Безопасное динамическое обновление
Безопасные обновления DNS доступны только для зон, интегрированных в службу каталогов Active Directory. После преобразования зоны в интегрированную становится возможным использование с консоли DNS списков управления доступом. Можно добавлять пользователей и группы в списки или удалять их для указанной зоны или записи ресурса. Параметры безопасного динамического обновления для DNS-серверов и клиентов по умолчанию обрабатываются следующим образом.
ü DNS-клиенты сначала предпринимают попытки выполнить небезопасные динамические обновления. При отказе на небезопасные обновления клиенты пытаются выполнить безопасные обновления.
Кроме того, клиенты используют политику обновления по умолчанию, которая позволяет им пытаться переписывать ранее зарегистрированную запись ресурса, если она специально не заблокирована условиями безопасности обновления.
ü После интегрирования зоны в службу каталогов Active Directory DNS-серверам Windows Server 2003 по умолчанию разрешаются только безопасные динамические обновления.
При использовании стандартного сохранения зон настройки по умолчанию службы DNS-сервер не разрешают динамические обновления зон. И для зон, интегрированных в каталоги, и для использующих стандартное сохранение в файлах можно изменить параметры зоны и разрешить динамические обновления. Это позволяет принимать любые обновления.
При развертывании DNS-серверов совместно с Active Directory необходимо иметь в виду следующее:
ü Служба DNS требуется для обнаружения контроллеров доменов Windows Server 2003. Служба сетевого входа в систему использует новые средства поддержки DNS-серверов для обеспечения регистрации контроллеров доменов в пространстве доменных имен DNS.
ü DNS-серверы Windows Server 2003 могут использовать службу каталогов Active Directory для сохранения и репликации зон.
При интегрировании зон в службу каталогов пользователи получают возможность использовать дополнительные средства DNS, такие как безопасные динамические обновления и средства устаревания и очистки записей.
Способы интеграции DNS со службой каталогов Active Directory:
ü При установке Active Directory на сервер выполняется повышение сервера до роли контроллера указанного домена. Когда данный процесс завершается, пользователю выводится приглашение указать доменное имя DNS для домена Active Directory, для которого выполняется присоединение и повышение сервера.
ü Если в этом процессе удостоверяющий DNS-сервер для указанного домена либо не обнаруживается в сети, либо не поддерживает протокол динамического обновления DNS, выводится приглашение установить DNS-сервер. Такая возможность предоставляется, поскольку DNS-серверу необходимо отыскать этот сервер или другие контроллеры домена для рядовых серверов домена Active Directory.
После установки Active Directory имеются две возможности сохранения и репликации зон при работе с DNS-сервером на новом контроллере домена.
ü Стандартное сохранение зоны с помощью файла в текстовом формате.
Зоны, сохраняемые в этом способе, размещаются в файлах с раширением DNS, которые сохраняется в папке systemroot\System32\Dns на каждом компьютере, на котором выполняется DNS-сервер. Имя файла зоны соответствует имени, которое пользователь выбрал для зоны при ее создании, например, mspu.edu.ru.dns, если именем зоны является «mspu.edu.ru.dns».
ü Сохранение зон, интегрированных в службу каталогов, с помощью базы данных Active Directory. Зоны, сохраняемые таким образом, размещаются в дереве Active Directory под разделом каталога домена или приложения. Каждая зона, интегрированная в службу каталогов, сохраняется в контейнере dnsZone, который идентифицируется по имени, выбранному пользователем при ее создании.
Преимущества интеграции с Active Directory.
В сетях с развертыванием DNS для поддержки службы каталогов Active Directory настоятельно рекомендуется использовать основные зоны, интегрированные в службу каталогов, которые предоставляют следующие преимущества.
ü Обновление с несколькими главными серверами и расширенные средства безопасности, базирующиеся на возможностях Active Directory.
В модели стандартного сохранения зон обновления DNS выполняются на основе модели с единственным главным сервером. В такой модели единственный удостоверяющий DNS-сервер зоны обозначается как основной источник для зоны. Это сервер содержит главную копию зоны в файле на локальном диске. В этой модели основной сервер зоны представляет единственную фиксированную точку отказа. Если этот сервер недоступен, запросы на обновление зоны от DNS-клиентов не обрабатываются. При сохранении зон, интегрированных в службу каталогов, динамические обновления DNS выполняются с использованием модели с несколькими главными серверами. В этой модели любой удостоверяющий DNS-сервер, например, контроллер домена, выполняющий службу DNS-сервер, обозначается как основной источник для зоны. Поскольку главная копия зоны поддерживается в базе данных Active Directory, которая полностью реплицируется на все контроллеры домена, зона может обновляться любыми DNS-серверами, выполняющимися на любом контроллере домена.
Хотя службу DNS можно выборочно удалять с контроллеров домена, зоны, интегрированные в службу каталогов, всегда сохраняются на каждом контроллере домена. В результате сохранение и управление зонами не является дополнительным ресурсом. Кроме того, способы синхронизации информации, сохраняемой в службе каталогов, обеспечивают повышение быстродействия по сравнению со стандартными способами сохранения обновлений зон, которые могут потенциально потребовать передачи зоны целиком.
ü За счет сохранения баз данных зон DNS в Active Directory имеется возможность рационализировать репликацию баз данных в сети.
Когда пространство имен DNS и домены Active Directory сохраняются и реплицируются независимо, необходимо обеспечить планирование и администрирование каждого из них в отдельности. Например, при одновременном использовании стандартного сохранения зон DNS и службы каталогов Active Directory необходимо обеспечить структуру, реализацию, тестирование и управление для двух различных топологий репликации баз данных. Одна топология требуется для репликации данных из каталогов между контроллерами домена, а другая топология может потребоваться для репликации баз данных зон между DNS-серверами.
Это приведет к дополнительным трудностям при планировании и разработке структуры сети с учетом ее естественного роста. За счет интеграции сохранения информации DNS появляется возможность унифицировать вопросы управления и репликации для DNS и Active Directory, объединяя их в единое административное целое.
ü Репликация каталогов выполняется быстрее и эффективнее, чем стандартная репликация DNS.
Поскольку репликация Active Directory выполняется на уровне отдельных свойств, распространяются только необходимые изменения. При этом для зон, интегрированных в службу каталогов, используется и отправляется меньший объем данных.
Задание 1. Установка сервера DNS
- Запустите виртуальную машину.
- Подключите к виртуальной машине образ установочного диска win2003.iso.
- Откройте диалоговое окно Управление данным сервером (Пуск/Администрирование/Управление Данным Сервером).
- Активизируйте установку сервера имен:
ü
запустите мастер добавления ролей сервера, кнопкой Добавить или удалить роль ;
ü ознакомьтесь с информацией мастера и продолжите установку кнопкой Далее;
ü укажите тип установки Особая конфигурация и продолжите установку кнопкой Далее.
ü выберите в списке доступных ролей сервера пункт DNS-сервер. Нажмите Далее.
ü Ознакомьтесь с сводкой выбранных параметров и продолжите установку кнопкой Далее.
После завершения установки сервера имен, автоматически запуститься Мастер настройки DNS-сервера.
- Выполните первоначальную настройку DNS-сервера с помощью мастера:
ü ознакомьтесь с информацией мастера (Далее);
ü ознакомьтесь с предлагаемыми вариантами настройки сервера;
ü выберите создание зоны прямого просмотра (Рисунок 4) для небольших сетей, соответствующей радиокнопкой (Далее);
ü укажите ваш DNS-сервер в качестве DNS-сервера, который будет обслуживать зону прямого просмотра, радиокнопкой Управление зоной выполняется этим сервером. Далее;
Рисунок 4 - Размещение основного сервера
ü задайте имя зоны, например example.edu.ru и продолжите установку кнопкой Далее.
ü введите в поле Создать новый файл имя файла (например example.edu.ru.dns)в котором будет храниться конфигурация зоны. Продолжите установку кнопкой Далее;
ü запретите динамическое обновление соответствующей радиокнопкой и продолжите настройку кнопкой Далее;
ü откажитесь от пересылки запросов на другие DNS-сервера, выбрав радиокнопку Нет, не пересылать запросы (Далее);
ü ознакомьтесь с информацией о недоступности корневых сертификатов и щелкните ОК;
ü завершите первоначальную настройку DNS-сервера кнопкой Готово.
Задание 2. Настройка сервера DNS
- Переключитесь в диалоговое окно Управления данным сервером.
- Перейдите в управление DNS-сервером, кнопкой Управление этим DNS-сервером.
Появится окно консоли администрирования (Рисунок 5), с открытой оснасткой управления DNS-сервером
Рисунок 5 - Создание зоны прямого просмотра
- Настройте зону прямого просмотра:
ü откройте диалоговое окно свойств созданной ранее зоны example.edu.ru (контекстное меню/Свойства)
ü настройте очистку и обновление содержимого DNS-сервера:
a) откройте окно очистки, кнопкой Очистка;
b) установите флажок Удалять устаревшие записи ресурсов;
c) установите интервал блокирования - 1 день;
d) установите интервал обновления - 7 дней;
e) подтвердите изменения кнопкой ОК.
ü установите срок жизни (TTL) записи – 2 часа:
a) перейдите на вкладку Начальная запись зоны (SOA);
b) введите в поле Срок жизни (TTL) записи – 0: 2: 0: 0;
c) установите желаемые интервалы для обновления и повтора - не менее 1 и не более 15 минут.
Завершите настройку кнопкой ОК.
- Создайте запись в DNS-сервере соответствующую физическому компьютеру:
ü откройте диалоговое окно добавления новых узлов (контекстное меню example.edu.ru/Создать узел (А));
ü введите в поле Имя - <имя_физического_компьютера>;
ü введите в поле IP-адрес - 192.168.1.1;
ü завершите добавление кнопкой Добавить.
- Создайте новую основную зону обратного просмотра:
ü откройте мастер создания новых зон (Рисунок 6) (контекстное меню Зоны обратного просмотра/Создать новую зону);
ü ознакомьтесь с информацией мастера и щелкните Далее;
ü укажите тип создаваемой зоны - Основная зона (Далее);
ü укажите код сети – 192.168.1 (Далее). Поскольку IP-адреса создаваемой сети к сети класса C, то в IP-адресах сети будет меняться только последний разряд адреса.
Рисунок 6 - Задание кода сети
ü укажите имя файла для зоны по умолчанию и продолжите установку кнопкой Далее.
ü установите запрет динамических обновлений (Далее);
ü завершите создание зоны кнопкой Готово.
- Протестируйте работу DNS-сервера:
ü откройте диалоговое окно свойств DNS-сервера (контекстное меню Wind2003/Свойства);
ü перейдите на вкладку Наблюдение;
ü установите флажок Простой запрос к этому DNS-серверу;
ü активируйте тестирование кнопкой Тест;
Результат отобразиться в поле Результаты теста.
ü создайте и сохраните в своей папке снимок экрана с результатами теста;
ü закройте диалоговое окно свойств кнопкой ОК.
- Выключите ВМ.
Контрольные вопросы
1. Охарактеризуйте систему доменных имен (DNS).
2. Что такое Корень доменов? Приведите пример.
3. Что такое Домен верхнего уровня? Приведите пример.
4. Что такое Домен второго уровня? Приведите пример.
5. Что такое Поддомен? Приведите пример.
6. Что такое Имя узла или ресурса? Приведите пример.
7. Что такое рекурсия?
8. Что такое итерация? Какие две стадии включает этот процесс?
9. Какие ответы может получить пользователь на запросы?
10. Какие этапы включает в себя обратный запрос?
11. Что такое Динамическое обновление?