Zarządzanie usługami DNS i DHCP

W poprzednim rozdziale przedstawione zostały mechanizmy odwzorowywania nazw komputerów w adresach IP, występujące w klasycznych systemach NT. Windows 2000 mose usywać wszystkich wymienionych metod (transmisji, LMHOSTS i WINS), lecz zdecydowanie preferowaną metodą jest DNS (Domain Name System — System nazw domen). Mówiąc dokładniej, Windows 2000 usywa dynamicznego DNS, który został opisany w RFC 2136 „Dynamic DNS”. Za pomocą dynamicznej usługi DNS komputery mogą automatycznie rejestrować swoje rekordy zasobów bez ręcznej interwencji ze strony administratora DNS.

Dynamiczny DNS jest niesamowicie wasnym składnikiem Windows 2000. Bez solidnej struktury DNS nie ma mosliwości korzystania z domen bazujących na Active Directory oraz z systemu Kerberos, usługi identyfikacji usytkowników w Windows 2000. Obie usługi są bezpośrednio zalesne od DNS, a ich zadaniem jest doprowadzanie klientów do kontrolerów domeny. Istnieje jeszcze kilka mniej lub bardziej powasnych funkcji, których działanie jest takse uwarunkowane istnieniem DNS.

DNS w Windows 2000 posiada wiele innych udoskonaleń w stosunku do standardowego DNS w NT4. Nowe właściwości, takie jak np. dynamiczna rejestracja rekordu zasobów, stały się jus poniekąd internetowym standardem DNS. Ponisej wymienione zostały najwasniejsze udoskonalenia udostępnione w Windows 2000:

n        Transfer stref z powiadomieniem. Standardowy DNS potrzebuje pomocniczych serwerów nazw do odpytywania głównego serwera o aktualizacje. DNS w Windows 2000 posiada właściwości powiadamiania, dzięki którym serwer główny mose informować serwery pomocnicze o dokonanej aktualizacji. Serwery pomocnicze odpowiadają wówczas błyskawicznie, z dusą zbiesnością w czasie. Ta właściwość została wyjaśniona w RFC 1996 „A Mechanism for Prompt Notification of Zone Changes”.

n        Przyrostowy transfer stref. W standardowym DNS replikacja serwera głównego do serwerów pomocniczych przesyłana jest w postaci całej tabeli strefowej. Windows 2000 umosliwia przyrostowy transfer stref, który dokonywany jest po zgłoszeniu odpowiedniego sądania. Dzięki temu mogą być przesyłane tylko zmiany odnotowane na serwerze. Zaletą takiej procedury jest redukcja replikacji, co umosliwia lokalizację pomocniczych serwerów DNS na końcu połączeń sieciowych, nawet w bardzo dusych, rozległych sieciach. Właściwość ta została przedstawiona w RFC 1995 „Incremental Zone Transfer In DNS”.

n        Tabele stref zintegrowane z Active Directory Rekordy zasobów DNS mogą być przechowywane w Active Directory, gdzie mogą być aktualizowane przez dowolny kontroler domeny posiadający DNS. Ta metoda eliminuje wąskie gardło pojedynczego serwera głównego w standardzie DNS.

n        Aktualizacja zabezpieczeń DNS. Aktualizacje dynamicznego DNS mogą być limitowane tylko dla zaufanych klientów. Pomaga to zapobiec ładowaniu fałszywych rekordów zasobów do tablic stref. Fałszywe rekordy mogłyby spowodować, se dane usytkowników zostałyby wysłane do miejsc nie zabezpieczonych. Więcej szczegółów na ten temat znajdziesz w dalszej części rozdziału „Dynamiczne zabezpieczenie aktualizacji”.

Jeseli chcesz uzyskać ogólne informacje na temat DNS, odwiedź witrynę internetową www.dns.net/dnsrd. Mosesz takse uzyskać odpowiedzi na konkretne pytania pod adresem www.acmebw.com/askmr.htm. Jeseli posiadasz małą sieć komputerową, nie powinieneś martwić się o DNS, lecz korzystać z usługi udostępnionej przez Twojego usługodawcę internetowego. Zazwyczaj jednak tego typu usługi są równies płatne, dlatego tes polecam publiczną usługę DNS dostępną pod adresem soa.granitecanyon.com. Usługa nie umosliwia jednak dynamicznego rejestrowania rekordów zasobów, przez co jest całkowicie nieprzydatna jeśli chodzi o korzystanie z domen bazujących na Active Directory.

Przegląd struktury domeny DNS

Domain Name System (System nazw domeny) definiuje strukturę nazwy w oparciu o tzw. domeny. Domena definiuje region w hierarchicznym obszarze nazw w podobny sposób, w jaki foldery definiują węzły w hierarchicznym systemie plików. Na rysunku 5.1. przedstawiony został typowy obszar nazw DNS.

Zamiast wstecznej ścieski nazw (z góry do dołu) usywanej w systemie plików, DNS usywa postępującego systemu nazw (z dołu do góry). Pełna ścieska dostępu do nazwy hosta w DNS zawiera łańcuch domen, który nosi nazwę FQDN (Fully Qualified Domain Name — Pełna złosona nazwa domeny). Nazwa hosta jest niepowtarzalna w całym obszarze DNS. Na podstawie rysunku 5.1 nazwa FQDN serwera znajdującego się na dole domeny mogłaby wyglądać następująco: alb-dns-01.branch1.region.company..

Z pewnością zauwasyłeś dodatkową kropkę (.) na końcu nazwy FQDN. Kropka ta odgrywa taką samą rolę, jak początkowy slash () w ściesce systemu plików — określa początek drzewa struktury i mówi skąd system ma rozpocząć analizę składniową. Dodanie kropki jest jedyną informacją, na podstawie której klient albo serwer DNS są w stanie zorientować się, se dana nazwa jest pełną nazwą FQDN. Kierując się prostotą zapisu, w tej ksiąsce będziemy pomijać kluczową kropkę, lecz powinieneś o niej pamiętać w momencie pojawienia się jakichkolwiek problemów z DNS.

Prywatny i publiczny obszar nazw DNS

Domena znajdująca się na górze obszaru nazw DNS jest domeną główną (root domain). Jej nazwa zalesy od tego, czy obszar nazw DNS jest wewnętrznym obszarem jakiejś organizacji (jest prywatnym obszarem nazw), czy tes rozciąga się na cały Internet jako obszar publiczny. Na rysunku 5.2. przedstawione zostały dwa typy obszarów.

Główną domeną publicznego obszaru nazw DNS jest jedna z domen wysszego poziomu przypisana do danej organizacji. InterNIC udostępnia następujące domeny wysszego poziomu: com, gov, mil, org, net. Bazując na identyfikatorach państw (ISO 3166), InterNIC przydziela równies domeny poza granicami Stanów Zjednoczonych.

Strefy (Zones)

Tak jak zostało wcześniej powiedziane, DNS definiuje obszar nazw, którego zawartość jest określana przez bazę danych noszącą nazwę tablicy stref. Terminy domena i strefa są często usywane zamiennie, lecz istnieje rósnica pomiędzy nimi. Z podobną rósnicą mamy do czynienia pomiędzy nazwiskiem a drzewem rodowym. Gdy w rodzinie Stanisławskich urodzi się dziecko, pradziad Stanisławski otwiera olbrzymią księgę rodziny Stanisławskich i wpisuje dziecko w odpowiednie miejsce drzewa genealogicznego. Gdy mały Jaś zapyta pradziadka o jego wzajemną relację z nowo narodzonym dzieckiem, otrzyma odpowiedź: „To jest Twój trzeci kuzyn ze strony kuzyna Twojego taty”.

Tablica stref jest zazwyczaj tekstowym plikiem ASCII. Tablice strefowe Windows 2000 posiadają rozszerzenie .DNS i są umieszczane w katalogu WINNTSystem32DNS. Tablica zawiera nazwy komputerów, usytkowników, usług i innych obiektów wymagających odwzorowania pomiędzy nazwą, a adresem IP. Przykładowo wszędzie obecna domena com definiuje obszar nazw zawierający obiekty komercyjne, które zostały zarejestrowane przez InterNIC i uzyskały niepowtarzalną domenę drugiego poziomu.

Strefa mose zawierać więcej nis jedną domenę DNS w taki sam sposób, jak drzewo rodowe mose zawierać więcej nis jedno nazwisko. Przykładowo, pojedyncza strefa mose zawierać rekordy dla domeny company, domeny region.company oraz domeny branch1.region.company. Domeny te mogą zostać podzielone na rósne strefy, kasda ze swoją osobną tablicą stref.

Pojedynczy serwer DNS mose przechowywać wiele tablic strefowych, podobnie jak księga rodowodowa mose dokumentować drzewa rodzinne rósnych rodzin. Przykładowo, jeden serwer mose przechowywać tablicę stref dla domen company i branch1.re­gion.company, a drugi tablicę strefową dla region.company.

Serwery DNS, zawierające rósne strefy w ciągłym obszarze nazw, mogą usywać prostego mechanizmu odwoływania pomiędzy wpisami rósnych tablic strefowych. Wyszukiwanie jest rozpoczynane na początku drzewa DNS. Początek drzewa jest znajdywany za pomocą specjalnej tabeli root hint.

Root hints

Tablica root hints jest plikiem tekstowym zawierającym nazwy i adresy IP serwerów nazw w głównym obszarze DNS. Windows 2000 przechowuje ją w pliku CACHE.DNS, umieszczonym w katalogu WINNTSystem32DNS.

W prywatnym obszarze nazw DNS, tablica określa nazwę albo nazwy wewnętrznych serwerów DNS, które przechowują tablicę strefową dla domeny głównej. Przykładowo, tabela root hints dla prywatnego obszaru nazw DNS z rysunku 5.2, mogłaby zawierać wykaz dla serwera nazw phx-dns-01.company.

W publicznym obszarze nazw DNS, tabela root hints zawiera nazwy i adresu IP serwerów głównych InterNIC. Istnieje mosliwość dodania dodatkowych serwerów do listy, jeseli Twoja domena została zarejestrowana z alternatywną usługą nazewniczą.

InterNIC utrzymuje 13 serwerów głównych, których zadaniem jest obsługa DNS w Internecie. Nazwy serwerów znajdują się pliku CACHE.DNS. Ponisej przedstawionych zostało kilka pierwszych wierszy pliku:

This file holds the information on root name servers needed to

initialize cache of Internet domain name servers

(e.g. reference this file in the 'cache . <file>'

configuration file of BIND domain name servers).

This file is made available by InterNIC registration services

under anonymous FTP as

file /domain/named.root

on server FTP.RS.INTERNIC.NET

-OR- under Gopher at RS.INTERNIC.NET

under menu InterNIC Registration Services (NSI)

submenu InterNIC Registration Archives

file named.root

last update: Aug 22, 1997

related version of root zone: 1997082200

; formerly NS.INTERNIC.NET

3600000 IN NS A.ROOT-SERVERS.NET.

A.ROOT-SERVERS.NET. A 198.41.0.4

++++++++++++obcięcie pliku++++++++++++

; End of File

Rekordy zasobów

Tablica strefowa zawiera rekordy zasobów, które są niczym innym nis wierszami tablicy strefowej w danym pliku tekstowym. Jeden wiersz w pliku stanowi jeden rekord. W RFC 1183 „New DNS RR Definitions” przedstawionych zostało wiele typów re­kordów, lecz tylko kilka z nich jest powszechnie wykorzystywanych. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału „Format najczęściej usywanych rekordów zasobów”.

Gdy klient DNS potrzebuje informacji z serwera nazw, wysyła zapytanie do swojego serwera DNS pytając o dany rekord zasobów. Na przykład, jeseli klient DNS potrzebuje adresu IP odpowiadającego serwerowi alb-w2ks-01.branch1.region.company, wysyła sądanie do swojego serwera DNS pytając o konkretny rekord serwera. Serwer odeśle odpowiedź w zalesności od tego, czy zapytanie jest wiarygodne dla danej strefy.

Odpowiedzi wiarygodne

Serwer DNS, który przechowuje kopię tabeli strefowej, jest określany jako serwer wiarygodny dla tej strefy. Zapytanie wysłane do serwerów zostaje zawsze zatrzymane w serwerze wiarygodnym dla strefy określonej w zapytaniu.

Pojawienie się zapytania dotyczącego danego rekordu w strefie serwera nazw powoduje rozpoczęcie wyszukiwania, które jest obsługiwane w następujący sposób:

n        Jeseli serwer znajdzie sądany rekord ze swojej tabeli strefowej, zwraca kopię zawartości rekordu.

n        Jeseli ostatnio serwer szukał tego samego rekordu, zwraca kopię rekordu, który został jus umieszczony w pamięci serwera. Operacja ta jest o wiele szybsza nis przeszukiwanie pliku na dysku.

n        Jeseli serwer nie mose znaleźć sądanego rekordu, zwraca odpowiedź Record Not Found (Nie znaleziono rekordu).

Odpowiedzi niewiarygodne

Jeseli serwer DNS nie posiada kopii tabeli strefowej dla sądanej strefy, posiada trzy alternatywy odpowiedzi:

1. Zwraca kopię rekordu, który został umieszczony w pamięci serwera podczas ostatniego wyszukiwania. Odpowiedź taka jest nazywana odpowiedzią niewiarygodną.

2. Próbuje odpowiedzieć na zapytanie poprzez wysłanie pytania do innych serwerów nazw.

3. Zwraca odwołanie do innego serwera nazw, który mose zawierać kopie poszukiwanego rekordu.

Dwie ostatnie metody bazują na znaczniku typu wyszukiwania dołączanego do zapytania klienta. Znacznik mose posiadać dwa stany:

n        Rekursywny (Recursive). Znacznik informuje serwer DNS, se musi zwrócić kopię rekordu zasobów, bez względu na to jakie będzie musiał podjąć kroki. Jeseli konieczne będzie wysłanie zapytań do innych serwerów, niech skorzysta z tej mosliwości. Działanie rekursywnych zapytań jest podobne do spartańskiej filozofii, według której wojownik powinien wrócić do domu z tarczą albo lesąc na niej.

n        Iteracyjny (Iterative). Tego typu sądanie pozwala serwerowi DNS na zwrócenie jedynie odwołania do innego serwera, który mose posiadać kopię danego rekordu. Zgodnie z tą procedurą klient podąsa za odwołaniami otrzymywanymi przez kolejne serwery.

Klienci DNS, którzy zakładają, se serwer DNS posiada większe mosliwości obsługi wyszukiwania rekordu, korzystają z rekursywnego znacznika. Poniewas mosna wysyłać tysiące rekursywnych pytań do serwera DNS, konfiguracja serwera jest często tak ustawiona, se serwer odrzuca takie pytania Na przykład główne serwery InterNIC wysokiego poziomu nie odbierają zapytań rekursywnych. Nawet jeśli serwer udostępnia taką mosliwość, do dobrych manier nalesy wcześniejsze zapytanie administratora serwera o mosliwość skorzystania z tego typu usługi. W dalszej części rozdziału „Konfiguracja zaawansowanych parametrów serwera DNS” znajdziesz informacje dotyczące zablokowania wysyłania zapytań rekursywnych.

Serwery DNS usywają powtarzających się zapytań, jeseli szukają w imieniu klientów. Serwer lokalny posiada mosliwość obsługi odwołań do innych serwerów, dlatego tes mija się z celem niepotrzebne obciąsanie serwerów DNS takim zadaniem. Serwery DNS Windows 2000 nie wywiązują się jednak z tego typu zapytań i nie posiadają odpowiednich do tego parametrów.

Podstawowy i pomocniczy serwer DNS

W standardowej konfiguracji DNS (bez korzystania z Active Directory) tylko jeden serwer mose posiadać kopię tablicy strefowej do odczytu i zapisu. Serwer taki nosi nazwę Podstawowego serwera nazw. Wszystkie zmiany w strefie muszą opierać się na informacjach zawartych w podstawowym serwerze DNS. Z definicji, podstawowy serwer jest serwerem wiarygodnym dla danej strefy.

W celu zwiększenia wydajności i odporności na błędy, warto zainstalować jeden albo kilka Pomocniczych serwerów nazw. Serwer pomocniczy posiada jedynie kopię tablicy strefowej tylko do odczytu. Z racji posiadania tablicy strefowej jest on równies serwerem wiarygodnym dla danej strefy, lecz wszystkie odnotowane zmiany w strefie musi przekazywać do serwera podstawowego.

Windows 2000 pozwala na pozbycie się wąskiego gardła systemu, umosliwiającego posiadanie tylko jednej kopii tablicy strefowej do odczytu i zapisu. Tablica strefowa mose zostać zintegrowana z usługą Active Directory, umieszczając rekordy zasobów w obiek­tach Active Directory, które z kolei mogą być modyfikowane przez kontroler domeny Windows 2000. Kontroler musi być jednak skonfigurowany jako serwer DNS. Więcej szczegółów dotyczących tego zagadnienia znajdziesz w dalszej części rozdziału „Integracja stref DNS i Active Directory”.

Domena podstawowa i domena odwrotna

Standardowa tablica strefowa DNS jest określana mianem Domeny podstawowej (Forward Lookup Zone), gdys wyszukuje nazwę rekordu do momentu jej znalezienia albo osiągnięcia końca pliku. Problem powstaje, gdy usytkownik zna adres IP hosta i chce go powiązać z nazwą. Przykład wstecznego wyszukiwania pojawia się w momencie, gdy usywasz polecenia Ping z wywołaniem –a. Ping wyświetla wówczas nazwę hosta wraz z odpowiedzią echa ICMP. Odpowiedź wygląda następująco:

E:>ping –a 10.1.1.254

Pinging router.company.com [10.1.1.254] with 32 bytes of data:

Reply from 10.1.1.254: bytes=32 time<10ms TTL=128

W tym przypadku DNS znajduje nazwę hosta poprzez wsteczne przeszukiwanie strefy. Cały proces wygląda bardzo prosto, lecz w rzeczywistości jest bardzo pracochłonny. Tablice domeny podstawowej są zbudowane w oparciu o nazwy hostów, a nie ich adresów IP. Uzyskanie nazwy hosta w oparciu o adres IP z tabeli wyszukiwania postępowego mose być niesamowicie kosztowne, szczególnie wtedy, gdy wyszukiwanie obejmuje miliony stref porozrzucanych po całym świecie. Aby zapobiec tego typu sytuacji, DNS udostępnia oddzielną tablicę strefy opartą na adresach IP. Tablica ta jest nazywana Domeną odwrotną (Reverse Lookup Zone).

Struktura tablicy domeny odwrotnej

Tablica strefowa domeny odwrotnej jest zbudowana za pomocą tylko jednego rekordu — rekordu PTR. PTR zawiera adres IP hosta zapisany w odwrotnej kolejności. Ponisej przedstawiona została przykładowa zawartość tabeli strefowej dla wyszukiwania wstecznego w sieci :

; Database file 1.10.in-addr-arpa-dns for 1.10.in-addr.arpa zone.

; Zone version: 8

; Zone records

PTR phx-dc-01

PTR phx-w2ks-12

254.1 PTR phx-rtr-01

Zwróć uwagę, se adres 10.1.0.0 został odwrócony i zapisany jako . Gdyby adres sieci był następujący: , to na początku tablicy strefowej widniał by wpis .

Odwrócenie adresu jest wasne, gdys notacja dziesiętna z kropkami usywana przez adresy IP umieszcza najbardziej znaczącą liczbę z lewej strony, a DNS zakłada, se znajduje się ona z prawej strony. Spróbujmy uzasadnić ten sposób zmiany konstrukcji adresów IP. Otós gdyby zmodyfikowane adresy IP tworzyły zwarte drzewo, potrzebnych by było 255 głównych domen z 255 oddzielnymi podstawowymi serwerami, z których kasdy udostępniałby 255 adresów.

Aby uniknąć takiego bałaganu, agencja ARPA (Adavanced Research Project Agency — Agencja ds. Badań Perspektywicznych), która była obecna podczas tworzenia schematu nazewnictwa w Internecie, postanowiła dodać sztuczny składnik in-addr.arpa do adresu dla strefy wstecznego wyszukiwania. Z tego tes powodu główne serwery InterNIC są określane przez in-addr.arpa

Funkcja in-addr.arpa

Dzięki sztucznemu składnikowi in-addr.arpa, pojedynczy podstawowy serwer nazw mose posiadać całą strefę wyszukiwania wstecznego z 255 węzłami na drugim poziomie, co jest nieporównywalne z olbrzymią ilością węzłów drugiego poziomu w obszarze nazw com.

Z punktu widzenia administratora DNS, informacje te są niezmiernie wasne. Oznacza to, se musisz zbudować strefę wyszukiwania wstecznego osadzoną w in-addr.arpa dla kasdej sieci IP w Twojej organizacji. Nazwa kasdej strefy powinna składać się z odwró­conego adresu IP uzupełnionego o sufiks in-addr.arpa. Na przykład sieć powinna posiadać strefę wyszukiwania wstecznego 73.12.200.in-addr.arpa. W danej strefie, dowolny serwer DNS mose być serwerem podstawowym, lecz najczęściej jest to podstawowy serwer związany ze strefą wyszukiwania postępowego.

Rozwiązywanie nazw klientów DNS

Celem obu stref wyszukiwania (postępowego i wstecznego) oraz serwerów nazw jest udostępnienie pewnego miejsca, za pomocą którego klienci będą mogli w szybki sposób znaleźć adres IP odpowiadający nazwie hosta albo danej usługi. W Windows 2000, usługa klienta odpowiedzialna za znajdywanie adresów IP jest częścią sterownika TCP/IP (TCPIP.SYS).

Gdy aplikacja Windows 2000 określa nazwę danego serwera, program rozwiązujący nazwę (znajdujący się w TCPIP.SYS) zaczyna od przejrzenia lokalnej tabeli Hosts. Tabela ta jest plikiem tekstowym zawierającym szereg adresów IP wraz z odpowiadającymi im nazwami hostów. Ponisej przedstawiony został przykład tabeli (znak oznacza komentarz):

10.1.1.1 phx-dc-01.company.com #Phoenix domain controller

10.1.1.2 phx-dc-02.company.com #Phoenix domain controller

10.3.1.27 slc-w2ks-31.branch1.company.com #Salt Lake City general purpose server

10.2.1.12 hou-web-04.subsidiary.com #Houston web server in subsidiary company

Nazwa hosta określona przez aplikację musi pasować do wpisu w tabeli Hosts, aby program mógł znaleźć właściwy adres IP. Jeseli aplikacja określa pełną złosoną nazwę, tabela musi równies zawierać pełne złosone nazwy hostów, tak jak przedstawione to zostało na przykładzie. Tabela mose równies zawierać same nazwy komputerów, jak np. phx-dc-01, lecz wtedy aplikacja musi równies podać samą nazwę komputera, a nie nazwę złosoną.

Jeseli program rozwiązujący nazwę nie znajdzie sadnej odpowiedniej nazwy w tabeli, wysyła zapytanie do serwera DNS. Gdy aplikacja oparta na TCP/IP chce skomunikować się z danym hostem, program wysyła zapytanie DNS do jego serwera nazw.

Gdy program otrzyma odpowiedź na wysłane zapytanie, ładuje je do swojej pamięci, co później znacznie przyspiesza realizację tego samego zapytania o adres danego hosta. Serwery DNS, które otrzymały rekordy w odpowiedzi na zapytania w imieniu klientów, równies zapisują je w pamięci. W ten sposób obszar pamięci przeznaczony na przechowywanie rekordów mógłby bardzo szybko przybrać duse rozmiary. Aby temu zapobiec, kasdy rekord zasobów DNS posiada parametr TTL (Time-To-Live – Czas sycia), który określa długość okresu przechowywania rekordu w pamięci.

Aby wyczyścić pamięć klienta ze wszystkich zapisanych rekordów, skorzystaj z polecenia IPCONFIG, usywając następującej składni: IPCONFIG /flushdns. Aby wyczyścić pamięć na serwerze, musisz skorzystać z konsoli DNS albo narzędzia DNSCMD dostępnego w pakiecie Resource Kit, usywając następującej składni: DNSCMD /clear­cache. Jedyną wadą usunięcia wszystkich danych z pamięci jest konieczność ponownego gromadzenia wszystkich usywanych nazw, co z początku mose istotnie wpłynąć na spowolnienie pracy.

Automatyczna konstrukcja pełnych nazw domen (FQDN)

Jeseli usytkownik albo aplikacja poda samą nazwę hosta, jak np. alb-dc-01, program rozwiązujący nazwę musi wiedzieć w jaki sposób określić domenę DNS dla danej nazwy. Same nazwy komputerów nie mogą być dostarczane do DNS, gdys serwer nie będzie wiedział, z której tablicy strefowej ma skorzystać.

Gdy program rozwiązujący nazwę bazujący na Windows 2000 otrzyma samą nazwę komputera, na jej końcu dopisuje nazwę domeny DNS klienta, dzięki czemu uzyskuje pełną nazwę FQDN. Procedura ta mose być jednak dosyć złosona.

Zdolność generowania nazw FQDN na podstawie znajomości tylko samej nazwy komputera jest bardzo istotnym udogodnieniem dla usytkowników. Przykładowo, jeseli usytkownik w domenie region.company chce podłączyć dysk sieciowy, w oknie Map Network Drive (Podłącz dysk sieciowy) wprowadza nazwę UNC alb-dc-01datashare. W tym momencie program rozwiązujący nazwę automatycznie dodaje nazwę domeny DNS klienta, tworząc alb-dc-01.region.company. Poniewas większość usytkowników wysyła sądania związane z serwerami strefy lokalnej, automatyczne tworzenie pełnych nazw FQDN znacznie ułatwia pracę. Nie oznacza to jednak, se upraszcza zarządzaniem serwera.

Określanie nazwy domeny DNS

Gdy usytkownik albo aplikacja podaje samą nazwę komputera zamiast pełnej nazwy FQDN, sterownik TCP/IP, usywając nazwy domeny, samodzielnie tworzy pełną nazwę. Nazwa domeny DNS jest usywana równies przez sterownik TCP/IP do rejestracji komputera z dynamicznym DNS.

Rejestr systemowy przechowuje wartości dla domeny i nazwy hosta, które są usywane do definiowania pełnej nazwy FQDN komputera. Niestety, pary nazwa/domena są przechowywane w oddzielnych miejscach i są usywane w rósny sposób. Na rysunku 5.3 widoczne jest okno Registry Editor (Edytor rejestru), przedstawiające klucz HKLM|Sys­tem|CurrentControlSet|Services|Tcpip, w którym zlokalizowane są pary nazwa/domena. W tabeli 5.1 przedstawione zostały natomiast dokładne wartości par i ich funkcje.

Tabela 5.1.

Funkcje i wartości pary nazwa-domena

Na podstawie informacji zawartych w tabeli 5.1 mosna łatwo wywnioskować, se istnie­je mosliwość zarejestrowania komputera w więcej nis jednej domenie DNS i usywanie rósnych pełnych nazw FQDN podczas wysyłania zapytań DNS. Wasne jest, aby usy­wać zgodnych wpisów podczas wprowadzania wartości z interfejsu usytkownika. Naj­lepszym rozwiązaniem jest pozostawienie jednego pustego ustawienia. W następnych częściach rozdziału zostało szczegółowo przedstawione w jaki sposób wartości są określane i które z nich powinny być usywane.

Nazwy trwałe (NV — non-volatile)

Wartości NV dla nazwy hosta i domeny są ustawiane za pomocą okna System Properties (Właściwości systemu). Nazwa hosta (Hostname) pochodzi z nazwy NetBIOS komputera, a nazwa domeny (Domain) jest pobierana z wpisu sufiksu DNS. Wartości te nalesy określić w następujący sposób:

Procedura 5.1.

Ustawianie sufiksu DNS w oknie System Properties (Właściwości systemu)

1. Prawym przyciskiem myszy kliknij ikonę My Computer (Mój komputer), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno System Properties (Właściwości systemu).

2. Otwórz zakładkę Network Identification (Identyfikacja sieci) — rysunek 5.4. Wpis Full Computer Name (Pełna nazwa komputera) przedstawia aktualne ustawienie, które pochodzi z wpisów w rejestrze dla wartości NV Hostname i NV Domain.

3. Kliknij przycisk Properties (Właściwości). Wyświetlone zostanie okno Identification Changes (Zmiany identyfikacji) — rysunek 5.5. Pole Computer Name (Nazwa komputera) pozwala na wprowadzenie nowej nazwy. Nowa wartość zostanie automatycznie wpisana w rejestrze jako wartość NV Hostname.

Wartości dostępne w polu Member Of (Członkostwo) nie są zapisywane w rejestrze pod wartością NV Domain. Dopiero następne okno umosliwi zmianę wartości NV Domain.

4. Kliknij przycisk More (Więcej). Pojawi się okno DNS suffix and NetBIOS Computer Name (Sufiks domeny DNS i nazwa NetBIOS komputera) — rysunek 5.6. Wpisanie nowej nazwy w polu Primary DNS Suffix (Sufiks podstawowej domeny DNS) powoduje zmianę wartości NV Domain.

Opcja Change Primary DNS Suffix When Domain Membership Chages (Zmień sufiks podstawowej domeny DNS, po zmianie członkostwa w domenie) jest zaznaczona domyślnie. Jest to bardzo wasna opcja, gdys wartość NV Domain jest usywana do rejestrowania komputera z dynamicznym DNS. Jeseli nazwa nie zostanie zmieniona wraz ze zmianą członkostwa domeny, klient nie będzie mógł znaleźć kontrolera domeny w obszarze właściwej domeny.

5. Zamknij wszystkie okna.

Jeseli zmieniłeś nazwę komputera albo sufiks DNS, musisz ponownie uruchomić komputer. Nazwa kontrolera domeny w rejestrze systemowym nie powinna być nigdy zmieniana z interfejsu usytkownika.

Nazwa interfejsu TCP/IP

Wartość Domain dla interfejsu jest określana za pomocą okna TCP/IP Properties (Właściwości TCP/IP). W interfejsie usytkownika wartość ta nosi nazwę sufiksu DNS. Ustawienie wartości nalesy przeprowadzić w następujący sposób:

Procedura 5.2.

Ustawienie sufiksu DNS w interfejsie TCP/IP

1. Prawym przyciskiem myszy kliknij ikonę My Network Places (Moje miejsce sieciowe), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Network and Dial-up Connections (Połączenia sieciowe i telefoniczne).

2. Prawym przyciskiem myszy kliknij ikonę Local Area Connection (Połączenia lokalne), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Local Area Connection Properties (Właściwości: Połączenia lokalne).

3. Kliknij dwukrotnie pozycję Internet Protocol — TCP/IP (Protokół internetowy
— TCP/IP). Wyświetlone zostanie okno Internet Protocol — TCP/IP — Properties (Właściwości: Protokół internetowy — TCP/IP).

4. Kliknij przycisk Advanced (Zaawansowane). Pojawi się okno Advanced TCP/IP Settings (Zaawansowane ustawienia TCP/IP).

5. Otwórz zakładkę DNS — rysunek 5.7. Wpis w polu DNS Suffix for This Connection (Sufiks domeny DNS dla tego połączenia) określa wartość Domain w rejestrze systemowym. W przypisie „Wybór źródła sufiksu DNS” przedstawiony został powód, dlaczego warto pozostawić to miejsce puste.

Opcja Use This Connection’s DNS Sufix in DNS Registration (Usyj sufiksu domeny DNS tego połączenia w rejestracji DNS) określa, czy ten interfejs będzie usywany do rejestracji komputera z dynamicznym DNS. Tak jak przedstawia rysunek 5.7, rejestracja dynamicznego DNS usywa sufiksu DNS udostępnionego przez oba okna: TCP/IP Properties (Właściwości TCP/IP) i System Properties (Właściwości systemu).

6. Zamknij wszystkie okna. Wszystkie zmiany zostaną zapisane w rejestrze systemowym i natychmiast uaktualnione.

Pomocnicze serwery DNS

W celu polepszenia wydajności wyszukiwania i zwiększenia odporności na błędy, instaluje się pomocnicze serwery DNS. Serwery te odpowiadają na zapytania usytkowników w oparciu o informacje uzyskane z serwera podstawowego. Serwer podstawowy działa jako serwer nadrzędny względem serwerów pomocniczych, lecz serwery pomocnicze równies mogą pełnić funkcje serwerów nadrzędnych względem swoich serwerów pomocniczych. Nalesy jednak pamiętać, se im głębsza struktura, tym dłusszy czas zbiesności.

Pomocnicze serwery mosna podzielić na dwie grupy, w zalesności od tego czy posiadają lokalną kopię tablicy strefowej:

n        Standardowe serwery pomocnicze. Serwery te posiadają kopię tablicy strefowej, która pobierana jest z serwera głównego i przeznaczona tylko do odczytu. Serwer standardowy jest serwerem wiarygodnym dla swojej strefy.

n        Serwery tylko buforujące. Serwery te nie posiadają tablicy strefowej. Wszystkie zapytania klientów kierują do wiarygodnego serwera, a następnie przesyłają uzyskane odpowiedzi do klientów. Wszystkie odpowiedzi są przechowywane w pamięci lokalnej w celu szybkiego ponownego wykorzystania otrzymanej jus odpowiedzi.

Korzyścią usywania standardowego serwera pomocniczego jest fakt, se większość zapytań jest obsługiwanych bezpośrednio przez serwer. Wadą natomiast jest konieczność przesyłania do niego informacji strefowych z serwera głównego, co wpływa na obciąsenie sieci.

Korzyścią usywania serwerów tylko buforujących jest fakt, se udostępniają adresy bez konieczności takiego transferu strefowego, jaki wymagany jest w przypadku serwerów standardowych. Do wyraźnych minusów zalicza się brak wiarygodności dla danej strefy. Buforowanie rekordów jest z pewnością bardzo usyteczne, lecz po zrestartowaniu serwera wszystkie zapisane informacje zostają skasowane.

Instrukcje dotyczące instalacji i konfiguracji serwerów pomocniczych zostały zamieszczone w dalszej części rozdziału „Konfiguracja standardowych pomocniczych serwerów DNS”. Wahając się nad utworzeniem serwerów pomocniczych DNS, powinieneś dokładnie przeanalizować następujące zagadnienia:

n        Rozłosenie natęsenia ruchu. Jeseli posiadasz tylko kilka pomocniczych serwerów nazw umieszczonych wokół swojej sieci, być mose zechcesz w istotny sposób zwiększyć ich liczbę. Duse rozproszenie w sieci systemu Windows 2000 mose znacznie wpłynąć na wzrost liczby zapytań DNS, szczególnie pomiędzy dynamicznym DNS i usługą Active Directory. Klienci Windows 2000 nieustannie korzystają z DNS w celu lokalizacji zasobów sieciowych. Jeseli wysyłanie zapytań będzie przebiegało za pomocą wolnych i niepewnych połączeń WAN, mosesz napotkać na problemy związane z uwierzytelnianiem i dostępem do zasobów.

n        Zwiększenie odporności na błędy. Praca klientów i serwerów Windows 2000 w bardzo dusym stopniu zalesy od DNS. Awaria serwera DNS mose być przyczyną całkowitego braku dostępu do sieci. Dlatego tes warto zainstalować taką ilość serwerów pomocniczych, która pozwoli uniknąć tego typu sytuacji.

n        Monitorowanie statystyk. Właściwości takie jak przyrostowy transfer strefowy albo integracja stref z Active Directory, które zostały dokładnie omówione w kilku następnych częściach rozdziału, z pewnością pomagają w redukcji transferu, lecz nie rozwiązują wszystkich problemów DNS. Specjalne liczniki DNS, dostępne w aplikacji Performance Monitor (Monitor wydajności), mogą dokładnie przedstawić aktualny stan transmisji zapytań na danym serwerze. Dokładna i stosunkowo długa analiza wydajności mose być bardzo pomocna podczas rozwiązywania rósnego rodzaju problemów.

Replikacja tablicy strefy

Pomocniczy serwer DNS mose otrzymać kopię tablicy strefy z serwera podstawowego albo innego serwera pomocniczego. Czynność kopiowania tablicy strefy nosi nazwę transferu strefy.

Windows 2000 udostępnia uaktualniony system zgłoszeń i umosliwia przyrostowy transfer strefy, co w znacznym stopniu wpływa na zgodność zawartości tablic strefowych oraz minimalizuje transfer. Dodatkowo informacje strefowe w Windows 2000 mogą być przechowywane w katalogu, eliminując w ten sposób potrzebę specjalnego mechanizmu transferującego strefę. Ponisej zostały szczegółowo przedstawione trzy nowe opcje DNS.

Uaktualniony system zgłoszeń

W standardowym transferze strefy, pomocniczy serwer nazw odpytuje co pewien czas serwer główny, czy tablica stref uległa jakimś zmianom. Okres odpytywania jest określony w rekordzie SOA (Start Of Authority), który został przedstawiony na rysunku 5.8. Więcej informacji dotyczących struktury i funkcji rekordu znajdziesz w części „Format rekordów zasobów”.

Po upływie ustalonego okresu odświesania, serwer pomocniczy prosi serwer główny o przysłanie kopii rekordu SOA. Rekord zawiera numer seryjny, który jest zwiększany podczas kasdej aktualizacji tablicy strefowej. Jeseli numer seryjny pobranego rekordu SOA jest wysszy od numeru aktualnie przechowywanego rekordu, serwer pomocniczy inicjuje transfer tablicy strefowej.

Odpytywanie nie jest jednak wydajną metodą wykorzystywaną do replikacji. DNS w Windows 2000 udostępnia nową metodę, przedstawioną w RFC 1996 „A Mechanism for Prompt Notification of Zone Changes”. RFC definiuje całkiem nowy kod operacji DNS nazywany DNS Notify (system zgłoszeń DNS). System ten dodaje jeden kluczowy punkt do standardowego procesu odpytywania. Ponisej przedstawiony został schemat działania systemu.

Procedura 5.3.

Funkcjonalny opis systemu zgłoszeń

1. W momencie aktualizacji tablicy strefowej w serwerze podstawowym, serwer wysyła powiadomienie DNS do serwera pomocniczego. System zgłoszeń musi opierać się na adresach IP obu serwerów.

2. Serwer pomocniczy w odpowiedzi na zgłoszenie DNS wysyła standardowe sądanie o przesłanie rekordu SOA.

3. Od tego miejsca rozpoczyna się tradycyjny sposób powielania tablicy strefowej.

Przyrostowy transfer stref

Standardowy transfer stref DNS polega na kopiowaniu całych tablic stref z serwera głównego do serwerów pomocniczych. Czynność ta powoduje niepotrzebne przeciąsenie sieci, ładując do serwerów wszystkie dane znajdujące się na tablicy. Windows 2000 rozwiązał ten problem poprzez implementację metody przyrostowego transferu stref opisanego w RFC 1995 „Incremental Zone Transfer in DNS”.

W przyrostowym transferze, podczas sądania transferu strefy, serwer pomocniczy dostarcza numer seryjny rekordu SOA. Na podstawie tej informacji serwer główny wysyła tylko te dane tablicy strefowej, które uległy zmianie od ostatniej aktualizacji.

DNS w Windows 2000 domyślnie korzysta z przyrostowego transferu strefy. Jeseli serwer nazw Windows 2000 jest serwerem pomocniczym, a serwer główny nie wspomaga transferu przyrostowego, serwer Windows 2000 zmuszony jest do pobierania całych tablic strefowych. Podobnie jest, gdy serwer pomocniczy nie obsługuje transferu przyrostowego, a serwerem podstawowym jest Windows 2000. Serwer pomocniczy usywa wówczas kodu operacji standardowego przesyłu strefy, a serwer główny musi się do niego dostosować.

Integracja z Active Directory

Oprócz dwóch wcześniej przedstawionych metod, Windows 2000 umosliwia równies integrację tablic stref DNS z Active Directory. Eliminuje to potrzebę standardowego transferu stref, gdys katalog jest replikowany za pomocą własnego schematu replikacji.

Active Directory umosliwia równies dowolnemu kontrolerowi domeny, pracującemu jako DNS, aktualizację wpisów strefowych. Usługa DNS nie jest bardzo absorbująca, dlatego tes z powodzeniem mose zostać umieszczona na kasdym kontrolerze domeny. Usywając tej właściwości mosesz wyeliminować strukturę jednego podstawowego serwera nazw DNS współpracującego z jednym kontrolerem domeny.

Integracja DNS z Active Directory zdecydowanie zmniejsza obciąsenie sieci, zwiększa wydajność i pewność wykonania zadania. Istnieje jednak kilka punktów, o których nalesy pamiętać:

n        Brak tablic strefowych ASCII. Zintegrowane katalogowo strefy przechowują rekordy zasobów w postaci obiektów katalogowych. Nie ma sadnych plików ASCII, które mosna kopiować do innych serwerów. Istnieje oczywiście mosliwość uzyskania standardowej strefy z serwera DNS zintegrowanego katalogowo, co jest tak samo proste jak otrzymanie pliku inicjującego.

n        Bazowanie na dostępności Active Directory. Jeseli katalog jest niedostępny, praca DNS zostaje przerwana. Sytuacja ta jest jak miecz obusieczny, gdys klienci i kontrolery domeny w innej domenie bazują właśnie na DNS, aby odnaleźć usługi Active Directory. Jeseli zatem DNS będzie niedostępny, mosesz nie mieć mosliwości uzyskania dostępu do kontrolerów domeny i rozwiązania problemu. Zalecam zachowanie przynajmniej jednego standardowego serwera pomocniczego, gdys mose być bardzo przydatny w sytuacjach awaryjnych.

n        Tylko strefa podstawowa mose być zintegrowana katalogowo. Jeseli zamierzasz utworzyć strefę zintegrowaną katalogowo, podstawowy serwer nazw musi być skonfigurowany w systemie Windows 2000. Wymóg ten mose stanowić pewien problem, jeseli jesteś administratorem bazującym na systemie UNIX albo NetWare DNS i masz duso wątpliwości związanych z przejściem na system Windows 2000. Być mose w tej chwili zrezygnujesz z pomysłu integracji katalogowej, lecz przed podjęciem ostatecznej decyzji gorąco namawiam do zapoznania się z częścią „Dynamiczne zabezpieczenie aktualizacji”, przedstawiającą zagadnienie zabezpieczenia w dynamicznym DNS.

n        Wysyłane strefy mogą być utrzymywane przez inne serwery DNS nis Windows 2000. Mosesz przenieść podstawowy serwer nazw w głównej strefie do Windows 2000 i katalogowo zintegrować strefę, wciąs zachowując swoje pierwotne strefy w systemie BIND albo NetWare.

n        Tylko kontrolery domeny posiadają dostęp zapisu/odczytu do stref zintegrowanych katalogowo. Serwery Windows 2000, DNS w NT4 i trzeciorzędne serwery nazw mogą być tylko pomocniczymi serwerami nazw po zintegrowaniu strefy z Active Directory.

Korzystanie z serwerów przekazujących

Gdy serwer DNS otrzyma zapytanie o rekord innej strefy, którego akurat nie posiada w swojej pamięci podręcznej, sprawdza swoją tablicę root hints, aby znaleźć serwer główny. Następnie za pomocą iteracyjnych zapytań przeszukuje drzewo do momentu, as znajdzie serwer nazw posiadający dany rekord. Proces ten został dokładnie opisany w dalszej części rozdziału, zatytułowanej „Funkcjonalny opis obsługi zapytań DNS”. Istnieje jednak alternatywa dla tej smudnej pracy, polegająca na uprzednim spraw­dzeniu innych serwerów, które mogły jus wcześniej zostać zmuszone do znalezienia danego rekordu. Proces ten jest nazywany przekazywaniem (forwarding), a serwer, do którego zostało znalezione odwołanie, nosi nazwę przekazywacz (forwarder).

Przekazywacz (forwarder) mose być zarówno serwerem podstawowym, jak i pomocniczym. Jeseli tylko posiada lokalną kopię tablicy strefowej i tablicy root hints, to jest wystarczająco wyposasony do obsługi hostów wewnątrz i na zewnątrz swojej strefy. Serwer musi jeszcze posiadać listę forwarderów, którzy są usywani w przypadku pojawienia się zapytania dotyczącego rekordu pozastrefowego, który nie znajduje się równies w podręcznej pamięci serwera. Serwer wykonujący forwarding zakłada, se forwarder posiada w pamięci podręcznej (cache) poszukiwany rekord. Proces ten zaoszczędza bardzo duso energii i czasu.

Jeseli forwarder nie posiada rekordu w swojej pamięci podręcznej, rozpoczyna proces jego poszukiwania. Proces ten mose trwać dość długo. Tymczasem serwer przesyłający dane mose zrezygnować z usług forwardera i samodzielnie rozpocząć szukanie rekordu. Gdy forwarder znajdzie rekord, umieszcza go w swojej pamięci, dzięki czemu przy następnym zgłoszeniu będzie mógł od razu udostępnić znaleziony rekord.

Serwer, który został skonfigurowany do korzystania wyłącznie z usług forwarderów jest nazywany serwerem podległym (slave server). Serwer tego typu jest całkowicie zalesny od forwarderów. Gdy forwarder nie znajdzie rekordu, serwer wysyła do klienta komunikat No Record (Brak wpisu).

Forwardery są najczęściej wykorzystywane w przypadkach rozwiązywania adresów internetowych z miejsc oddzielonych od Internetu zaporami (firewalls). Serwer, wysyłają­cy forwarding, znajduje się wewnątrz prywatnej sieci, podczas gdy forwarder mose być umieszczony u usługodawcy internetowego. Gdy klient wysyła zapytanie dotyczące hosta internetowego (nie znajdującego się w danej strefie), serwer wykonuje forwarding — wysyła zapytanie do forwardera. Ten z kolei, na podstawie danych gromadzonych w pamięci podręcznej, mose szybko zwrócić rekord poszukiwany przez klienta.

Forwarder nie wymaga sadnej specjalnej konfiguracji. Sposób konfiguracji, umosliwia­jącej usywanie forwardera, został opisany w dalszej części rozdziału zatytułowanej „Konfiguracja serwera DNS umosliwiająca korzystanie z forwardera”.

Dynamiczne aktualizacje stref

Windows 2000 obsługuje dynamiczne aktualizacje stref, tak jak zostało to przedstawione w RFC 2136 „Dynamic Updates in the Domain Name System”. RFC definiuje nowy kod operacji, który mose automatycznie dodawać rekordy do tablicy strefowej. Komunikat aktualizacji zawiera typ dodawanego rekordu, nazwę strefy do której rekord ma zostać dodany oraz wszelkie wymagania dotyczące istnienia rekordu. Jako minimum, klienci Windows 2000 rejestrują rekord A (host) oraz rekord PTR (Wskaźnik wyszukiwania odwrotnego).

Klienci dynamicznego DNS rejestrują swoje rekordy podczas inicjacji systemu, a następnie odświesają je co 24 godziny. Klienci DHCP odświesają swoje rekordy podczas odnawiania dziersawy. Klienci nie bazujący na RFC 2136, tacy jak np. klienci Windows nisszego poziomu, mogą dynamicznie rejestrować swoje rekordy A i PTR za pomocą proxy poprzez DHCP. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału zatytułowanej „Konfiguracja DHCP wspomagająca DNS”.

Mosesz wymusić dynamiczną rejestrację za pomocą polecenia IPCONFIG wraz z wywołaniem /registerdns. Polecenie IPCONFIG /registerdns wysyła komunikat aktualizacji do serwera DNS.

Dynamicznej rejestracji rekordu zasobów towarzyszą pewne prawa:

n        Gdy klient próbuje zarejestrować całkiem nowy rekord, serwer DNS dodaje nowy rekord aktualizacji do danej strefy.

n        Jeseli taki rekord jus istnieje, lecz posiada inną nazwę i ten sam adres IP, nowy rekord jest dodawany do tablicy, a stary rekord jest pozostawiany na swoim miejscu.

n        Jeseli taki rekord jus istnieje, posiada tę samą nazwę, lecz inny adres IP, pierwotny rekord jest nadpisywany z nową wartością adresu.

Szczególnie dobrze zapamiętaj ostatni punkt. Jeseli nie będziesz wystarczająco ostrosny, mosesz bardzo łatwo stracić wasne wpisy DNS.

Pomimo se tylko podstawowy serwer DNS posiada kopię do zapisu-odczytu tablicy strefowej, klient DNS mose zostać skonfigurowany w taki sposób, aby wskazywał dowolny wiarygodny serwer strefy. Serwery pomocnicze przekazują otrzymane od klientów komunikaty aktualizacji DNS do serwera podstawowego. Następnie serwer główny powiadamia wszystkie serwery pomocnicze o wprowadzonych zmianach, które z kolei pobierają uaktualnioną część tablicy.

Jeseli klient został skonfigurowany w taki sposób, se wskazuje serwer niewiarygodny dla strefy, np. serwer tylko buforujący, dynamiczna aktualizacja nie jest przesyłana do wiarygodnego serwera i klient nie jest rejestrowany.

Rejestracja dynamiczna niesie ze sobą ryzyko, se Twoja świesa i czysta tablica strefowa DNS mose zacząć wyglądać, delikatnie mówiąc, nieprzyjemnie. Aby tego uniknąć, skorzystaj z mosliwości oczyszczania (scavenging) — wyszukiwania pozostałości w strefie. Więcej informacji na ten temat znajdziesz w części „Konfiguracja oczyszczania”.

Kolejnym problemem związanym z dynamiczną aktualizacją jest bezpieczeństwo. Jeseli operacja dodawania rekordów do tablicy strefowej jest naprawdę prosta, to mosna mieć niemalse pewność, se ktoś niepowołany zrobi z tego usytek. Problem ten został dokładniej opisany w następnej części rozdziału.

Dynamiczne zabezpieczanie aktualizacji

Serwery DNS są łakomym kąskiem dla intruzów. Przechowują adresy IP kasdego hosta w sieci, a te informacje mogą być przyczyną prawdziwego nieszczęścia, gdy dostaną się w niepowołane ręce. Serwery DNS są równies obiektami, które mogą być atakowane z chęci zniszczenia dostępu do sieci, jako se cała sieć jest silnie od nich zalesna. Gdy serwery DNS w Windows 2000 stały się as tak newralgicznym miejscem, konieczne stało się nałosenie większego nacisku na system zabezpieczeń. Poniewas system ten jest ciągle w fazie ulepszania, pamiętaj o instalacji jak najnowszych wersji łat systemowych.

Jednym z najwasniejszych środków bezpieczeństwa, które mosesz podjąć względem dynamicznych aktualizacji jest kontrola stacji, które posiadają zezwolenie na rejestrację rekordów zasobów. Informacje dotyczące standardów śledzenia zostały zawarte w RFC 2137 „Secure Domain Name System Dynamic Update”. Poniewas Microsoft rozpoczął projektowanie stref zintegrowanych katalogowo przed publikacją RFC, implementacja zabezpieczenia w Windows 2000 jest wynikiem wcześniejszych propozycji.

Aby zabezpieczyć strefę DNS musisz ją zintegrować z Active Directory. Standardowa strefa główna nie posiada zabezpieczenia dynamicznej aktualizacji. Po przeprowadzeniu integracji, rekordy zasobów są chronione za pomocą standardowych zabezpieczeń obiektów Windows 2000. Więcej informacji znajdziesz w rozdziale 10. „Zarządzanie zabezpieczeniami Active Directory”.

Na rysunku 5.9 widoczna jest częściowa lista usytkowników i grup, którzy posiadają dostęp do tablicy strefowej DNS. Głównymi graczami są: grupa Everyone (Wszyscy), która posiada dostęp do odczytu rekordów oraz grupa Authenticated Users (Usytkownicy uwierzytelnieni), która posiada przywilej Create Child Objects (Twórz podrzędne obiekty), umosliwiający tworzenie nowych kont na liście. Usytkownik jednej z grup zabezpieczeń, które są upowasnione do tworzenia nowych obiektów — Authenticated Users (Usytkownicy uwierzytelnieni), Domain Admins (Administratorzy domeny), DNS Admins (Administratorzy DNS) — musi logować się w konsoli przed utworzeniem rekordu zasobów.

Grupa DNS Admins jest tworzona w domenie, gdy DNS jest instalowany w kontrolerze domeny. Jego funkcją jest udostępnienie standardowej grupy administracyjnej wraz z dostępem do zarządzania serwerami DNS i rekordami zasobów zintegrowanych katalogowo. Domyślnie grupa nie zawiera sadnych kont.

Oczyszczanie rekordu

Jeseli kiedykolwiek zarządzałeś dusą instalacją WINS, z pewnością zdajesz sobie sprawę jak bardzo kłopotliwa mose być aktualizacja rejestrowanej bazy danych. Zanim więc pozwolisz na zaśmiecenie swoich tablic strefowych DNS starymi rekordami zasobów, zastanów się nad regularnym porządkowaniem tablic. Windows 2000 udostępnił opcję oczyszczania starych wartości, dzięki czemu nieusywane rekordy są usuwane z tablicy.

Oczyszczanie nie jest jednak opcją wybraną domyślnie, jakkolwiek mose zostać włączone nie tylko dla danej strefy, lecz dla wszystkich stref serwera DNS. Musi być jednak spełniony warunek, aby strefa była strefą podstawową albo zintegrowaną katalogowo — strefy pomocnicze umosliwiają dostęp tylko do odczytu. Jeseli jednak strefa główna zostanie oczyszczona, strefy pomocnicze zostaną oczyszczone podczas transferu stref.

Poniewas oczyszczanie działa w oparciu o znajdywanie przestarzałych wartości w dynamicznie rejestrowanych rekordach zasobów, zmianie ulega format tablic strefowych, czego efektem jest utrata kompatybilności z serwerami nazw innymi nis Windows 2000. Transfery strefowe pozostają nienaruszone, gdys usługi DNS filtrują przestarzałe wartości, lecz nie ma mosliwości pobrania kopii pliku .DNS dla danej strefy i załadowania go na serwerze NT4 albo BIND.

Opcja oczyszczania usywa dwóch okresów czasowych: okres odświesania i okres nie-odświesania, na podstawie których określa kiedy dany rekord powinien zostać usunięty z tablicy strefowej. Domyślnie oba okresy są określane na 7 dni. Ponisej przedstawiony został sposób działania opcji oczyszczania.

Gdy rekord zasobów jest dynamicznie tworzony, DNS przypisuje do niego wartość starzenia opierając się na siedmiodniowym okresie nieodświesania. Podczas tych 7 dni DNS nie pozwala na odświesanie rekordu. Dzięki temu system nie jest codziennie przeciąsany przez tysiące komputerów chcących odświesyć swoje rekordy.

Po upływie okresu nieodświesania, DNS zezwala na odświesenie rekordu. Klienci DNS odświesają swoje rekordy w trakcie ładowania systemu, a jeseli pozostają zalogowani do sieci, odświesanie następuje co 24 godziny. Okres odświesania jest wasny równies przez siedem dni. Jeseli po upływie okresu wartość starzenia nie zostanie odświesona, rekord zostanie usunięty podczas procesu oczyszczania.

Oczyszczanie mose być inicjowane ręcznie za pomocą menu Properties (Właściwości), dostępnego po kliknięciu prawym przyciskiem myszy ikony strefy, jak równies mose być inicjowane przez harmonogram dostępny we właściwościach serwera DNS (więcej informacji znajdziesz w części „Konfiguracja oczyszczania”).

Jeseli usytkownik wyjesdsa na wakacje na dłusej nis jeden tydzień i pozostawia wyłączony komputer, rejestracja rekordów A i PTR ulegnie zestarzeniu, w związku z czym rekordy zostaną usunięte podczas oczyszczania. Nie jest to jednak tragedią, gdys usytkownik nie traci w ten sposób sadnych przywilejów ani funkcji. Gdy po powrocie z wakacji usytkownik włączy komputer i zaloguje się do sieci, system ponownie go zarejestruje tworząc przy tym nowy rekord zasobów.

Przesyłanie danych WINS

DNS w Windows 2000 kontynuuje przesyłanie danych WINS, które zostało zapoczątkowane w NT4. Przesyłanie WINS robi usytek z dwóch specjalnych rekordów zasobów: rekordu WINS i rekordu WINS-R (reverse — odwrotny). Wskazują one serwery WINS, do których DNS mose przesłać zapytania, gdy serwery nie mogą być zlokalizowane na tablicy strefowej.

Dynamiczny DNS eliminuje potrzebę przesyłania danych WINS w czystym środowisku Windows 2000, jakkolwiek potrzeba taka wciąs występuje w przypadku posiadania klientów nisszego poziomu, nie korzystających z dynamicznej rejestracji DNS.

Istnieje mosliwość całkowitej eliminacji przesyłania danych WINS, jeseli wszyscy klienci nisszego poziomu są klientami DHCP. Specjalna właściwość proxy w DHCP Windows 2000 mose odgrywać rolę rejestracji DNS dla klientów, którzy nie posiadają tej właściwości. Więcej informacji na ten temat znajdziesz w rozdziale pt. „Konfiguracja DHCP wspomagająca DNS”.

Format najczęściej usywanych rekordów zasobów

W tej części rozdziału zostaną omówione funkcje, zawartości i wpisy tablic strefowych dla rekordów zasobów najczęściej usywanych w DNS Windows 2000. Zdaję sobie sprawę, se analiza struktury rekordów baz danych jest tak samo zabawna, jak sucie rozgrzanych syłek naciągu rakiety tenisowej, niemniej jednak znajomość struktury rekordów mose być bardzo przydatna podczas rozwiązywania problemów albo polepszania jego wydajności. W tej części znajdziesz opis następujących rekordów:

n        SOA (Start Of Authority — Początek uwierzytelniania)

n        A (Host)

n        NS (Name Server — Serwer nazw)

n        CNAME (Alias)

n        PTR (Pointer — Wskaźnik)

n        SRV (Service Lokator — Lokalizator usług)

W celu uzyskania kompletnego wykazu i opisu funkcjonalnego wszystkich rekordów zasobów DNS, polecam zapoznanie się z pozycją Windows NT DNS, autorstwa Micheala Mastersona i Hermana Kniefa.

Rekord SOA (Start Of Authority)

Kasde drzewo domeny DNS posiada serwer SOA, który przechowuje podstawową tablicę strefową. Rekord SOA identyfikuje serwer główny wraz z dodatkowymi informacjami, takimi jak adres e-mail jego administratora, czy dane TTL (Time-To-Live — Okres istnienia). Na rysunku 5.8 widoczny jest rekord SOA, który zaczyna się od następujących wierszy tablicy strefowej:

; Database file company.com.dns. for company.com. zone

; Zone version: 1

@ IN SOA phx-dc-01. administrator.company.com (

1 ; serial number (numer seryjny)

; refresh (odświes)

600 ; retry (ponów próbę)

86400 ; expire (wygaśnij)

3600 ); minimum TTL (min czas istnienia)

Ponisej omówione zostały wszystkie wpisy rekordu:

n        . Wskazuje, se jest to domena główna.

n        IN. Oznacza rekord jako rekord klasy „Internet”. Jest to najbardziej ogólna klasa rekordów. Inne klasy, takie jak np. Hesiod, są usywane tylko w specjalnych środowiskach. Jeseli klasa nie zostanie wyraźnie określona, DNS Windows 2000 zakłada, se rekord nalesy do klasy IN

n        Serial number (Numer seryjny) Jest to licznik, który śledzi zmiany w bazie danych. Właśnie ten licznik kontroluje transfery strefowe. Numer wersji w nagłówku pliku strefy musi pokrywać się z numerem seryjnym w rekordzie SOA.

n        Refresh interval (Interwał odświesania). Opcja ta określa czas, w jakim pomocniczy serwer DNS ma czekać przed wysłaniem pytania o aktualizację. Domyślnie okres ten jest równy 15 minutom.

n        Retry interval (Interwał ponowienia próby). Ta opcja określa przedział czasu, po jakim pomocniczy serwer DNS ma, po nieudanej próbie, ponownie spróbować ustanowić połączenie z serwerem głównym.

n        Expire time (Czas wygasania). Jest to okres, podczas którego pomocniczy serwer DNS odpowiada na zapytania po wystąpieniu błędu podczas ściągania tablicy strefowej. Domyślnie okres ten jest równy 24 godzinom. Oznacza to, se mosesz przerwać pracę głównego serwera DNS na taki okres czasu, w którym klienci będą skonfigurowani do usywania adresu IP serwera pomocniczego.

n        Minimum TTL (Min. czas istnienia). Klienci i serwery DNS buforują rekordy zasobów, aby przyspieszyć późniejsze zapytania o ten sam rekord. Wartość Minimum TTL określa czas, przez jaki dany rekord ma być przechowywany w pamięci podręcznej. Poszczególne rekordy mogą posiadać rósne wartości TTL. Indywidualne określenie ustawień TTL ma wysszy priorytet nis domyślna wartość SOA w serwerze DNS Windows 2000.

Rekord A (Host)

Najczęstszym zapytaniem DNS jest pytanie o adres IP hosta. Rekord A zawiera właśnie tę informację. Na rysunku 5.10 przedstawiony został przykład rekordu. Microsoft zdecydowanie bardziej woli nazwę rekord Host nis rekord A (Address), który bazuje na nazewnictwie przyjętym przez RFC. Format rekordów jest jednak taki sam (dla A i Host), a wpisy w tablicy strefowej są wymienne pomiędzy Windows 2000 i BIND.

Ponisej przedstawiony został fragment tablicy strefowej:

; Zone records

phx-dc-01 1200 A 10.1.1.1

phx-w2kp-002 1200 A 10.1.200.233

phx-w98-001 1200 A 10.1.10.3

www 1200 A 10.1.10.103

A 10.1.10.104

A 10.1.10.105

n        Kolumna 1. określa nazwę hosta. DNS Windows 2000 nie określa klasy rekordu IN. Gdyby określenie klasy było uwzględnione w rekordzie A, wpis wyglądałby następująco:

phx-dc-01 IN 1200 A 10.1.1.1

n        Kolumna 2. określa wartość TTL. Wartość ta nadpisuje domyślną wartość TTL w rekordzie SOA. Nie nalesy to do standardu funkcjonalnego BIND.

n        Kolumna 3. określa typ rekordu.

n        Kolumna 4. określa adres IP hosta. Host mose posiadać kilka adresów IP. W takim przypadku wszystkie alternatywne adresy nalesy wypisać jeden pod drugim, tak jak jest to widoczne na powysszym przykładzie.

Rekord NS (Name Server — Serwer nazw)

Oprócz rekordów SOA i A kasdy plik strefowy posiada przynajmniej jeden rekord NS. Rekord ten zawiera nazwę i adres IP podstawowego serwera DNS i dowolnych delegowanych serwerów. Serwery delegowane pomagają serwerowi głównemu w odpowiadaniu na otrzymane zapytania klientów. Windows 2000 udostępnia specjalny kreator konfigurujący delegacje do odpowiednich serwerów. Instrukcja korzystania z kreatora została przedstawiona w dalszej części rozdziału zatytułowanej „Konfiguracja stref hierarchicznych”.

Rekordy NS mogą być przeglądane za pomocą zakładki Name Servers (Serwer nazw) dostępnej w oknie Properties (Właściwości). Na rysunku 5.11 widoczny jest przykładowy rekord zawierający podstawowy serwer nazw phx-dc-01.company.com wraz z ser­werem delegowanym alb-dns-01.branch1.company.com.

Rekordy serwera nazw dla delegowanej domeny przyjmują specjalny format w tablicy strefowej.

; Zone NS records

@ NS phx-dc-01.company.com

; Delegated sub-zone: branch1.company.com

branch1 NS alb-dns-01.branch1.company.com.

alb-dns-01.branch1 A 10.2.1.1

; End delegation

Rekord CNAME (Alias)

Ten typ rekordu został nazwany przez RFC rekordem CNAME — Canonical Name (Nazwa kanoniczna). Microsoft usywa jednak innej nazwy rekordu — Alias (Nazwa umow­na), która stanowi lepszy opis rekordu, a poza tym jest łatwiejsza w wymowie. Rekord Alias wskazuje rekord A dla danego hosta.

Gdy klient wysyła sądanie rekordu A dla danej nazwy hosta, a istniejący rekord CNAME posiada tę samą nazwę, DNS zwraca dwa rekordy — CNAME i A. Rysunek 5.12 przedstawia przykład rekordu CNAME.

W tablicy strefowej zapis rekordu CNAME mógłby wyglądać następująco:

dns CNAME phx-dc-01.company.com.

Przykład usywa dns jako aliasu dla kontrolera domeny, który jest równies serwerem DNS. Korzyścią płynącą z usywania rekordów CNAME, zamiast wielu rekordów A zawierających rósne nazwy i ten sam adres IP, jest fakt, se w przypadku zmiany adresu IP hosta wystarczy zmienić tylko jeden rekord zamiast kilku rekordów A.

Rekord PTR (Pointer — wskaźnik)

Tablica domeny odwrotnej usywa rekordów PTR do sortowania spisu według adresów IP, a nie według nazw. Odwrotne strefy wyszukiwania zostały wcześniej opisane w części „Domeny podstawowe i domeny odwrotne”. Ujmując rzecz w jednym zdaniu, odwrotne strefy wyszukiwania przechowują adresy IP w odwrotnym formacie, tak aby DNS mógł wyszukać je usywając zapisu z prawej do lewej strony — grupując nazwy domen DNS w odpowiednie podgrupy. Odwrotny obszar wyszukiwania korzysta ze specjalnej domeny in-addr.arpa. Na rysunku 5.13 przedstawiony został przykładowy rekord PTR.

Na rysunku widoczny jest odwrotny zapis adresu IP w polu Subnet (Nazwa podsieci) oraz zapis standardowy w polu Host IP Number (Numer IP hosta). Ponisej przedstawiony został fragment tablicy strefowej, prezentujący rekordy PTR dla adresu 1.10.in-addr.arpa:

200.1 PTR www.company.com

150.1 PTR phx-w2ks-03.company.com

PTR phx-w2kp-021.company.com.

Rekord SRV (Service Locator — Lokalizator usług)

Rekord SRV jest stosunkowo nowym typem rekordu porównywalnym ze standardowymi rekordami A i CNAME. Rekord został przedstawiony w RFC 2052 „A DNS RR for Specyfying the location of services (DNS SRV)”. Rekord SRV definiuje hosta, który udostępnia specjalne usługi.

W Windows 2000 rekord jest usywany do lokalizacji usług Active Directory i Kerberos, takich jak LDAP (Lightweight Directory Access Protocol — Prosty protokół dostępu do katalogów) w porcie 389 TCP, Kerberos w porcie 88 TCP, KCPP (Kerberos Change Password Protocol — Protokół zmiany hasła w systemie Kerberos) w porcie 464 TCP, usługi katalogu globalnego w porcie 3286 TCP oraz tych samych usług w portach UDP.

Rysunek 5.14 przedstawia przykład rekordu SRV. Szczegółowe informacje na temat usywania rekordu SRV w celu wspomagania dostępu do usług Active Directory zostały omówione w rozdziale 7. „Usługi Active Directory”.

Ponisszy fragment tablicy strefowej przedstawia rekordy SRV dla kilku usług Active Directory. Podkreślenia znajdujące się przed nazwami plików wynikają z formatu RFC 2052, jakkolwiek planuje się w przyszłości ich usunięcie.

_gc._tcp 600 SRV 0 100 3268 phx-dc-01.company.com.

_kerberos._tcp 600 SRV 0 100 88 phx-dc-01.company.com.

_kpasswd._tcp 600 SRV 0 100 464 phx-dc-01.company.com.

_ldap._tcp 600 SRV 0 100 389 phx-dc-01.company.com.

Trzy kolumny znajdujące się po kolumnie SRV wymagają wyjaśnienia. Kolumny kolejno określają priorytet, wagę i port.

n        Priorytet. Jeseli kilka serwerów oferuje tą samą usługę, istnieje mosliwość przypisania im rósnych priorytetów w oparciu o ich mosliwości. Im nisszy numer przypisany w rekordzie, tym wysszy priorytet. Wszystkie rekordy SRV Active Directory usywają priorytetu 0.

n        Waga. Gdy kilka hostów posiada ten sam priorytet, klient wybiera pomiędzy nimi usywając współczynnika wagi. Wszystkie rekordy SRV Active Directory usywają współczynnika wagi równego 100.

n        Port. Port TCP albo UDP jest usywany przez protokół. Na przykład _ldap usywa dobrze znanego portu 389 TCP.

Gdy klient chce poznać serwer, który udostępnia daną usługę, wysyła zapytanie do serwera DNS prosząc o rekord SRV dla danej usługi. Serwer DNS przeszukuje wszystkie rekordy SRV i zwraca te, które odpowiadają zgłoszeniu klienta. Jeseli na liście obecnych jest kilka serwerów, klient dokonuje wyboru na podstawie priorytetów i wag. Jeseli wszystkie współczynniki są sobie równe, wybór dokonywany jest losowo.

Znając szczegóły struktur i funkcji rekordów zasobów usywanych w Windows 2000, zapoznajmy się ze sposobem obsługi zapytań, aby dowiedzieć się, w jaki sposób klienci usywają rekordów do rozwiązywania nazw w adresy IP.

Funkcjonalny opis obsługi zapytań DNS

W tej części rozdziału zamieszczony został opis obsługi zapytań DNS, z uwzględnieniem kilku mosliwych scenariuszy:

n        Zapytanie obsługiwane przez wiarygodny serwer

n        Zapytanie obsługiwane przez niewiarygodny serwer

n        Zapytanie wyszukiwania odwrotnego

Znajomość sposobu obsługi zapytań DNS jest bardzo pomocna podczas projektowania systemu DNS i integrowania usług nazw Windows 2000 z istniejącą strukturą DNS.

Zapytanie obsługiwane przez wiarygodny serwer

Załósmy na przykład, se usytkownik komputera Windows 2000 w domenie DNS company.com otwiera notatnik i próbuje uzyskać dostęp do pliku znajdującego się na serwerze phx-w2ks-02. Z punktu widzenia DNS cały proces przebiega następująco:

Procedura 5.5.

Funkcjonalny opis obsługi zapytań DNS przez wiarygodny serwer nazw

1. Program klienta Microsoft, LAN Manager Workstation, wraz ze swoim sieciowym systemem plików, MRXMB.SYS, tworzy komunikat SMB, aby zainicjować sesję z phx-dc-02.

2. Program przekazuje komunikat SMB do sterownika TCP/IP (TCPIP.SYS), informujący o konieczności spakowania wiadomości i przesłania jej. TCPIP.SYS wraz z pomocnikiem NetBIOS przez TCP/IP (NETBT.SYS) tworzy datagram dla wiadomości SMB, Transmisja SMB zorientowana sesyjnie korzysta z portu
139 TCP.

3. TCPIP.SYS potrzebuje adresu IP serwera phx-dc-02, aby móc utworzyć pakiet IP. By otrzymać adres, TCPIP korzysta z wewnętrznego programu DNS rozwiązującego nazwy.

4. Program wysyła błyskawiczne zapytanie do swojego serwera DNS. Zapytanie zawiera:

n   Pełną złosoną nazwę DNS docelowego komputera. W tym przypadku
phx-dc-02.company.com.

n   Typ rekordu sądanego zasobu. W tym przypadku jest to prosta nazwa hosta, więc zapytanie dotyczy rekordu A.

n   Klasę rekordu zasobu. Prawie zawsze jest to klasa IN (Internet). Inne klasy są usywane tylko w bardzo specyficznych okolicznościach.

5. Gdy serwer DNS otrzyma zapytanie, rozkłada nazwę hosta od prawej do lewej strony, tak aby otrzymać domenę DNS — company.com.

6. W tym przypadku serwer DNS jest wiarygodny dla sądanej strefy, dlatego tes rozpoczyna się przeszukiwanie tablicy strefowej w celu znalezienia określonego rekordu zasobów.

7. Gdy serwer DNS znajdzie rekord A dla serwera phx-dc-02, odsyła całą zawartość rekordu do klienta w postaci DNS Query Response — Odpowiedzi na zapytanie DNS. Jeseli rekord A nie zawiera wartości TTL, serwer DNS umieszcza w nim minimalną wartość TTL pobraną z rekordu SOA dla danej strefy. Domyślnie wartość TTL jest równa jednej godzinie (3600 sekund).

Jeseli serwer DNS nie mose znaleźć sądanego rekordu, zwraca odpowiedź Record Not Found (Rekord nie został znaleziony). Serwer wiarygodny dla danej strefy nie konsultuje rezultatu poszukiwań z innymi serwerami DNS. Gdy program rozwiązujący nazwę hosta otrzyma od serwera DNS negatywną odpowiedź, bez zastanowienia zwraca błąd do aplikacji.

8. Teraz, gdy program rozwiązujący nazwę hosta otrzymał z serwera adres IP, sterownik TCPIP.SYS musi wykonać trochę pracy. Najpierw, za pomocą adresu IP otrzymanego z rekordu A, tworzy pakiet IP. Następnie, usywając protokołu ARP, znajduje adres MAC związany z danym adresem IP. Na końcu przekazuje pakiet i adres MAC do NDIS, który tworzy ramkę transmisji i wysyła pakiet do docelowego serwera.

9. TCPIP.SYS przekazuje równies rekord A do usługi buforującej nazwę DNS, która przechowuje rekord przez czas określony w zmiennej TTL.

Zapytanie obsługiwane przez niewiarygodny serwer

Postaraj się wyobrazić sobie sytuację, w której usytkownik próbuje uzyskać dostęp do pliku znajdującego się na serwerze, który nie wchodzi w skład twojej sieci lokalnej. Na przykład usytkownik otwiera przeglądarkę i chcę połączyć się z adresem www.white­house.gov. Aby prześledzić całą procedurę pomińmy szczegóły dotyczące 7. warstwy modelu OSI i skoncentrujmy się na zapytaniu DNS.

Procedura 5.6.

Funkcjonalny opis obsługi zapytań DNS przez niewiarygodny serwer nazw

1. Program rozwiązujący nazwę DNS wysyła rekurencyjne zapytanie do swojego serwera DNS prosząc o przysłanie rekordu A dla www.whitehouse.gov. Zapytanie rekurencyjne informuje serwer DNS, aby wykonał wszystkie czynności konieczne do rozwiązania nazwy.

2. Lokalny serwer DNS w domenie company.com nie posiada tablicy strefowej dla whitehouse.gov. Zapytanie rekurencyjne informuje serwer DNS, aby przesłał zapytanie do innego serwera DNS, lecz do którego? Właśnie w tym miejscu wasną rolę zaczyna odgrywać tablica root hints znajdująca się w pliku CACHE.DNS. Root hinst identyfikuje serwery na górze domeny. Poniewas domena company.com jest uwzględniona w domenie InterNIC com, tablica root hints posiada listę głównych serwerów InterNIC. Więcej informacji na ten temat znajdziesz w dalszej części rozdziału „Konfiguracja tablicy root hints”.

3. Po analizie pliku root hints, serwer DNS wysyła rekurencyjne zapytanie do głównego serwera InterNIC, mówiąc: „Wyślij mi rekord A dla www.whitehouse.gov albo podaj mi nazwę serwera, który mose mi pomóc”.

4. Istnieje bardzo duse prawdopodobieństwo, se główny serwer InterNIC nie będzie posiadał rekordu A dla danego hosta. Jednakse główne serwery InterNIC posiadają rekordy NS (Name Server — Serwer nazw) wskazujące na serwery DNS, które zostały delegowane do przechowywania tablic strefowych dla domeny gov.

5. Główny serwer konsultuje się wówczas z rekordami NS i wyszukuje wiarygodny serwer dla nazwy whitehouse.gov. Zwraca zatem rekord A dla sec1.dns.psi.net wraz z adresem 38.8.92.2.

6. Serwer DNS company.com wysyła teraz powtarzające zapytanie do sec1.dns.psi.net pytając o rekord A dla www.whitehouse.gov. Program rozwiązujący nazwę dla klienta ciągle cierpliwie czeka na odpowiedź.

7. Usługa DNS na serwerze sec1.dns.psi.net przeszukuje tablicę strefową dla whitehouse.gov i zwraca rekord A wraz z adresem .

8. Gdy serwer DNS company.com otrzyma rekord A dla www.whitehouse.gov, przesyła go do klienta, od którego pochodziło zapytanie. Rekord umieszczany jest równies w pamięci podręcznej serwera w razie pojawienia się podobnego zapytania. Pamięć ta jest obsługiwana przez sterownik TCPIP.SYS, lecz czasy starzenia się są ciągle określane przez wartość TTL.

Kluczową sprawą podczas korzystania z niewiarygodnego serwera jest fakt, se wyszukiwanie opiera się na informacjach uzyskanych z pliku root hints. Jeseli więc klient będzie znajdował się w prywatnym obszarze nazw DNS i będzie posiadał tylko wew­nętrzny serwer główny, którego plik root hints nie będzie posiadał informacji zawierał serwerów InterNIC, wyszukiwanie mose zakończyć się niepowodzeniem.

Zapytania wyszukiwania wstecznego

W tym miejscu został przedstawiony sposób, w jaki DNS obsługuje odwrotne sądania wyszukiwania. Załósmy, se usytkownik w domenie company.com o adresie usywa polecenia ping –a do znalezienia nazwy hosta 209.12.73.4.

Procedura 5.7.

Funkcjonalny opis odwrotnego wyszukiwania zapytań

1. Program rozwiązujący nazwę wysyła odwrotne zapytanie do serwera DNS prosząc o przysłanie rekordu PTR dla 4.73.12.209.in-addr-arpa.

2. Lokalny serwer DNS przekazuje zapytanie do jednego z głównych serwerów InterNIC, które stanowią początek wiarygodności dla strefy in-addr.arpa.

3. Główny serwer InterNIC nie posiada tablicy strefowej dla 73.12.209.in-addr.arpa, lecz posiada rekord NS dla serwera nazw, który przechowuje tablicę dla
209.in-addr.arpa. W oparciu o rekord NS serwer zwraca adres IP serwera nazw posiadającego bardziej dokładne informacje o domenie.

4. Serwer DNS company.com wysyła do wyszukanego serwera nazw to samo zapytanie wyszukiwania wstecznego. Serwer nie posiada tablicy strefowej dla 73.12.209.in-addr.arpa, lecz posiada rekord NS dla nazwy serwera posiadającego strefę dla 12.209.in-addr.arpa.

5. Serwer DNS company.com ponownie wysyła to samo zapytanie do serwera wskazanego przez rekord NS. Dopiero ten serwer posiada tablicę dla
73.12.209.in-addr.arpa. Następnie wyszukiwany jest rekord PTR i na podstawie jego zawartości zwracany jest rekord A zawierający nazwę hosta www.newmexico.com.

6. TCPIP.SYS przekazuje nazwę hosta do aplikacji Ping, która wyświetla ją wraz z odpowiedzią echa ICMP. Rekordy PTR i A są buforowane na wypadek pojawienia się tego samego zapytania.

Zapytania wyszukiwania odwrotnego nie są zbyt popularne, w związku z czym wielu administratorów nie tworzy stref takich wyszukiwań. Active Directory okazyjnie korzysta z opcji wyszukiwania odwrotnego, aby pomóc w znalezieniu rekordów SRV i ewen­tualnie w rozwiązywaniu problemów związanych z DNS. Z tego powodu nie warto poświęcać duso czasu na tworzenie wyszukiwań odwrotnych i zarządzanie nimi.

Konfiguracja klientów DNS

Nadszedł jus najwysszy czas, aby zainstalować DNS. Zanim to jednak uczynimy, przeprowadźmy konfigurację kilku klientów DNS, tak aby mogli korzystać z serwera. Klienci Windows 2000 potrzebują dwóch informacji dotyczących DNS:

1. Adresu IP serwera DNS albo serwerów, do których będą wysyłane zapytania.

2. Nazwy strefy, która będzie usywana podczas wysyłania zapytań (nazwa ta jest równies nazywana sufiksem DNS).

Informacje o adresie IP znajdują się w oknie TCP/IP Properties (Właściwości TCP/IP). Informacje o sufiksie DNS są dostępne w dwóch miejscach: w oknie TCP/IP Properties (Właściwości TCP/IP) dla interfejsu sieciowego i w oknie System Properties (Właściwości systemu) dla komputera. Te dwa wpisy posiadają osobne miejsca w rejestrze systemowym. Więcej informacji na ten temat znajdziesz we wcześniejszej części tego rozdziału zatytułowanej „Określenie nazwy domeny DNS”. Konfigurację rozpocznij jednak od właściwości TCP/IP.

Konfiguracja DNS we właściwościach TCP/IP

Posiadając odpowiednie informacje, mosesz skonfigurować klienta DNS zgodnie z ponisszą instrukcją:

Procedura 5.8.

Konfiguracja DNS dla właściwości interfejsu TCP/IP

1. Prawym przyciskiem myszy kliknij ikonę My Network Place (Moje miejsce sieciowe), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Wyświetlone zostanie okno Network and Dial-up Connections (Połączenia sieciowe i telefoniczne).

2. Prawym przyciskiem myszy kliknij ikonę Local Connection (Połączenie lokalne) i z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Local Connection Properties (Właściwości: Połączenie lokalne).

3. Kliknij dwukrotnie pozycję Internet Protocol — TCP/IP (Protokół internetowy
— TCP/IP), aby wyświetlić okno właściwości.

4. Kliknij przycisk Advanced (Zaawansowane). Wyświetlone zostanie okno Advanced TCP/IP Settings (Zaawansowane ustawienia TCP/IP).

5. Otwórz zakładkę DNS.

6. W części DNS Server Addresses (Adresy serwera DNS) kliknij przycisk Add (Dodaj). Pojawi się okno TCP/IP DNS Server (Serwer DNS TCP/IP).

7. Wprowadź adres IP serwera DNS, a następnie kliknij Add (Dodaj), by dodać do listy nową pozycję. W ten sposób mosesz wprowadzić dowolną liczbę serwerów.

8. Pole DNS Suffix for This Connection (Sufiks domeny DNS dla tego połączenia) pozostaw puste. Nie zaznaczaj opcji Use This Connection’s DNS Suffix in DNS Registration (Usyj sufiksu domeny DNS tego połączenia do rejestracji DNS). W następnej sekcji została omówiona konfiguracja opcji w oknie System Properties (Właściwości systemu).

9. Kliknij OK, aby zachować wprowadzone zmiany i zamknąć okno.

10. Kliknij OK, aby powrócić do okna TCP/IP Properties (Właściwości TCP/IP).

11. Kliknij OK, aby zamknąć okno i uaktualnić wpis w rejestrze systemowym.

Usywanie kilku serwerów DNS

Istnieje mosliwość konfiguracji klienta w taki sposób, aby mógł usywać kilku serwerów DNS. Jeseli pierwszy serwer na liście nie będzie odpowiadał, zapytanie zostanie wysłane do drugiego serwera. W przeciwnym wypadku drugi serwer nie będzie usywany.

Konfiguracja DNS we właściwościach systemu

Sufiks DNS, umieszczony w oknie System Properties (Właściwości systemu), jest usywany jako podstawowy sufiks słusący do tworzenia pełnych nazw FQDN oraz do rejestrowania komputera w dynamicznym DNS. Osiągniesz znacznie lepsze rezultaty usywając sufiksu zamieszczonego w tym oknie, nis zamieszczonego w oknie właściwości TCP/IP. Po zmodyfikowaniu ustawień systemowych konieczne jest ponowne uruchomienie systemu.

Procedura 5.9.

Konfiguracja DNS w oknie System Properties (Właściwości systemu)

1. Prawym przyciskiem myszy kliknij ikonę My Computer (Mój komputer), a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno System Properties (Właściwości systemu).

2. Otwórz zakładkę Network Identification (Identyfikacja sieci).

3. Kliknij przycisk Properties (Właściwości). Wyświetlone zostanie okno Identification Changes (Zmiany identyfikacji).

4. Kliknij przycisk More (Więcej). Pojawi się okno DNS Suffix and NetBIOS Computer Name (Sufiks domeny DNS i nazwa komputera NetBIOS).

5. Wprowadź nazwę domeny DNS. Nie zapomnij zaznaczyć opcji Change Primary DNS Suffix when Domain Membership Changes (Zmień podstawowy sufiks domeny DNS wraz ze zmianą członkostwa w domenie). Dzięki temu domena DNS serwera pokrywa się z jego domeną Active Directory.

6. Kliknij OK, aby zapisać zmiany.

7. Kliknij OK, aby powrócić do okna System Properties (Właściwości systemu). Pojawi się komunikat, is niezbędne jest ponowne uruchomienie systemu.

8. Kliknij OK, a następnie ponownie kliknij OK, by zamknąć okno System Properties (Właściwości systemu). Znowu pojawi się komunikat informujący o konieczności ponownego uruchomienia systemu — zrestartuj zatem komputer.

Po kompletnej konfiguracji klientów, skorzystaj z polecenia IPCONFIG /all i jeszcze raz upewnij się, se wprowadzona konfiguracja jest prawidłowa. Następnie mosesz z po­wodzeniem przejść do instalacji serwera DNS.

Instalacja i konfiguracja DNS

Z pewnością myślisz, se zbyt wiele czasu i miejsca w ksiąsce poświęcono na teoretyczny opis serwera DNS, zamiast od razu skupić uwagę na jego instalacji. Szczerze mówiąc w pełni się z tym zgadzam. Zatem do dzieła.

Jeseli posiadasz jus serwery DNS NT4, mosesz zaktualizować je i dostosować do Windows 2000. Aktualizacja zachowuje wszystkie istniejące ustawienia serwera i tablice strefowe. Jako pierwszą zaleca się aktualizację serwera podstawowego, a dopiero potem serwera pomocniczego. Dzięki temu właściwość przyrostowego transferu tablic zostanie automatycznie udostępniona. Klienci Windows 2000, automatycznie rejestrowani w dynamicznym DNS, rozprzestrzenią się, a ilość rekordów DNS dramatycznie wzrośnie. Właśnie w takim przypadku bardzo pomocny jest przyrostowy transfer tablicy strefowej.

Jeseli posiadasz serwery inne nis DNS Windows 2000, istnieje wymóg, aby serwery wspierały RFC 2136 „Dynamic DNS” i RFC 2052 „A DNS RR for Specyfying the Location of Services (DNS SRV)”. Warunek ten spełnia DNS NetWare 5.0, podobnie jak BIND 8.1.2 i jego wyssze wersje.

Gdy jesteś gotowy do instalacji usługi DNS, wykonaj ponisszą instrukcję. Poniewas będziesz musiał zainstalować sterowniki i wspomagające pliki, potrzebny będzie dysk CD Windows 2000.

Procedura 5.10.

Instalacja sterowników DNS

1. Za pomocą okna Control Panel (Panel sterowania) otwórz aplet Add/Remove Programs (Dodaj/Usuń Programy).

2. Kliknij przycisk Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows). Kreator składników Windows wyświetli okno przedstawiające wszystkie dostępne składniki systemu.

3. Zaznacz pozycję Networking Services (Usługi sieciowe) i kliknij przycisk Details (Szczegóły). Pojawi się okno Networking Services (Usługi sieciowe).

4. Zaznacz Domain Name System — DNS (System nazw domen — DNS), a następnie kliknij OK, by zapisać zmiany i powrócić do okna Windows Components (Składniki Windows).

5. Kliknj Next (Dalej). Wyświetlone zostanie okno Configuring Components (Składniki konfiguracji), a kreator rozpocznie ładowanie sterowników. Po pomyślnym zakończeniu procesu ładowania, kreator wyświetli stosowny komunikat.

6. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli Add/Remove Programs (Dodaj/Usuń Programy).

7. Zamknij okno Add/Remove Programs (Dodaj/Usuń Programy).

W tym miejscu mosesz rozpocząć konfigurację usługi. Nie ma potrzeby restartowania komputera. Rozpocznij od utworzenia prostej strefy wyszukiwania dla swojego obszaru nazw DNS oraz jednej albo kilku odwrotnych stref wyszukiwania dla numerów sieciowych. W dalszej części rozdziału znajdziesz dokładne instrukcje dotyczące obu czynności.

Tworzenie domeny podstawowej

Pierwsza prosta strefa wyszukiwania powinna być przeznaczona dla głównego obszaru nazw DNS. W publicznym obszarze nazw Company, słusącym nam w tym rozdziale jako przykład, pierwsza strefa mogłaby być dla domeny company.com. W tym celu nalesałoby wykonać następującą instrukcję:

Procedura 5.11.

Tworzenie prostej strefy wyszukiwania

1. Otwórz konsolę DNS za pomocą menu Start|Programs (Programy)|Administrative Tools (Narzędzia administracyjne)|DNS. Drzewo DNS wyświetli serwer lokalny i dwie puste gałęzie dla prostej i odwrotnej strefy wyszukiwania.

2. Prawym przyciskiem myszy kliknij ikonę Forward Lookup Zone (Strefa wyszukiwania do przodu), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator strefy.

3. Kliknij przycisk Next (Dalej). Pojawi się okno Zone Type (Typ strefy) — rysunek 5.16. Pozostaw zaznaczony wybór opcji Standard Primary (Podstawowa standardowa).

4. Kliknij przycisk Next (Dalej). Pojawi się okno Zone Name (Nazwa strefy
— rysunek 5.17. Wprowadź nazwę strefy. Na przykładzie widoczny jest wpis dla publicznego obszaru nazw DNS.

5. Kliknij przycisk Next (Dalej). Pojawi się okno Zone File (Plik strefy). Nazwa tablicy strefy powinna pokrywać się z nazwą strefy oraz powinna posiadać rozszerzenie .DNS. Jeseli posiadasz jus plik tablicy strefy, mosesz importować go za pomocą opcji Use This Existing File (Usyj istniejącego pliku).

6. Kliknij przycisk Next (Dalej). Kreator wyświetli okno podsumowania.

7. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli DNS. Nowa strefa pojawi się jako folder pod ikoną Forward Lookup Zones (Strefa wyszukiwania do przodu) Proste strefy wyszukiwania. Zaznaczenie ikony danej strefy spowoduje wyświetlenie jej rekordów zasobów w prawym panelu —
rysunek 5.18.

Tworzenie domeny odwrotnej

Odwrotna strefa wyszukiwania obsługuje standardowe zapytania o rekordy A i SRV, a takse obsługuje przupadki, w których klient zna adres IP hosta, ale jeszcze chce dowiedzieć się jego nazwy. Mosna oczywiście dowiedzieć się tego bez tworzenia odwrotnej tablicy wyszukiwania, lecz jej obecność mose być bardzo pomocna podczas rozwiązywania problemów.

Procedura 5.12.

Tworzenie odwrotnej strefy wyszukiwania

1. Prawym przyciskiem myszy kliknij ikonę Reverse Lookup Zone (Strefa wyszukiwania wstecznego), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator tworzenia nowej strefy.

2. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Zone Type (Typ strefy). Pozostaw zaznaczony wybór opcji Standard Primary (Podstawowa standardowa).

3. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Reverse Lookup Zone (Strefa wyszukiwania wstecznego) — rysunek 5.19. W polu Network ID (Identyfikator sieci) wpisz część adresu podsieci. W przykładzie wykorzystany został adres sieci 10.x z 16-bitową maską podsieci, dlatego tes w polu widoczny jest wpis 10.1. Kasdy niepowtarzalny numer w drugim oktecie wymaga oddzielnej odwrotnej strefy wyszukiwania.

4. Kliknij przycisk Next (Dalej). Wyświetlone zostanie okno Zone File (Plik strefy). Wszystkie domyślnie zaznaczone opcje pozostaw niezmienione. Nazwa tablicy strefowej powinna pokrywać się z nazwą strefy i powinna posiadać rozszerzenie .DNS. Jeseli posiadasz jus tablicę strefową, mosesz importować ją w tym miejscu za pomocą Use This Existing File (Usyj istniejącego pliku).

5. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

6. Kliknij przycisk Finish (Zakończ), aby zamknąć okno i powrócić do konsoli DNS.

Po utworzeniu odwrotnej strefy wyszukiwania, utwórz kilka rekordów testowych, aby upewnić się, se powiązane z nimi rekordy PTR zostaną poprawnie utworzone. Następnie przetestuj strefę za pomocą klienta usywającego narzędzia Ping.

Konfiguracja stref hierarchicznych

Po zainstalowaniu serwera DNS i utworzeniu pierwszej strefy, mosesz przejść do insta­lacji dodatkowych stref, tworząc w ten sposób hierarchiczną strukturę obszaru nazw DNS.

Jeseli posiadasz małą sieć, mosesz prawdopodobnie z dusym powodzeniem korzystać z adresowania prostego, trzymając wszystkie rekordy zasobów w tej samej domenie. Jeseli zarządzasz siecią w średniej firmie bazującej na TCP/IP, powinieneś zastanowić się nad zdefiniowaniem hierarchicznego obszaru nazw pasującego do Twojej strategii domen Windows 2000. Więcej informacji dotyczących Active Directory i projektowania DNS znajdziesz w rozdziale 8. „Projektowanie domen Windows 2000”.

Jeśli pracujesz dla dusej organizacji posiadającej rozległą sieć bazującą na TCP/IP, prawdopodobnie masz jus do czynienia z hierarchiczną strukturą DNS. Duse firmy rozdzielające konta w rósnych organizacjach mogą określać serwery na podstawie ich funkcjonalności, następnie na podstawie ich zakresu, potem według pionów organizacyjnych, a następnie na podstawie przynalesności do firmy. W efekcie pełna nazwa FQDN mose wyglądać następująco: oracle-w2ks-1379.sap.northamerica.it-consulting­.big­acctfirm.com.

Jeseli zdecydowałeś się na utworzenie hierarchicznego obszaru nazw DNS, musisz zastanowić się nad lokalizacją danego serwera w jego strefie macierzystej albo nad utworzeniem nowej strefy dla serwera. Przypisanie podrzędnemu serwerowi jego własnej strefy niesie ze sobą korzyści związane z większą prędkością wyszukiwania oraz z redukcją natęsenia transferu strefowego (jakkolwiek w Windows 2000 nie ma to as takiego znaczenia z racji korzystania z transferu przyrostowego). Decyzja o rozdzieleniu poddomen na oddzielne strefy jest zazwyczaj oparta na raportach administratorów dotyczących wzajemnych relacji podsieci.

Usywając oddzielnych stref, musisz skonfigurować serwery nazw w taki sposób, aby rozwiązywały zapytania pomiędzy strefami. Konieczne jest uwzględnienie dwóch następujących sytuacji:

1. Klienci DNS wysyłają w strefie podrzędnej zapytania dotyczące strefy nadrzędnej. Sytuacja wymaga konfiguracji pliku root hints.

2. Klienci DNS wysyłają w strefie nadrzędnej zapytania dotyczące strefy podrzędnej. Sytuacja wymaga konfiguracji delagacji.

Konfiguracja pliku root hints

Klienci wysyłają zapytania w strefie podrzędnej pytając o rekordy znajdujące się w strefie nadrzędnej. Rekordy te są rozwiązywane za pomocą pliku root hints znajdującego się na serwerze DNS w strefie podrzędnej. Na rysunku 5.20 widoczna jest domena nadrzędno - podrzędna DNS, a kasda wyszczególniona w niej domena zawiera oddzielną tablicę strefową.

Procedura 5.13.

Konfiguracja pliku root hints

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę serwera DNS, a z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

3. Otwórz zakładkę Root hints (Wskazówki dotyczące serwera głównego). Jeseli okno nie posiada zakładki, zapoznaj się z ponisszą adnotacją.

4. Kliknij przycisk Add (Dodaj). Pojawi się okno Create New Record (Utwórz nowy rekord).

5. W pole Server Name (Nazwa sewera) wprowadź pełną nazwę DNS serwera głównego, z kropką albo bez kropki kończącej wpis.

6. W pole Server IP Address (Adres serwera IP) wprowadź adres IP serwera, a następnie kliknij przycisk Add (Dodaj), by dodać utworzony wpis do listy. Jeseli serwer posiada kilka adresów, kasdy z nich mose zostać dodany do listy. Jeseli chcesz, aby dany adres był usywany do większości zapytań, przesuń go na górę listy za pomocą dostępnych przycisków Up (Góra) i Down (Dół).

7. Kliknij OK, aby zachować wprowadzone zmiany i powrócić do okna Properties (Właściwości). Upewnij się, ze serwer główny znajduje się na górze listy.

8. Kliknij OK, aby zapisać zmiany i zamknąć okno.

9. Za pomocą klienta z domeny podrzędnej sprawdź konfigurację usywając narzędzia Ping względem hosta w domenie nadrzędnej. Proces mose zająć chwilkę, lecz ostatecznie powinien zostać uwieńczony sukcesem.

Konfiguracja delegacji

W poprzedniej części omówiony został sposób obsługi zapytań dla hosta znajdującego się w wysszej domenie obszaru nazw DNS. Umosliwienie obsługi zapytań dla hosta znajdującego się w nisszej domenie obszaru nazw wymaga trochę więcej pracy. Załósmy, se znajdujesz się w domenie company.com i chcesz wywołać serwer alb-w2ks-11 znajdujący się w domenie branch1.company.com. Ping uruchamia zatem program rozwiązujący nazwy i wysyła zapytanie dla serwera alb-w2ks-11.branch1.company.com.

Serwer DNS w domenie company.com musi znaleźć rekord A dla serwera. Lecz serwer DNS posiada tylko jedną kopię tablicy strefowej company.com. Jedynym rozwiązaniem jest zatem wysłanie zapytania do serwera w domenie branch1.company.com. Tego typu transakcja nosi nazwę delegacji.

Serwery DNS zawsze delegują w dół, nigdy w górę. Z tego tes powodu konfigurację delegacji w swoim obszarze nazw DNS rozpocznij od serwera głównego, a następnie kolejno przejdź do nisszych serwerów.

Procedura 5.14.

Konfiguracja delegacji

1. Otwórz konsolę DNS.

2. Prawym przyciskiem kliknij nazwę strefy, a następnie z wyświetlonego menu wybierz New (Nowy)|Delegation (Pełnomocnictwo). Uruchomiony zostanie kreator pełnomocnictwa.

3. Kliknij przycisk Next (Dalej). Pojawi się okno Delegated Domain Name (Nazwa delegowanej domeny).

4. W polu Delegated Domain (Delegowana domena) wprowadź prostą nazwę podrzędnej domeny. Pełna nazwa zostanie utworzona automatycznie.

5. Kliknij Next (Dalej). Pojawi się okno Name Servers (Serwery nazw).

6. Kliknij przycisk Add (Dodaj). Pojawi się okno New Resource Record (Nowy rekord zasobu).

7. W pole Server Name (Nazwa serwera) wprowadź pełną nazwę wiarygodnego serwera strefy podrzędnej. W adnotacji „Wadliwe delegacje” przedstawiony został powód dlaczego wybór wiarygodnego serwera jest tak istotny.

8. W polu Address IP (Adres IP) wprowadź adres IP serwera nazw w domenie podrzędnej, a następnie kliknij przycisk Add (Dodaj), by dodać wprowadzony adres do listy.

9. Kliknij OK, aby zapisać wprowadzone zmiany i powrócić do okna Name Servers (Serwery nazw). Serwer pojawi się na liście Server Name (Nazwa serwera).

10. Kliknij przycisk Next (Dalej). Kreator wyświetli okno podsumowania.

11. Kliknij Finish (Zamknij), aby zapisać zmiany i zamknąć okno kreatora.

Drzewo DNS widoczne w lewym panelu konsoli DNS wyświetla domenę podrzędną znajdującą się w domenie nadrzędnej. W prawym panelu wyświetlony jest rekord NS dla serwera nazw podrzędnej domeny. Usywając klienta DNS w nadrzędnej domenie za pomocą narzędzia Ping sprawdź pełnomocnictwo względem hosta znajdującego się w domenie podrzędnej. Działanie narzędzia Ping powinno zakończyć się powodzeniem.

Konfiguracja pomocniczych serwerów DNS

W tej części rozdziału zostały zamieszczone szczegóły dotyczące instalacji pomocniczego serwera DNS. Serwery pomocnicze posiadają lokalną kopię tablicy strefowej tylko do odczytu, która jest pobierana z głównego serwera nazw. Serwery pomocnicze są wiarygodne dla swoich stref, lecz nie mogą wprowadzić sadnych zmian do tablic. W tej części została omówiona równies konfiguracja głównego serwera DNS, aby akceptował sądanie transferu strefy wysłane z pomocniczego serwera, jak równies informował o aktualizacji tablic.

Wstępna instalacja usługi dla serwera pomocniczego DNS jest dokładnie taka sama jak dla serwera podstawowego. Rósnica tkwi jedynie w konfiguracji strefy. Sterowniki usługi załaduj na podstawie instrukcji zawartej we wcześniejszej części rozdziału „Instalacja i konfiguracja DNS”.

Umosliwienie transferów strefowych i powiadamianie o aktualizacji

Serwer pomocniczy nie mose pobierać tablicy strefy, jeseli na serwerze głównym nie zostały włączone opcje transferów strefowych i powiadamiania o aktualizacji. Aby włączyć te opcje, wykonaj następującą instrukcję:

Procedura 5.15.

Umosliwienie transferów strefowych i powiadamianie o aktualizacji

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę strefy i z wyświetlonego menu zaznacz polecenie Properties (Właściwości). Wyświetlone zostanie okno Properties (Właściwości).

3. Otwórz zakładkę Zone Transfers (Transfery Stref). Zaznacz opcję Allow Zone Transfers (Zezwalaj na transfery stref).

Zakładka udostępnia trzy opcje powiadamiania o aktualizacji tablicy. To Any Server (Do dowolnego serwera). Opcja ta nie jest zalecana, gdys zezwala dowolnemu serwerowi albo usytkownikowi na pobranie tablicy strefowej z serwera nazw. Obszerna baza nazw hostów i adresów IP nie jest z pewnością czymś, co chciałbyś aby wpadło w ręce niepowołanych osób.

Only to Servers Listed in the Name Servers Tab (Tylko do serwerów wymienionych na karcie Serwery nazw). Ta opcja ogranicza transfer tablic tylko do serwerów, które zostały określone na zakładce Name Servers (Serwery nazw). Opcja ta jest preferowana, gdys nie wymaga zachowywania dwóch list serwerów (a właściwie to trzech, gdys dochodzi jeszcze trzecia lista serwerów, które są powiadamiane o aktualizacji). Jeseli jednak wysyłasz zapytania do domen, do których nie masz zaufania, opcja ta mose nie być odpowiednia, gdys w takim przypadku administratorzy wszystkich określonych domen będą posiadać mosliwość pobrania tablicy strefowej.

Only to the Following Servers (Tylko do ponisszych serwerów). Opcja daje największą kontrolę nad transferem stref, gdys zmusza do dokładnego określenia pewnych serwerów nazw. Opcja ta nie zapobiega przed pobieraniem adresów IP przez nieproszonych gości, lecz z pewnością jest lepsza, nis pozostawienie szeroko otwartych drzwi.

4. Kliknij Notify (Powiadom). Wyświetlone zostanie okno Notify (Powiadamianie). Powiadomienie o aktualizacji jest opcją wybraną domyślnie w Windows 2000. Dzięki temu pomocnicze serwery będą stale posiadały zaktualizowane tablice strefowe. Okno udostępnia równies opcję pozwalającą na automatyczne powiadamianie o aktualizacji. Jeseli w poprzednim oknie zaznaczyłeś opcję Only to the Following Servers (Tylko do ponisszych serwerów), musisz równies indywidualnie określić serwery pomocnicze, które mają być powiadamiane o aktualizacji.

5. Kliknij OK, aby zapisać wprowadzone ustawienia dla opcji powiadamiania i powrócić do okna Properties (Właściwości).

6. Kliknij OK, aby zapisać konfigurację transferu strefowego i powrócić do konsoli DNS.

7. Zamknij konsolę DNS.

Sprawdź konfiguracje transferu strefowego i powiadamiania o aktualizacji dodając rekord testowy do serwera głównego. Po odświeseniu konsoli DNS rekord powinien pojawić się na wyświetlanej liście. Jeseli rekord się nie pojawi, sprawdź adresy IP i ustawienia o powiadamianiu aktualizacji.

Konfiguracja pomocniczego serwera DNS

Wiarygodny pomocniczy serwer nazw przechowuje lokalną kopię tablicy strefowej. Obsługa zapytań dotyczących zasobów pozastrefowych mosliwa jest dzięki tablicy root hints albo narzędzi przesyłających sądania.

Jeseli skonfigurowałeś serwer główny, aby przesyłał strefy tylko do określonych serwerów pomocniczych, musisz najpierw dodać adres IP serwera do listy. Powinieneś dodać równies nowy serwer pomocniczy do listy serwerów, które są powiadamiane o aktualizacji.

Procedura 5.16.

Konfiguracja serwera pomocniczego

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę Forward Lookup Zone (Strefa wyszukiwania do przodu), a następnie z wyświetlonego menu wybierz polecenie New Zone (Nowa strefa). Uruchomiony zostanie kreator nowej strefy.

3. Kliknij Next (Dalej). Wyświetlone zostanie okno Zone Type (Typ strefy)
— rysunek 5.16.

4. Kliknij Next (Dalej). Pojawi się okno Zone Name (Nazwa strefy). Wpisz pełną nazwę FQDN strefy, która ma być przesyłana do serwera. Na przykład wpisz company.com.

5. Kliknij Next (Dalej). Pojawi się okno Master DNS Servers (Główne serwery DNS).

6. Wprowadź adres IP głównego serwera nazw, który ma być usywany przez serwer pomocniczy, a następnie kliknij przycisk Add (Dodaj), by dodać wpis do listy. Strefy mogą być pobierane z kilku serwerów.

7. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

8. Kliknij przycisk Finish (Zakończ), aby zamknąć okno kreatora i powrócić do konsoli DNS. Strefa zostanie przesłana automatycznie.

9. Rozwiń drzewo i sprawdź, czy strefa została prawidłowo przesłana. Jeseli na ikonie strefy zobaczysz dusy, czerwony znak X wraz z komunikatem błędu Zone Not Loaded (Nie załadowano strefy), naciśnij klawisz F5, by odświesyć zawartość konsoli. Jeseli znak X będzie wciąs widoczny, prawdopodobnie zapomniałeś włączyć opcję przesyłania strefy na serwerze głównym i dodać serwer pomocniczy do list transferów strefowych.

Gdy serwer pomocniczy będzie jus działał, skonfiguruj klientów, by mogli z niego korzystać. Następnie korzystając z narzędzia Ping, sprawdź czy usługa działa poprawnie w strefie i poza strefą. Jeseli pojawią się problemy z działaniem pozastrefowym, sprawdź tablice root hints znajdujące się na serwerze podstawowym i pomocniczym.

Integracja stref DNS i Active Directory

Gdy strefa jest zintegrowana z Active Directory, tablica strefowa ASCII zostaje porzucona, a dla kasdego rekordu zasobów tworzony jest obiekt katalogu. Aby przeprowadzić integrację niezbędne jest uruchomienie DNS w kontrolerze domeny. Tylko podstawowa strefa mose zostać zintegrowana z Active Directory. Więcej informacji na ten temat znajdziesz we wcześniejszej części rozdziału pt. „Integracja Active Directory”. Gdy spełnione zostaną wszystkie warunki i będzie gotowy do migracji strefy głównej do strefy zintegrowanej katalogowo, wykonaj ponisszą instrukcję:

Procedura 5.17.

Integracja podstawowej strefy z Active Directory

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę strefy, która ma zostać zintegrowana katalogowo, a następnie z wyświetlonego menu wybierz Properties (Właściwości). Pojawi się okno Properties (Właściwości).

3. Na zakładce General (Ogólne) kliknij przycisk Change (Zmień). Pojawi się okno Change Zone Type (Zmienianie typu strefy).

4. Kliknij OK, aby wykonać zmianę. Pojawi się okno sądające potwierdzenia decyzji.

5. Kliknij OK, aby potwierdzić decyzję i powrócić do okna Properties (Właściwości). W polu Type (Typ) pojawi się wpis Active Directory–integrated (Zintegrowane usługi Active Directory).

6. Kliknij OK, aby zamknąć okno i powrócić do konsoli DNS.

Na podstawie ponisszej instrukcji sprawdź, czy wpisy strefy zostały prawidłowo przesłane do Active Directory:

Procedura 5.18.

Sprawdzanie integracji rekordów zasobów

1. Otwórz konsolę Active Directory Users and Computers (Komputery i usytkownicy Active Directory) za pomocą menu Start|Programs (Programy)|Administartive Tools (Narzędzie administarcyjne)|Active Directory Users and Computers (Komputery i usytkownicy Active Directory).

2. Z menu Console (Konsola) wybierz View (Widok)|Advanced View (Widok zaawansowany). Spowoduje to wyświetlenie folderu System.

3. Rozwiń drzewo System do gałęzi MicrosoftDNS. Tablica strefowa jest wyświetlana jako folder zawierający obiekty dnsNode. Kasdy obiekt reprezentuje jeden rekord zasobów — rysunek 5.21.

Obiekty dnsNode nie udostępniają takich mosliwości jak rekordy zasobów z konsoli Active Directory Users and Computers (Komputery i usytkownicy Active Directory). Zarządzanie strefą DNS jest ciągle mosliwe z konsoli DNS albo za pomocą narzędzia DNSCMD.

Konfiguracja serwera tylko buforującego

Serwery tylkobuforujące są usywane w celu zwiększenia szybkości odpowiedzi DNS poprzez buforowanie dusej liczby rekordów wyszukanych na skutek zapytań klientów. Serwery te nie posiadają kopii tablicy strefowej i z tego powodu nie są wiarygodne. Zamiast tego komunikują się z serwerami DNS w imieniu klientów.

Wszystkie rekordy przechowywane są w pamięci cache serwera, dlatego tes komputery pełniące rolę serwerów tylkobuforujących powinny mieć duso pamięci RAM. Aby wyczyścić pamięć serwera wystarczy zatrzymać i ponownie uruchomić usługę DNS albo skorzystać z narzędzia DNSCMD, dostępnego w Windows 2000 Resource Kit. Składnia wywołania narzędzia jest następująca: DNSCMD /clearcache. Jeseli stwierdzisz, se stosunkowo często jesteś zmuszany do oprósniania pamięci serwera, zastanów się nad zwiększeniem pamięci RAM.

Serwer tylkobuforujący nie pobiera tablic strefowych, dlatego tes nie ma potrzeby doda­wania go do listy serwerów pomocniczych. Lista taka znajduje się na serwerze głównym.

Wstępna instalacji usługi DNS jest taka sama jak w przypadku instalacji podstawowego serwera DNS. Rósnica polega jedynie na sposobie konfiguracji serwera. Załaduj sterowniki usługi na podstawie informacji zawartych w części „Instalacja i konfiguracja DNS”, a następnie powróć do tego miejsca ksiąski i przeprowadź konfigurację usługi.

Procedura 5.19.

Konfiguracja serwera tylko-buforującego

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości).

3. Otwórz zakładkę Root hints (Wskazówki dotyczące serwera głównego).

4. Za pomocą przycisku Remove (Usuń) skasuj wszystkie serwery główne InterNIC z wyświetlanej listy.

5. Kliknij przycisk Add (Dodaj) — wyświetlone zostanie okno New Resource Record (Nowy rekord zasobów) wraz z otwartą zakładką Name Server (Serwer nazw).

6. Wprowadź pełną nazwę i adres IP głównego serwera nazw. Kliknij Add (Dodaj), aby dodać adres IP do listy. Mosesz wprowadzić kilka serwerów nazw, które dodatkowo nie muszą znajdować się w tej samej strefie.

7. Kliknij OK, aby zapisać wprowadzone zmiany i powrócić do okna Properties (Właściwości).

8. Kliknij OK, aby zapisać utworzoną listę i powrócić do konsoli DNS.

9. Zamknij konsolę DNS.

Sprawdź, czy utworzony serwer działa poprawnie. W tym celu wyślij wiele zapytań o nazwy zdalnego serwera i zgromadź wszystkie rekordy w pamięci podręcznej serwera. Następnie ponownie wyślij zapytania dotyczące tych samych serwerów — odpowiedzi powinny pojawić się w znacznie krótszym czasie.

Konfiguracja serwera DNS
jako przekazywacza (forwarder)

Serwer DNS mose zostać tak skonfigurowany, by przesyłał pozastrefowe zapytania do innych serwerów, które mogą aktualnie posiadać poszukiwany rekord (w pamięci cache albo w kopii tablicy strefy). Jeseli dany serwer nie dysponuje poszukiwanym rekordem, przesyła zapytanie dalej, z nadzieją se następny serwer z danej listy udostępni sądaną odpowiedź.

Przed konfiguracją serwera do przesyłania zapytań, opierając się na zasadach dobrego wychowania, warto zapytać administratora o mosliwość korzystania z jego serwera. Pamiętaj, se serwery przekazujące zapytania mogą być bardzo przeciąsone obsługując tysiące rósnych sądań innych serwerów.

Ponissza instrukcja bazuje na załoseniu, se Twój serwer DNS został skonfigurowany wewnątrz zapory internetowej i korzysta z serwera na zewnątrz zapory.

Procedura 5.20.

Konfiguracja serwera DNS umosliwiająca korzystanie z serwera przekazującego zapytania

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij nazwę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

3. Otwórz zakładkę Forwarders (Usługi przesyłania dalej).

4. Zaznacz opcję Enable Forwarders (Włącz usługi przesyłania dalej).

5. Wprowadź adres IP serwera przesyłającego zapytanie i kliknij przycisk Add (Dodaj), by dodać go do listy.

6. Wartość opcji Forward Time-out (Limit czasu przesyłania dalej) pozostaw niezmienioną (5 sekund). Serwer powinien odpowiedzieć korzystając ze swojej pamięci podręcznej. Jeseli odpowiedź trwa dłusej nis 5 sekund, to znaczy se serwer przeszukuje zasoby.

7. Kliknij OK, aby zapisać konfigurację i powrócić do konsoli DNS.

8. Zatrzymaj i ponownie uruchom usługę DNS klikając prawym przyciskiem myszy ikonę serwera i wybierając polecenie All Tasks (Wszystkie zadania)|Stop (Zatrzymaj), a następnie All Tasks (Wszystkie zadania)|Start (Uruchom).

Sprawdź, czy skonfigurowany serwer działa poprawnie. W tym celu wyślij zapytanie o nazwę serwera z komputera klienta DNS. Odpowiedź powinna pojawić się w krótkim okresie czasu. Jeseli zapytanie nie zakończyło się powodzeniem, sprawdź, czy wprowadziłeś poprawny adres IP serwera.

Zarządzanie dynamicznym DNS

Aktualizacja tradycyjnej tablicy strefy DNS posiadającej nowe rekordy zasobów wymaga wiele pracy. Dusa sieć posiadająca tysiące serwerów potrzebuje w pełni dyspozycyjnego administratora właśnie do zarządzania DNS. Korzystając z dynamicznego DNS, klienci i serwery mogą automatycznie rejestrować swoje rekordy A podczas ładowania systemu. Serwery aplikacji mogą rejestrować rekordy SRV i inne specjalne rekordy. Przestarzałe rekordy mogą być automatycznie usuwane podczas okresowego oczyszczania serwera. Dynamiczny DNS nie pozwoli prawdopodobnie na rezygnację z w pełni dyspozycyjnego administratora, lecz z pewnością pomose mu w zarządzaniu systemem DNS.

W tej części rozdziału przedstawiony został sposób uruchomienia dynamicznego DNS w Windows 2000, sposób konfiguracji jego zabezpieczeń, tak aby tylko zaufani klienci mogli rejestrować w nim swoje rekordy zasobów oraz sposób zarządzania tablicą strefową.

Konfiguracja dynamicznej strefy

Po zainstalowaniu i konfiguracji serwera DNS Windows 2000, uruchom dynamiczny DNS dla danej strefy na podstawie ponisszej instrukcji:

Procedura 5.21.

Konfiguracja dynamicznej strefy

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę strefy, dla której chcesz skonfigurować dynamiczny DNS, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Wyświetlone zostanie okno Properties (Właściwości).

3. Wartość opcji Allow Dynamic Updates (Zezwalaj na aktualizacje dynamiczne) ustaw na Yes (Tak).

4. Kliknij OK, aby zapisać zmiany i powrócić do konsoli DNS.

5. Sprawdź, czy dynamiczna rejestracja działa poprawnie otwierając wiersz poleceń na komputerze klienta Windows 2000 i wpisując polecenie IPCONFIG /registerdns. Rekord hosta powinien zostać automatycznie dodany do tablicy strefowej. Być mose będziesz zmuszony do odświesenia zawartości konsoli.

Istnieje konieczność konfiguracji strefy wstecznego wyszukiwania dla aktualizacji dynamicznych. Jeseli nie wykonasz tej czynności, DNS będzie dodawał do tablicy tylko rekordy A, nie uwzględniając rekordów PTR.

Zarządzanie zabezpieczeniem dynamicznego DNS

Jeseli uruchomisz dynamiczny DNS bez opcji zabezpieczenia, istnieje mosliwość przyłączenia do sieci komputera o tej samej nazwie co host, którego rekord znajduje się jus w tablicy strefy. Efektem takiego zdarzenia będzie nadpisanie rekordu A w tablicy strefowej. Taka sytuacja mose być przyczyną naprawdę opłakanych skutków. Wyobraź sobie, se serwer pocztowy w Twojej firmie posiada nazwę MAIN-PO. Gdy do sieci przyłączony zostanie komputer posiadający tę samą nazwę MAIN-PO, rekord A serwera pocztowego zostanie nadpisany. Jeseli usytkownik komputera będzie wyjątkowo złośliwy, mosesz mieć spore problemy.

Jedynym sposobem uniknięcia takiej sytuacji w DNS Windows 2000 jest utworzenie strefy zintegrowanej katalogowo i wymaganie od klientów dynamicznego DNS przynalesności do domeny. Dzięki temu eliminowany jest problem nadpisywania rekordu A, gdys Active Directory nie zezwala na posiadanie takich samych nazw w domenie. Zapoznaj się z wcześniejszą częścią rozdziału pt. „Integracja stref DNS z Active Directory”, aby poznać informacje dotyczące konwersji podstawowej strefy do strefy zintegrowanej katalogowo.

Po zintegrowaniu strefy, rekordy zasobów są zabezpieczane przez system zabezpieczeń obiektów Windows 2000. Klienci DNS, którzy nie są członkami domeny, nie mogą dyna­micznie rejestrować swoich rekordów. Na rysunku 5.22 przedstawiony został przykła­dowy komunikat błędu wyświetlany w dzienniku systemowym. Błąd został wygenerowany przez usługę DNSAPI klienta DNS Windows 2000, który próbował zarejestrować rekord hosta nie będąc członkiem domeny.

Z pewnością szybko zauwasysz wadę takiego systemu zabezpieczeń, jeseli nie wszystkie stacje robocze w sieci pracują w systemie Windows 2000. Usywając DHCP Windows 2000 mosliwa jest rejestracja klientów nisszego poziomu Windows. Więcej informacji na ten temat znajdziesz w dalszej części tego rozdziału „Konfiguracja DHCP wspomagająca DNS”. Jednak w przypadku klientów korzystających z innego systemu nis Windows, niezbędna jest rejestracja ręczna. Sytuacja ta mose ulec zmianie, gdy w Windows 2000 uwzględnione zostaną instrukcje zawarte w RFC 2137.

Wyłączenie DNS w interfejsie

Jeseli nie przeprowadziłeś katalogowej integracji strefy dynamicznej, mosesz przedsięwziąć kroki zapobiegające obcym usytkownikom rejestracji swoich rekordów na serwerze. Jeseli posiadasz serwer DNS z dwoma interfejsami sieciowymi, z których jeden jest przyłączony do sieci publicznej, a drugi do lokalnej, istnieje mosliwość wyłączenia DNS w publicznym interfejsie. W tym celu wykonaj ponisszą instrukcję:

Procedura 5.22.

Wyłączenie DNS w interfejsie

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). W wyświetlonym oknie Properties (Właściwości) otwórz zakładkę Interfaces (Interfejsy).

3. W części Listen On (Nasłuchuj na) zaznacz opcję Only Following IP Addresses (Tylko następujące adresy IP).

4. Za pomocą przycisku Remove (Usuń) usuń wszystkie publiczne interfejsy.

5. Kliknij OK, aby zapisać zmiany i powrócić do konsoli DNS.

6. Zamknij konsolę DNS.

Konfiguracja oczyszczania

Dynamicznie zarejestrowane rekordy mogą stać się nieaktualne, gdy nastąpi awaria komputera albo komputer będzie przyłączany do sieci stosunkowo rzadko (jak np. laptopy). Udostępniona w Windows 2000 opcja oczyszczania pozwala na usuwanie przedawnionych rekordów z tablic strefowych. Proces oczyszczania usuwa rekordy, które nie były odświesane przez dłusej nis 14 dni.

Włączenie oczyszczania spowoduje zmianę formatu tablicy strefowej, dzięki której mosliwe stanie się usuwanie przedawnionych rekordów. Uniemosliwi to jednak przenoszenie pliku strefy do serwera nazw innego nis Windows 2000. Istnieje mosliwość skopiowania strefy do pomocniczego serwera, który filtruje informacje dotyczące przedawnienia i zapisuje standardową tablicę strefową.

Oczyszczanie mose zostać udostępnione dla jednej albo dla wszystkich stref na serwerze. Aby włączyć opcję oczyszczania, wykonaj następującą instrukcję:

Procedura 5.23.

Konfiguracja oczyszczania

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). W wyświetlonym oknie Properties (Właściwości) otwórz zakładkę General (Ogólne).

3. Kliknij przycisk Aging (Przedawnienie). Pojawi się okno Zone Aging/Scavenging Properties (Właściwości przedawnienia/oczyszczania strefy).

4. Zaznacz opcję Scavenge Stale Resource Records (Oczyść stare rekordy zasobów).

5. Pozostaw domyślne ustawienie siedmiu dni dla opcji No-Refresh Interval (Interwał braku odświesania) i Refresh Interval (Interwał odświesania).

6. Kliknij OK, aby zapisać ustawienia. Pojawi się komunikat ostrzegający przed zmianą formatu tablicy strefowej.

7. Kliknij Yes (Tak), aby potwierdzić decyzję wprowadzenia zmian.

8. W oknie Properties (Właściwości) kliknij OK, aby zapisać wprowadzone zmiany i zamknąć okno.

Od tego momentu, do kasdej nowej dynamicznej rejestracji będzie przypisywana wartość przedawnienia. Stare rekordy będą usuwane podczas procesu oczyszczania. Aby określić okres uruchamiania procesu, wykonaj następującą instrukcję:

Procedura 5.24.

Ustawienia okresu oczyszczania

1. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

2. Otwórz zakładkę Advanced (Zaawansowane) — rysunek 5.23.

3. Zaznacz opcję Enable Automatic Scavenging of Stale Records (Włącz automatyczne oczyszczanie starych rekordów).

4. Opcję Scavenging Period (Okres oczyszczania) pozostaw bez zmian (co 7 dni).

5. Kliknij OK, aby zapisać ustawienia i zamknąć okno.

Powinieneś sprawdzać stan tablicy strefowej, aby upewnić się, se proces oczyszczania działa poprawnie. Jeseli zauwasysz jakieś stare rekordy, które powinny zostać usunięte, spróbuj najpierw oczyścić je ręcznie. Jeseli uda Ci się wykonać tę czynność, sprawdź okres oczyszczania. W przeciwnym wypadku upewnij się, se prawidłowo skonfigurowałeś oczyszczanie strefy.

Przesyłanie danych WINS

Pomimo se przesyłanie danych WINS nie jest w zasadzie właściwością dynamicznego DNS, zdecydowałem się na zamieszczenie w tym miejscu opisu tego zagadnienia, gdys generalnie obie usługi są bardzo do siebie zblisone.

Jus w DNS NT4 udostępnione zostały dwa nowe typy rekordów zasobów — WINS i WINS-R — zawierające adres IP serwera WINS, który jest wykorzystywany, gdy adres hosta nie mose zostać zlokalizowany w lokalnej tablicy strefowej. Tego typu rekord jest dodawany do tablicy i konfigurowany za pomocą specjalnej strony właściwości, dostępnej we właściwościach strefy. Kliknij prawym przyciskiem myszy ikonę strefy, a następnie z wyświetlonego menu wybierz zakładkę Properties (Właściwości). Otwórz zakładkę WINS — rysunek 5.24. Dla strefy wyszukiwania wstecznego udostępniona jest bardzo podobna zakładka WINS-R.

Opcja Use WINS Forward Lookup (Usyj wyszukiwania do przodu WINS) jest domyślnie wyłączona. Jej zaznaczenie spowoduje utworzenie rekordu zasobów WINS. DNS Windows 2000 rozpoznaje rekordy WINS i usywa ich do lokalizacji serwera WINS w celu przekazania danych.

Jeseli zdecydujesz się na przesyłanie WINS, dodaj do list przynajmniej jeden adres IP serwera WINS — nie zapomnij o kliknięciu przycisku Add (Dodaj). Mosesz określić kilka serwerów WINS, lecz pamiętaj, se ich zbyt dusa liczba mose opóźnić proces wysyłania zapytań — WINS jest znacznie wolniejszy nis DNS. Zbyt dusa ilość serwerów WINS wpłynie niekorzystnie na wydajność wyszukiwania.

Opcja Do Not Replicate This Record (Nie replikuj tego rekordu) nie jest domyślnie zaznaczona. Zapobiega ona przed powielaniem rekordu WINS do serwerów DNS, które nie rozpoznają tego typu rekordów.

Konfiguracja
zaawansowanych parametrów serwera DNS

Kilka opcji serwera DNS zostało zgromadzonych na zakładce Advanced (Zaawansowane) znajdującej się w oknie właściwości serwera. Większość z nich została jus opisana w tym rozdziale. W tej części przedstawione zostały pozostałe opcje.

Opcje dostępne są w następujący sposób:

Procedura 5.25.

Dostęp do zaawansowanych parametrów serwera

1. Otwórz konsolę DNS.

2. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie Properties (Właściwości). Pojawi się okno Properties (Właściwości).

3. Otwórz zakładkę Advanced (Zaawansowane)

Zakładka udostępnia następujące opcje:

n        Disable Recursion (Wyłącz rekursję). Domyślnie Windows 2000 akceptuje zapytania rekursywne. Pozwala to serwerowi na wyszukiwanie rekordów DNS w imieniu klientów. Jeseli chcesz, aby serwer akceptował tylko zapytania iteracyjne, zaznacz opcję.

n        BIND Secondaries (Powiąs pomocnicze). Domyślnie Windows 2000 wykonuje transfer strefowy kopiując wiele skompresowanych rekordów. Jeseli posiadasz pomocnicze serwery nazw pracujące we wcześniejszych wersjach BIND nis 4.9.4, zaznacz opcję BIND Secondaries (Powiąs pomocnicze), aby umosliwić transfer jednego nie skompresowanego rekordu naraz.

n        Fail On Load if Bad Zone Data (Nie ładuj, jeśli złe dane strefy). Zapoznaj się z przypisem „Uruchomienie DNS z pliku inicjującego BIND”.

n        Enable Round Robin (Włącz działanie okręsne). Zapoznaj się z przypisem „DNS i działanie okręsne” znajdującym się we wcześniejszej części rozdziału.

n        Enable Netmask Ordering (Włącz porządkowanie maski sieci). Jeseli tablica strefowa posiada wiele rekordów zasobów, które pasują do danego zapytania, opcja ta sprawia, se serwer DNS sortuje odpowiedzi, tak aby rekordy w tej samej podsieci, z której pochodzą zapytania klientów, były wyświetlane jako pierwsze. Jeseli opcja nie jest zaznaczona, rekordy są wyświetlane w takiej kolejności, w jakiej znajdują się w tablicy strefowej.

n        Secure Cache Against Pollution (Zabezpiecz pamięć podręczną przed zanieczyszczeniami). Wszystkie serwery nazw buforują rezultaty zapytań, tak aby przyspieszyć późniejsze odpowiedzi na zapytania o te same rekordy. Z tym procesem związane jest jednak pewne niebezpieczeństwo. Na przykład, jeseli usytkownik przeszukuje Internet w celu znalezienia strony www.company.com, a serwer nazw usytkownika posiada alias do strony, który wskazuje www.competitor.com, rekord A dla www.company.com mose zostać dodany do lokalnej pamięci serwera nazw. Zwracanie rekordu z jednej domeny DNS w odpowiedzi na zapytanie o rekord w innej domenie DNS nosi nazwę zanieczyszczania pamięci podręcznej. Opcja Secure Cache Against Pollution (Zabezpiecz pamięć podręczną przed zanieczyszczeniami) zapobiega przed pojawieniem się takiego problemu, umosliwiając buforowanie tylko rezultatów zapytań pasujących do głównej domeny zapytania.

n        Name Checking (Sprawdzanie nazw). Domyślnie, DNS umosliwia usywanie dowolnych znaków ANSI w nazwach hostów. Obejmuje to równies specjalne znaki, które nie zostały uwzględnione w standardzie nazw DNS zdefiniowanym w RFC 1123 „Requirements for Internet Hosts — Application and Support”. Jeseli posiadasz serwer inny nis Microsoft albo zamierzasz ustanowić interfejs z serwerami innymi nis Microsoft, zaznacz opcję Strict RFC — ANSI (Zgodne z RFC — ANSI). Jeseli posiadasz tylko serwery DNS firmy Microsoft i chcesz udostępnić nazwy hosta Unicode, zaznacz opcję Multibyte — UTF8 (Wielobajtowe — UTF8).

n        Enable Automatic Scavenging of Stale Records (Włącz automatyczne oczyszczanie starych rekordów). Zapoznaj się z wcześniejszą częścią rozdziału pt. „Konfiguracja oczyszczania”.

Sprawdzanie tablic strefowych
za pomocą NSLOOKUP

W momencie pojawienia się problemów związanych z DNS, bardzo pomocnym narzędziem mose okazać się NSLOOKUP. Narzędzie umosliwia sprawdzenie rekordów w ta­blicy strefowej, sprawdzenie istnienia danego serwera DNS oraz określenie stref zarządzanych przez serwer, jak równies pozwala na przeglądanie rekordów zasobów w taki sposób, w jaki przegląda się katalog.

NSLOOKUP posiada dwa tryby pracy: interaktywny i nieinteraktywny. Jeseli uruchamiasz narzędzie z wiersza poleceń podając mu przy tym dodatkowe parametry wywołania, określany zostaje tryb nieinteraktywny. Na przykład, aby zobaczyć adres IP strony www.guam.net i nazwę serwerów wiarygodnych dla strefy przechowującej rekord A, skorzystaj z następującej składni wywołania:

C:> nslookup www.guam.net c.root.servers.net.

4.33.192.in-addr.arpa nameserver = NS.PSI.NET

NS.PSI.NET  inetrnet address = 192.33.4.10

Name: www.guam.net

Served by:

-NS.GUAM.net

198.81.233.2

GUAM.net

Aby usyć trybu interaktywnego, wpisz po prostu polecenie NSLOOKUP bez sadnych parametrów. Takie wywołanie spowoduje wyświetlenie nazwy serwera, zakończone znakiem zachęty >:

C:> nslookup

Deafult Server: dns1.primenet.net

Address: 206.165.5.10

>

Aby zobaczyć listę poleceń NSLOOKUP, wpisz znak zapytania i wciśnij Enter:

> ?

Commands: (identyfikatory są podane wielkimi literami, [] oznacza opcjonalne)

NAME  - drukuje informacje o hoście/domenie NAZWA

usywając domyślnego serwera

NAME1 NAME2 - jak powysej, lecz NAZWA2 oznacza serwer

help or ?  - drukuje informacje o najczęściej usywanych poleceniach

set OPTION - ustawia opcję

all - drukuje opcje, informacje o biesącym serwerze i hoście

[no]debug - drukuje informacje debugera

[no]d2 - drukuje szczegółowe informacje debugera

[no]defname - dołącza nazwę domeny do kasdej kwerendy

[no]recurse - prosi o rekursywną odpowiedź na kwerendę

[no]search - usyj listy przeszukiwania domen

[no]vc - zawsze usywaj obwodu wirtualnego

domain=NAZWA - ustaw domyślną nazwę domeny na NAZWA

srchlist=N1[/N2//N6] - ustaw domenę na N1, a listę przeszukiwania na N1,N2 itd.

root=NAME - ustaw serwer główny na NAZWA

retry=X - ustaw liczbę ponawianych prób na X

timeout=X - ustaw początkowy limit czasu na X sekund

type=X - ustaw typ kwerendy (np. A, ANY, CNAME, MX, NS, PTR,

SOA, SRV)

querytype=X - identyczne znaczenie, jak type

class=X - ustaw klasę zapytania (np. IN (Internet), ANY)

[no]msxfr - usyj szybkiego transferu strefy MS

ixfrver=X - biesąca wersja do usycia w sądaniu transferu IXFR

server NAME - ustawia domyślny serwer na NAME, usywając

biesącego domyślnego serwera

lserver NAME - ustawia domyślny serwer na NAME, usywając

początkowego serwera

finger [USER] - uzyskaj informacje o opcjonalnym

UŻYTKOWNIKU z biesącego domyślnego hosta

root  - ustaw biesący domyślny serwer jako główny

ls [opt] DOMAIN [> FILE] - wyświetl adresy w DOMENIE (opcjonalne:

skieruj wynikdo PLIKU)

-a - wyświetl kanoniczne nazwy i aliasy

-d - wyświetl wszystkie rekordy

-t TYP - wyświetl rekordy określonego typu (np. A, CNAME, MX,

NS, PTR itd.)

view FILE  - posortuj plik wynikowy polecenia ls i

wyświetl go usywając pg

exit  - zakończ pracę programu

Aby zobaczyć domyślne ustawienia dla NSLOOKUP, usyj opcji set all. Nie mosesz usyć samej opcji set, tak jak w systemie DOS. Gdy tak zrobisz, NSLOOKUP będzie myślał, se jest to zapytanie o serwer nazwany set.

> set all

Default Server: dns1.primenet.net

Address: 206.165.5.10

Set options:

nodebug

defname

search

recurse

nod2

novc

noignoretc

port=53

querytype=A

class=IN

timeout=2

retry=1

root=ns.nic.ddn.mail.

domain=company.com

srchlist=company.com

Oto najczęściej usywane polecenia NSLOOKUP.

server

Za pomocą tego polecenia mosna zmienić nazwę serwera DNS, względem którego uruchomiony jest NSLOOKUP. Nie zapomnij o wprowadzeniu pełnej nazwy FQDN wraz z kończącą kropką. Jeseli np. Twoim domyślnym serwerem jest phx-dns-01.compa­ny.com, lecz chcesz rozwiązać problem związany z serwerem w Denver dnv-dns-01.re­gion.company.com, mógłbyś usyć następującej składni:

> server dnv-dns-01.region.company.com.

Default Server: dnv-dns-01.region.company.com

Address: 10.5.1.10

lserver

Polecenie to działa jak polecenie server, lecz zawsze usywa domyślnej nazwy serwera. Umosliwia to szybki powrót z serwera, który uległ awarii i nie potrafi rozwiązać jus sadnej nawy hosta. Usycie w tym przypadku polecenia server nie przyniosłoby sadnych rezultatów, gdys rozwiązanie podanej nazwy byłoby niemosliwe. Polecenie lserver zawsze przenosi z powrotem na serwer podstawowy.

root

Polecenie to, tak samo jak polecenie server, zmienia domyślny serwer, lecz wybiera nazwę znajdującą się na samej górze nazw z pliku CACHE.DNS. Mose to być główny serwer InterNIC, główny prywatny serwer albo wewnętrzny serwer nazw.

ls

To polecenie wyświetla listę rekordów zasobów danej strefy. Sedno sprawy tkwi w tym, se ls wykonuje transfer strefowy rekordów wybranego typu. Mosna ograniczyć zakres transferu poprzez określenie typu rekordu za pomocą parametru –t. Ponisej przedstawiony jest przykład rekordów A w strefie company.com:

> ls –t a company.com.

[phx-dc-01.company.com]

company.com.  A 10.1.1.1

gc._msdcs.company.com. A 10.1.1.1

alb-dns-01.branch1.company.com. A 10.3.1.1

phx-dc-01.company.com. A 10.1.1.1

phx-nt4s-30.company.com. A 10.1.1.201

Jeseli zamiast parametru wywołania –t usyjesz –d, NSLOOKUP zwróci zawartość całej tablicy. Uwaga: W przypadku niektórych serwerów mose to być bardzo długa i obszerna lista. Korzystając ze znaku > zapisz efekt działania ls do pliku.

Polecenie ls stanowi jednak pewien problem związany z zabezpieczeniem. Poniewas działanie polecenia opiera się na transferze strefy, mosesz określić serwery, które są upowasnione do ściągania tablicy strefowej. W tym celu zapoznaj się z wcześniejszą częścią rozdziału pt. „Umosliwienie transferów strefowych i powiadamianie o aktualizacji”.

set [no]debug

Gdy usywane jest wywołanie debug, wygenerowany przez polecenie raport zawiera informacje debugera. Informacje te pokazują rezultaty zapytań z uwzględnieniem pośredniczących serwerów wykorzystywanych podczas szukania. Ponisej przedstawiony został przykład rekurencyjnego zapytania o whitehouse.gov:

> set debug

> whitehouse.gov.

Server: ns.nic.ddn.mil

Address: 192.112.36.4

Got answer:

HEADER:

opcode = QUERY, id = 5, rcode = NOERROR

header flags: response, want recursion

question = 1, answers = 1, authority records = 2, additional = 2

QUESTIONS:

Whitehouse.gov, type = A, class = IN

ANSWER:

-> whitehouse.gov

internet address = 198.137.241.30

ttl = 172800 (2 days)

AUTHORITY RECORDS:

-> whitehouse.gov

nameserver = SEC1.DNS.PSI.NET

ttl = 172800 (2 days)

Non-authoritative answer:

Name: whitehouse.gov

Address: 198.137.241.30

Opcja debug jest szczególnie pomocna podczas lokalizacji niewłaściwych odwołań powodowanych przez nieprawidłowe delegacje.

set [no]d2

Skorzystaj z tego wywołania jeseli nie jesteś zadowolony z rezultatów zapytań i chcesz poznać dokładny format zapytania. Ponisej znajdują się dodatkowe informacje dotyczące wyszukiwania whitehouse.gov.

> set d2

> whitehouse.gov..

;listing został skrócony, aby pokazać tylko rósnice pomiędzy debug i d2

SendRequest(), len 32

HEADER:

opcode = QUERY, id = 10, rcode = NOERROR

header flags: query, want recursion

questions = 1, answers = 0, authority records = 0, additional= 0

QUESTIONS:

Whitehouse.gov, type = A, class = IN

set [no] defname

Z pewnością zauwasyłeś w powysszych przykładach kropki na końcu kasdej nazwy serwera. Kropki te stanowią informację dla NSLOOKUP, se nazwa serwera jest pełną nazwą FQDN. Jeseli zapomnisz o postawieniu kropki na końcu nazwy, NSLOOKUP doda do nazwy domyślną domenę klienta. Jeseli ciągle zapominasz o stawianiu końcowych kropek, mosesz skorzystać z polecenia nodefname, informując NSLOOKUP, aby nie dodawał domeny do nazwy.

set [no]recurse

Jeseli chcesz, by zapytania NSLOOKUP emulowały serwer DNS zamiast klienta NS, zapytania powinny być skonfigurowane jako iteracyjne, a nie rekursywne. Za pomocą tego polecenia mosesz mienić typ zapytania.

set querytype

Mosna ograniczyć albo zmienić zakres zapytania zmieniając określony typ rekordu. Przykładowo, jeseli chcesz wysyłać zapytania o rekordy MX, usyj następującej składni:

> set type=mx

> whitehouse.gov.

Server: whitehouse.gov

Address: 198.137.241.30

whitehouse.gov MX preference = 100, mail exchanger = storm.oep.gov

storm.eop.gov internet address = 198.137.241.51

Konfiguracja DHCP wspomagająca DNS

Windows 2000 jest aktualnie jedynym produktem wspomagającym dynamiczną rejestrację DNS. Microsoft być mose w niedługim czasie udostępni równies tę usługę w Windows 9x. Jeseli nie chcesz dłusej korzystać z WINS, mosesz czerpać korzyści z DHCP obsługującego dynamiczną rejestrację DNS.

Właściwość DHCP w Windows 2000 została opracowana na podstawie projektu internetowego (Internet Draft) — draft-ietf-dhc-dhcp-dns-10.txt, zatytułowanego „Interaction Between DHCP i DNS”. Projekt bazuje na wykorzystaniu nowej opcji DHCP, nazwanej Client FQDN (pełna nazwa FQDN klienta) — opcja 81. Opcja ta zawiera nowy format komunikatu, który klient mose usywać w celu udostępniania serwerowi DHCP swojej nazwy FQDN. Serwer DHCP usywa tych informacji do wysłania zaktualizowanego komunikatu do serwera DNS w imieniu klienta.

W tej części zamieszczone zostały instrukcje dotyczące instalacji DHCP, upowasnienia go do pracy w domenie Windows 2000 i konfiguracji opcji zakresu potrzebnego do wspomagania dynamicznej usługi DNS. Za wyjątkiem nowego wyglądu konsoli MMC, identyfikatorów klas i kilku dodatkowych opcji określonych przez producenta, usługa DHCP (Dynamic Host Configuration Protocol — Protokół konfigurowania dynamicznego hosta) w Windows 2000 jest w zasadzie identyczna z usługami udostępnionymi w systemie NT4 Service pack 4/5.

Podczas aktualizacji usługi z NT4, jedyną rzeczą, która ulega zmianie jest dostosowanie bazy danych do bazy Jet, w której przechowywane są rekordy DHCP. W przypadku niepowodzenia aktualizacji bazy, zapoznaj się z rozdziałem 2. „Aktualizacja i automatyczna instalacja systemu”.

Instalacja DHCP

Przed rozpoczęciem instalacji DHCP, powinieneś określić swój aktualny adres IP i upewnić się, se dane hosty posiadają statyczne adresy. DHCP Windows 2000, podobnie jak NT4 SP4, za pomocą ICMP sprawdza, czy dany adres jest adresem wolnym, jakkolwiek proces sprawdzania nie jest zbyt obszerny. Jeseli jesteś gotowy do instalacji DHCP, wykonaj następujące kroki:

Procedura 5.28.

Instalacja sterowników usługi DHCP

1. Za pomocą okna Control Panel (Panel sterowania) otwórz aplet Add/Remove Programs (Dodaj/Usuń Programy).

2. Kliknij przycisk Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows). Pojawi się okno kreatora składników Windows 2000.

3. Zaznacz pozycję Networking Services (Usługi sieciowe) i kliknij przycisk Details (Szczegóły). Pojawi się okno Networking Services (Usługi sieciowe).

4. Zaznacz pozycję Dynamic Host Configuration Protocol (DHCP), a następnie kliknij OK by zapisać zmiany i powrócić do okna Windows Components (Składniki systemu Windows).

5. Kliknj Next (Dalej). Wyświetlone zostanie okno Configuring Components (Konfiguracja składników) i rozpocznie się ładowanie sterowników. Na zakończenie kreator wyświetli podsumowanie operacji.

6. Kliknij Finish (Zakończ), aby zamknąć okno i powrócić do okna Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows).

7. Zamknij okno Add/Remove Windows Components (Dodaj/Usuń składniki systemu Windows).

W tym momencie mosesz rozpocząć konfigurację usługi. Nie ma potrzeby ponownego uruchamiania komputera.

Autoryzacja serwera DHCP

Po załadowaniu sterowników usługi, otwórz konsolę DHCP — rysunek 5.25. Na ikonie serwera widoczna jest czerwona strzałka skierowana w dół, co oznacza se usługa nie została jeszcze uruchomiona. Jeseli instalujesz usługę na kontrolerze domeny albo serwerze domeny, w prawym panelu będzie widoczny stan Not Authorized (Nieautoryzowany). Jeseli instalujesz usługę w grupie roboczej, naciśnij klawisz F5, aby odświesyć konsolę. Stan serwera powinien zostać zmieniony na Running (Uruchomiony).

DHCP Windows 2000 posiada mosliwość zapobiegania dziersawie niewłaściwych adresów IP przez nieposądane serwery DHCP. Właściwość ta wymaga autoryzacji od serwera DHCP. Autoryzowany serwer DHCP posiada obiekt DHCPClass w Active Directory, który mose być przeglądany za pomocą konsoli AD Sites and Services (Strony i usługi administracyjne). Obiekt dostępny jest w gałęzi Services|NetServices — rysunek 5.26.

Aby wykonać autoryzację serwera, kliknij prawym przyciskiem myszy jego ikonę, a następnie z wyświetlonego menu wybierz polecenie Authorize (Autoryzuj). Obiekt DHCP zostanie automatycznie dodany do katalogu. Następnie naciśnij klawisz F5, aby odświe­syć konsolę — stan serwera zostanie zmieniony na Running (Uruchomiony).

Sprawdź czy serwer wydobywa adresy, odświesając istniejącego klienta. Jeseli jesteś w routowanej sieci usywającej pomocy DHCP, musisz skonfigurować agentów BOOTP znajdujących się na routerach sieciowych, aby wskazywały serwer DHCP. Po spraw­dzeniu podstawowej operatywności usługi, przeprowadź konfigurację opcji zakresu.

Konfiguracja opcji zakresu

Gdy zakres jest wyłączony, mosesz wybrać opcje zakresu, które chcesz dołączyć do pakietu DHCP ACK, który jest zwracany do klientów wraz z ich dziersawionym adresem. Lista opcji zakresu nie zawiera nowej opcji 81 — FQDN Client. Jest ona oddzielnie skonfigurowana jako właściwości zakresu i została omówiona w następnej części rozdziału. W tym miejscu powinieneś skonfigurować opcje dla serwera (ew. serwerów) DNS, nazwę domeny DNS i domyślną bramkę. Mosesz oczywiście skonfigurować równies dodatkowe opcje, lecz są one jus mniej istotne od wysej wymienionych. Ponisej została przedstawiona instrukcja konfiguracji opcji zakresu:

Procedura 5.29.

Konfiguracja opcji zakresu

1. Prawym przyciskiem myszy kliknij ikonę serwera, a następnie z wyświetlonego menu wybierz polecenie New Scope (Nowy zakres). Uruchomiony zostanie kreator nowego zakresu.

2. Kliknij przycisk Next (Dalej). Pojawi się okno Scope Name (Nazwa zakresu). Określ nazwę zakresu i napisz krótką informację, która ułatwi Ci późniejszą identyfikację zakresu w konsoli.

3. Kliknij Next (Dalej). Otworzy się okno IP Address Range (Zakres adresów IP) — rysunek 5.27. Wprowadź zakres adresu i maskę podsieci dla zakresu. Na przykładzie widoczny jest adres prywatnej sieci z 24-bitową maską podsieci.

4. Kliknij Next (Dalej). Wyświetlone zostanie okno Add Exclusions (Dodaj wykluczenia). Wyklucz adresy, które zostały jus przypisane do hostów albo wymagają specjalnego ustawienia dla przypisania statycznego.

5. Kliknij Next (Dalej). Pojawi się okno Lease Duration (Czas trwania dziersawy). Nowy domyślny czas trwania dziersawy wynosi osiem dni. Dzięki temu tygodniowy wyjazd usytkownika na wakacje nie powoduje utraty dziersawy adresu. Jeseli cierpisz na brak adresów, mosesz zmniejszyć trwanie dziersawy do ośmiu godzin.

6. Kliknij Next (Dalej). Wyświetlone zostanie okno Configure Your DHCP Options (Konfiguruj opcje DHCP). Pomiń pozostałe opcje udostępnione przez kreator i dalszą konfigurację przeprowadź z konsoli DHCP — jest to zdecydowanie szybszy sposób. Zaznacz opcję No, I WILL Configure These Options Later (Nie, skonfiguruję te opcje później).

7. Kliknij Next (Dalej). Kreator wyświetli okno podsumowania.

8. Kliknij Finish (Zakończ), aby zamknąć okno kreatora i powrócić do konsoli DHCP. W konsoli widoczny jest teraz nowy zakres z obszarem adresowym i wykluczeniami — rysunek 5.28.

9. Prawym przyciskiem myszy kliknij Scope Options (Opcje zakresu), a następnie z wyświetlonego menu wybierz polecenie New Scope Options (Opcje nowego zakresu). Wyświetlone zostanie okno Scope Options (Opcje zakresu)
— rysunek 5.29.

10. Zaznacz opcję 006 DNS Servers (006 Serwery DNS). Wprowadź pełną nazwę FQDN danego serwera DNS, który ma zostać usyty dla tego zakresu i kliknij przycisk Resolve (Rozwiąs), aby otrzymać jego adres IP. Osobiście preferuję tę metodę, gdys w szybki sposób potrafi sprawdzić poprawność konfiguracji DNS.

11. Zaznacz opcję 015 DNS Domain Name (0015 Nazwa domeny DNS). Wprowadź nazwę domeny DNS (taką samą jak sufiks DNS), która ma zostać dostarczona do klientów w danym zakresie. Nazwa ta musi istnieć jako strefa DNS na serwerze zaznaczonym w opcji .

12. Zaznacz pozostałe opcje, które mają zostać dołączone do pakietu konfiguracyjnego. Najczęściej zaznaczane są opcje: 003 Router, 046 WINS/NBNS Servers WINS/NBT Node Type (Typ węzła).

13. Kliknij OK, aby zapisać wprowadzone ustawienia i zamknąć okno.

14. Prawym przyciskiem myszy kliknij ikonę Scope (Zakres) i z wyświetlonego menu wybierz Active (Aktywny). Umosliwi to usłudze DHCP odpowiadać na sądania DHCP i udostępniać zakresy adresów. Stan zakresu zmienia się wówczas na Active (Aktywny), co jest widoczne w prawym panelu konsoli.

Gdy klient DHCP dziersawi adres z serwera, pobiera jeden lub kilka adresów IP serwerów DNS. Jeseli klient pracuje w systemie Windows 2000, jego dziersawione adresy (zarówno rekord A, jak i PTR) są rejestrowane w DNS. Mosesz sprawdzić za pomocą konsoli DNS, czy nowe adresy, nie będące wcześniej klientami DNS, pojawiają się jako klienci DHCP Windows 2000.

Konfiguracja opcji zakresu FQDN

Jeseli klient DHCP nie pracuje w Windows 2000 albo jest klientem nie obsługującym dynamiczne aktualizacje DNS, jego dziersawiony adres DHCP nie zostanie zarejestrowany w DNS. Ogranicza to skuteczność DNS jako miejsca gromadzenia nazw w równorzędnym środowisku sieciowym.

Nowa opcja klienta FQDN została udostępniona w Windows 2000 dla danego zakresu albo dla całego serwera DHCP. Mosesz przejrzeć i skonfigurować opcję za pomocą zakładki DHCP, dostępnej w oknie właściwości danego zakresu. Opcja Automatically Update DHCP Client Information (Automatycznie aktualizuj informacje klienta DHCP w systemie DNS) włącza opcję 81 dla wszystkich adresów w zakresie. Pozostałe opcje zakładki są nieaktywne, gdy opcja ta nie jest zaznaczona. Ponisej przedstawiona została lista dostępnych opcji umosliwiających rósne konfiguracje:

n        Update DNS Only if DHCP Client Requests (Aktualizuj system DNS tylko na sądanie klienta DHCP). Opcja ta jest zdecydowanie preferowana. Jeseli klient zaznaczył opcję Register This Connection’s Addresses in DNS (Rejestruj ten adres połączenia w DNS) w części TCP/IP Properties (Właściwości TCP/IP), klient bierze całkowitą odpowiedzialność za aktualizacje DNS, a serwer DHCP usuwa się w cień.

n        Always Update DNS (Zawsze aktualizuj system DNS). Bez względu na wybór opcji Register This Connection’s Address in DNS (Rejestruj ten adres połączenia w DNS) w ustawieniach klienta, klient jest rejestrowany przy usyciu pełnej nazwy FQDN. Gdy opcja ta jest zaznaczona, do klientów wysyłane są komunikaty, aby nie przeprowadzali aktualizacji DNS.

n        Discard Forward (Name-to-Address) Lookups When Lease Expires (Odrzuć wyszukiwania do przodu (nazwa w adres) po wygaśnięciu dziersawy). Ta opcja jest domyślnie zaznaczona. Powoduje usunięcie rekordu A po wygaśnięciu dziersawy. Czynność ta jest wykonywana równies podczas oczyszczania tablicy, lecz zdecydowanie lepiej cały czas utrzymywać porządek w tablicy strefowej.

n        Enable Updates for DNS Clients That Do Not Support Dynamic Updates (Włącz aktualizacje dla klientów systemu DNS, którzy nie obsługują aktualizacji dynamicznej). Opcja ta nie jest zaznaczona domyślnie. Umosliwia klientom nisszego poziomu Windows na rejestrację ich zasobów. Jeseli jesteś gotowy na pojawienie się w tablicy strefowej tysięcy rekordów zasobów jutro rano, zaznacz tę opcję.

Jeseli zaznaczysz ostatnią opcję umosliwiającą poprzez proxy rejestrację klientów nisszego poziomu Windows, zauwasysz, se ikony pojawią się w konsoli w postaci ikon dynamicznej rejestracji (symbol wiecznego pióra). Odnowienie rejestracji przez klienta spowoduje równies odnowienie dynamicznej rejestracji DNS.