Что можно делать с клиентской машины при взаимодействии с dns и dhcp
Разработки в области DHCP и динамической DNS должны облегчить управление IP-адресами и именами доменов. ОСНОВЫ TCP/IP DHCP: ЗАКЛИНАНИЕ IP? ХОСТ ПОД ЛЮБЫМ ДРУГИМ ИМЕНЕМ КТО СТУЧИТСЯ В ДВЕРЬ КО МНЕ?
Разработки в области DHCP и динамической DNS должны облегчить управление IP-адресами и именами доменов.
Вследствие гигантского спроса на доступ в Internet и стремления больших и малых компаний построить идеальную корпоративную сеть Intranet, администраторы сетей сталкиваются с многочисленными сложностями в управлении IP-адресами и именами доменов. Последние разработки в области протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP) и динамической системы имен доменов (Domain Name Service) открывают перед ними новую альтернативу.
ОСНОВЫ TCP/IP
TCP/IP - это не один протокол, а скорее семейство или комплект взаимосвязанных протоколов. Протокол TCP связывает высокоуровневые сервисы с IP, а тот в свою очередь взаимодействует с протоколом канального уровня. На Рисунке 1 изображена иерархия семейства протоколов TCP/IP в сопоставлении с эталонной моделью ISO OSI.
Рисунок 1.
Стек протоколов TCP/IP показан в сравнении с эталонной моделью OSI. В иерархии TCP/IP протоколы TCP и IP служат связующими звеньями между высокоуровневыми и низкоуровневыми протоколами.
Например, рабочая станция может иметь такой IP-адрес: 192.228.17.62. Он делится на две части - номер сети и номер хоста. Номер сети состоит из одного, двух или трех первых октетов в зависимости от класса сети, а оставшиеся октеты отводятся под номер хоста.
DHCP: ЗАКЛИНАНИЕ IP?
Несмотря на то что практика назначения статических IP-адресов позволяет хостам в сети найти друг друга, реализация и управление сети TCP/IP со статическими адресами предоставляет в избытке проблем для администраторов сетей. Каждому новому объекту в сети должен быть задан уникальный IP-адрес. Хосту необходимо также указать IP-адрес шлюза. Если хост перемещается в другую сеть, то эти адреса скорее всего придется изменить.
Данная процедура представляется весьма простой, но что делать, если под вашим попечительством находится сеть с более чем 10 000 узлами, причем ежедневно появляется несколько десятков или даже сотен новых систем? К тому же не стоит забывать об этих докучливых портативных компьютерах, пользователи которых подключают адаптеры PCMCIA к соединителям Категории 5 там, где им заблагорассудится. Учитывая количество человеко-часов, необходимых для разрешения проблемы дублирования IP-адресов вкупе с проведением новых инсталляций и диагностикой унаследованных систем, нет ничего удивительного в том, что организации, большие и малые, ищут иные решения.
Очевидный способ решить эту проблему состоит в том, что при загрузке хост спрашивает IP-адрес у указанного ему сервера, избавляя администратора от необходимости переконфигурации хоста при каждом его перемещении. Изначально протокол, известный как BOOTP, разрабатывался для того, чтобы бездисковые рабочие станции могли запрашивать и получать информацию о конфигурации у назначенного сервера по UDP. Будучи шагом в правильном направлении, BOOTP тем не менее не имел средств для динамического назначения IP-адресов, так что администратору все равно приходилось вручную указывать серверу, какой адрес он должен дать данному хосту.
DHCP является дальним потомком BOOTP. Если BOOTP осуществляет только статическое назначение, то DHCP поддерживает три режима: динамический, автоматический и ручной. При динамическом назначении IP-адрес предоставляется хосту в аренду на определенный период времени, при автоматическом - хост получает адрес в бессрочную аренду, а назначение вручную происходит во многом так же, как и в случае BOOTP - система используется просто для передачи клиенту конфигурационной информации.
Несмотря на то что по сравнению со всеми предшествующими попытками автоматического назначения адресов DHCP является несомненным достижением, он не свободен от недостатков. Ввиду того, что DHCP использует клиент-серверную функциональную модель, клиент не может работать, если сервер DHCP не функционирует. Задание длительного срока аренды для предотвращения слишком частых запросов о продлении, а также установка более чем одного сервера DHCP для обслуживания новых запросов об аренде позволяют сделать эту модель более или менее отказоустойчивой. Если один сервер выйдет из строя, то при двадцатичетырехчасовой аренде у администратора будет достаточно времени для восстановления системы или установки новой машины с тем же самым пулом IP-адресов, что и у ее предшественника. Вообще говоря, клиенты DHCP начинают пытаться узнать о статусе сервера-арендодателя после того, как срок истек наполовину, и продолжают это делать периодически до полного окончания срока аренды, после чего при отсутствии данного сервера они обращаются за новым адресом к другому. Благодаря этому процессу клиент может продолжать функционировать, даже если прежний адрес недоступен.
Как указано в документе RFC 1541, опубликованном IETF, серверы DHCP, в отличие, например, от системы имен доменов, не могут обмениваться информацией для согласования базы данных об адресах. Вот почему администраторам, имеющим несколько серверов DHCP, необходимо задать свой диапазон адресов для каждого сервера, в противном случае разные клиенты могут автоматически получить одинаковые IP-адреса - что за гигантский шаг назад! Грустно об этом говорит, но рассматриваемые IETF предложения относительно DHCPv6 никак не затрагивают вопрос о взаимодействии серверов, оставляя решение этой проблемы на будущее.
ХОСТ ПОД ЛЮБЫМ ДРУГИМ ИМЕНЕМ
Вообще говоря, компьютерам проще работать с числами, в то время как людям - со словами. То же самое справедливо и в отношении IP-адресов. DNS разрабатывалась специально для того, чтобы пользователи могли обращаться к хостам по именам, а не по IP-адресам. Благодаря DNS пользователь может задать доменное имя хоста в виде цепочки слов с точкой в качестве разделителя - данный формат идентифицирует иерархическим образом имя хоста внутри сетевого домена. Сервер DNS ищет запрошенное имя в своей базе данных и сообщает соответствующий IP-адрес.
КТО СТУЧИТСЯ В ДВЕРЬ КО МНЕ?
Теперь, когда серверы DHCP могут динамически назначать IP-адреса, которыми DNS должна управлять, мы хотели бы иметь и динамическую службу DNS, чтобы она автоматически модифицировала таблицу соответствия имен доменов согласно новым назначениям DHCP. Современный стандарт не обеспечивает базы для динамической модификации таблицы имен доменов согласно назначениям DHCP; однако проект стандарта, рассматриваемый IETF, вкупе с рыночным прессингом, усилившимся в результате появления разработок нескольких производителей, должен в конце концов привести к появлению нового стандарта в ближайшие несколько лет.
Некоторые динамические системы DNS могут автоматически генерировать имя хоста во многом аналогично тому, как сервер DHCP назначает автоматически IP-адрес, однако такие системы в значительном меньшинстве на рынке динамических DNS. Учитывая тот факт, что первоочередная задача DNS состоит в том, чтобы пользователи могли давать легко запоминаемые имена сетевым устройствам, ценность систем, генерирующих алфавитно-цифровые идентификаторы, которые администратор или пользователь должен будет отыскать, если он хочет найти конкретный физический хост, весьма сомнительна.
В определенном смысле и DHCP и DNS не хватает того, что есть у другого: DHCP не обладает такой функцией DNS, как распространение таблиц DNS между серверами, а DNS - функцией динамического обновления информации DHCP. Эволюция обеих систем привела к своеобразной модификации проблемы курицы и яйца. Являясь наследником BOOTP, DHCP не имеет механизма для обращения к записям DNS о ресурсах для установления соответствия между полным доменным именем (Fully Qualified Domain Name, FQDN) и IP-адресом. В результате сервер DHCP делает неверные предположения относительно записей клиента DNS о ресурсах A и PTR.
В отсутствии стандарта компании IBM, Quadritek Systems и Isotro Network Management разработали программное обеспечение серверов DHCP и динамической DNS для решения этой проблемы следующим образом: сначала оно выполняет функцию сервера DHCP по динамическому назначению IP-адреса для данного клиента, а затем функцию динамического сервера DNS по размещению обновленной информации о соответствии имен. Такие системы находятся пока в младенческом состоянии и не отличаются поддержкой разнообразных клиентских платформ.
Кроме того, динамическая DNS представляет собой парадокс с точки зрения безопасности. Хорошо защищенные системы используют зачастую автономные или статические хранилища идентификаторов и конфигурационной информации для предотвращения несанкционированного изменения. Однако по своей природе эта стратегия вступает в противоречие с концепцией постоянно доступной, динамически модифицируемой клиент-серверной базы данных.
Представьте себе на мгновение, что злоумышленник посылает IP-адрес своей машины в качестве обновления открытому серверу DNS и, таким образом, занимает место настоящего хоста. В действительности эта проблема состоит из двух: проверка клиента и авторизация обновления DNS. Недавно принятый документ RFC 2065 предлагает расширить структуру записей DNS для поддержки использования криптографических цифровых сертификатов наряду с оснащенными функциями защиты агентами (resolver) и приложениями для заделки имеющихся "дыр" в системе защиты DNS.
Несмотря на то что сразу несколько поставщиков сетевых ОС разработали функции динамического обновления своих соответствующих таблиц DNS, каждая реализация имеет определенные ограничения, из-за которых полное взаимодействие между DHCP и динамической DNS невозможно.
OS/2 Warp Server 4.0 компании IBM представил на всеобщее обозрение "истинно" динамическую DNS (Warp DNS автоматически обновляется в соответствии с данными DHCP), причем он решает и проблему безопасности посредством реализации двух уровней цифровых подписей на основе механизма открытых ключей RSA для идентификации транзакций (с помощью защищенного, генерируемого клиентом ключа или с помощью защищенного, генерируемого сервером ключа, назначаемого клиенту).
По словам Глена Стампа, эксперта по динамическому IP в IBM-Raleigh, компания заняла выжидательную позицию, пока статус Secured DNS (DNSSEC) RFC 2065 не будет окончательно определен; однако он дал ясно понять, что IBM рассматривает вопросы защиты как вопросы чрезвычайной важности. Согласно утверждению Стампа, следующая версия OS/2 Warp Server будет иметь дополнительные функции защиты вместе с улучшенными функциями DHCP и динамической DNS корпоративного уровня.
Хотя динамическая DNS в Warp Server 4.0 является определенным шагом вперед, клиентская поддержка ограничена Warp Connect и AIX. Однако бета-версию клиента для Windows 95 можно найти на узле Web компании IBM, и она должна появиться в окончательном виде, когда эта статья выйдет в свет. Конфигурация DHCP осуществляется с помощью графического интерфейса в две колонки, а он в свою очередь генерирует конфигурационный файл ASCII, редактирование которого можно производить и вручную. Правда, функции сервера запускаются с помощью команд. Хотя графический интерфейс динамической DNS в версии 4.0 отсутствует, конфигурационный GUI на базе Java находится в стадии разработки для следующей версии, появление которой запланировано на осень. Также работа ведется и над взаимодействием с функциями DHCP ОС Windows NT 4.0, однако поддержка Windows NT 3.51 в настоящее время не планируется.
Windows NT Server 4.0 компании Microsoft имеет улучшенные по сравнению с версией 3.51 функции DHCP и DNS, но полноценных функций динамической DNS у него нет, так как обновление информации об именах возможно только для клиентов WINS (Windows Internet Naming Service). В результате DNS в Windows NT 4.0 не имеет связи с DHCP. Хотя в интерактивной документации по NT 4.0 утверждается, что NT поддерживает стандартный DHCP, система тем не менее не поддерживает BOOTP, а это в случае сетей, где есть устаревшее оборудование, может привести к проблемам взаимодействия.
NetWare/IP компании Novell, поставляемый вместе с IntranetWare, предоставляет пользователям NetWare поддержку сервера DHCP, причем конфигурация осуществляется с помощью утилиты DHCP Configuration Utility (DHCPCFG) со стандартным интерфейсом "а ля" NLM. DHCPCFG автоматически обнаруживает подсети, к которым сервер DHCP подключен, создавая профиль подсети для каждой, причем позднее профиль может быть отредактирован. Утилита допускает создание профилей для подсетей вручную, если сервер не имеет с ними прямого соединения. Реально сервер выполняет свои функции посредством dhcpsrvr.nlm.
Хотя NetWare/IP позволяет задавать несколько диапазонов IP-адресов в пуле, система не поддерживает исключенные адреса непосредственно; однако администратор может ввести MAC-адреса узлов, которые DHCP не должен обслуживать (т. е. назначать им IP-адреса), посредством их прямого указания в списке исключенных узлов. Хорошо хотя бы то, что исключение адресов может производиться с использованием символа подстановки вместо поля узла в MAC-адресе. DNS компании Novell полностью статична, и она вообще не имеет никаких динамических функций.
ДИНАМИЧЕСКИЕ ПАКЕТЫ
Ирония заключается в том, что окончательное объединение функциональности DHCP и динамической DNS будет скорее всего осуществлено не самими поставщиками сетевых ОС, а вторичными поставщиками, чьи системы мегауправления IP работают поверх данных операционных систем. Эти поставщики способны предоставить исключительно надежные решения.
Утилиты управления IP предлагают несколько поставщиков, но среди них мы бы хотели выделить: Quadritek Systems и Isotro Network Management. Продукты обеих компаний обладают широким диапазоном функций управления и позволяют осуществлять миграцию к IP в масштабах предприятия. Таким образом, в вопросах DHCP и динамической DNS эти компании знают, что делать.
Когда этот номер выйдет из печати, Quadritek должна уже выпустить версию 3.1 своей системы QIP для управления IP. Данная версия будет поддерживать обновления сервера DHCP не только на HP-UX, SunOS, Sun Solaris и AIX 4.1.2, но и на Windows NT. QIP уже имеет клиентов управления для Windows 3.1, Windows 95 и Windows NT, а также Unix и Motif/X11R5.
Система Quadritek реализует уникальный подход к управлению IP: и имеющиеся, и планируемые сегменты учитываются таким образом, что новые назначения IP-адресов в подсети делаются системой активными автоматически. Система представляет единую точку управления всеми серверами DNS и DHCP, в том числе обширные возможности управления арендой, адресами и обновлением конфигурации. QIP импортирует существующие таблицы DHCP и DNS в центральную базу данных, заменяя оригинальные функции системы хоста на свои собственные, после чего база данных исходной системы обновляется из этой центральной системы управления. Администратор NT должен будет сначала импортировать данные IP в QIP, а затем отключить полностью сервис DHCP, после чего QIP берет на себя выполнение всех функций IP и DNS. "При развертывании кем-либо сервера управления QIP он получает одну базу данных, отвечающую за всю корпорацию, и эта база данных берет на себя заботу об обновлении многочисленных удаленных баз данных вне зависимости от того, на какой платформе они находятся", - говорит Малкольм Хейвуд, вице-президент Quadritek.
Isotro предлагает свою систему NetID в версиях для Unix и Windows. NetID имеет серверы DHCP и динамической DNS, Web Gateway для доступа к Internet и обширный комплект инструментов для управления IP. Корпоративное издание имеет лицензию на трех пользователей, поддерживает базы данных Sybase и Oracle в качестве центрального хранилища всей идентификационной информации о хостах, а также включает Admin Tool, Export Tool, Import Tool и Scheduler.
С помощью NetID Admin Tool администратор может просматривать всю информацию об идентификации, управлять доступом пользователей и конфигурировать систему с помощью определяемых полей, записей о ресурсах, опций BOOTP, шаблонов, системных моделей и многооконного интерфейса. Администратор может непосредственно инициировать функции импорта и экспорта из Admin Tool или, при желании, из Export Tool и Import Tool. С помощью последнего инструмента идентификационную информацию можно загрузить из существующих файлов с данными о зонах DNS, хост-файлов Unix, табличных файлов BOOTP или пользовательских текстовых файлов, созданных из электронных таблиц или баз данных. Система имеет опции для управления опциями DHCP и BOOTP на уровне всей сети, подсети и хоста.
ПЕРЕКОНФИГУРАЦИЯ DHCP
Почитав недавние топики про DynDNS решил написать краткую инструкцию по связке DHCP с DNS.
Далее приводим dhcpd.conf до подобного вида:
ddns-updates on;
update-static-leases on;
ddns-domainname "status.ks.ua";
ddns-update-style interim;
ignore client-updates;
update-static-leases true;
default-lease-time 3600;
max-lease-time 3600;
key DHCP_UPDATER algorithm HMAC-MD5;
secret X/Vl6yCJ9xz3UE+FDV7gNQ==;
>
local-address 10.1.1.1;
zone internal.status.ks.ua. < primary 10.1.1.1; key DHCP_UPDATER; >
zone 1.1.10.in-addr.arpa. < primary 10.1.1.1; key DHCP_UPDATER; >
zone 2.1.10.in-addr.arpa. < primary 10.1.1.1; key DHCP_UPDATER; >
Переходим к редактирования DNS-сервера.
Редактируем bind, добавляем в конфиг:
key DHCP_UPDATER algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret "X/Vl6yCJ9xz3UE+FDV7gNQ= internal.status.ks.ua" type master;
file "int/internal.status.ks.ua" ;
allow-update < key DHCP_UPDATER; >;
>;
zone "1.1.10.in-addr.arpa" <
type master;
file "int/10.1.1.rev" ;
allow-update < key DHCP_UPDATER; >;
>;
zone "2.1.10.in-addr.arpa" <
type master;
file "int/10.1.2.rev" ;
allow-update < key DHCP_UPDATER; >;
>;
p.s. т.к. у меня два вьюва настроено на внутреннюю сетку и на внешнюю, Вам необходимо будет чуть подрихтовать конфиг под себя.
Попробуем динамическое обновление через nsupdate
; nsupdate -d [this file]
key DHCP_UPDATER X/Vl6yCJ9xz3UE+FDV7gNQ==
zone internal.status.ks.ua
update add virtual 86400 A 10.1.2.105
send
zone 2.1.10.in-addr.arpa
update add 105 86400 PTR zigmund.internal.status.ks.ua.
send
Должны появиться файлики .jnl.
Подводные камни с которыми можно столкнуться:
— Обращать внимание на точки в описании зон
— При chroot-е обращать внимание на наличие нужных файлов в chroot-ed структуре
— Обращать внимание на владельца файлов зон
— используйте named-checkzone
Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов. Этот процесс состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.
Система доменных имен (Domain Name System) - служба имен Интернета, стандартная служба TCP/IP. Служба DNS дает возможность клиентским компьютерам в сети регистрировать и разрешать доменные (символьные) имена. Доменные имена используются, чтобы находить ресурсы в сети и обращаться к ним. Сервер DNS входит в стандартную сборку Windows Server.
Допишем на нашем Linux-сервере в файлы конфигурации DNS строку:
Всё. Теперь BIND будет принимать информацию об IP-адресах от компьютера с адресом 192.168.1.1. Само собой, предполагается, что это адрес сервера DHCP.
А теперь внимание. Не важно – Linux у вас сервер, или вы те аналогичные настройки произвели на Windows, вы открыли доступ к кофигурированию вашего DNS-сервера. Да, вы ограничили доступ к нему адресом 192.168.1.1, но что может помешать злоумышленнику выдать свои датаграммы за датаграммы этого сервера? Нет, понятно, что существует множество антихакерских и прочих защитных программ, но всёже одним из базовых механизмов безопасности конфигурационных серверов является их размещение на одной локальной машине с правом доступа к ним только с локального узла (127.0.0.1).
В общем устройств великое множество и все они "хотят" в интернет.
К примеру смартфон, который есть у большинства людей. Выйти в интернет может двумя-тремя способами, и из великого множества мест.
В каждом месте подключения есть свои особенности и чтобы не плодить числа записей "на бумажечке" да и вообще упростить жизнь существует сервер DHCP. Его цель только одна - выдать нужные настройки каждому устройству в локальной сети. Данный сервер отвечает только за эту сеть, про другие он ничего не знает.
Про свою сеть DHCP-сервер знает "всё". На самом деле нет конечно, но многое, и раздаёт настройки всем устройствам, которые сделают соответствующие запросы. И настройки в том размере какие требуется.
Теперь собственно о том какие настройки в основном используются.
IP-адрес и маска подсети - это "обратный адрес" данного устройства, надо же куда то отправлять ответы, правильно?
И любое другое устройство тоже имеет такой адрес.
IP-DNS - это специальный сервер, который переводит "с русского на компьютерный" и обратно.
Сначала ваш компьютер спрашивает "а собсна кто такой яндекс и где оно"?
Не у вас же спрашивать, вы не знаете, иначе и не спрашивали. Компьютер спрашивает у DNS-сервера. Ну и потом уже дальше отправляет свои запросы самому яндексу.
gate (шлюз) - все сети делятся на подсети, устройств много и чтобы упростить адресацию это дело и введено было. А чтобы как то обращаться на компьютеры в другой подсети как раз и придуман тот самый шлюз. Он пускает и принимает а так же отправляет дальше информацию "в большой мир".
Подсеть и маска подсети
Чтобы не усложнять я напишу только про "домашние" варианты. И про версию 4.
192.168.yyy.ххх/24 (здесь "yyy" и "ххх" это число от 0 до 255, )
Все устройства имеют "уникальный" IP-адрес внутри подсети
IP-адрес состоит из четырёх чисел. Разделяются точками. Каждое число должно быть в диапазоне 1-255. Первые 3 числа определяют саму подсеть.
Четвертое число - "номер" устройства в данной подсети.
Та самая маска, о которой я писал ранее /24 или 255,255,255,0 как раз и определяет какая часть IP-адреса будет общим адресом подсети, а какая номер самого устройства.
P.S . Всю эту информацию сообщает DHCP-сервер. Всё это можно и вручную заполнить, только зачем эти все простыни цифр заносить в настройки каждого устройства?
К слову . DHCP-сервер обычно выдаёт IP-адрес компьютеру, адреса DNS и шлюза. Выдаёт "на время" и через некоторое время надо эту адресацию перезапрашивать. Сделано это из-за того, что некоторые компьютеры подключаются, отключаются. На пару секунд или пару лет. Чтоб адреса не простаивали Это и придумано.
На самом деле DHCP может много чего ещё выдавать, если настроено конечно. DNS и FTP, gate и AD DC и кучу другой информации. Обычно не используется. Нигде. Но может. На эту тематику есть книжки. страниц на 200 каждая. Здесь сжато, тезисно. Для дома.
Сетевые сервисы относятся к ядру вашей сети, той основе, на которой все строится. По убеждениям автора это достаточно простые, однако, от этого не менее важные сервисы.
DHCP – сервис, который позволяет устройству в сети динамически получать IP адрес и некоторые настройки сети от центрального сервера. Если Ваш компьютер настроен на динамическое получения IP адреса, то при загрузке он будет отправлять широковещательные запросы, в надежде, что ему ответит DHCP сервер. DHCP сервер даст ответ, тогда компьютер даст запрос на получение IP от этого сервера, предоставив ему свой мак-адрес. В ответ сервер выдаст IP или сообщит, что это невозможно.
Службы DNS и DHCP могут быть установлены на различных серверах и сетевых устройствах. Начиная от домашних роутеров, и заканчивая отдельными серверами, специально выделенными под эти задачи. При планировании сети важно правильно выбрать месторасположение и количество серверов, обеспечивающих надежную работу этих сервисов.
Например, для отказоустойчивости DHCP можно настроить несколько серверов, а для DNS помимо избыточности устанавливают внутренние и внешние DNS-сервера.
Настройка DNS и DHCP серверов может быть выполнена как ОС Windows так и Linux. В зависимости от выбранной платформы могут быть различные преимущества и особенности настройки. Например, в Windows 2012 появилась возможность поднять службу DHCP в отказоустойчивом режиме и использовать безопасные подключения для DNS. Для того, чтобы установить сетевые службы DNS и DHCP на серверах Windows необходимо поднять соответствующие роли. Дальнейшая настройка зависит от параметров вашей сети.
Работа ActiveDirectory тесно связана с сервисом DNS. Установить службы DNS можно в процессе поднятия роли ADDS, таким образом, установка DNS сервера будет произведена на контроллере домена. DHCP, кстати также имеет интеграцию с доменом: доменная машина не получит IP от DHCP сервера, если он не активирован в AD.
Для установки DNS и DHCP сервера требуется, чтобы сам сервер имел статический IP. Также на момент установки серверов крайне рекомендуется уже иметь разработанный план подсетей, областей и исключений. Также не стоит забывать о правильной конфигурации сетевого оборудования. Например, получение ip адреса от DHCP сервера будет работать в рамках одного широковещательного домена. Если вы используйте оборудование Cisco и несколько vLan, для каждого из них нужно прописать ip-helper с указание ip адреса DHCP сервера. В случае использования другого сетевого оборудования нужно найти механизмы для настройки этого функционала. После установки роли, подключиться к службам для дальнейшего управления можно с помощью консоли, которая находится в меню инструментов для администрирования.
Дальнейшая настройка DHCP сервера требует конфигурирования хотя бы одной области, в рамках которой будет указан пул выдаваемых IP адресов, адреса, которые нужно исключить из выдачи, а также резервирования. Резервировать IP адрес нужно для того, чтобы этот адрес выдавался автоматически, но только одному единственному устройству. В качестве уникального идентификатора используется MAK адрес сетевого интерфейса устройства, которому требуется выдать IP. Кроме этих настроек также можно указать ряд сетевых параметров (options), которые будут получены вместе с IP адресом. Например, шлюз и DNS сервера сети, прокси-сервера для выхода в Интернет, параметры PXE для загрузки устройства по сети, а также многое другое.
Для дальнейшей настройки DNS сервера потребуется создание хотя бы одной прямой и, при необходимости, обратной зоны, указать необходимость динамических обновлений и настроить пересылку запросов. Для настройки можно использовать готовый мастер, вызвать который можно из меню консоли управления DNS.
При создании зоны нужно указать ее тип. Существует 3 типа зон:
- Основная. Используется непосредственно для управления записями Зоны.
- Дополнительная. Является копией основной и может выдавать информацию о записях зоны, однако не позволяет редактирование.
- Зона-заглушка. Хранит в себе только информацию о NS-серверах зоны, упрощая процесс разрешения имен и администрирования DNS.
После того как зона создана. Ее нужно наполнить требуемыми записями.
Наиболее используемые из них
- A (АААА для IPv6)– ставит имя в соответствие IP адресу.
- CNAME – псевдоним для записи A
- MX – адрес почтового шлюза для доменной зоны.
- NS – адреса серверов, обслуживающих зону.
- TXT – запись произвольных двоичных данных.
- PTR – ставит IP адрес в соответствие имени.
Есть еще другие, такие как SOA, SRV и пр.
Нужно отметить, что другие DNS сервера обновляют информацию о вашей зоне с некоторой задержкой, соответственно, нужно помнить, что, несмотря на то, что изменения DNS зоны применяются незамедлительно, говорить об однозначном отсутствии ошибок в разрешении имен можно только через 48 часов после применения изменений.
Одной из частых задач, возникающих при установке собственного DNS сервера является перенос зоны от провайдера. Для этого необходимо:
- Создать дополнительную зону.
- Стянуть все данные с основной зоны при помощи синхронизации.
- Сделать зону основной
- Изменить для нее NS сервера.
Говоря о создании резервной копии важно понимать, что сам сервис разворачивается за несколько минут и основными данными, которые подлежат защите, является:
- Для DHCP: дамп настроек сервера и областей.
- Для DNS: дамп настроек и зон.
Методов защиты этой информации существует великое множество. Какой из способов выбрать – решать Вам.
Данный текст был призван пролить свет на необходимость и принципы работы сетевых сервисов DNS и DHCP в инфраструктуре Вашего предприятия.
Читайте также: