IT2web

Системному администратору Windows Server

Главная --> DNS

Сетевые сервисы | Domain Name System | DNS




Новые возможности сервера DNS в Windows Server Technical Preview 2

С выходом Windows Server Technical Preview 2 многие службы получили обновления. Не обошли обновления стороной и заслуженный сервер имен DNS. Помимо поддержки управления DNS-сервером из PowerShell, появилась новая возможность – DNS policy.

DNS policy – это расширение DNS-сервера для адаптации его работы в зависимости от содержания приходящих запросов. Благодаря первоочередному применению политик на поступивший запрос, можно существенно облегчить работу сервера, отсеяв заведомо ненужные запросы, либо указав серверу, изменить содержание ответа в соответствии с описанными правилами.

 

RFC 4033. Безопасность DNS

Этот документ является введением для серии RFC, описывающих расширение DNSSEC для системы доменных имен. Документ вместе с [RFC4034] и [RFC4035] служит обновлением и совершенствованием расширений в целях безопасности, описанных в [RFC2535] и предшествующих документах. Новые расширения включают набор новых типов записей RR и изменение существующего протокола DNS ([RFC1035]).
 

Обзор DNSSec

Безопасность – это жутко модная тема. Продвинутые пользователи уже почти не вздрагивают от привычных сообщений о взломах и утечках, поэтому образ «недоброго Интернета» потихоньку заполняет массовое сознание. Так уж получилось, что система доменных имен (DNS) никогда не была безопасной: так сказать, уязвима с рождения.

Не первый год существует альтернатива – защищенный протокол DNSSEC, который активно внедряется при серьезной поддержке ICANN.

 

Управление глобальным списком блокировки запросов (Global Query Block List)

Функция динамического обновления DNS позволяет клиентским компьютерам регистрировать и динамически обновлять свои записи ресурсов на DNS-сервере при каждом изменении сетевого адреса или имени узла. Это сокращает необходимость в ручном администрировании записей зоны. Однако это удобство приводит к некоторому ущербу, так как любой авторизованный клиент может зарегистрировать любое неиспользуемое имя узла, даже имя узла, которое может иметь особое значение для некоторых приложений. Это может позволить злоумышленнику присвоить специальное имя и переключать определенные типы сетевого трафика на свой компьютер.
 

Безопасность DNS в Windows Server 2008 R2

Cервис DNS является ключевым, и защищать его необходимо. Поэтому в данной статье будут собраны различные способы сделать эту службу функциональнее, управляемее и безопаснее.

 

Четыре причины обновления DNS сервера до версии Windows Server 2008 R2

DNS является хребтом сетевых взаимодействий. Без DNS мы были бы вынуждены запоминать IP адреса всех клиентов и серверов в сети. Это еще было выполнимо в 1985 году, но на пороге второго десятилетия 21 века это не реально. И DNS станет еще важнее по мере плавного перехода с IPv4 на ipv6. Хотя некоторые талантливые администраторы могут запоминать IPv4 адреса десятков, а, возможно, даже сотен серверов, это станет абсолютно невозможным для IPv6; поскольку IP адреса будут иметь 128-разрядные номера шестнадцатеричной системы счисления. IPv6 снова вернет DNS на первый план.

 

DNS. Основы. Характеристики. Терминология.

Надеюсь никто не будет отрицать того факта, что DNS (Domain Name Systemсистема доменных имён) является ключевой фигурой. От работоспособности которой зависит очень-очень многое. Давайте начнем с простого, а именно для чего нужны DNS сервера. Прежде всего это распределённая структура, которая выполняет роль разрешения имен в сети. Основой DNS является иерархическая структура, в которой каждый сервер отвечает за свою зону или домен. При этом есть возможность делегировать дальнейшую часть DNS имени другому серверу, тем самым обеспечивая актуальность всех данных в целом.

 

Проверка DNS сервера с помощью dig и nslookup

Для использования утилиты "dig" в Windows необходимо установить пакет "BIND". Начинаю писать серию заметок о DNS. Начну с dig. dig – обычная утилита для запросов информации с серверов DNS. Аналогом утилиты "dig" являеся встроенная в Windows команда "nslookup".

 

 

Как работает служба DNS. Рекурсия.

Основная концепция преобразования DNS названий достаточно проста. Каждому веб сайту присваивается уникальный IP адрес. Для доступа к веб сайту клиенту необходимо знать этот IP адрес сайта. Конечно, пользователь обычно не вводит IP адрес в своем браузере Web browser, а вместо этого вводит название домена сайта (domain name). Для доступа к запрашиваемому веб сайту браузер (Web browser) должен уметь преобразовывать название домена сайта (domain name) в соответствующий ему IP адрес. В этом месте в игру вступает DNS. На клиентском компьютере настроен адрес предпочтительного сервера DNS (preferred DNS server). Запрашиваемый URL передается на сервер DNS, а сервер DNS возвращает IP адрес для запрашиваемого веб сайта. После этого клиент может обратиться к запрашиваемому сайту.
 

Что нового в DNS Windows Server 2008.

Корпорация Майкрософт помещала сервер службы доменных имен (DNS) во все версии Windows Server со времен Windows NT 4.0. DNS – это иерархическая, распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, например IP-адресами. В Windows Server 2008 в состав службы сервера DNS входят новая фоновая загрузка зон, улучшенная поддержка ipv6, поддержка контроллера домена «только для чтения» (RODC) и возможность размещать глобальные однокомпонентные имена.

 

Клиенты DNS (resolvers)


Клиенты DNS (resolvers) позволяют осуществлять доступ к DNS-серверам. Программы, которым требуется информация из пространства доменных имен, используют DNS-клиент. Клиент решает следующие задачи:

• Опрашивание DNS-серверов.
• Интерпретация полученных ответов (RR-записей или сообщений об ошибках).
• Возврат информации в программу, которая ее запросила.

 

Время жизни vs кэширование. DNS

Разумеется, DNS-серверы не могут кэшировать данные навсегда. Иначе изменения на авторитативных серверах никогда не распространялись бы по сети. Удаленные серверы просто продолжали бы использовать кэшированную информацию. Поэтому администратор зоны, которая содержит данные, обычно определяет для этих данных время жизни (time to live, или TTL).

Время жизни - это интервал времени, в течение которого произвольному DNS-серверу разрешается пользоваться кэшированными данными. По окончании этого временного интервала сервер обязан удалить кэшированную информацию и получить новую от авторитативных DNS-серверов. Это касается также кэшируемых отрицательных ответов, сервер имен обязан удалять их на случай, если на авторитативных DNS-серверах появилась новая информация.

 

Где размещать DNS-серверы? Сколько DNS-серверов?


В дополнение к примерным представлениям о числе DNS-серверов, эти критерии должны также помочь администратору решить, где следует размещать DNS-серверы (к примеру, на файловых серверах и узлах, расположенных в нескольких сетях). Но существуют и другие важные моменты, связанные с выбором того или иного узла.
Факторы, о которых следует помнить: доступность узла, используемое программное обеспечение (BIND, MS DNS или что-то еще), сохранение однородности DNS-серверов, а также безопасность.

 

Настройки DNS зоны. Как настроить DNS

Настройки DNS зоны. Как настроить DNS
Для правильной работы почтового сервера важно иметь правильно настроенную DNS зону. Настройка DNS зоны относится к подготовительным операциям перед развертыванием почтового сервера и от нее непосредственно зависит работоспособность системы электронной почты.

Неправильные настройки способны привести к тому, что почту будет невозможно доставить вашему почтовому серверу или сервера получателей будут отклонять вашу почту. Действительно, если записи вашей зоны не содержат сведений о почтовом сервере, куда должна отправляться почта? На деревню дедушке? Можно, конечно, попросить настроить DNS зону вашего провайдера, но лучше сделать это самим.

 

Как экспортировать зоны DNS текстовый файл

Многие полезные сетевые команды Windows Server можно выполнять из командной строки. Я уже рассказывал о Netsh, а в этот раз хочу поговорить о dnscmd — удобном инструменте, который предоставляет администраторам дополнительные возможности для защиты зон DNS.

 

Как делегировать правку записей DNS

Во многих ситуациях интеграция зон DNS в Active Directory является самым оптимальным вариантом конфигурации. Кроме того, я очень люблю использовать запись CNAME для работы с приложениями — например, для подключения к базам данных с помощью ODBC. Однако трудность заключается в том, что разрешения DNS зависят от разрешений Active Directory, а в крупных организациях за администрирование Active Directory и за администрирование приложений, как правило, отвечают разные лица.

 

Настройка DNS-суффиксов через GPO

DNS-суффиксы — один из самых важных компонентов сетевой конфигурации сервера. Тем не менее, ими часто пренебрегают, поскольку их параметры скрыты на самых нижних уровнях сетевых настроек. Обеспечить единую конфигурацию DNS-суффиксов на всех компьютерах сети можно несколькими способами, в том числе при помощи групповой политики.

 

Новинка - зона "GlobalNames" в Windows Server 2008

Вопрос: Что такое GlobalNames в Windows Server 2008?

Ответ: Отказываясь от WINS, компания Microsoft создала новую зону Windows 2008, названную GlobalNames. GlobalNames -- однокомпонентные записи (например, NetBIOS), преобразуемые по всему лесу. Создание и обслуживание записей в GlobalNames выполняется вручную. Чтобы активировать GlobalNames, выполните следующие шаги:

 

Split DNS: научим BIND работать на два, три, четыре и более фронтов

Вы системный администратор организации, которая использует много внешних адресов и свои DNS-серверы? У вас единое адресное пространство для внешних и внутренних серверов? Вы используете разные DNS-серверы для внутренней и внешней сети? Не стоит так усложнять себе жизнь. Есть способ заставить BIND работать на два фронта!

 

 


Страница 1 из 2

Яндекс.Метрика