Konfiguracja DNS, część I (Instalacja)
Transkrypt
Konfiguracja DNS, część I (Instalacja)
Konfiguracja DNS, część I (Instalacja) Autor: Szymon Śmiech Spis treści Wprowadzenie Funkcje serwera DNS Integracja Active Directory i DNS Zalety integracji Podział serwerów DNS Instalacja usługi Serwer DNS Konfiguracja podstawowego serwera DNS • Konfiguracja wyszukiwania wprzód • Konfiguracja wyszukiwania wstecz • Konfiguracja pomocniczego serwera DNS • Materiały dodatkowe • • • • • • • Wprowadzenie Domain Name System (DNS) to hierarchiczna, rozproszona baza danych, zawierająca mapowania nazw domen DNS do różnych typów danych, jakimi są adresy IP. System DNS umożliwia lokalizowanie komputerów i usług na podstawie nazw przyjaznych dla użytkownika, a także odnajdowanie innych informacji przechowywanych w bazie danych. Znajomość najlepszych praktyk w zakresie konfiguracji struktur DNS to podstawa administracji sieciami opartymi o protokół IP. Domain Name System (DNS) to hierarchiczna, rozproszona baza danych, zawierająca mapowania nazw domen DNS do różnych typów danych, jakimi są adresy IP. System DNS umożliwia lokalizowanie komputerów i usług na podstawie nazw przyjaznych dla użytkownika, a także odnajdowanie innych informacji przechowywanych w bazie danych. Dzięki DNS w pełni kwalifikowana nazwa hosta, taka jak omega.microsoft.com zostaje zastąpiona adresem IP tego komputera, co pozwala komputerom na komunikowanie się ze sobą. DNS działa w oparciu o zestaw protokołów TCP/IP i może zostać zintegrowany z WINS, DHCP i usługą katalogową Active Directory. Pełna integracja z tymi funkcjami sieciowymi umożliwia optymalizację DNS w domenach Microsoft Windows Serwer 2003. DNS jest systemem porządkowania adresów sieciowych poprzez organizowanie grup komputerów w domeny. Domeny te tworzą strukturę hierarchiczną, która może być zdefiniowana w oparciu o standardy internetowe w przypadku sieci publicznych lub własne standardy korporacji lub sieci prywatnych (zwanych także Intranetami lub ekstranetami). Kolejne poziomy hierarchii identyfikują pojedyncze komputery, domeny organizacyjne i domeny najwyższego poziomu. Funkcje serwera Serwer DNS oferuje następujące funkcje: • Współdziałanie z innymi implementacjami serwera DNS. Usługa serwera DNS jest zgodna ze specyfikacjami RFC, może korzystać ze standardowych formatów plików danych, rekordów zasobów DNS i może współpracować z większością innych implementacji serwera DNS, takimi jak korzystające z oprogramowania Berkeley Internet Name Domain (BIND). • Obsługa usługi Active Directory. Usługa DNS jest wymagana do obsługi usługi katalogowej Active Directory. Podczas instalowania usługi Active Directory na serwerze można automatycznie zainstalować i skonfigurować serwer DNS, jeśli nie można odnaleźć serwera DNS spełniającego wymagania usługi Active Directory. • Ulepszenia w zakresie przechowywania stref DNS w usłudze Active Directory. Strefy DNS mogą być przechowywane w partycjach katalogów domen lub aplikacji usługi Active Directory. Partycja to struktura danych w ramach usługi Active Directory służąca do rozróżniania danych wykorzystywanych w różnych celach związanych z replikacją. Można określić, w której partycji usługi Active Directory strefa ma być przechowywana, a w efekcie również zbiór kontrolerów domen, między którymi dane strefy będą replikowane. • Usługi warunkowego przesyłania dalej. Usługa warunkowego przesyłania dalej to serwer DNS w sieci, który służy do przekazywania kwerend DNS stosownie do nazw domen DNS zawartych w tych kwerendach. Serwer DNS można na przykład skonfigurować do przesyłania dalej wszystkich otrzymywanych kwerend o nazwy kończące się ciągiem nazwa.przyklad.com na adres IP określonego serwera DNS lub adresy IP wielu serwerów DNS. • Strefy skrótowe. System DNS obsługuje nowy typ stref, zwanych strefami skrótowymi. Strefa skrótowa to kopia strefy zawierająca tylko rekordy zasobów wymagane do zidentyfikowania serwerów DNS autorytatywnych dla tej strefy. Strefa skrótowa służy do informowania serwera DNS obsługującego strefę nadrzędną o autorytatywnych serwerach DNS dla jego strefy podrzędnej, pomagając w ten sposób w efektywnym rozpoznawaniu nazw DNS. • Rozszerzone funkcje zabezpieczeń systemu DNS. W systemie DNS są teraz dostępne rozszerzone funkcje administrowania zabezpieczeniami usług serwera i klienta DNS oraz danymi systemu DNS. • Integracja z usługami sieciowymi firmy Microsoft. Usługa serwera DNS oferuje integrację z innymi usługami firmy Microsoft. Obejmują one integrację z usługami Active Directory, WINS i DHCP. • Obsługa protokołu dynamicznej aktualizacji zgodnego ze standardami RFC. Usługa serwera DNS pozwala klientom dynamicznie aktualizować rekordy zasobów w oparciu o protokół dynamicznej aktualizacji DNS. Pozwala to usprawnić administrację systemem DNS, skracając czas potrzebny do ręcznego zarządzania tymi rekordami. • Obsługa przyrostowego transferu stref między serwerami. Transfery stref są stosowane między serwerami DNS do replikowania informacji o części obszaru nazw DNS. Przyrostowy transfer stref jest stosowany do replikowania tylko zmienionych części strefy, co pozwala ograniczyć obciążenie sieci. • Obsługa nowych typów rekordów zasobów. Usługa serwera DNS obejmuje obsługę kilku nowych typów rekordów zasobów. Te typy, do których należą rekordy zasobów lokalizacji usługi (SRV) i adresu ATM (ATMA), rozszerzają możliwości stosowania systemu DNS jako usługi bazy danych nazw. Integracja Active Directory i DNS Domeny Active Directory wykorzystują DNS do zaimplementowania swojej hierarchii i struktury nazw. Active Directory i DNS są, zatem ściśle powiązane, tak bardzo, że nie jest możliwe zainstalowanie usługi katalogowej bez wcześniejszego zainstalowania serwera DNS w sieci. Podczas instalacji pierwszego kontrolera domeny w sieci Active Directory, dostępna jest możliwość automatycznego zainstalowania serwera DNS, jeśli taki serwer nie został odnaleziony w sieci. W procesie instalacji jest możliwość określenia stopnia integracji DNS i Active Directory. Dzięki pełnej integracji informacje DNS przechowywane są bezpośrednio w katalogu Active Directory. Różnice pomiędzy częściową i całkowitą integracją Active Directory i DNS. Częściowa integracja W przypadku integracji częściowej informacje domenowe przechowywane są w standardowej formie plików. Dane DNS zapisywane są w plikach tekstowych o rozszerzeniu .dns. Domyślną lokalizacja dla tych plików jest katalog %SystemRoot%System32/Dns. Aktualizacje danych DNS są obsługiwane przez pojedynczy autorytatywny serwer DNS, wskazany jako serwer podstawowy dla konkretnej domeny lub obszaru w obrębie domeny nazywanego strefą. Klienci korzystający z dynamicznego uaktualniania DNS poprzez DHCP muszą zostać skonfigurowani tak, aby korzystali z podstawowego serwera DNS, gdyż w przeciwnym wypadku dynamiczne aktualizacje nie będą mogły być wykonywane. Podobnie dynamiczne aktualizacje poprzez DHCP nie będą wykonywane, jeśli podstawowy serwer DNS nie będzie dostępny. Pełna integracja W przypadku pełnej integracji domena korzysta z magazynu katalogu do przechowywania danych. Informacje DNS są zapisywane bezpośrednio w katalogu DNS i są dostępne w kontenerze obiektu dnsZone. Ze względu na fakt, że informacje te są częścią katalogu Active Directory, każdy kontroler domeny może uzyskać dostęp do tych danych. Można też wykorzystać model o wielu wzorcach do dynamicznego uaktualniania wpisów DNS poprzez DHCP. Umożliwia to każdemu kontrolerowi domeny na którym uruchomiony jest serwer DNS, obsługę dynamicznych aktualizacji. Dalej, każdy klient DHCP używający aktualizacji dynamicznej może skorzystać z dowolnego serwera DNS w danej strefie. Wreszcie dodatkową korzyścią pełnej integracji jest możliwość wykorzystania mechanizmów zabezpieczeń katalogu do ochrony danych i sterowania dostępem do informacji DNS. Zalety integracji z usługą Active Directory • Replikacja usługi Active Directory jest szybsza i wydajniejsza niż standardowa replikacja systemu DNS. Przetwarzanie replikacji usługi Active Directory jest wykonywane na podstawie właściwości, przesyłane są tylko istotne zmiany. Rozdzielenie DNS i Active Directory zwiększa obciążenie sieci i wydłuża czas potrzebny do rozpropagowania zmian DNS w całej sieci. • Po dodaniu nowego kontrolera do domeny usługi Active Directory strefy są automatycznie replikowane i synchronizowane z takim kontrolerem. • Dzięki integracji przechowywania baz danych stref DNS z usługą Active Directory można usprawnić planowanie replikacji bazy danych w sieci. Integracja przechowywania składników systemu DNS pozwala zunifikować zarządzanie przechowywaniem i kwestie dotyczące replikacji dla obu usług DNS i Active Directory, scalając je i prezentując jako spójny moduł administracyjny. Podział serwerów DNS Dostępne są cztery typy serwerów DNS: • Serwer podstawowy zintegrowany z Active Directory. Serwer DNS w pełni zintegrowany z usługą Active Directory. Wszytkie dane DNS przechowywane są w katalogu Active Directory. • Serwer podstawowy. Główny serwer DNS dla domeny, wykorzystujący częściową integrację z Active Direcory. Serwer ten przechowuje główną kopię rekordów DNS i pliki konfiguracyjne domeny. Dane te są przechowywane w postaci tekstowej w plikach z rozszerzeniem .dns. • Serwer pomocniczy. Serwer DNS zapewniający dodatkową usługę DNS dla domeny. Serwer ten przechowuje kopię rekordów DNS otrzymaną z preferowanego serwera DNS, wykonując aktualizację za pomocą transferu stref. Serwery pomocnicze uzyskują informacje z serwera preferowanego i przechowują ją do momentu jej odświeżenia lub wygaśnięcia. • Serwer przesyłania dalej. Serwer buforujący informacje DNS, zawsze przekazujący zapytania do innych serwerów. W odróżnieniu od serwerów pomocniczych, serwery takie nie przechowują pełnych kopii danych dla strefy. Oznacza to, że w momencie uruchomienia serwera przesyłania dalej, jego baza danych nie zwiera żadnych informacji. Instalacja usługi Serwer DNS W trakcie instalacji kontrolera domeny dostępna jest opcja zainstalowania i skonfigurowania DNS. Jeśli opcja została wybrana, usługa DNS jest już zainstalowana z domyślna konfiguracją, nie ma zatem potrzeby jej ponownej instalacji. Jeśli wykorzystywany serwer jest serwerem członkowskim, a nie kontrolerem domeny, lub też nie zainstalowano usługi DNS w trakcie instalacji kontrolera, usługę można doinstalować wykonując następującą procedurę: • Z narzędzi administracyjnych należy wybrać Kreator konfigurowania serwera. • Wybrać rolę serwer DNS. • W kolejnym kroku należy zaznaczyć opcję konfiguruj tylko wskazówki główne, następnie należy kliknąć Dalej oraz Zakończ. Od tej chwili usługa DNS będzie uruchamiana automatycznie przy starcie komputera. Konfiguracja podstawowego serwera DNS Serwer DNS może być zintegrowany z usługą Active Directory lub działać jako standardowy podstawowy serwer. Serwery podstawowe powinny zawierać strefy wyszukiwania do przodu oraz strefy wyszukiwania wstecznego dla danej domeny. Wyszukiwanie do przodu umożliwia zmianę nazw domen na adresy IP. Wyszukiwanie wsteczne pozwala potwierdzić zapytania DNS poprzez znalezienie nazw odpowiadających podanym adresom IP. Konfiguracja wyszukiwania wprzód. Po zainstalowaniu usługi Serwer DNS można przystąpić do konfiguracji serwera wykonując następujące czynności: Konsola DNS • Należy uruchomić konsolę DNS, zawartą w narzędziach administracyjnych. Alternatywą dla konsoli DNS jest węzeł DNS dostępny w gałęzi Usługi i aplikacje konsoli Zarządzanie komputerem. Wybór typu stref • Kliknąć prawym klawiszem myszy nazwę serwera wyświetloną w lewym panelu konsoli i wybrać polecenie Nowa strefa z menu podręcznego. Uruchomiony zostanie kreator nowych stref. • Kreator umożliwia wybór typu stref. Jeśli konfigurowany serwer ma być podstawowym serwerem DNS zintegrowanym z usługą Active Directory (jest to kontroler domeny), należy wybrać opcje Strefa podstawowa i upewnić się, że pole wyboru Przechowuj strefę w usłudze Active Directory jest zaznaczone. Jeśli usługa DNS nie ma być zintegrowana z Active Directory, należy wyczyścić to pole wyboru. Następnie należy kliknąć Dalej. Zakres replikacji danych DNS • Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory, należy wybrać jeden z następujących sposobów replikowania danych DNS: • Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja ta powoduje najszersze replikowanie danych DNS. Należy pamietać, że las domen tworzą wszystkie domeny Active Directory mające wspólne dane katalogowe z aktualną domeną. • Do wszystkich serwerów DNS w domenie usługi Active Directory. Opcja ta powoduje replikowanie informacji DNS tylko w obrębie bieżącej domeny Active Directory i jej poddomen. • Do wszystkich kontrolerów domeny w domenie usługi Active Directory. Strategia ta powoduje replikowanie danych DNS do wszystkich kontrolerów domeny w domenie bieżącej i domenach podrzędnych. Z jednej strony zapewnia to szersze rozpowszechnianie informacji, z drugiej jednak nie każdy kontroler domeny jest serwerem DNS i nie ma potrzeby takiej konfiguracji. • Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję Strefa wyszukiwania do przodu i kliknąć Dalej. Nazwa strefy • Wpisać pełną nazwę dla nowej strefy. Tworząc na przykład podstawowy serwer DNS dla domeny windows2003.pl, należy podać windows2003.pl jako nazwę strefy. • Jeśli konfigurowana jest strefa podstawowa, ale nie zintegrowana z Active Directory, kolejna strona kreatora umożliwi wybór nazwy pliku strefy. Można użyć z domyślnej nazwy lub wpisać własną. Aktualizacje dynamiczne • Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje dynamiczne. Dostępne są trzy możliwości: • Zezwalaj tylko na zabezpieczone aktualizacje dynamiczne. Jeśli strefa jest zintegrowana z Active Directory, można posłużyć się listami kontroli dostępu w celu określenia, którzy klienci mogą dokonywać aktualizacji dynamicznych. Po wybraniu tej opcji jedynie klienci posiadający uwierzytelnione konta komputerów i odpowiednie uprawnienia będą mogli dynamicznie modyfikować swoje rekordy DNS w przypadki zmian. • Zezwalaj na zabezpieczone i niezabezpieczone aktualizacje dynamiczne. Ta opcja umożliwia dynamiczne aktualizacje wszystkim klientom, bez względu na to, czy są oni uwierzytelniani, czy nie. • Nie zezwalaj na aktualizacje dynamiczne. Wybranie tej opcji wyłącza aktualizacje dynamiczne. Opcji tej należy użyć, jeśli strefa nie jest zintegrowana z usługa Active Directory. • Następnie należy kliknąć Dalej, a następnie Zakończ, aby zakończyć tworzenie strefy. Serwer automatycznie utworzy podstawowe rekordy DNS dla tej strefy. • Jeśli w administrowanej sieci istnieje kilka domen nadrzędnych (np. microsoft.com., msn.com), można powtórzyć procedurę, aby utworzyć kolejne strefy wyszukiwania wprzód. • Następnym etapem jest utworzenie rekordów DNS dla komputerów. Konfiguracja wyszukiwania wstecznego Wyszukiwanie wsteczne umożliwia znalezienie nazwy domeny, do której należy wskazany adres IP. Konwencja nazw dla stref wyszukiwania wstecznego polega na wpisaniu adresu sieci w odwrotnej kolejności i uzupełnieniu go sufiksem in-addr.arpa. Wpisy w strefach wyszukiwania wstecznego muszą być zgodne z odpowiednimi wpisami w strefach wyszukiwania wprzód. W celu utworzenia strefy wyszukiwania wstecz należy wykonać następujące czynności: • Uruchomić konsolę DNS i podłączyć się do serwera, który ma być konfigurowany. • Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po czym wybrać polecenie Nowa strefa, aby uruchomić Kreator nowych stref. Kliknąć Dalej. • Jeśli konfigurowany serwer ma być podstawowym serwerem DNS zintegrowanym z usługą Active Directory(jest to kontroler domeny), należy wybrać opcję Strefa podstawowa i upewnić się, że pole wyboru Przechowuj strefę w usłudze Active Directory jest zaznaczone. Jeśli usługa DNS nie ma być zintegrowana z Active Directory, należy wyczyścić pole wyboru. • Jeśli konfigurowany serwer ma pełnić funkcję serwera pomocniczego, należy wybrać opcję strefa pomocnicza i kliknąć Dalej. Zakres replikacji danych DNS • Jeśli tworzona strefa ma być zintegrowana z katalogiem Active Directory, należy wybrać jeden ze sposobów replikowania danych DNS: • Do wszystkich serwerów DNS w lesie domen Active Directory. Opcja ta powoduje najszersze replikowanie danych DNS. Należy pamietać, że las domen tworzą wszystkie domeny Active Directory mające wspólne dane katalogowe z aktualną domeną. • Do wszystkich serwerów DNS w domenie usługi Active Directory. Opcja powoduje replikowanie informacji DNS tylko w obrębie bieżącej domeny Active Directory i jej poddomen. • Do wszystkich kontrolerów domeny w domenie usługi Active Directory. Strategia ta powoduje replikowanie danych DNS do wszystkich kontrolerów domeny w domenie bieżącej i domenach podrzędnych (jeśli istnieją). Z jednej strony zapewnia to szersze rozpowszechnianie informacji, z drugiej jednak nie każdy kontroler domeny jest serwerem DNS i nie ma potrzeby takiej konfiguracji. • Następnie należy kliknąć Dalej. Na kolejnej stronie Kreatora wybrać opcję Strefa wyszukiwania wstecznego i kliknąć Dalej. Identyfikator sieci • Wpisać identyfikator (adres) sieci dla strefy. Podane wartości utworzą domyślną nazwę strefy wyszukiwania wstecznego. Następnie kliknąć Dalej. • W przypadku serwera nie zintegrowanego z usługą Active Directory lub serwera pomocniczego konieczne jest podanie nazwy pliku dla strefy. Można zaakceptować domyślną nazwę lub wpisać własną, po czym kliknąć Dalej. • Kolejnym krokiem jest rozstrzygnięcie, czy dozwolone są aktualizacje dynamiczne. Tą opcję należy konfigurować w identyczny sposób jak dla strefy wyszukiwania wprzód, opisany powyżej. • Kliknąć Dalej i następnie Zakończ. Konfigurowanie pomocniczego serwera DNS Pomocniczy serwer DNS zapewnia kopie zapasową usług DNS. W przypadku korzystania z pełnej integracji usług DNS z usługą Active Directory nie ma prawdziwej potrzeby tworzenia serwerów pomocniczych. Należy wówczas skonfigurować kilka kontrolerów domen do pełnienia roli serwerów DNS. Jeśli jednak wykorzystywana jest tylko częściowa integracja, utworzenie serwerów pomocniczych umożliwia zmniejszenie obciążenia serwera podstawowego. Ze względu na to, że serwery pomocnicze do większości zapytań wykorzystują strefy wyszukiwania do przodu, tworzenie stref wyszukiwania wstecznego można w tym przypadku pominąć. Strefy te są niezbędne na serwerach podstawowych. Aby utworzyć serwer pomocniczy w celu zapewnienia gwarancji usług i zrównoważenia obciążenia, należy wykonać następujące czynności: • Uruchomić konsolę DNS i podłączyć się do serwera który ma być konfigurowany. • Kliknąć prawym klawiszem myszy nazwę serwera w drzewie konsoli, po czym wybrać polecenie Nowa strefa, aby uruchomić Kreator nowych stref. Następnie należy kliknąć Dalej. • Zaznaczyć opcję Strefa pomocnicza i kliknąć Dalej. • Wpisać pełną nazwę DNS dla nowej strefy i kliknąć Dalej. • Kolejna strona wymaga podania adresu IP podstawowego serwera DNS dla tej strefy • Kliknąć Dalej a następnie Zakończ. W ruchliwych sieciach lub bardzo rozległych może być konieczne utworzenie na serwerach pomocniczych stref wyszukiwania wstecznego. Materiały dodatkowe Druga część artykułu będzie omawiać m.in. następujące zagadnienia z zakresu konfiguracji DNS: • • • • • Zarządzanie rekordami DNS. Zagrożenia dla zabezpieczeń systemu DNS. Zabezpieczanie usługi serwera DNS. Migracja systemu DNS. Integracja WINS z DNS. Dodatkowe materiały na temat opisywany w powyższym artykule można znaleźć na stronie Microsoft.