniejszego rozdziału). Wartością domyślną
jest 3 600 (1 godzina).

Host

Rekord zasobu hosta, lub rekord adresu (A), zawiera nazwę hosta (lub nazwę DNS) oraz
odpowiedni adres IP (Ipv4). Jest to najprostszy i najpopularniejszy typ rekordu w bazie danych
DNS. Rekord A jest wymagany dla każdego hosta współużytkującego zasoby w danej sieci.

Host Ipv6

Rekord zasobu hosta Ipv6, lub rekord AAAA, to to samo co rekord A, z tym że odwzorowuje
nazwę hosta na 128-bitowy adres IPv6 (patrz: rozdział 18).

Wskazówka: Istnieją również inne rekordy zasobu hosta, które nie zostały tutaj opisane, na
przykład rekord zasobu bazy danych Andrew File System (AFSDB) czy rekord zasobu adresu
trybu transferu asynchronicznego (ATMA). Aby uzyskać więcej szczegółów, odwołaj się,
odpowiednio, do dokumentu RFC 1183 oraz do witryny

ftp://ftp.atmforum.com/pub/approved-

specs/

.

Serwer nazw

Rekord zasobu serwera nazw (NS) identyfikuje serwer nazw DNS i jest wykorzystywany do
przypisywania adresu startowego uwierzytelniania dla strefy DNS określonemu serwerowi na dwa
sposoby:

• Ustanawia serwer nazw autorytatywnych dla danej strefy i identyfikuje ten serwer dla

innych, które żądają informacji dotyczących strefy.

background image

• Identyfikuje autorytatywny serwer DNS dla każdej domeny podrzędnej

delegowanej

ze

strefy (patrz: dalsza część tego rozdziału).

Rekordy zasobów NS zawierają nazwę domeny lub strefy (nazwę właściciela) oraz nazwę FQDN
serwera nazw DNS, który jest autorytatywny dla strefy.

Wskazówka: Jeżeli serwer nazw zostanie określony w rekordzie zasobu NS jako autorytatywny
dla delegowanej strefy, to będzie on miał nazwę pozastrefową. Do rozwiązania tej nazwy
pozastrefowej może być konieczny rekord zasobu A. Ów rekord A znany jest jako

rekord

sklejający

.

Nazwa kanoniczna

Rekord zasobu nazwy kanonicznej (CNAME) zapewnia alias (nazwę alternatywną) dla nazwy
hosta poprzez odwzorowanie alternatywnej nazwy domeny DNS określonej w polu

właściciel

na

kanoniczną, lub podstawową, nazwę domeny DNS określoną w

nazwa_kanoniczna

.

Wskaźnik

Rekord zasobu wskaźnika (PTR) łączy nazwę DNS w polu

właściciel

z inną lokalizacją w

przestrzeni nazw DNS w sposób określony w polu

nazwa_domeny_docelowej

. Rekordy PTR są

zazwyczaj wykorzystywane do łączenia nazw DNS z rekordami w drzewie domeny

in-addr.arpa

,

aby zapewnić wyszukiwanie wsteczne odwzorowań adresów na nazwy.

Usługa wymiany poczty

Rekord zasobu usługi wymiany poczty (MX) umożliwia routowanie wiadomości, wysyłanych do
nazwy domeny określonej w polu

właściciel

, do hosta usługi wymiany poczty określonego w polu

host_usługi_wymiany_poczty

. Dwucyfrowa wartość preferencji określa kolejność preferowaną,

jeżeli określonych jest wiele hostów usługi wymiany. Każdy host wymiany musi mieć
odpowiadający mu rekord zasobu A.

Skrzynka pocztowa

Rekord zasobu skrzynki pocztowej (MB) odwzorowuje nazwę skrzynki pocztowej domeny,
określoną w polu

użytkownik

, na nazwę hosta skrzynki pocztowej, określoną w polu

mailbox_hostname

. Nazwa hosta skrzynki pocztowej musi być taka sama, jak ważny rekord

zasobu adresu (A) używany już przez hosta w tej samej strefie.

Wskazówka: Inne typy rekordów zasobu związanych z pocztą elektroniczną to grupa pocztowa
(MG), informacje listy pocztowej skrzynki pocztowej (MINFO) oraz skrzynka pocztowa o
zmienionej nazwie (MR). Szczegółowe informacje można znaleźć w dokumentacji Windows
2000.

Lokalizacja usługi

Rekord zasobu lokalizacji usługi (SRV) umożliwia lokalizowanie wielu serwerów,
zapewniających podobną usługę opartą na protokole TCP/IP, przy użyciu pojedynczej kwerendy
DNS. Rekordy zasobu SRV utrzymują listę serwerów dla dobrze znanych portów serwera i typów
protokołów transportu dla nazwy domeny DNS. Lista uporządkowana jest według
uprzywilejowania. Może ona, na przykład, lokalizować kontrolery domeny korzystające z usługi
protokołu uproszczonego dostępu do katalogów (LDAP) przez port TCP 389. Te rekordy zasobu

background image

mają złożoną strukturę o dużej liczbie pól. Aby uzyskać szczegółowe informacje, odwołaj się do
dokumentacji Windows 2000.

Informacje hosta

Rekord zasobu informacji hosta (HINFO) określa typ procesora i systemu operacyjnego (OS) dla
nazwy domeny DNS hosta określonej w polu

właściciel

. Informacje te zawarte są w polach,

odpowiednio,

typ_cpu

i

typ_os

.

Wskazówka: Inne rekordy zasobu, które dostarczają informacji ogólnych, to osoba
odpowiedzialna (RP), rozsyłanie poprzez (RT), tekst (TXT), dobrze znana usługa (WKS),

Integrated Services Digital Network

(ISDN) oraz X25. Aby uzyskać informacje szczegółowe,

odwołaj się do dokumentacji Windows 2000.

Wyszukiwanie do przodu usługi nazw internetowych systemu Windows

Rekord zasobu wyszukiwania do przodu usługi nazw internetowych systemu Windows (WINS)
wykorzystywany jest, aby zapewnić rozwiązywanie kwerend DNS dotyczących nazw nie
znalezionych w danej strefie, poprzez kwerendę serwerów WINS skonfigurowanych i
umieszczonych na liście przy użyciu tego rekordu. Rekord WINS dotyczy tylko najwyższego
poziomu strefy, a nie domen podrzędnych wykorzystywanych w tej strefie. Więcej szczegółów
można znaleźć w rozdziale 13.

Wyszukiwanie wsteczne usługi nazw internetowych systemu Windows

Rekord zasobu wyszukiwania wstecznego usługi nazw internetowych systemu Windows (WINS-
R) wykorzystywany jest, aby zapewnić dalsze rozwiązywanie kwerend wstecznych nie
znalezionych w danej strefie, poprzez użycie w WINS kwerendy stanu węzła karty NetBIOS dla
wyszukiwanych adresów IP. Więcej szczegółów można znaleźć w rozdziale 13.

Strefy systemu DNS

Strefa to część bazy danych DNS zawierająca rekordy zasobów dla nazw właścicieli, które należą
do zwartej części przestrzeni nazw systemu DNS. Jeden serwer DNS może być skonfigurowany
jako host dla jednej lub większej liczby stref (a czasem dla żadnej strefy).

Każda strefa jest definiowana przez konkretną nazwę domeny, określaną jako domena główna.
Gdyby na przykład domeną główną strefy była domena

coriolis.com

, to zawierałaby ona

informacje dotyczące wszystkich nazw FQDN kończących się na

coriolis.com

(każda nazwa hosta

lokalnego w domenie

coriolis.com

ma nazwę FQDN, który kończy się na

coriolis.com

). Serwer

DNS uznawany jest za autorytatywny dla danej nazwy, jeżeli ładuje plik strefy zawierający tę
nazwę. Rekord zasobu SOA dla strefy identyfikuje podstawowy serwer nazw DNS strefy jako
najlepsze źródło informacji dla danych w obrębie tej strefy i jako serwer przetwarzający
aktualizacje dla tej strefy.

Nazwy w obrębie strefy mogą być delegowane do innej strefy (lub innych stref). Na przykład
nazwy w domenie

authors.coriolis.com

kończą się na

coriolis.com

i są, domyślnie, członkami

strefy

coriolis.com

. Jednakże odpowiedzialność za te nazwy może zostać oddelegowana do strefy

authors.coriolis.com

, która będzie wtedy miała swoją własną strefę pełnomocnictwa, swój własny

rekord zasobu SOA i prawdopodobnie, swój własny podstawowy serwer nazw DNS.

background image

Delegowanie to proces przydzielania odpowiedzialności za część przestrzeni nazw DNS
oddzielnej jednostce. Jednostka ta może być oddziałem lub zespołem w obrębie przedsiębiorstwa,
lub przedsiębiorstwem w obrębie większej organizacji. Delegowanie implementuje się przy użyciu
rekordu zasobu NS, określającego zarówno delegowaną strefę, jak i nazwę DNS serwera
autorytatywnego dla tej strefy. Delegowanie poprzez wiele stref było jednym z pierwotnych
zamierzeń projektu DNS w roku 1984. Autorzy oryginalnych dokumentów RFC 882 i 883 (teraz
zastąpionych) zidentyfikowali kilka powodów delegowania przestrzeni nazw DNS:

• potrzeba oddelegowania zarządzania domeną DNS do kilku przedsiębiorstw lub

oddziałów w obrębie organizacji;

• potrzeba rozdzielenia obciążenia związanego z utrzymywaniem jednej dużej bazy danych

DNS na wiele serwerów nazw, aby poprawić wydajność rozpoznawania nazw oraz
utworzyć środowisko DNS odporne na uszkodzenia;

• potrzeba uwzględnienia przynależności organizacyjnej hosta poprzez włączenie go do

odpowiedniej domeny.

Rekordy zasobów NS znajdują się we wszystkich strefach wyszukiwania w przód i wyszukiwania
wstecznego, i wspierają delegowanie poprzez identyfikowanie serwerów DNS dla każdej ze stref.
Ilekroć serwer DNS musi zyskać dostęp do rekordu w delegowanej strefie (co jest znane jako
krzyżowanie delegowania), zwraca się do rekordów zasobu NS o zidentyfikowanie serwerów DNS
w strefie docelowej.

Na rysunku 12.2 zarządzanie domeną

coriolis.com

jest delegowane poprzez dwie strefy,

coriolis.com

i

authors.coriolis.com

.

Domena

coriolis.com

.com

coriolis.com

ftp.coriolis.com www.coriolis.com

authors.coriolis.com

strefa coriolis.com

ian.authors.coriolis.com

mary.authors.coriolis.com

strefa authors.coriolis.com

background image

Rysunek 12.2. Strefy delegowane

Wskazówka: Przeważnie plik strefy dla strefy delegowanej jest ładowany na więcej niż dwa
serwery nazw DNS, a zatem serwer najwyższego poziomu dla domeny zawiera wiele rekordów
zasobów NS identyfikujących serwery nazw DNS, dostępnych w celu przeprowadzania
kwerend. W tej sytuacji Windows 2000 DNS wybiera najbliższy serwer nazw DNS na podstawie
interwałów transmisji i potwierdzenia przyjęcia mierzonych w czasie dla każdego ze
wspomagających serwerów nazw DNS.

Replikacja bazy danych

Są dwa typy stref DNS,

podstawowe

oraz

pomocnicze

, które mają odpowiadające im pliki stref

podstawowych i pomocniczych. Wszystkie aktualizacje rekordów stref przeprowadzane są w
strefie podstawowej. Strefa pomocnicza jest kopią tylko do odczytu strefy podstawowej. Wszelkie
zmiany dokonywane w pliku strefy podstawowej są replikowane do pliku strefy pomocniczej.
Strefy pomocnicze zapewniają zabezpieczenia, polegające na przejmowaniu zadań przez inny
serwer i mogą przyspieszać rozpoznawanie nazw w zdalnych segmentach sieci.

Możliwe jest, aby serwer nazw DNS zawierał plik strefy podstawowej (lub główną kopię pliku
strefy) dla jednej strefy oraz plik strefy pomocniczej (lub kopię tylko do odczytu pliku strefy) dla
drugiej. Serwer ten jest w tym przypadku podstawowym serwerem nazw DNS dla pierwszej strefy
i pomocniczym serwerem DNS dla drugiej strefy.

Proces replikowania pliku strefy do wielu serwerów nazw zwany jest

transferem stref

. Dokonuje

się tego poprzez skopiowanie informacji pliku strefy z serwera

nadrzędnego

na serwer

pomocniczy

(zwany czasem serwerem

podległym

), gdzie serwer nadrzędny jest źródłem informacji o strefie.

Serwer nadrzędny może być podstawowy lub pomocniczy. Jeżeli serwer nadrzędny jest
podstawowy, to transfer stref pochodzi bezpośrednio od źródła. Jeżeli serwer nadrzędny jest
pomocniczy, to plik otrzymany z serwera nadrzędnego za pomocą transferu jest kopią pliku strefy
pomocniczej. To rozróżnienie przedstawione jest na rysunku 12.3.

Nadrzędne i podstawowe serwery nazw DNS

Rozróżnienie pomiędzy nadrzędnym i podstawowym serwerem nazw DNS może być źródłem
zamieszania. Podstawowy i pomocniczy odnoszą się do typu strefy. Serwer nazw DNS
zawierający podstawowy (możliwy do uaktualnienia) plik strefy jest serwerem podstawowym dla
tej strefy. Serwery nazw DNS zawierające pomocniczy (tylko do odczytu) plik strefy są
serwerami pomocniczymi dla tej strefy.

Serwery nadrzędne stanowią część procesu transferu stref. Jeżeli Serwer C otrzymuje
informacje dotyczące strefy DNS od Serwera B, to Serwer B jest serwerem nadrzędnym, a
Serwer C jest serwerem pomocniczym dla tego transferu stref. Wszelkie replikowane informacje
u adresata są tylko do odczytu. Serwer B może posiadać plik podstawowy dla jednej, określonej
strefy oraz plik pomocniczy dla drugiej. Serwer C otrzymuje wtedy pliki pomocnicze dla obydwu
stref.

Jeżeli plik strefy pomocniczej znajdujący się Serwerze B jest replikowany z Serwera A, który
posiada plik podstawowy dla tej strefy, to Serwer A jest serwerem nadrzędnym, a Serwer B jest

background image

serwerem pomocniczym dla tego transferu stref. Odwołaj się do rysunku 12.3

Serwer

A Serwer

B Serwer

C

Strefa 1 (podstawowa)

Strefa 1 (pomocnicza)

Strefa 1 (pomocnicza)

Strefa

2

(podstawowa)

Strefa 2 (pomocnicza)

Jestem podstawowym

serwerem nazw dla strefy 1.

Jestem podstawowym

Jestem pomocniczym

serwerem

serwerem

nazw

dla

strefy 2.

nazw dla strefy 1 i 2.

Jestem pomocniczym serwerem

Serwer B jest moim

serwerem

nazw

dla

strefy

1. nadrzędnym dla obu stref.

Serwer

A

jest

moim

serwerem

nadrzędnym dla strefy 1.

Rysunek 12.3. Nadrzędne, podstawowe oraz pomocnicze serwery nazw DNS.

Transfer stref inicjowany jest na dwa sposoby:

• Serwer nadrzędny wysyła do serwera pomocniczego (serwerów pomocniczych)

powiadomienie

, że plik strefy uległ zmianie. Dokument RFC opisuje ten proces

szczegółowo.

• Kiedy uruchamia się usługa DNS serwera pomocniczego lub ulega przeterminowaniu

jego

interwał odświeżania

, to przeprowadza on kwerendę serwera podstawowego

dotyczącą tych zmian. Interwał odświeżania określony jest w rekordzie zasobu SOA i
domyślnie wynosi 15 minut.

background image

Są dwa typy replikacji pliku strefy:

Pełny transfer strefy (AXFR)

— replikuje cały plik strefy. Są dwa typy AXFR. Pierwszy z

nich przesyła jeden rekord na pakiet, a drugi dopuszcza wiele rekordów na pakiet. DNS
systemu Windows 2000 obsługuje obydwa typy. Domyślnie stosuje on wiele rekordów na
pakiet, o ile nie został skonfigurowany inaczej dla zapewnienia zgodności ze starymi
serwerami DNS, takimi jak BIND w wersji 4.9.4 i wcześniejsze, które obsługują tylko
jeden rekord na pakiet. System Windows NT4 obsługuje AXFR o wielu rekordach na
pakiet.

Przyrostowy transfer strefy (IXFR)

— replikuje tylko zmienione rekordy strefy. DNS

systemu Windows 2000 obsługuje IXFR; Windows NT4 nie. Protokół IXFR jest opisany
w dalszej części tego rozdziału.

Serwery tylko buforujące

Wszystkie serwery nazw DNS buforują kwerendy, które przeanalizowały. Można jednak
zainstalować serwer nazw DNS specjalnie jako serwer tylko buforujący. Serwer

tylko buforujący

wykonuje kwerendy, buforuje odpowiedzi i zwraca wyniki. Nie jest on autorytatywny dla żadnej
domeny i zawiera tylko informacje buforowane w czasie analizowania kwerend.

Jeżeli masz witrynę o dużym natężeniu ruchu DNS, lub jeśli masz witryny satelickie, takie jak
filie, które korzystają z powolnego łącza sieci WAN, to w celu wyrównania obciążenia i obniżenia
ruchu w sieci można użyć serwera tylko buforującego. Serwer tylko buforujący nie wykonuje
transferów stref, które mogą intensywnie korzystać z sieci w środowiskach WAN.

Windows 2000 DNS wprowadza pojęcie

analizatora buforującego

strony klienckiej. Jest to

opisane w dalszej części niniejszego rozdziału.

Kwerendy systemu DNS

Kwerendy DNS są wysyłane od klienta DNS (analizatora) do serwera nazw DNS (

serwera nazw

).

Ponadto serwer nazw może wysłać kwerendę do drugiego serwera nazw. Kwerendy DNS są
przeważnie, lecz nie wyłącznie, kwerendami analizy nazw. Kwerenda może na przykład żądać
wszystkich rekordów zasobu hosta o określonej nazwie.

Są dwa typy kwerend DNS:

Rekursywna

— żąda, aby serwer nazw zwrócił albo pomyślną odpowiedź, albo

komunikat o błędzie. Zazwyczaj kwerendę rekursywną wykonuje analizator. Analizator
nie bierze już dalej udziału w procesie kwerendy, tylko czeka na odpowiedź. Serwer
nazw może wysłać kwerendę rekursywną do swojego

serwera przekazującego

, który jest

innym serwerem nazw skonfigurowanym specjalnie do obsługiwania przekazywanych do
niego żądań.

Iteracyjna

— badany kwerendą serwer nazw dostarcza najlepszych informacji

dotyczących kwerendy, jakie są dostępne. Zazwyczaj, jeżeli badany serwer nie jest
autorytatywny dla danej strefy, to wysyła

odsyłacz

, który jest listą zawierającą jeden lub

więcej serwerów, które mogą być w stanie spełnić kwerendę lub dostarczyć na jej temat
więcej informacji. Serwer wykonujący kwerendę wysyła następnie kwerendę do jednego
z serwerów znajdujących się na liście odsyłacza i proces kwerendy przebiega dalej jako
szereg iteracji, dopóki kwerenda nie zostanie przeanalizowana.

background image

Rysunek 12.4 przedstawia proces kwerendy. Jest to przykład troszkę nadmiernie uproszczony,
ponieważ nie bierze pod uwagę kwerend do bufora żadnego z analizujących uczestników. Nie
opisuje on również korzystania z serwerów WINS (ani innych serwerów NBNS), czy emisji
mających na celu rozpoznanie lokalnych nazw hostów, co miałoby miejsce w starych lub
mieszanych domenach. Ten przykład opisuje jedynie analizowanie nazw DNS.

Kwerendy

iteracyjne

Główny serwer nazw („.”)

2

3

Serwer nazw

.com

4

Serwer nazw

5

Kwerenda

rekursywna

6 Serwer

nazw

coriolis.com

1 8 7

Analizator

Chcę znaleźć

www.coriolis.com

.

www.coriolis.com

Rysunek 12.4. Analizowanie nazw DNS

W poniższym przykładzie klient (analizator) w domenie zdalnej chce przetłumaczyć

www.coriolis.com

na adres IP. Mogłoby to mieć miejsce, gdyby przeglądarka kliencka podjęła

próbę połączenia z URL.

1. Analizator

wysyła do swojego serwera nazw lokalnych kwerendę rekursywną dotyczącą

nazwy FQDN

www.coriolis.com

.

2. Serwer nazw lokalnych nie może przeanalizować nazwy FQDN ze swojej własnej bazy

danych. Dlatego też

parsuje

nazwę FQDN. Jest oczywiste, że wszystkie nazwy FQDN

background image

kończą się kropką. Nie jest ona normalnie wpisywana, ale jej założona obecność jest
podstawą analizy składniowej FQDN. Serwer nazw lokalnych parsuje końcową kropkę i
rozumie, że oznacza ona w przestrzeni nazw domeny serwer główny (czasem zwany
serwerem z kropką). Wszystkie implementacje systemu DNS zawierają w sobie plik
bufora (albo

root hints

serwera), w skład którego wchodzą adresy IP głównych serwerów

dla domen internetowych. Serwer nazw lokalnych wysyła iteracyjną kwerendę do serwera
głównego, prosząc go o rozpoznanie

www.coriolis.com

.

Wskazówka: Najnowszą wersję pliku bufora serwera głównego można pobrać z witryny
InterNIC pod adresem

ftp://rs.internic.net/domain/named.cache

.

3. Serwer

główny nie może rozpoznać

www.coriolis.com

, ale

może

rozpoznać

com

. Dlatego

też wysyła z powrotem do serwera nazw lokalnych odsyłacz z listą adresów IP serwerów
nazw w przestrzeni nazw

com

.

4. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw

com

, prosząc go o

rozpoznanie

www.coriolis.com

.

5. Serwer

nazw

com

nie może rozpoznać

www.coriolis.com

, ale

może

rozpoznać

coriolis.com

. Wysyła z powrotem do serwera nazw lokalnych odsyłacz, podający adres

autorytatywnego serwera nazw dla

coriolis.com

.

6. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw

coriolis.com

, który

może

rozpoznać

www.coriolis.com

.

7. Serwer

nazw

coriolis.com

zwraca adres IP

www.coriolis.com

do serwera nazw lokalnych.

8. Serwer nazw lokalnych spełnia kwerendę rekursywną wysyłając adres IP dla

www.coriolis.com

do analizatora.

Serwery przekazujące

Jeżeli nie chcesz, aby serwer nazw DNS używał kwerend iteracyjnych (albo w ogóle, albo
domyślnie), to możesz go skonfigurować, aby korzystał z

serwera przekazującego

. Serwer

przekazujący to serwer nazw DNS, który zajmuje się żądaniami iteracyjnymi w imieniu innych
serwerów i zwraca im wyniki. Serwer nazw DNS, który nie może przeanalizować danego żądania
w oparciu o swoje własne informacje dotyczące strefy, może wysłać żądanie rekursywne do
serwera przekazującego. Dlatego też mówi się, że serwer przekazujący dostarcza żądającemu
serwerowi

usługę rekursywną

.

Serwery przekazujące są zazwyczaj wykorzystywane w przypadku dostępu do zdalnych serwerów
nazw DNS poprzez powolne łącze. Mogłoby się na przykład zdarzyć, że administrujesz szybką
siecią wewnętrzną podłączoną do Internetu przez względnie wolne połączenie; w takim przypadku
możesz zechcieć wykorzystać do kwerend iteracyjnych usługę nazw DNS dostarczoną przez
swojego dostawcę usług internetowych (ISP). To mogłoby znacząco obniżyć ruch w Twojej sieci.

Serwer nazw DNS, który korzysta z serwera przekazującego, może mieć całkowicie wyłączoną
iterację. Ewentualnie można określić serwer przekazujący i opóźnienie czasowe. W tym drugim
przypadku serwer najpierw wysyła żądanie rekursywne do swojego serwera przekazującego, a
następnie podejmuje próbę iteracji, jeżeli serwer przekazujący nie może spełnić żądania w
granicach określonego czasu.

background image

Serwera przekazującego można również używać do współużytkowania informacji dotyczących
analizowania nazw. Przypuśćmy na przykład, że nasze przedsiębiorstwo ma kilka serwerów nazw
DNS. Zamiast zmuszać każdy z serwerów, aby wysyłał kwerendy do Internetu (prawdopodobnie
przez

firewalla

), można skonfigurować wszystkie swoje serwery, aby przedkładały kwerendy do

pojedynczego serwera przekazującego. Serwer przekazujący buduje bufor internetowych nazw
DNS z otrzymywanych odpowiedzi i może spełnić kwerendę pochodzącą z jednego serwera
bazując na informacjach wynikłych z kwerendy, która pochodzi z innego serwera.

Konfigurowanie serwera nazw DNS, aby korzystał z serwera przekazującego jest opisane w
podrozdziale rozwiązań natychmiastowych niniejszego rozdziału.

Wskazówka: Serwer nazw DNS zainstalowany na serwerze głównym w domenie nie może
korzystać z serwerów przekazujących.

Czas istnienia rekordów zasobu

Po przeanalizowaniu kwerendy zarówno analizator, jak i serwer nazw mogą buforować informacje
i używać zapamiętanych odpowiedzi przy odpowiadaniu na kolejne kwerendy. Dane zapamiętane
w buforze mają ograniczony czas istnienia, określany w parametrze TTL, który jest zwracany wraz
z danymi. Daje to gwarancję, że DNS nie będzie trzymał informacji tak długo, aż staną się one
nieaktualne. TTL bufora można ustawić w bazie danych DNS albo dla pojedynczego rekordu
zasobów poprzez ustawienie pola TTL zasobu, albo dla strefy, ustawiając pole minimalnego TTL
w rekordzie SOA. TTL bufora można również ustawiać na analizatorze.

Ustawiając TTL należy wziąć pod uwagę dwa konkurencyjne czynniki. Jeżeli TTL jest krótki, to
zmniejsza się prawdopodobieństwo, iż informacje ulegną przedawnieniu, ale zwiększa się ruch w
sieci oraz wykorzystanie serwera nazw DNS. Jeżeli TTL jest długi, to klient może otrzymywać
błędne odpowiedzi na kwerendy, ale zmniejsza się wykorzystanie serwera DNS i ruch w sieci.
Jeżeli odpowiedź na kwerendę zostanie udzielona przy użyciu wpisu zawartego w buforze, to wraz
z nią wysyłany jest TTL wpisu, dzięki czemu analizatory otrzymujące odpowiedź wiedzą jak
długo jest ona ważna. Analizatory uznają TTL od odpowiadającego serwera i nie ustawiają go
ponownie w oparciu o swój własny TTL.

Aktualizowanie bazy danych

DNS systemu Windows 2000 obsługuje zarówno statyczne, jak i dynamiczne aktualizacje bazy
danych DNS. Aktualizacje statyczne implementuje się przy użyciu narzędzia przystawki MMC
(konsoli zarządzania firmy Microsoft) systemu DNS. Korzystanie z tego narzędzia jest obszernie
opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału. Aktualizacja
dynamiczna jest udoskonaleniem DNS systemu Windows 2000 i jest opisana w następnej części.

Udoskonalenia systemu Windows 2000

Komunikacja użytkownika z usługą DNS systemu Windows 2000 przebiega poprzez przystawkę
konsoli MMC. Zapewnia to zgodność z innymi usługami systemu Windows 2000 i daje
administratorowi spójne, łatwe w użyciu narzędzie do zarządzania. Oprócz ułatwionego
zarządzania DNS systemu Windows 2000 oferuje kilka udoskonaleń oraz nowych funkcji. W ich
skład wchodzą:

• integracja usługi Active Directory;

background image

• aktualizacja dynamiczna, łącznie z zabezpieczoną aktualizacją dynamiczną;
• starzenie się i oczyszczanie rekordów;
• przyrostowy transfer strefy (IXFR);
• analizator buforujący;
• obsługa znaków Unicode;
• udoskonalony lokalizator domen.

Integracja usługi Active Directory

System Windows 2000 może wykorzystywać usługi Active Directory jako swoją pamięć masową
do przechowywania danych oraz jako mechanizm replikacji. Strefa DNS wykorzystująca
integrację usługi Active Directory musi być załadowana na kontroler domeny; określa się ją wtedy
jako strefę zintegrowaną z usługą katalogową (DS). Strefy zintegrowane z DS dają następujące
korzyści:

• replikacja wielonarzędna DNS wykonywana jest przez usługę Active Directory i nie ma

potrzeby obsługiwania osobnej metodologii replikacji dla informacji DNS;

• replikacja usługi Active Directory zawsze zapewnia wymagane rozdrobnienie replikacji,

łącznie z osobną replikacją dla każdej właściwości;

• replikacja usługi Active Directory jest bezpieczna, można też implementować bezpieczne

aktualizacje DNS dynamicznego;

• podstawowy serwer DNS zostaje wyeliminowany jako pojedynczy punkt awarii. Można

dokonać aktualizacji każdego kontrolera domeny serwera nazw DNS, a zmiana zostanie
rozpropagowana do innych kontrolerów domen.

Integracja usługi Active Directory ułatwia administrację przestrzeni nazw DNS, obsługując
jednocześnie standardowy transfer stref do serwerów nazw DNS systemów innych niż Windows
2000.

Replikacja wielonarzędna

Informacje aktualizacyjne stref dla stref zintegrowanych z DS są zapisywane w usłudze Active
Directory, a usługa Active Directory jest odpowiedzialna za replikowanie danych. Serwery nazw
DNS uruchomione na innych kontrolerach domen będą zapytywały usługę Active Directory o
aktualizacje. Aktualizacje DNS mogą być zapisywane na dowolnym serwerze DNS
zintegrowanym z DS, a dane są automatycznie replikowane do wszystkich kontrolerów domen
przy użyciu replikacji wielonarzędnej. Z replikacji wielonarzędnej wynika kilka problemów.
Możliwość zapisu w usłudze Active Directory z kilku kontrolerów domen jednocześnie może
powodować sytuacje konfliktowe, ponieważ dokonywane są zmiany tego samego obiektu na
dwóch lub większej liczbie serwerów. Ten konflikt zostaje ostatecznie rozwiązany na korzyść
ostatniej aktualizacji obiektu, w oparciu o znaczniki czasu aktualizacji. Ta sama zasada
obowiązuje w przypadku, kiedy dwa lub większa ilość węzłów o tej samej nazwie zostanie
utworzonych na dwóch lub większej liczbie serwerów DNS. Dopóki konflikt nie zostanie
rozwiązany, a serwer DNS zawierający nieważną aktualizację zapytuje usługę Active Directory o

background image

ważne dane, jest możliwe, że żądania dotyczące tego samego obiektu zgłoszone do dwóch różnych
serwerów DNS zostaną przeanalizowane w różny sposób.

Uwaga! Jeżeli strefa zintegrowana z DS zostaje przekształcona na oryginalny (nie zintegrowany
z DS) plik strefy podstawowej, to serwer DNS ładujący nową strefę podstawową musi być
jedynym podstawowym źródłem pełnomocnictwa dla strefy. Dlatego też przekształcona strefa
musi zostać usunięta z usługi Active Directory — to jest ze wszystkich kontrolerów domen, które
były poprzednio autorytatywne dla strefy. W przeciwnym wypadku replikowane będą
nieaktualne i nieprawidłowe informacje.

Obniżanie czasu zwłoki informacji dotyczących transferu stref

Jeżeli dana strefa DNS została uaktualniona, ale owa aktualizacja musi jeszcze zostać
zreplikowana do innych serwerów nazw DNS, to dla strefy wciąż istnieją serwery nazw
posiadające różne informacje. Aby obniżyć czas zwłoki w propagowaniu zmian do bazy danych
DNS, DNS systemu Windows 2000 wykorzystuje rozszerzenie NOTIFY, które aktywnie
powiadamia serwery nazw o wystąpieniu zmiany. Pakiet NOTIFY, wysyłany przez serwer
nadrzędny, nie zawiera żadnych informacji dotyczących zmian strefy. Po prostu powiadamia on
drugą stronę, że trzeba zainicjować transfer strefy.

Aktualizacje dynamiczne (DDNS)

System DNS był pierwotnie zaprojektowany, aby obsługiwać kwerendy za pomocą bazy danych
skonfigurowanej statycznie, w której częstotliwość zmian miała być niska. W tej sytuacji
wszystkie aktualizacje były implementowane jako zewnętrzne modyfikacje pliku nadrzędnego
strefy podstawowej.

Dynamiczna alokacja adresów IP przy użyciu protokołu DHCP spowodowała, że ręczne
uaktualnianie informacji DNS stało się niewystarczające; innym powodem były wzrastające
rozmiary zarówno intranetów wewnętrznych, jak i Internetu. System Windows NT4 wychodził
naprzeciw temu problemowi poprzez zintegrowanie systemów WINS i DNS, lecz było to co
najwyżej częściowe rozwiązanie, gdyż działanie procesu analizowania opierało się na tym, że
nazwy hostów i nazwy NetBIOS były takie same (lub wystarczająco podobne). W systemie
Windows 2000 automatyczne przedzielanie adresów przez DHCP jest zintegrowane z
aktualizacjami dynamicznymi DNS. Ta funkcja, znana jako

aktualizacja dynamiczna

lub DDNS,

jest zdefiniowana w dokumencie RFC 2136. Dokument ten wprowadza nowy

kod operacji

, czy też

format wiadomości

, zwany AKTUALIZACJĄ.

Komunikat aktualizacji

może dodawać i usuwać

rekordy zasobów z określonej strefy i testować pod kątem warunków wstępnych. Aktualizowanie
jest operacją

niepodzielną

— co oznacza, że muszą być spełnione wszystkie warunki wstępne.

Inaczej nie będzie miała miejsca żadna aktualizacja.

Aktualizacja strefy musi być implementowana na podstawowym serwerze nazw dla tej strefy,
jeżeli aktualizację otrzyma serwer pomocniczy, to jest ona przesyłana poprzez topologię
replikacyjną dopóki nie dotrze do serwera głównego. W strefie zintegrowanej z DS aktualizacja
może być wysłana do dowolnego serwera DNS uruchomionego na kontrolerze domeny, na który
załadowana jest ta strefa. W czasie trwania transferu strefa jest zablokowana i nie może
otrzymywać żadnych aktualizacji. Może to stanowić problem w dużej strefie, która implementuje
DDNS i jest często blokowana w celu dokonania transferu strefy. DNS systemu Windows 2000
wychodzi naprzeciw temu problemowi poprzez kolejkowanie żądań aktualizacji przychodzących
podczas transferu strefy i przetwarzanie ich po zakończeniu transferu strefy.

background image

Każdy host systemu Windows 2000 podejmuje próbę zarejestrowania swoich rekordów A i PTR
poprzez usługę kliencką DHCP. Usługa ta działa na każdym kliencie niezależnie od tego, czy jest
on skonfigurowany jako klient DHCP, czy nie. Algorytm aktualizacji dynamicznej różni się w
zależności od typu klienta dostarczającego informacje rekordu zasobu procesowi aktualizacji
dynamicznej. Klient może być:

• klientem protokołu DHCP,
• klientem skonfigurowanym statycznie,
• klientem usługi dostępu zdalnego (RAS).

Klient protokołu DHCP

Kiedy klient protokołu DHCP systemu Windows 2000 uzyskuje swoje informacje dotyczące
konfiguracji IP, to negocjuje z serwerem DHCP procedurę aktualizacji dynamicznej DNS.
Domyślnie, klient zawsze proponuje, że uaktualni rekord A, natomiast serwer DHCP uaktualni
rekord PTR.

Serwer protokołu DHCP systemu Windows 2000 może być konfigurowany w taki sposób, aby
odpowiadał na dwa możliwe sposoby:

• zawsze aktualizując serwer DNS według żądania klienta (ustawienie domyślne),
• zawsze aktualizując wyszukiwanie w przód i wyszukiwanie wsteczne.

Jeżeli serwer DHCP jest skonfigurowany, aby zawsze aktualizować wyszukiwanie w przód i
wstecz, to uaktualni zarówno rekord A, jak i PTR niezależnie od żądania klienta DHCP.

Jeżeli na serwerze DHCP są wyłączone aktualizacje dynamiczne, to klient DHCP będzie sam
próbował uaktualnić zarówno rekord A, jak i PTR. Rysunek 12.5 przedstawia okno dialogowe
służące do konfigurowania aktualizacji dynamicznych na serwerze DHCP. Narzędzie przystawki
MMC protokołu DHCP (menedżer DHCP) opisane zostało w rozdziale 11.

Rysunek 12.5. Konfigurowanie aktualizacji dynamicznych na serwerze DHCP.

Po upływie dzierżawy adresu IP muszą zostać usunięte związane z nią rekordy A i PTR.
Oczyszczanie dynamiczne wymaga, aby rekordy były usuwane przez hosty — w tym przypadku
przez klienta i/lub serwer DHCP — które je utworzyły. Jeżeli host, który utworzył rekord A lub
PTR, zostanie odłączony od sieci przed upływem dzierżawy DHCP, to odnośne rekordy zasobu
mogą ulec przedawnieniu. Jako że serwer DHCP jest właścicielem adresu IP, zalecane jest, aby
serwery DHCP rejestrowały rekordy PTR, kiedy to tylko możliwe.

W środowisku mieszanym klient protokołu DHCP systemu Windows 2000 może podjąć próbę
negocjowania procedury aktualizacji dynamicznej z serwerem protokołu DHCP systemu Windows
NT4. W takim wypadku klient protokołu DHCP systemu Windows 2000 sam uaktualni zarówno
rekord A, jak i PTR. Jeżeli klient niższego poziomu (na przykład Windows NT4 lub 9x) uzyska
dzierżawę od serwera protokołu DHCP systemu Windows 2000, to serwer zarejestruje w DNS
zarówno rekord A, jak i PTR, pod warunkiem, że wybrana została opcja dokonywania aktualizacji
klientów DHCP niższego poziomu.

background image

Po upływie dzierżawy klienta DHCP serwer protokołu DHCP systemu Windows 2000 usuwa
rekord zasobu PTR klienta. Serwer usuwa również odnośny rekord zasobu A, jeżeli ustawiona jest
opcja Odrzuć wyszukiwania do przodu po wygaśnięciu.

Klient skonfigurowany statycznie

Statycznie skonfigurowany klient systemu Windows 2000 dynamicznie aktualizuje tak rekord A,
jak i PTR przy każdym przeładowaniu, zmianie adresu IP lub zmianie nazwy jego domeny.

Klient usługi RAS

Klient usługi RAS systemu Windows 2000 podejmuje próbę dynamicznej aktualizacji zarówno
rekordu A, jak i PTR oraz wymazania obydwu rekordów przed zamknięciem połączenia. Jeżeli
jednak aktualizacja dynamiczna się nie powiedzie (na przykład serwer DNS nie działał w tym
czasie), lub jeżeli połączenie zdalne nieoczekiwanie „padnie”, to rekord ulega przedawnieniu.

Ponowna rejestracja

DDNS zapewnia pewien poziom odporności na uszkodzenia. Serwer DHCP dokonuje ponownej
rejestracji rekordów zasobu DNS po odnowieniu dzierżawy, a klienty oparte na systemie Windows
2000 dokonują ponownej rejestracji rekordów zasobu co 24 godziny. Ponowna rejestracja
odświeża wszystkie rekordy zasobu, w których pojawiły się błędy od czasu ostatniej rejestracji.

Wskazówka: Parametr

Rejestru

DefaultRegistrationRefreshInterval

określa interwał

pomiędzy rejestracjami klienta. Aby uzyskać szczegóły, odwołaj się do dodatku C.

Konflikty nazw

Jeżeli klient DDNS odkryje, że jego nazwa jest już zarejestrowana w DNS wraz z adresem IP
należącym do innego hosta, to (domyślnie) usuwa istniejącą rejestrację i rejestruje swoje własne
rekordy zasobu. To zachowanie można wyłączyć w

Rejestrze klienta

, skutkiem czego klient nie

rejestruje rekordu zasobu i zapisuje błąd w

Podglądzie zdarzeń

. Oprócz niedogodności

wynikających z konieczności łamania kodu

Rejestru

każdego klienta to rozwiązanie nie jest

zupełnie zadowalające. Zachowanie domyślne usuwa przedawnione rekordy, ale jest narażone na
złośliwe ataki. Zmiana tego zachowania chroni przed atakami, lecz przedawnione rekordy muszą
być usuwane ręcznie. Rozwiązaniem jest wykorzystanie bezpiecznych aktualizacji dynamicznych
(patrz: poniżej), co gwarantuje, że tylko właściciel istniejącego rekordu może go uaktualnić.

Bezpieczna aktualizacja dynamiczna

Strefy zintegrowane z DS mogą być konfigurowane, aby korzystały z bezpiecznej aktualizacji
dynamicznej. Usługa Active Directory utrzymuje listy kontrolne dostępu (ACL) określające grupy
lub użytkowników, którym wolno aktualizować rekordy zasobu w takich strefach. Implementacja
bezpiecznej aktualizacji dynamicznej DNS systemu Windows 2000 wykorzystuje algorytm
zdefiniowany w projekcie IETF

Algorytm GSS dla TSIG (GSS-TSIG)

. Algorytm ten jest oparty na

interfejsie

Generic Security Service Application Program Interface

(GSS-API), określonym w

specyfikacji RFC 2078.

Klient, który podejmuje próbę aktualizacji dynamicznej na serwerze DNS może być
skonfigurowany, aby stosować jedną z następujących metod:

background image

• Najpierw podejmować próbę niezabezpieczonej aktualizacji dynamicznej. Jeśli ta się nie

powiedzie, negocjować bezpieczną aktualizację dynamiczną (ustawienie domyślne).

• Zawsze negocjować bezpieczną aktualizację dynamiczną.
• Podejmować tylko próbę niezabezpieczonej aktualizacji dynamicznej.

Microsoft zaleca metodę domyślną, ponieważ umożliwia ona klientom rejestrację na serwerach
DNS, które nie mają funkcji bezpiecznej aktualizacji dynamicznej.

Listy ACL mogą być określane dla całej strefy lub modyfikowane dla określonych nazw.
Domyślnie każdy uwierzytelniony użytkownik może tworzyć rekordy zasobu A lub PTR w każdej
strefie. Jednak po utworzeniu nazwy użytkownika tylko użytkownicy lub grupy, które są określone
na liście ACL z pozwoleniem zapisu dla tej nazwy, mogą zmieniać odpowiadające jej rekordy.
Choć zazwyczaj spełnia to wymagania, są sytuacje, w których pozwolenia na modyfikowanie
rekordów bezpiecznej aktualizacji dynamicznej mogą być nadawane innym kontom użytkownika
lub komputera. Aby wyjść naprzeciw takim sytuacjom, system Windows 2000 zapewnia grupy
zabezpieczeń

DnsUpdateProxy

oraz

DnsAdmins

.

Grupa DnsUpdateProxy

W środowisku mieszanym serwer DHCP może być konfigurowany tak, aby rejestrował
dynamicznie rekordy A i R dla klientów niższego poziomu. W tej sytuacji domyślna konfiguracja
bezpiecznej aktualizacji dynamicznej może powodować przedawnienie rekordów. Kiedy serwer
DHCP dokona bezpiecznej aktualizacji dynamicznej danej nazwy, staje się on właścicielem tej
nazwy. Gdyby później ów serwer DHCP „padł”, to rezerwowy serwer DHCP nie mógłby
uaktualnić rekordu, ponieważ go nie posiada. Również gdyby klient dolnego poziomu został
później uaktualniony do systemu Windows 2000, to nie mógłby uaktualnić swoich własnych
rekordów zasobu, ponieważ ich nie posiada.

Naprzeciw temu problemowi wychodzi zastosowanie grupy zabezpieczeń

DnsUpdateProxy

.

Żaden obiekt utworzony przez członka tej grupy nie posiada żadnych zabezpieczeń, a pierwsza
jednostka, która nie jest członkiem tej grupy i uzyska dostęp do tego obiektu, staje się jego
właścicielem. Każdy serwer DHCP, który rejestruje rekordy A dla klientów dolnego poziomu
zostaje umieszczony w grupie

DnsUpdateProxy

. Serwery te tworzą rekordy, lecz ich nie posiadają,

więc problem zostaje wyeliminowany.

Jednakże takie rozwiązanie sprawia, że wszelkie nazwy DNS zarejestrowane przez serwer DHCP
w grupie

DnsUpdateProxy

są niezabezpieczone. Jest to szczególnie istotne, jeżeli usługa DHCP

jest zainstalowana na kontrolerze domeny. W takim przypadku wszystkie rekordy SRV, A oraz
CNAME zarejestrowane przez usługę Netlogon dla tego kontrolera domeny są niezabezpieczone.
Aby zminimalizować ten problem, Microsoft zaleca, aby serwery DHCP, szczególnie w
środowisku mieszanym, nie były instalowane na kontrolerach domen. Następnym argumentem
przemawiającym przeciwko instalowaniu usługi DHCP na kontrolerze domeny jest to, że daje ona
serwerowi DHCP pełną kontrolę nad wszystkimi obiektami DNS przechowywanymi w usłudze
Active Directory, ponieważ serwer DHCP działa pod kontem komputera (kontrolera domeny).

Grupa DnsAdmins

Grupa

DnsAdmins

ma, domyślnie, pełną kontrolę nad wszystkimi strefami i rekordami w domenie

systemu Windows 2000. Ta grupa zabezpieczeń pozwala administratorowi domeny delegować

background image

administrację DNS bez przyznawania członkom grup przywilejów administracyjnych do innych
usług i zasobów.

Wskazówka: Procedury służące dodawaniu kont do grup

DnsUpdateProxy

oraz

DnsAdmins

opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału.

Przedawnienie i oczyszczanie rekordów

Jeżeli używasz aktualizacji dynamicznych, to rekordy są automatycznie dodawane do strefy przy
dodawaniu komputerów i kontrolerów domen. W niektórych przypadkach nie są one
automatycznie aktualizowane i mogą ulegać przedawnieniu. Przedawnione rekordy zasobów
zajmują przestrzeń na serwerze i mogą podawać nieprawidłowe informacje w odpowiedzi na
kwerendę. DNS systemu Windows 2000

oczyszcza

przedawnione rekordy. Można określić rekordy

które

muszą

być oczyszczone, jeśli ulegną przedawnieniu, strefy, które mają być oczyszczone oraz

serwery oczyszczające te strefy.

Uwaga! Nie włączaj oczyszczania, jeżeli nie masz pewności, że rozumiesz wszystkie
parametry. W przeciwnym wypadku mogłoby się zdarzyć, że skonfigurujesz serwer tak, aby
usuwał ważne rekordy, które powinien zachowywać.

Mechanizm oczyszczania jest domyślnie wyłączony. Można ręcznie włączać lub wyłączać
oczyszczanie osobno dla każdego serwera, każdej strefy, lub każdego rekordu. Jeżeli włączysz
oczyszczanie w rekordzie, który nie jest aktualizowany dynamicznie, to ów rekord zostanie
usunięty, chyba że jest okresowo odświeżany.

Jeżeli włączysz oczyszczanie w standardowej strefie, a oczyszczanie było poprzednio wyłączone,
to serwer nie oczyszcza rekordów, które istniały, zanim zostało włączone oczyszczanie. Aby
włączyć oczyszczanie takich rekordów, skorzystaj z programu usługowego

dnscmd

, dostarczanego

z zestawem Windows 2000 Resource Kit. Aby uzyskać więcej informacji, wejdź do witryny
internetowej

http://windows.microsoft.com/windows2000/reskit

.

Serwer DNS systemu Windows 2000 wykorzystuje znacznik czasu oraz konfigurowalne
parametry oczyszczania, aby określać, kiedy ma oczyszczać rekordy. Parametry oczyszczania
można konfigurować osobno dla każdej strefy lub dla każdego serwera.

Parametry oczyszczania dla strefy

Parametry przedawniania i oczyszczania, które można konfigurować osobno dla każdej strefy to:

Interwał braku odświeżania

— okres, kiedy serwer nie przyjmuje odświeżeń dla rekordu,

który następuje po ostatnim odświeżeniu znacznika czasu rekordu. W czasie trwania

interwału odświeżania

, serwer nadal przyjmuje aktualizacje. Kiedy zostaje utworzona

strefa zintegrowana z DS, ten parametr jest ustawiany na parametr serwera DNS

DefaultNoRefreshInterval

.

Interwał odświeżania

— okres, kiedy serwer przyjmuje odświeżenia, który następuje po

upływie

interwału braku odświeżania

. Po upływie

interwału odświeżania

, serwer DNS

może oczyszczać rekordy, które nie zostały odświeżone podczas lub po zakończeniu
interwału odświeżania. Kiedy zostaje utworzona strefa zintegrowana z DS, parametr ten
jest ustawiany na parametr serwera

DefaultRefreshInterval

.

background image

Włączanie odświeżania

— wskazuje, czy dla rekordów w danej strefie włączone jest

przedawnienie i oczyszczanie. Kiedy zostaje utworzona strefa zintegrowana z DS, ten
parametr jest ustawiany na parametr serwera DNS

DefaultEnableScavenging

.

serwery oczyszczające

— określa, które serwery mogą oczyszczać rekordy w danej

strefie. Ten parametr nie jest konfigurowalny przy użyciu narzędzia przystawki MMC
systemu DNS, ale można go konfigurować za pomocą programu usługowego

dnscmd

.

Wskazówka: Parametr

StartScavenging

nie jest bezpośrednio konfigurowalny, lecz

ustawiany podczas procesu oczyszczania. Algorytm oczyszczania dla tego procesu opisany jest
w dalszej części tego podrozdziału.

Parametry przedawnienia i oczyszczania dla serwera

Parametry przedawnienia i oczyszczania dla serwera określają parametry domyślne dla wszelkich
stref utworzonych na tym serwerze. Są to następujące parametry:

DefaultNoRefreshInterval

— określa

interwał braku odświeżania

stosowany

domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten
ustawia się w oknie

Interwał braku odświeżania

w konsoli DNS. Ustawienie domyślne to

7 dni.

DefaultRefreshInterval

— określa

interwał odświeżania

stosowany domyślnie dla

strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten ustawia się w
oknie

Interwał odświeżania w konsoli DNS

. Ustawienie domyślne to 7 dni.

DefaultEnableScavenging

— określa parametr

włączanie odświeżania

stosowany

domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten
włącza się (ustawia na

1

) poprzez zaznaczenie pola wyboru

Włącz odświeżanie

w

konsoli. Ustawienie domyślne to

0

(wyłączone),

EnableScavenging

— określa, czy dany serwer DNS może oczyszczać przedawnione

rekordy. Jeżeli na serwerze jest włączone oczyszczanie, to automatycznie oczyszcza on
rekordy z częstotliwością określoną przez parametr

ScavengingPeriod

. Parametr

EnableScavenging

włącza się (ustawia na

1

) poprzez zaznaczenie pola wyboru

Włącz

automatyczne oczyszczanie starych rekordów

na zakładce

Zaawansowane

konsoli DNS.

Ustawienie domyślne to

0

(wyłączone).

ScavengingPeriod

— określa, jak często dany serwer DNS wykonuje oczyszczanie.

Parametr ten ustawia się w polu

Okres oczyszczania

na zakładce

Zaawansowane

konsoli

DNS. Ustawienie domyślne to 7 dni.

Algorytm oczyszczania

Można skonfigurować serwer w taki sposób, aby przeprowadzał oczyszczanie w regularnych
interwałach, a oczyszczanie można również wyzwalać ręcznie. Serwer podejmuje próbę
oczyszczenia wszystkich stref podstawowych, o ile spełnione są następujące warunki:

• parametr

EnableScavenging

jest ustawiony na

1

zarówno dla serwera, jak i dla strefy;

• w strefie jest włączona aktualizacja dynamiczna;

• parametr

ScavengingServers

jest albo nieokreślony, albo zawiera adres IP serwera;

background image

• aktualny czas jest większy niż wartość w parametrze strefy

StartScavenging

.

Serwer ustawia czas w parametrze

StartScavenging

, kiedy wystąpi jedno z następujących

zdarzeń:

• zostanie włączona aktualizacja dynamiczna;

• parametr strefy

EnableScavenging

zostanie zmieniony z

0

na

1

;

• strefa zostanie załadowana;
• strefa zostanie wznowiona.

Czas w parametrze

StartScavenging

jest równy czasowi, w którym występuje zdarzenie

wyzwolenia plus okres czasu określony w interwale odświeżania dla danej strefy. Zapobiega to
oczyszczeniu strefy oraz utracie ważnych rekordów, ponieważ strefa nie jest dostępna — na
przykład, kiedy strefa jest wstrzymana lub serwer jest w trybie offline.

Kiedy dany serwer oczyszcza strefę, to sprawdza wszystkie rekordy w strefie. Jeżeli znacznik
czasu któregoś rekordu nie wynosi zero, a aktualny czas jest późniejszy niż czas określony w
znaczniku czasu plus interwały braku odświeżania oraz odświeżania dla danej strefy, to rekord
zostaje usunięty.

Konfigurowanie oczyszczania

Jeżeli korzystasz z usługi DHCP systemu Windows 2000, to domyślne wartości oczyszczania i
przedawnienia są zazwyczaj możliwe do przyjęcia. Jeśli z kolei używasz innego źródła protokołu
DHCP (takiego jak serwer DHCP systemu Windows NT4), to możesz być zmuszony do
zmodyfikowania ustawień domyślnych. Jeżeli zdecydujesz się na rekonfigurację parametrów
oczyszczania, upewnij się, że interwał odświeżania jest większy niż okres odświeżania dla
każdego z rekordów podlegających oczyszczaniu w obrębie danej strefy. To z kolei gwarantuje, że
żadne rekordy nie zostaną usunięte, zanim klient aktualizacji dynamicznej będzie miał czas, aby je
odświeżyć. Wiele różnych usług może odświeżać rekordy w różnych interwałach. Na przykład:

• usługa Netlogon odświeża rekordy raz na godzinę;
• serwery klastra zazwyczaj odświeżają rekordy co 15 do 20 minut;
• serwery DHCP odświeżają rekordy za każdym razem, kiedy tylko zostają odnowione

dzierżawy adresów IP;

• hosty systemu Windows 2000 odświeżają swoje rekordy zasoby A i PTR co 24 godziny.

Im dłuższe interwały braku odświeżania i odświeżania ustawisz, tym dłużej będą pozostawać
przedawnione rekordy. Dlatego też powinieneś ustawić najkrótsze interwały odświeżania, jakie
tylko mieszczą się w granicach rozsądku. Jeżeli jednak ustawisz zbyt krótki interwał braku
odświeżania, to możesz spowodować niepotrzebną replikację usługi Active Directory.

Przyrostowy transfer strefy

AXFR nie jest wydajnym środkiem propagowania zmian dokonanych w strefie, ponieważ
dokonuje transferu całego pliku strefy. IXFR dokonuje transferu samych tylko zmian w informacji
strefy i w związku z tym, jest mechanizmem bardziej wydajnym. IXFR, zdefiniowany w

background image

specyfikacji RFC 1995, jest implementowany w DNS systemu Windows 2000. Działa on w
następujący sposób:

1. Klient IXFR inicjuje transfer strefy wysyłając komunikat IXFR, zawierający w rekordzie

SOA numer seryjny jego kopii strefy.

2. Serwer IXFR, który odpowie na żądanie IXFR, zapamiętuje rekord najnowszej wersji

strefy oraz pliki zawierające różnice pomiędzy tą kopią a kilkoma starszymi wersjami. Z
przyczyn wydajnościowych, jedynie pewna ograniczona liczba niedawnych zmian
dokonanych w strefie jest trzymana na serwerze. Kiedy zostanie otrzymane żądanie IXFR
mające starszy numer seryjny, to serwer IXFR wysyła tylko te zmiany, które są
wymagane, aby wersja klienta IXFR stała się aktualna.

Pełny transfer strefy może być implementowany w następujących przypadkach:

• liczba zmian jest większa niż liczba rekordów w całej strefie;
• numer seryjny klienta jest niższy niż ten, który znajduje się na serwerze jako

jego najstarszy rekord zmian;

• serwer nazw, który odpowiada na żądanie IXFR, nie rozpoznaje typu kwerendy

(to znaczy serwer nie jest serwerem IXFR). W takim wypadku klient IXFR
automatycznie inicjuje AXFR.

Rysunek 12.6 przedstawia mechanizm IXFR.

Zmiany

numeru

seryjnego

20

Serwer

podległy

Numer

seryjny 19

Pliki dziennika

Strefy

Zmiany numeru seryjnego 19

IXFR

Zmiany

numeru

seryjnego

20

Zmiany numeru seryjnego 18

IXFR

Zmiany

numeru

seryjnego

20

Serwer

podległy

Plik

całej strefy

Zmiany numeru seryjnego 19

Numer

seryjny 20

Serwer nadrzędny

Numer seryjny 20

background image

IXFR

Pełny transfer strefy

Serwer

podległy

Numer

seryjny 15

Rysunek 12.6. Przyrostowy transfer strefy

W środowisku zintegrowanym z DS zmiany strefy DNS mogą być dokonywane na każdym
serwerze nadrzędnym. Dlatego też różne serwery nadrzędne zawierają zmiany strefy zastosowane
w różnej kolejności. Powoduje to problemy, kiedy nadrzędny serwer IXFR, który poprzednio
dostarczył zmiany strefy klientowi IXFR, nie jest aktualnie dostępny. Jeżeli klient IXFR wybierze
inny serwer nadrzędny, który ma zmiany strefy zastosowane w innej kolejności, to integralność
strefy klienta IXFR może zostać naruszona po transferze przyrostowym. W takim przypadku
klient IXFR inicjujący transfer strefy zażąda AXFR.

Analizator buforowania

DNS systemu Windows 2000 wprowadza

analizator buforujący

strony klienckiej dla celów

analizowania nazw DNS.

Analizator buforujący

to usługa systemu Windows 2000, która poprawia

wydajność wyszukiwania nazw i zmniejsza ruch sieciowy związany z wyszukiwaniem nazw,
poprzez zminimalizowanie liczby podróży analiz nazw w obie strony. Działa on w kontekście
menedżera kontroli usług i można go włączać i wyłączać, jak każdą inną usługę.

Analizator buforujący Windows 2000 DNS zawiera następujące funkcje:

• Ogólne buforowanie kwerend.
• Buforowanie negatywne.
• Usuwanie nazw poprzednio przeanalizowanych z bufora w oparciu o potwierdzenie

negatywne.

• Śledzenie tymczasowych kart sieciowych (

Plug and Play

) oraz ich konfiguracji IP.

• Utrzymywanie rejestru nazw domen każdej z kart.
• Zarządzanie nie reagującymi serwerami nazw.
• Ustalanie priorytetów wielu rekordów A zwracanych z serwera DNS w oparciu o ich

adres IP. Jeżeli analizator wyśle kwerendę określającą priorytety, to serwer DNS znajdzie
rekordy A z adresami IP z sieci, z którą analizator jest bezpośrednio połączony i umieści
je jako pierwsze w swojej odpowiedzi. Ta funkcja uniemożliwia właściwe działanie
rotacji

round-robin

i można ją wyłączyć za pomocą parametru

Rejestru

PrioritizeRecordData

. Aby uzyskać szczegóły, odwołaj się do dodatku C.

Rotacja

round-robin

Rotacja

round-robin

to przydzielanie wielu adresów IP temu samemu hostowi w bazie danych

DNS. Zazwyczaj jest ona wykorzystywana w przypadku usług o częstym dostępie, takich jak
internetowe usługi informacyjne (IIS). Jeżeli twoja strona główna znajduje się na kilku
serwerach IIS, to możesz im wszystkim przypisać ten sam alias, a następnie połączyć z nim

background image

wszystkie ich adresy IP. Zapewnia to wyrównanie obciążenia i zabezpieczenie w postaci
przejmowania zadań przez serwer rezerwowy.

• Przyjmowanie odpowiedzi od adresów IP nie podlegających kwerendzie. Ta funkcja jest

domyślnie włączona i można ją wyłączyć za pomocą parametru

Rejestru

QueryIpMatching

. Aby uzyskać szczegóły, odwołaj się do dodatku C.

• Automatyczne przeładowywanie uaktualnionego pliku hostów lokalnych do bufora

analizatora. Jak tylko zmieni się plik hostów, bufor analizatora zostaje uaktualniony.

• Inicjowanie przeterminowania awarii sieci. Jeżeli wszystkie kwerendy analizatora ulegają

przeterminowaniu, to zakłada on, iż miała miejsce awaria sieci i nie przesyła żadnych
kwerend przez pewien okres czasu (domyślnie 30 sekund). Ów okres czasu określa się
przy użyciu parametru

Rejestru

NetFailureCacheTime

. Ustawienie tego parametru na

0

wyłącza funkcję. Aby uzyskać szczegóły, odwołaj się do dodatku C.

Jeśli serwer nazw DNS nie odpowie na kwerendę, to przesuwa się w dół listy priorytetów.
Zapobiega to wielokrotnym kwerendom nie reagującego serwera. Jeżeli serwer, który poprzednio
nie odpowiedział, zostanie wypróbowany drugi raz i udzieli odpowiedzi, to przesuwa się z
powrotem w górę listy priorytetów.

Buforowanie negatywne

Buforowanie negatywne to zapamiętywanie faktu, iż żądane informacje nie istnieją. Jest ono
przydatne, ponieważ skraca czas odpowiedzi dla odpowiedzi negatywnych. Zmniejsza ono
również liczbę komunikatów, które muszą być przesyłane pomiędzy analizatorami a serwerami
nazw, jak również ruch generowany przez te komunikaty.

Implementacja buforowania negatywnego w systemie Windows 2000 opiera się na specyfikacji
RFC 2308. Ustawienie parametru

Rejestru

NegativeCacheTime

na

0

wyłącza buforowanie

negatywne. Aby uzyskać szczegóły, odwołaj się do dodatku C.

Wyłączanie analizatora buforującego

Analizator buforujący wyłącza się przy użyciu jednej z dwóch metod:

• wpisanie

net stop dnscache

w wierszu polecenia. Wyłącza to wszystkie funkcje

analizatora buforującego, co prowadzi do analizowania nazw w taki sposób, jak w
systemie Windows NT4;

• ustawienie parametru

Rejestru

MaxCacheEntryTtlLimit

na

0

(Aby uzyskać szczegóły,

odwołaj się do dodatku C). Wartość tego parametru określa maksymalną ilość czasu,
przez jaki buforowane jest wyszukiwanie, na które udzielono pozytywnej odpowiedzi.
Ustawienie tej wartości na

0

eliminuje buforowanie rekordów zasobu, ale nie wyłącza

porządkowania serwerów nazw DNS ani obsługi

Plug and Play

.

Obsługa znaków Unicode

Pierwotnie nazwy DNS były ograniczone do zestawu znaków określonego w dokumentach RFC
952 i 1123 — to jest a – z, 0 – 9 oraz kilku dodatkowych znaków. Nazwy NetBIOS mogą
wykorzystywać znacznie szerszy zestaw znaków niż oryginalne nazwy DNS. Przewidywano, że
różnica w zestawach znaków wykorzystywanych przez te dwie usługi nazw będzie stanowić

background image

problem przy aktualizacji nazw NetBIOS systemu Windows NT4 do nazw DNS
wykorzystywanych w systemie Windows 2000. Nie uważano za praktyczne usuwać wszystkich
nazw NetBIOS systemu Windows 2000, aby dostosować się do istniejących wtedy standardów
DNS. Zamiast tego rozszerzono zestaw znaków DNS.

Dokument RFC 2181 powiększa zestaw znaków dozwolonych w nazwach DNS. Określa on, że
etykieta DNS może być dowolnym ciągiem binarnym, który nie musi być koniecznie
interpretowany jako ASCII. DNS systemu Windows 2000 obsługuje zestaw znaków UTF-8 w
sposób opisany w dokumencie RFC 2044. Jest to nadzbiór ASCII i translacja kodowania znaków
UCS-2 (lub Unicode). Zestaw znaków UTF-8 zawiera znaki pochodzące z większości
zapisywanych języków, co pozwala na dużo większy zakres możliwych nazw, a także pozwala
nazwom korzystać ze znaków związanych z określonym regionem.

Uwaga! Należy zachować ostrożność przy implementowaniu systemu DNS korzystającego z
kodowania UTF-8, ponieważ niektóre protokoły nakładają ograniczenia w kwestii znaków
dozwolonych w nazwie. Poza tym nazwy, które mają być widoczne globalnie (odwołaj się[PO13]
do dokumentu RFC 1958), powinny zawierać tylko znaki określone w dokumencie RFC 1123.

Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub
wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy.
Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8,
lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z
pliku strefy. Należy zachować szczególną ostrożność przeprowadzając transfer strefy zawierającej
nazwy UTF-8 do innego serwera. Należy sprawdzić, czy serwer docelowy obsługuje UTF-8. Jeżeli
nie, to należy sprawdzić, czy wszystkie rekordy zostały przesłane prawidłowo. Jeżeli wystąpią
problemy, może się okazać konieczne wyłączenie znaków UTF-8.

Udoskonalony lokalizator domen

Lokalizator domen systemu Windows 2000 implementowany jest w usłudze

Netlogon

. Pozwala on

klientowi zlokalizować kontroler domeny i zawiera lokalizatory zgodne z IP/DNS oraz z
systemem Windows NT4. Zapewnia to współdziałanie w środowisku mieszanym.

Algorytm lokalizacji DC implementowany jest w następujący sposób:

1. Klient zbiera informacje potrzebne do wybrania kontrolera domeny. Mogą one zawierać:

1. nazwę domeny DNS domeny Active Directory klienta;

2. globalnie unikatowy identyfikator (GUID) domeny, wobec której przeprowadzana

jest kwerenda. Zazwyczaj jest on znany tylko wtedy, jeżeli domena, wobec której
przeprowadzana jest kwerenda, jest podstawową domeną klienta. Jeżeli GUID
domeny nie jest znany, to pozostaje pusty;

3. nazwa witryny. Jest ona uzyskiwana z poprzedniej kwerendy lub informacji

dotyczących ręcznej konfiguracji witryny. Jeżeli żadne z powyższych źródeł nie jest
dostępne, to nazwa witryny pozostaje pusta.

2. Usługa

NetLogon

wywołuje serwer DNS przy użyciu lokalizatora zgodnego z IP/DNS.

3. DNS

wywołuje usługę

DnsQuery

, określając kryteria wyboru podane w kroku 1.

background image

4. Usługa albo dostarcza listę jednego lub większej liczby kontrolerów domen, które

spełniają kryteria, albo zwraca komunikat, iż kontroler domeny nie może zostać
zlokalizowany.

5. Lokalizator zgodny z IP/DNS przeprowadza ping kontrolerów domen w losowej

kolejności (aby zaimplementować wyrównywanie obciążenia) i czeka na odpowiedź
przez 100 milisekund. Pingowanie przeprowadzane jest dalej, do momentu, kiedy
zostanie otrzymana pozytywna odpowiedź lub zostaną wypróbowane wszystkie
kontrolery domen.

6. Kiedy kontroler domeny odpowie na ping, to parametry dostarczone w odpowiedzi

zostają porównane z parametrami potrzebnymi klientowi. Jeżeli informacje się nie
zgadzają, odpowiedź zostaje zignorowana.

7. Pierwszy kontroler domeny, który odpowie na ping i zaspokoi wymagania klienta, zostaje

przez niego zastosowany.

8. Jeżeli komputer, na którym jest uruchomiona usługa NetLogon, nie jest skonfigurowana,

aby korzystać z lokalizatora zgodnego z IP/DNS lub jeżeli IP/DNS nie zdoła odkryć
kontrolera domeny, usługa NetLogon przeprowadza odnajdywanie kontrolera domeny
przy użyciu lokalizatora domeny zgodnego z systemem Windows NT4 — to jest przy
użyciu emisji lub usługi WINS.

9. Informacje

dotyczące kontrolera domeny zostają zwrócone do klienta.

10. Usługa NetLogon buforuje odnaleziony kontroler domeny, aby wspomóc analizowanie

przyszłych żądań.

Współdziałanie

DNS systemu Windows 2000 w pełni współpracuje ze wszystkimi innymi serwerami DNS
zgodnymi z RFC. Jednakże w środowisku mieszanym z serwerami innych firm niż Microsoft
niektóre z funkcji dodatkowych oferowanych przez DNS systemu Windows 2000 mogą
wywoływać pewne problemy związane ze współdziałaniem. Szczególnie rekordy WINS i WINS-
R nie są obsługiwane przez implementacje DNS innych firm niż Microsoft; może również nie być
rozpoznawany zestaw znaków UTF-8.

Rekordy WINS i WINS-R

Obecnie tylko serwery DNS firmy Microsoft obsługują rekordy zasobu WINS i WINS-R.
Microsoft zaleca wyłączenie replikacji tych rekordów, jeżeli przynajmniej jedna ze stref
pomocniczych rezyduje na serwerze nazw innej firmy niż Microsoft. Implikuje to, że rekordy
zasobu nie będą replikowane do stref pomocniczych rezydujących na pomocniczych serwerach
nazw DNS firmy Microsoft i że wymagane jest wprowadzanie ręczne.

Format znaków UTF-8

Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub
wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy.
Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8,
lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z

background image

pliku strefy. Dlatego też może się okazać konieczne wyłączenie UTF-8, jeżeli wtórne serwery
nazw DNS go nie obsługują.

Dane niezgodne z dokumentami RFC

Jeżeli serwer nazw DNS systemu Windows 2000 obsługuje strefę wtórną i otrzymuje rekordy
zasobu niezgodne z RFC, to pomija te rekordy i kontynuuje replikację strefy. Opuszcza również
cykliczne rekordy CNAME (X to alias dla Y, a Y to alias dla X) jeżeli je otrzyma.

Rozwiązania natychmiastowe

Instalowanie i konfigurowanie systemu DNS

System DNS można instalować na serwerze członkowskim domeny. Jeżeli jednak chcemy
skorzystać z integracji usług Active Directory, to należy go zainstalować na kontrolerze domeny.
Po zainstalowaniu, można konfigurować serwer według własnych potrzeb. Poniższe procedury
zakładają, że wszystkie serwery, na których instalujesz i konfigurujesz DNS, mają statyczne
konfiguracje IP. Jest to praktyka zalecana.

Instalowanie DNS

Aby zainstalować DNS, wykonaj następujące czynności:

1. Zaloguj

się na serwerze jako administrator.

2. Wejdź do

Start|Ustawienia

i wybierz

Panel sterowania

.

3. Dwukrotnie

kliknij

Dodaj/Usuń programy

.

4. Kliknij

Dodaj/Usuń składniki systemu Windows

, aby uruchomić

Kreatora składników

systemu

Windows.

5. Wybierz

Usługi sieciowe

i kliknij

Szczegóły

.

6. Zaznacz

System DNS (Domain Name System)

i kliknij

OK

.

7. Kliknij

Dalej

.

8. Jeśli zostaniesz o to poproszony, włóż CD-ROM Windows 2000 lub wpisz ścieżkę do

plików dystrybucyjnych systemu Windows 2000, a następnie kliknij przycisk

Kontynuuj

.

9. Kliknij

Zakończ

i zamknij okno

Dodaj/Usuń programy

.

Wskazówka: Microsoft zaleca przeładowanie serwera po zainstalowaniu systemu DNS. System
działa wprawdzie bez przeładowania, jednak przeładowanie jest na tym etapie wskazane.

Konfigurowanie świeżo zainstalowanego serwera nazw DNS

Po zainstalowaniu systemu DNS należy skonfigurować serwer nazw DNS. Służąca do tego celu
procedura przedstawia się następująco:

background image

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Kliknij serwer prawym przyciskiem myszy i wybierz

Konfiguruj serwer

.

4. Kiedy pojawi się

Kreator konfiguracji serwerów DNS

, kliknij

Dalej

.

5. Zaczekaj,

aż serwer zbierze informacje konfiguracyjne. Może to chwilę potrwać.

6. Określ czy jest to pierwszy serwer DNS w sieci, czy nie. Jeżeli w sieci działa już jeden

lub większa liczba serwerów DNS, to musisz podać adres IP jednego z nich. Kliknij

Dalej

.

7. Wybierz

Tak, utwórz strefę wyszukiwania do przodu

(chyba że masz ważny powód, aby

postąpić inaczej). Kliknij

Dalej

.

8. Wybierz czy twój serwer nazw DNS ma być zintegrowany z usługą Active Directory

(tylko kontrolery domeny), czy ma być podstawowym serwerem standardowym, czy też
pomocniczym serwerem standardowym. O ile to możliwe, zaleca się zainstalowanie
systemu DNS na kontrolerze domeny i zintegrowanie go z usługą Active Directory.
Kliknij

Dalej

.

Wskazówka: Strefa zintegrowana z usługą Active Directory to to samo, co strefa zintegrowana z
DS. To nazewnictwo jest tutaj stosowane dlatego, że jest ono wykorzystywane w oknach
dialogowych.

9. Wpisz

nazwę strefy. Kliknij

Dalej

.

10. Jeżeli określisz standardowy pomocniczy serwer nazw, to zostaniesz poproszony o adres

IP serwera dostarczającego informacje dotyczące strefy. Użyj przycisku

Dodaj

, aby

dodać jeden lub więcej serwerów w preferowanej kolejności. Kliknij

Dalej

.

11. Wybierz czy utworzyć strefę wyszukiwania wstecznego, czy nie. Powszechną praktyką

jest utworzenie takiej strefy. Kliknij

Dalej

.

12. Wybierz typ strefy, którą chcesz utworzyć. Jeżeli to możliwe, to zaleca się

przechowywanie strefy w usłudze Active Directory.

13. Jeżeli zdecydujesz się utworzyć strefę wyszukiwania w tył, to zostaniesz poproszony o

nazwę strefy lub identyfikator sieci (ID). Wpisz odnośne informacje i kliknij

Dalej

.

14. Jeżeli konfigurujesz pomocniczy serwer standardowy, to zostaniesz poproszony o

określenie serwera (serwerów) DNS, z których chcesz skopiować informacje dotyczące
strefy wyszukiwania wstecznego. Ten krok jest podobny do kroku 10. Kiedy skończysz,
kliknij

Dalej

.

15. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij

Zakończ

.

16. Zamknij konsolę.

background image

Dodawanie pomocniczego serwera DNS do istniejącej strefy

Jeżeli instalujesz system DNS na serwerze (zazwyczaj nie będącym kontrolerem domeny), który
już ma w swojej sieci inny serwer nazw DNS, to możesz skonfigurować nowo zainstalowany
serwer jako pomocniczy serwer nazw DNS przy użyciu poprzedniej procedury.

Czasami jednak może się zdarzyć, że masz już w sieci skonfigurowane dwa serwery nazw DNS,
oba prawdopodobnie będące serwerami podstawowymi dla oddzielnych stref i chcesz uczynić
jeden z nich serwerem pomocniczym dla strefy podstawowej drugiego. Ta procedura dodaje strefę
do serwera nazw DNS jako strefę pomocniczą.

Poniższą procedurę przeprowadza się zazwyczaj z tego komputera, który ma pełnić funkcję
pomocniczego serwera nazw DNS. Jeżeli wolisz, to możesz przeprowadzić tę procedurę z
podstawowego serwera nazw DNS. Aby to zrobić, wejdź do przystawki systemu DNS, prawym
przyciskiem myszy kliknij ikonę DNS u podstawy drzewa konsoli i wybierz

Dodaj komputer

, aby

dodać nowy serwer DNS do konsoli. Pozwoli ci to administrować obydwoma serwerami nazw
DNS z tej samej konsoli. (Możesz również dodać podstawowy serwer nazw DNS do konsoli DNS
na pomocniczym serwerze DNS przy użyciu tej samej techniki).

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Kliknij prawym przyciskiem myszy odpowiedni serwer i wybierz

Nowa strefa

.

4. Uruchomi

się

Kreator nowej strefy

. Kliknij

Dalej

.

5. Wybierz

Pomocnicza standardowa

. Kliknij

Dalej

.

6. Wybierz albo strefę wyszukiwania do przodu, albo strefę wyszukiwania wstecz, w

zależności od tego typu strefy pomocniczej, którą chcesz utworzyć. Jeżeli chcesz
utworzyć pomocniczą dla obu typów stref, to musisz przeprowadzić procedurę
dwukrotnie. Kliknij

Dalej

.

7. Wpisz

nazwę strefy lub użyj przycisku

Przeglądaj

. Kliknij

Dalej

.

8. Określ serwer DNS, z którego chcesz kopiować informacje dotyczące strefy. Zazwyczaj

jest to podstawowy serwer nazw DNS, ale niekoniecznie. Możesz, jeżeli chcesz, określić
już istniejący pomocniczy serwer nazw DNS jako swój serwer nadrzędny. Kliknij

Dodaj

.

9. Opcjonalnie

możesz powtórzyć krok 8, aby określić kilka serwerów nazw DNS w

preferowanej kolejności. Kiedy zakończysz, kliknij

Dalej

.

10. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij

Zakończ

.

11. Zamknij konsolę.

Dodawanie nowej strefy

Ostatnia procedura wykorzystywała

Kreatora nowej strefy

, aby dodać strefę, która już istnieje na

jednym serwerze nazw DNS, do drugiego serwera nazw DNS, który wtedy pełni rolę
pomocniczego. Można również wykorzystać tę samą procedurę, aby dodać nową strefę do serwera
nazw DNS. W tym przypadku strefa może być zintegrowana z usługą Active Directory (na
kontrolerze domeny) lub podstawowa standardowa; może też być strefą wyszukiwania w przód,

background image

albo strefą wyszukiwania wstecznego. Wszystko, co jest potrzebne oprócz tych informacji, to
nazwa dla strefy.

Instalowanie tylko buforującego serwera DNS

Tylko buforujące serwery nazw DNS nie pełnią funkcji hostów żadnych stref. Budują one lokalny
bufor nazw poznanych w czasie przeprowadzania kwerend rekursywnych w imieniu swoich
klientów. Informacje te są potem dostępne w buforze w czasie odpowiadania na późniejsze
kwerendy klienckie.

Procedura instalowania serwera tylko buforującego jest bardzo prosta:

1. Zainstaluj system DNS w sposób opisany w procedurze

Instalowanie DNS

.

2. Nie rób nic więcej. Serwer nazw DNS, który nie jest skonfigurowany, domyślnie pełni

rolę serwera tylko buforującego.

Konfigurowanie serwera DNS, aby korzystał z usług przesyłania dalej

Usługi przesyłania dalej to serwery DNS, które dostarczają usług rekursywnych dla innych
serwerów DNS. Kiedy usługi przesyłania dalej są określone, to podejmują one próbę
przeanalizowania wszelkich nazw DNS, na które nie może odpowiedzieć żądający serwer.

Aby skonfigurować serwer DNS, żeby korzystał z usług przesyłania dalej, wykonaj następujące
czynności:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Wybierz odpowiedni serwer (nie serwer główny), kliknij go prawym przyciskiem myszy i

wybierz

Właściwości

.

4. Na

zakładce

Usługi przesyłania dalej

zaznacz pole wyboru

Włącz usługi przesyłania

dalej

. Jeżeli jest to potrzebne, możesz określić kilka usług przesyłania dalej w kolejności

pierwszeństwa.

5. Albo zaznacz pole wyboru

Nie używaj rekursji

, albo określ

Limit czasu przesyłania dalej

w sekundach. W tym pierwszym wypadku serwer nie będzie podejmował prób kwerend
iteracyjnych. W drugim przypadku podejmie próbę iteracyjnej analizy nazwy, jeżeli
przekroczy ona limit czasu bez odpowiedzi ze strony jej usługi przesyłania dalej.

6. Kliknij

OK

. Zamknij konsolę.

Delegowanie administracji DNS

Można delegować administrację DNS poprzez dodawanie użytkowników lub grup do grupy
zabezpieczeń DnsAdmins. Członkowie tej grupy mają prawo wykonywać zadania administracji
DNS i nie mają żadnych innych praw na poziomie administracyjnym w domenie. Tym niemniej
członkostwo w tej grupie powinno być surowo ograniczone i starannie dobierane.

Użytkowników dodaje się do tych grup przeważnie na kontrolerze domeny będącym również
serwerem nazw DNS, a służąca do tego procedura jest opisana poniżej. Użytkowników można

background image

również dodawać do tych grup na serwerze członkowskim; w tym przypadku korzysta się z
narzędzia

Zarządzanie komputerem

, a nie z narzędzia

Komputery i użytkownicy usługi Active

Directory

. Aby dodać konto do grupy DnsAdmins, wykonaj co następuje:

1. Zaloguj

się na serwerze DNS (kontrolerze domeny) jako administrator.

2. Wejdź do

Start|Programy|Narzędzia administracyjne

i wybierz

Komputery i użytkownicy

usługi Active Directory

.

3. Rozwiń ikonę serwera i kliknij

Użytkownicy

.

4. Wybierz i kliknij prawym przyciskiem myszy grupę DnsAdmins, a następnie wybierz

Właściwości

.

5. Pojawi

się okno

Właściwości grupy

. Na zakładce

Członkowie

kliknij

Dodaj

.

6. Z listy rozwijanej

Szukaj w

wybierz komputer lub domenę, która zawiera konta

użytkowników lub grup, które chcesz dodać (lub wybierz cały katalog).

7. Kliknij

użytkowników i/lub usługi, które mają zostać dodane. Możesz również wybrać

konto komputera. Jest jednak mało prawdopodobne, abyś chciał dodać konto komputera
(a nawet konto grupy) do DnsAdmins. Kliknij

Dodaj

.

8. Kliknij

OK

.

9. Kliknij

OK

, aby zamknąć okno

Właściwości grupy

. Zamknij konsolę.

Dodawanie kont do grupy DnsUpdateProxy

Członkowie grupy

DnsUpdateProxy

mogą wykonywać aktualizacje dynamiczne w imieniu innych

klientów, ale nie posiadają rekordów zasobu, które tworzą. Funkcją tej grupy jest umożliwienie
serwerowi DHCP tworzenia rekordów zasobu, jednocześnie zapobiegając przedawnianiu tych
zasobów, jeżeli ów serwer DHCP „padnie” oraz (dodatkowo) umożliwienie klientom, które
zostały uaktualnione do systemu Windows 2000, przejęcia własności nad swoimi własnymi
rekordami A i PTR. W środowisku mieszanym konta komputerowe serwera DHCP są dodawane
do tej grupy. W tej sytuacji nie instaluj serwerów DHCP na kontrolerach domeny.

Tę procedurę trzeba przeprowadzać na kontrolerze domeny. Jest ona taka sama, jak poprzednia
procedura, mająca na celu dodawanie użytkowników do grupy DnsAdmins, z tym że wybiera się
grupę DnsUpdateProxy i dodaje się konta komputerowe serwerów DHCP.

Konfigurowanie i zarządzanie strefami

Po zainstalowaniu systemu DNS, skonfigurowaniu swoich serwerów nazw DNS i utworzeniu
potrzebnych stref twoim następnym zadaniem jest skonfigurowanie i zarządzanie tymi strefami.
Niniejszy zestaw procedur opisuje, jak modyfikować właściwości strefy (łącznie z włączaniem
aktualizacji dynamicznych), tworzyć strefę delegowaną i inicjować transfery stref z pomocniczego
serwera nazw DNS.

background image

Modyfikowanie właściwości strefy

Poniższa procedura opisuje, jak można wykorzystać okno dialogowe

Właściwości dla strefy

, aby

wykonać co następuje:

• zmienić nazwę strefy;
• zmienić typ strefy;
• umożliwić aktualizacje dynamiczne;
• umożliwić tylko aktualizacje dynamiczne;
• określić inne serwery DNS jako autorytatywne;
• ustawić parametry przedawnienia i oczyszczania;
• regulować interwały odświeżania, ponowienia i przeterminowania, oraz inne parametry

SOA;

• umożliwić DNS korzystanie z analizy WINS;
• zmodyfikować zabezpieczenia dla strefy zintegrowanej z Active Directory.

Aby zmodyfikować właściwości strefy, wykonaj co następuje:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń albo

Strefy wyszukiwania do przodu

, albo

Strefy wyszukiwania wstecznego

i

kliknij strefę, którą chcesz skonfigurować.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz

Właściwości

. Rysunek 12.7

przedstawia okno dialogowe właściwości strefy dla standardowej strefy podstawowej.

6. Na

pasku

Ogólne

kliknij

Wstrzymaj

. Jest dobrym zwyczajem zatrzymywać strefę na czas

dokonywania zmian.

7. Jeśli jest taka potrzeba, zmień nazwę strefy. Ta opcja nie jest dostępna, jeżeli jest to strefa

zintegrowana usługi Active Directory.

8. Kliknij

Zmień

. Jeśli jest to potrzebne, zmień typ strefy w oknie dialogowym

Zmienianie

typu strefy

. Typ strefy zintegrowanej usługi Active Directory jest dostępny tylko na

kontrolerze domeny. Kliknij

OK

.

9. W oknie dialogowym

Czy zezwolić na aktualizacje dynamiczne

określ czy chcesz, aby

strefa była aktualizowana dynamicznie, czy nie. Jeżeli strefa jest standardową strefą
pomocniczą, to ta funkcja nie jest dostępna w oknie dialogowym. Jeżeli jest to strefa
zintegrowana usługi Active Directory, możesz również wybrać opcję zezwolenia tylko na
aktualizacje dynamiczne.

10. Jeżeli jest to standardowa strefa pomocnicza, to możesz dodawać lub usuwać serwery

autorytatywne, od których strefa otrzymuje informacje dotyczące aktualizacji. Kliknięcie
przycisku

Znajdź nazwy

uruchamia szukanie nazw serwerów nadrzędnych na liście

adresów i dodaje wyniki wyszukiwania do wyświetlanej listy.

background image

11. Jeżeli nie jest to standardowa strefa pomocnicza, kliknij

Przedawnienie

. Jeżeli zachodzi

taka potrzeba, zaznacz pole wyboru

Oczyść stare rekordy zasobów

. Okno dialogowe

podaje opisy interwału braku odświeżania oraz interwału odświeżania — więcej
szczegółów dostępnych jest w podrozdziale

Dogłębnie

. Przeczytaj opisy i ustaw

odpowiednio interwały. Kliknij

OK

.

12. Wybierz zakładkę

Adres startowy uwierzytelniania (SOA)

, jak na rysunku 12.8. W

standardowej strefie pomocniczej ta zakładka jest obecna, ale parametry mają szary kolor.

13. Jeśli zachodzi taka potrzeba, wyreguluj interwały odświeżania, ponawiania prób i

wygaśnięcia. Możesz również zmienić minimalny czas TTL, TTL dla rekordu SOA,
serwer podstawowy i numer seryjny. Jeżeli uruchomisz przeglądanie pod kątem osoby
odpowiedzialnej, to wyszukiwanie zwróci wszystkie rekordy RP w strefie.

14. Wybierz zakładkę

Serwery nazw

. Pozwala ona określać dodatkowe serwery nazw, które

będą ładować strefę.

15. Wybierz zakładkę

Transfery stref

. Możesz wybrać, czy zezwalać na transfery stref i do

jakich serwerów mogą one być wysyłane. Kliknięcie

Powiadom

pozwala określić serwery

pomocnicze, które mają być powiadamiane, kiedy informacje o strefie zostaną
zaktualizowane.

16. Wybierz zakładkę

WINS

. Pozwala ona na określanie, czy ma być włączone wyszukiwanie

do przodu WINS. Tej funkcji używa się w domenie mieszanej, gdzie do analizy nazw
hostów lokalnych oraz identyfikacji kontrolerów domen potrzebna jest usługa NetBIOS.
Możesz również określić czy replikować rekord WINS, czy, w przypadku standardowej
strefy pomocniczej, używać lokalnego rekordu zasobu WINS. Kliknięcie przycisku

Zaawansowane

pozwala wyregulować limit czasu pamięci podręcznej oraz limit czasu

wyszukiwania WINS. Możesz również skorzystać z zakładki

WINS

, aby określić serwery

WINS.

17. Zakładka

Zabezpieczenia

jest dostępna tylko w przypadku stref zintegrowanych usługi

Active Directory. Wybierając tę zakładkę, zyskuje się dostęp do edytora listy kontroli
dostępu (ACL) usługi Active Directory. Aby uzyskać informacje dotyczące ustawiania
zabezpieczeń usługi Active Directory, odwołaj się do dokumentacji systemu Windows
2000 Server.

18. Po dokonaniu wszystkich potrzebnych zmian kliknij

Uruchom

na zakładce

Ogólne

, aby

ponownie uruchomić strefę. Kliknij

OK

, aby zamknąć okno dialogowe właściwości

strefy.

19. Zamknij konsolę.

Rysunek 12.7. Okno dialogowe właściwości strefy dla standardowej strefy podstawowej

Rysunek 12.8. Zakładka

Adres startowy uwierzytelniania (SOA)

background image

Tworzenie strefy delegowanej

Niniejsza procedura deleguje odpowiedzialność za część przestrzeni nazw

coriolis.com

do domeny

podrzędnej

authors.coriolis.com

. Ten przykład został użyty ze względu na przejrzystość. Podstaw

sobie swoje własne nazwy domeny i domeny podrzędnej w tej procedurze.

Aby utworzyć strefę delegowaną, wykonaj następujące czynności:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń albo

Strefy wyszukiwania do przodu

, albo

Strefy wyszukiwania wstecznego

i

kliknij tę strefę, na której chcesz utworzyć nową delegację. W tym przykładzie będzie to

coriolis.com

.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz

Nowe pełnomocnictwo

.

6. Uruchomi

się

Kreator nowych pełnomocnictw

. Kliknij

Dalej

.

7. Wpisz

nazwę delegowanej domeny. W tym przykładzie będzie to

authors

. Kliknij

Dalej

.

8. Kliknij

Dodaj

, a następnie określ nazwę i adres IP serwera nazw DNS, który ma pełnić

funkcję hosta delegowanej strefy. Kliknij

OK

.

9. Powtarzaj krok 8 dla każdego serwera, który chcesz dodać. Po zakończeniu kliknij

Dalej

.

10. Kliknij

Zakończ

. Kliknij nową strefę delegowaną i sprawdź, czy zawiera ona co najmniej

jeden rekord serwera nazw.

11. Zamknij konsolę.

Ręczne inicjowanie transferu strefy

Normalnie strefa pomocnicza jest automatycznie aktualizowana z częstotliwością aktualizacji
określoną przez interwał odświeżania oraz przez to, jak często dokonywane są zmiany jej strefy
podstawowej. Czasami jednak zachodzi potrzeba inicjacji ręcznego odświeżenia — na przykład po
wniesieniu do podstawowej istotnej poprawki, która ma być natychmiastowo replikowana do
pomocniczej. Tę procedurę zazwyczaj implementuje się na pomocniczym serwerze nazw DNS, ale
jeżeli dodałeś ten serwer do konsoli DNS na podstawowym, to możesz ją przeprowadzać na obu
komputerach.

Aby zainicjować ręczny transfer strefy, wykonaj co następuje:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń albo

Strefy wyszukiwania do przodu

, albo

Strefy wyszukiwania wstecznego

i

kliknij strefę docelową.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz

Transferuj z wzorca

.

background image

6. W oknie szczegółów konsoli sprawdź, czy informacje dotyczące strefy zostały

uaktualnione.

7. Zamknij

konsolę.

Dodawanie domeny do strefy

Strefa DNS może obejmować kilka domen. Domenę można dodać tylko do strefy podstawowej,
ponieważ podstawowa jest dla tej strefy autorytatywna. Aby dodać domenę do strefy
pełnomocnictwa, wykonaj co następuje:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń albo

Strefy wyszukiwania do przodu

, albo

Strefy wyszukiwania wstecznego

i

kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz

Nowa domena

.

6. Wpisz

nazwę domeny. Powinna to być nazwa domeny lokalnej i nie może ona zawierać

kropki.

7. Kliknij

OK

.

8. Zamknij

konsolę.

Dodawanie rekordów do strefy

Podobnie jak integracja WINS w NT4 i domenach mieszanych, aktualizacje dynamiczne w DNS
systemu Windows 2000 radykalnie zmniejszają liczbę rekordów, które trzeba ręcznie dodać do
bazy danych DNS. Niemniej jednak są sytuacje, w których może być konieczna ręczna
aktualizacja — na przykład klient nie może się zarejestrować w DDNS czy WINS. Możesz
również zechcieć dodać typ rekordu zasobu, taki jak RP czy ISDN, który nie jest wprowadzany
dynamicznie.

Dodawanie rekordów hosta

Możesz dodać rekord hosta (A) do podstawowej strefy wyszukiwania w przód. Aby tego dokonać,
należy przeprowadzić następujące działania:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń

Strefy wyszukiwania do przodu

i kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz pozycję

Nowy host

.

background image

6. Wpisz

nazwę hosta. Powinna to być nazwa hosta lokalnego i nie może ona zawierać

kropki. Wpisz odnośny adres IP. Jeżeli chcesz utworzyć odnośny rekord PTR w strefie
wyszukiwania wstecznego, zaznacz pole wyboru. Kliknij

Dodaj

. Kliknij

OK

.

7. Powtarzaj kroki 5 i 6 dla każdego hosta, którego chcesz dodać. Kiedy skończysz, kliknij

Gotowe

.

8. Sprawdź, czy rekordy w oknie szczegółów są prawidłowe.

9. Rozwiń

Strefy wyszukiwania wstecznego

i kliknij odnośną strefę wyszukiwania

wstecznego, aby ją wybrać.

10. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz

Odśwież

.

11. Sprawdź, czy zostały utworzone rekordy PTR dla odnośnych rekordów A (przy

założeniu, że ta opcja była włączona, kiedy były tworzone rekordy A).

12. Zamknij konsolę.

Dodawanie rekordu zasobu alias

Można dodać rekord

Alias

(lub CNAME) albo w strefie wyszukiwania do przodu, albo wstecz,

chociaż tego typu rekord dodaje się zazwyczaj do strefy wyszukiwania do przodu. Aby dodać
alias, wykonaj następujące czynności:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń albo

Strefy wyszukiwania do przodu

, albo

Strefy wyszukiwania wstecznego

i

kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i kliknij opcję

Nowy alias

.

6. Wpisz

nazwę aliasu. Nie może ona zawierać kropki.

7. Wpisz w pełni kwalifikowaną nazwę dla hosta docelowego (FQDN) lub użyj przycisku

Przeglądaj

.

8. Kliknij

OK

.

9. Sprawdź okno szczegółów, aby się upewnić, że alias został dodany.

10. Zamknij konsolę.

Dodawanie rekordu zasobu usługi wymiany poczty

Rekordy zasobu usługi wymiany poczty (MX) można dodawać do podstawowej strefy
przeglądania do przodu. W strefie musi już istnieć rekord A dla hosta usługi wymiany poczty.
Tam, gdzie w obrębie strefy jest wiele usług wymiany poczty, stosowana jest dwucyfrowa wartość
priorytetu w celu określenia kolejności priorytetów.

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

background image

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń

Strefy wyszukiwania do przodu

i kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz pozycję

Nowa usługa

wymiany poczty

.

6. Wpisz

nazwę hosta lub domeny. Nie może ona zawierać kropki.

7. Wpisz w pełni kwalifikowaną nazwę (FQDN) serwera pocztowego lub użyj przycisku

Przeglądaj

.

8. Wpisz

wartość priorytetu.

9. Kliknij

OK

.

10. Sprawdź okno szczegółów, aby się upewnić, że rekord MX został dodany.

11. Zamknij konsolę.

Dodawanie rekordu zasobu wskaźnika

Rekord zasobu wskaźnika (PTR) może być dodawany do podstawowej strefy wyszukiwania
wstecznego. Zazwyczaj odbywa się to automatycznie, kiedy tworzone są rekordy A. Możesz
jednak dodać rekord PTR ręcznie. Rekord A musi się już znajdować w odnośnej strefie
wyszukiwania do przodu. Możesz automatycznie tworzyć rekordy PTR, kiedy tworzysz rekordy
A, ale w odwrotnym kierunku nie jest to możliwe.

Aby utworzyć rekord zasobu PTR, podejmij następujące kroki:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń

Strefy wyszukiwania wstecznego

i kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz pozycję

Nowy wskaźnik

.

6. Określ adres IP i albo wpisz FQDN, albo kliknij

Przeglądaj,

aby znaleźć FQDN

odnośnego hosta. Kliknij

OK

.

7. Sprawdź, czy nowy rekord PTR w oknie szczegółów jest poprawny.

8. Zamknij

konsolę.

Dodawanie dodatkowych rekordów zasobu

Można dodawać dodatkowe rekordy zasobu za pomocą pozycji menu

Inne nowe rekordy

. Ta

pozycja menu jest dostępna zarówno w strefach wyszukiwania do przodu, jak i w strefach
wyszukiwania wstecznego, ale te rekordy zazwyczaj dodaje się do strefy wyszukiwania do przodu.
Niewielki sens miałoby, na przykład, tworzenie rekordu AAAA w strefie wyszukiwania
wstecznego. Rekordy można tworzyć tylko w strefach podstawowych.

Aby tworzyć rekordy zasobu, wykonaj co następuje:

1. Zaloguj

się na serwerze nazw DNS jako administrator.

background image

2. Wejdź do

Start|Narzędzia administracyjne

i wybierz

DNS

.

3. Rozwiń ikonę odpowiedniego serwera.

4. Rozwiń

Strefy wyszukiwania do przodu

i kliknij odpowiednią strefę.

5. Kliknij

wybraną strefę prawym przyciskiem myszy i wybierz pozycję

Inne nowe rekordy

.

Pojawi się okno wyboru

Typ rekordu zasobu

.

Wskazówka: Wchodzenie do okna dialogowego

Typ rekordu

zasobu jest dobrą metodą

przeglądania wszystkich typów rekordów i uzyskiwania opisu dla każdego z nich.

6. Wybierz typ rekordu zasobu i kliknij

Utwórz rekord

. Podaj żądane informacje, a

następnie kliknij

OK

.

7. Po wprowadzeniu wszystkich potrzebnych rekordów kliknij

Gotowe

.

8. Sprawdź, czy rekordy pojawiają się w oknie szczegółów. Zamknij konsolę.

Administrowanie klientem z konsoli polecenia

Aby przeglądać i kasować bufor analizatora klienta i odnawiać rejestrację klienta systemu DNS,
można wpisywać polecenia w wierszu polecenia. Zazwyczaj (ale niekoniecznie) wypełnia te
zadania administrator. Procedury te zakładają, że na kliencie zainstalowany jest system Windows
2000 i że uruchomiona jest usługa klient DNS.

Wskazówka: Do administracji DNS wykorzystuje się również polecenie

nslookup

. Jest ono

jednak używane głównie do usuwania usterek i dlatego jest omówione w rozdziale 17.

Aby administrować klientem za pomocą konsoli polecenia, wykonaj następujące czynności:

1. Zaloguj

się na kliencie jako administrator.

2. Wejdź do

Start|Programy|Akcesoria

i wybierz

Wiersz polecenia

.

3. Aby

wyświetlić bufor analizatora klienta, wprowadź

ipconfig /displaydns|more

.

Do przewijania ekranu używaj klawisza spacji.

4. Aby

opróżnić bufor analizatora klienta, wprowadź

ipconfig /flushdns

. Usuwa to

wszystkie pozycje dodane dynamiczne, łącznie z pozycjami negatywnymi bufora. Nie
usuwa to pozycji wstępnie załadowanych z pliku hostów lokalnych.

5. Aby

odnowić rejestrację DNS na kliencie, wprowadź

ipconfig /registerdns

.

Inicjuje to ręcznie rejestrację dynamiczną, odświeża wszystkie dzierżawy adresów
protokołu DHCP i rejestruje wszystkie odnośne nazwy DNS skonfigurowane i
wykorzystywane przez klienta. Opcja ta zakłada, że na komputerze uruchomiona jest
usługa klienta DHCP. Usługa ta działa domyślnie na wszystkich klientach systemu
Windows 2000 niezależnie od tego czy są one skonfigurowane do dynamicznej
konfiguracji adresów IP, czy nie.

Wskazówka: Opcji polecenia

ipconfig /registerdns

można używać osobno dla każdej

karty. Aby dowiedzieć się, jakie karty są dostępne na kliencie do użycia z tą opcją, wpisz

ipconfig

bez żadnych parametrów.


Wyszukiwarka

Podobne podstrony:
Protokół TCP IP, R03 5
Protokol TCP IP R08 5 id 834124 Nieznany
Protokół TCP IP, R11 5
Bezpieczeństwo protokołów TCP IP oraz IPSec
Protokół TCP IP, R13 5
Protokół TCP IP, R09 5
Protokół TCP IP nagłówki
SIECI KOMPUTEROWE Stos protokołów TCP IP
Bezpieczeństwo protokołów TCP IP oraz IPSec (2)
Protokół TCP IP Protokóły internet-u, edukacja i nauka, Informatyka
Wykład13 Sieć teleinformatyczna z protokołem TCP IP
Protokół TCP IP
protokół tcp ip P5XCBJNJZYVPWLAHE2LUZNY6WE75MVPFAUP3ENY
Protokół TCP IP
Konfiguracja protokolu TCP IP, Dokumenty(1)
Protokoły TCP IP, Edukacja

więcej podobnych podstron