Rozdział 5.
Zarządzanie usługami
DNS i DHCP

W poprzednim rozdziale przedstawione zostały mechanizmy odwzorowywania nazw komputerów w adresach IP, występujące w klasycznych systemach NT. Windows 2000 może używać wszystkich wymienionych metod (transmisji, LMHOSTS i WINS), lecz zdecydowanie preferowaną metodą jest DNS (Domain Name System — System nazw domen). Mówiąc dokładniej, Windows 2000 używa dynamicznego DNS, który został opisany w RFC 2136 „Dynamic DNS”. Za pomocą dynamicznej usługi DNS komputery mogą automatycznie rejestrować swoje rekordy zasobów bez ręcznej interwencji ze strony administratora DNS.

Dynamiczny DNS jest niesamowicie ważnym składnikiem Windows 2000. Bez solidnej struktury DNS nie ma możliwości korzystania z domen bazujących na Active Directory oraz z systemu Kerberos, usługi identyfikacji użytkowników w Windows 2000. Obie usługi są bezpośrednio zależne od DNS, a ich zadaniem jest doprowadzanie klientów do kontrolerów domeny. Istnieje jeszcze kilka mniej lub bardziej poważnych funkcji, których działanie jest także uwarunkowane istnieniem DNS.

DNS w Windows 2000 posiada wiele innych udoskonaleń w stosunku do standardowego DNS w NT4. Nowe właściwości, takie jak np. dynamiczna rejestracja rekordu zasobów, stały się już poniekąd internetowym standardem DNS. Poniżej wymienione zostały najważniejsze udoskonalenia udostępnione w Windows 2000:

• Transfer stref z powiadomieniem. Standardowy DNS potrzebuje pomocniczych serwerów nazw do odpytywania głównego serwera o aktualizacje. DNS w Windows 2000 posiada właściwości powiadamiania, dzięki którym serwer główny może informować serwery pomocnicze o dokonanej aktualizacji. Serwery pomocnicze odpowiadają wówczas błyskawicznie, z dużą zbieżnością w czasie. Ta właściwość została wyjaśniona w RFC 1996 „A Mechanism for Prompt Notification of Zone Changes”.

• Przyrostowy transfer stref. W standardowym DNS replikacja serwera głównego do serwerów pomocniczych przesyłana jest w postaci całej tabeli strefowej. Windows 2000 umożliwia przyrostowy transfer stref, który dokonywany jest po zgłoszeniu odpowiedniego żądania. Dzięki temu mogą być przesyłane tylko zmiany odnotowane na serwerze. Zaletą takiej procedury jest redukcja replikacji, co umożliwia lokalizację pomocniczych serwerów DNS na końcu połączeń sieciowych, nawet w bardzo dużych, rozległych sieciach. Właściwość ta została przedstawiona w RFC 1995 „Incremental Zone Transfer In DNS”.

• Tabele stref zintegrowane z Active Directory. Rekordy zasobów DNS mogą być przechowywane w Active Directory, gdzie mogą być aktualizowane przez dowolny kontroler domeny posiadający DNS. Ta metoda eliminuje wąskie gardło pojedynczego serwera głównego w standardzie DNS.

• Aktualizacja zabezpieczeń DNS. Aktualizacje dynamicznego DNS mogą być limitowane tylko dla zaufanych klientów. Pomaga to zapobiec ładowaniu fałszywych rekordów zasobów do tablic stref. Fałszywe rekordy mogłyby spowodować, że dane użytkowników zostałyby wysłane do miejsc nie zabezpieczonych. Więcej szczegółów na ten temat znajdziesz w dalszej części rozdziału „Dynamiczne zabezpieczenie aktualizacji”.

Jeżeli chcesz uzyskać ogólne informacje na temat DNS, odwiedź witrynę internetową www.dns.net/dnsrd. Możesz także uzyskać odpowiedzi na konkretne pytania pod adresem www.acmebw.com/askmr.htm. Jeżeli posiadasz małą sieć komputerową, nie powinieneś martwić się o DNS, lecz korzystać z usługi udostępnionej przez Twojego usługodawcę internetowego. Zazwyczaj jednak tego typu usługi są również płatne, dlatego też polecam publiczną usługę DNS dostępną pod adresem soa.granitecanyon.com. Usługa nie umożliwia jednak dynamicznego rejestrowania rekordów zasobów, przez co jest całkowicie nieprzydatna jeśli chodzi o korzystanie z domen bazujących na Active Directory.

Domeny DNS i domeny Windows 2000 Przed dogłębną analizą zagadnienia domen DNS, bardzo ważne jest wyjaśnienie różnicy pomiędzy nimi a domenami używanymi przez Microsoft. Domena DNS definiuje wspólny obszar nazw. Granice obszaru są określane przez zawartość bazy danych DNS, która jest nazywana tablicą strefy. Domena Windows 2000 definiuje wspólną strukturę zabezpieczeń. Granice struktury są określane przez informacje zawarte w Active Directory w Windows 2000 i w gałęzi rejestru SAM w klasycznym systemie NT. Pomimo że domeny DNS i Windows 2000 pod względem technicznym są oddzielnymi obiektami, w Windows 2000 współużytkują ten sam obszar, gdyż Active Directory opiera się na DNS, który to definiuje jego obszar nazw.

Przegląd struktury domeny DNS

Domain Name System (System nazw domeny) definiuje strukturę nazwy w oparciu o tzw. domeny. Domena definiuje region w hierarchicznym obszarze nazw w podobny sposób, w jaki foldery definiują węzły w hierarchicznym systemie plików. Na rysunku 5.1. przedstawiony został typowy obszar nazw DNS.

Rysunek 5.1. Typowy obszar nazw DNS

Zamiast wstecznej ścieżki nazw (z góry do dołu) używanej w systemie plików, DNS używa postępującego systemu nazw (z dołu do góry). Pełna ścieżka dostępu do nazwy hosta w DNS zawiera łańcuch domen, który nosi nazwę FQDN (Fully Qualified Domain Name — Pełna złożona nazwa domeny). Nazwa hosta jest niepowtarzalna w całym obszarze DNS. Na podstawie rysunku 5.1 nazwa FQDN serwera znajdującego się na dole domeny mogłaby wyglądać następująco: alb-dns-01.branch1.region.company..

Z pewnością zauważyłeś dodatkową kropkę (.) na końcu nazwy FQDN. Kropka ta odgrywa taką samą rolę, jak początkowy slash (\) w ścieżce systemu plików — określa początek drzewa struktury i mówi skąd system ma rozpocząć analizę składniową. Dodanie kropki jest jedyną informacją, na podstawie której klient albo serwer DNS są w stanie zorientować się, że dana nazwa jest pełną nazwą FQDN. Kierując się prostotą zapisu, w tej książce będziemy pomijać kluczową kropkę, lecz powinieneś o niej pamiętać w momencie pojawienia się jakichkolwiek problemów z DNS.

Prywatny i publiczny obszar nazw DNS

Domena znajdująca się na górze obszaru nazw DNS jest domeną główną (root domain). Jej nazwa zależy od tego, czy obszar nazw DNS jest wewnętrznym obszarem jakiejś organizacji (jest prywatnym obszarem nazw), czy też rozciąga się na cały Internet jako obszar publiczny. Na rysunku 5.2. przedstawione zostały dwa typy obszarów.

Rysunek 5.2. Zestawienie prywatnego i publicznego obszaru nazw DNS

Główną domeną publicznego obszaru nazw DNS jest jedna z domen wyższego poziomu przypisana do danej organizacji. InterNIC udostępnia następujące domeny wyższego poziomu: com, gov, mil, org, net. Bazując na identyfikatorach państw (ISO 3166), InterNIC przydziela również domeny poza granicami Stanów Zjednoczonych.

Strefy (Zones)

Tak jak zostało wcześniej powiedziane, DNS definiuje obszar nazw, którego zawartość jest określana przez bazę danych noszącą nazwę tablicy stref. Terminy domena i strefa są często używane zamiennie, lecz istnieje różnica pomiędzy nimi. Z podobną różnicą mamy do czynienia pomiędzy nazwiskiem a drzewem rodowym. Gdy w rodzinie Stanisławskich urodzi się dziecko, pradziad Stanisławski otwiera olbrzymią księgę rodziny Stanisławskich i wpisuje dziecko w odpowiednie miejsce drzewa genealogicznego. Gdy mały Jaś zapyta pradziadka o jego wzajemną relację z nowo narodzonym dzieckiem, otrzyma odpowiedź: „To jest Twój trzeci kuzyn ze strony kuzyna Twojego taty”.

Tablica stref jest zazwyczaj tekstowym plikiem ASCII. Tablice strefowe Windows 2000 posiadają rozszerzenie .DNS i są umieszczane w katalogu \WINNT\System32\DNS. Tablica zawiera nazwy komputerów, użytkowników, usług i innych obiektów wymagających odwzorowania pomiędzy nazwą, a adresem IP. Przykładowo wszędzie obecna domena com definiuje obszar nazw zawierający obiekty komercyjne, które zostały zarejestrowane przez InterNIC i uzyskały niepowtarzalną domenę drugiego poziomu.

Strefa może zawierać więcej niż jedną domenę DNS w taki sam sposób, jak drzewo rodowe może zawierać więcej niż jedno nazwisko. Przykładowo, pojedyncza strefa może zawierać rekordy dla domeny company, domeny region.company oraz domeny branch1.region.company. Domeny te mogą zostać podzielone na różne strefy, każda ze swoją osobną tablicą stref.

Pojedynczy serwer DNS może przechowywać wiele tablic strefowych, podobnie jak księga rodowodowa może dokumentować drzewa rodzinne różnych rodzin. Przykładowo, jeden serwer może przechowywać tablicę stref dla domen company i branch1.re­gion.company, a drugi tablicę strefową dla region.company.

Serwery DNS, zawierające różne strefy w ciągłym obszarze nazw, mogą używać prostego mechanizmu odwoływania pomiędzy wpisami różnych tablic strefowych. Wyszukiwanie jest rozpoczynane na początku drzewa DNS. Początek drzewa jest znajdywany za pomocą specjalnej tabeli root hint.

Root hints

Tablica root hints jest plikiem tekstowym zawierającym nazwy i adresy IP serwerów nazw w głównym obszarze DNS. Windows 2000 przechowuje ją w pliku CACHE.DNS, umieszczonym w katalogu WINNT\System32\DNS.

W prywatnym obszarze nazw DNS, tablica określa nazwę albo nazwy wewnętrznych serwerów DNS, które przechowują tablicę strefową dla domeny głównej. Przykładowo, tabela root hints dla prywatnego obszaru nazw DNS z rysunku 5.2, mogłaby zawierać wykaz dla serwera nazw phx-dns-01.company.

W publicznym obszarze nazw DNS, tabela root hints zawiera nazwy i adresu IP serwerów głównych InterNIC. Istnieje możliwość dodania dodatkowych serwerów do listy, jeżeli Twoja domena została zarejestrowana z alternatywną usługą nazewniczą.

InterNIC utrzymuje 13 serwerów głównych, których zadaniem jest obsługa DNS w Internecie. Nazwy serwerów znajdują się pliku CACHE.DNS. Poniżej przedstawionych zostało kilka pierwszych wierszy pliku:

;

; This file holds the information on root name servers needed to

; initialize cache of Internet domain name servers

; (e.g. reference this file in the "cache . <file>"

; configuration file of BIND domain name servers).

;

; This file is made available by InterNIC registration services

; under anonymous FTP as

; file /domain/named.root

; on server FTP.RS.INTERNIC.NET

; -OR- under Gopher at RS.INTERNIC.NET

; under menu InterNIC Registration Services (NSI)

; submenu InterNIC Registration Archives

; file named.root

;

; last update: Aug 22, 1997

; related version of root zone: 1997082200

;

;

; formerly NS.INTERNIC.NET

;

. 3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4

++++++++++++obcięcie pliku++++++++++++

; End of File

Wybór serwera głównego Jeżeli tablica root hints zawiera wiele serwerów, lokalny serwer DNS musi zdecydować o wyborze serwera głównego. Wybór dokonywany jest poprzez wysyłanie zapytań do wszystkich serwerów i wybieraniu najszybszej odpowiedzi. Pierwsze zapytanie dotyczące hosta poza daną strefą jest wysyłane do pierwszego serwera głównego. Następne zapytanie przesyłane jest do następnego serwera itd., aż do wysłania zapytań do wszystkich serwerów znajdujących się w kolejce. Po wysłaniu zapytania, serwer DNS odmierza czas uzyskania odpowiedzi. Wszystkie czasy odpowiedzi są porównywane pomiędzy sobą. Na tej podstawie wybierany jest serwer, który zdołał przysłać najszybszą odpowiedź do serwera DNS. Jeżeli w przyszłości czas odpowiedzi ulegnie wydłużeniu, serwer DNS ponownie przeprowadzi wybór serwera głównego.

Rekordy zasobów

Tablica strefowa zawiera rekordy zasobów, które są niczym innym niż wierszami tablicy strefowej w danym pliku tekstowym. Jeden wiersz w pliku stanowi jeden rekord. W RFC 1183 „New DNS RR Definitions” przedstawionych zostało wiele typów re­kordów, lecz tylko kilka z nich jest powszechnie wykorzystywanych. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału „Format najczęściej używanych rekordów zasobów”.

Gdy klient DNS potrzebuje informacji z serwera nazw, wysyła zapytanie do swojego serwera DNS pytając o dany rekord zasobów. Na przykład, jeżeli klient DNS potrzebuje adresu IP odpowiadającego serwerowi alb-w2ks-01.branch1.region.company, wysyła żądanie do swojego serwera DNS pytając o konkretny rekord serwera. Serwer odeśle odpowiedź w zależności od tego, czy zapytanie jest wiarygodne dla danej strefy.

Odpowiedzi wiarygodne

Serwer DNS, który przechowuje kopię tabeli strefowej, jest określany jako serwer wiarygodny dla tej strefy. Zapytanie wysłane do serwerów zostaje zawsze zatrzymane w serwerze wiarygodnym dla strefy określonej w zapytaniu.

Pojawienie się zapytania dotyczącego danego rekordu w strefie serwera nazw powoduje rozpoczęcie wyszukiwania, które jest obsługiwane w następujący sposób:

• Jeżeli serwer znajdzie żądany rekord ze swojej tabeli strefowej, zwraca kopię zawartości rekordu.

• Jeżeli ostatnio serwer szukał tego samego rekordu, zwraca kopię rekordu, który został już umieszczony w pamięci serwera. Operacja ta jest o wiele szybsza niż przeszukiwanie pliku na dysku.

• Jeżeli serwer nie może znaleźć żądanego rekordu, zwraca odpowiedź Record Not Found (Nie znaleziono rekordu).

Odpowiedzi niewiarygodne

Jeżeli serwer DNS nie posiada kopii tabeli strefowej dla żądanej strefy, posiada trzy alternatywy odpowiedzi:

1. Zwraca kopię rekordu, który został umieszczony w pamięci serwera podczas ostatniego wyszukiwania. Odpowiedź taka jest nazywana odpowiedzią niewiarygodną.

2. Próbuje odpowiedzieć na zapytanie poprzez wysłanie pytania do innych serwerów nazw.

3. Zwraca odwołanie do innego serwera nazw, który może zawierać kopie poszukiwanego rekordu.

Dwie ostatnie metody bazują na znaczniku typu wyszukiwania dołączanego do zapytania klienta. Znacznik może posiadać dwa stany:

• Rekursywny (Recursive). Znacznik informuje serwer DNS, że musi zwrócić kopię rekordu zasobów, bez względu na to jakie będzie musiał podjąć kroki. Jeżeli konieczne będzie wysłanie zapytań do innych serwerów, niech skorzysta z tej możliwości. Działanie rekursywnych zapytań jest podobne do spartańskiej filozofii, według której wojownik powinien wrócić do domu z tarczą albo leżąc na niej.

• Iteracyjny (Iterative). Tego typu żądanie pozwala serwerowi DNS na zwrócenie jedynie odwołania do innego serwera, który może posiadać kopię danego rekordu. Zgodnie z tą procedurą klient podąża za odwołaniami otrzymywanymi przez kolejne serwery.

Klienci DNS, którzy zakładają, że serwer DNS posiada większe możliwości obsługi wyszukiwania rekordu, korzystają z rekursywnego znacznika. Ponieważ można wysyłać tysiące rekursywnych pytań do serwera DNS, konfiguracja serwera jest często tak ustawiona, że serwer odrzuca takie pytania Na przykład główne serwery InterNIC wysokiego poziomu nie odbierają zapytań rekursywnych. Nawet jeśli serwer udostępnia taką możliwość, do dobrych manier należy wcześniejsze zapytanie administratora serwera o możliwość skorzystania z tego typu usługi. W dalszej części rozdziału „Konfiguracja zaawansowanych parametrów serwera DNS” znajdziesz informacje dotyczące zablokowania wysyłania zapytań rekursywnych.

Serwery DNS używają powtarzających się zapytań, jeżeli szukają w imieniu klientów. Serwer lokalny posiada możliwość obsługi odwołań do innych serwerów, dlatego też mija się z celem niepotrzebne obciążanie serwerów DNS takim zadaniem. Serwery DNS Windows 2000 nie wywiązują się jednak z tego typu zapytań i nie posiadają odpowiednich do tego parametrów.

Podstawowy i pomocniczy serwer DNS

W standardowej konfiguracji DNS (bez korzystania z Active Directory) tylko jeden serwer może posiadać kopię tablicy strefowej do odczytu i zapisu. Serwer taki nosi nazwę Podstawowego serwera nazw. Wszystkie zmiany w strefie muszą opierać się na informacjach zawartych w podstawowym serwerze DNS. Z definicji, podstawowy serwer jest serwerem wiarygodnym dla danej strefy.

W celu zwiększenia wydajności i odporności na błędy, warto zainstalować jeden albo kilka Pomocniczych serwerów nazw. Serwer pomocniczy posiada jedynie kopię tablicy strefowej tylko do odczytu. Z racji posiadania tablicy strefowej jest on również serwerem wiarygodnym dla danej strefy, lecz wszystkie odnotowane zmiany w strefie musi przekazywać do serwera podstawowego.

Windows 2000 pozwala na pozbycie się wąskiego gardła systemu, umożliwiającego posiadanie tylko jednej kopii tablicy strefowej do odczytu i zapisu. Tablica strefowa może zostać zintegrowana z usługą Active Directory, umieszczając rekordy zasobów w obiek­tach Active Directory, które z kolei mogą być modyfikowane przez kontroler domeny Windows 2000. Kontroler musi być jednak skonfigurowany jako serwer DNS. Więcej szczegółów dotyczących tego zagadnienia znajdziesz w dalszej części rozdziału „Integracja stref DNS i Active Directory”.

Domena podstawowa i domena odwrotna

Standardowa tablica strefowa DNS jest określana mianem Domeny podstawowej (Forward Lookup Zone), gdyż wyszukuje nazwę rekordu do momentu jej znalezienia albo osiągnięcia końca pliku. Problem powstaje, gdy użytkownik zna adres IP hosta i chce go powiązać z nazwą. Przykład wstecznego wyszukiwania pojawia się w momencie, gdy używasz polecenia Ping z wywołaniem -a. Ping wyświetla wówczas nazwę hosta wraz z odpowiedzią echa ICMP. Odpowiedź wygląda następująco:

E:\>ping -a 10.1.1.254

Pinging router.company.com [10.1.1.254] with 32 bytes of data:

Reply from 10.1.1.254: bytes=32 time<10ms TTL=128

W tym przypadku DNS znajduje nazwę hosta poprzez wsteczne przeszukiwanie strefy. Cały proces wygląda bardzo prosto, lecz w rzeczywistości jest bardzo pracochłonny. Tablice domeny podstawowej są zbudowane w oparciu o nazwy hostów, a nie ich adresów IP. Uzyskanie nazwy hosta w oparciu o adres IP z tabeli wyszukiwania postępowego może być niesamowicie kosztowne, szczególnie wtedy, gdy wyszukiwanie obejmuje miliony stref porozrzucanych po całym świecie. Aby zapobiec tego typu sytuacji, DNS udostępnia oddzielną tablicę strefy opartą na adresach IP. Tablica ta jest nazywana Domeną odwrotną (Reverse Lookup Zone).

Struktura tablicy domeny odwrotnej

Tablica strefowa domeny odwrotnej jest zbudowana za pomocą tylko jednego rekordu — rekordu PTR. PTR zawiera adres IP hosta zapisany w odwrotnej kolejności. Poniżej przedstawiona została przykładowa zawartość tabeli strefowej dla wyszukiwania wstecznego w sieci 10.1.0.0:

; Database file 1.10.in-addr-arpa-dns for 1.10.in-addr.arpa zone.

; Zone version: 8

; Zone records

1.1 PTR phx-dc-01

21.1 PTR phx-w2ks-12

254.1 PTR phx-rtr-01

Zwróć uwagę, że adres 10.1.0.0 został odwrócony i zapisany jako 1.10. Gdyby adres sieci był następujący: 222.100.93.0, to na początku tablicy strefowej widniał by wpis 93.100.222.

Odwrócenie adresu jest ważne, gdyż notacja dziesiętna z kropkami używana przez adresy IP umieszcza najbardziej znaczącą liczbę z lewej strony, a DNS zakłada, że znajduje się ona z prawej strony. Spróbujmy uzasadnić ten sposób zmiany konstrukcji adresów IP. Otóż gdyby zmodyfikowane adresy IP tworzyły zwarte drzewo, potrzebnych by było 255 głównych domen z 255 oddzielnymi podstawowymi serwerami, z których każdy udostępniałby 255 adresów.

Aby uniknąć takiego bałaganu, agencja ARPA (Adavanced Research Project Agency — Agencja ds. Badań Perspektywicznych), która była obecna podczas tworzenia schematu nazewnictwa w Internecie, postanowiła dodać sztuczny składnik in-addr.arpa do adresu dla strefy wstecznego wyszukiwania. Z tego też powodu główne serwery InterNIC są określane przez in-addr.arpa.

Funkcja in-addr.arpa

Dzięki sztucznemu składnikowi in-addr.arpa, pojedynczy podstawowy serwer nazw może posiadać całą strefę wyszukiwania wstecznego z 255 węzłami na drugim poziomie, co jest nieporównywalne z olbrzymią ilością węzłów drugiego poziomu w obszarze nazw com.

Z punktu widzenia administratora DNS, informacje te są niezmiernie ważne. Oznacza to, że musisz zbudować strefę wyszukiwania wstecznego osadzoną w in-addr.arpa dla każdej sieci IP w Twojej organizacji. Nazwa każdej strefy powinna składać się z odwró­conego adresu IP uzupełnionego o sufiks in-addr.arpa. Na przykład sieć 209.12.73.0 powinna posiadać strefę wyszukiwania wstecznego 73.12.200.in-addr.arpa. W danej strefie, dowolny serwer DNS może być serwerem podstawowym, lecz najczęściej jest to podstawowy serwer związany ze strefą wyszukiwania postępowego.

Rozwiązywanie nazw klientów DNS

Celem obu stref wyszukiwania (postępowego i wstecznego) oraz serwerów nazw jest udostępnienie pewnego miejsca, za pomocą którego klienci będą mogli w szybki sposób znaleźć adres IP odpowiadający nazwie hosta albo danej usługi. W Windows 2000, usługa klienta odpowiedzialna za znajdywanie adresów IP jest częścią sterownika TCP/IP (TCPIP.SYS).

Gdy aplikacja Windows 2000 określa nazwę danego serwera, program rozwiązujący nazwę (znajdujący się w TCPIP.SYS) zaczyna od przejrzenia lokalnej tabeli Hosts. Tabela ta jest plikiem tekstowym zawierającym szereg adresów IP wraz z odpowiadającymi im nazwami hostów. Poniżej przedstawiony został przykład tabeli (znak # oznacza komentarz):

10.1.1.1 phx-dc-01.company.com #Phoenix domain controller

10.1.1.2 phx-dc-02.company.com #Phoenix domain controller

10.3.1.27 slc-w2ks-31.branch1.company.com #Salt Lake City general purpose server

10.2.1.12 hou-web-04.subsidiary.com #Houston web server in subsidiary company

Nazwa hosta określona przez aplikację musi pasować do wpisu w tabeli Hosts, aby program mógł znaleźć właściwy adres IP. Jeżeli aplikacja określa pełną złożoną nazwę, tabela musi również zawierać pełne złożone nazwy hostów, tak jak przedstawione to zostało na przykładzie. Tabela może również zawierać same nazwy komputerów, jak np. phx-dc-01, lecz wtedy aplikacja musi również podać samą nazwę komputera, a nie nazwę złożoną.

Wskazówka rejestru: Lokalizacja tabeli Hosts Plik Hosts jest umieszczony w katalogu WINNT\System32\Drivers\Etc wraz z plikami związanymi z TCP/IP, takimi jak LMHOSTS, Protocols, Networks, i Services. Katalog jest określony przez następującą wartość w rejestrze: Klucz: HKLM|System|CurrentControlSet|Services|TCPIP|Parameters Wartość: DataBasePath Dane: \WINNT\System32\Drivers\Etc

Jeżeli program rozwiązujący nazwę nie znajdzie żadnej odpowiedniej nazwy w tabeli, wysyła zapytanie do serwera DNS. Gdy aplikacja oparta na TCP/IP chce skomunikować się z danym hostem, program wysyła zapytanie DNS do jego serwera nazw.

Gdy program otrzyma odpowiedź na wysłane zapytanie, ładuje je do swojej pamięci, co później znacznie przyspiesza realizację tego samego zapytania o adres danego hosta. Serwery DNS, które otrzymały rekordy w odpowiedzi na zapytania w imieniu klientów, również zapisują je w pamięci. W ten sposób obszar pamięci przeznaczony na przechowywanie rekordów mógłby bardzo szybko przybrać duże rozmiary. Aby temu zapobiec, każdy rekord zasobów DNS posiada parametr TTL (Time-To-Live - Czas życia), który określa długość okresu przechowywania rekordu w pamięci.

Aby wyczyścić pamięć klienta ze wszystkich zapisanych rekordów, skorzystaj z polecenia IPCONFIG, używając następującej składni: IPCONFIG /flushdns. Aby wyczyścić pamięć na serwerze, musisz skorzystać z konsoli DNS albo narzędzia DNSCMD dostępnego w pakiecie Resource Kit, używając następującej składni: DNSCMD /clear­cache. Jedyną wadą usunięcia wszystkich danych z pamięci jest konieczność ponownego gromadzenia wszystkich używanych nazw, co z początku może istotnie wpłynąć na spowolnienie pracy.

Automatyczna konstrukcja pełnych nazw domen (FQDN)

Jeżeli użytkownik albo aplikacja poda samą nazwę hosta, jak np. alb-dc-01, program rozwiązujący nazwę musi wiedzieć w jaki sposób określić domenę DNS dla danej nazwy. Same nazwy komputerów nie mogą być dostarczane do DNS, gdyż serwer nie będzie wiedział, z której tablicy strefowej ma skorzystać.

Gdy program rozwiązujący nazwę bazujący na Windows 2000 otrzyma samą nazwę komputera, na jej końcu dopisuje nazwę domeny DNS klienta, dzięki czemu uzyskuje pełną nazwę FQDN. Procedura ta może być jednak dosyć złożona.

Zdolność generowania nazw FQDN na podstawie znajomości tylko samej nazwy komputera jest bardzo istotnym udogodnieniem dla użytkowników. Przykładowo, jeżeli użytkownik w domenie region.company chce podłączyć dysk sieciowy, w oknie Map Network Drive (Podłącz dysk sieciowy) wprowadza nazwę UNC \\alb-dc-01\datashare. W tym momencie program rozwiązujący nazwę automatycznie dodaje nazwę domeny DNS klienta, tworząc alb-dc-01.region.company. Ponieważ większość użytkowników wysyła żądania związane z serwerami strefy lokalnej, automatyczne tworzenie pełnych nazw FQDN znacznie ułatwia pracę. Nie oznacza to jednak, że upraszcza zarządzaniem serwera.

Określanie nazwy domeny DNS

Gdy użytkownik albo aplikacja podaje samą nazwę komputera zamiast pełnej nazwy FQDN, sterownik TCP/IP, używając nazwy domeny, samodzielnie tworzy pełną nazwę. Nazwa domeny DNS jest używana również przez sterownik TCP/IP do rejestracji komputera z dynamicznym DNS.

Rejestr systemowy przechowuje wartości dla domeny i nazwy hosta, które są używane do definiowania pełnej nazwy FQDN komputera. Niestety, pary nazwa/domena są przechowywane w oddzielnych miejscach i są używane w różny sposób. Na rysunku 5.3 widoczne jest okno Registry Editor (Edytor rejestru), przedstawiające klucz HKLM|Sys­tem|CurrentControlSet|Services|Tcpip, w którym zlokalizowane są pary nazwa/domena. W tabeli 5.1 przedstawione zostały natomiast dokładne wartości par i ich funkcje.

Rysunek 5.3. Edytor rejestru przedstawiający klucze TCPIP wraz z wartościami
	Analiza składniowa nazwy hosta Jeżeli odwzorowywanie nazw NetBIOS przez TCP/IP jest włączone, sterownik TCPIP.SYS pracuje w połączeniu z NETBT.SYS — pomocnikiem odwzorowywania NetBIOS przez TCP/IP. Dwa programy rozwiązujące nazwy pracują równolegle: NETBT.SYS rozsyła zapytania WINS albo korzysta z transmisji, podczas gdy TCPIP.SYS wysyła zapytania DNS. Jeżeli nazwa domeny DNS użytkownika jest nieprawidłowa, DNS zwróci błąd z powodu nieprawidłowej nazwy FQDN. Działanie WINS może zakończyć się natomiast powodzeniem, o ile sama nazwa komputera znajduje się w bazie danych WINS. Użytkownik nie ma pojęcia, dlaczego ta procedura działa, lecz wie że daje poprawne rezultaty. Gdy po wprowadzeniu zmian w konfiguracji serwera stwierdzisz, że połączenie sieciowe uległo przerwaniu, przyczyna może leżeć właśnie w odwzorowywaniu nazw komputerów. Szukając problemu odwzorowywania nazw, pamiętaj o następujących informacjach: Klient WINS Windows 2000 wysyła jednocześnie zapytania do WINS i DNS, a następnie korzysta z pierwszej pozytywnej odpowiedzi. Klient typu b-node Windows 2000 jednocześnie korzysta z transmisji i wysyła zapytanie do DNS, a następnie korzysta z pierwszej pozytywnej odpowiedzi. Klient Windows 2000, który posiada wyłączony NETBT, wysyła tylko zapytania DNS. Odwzorowywanie nazwy NetBIOS i korzystanie z DNS może być przyczyną jeszcze innego problemu. Jeżeli użytkownik poda nazwę zawierającą kropkę, lecz nie wprowadzi kropki końcowej, program rozwiązujący nazwę najpierw doda kropkę na końcu i będzie próbował rozwiązać utworzoną nazwę, a dopiero gdy ta czynność zakończy się niepowodzeniem, program doda całą nazwę domeny i powtórzy próbę rozwiązania nazwy. Na przykład, jeżeli użytkownik w domenie DNS Branch1.Company poda nazwę \\alb-dc-01.branch1\datashare, program wyśle najpierw zapytanie DNS dla alb-dc-01.branch1., umieszczając na końcu nazwy kropkę. Gdy to wywołanie zakończy się niepowodzeniem (Branch1 nie jest przecież domeną główną), wysłane zostanie kolejne zapytanie dla alb-dc-01.branch1.region.comapny, które również nie przyniesie pozytywnych rezultatów. Zamieniając nazewnictwo NetBIOS na DNS powinieneś pamiętać o tym, aby przeszkolić użytkowników sieci, by wprowadzali poprawne pełne nawy komputerów. Jest to szczególnie ważne wtedy, gdy chcą połączyć się z komputerem znajdującym się poza lokalnym obszarem nazw. Na końcu warto jeszcze wspomnieć o małej różnicy w sposobie obsługi nazwy hosta w Windows 2000 i klasycznym systemie NT. W NT, gdy nazwa zawierała kropki albo posiadała więcej niż 16 znaków, program rozwiązujący nazwę zakładał, że nazwa była nazwą DNS i automatycznie pomijał sterownik NETBT.SYS. W Windows 2000, NETBT.SYS używa niedopuszczalnych nazw wysyłając zapytania WINS albo korzystając z transmisji.

Tabela 5.1.

Funkcje i wartości pary nazwa-domena

Klucze	Wartości	Funkcje
HKLM|System| CurrentControlSet| Services|Tcpip| Parameters	NV Hostname i NV Domain	Wartość NV (non-volatile — nieulotna/trwała) jest ustawiana przez administratora za pomocą okna System Properties (Właściwości systemu). Wartości NV kontrolują inne pary nazwa/domena, lecz nie są bezpośrednio używane przez sterownik TCP/IP.
HKLM|System| CurrentControlSet| Services|Tcpip| Parameters	Hostname i Domain	Wartości są tak konfigurowane, aby pasowały do wartości NV tej samej nazwy. Wartość Domain jest kopiowana do wartości PrimaryDomainName w DNSRegisteredAdapters, gdzie określa domenę DNS używaną do dynamicznej rejestracji DNS. Wartość Domain jest również używana przez sterownik TCP/IP jako podstawowy sufiks podczas tworzenia pełnych nazw FQDN.
HKLM|System| CurrentControlSet| Services|Tcpip| Parameters| DNSRegisteredAdapters| {Class ID}	HostName, DomainName i PrimaryDomainName	Klucz DNSRegisteredAdapters przechowuje informacje używane do rejestracji komputera z DNS. Wartość HostName pokrywa się z wartością Hostname w kluczu Parameters. Wartość PrimaryDomainName pokrywa się z wartością Domain w kluczu Parameters. Wartość DomainName pokrywa się z wartością Domain przypisaną do interfejsu, o ile interfejs został przeznaczony do używania w celu rejestracji DNS. Wartości DomainName i PrimaryDomainName są używane do kontroli rejestracji DNS. Jeżeli posiadają różne wartości, komputer przeprowadzi rejestrację w dwóch różnych domenach DNS i otrzyma rekord hosta w dwóch domenach.
HKLM|System| CurrentControlSet| Services|Tcpip| Parameters|Interfaces| {Class ID}	Domain	Wartość jest ustawiana przez administratora za pomocą okna System Properties (Właściwości systemu). Wartość Domain jest używana przez sterownik TCP/IP jako pomocniczy sufiks, podczas tworzenia pełnych nazw FQDN. Jeżeli interfejs został przeznaczony do używania w celu rejestracji DNS, wartość Domain jest kopiowana do wartości DomainName w DNSRegisteredAdapters.
HKLM|System| CurrentControlSet| Services|Tcpip| Parameters|Interfaces| {Class ID}	DHCPDomain	Jeżeli komputer jest klientem DHCP, który otrzymuje nazwę domeny DNS jako części pakietu konfiguracyjnego DHCP, wartość DHCPDomain jest kopiowana z pakietu konfiguracyjnego. Jeżeli wartość Domain dla interfejsu została określona, wartość DHCPDomain jest ignorowana. Jeżeli wartość Domain dla interfejsu jest pusta, wartość DHCPDomain jest używana przez sterownik TCP/IP jako pomocniczy sufiks podczas tworzenia pełnych nazw FQDN. Jeżeli wartość Domain jest pusta, a interfejs został przeznaczony w celu rejestracji DNS, wartość DHCPDomain jest kopiowana do wartości DomainName w DNSRegisteredAdapters.

Na podstawie informacji zawartych w tabeli 5.1 można łatwo wywnioskować, że istnie­je możliwość zarejestrowania komputera w więcej niż jednej domenie DNS i używanie różnych pełnych nazw FQDN podczas wysyłania zapytań DNS. Ważne jest, aby uży­wać zgodnych wpisów podczas wprowadzania wartości z interfejsu użytkownika. Naj­lepszym rozwiązaniem jest pozostawienie jednego pustego ustawienia. W następnych częściach rozdziału zostało szczegółowo przedstawione w jaki sposób wartości są określane i które z nich powinny być używane.

Nazwy trwałe (NV — non-volatile)

Wartości NV dla nazwy hosta i domeny są ustawiane za pomocą okna System Properties (Właściwości systemu). Nazwa hosta (Hostname) pochodzi z nazwy NetBIOS komputera, a nazwa domeny (Domain) jest pobierana z wpisu sufiksu DNS. Wartości te należy określić w następujący sposób:

Procedura 5.1.

Ustawianie sufiksu DNS w oknie System Properties (Właściwości systemu)

1. Prawym przyciskiem myszy kliknij ikonę My Computer (Mój komputer), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno System Properties (Właściwości systemu).

4. Otwórz zakładkę Network Identification (Identyfikacja sieci) — rysunek 5.4. Wpis Full Computer Name (Pełna nazwa komputera) przedstawia aktualne ustawienie, które pochodzi z wpisów w rejestrze dla wartości NV Hostname i NV Domain.

Rysunek 5.4. Okno System Properties (Właściwości systemu) — zakładka Network Identification (Identyfikacja sieciowa)

5. Kliknij przycisk Properties (Właściwości). Wyświetlone zostanie okno Identification Changes (Zmiany identyfikacji) — rysunek 5.5. Pole Computer Name (Nazwa komputera) pozwala na wprowadzenie nowej nazwy. Nowa wartość zostanie automatycznie wpisana w rejestrze jako wartość NV Hostname.

Rysunek 5.5. Okno Identification Changes (Zmiany identyfikacji) udostępniające nazwę komputera (NV Hostname)

Wartości dostępne w polu Member Of (Członkostwo) nie są zapisywane w rejestrze pod wartością NV Domain. Dopiero następne okno umożliwi zmianę wartości NV Domain.

6. Kliknij przycisk More (Więcej). Pojawi się okno DNS suffix and NetBIOS Computer Name (Sufiks domeny DNS i nazwa NetBIOS komputera) — rysunek 5.6. Wpisanie nowej nazwy w polu Primary DNS Suffix (Sufiks podstawowej domeny DNS) powoduje zmianę wartości NV Domain.

Rysunek 5.6. Okno DNS suffix and NetBIOS Computer Name (Sufiks domeny DNS i nazwa NetBIOS komputera) udostępniające podstawowy sufiks DNS i nazwę komputera NetBIOS

Opcja Change Primary DNS Suffix When Domain Membership Chages (Zmień sufiks podstawowej domeny DNS, po zmianie członkostwa w domenie) jest zaznaczona domyślnie. Jest to bardzo ważna opcja, gdyż wartość NV Domain jest używana do rejestrowania komputera z dynamicznym DNS. Jeżeli nazwa nie zostanie zmieniona wraz ze zmianą członkostwa domeny, klient nie będzie mógł znaleźć kontrolera domeny w obszarze właściwej domeny.

7. Zamknij wszystkie okna.

Jeżeli zmieniłeś nazwę komputera albo sufiks DNS, musisz ponownie uruchomić komputer. Nazwa kontrolera domeny w rejestrze systemowym nie powinna być nigdy zmieniana z interfejsu użytkownika.

Nazwa interfejsu TCP/IP

Wartość Domain dla interfejsu jest określana za pomocą okna TCP/IP Properties (Właściwości TCP/IP). W interfejsie użytkownika wartość ta nosi nazwę sufiksu DNS. Ustawienie wartości należy przeprowadzić w następujący sposób:

Procedura 5.2.

Ustawienie sufiksu DNS w interfejsie TCP/IP

1. Prawym przyciskiem myszy kliknij ikonę My Network Places (Moje miejsce sieciowe), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Network and Dial-up Connections (Połączenia sieciowe i telefoniczne).

8. Prawym przyciskiem myszy kliknij ikonę Local Area Connection (Połączenia lokalne), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Local Area Connection Properties (Właściwości: Połączenia lokalne).

9. Kliknij dwukrotnie pozycję Internet Protocol — TCP/IP (Protokół internetowy
   — TCP/IP). Wyświetlone zostanie okno Internet Protocol — TCP/IP — Properties (Właściwości: Protokół internetowy — TCP/IP).

10. Kliknij przycisk Advanced (Zaawansowane). Pojawi się okno Advanced TCP/IP Settings (Zaawansowane ustawienia TCP/IP).

11. Otwórz zakładkę DNS — rysunek 5.7. Wpis w polu DNS Suffix for This Connection (Sufiks domeny DNS dla tego połączenia) określa wartość Domain w rejestrze systemowym. W przypisie „Wybór źródła sufiksu DNS” przedstawiony został powód, dlaczego warto pozostawić to miejsce puste.

Opcja Use This Connection's DNS Sufix in DNS Registration (Użyj sufiksu domeny DNS tego połączenia w rejestracji DNS) określa, czy ten interfejs będzie używany do rejestracji komputera z dynamicznym DNS. Tak jak przedstawia rysunek 5.7, rejestracja dynamicznego DNS używa sufiksu DNS udostępnionego przez oba okna: TCP/IP Properties (Właściwości TCP/IP) i System Properties (Właściwości systemu).

Rysunek 5.7. Okno Advanced TCP/IP Settings (Zaawansowane ustawienia TCP/IP) — zakładka DNS

12. Zamknij wszystkie okna. Wszystkie zmiany zostaną zapisane w rejestrze systemowym i natychmiast uaktualnione.

Wybór źródła sufiksu DNS Istnieją dwa miejsca w interfejsie użytkownika, które umożliwiają określenie sufiksu DNS: okno TCP/IP Properties (Właściwości TCP/IP) i System Properties (Właściwości systemu). Okna te nie wskazują jednak tych samych wpisów w rejestrze, w związku z czym istnieje możliwość rejestracji komputera w dwóch domenach. Określenie sufiksu domeny DNS w obu oknach jest używane do tworzenia nazw FQDN. Sufiks określony w oknie System Properties (Właściwości systemu) jest podstawowym sufiksem, który jest używany jako pierwszy. Gdy utworzona nazwa nie będzie jednak poprawna, wówczas wykorzystywany jest sufiks, który został określony w oknie TCP/IP Properties (Właściwości TCP/IP). Aby sprawdzić wprowadzone wartości sufiksów, użyj polecenia IPCONFIG /all. Określenie dwóch różnych sufiksów może być przyczyną potencjalnych kłopotów, dlatego też podczas przypisania klientowi nazwy domeny powinieneś używać tylko jednego z nich. Ponieważ musisz korzystać z System Properties (Właściwości systemu) podczas przyłączania komputera do domeny i ponieważ sufiks określony za pomocą tego okna jest sufiksem podstawowym, zdecydowanie lepszym rozwiązaniem jest korzystanie właśnie z tego sufiksu. W środowisku grupy roboczej, gdzie sufiks pochodzący z okna System Properties (Właściwości systemu) jest zbyteczny, używaj jednak sufiksu z okna TCP/IP Properties (Właściwości TCP/IP), a wpis w oknie System Properties (Właściwości systemu) pozostaw pusty. Jeżeli klient został skonfigurowany dla DHCP, pamiętaj że wartość Domain w pakiecie konfiguracyjnym jest używana zamiast sufiksu DNS, o ile jego wpis w oknie jest pusty. Jeżeli używasz DHCP w domenie, bardzo ważne jest, aby nazwa domeny w DHCP pasowała do nazwy używanej przez klienta. Więcej szczegółów znajdziesz w dalszej części rozdziału zatytułowanej „Konfiguracja DHCP wspomagająca DNS”.

Pomocnicze serwery DNS

W celu polepszenia wydajności wyszukiwania i zwiększenia odporności na błędy, instaluje się pomocnicze serwery DNS. Serwery te odpowiadają na zapytania użytkowników w oparciu o informacje uzyskane z serwera podstawowego. Serwer podstawowy działa jako serwer nadrzędny względem serwerów pomocniczych, lecz serwery pomocnicze również mogą pełnić funkcje serwerów nadrzędnych względem swoich serwerów pomocniczych. Należy jednak pamiętać, że im głębsza struktura, tym dłuższy czas zbieżności.

Pomocnicze serwery można podzielić na dwie grupy, w zależności od tego czy posiadają lokalną kopię tablicy strefowej:

• Standardowe serwery pomocnicze. Serwery te posiadają kopię tablicy strefowej, która pobierana jest z serwera głównego i przeznaczona tylko do odczytu. Serwer standardowy jest serwerem wiarygodnym dla swojej strefy.

• Serwery tylko buforujące. Serwery te nie posiadają tablicy strefowej. Wszystkie zapytania klientów kierują do wiarygodnego serwera, a następnie przesyłają uzyskane odpowiedzi do klientów. Wszystkie odpowiedzi są przechowywane w pamięci lokalnej w celu szybkiego ponownego wykorzystania otrzymanej już odpowiedzi.

Korzyścią używania standardowego serwera pomocniczego jest fakt, że większość zapytań jest obsługiwanych bezpośrednio przez serwer. Wadą natomiast jest konieczność przesyłania do niego informacji strefowych z serwera głównego, co wpływa na obciążenie sieci.

Korzyścią używania serwerów tylko buforujących jest fakt, że udostępniają adresy bez konieczności takiego transferu strefowego, jaki wymagany jest w przypadku serwerów standardowych. Do wyraźnych minusów zalicza się brak wiarygodności dla danej strefy. Buforowanie rekordów jest z pewnością bardzo użyteczne, lecz po zrestartowaniu serwera wszystkie zapisane informacje zostają skasowane.

Instrukcje dotyczące instalacji i konfiguracji serwerów pomocniczych zostały zamieszczone w dalszej części rozdziału „Konfiguracja standardowych pomocniczych serwerów DNS”. Wahając się nad utworzeniem serwerów pomocniczych DNS, powinieneś dokładnie przeanalizować następujące zagadnienia:

• Rozłożenie natężenia ruchu. Jeżeli posiadasz tylko kilka pomocniczych serwerów nazw umieszczonych wokół swojej sieci, być może zechcesz w istotny sposób zwiększyć ich liczbę. Duże rozproszenie w sieci systemu Windows 2000 może znacznie wpłynąć na wzrost liczby zapytań DNS, szczególnie pomiędzy dynamicznym DNS i usługą Active Directory. Klienci Windows 2000 nieustannie korzystają z DNS w celu lokalizacji zasobów sieciowych. Jeżeli wysyłanie zapytań będzie przebiegało za pomocą wolnych i niepewnych połączeń WAN, możesz napotkać na problemy związane z uwierzytelnianiem i dostępem do zasobów.

• Zwiększenie odporności na błędy. Praca klientów i serwerów Windows 2000 w bardzo dużym stopniu zależy od DNS. Awaria serwera DNS może być przyczyną całkowitego braku dostępu do sieci. Dlatego też warto zainstalować taką ilość serwerów pomocniczych, która pozwoli uniknąć tego typu sytuacji.

• Monitorowanie statystyk. Właściwości takie jak przyrostowy transfer strefowy albo integracja stref z Active Directory, które zostały dokładnie omówione w kilku następnych częściach rozdziału, z pewnością pomagają w redukcji transferu, lecz nie rozwiązują wszystkich problemów DNS. Specjalne liczniki DNS, dostępne w aplikacji Performance Monitor (Monitor wydajności), mogą dokładnie przedstawić aktualny stan transmisji zapytań na danym serwerze. Dokładna i stosunkowo długa analiza wydajności może być bardzo pomocna podczas rozwiązywania różnego rodzaju problemów.

Replikacja tablicy strefy

Pomocniczy serwer DNS może otrzymać kopię tablicy strefy z serwera podstawowego albo innego serwera pomocniczego. Czynność kopiowania tablicy strefy nosi nazwę transferu strefy.

Windows 2000 udostępnia uaktualniony system zgłoszeń i umożliwia przyrostowy transfer strefy, co w znacznym stopniu wpływa na zgodność zawartości tablic strefowych oraz minimalizuje transfer. Dodatkowo informacje strefowe w Windows 2000 mogą być przechowywane w katalogu, eliminując w ten sposób potrzebę specjalnego mechanizmu transferującego strefę. Poniżej zostały szczegółowo przedstawione trzy nowe opcje DNS.

Uaktualniony system zgłoszeń

W standardowym transferze strefy, pomocniczy serwer nazw odpytuje co pewien czas serwer główny, czy tablica stref uległa jakimś zmianom. Okres odpytywania jest określony w rekordzie SOA (Start Of Authority), który został przedstawiony na rysunku 5.8. Więcej informacji dotyczących struktury i funkcji rekordu znajdziesz w części „Format rekordów zasobów”.

Rysunek 5.8. Okno Properties (Właściwości) przedstawiające zawartość rekordu SOA

Po upływie ustalonego okresu odświeżania, serwer pomocniczy prosi serwer główny o przysłanie kopii rekordu SOA. Rekord zawiera numer seryjny, który jest zwiększany podczas każdej aktualizacji tablicy strefowej. Jeżeli numer seryjny pobranego rekordu SOA jest wyższy od numeru aktualnie przechowywanego rekordu, serwer pomocniczy inicjuje transfer tablicy strefowej.

Odpytywanie nie jest jednak wydajną metodą wykorzystywaną do replikacji. DNS w Windows 2000 udostępnia nową metodę, przedstawioną w RFC 1996 „A Mechanism for Prompt Notification of Zone Changes”. RFC definiuje całkiem nowy kod operacji DNS nazywany DNS Notify (system zgłoszeń DNS). System ten dodaje jeden kluczowy punkt do standardowego procesu odpytywania. Poniżej przedstawiony został schemat działania systemu.

Procedura 5.3.

Funkcjonalny opis systemu zgłoszeń

1. W momencie aktualizacji tablicy strefowej w serwerze podstawowym, serwer wysyła powiadomienie DNS do serwera pomocniczego. System zgłoszeń musi opierać się na adresach IP obu serwerów.

13. Serwer pomocniczy w odpowiedzi na zgłoszenie DNS wysyła standardowe żądanie o przesłanie rekordu SOA.

14. Od tego miejsca rozpoczyna się tradycyjny sposób powielania tablicy strefowej.

Różnice zgłaszania względem systemu NT4 DNS w NT4 posiadał kod operacji systemu zgłoszeń DNS Notify, lecz administrator był zmuszony do ręcznej inicjacji zgłoszenia, za pomocą polecenia Update server data file (Uaktualnij plik danych serwera) dostępnego w menu strefy Properties (Własności). Czynność ta była wymagana, gdyż DNS w NT4 używał standardowego transferu stref, co sprowadzało się do kopiowania całych tablic strefowych. Ponieważ Windows 2000 umożliwia przyrostowe kopiowanie tablicy, powiadomienie o zmianach jest wykonywane automatycznie, a aktualizacje są kopiowane tak szybko, jak tylko serwery pomocnicze są w stanie je pobrać.

Przyrostowy transfer stref

Standardowy transfer stref DNS polega na kopiowaniu całych tablic stref z serwera głównego do serwerów pomocniczych. Czynność ta powoduje niepotrzebne przeciążenie sieci, ładując do serwerów wszystkie dane znajdujące się na tablicy. Windows 2000 rozwiązał ten problem poprzez implementację metody przyrostowego transferu stref opisanego w RFC 1995 „Incremental Zone Transfer in DNS”.

W przyrostowym transferze, podczas żądania transferu strefy, serwer pomocniczy dostarcza numer seryjny rekordu SOA. Na podstawie tej informacji serwer główny wysyła tylko te dane tablicy strefowej, które uległy zmianie od ostatniej aktualizacji.

DNS w Windows 2000 domyślnie korzysta z przyrostowego transferu strefy. Jeżeli serwer nazw Windows 2000 jest serwerem pomocniczym, a serwer główny nie wspomaga transferu przyrostowego, serwer Windows 2000 zmuszony jest do pobierania całych tablic strefowych. Podobnie jest, gdy serwer pomocniczy nie obsługuje transferu przyrostowego, a serwerem podstawowym jest Windows 2000. Serwer pomocniczy używa wówczas kodu operacji standardowego przesyłu strefy, a serwer główny musi się do niego dostosować.

Integracja z Active Directory

Oprócz dwóch wcześniej przedstawionych metod, Windows 2000 umożliwia również integrację tablic stref DNS z Active Directory. Eliminuje to potrzebę standardowego transferu stref, gdyż katalog jest replikowany za pomocą własnego schematu replikacji.

Active Directory umożliwia również dowolnemu kontrolerowi domeny, pracującemu jako DNS, aktualizację wpisów strefowych. Usługa DNS nie jest bardzo absorbująca, dlatego też z powodzeniem może zostać umieszczona na każdym kontrolerze domeny. Używając tej właściwości możesz wyeliminować strukturę jednego podstawowego serwera nazw DNS współpracującego z jednym kontrolerem domeny.

Integracja DNS z Active Directory zdecydowanie zmniejsza obciążenie sieci, zwiększa wydajność i pewność wykonania zadania. Istnieje jednak kilka punktów, o których należy pamiętać:

• Brak tablic strefowych ASCII. Zintegrowane katalogowo strefy przechowują rekordy zasobów w postaci obiektów katalogowych. Nie ma żadnych plików ASCII, które można kopiować do innych serwerów. Istnieje oczywiście możliwość uzyskania standardowej strefy z serwera DNS zintegrowanego katalogowo, co jest tak samo proste jak otrzymanie pliku inicjującego.

• Bazowanie na dostępności Active Directory. Jeżeli katalog jest niedostępny, praca DNS zostaje przerwana. Sytuacja ta jest jak miecz obusieczny, gdyż klienci i kontrolery domeny w innej domenie bazują właśnie na DNS, aby odnaleźć usługi Active Directory. Jeżeli zatem DNS będzie niedostępny, możesz nie mieć możliwości uzyskania dostępu do kontrolerów domeny i rozwiązania problemu. Zalecam zachowanie przynajmniej jednego standardowego serwera pomocniczego, gdyż może być bardzo przydatny w sytuacjach awaryjnych.

• Tylko strefa podstawowa może być zintegrowana katalogowo. Jeżeli zamierzasz utworzyć strefę zintegrowaną katalogowo, podstawowy serwer nazw musi być skonfigurowany w systemie Windows 2000. Wymóg ten może stanowić pewien problem, jeżeli jesteś administratorem bazującym na systemie UNIX albo NetWare DNS i masz dużo wątpliwości związanych z przejściem na system Windows 2000. Być może w tej chwili zrezygnujesz z pomysłu integracji katalogowej, lecz przed podjęciem ostatecznej decyzji gorąco namawiam do zapoznania się z częścią „Dynamiczne zabezpieczenie aktualizacji”, przedstawiającą zagadnienie zabezpieczenia w dynamicznym DNS.

• Wysyłane strefy mogą być utrzymywane przez inne serwery DNS niż Windows 2000. Możesz przenieść podstawowy serwer nazw w głównej strefie do Windows 2000 i katalogowo zintegrować strefę, wciąż zachowując swoje pierwotne strefy w systemie BIND albo NetWare.

• Tylko kontrolery domeny posiadają dostęp zapisu/odczytu do stref zintegrowanych katalogowo. Serwery Windows 2000, DNS w NT4 i trzeciorzędne serwery nazw mogą być tylko pomocniczymi serwerami nazw po zintegrowaniu strefy z Active Directory.

Korzystanie z serwerów przekazujących

Gdy serwer DNS otrzyma zapytanie o rekord innej strefy, którego akurat nie posiada w swojej pamięci podręcznej, sprawdza swoją tablicę root hints, aby znaleźć serwer główny. Następnie za pomocą iteracyjnych zapytań przeszukuje drzewo do momentu, aż znajdzie serwer nazw posiadający dany rekord. Proces ten został dokładnie opisany w dalszej części rozdziału, zatytułowanej „Funkcjonalny opis obsługi zapytań DNS”. Istnieje jednak alternatywa dla tej żmudnej pracy, polegająca na uprzednim spraw­dzeniu innych serwerów, które mogły już wcześniej zostać zmuszone do znalezienia danego rekordu. Proces ten jest nazywany przekazywaniem (forwarding), a serwer, do którego zostało znalezione odwołanie, nosi nazwę przekazywacz (forwarder).

Przekazywacz (forwarder) może być zarówno serwerem podstawowym, jak i pomocniczym. Jeżeli tylko posiada lokalną kopię tablicy strefowej i tablicy root hints, to jest wystarczająco wyposażony do obsługi hostów wewnątrz i na zewnątrz swojej strefy. Serwer musi jeszcze posiadać listę forwarderów, którzy są używani w przypadku pojawienia się zapytania dotyczącego rekordu pozastrefowego, który nie znajduje się również w podręcznej pamięci serwera. Serwer wykonujący forwarding zakłada, że forwarder posiada w pamięci podręcznej (cache) poszukiwany rekord. Proces ten zaoszczędza bardzo dużo energii i czasu.

Jeżeli forwarder nie posiada rekordu w swojej pamięci podręcznej, rozpoczyna proces jego poszukiwania. Proces ten może trwać dość długo. Tymczasem serwer przesyłający dane może zrezygnować z usług forwardera i samodzielnie rozpocząć szukanie rekordu. Gdy forwarder znajdzie rekord, umieszcza go w swojej pamięci, dzięki czemu przy następnym zgłoszeniu będzie mógł od razu udostępnić znaleziony rekord.

Serwer, który został skonfigurowany do korzystania wyłącznie z usług forwarderów jest nazywany serwerem podległym (slave server). Serwer tego typu jest całkowicie zależny od forwarderów. Gdy forwarder nie znajdzie rekordu, serwer wysyła do klienta komunikat No Record (Brak wpisu).

Forwardery są najczęściej wykorzystywane w przypadkach rozwiązywania adresów internetowych z miejsc oddzielonych od Internetu zaporami (firewalls). Serwer, wysyłają­cy forwarding, znajduje się wewnątrz prywatnej sieci, podczas gdy forwarder może być umieszczony u usługodawcy internetowego. Gdy klient wysyła zapytanie dotyczące hosta internetowego (nie znajdującego się w danej strefie), serwer wykonuje forwarding — wysyła zapytanie do forwardera. Ten z kolei, na podstawie danych gromadzonych w pamięci podręcznej, może szybko zwrócić rekord poszukiwany przez klienta.

Forwarder nie wymaga żadnej specjalnej konfiguracji. Sposób konfiguracji, umożliwia­jącej używanie forwardera, został opisany w dalszej części rozdziału zatytułowanej „Konfiguracja serwera DNS umożliwiająca korzystanie z forwardera”.

Dynamiczne aktualizacje stref

Windows 2000 obsługuje dynamiczne aktualizacje stref, tak jak zostało to przedstawione w RFC 2136 „Dynamic Updates in the Domain Name System”. RFC definiuje nowy kod operacji, który może automatycznie dodawać rekordy do tablicy strefowej. Komunikat aktualizacji zawiera typ dodawanego rekordu, nazwę strefy do której rekord ma zostać dodany oraz wszelkie wymagania dotyczące istnienia rekordu. Jako minimum, klienci Windows 2000 rejestrują rekord A (host) oraz rekord PTR (Wskaźnik wyszukiwania odwrotnego).

Klienci dynamicznego DNS rejestrują swoje rekordy podczas inicjacji systemu, a następnie odświeżają je co 24 godziny. Klienci DHCP odświeżają swoje rekordy podczas odnawiania dzierżawy. Klienci nie bazujący na RFC 2136, tacy jak np. klienci Windows niższego poziomu, mogą dynamicznie rejestrować swoje rekordy A i PTR za pomocą proxy poprzez DHCP. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału zatytułowanej „Konfiguracja DHCP wspomagająca DNS”.

Możesz wymusić dynamiczną rejestrację za pomocą polecenia IPCONFIG wraz z wywołaniem /registerdns. Polecenie IPCONFIG /registerdns wysyła komunikat aktualizacji do serwera DNS.

Dynamicznej rejestracji rekordu zasobów towarzyszą pewne prawa:

• Gdy klient próbuje zarejestrować całkiem nowy rekord, serwer DNS dodaje nowy rekord aktualizacji do danej strefy.

• Jeżeli taki rekord już istnieje, lecz posiada inną nazwę i ten sam adres IP, nowy rekord jest dodawany do tablicy, a stary rekord jest pozostawiany na swoim miejscu.

• Jeżeli taki rekord już istnieje, posiada tę samą nazwę, lecz inny adres IP, pierwotny rekord jest nadpisywany z nową wartością adresu.

Szczególnie dobrze zapamiętaj ostatni punkt. Jeżeli nie będziesz wystarczająco ostrożny, możesz bardzo łatwo stracić ważne wpisy DNS.

Pomimo że tylko podstawowy serwer DNS posiada kopię do zapisu-odczytu tablicy strefowej, klient DNS może zostać skonfigurowany w taki sposób, aby wskazywał dowolny wiarygodny serwer strefy. Serwery pomocnicze przekazują otrzymane od klientów komunikaty aktualizacji DNS do serwera podstawowego. Następnie serwer główny powiadamia wszystkie serwery pomocnicze o wprowadzonych zmianach, które z kolei pobierają uaktualnioną część tablicy.

Jeżeli klient został skonfigurowany w taki sposób, że wskazuje serwer niewiarygodny dla strefy, np. serwer tylko buforujący, dynamiczna aktualizacja nie jest przesyłana do wiarygodnego serwera i klient nie jest rejestrowany.

Rejestracja dynamiczna niesie ze sobą ryzyko, że Twoja świeża i czysta tablica strefowa DNS może zacząć wyglądać, delikatnie mówiąc, nieprzyjemnie. Aby tego uniknąć, skorzystaj z możliwości oczyszczania (scavenging) — wyszukiwania pozostałości w strefie. Więcej informacji na ten temat znajdziesz w części „Konfiguracja oczyszczania”.

Kolejnym problemem związanym z dynamiczną aktualizacją jest bezpieczeństwo. Jeżeli operacja dodawania rekordów do tablicy strefowej jest naprawdę prosta, to można mieć niemalże pewność, że ktoś niepowołany zrobi z tego użytek. Problem ten został dokładniej opisany w następnej części rozdziału.

Dynamiczne zabezpieczanie aktualizacji

Serwery DNS są łakomym kąskiem dla intruzów. Przechowują adresy IP każdego hosta w sieci, a te informacje mogą być przyczyną prawdziwego nieszczęścia, gdy dostaną się w niepowołane ręce. Serwery DNS są również obiektami, które mogą być atakowane z chęci zniszczenia dostępu do sieci, jako że cała sieć jest silnie od nich zależna. Gdy serwery DNS w Windows 2000 stały się aż tak newralgicznym miejscem, konieczne stało się nałożenie większego nacisku na system zabezpieczeń. Ponieważ system ten jest ciągle w fazie ulepszania, pamiętaj o instalacji jak najnowszych wersji łat systemowych.

Jednym z najważniejszych środków bezpieczeństwa, które możesz podjąć względem dynamicznych aktualizacji jest kontrola stacji, które posiadają zezwolenie na rejestrację rekordów zasobów. Informacje dotyczące standardów śledzenia zostały zawarte w RFC 2137 „Secure Domain Name System Dynamic Update”. Ponieważ Microsoft rozpoczął projektowanie stref zintegrowanych katalogowo przed publikacją RFC, implementacja zabezpieczenia w Windows 2000 jest wynikiem wcześniejszych propozycji.

Aby zabezpieczyć strefę DNS musisz ją zintegrować z Active Directory. Standardowa strefa główna nie posiada zabezpieczenia dynamicznej aktualizacji. Po przeprowadzeniu integracji, rekordy zasobów są chronione za pomocą standardowych zabezpieczeń obiektów Windows 2000. Więcej informacji znajdziesz w rozdziale 10. „Zarządzanie zabezpieczeniami Active Directory”.

Na rysunku 5.9 widoczna jest częściowa lista użytkowników i grup, którzy posiadają dostęp do tablicy strefowej DNS. Głównymi graczami są: grupa Everyone (Wszyscy), która posiada dostęp do odczytu rekordów oraz grupa Authenticated Users (Użytkownicy uwierzytelnieni), która posiada przywilej Create Child Objects (Twórz podrzędne obiekty), umożliwiający tworzenie nowych kont na liście. Użytkownik jednej z grup zabezpieczeń, które są upoważnione do tworzenia nowych obiektów — Authenticated Users (Użytkownicy uwierzytelnieni), Domain Admins (Administratorzy domeny), DNS Admins (Administratorzy DNS) — musi logować się w konsoli przed utworzeniem rekordu zasobów.

Rysunek 5.9. Lista dostępu dla strefy DNS zintegrowanej katalogowo

Grupa DNS Admins jest tworzona w domenie, gdy DNS jest instalowany w kontrolerze domeny. Jego funkcją jest udostępnienie standardowej grupy administracyjnej wraz z dostępem do zarządzania serwerami DNS i rekordami zasobów zintegrowanych katalogowo. Domyślnie grupa nie zawiera żadnych kont.

RFC 2137 oraz zabezpieczenie dynamicznego DNS w Windows 2000 Aktualnym standardem określającym zabezpieczenie dynamicznego DNS jest, jak już wspomniałem, RFC 2137 „Secure Domain Name System Dynamic Update”. Zabezpieczenie to opiera się na następujących konspektach internetowych: Draft-ietf-dnsind-tsig-09.txt, „Secret Key Transaction Signatures for DNS (TSIG)” Draft-ietf-dnsind-tkey-00.txt, „Secret Key Establishment for DNS (TKEY RR)” Draft-skwan-gss-tsig-04.txt, „GSS Algorithm for TSIG (GSS-TSIG)”

Oczyszczanie rekordu

Jeżeli kiedykolwiek zarządzałeś dużą instalacją WINS, z pewnością zdajesz sobie sprawę jak bardzo kłopotliwa może być aktualizacja rejestrowanej bazy danych. Zanim więc pozwolisz na zaśmiecenie swoich tablic strefowych DNS starymi rekordami zasobów, zastanów się nad regularnym porządkowaniem tablic. Windows 2000 udostępnił opcję oczyszczania starych wartości, dzięki czemu nieużywane rekordy są usuwane z tablicy.

Oczyszczanie nie jest jednak opcją wybraną domyślnie, jakkolwiek może zostać włączone nie tylko dla danej strefy, lecz dla wszystkich stref serwera DNS. Musi być jednak spełniony warunek, aby strefa była strefą podstawową albo zintegrowaną katalogowo — strefy pomocnicze umożliwiają dostęp tylko do odczytu. Jeżeli jednak strefa główna zostanie oczyszczona, strefy pomocnicze zostaną oczyszczone podczas transferu stref.

Ponieważ oczyszczanie działa w oparciu o znajdywanie przestarzałych wartości w dynamicznie rejestrowanych rekordach zasobów, zmianie ulega format tablic strefowych, czego efektem jest utrata kompatybilności z serwerami nazw innymi niż Windows 2000. Transfery strefowe pozostają nienaruszone, gdyż usługi DNS filtrują przestarzałe wartości, lecz nie ma możliwości pobrania kopii pliku .DNS dla danej strefy i załadowania go na serwerze NT4 albo BIND.

Opcja oczyszczania używa dwóch okresów czasowych: okres odświeżania i okres nie-odświeżania, na podstawie których określa kiedy dany rekord powinien zostać usunięty z tablicy strefowej. Domyślnie oba okresy są określane na 7 dni. Poniżej przedstawiony został sposób działania opcji oczyszczania.

Gdy rekord zasobów jest dynamicznie tworzony, DNS przypisuje do niego wartość starzenia opierając się na siedmiodniowym okresie nieodświeżania. Podczas tych 7 dni DNS nie pozwala na odświeżanie rekordu. Dzięki temu system nie jest codziennie przeciążany przez tysiące komputerów chcących odświeżyć swoje rekordy.

Po upływie okresu nieodświeżania, DNS zezwala na odświeżenie rekordu. Klienci DNS odświeżają swoje rekordy w trakcie ładowania systemu, a jeżeli pozostają zalogowani do sieci, odświeżanie następuje co 24 godziny. Okres odświeżania jest ważny również przez siedem dni. Jeżeli po upływie okresu wartość starzenia nie zostanie odświeżona, rekord zostanie usunięty podczas procesu oczyszczania.

Oczyszczanie może być inicjowane ręcznie za pomocą menu Properties (Właściwości), dostępnego po kliknięciu prawym przyciskiem myszy ikony strefy, jak również może być inicjowane przez harmonogram dostępny we właściwościach serwera DNS (więcej informacji znajdziesz w części „Konfiguracja oczyszczania”).

Jeżeli użytkownik wyjeżdża na wakacje na dłużej niż jeden tydzień i pozostawia wyłączony komputer, rejestracja rekordów A i PTR ulegnie zestarzeniu, w związku z czym rekordy zostaną usunięte podczas oczyszczania. Nie jest to jednak tragedią, gdyż użytkownik nie traci w ten sposób żadnych przywilejów ani funkcji. Gdy po powrocie z wakacji użytkownik włączy komputer i zaloguje się do sieci, system ponownie go zarejestruje tworząc przy tym nowy rekord zasobów.

Przesyłanie danych WINS

DNS w Windows 2000 kontynuuje przesyłanie danych WINS, które zostało zapoczątkowane w NT4. Przesyłanie WINS robi użytek z dwóch specjalnych rekordów zasobów: rekordu WINS i rekordu WINS-R (reverse — odwrotny). Wskazują one serwery WINS, do których DNS może przesłać zapytania, gdy serwery nie mogą być zlokalizowane na tablicy strefowej.

Dynamiczny DNS eliminuje potrzebę przesyłania danych WINS w czystym środowisku Windows 2000, jakkolwiek potrzeba taka wciąż występuje w przypadku posiadania klientów niższego poziomu, nie korzystających z dynamicznej rejestracji DNS.

Istnieje możliwość całkowitej eliminacji przesyłania danych WINS, jeżeli wszyscy klienci niższego poziomu są klientami DHCP. Specjalna właściwość proxy w DHCP Windows 2000 może odgrywać rolę rejestracji DNS dla klientów, którzy nie posiadają tej właściwości. Więcej informacji na ten temat znajdziesz w rozdziale pt. „Konfiguracja DHCP wspomagająca DNS”.

Format najczęściej używanych rekordów zasobów

W tej części rozdziału zostaną omówione funkcje, zawartości i wpisy tablic strefowych dla rekordów zasobów najczęściej używanych w DNS Windows 2000. Zdaję sobie sprawę, że analiza struktury rekordów baz danych jest tak samo zabawna, jak żucie rozgrzanych żyłek naciągu rakiety tenisowej, niemniej jednak znajomość struktury rekordów może być bardzo przydatna podczas rozwiązywania problemów albo polepszania jego wydajności. W tej części znajdziesz opis następujących rekordów:

• SOA (Start Of Authority — Początek uwierzytelniania)

• A (Host)

• NS (Name Server — Serwer nazw)

• CNAME (Alias)

• PTR (Pointer — Wskaźnik)

• SRV (Service Lokator — Lokalizator usług)

W celu uzyskania kompletnego wykazu i opisu funkcjonalnego wszystkich rekordów zasobów DNS, polecam zapoznanie się z pozycją Windows NT DNS, autorstwa Micheala Mastersona i Hermana Kniefa.

Rekord SOA (Start Of Authority)

Każde drzewo domeny DNS posiada serwer SOA, który przechowuje podstawową tablicę strefową. Rekord SOA identyfikuje serwer główny wraz z dodatkowymi informacjami, takimi jak adres e-mail jego administratora, czy dane TTL (Time-To-Live — Okres istnienia). Na rysunku 5.8 widoczny jest rekord SOA, który zaczyna się od następujących wierszy tablicy strefowej:

; Database file company.com.dns. for company.com. zone

; Zone version: 1

;

@ IN SOA phx-dc-01. administrator.company.com (

1 ; serial number (numer seryjny)

900 ; refresh (odśwież)

600 ; retry (ponów próbę)

86400 ; expire (wygaśnij)

3600 ); minimum TTL (min czas istnienia)

Poniżej omówione zostały wszystkie wpisy rekordu:

• @. Wskazuje, że jest to domena główna.

• IN. Oznacza rekord jako rekord klasy „Internet”. Jest to najbardziej ogólna klasa rekordów. Inne klasy, takie jak np. Hesiod, są używane tylko w specjalnych środowiskach. Jeżeli klasa nie zostanie wyraźnie określona, DNS Windows 2000 zakłada, że rekord należy do klasy IN.

• Serial number (Numer seryjny). Jest to licznik, który śledzi zmiany w bazie danych. Właśnie ten licznik kontroluje transfery strefowe. Numer wersji w nagłówku pliku strefy musi pokrywać się z numerem seryjnym w rekordzie SOA.

• Refresh interval (Interwał odświeżania). Opcja ta określa czas, w jakim pomocniczy serwer DNS ma czekać przed wysłaniem pytania o aktualizację. Domyślnie okres ten jest równy 15 minutom.

• Retry interval (Interwał ponowienia próby). Ta opcja określa przedział czasu, po jakim pomocniczy serwer DNS ma, po nieudanej próbie, ponownie spróbować ustanowić połączenie z serwerem głównym.

• Expire time (Czas wygasania). Jest to okres, podczas którego pomocniczy serwer DNS odpowiada na zapytania po wystąpieniu błędu podczas ściągania tablicy strefowej. Domyślnie okres ten jest równy 24 godzinom. Oznacza to, że możesz przerwać pracę głównego serwera DNS na taki okres czasu, w którym klienci będą skonfigurowani do używania adresu IP serwera pomocniczego.

• Minimum TTL (Min. czas istnienia). Klienci i serwery DNS buforują rekordy zasobów, aby przyspieszyć późniejsze zapytania o ten sam rekord. Wartość Minimum TTL określa czas, przez jaki dany rekord ma być przechowywany w pamięci podręcznej. Poszczególne rekordy mogą posiadać różne wartości TTL. Indywidualne określenie ustawień TTL ma wyższy priorytet niż domyślna wartość SOA w serwerze DNS Windows 2000.

Rekord A (Host)

Najczęstszym zapytaniem DNS jest pytanie o adres IP hosta. Rekord A zawiera właśnie tę informację. Na rysunku 5.10 przedstawiony został przykład rekordu. Microsoft zdecydowanie bardziej woli nazwę rekord Host niż rekord A (Address), który bazuje na nazewnictwie przyjętym przez RFC. Format rekordów jest jednak taki sam (dla A i Host), a wpisy w tablicy strefowej są wymienne pomiędzy Windows 2000 i BIND.

Rysunek 5.10. Rekord A (Host) udostępniający nazwę i adres IP hosta

Poniżej przedstawiony został fragment tablicy strefowej:

; Zone records

phx-dc-01 1200 A 10.1.1.1

phx-w2kp-002 1200 A 10.1.200.233

phx-w98-001 1200 A 10.1.10.3

www 1200 A 10.1.10.103

A 10.1.10.104

A 10.1.10.105

• Kolumna 1. określa nazwę hosta. DNS Windows 2000 nie określa klasy rekordu IN. Gdyby określenie klasy było uwzględnione w rekordzie A, wpis wyglądałby następująco:

phx-dc-01 IN 1200 A 10.1.1.1.

• Kolumna 2. określa wartość TTL. Wartość ta nadpisuje domyślną wartość TTL w rekordzie SOA. Nie należy to do standardu funkcjonalnego BIND.

• Kolumna 3. określa typ rekordu.

• Kolumna 4. określa adres IP hosta. Host może posiadać kilka adresów IP. W takim przypadku wszystkie alternatywne adresy należy wypisać jeden pod drugim, tak jak jest to widoczne na powyższym przykładzie.

DNS i działania okrężne Jeżeli posiadasz więcej niż jeden rekord A zawierający ten sam adres IP, DNS zamiennie krąży pomiędzy adresami odpowiadając na kolejne zapytania. Taka procedura wyrównuje obciążenie serwerów. Przykładowo, mamy do czynienia z dwoma serwerami intranetowymi, posiadającymi te same pliki HTML. Nazwy serwera to www1.company.com i www2.company.com. Jeżeli umieści się w DNS dwa rekordy A pod nazwą www.company.com i przypisze im dwa adresy IP serwerów, to przychodzące zgłoszenia z przeglądarek klientów będą równomiernie rozdzielane pomiędzy dwoma komputerami. Jeżeli chcesz, aby DNS zwracał ten sam adres IP bez względu na ilość wskazywanych adresów, wyłącz opcję rekursji, stosując się do poniższej instrukcji: Procedura 5.4. Wyłączanie opcji działań okrężnych Otwórz konsolę DNS. Prawym przyciskiem myszy kliknij ikonę serwera DNS, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Wyświetlone zostanie okno Properties (Właściwości). Otwórz zakładkę Advanced (Zaawansowane). W części Server Options (Opcje serwera) usuń zaznaczenie opcji Enable Round Robin (Włącz działania okrężne). Kliknij OK, aby zapisać zmiany i zamknąć okno. Zamknij konsolę DNS.

Rekord NS (Name Server — Serwer nazw)

Oprócz rekordów SOA i A każdy plik strefowy posiada przynajmniej jeden rekord NS. Rekord ten zawiera nazwę i adres IP podstawowego serwera DNS i dowolnych delegowanych serwerów. Serwery delegowane pomagają serwerowi głównemu w odpowiadaniu na otrzymane zapytania klientów. Windows 2000 udostępnia specjalny kreator konfigurujący delegacje do odpowiednich serwerów. Instrukcja korzystania z kreatora została przedstawiona w dalszej części rozdziału zatytułowanej „Konfiguracja stref hierarchicznych”.

Rekordy NS mogą być przeglądane za pomocą zakładki Name Servers (Serwer nazw) dostępnej w oknie Properties (Właściwości). Na rysunku 5.11 widoczny jest przykładowy rekord zawierający podstawowy serwer nazw phx-dc-01.company.com wraz z ser­werem delegowanym alb-dns-01.branch1.company.com.

Rysunek 5.11. Rekordy NS dostępne w oknie właściwości strefy

Rekordy serwera nazw dla delegowanej domeny przyjmują specjalny format w tablicy strefowej.

; Zone NS records

@ NS phx-dc-01.company.com

;

; Delegated sub-zone: branch1.company.com

;

branch1 NS alb-dns-01.branch1.company.com.

alb-dns-01.branch1 A 10.2.1.1

; End delegation

Rekord CNAME (Alias)

Ten typ rekordu został nazwany przez RFC rekordem CNAME — Canonical Name (Nazwa kanoniczna). Microsoft używa jednak innej nazwy rekordu — Alias (Nazwa umow­na), która stanowi lepszy opis rekordu, a poza tym jest łatwiejsza w wymowie. Rekord Alias wskazuje rekord A dla danego hosta.

Gdy klient wysyła żądanie rekordu A dla danej nazwy hosta, a istniejący rekord CNAME posiada tę samą nazwę, DNS zwraca dwa rekordy — CNAME i A. Rysunek 5.12 przedstawia przykład rekordu CNAME.

Rysunek 5.12. Przykład rekordu CNAME

W tablicy strefowej zapis rekordu CNAME mógłby wyglądać następująco:

dns CNAME phx-dc-01.company.com.

Przykład używa dns jako aliasu dla kontrolera domeny, który jest również serwerem DNS. Korzyścią płynącą z używania rekordów CNAME, zamiast wielu rekordów A zawierających różne nazwy i ten sam adres IP, jest fakt, że w przypadku zmiany adresu IP hosta wystarczy zmienić tylko jeden rekord zamiast kilku rekordów A.

Rekord PTR (Pointer — wskaźnik)

Tablica domeny odwrotnej używa rekordów PTR do sortowania spisu według adresów IP, a nie według nazw. Odwrotne strefy wyszukiwania zostały wcześniej opisane w części „Domeny podstawowe i domeny odwrotne”. Ujmując rzecz w jednym zdaniu, odwrotne strefy wyszukiwania przechowują adresy IP w odwrotnym formacie, tak aby DNS mógł wyszukać je używając zapisu z prawej do lewej strony — grupując nazwy domen DNS w odpowiednie podgrupy. Odwrotny obszar wyszukiwania korzysta ze specjalnej domeny in-addr.arpa. Na rysunku 5.13 przedstawiony został przykładowy rekord PTR.

Rysunek 5.13. Rekord PTR — odwrotnie zapisany adres IP widoczny jest w polu Subnet (Nazwa podsieci), a adres zapisany standardowo widoczny jest w polu Host IP Number (Numer IP hosta)

Na rysunku widoczny jest odwrotny zapis adresu IP w polu Subnet (Nazwa podsieci) oraz zapis standardowy w polu Host IP Number (Numer IP hosta). Poniżej przedstawiony został fragment tablicy strefowej, prezentujący rekordy PTR dla adresu 1.10.in-addr.arpa:

200.1 PTR www.company.com

150.1 PTR phx-w2ks-03.company.com

30.1 PTR phx-w2kp-021.company.com.

Rekord SRV (Service Locator — Lokalizator usług)

Rekord SRV jest stosunkowo nowym typem rekordu porównywalnym ze standardowymi rekordami A i CNAME. Rekord został przedstawiony w RFC 2052 „A DNS RR for Specyfying the location of services (DNS SRV)”. Rekord SRV definiuje hosta, który udostępnia specjalne usługi.

W Windows 2000 rekord jest używany do lokalizacji usług Active Directory i Kerberos, takich jak LDAP (Lightweight Directory Access Protocol — Prosty protokół dostępu do katalogów) w porcie 389 TCP, Kerberos w porcie 88 TCP, KCPP (Kerberos Change Password Protocol — Protokół zmiany hasła w systemie Kerberos) w porcie 464 TCP, usługi katalogu globalnego w porcie 3286 TCP oraz tych samych usług w portach UDP.

Rysunek 5.14 przedstawia przykład rekordu SRV. Szczegółowe informacje na temat używania rekordu SRV w celu wspomagania dostępu do usług Active Directory zostały omówione w rozdziale 7. „Usługi Active Directory”.

Rysunek 5.14. Rekord SRV — usługa _ldap w porcie 389 TCP

Poniższy fragment tablicy strefowej przedstawia rekordy SRV dla kilku usług Active Directory. Podkreślenia znajdujące się przed nazwami plików wynikają z formatu RFC 2052, jakkolwiek planuje się w przyszłości ich usunięcie.

_gc._tcp 600 SRV 0 100 3268 phx-dc-01.company.com.

_kerberos._tcp 600 SRV 0 100 88 phx-dc-01.company.com.

_kpasswd._tcp 600 SRV 0 100 464 phx-dc-01.company.com.

_ldap._tcp 600 SRV 0 100 389 phx-dc-01.company.com.

Trzy kolumny znajdujące się po kolumnie SRV wymagają wyjaśnienia. Kolumny kolejno określają priorytet, wagę i port.

• Priorytet. Jeżeli kilka serwerów oferuje tą samą usługę, istnieje możliwość przypisania im różnych priorytetów w oparciu o ich możliwości. Im niższy numer przypisany w rekordzie, tym wyższy priorytet. Wszystkie rekordy SRV Active Directory używają priorytetu 0.

• Waga. Gdy kilka hostów posiada ten sam priorytet, klient wybiera pomiędzy nimi używając współczynnika wagi. Wszystkie rekordy SRV Active Directory używają współczynnika wagi równego 100.

• Port. Port TCP albo UDP jest używany przez protokół. Na przykład _ldap używa dobrze znanego portu 389 TCP.

Gdy klient chce poznać serwer, który udostępnia daną usługę, wysyła zapytanie do serwera DNS prosząc o rekord SRV dla danej usługi. Serwer DNS przeszukuje wszystkie rekordy SRV i zwraca te, które odpowiadają zgłoszeniu klienta. Jeżeli na liście obecnych jest kilka serwerów, klient dokonuje wyboru na podstawie priorytetów i wag. Jeżeli wszystkie współczynniki są sobie równe, wybór dokonywany jest losowo.

Znając szczegóły struktur i funkcji rekordów zasobów używanych w Windows 2000, zapoznajmy się ze sposobem obsługi zapytań, aby dowiedzieć się, w jaki sposób klienci używają rekordów do rozwiązywania nazw w adresy IP.

Funkcjonalny opis obsługi zapytań DNS

W tej części rozdziału zamieszczony został opis obsługi zapytań DNS, z uwzględnieniem kilku możliwych scenariuszy:

• Zapytanie obsługiwane przez wiarygodny serwer

• Zapytanie obsługiwane przez niewiarygodny serwer

• Zapytanie wyszukiwania odwrotnego

Znajomość sposobu obsługi zapytań DNS jest bardzo pomocna podczas projektowania systemu DNS i integrowania usług nazw Windows 2000 z istniejącą strukturą DNS.

Zapytanie obsługiwane przez wiarygodny serwer

Załóżmy na przykład, że użytkownik komputera Windows 2000 w domenie DNS company.com otwiera notatnik i próbuje uzyskać dostęp do pliku znajdującego się na serwerze phx-w2ks-02. Z punktu widzenia DNS cały proces przebiega następująco:

Procedura 5.5.

Funkcjonalny opis obsługi zapytań DNS przez wiarygodny serwer nazw

1. Program klienta Microsoft, LAN Manager Workstation, wraz ze swoim sieciowym systemem plików, MRXMB.SYS, tworzy komunikat SMB, aby zainicjować sesję z phx-dc-02.

20. Program przekazuje komunikat SMB do sterownika TCP/IP (TCPIP.SYS), informujący o konieczności spakowania wiadomości i przesłania jej. TCPIP.SYS wraz z pomocnikiem NetBIOS przez TCP/IP (NETBT.SYS) tworzy datagram dla wiadomości SMB, Transmisja SMB zorientowana sesyjnie korzysta z portu
    139 TCP.

21. TCPIP.SYS potrzebuje adresu IP serwera phx-dc-02, aby móc utworzyć pakiet IP. By otrzymać adres, TCPIP korzysta z wewnętrznego programu DNS rozwiązującego nazwy.

22. Program wysyła błyskawiczne zapytanie do swojego serwera DNS. Zapytanie zawiera:

• Pełną złożoną nazwę DNS docelowego komputera. W tym przypadku
  phx-dc-02.company.com.

• Typ rekordu żądanego zasobu. W tym przypadku jest to prosta nazwa hosta, więc zapytanie dotyczy rekordu A.

• Klasę rekordu zasobu. Prawie zawsze jest to klasa IN (Internet). Inne klasy są używane tylko w bardzo specyficznych okolicznościach.

23. Gdy serwer DNS otrzyma zapytanie, rozkłada nazwę hosta od prawej do lewej strony, tak aby otrzymać domenę DNS — company.com.

24. W tym przypadku serwer DNS jest wiarygodny dla żądanej strefy, dlatego też rozpoczyna się przeszukiwanie tablicy strefowej w celu znalezienia określonego rekordu zasobów.

25. Gdy serwer DNS znajdzie rekord A dla serwera phx-dc-02, odsyła całą zawartość rekordu do klienta w postaci DNS Query Response — Odpowiedzi na zapytanie DNS. Jeżeli rekord A nie zawiera wartości TTL, serwer DNS umieszcza w nim minimalną wartość TTL pobraną z rekordu SOA dla danej strefy. Domyślnie wartość TTL jest równa jednej godzinie (3600 sekund).

Jeżeli serwer DNS nie może znaleźć żądanego rekordu, zwraca odpowiedź Record Not Found (Rekord nie został znaleziony). Serwer wiarygodny dla danej strefy nie konsultuje rezultatu poszukiwań z innymi serwerami DNS. Gdy program rozwiązujący nazwę hosta otrzyma od serwera DNS negatywną odpowiedź, bez zastanowienia zwraca błąd do aplikacji.

26. Teraz, gdy program rozwiązujący nazwę hosta otrzymał z serwera adres IP, sterownik TCPIP.SYS musi wykonać trochę pracy. Najpierw, za pomocą adresu IP otrzymanego z rekordu A, tworzy pakiet IP. Następnie, używając protokołu ARP, znajduje adres MAC związany z danym adresem IP. Na końcu przekazuje pakiet i adres MAC do NDIS, który tworzy ramkę transmisji i wysyła pakiet do docelowego serwera.

27. TCPIP.SYS przekazuje również rekord A do usługi buforującej nazwę DNS, która przechowuje rekord przez czas określony w zmiennej TTL.

Zawartość pakietu DNS Znajomość zawartości wiadomości DNS może być naprawdę kształcąca. Network Monitor (Monitor sieci), który został udostępniony przez Windows 2000, jest znakomitym narzędziem do przechwytywania i sprawdzania pakietów, które są transmitowane przez lokalny interfejs sieciowy. Na rysunku 5.15 widoczny jest przechwycony pakiet, który zawiera odpowiedź na zapytanie dotyczące hosta (rekord A). Odpowiedź wysłano z wiarygodnego serwera DNS. Kluczowymi elementami pakietu są: Wpis UDP. Wpis ten wskazuje, że zapytanie DNS używa portu 53 UDP. Jest to dobrze znany port DNS. Flagi DNS. Serwer pokazuje, ze jest serwerem wiarygodnym dla domeny, wspomaga zapytania rekurencyjne oraz informuje, że nie było żadnych błędów w odpowiedzi. Część pytań DNS. Ta część pakietu zawiera kopię oryginalnego zapytania DNS dotyczącego rekordu hosta dla phx-dc-01.company.com. Część odpowiedzi DNS. Ta część odpowiedzi zawiera informacje rekordu A dla phx-dc-02.company.com, łącznie z adresem IP i domyślną wartością TTL pobraną z rekordu SOA.

Rysunek 5.15. Przechwycony pakiet przedstawiający odpowiedź na standardowe zapytanie DNS

Jeżeli posiadasz serwer DNS wewnątrz zapory sieciowej i potrzebujesz wysłać zapytanie do głównego serwera InterNIC albo innego publicznego serwera nazw, musisz udostępnić port 53 UDP w zaporze albo skonfigurować Twój serwer DNS do używania NAT lub proxy w celu uzyskania dostępu do Internetu. Serwer DNS Windows 2000 odpowiada na zapytania DNS używając tego samego interfejsu, który jest używany do otrzymywania zapytań. Dlatego też udostępnienie portu 53 UDP jest wystarczające do obsługi zapytań i odpowiedzi DNS.

Praca z usługą buforującą nazwę DNS Windows 2000 udostępnił bardzo przydatne narzędzie IPCONFIG, którego zadaniem jest pomoc w pracy z DNS. IPCONFIG /flushdns. Opcja czyści zawartość pamięci podręcznej DNS bez zatrzymywania i ponownego uruchamiania usługi buforującej. IPCONFIG /displaydns. Opcja wyświetla aktualną zawartość pamięci. Jest niesamowicie przydatna podczas wykrywania przyczyny powstałych błędów. IPCONFIG /registerdns. Opcja rejestruje nazwę komputera za pomocą dynamicznego DNS. Aby dowiedzieć się, w jaki sposób nazwy domeny DNS są wybierane do rejestracji, zapoznaj się z częścią „Dynamiczna aktualizacja stref”. Jednym z powodów, dla którego wywołanie /flushdns jest tak istotne podczas rozwiązywania problemów jest fakt, że Windows 2000 implementuje warunki określone w RFC 2308 „Negative Caching of DNS Queries (DNS NCACHE)”. Oznacza to, że wszystkie rezultaty wyszukiwań (zarówno te błędne jak i dobre) są razem buforowane w pamięci podręcznej DNS. Z tego powodu może zaistnieć sytuacja, w której cały czas nieświadomie będziesz korzystał ze złego adresu IP, a jedynym rozwiązaniem takiego problemu jest właśnie wyczyszczenie pamięci za pomocą wywołania /flushdns.

Zapytanie obsługiwane przez niewiarygodny serwer

Postaraj się wyobrazić sobie sytuację, w której użytkownik próbuje uzyskać dostęp do pliku znajdującego się na serwerze, który nie wchodzi w skład twojej sieci lokalnej. Na przykład użytkownik otwiera przeglądarkę i chcę połączyć się z adresem www.white­house.gov. Aby prześledzić całą procedurę pomińmy szczegóły dotyczące 7. warstwy modelu OSI i skoncentrujmy się na zapytaniu DNS.

Procedura 5.6.

Funkcjonalny opis obsługi zapytań DNS przez niewiarygodny serwer nazw

1. Program rozwiązujący nazwę DNS wysyła rekurencyjne zapytanie do swojego serwera DNS prosząc o przysłanie rekordu A dla www.whitehouse.gov. Zapytanie rekurencyjne informuje serwer DNS, aby wykonał wszystkie czynności konieczne do rozwiązania nazwy.

28. Lokalny serwer DNS w domenie company.com nie posiada tablicy strefowej dla whitehouse.gov. Zapytanie rekurencyjne informuje serwer DNS, aby przesłał zapytanie do innego serwera DNS, lecz do którego? Właśnie w tym miejscu ważną rolę zaczyna odgrywać tablica root hints znajdująca się w pliku CACHE.DNS. Root hinst identyfikuje serwery na górze domeny. Ponieważ domena company.com jest uwzględniona w domenie InterNIC com, tablica root hints posiada listę głównych serwerów InterNIC. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału „Konfiguracja tablicy root hints”.

29. Po analizie pliku root hints, serwer DNS wysyła rekurencyjne zapytanie do głównego serwera InterNIC, mówiąc: „Wyślij mi rekord A dla www.whitehouse.gov albo podaj mi nazwę serwera, który może mi pomóc”.

30. Istnieje bardzo duże prawdopodobieństwo, że główny serwer InterNIC nie będzie posiadał rekordu A dla danego hosta. Jednakże główne serwery InterNIC posiadają rekordy NS (Name Server — Serwer nazw) wskazujące na serwery DNS, które zostały delegowane do przechowywania tablic strefowych dla domeny gov.

31. Główny serwer konsultuje się wówczas z rekordami NS i wyszukuje wiarygodny serwer dla nazwy whitehouse.gov. Zwraca zatem rekord A dla sec1.dns.psi.net wraz z adresem 38.8.92.2.

Śledzenie nazw Jeżeli jesteś ciekawy, skąd otrzymałem wymienione nazwy, zapoznaj się z dalszą częścią rozdziału „Sprawdzanie tablic strefowych za pomocą NSLOOKUP”.

32. Serwer DNS company.com wysyła teraz powtarzające zapytanie do sec1.dns.psi.net pytając o rekord A dla www.whitehouse.gov. Program rozwiązujący nazwę dla klienta ciągle cierpliwie czeka na odpowiedź.

33. Usługa DNS na serwerze sec1.dns.psi.net przeszukuje tablicę strefową dla whitehouse.gov i zwraca rekord A wraz z adresem 198.137.240.92.

34. Gdy serwer DNS company.com otrzyma rekord A dla www.whitehouse.gov, przesyła go do klienta, od którego pochodziło zapytanie. Rekord umieszczany jest również w pamięci podręcznej serwera w razie pojawienia się podobnego zapytania. Pamięć ta jest obsługiwana przez sterownik TCPIP.SYS, lecz czasy starzenia się są ciągle określane przez wartość TTL.

Kluczową sprawą podczas korzystania z niewiarygodnego serwera jest fakt, że wyszukiwanie opiera się na informacjach uzyskanych z pliku root hints. Jeżeli więc klient będzie znajdował się w prywatnym obszarze nazw DNS i będzie posiadał tylko wew­nętrzny serwer główny, którego plik root hints nie będzie posiadał informacji zawierał serwerów InterNIC, wyszukiwanie może zakończyć się niepowodzeniem.

Zapytania wyszukiwania wstecznego

W tym miejscu został przedstawiony sposób, w jaki DNS obsługuje odwrotne żądania wyszukiwania. Załóżmy, że użytkownik w domenie company.com o adresie 10.1.0.0 używa polecenia ping -a do znalezienia nazwy hosta 209.12.73.4.

Procedura 5.7.

Funkcjonalny opis odwrotnego wyszukiwania zapytań

1. Program rozwiązujący nazwę wysyła odwrotne zapytanie do serwera DNS prosząc o przysłanie rekordu PTR dla 4.73.12.209.in-addr-arpa.

35. Lokalny serwer DNS przekazuje zapytanie do jednego z głównych serwerów InterNIC, które stanowią początek wiarygodności dla strefy in-addr.arpa.

36. Główny serwer InterNIC nie posiada tablicy strefowej dla 73.12.209.in-addr.arpa, lecz posiada rekord NS dla serwera nazw, który przechowuje tablicę dla
    209.in-addr.arpa. W oparciu o rekord NS serwer zwraca adres IP serwera nazw posiadającego bardziej dokładne informacje o domenie.

37. Serwer DNS company.com wysyła do wyszukanego serwera nazw to samo zapytanie wyszukiwania wstecznego. Serwer nie posiada tablicy strefowej dla 73.12.209.in-addr.arpa, lecz posiada rekord NS dla nazwy serwera posiadającego strefę dla 12.209.in-addr.arpa.

38. Serwer DNS company.com ponownie wysyła to samo zapytanie do serwera wskazanego przez rekord NS. Dopiero ten serwer posiada tablicę dla
    73.12.209.in-addr.arpa. Następnie wyszukiwany jest rekord PTR i na podstawie jego zawartości zwracany jest rekord A zawierający nazwę hosta www.newmexico.com.

39. TCPIP.SYS przekazuje nazwę hosta do aplikacji Ping, która wyświetla ją wraz z odpowiedzią echa ICMP. Rekordy PTR i A są buforowane na wypadek pojawienia się tego samego zapytania.

Zapytania wyszukiwania odwrotnego nie są zbyt popularne, w związku z czym wielu administratorów nie tworzy stref takich wyszukiwań. Active Directory okazyjnie korzysta z opcji wyszukiwania odwrotnego, aby pomóc w znalezieniu rekordów SRV i ewen­tualnie w rozwiązywaniu problemów związanych z DNS. Z tego powodu nie warto poświęcać dużo czasu na tworzenie wyszukiwań odwrotnych i zarządzanie nimi.

Konfiguracja klientów DNS

Nadszedł już najwyższy czas, aby zainstalować DNS. Zanim to jednak uczynimy, przeprowadźmy konfigurację kilku klientów DNS, tak aby mogli korzystać z serwera. Klienci Windows 2000 potrzebują dwóch informacji dotyczących DNS:

1. Adresu IP serwera DNS albo serwerów, do których będą wysyłane zapytania.

40. Nazwy strefy, która będzie używana podczas wysyłania zapytań (nazwa ta jest również nazywana sufiksem DNS).

Informacje o adresie IP znajdują się w oknie TCP/IP Properties (Właściwości TCP/IP). Informacje o sufiksie DNS są dostępne w dwóch miejscach: w oknie TCP/IP Properties (Właściwości TCP/IP) dla interfejsu sieciowego i w oknie System Properties (Właściwości systemu) dla komputera. Te dwa wpisy posiadają osobne miejsca w rejestrze systemowym. Więcej informacji na ten temat znajdziesz we wcześniejszej części tego rozdziału zatytułowanej „Określenie nazwy domeny DNS”. Konfigurację rozpocznij jednak od właściwości TCP/IP.

Konfiguracja DNS we właściwościach TCP/IP

Posiadając odpowiednie informacje, możesz skonfigurować klienta DNS zgodnie z poniższą instrukcją:

Procedura 5.8.

Konfiguracja DNS dla właściwości interfejsu TCP/IP

1. Prawym przyciskiem myszy kliknij ikonę My Network Place (Moje miejsce sieciowe), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Wyświetlone zostanie okno Network and Dial-up Connections (Połączenia sieciowe i telefoniczne).

41. Prawym przyciskiem myszy kliknij ikonę Local Connection (Połączenie lokalne) i z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Local Connection Properties (Właściwości: Połączenie lokalne).

42. Kliknij dwukrotnie pozycję Internet Protocol — TCP/IP (Protokół internetowy
    — TCP/IP), aby wyświetlić okno właściwości.

43. Kliknij przycisk Advanced (Zaawansowane). Wyświetlone zostanie okno Advanced TCP/IP Settings (Zaawansowane ustawienia TCP/IP).

44. Otwórz zakładkę DNS.

45. W części DNS Server Addresses (Adresy serwera DNS) kliknij przycisk Add (Dodaj). Pojawi się okno TCP/IP DNS Server (Serwer DNS TCP/IP).

46. Wprowadź adres IP serwera DNS, a następnie kliknij Add (Dodaj), by dodać do listy nową pozycję. W ten sposób możesz wprowadzić dowolną liczbę serwerów.

47. Pole DNS Suffix for This Connection (Sufiks domeny DNS dla tego połączenia) pozostaw puste. Nie zaznaczaj opcji Use This Connection's DNS Suffix in DNS Registration (Użyj sufiksu domeny DNS tego połączenia do rejestracji DNS). W następnej sekcji została omówiona konfiguracja opcji w oknie System Properties (Właściwości systemu).

48. Kliknij OK, aby zachować wprowadzone zmiany i zamknąć okno.

49. Kliknij OK, aby powrócić do okna TCP/IP Properties (Właściwości TCP/IP).

50. Kliknij OK, aby zamknąć okno i uaktualnić wpis w rejestrze systemowym.

Używanie kilku serwerów DNS

Istnieje możliwość konfiguracji klienta w taki sposób, aby mógł używać kilku serwerów DNS. Jeżeli pierwszy serwer na liście nie będzie odpowiadał, zapytanie zostanie wysłane do drugiego serwera. W przeciwnym wypadku drugi serwer nie będzie używany.

Konfiguracja DNS we właściwościach systemu

Sufiks DNS, umieszczony w oknie System Properties (Właściwości systemu), jest używany jako podstawowy sufiks służący do tworzenia pełnych nazw FQDN oraz do rejestrowania komputera w dynamicznym DNS. Osiągniesz znacznie lepsze rezultaty używając sufiksu zamieszczonego w tym oknie, niż zamieszczonego w oknie właściwości TCP/IP. Po zmodyfikowaniu ustawień systemowych konieczne jest ponowne uruchomienie systemu.

Procedura 5.9.

Konfiguracja DNS w oknie System Properties (Właściwości systemu)

1. Prawym przyciskiem myszy kliknij ikonę My Computer (Mój komputer), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno System Properties (Właściwości systemu).

51. Otwórz zakładkę Network Identification (Identyfikacja sieci).

52. Kliknij przycisk Properties (Właściwości). Wyświetlone zostanie okno Identification Changes (Zmiany identyfikacji).

53. Kliknij przycisk More (Więcej). Pojawi się okno DNS Suffix and NetBIOS Computer Name (Sufiks domeny DNS i nazwa komputera NetBIOS).

54. Wprowadź nazwę domeny DNS. Nie zapomnij zaznaczyć opcji Change Primary DNS Suffix when Domain Membership Changes (Zmień podstawowy sufiks domeny DNS wraz ze zmianą członkostwa w domenie). Dzięki temu domena DNS serwera pokrywa się z jego domeną Active Directory.

55. Kliknij OK, aby zapisać zmiany.

56. Kliknij OK, aby powrócić do okna System Properties (Właściwości systemu). Pojawi się komunikat, iż niezbędne jest ponowne uruchomienie systemu.

57. Kliknij OK, a następnie ponownie kliknij OK, by zamknąć okno System Properties (Właściwości systemu). Znowu pojawi się komunikat informujący o konieczności ponownego uruchomienia systemu — zrestartuj zatem komputer.

Po kompletnej konfiguracji klientów, skorzystaj z polecenia IPCONFIG /all i jeszcze raz upewnij się, że wprowadzona konfiguracja jest prawidłowa. Następnie możesz z po­wodzeniem przejść do instalacji serwera DNS.

Instalacja i konfiguracja DNS

Z pewnością myślisz, że zbyt wiele czasu i miejsca w książce poświęcono na teoretyczny opis serwera DNS, zamiast od razu skupić uwagę na jego instalacji. Szczerze mówiąc w pełni się z tym zgadzam. Zatem do dzieła.

Jeżeli posiadasz już serwery DNS NT4, możesz zaktualizować je i dostosować do Windows 2000. Aktualizacja zachowuje wszystkie istniejące ustawienia serwera i tablice strefowe. Jako pierwszą zaleca się aktualizację serwera podstawowego, a dopiero potem serwera pomocniczego. Dzięki temu właściwość przyrostowego transferu tablic zostanie automatycznie udostępniona. Klienci Windows 2000, automatycznie rejestrowani w dynamicznym DNS, rozprzestrzenią się, a ilość rekordów DNS dramatycznie wzrośnie. Właśnie w takim przypadku bardzo pomocny jest przyrostowy transfer tablicy strefowej.

Jeżeli posiadasz serwery inne niż DNS Windows 2000, istnieje wymóg, aby serwery wspierały RFC 2136 „Dynamic DNS” i RFC 2052 „A DNS RR for Specyfying the Location of Services (DNS SRV)”. Warunek ten spełnia DNS NetWare 5.0, podobnie jak BIND 8.1.2 i jego wyższe wersje.

Zarządzanie DNS z wiersza poleceń Konsola DNS w Windows 2000 oferuje dużo lepsze możliwości niż Manager DNS (Menedżer DNS) w NT4. Zapewne większość administratorów przyzna mi rację, że gdy zachodzi potrzeba wykonania naprawdę poważnych operacji sieciowych, możliwość skorzystania z wiersza poleceń może być bardzo pomocna. Windows 2000 Resource Kit udostępnia narzędzie wiersza poleceń, nazywane DNSCMD. Za pomocą DNSCMD możesz wykonać dowolną czynność, którą można wykonać za pomocą konsoli DNS. Możesz dodawać i usuwać rekordy zasobów, wyświetlać zawartość stref, ponownie ustawiać usługi DNS, dokonywać katalogowego integrowania strefy, oczyszczać stare dynamiczne rekordy, a także czyścić podręczną pamięć DNS. Program ten udostępnia pomoc dotyczącą składni poleceń, zawiera również wiele przykładów. Jeżeli zamierzasz zarządzać wieloma serwerami, zapoznanie się z tym narzędziem może być naprawdę pomocne.

Gdy jesteś gotowy do instalacji usługi DNS, wykonaj poniższą instrukcję. Ponieważ będziesz musiał zainstalować sterowniki i wspomagające pliki, potrzebny będzie dysk CD Windows 2000.

Procedura 5.10.

Instalacja sterowników DNS

1. Za pomocą okna Control Panel (Panel sterowania) otwórz aplet Add/Remove Programs (Dodaj/Usuń Programy).

58. Kliknij przycisk Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows). Kreator składników Windows wyświetli okno przedstawiające wszystkie dostępne składniki systemu.

59. Zaznacz pozycję Networking Services (Usługi sieciowe) i kliknij przycisk Details (Szczegóły). Pojawi się okno Networking Services (Usługi sieciowe).

60. Zaznacz Domain Name System — DNS (System nazw domen — DNS), a następnie kliknij OK, by zapisać zmiany i powrócić do okna Windows Components (Składniki Windows).

61. Kliknj Next (Dalej). Wyświetlone zostanie okno Configuring Components (Składniki konfiguracji), a kreator rozpocznie ładowanie sterowników. Po pomyślnym zakończeniu procesu ładowania, kreator wyświetli stosowny komunikat.

62. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli Add/Remove Programs (Dodaj/Usuń Programy).

63. Zamknij okno Add/Remove Programs (Dodaj/Usuń Programy).

W tym miejscu możesz rozpocząć konfigurację usługi. Nie ma potrzeby restartowania komputera. Rozpocznij od utworzenia prostej strefy wyszukiwania dla swojego obszaru nazw DNS oraz jednej albo kilku odwrotnych stref wyszukiwania dla numerów sieciowych. W dalszej części rozdziału znajdziesz dokładne instrukcje dotyczące obu czynności.

Inicjacja DNS Usługa DNS jest uruchamiana automatycznie podczas inicjalizacji systemu. Istnieje jednak możliwość samodzielnego uruchomienia i zatrzymania DNS za pomocą wiersza poleceń net stop i net start. Jeżeli DNS został skonfigurowany jako standardowy serwer główny albo pomocniczy, tablice strefowe są inicjalizowane na podstawie wpisu w rejestrze HKLM|System|CurrentControlSet|Services|DNS|Zones. Każda strefa posiada osobny klucz, za pomocą którego można definiować nazwę pliku bazy danych, a także określać, czy zezwolona jest dynamiczna aktualizacja, i czy aktualizacja musi pochodzić od bezpiecznych klientów. Uruchomienie usługi DNS zintegrowanej katalogowo powoduje inicjalizację tablic strefowych, które bazują na rejestrze systemowym i usłudze Active Directory.

Tworzenie domeny podstawowej

Pierwsza prosta strefa wyszukiwania powinna być przeznaczona dla głównego obszaru nazw DNS. W publicznym obszarze nazw Company, służącym nam w tym rozdziale jako przykład, pierwsza strefa mogłaby być dla domeny company.com. W tym celu należałoby wykonać następującą instrukcję:

Procedura 5.11.

Tworzenie prostej strefy wyszukiwania

1. Otwórz konsolę DNS za pomocą menu Start|Programs (Programy)|Administrative Tools (Narzędzia administracyjne)|DNS. Drzewo DNS wyświetli serwer lokalny i dwie puste gałęzie dla prostej i odwrotnej strefy wyszukiwania.

64. Prawym przyciskiem myszy kliknij ikonę Forward Lookup Zone (Strefa wyszukiwania do przodu), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator strefy.

65. Kliknij przycisk Next (Dalej). Pojawi się okno Zone Type (Typ strefy) — rysunek 5.16. Pozostaw zaznaczony wybór opcji Standard Primary (Podstawowa standardowa).

Rysunek 5.16. Okno Zone Type (Typ strefy) kreatora nowej strefy — pozostaw domyślnie wybraną opcję

66. Kliknij przycisk Next (Dalej). Pojawi się okno Zone Name (Nazwa strefy)
    — rysunek 5.17. Wprowadź nazwę strefy. Na przykładzie widoczny jest wpis dla publicznego obszaru nazw DNS.

Rysunek 5.17. Okno Zone Name (Nazwa strefy)

67. Kliknij przycisk Next (Dalej). Pojawi się okno Zone File (Plik strefy). Nazwa tablicy strefy powinna pokrywać się z nazwą strefy oraz powinna posiadać rozszerzenie .DNS. Jeżeli posiadasz już plik tablicy strefy, możesz importować go za pomocą opcji Use This Existing File (Użyj istniejącego pliku).

68. Kliknij przycisk Next (Dalej). Kreator wyświetli okno podsumowania.

69. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli DNS. Nowa strefa pojawi się jako folder pod ikoną Forward Lookup Zones (Strefa wyszukiwania do przodu) Proste strefy wyszukiwania. Zaznaczenie ikony danej strefy spowoduje wyświetlenie jej rekordów zasobów w prawym panelu —
    rysunek 5.18.

Rysunek 5.18. Konsola DNS wyświetlająca nową strefę wyszukiwania

Tworzenie domeny odwrotnej

Odwrotna strefa wyszukiwania obsługuje standardowe zapytania o rekordy A i SRV, a także obsługuje przupadki, w których klient zna adres IP hosta, ale jeszcze chce dowiedzieć się jego nazwy. Można oczywiście dowiedzieć się tego bez tworzenia odwrotnej tablicy wyszukiwania, lecz jej obecność może być bardzo pomocna podczas rozwiązywania problemów.

Procedura 5.12.

Tworzenie odwrotnej strefy wyszukiwania

1. Prawym przyciskiem myszy kliknij ikonę Reverse Lookup Zone (Strefa wyszukiwania wstecznego), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator tworzenia nowej strefy.

70. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Zone Type (Typ strefy). Pozostaw zaznaczony wybór opcji Standard Primary (Podstawowa standardowa).

71. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Reverse Lookup Zone (Strefa wyszukiwania wstecznego) — rysunek 5.19. W polu Network ID (Identyfikator sieci) wpisz część adresu podsieci. W przykładzie wykorzystany został adres sieci 10.x z 16-bitową maską podsieci, dlatego też w polu widoczny jest wpis 10.1. Każdy niepowtarzalny numer w drugim oktecie wymaga oddzielnej odwrotnej strefy wyszukiwania.

Rysunek 5.19. Okno Zone File (Plik strefy)

72. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Zone File (Plik strefy). Wszystkie domyślnie zaznaczone opcje pozostaw niezmienione. Nazwa tablicy strefowej powinna pokrywać się z nazwą strefy i powinna posiadać rozszerzenie .DNS. Jeżeli posiadasz już tablicę strefową, możesz importować ją w tym miejscu za pomocą Use This Existing File (Użyj istniejącego pliku).

73. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

74. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli DNS.

Po utworzeniu odwrotnej strefy wyszukiwania, utwórz kilka rekordów testowych, aby upewnić się, że powiązane z nimi rekordy PTR zostaną poprawnie utworzone. Następnie przetestuj strefę za pomocą klienta używającego narzędzia Ping.

Konfiguracja stref hierarchicznych

Po zainstalowaniu serwera DNS i utworzeniu pierwszej strefy, możesz przejść do insta­lacji dodatkowych stref, tworząc w ten sposób hierarchiczną strukturę obszaru nazw DNS.

Jeżeli posiadasz małą sieć, możesz prawdopodobnie z dużym powodzeniem korzystać z adresowania prostego, trzymając wszystkie rekordy zasobów w tej samej domenie. Jeżeli zarządzasz siecią w średniej firmie bazującej na TCP/IP, powinieneś zastanowić się nad zdefiniowaniem hierarchicznego obszaru nazw pasującego do Twojej strategii domen Windows 2000. Więcej informacji dotyczących Active Directory i projektowania DNS znajdziesz w rozdziale 8. „Projektowanie domen Windows 2000”.

Jeśli pracujesz dla dużej organizacji posiadającej rozległą sieć bazującą na TCP/IP, prawdopodobnie masz już do czynienia z hierarchiczną strukturą DNS. Duże firmy rozdzielające konta w różnych organizacjach mogą określać serwery na podstawie ich funkcjonalności, następnie na podstawie ich zakresu, potem według pionów organizacyjnych, a następnie na podstawie przynależności do firmy. W efekcie pełna nazwa FQDN może wyglądać następująco: oracle-w2ks-1379.sap.northamerica.it-consulting­.big­acctfirm.com.

Jeżeli zdecydowałeś się na utworzenie hierarchicznego obszaru nazw DNS, musisz zastanowić się nad lokalizacją danego serwera w jego strefie macierzystej albo nad utworzeniem nowej strefy dla serwera. Przypisanie podrzędnemu serwerowi jego własnej strefy niesie ze sobą korzyści związane z większą prędkością wyszukiwania oraz z redukcją natężenia transferu strefowego (jakkolwiek w Windows 2000 nie ma to aż takiego znaczenia z racji korzystania z transferu przyrostowego). Decyzja o rozdzieleniu poddomen na oddzielne strefy jest zazwyczaj oparta na raportach administratorów dotyczących wzajemnych relacji podsieci.

Używając oddzielnych stref, musisz skonfigurować serwery nazw w taki sposób, aby rozwiązywały zapytania pomiędzy strefami. Konieczne jest uwzględnienie dwóch następujących sytuacji:

1. Klienci DNS wysyłają w strefie podrzędnej zapytania dotyczące strefy nadrzędnej. Sytuacja wymaga konfiguracji pliku root hints.

75. Klienci DNS wysyłają w strefie nadrzędnej zapytania dotyczące strefy podrzędnej. Sytuacja wymaga konfiguracji delagacji.

Konfiguracja pliku root hints

Klienci wysyłają zapytania w strefie podrzędnej pytając o rekordy znajdujące się w strefie nadrzędnej. Rekordy te są rozwiązywane za pomocą pliku root hints znajdującego się na serwerze DNS w strefie podrzędnej. Na rysunku 5.20 widoczna jest domena nadrzędno - podrzędna DNS, a każda wyszczególniona w niej domena zawiera oddzielną tablicę strefową.

Rysunek 5.20. Konsola DNS przedstawiająca domeny nadrzędno — podrzędne jako oddzielne strefy

Procedura 5.13.

Konfiguracja pliku root hints

1. Otwórz konsolę DNS.

76. Prawym przyciskiem myszy kliknij ikonę serwera DNS, a z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

77. Otwórz zakładkę Root hints (Wskazówki dotyczące serwera głównego). Jeżeli okno nie posiada zakładki, zapoznaj się z poniższą adnotacją.

Odzyskiwanie pliku root hints Jeżeli otworzysz okno Properties (Właściwości) i nie znajdziesz w nim zakładki Root hints (Wskazówki dotyczące serwera głównego), serwer może nie być skonfigurowany jako serwer główny. Jeżeli posiadasz folder obok którego znajduje się kropka na górze drzewa DNS, to komputer jest serwerem głównym. Zgodnie z definicją, serwer główny nie posiada pliku root hints. Serwer posiada wprawdzie plik CACHE.DNS, lecz zawiera on tylko rekordy NS i A związane z tymże serwerem. Można przywrócić zakładkę Root hints (Wskazówki dotyczące serwera głównego) poprzez skasowanie strefy głównej (folder z kropką obok). Następnie należy otworzyć ponownie okno Properties (Właściwości) — zakładka Root hints (Wskazówki dotyczące serwera głównego) powinna zostać udostępniona.

78. Kliknij przycisk Add (Dodaj). Pojawi się okno Create New Record (Utwórz nowy rekord).

79. W pole Server Name (Nazwa sewera) wprowadź pełną nazwę DNS serwera głównego, z kropką albo bez kropki kończącej wpis.

80. W pole Server IP Address (Adres serwera IP) wprowadź adres IP serwera, a następnie kliknij przycisk Add (Dodaj), by dodać utworzony wpis do listy. Jeżeli serwer posiada kilka adresów, każdy z nich może zostać dodany do listy. Jeżeli chcesz, aby dany adres był używany do większości zapytań, przesuń go na górę listy za pomocą dostępnych przycisków Up (Góra) i Down (Dół).

81. Kliknij OK, aby zachować wprowadzone zmiany i powrócić do okna Properties (Właściwości). Upewnij się, ze serwer główny znajduje się na górze listy.

82. Kliknij OK, aby zapisać zmiany i zamknąć okno.

83. Za pomocą klienta z domeny podrzędnej sprawdź konfigurację używając narzędzia Ping względem hosta w domenie nadrzędnej. Proces może zająć chwilkę, lecz ostatecznie powinien zostać uwieńczony sukcesem.

Konfiguracja delegacji

W poprzedniej części omówiony został sposób obsługi zapytań dla hosta znajdującego się w wyższej domenie obszaru nazw DNS. Umożliwienie obsługi zapytań dla hosta znajdującego się w niższej domenie obszaru nazw wymaga trochę więcej pracy. Załóżmy, że znajdujesz się w domenie company.com i chcesz wywołać serwer alb-w2ks-11 znajdujący się w domenie branch1.company.com. Ping uruchamia zatem program rozwiązujący nazwy i wysyła zapytanie dla serwera alb-w2ks-11.branch1.company.com.

Serwer DNS w domenie company.com musi znaleźć rekord A dla serwera. Lecz serwer DNS posiada tylko jedną kopię tablicy strefowej company.com. Jedynym rozwiązaniem jest zatem wysłanie zapytania do serwera w domenie branch1.company.com. Tego typu transakcja nosi nazwę delegacji.

Serwery DNS zawsze delegują w dół, nigdy w górę. Z tego też powodu konfigurację delegacji w swoim obszarze nazw DNS rozpocznij od serwera głównego, a następnie kolejno przejdź do niższych serwerów.

Procedura 5.14.

Konfiguracja delegacji

1. Otwórz konsolę DNS.

84. Prawym przyciskiem kliknij nazwę strefy, a następnie z wyświetlonego menu wybierz New (Nowy)|Delegation (Pełnomocnictwo). Uruchomiony zostanie kreator pełnomocnictwa.

85. Kliknij przycisk Next (Dalej). Pojawi się okno Delegated Domain Name (Nazwa delegowanej domeny).

86. W polu Delegated Domain (Delegowana domena) wprowadź prostą nazwę podrzędnej domeny. Pełna nazwa zostanie utworzona automatycznie.

87. Kliknij Next (Dalej). Pojawi się okno Name Servers (Serwery nazw).

88. Kliknij przycisk Add (Dodaj). Pojawi się okno New Resource Record (Nowy rekord zasobu).

89. W pole Server Name (Nazwa serwera) wprowadź pełną nazwę wiarygodnego serwera strefy podrzędnej. W adnotacji „Wadliwe delegacje” przedstawiony został powód dlaczego wybór wiarygodnego serwera jest tak istotny.

90. W polu Address IP (Adres IP) wprowadź adres IP serwera nazw w domenie podrzędnej, a następnie kliknij przycisk Add (Dodaj), by dodać wprowadzony adres do listy.

91. Kliknij OK, aby zapisać wprowadzone zmiany i powrócić do okna Name Servers (Serwery nazw). Serwer pojawi się na liście Server Name (Nazwa serwera).

92. Kliknij przycisk Next (Dalej). Kreator wyświetli okno podsumowania.

93. Kliknij Finish (Zamknij), aby zapisać zmiany i zamknąć okno kreatora.

Drzewo DNS widoczne w lewym panelu konsoli DNS wyświetla domenę podrzędną znajdującą się w domenie nadrzędnej. W prawym panelu wyświetlony jest rekord NS dla serwera nazw podrzędnej domeny. Używając klienta DNS w nadrzędnej domenie za pomocą narzędzia Ping sprawdź pełnomocnictwo względem hosta znajdującego się w domenie podrzędnej. Działanie narzędzia Ping powinno zakończyć się powodzeniem.

Wadliwe pełnomocnictwa Bardzo częstym błędem pojawiającym się podczas konfiguracji pełnomocnictwa jest określanie serwera, który nie jest wiarygodny dla określonej domeny. Rezultat takiej konfiguracji nosi nazwę wadliwego pełnomocnictwa. Wadliwe pełnomocnictwo jest jak tykająca bomba. System pracuje poprawnie aż do momentu, w którym niewiarygodny serwer zwraca zły rekord spoza swojej pamięci podręcznej. Serwer DNS w domenie nadrzędnej przekazuje pytającemu klientowi złą odpowiedź i umieszcza ją w swojej pamięci podręcznej (cache), aby inni klienci mogli również z niej korzystać. Czy pamiętasz swoje odczucia, gdy odkryłeś, że Twoi rodzice są omylni? Cóż, klienci DNS, którzy otrzymali złe odpowiedzi z wadliwych delegacji, czują się podobnie. Upewnij się zatem, że utworzone delegacje dotyczą wiarygodnego serwera.

Konfiguracja pomocniczych serwerów DNS

W tej części rozdziału zostały zamieszczone szczegóły dotyczące instalacji pomocniczego serwera DNS. Serwery pomocnicze posiadają lokalną kopię tablicy strefowej tylko do odczytu, która jest pobierana z głównego serwera nazw. Serwery pomocnicze są wiarygodne dla swoich stref, lecz nie mogą wprowadzić żadnych zmian do tablic. W tej części została omówiona również konfiguracja głównego serwera DNS, aby akceptował żądanie transferu strefy wysłane z pomocniczego serwera, jak również informował o aktualizacji tablic.

Wstępna instalacja usługi dla serwera pomocniczego DNS jest dokładnie taka sama jak dla serwera podstawowego. Różnica tkwi jedynie w konfiguracji strefy. Sterowniki usługi załaduj na podstawie instrukcji zawartej we wcześniejszej części rozdziału „Instalacja i konfiguracja DNS”.

Umożliwienie transferów strefowych i powiadamianie o aktualizacji

Serwer pomocniczy nie może pobierać tablicy strefy, jeżeli na serwerze głównym nie zostały włączone opcje transferów strefowych i powiadamiania o aktualizacji. Aby włączyć te opcje, wykonaj następującą instrukcję:

Procedura 5.15.

Umożliwienie transferów strefowych i powiadamianie o aktualizacji

1. Otwórz konsolę DNS.

94. Prawym przyciskiem myszy kliknij ikonę strefy i z wyświetlonego menu zaznacz polecenie Properties (Właściwości). Wyświetlone zostanie okno Properties (Właściwości).

95. Otwórz zakładkę Zone Transfers (Transfery Stref). Zaznacz opcję Allow Zone Transfers (Zezwalaj na transfery stref).

Zakładka udostępnia trzy opcje powiadamiania o aktualizacji tablicy. To Any Server (Do dowolnego serwera). Opcja ta nie jest zalecana, gdyż zezwala dowolnemu serwerowi albo użytkownikowi na pobranie tablicy strefowej z serwera nazw. Obszerna baza nazw hostów i adresów IP nie jest z pewnością czymś, co chciałbyś aby wpadło w ręce niepowołanych osób.

Only to Servers Listed in the Name Servers Tab (Tylko do serwerów wymienionych na karcie Serwery nazw). Ta opcja ogranicza transfer tablic tylko do serwerów, które zostały określone na zakładce Name Servers (Serwery nazw). Opcja ta jest preferowana, gdyż nie wymaga zachowywania dwóch list serwerów (a właściwie to trzech, gdyż dochodzi jeszcze trzecia lista serwerów, które są powiadamiane o aktualizacji). Jeżeli jednak wysyłasz zapytania do domen, do których nie masz zaufania, opcja ta może nie być odpowiednia, gdyż w takim przypadku administratorzy wszystkich określonych domen będą posiadać możliwość pobrania tablicy strefowej.

Only to the Following Servers (Tylko do poniższych serwerów). Opcja daje największą kontrolę nad transferem stref, gdyż zmusza do dokładnego określenia pewnych serwerów nazw. Opcja ta nie zapobiega przed pobieraniem adresów IP przez nieproszonych gości, lecz z pewnością jest lepsza, niż pozostawienie szeroko otwartych drzwi.

96. Kliknij Notify (Powiadom). Wyświetlone zostanie okno Notify (Powiadamianie). Powiadomienie o aktualizacji jest opcją wybraną domyślnie w Windows 2000. Dzięki temu pomocnicze serwery będą stale posiadały zaktualizowane tablice strefowe. Okno udostępnia również opcję pozwalającą na automatyczne powiadamianie o aktualizacji. Jeżeli w poprzednim oknie zaznaczyłeś opcję Only to the Following Servers (Tylko do poniższych serwerów), musisz również indywidualnie określić serwery pomocnicze, które mają być powiadamiane o aktualizacji.

97. Kliknij OK, aby zapisać wprowadzone ustawienia dla opcji powiadamiania i powrócić do okna Properties (Właściwości).

98. Kliknij OK, aby zapisać konfigurację transferu strefowego i powrócić do konsoli DNS.

99. Zamknij konsolę DNS.

Sprawdź konfiguracje transferu strefowego i powiadamiania o aktualizacji dodając rekord testowy do serwera głównego. Po odświeżeniu konsoli DNS rekord powinien pojawić się na wyświetlanej liście. Jeżeli rekord się nie pojawi, sprawdź adresy IP i ustawienia o powiadamianiu aktualizacji.

Konfiguracja pomocniczego serwera DNS

Wiarygodny pomocniczy serwer nazw przechowuje lokalną kopię tablicy strefowej. Obsługa zapytań dotyczących zasobów pozastrefowych możliwa jest dzięki tablicy root hints albo narzędzi przesyłających żądania.

Jeżeli skonfigurowałeś serwer główny, aby przesyłał strefy tylko do określonych serwerów pomocniczych, musisz najpierw dodać adres IP serwera do listy. Powinieneś dodać również nowy serwer pomocniczy do listy serwerów, które są powiadamiane o aktualizacji.

Procedura 5.16.

Konfiguracja serwera pomocniczego

1. Otwórz konsolę DNS.

100. Prawym przyciskiem myszy kliknij ikonę Forward Lookup Zone (Strefa wyszukiwania do przodu), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator nowej strefy.

101. Kliknij Next (Dalej). Wyświetlone zostanie okno Zone Type (Typ strefy)
     — rysunek 5.16.

102. Kliknij Next (Dalej). Pojawi się okno Zone Name (Nazwa strefy). Wpisz pełną nazwę FQDN strefy, która ma być przesyłana do serwera. Na przykład wpisz company.com.

103. Kliknij Next (Dalej). Pojawi się okno Master DNS Servers (Główne serwery DNS).

104. Wprowadź adres IP głównego serwera nazw, który ma być używany przez serwer pomocniczy, a następnie kliknij przycisk Add (Dodaj), by dodać wpis do listy. Strefy mogą być pobierane z kilku serwerów.

105. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

106. Kliknij przycisk Finish (Zakończ), aby zamknąć okno kreatora i powrócić do konsoli DNS. Strefa zostanie przesłana automatycznie.

107. Rozwiń drzewo i sprawdź, czy strefa została prawidłowo przesłana. Jeżeli na ikonie strefy zobaczysz duży, czerwony znak X wraz z komunikatem błędu Zone Not Loaded (Nie załadowano strefy), naciśnij klawisz F5, by odświeżyć zawartość konsoli. Jeżeli znak X będzie wciąż widoczny, prawdopodobnie zapomniałeś włączyć opcję przesyłania strefy na serwerze głównym i dodać serwer pomocniczy do list transferów strefowych.

Gdy serwer pomocniczy będzie już działał, skonfiguruj klientów, by mogli z niego korzystać. Następnie korzystając z narzędzia Ping, sprawdź czy usługa działa poprawnie w strefie i poza strefą. Jeżeli pojawią się problemy z działaniem pozastrefowym, sprawdź tablice root hints znajdujące się na serwerze podstawowym i pomocniczym.

Integracja stref DNS i Active Directory

Gdy strefa jest zintegrowana z Active Directory, tablica strefowa ASCII zostaje porzucona, a dla każdego rekordu zasobów tworzony jest obiekt katalogu. Aby przeprowadzić integrację niezbędne jest uruchomienie DNS w kontrolerze domeny. Tylko podstawowa strefa może zostać zintegrowana z Active Directory. Więcej informacji na ten temat znajdziesz we wcześniejszej części rozdziału pt. „Integracja Active Directory”. Gdy spełnione zostaną wszystkie warunki i będzie gotowy do migracji strefy głównej do strefy zintegrowanej katalogowo, wykonaj poniższą instrukcję:

Procedura 5.17.

Integracja podstawowej strefy z Active Directory

1. Otwórz konsolę DNS.

108. Prawym przyciskiem myszy kliknij ikonę strefy, która ma zostać zintegrowana katalogowo, a następnie z wyświetlonego menu wybierz Properties (Właściwości). Pojawi się okno Properties (Właściwości).

109. Na zakładce General (Ogólne) kliknij przycisk Change (Zmień). Pojawi się okno Change Zone Type (Zmienianie typu strefy).

110. Kliknij OK, aby wykonać zmianę. Pojawi się okno żądające potwierdzenia decyzji.

111. Kliknij OK, aby potwierdzić decyzję i powrócić do okna Properties (Właściwości). W polu Type (Typ) pojawi się wpis Active Directory-integrated (Zintegrowane usługi Active Directory).

112. Kliknij OK, aby zamknąć okno i powrócić do konsoli DNS.

Na podstawie poniższej instrukcji sprawdź, czy wpisy strefy zostały prawidłowo przesłane do Active Directory:

Procedura 5.18.

Sprawdzanie integracji rekordów zasobów

1. Otwórz konsolę Active Directory Users and Computers (Komputery i użytkownicy Active Directory) za pomocą menu Start|Programs (Programy)|Administartive Tools (Narzędzie administarcyjne)|Active Directory Users and Computers (Komputery i użytkownicy Active Directory).

113. Z menu Console (Konsola) wybierz View (Widok)|Advanced View (Widok zaawansowany). Spowoduje to wyświetlenie folderu System.

114. Rozwiń drzewo System do gałęzi MicrosoftDNS. Tablica strefowa jest wyświetlana jako folder zawierający obiekty dnsNode. Każdy obiekt reprezentuje jeden rekord zasobów — rysunek 5.21.

Rysunek 5.21. Konsola Active Directory Users and Computers (Komputery i użytkownicy Active Directory) przedstawiająca zawartość tablicy strefy dla company.com

Obiekty dnsNode nie udostępniają takich możliwości jak rekordy zasobów z konsoli Active Directory Users and Computers (Komputery i użytkownicy Active Directory). Zarządzanie strefą DNS jest ciągle możliwe z konsoli DNS albo za pomocą narzędzia DNSCMD.

Konfiguracja serwera tylko buforującego

Serwery tylkobuforujące są używane w celu zwiększenia szybkości odpowiedzi DNS poprzez buforowanie dużej liczby rekordów wyszukanych na skutek zapytań klientów. Serwery te nie posiadają kopii tablicy strefowej i z tego powodu nie są wiarygodne. Zamiast tego komunikują się z serwerami DNS w imieniu klientów.

Wszystkie rekordy przechowywane są w pamięci cache serwera, dlatego też komputery pełniące rolę serwerów tylkobuforujących powinny mieć dużo pamięci RAM. Aby wyczyścić pamięć serwera wystarczy zatrzymać i ponownie uruchomić usługę DNS albo skorzystać z narzędzia DNSCMD, dostępnego w Windows 2000 Resource Kit. Składnia wywołania narzędzia jest następująca: DNSCMD /clearcache. Jeżeli stwierdzisz, że stosunkowo często jesteś zmuszany do opróżniania pamięci serwera, zastanów się nad zwiększeniem pamięci RAM.

Serwer tylkobuforujący nie pobiera tablic strefowych, dlatego też nie ma potrzeby doda­wania go do listy serwerów pomocniczych. Lista taka znajduje się na serwerze głównym.

Wstępna instalacji usługi DNS jest taka sama jak w przypadku instalacji podstawowego serwera DNS. Różnica polega jedynie na sposobie konfiguracji serwera. Załaduj sterowniki usługi na podstawie informacji zawartych w części „Instalacja i konfiguracja DNS”, a następnie powróć do tego miejsca książki i przeprowadź konfigurację usługi.

Procedura 5.19.

Konfiguracja serwera tylko-buforującego

1. Otwórz konsolę DNS.

115. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości).

116. Otwórz zakładkę Root hints (Wskazówki dotyczące serwera głównego).

117. Za pomocą przycisku Remove (Usuń) skasuj wszystkie serwery główne InterNIC z wyświetlanej listy.

118. Kliknij przycisk Add (Dodaj) — wyświetlone zostanie okno New Resource Record (Nowy rekord zasobów) wraz z otwartą zakładką Name Server (Serwer nazw).

119. Wprowadź pełną nazwę i adres IP głównego serwera nazw. Kliknij Add (Dodaj), aby dodać adres IP do listy. Możesz wprowadzić kilka serwerów nazw, które dodatkowo nie muszą znajdować się w tej samej strefie.

120. Kliknij OK, aby zapisać wprowadzone zmiany i powrócić do okna Properties (Właściwości).

121. Kliknij OK, aby zapisać utworzoną listę i powrócić do konsoli DNS.

122. Zamknij konsolę DNS.

Sprawdź, czy utworzony serwer działa poprawnie. W tym celu wyślij wiele zapytań o nazwy zdalnego serwera i zgromadź wszystkie rekordy w pamięci podręcznej serwera. Następnie ponownie wyślij zapytania dotyczące tych samych serwerów — odpowiedzi powinny pojawić się w znacznie krótszym czasie.

Konfiguracja serwera DNS
jako przekazywacza (forwarder)

Serwer DNS może zostać tak skonfigurowany, by przesyłał pozastrefowe zapytania do innych serwerów, które mogą aktualnie posiadać poszukiwany rekord (w pamięci cache albo w kopii tablicy strefy). Jeżeli dany serwer nie dysponuje poszukiwanym rekordem, przesyła zapytanie dalej, z nadzieją że następny serwer z danej listy udostępni żądaną odpowiedź.

Przed konfiguracją serwera do przesyłania zapytań, opierając się na zasadach dobrego wychowania, warto zapytać administratora o możliwość korzystania z jego serwera. Pamiętaj, że serwery przekazujące zapytania mogą być bardzo przeciążone obsługując tysiące różnych żądań innych serwerów.

Poniższa instrukcja bazuje na założeniu, że Twój serwer DNS został skonfigurowany wewnątrz zapory internetowej i korzysta z serwera na zewnątrz zapory.

Procedura 5.20.

Konfiguracja serwera DNS umożliwiająca korzystanie z serwera przekazującego zapytania

1. Otwórz konsolę DNS.

123. Prawym przyciskiem myszy kliknij nazwę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

124. Otwórz zakładkę Forwarders (Usługi przesyłania dalej).

125. Zaznacz opcję Enable Forwarders (Włącz usługi przesyłania dalej).

126. Wprowadź adres IP serwera przesyłającego zapytanie i kliknij przycisk Add (Dodaj), by dodać go do listy.

127. Wartość opcji Forward Time-out (Limit czasu przesyłania dalej) pozostaw niezmienioną (5 sekund). Serwer powinien odpowiedzieć korzystając ze swojej pamięci podręcznej. Jeżeli odpowiedź trwa dłużej niż 5 sekund, to znaczy że serwer przeszukuje zasoby.

128. Kliknij OK, aby zapisać konfigurację i powrócić do konsoli DNS.

129. Zatrzymaj i ponownie uruchom usługę DNS klikając prawym przyciskiem myszy ikonę serwera i wybierając polecenie All Tasks (Wszystkie zadania)|Stop (Zatrzymaj), a następnie All Tasks (Wszystkie zadania)|Start (Uruchom).

Sprawdź, czy skonfigurowany serwer działa poprawnie. W tym celu wyślij zapytanie o nazwę serwera z komputera klienta DNS. Odpowiedź powinna pojawić się w krótkim okresie czasu. Jeżeli zapytanie nie zakończyło się powodzeniem, sprawdź, czy wprowadziłeś poprawny adres IP serwera.

Zarządzanie dynamicznym DNS

Aktualizacja tradycyjnej tablicy strefy DNS posiadającej nowe rekordy zasobów wymaga wiele pracy. Duża sieć posiadająca tysiące serwerów potrzebuje w pełni dyspozycyjnego administratora właśnie do zarządzania DNS. Korzystając z dynamicznego DNS, klienci i serwery mogą automatycznie rejestrować swoje rekordy A podczas ładowania systemu. Serwery aplikacji mogą rejestrować rekordy SRV i inne specjalne rekordy. Przestarzałe rekordy mogą być automatycznie usuwane podczas okresowego oczyszczania serwera. Dynamiczny DNS nie pozwoli prawdopodobnie na rezygnację z w pełni dyspozycyjnego administratora, lecz z pewnością pomoże mu w zarządzaniu systemem DNS.

W tej części rozdziału przedstawiony został sposób uruchomienia dynamicznego DNS w Windows 2000, sposób konfiguracji jego zabezpieczeń, tak aby tylko zaufani klienci mogli rejestrować w nim swoje rekordy zasobów oraz sposób zarządzania tablicą strefową.

Konfiguracja dynamicznej strefy

Po zainstalowaniu i konfiguracji serwera DNS Windows 2000, uruchom dynamiczny DNS dla danej strefy na podstawie poniższej instrukcji:

Procedura 5.21.

Konfiguracja dynamicznej strefy

1. Otwórz konsolę DNS.

130. Prawym przyciskiem myszy kliknij ikonę strefy, dla której chcesz skonfigurować dynamiczny DNS, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Wyświetlone zostanie okno Properties (Właściwości).

131. Wartość opcji Allow Dynamic Updates (Zezwalaj na aktualizacje dynamiczne) ustaw na Yes (Tak).

132. Kliknij OK, aby zapisać zmiany i powrócić do konsoli DNS.

133. Sprawdź, czy dynamiczna rejestracja działa poprawnie otwierając wiersz poleceń na komputerze klienta Windows 2000 i wpisując polecenie IPCONFIG /registerdns. Rekord hosta powinien zostać automatycznie dodany do tablicy strefowej. Być może będziesz zmuszony do odświeżenia zawartości konsoli.

Istnieje konieczność konfiguracji strefy wstecznego wyszukiwania dla aktualizacji dynamicznych. Jeżeli nie wykonasz tej czynności, DNS będzie dodawał do tablicy tylko rekordy A, nie uwzględniając rekordów PTR.

Zarządzanie zabezpieczeniem dynamicznego DNS

Jeżeli uruchomisz dynamiczny DNS bez opcji zabezpieczenia, istnieje możliwość przyłączenia do sieci komputera o tej samej nazwie co host, którego rekord znajduje się już w tablicy strefy. Efektem takiego zdarzenia będzie nadpisanie rekordu A w tablicy strefowej. Taka sytuacja może być przyczyną naprawdę opłakanych skutków. Wyobraź sobie, że serwer pocztowy w Twojej firmie posiada nazwę MAIN-PO. Gdy do sieci przyłączony zostanie komputer posiadający tę samą nazwę MAIN-PO, rekord A serwera pocztowego zostanie nadpisany. Jeżeli użytkownik komputera będzie wyjątkowo złośliwy, możesz mieć spore problemy.

Jedynym sposobem uniknięcia takiej sytuacji w DNS Windows 2000 jest utworzenie strefy zintegrowanej katalogowo i wymaganie od klientów dynamicznego DNS przynależności do domeny. Dzięki temu eliminowany jest problem nadpisywania rekordu A, gdyż Active Directory nie zezwala na posiadanie takich samych nazw w domenie. Zapoznaj się z wcześniejszą częścią rozdziału pt. „Integracja stref DNS z Active Directory”, aby poznać informacje dotyczące konwersji podstawowej strefy do strefy zintegrowanej katalogowo.

Po zintegrowaniu strefy, rekordy zasobów są zabezpieczane przez system zabezpieczeń obiektów Windows 2000. Klienci DNS, którzy nie są członkami domeny, nie mogą dyna­micznie rejestrować swoich rekordów. Na rysunku 5.22 przedstawiony został przykła­dowy komunikat błędu wyświetlany w dzienniku systemowym. Błąd został wygenerowany przez usługę DNSAPI klienta DNS Windows 2000, który próbował zarejestrować rekord hosta nie będąc członkiem domeny.

Rysunek 5.22. Komunikat błędu wygenerowany po nieudanej próbie rejestracji rekordu klienta nie będącego członkiem domeny

Z pewnością szybko zauważysz wadę takiego systemu zabezpieczeń, jeżeli nie wszystkie stacje robocze w sieci pracują w systemie Windows 2000. Używając DHCP Windows 2000 możliwa jest rejestracja klientów niższego poziomu Windows. Więcej informacji na ten temat znajdziesz w dalszej części tego rozdziału „Konfiguracja DHCP wspomagająca DNS”. Jednak w przypadku klientów korzystających z innego systemu niż Windows, niezbędna jest rejestracja ręczna. Sytuacja ta może ulec zmianie, gdy w Windows 2000 uwzględnione zostaną instrukcje zawarte w RFC 2137.

Wyłączenie DNS w interfejsie

Jeżeli nie przeprowadziłeś katalogowej integracji strefy dynamicznej, możesz przedsięwziąć kroki zapobiegające obcym użytkownikom rejestracji swoich rekordów na serwerze. Jeżeli posiadasz serwer DNS z dwoma interfejsami sieciowymi, z których jeden jest przyłączony do sieci publicznej, a drugi do lokalnej, istnieje możliwość wyłączenia DNS w publicznym interfejsie. W tym celu wykonaj poniższą instrukcję:

Procedura 5.22.

Wyłączenie DNS w interfejsie

1. Otwórz konsolę DNS.

134. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). W wyświetlonym oknie Properties (Właściwości) otwórz zakładkę Interfaces (Interfejsy).

135. W części Listen On (Nasłuchuj na) zaznacz opcję Only Following IP Addresses (Tylko następujące adresy IP).

136. Za pomocą przycisku Remove (Usuń) usuń wszystkie publiczne interfejsy.

137. Kliknij OK, aby zapisać zmiany i powrócić do konsoli DNS.

138. Zamknij konsolę DNS.

Wskazówka rejestru: Aktualizacje dynamiczne Opcja Listen On (Nasłuchuj na) posiada następującą wartość w rejestrze systemowym: Klucz: HKLM|System|CurrentControlSet|Services|TcpIp\Parameters|Interfaces|{GUID} Wartość: DisableDynamicUpdate Data: 0x1 disables updates (wyłącz aktualziacje); 0x0 enables updates (włącz aktualziacje)

Konfiguracja oczyszczania

Dynamicznie zarejestrowane rekordy mogą stać się nieaktualne, gdy nastąpi awaria komputera albo komputer będzie przyłączany do sieci stosunkowo rzadko (jak np. laptopy). Udostępniona w Windows 2000 opcja oczyszczania pozwala na usuwanie przedawnionych rekordów z tablic strefowych. Proces oczyszczania usuwa rekordy, które nie były odświeżane przez dłużej niż 14 dni.

Włączenie oczyszczania spowoduje zmianę formatu tablicy strefowej, dzięki której możliwe stanie się usuwanie przedawnionych rekordów. Uniemożliwi to jednak przenoszenie pliku strefy do serwera nazw innego niż Windows 2000. Istnieje możliwość skopiowania strefy do pomocniczego serwera, który filtruje informacje dotyczące przedawnienia i zapisuje standardową tablicę strefową.

Oczyszczanie może zostać udostępnione dla jednej albo dla wszystkich stref na serwerze. Aby włączyć opcję oczyszczania, wykonaj następującą instrukcję:

Procedura 5.23.

Konfiguracja oczyszczania

1. Otwórz konsolę DNS.

139. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). W wyświetlonym oknie Properties (Właściwości) otwórz zakładkę General (Ogólne).

140. Kliknij przycisk Aging (Przedawnienie). Pojawi się okno Zone Aging/Scavenging Properties (Właściwości przedawnienia/oczyszczania strefy).

141. Zaznacz opcję Scavenge Stale Resource Records (Oczyść stare rekordy zasobów).

142. Pozostaw domyślne ustawienie siedmiu dni dla opcji No-Refresh Interval (Interwał braku odświeżania) i Refresh Interval (Interwał odświeżania).

143. Kliknij OK, aby zapisać ustawienia. Pojawi się komunikat ostrzegający przed zmianą formatu tablicy strefowej.

144. Kliknij Yes (Tak), aby potwierdzić decyzję wprowadzenia zmian.

145. W oknie Properties (Właściwości) kliknij OK, aby zapisać wprowadzone zmiany i zamknąć okno.

Od tego momentu, do każdej nowej dynamicznej rejestracji będzie przypisywana wartość przedawnienia. Stare rekordy będą usuwane podczas procesu oczyszczania. Aby określić okres uruchamiania procesu, wykonaj następującą instrukcję:

Procedura 5.24.

Ustawienia okresu oczyszczania

1. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

146. Otwórz zakładkę Advanced (Zaawansowane) — rysunek 5.23.

Rysunek 5.23. Okno właściwości serwera DNS — zakładka Advanced (Zaawansowane) udostępnia opcję automatycznego oczyszczania

147. Zaznacz opcję Enable Automatic Scavenging of Stale Records (Włącz automatyczne oczyszczanie starych rekordów).

148. Opcję Scavenging Period (Okres oczyszczania) pozostaw bez zmian (co 7 dni).

149. Kliknij OK, aby zapisać ustawienia i zamknąć okno.

Powinieneś sprawdzać stan tablicy strefowej, aby upewnić się, że proces oczyszczania działa poprawnie. Jeżeli zauważysz jakieś stare rekordy, które powinny zostać usunięte, spróbuj najpierw oczyścić je ręcznie. Jeżeli uda Ci się wykonać tę czynność, sprawdź okres oczyszczania. W przeciwnym wypadku upewnij się, że prawidłowo skonfigurowałeś oczyszczanie strefy.

Przesyłanie danych WINS

Pomimo że przesyłanie danych WINS nie jest w zasadzie właściwością dynamicznego DNS, zdecydowałem się na zamieszczenie w tym miejscu opisu tego zagadnienia, gdyż generalnie obie usługi są bardzo do siebie zbliżone.

Już w DNS NT4 udostępnione zostały dwa nowe typy rekordów zasobów — WINS i WINS-R — zawierające adres IP serwera WINS, który jest wykorzystywany, gdy adres hosta nie może zostać zlokalizowany w lokalnej tablicy strefowej. Tego typu rekord jest dodawany do tablicy i konfigurowany za pomocą specjalnej strony właściwości, dostępnej we właściwościach strefy. Kliknij prawym przyciskiem myszy ikonę strefy, a następnie z wyświetlonego menu wybierz zakładkę Properties (Właściwości). Otwórz zakładkę WINS — rysunek 5.24. Dla strefy wyszukiwania wstecznego udostępniona jest bardzo podobna zakładka WINS-R.

Rysunek 5.24. Okno właściwości strefy wraz z zakładką WINS

Opcja Use WINS Forward Lookup (Użyj wyszukiwania do przodu WINS) jest domyślnie wyłączona. Jej zaznaczenie spowoduje utworzenie rekordu zasobów WINS. DNS Windows 2000 rozpoznaje rekordy WINS i używa ich do lokalizacji serwera WINS w celu przekazania danych.

Jeżeli zdecydujesz się na przesyłanie WINS, dodaj do list przynajmniej jeden adres IP serwera WINS — nie zapomnij o kliknięciu przycisku Add (Dodaj). Możesz określić kilka serwerów WINS, lecz pamiętaj, że ich zbyt duża liczba może opóźnić proces wysyłania zapytań — WINS jest znacznie wolniejszy niż DNS. Zbyt duża ilość serwerów WINS wpłynie niekorzystnie na wydajność wyszukiwania.

Opcja Do Not Replicate This Record (Nie replikuj tego rekordu) nie jest domyślnie zaznaczona. Zapobiega ona przed powielaniem rekordu WINS do serwerów DNS, które nie rozpoznają tego typu rekordów.

Konfiguracja
zaawansowanych parametrów serwera DNS

Kilka opcji serwera DNS zostało zgromadzonych na zakładce Advanced (Zaawansowane) znajdującej się w oknie właściwości serwera. Większość z nich została już opisana w tym rozdziale. W tej części przedstawione zostały pozostałe opcje.

Opcje dostępne są w następujący sposób:

Procedura 5.25.

Dostęp do zaawansowanych parametrów serwera

1. Otwórz konsolę DNS.

150. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

151. Otwórz zakładkę Advanced (Zaawansowane).

Zakładka udostępnia następujące opcje:

• Disable Recursion (Wyłącz rekursję). Domyślnie Windows 2000 akceptuje zapytania rekursywne. Pozwala to serwerowi na wyszukiwanie rekordów DNS w imieniu klientów. Jeżeli chcesz, aby serwer akceptował tylko zapytania iteracyjne, zaznacz opcję.

• BIND Secondaries (Powiąż pomocnicze). Domyślnie Windows 2000 wykonuje transfer strefowy kopiując wiele skompresowanych rekordów. Jeżeli posiadasz pomocnicze serwery nazw pracujące we wcześniejszych wersjach BIND niż 4.9.4, zaznacz opcję BIND Secondaries (Powiąż pomocnicze), aby umożliwić transfer jednego nie skompresowanego rekordu naraz.

• Fail On Load if Bad Zone Data (Nie ładuj, jeśli złe dane strefy). Zapoznaj się z przypisem „Uruchomienie DNS z pliku inicjującego BIND”.

• Enable Round Robin (Włącz działanie okrężne). Zapoznaj się z przypisem „DNS i działanie okrężne” znajdującym się we wcześniejszej części rozdziału.

• Enable Netmask Ordering (Włącz porządkowanie maski sieci). Jeżeli tablica strefowa posiada wiele rekordów zasobów, które pasują do danego zapytania, opcja ta sprawia, że serwer DNS sortuje odpowiedzi, tak aby rekordy w tej samej podsieci, z której pochodzą zapytania klientów, były wyświetlane jako pierwsze. Jeżeli opcja nie jest zaznaczona, rekordy są wyświetlane w takiej kolejności, w jakiej znajdują się w tablicy strefowej.

• Secure Cache Against Pollution (Zabezpiecz pamięć podręczną przed zanieczyszczeniami). Wszystkie serwery nazw buforują rezultaty zapytań, tak aby przyspieszyć późniejsze odpowiedzi na zapytania o te same rekordy. Z tym procesem związane jest jednak pewne niebezpieczeństwo. Na przykład, jeżeli użytkownik przeszukuje Internet w celu znalezienia strony www.company.com, a serwer nazw użytkownika posiada alias do strony, który wskazuje www.competitor.com, rekord A dla www.company.com może zostać dodany do lokalnej pamięci serwera nazw. Zwracanie rekordu z jednej domeny DNS w odpowiedzi na zapytanie o rekord w innej domenie DNS nosi nazwę zanieczyszczania pamięci podręcznej. Opcja Secure Cache Against Pollution (Zabezpiecz pamięć podręczną przed zanieczyszczeniami) zapobiega przed pojawieniem się takiego problemu, umożliwiając buforowanie tylko rezultatów zapytań pasujących do głównej domeny zapytania.

• Name Checking (Sprawdzanie nazw). Domyślnie, DNS umożliwia używanie dowolnych znaków ANSI w nazwach hostów. Obejmuje to również specjalne znaki, które nie zostały uwzględnione w standardzie nazw DNS zdefiniowanym w RFC 1123 „Requirements for Internet Hosts — Application and Support”. Jeżeli posiadasz serwer inny niż Microsoft albo zamierzasz ustanowić interfejs z serwerami innymi niż Microsoft, zaznacz opcję Strict RFC — ANSI (Zgodne z RFC — ANSI). Jeżeli posiadasz tylko serwery DNS firmy Microsoft i chcesz udostępnić nazwy hosta Unicode, zaznacz opcję Multibyte — UTF8 (Wielobajtowe — UTF8).

• Enable Automatic Scavenging of Stale Records (Włącz automatyczne oczyszczanie starych rekordów). Zapoznaj się z wcześniejszą częścią rozdziału pt. „Konfiguracja oczyszczania”.

Uruchamianie DNS z pliku inicjującego BIND Windows 2000 umożliwia inicjowanie systemu z pliku używanego przez BIND. Aby zainicjować serwer DNS Windows 2000 za pomocą pliku inicjującego z serwera BIND, skopiuj go do katalogu \WINNT\System32\DNS\Samples, a następnie przeprowadź konfigurację w oparciu o poniższą instrukcję. (Katalog \WINNT\System32\DNS\Samples zawiera plik inicjujący, który może być użyty jako szablon.) Procedura 5.26. Uruchamianie DNS z pliku inicjującego BIND Otwórz konsolę DNS. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości). Otwórz zakładkę Advanced (Zaawansowane). W części Load Zone Data on Startup (Załaduj dane strefy przy uruchamianiu) wybierz opcję From File (Z pliku). Kliknij OK, aby zapisać zmiany i zamknąć okno. Zamknij konsolę DNS. Jeżeli plik BIND będzie zawierał dane, które nie są dopuszczalne w plikach strefy DNS Microsoft (np. nadawanie rekordowi CNAME tej samej nazwy, co nazwa hosta), usługa DNS zignoruje nieprawidłowe rekordy, odnotuje sytuację w dzienniku zdarzeń i będzie kontynuować ładowanie tablicy strefowej. Aby przerwać ładowanie tablicy w przypadku pojawienia się błędu, wykonaj następującą instrukcję: Procedura 5.26. Uruchamianie opcji nie ładuj, jeśli złe dane strefy Otwórz konsolę DNS. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości). Otwórz zakładkę Advanced (Zaawansowane). W części Server Options (Opcje serwera) zaznacz opcję Fail on Load if Bad Zone Data (Nie ładuj, jeśli złe dane strefy). Kliknij OK, aby zapisać zmiany i zamknąć okno. Zamknij konsolę DNS.

Sprawdzanie tablic strefowych
za pomocą NSLOOKUP

W momencie pojawienia się problemów związanych z DNS, bardzo pomocnym narzędziem może okazać się NSLOOKUP. Narzędzie umożliwia sprawdzenie rekordów w ta­blicy strefowej, sprawdzenie istnienia danego serwera DNS oraz określenie stref zarządzanych przez serwer, jak również pozwala na przeglądanie rekordów zasobów w taki sposób, w jaki przegląda się katalog.

NSLOOKUP posiada dwa tryby pracy: interaktywny i nieinteraktywny. Jeżeli uruchamiasz narzędzie z wiersza poleceń podając mu przy tym dodatkowe parametry wywołania, określany zostaje tryb nieinteraktywny. Na przykład, aby zobaczyć adres IP strony www.guam.net i nazwę serwerów wiarygodnych dla strefy przechowującej rekord A, skorzystaj z następującej składni wywołania:

C:\> nslookup www.guam.net c.root.servers.net.

4.33.192.in-addr.arpa nameserver = NS.PSI.NET

NS.PSI.NET inetrnet address = 192.33.4.10

Name: www.guam.net

Served by:

-NS.GUAM.net

198.81.233.2

GUAM.net

Aby użyć trybu interaktywnego, wpisz po prostu polecenie NSLOOKUP bez żadnych parametrów. Takie wywołanie spowoduje wyświetlenie nazwy serwera, zakończone znakiem zachęty >:

C:\> nslookup

Deafult Server: dns1.primenet.net

Address: 206.165.5.10

>

Aby zobaczyć listę poleceń NSLOOKUP, wpisz znak zapytania i wciśnij Enter:

> ?

Commands: (identyfikatory są podane wielkimi literami, [] oznacza opcjonalne)

NAME - drukuje informacje o hoście/domenie NAZWA

używając domyślnego serwera

NAME1 NAME2 - jak powyżej, lecz NAZWA2 oznacza serwer

help or ? - drukuje informacje o najczęściej używanych poleceniach

set OPTION - ustawia opcję

all - drukuje opcje, informacje o bieżącym serwerze i hoście

[no]debug - drukuje informacje debugera

[no]d2 - drukuje szczegółowe informacje debugera

[no]defname - dołącza nazwę domeny do każdej kwerendy

[no]recurse - prosi o rekursywną odpowiedź na kwerendę

[no]search - użyj listy przeszukiwania domen

[no]vc - zawsze używaj obwodu wirtualnego

domain=NAZWA - ustaw domyślną nazwę domeny na NAZWA

srchlist=N1[/N2/.../N6] - ustaw domenę na N1, a listę przeszukiwania na N1,N2 itd.

root=NAME - ustaw serwer główny na NAZWA

retry=X - ustaw liczbę ponawianych prób na X

timeout=X - ustaw początkowy limit czasu na X sekund

type=X - ustaw typ kwerendy (np. A, ANY, CNAME, MX, NS, PTR,

SOA, SRV)

querytype=X - identyczne znaczenie, jak type

class=X - ustaw klasę zapytania (np. IN (Internet), ANY)

[no]msxfr - użyj szybkiego transferu strefy MS

ixfrver=X - bieżąca wersja do użycia w żądaniu transferu IXFR

server NAME - ustawia domyślny serwer na NAME, używając

bieżącego domyślnego serwera

lserver NAME - ustawia domyślny serwer na NAME, używając

początkowego serwera

finger [USER] - uzyskaj informacje o opcjonalnym

UŻYTKOWNIKU z bieżącego domyślnego hosta

root - ustaw bieżący domyślny serwer jako główny

ls [opt] DOMAIN [> FILE] - wyświetl adresy w DOMENIE (opcjonalne:

skieruj wynikdo PLIKU)

-a - wyświetl kanoniczne nazwy i aliasy

-d - wyświetl wszystkie rekordy

-t TYP - wyświetl rekordy określonego typu (np. A, CNAME, MX,

NS, PTR itd.)

view FILE - posortuj plik wynikowy polecenia ls i

wyświetl go używając pg

exit - zakończ pracę programu

Aby zobaczyć domyślne ustawienia dla NSLOOKUP, użyj opcji set all. Nie możesz użyć samej opcji set, tak jak w systemie DOS. Gdy tak zrobisz, NSLOOKUP będzie myślał, że jest to zapytanie o serwer nazwany set.

> set all

Default Server: dns1.primenet.net

Address: 206.165.5.10

Set options:

nodebug

defname

search

recurse

nod2

novc

noignoretc

port=53

querytype=A

class=IN

timeout=2

retry=1

root=ns.nic.ddn.mail.

domain=company.com

srchlist=company.com

Oto najczęściej używane polecenia NSLOOKUP.

server

Za pomocą tego polecenia można zmienić nazwę serwera DNS, względem którego uruchomiony jest NSLOOKUP. Nie zapomnij o wprowadzeniu pełnej nazwy FQDN wraz z kończącą kropką. Jeżeli np. Twoim domyślnym serwerem jest phx-dns-01.compa­ny.com, lecz chcesz rozwiązać problem związany z serwerem w Denver dnv-dns-01.re­gion.company.com, mógłbyś użyć następującej składni:

> server dnv-dns-01.region.company.com.

Default Server: dnv-dns-01.region.company.com

Address: 10.5.1.10

lserver

Polecenie to działa jak polecenie server, lecz zawsze używa domyślnej nazwy serwera. Umożliwia to szybki powrót z serwera, który uległ awarii i nie potrafi rozwiązać już żadnej nawy hosta. Użycie w tym przypadku polecenia server nie przyniosłoby żadnych rezultatów, gdyż rozwiązanie podanej nazwy byłoby niemożliwe. Polecenie lserver zawsze przenosi z powrotem na serwer podstawowy.

root

Polecenie to, tak samo jak polecenie server, zmienia domyślny serwer, lecz wybiera nazwę znajdującą się na samej górze nazw z pliku CACHE.DNS. Może to być główny serwer InterNIC, główny prywatny serwer albo wewnętrzny serwer nazw.

ls

To polecenie wyświetla listę rekordów zasobów danej strefy. Sedno sprawy tkwi w tym, że ls wykonuje transfer strefowy rekordów wybranego typu. Można ograniczyć zakres transferu poprzez określenie typu rekordu za pomocą parametru -t. Poniżej przedstawiony jest przykład rekordów A w strefie company.com:

> ls -t a company.com.

[phx-dc-01.company.com]

company.com. A 10.1.1.1

gc._msdcs.company.com. A 10.1.1.1

alb-dns-01.branch1.company.com. A 10.3.1.1

phx-dc-01.company.com. A 10.1.1.1

phx-nt4s-30.company.com. A 10.1.1.201

Jeżeli zamiast parametru wywołania -t użyjesz -d, NSLOOKUP zwróci zawartość całej tablicy. Uwaga: W przypadku niektórych serwerów może to być bardzo długa i obszerna lista. Korzystając ze znaku > zapisz efekt działania ls do pliku.

Polecenie ls stanowi jednak pewien problem związany z zabezpieczeniem. Ponieważ działanie polecenia opiera się na transferze strefy, możesz określić serwery, które są upoważnione do ściągania tablicy strefowej. W tym celu zapoznaj się z wcześniejszą częścią rozdziału pt. „Umożliwienie transferów strefowych i powiadamianie o aktualizacji”.

set [no]debug

Gdy używane jest wywołanie debug, wygenerowany przez polecenie raport zawiera informacje debugera. Informacje te pokazują rezultaty zapytań z uwzględnieniem pośredniczących serwerów wykorzystywanych podczas szukania. Poniżej przedstawiony został przykład rekurencyjnego zapytania o whitehouse.gov:

> set debug

> whitehouse.gov.

Server: ns.nic.ddn.mil

Address: 192.112.36.4

------------

Got answer:

HEADER:

opcode = QUERY, id = 5, rcode = NOERROR

header flags: response, want recursion

question = 1, answers = 1, authority records = 2, additional = 2

QUESTIONS:

Whitehouse.gov, type = A, class = IN

ANSWER:

-> whitehouse.gov

internet address = 198.137.241.30

ttl = 172800 (2 days)

AUTHORITY RECORDS:

-> whitehouse.gov

nameserver = SEC1.DNS.PSI.NET

ttl = 172800 (2 days)

------------

Non-authoritative answer:

Name: whitehouse.gov

Address: 198.137.241.30

Opcja debug jest szczególnie pomocna podczas lokalizacji niewłaściwych odwołań powodowanych przez nieprawidłowe delegacje.

set [no]d2

Skorzystaj z tego wywołania jeżeli nie jesteś zadowolony z rezultatów zapytań i chcesz poznać dokładny format zapytania. Poniżej znajdują się dodatkowe informacje dotyczące wyszukiwania whitehouse.gov.

> set d2

> whitehouse.gov..

;listing został skrócony, aby pokazać tylko różnice pomiędzy debug i d2

-------------

SendRequest(), len 32

HEADER:

opcode = QUERY, id = 10, rcode = NOERROR

header flags: query, want recursion

questions = 1, answers = 0, authority records = 0, additional= 0

QUESTIONS:

Whitehouse.gov, type = A, class = IN

set [no] defname

Z pewnością zauważyłeś w powyższych przykładach kropki na końcu każdej nazwy serwera. Kropki te stanowią informację dla NSLOOKUP, że nazwa serwera jest pełną nazwą FQDN. Jeżeli zapomnisz o postawieniu kropki na końcu nazwy, NSLOOKUP doda do nazwy domyślną domenę klienta. Jeżeli ciągle zapominasz o stawianiu końcowych kropek, możesz skorzystać z polecenia nodefname, informując NSLOOKUP, aby nie dodawał domeny do nazwy.

set [no]recurse

Jeżeli chcesz, by zapytania NSLOOKUP emulowały serwer DNS zamiast klienta NS, zapytania powinny być skonfigurowane jako iteracyjne, a nie rekursywne. Za pomocą tego polecenia możesz mienić typ zapytania.

set querytype

Można ograniczyć albo zmienić zakres zapytania zmieniając określony typ rekordu. Przykładowo, jeżeli chcesz wysyłać zapytania o rekordy MX, użyj następującej składni:

> set type=mx

> whitehouse.gov.

Server: whitehouse.gov

Address: 198.137.241.30

whitehouse.gov MX preference = 100, mail exchanger = storm.oep.gov

storm.eop.gov internet address = 198.137.241.51

Konfiguracja DHCP wspomagająca DNS

Windows 2000 jest aktualnie jedynym produktem wspomagającym dynamiczną rejestrację DNS. Microsoft być może w niedługim czasie udostępni również tę usługę w Windows 9x. Jeżeli nie chcesz dłużej korzystać z WINS, możesz czerpać korzyści z DHCP obsługującego dynamiczną rejestrację DNS.

Właściwość DHCP w Windows 2000 została opracowana na podstawie projektu internetowego (Internet Draft) — draft-ietf-dhc-dhcp-dns-10.txt, zatytułowanego „Interaction Between DHCP i DNS”. Projekt bazuje na wykorzystaniu nowej opcji DHCP, nazwanej Client FQDN (pełna nazwa FQDN klienta) — opcja 81. Opcja ta zawiera nowy format komunikatu, który klient może używać w celu udostępniania serwerowi DHCP swojej nazwy FQDN. Serwer DHCP używa tych informacji do wysłania zaktualizowanego komunikatu do serwera DNS w imieniu klienta.

W tej części zamieszczone zostały instrukcje dotyczące instalacji DHCP, upoważnienia go do pracy w domenie Windows 2000 i konfiguracji opcji zakresu potrzebnego do wspomagania dynamicznej usługi DNS. Za wyjątkiem nowego wyglądu konsoli MMC, identyfikatorów klas i kilku dodatkowych opcji określonych przez producenta, usługa DHCP (Dynamic Host Configuration Protocol — Protokół konfigurowania dynamicznego hosta) w Windows 2000 jest w zasadzie identyczna z usługami udostępnionymi w systemie NT4 Service pack 4/5.

Podczas aktualizacji usługi z NT4, jedyną rzeczą, która ulega zmianie jest dostosowanie bazy danych do bazy Jet, w której przechowywane są rekordy DHCP. W przypadku niepowodzenia aktualizacji bazy, zapoznaj się z rozdziałem 2. „Aktualizacja i automatyczna instalacja systemu”.

Instalacja DHCP

Przed rozpoczęciem instalacji DHCP, powinieneś określić swój aktualny adres IP i upewnić się, że dane hosty posiadają statyczne adresy. DHCP Windows 2000, podobnie jak NT4 SP4, za pomocą ICMP sprawdza, czy dany adres jest adresem wolnym, jakkolwiek proces sprawdzania nie jest zbyt obszerny. Jeżeli jesteś gotowy do instalacji DHCP, wykonaj następujące kroki:

Procedura 5.28.

Instalacja sterowników usługi DHCP

1. Za pomocą okna Control Panel (Panel sterowania) otwórz aplet Add/Remove Programs (Dodaj/Usuń Programy).

152. Kliknij przycisk Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows). Pojawi się okno kreatora składników Windows 2000.

153. Zaznacz pozycję Networking Services (Usługi sieciowe) i kliknij przycisk Details (Szczegóły). Pojawi się okno Networking Services (Usługi sieciowe).

154. Zaznacz pozycję Dynamic Host Configuration Protocol (DHCP), a następnie kliknij OK by zapisać zmiany i powrócić do okna Windows Components (Składniki systemu Windows).

155. Kliknj Next (Dalej). Wyświetlone zostanie okno Configuring Components (Konfiguracja składników) i rozpocznie się ładowanie sterowników. Na zakończenie kreator wyświetli podsumowanie operacji.

156. Kliknij Finish (Zakończ), aby zamknąć okno i powrócić do okna Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows).

157. Zamknij okno Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows).

W tym momencie możesz rozpocząć konfigurację usługi. Nie ma potrzeby ponownego uruchamiania komputera.

Autoryzacja serwera DHCP

Po załadowaniu sterowników usługi, otwórz konsolę DHCP — rysunek 5.25. Na ikonie serwera widoczna jest czerwona strzałka skierowana w dół, co oznacza że usługa nie została jeszcze uruchomiona. Jeżeli instalujesz usługę na kontrolerze domeny albo serwerze domeny, w prawym panelu będzie widoczny stan Not Authorized (Nieautoryzowany). Jeżeli instalujesz usługę w grupie roboczej, naciśnij klawisz F5, aby odświeżyć konsolę. Stan serwera powinien zostać zmieniony na Running (Uruchomiony).

Rysunek 5.25. Konsola DHCP przedstawiająca świeżo zainstalowany serwer DHCP

DHCP Windows 2000 posiada możliwość zapobiegania dzierżawie niewłaściwych adresów IP przez niepożądane serwery DHCP. Właściwość ta wymaga autoryzacji od serwera DHCP. Autoryzowany serwer DHCP posiada obiekt DHCPClass w Active Directory, który może być przeglądany za pomocą konsoli AD Sites and Services (Strony i usługi administracyjne). Obiekt dostępny jest w gałęzi Services|NetServices — rysunek 5.26.

Rysunek 5.26. Konsola AD Sites and Services (Strony i usługi administracyjne) przedstawiająca autoryzowany serwer DHCP

Aby wykonać autoryzację serwera, kliknij prawym przyciskiem myszy jego ikonę, a następnie z wyświetlonego menu wybierz polecenie Authorize (Autoryzuj). Obiekt DHCP zostanie automatycznie dodany do katalogu. Następnie naciśnij klawisz F5, aby odświe­żyć konsolę — stan serwera zostanie zmieniony na Running (Uruchomiony).

Sprawdź czy serwer wydobywa adresy, odświeżając istniejącego klienta. Jeżeli jesteś w routowanej sieci używającej pomocy DHCP, musisz skonfigurować agentów BOOTP znajdujących się na routerach sieciowych, aby wskazywały serwer DHCP. Po spraw­dzeniu podstawowej operatywności usługi, przeprowadź konfigurację opcji zakresu.

Konfiguracja opcji zakresu

Gdy zakres jest wyłączony, możesz wybrać opcje zakresu, które chcesz dołączyć do pakietu DHCP ACK, który jest zwracany do klientów wraz z ich dzierżawionym adresem. Lista opcji zakresu nie zawiera nowej opcji 81 — FQDN Client. Jest ona oddzielnie skonfigurowana jako właściwości zakresu i została omówiona w następnej części rozdziału. W tym miejscu powinieneś skonfigurować opcje dla serwera (ew. serwerów) DNS, nazwę domeny DNS i domyślną bramkę. Możesz oczywiście skonfigurować również dodatkowe opcje, lecz są one już mniej istotne od wyżej wymienionych. Poniżej została przedstawiona instrukcja konfiguracji opcji zakresu:

Procedura 5.29.

Konfiguracja opcji zakresu

1. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie New Scope (Nowy zakres). Uruchomiony zostanie kreator nowego zakresu.

158. Kliknij przycisk Next (Dalej). Pojawi się okno Scope Name (Nazwa zakresu). Określ nazwę zakresu i napisz krótką informację, która ułatwi Ci późniejszą identyfikację zakresu w konsoli.

159. Kliknij Next (Dalej). Otworzy się okno IP Address Range (Zakres adresów IP) — rysunek 5.27. Wprowadź zakres adresu i maskę podsieci dla zakresu. Na przykładzie widoczny jest adres prywatnej sieci 10.1.0.0 z 24-bitową maską podsieci.

Rysunek 5.27. Kreator nowego zakresu — okno IP Address Range (Zakres adresów IP)

160. Kliknij Next (Dalej). Wyświetlone zostanie okno Add Exclusions (Dodaj wykluczenia). Wyklucz adresy, które zostały już przypisane do hostów albo wymagają specjalnego ustawienia dla przypisania statycznego.

161. Kliknij Next (Dalej). Pojawi się okno Lease Duration (Czas trwania dzierżawy). Nowy domyślny czas trwania dzierżawy wynosi osiem dni. Dzięki temu tygodniowy wyjazd użytkownika na wakacje nie powoduje utraty dzierżawy adresu. Jeżeli cierpisz na brak adresów, możesz zmniejszyć trwanie dzierżawy do ośmiu godzin.

162. Kliknij Next (Dalej). Wyświetlone zostanie okno Configure Your DHCP Options (Konfiguruj opcje DHCP). Pomiń pozostałe opcje udostępnione przez kreator i dalszą konfigurację przeprowadź z konsoli DHCP — jest to zdecydowanie szybszy sposób. Zaznacz opcję No, I WILL Configure These Options Later (Nie, skonfiguruję te opcje później).

163. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

164. Kliknij Finish (Zakończ), aby zamknąć okno kreatora i powrócić do konsoli DHCP. W konsoli widoczny jest teraz nowy zakres z obszarem adresowym i wykluczeniami — rysunek 5.28.

Rysunek 5.28. Konsola DHCP przedstawiająca nowy zakres i obszar adresowy

165. Prawym przyciskiem myszy kliknij Scope Options (Opcje zakresu), a następnie z wyświetlonego menu wybierz polecenie New Scope Options (Opcje nowego zakresu). Wyświetlone zostanie okno Scope Options (Opcje zakresu)
     — rysunek 5.29.

Rysunek 5.29. Okno Scope Options (Opcje zakresu)

166. Zaznacz opcję 006 DNS Servers (006 Serwery DNS). Wprowadź pełną nazwę FQDN danego serwera DNS, który ma zostać użyty dla tego zakresu i kliknij przycisk Resolve (Rozwiąż), aby otrzymać jego adres IP. Osobiście preferuję tę metodę, gdyż w szybki sposób potrafi sprawdzić poprawność konfiguracji DNS.

167. Zaznacz opcję 015 DNS Domain Name (0015 Nazwa domeny DNS). Wprowadź nazwę domeny DNS (taką samą jak sufiks DNS), która ma zostać dostarczona do klientów w danym zakresie. Nazwa ta musi istnieć jako strefa DNS na serwerze zaznaczonym w opcji 006.

168. Zaznacz pozostałe opcje, które mają zostać dołączone do pakietu konfiguracyjnego. Najczęściej zaznaczane są opcje: 003 Router, 046 WINS/NBNS Servers WINS/NBT Node Type (Typ węzła).

169. Kliknij OK, aby zapisać wprowadzone ustawienia i zamknąć okno.

170. Prawym przyciskiem myszy kliknij ikonę Scope (Zakres) i z wyświetlonego menu wybierz Active (Aktywny). Umożliwi to usłudze DHCP odpowiadać na żądania DHCP i udostępniać zakresy adresów. Stan zakresu zmienia się wówczas na Active (Aktywny), co jest widoczne w prawym panelu konsoli.

Gdy klient DHCP dzierżawi adres z serwera, pobiera jeden lub kilka adresów IP serwerów DNS. Jeżeli klient pracuje w systemie Windows 2000, jego dzierżawione adresy (zarówno rekord A, jak i PTR) są rejestrowane w DNS. Możesz sprawdzić za pomocą konsoli DNS, czy nowe adresy, nie będące wcześniej klientami DNS, pojawiają się jako klienci DHCP Windows 2000.

Dynamiczna ikona klienta Gdy zaznaczysz ikonę Address Leases (Dzierżawy adresów) i spojrzysz na listę aktywnych klientów DHCP zauważysz, że ikony dynamicznie zarejestrowanych klientów posiadają symbol wiecznego pióra.

Konfiguracja opcji zakresu FQDN

Jeżeli klient DHCP nie pracuje w Windows 2000 albo jest klientem nie obsługującym dynamiczne aktualizacje DNS, jego dzierżawiony adres DHCP nie zostanie zarejestrowany w DNS. Ogranicza to skuteczność DNS jako miejsca gromadzenia nazw w równorzędnym środowisku sieciowym.

Nowa opcja klienta FQDN została udostępniona w Windows 2000 dla danego zakresu albo dla całego serwera DHCP. Możesz przejrzeć i skonfigurować opcję za pomocą zakładki DHCP, dostępnej w oknie właściwości danego zakresu. Opcja Automatically Update DHCP Client Information (Automatycznie aktualizuj informacje klienta DHCP w systemie DNS) włącza opcję 81 dla wszystkich adresów w zakresie. Pozostałe opcje zakładki są nieaktywne, gdy opcja ta nie jest zaznaczona. Poniżej przedstawiona została lista dostępnych opcji umożliwiających różne konfiguracje:

• Update DNS Only if DHCP Client Requests (Aktualizuj system DNS tylko na żądanie klienta DHCP). Opcja ta jest zdecydowanie preferowana. Jeżeli klient zaznaczył opcję Register This Connection's Addresses in DNS (Rejestruj ten adres połączenia w DNS) w części TCP/IP Properties (Właściwości TCP/IP), klient bierze całkowitą odpowiedzialność za aktualizacje DNS, a serwer DHCP usuwa się w cień.

• Always Update DNS (Zawsze aktualizuj system DNS). Bez względu na wybór opcji Register This Connection's Address in DNS (Rejestruj ten adres połączenia w DNS) w ustawieniach klienta, klient jest rejestrowany przy użyciu pełnej nazwy FQDN. Gdy opcja ta jest zaznaczona, do klientów wysyłane są komunikaty, aby nie przeprowadzali aktualizacji DNS.

• Discard Forward (Name-to-Address) Lookups When Lease Expires (Odrzuć wyszukiwania do przodu (nazwa w adres) po wygaśnięciu dzierżawy). Ta opcja jest domyślnie zaznaczona. Powoduje usunięcie rekordu A po wygaśnięciu dzierżawy. Czynność ta jest wykonywana również podczas oczyszczania tablicy, lecz zdecydowanie lepiej cały czas utrzymywać porządek w tablicy strefowej.

• Enable Updates for DNS Clients That Do Not Support Dynamic Updates (Włącz aktualizacje dla klientów systemu DNS, którzy nie obsługują aktualizacji dynamicznej). Opcja ta nie jest zaznaczona domyślnie. Umożliwia klientom niższego poziomu Windows na rejestrację ich zasobów. Jeżeli jesteś gotowy na pojawienie się w tablicy strefowej tysięcy rekordów zasobów jutro rano, zaznacz tę opcję.

Jeżeli zaznaczysz ostatnią opcję umożliwiającą poprzez proxy rejestrację klientów niższego poziomu Windows, zauważysz, że ikony pojawią się w konsoli w postaci ikon dynamicznej rejestracji (symbol wiecznego pióra). Odnowienie rejestracji przez klienta spowoduje również odnowienie dynamicznej rejestracji DNS.

Śledzenie DHCP Na rysunku 5.30 przedstawiony został pakiet DHCP ACK przechwycony przez narzędzie Network Monitor (Monitor sieci). Część Option Field znajdująca się w dolnej części okna przedstawia opcje dynamicznego DNS wraz z innymi opcjami skonfigurowanymi dla zakresu. Jeżeli kiedykolwiek doświadczyłeś problemu z DHCP, z pewnością docenisz Network Monitor jako narzędzie pomagające w określeniu sedna problemu.

Rysunek 5.30. Pakiet DHCP ACK przechwycony przez Netowrk Monitor (Monitor sieci)

42 Windows 2000 Server. Vademecum profesjonalisty

Rozdział 5. Zarządzanie usługami DNS i DHCP 43

plik: r05-06, strona 42

plik: r05-06, strona 43

plik: r05-06, strona 1

---