Konfiguracja DNS, część I (Instalacja)

Konfiguracja DNS, część I (Instalacja)
Autor: Szymon Śmiech
Spis treści
Wprowadzenie
Funkcje serwera DNS
Integracja Active Directory i DNS
Zalety integracji
Podział serwerów DNS
Instalacja usługi Serwer DNS
Konfiguracja podstawowego serwera DNS
• Konfiguracja wyszukiwania wprzód
• Konfiguracja wyszukiwania wstecz
• Konfiguracja pomocniczego serwera DNS
• Materiały dodatkowe
•
•
•
•
•
•
•
Wprowadzenie
Domain Name System (DNS) to hierarchiczna, rozproszona baza danych, zawierająca
mapowania nazw domen DNS do różnych typów danych, jakimi są adresy IP. System DNS
umożliwia lokalizowanie komputerów i usług na podstawie nazw przyjaznych dla użytkownika, a
także odnajdowanie innych informacji przechowywanych w bazie danych. Znajomość najlepszych
praktyk w zakresie konfiguracji struktur DNS to podstawa administracji sieciami opartymi o
protokół IP.
Domain Name System (DNS) to hierarchiczna, rozproszona baza danych, zawierająca mapowania
nazw domen DNS do różnych typów danych, jakimi są adresy IP. System DNS umożliwia
lokalizowanie komputerów i usług na podstawie nazw przyjaznych dla użytkownika, a także
odnajdowanie innych informacji przechowywanych w bazie danych.
Dzięki DNS w pełni kwalifikowana nazwa hosta, taka jak omega.microsoft.com zostaje zastąpiona
adresem IP tego komputera, co pozwala komputerom na komunikowanie się ze sobą.
DNS działa w oparciu o zestaw protokołów TCP/IP i może zostać zintegrowany z WINS, DHCP i
usługą katalogową Active Directory. Pełna integracja z tymi funkcjami sieciowymi umożliwia
optymalizację DNS w domenach Microsoft Windows Serwer 2003.
DNS jest systemem porządkowania adresów sieciowych poprzez organizowanie grup komputerów
w domeny. Domeny te tworzą strukturę hierarchiczną, która może być zdefiniowana w oparciu o
standardy internetowe w przypadku sieci publicznych lub własne standardy korporacji lub sieci
prywatnych (zwanych także Intranetami lub ekstranetami). Kolejne poziomy hierarchii identyfikują
pojedyncze komputery, domeny organizacyjne i domeny najwyższego poziomu.
Funkcje serwera
Serwer DNS oferuje następujące funkcje:
• Współdziałanie z innymi implementacjami serwera DNS.
Usługa serwera DNS jest zgodna ze specyfikacjami RFC, może korzystać ze standardowych
formatów plików danych, rekordów zasobów DNS i może współpracować z większością innych
implementacji serwera DNS, takimi jak korzystające z oprogramowania Berkeley Internet Name
Domain (BIND).
• Obsługa usługi Active Directory.
Usługa DNS jest wymagana do obsługi usługi katalogowej Active Directory. Podczas instalowania
usługi Active Directory na serwerze można automatycznie zainstalować i skonfigurować serwer
DNS, jeśli nie można odnaleźć serwera DNS spełniającego wymagania usługi Active Directory.
• Ulepszenia w zakresie przechowywania stref DNS w usłudze Active Directory.
Strefy DNS mogą być przechowywane w partycjach katalogów domen lub aplikacji usługi Active
Directory. Partycja to struktura danych w ramach usługi Active Directory służąca do rozróżniania
danych wykorzystywanych w różnych celach związanych z replikacją. Można określić, w której
partycji usługi Active Directory strefa ma być przechowywana, a w efekcie również zbiór
kontrolerów domen, między którymi dane strefy będą replikowane.
• Usługi warunkowego przesyłania dalej.
Usługa warunkowego przesyłania dalej to serwer DNS w sieci, który służy do przekazywania
kwerend DNS stosownie do nazw domen DNS zawartych w tych kwerendach. Serwer DNS można
na przykład skonfigurować do przesyłania dalej wszystkich otrzymywanych kwerend o nazwy
kończące się ciągiem nazwa.przyklad.com na adres IP określonego serwera DNS lub adresy IP
wielu serwerów DNS.
• Strefy skrótowe.
System DNS obsługuje nowy typ stref, zwanych strefami skrótowymi. Strefa skrótowa to kopia
strefy zawierająca tylko rekordy zasobów wymagane do zidentyfikowania serwerów DNS
autorytatywnych dla tej strefy. Strefa skrótowa służy do informowania serwera DNS obsługującego
strefę nadrzędną o autorytatywnych serwerach DNS dla jego strefy podrzędnej, pomagając w ten
sposób w efektywnym rozpoznawaniu nazw DNS.
• Rozszerzone funkcje zabezpieczeń systemu DNS.
W systemie DNS są teraz dostępne rozszerzone funkcje administrowania zabezpieczeniami usług
serwera i klienta DNS oraz danymi systemu DNS.
• Integracja z usługami sieciowymi firmy Microsoft.
Usługa serwera DNS oferuje integrację z innymi usługami firmy Microsoft. Obejmują one
integrację z usługami Active Directory, WINS i DHCP.
• Obsługa protokołu dynamicznej aktualizacji zgodnego ze standardami RFC.
Usługa serwera DNS pozwala klientom dynamicznie aktualizować rekordy zasobów w oparciu o
protokół dynamicznej aktualizacji DNS. Pozwala to usprawnić administrację systemem DNS,
skracając czas potrzebny do ręcznego zarządzania tymi rekordami.
• Obsługa przyrostowego transferu stref między serwerami.
Transfery stref są stosowane między serwerami DNS do replikowania informacji o części obszaru
nazw DNS. Przyrostowy transfer stref jest stosowany do replikowania tylko zmienionych części
strefy, co pozwala ograniczyć obciążenie sieci.
• Obsługa nowych typów rekordów zasobów.
Usługa serwera DNS obejmuje obsługę kilku nowych typów rekordów zasobów. Te typy, do
których należą rekordy zasobów lokalizacji usługi (SRV) i adresu ATM (ATMA), rozszerzają
możliwości stosowania systemu DNS jako usługi bazy danych nazw.
Integracja Active Directory i DNS
Domeny Active Directory wykorzystują DNS do zaimplementowania swojej hierarchii i struktury
nazw. Active Directory i DNS są, zatem ściśle powiązane, tak bardzo, że nie jest możliwe
zainstalowanie usługi katalogowej bez wcześniejszego zainstalowania serwera DNS w sieci.
Podczas instalacji pierwszego kontrolera domeny w sieci Active Directory, dostępna jest możliwość
automatycznego zainstalowania serwera DNS, jeśli taki serwer nie został odnaleziony w sieci. W
procesie instalacji jest możliwość określenia stopnia integracji DNS i Active Directory. Dzięki
pełnej integracji informacje DNS przechowywane są bezpośrednio w katalogu Active Directory.
Różnice pomiędzy częściową i całkowitą integracją Active
Directory i DNS.
Częściowa integracja
W przypadku integracji częściowej informacje domenowe przechowywane są w standardowej
formie plików. Dane DNS zapisywane są w plikach tekstowych o rozszerzeniu .dns. Domyślną
lokalizacja dla tych plików jest katalog %SystemRoot%System32/Dns. Aktualizacje danych
DNS są obsługiwane przez pojedynczy autorytatywny serwer DNS, wskazany jako serwer
podstawowy dla konkretnej domeny lub obszaru w obrębie domeny nazywanego strefą. Klienci
korzystający z dynamicznego uaktualniania DNS poprzez DHCP muszą zostać skonfigurowani tak,
aby korzystali z podstawowego serwera DNS, gdyż w przeciwnym wypadku dynamiczne
aktualizacje nie będą mogły być wykonywane. Podobnie dynamiczne aktualizacje poprzez DHCP
nie będą wykonywane, jeśli podstawowy serwer DNS nie będzie dostępny.
Pełna integracja
W przypadku pełnej integracji domena korzysta z magazynu katalogu do przechowywania danych.
Informacje DNS są zapisywane bezpośrednio w katalogu DNS i są dostępne w kontenerze obiektu
dnsZone. Ze względu na fakt, że informacje te są częścią katalogu Active Directory, każdy kontroler
domeny może uzyskać dostęp do tych danych. Można też wykorzystać model o wielu wzorcach do
dynamicznego uaktualniania wpisów DNS poprzez DHCP. Umożliwia to każdemu kontrolerowi
domeny na którym uruchomiony jest serwer DNS, obsługę dynamicznych aktualizacji. Dalej, każdy
klient DHCP używający aktualizacji dynamicznej może skorzystać z dowolnego serwera DNS w
danej strefie. Wreszcie dodatkową korzyścią pełnej integracji jest możliwość wykorzystania
mechanizmów zabezpieczeń katalogu do ochrony danych i sterowania dostępem do informacji
DNS.
Zalety integracji z usługą Active Directory
• Replikacja usługi Active Directory jest szybsza i wydajniejsza niż standardowa
replikacja systemu DNS.
Przetwarzanie replikacji usługi Active Directory jest wykonywane na podstawie właściwości,
przesyłane są tylko istotne zmiany. Rozdzielenie DNS i Active Directory zwiększa obciążenie sieci
i wydłuża czas potrzebny do rozpropagowania zmian DNS w całej sieci.
• Po dodaniu nowego kontrolera do domeny usługi Active Directory strefy są
automatycznie replikowane i synchronizowane z takim kontrolerem.
• Dzięki integracji przechowywania baz danych stref DNS z usługą Active Directory
można usprawnić planowanie replikacji bazy danych w sieci.
Integracja przechowywania składników systemu DNS pozwala zunifikować zarządzanie
przechowywaniem i kwestie dotyczące replikacji dla obu usług DNS i Active Directory, scalając je i
prezentując jako spójny moduł administracyjny.
Podział serwerów DNS
Dostępne są cztery typy serwerów DNS:
• Serwer podstawowy zintegrowany z Active Directory.
Serwer DNS w pełni zintegrowany z usługą Active Directory. Wszytkie dane DNS przechowywane
są w katalogu Active Directory.
• Serwer podstawowy.
Główny serwer DNS dla domeny, wykorzystujący częściową integrację z Active Direcory. Serwer
ten przechowuje główną kopię rekordów DNS i pliki konfiguracyjne domeny. Dane te są
przechowywane w postaci tekstowej w plikach z rozszerzeniem .dns.
• Serwer pomocniczy.
Serwer DNS zapewniający dodatkową usługę DNS dla domeny. Serwer ten przechowuje kopię
rekordów DNS otrzymaną z preferowanego serwera DNS, wykonując aktualizację za pomocą
transferu stref. Serwery pomocnicze uzyskują informacje z serwera preferowanego i przechowują ją
do momentu jej odświeżenia lub wygaśnięcia.
• Serwer przesyłania dalej.
Serwer buforujący informacje DNS, zawsze przekazujący zapytania do innych serwerów. W
odróżnieniu od serwerów pomocniczych, serwery takie nie przechowują pełnych kopii danych dla
strefy. Oznacza to, że w momencie uruchomienia serwera przesyłania dalej, jego baza danych nie
zwiera żadnych informacji.
Instalacja usługi Serwer DNS
W trakcie instalacji kontrolera domeny dostępna jest opcja zainstalowania i skonfigurowania DNS.
Jeśli opcja została wybrana, usługa DNS jest już zainstalowana z domyślna konfiguracją, nie ma
zatem potrzeby jej ponownej instalacji. Jeśli wykorzystywany serwer jest serwerem członkowskim,
a nie kontrolerem domeny, lub też nie zainstalowano usługi DNS w trakcie instalacji kontrolera,
usługę można doinstalować wykonując następującą procedurę:
• Z narzędzi administracyjnych należy wybrać Kreator konfigurowania serwera.
• Wybrać rolę serwer DNS.
• W kolejnym kroku należy zaznaczyć opcję konfiguruj tylko wskazówki główne, następnie
należy kliknąć Dalej oraz Zakończ.
Od tej chwili usługa DNS będzie uruchamiana automatycznie przy starcie komputera.
Konfiguracja podstawowego serwera DNS
Serwer DNS może być zintegrowany z usługą Active Directory lub działać jako standardowy
podstawowy serwer. Serwery podstawowe powinny zawierać strefy wyszukiwania do przodu oraz
strefy wyszukiwania wstecznego dla danej domeny. Wyszukiwanie do przodu umożliwia zmianę
nazw domen na adresy IP. Wyszukiwanie wsteczne pozwala potwierdzić zapytania DNS poprzez
znalezienie nazw odpowiadających podanym adresom IP.
Konfiguracja wyszukiwania wprzód.
Po zainstalowaniu usługi Serwer DNS można przystąpić do konfiguracji serwera wykonując
następujące czynności:
Konsola DNS
• Należy uruchomić konsolę DNS, zawartą w narzędziach administracyjnych.
Alternatywą dla konsoli DNS jest węzeł DNS dostępny w gałęzi Usługi i aplikacje
konsoli Zarządzanie komputerem.
Wybór typu stref
• Kliknąć prawym klawiszem myszy nazwę serwera wyświetloną w lewym panelu
konsoli i wybrać polecenie Nowa strefa z menu podręcznego. Uruchomiony zostanie
kreator nowych stref.
• Kreator umożliwia wybór typu stref. Jeśli konfigurowany serwer ma być
podstawowym serwerem DNS zintegrowanym z usługą Active Directory (jest to
kontroler domeny), należy wybrać opcje Strefa podstawowa i upewnić się, że pole
wyboru Przechowuj strefę w usłudze Active Directory jest zaznaczone. Jeśli usługa
DNS nie ma być zintegrowana z Active Directory, należy wyczyścić to pole wyboru.
Następnie należy kliknąć Dalej.
Zakres replikacji danych DNS
• Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory, należy
wybrać jeden z następujących sposobów replikowania danych DNS:
• Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja ta
powoduje najszersze replikowanie danych DNS. Należy pamietać, że las
domen tworzą wszystkie domeny Active Directory mające wspólne dane
katalogowe z aktualną domeną.
• Do wszystkich serwerów DNS w domenie usługi Active Directory. Opcja ta
powoduje replikowanie informacji DNS tylko w obrębie bieżącej domeny
Active Directory i jej poddomen.
• Do wszystkich kontrolerów domeny w domenie usługi Active Directory.
Strategia ta powoduje replikowanie danych DNS do wszystkich kontrolerów
domeny w domenie bieżącej i domenach podrzędnych. Z jednej strony
zapewnia to szersze rozpowszechnianie informacji, z drugiej jednak nie każdy
kontroler domeny jest serwerem DNS i nie ma potrzeby takiej konfiguracji.
• Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję Strefa
wyszukiwania do przodu i kliknąć Dalej.
Nazwa strefy
• Wpisać pełną nazwę dla nowej strefy. Tworząc na przykład podstawowy serwer DNS
dla domeny windows2003.pl, należy podać windows2003.pl jako nazwę strefy.
• Jeśli konfigurowana jest strefa podstawowa, ale nie zintegrowana z Active Directory,
kolejna strona kreatora umożliwi wybór nazwy pliku strefy. Można użyć z domyślnej
nazwy lub wpisać własną.
Aktualizacje dynamiczne
• Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje dynamiczne.
Dostępne są trzy możliwości:
• Zezwalaj tylko na zabezpieczone aktualizacje dynamiczne. Jeśli strefa jest
zintegrowana z Active Directory, można posłużyć się listami kontroli dostępu
w celu określenia, którzy klienci mogą dokonywać aktualizacji
dynamicznych. Po wybraniu tej opcji jedynie klienci posiadający
uwierzytelnione konta komputerów i odpowiednie uprawnienia będą mogli
dynamicznie modyfikować swoje rekordy DNS w przypadki zmian.
• Zezwalaj na zabezpieczone i niezabezpieczone aktualizacje dynamiczne. Ta
opcja umożliwia dynamiczne aktualizacje wszystkim klientom, bez względu
na to, czy są oni uwierzytelniani, czy nie.
• Nie zezwalaj na aktualizacje dynamiczne. Wybranie tej opcji wyłącza
aktualizacje dynamiczne. Opcji tej należy użyć, jeśli strefa nie jest
zintegrowana z usługa Active Directory.
• Następnie należy kliknąć Dalej, a następnie Zakończ, aby zakończyć tworzenie strefy.
Serwer automatycznie utworzy podstawowe rekordy DNS dla tej strefy.
• Jeśli w administrowanej sieci istnieje kilka domen nadrzędnych (np. microsoft.com.,
msn.com), można powtórzyć procedurę, aby utworzyć kolejne strefy wyszukiwania wprzód.
• Następnym etapem jest utworzenie rekordów DNS dla komputerów.
Konfiguracja wyszukiwania wstecznego
Wyszukiwanie wsteczne umożliwia znalezienie nazwy domeny, do której należy wskazany adres IP.
Konwencja nazw dla stref wyszukiwania wstecznego polega na wpisaniu adresu sieci w odwrotnej
kolejności i uzupełnieniu go sufiksem in-addr.arpa. Wpisy w strefach wyszukiwania
wstecznego muszą być zgodne z odpowiednimi wpisami w strefach wyszukiwania wprzód.
W celu utworzenia strefy wyszukiwania wstecz należy wykonać następujące czynności:
• Uruchomić konsolę DNS i podłączyć się do serwera, który ma być konfigurowany.
• Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po czym
wybrać polecenie Nowa strefa, aby uruchomić Kreator nowych stref. Kliknąć Dalej.
• Jeśli konfigurowany serwer ma być podstawowym serwerem DNS zintegrowanym z
usługą Active Directory(jest to kontroler domeny), należy wybrać opcję Strefa
podstawowa i upewnić się, że pole wyboru Przechowuj strefę w usłudze Active
Directory jest zaznaczone. Jeśli usługa DNS nie ma być zintegrowana z Active
Directory, należy wyczyścić pole wyboru.
• Jeśli konfigurowany serwer ma pełnić funkcję serwera pomocniczego, należy wybrać
opcję strefa pomocnicza i kliknąć Dalej.
Zakres replikacji danych DNS
• Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory, należy
wybrać jeden ze sposobów replikowania danych DNS:
• Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja ta
powoduje najszersze replikowanie danych DNS. Należy pamietać, że las
domen tworzą wszystkie domeny Active Directory mające wspólne dane
katalogowe z aktualną domeną.
• Do wszystkich serwerów DNS w domenie usługi Active Directory. Opcja
powoduje replikowanie informacji DNS tylko w obrębie bieżącej domeny
Active Directory i jej poddomen.
• Do wszystkich kontrolerów domeny w domenie usługi Active Directory.
Strategia ta powoduje replikowanie danych DNS do wszystkich kontrolerów
domeny w domenie bieżącej i domenach podrzędnych (jeśli istnieją). Z jednej
strony zapewnia to szersze rozpowszechnianie informacji, z drugiej jednak
nie każdy kontroler domeny jest serwerem DNS i nie ma potrzeby takiej
konfiguracji.
• Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję Strefa
wyszukiwania wstecznego i kliknąć Dalej.
Identyfikator sieci
• Wpisać identyfikator (adres) sieci dla strefy. Podane wartości utworzą domyślną
nazwę strefy wyszukiwania wstecznego. Następnie kliknąć Dalej.
• W przypadku serwera nie zintegrowanego z usługą Active Directory lub serwera
pomocniczego konieczne jest podanie nazwy pliku dla strefy. Można zaakceptować
domyślną nazwę lub wpisać własną, po czym kliknąć Dalej.
• Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje dynamiczne. Tą
opcję należy konfigurować w identyczny sposób jak dla strefy wyszukiwania wprzód,
opisany powyżej.
• Kliknąć Dalej i następnie Zakończ.
Konfigurowanie pomocniczego serwera DNS
Pomocniczy serwer DNS zapewnia kopie zapasową usług DNS. W przypadku korzystania z pełnej
integracji usług DNS z usługą Active Directory nie ma prawdziwej potrzeby tworzenia serwerów
pomocniczych. Należy wówczas skonfigurować kilka kontrolerów domen do pełnienia roli
serwerów DNS. Jeśli jednak wykorzystywana jest tylko częściowa integracja, utworzenie serwerów
pomocniczych umożliwia zmniejszenie obciążenia serwera podstawowego.
Ze względu na to, że serwery pomocnicze do większości zapytań wykorzystują strefy
wyszukiwania do przodu, tworzenie stref wyszukiwania wstecznego można w tym przypadku
pominąć. Strefy te są niezbędne na serwerach podstawowych.
Aby utworzyć serwer pomocniczy w celu zapewnienia gwarancji usług i zrównoważenia
obciążenia, należy wykonać następujące czynności:
• Uruchomić konsolę DNS i podłączyć się do serwera który ma być konfigurowany.
• Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po czym wybrać
polecenie Nowa strefa, aby uruchomić Kreator nowych stref. Następnie należy kliknąć
Dalej.
• Zaznaczyć opcję Strefa pomocnicza i kliknąć Dalej.
• Wpisać pełną nazwę DNS dla nowej strefy i kliknąć Dalej.
• Kolejna strona wymaga podania adresu IP podstawowego serwera DNS dla tej strefy
• Kliknąć Dalej a następnie Zakończ.
W ruchliwych sieciach lub bardzo rozległych może być konieczne utworzenie na serwerach
pomocniczych stref wyszukiwania wstecznego.
Materiały dodatkowe
Druga część artykułu będzie omawiać m.in. następujące zagadnienia z zakresu konfiguracji DNS:
•
•
•
•
•
Zarządzanie rekordami DNS.
Zagrożenia dla zabezpieczeń systemu DNS.
Zabezpieczanie usługi serwera DNS.
Migracja systemu DNS.
Integracja WINS z DNS.
Dodatkowe materiały na temat opisywany w powyższym artykule można znaleźć na stronie
Microsoft.