Kompatybilność DNS systemu Windows 2000
Transkrypt
Kompatybilność DNS systemu Windows 2000
Rozdział 12. System nazw domen (DNS) Dogłębnie System nazw domen (DNS) analizuje nazwy hostów — zarówno nazwy hostów lokalnych, jak i w pełni kwalifikowane nazwy domen (FQDN) — na adresy Protokołu IP. System DNS wykorzystuje hierarchiczną, rozszerzalną bazę danych oraz pojęcie hierarchicznej przestrzeni nazw domen. System ten został zdefiniowany po raz pierwszy w roku 1984 i był jednym z ważniejszych czynników w procesie tworzenia sieci WWW. Kompatybilność DNS systemu Windows 2000 DNS systemu Windows 2000 jest preferowanym systemem nazw dla systemów operacyjnych Windows 2000 zarówno w środowiskach macierzystych, jak i mieszanych. Chociaż inne implementacje systemu DNS, takie jak domena nazw internetowych Berkeley (BIND) w wersji 8.1.2, są kompatybilne z wymaganiami systemu Windows 2000, to Windows 2000 DNS jest w pełni zintegrowany z usługą Active Directory i korzysta z replikacji wielonarzędnej. Klienty niższego poziomu, takie jak Windows NT4, korzystają z rozwiązywania nazw podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS), szczególnie przy lokalizowaniu kontrolerów domeny (DC). Klienty te opierają się na emisjach i usługach nazw NetBIOS (NBNS), takich jak usługa nazw internetowych systemu Windows (WINS). Windows 2000 DNS jest przystosowany do usługi WINS i wykorzystuje integrację WINS w środowiskach mieszanych do lokalizowania usług i zasobów sieciowych. Klienty systemu Windows NT4 mogą rejestrować się w usłudze WINS systemu Windows 2000, a klienty systemu Windows 2000 mogą się rejestrować w usłudze WINS systemu Windows NT4. Klienty systemu Windows 2000 używają DNS do rozpoznawania nazw i lokalizowania usług, włącznie z lokalizowaniem kontrolerów domen. Ponieważ DNS systemu Windows 2000 obsługuje aktualizacje dynamiczne — to jest funkcje DNS dynamicznego, lub DDNS — nie jest wymagana integracja z WINS w celu rozwiązywania nazw hostów lokalnych w środowisku macierzystym. DNS systemu Windows 2000 jest zintegrowany z protokołem dynamicznej konfiguracji hosta (DHCP) systemu Windows 2000, a przydziały adresów IP dokonywane za pomocą DHCP są wpisywane do bazy danych systemu DNS (patrz: rozdział 11). Standardy DNS DNS systemu Windows 2000 obsługuje kilka standardów oraz szkiców standardów. W tabeli 12.1 wypisane są obsługiwane standardy specyfikacji RFC zespołu do spraw sieci Internet (IETF), a tabela 12.2 podaje obsługiwane projekty IETF. W momencie czytania niniejszej książki niektóre z projektów IETF mogą już być standardami, inne z kolei mogą być nieaktualne. Tabela 12.1. Obsługiwane specyfikacje RFC Specyfikacja RFC Tytuł 1034 Nazwy domen — Pojęcia i cechy 1035 Nazwy domen — Implementacja i specyfikacja 1123 Wymagania dla hostów internetowych — Stosowanie i obsługa 1886 Rozszerzenia systemu DNS do obsługi protokołu IP w wersji 6 1995 Przyrostowy transfer stref w systemie DNS 1996 Mechanizm powiadamiania systemu DNS o zmianach stref 2136 Dynamiczne aktualizacje w systemie nazw domen (DNS UPDATE) 2181 Wyjaśnienia dotyczące specyfikacji DNS 2308 Negatywne buforowanie kwerend DNS (DNS NCACHE) Tabela 12.2. Obsługiwane projekty Projekt Tytuł Draft-ietf-dnsind-rfc2052bis-02.txt DNS RR do określania lokalizacji usług (DNS SRV) Draft-skwan-utf8-dns-02.txt Korzystanie z zestawu znaków UTF-8 w systemie nazw domen Draft-ietf-dhc-dhcp-dns-08.txt Interakcja między protokołem DHCP i systemem DNS Draft-ietf-dnsind-tsig-11.txt Sygnatury transakcji tajnego klucza dla systemu DNS (TSIG) Draft-ietf-dnsind-tkey-00.txt Ustanowienie tajnego klucza dla systemu DNS (TKEY RR) Draft-skwan-gss-tsig-04.txt Algorytm GSS dla TSIG (GSS-TSIG) RR to rekord zasobów, UTF oznacza format transmisji UCS (gdzie UCS to system znaków Unicode), a GSS oznacza ogólne usługi zabezpieczeń. Internetowe projekty i specyfikacje RFC dostępne są pod adresem www.ietf.org. Pełną listę specyfikacji RFC aktualnie dostępnych w Internecie można uzyskać pod adresem http://info.internet.isi.edu/innotes/rfc/files. Przestrzeń nazw domen System DNS jest implementowany w formie hierarchicznej rozproszonej bazy danych, zawierającej różnego typu dane, łącznie z nazwami hostów i nazwami domen. Nazwy te tworzą hierarchiczną strukturę drzewa, zwaną przestrzenią nazw domen. Nazwa FQDN jednoznacznie identyfikuje pozycję danego hosta w obrębie przestrzeni nazw systemu DNS poprzez podanie listy nazw określonych kropkami — na przykład authors.coriolis.com. Częściami przestrzeni nazw głównego i najwyższego poziomu (tj. com, gov, edu, itd.) zarządza w Internecie urząd rejestracji nazw, na przykład internetowe centrum informacji sieciowej, InterNIC (pod adresem www.internic.net), którego wyznaczonym przedstawicielem jest Network Solutions, Inc. (pod adresem www.networksolutions.com). Organizacje takie jak przedsiębiorstwa i placówki oświatowe rejestrują nazwy domen oraz adresy IP i administrują swoją własną częścią przestrzeni nazw bez potrzeby odwoływania się do urzędu rejestracji nazw. Rysunek 12.1 przedstawia hierarchiczną przestrzeń nazw domen. Serwery główne, lub serwery z kropką („.”) .com .edu .mil .net .gov Zarządzane przez urząd rejestracji nazw coriolis.com www.coriolis.com authors.coriolis.com ian.authors.coriolis.com Zarządzane przez Coriolis Rysunek 12.1. Hierarchiczna przestrzeń nazw domen Nazwy domen są zgodne z międzynarodowym standardem ISO 3166. Zastrzeżone skróty pokazane są w tabeli 12.3. Tabela 12.3. Skróty systemu DNS Skrót Typ organizacji com Handlowe i biznesowe edu Edukacyjne org Niekomercyjne net Sieci szkieletowe gov Rządowe, niemilitarne mil Rządowe, militarne num Numery telefoniczne arpa DNS wsteczny xx Kod krajowy (np. uk, fr, aus) DNS wsteczny tłumaczy adres IP na nazwę FQDN i jest wykorzystywany, na przykład, przez aplikacje zabezpieczeń internetowych. Baza danych systemu DNS Baza danych DNS przechowuje rekordy zasobu w plikach stref. Strefa DNS jest jednostką administracyjną, która niekoniecznie odwzorowuje się na domenę. W domenie może być kilka stref, a w strefie może być więcej niż jedna domena. Podstawowy plik strefy może być kopiowany do pomocniczego pliku strefy tylko do odczytu w celu utworzenia kopii zapasowej i zabezpieczeń, polegających na przejmowaniu zadań przez serwer rezerwowy. Pliki te mogą być przechowywane na różnego typu serwerach nazw DNS. Kwerendy bazy danych DNS dotyczące rozpoznawania nazw mogą być przeprowadzane przy użyciu kwerend rekursywnych lub iteracyjnych. Znajomość struktury i działania bazy danych DNS jest podstawą znajomości samego systemu nazw, przy czym wszystkie te tematy są opisane w niniejszej części. Wskazówka: Niekiedy serwer nazw DNS określa się po prostu jako serwer nazw, z akronimem NS. Dzieje się tak dlatego, że rekord zasobu serwera NS w bazie danych DNS (patrz: poniżej) identyfikuje serwer nazw DNS. Należy jednak ostrożnie używać tej terminologii. Serwer WINS jest również serwerem nazw. Rekordy zasobów (RR) DNS Do rozpoznawania nazw hostów, rozpoznawania wstecznego i innych celów administracyjnych potrzebne są różnego typu rekordy zasobów. Najpopularniejsze typy rekordów zasobów opisane są poniżej. Rekord zasobu adresu startowego uwierzytelniania (SOA) Rekord zasobu SOA identyfikuje strefę DNS (lub strefę pełnomocnictwa). Zawiera on następujące pola danych: • Nazwa właściciela — nazwa hosta podstawowego serwera nazw DNS autorytatywnego dla danej strefy. • Osoba odpowiedzialna — adres e-mail osoby odpowiedzialnej za administrację strefy. W tej nazwie e-mail zamiast znaku (@) używana jest kropka (.). • Numer seryjny — numer poprawki pliku strefy. Ten numer zwiększa się za każdym razem, kiedy rekord zasobu w strefie ulega zmianie. • Interwał odświeżania — czas, wyrażony w sekundach, przez który pomocniczy serwer DNS czeka, zanim rozpocznie kwerendę zarządcy strefy, mającą na celu dokonanie próby odnowienia informacji dotyczących strefy. Wartością domyślną tego pola jest 900 (15 minut). • Interwał ponawiania — czas, wyrażony w sekundach, przez który pomocniczy serwer czeka przed ponowieniem nieudanego transferu strefy. Wartością domyślną jest 600 (10 minut). • Czas przeterminowania — czas, wyrażony w sekundach, przed wstrzymaniem odpowiadania pomocniczego serwera na kwerendy po upłynięciu interwału odświeżania, w którym strefa nie została odświeżona ani zaktualizowana. Po wygaśnięciu tego czasu serwer pomocniczy uznaje swoje dane lokalne za nieprawdziwe. Wartością domyślną jest 86 400 (24 godziny) • Minimalny czas TTL — czas Time-To-Live (TTL) w sekundach, stosowany wobec wszystkich rekordów zasobów w strefie, które mają nieokreślone wartości czasu TTL specyficzne dla rekordu. Ta wartość określa, jak długo należy buforować rekord zasobu przesłany w odpowiedzi (patrz: dalsza część niniejszego rozdziału). Wartością domyślną jest 3 600 (1 godzina). Host Rekord zasobu hosta, lub rekord adresu (A), zawiera nazwę hosta (lub nazwę DNS) oraz odpowiedni adres IP (Ipv4). Jest to najprostszy i najpopularniejszy typ rekordu w bazie danych DNS. Rekord A jest wymagany dla każdego hosta współużytkującego zasoby w danej sieci. Host Ipv6 Rekord zasobu hosta Ipv6, lub rekord AAAA, to to samo co rekord A, z tym że odwzorowuje nazwę hosta na 128-bitowy adres IPv6 (patrz: rozdział 18). Wskazówka: Istnieją również inne rekordy zasobu hosta, które nie zostały tutaj opisane, na przykład rekord zasobu bazy danych Andrew File System (AFSDB) czy rekord zasobu adresu trybu transferu asynchronicznego (ATMA). Aby uzyskać więcej szczegółów, odwołaj się, odpowiednio, do dokumentu RFC 1183 oraz do witryny ftp://ftp.atmforum.com/pub/approvedspecs/. Serwer nazw Rekord zasobu serwera nazw (NS) identyfikuje serwer nazw DNS i jest wykorzystywany do przypisywania adresu startowego uwierzytelniania dla strefy DNS określonemu serwerowi na dwa sposoby: • Ustanawia serwer nazw autorytatywnych dla danej strefy i identyfikuje ten serwer dla innych, które żądają informacji dotyczących strefy. • Identyfikuje autorytatywny serwer DNS dla każdej domeny podrzędnej delegowanej ze strefy (patrz: dalsza część tego rozdziału). Rekordy zasobów NS zawierają nazwę domeny lub strefy (nazwę właściciela) oraz nazwę FQDN serwera nazw DNS, który jest autorytatywny dla strefy. Wskazówka: Jeżeli serwer nazw zostanie określony w rekordzie zasobu NS jako autorytatywny dla delegowanej strefy, to będzie on miał nazwę pozastrefową. Do rozwiązania tej nazwy pozastrefowej może być konieczny rekord zasobu A. Ów rekord A znany jest jako rekord sklejający. Nazwa kanoniczna Rekord zasobu nazwy kanonicznej (CNAME) zapewnia alias (nazwę alternatywną) dla nazwy hosta poprzez odwzorowanie alternatywnej nazwy domeny DNS określonej w polu właściciel na kanoniczną, lub podstawową, nazwę domeny DNS określoną w nazwa_kanoniczna. Wskaźnik Rekord zasobu wskaźnika (PTR) łączy nazwę DNS w polu właściciel z inną lokalizacją w przestrzeni nazw DNS w sposób określony w polu nazwa_domeny_docelowej. Rekordy PTR są zazwyczaj wykorzystywane do łączenia nazw DNS z rekordami w drzewie domeny in-addr.arpa, aby zapewnić wyszukiwanie wsteczne odwzorowań adresów na nazwy. Usługa wymiany poczty Rekord zasobu usługi wymiany poczty (MX) umożliwia routowanie wiadomości, wysyłanych do nazwy domeny określonej w polu właściciel, do hosta usługi wymiany poczty określonego w polu host_usługi_wymiany_poczty. Dwucyfrowa wartość preferencji określa kolejność preferowaną, jeżeli określonych jest wiele hostów usługi wymiany. Każdy host wymiany musi mieć odpowiadający mu rekord zasobu A. Skrzynka pocztowa Rekord zasobu skrzynki pocztowej (MB) odwzorowuje nazwę skrzynki pocztowej domeny, określoną w polu użytkownik, na nazwę hosta skrzynki pocztowej, określoną w polu mailbox_hostname. Nazwa hosta skrzynki pocztowej musi być taka sama, jak ważny rekord zasobu adresu (A) używany już przez hosta w tej samej strefie. Wskazówka: Inne typy rekordów zasobu związanych z pocztą elektroniczną to grupa pocztowa (MG), informacje listy pocztowej skrzynki pocztowej (MINFO) oraz skrzynka pocztowa o zmienionej nazwie (MR). Szczegółowe informacje można znaleźć w dokumentacji Windows 2000. Lokalizacja usługi Rekord zasobu lokalizacji usługi (SRV) umożliwia lokalizowanie wielu serwerów, zapewniających podobną usługę opartą na protokole TCP/IP, przy użyciu pojedynczej kwerendy DNS. Rekordy zasobu SRV utrzymują listę serwerów dla dobrze znanych portów serwera i typów protokołów transportu dla nazwy domeny DNS. Lista uporządkowana jest według uprzywilejowania. Może ona, na przykład, lokalizować kontrolery domeny korzystające z usługi protokołu uproszczonego dostępu do katalogów (LDAP) przez port TCP 389. Te rekordy zasobu mają złożoną strukturę o dużej liczbie pól. Aby uzyskać szczegółowe informacje, odwołaj się do dokumentacji Windows 2000. Informacje hosta Rekord zasobu informacji hosta (HINFO) określa typ procesora i systemu operacyjnego (OS) dla nazwy domeny DNS hosta określonej w polu właściciel. Informacje te zawarte są w polach, odpowiednio, typ_cpu i typ_os. Wskazówka: Inne rekordy zasobu, które dostarczają informacji ogólnych, to osoba odpowiedzialna (RP), rozsyłanie poprzez (RT), tekst (TXT), dobrze znana usługa (WKS), Integrated Services Digital Network (ISDN) oraz X25. Aby uzyskać informacje szczegółowe, odwołaj się do dokumentacji Windows 2000. Wyszukiwanie do przodu usługi nazw internetowych systemu Windows Rekord zasobu wyszukiwania do przodu usługi nazw internetowych systemu Windows (WINS) wykorzystywany jest, aby zapewnić rozwiązywanie kwerend DNS dotyczących nazw nie znalezionych w danej strefie, poprzez kwerendę serwerów WINS skonfigurowanych i umieszczonych na liście przy użyciu tego rekordu. Rekord WINS dotyczy tylko najwyższego poziomu strefy, a nie domen podrzędnych wykorzystywanych w tej strefie. Więcej szczegółów można znaleźć w rozdziale 13. Wyszukiwanie wsteczne usługi nazw internetowych systemu Windows Rekord zasobu wyszukiwania wstecznego usługi nazw internetowych systemu Windows (WINSR) wykorzystywany jest, aby zapewnić dalsze rozwiązywanie kwerend wstecznych nie znalezionych w danej strefie, poprzez użycie w WINS kwerendy stanu węzła karty NetBIOS dla wyszukiwanych adresów IP. Więcej szczegółów można znaleźć w rozdziale 13. Strefy systemu DNS Strefa to część bazy danych DNS zawierająca rekordy zasobów dla nazw właścicieli, które należą do zwartej części przestrzeni nazw systemu DNS. Jeden serwer DNS może być skonfigurowany jako host dla jednej lub większej liczby stref (a czasem dla żadnej strefy). Każda strefa jest definiowana przez konkretną nazwę domeny, określaną jako domena główna. Gdyby na przykład domeną główną strefy była domena coriolis.com, to zawierałaby ona informacje dotyczące wszystkich nazw FQDN kończących się na coriolis.com (każda nazwa hosta lokalnego w domenie coriolis.com ma nazwę FQDN, który kończy się na coriolis.com). Serwer DNS uznawany jest za autorytatywny dla danej nazwy, jeżeli ładuje plik strefy zawierający tę nazwę. Rekord zasobu SOA dla strefy identyfikuje podstawowy serwer nazw DNS strefy jako najlepsze źródło informacji dla danych w obrębie tej strefy i jako serwer przetwarzający aktualizacje dla tej strefy. Nazwy w obrębie strefy mogą być delegowane do innej strefy (lub innych stref). Na przykład nazwy w domenie authors.coriolis.com kończą się na coriolis.com i są, domyślnie, członkami strefy coriolis.com. Jednakże odpowiedzialność za te nazwy może zostać oddelegowana do strefy authors.coriolis.com, która będzie wtedy miała swoją własną strefę pełnomocnictwa, swój własny rekord zasobu SOA i prawdopodobnie, swój własny podstawowy serwer nazw DNS. Delegowanie to proces przydzielania odpowiedzialności za część przestrzeni nazw DNS oddzielnej jednostce. Jednostka ta może być oddziałem lub zespołem w obrębie przedsiębiorstwa, lub przedsiębiorstwem w obrębie większej organizacji. Delegowanie implementuje się przy użyciu rekordu zasobu NS, określającego zarówno delegowaną strefę, jak i nazwę DNS serwera autorytatywnego dla tej strefy. Delegowanie poprzez wiele stref było jednym z pierwotnych zamierzeń projektu DNS w roku 1984. Autorzy oryginalnych dokumentów RFC 882 i 883 (teraz zastąpionych) zidentyfikowali kilka powodów delegowania przestrzeni nazw DNS: • potrzeba oddelegowania zarządzania domeną DNS do kilku przedsiębiorstw lub oddziałów w obrębie organizacji; • potrzeba rozdzielenia obciążenia związanego z utrzymywaniem jednej dużej bazy danych DNS na wiele serwerów nazw, aby poprawić wydajność rozpoznawania nazw oraz utworzyć środowisko DNS odporne na uszkodzenia; • potrzeba uwzględnienia przynależności organizacyjnej hosta poprzez włączenie go do odpowiedniej domeny. Rekordy zasobów NS znajdują się we wszystkich strefach wyszukiwania w przód i wyszukiwania wstecznego, i wspierają delegowanie poprzez identyfikowanie serwerów DNS dla każdej ze stref. Ilekroć serwer DNS musi zyskać dostęp do rekordu w delegowanej strefie (co jest znane jako krzyżowanie delegowania), zwraca się do rekordów zasobu NS o zidentyfikowanie serwerów DNS w strefie docelowej. Na rysunku 12.2 zarządzanie domeną coriolis.com jest delegowane poprzez dwie strefy, coriolis.com i authors.coriolis.com. Domena coriolis.com .com coriolis.com ftp.coriolis.com www.coriolis.com authors.coriolis.com strefa coriolis.com ian.authors.coriolis.com strefa authors.coriolis.com mary.authors.coriolis.com Rysunek 12.2. Strefy delegowane Wskazówka: Przeważnie plik strefy dla strefy delegowanej jest ładowany na więcej niż dwa serwery nazw DNS, a zatem serwer najwyższego poziomu dla domeny zawiera wiele rekordów zasobów NS identyfikujących serwery nazw DNS, dostępnych w celu przeprowadzania kwerend. W tej sytuacji Windows 2000 DNS wybiera najbliższy serwer nazw DNS na podstawie interwałów transmisji i potwierdzenia przyjęcia mierzonych w czasie dla każdego ze wspomagających serwerów nazw DNS. Replikacja bazy danych Są dwa typy stref DNS, podstawowe oraz pomocnicze, które mają odpowiadające im pliki stref podstawowych i pomocniczych. Wszystkie aktualizacje rekordów stref przeprowadzane są w strefie podstawowej. Strefa pomocnicza jest kopią tylko do odczytu strefy podstawowej. Wszelkie zmiany dokonywane w pliku strefy podstawowej są replikowane do pliku strefy pomocniczej. Strefy pomocnicze zapewniają zabezpieczenia, polegające na przejmowaniu zadań przez inny serwer i mogą przyspieszać rozpoznawanie nazw w zdalnych segmentach sieci. Możliwe jest, aby serwer nazw DNS zawierał plik strefy podstawowej (lub główną kopię pliku strefy) dla jednej strefy oraz plik strefy pomocniczej (lub kopię tylko do odczytu pliku strefy) dla drugiej. Serwer ten jest w tym przypadku podstawowym serwerem nazw DNS dla pierwszej strefy i pomocniczym serwerem DNS dla drugiej strefy. Proces replikowania pliku strefy do wielu serwerów nazw zwany jest transferem stref. Dokonuje się tego poprzez skopiowanie informacji pliku strefy z serwera nadrzędnego na serwer pomocniczy (zwany czasem serwerem podległym), gdzie serwer nadrzędny jest źródłem informacji o strefie. Serwer nadrzędny może być podstawowy lub pomocniczy. Jeżeli serwer nadrzędny jest podstawowy, to transfer stref pochodzi bezpośrednio od źródła. Jeżeli serwer nadrzędny jest pomocniczy, to plik otrzymany z serwera nadrzędnego za pomocą transferu jest kopią pliku strefy pomocniczej. To rozróżnienie przedstawione jest na rysunku 12.3. Nadrzędne i podstawowe serwery nazw DNS Rozróżnienie pomiędzy nadrzędnym i podstawowym serwerem nazw DNS może być źródłem zamieszania. Podstawowy i pomocniczy odnoszą się do typu strefy. Serwer nazw DNS zawierający podstawowy (możliwy do uaktualnienia) plik strefy jest serwerem podstawowym dla tej strefy. Serwery nazw DNS zawierające pomocniczy (tylko do odczytu) plik strefy są serwerami pomocniczymi dla tej strefy. Serwery nadrzędne stanowią część procesu transferu stref. Jeżeli Serwer C otrzymuje informacje dotyczące strefy DNS od Serwera B, to Serwer B jest serwerem nadrzędnym, a Serwer C jest serwerem pomocniczym dla tego transferu stref. Wszelkie replikowane informacje u adresata są tylko do odczytu. Serwer B może posiadać plik podstawowy dla jednej, określonej strefy oraz plik pomocniczy dla drugiej. Serwer C otrzymuje wtedy pliki pomocnicze dla obydwu stref. Jeżeli plik strefy pomocniczej znajdujący się Serwerze B jest replikowany z Serwera A, który posiada plik podstawowy dla tej strefy, to Serwer A jest serwerem nadrzędnym, a Serwer B jest serwerem pomocniczym dla tego transferu stref. Odwołaj się do rysunku 12.3 Serwer A Serwer B Serwer C Strefa 1 (podstawowa) Strefa 1 (pomocnicza) Strefa 1 (pomocnicza) Strefa 2 (podstawowa) Strefa 2 (pomocnicza) Jestem podstawowym Jestem pomocniczym serwerem nazw dla strefy 2. nazw dla strefy 1 i 2. Jestem pomocniczym serwerem Serwer B jest moim nazw dla strefy 1. nadrzędnym dla obu stref. Jestem podstawowym serwerem nazw dla strefy 1. serwerem serwerem Serwer A jest moim serwerem nadrzędnym dla strefy 1. Rysunek 12.3. Nadrzędne, podstawowe oraz pomocnicze serwery nazw DNS. Transfer stref inicjowany jest na dwa sposoby: • Serwer nadrzędny wysyła do serwera pomocniczego (serwerów pomocniczych) powiadomienie, że plik strefy uległ zmianie. Dokument RFC opisuje ten proces szczegółowo. • Kiedy uruchamia się usługa DNS serwera pomocniczego lub ulega przeterminowaniu jego interwał odświeżania, to przeprowadza on kwerendę serwera podstawowego dotyczącą tych zmian. Interwał odświeżania określony jest w rekordzie zasobu SOA i domyślnie wynosi 15 minut. Są dwa typy replikacji pliku strefy: • Pełny transfer strefy (AXFR) — replikuje cały plik strefy. Są dwa typy AXFR. Pierwszy z nich przesyła jeden rekord na pakiet, a drugi dopuszcza wiele rekordów na pakiet. DNS systemu Windows 2000 obsługuje obydwa typy. Domyślnie stosuje on wiele rekordów na pakiet, o ile nie został skonfigurowany inaczej dla zapewnienia zgodności ze starymi serwerami DNS, takimi jak BIND w wersji 4.9.4 i wcześniejsze, które obsługują tylko jeden rekord na pakiet. System Windows NT4 obsługuje AXFR o wielu rekordach na pakiet. • Przyrostowy transfer strefy (IXFR) — replikuje tylko zmienione rekordy strefy. DNS systemu Windows 2000 obsługuje IXFR; Windows NT4 nie. Protokół IXFR jest opisany w dalszej części tego rozdziału. Serwery tylko buforujące Wszystkie serwery nazw DNS buforują kwerendy, które przeanalizowały. Można jednak zainstalować serwer nazw DNS specjalnie jako serwer tylko buforujący. Serwer tylko buforujący wykonuje kwerendy, buforuje odpowiedzi i zwraca wyniki. Nie jest on autorytatywny dla żadnej domeny i zawiera tylko informacje buforowane w czasie analizowania kwerend. Jeżeli masz witrynę o dużym natężeniu ruchu DNS, lub jeśli masz witryny satelickie, takie jak filie, które korzystają z powolnego łącza sieci WAN, to w celu wyrównania obciążenia i obniżenia ruchu w sieci można użyć serwera tylko buforującego. Serwer tylko buforujący nie wykonuje transferów stref, które mogą intensywnie korzystać z sieci w środowiskach WAN. Windows 2000 DNS wprowadza pojęcie analizatora buforującego strony klienckiej. Jest to opisane w dalszej części niniejszego rozdziału. Kwerendy systemu DNS Kwerendy DNS są wysyłane od klienta DNS (analizatora) do serwera nazw DNS (serwera nazw). Ponadto serwer nazw może wysłać kwerendę do drugiego serwera nazw. Kwerendy DNS są przeważnie, lecz nie wyłącznie, kwerendami analizy nazw. Kwerenda może na przykład żądać wszystkich rekordów zasobu hosta o określonej nazwie. Są dwa typy kwerend DNS: • Rekursywna — żąda, aby serwer nazw zwrócił albo pomyślną odpowiedź, albo komunikat o błędzie. Zazwyczaj kwerendę rekursywną wykonuje analizator. Analizator nie bierze już dalej udziału w procesie kwerendy, tylko czeka na odpowiedź. Serwer nazw może wysłać kwerendę rekursywną do swojego serwera przekazującego, który jest innym serwerem nazw skonfigurowanym specjalnie do obsługiwania przekazywanych do niego żądań. • Iteracyjna — badany kwerendą serwer nazw dostarcza najlepszych informacji dotyczących kwerendy, jakie są dostępne. Zazwyczaj, jeżeli badany serwer nie jest autorytatywny dla danej strefy, to wysyła odsyłacz, który jest listą zawierającą jeden lub więcej serwerów, które mogą być w stanie spełnić kwerendę lub dostarczyć na jej temat więcej informacji. Serwer wykonujący kwerendę wysyła następnie kwerendę do jednego z serwerów znajdujących się na liście odsyłacza i proces kwerendy przebiega dalej jako szereg iteracji, dopóki kwerenda nie zostanie przeanalizowana. Rysunek 12.4 przedstawia proces kwerendy. Jest to przykład troszkę nadmiernie uproszczony, ponieważ nie bierze pod uwagę kwerend do bufora żadnego z analizujących uczestników. Nie opisuje on również korzystania z serwerów WINS (ani innych serwerów NBNS), czy emisji mających na celu rozpoznanie lokalnych nazw hostów, co miałoby miejsce w starych lub mieszanych domenach. Ten przykład opisuje jedynie analizowanie nazw DNS. Kwerendy iteracyjne Główny serwer nazw („.”) 2 3 Serwer nazw .com 6 Serwer nazw coriolis.com 4 Serwer nazw 5 Kwerenda rekursywna 1 8 7 Analizator Chcę znaleźć www.coriolis.com. www.coriolis.com Rysunek 12.4. Analizowanie nazw DNS W poniższym przykładzie klient (analizator) w domenie zdalnej chce przetłumaczyć www.coriolis.com na adres IP. Mogłoby to mieć miejsce, gdyby przeglądarka kliencka podjęła próbę połączenia z URL. 1. Analizator wysyła do swojego serwera nazw lokalnych kwerendę rekursywną dotyczącą nazwy FQDN www.coriolis.com. 2. Serwer nazw lokalnych nie może przeanalizować nazwy FQDN ze swojej własnej bazy danych. Dlatego też parsuje nazwę FQDN. Jest oczywiste, że wszystkie nazwy FQDN kończą się kropką. Nie jest ona normalnie wpisywana, ale jej założona obecność jest podstawą analizy składniowej FQDN. Serwer nazw lokalnych parsuje końcową kropkę i rozumie, że oznacza ona w przestrzeni nazw domeny serwer główny (czasem zwany serwerem z kropką). Wszystkie implementacje systemu DNS zawierają w sobie plik bufora (albo root hints serwera), w skład którego wchodzą adresy IP głównych serwerów dla domen internetowych. Serwer nazw lokalnych wysyła iteracyjną kwerendę do serwera głównego, prosząc go o rozpoznanie www.coriolis.com. Wskazówka: Najnowszą wersję pliku bufora serwera głównego można pobrać z witryny InterNIC pod adresem ftp://rs.internic.net/domain/named.cache. 3. Serwer główny nie może rozpoznać www.coriolis.com, ale może rozpoznać com. Dlatego też wysyła z powrotem do serwera nazw lokalnych odsyłacz z listą adresów IP serwerów nazw w przestrzeni nazw com. 4. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw com, prosząc go o rozpoznanie www.coriolis.com. 5. Serwer nazw com nie może rozpoznać www.coriolis.com, ale może rozpoznać coriolis.com. Wysyła z powrotem do serwera nazw lokalnych odsyłacz, podający adres autorytatywnego serwera nazw dla coriolis.com. 6. Serwer nazw lokalnych wysyła kwerendę iteracyjną do serwera nazw coriolis.com, który może rozpoznać www.coriolis.com. 7. Serwer nazw coriolis.com zwraca adres IP www.coriolis.com do serwera nazw lokalnych. 8. Serwer nazw lokalnych spełnia kwerendę rekursywną wysyłając adres IP dla www.coriolis.com do analizatora. Serwery przekazujące Jeżeli nie chcesz, aby serwer nazw DNS używał kwerend iteracyjnych (albo w ogóle, albo domyślnie), to możesz go skonfigurować, aby korzystał z serwera przekazującego. Serwer przekazujący to serwer nazw DNS, który zajmuje się żądaniami iteracyjnymi w imieniu innych serwerów i zwraca im wyniki. Serwer nazw DNS, który nie może przeanalizować danego żądania w oparciu o swoje własne informacje dotyczące strefy, może wysłać żądanie rekursywne do serwera przekazującego. Dlatego też mówi się, że serwer przekazujący dostarcza żądającemu serwerowi usługę rekursywną. Serwery przekazujące są zazwyczaj wykorzystywane w przypadku dostępu do zdalnych serwerów nazw DNS poprzez powolne łącze. Mogłoby się na przykład zdarzyć, że administrujesz szybką siecią wewnętrzną podłączoną do Internetu przez względnie wolne połączenie; w takim przypadku możesz zechcieć wykorzystać do kwerend iteracyjnych usługę nazw DNS dostarczoną przez swojego dostawcę usług internetowych (ISP). To mogłoby znacząco obniżyć ruch w Twojej sieci. Serwer nazw DNS, który korzysta z serwera przekazującego, może mieć całkowicie wyłączoną iterację. Ewentualnie można określić serwer przekazujący i opóźnienie czasowe. W tym drugim przypadku serwer najpierw wysyła żądanie rekursywne do swojego serwera przekazującego, a następnie podejmuje próbę iteracji, jeżeli serwer przekazujący nie może spełnić żądania w granicach określonego czasu. Serwera przekazującego można również używać do współużytkowania informacji dotyczących analizowania nazw. Przypuśćmy na przykład, że nasze przedsiębiorstwo ma kilka serwerów nazw DNS. Zamiast zmuszać każdy z serwerów, aby wysyłał kwerendy do Internetu (prawdopodobnie przez firewalla), można skonfigurować wszystkie swoje serwery, aby przedkładały kwerendy do pojedynczego serwera przekazującego. Serwer przekazujący buduje bufor internetowych nazw DNS z otrzymywanych odpowiedzi i może spełnić kwerendę pochodzącą z jednego serwera bazując na informacjach wynikłych z kwerendy, która pochodzi z innego serwera. Konfigurowanie serwera nazw DNS, aby korzystał z serwera przekazującego jest opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału. Wskazówka: Serwer nazw DNS zainstalowany na serwerze głównym w domenie nie może korzystać z serwerów przekazujących. Czas istnienia rekordów zasobu Po przeanalizowaniu kwerendy zarówno analizator, jak i serwer nazw mogą buforować informacje i używać zapamiętanych odpowiedzi przy odpowiadaniu na kolejne kwerendy. Dane zapamiętane w buforze mają ograniczony czas istnienia, określany w parametrze TTL, który jest zwracany wraz z danymi. Daje to gwarancję, że DNS nie będzie trzymał informacji tak długo, aż staną się one nieaktualne. TTL bufora można ustawić w bazie danych DNS albo dla pojedynczego rekordu zasobów poprzez ustawienie pola TTL zasobu, albo dla strefy, ustawiając pole minimalnego TTL w rekordzie SOA. TTL bufora można również ustawiać na analizatorze. Ustawiając TTL należy wziąć pod uwagę dwa konkurencyjne czynniki. Jeżeli TTL jest krótki, to zmniejsza się prawdopodobieństwo, iż informacje ulegną przedawnieniu, ale zwiększa się ruch w sieci oraz wykorzystanie serwera nazw DNS. Jeżeli TTL jest długi, to klient może otrzymywać błędne odpowiedzi na kwerendy, ale zmniejsza się wykorzystanie serwera DNS i ruch w sieci. Jeżeli odpowiedź na kwerendę zostanie udzielona przy użyciu wpisu zawartego w buforze, to wraz z nią wysyłany jest TTL wpisu, dzięki czemu analizatory otrzymujące odpowiedź wiedzą jak długo jest ona ważna. Analizatory uznają TTL od odpowiadającego serwera i nie ustawiają go ponownie w oparciu o swój własny TTL. Aktualizowanie bazy danych DNS systemu Windows 2000 obsługuje zarówno statyczne, jak i dynamiczne aktualizacje bazy danych DNS. Aktualizacje statyczne implementuje się przy użyciu narzędzia przystawki MMC (konsoli zarządzania firmy Microsoft) systemu DNS. Korzystanie z tego narzędzia jest obszernie opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału. Aktualizacja dynamiczna jest udoskonaleniem DNS systemu Windows 2000 i jest opisana w następnej części. Udoskonalenia systemu Windows 2000 Komunikacja użytkownika z usługą DNS systemu Windows 2000 przebiega poprzez przystawkę konsoli MMC. Zapewnia to zgodność z innymi usługami systemu Windows 2000 i daje administratorowi spójne, łatwe w użyciu narzędzie do zarządzania. Oprócz ułatwionego zarządzania DNS systemu Windows 2000 oferuje kilka udoskonaleń oraz nowych funkcji. W ich skład wchodzą: • integracja usługi Active Directory; • aktualizacja dynamiczna, łącznie z zabezpieczoną aktualizacją dynamiczną; • starzenie się i oczyszczanie rekordów; • przyrostowy transfer strefy (IXFR); • analizator buforujący; • obsługa znaków Unicode; • udoskonalony lokalizator domen. Integracja usługi Active Directory System Windows 2000 może wykorzystywać usługi Active Directory jako swoją pamięć masową do przechowywania danych oraz jako mechanizm replikacji. Strefa DNS wykorzystująca integrację usługi Active Directory musi być załadowana na kontroler domeny; określa się ją wtedy jako strefę zintegrowaną z usługą katalogową (DS). Strefy zintegrowane z DS dają następujące korzyści: • replikacja wielonarzędna DNS wykonywana jest przez usługę Active Directory i nie ma potrzeby obsługiwania osobnej metodologii replikacji dla informacji DNS; • replikacja usługi Active Directory zawsze zapewnia wymagane rozdrobnienie replikacji, łącznie z osobną replikacją dla każdej właściwości; • replikacja usługi Active Directory jest bezpieczna, można też implementować bezpieczne aktualizacje DNS dynamicznego; • podstawowy serwer DNS zostaje wyeliminowany jako pojedynczy punkt awarii. Można dokonać aktualizacji każdego kontrolera domeny serwera nazw DNS, a zmiana zostanie rozpropagowana do innych kontrolerów domen. Integracja usługi Active Directory ułatwia administrację przestrzeni nazw DNS, obsługując jednocześnie standardowy transfer stref do serwerów nazw DNS systemów innych niż Windows 2000. Replikacja wielonarzędna Informacje aktualizacyjne stref dla stref zintegrowanych z DS są zapisywane w usłudze Active Directory, a usługa Active Directory jest odpowiedzialna za replikowanie danych. Serwery nazw DNS uruchomione na innych kontrolerach domen będą zapytywały usługę Active Directory o aktualizacje. Aktualizacje DNS mogą być zapisywane na dowolnym serwerze DNS zintegrowanym z DS, a dane są automatycznie replikowane do wszystkich kontrolerów domen przy użyciu replikacji wielonarzędnej. Z replikacji wielonarzędnej wynika kilka problemów. Możliwość zapisu w usłudze Active Directory z kilku kontrolerów domen jednocześnie może powodować sytuacje konfliktowe, ponieważ dokonywane są zmiany tego samego obiektu na dwóch lub większej liczbie serwerów. Ten konflikt zostaje ostatecznie rozwiązany na korzyść ostatniej aktualizacji obiektu, w oparciu o znaczniki czasu aktualizacji. Ta sama zasada obowiązuje w przypadku, kiedy dwa lub większa ilość węzłów o tej samej nazwie zostanie utworzonych na dwóch lub większej liczbie serwerów DNS. Dopóki konflikt nie zostanie rozwiązany, a serwer DNS zawierający nieważną aktualizację zapytuje usługę Active Directory o ważne dane, jest możliwe, że żądania dotyczące tego samego obiektu zgłoszone do dwóch różnych serwerów DNS zostaną przeanalizowane w różny sposób. Uwaga! Jeżeli strefa zintegrowana z DS zostaje przekształcona na oryginalny (nie zintegrowany z DS) plik strefy podstawowej, to serwer DNS ładujący nową strefę podstawową musi być jedynym podstawowym źródłem pełnomocnictwa dla strefy. Dlatego też przekształcona strefa musi zostać usunięta z usługi Active Directory — to jest ze wszystkich kontrolerów domen, które były poprzednio autorytatywne dla strefy. W przeciwnym wypadku replikowane będą nieaktualne i nieprawidłowe informacje. Obniżanie czasu zwłoki informacji dotyczących transferu stref Jeżeli dana strefa DNS została uaktualniona, ale owa aktualizacja musi jeszcze zostać zreplikowana do innych serwerów nazw DNS, to dla strefy wciąż istnieją serwery nazw posiadające różne informacje. Aby obniżyć czas zwłoki w propagowaniu zmian do bazy danych DNS, DNS systemu Windows 2000 wykorzystuje rozszerzenie NOTIFY, które aktywnie powiadamia serwery nazw o wystąpieniu zmiany. Pakiet NOTIFY, wysyłany przez serwer nadrzędny, nie zawiera żadnych informacji dotyczących zmian strefy. Po prostu powiadamia on drugą stronę, że trzeba zainicjować transfer strefy. Aktualizacje dynamiczne (DDNS) System DNS był pierwotnie zaprojektowany, aby obsługiwać kwerendy za pomocą bazy danych skonfigurowanej statycznie, w której częstotliwość zmian miała być niska. W tej sytuacji wszystkie aktualizacje były implementowane jako zewnętrzne modyfikacje pliku nadrzędnego strefy podstawowej. Dynamiczna alokacja adresów IP przy użyciu protokołu DHCP spowodowała, że ręczne uaktualnianie informacji DNS stało się niewystarczające; innym powodem były wzrastające rozmiary zarówno intranetów wewnętrznych, jak i Internetu. System Windows NT4 wychodził naprzeciw temu problemowi poprzez zintegrowanie systemów WINS i DNS, lecz było to co najwyżej częściowe rozwiązanie, gdyż działanie procesu analizowania opierało się na tym, że nazwy hostów i nazwy NetBIOS były takie same (lub wystarczająco podobne). W systemie Windows 2000 automatyczne przedzielanie adresów przez DHCP jest zintegrowane z aktualizacjami dynamicznymi DNS. Ta funkcja, znana jako aktualizacja dynamiczna lub DDNS, jest zdefiniowana w dokumencie RFC 2136. Dokument ten wprowadza nowy kod operacji, czy też format wiadomości, zwany AKTUALIZACJĄ. Komunikat aktualizacji może dodawać i usuwać rekordy zasobów z określonej strefy i testować pod kątem warunków wstępnych. Aktualizowanie jest operacją niepodzielną — co oznacza, że muszą być spełnione wszystkie warunki wstępne. Inaczej nie będzie miała miejsca żadna aktualizacja. Aktualizacja strefy musi być implementowana na podstawowym serwerze nazw dla tej strefy, jeżeli aktualizację otrzyma serwer pomocniczy, to jest ona przesyłana poprzez topologię replikacyjną dopóki nie dotrze do serwera głównego. W strefie zintegrowanej z DS aktualizacja może być wysłana do dowolnego serwera DNS uruchomionego na kontrolerze domeny, na który załadowana jest ta strefa. W czasie trwania transferu strefa jest zablokowana i nie może otrzymywać żadnych aktualizacji. Może to stanowić problem w dużej strefie, która implementuje DDNS i jest często blokowana w celu dokonania transferu strefy. DNS systemu Windows 2000 wychodzi naprzeciw temu problemowi poprzez kolejkowanie żądań aktualizacji przychodzących podczas transferu strefy i przetwarzanie ich po zakończeniu transferu strefy. Każdy host systemu Windows 2000 podejmuje próbę zarejestrowania swoich rekordów A i PTR poprzez usługę kliencką DHCP. Usługa ta działa na każdym kliencie niezależnie od tego, czy jest on skonfigurowany jako klient DHCP, czy nie. Algorytm aktualizacji dynamicznej różni się w zależności od typu klienta dostarczającego informacje rekordu zasobu procesowi aktualizacji dynamicznej. Klient może być: • klientem protokołu DHCP, • klientem skonfigurowanym statycznie, • klientem usługi dostępu zdalnego (RAS). Klient protokołu DHCP Kiedy klient protokołu DHCP systemu Windows 2000 uzyskuje swoje informacje dotyczące konfiguracji IP, to negocjuje z serwerem DHCP procedurę aktualizacji dynamicznej DNS. Domyślnie, klient zawsze proponuje, że uaktualni rekord A, natomiast serwer DHCP uaktualni rekord PTR. Serwer protokołu DHCP systemu Windows 2000 może być konfigurowany w taki sposób, aby odpowiadał na dwa możliwe sposoby: • zawsze aktualizując serwer DNS według żądania klienta (ustawienie domyślne), • zawsze aktualizując wyszukiwanie w przód i wyszukiwanie wsteczne. Jeżeli serwer DHCP jest skonfigurowany, aby zawsze aktualizować wyszukiwanie w przód i wstecz, to uaktualni zarówno rekord A, jak i PTR niezależnie od żądania klienta DHCP. Jeżeli na serwerze DHCP są wyłączone aktualizacje dynamiczne, to klient DHCP będzie sam próbował uaktualnić zarówno rekord A, jak i PTR. Rysunek 12.5 przedstawia okno dialogowe służące do konfigurowania aktualizacji dynamicznych na serwerze DHCP. Narzędzie przystawki MMC protokołu DHCP (menedżer DHCP) opisane zostało w rozdziale 11. Rysunek 12.5. Konfigurowanie aktualizacji dynamicznych na serwerze DHCP. Po upływie dzierżawy adresu IP muszą zostać usunięte związane z nią rekordy A i PTR. Oczyszczanie dynamiczne wymaga, aby rekordy były usuwane przez hosty — w tym przypadku przez klienta i/lub serwer DHCP — które je utworzyły. Jeżeli host, który utworzył rekord A lub PTR, zostanie odłączony od sieci przed upływem dzierżawy DHCP, to odnośne rekordy zasobu mogą ulec przedawnieniu. Jako że serwer DHCP jest właścicielem adresu IP, zalecane jest, aby serwery DHCP rejestrowały rekordy PTR, kiedy to tylko możliwe. W środowisku mieszanym klient protokołu DHCP systemu Windows 2000 może podjąć próbę negocjowania procedury aktualizacji dynamicznej z serwerem protokołu DHCP systemu Windows NT4. W takim wypadku klient protokołu DHCP systemu Windows 2000 sam uaktualni zarówno rekord A, jak i PTR. Jeżeli klient niższego poziomu (na przykład Windows NT4 lub 9x) uzyska dzierżawę od serwera protokołu DHCP systemu Windows 2000, to serwer zarejestruje w DNS zarówno rekord A, jak i PTR, pod warunkiem, że wybrana została opcja dokonywania aktualizacji klientów DHCP niższego poziomu. Po upływie dzierżawy klienta DHCP serwer protokołu DHCP systemu Windows 2000 usuwa rekord zasobu PTR klienta. Serwer usuwa również odnośny rekord zasobu A, jeżeli ustawiona jest opcja Odrzuć wyszukiwania do przodu po wygaśnięciu. Klient skonfigurowany statycznie Statycznie skonfigurowany klient systemu Windows 2000 dynamicznie aktualizuje tak rekord A, jak i PTR przy każdym przeładowaniu, zmianie adresu IP lub zmianie nazwy jego domeny. Klient usługi RAS Klient usługi RAS systemu Windows 2000 podejmuje próbę dynamicznej aktualizacji zarówno rekordu A, jak i PTR oraz wymazania obydwu rekordów przed zamknięciem połączenia. Jeżeli jednak aktualizacja dynamiczna się nie powiedzie (na przykład serwer DNS nie działał w tym czasie), lub jeżeli połączenie zdalne nieoczekiwanie „padnie”, to rekord ulega przedawnieniu. Ponowna rejestracja DDNS zapewnia pewien poziom odporności na uszkodzenia. Serwer DHCP dokonuje ponownej rejestracji rekordów zasobu DNS po odnowieniu dzierżawy, a klienty oparte na systemie Windows 2000 dokonują ponownej rejestracji rekordów zasobu co 24 godziny. Ponowna rejestracja odświeża wszystkie rekordy zasobu, w których pojawiły się błędy od czasu ostatniej rejestracji. Wskazówka: Parametr Rejestru DefaultRegistrationRefreshInterval określa interwał pomiędzy rejestracjami klienta. Aby uzyskać szczegóły, odwołaj się do dodatku C. Konflikty nazw Jeżeli klient DDNS odkryje, że jego nazwa jest już zarejestrowana w DNS wraz z adresem IP należącym do innego hosta, to (domyślnie) usuwa istniejącą rejestrację i rejestruje swoje własne rekordy zasobu. To zachowanie można wyłączyć w Rejestrze klienta, skutkiem czego klient nie rejestruje rekordu zasobu i zapisuje błąd w Podglądzie zdarzeń. Oprócz niedogodności wynikających z konieczności łamania kodu Rejestru każdego klienta to rozwiązanie nie jest zupełnie zadowalające. Zachowanie domyślne usuwa przedawnione rekordy, ale jest narażone na złośliwe ataki. Zmiana tego zachowania chroni przed atakami, lecz przedawnione rekordy muszą być usuwane ręcznie. Rozwiązaniem jest wykorzystanie bezpiecznych aktualizacji dynamicznych (patrz: poniżej), co gwarantuje, że tylko właściciel istniejącego rekordu może go uaktualnić. Bezpieczna aktualizacja dynamiczna Strefy zintegrowane z DS mogą być konfigurowane, aby korzystały z bezpiecznej aktualizacji dynamicznej. Usługa Active Directory utrzymuje listy kontrolne dostępu (ACL) określające grupy lub użytkowników, którym wolno aktualizować rekordy zasobu w takich strefach. Implementacja bezpiecznej aktualizacji dynamicznej DNS systemu Windows 2000 wykorzystuje algorytm zdefiniowany w projekcie IETF Algorytm GSS dla TSIG (GSS-TSIG). Algorytm ten jest oparty na interfejsie Generic Security Service Application Program Interface (GSS-API), określonym w specyfikacji RFC 2078. Klient, który podejmuje próbę aktualizacji dynamicznej na serwerze DNS może być skonfigurowany, aby stosować jedną z następujących metod: • Najpierw podejmować próbę niezabezpieczonej aktualizacji dynamicznej. Jeśli ta się nie powiedzie, negocjować bezpieczną aktualizację dynamiczną (ustawienie domyślne). • Zawsze negocjować bezpieczną aktualizację dynamiczną. • Podejmować tylko próbę niezabezpieczonej aktualizacji dynamicznej. Microsoft zaleca metodę domyślną, ponieważ umożliwia ona klientom rejestrację na serwerach DNS, które nie mają funkcji bezpiecznej aktualizacji dynamicznej. Listy ACL mogą być określane dla całej strefy lub modyfikowane dla określonych nazw. Domyślnie każdy uwierzytelniony użytkownik może tworzyć rekordy zasobu A lub PTR w każdej strefie. Jednak po utworzeniu nazwy użytkownika tylko użytkownicy lub grupy, które są określone na liście ACL z pozwoleniem zapisu dla tej nazwy, mogą zmieniać odpowiadające jej rekordy. Choć zazwyczaj spełnia to wymagania, są sytuacje, w których pozwolenia na modyfikowanie rekordów bezpiecznej aktualizacji dynamicznej mogą być nadawane innym kontom użytkownika lub komputera. Aby wyjść naprzeciw takim sytuacjom, system Windows 2000 zapewnia grupy zabezpieczeń DnsUpdateProxy oraz DnsAdmins. Grupa DnsUpdateProxy W środowisku mieszanym serwer DHCP może być konfigurowany tak, aby rejestrował dynamicznie rekordy A i R dla klientów niższego poziomu. W tej sytuacji domyślna konfiguracja bezpiecznej aktualizacji dynamicznej może powodować przedawnienie rekordów. Kiedy serwer DHCP dokona bezpiecznej aktualizacji dynamicznej danej nazwy, staje się on właścicielem tej nazwy. Gdyby później ów serwer DHCP „padł”, to rezerwowy serwer DHCP nie mógłby uaktualnić rekordu, ponieważ go nie posiada. Również gdyby klient dolnego poziomu został później uaktualniony do systemu Windows 2000, to nie mógłby uaktualnić swoich własnych rekordów zasobu, ponieważ ich nie posiada. Naprzeciw temu problemowi wychodzi zastosowanie grupy zabezpieczeń DnsUpdateProxy. Żaden obiekt utworzony przez członka tej grupy nie posiada żadnych zabezpieczeń, a pierwsza jednostka, która nie jest członkiem tej grupy i uzyska dostęp do tego obiektu, staje się jego właścicielem. Każdy serwer DHCP, który rejestruje rekordy A dla klientów dolnego poziomu zostaje umieszczony w grupie DnsUpdateProxy. Serwery te tworzą rekordy, lecz ich nie posiadają, więc problem zostaje wyeliminowany. Jednakże takie rozwiązanie sprawia, że wszelkie nazwy DNS zarejestrowane przez serwer DHCP w grupie DnsUpdateProxy są niezabezpieczone. Jest to szczególnie istotne, jeżeli usługa DHCP jest zainstalowana na kontrolerze domeny. W takim przypadku wszystkie rekordy SRV, A oraz CNAME zarejestrowane przez usługę Netlogon dla tego kontrolera domeny są niezabezpieczone. Aby zminimalizować ten problem, Microsoft zaleca, aby serwery DHCP, szczególnie w środowisku mieszanym, nie były instalowane na kontrolerach domen. Następnym argumentem przemawiającym przeciwko instalowaniu usługi DHCP na kontrolerze domeny jest to, że daje ona serwerowi DHCP pełną kontrolę nad wszystkimi obiektami DNS przechowywanymi w usłudze Active Directory, ponieważ serwer DHCP działa pod kontem komputera (kontrolera domeny). Grupa DnsAdmins Grupa DnsAdmins ma, domyślnie, pełną kontrolę nad wszystkimi strefami i rekordami w domenie systemu Windows 2000. Ta grupa zabezpieczeń pozwala administratorowi domeny delegować administrację DNS bez przyznawania członkom grup przywilejów administracyjnych do innych usług i zasobów. Wskazówka: Procedury służące dodawaniu kont do grup DnsUpdateProxy oraz DnsAdmins są opisane w podrozdziale rozwiązań natychmiastowych niniejszego rozdziału. Przedawnienie i oczyszczanie rekordów Jeżeli używasz aktualizacji dynamicznych, to rekordy są automatycznie dodawane do strefy przy dodawaniu komputerów i kontrolerów domen. W niektórych przypadkach nie są one automatycznie aktualizowane i mogą ulegać przedawnieniu. Przedawnione rekordy zasobów zajmują przestrzeń na serwerze i mogą podawać nieprawidłowe informacje w odpowiedzi na kwerendę. DNS systemu Windows 2000 oczyszcza przedawnione rekordy. Można określić rekordy które muszą być oczyszczone, jeśli ulegną przedawnieniu, strefy, które mają być oczyszczone oraz serwery oczyszczające te strefy. Uwaga! Nie włączaj oczyszczania, jeżeli nie masz pewności, że rozumiesz wszystkie parametry. W przeciwnym wypadku mogłoby się zdarzyć, że skonfigurujesz serwer tak, aby usuwał ważne rekordy, które powinien zachowywać. Mechanizm oczyszczania jest domyślnie wyłączony. Można ręcznie włączać lub wyłączać oczyszczanie osobno dla każdego serwera, każdej strefy, lub każdego rekordu. Jeżeli włączysz oczyszczanie w rekordzie, który nie jest aktualizowany dynamicznie, to ów rekord zostanie usunięty, chyba że jest okresowo odświeżany. Jeżeli włączysz oczyszczanie w standardowej strefie, a oczyszczanie było poprzednio wyłączone, to serwer nie oczyszcza rekordów, które istniały, zanim zostało włączone oczyszczanie. Aby włączyć oczyszczanie takich rekordów, skorzystaj z programu usługowego dnscmd, dostarczanego z zestawem Windows 2000 Resource Kit. Aby uzyskać więcej informacji, wejdź do witryny internetowej http://windows.microsoft.com/windows2000/reskit. Serwer DNS systemu Windows 2000 wykorzystuje znacznik czasu oraz konfigurowalne parametry oczyszczania, aby określać, kiedy ma oczyszczać rekordy. Parametry oczyszczania można konfigurować osobno dla każdej strefy lub dla każdego serwera. Parametry oczyszczania dla strefy Parametry przedawniania i oczyszczania, które można konfigurować osobno dla każdej strefy to: • Interwał braku odświeżania — okres, kiedy serwer nie przyjmuje odświeżeń dla rekordu, który następuje po ostatnim odświeżeniu znacznika czasu rekordu. W czasie trwania interwału odświeżania, serwer nadal przyjmuje aktualizacje. Kiedy zostaje utworzona strefa zintegrowana z DS, ten parametr jest ustawiany na parametr serwera DNS DefaultNoRefreshInterval. • Interwał odświeżania — okres, kiedy serwer przyjmuje odświeżenia, który następuje po upływie interwału braku odświeżania. Po upływie interwału odświeżania, serwer DNS może oczyszczać rekordy, które nie zostały odświeżone podczas lub po zakończeniu interwału odświeżania. Kiedy zostaje utworzona strefa zintegrowana z DS, parametr ten jest ustawiany na parametr serwera DefaultRefreshInterval. • Włączanie odświeżania — wskazuje, czy dla rekordów w danej strefie włączone jest przedawnienie i oczyszczanie. Kiedy zostaje utworzona strefa zintegrowana z DS, ten parametr jest ustawiany na parametr serwera DNS DefaultEnableScavenging. • serwery oczyszczające — określa, które serwery mogą oczyszczać rekordy w danej strefie. Ten parametr nie jest konfigurowalny przy użyciu narzędzia przystawki MMC systemu DNS, ale można go konfigurować za pomocą programu usługowego dnscmd. Wskazówka: Parametr StartScavenging nie jest bezpośrednio konfigurowalny, lecz ustawiany podczas procesu oczyszczania. Algorytm oczyszczania dla tego procesu opisany jest w dalszej części tego podrozdziału. Parametry przedawnienia i oczyszczania dla serwera Parametry przedawnienia i oczyszczania dla serwera określają parametry domyślne dla wszelkich stref utworzonych na tym serwerze. Są to następujące parametry: • DefaultNoRefreshInterval — określa interwał braku odświeżania stosowany domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten ustawia się w oknie Interwał braku odświeżania w konsoli DNS. Ustawienie domyślne to 7 dni. • DefaultRefreshInterval — określa interwał odświeżania stosowany domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten ustawia się w oknie Interwał odświeżania w konsoli DNS. Ustawienie domyślne to 7 dni. • DefaultEnableScavenging — określa parametr włączanie odświeżania stosowany domyślnie dla strefy zintegrowanej z DS utworzonej na danym serwerze. Parametr ten włącza się (ustawia na 1) poprzez zaznaczenie pola wyboru Włącz odświeżanie w konsoli. Ustawienie domyślne to 0 (wyłączone), • EnableScavenging — określa, czy dany serwer DNS może oczyszczać przedawnione rekordy. Jeżeli na serwerze jest włączone oczyszczanie, to automatycznie oczyszcza on rekordy z częstotliwością określoną przez parametr ScavengingPeriod. Parametr EnableScavenging włącza się (ustawia na 1) poprzez zaznaczenie pola wyboru Włącz automatyczne oczyszczanie starych rekordów na zakładce Zaawansowane konsoli DNS. Ustawienie domyślne to 0 (wyłączone). • ScavengingPeriod — określa, jak często dany serwer DNS wykonuje oczyszczanie. Parametr ten ustawia się w polu Okres oczyszczania na zakładce Zaawansowane konsoli DNS. Ustawienie domyślne to 7 dni. Algorytm oczyszczania Można skonfigurować serwer w taki sposób, aby przeprowadzał oczyszczanie w regularnych interwałach, a oczyszczanie można również wyzwalać ręcznie. Serwer podejmuje próbę oczyszczenia wszystkich stref podstawowych, o ile spełnione są następujące warunki: • parametr EnableScavenging jest ustawiony na 1 zarówno dla serwera, jak i dla strefy; • w strefie jest włączona aktualizacja dynamiczna; • parametr ScavengingServers jest albo nieokreślony, albo zawiera adres IP serwera; • aktualny czas jest większy niż wartość w parametrze strefy StartScavenging. Serwer ustawia czas w parametrze StartScavenging, kiedy wystąpi jedno z następujących zdarzeń: • zostanie włączona aktualizacja dynamiczna; • parametr strefy EnableScavenging zostanie zmieniony z 0 na 1; • strefa zostanie załadowana; • strefa zostanie wznowiona. Czas w parametrze StartScavenging jest równy czasowi, w którym występuje zdarzenie wyzwolenia plus okres czasu określony w interwale odświeżania dla danej strefy. Zapobiega to oczyszczeniu strefy oraz utracie ważnych rekordów, ponieważ strefa nie jest dostępna — na przykład, kiedy strefa jest wstrzymana lub serwer jest w trybie offline. Kiedy dany serwer oczyszcza strefę, to sprawdza wszystkie rekordy w strefie. Jeżeli znacznik czasu któregoś rekordu nie wynosi zero, a aktualny czas jest późniejszy niż czas określony w znaczniku czasu plus interwały braku odświeżania oraz odświeżania dla danej strefy, to rekord zostaje usunięty. Konfigurowanie oczyszczania Jeżeli korzystasz z usługi DHCP systemu Windows 2000, to domyślne wartości oczyszczania i przedawnienia są zazwyczaj możliwe do przyjęcia. Jeśli z kolei używasz innego źródła protokołu DHCP (takiego jak serwer DHCP systemu Windows NT4), to możesz być zmuszony do zmodyfikowania ustawień domyślnych. Jeżeli zdecydujesz się na rekonfigurację parametrów oczyszczania, upewnij się, że interwał odświeżania jest większy niż okres odświeżania dla każdego z rekordów podlegających oczyszczaniu w obrębie danej strefy. To z kolei gwarantuje, że żadne rekordy nie zostaną usunięte, zanim klient aktualizacji dynamicznej będzie miał czas, aby je odświeżyć. Wiele różnych usług może odświeżać rekordy w różnych interwałach. Na przykład: • usługa Netlogon odświeża rekordy raz na godzinę; • serwery klastra zazwyczaj odświeżają rekordy co 15 do 20 minut; • serwery DHCP odświeżają rekordy za każdym razem, kiedy tylko zostają odnowione dzierżawy adresów IP; • hosty systemu Windows 2000 odświeżają swoje rekordy zasoby A i PTR co 24 godziny. Im dłuższe interwały braku odświeżania i odświeżania ustawisz, tym dłużej będą pozostawać przedawnione rekordy. Dlatego też powinieneś ustawić najkrótsze interwały odświeżania, jakie tylko mieszczą się w granicach rozsądku. Jeżeli jednak ustawisz zbyt krótki interwał braku odświeżania, to możesz spowodować niepotrzebną replikację usługi Active Directory. Przyrostowy transfer strefy AXFR nie jest wydajnym środkiem propagowania zmian dokonanych w strefie, ponieważ dokonuje transferu całego pliku strefy. IXFR dokonuje transferu samych tylko zmian w informacji strefy i w związku z tym, jest mechanizmem bardziej wydajnym. IXFR, zdefiniowany w specyfikacji RFC 1995, jest implementowany w DNS systemu Windows 2000. Działa on w następujący sposób: 1. Klient IXFR inicjuje transfer strefy wysyłając komunikat IXFR, zawierający w rekordzie SOA numer seryjny jego kopii strefy. 2. Serwer IXFR, który odpowie na żądanie IXFR, zapamiętuje rekord najnowszej wersji strefy oraz pliki zawierające różnice pomiędzy tą kopią a kilkoma starszymi wersjami. Z przyczyn wydajnościowych, jedynie pewna ograniczona liczba niedawnych zmian dokonanych w strefie jest trzymana na serwerze. Kiedy zostanie otrzymane żądanie IXFR mające starszy numer seryjny, to serwer IXFR wysyła tylko te zmiany, które są wymagane, aby wersja klienta IXFR stała się aktualna. Pełny transfer strefy może być implementowany w następujących przypadkach: • liczba zmian jest większa niż liczba rekordów w całej strefie; • numer seryjny klienta jest niższy niż ten, który znajduje się na serwerze jako jego najstarszy rekord zmian; • serwer nazw, który odpowiada na żądanie IXFR, nie rozpoznaje typu kwerendy (to znaczy serwer nie jest serwerem IXFR). W takim wypadku klient IXFR automatycznie inicjuje AXFR. Rysunek 12.6 przedstawia mechanizm IXFR. Zmiany numeru seryjnego 20 Serwer podległy Numer seryjny 19 Pliki dziennika Strefy Zmiany numeru seryjnego 19 IXFR Zmiany numeru seryjnego 20 Zmiany numeru seryjnego 18 IXFR Zmiany numeru seryjnego 20 Serwer Zmiany numeru seryjnego 19 Numer podległy Plik całej strefy seryjny 20 Serwer nadrzędny Numer seryjny 20 IXFR Pełny transfer strefy Serwer podległy Numer seryjny 15 Rysunek 12.6. Przyrostowy transfer strefy W środowisku zintegrowanym z DS zmiany strefy DNS mogą być dokonywane na każdym serwerze nadrzędnym. Dlatego też różne serwery nadrzędne zawierają zmiany strefy zastosowane w różnej kolejności. Powoduje to problemy, kiedy nadrzędny serwer IXFR, który poprzednio dostarczył zmiany strefy klientowi IXFR, nie jest aktualnie dostępny. Jeżeli klient IXFR wybierze inny serwer nadrzędny, który ma zmiany strefy zastosowane w innej kolejności, to integralność strefy klienta IXFR może zostać naruszona po transferze przyrostowym. W takim przypadku klient IXFR inicjujący transfer strefy zażąda AXFR. Analizator buforowania DNS systemu Windows 2000 wprowadza analizator buforujący strony klienckiej dla celów analizowania nazw DNS. Analizator buforujący to usługa systemu Windows 2000, która poprawia wydajność wyszukiwania nazw i zmniejsza ruch sieciowy związany z wyszukiwaniem nazw, poprzez zminimalizowanie liczby podróży analiz nazw w obie strony. Działa on w kontekście menedżera kontroli usług i można go włączać i wyłączać, jak każdą inną usługę. Analizator buforujący Windows 2000 DNS zawiera następujące funkcje: • Ogólne buforowanie kwerend. • Buforowanie negatywne. • Usuwanie nazw poprzednio przeanalizowanych z bufora w oparciu o potwierdzenie negatywne. • Śledzenie tymczasowych kart sieciowych (Plug and Play) oraz ich konfiguracji IP. • Utrzymywanie rejestru nazw domen każdej z kart. • Zarządzanie nie reagującymi serwerami nazw. • Ustalanie priorytetów wielu rekordów A zwracanych z serwera DNS w oparciu o ich adres IP. Jeżeli analizator wyśle kwerendę określającą priorytety, to serwer DNS znajdzie rekordy A z adresami IP z sieci, z którą analizator jest bezpośrednio połączony i umieści je jako pierwsze w swojej odpowiedzi. Ta funkcja uniemożliwia właściwe działanie rotacji round-robin i można ją wyłączyć za pomocą parametru Rejestru PrioritizeRecordData. Aby uzyskać szczegóły, odwołaj się do dodatku C. Rotacja round-robin Rotacja round-robin to przydzielanie wielu adresów IP temu samemu hostowi w bazie danych DNS. Zazwyczaj jest ona wykorzystywana w przypadku usług o częstym dostępie, takich jak internetowe usługi informacyjne (IIS). Jeżeli twoja strona główna znajduje się na kilku serwerach IIS, to możesz im wszystkim przypisać ten sam alias, a następnie połączyć z nim wszystkie ich adresy IP. Zapewnia to wyrównanie obciążenia i zabezpieczenie w postaci przejmowania zadań przez serwer rezerwowy. • Przyjmowanie odpowiedzi od adresów IP nie podlegających kwerendzie. Ta funkcja jest domyślnie włączona i można ją wyłączyć za pomocą parametru Rejestru QueryIpMatching. Aby uzyskać szczegóły, odwołaj się do dodatku C. • Automatyczne przeładowywanie uaktualnionego pliku hostów lokalnych do bufora analizatora. Jak tylko zmieni się plik hostów, bufor analizatora zostaje uaktualniony. • Inicjowanie przeterminowania awarii sieci. Jeżeli wszystkie kwerendy analizatora ulegają przeterminowaniu, to zakłada on, iż miała miejsce awaria sieci i nie przesyła żadnych kwerend przez pewien okres czasu (domyślnie 30 sekund). Ów okres czasu określa się przy użyciu parametru Rejestru NetFailureCacheTime. Ustawienie tego parametru na 0 wyłącza funkcję. Aby uzyskać szczegóły, odwołaj się do dodatku C. Jeśli serwer nazw DNS nie odpowie na kwerendę, to przesuwa się w dół listy priorytetów. Zapobiega to wielokrotnym kwerendom nie reagującego serwera. Jeżeli serwer, który poprzednio nie odpowiedział, zostanie wypróbowany drugi raz i udzieli odpowiedzi, to przesuwa się z powrotem w górę listy priorytetów. Buforowanie negatywne Buforowanie negatywne to zapamiętywanie faktu, iż żądane informacje nie istnieją. Jest ono przydatne, ponieważ skraca czas odpowiedzi dla odpowiedzi negatywnych. Zmniejsza ono również liczbę komunikatów, które muszą być przesyłane pomiędzy analizatorami a serwerami nazw, jak również ruch generowany przez te komunikaty. Implementacja buforowania negatywnego w systemie Windows 2000 opiera się na specyfikacji RFC 2308. Ustawienie parametru Rejestru NegativeCacheTime na 0 wyłącza buforowanie negatywne. Aby uzyskać szczegóły, odwołaj się do dodatku C. Wyłączanie analizatora buforującego Analizator buforujący wyłącza się przy użyciu jednej z dwóch metod: • wpisanie net stop dnscache w wierszu polecenia. Wyłącza to wszystkie funkcje analizatora buforującego, co prowadzi do analizowania nazw w taki sposób, jak w systemie Windows NT4; • ustawienie parametru Rejestru MaxCacheEntryTtlLimit na 0 (Aby uzyskać szczegóły, odwołaj się do dodatku C). Wartość tego parametru określa maksymalną ilość czasu, przez jaki buforowane jest wyszukiwanie, na które udzielono pozytywnej odpowiedzi. Ustawienie tej wartości na 0 eliminuje buforowanie rekordów zasobu, ale nie wyłącza porządkowania serwerów nazw DNS ani obsługi Plug and Play. Obsługa znaków Unicode Pierwotnie nazwy DNS były ograniczone do zestawu znaków określonego w dokumentach RFC 952 i 1123 — to jest a – z, 0 – 9 oraz kilku dodatkowych znaków. Nazwy NetBIOS mogą wykorzystywać znacznie szerszy zestaw znaków niż oryginalne nazwy DNS. Przewidywano, że różnica w zestawach znaków wykorzystywanych przez te dwie usługi nazw będzie stanowić problem przy aktualizacji nazw NetBIOS systemu Windows NT4 do nazw DNS wykorzystywanych w systemie Windows 2000. Nie uważano za praktyczne usuwać wszystkich nazw NetBIOS systemu Windows 2000, aby dostosować się do istniejących wtedy standardów DNS. Zamiast tego rozszerzono zestaw znaków DNS. Dokument RFC 2181 powiększa zestaw znaków dozwolonych w nazwach DNS. Określa on, że etykieta DNS może być dowolnym ciągiem binarnym, który nie musi być koniecznie interpretowany jako ASCII. DNS systemu Windows 2000 obsługuje zestaw znaków UTF-8 w sposób opisany w dokumencie RFC 2044. Jest to nadzbiór ASCII i translacja kodowania znaków UCS-2 (lub Unicode). Zestaw znaków UTF-8 zawiera znaki pochodzące z większości zapisywanych języków, co pozwala na dużo większy zakres możliwych nazw, a także pozwala nazwom korzystać ze znaków związanych z określonym regionem. Uwaga! Należy zachować ostrożność przy implementowaniu systemu DNS korzystającego z kodowania UTF-8, ponieważ niektóre protokoły nakładają ograniczenia w kwestii znaków dozwolonych w nazwie. Poza tym nazwy, które mają być widoczne globalnie (odwołaj się[PO13] do dokumentu RFC 1958), powinny zawierać tylko znaki określone w dokumencie RFC 1123. Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy. Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8, lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z pliku strefy. Należy zachować szczególną ostrożność przeprowadzając transfer strefy zawierającej nazwy UTF-8 do innego serwera. Należy sprawdzić, czy serwer docelowy obsługuje UTF-8. Jeżeli nie, to należy sprawdzić, czy wszystkie rekordy zostały przesłane prawidłowo. Jeżeli wystąpią problemy, może się okazać konieczne wyłączenie znaków UTF-8. Udoskonalony lokalizator domen Lokalizator domen systemu Windows 2000 implementowany jest w usłudze Netlogon. Pozwala on klientowi zlokalizować kontroler domeny i zawiera lokalizatory zgodne z IP/DNS oraz z systemem Windows NT4. Zapewnia to współdziałanie w środowisku mieszanym. Algorytm lokalizacji DC implementowany jest w następujący sposób: 1. Klient zbiera informacje potrzebne do wybrania kontrolera domeny. Mogą one zawierać: 1. nazwę domeny DNS domeny Active Directory klienta; 2. globalnie unikatowy identyfikator (GUID) domeny, wobec której przeprowadzana jest kwerenda. Zazwyczaj jest on znany tylko wtedy, jeżeli domena, wobec której przeprowadzana jest kwerenda, jest podstawową domeną klienta. Jeżeli GUID domeny nie jest znany, to pozostaje pusty; 3. nazwa witryny. Jest ona uzyskiwana z poprzedniej kwerendy lub informacji dotyczących ręcznej konfiguracji witryny. Jeżeli żadne z powyższych źródeł nie jest dostępne, to nazwa witryny pozostaje pusta. 2. Usługa NetLogon wywołuje serwer DNS przy użyciu lokalizatora zgodnego z IP/DNS. 3. DNS wywołuje usługę DnsQuery, określając kryteria wyboru podane w kroku 1. 4. Usługa albo dostarcza listę jednego lub większej liczby kontrolerów domen, które spełniają kryteria, albo zwraca komunikat, iż kontroler domeny nie może zostać zlokalizowany. 5. Lokalizator zgodny z IP/DNS przeprowadza ping kontrolerów domen w losowej kolejności (aby zaimplementować wyrównywanie obciążenia) i czeka na odpowiedź przez 100 milisekund. Pingowanie przeprowadzane jest dalej, do momentu, kiedy zostanie otrzymana pozytywna odpowiedź lub zostaną wypróbowane wszystkie kontrolery domen. 6. Kiedy kontroler domeny odpowie na ping, to parametry dostarczone w odpowiedzi zostają porównane z parametrami potrzebnymi klientowi. Jeżeli informacje się nie zgadzają, odpowiedź zostaje zignorowana. 7. Pierwszy kontroler domeny, który odpowie na ping i zaspokoi wymagania klienta, zostaje przez niego zastosowany. 8. Jeżeli komputer, na którym jest uruchomiona usługa NetLogon, nie jest skonfigurowana, aby korzystać z lokalizatora zgodnego z IP/DNS lub jeżeli IP/DNS nie zdoła odkryć kontrolera domeny, usługa NetLogon przeprowadza odnajdywanie kontrolera domeny przy użyciu lokalizatora domeny zgodnego z systemem Windows NT4 — to jest przy użyciu emisji lub usługi WINS. 9. Informacje dotyczące kontrolera domeny zostają zwrócone do klienta. 10. Usługa NetLogon buforuje odnaleziony kontroler domeny, aby wspomóc analizowanie przyszłych żądań. Współdziałanie DNS systemu Windows 2000 w pełni współpracuje ze wszystkimi innymi serwerami DNS zgodnymi z RFC. Jednakże w środowisku mieszanym z serwerami innych firm niż Microsoft niektóre z funkcji dodatkowych oferowanych przez DNS systemu Windows 2000 mogą wywoływać pewne problemy związane ze współdziałaniem. Szczególnie rekordy WINS i WINSR nie są obsługiwane przez implementacje DNS innych firm niż Microsoft; może również nie być rozpoznawany zestaw znaków UTF-8. Rekordy WINS i WINS-R Obecnie tylko serwery DNS firmy Microsoft obsługują rekordy zasobu WINS i WINS-R. Microsoft zaleca wyłączenie replikacji tych rekordów, jeżeli przynajmniej jedna ze stref pomocniczych rezyduje na serwerze nazw innej firmy niż Microsoft. Implikuje to, że rekordy zasobu nie będą replikowane do stref pomocniczych rezydujących na pomocniczych serwerach nazw DNS firmy Microsoft i że wymagane jest wprowadzanie ręczne. Format znaków UTF-8 Serwer DNS systemu Windows 2000 można konfigurować w taki sposób, aby dopuszczał lub wykluczał korzystanie ze znaków UTF-8 osobno dla każdego serwera lub dla każdej strefy. Serwer DNS, który nie obsługuje UTF-8, może przyjąć transfer strefy zawierającej nazwy UTF-8, lecz może nie być w stanie z powrotem ich zapisać w pliku strefy lub ponownie ich załadować z pliku strefy. Dlatego też może się okazać konieczne wyłączenie UTF-8, jeżeli wtórne serwery nazw DNS go nie obsługują. Dane niezgodne z dokumentami RFC Jeżeli serwer nazw DNS systemu Windows 2000 obsługuje strefę wtórną i otrzymuje rekordy zasobu niezgodne z RFC, to pomija te rekordy i kontynuuje replikację strefy. Opuszcza również cykliczne rekordy CNAME (X to alias dla Y, a Y to alias dla X) jeżeli je otrzyma. Rozwiązania natychmiastowe Instalowanie i konfigurowanie systemu DNS System DNS można instalować na serwerze członkowskim domeny. Jeżeli jednak chcemy skorzystać z integracji usług Active Directory, to należy go zainstalować na kontrolerze domeny. Po zainstalowaniu, można konfigurować serwer według własnych potrzeb. Poniższe procedury zakładają, że wszystkie serwery, na których instalujesz i konfigurujesz DNS, mają statyczne konfiguracje IP. Jest to praktyka zalecana. Instalowanie DNS Aby zainstalować DNS, wykonaj następujące czynności: 1. Zaloguj się na serwerze jako administrator. 2. Wejdź do Start|Ustawienia i wybierz Panel sterowania. 3. Dwukrotnie kliknij Dodaj/Usuń programy. 4. Kliknij Dodaj/Usuń składniki systemu Windows, aby uruchomić Kreatora składników systemu Windows. 5. Wybierz Usługi sieciowe i kliknij Szczegóły. 6. Zaznacz System DNS (Domain Name System) i kliknij OK. 7. Kliknij Dalej. 8. Jeśli zostaniesz o to poproszony, włóż CD-ROM Windows 2000 lub wpisz ścieżkę do plików dystrybucyjnych systemu Windows 2000, a następnie kliknij przycisk Kontynuuj. 9. Kliknij Zakończ i zamknij okno Dodaj/Usuń programy. Wskazówka: Microsoft zaleca przeładowanie serwera po zainstalowaniu systemu DNS. System działa wprawdzie bez przeładowania, jednak przeładowanie jest na tym etapie wskazane. Konfigurowanie świeżo zainstalowanego serwera nazw DNS Po zainstalowaniu systemu DNS należy skonfigurować serwer nazw DNS. Służąca do tego celu procedura przedstawia się następująco: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Kliknij serwer prawym przyciskiem myszy i wybierz Konfiguruj serwer. 4. Kiedy pojawi się Kreator konfiguracji serwerów DNS, kliknij Dalej. 5. Zaczekaj, aż serwer zbierze informacje konfiguracyjne. Może to chwilę potrwać. 6. Określ czy jest to pierwszy serwer DNS w sieci, czy nie. Jeżeli w sieci działa już jeden lub większa liczba serwerów DNS, to musisz podać adres IP jednego z nich. Kliknij Dalej. 7. Wybierz Tak, utwórz strefę wyszukiwania do przodu (chyba że masz ważny powód, aby postąpić inaczej). Kliknij Dalej. 8. Wybierz czy twój serwer nazw DNS ma być zintegrowany z usługą Active Directory (tylko kontrolery domeny), czy ma być podstawowym serwerem standardowym, czy też pomocniczym serwerem standardowym. O ile to możliwe, zaleca się zainstalowanie systemu DNS na kontrolerze domeny i zintegrowanie go z usługą Active Directory. Kliknij Dalej. Wskazówka: Strefa zintegrowana z usługą Active Directory to to samo, co strefa zintegrowana z DS. To nazewnictwo jest tutaj stosowane dlatego, że jest ono wykorzystywane w oknach dialogowych. 9. Wpisz nazwę strefy. Kliknij Dalej. 10. Jeżeli określisz standardowy pomocniczy serwer nazw, to zostaniesz poproszony o adres IP serwera dostarczającego informacje dotyczące strefy. Użyj przycisku Dodaj, aby dodać jeden lub więcej serwerów w preferowanej kolejności. Kliknij Dalej. 11. Wybierz czy utworzyć strefę wyszukiwania wstecznego, czy nie. Powszechną praktyką jest utworzenie takiej strefy. Kliknij Dalej. 12. Wybierz typ strefy, którą chcesz utworzyć. Jeżeli to możliwe, to zaleca się przechowywanie strefy w usłudze Active Directory. 13. Jeżeli zdecydujesz się utworzyć strefę wyszukiwania w tył, to zostaniesz poproszony o nazwę strefy lub identyfikator sieci (ID). Wpisz odnośne informacje i kliknij Dalej. 14. Jeżeli konfigurujesz pomocniczy serwer standardowy, to zostaniesz poproszony o określenie serwera (serwerów) DNS, z których chcesz skopiować informacje dotyczące strefy wyszukiwania wstecznego. Ten krok jest podobny do kroku 10. Kiedy skończysz, kliknij Dalej. 15. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij Zakończ. 16. Zamknij konsolę. Dodawanie pomocniczego serwera DNS do istniejącej strefy Jeżeli instalujesz system DNS na serwerze (zazwyczaj nie będącym kontrolerem domeny), który już ma w swojej sieci inny serwer nazw DNS, to możesz skonfigurować nowo zainstalowany serwer jako pomocniczy serwer nazw DNS przy użyciu poprzedniej procedury. Czasami jednak może się zdarzyć, że masz już w sieci skonfigurowane dwa serwery nazw DNS, oba prawdopodobnie będące serwerami podstawowymi dla oddzielnych stref i chcesz uczynić jeden z nich serwerem pomocniczym dla strefy podstawowej drugiego. Ta procedura dodaje strefę do serwera nazw DNS jako strefę pomocniczą. Poniższą procedurę przeprowadza się zazwyczaj z tego komputera, który ma pełnić funkcję pomocniczego serwera nazw DNS. Jeżeli wolisz, to możesz przeprowadzić tę procedurę z podstawowego serwera nazw DNS. Aby to zrobić, wejdź do przystawki systemu DNS, prawym przyciskiem myszy kliknij ikonę DNS u podstawy drzewa konsoli i wybierz Dodaj komputer, aby dodać nowy serwer DNS do konsoli. Pozwoli ci to administrować obydwoma serwerami nazw DNS z tej samej konsoli. (Możesz również dodać podstawowy serwer nazw DNS do konsoli DNS na pomocniczym serwerze DNS przy użyciu tej samej techniki). 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Kliknij prawym przyciskiem myszy odpowiedni serwer i wybierz Nowa strefa. 4. Uruchomi się Kreator nowej strefy. Kliknij Dalej. 5. Wybierz Pomocnicza standardowa. Kliknij Dalej. 6. Wybierz albo strefę wyszukiwania do przodu, albo strefę wyszukiwania wstecz, w zależności od tego typu strefy pomocniczej, którą chcesz utworzyć. Jeżeli chcesz utworzyć pomocniczą dla obu typów stref, to musisz przeprowadzić procedurę dwukrotnie. Kliknij Dalej. 7. Wpisz nazwę strefy lub użyj przycisku Przeglądaj. Kliknij Dalej. 8. Określ serwer DNS, z którego chcesz kopiować informacje dotyczące strefy. Zazwyczaj jest to podstawowy serwer nazw DNS, ale niekoniecznie. Możesz, jeżeli chcesz, określić już istniejący pomocniczy serwer nazw DNS jako swój serwer nadrzędny. Kliknij Dodaj. 9. Opcjonalnie możesz powtórzyć krok 8, aby określić kilka serwerów nazw DNS w preferowanej kolejności. Kiedy zakończysz, kliknij Dalej. 10. Sprawdź, czy informacje konfiguracyjne są poprawne i kliknij Zakończ. 11. Zamknij konsolę. Dodawanie nowej strefy Ostatnia procedura wykorzystywała Kreatora nowej strefy, aby dodać strefę, która już istnieje na jednym serwerze nazw DNS, do drugiego serwera nazw DNS, który wtedy pełni rolę pomocniczego. Można również wykorzystać tę samą procedurę, aby dodać nową strefę do serwera nazw DNS. W tym przypadku strefa może być zintegrowana z usługą Active Directory (na kontrolerze domeny) lub podstawowa standardowa; może też być strefą wyszukiwania w przód, albo strefą wyszukiwania wstecznego. Wszystko, co jest potrzebne oprócz tych informacji, to nazwa dla strefy. Instalowanie tylko buforującego serwera DNS Tylko buforujące serwery nazw DNS nie pełnią funkcji hostów żadnych stref. Budują one lokalny bufor nazw poznanych w czasie przeprowadzania kwerend rekursywnych w imieniu swoich klientów. Informacje te są potem dostępne w buforze w czasie odpowiadania na późniejsze kwerendy klienckie. Procedura instalowania serwera tylko buforującego jest bardzo prosta: 1. Zainstaluj system DNS w sposób opisany w procedurze Instalowanie DNS. 2. Nie rób nic więcej. Serwer nazw DNS, który nie jest skonfigurowany, domyślnie pełni rolę serwera tylko buforującego. Konfigurowanie serwera DNS, aby korzystał z usług przesyłania dalej Usługi przesyłania dalej to serwery DNS, które dostarczają usług rekursywnych dla innych serwerów DNS. Kiedy usługi przesyłania dalej są określone, to podejmują one próbę przeanalizowania wszelkich nazw DNS, na które nie może odpowiedzieć żądający serwer. Aby skonfigurować serwer DNS, żeby korzystał z usług przesyłania dalej, wykonaj następujące czynności: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Wybierz odpowiedni serwer (nie serwer główny), kliknij go prawym przyciskiem myszy i wybierz Właściwości. 4. Na zakładce Usługi przesyłania dalej zaznacz pole wyboru Włącz usługi przesyłania dalej. Jeżeli jest to potrzebne, możesz określić kilka usług przesyłania dalej w kolejności pierwszeństwa. 5. Albo zaznacz pole wyboru Nie używaj rekursji, albo określ Limit czasu przesyłania dalej w sekundach. W tym pierwszym wypadku serwer nie będzie podejmował prób kwerend iteracyjnych. W drugim przypadku podejmie próbę iteracyjnej analizy nazwy, jeżeli przekroczy ona limit czasu bez odpowiedzi ze strony jej usługi przesyłania dalej. 6. Kliknij OK. Zamknij konsolę. Delegowanie administracji DNS Można delegować administrację DNS poprzez dodawanie użytkowników lub grup do grupy zabezpieczeń DnsAdmins. Członkowie tej grupy mają prawo wykonywać zadania administracji DNS i nie mają żadnych innych praw na poziomie administracyjnym w domenie. Tym niemniej członkostwo w tej grupie powinno być surowo ograniczone i starannie dobierane. Użytkowników dodaje się do tych grup przeważnie na kontrolerze domeny będącym również serwerem nazw DNS, a służąca do tego procedura jest opisana poniżej. Użytkowników można również dodawać do tych grup na serwerze członkowskim; w tym przypadku korzysta się z narzędzia Zarządzanie komputerem, a nie z narzędzia Komputery i użytkownicy usługi Active Directory. Aby dodać konto do grupy DnsAdmins, wykonaj co następuje: 1. Zaloguj się na serwerze DNS (kontrolerze domeny) jako administrator. 2. Wejdź do Start|Programy|Narzędzia administracyjne i wybierz Komputery i użytkownicy usługi Active Directory. 3. Rozwiń ikonę serwera i kliknij Użytkownicy. 4. Wybierz i kliknij prawym przyciskiem myszy grupę DnsAdmins, a następnie wybierz Właściwości. 5. Pojawi się okno Właściwości grupy. Na zakładce Członkowie kliknij Dodaj. 6. Z listy rozwijanej Szukaj w wybierz komputer lub domenę, która zawiera konta użytkowników lub grup, które chcesz dodać (lub wybierz cały katalog). 7. Kliknij użytkowników i/lub usługi, które mają zostać dodane. Możesz również wybrać konto komputera. Jest jednak mało prawdopodobne, abyś chciał dodać konto komputera (a nawet konto grupy) do DnsAdmins. Kliknij Dodaj. 8. Kliknij OK. 9. Kliknij OK, aby zamknąć okno Właściwości grupy. Zamknij konsolę. Dodawanie kont do grupy DnsUpdateProxy Członkowie grupy DnsUpdateProxy mogą wykonywać aktualizacje dynamiczne w imieniu innych klientów, ale nie posiadają rekordów zasobu, które tworzą. Funkcją tej grupy jest umożliwienie serwerowi DHCP tworzenia rekordów zasobu, jednocześnie zapobiegając przedawnianiu tych zasobów, jeżeli ów serwer DHCP „padnie” oraz (dodatkowo) umożliwienie klientom, które zostały uaktualnione do systemu Windows 2000, przejęcia własności nad swoimi własnymi rekordami A i PTR. W środowisku mieszanym konta komputerowe serwera DHCP są dodawane do tej grupy. W tej sytuacji nie instaluj serwerów DHCP na kontrolerach domeny. Tę procedurę trzeba przeprowadzać na kontrolerze domeny. Jest ona taka sama, jak poprzednia procedura, mająca na celu dodawanie użytkowników do grupy DnsAdmins, z tym że wybiera się grupę DnsUpdateProxy i dodaje się konta komputerowe serwerów DHCP. Konfigurowanie i zarządzanie strefami Po zainstalowaniu systemu DNS, skonfigurowaniu swoich serwerów nazw DNS i utworzeniu potrzebnych stref twoim następnym zadaniem jest skonfigurowanie i zarządzanie tymi strefami. Niniejszy zestaw procedur opisuje, jak modyfikować właściwości strefy (łącznie z włączaniem aktualizacji dynamicznych), tworzyć strefę delegowaną i inicjować transfery stref z pomocniczego serwera nazw DNS. Modyfikowanie właściwości strefy Poniższa procedura opisuje, jak można wykorzystać okno dialogowe Właściwości dla strefy, aby wykonać co następuje: • zmienić nazwę strefy; • zmienić typ strefy; • umożliwić aktualizacje dynamiczne; • umożliwić tylko aktualizacje dynamiczne; • określić inne serwery DNS jako autorytatywne; • ustawić parametry przedawnienia i oczyszczania; • regulować interwały odświeżania, ponowienia i przeterminowania, oraz inne parametry SOA; • umożliwić DNS korzystanie z analizy WINS; • zmodyfikować zabezpieczenia dla strefy zintegrowanej z Active Directory. Aby zmodyfikować właściwości strefy, wykonaj co następuje: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń albo Strefy wyszukiwania do przodu, albo Strefy wyszukiwania wstecznego i kliknij strefę, którą chcesz skonfigurować. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz Właściwości. Rysunek 12.7 przedstawia okno dialogowe właściwości strefy dla standardowej strefy podstawowej. 6. Na pasku Ogólne kliknij Wstrzymaj. Jest dobrym zwyczajem zatrzymywać strefę na czas dokonywania zmian. 7. Jeśli jest taka potrzeba, zmień nazwę strefy. Ta opcja nie jest dostępna, jeżeli jest to strefa zintegrowana usługi Active Directory. 8. Kliknij Zmień. Jeśli jest to potrzebne, zmień typ strefy w oknie dialogowym Zmienianie typu strefy. Typ strefy zintegrowanej usługi Active Directory jest dostępny tylko na kontrolerze domeny. Kliknij OK. 9. W oknie dialogowym Czy zezwolić na aktualizacje dynamiczne określ czy chcesz, aby strefa była aktualizowana dynamicznie, czy nie. Jeżeli strefa jest standardową strefą pomocniczą, to ta funkcja nie jest dostępna w oknie dialogowym. Jeżeli jest to strefa zintegrowana usługi Active Directory, możesz również wybrać opcję zezwolenia tylko na aktualizacje dynamiczne. 10. Jeżeli jest to standardowa strefa pomocnicza, to możesz dodawać lub usuwać serwery autorytatywne, od których strefa otrzymuje informacje dotyczące aktualizacji. Kliknięcie przycisku Znajdź nazwy uruchamia szukanie nazw serwerów nadrzędnych na liście adresów i dodaje wyniki wyszukiwania do wyświetlanej listy. 11. Jeżeli nie jest to standardowa strefa pomocnicza, kliknij Przedawnienie. Jeżeli zachodzi taka potrzeba, zaznacz pole wyboru Oczyść stare rekordy zasobów. Okno dialogowe podaje opisy interwału braku odświeżania oraz interwału odświeżania — więcej szczegółów dostępnych jest w podrozdziale Dogłębnie. Przeczytaj opisy i ustaw odpowiednio interwały. Kliknij OK. 12. Wybierz zakładkę Adres startowy uwierzytelniania (SOA), jak na rysunku 12.8. W standardowej strefie pomocniczej ta zakładka jest obecna, ale parametry mają szary kolor. 13. Jeśli zachodzi taka potrzeba, wyreguluj interwały odświeżania, ponawiania prób i wygaśnięcia. Możesz również zmienić minimalny czas TTL, TTL dla rekordu SOA, serwer podstawowy i numer seryjny. Jeżeli uruchomisz przeglądanie pod kątem osoby odpowiedzialnej, to wyszukiwanie zwróci wszystkie rekordy RP w strefie. 14. Wybierz zakładkę Serwery nazw. Pozwala ona określać dodatkowe serwery nazw, które będą ładować strefę. 15. Wybierz zakładkę Transfery stref. Możesz wybrać, czy zezwalać na transfery stref i do jakich serwerów mogą one być wysyłane. Kliknięcie Powiadom pozwala określić serwery pomocnicze, które mają być powiadamiane, kiedy informacje o strefie zostaną zaktualizowane. 16. Wybierz zakładkę WINS. Pozwala ona na określanie, czy ma być włączone wyszukiwanie do przodu WINS. Tej funkcji używa się w domenie mieszanej, gdzie do analizy nazw hostów lokalnych oraz identyfikacji kontrolerów domen potrzebna jest usługa NetBIOS. Możesz również określić czy replikować rekord WINS, czy, w przypadku standardowej strefy pomocniczej, używać lokalnego rekordu zasobu WINS. Kliknięcie przycisku Zaawansowane pozwala wyregulować limit czasu pamięci podręcznej oraz limit czasu wyszukiwania WINS. Możesz również skorzystać z zakładki WINS, aby określić serwery WINS. 17. Zakładka Zabezpieczenia jest dostępna tylko w przypadku stref zintegrowanych usługi Active Directory. Wybierając tę zakładkę, zyskuje się dostęp do edytora listy kontroli dostępu (ACL) usługi Active Directory. Aby uzyskać informacje dotyczące ustawiania zabezpieczeń usługi Active Directory, odwołaj się do dokumentacji systemu Windows 2000 Server. 18. Po dokonaniu wszystkich potrzebnych zmian kliknij Uruchom na zakładce Ogólne, aby ponownie uruchomić strefę. Kliknij OK, aby zamknąć okno dialogowe właściwości strefy. 19. Zamknij konsolę. Rysunek 12.7. Okno dialogowe właściwości strefy dla standardowej strefy podstawowej Rysunek 12.8. Zakładka Adres startowy uwierzytelniania (SOA) Tworzenie strefy delegowanej Niniejsza procedura deleguje odpowiedzialność za część przestrzeni nazw coriolis.com do domeny podrzędnej authors.coriolis.com. Ten przykład został użyty ze względu na przejrzystość. Podstaw sobie swoje własne nazwy domeny i domeny podrzędnej w tej procedurze. Aby utworzyć strefę delegowaną, wykonaj następujące czynności: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń albo Strefy wyszukiwania do przodu, albo Strefy wyszukiwania wstecznego i kliknij tę strefę, na której chcesz utworzyć nową delegację. W tym przykładzie będzie to coriolis.com. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz Nowe pełnomocnictwo. 6. Uruchomi się Kreator nowych pełnomocnictw. Kliknij Dalej. 7. Wpisz nazwę delegowanej domeny. W tym przykładzie będzie to authors. Kliknij Dalej. 8. Kliknij Dodaj, a następnie określ nazwę i adres IP serwera nazw DNS, który ma pełnić funkcję hosta delegowanej strefy. Kliknij OK. 9. Powtarzaj krok 8 dla każdego serwera, który chcesz dodać. Po zakończeniu kliknij Dalej. 10. Kliknij Zakończ. Kliknij nową strefę delegowaną i sprawdź, czy zawiera ona co najmniej jeden rekord serwera nazw. 11. Zamknij konsolę. Ręczne inicjowanie transferu strefy Normalnie strefa pomocnicza jest automatycznie aktualizowana z częstotliwością aktualizacji określoną przez interwał odświeżania oraz przez to, jak często dokonywane są zmiany jej strefy podstawowej. Czasami jednak zachodzi potrzeba inicjacji ręcznego odświeżenia — na przykład po wniesieniu do podstawowej istotnej poprawki, która ma być natychmiastowo replikowana do pomocniczej. Tę procedurę zazwyczaj implementuje się na pomocniczym serwerze nazw DNS, ale jeżeli dodałeś ten serwer do konsoli DNS na podstawowym, to możesz ją przeprowadzać na obu komputerach. Aby zainicjować ręczny transfer strefy, wykonaj co następuje: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń albo Strefy wyszukiwania do przodu, albo Strefy wyszukiwania wstecznego i kliknij strefę docelową. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz Transferuj z wzorca. 6. W oknie szczegółów konsoli sprawdź, czy informacje dotyczące strefy zostały uaktualnione. 7. Zamknij konsolę. Dodawanie domeny do strefy Strefa DNS może obejmować kilka domen. Domenę można dodać tylko do strefy podstawowej, ponieważ podstawowa jest dla tej strefy autorytatywna. Aby dodać domenę do strefy pełnomocnictwa, wykonaj co następuje: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń albo Strefy wyszukiwania do przodu, albo Strefy wyszukiwania wstecznego i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz Nowa domena. 6. Wpisz nazwę domeny. Powinna to być nazwa domeny lokalnej i nie może ona zawierać kropki. 7. Kliknij OK. 8. Zamknij konsolę. Dodawanie rekordów do strefy Podobnie jak integracja WINS w NT4 i domenach mieszanych, aktualizacje dynamiczne w DNS systemu Windows 2000 radykalnie zmniejszają liczbę rekordów, które trzeba ręcznie dodać do bazy danych DNS. Niemniej jednak są sytuacje, w których może być konieczna ręczna aktualizacja — na przykład klient nie może się zarejestrować w DDNS czy WINS. Możesz również zechcieć dodać typ rekordu zasobu, taki jak RP czy ISDN, który nie jest wprowadzany dynamicznie. Dodawanie rekordów hosta Możesz dodać rekord hosta (A) do podstawowej strefy wyszukiwania w przód. Aby tego dokonać, należy przeprowadzić następujące działania: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń Strefy wyszukiwania do przodu i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz pozycję Nowy host. 6. Wpisz nazwę hosta. Powinna to być nazwa hosta lokalnego i nie może ona zawierać kropki. Wpisz odnośny adres IP. Jeżeli chcesz utworzyć odnośny rekord PTR w strefie wyszukiwania wstecznego, zaznacz pole wyboru. Kliknij Dodaj. Kliknij OK. 7. Powtarzaj kroki 5 i 6 dla każdego hosta, którego chcesz dodać. Kiedy skończysz, kliknij Gotowe. 8. Sprawdź, czy rekordy w oknie szczegółów są prawidłowe. 9. Rozwiń Strefy wyszukiwania wstecznego i kliknij odnośną strefę wyszukiwania wstecznego, aby ją wybrać. 10. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz Odśwież. 11. Sprawdź, czy zostały utworzone rekordy PTR dla odnośnych rekordów A (przy założeniu, że ta opcja była włączona, kiedy były tworzone rekordy A). 12. Zamknij konsolę. Dodawanie rekordu zasobu alias Można dodać rekord Alias (lub CNAME) albo w strefie wyszukiwania do przodu, albo wstecz, chociaż tego typu rekord dodaje się zazwyczaj do strefy wyszukiwania do przodu. Aby dodać alias, wykonaj następujące czynności: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń albo Strefy wyszukiwania do przodu, albo Strefy wyszukiwania wstecznego i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i kliknij opcję Nowy alias. 6. Wpisz nazwę aliasu. Nie może ona zawierać kropki. 7. Wpisz w pełni kwalifikowaną nazwę dla hosta docelowego (FQDN) lub użyj przycisku Przeglądaj. 8. Kliknij OK. 9. Sprawdź okno szczegółów, aby się upewnić, że alias został dodany. 10. Zamknij konsolę. Dodawanie rekordu zasobu usługi wymiany poczty Rekordy zasobu usługi wymiany poczty (MX) można dodawać do podstawowej strefy przeglądania do przodu. W strefie musi już istnieć rekord A dla hosta usługi wymiany poczty. Tam, gdzie w obrębie strefy jest wiele usług wymiany poczty, stosowana jest dwucyfrowa wartość priorytetu w celu określenia kolejności priorytetów. 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń Strefy wyszukiwania do przodu i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz pozycję Nowa usługa wymiany poczty. 6. Wpisz nazwę hosta lub domeny. Nie może ona zawierać kropki. 7. Wpisz w pełni kwalifikowaną nazwę (FQDN) serwera pocztowego lub użyj przycisku Przeglądaj. 8. Wpisz wartość priorytetu. 9. Kliknij OK. 10. Sprawdź okno szczegółów, aby się upewnić, że rekord MX został dodany. 11. Zamknij konsolę. Dodawanie rekordu zasobu wskaźnika Rekord zasobu wskaźnika (PTR) może być dodawany do podstawowej strefy wyszukiwania wstecznego. Zazwyczaj odbywa się to automatycznie, kiedy tworzone są rekordy A. Możesz jednak dodać rekord PTR ręcznie. Rekord A musi się już znajdować w odnośnej strefie wyszukiwania do przodu. Możesz automatycznie tworzyć rekordy PTR, kiedy tworzysz rekordy A, ale w odwrotnym kierunku nie jest to możliwe. Aby utworzyć rekord zasobu PTR, podejmij następujące kroki: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń Strefy wyszukiwania wstecznego i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz pozycję Nowy wskaźnik. 6. Określ adres IP i albo wpisz FQDN, albo kliknij Przeglądaj, aby znaleźć FQDN odnośnego hosta. Kliknij OK. 7. Sprawdź, czy nowy rekord PTR w oknie szczegółów jest poprawny. 8. Zamknij konsolę. Dodawanie dodatkowych rekordów zasobu Można dodawać dodatkowe rekordy zasobu za pomocą pozycji menu Inne nowe rekordy. Ta pozycja menu jest dostępna zarówno w strefach wyszukiwania do przodu, jak i w strefach wyszukiwania wstecznego, ale te rekordy zazwyczaj dodaje się do strefy wyszukiwania do przodu. Niewielki sens miałoby, na przykład, tworzenie rekordu AAAA w strefie wyszukiwania wstecznego. Rekordy można tworzyć tylko w strefach podstawowych. Aby tworzyć rekordy zasobu, wykonaj co następuje: 1. Zaloguj się na serwerze nazw DNS jako administrator. 2. Wejdź do Start|Narzędzia administracyjne i wybierz DNS. 3. Rozwiń ikonę odpowiedniego serwera. 4. Rozwiń Strefy wyszukiwania do przodu i kliknij odpowiednią strefę. 5. Kliknij wybraną strefę prawym przyciskiem myszy i wybierz pozycję Inne nowe rekordy. Pojawi się okno wyboru Typ rekordu zasobu. Wskazówka: Wchodzenie do okna dialogowego Typ rekordu zasobu jest dobrą metodą przeglądania wszystkich typów rekordów i uzyskiwania opisu dla każdego z nich. 6. Wybierz typ rekordu zasobu i kliknij Utwórz rekord. Podaj żądane informacje, a następnie kliknij OK. 7. Po wprowadzeniu wszystkich potrzebnych rekordów kliknij Gotowe. 8. Sprawdź, czy rekordy pojawiają się w oknie szczegółów. Zamknij konsolę. Administrowanie klientem z konsoli polecenia Aby przeglądać i kasować bufor analizatora klienta i odnawiać rejestrację klienta systemu DNS, można wpisywać polecenia w wierszu polecenia. Zazwyczaj (ale niekoniecznie) wypełnia te zadania administrator. Procedury te zakładają, że na kliencie zainstalowany jest system Windows 2000 i że uruchomiona jest usługa klient DNS. Wskazówka: Do administracji DNS wykorzystuje się również polecenie nslookup. Jest ono jednak używane głównie do usuwania usterek i dlatego jest omówione w rozdziale 17. Aby administrować klientem za pomocą konsoli polecenia, wykonaj następujące czynności: 1. Zaloguj się na kliencie jako administrator. 2. Wejdź do Start|Programy|Akcesoria i wybierz Wiersz polecenia. 3. Aby wyświetlić bufor analizatora klienta, wprowadź ipconfig /displaydns|more. Do przewijania ekranu używaj klawisza spacji. 4. Aby opróżnić bufor analizatora klienta, wprowadź ipconfig /flushdns. Usuwa to wszystkie pozycje dodane dynamiczne, łącznie z pozycjami negatywnymi bufora. Nie usuwa to pozycji wstępnie załadowanych z pliku hostów lokalnych. 5. Aby odnowić rejestrację DNS na kliencie, wprowadź ipconfig /registerdns. Inicjuje to ręcznie rejestrację dynamiczną, odświeża wszystkie dzierżawy adresów protokołu DHCP i rejestruje wszystkie odnośne nazwy DNS skonfigurowane i wykorzystywane przez klienta. Opcja ta zakłada, że na komputerze uruchomiona jest usługa klienta DHCP. Usługa ta działa domyślnie na wszystkich klientach systemu Windows 2000 niezależnie od tego czy są one skonfigurowane do dynamicznej konfiguracji adresów IP, czy nie. Wskazówka: Opcji polecenia ipconfig /registerdns można używać osobno dla każdej karty. Aby dowiedzieć się, jakie karty są dostępne na kliencie do użycia z tą opcją, wpisz ipconfig bez żadnych parametrów.