Hierarchia nazw, hierarchia domen, rejestracja domen, rodzaje i zastosowanie rekordów DNS Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Kraków, 09.12.2014 r.
Plan wykładu Windows Server DNS zasada działania DNS w Windows Server
Active Directory Produkt Microsoft pierwotnie zastosowany w Windows 2000 Lepsze narzędzia administracyjne Bardziej niezawodny i skalowalny Szybszy i bardziej wygodny w zarządzaniu Kadry Nowy uzytkownik w AD Tozsamosc sieciowa + nowy pracownik Konto e-mail Konto poczty glosowej Pager 8 7 6 5 4
Aplikacje Serwerowe Kontroler domeny Uwierzytelnianie użytkowników w serwerze Serwer wykazu globalnego Kopia listy użytkowników w Active Directory Serwer DNS Lista sieciowych serwerów i systemów Serwer DHCP Przydzielanie adresów sieciowych Cluster Server Umożliwia przełączanie na inny system w razie awarii Terminal Server (Serwer terminali) Usługi dostępu przez terminal Remote Access Server (Serwer dostępu zdalnego) Udostępnia usługi dostępu zdalnego Serwer WWW Udostępnia technologie hostingu dla aplikacji przez WWW Distributed File System (Serwer rozproszonego systemu plików) Udostępnia rozproszony system plików
Wersje systemu Windows Server 2003 Windows Server 2003 Web Edition Jedno- lub dwuprocesorowa Na potrzeby serwera aplikacji dostosowanego do potrzeb sieci Jako frontony dla serwerów baz danych, systemów przesyłania wiadomości i systemów serwerów danych i aplikacji Z reguły ł instalowany jako prosty serwer WWW dla środowiska d i k tworzenia aplikacji lub integrowany z bardziej złożonym systemem serwerów WWW Zwiększone możliwości skalowania w porównaniu z wcześniejszymi wersjami Obsługuje do 2GB pamięci ę RAM na potrzeby pamięci ę podręcznej ę Nie nadaje się dla organizacji, które chcą zainstalować tani serwer plików i drukowania lub infrastruktury (DNS, DHCP, kontroler domeny), gdyż nie pozwala na tradycyjny dostęp wielu użytkowników do plików i drukowania oraz nie zawiera usług infrastruktury
Wersje systemu Windows Server 2003 Windows Server 2003 Standard Edition Najbardziej typowa wersja przeznaczona do roli serwera plików Obsługuje do czterech procesorów na serwer Obsługuje usługi plików i drukowania, może pełnić rolę wieloprocesorowego serwera WWW Obsługuje usługi terminalowe Obsługuje do 4GB pamięci RAM na potrzeby pamięci podręcznej Nadaje się dla organizacji, które chcą zainstalować tani serwer plików i drukowania Nadaje się dla organizacji, które chcą zainstalować tani serwer plików i drukowania lub infrastruktury (DNS, DHCP, kontroler domeny)
Wersje systemu Windows Server 2003 Windows Server 2003 Enterprise Edition Wersja przeznaczona do roli dużych, skalowalnych konfiguracji serwerów Obsługuje do ośmiu procesorów na serwer Obsługuje do 32GB pamięci RAM na potrzeby pamięci podręcznej Dostępna również w wersji 64-bitowej Odpowiednia dla wewnętrznych serwerów aplikacji o dużych wymaganiach dostępności lub mocy obliczeniowej, np. SQL Server czy dużych wewnętrznych systemów transakcji handlu elektronicznego Potrafi obsłużyć setki użytkowników w jednym serwerze Obsługuje klastry zawierające do 8 węzłów, co pozwala uzyskać zdolność nieprzerwanej dostępności sieci na poziomie 99.999%
Wersje systemu Windows Server 2003 Windows Server 2003 Datacenter Edition Wersja przeznaczona dla specjalnego sprzętu, obsługująca 8 do 64 procesorów i klastry zawierające do 8 węzłów Przeznaczona dla organizacji wymagających skalowalnej technologii serwerowej obsługującej duże scentralizowane hurtownie danych Czas sprawności rzędu 99.999% Sprzedawany jedynie z dedykowanymi systemami sprzętowymi
Windows Server 2003 - ulepszenia Kreatory instalacji, konfiguracji i zarządzania Ułatwiają dodawanie, modyfikacje, usuwanie elementów konfiguracji systemu Często stosowane zamiast instalacji ręcznej Bezpieczeństwo Najbardziej bezpieczny system z rodziny Windows Większość usług bezpośrednio po instalacji jest wyłączonych Obsługa nowych standardów IPv6 Web XML (XML jest językiem programowania, a usługi Web środowiskiem udostępniającym dynamiczne usługi WWW) Standardy zabezpieczeń IETF
Windows Server 2003 korzyści administracyjne i Automatic Server Recovery (ASR) automatyczny system przywracania systemu Narzędzie do przywracania systemu Pozwala administratorowi na odbudowę uszkodzonego serwera bez konieczności reinstalacji systemu operacyjnego ASR robi zdjęcie serwera, obejmujące system operacyjny, parametry konfiguracji systemu, informacje o konfiguracji partycji na dyskach Przy przywracaniu danych ASR odtwarza dane ścieżka po ścieżce, co pozwala na brak konieczności formatowania dysków Software Update Service (SUS) usługa aktualizacji oprogramowania Pozwala administratorom na automatyczne wyszukiwanie i pobieranie aktualizacji i łat do centralnego serwera, a następnie skonfigurować zasadę grup automatycznie rozprowadzającą aktualizacje do poszczególnych serwerów Minimalizacja nakładów pracy administratorów Out-of-Band Management zarządzanie poza siecią g ą p ą Pozwala połączyć się z modemem lub portem szeregowym RS-232 serwera i zarządzać nim z poziomu wiersza poleceń Pozwala administratorowi zalogować się do systemu i dokonać zrzutu obrazu lub uruchomić ponownie serwer
Windows Server 2003 korzyści administracyjne Group Policy Management Console konsola zarządzania zasadami grup Pozwala administratorom na łatwiejsze tworzenie zasad grup i zarządzanie nimi Zamiast pracować z szeregiem indywidualnych zasad, administrator może utworzyć grupy definicji pozwalające definiować ustawienia dla określonych działań użytkowników i komputerów Udostępnia grupy definicji pozwalające definiować typowe aktualizacje systemów, instalować określone aplikacje, zarządzać profilami użytkowników itp. Remote Installation Service for Servers (RIS for Servers) usługi zdalnej instalacji dla serwerów Pozwala na tworzenie obrazów konfiguracji serwerów, które następnie można wysłać do serwera RIS i w przyszłości użyć do odtworzenia nowego systemu Umożliwia stworzenie nowego, czystego obrazu serwera z zainstalowanymi wszystkimi podstawowymi narzędziami za każdym razem, gdy administrator chce zainstalować nowy serwer, zamiast tworzyć go od nowa, może użyć obrazu z instalacji RIS z pakietami Service Pack, łatami, aktualizacjami itp. Może być również stosowany jako funkcjonalne narzędzie przywracania systemu po awarii
Windows Server 2003 instalowanie systemu System Windows Server 2003, poza standardową d możliwością ś instalacji nadzorowanej z płyty, udostępnia także wiele innych trybów instalacji, dzięki którym proces ten może stać się znacznie prostszy i krótszy, a administrator, który go przeprowadza, wcale nie musi poświęcać instalowanej kopii wiele uwagi Instalacja nienadzorowana Instalacja nadzorowana Instalacja z obrazu (RIS)
Windows Server 2003 nowa instalacja czy modernizacja? Zalety nowej instalacji: Pewny, dobry serwer Brak problemów z migracją, tym samym z uszkodzeniami czy wadami poprzedniego systemu Wady nowej instalacji: Utrata wszystkich ustawień konfiguracji z poprzedniego systemu Konieczność wcześniejszej ś j dokumentacji informacji o konfiguracji oraz wykonania kopii zapasowej wszelkich danych, które powinny być zachowane Zalety modernizacji instalacji: Pozostają dotychczasowe ustawienia, użytkownicy, grupy, prawa i uprawnienia Brak konieczności reinstalacji aplikacji oraz przywracania danych Wady modernizacji instalacji: Wady modernizacji instalacji: Konieczność przetestowania zgodności aplikacji Konieczność aktualizacji z serwerowego systemu operacyjnego
Windows Server 2003 nowa instalacja czy modernizacja? Poprzedni system Czy można zmodernizować do systemu operacyjny Windows Server 2003? Windows NT 3.51 i starsze Windows NT 4.0 Server Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Professional Windows XP Professional Novell NetWare Nie, najpierw należy zaktualizować do NT 4.0 Service Pack 5 lub nowszego Tak, musi być zainstalowany Service Pack 5 lub wyższy Tak Tak Nie, modernizować można tylko serwerowe systemy operacyjne Nie, modernizować można tylko serwerowe systemy operacyjne Nie, lecz dostępne są narzędzia do migracji danych z NDS (Novell Directory Services) do domeny Windows
Windows Server 2003 instalowanie poprzez RIS Istota działania ł i RIS (Remote Installation Service) ) polega na instalacji systemów operacyjnych Windows poprzez sieć Źródłem instalacji są obrazy systemów przechowywane na jednym lub wielu serwerach usługi Rozpoczęcie instalacji polega na uaktywnieniu w klientach rozruchu z karty sieciowej - wtedy serwer RIS w odpowiedzi na rozruch komputera-klienta rozpoczyna instalację sieciową Instalację RIS można połączyć z instalacją nienadzorowaną
Windows Server 2003 instalacja poprzez RIS Wymagania RIS względem sieci: musi w niej istnieć serwer DNS musi w niej istnieć serwer DHCP przynajmniej j jeden kontroler domeny musi być dostępny w momencie instalacji usługi RIS oraz później podczas instalacji zdalnych Wymagania RIS względem serwera: musi pracować pod kontrolą ą systemu Windows 2000 Server, Windows 2000 Advanced Server, Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition wraz z klientami RIS musi należeć do domeny Active Directory musi posiadać dwa woluminy, z czego jeden sformatowany jako NTFS 5.0, udostępniony na potrzeby usług RIS, nie zawierający żadnego systemu oraz dostatecznie pojemny aby zmieścić oprogramowanie RIS jak i obrazy instalacji musi być komputerem jednoadresowym, tzn. posiadać tylko jedną kartę sieciową z jednym adresem IP Wymagania RIS względem klientów: konfiguracja sprzętowa pokrywa się lub przekracza minimalne wymagania sprzętowe dla danego systemu operacyjnego posiada kartę sieciową zgodną ze specyfikacją NetPC lub posiada kartę sieciową wyposażoną w Boot ROM zgodny z PXE oraz BIOS zawierający obsługę uruchamiania systemu z PXE lub posiada kartę sieciową obsługiwaną przez system oraz dyskietkę uruchomieniową instalacji zdalnej
Windows Server 2003 Active Directory Active Directory to usługa katalogowa (hierarchiczna baza danych) dla systemów Windows - Windows 2003 Server oraz Windows 2000, będąca implementacją protokołu LDAP (ang. Lightweight Directory Access Protocol okrojony protokół dostępu do katalogu) Domena pozwalała na przechowywanie informacji o ograniczonej stałej ilości typów obiektów (konto użytkownika lub komputera, grupie) z ograniczoną stałą ilością atrybutów przypisanych do konkretnych typów obiektów - nie istniała możliwość rozszerzenia schematu domeny o dodatkowe d atrybuty t lub typy obiektów, które można ż przechowywać. Domeny posiadały też technologiczne ograniczenie liczby obiektów, które mogły być przechowywane (do ok. 40 tys. obiektów w jednej domenie). Domeny nie były oparte też na żadnym otwartym protokole - nie istniała możliwość dostępu z aplikacji innych producentów bez wykorzystania bibliotek pochodzących od producenta firmy Microsoft. Active Directory jako następca usuwa największe wady domen, tj. wprowadzono: hierarchiczność przechowywania informacji dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory) rozszerzalność schematu zawierającego definicje obiektów Wikipedia
Windows Server 2003 Active Directory Usługa Active Directory jest usługą katalogową przeznaczoną dla produktów Windows Server Standard Edition, Windows Server Enterprise Edition i Windows Server Datacenter Edition Usługa Active Directory przechowuje informacje o obiektach znajdujących się w sieci oraz ułatwia administratorom i użytkownikom wyszukiwanie i korzystanie z informacji tego typu Usługa Active Directory używa strukturalnego magazynu danych jako podstawy logicznej, hierarchicznej organizacji informacji o katalogu Microsoft
Windows Server 2003 najważniejsze funkcje Active Directory Zgodność z TCP/IP Podstawowy środek komunikacji Obsługa LDAP (Lightweight g Directory Access Protocol) Standardowy internetowy protokół usług katalogowych stosowany do aktualizacji i odpytywania o dane zawarte w katalogu Obsługa DNSu (ang. Domain Name Server system nazw domen) Obsługa zabezpieczeń Wbudowana obsługa IPSec oraz szyfrowania SSL Łatwość zarządzania
Windows Server 2003 struktura Active Directory Domena Active Directory Główny logiczny obszar ograniczający w strukturach Użytkownicy i komputery mieszczą się w obrębie domeny i w niej są zarządzani Obszary ograniczone zabezpieczeń ń dla obiektów, stosujące własne ł zasady Możliwość zmiany nazwy domeny Drzewa domen Active Directory Składa się ę z dwóch lub więcej ę domen połączonych ą dwukierunkowymi, przechodnimi relacjami zaufania Ponieważ domeny POLSKA I NIEMCY ufają domenie EUROPA, to ufają też sobie Prawa dostępu są przydzielane osobno Lasy w Active Directory Grupa połączonych ze sobą drzew domen Bezpośrednie relacje zaufania łączą korzenie (domeny główne) wszystkich drzew we wspólny las EUROPA POLSKA NIEMCY
Windows Server 2003 bezpośrednie relacje zaufania w AD Bezpośrednie relacje zaufania Tworzone ręcznie (podobnie jak to było w WIN NT) Jednokierunkowe Może połączyć dwie domeny w las Możliwość tworzenia tzw. skrótów Możliwość tworzenia zewnętrznych relacji zaufania, a więc łączących las domen AD z domeną zewnętrzną Bezposrednia relacja zaufania EUROPA AZJA Przechodnie relacje zaufania Przechodnie relacje zaufania POLSKA NIEMCY JAPONIA Skrótowa relacja zaufania
Windows Server 2003 grupy w środowisku Active Directory Efektywny mechanizm zarządzania zabezpieczeniami dla dużej liczby użytkowników Pozwalają logicznie organizować użytkowników Podział grup ze względu na zasięg: Grupy lokalne komputera (ang. machine local group) Obejmują zasięgiem członków z dowolnej zaufanej lokalizacji Członkami mogą być użytkownicy i grupy w lokalnej domenie oraz z innych zaufanych domen i lasów Zezwalają jedynie na dostęp do zasobów w komputerze, do którego należą (ograniczona przydatność) Grupy lokalne domeny (ang. domain local group) Służą do zarządzania zasobami mieszczącymi się tylko w swojej domenie Mogą zawierać użytkowników i grupy z dowolnej innej zaufanej domeny, lecz są dostępne tylko w macierzystych domenach Windows 2000 Głównym zastosowaniem jest przyznawanie dostępu do zasobów grupom z różnych domen Grupy globalne (ang. global group) Przeciwieństwo grup lokalnych domeny Mogą zawierać tylko użytkowników z domeny, w której istnieją, lecz służą do przyznawania dostępu do zasobów położonych w innych zaufanych domenach Np. Globalna grupa pracowników działu kadr Grupy uniwersalne (ang. universal group) Mogą zawierać użytkowników i grupy z dowolnej domeny w lesie i przyznawać dostęp do dowolnego zasobu w lesie Dostępne tylko w domenach działających w trybie macierzystym Wszyscy członkowie wszystkich grup uniwersalnych są zapisani w wykazie globalnym, co zwiększa obciążenie replikacjami
Windows Server 2008 nowe funkcje serwer Internet Information Services w wersji 7 ulepszony model łatek, nie wymagający restartów systemu przyspieszona instalacja z użyciem Windows Imaging Format nowe narzędzia do zarządzania, zorientowane na role wykonywane przez serwer znacznie usprawnione usługi terminalowe (obsługa RDP w wersji 6.0) z możliwością uruchamiania tylko jednej aplikacji, zamiast całego pulpitu SharePoint Services 3.0 Server Message Block 2.0 znaczne zmniejszenie jądra systemu wiele dotychczasowych jego funkcjonalności, m.in. menedżer okien, zostało przeniesione do usług
Windows Server 2012 nowe funkcje przystosowany do pracy w chmurze i jest zgodny z platformą Azure zwiększono m.in. obsługiwaną ilość pamięci (z 64 GB do 1 TB) oraz liczbę ę procesorów (z 4 do 64 - może z nich korzystać pojedyncza maszyna wirtualna) zwiększono dostępną pojemność dysków wirtualnych z 2 TB do 64 TB mechanizm DAC (Dynamic Access Control) - dynamiczne prawa dostępu do plików, automatyczne szyfrowanie dokumentów nowy system plików ReFS (Resilient File System) - do obsługi np. serwerów plików, a nie do instalacji oprogramowania systemowego lub innych aplikacji
DNS (Domain Name Server) Mechanizm dokonujący konwersji nazw ("adresów ASCII") na stosowne adresy IP system hierarchiczny na górze hierarchii hii stoją tzw. TLD (Top Level Domains), czyli domeny najwyższego rzędu, np..com (komercyjne),.pl (krajowe),.net (sieci) i inne Każda z głównych domen posiada swoje subdomeny, np. google.com, onet.pl, itp. Każda domena może mieć swoje poddomeny w ten sposób powstają zagęszczone hierarchie w obrębie danej domeny
DNS (Domain Name Server) c.d. Każda domena (strefa) musi mieć co najmniej dwa serwery DNS, jest to wymóg instytucji oferujących możliwość rejestracji domen - jeden z serwerów określa się jako podstawowy (również master lub primary) a drugi jako zapasowy (slave lub secondary).
DNS zasada działania Serwery DNS po otrzymaniu zapytania próbują zamienić adres domenowy (np.: kt.agh.edu.pl) na adres IP (149.156.114.3) 156 114 gdy serwer nie odnajduje odwzorowania nazwy domeny, zwraca odwołanie do kolejnego serwera DNS; cała procedura przekazywania zapytania między serwerami DNS może być powtarzana aż, do osiągnięcia i i limitu it czasu -w takim przypadku pod wyjściowy adres IP zostanie zwrócony komunikat o błędzieę odwołania do kolejnych serwerów DNS są generowane za pomocą cyklu zapytań iteracyjnych, klient DNS zaś posługuje ł się zapytaniami i rekurencyjnymi
DNS przykłady domen najwyższego ż poziomu.com - (comercial) - do zastosowań komercyjnych, firmy etc..edu - (education) - do zastosowań edukacyjnych, dla uniwerystetów, instytutów naukowych etc..gov (government) - do zastosowań rządów krajów (początkowo rządu USA), strony kongresu, sejmu etc..int (institutions) - stworzona dla instytucji.mil (military) - dla wojska.net (networking) - do zastosowań dla dostawców usług internetowych.org og (organization) ato - dla daorganizacji acj pozarządowych, non-profit
DNS przykłady domen rodzajowych.biz-(biznes)-dla biznesu.info (information) - dla celów informacyjnych.name - stworzone dla indywidualnych użytkowników.pro - (proffesional) - dla profesjonalistów, popularnych zawodów etc..aero - dla przemysłu kosmicznego.coop - dla współpracy (kooperacji).museum - dla muzealnictwa
DNS delegacja i zarządzanie domenami Każda domena identyfikuje pewne poddrzewo w drzewie hierarchii przestrzeni nazw, czyli identyfikuje węzeł grafu wraz z węzłami będącymi jego potomkami. Wielkość liter w nazwie domeny nie ma znaczenia, nazwy każdego członu domeny mogą liczyć co najwyżej j 63 znaki, długość całej nazwy domeny ograniczona jest natomiast do 255 znaków.
DNS delegacja i zarządzanie domenami Aby stworzyć domenę potrzebna jest zgoda zarządzającego domeną macierzystą (np. NASK). Domena kt.agh.edu.pl musi mieć ć zgodę zarządzającego domeną agh.edu.pl właściciel nowo utworzonej domeny staje się jej zarządcą i może definiować jej poddomeny bez pytania kogokolwiek wyżej w hierarchii nazw o zgodę.
DNS rodzaje serwerów ROOT SERVER - zna wszystkie domeny najwyższego poziomu (TLD) w sieci Internet. MASTER SERVER - jest "miarodajny" dla całego obszaru bieżącej domeny, prowadzi bazy danych dla całej strefy. Istnieją dwa rodzaje MASTER SERVERów: - PRIMARY MASTER SERVER - SECONDARY MASTER SERVER CACHING SERVER serwer buforujący FORWARDING SERVER serwer przekazujący przekazuje rekursywne zapytanie, które nie zostało rozwiązane lokalnie SLAVE SERVER bez dostępu do Internetu
DNS działanie resolvera Resolver - program, który potrafi wysyłać zapytania do serwera DNS. Gdy system operacyjny potrzebuje określić adres IP ukryty pod daną nazwą domenową, zleca to zadanie resolverowi. Program ten wysyła zapytanie do serwera DNS na port 53 w pakiecie UDP. Gdy serwer DNS odwzoruje nazwę wysyła pakiet UDP z adresem IP poszukiwanego hosta z portu 53 na port powyżej ż 1024 (z tego portu wyszło ł zapytanie).
DNS proces poszukiwania adresu IP 1. Klient DNS wysyła zapytanie o adres IP www.kt.agh.edu.pl do serwera DNS 2. Serwer DNS wysyła zapytanie do jednego z głównych serwerów nazw dla internetu (jest ich 13 - tzw.: root servers ich obowiązkiem ą jest udostępnianie informacji o adresach IP serwerów zarządzających domenami najwyższego poziomu). 3. "Root Server" odsyła listę serwerów posiadających informacje dla domeny.pl 4. Serwer DNS wysyła ł więc zapytanie o host www.kt.agh.edu.pl do serwera odpowiedzialnego za domenę.pl, a ten zwraca listę adresów IP serwerów DNS odpowiedzialnych za domenę.edu.pl
DNS proces poszukiwania adresu IP 5. Podobna kolejność zdarzeń wysłania przez serwer DNS zapytania o host i odpowiedź serwera DNS odpowiedzialnego za daną ą domenę ę występuje aż do określenia adresu IP serwera DNS odpowiedzialnego za domenę kt.agh.edu.pl, który po otrzymaniu zapytania o adres IP host-a zwraca go do naszego "początkowego" serwera DNS.
DNS (ang. Domain Name Server) ) Podstawowy system nazw w Win 2003 Server Niezbędny składnik implementacji Active Directory w Win 2003 Server Implementacja zgodna z RFC DNS stosuje hierarchiczną metodę rozwiązywania nazw Zapytanie o nazwę jest przekazywane w górę i w dół hierarchii nazw domen, dopóki nie zostanie znaleziony poszukiwany komputer Poszczególne poziomy hierarchii są oddzielone kropkami symbolizującymi podział Przestrzeń nazw DNSu to ograniczony obszar zdefiniowany przez nazwę Publiczne przestrzenie nazw (publikowane w Internecie) Prywatne przestrzenie nazw (nie publikowane w Internecie); najczęściej używane w Active Directory ze względu na bezpieczeństwo
DNS instalacja za pomocą kreatora konfiguracji Proces prosty, nie wymaga restartu komputera Start/Wszystkie programy/narzędzia administracyjne/kreator konfigurowania serwera serwer DNS Instalacja typowa (koniec) lub niestandardowa Wybór stref wyszukiwania Do przodu (nazwa adres) Typ strefy: podstawowa Przechowywana w usłudze Active Directory Wybór rodzaju aktualizacji dla strefy Wybór stref wyszukiwania i Wstecz (adres nazwa) Typ strefy: podstawowa Identyfikator ID dla strefy wyszukiwania wstecz Dla adresu 10.1.1.0/24 będzie to 10.1.1 Wybór rodzaju aktualizacji dla strefy Wybór rodzaju serwera DNS (czy ma być ć serwerem przekazującym)
DNS konfiguracja DNS wskazującego na siebie W ustawieniach TCP/IP można skonfigurować serwer DNS, tak by wskazywał na siebie w celu rozwiązywania nazw Start/Panel sterowania/połączenia sieciowe wybór adaptera sieciowego z usługą DNS właściwości W zakładce TCP/IP należy wybrać opcje użyj następujących adresów serwerów DNS i wpisać odpowiedni adres serwera DNS
DNS Rekordy zasobów Rekordy zasobów (ang. resource records) służą do identyfikowania obiektów w hierarchii DNS Stosowane do podstawowego wyszukiwania użytkowników i zasobów w podanej domenie i są unikatowe w obrębie swojej domeny Rekordy SOA (ang. Start of Authority) początek pełnomocnictwa W bazie danych DNSu wskazuje, który serwer jest autorytatywny y y dla określonej strefy Wskazany serwer jest uznawany za najlepsze źródło informacji o danej strefie i odpowiada za przetwarzanie aktualizacji strefy Rekord zawiera: Interwał TTL Osobę odpowiedzialną za DNS Inne krytyczne informacje
DNS Rekord hosta (A) Najczęściej spotykany typ rekordu zasobu w DNS Zawiera nazwę hosta i odpowiadający jej adres IP Stosowane do podstawowego wyszukiwania użytkowników i zasobów w podanej domenie i są unikatowe w obrębie swojej domeny
DNS Rekord serwera nazw i rekordy usług Rekordy serwera nazw (ang. Name Server): Identyfikują komputery pełniące role serwerów nazw dla określonej strefy Rekordy usług (SRV): Wskazują, który zasób świadczy i d określoną usługęł Każdy rekord SRV zawiera informacje o określonej funkcjonalności udostępnianej przez usługę Np. serwer LDAP może dodać rekord SRV wskazujący, że potrafi obsługiwać zapytania LDAP dla określonej strefy
DNS Rekord skrzynki pocztowej (MX) i wskaźnika (PTR) Rekordy skrzynki pocztowej (ang. Mail Exchanger): Wskazują, które zasoby są dostępne dla przyjmowania poczty SMTP Z reguły ł tworzone one dla poszczególnych ch domen Np. rekord MX dla domeny firma.abc będzie oznaczał, że cała poczta wysyłana na adres xxx@firma.abc będzie wysyłana na serwer wskazany w tym rekordzie Rekord wskaźnika (PTR) Zapytania odwrotne korzystają z rekordów PTR (ang. Pointer) Szukanie nazwy zasobu skojarzonej z określonym adresem IP wykonuje wyszukiwanie wstecz, używając tego adresu IP Serwer DNS odpowiada rekordem PTR, który zawiera nazwę skojarzoną z adresem IP Najczęściej ę j spotykane w strefach wyszukiwania wstecz
DNS Rekord nazwy kanonicznej (CNAME) i inne rekordy Rekord nazwy kanonicznej (ang. Canonical Name): Zawiera alias hosta i pozwala na reprezentowanie jednego lub wielu serwerów przez kilka nazw w DNSie Inne rekordy AAAA odwzorowuje standardowy adres IP na 128-bitowy adres IPv6 ISDN odwzorowuje nazwę DNS na numer telefonu ISDN KEY zawiera klucz publiczny, służący do szyfrowania w danej domenie RP wskazuje osobę odpowiedzialną za domenę (ang. Responsible Person)
DNS hierachiczna struktura RFC 819 oraz częściowo w RFC 1034 i RFC 1035 Zestaw domen tworzy graf skierowany (w formie drzewa, którego korzeniem jest domena najwyższego poziomu)
Strefy DNS Strefa oznacza fragment przestrzeni nazw kontrolowany przez określony serwer DNS lub grupę serwerów Definiują granice, w ramach których określony serwer ją g, y y może rozwiązywać zapytania
Strefy DNS Strefa podstawowa Wszelkie zmiany w tej strefie muszą być wprowadzone w serwerze zawierającym kopię główną tej strefy Strefa pomocnicza Zapewnia redundancję i równoważenie obciążenia strefie podstawowej Tylko do odczytu Tworzona jako kopia zapisów z strefy podstawowej Strefa skrótowa Nie zawiera informacji o członkach domeny Zawiera informacje o serwerach przekazujących dalej zapytania do wyznaczonych serwerów nazw dla różnych domen Zawiera jedynie rekordy NS, SOA i tzw. doklejone (rekordy A, skojarzone z określonym rekordem NS, aby rozwiązać nazwę określonego serwera nazw na adres IP)
Zapytania DNS Zapytania rekurencyjne Najczęściej zadawane przez resolwery (klienty wymagające rozwiązania określonej nazwy przez serwer DNS) Zadawane również przez serwer DNS (o ile dla danego serwera są skonfigurowane forwardery serwery przekazujące dalej) Sprawdzają czy określony serwer nazw może ż rozwiązać ć określony rekord (odpowiedź pozytywna lub negatywna) Zapytania iteracyjne W odpowiedzi na nie serwer albo powinien rozwiązać nazwę albo wskazać inny serwer, który jego zdaniem może być skuteczniejszy Powyższy krok jest powtarzany do skutku
Inne składniki DNS Czas życia TTL Czas (w sekundach) przez jaki resolwer lub serwer nazw będzie przetrzymywać w pamięci podręcznej odpowiedź na żądanie, zanim zażąda jej ponownie od serwera nazw Pozwala utrzymać poprawność informacji w bazie danych DNSu Wartość jest kwestią równoważenia pomiędzy zapotrzebowaniem na aktualność informacji i potrzebą zmniejszenia ruchu sieciowego powodowanego przez DNS Wskazówki główne Gdy serwer DNS nie potrafi rozwiązać lokalnie zapytania na podstawie pamięci podręcznej i lokalnych stref, wówczas korzysta z listy wskazówek głównych określającej, od których serwerów zacząć iteracyjne zapytania Lista musi być regularnie aktualizowana
Inne składniki DNS Forwardery (serwery przekazujące) Serwery nazw obsługujące wszystkie zapytania iteracyjne dla serwera nazw Jeśli serwer e nie może odpowiedzieć ieć na zapytanie resolwera e klienta, wówczas serwery dysponujące forwarderami przekazują żądanie dalej do forwardera znajdującego się wyżej w hierarchii, który dokona iteracyjnych zapytań do internetowych serwerów nazw poziomu głównego Wyszukiwanie za pomocą WINS Baza a danych WINS może posłużyć ż ć w połączeniu z DNSem do wspomagania rozwiązywania nazw przez DNS Gdy dla zapytania skierowanego do DNSu wyczerpią się wszystkie możliwości rozwiązania nazwy metodami DNSu, można odpytać o tę nazwę serwer WINS
Ewolucja usługi Microsoft DNS Strefy zintegrowane z Active Directory W Windows 2000 strefy DNS były zintegrowane z AD Przechowywane w AD Podczas replikacji AD, strefy DNS również ż były ł replikowane (m.in. bezpieczne aktualizacje, uwierzytelnianie) W Windows 2003 strefy DNS składowane są w partycji aplikacji Zmniejszony ruch sieciowy replikacji Aktualizacje dynamiczne Pozwalają klientom automatycznie rejestrować ć i wyrejestrowywać własne rekordy hostów przy łączeniu z siecią Obsługa zestawu znaków Unicode Pozwala na zapisywanie w DNSie rekordów zapisanych w Unicode, a więc w wielu zestawach znaków z różnych języków Pozwala serwerowi DNS wykorzystywać y y i wyszukiwać rekordy zawierające niestandardowe znaki, np. podkreślenie
Zmiany w DNS w Windows 2003 Server DNS w partycji aplikacji Przechowywanie stref zintegrowanych z AD w partycji aplikacji AD Dla każdej domeny w lesie tworzona jest osobna partycja aplikacji służąca do przechowywania wszystkich rekordów istniejących w każdej strefie zintegrowanej z AD Partycja aplikacji nie jest zawarta w wykazie globalnym, tak więc rekordy DNS nie są objęte replikacją wykazu globalnego Automatyczne tworzenie stref DNS Ułatwia proces tworzenia strefy, zwłaszcza dla AD Koniec problemu wyspy W Win 2000 pojawiał a się ę problem, gdy serwer e DNS wskazywał a na asebe siebie jako swój serwer DNS Gdy adres tego serwera zmieniał się, serwer DNS aktualizował własny wpis, lecz od tego momentu inne serwery nie były w stanie odebrać od niego aktualizacji wpisów (żądały ich od starego starego adresu IP) izolacja serwera DNS W celu rozwiązania problemu należało wskazać serwerowi głównemu DNS inny serwer DNS do aktualizacji W Win 2003 DNS najpierw zmienia i swoje rekordy hostów w wystarczającej liczbie innych autorytatywnych serwerów DNS, aby zmiany IP zostały pomyślnie replikowane eliminuje to problem wyspy
DNS w środowisku Active Directory AD wykorzystuje DNS do wszelkich wewnętrznych operacji wyszukiwania, od logowania klientów do wyszukiwania w wykazie globalnym Wpływ DNSu na AD Nawet w mniejszych środowiskach warto rozważyć użycie duplikatu podstawowej strefy DNSu Bezpieczeństwo bazy danych DNS nie powinno być brane za coś oczywistego Zaleca się: Bezpieczne aktualizacje stref zintegrowanych z AD Utrzymywanie serwerów DHCP poza kontrolerami domen również pomaga zabezpieczyć ć DNS Ograniczenie dostępu administracyjnego do DNSu AD i DNS innych producentów AD może współistnieć z implementacjami DNSu innych producentów niż Microsoft, a nawet korzystać z nich (z reguły nowszymi) W organizacjach stosujących starsze wersje DNSu, które nie mogą obsługiwać klientów AD we własnych bazach danych, DNS Active Directory można oddelegować do osobnej strefy, w której będzie autorytatywny (w serwerach Win 2003 server można skonfigurować forwardery do obcych implementacji DNSu zapewniające rozwiązywanie nazw w oryginalnej strefie)