Zarządzanie serwerem DNS – cz. 1

Witajcie

Po wielu perypetiach właśnie zamieszczam tekst do rysunków z początku bieżącego miesiąca. Za opóźnienia wszystkich wiernych czytelników bardzo przepraszam. Dzisiejszy (i nie tylko) temat to podstawy zarządzania serwerem DNS. Jak wiemy usługa rozwiązywania nazw jest jedną z najważniejszych usług sieciowych. DNS jest przy tym protokołem dość dobrze opisanym tak więc po informacje szczegółowe na temat tej usługi i samego protokołu odsyłam wszystkich zainteresowanych do jego opisu na wikipedii w wersji polskiej i angielskiej. Teraz zaś do rzeczy – czyli instalacji i podstawowej konfiguracji serwera DNS w oparciu o Windows Server 2008. W celu demonstracji tego zagadnienia posłużymy się trzema maszynami. Pierwszą z nich jest sam serwer, na których zainstalujemy rolę serwera DNS. Pozostałe dwie maszyny to maszyny klienckie oparte o leciwy już (choć wystarczający do celów demonstracji rozwiązywania nazw) system Windows XP. Maszynom zostały przyporządkowane następujące numery IP:

192.168.10.1 – Windows Server 2008 / serwer DNS o nazwie DNS-SRV1

192.168.10.10 – Windows XP / Klient nr 1 o nazwie WXP-CL1

192.168.10.20 –  Windows XP / Klient nr 2 o nazwie WXP-CL2

Nie opisuję na tym etapie szczegółowo konfiguracji adresów IP bowiem proces ten powinien być czytelnikom doskonale znany z poprzednich moich tekstów. Warto natomiast wspomnieć, że wymienione nazwy nie są nazwami FQDN (Fully Qualified Domain Name) poszczególnych maszyn lecz ich nazwami NetBIOS na podstawie, których w dalszym etapie zdefiniujemy nazwy FQDN. W odpowiednim momencie wyłączymy również obsługę protokołu NetBIOS co spowoduje, że rozwiązywanie nazw oparte o ten protokół będzie niemożliwe – pozostanie tylko DNS. Aby mówić o serwerze DNS opartym o system Windows Server 2008 musimy zainstalować wspominaną wcześniej rolę (rys. 1). Warto w tym przypadku wspomnieć, że serwer DNS może tutaj działać w dwóch trybach. Pierwszy z nich, którym zajmiemy się w bieżącym i kolejnym odcinku to niezależny serwer DNS przechowujący zdefiniowane przez administratora strefy DNS. Drugim z trybów pracy serwera DNS jest integracja z usługą Active Directory. Jest to bardzo specyficzny tryb pracy bowiem podczas promocji kontrolera domeny serwer DNS instalowany jest domyślnie. Domyślnie też tworzony jest zestaw stref odpowiadający zdefiniowanej domenie AD. Szczegółowo tym trybem pracy serwera DNS zajmiemy się w kolejnych odcinkach.

 Rys. 1. Instalacja roli serwera DNS. 

Po instalacji roli serwera DNS, która wymaga od administratora jedynie potwierdzenia chęci instalacji wspomnianej roli możemy za pomocą polecenia dnsmgmt.msc wywołać konsolę zarządzania serwerem DNS (rys. 2). Jak możemy zaobserwować kontenery zawierające strefy wyszukiwania w przód i strefy wyszukiwania wstecznego są puste co oznacza ze to na administratorze spoczywa obowiązek zdefiniowania stref i ich nazewnictwa. W przypadku kiedy instalujemy serwer DNS razem z kontrolerem domeny AD odpowiednie strefy i komplet wpisów są tworzone automatycznie.

 Rys. 2. Konsola zarządzania serwerem DNS. 

Kolejnym krokiem mającym na celu zademonstrowanie działania serwera DNS jest wyłączenie rozwiązywania nazw NetBIOS. Należy jednak podkreślić, że w normalnym środowisku nie ma konieczności wyłączania obsługi tego protokołu, gdyż protokoły DNS i NetBIOS mogą ze sobą współistnieć w ramach tej samej infrastruktury sieciowej chyba, że czynimy to ze względów bezpieczeństwa. Co więcej należy podkreślić, że domeny AD również mogą posiadać nazwy NetBIOS, choć stan ten utrzymywany jest raczej z konieczności zapewnienia kompatybilności wstecznej. Wyłączenia obsługi NetBIOS dokonać można przez wywołanie zaawansowanych właściwości protokołu TCPIP we właściwościach połączenia sieciowego. Odpowiednie ustawienie znajdziemy w zakładce WINS (rys. 3).

 Rys. 3. Wyłączenie rozwiązywania nazw za pomocą protokołu NetBIOS i obsługi pliku LMHOSTS. 

Aby sprawdzić efekt naszych działań na dowolnym kliencie wywołujemy konsolę i za pomocą polecenia ping + nazwa klienta testujemy rozwiązywanie nazw NetBIOS (rys. 4). Jeśli inny komputer nie odpowiada oznacza to, że obsługa protokołu NetBIOS została wyłączona. Aby zatrzymać rozwiązywanie nazw NetBIOS w obrębie całej sieci powyższą procedurę należy powtórzyć na wszystkich podłączonych maszynach (klientach i serwerach).

 Rys. 4. Nieudana próba rozwiązania nazwy za pomocą NetBIOS.

Następnie przystąpić możemy do zdefiniowania strefy wyszukiwania w przód. Odbywa się to za pomocą kreatora strefy wywoływanego po rozwinięciu prawym przyciskiem myszy menu kontekstowego dla kontenera przechowującego strefy wyszukiwania do przodu czyli takie które służą do tłumaczenia nazwy na konkretny adres IP. Po wywołaniu kreatora mamy do dyspozycji wybór strefy (rys 5). Możemy zdefiniować strefę jako strefę główną (primary), wtórną (secondary) i skrótowej (stub). Strefa główna jest strefą przeznaczoną do zapisu i odczytu. W przypadku aktualizacji rekordów DNS to właśnie do takiej strefy zapisywane są uaktualnienia. Strefa wtórna jest kopią strefy głównej przeznaczoną do odczytu. Strefy wtórne dla danej strefy głównej mogą być przechowywane na wielu serwerach, a ich zastosowanie ma na celu zwiększenie niezawodności systemu DNS i zapewnienie równoważenia obciążenia serwerów DNS w dużych sieciach. Strefa skrótowa jest zaś specjalnym typem strefy przechowującym tylko wybrane elementy strefy głównej. Jest ona stosowania w dużych sieciach połączonych łączami WAN o niskiej przepustowości. jej zastosowanie ma na celu zmniejszenie obciążenia ruchem łączy typu WAN. Świetny opis systemu DNS po polsku można również znaleźć na technecie. Zauważyć też można, że jedno dodatkowe ustawienie jest niedostępne. Jeśli korzystamy z AD to strefy zdefiniowane na serwerach domenowych mogą być przechowywane w partycjach usługi katalogowej.

 Rys. 5. Tworzenie nowej strefy głównej.

W kolejnym kroku zdefiniować możemy pełną nazwę kwalifikowaną FQDN domeny (rys. 6). Może to być nazwa domeny organizacji albo nazwa poddomeny danej organizacji. Należy też pamiętać, że nasz serwer będzie autorytatywnym serwerem dla zdefiniowanej przez nas przestrzeni nazw lub jej fragmentu. Oznacza, to że serwer ten jest w stanie rozwiązać wszystkie nazwy znajdujące się w domenie ita.local. W przypadku gdybyśmy uruchomili drugi serwer DNS obsługujący poddomenę domeny ita.local o nazwie np hr.ita.local to byłby on serwerem autorytatywnym dla poddomeny hr ale nieautorytatywnym dla ita.local. Taki serwer w przypadku otrzymania zapytania o rozwiązanie nazwy z domeny ita.local musiałby przekazać zapytanie dalej do serwera autorytatywnego dla tej domeny.

 Rys. 6. Nadawanie strefie nazwy FQDN. 

Następnie zdefiniować musimy nazwę pliku, w którym dana strefa będzie przechowywana (rys. 7). Istnieje też możliwość przywrócenia strefy z pliku.

 Rys. 7. Definiowanie nowego pliku przechowującego strefę DNS. 

Niezbędne jest też wybranie sposobu aktualizacji rekordów w strefie. Jeśli serwer DNS nie jest kontrolerem domeny AD ani serwerem członkowskim usługi Active Directory to możliwy jest jedynie wybór jedynie pomiędzy aktualizacjami dynamicznymi i brakiem aktualizacji rekordów zasobów. Do celów prezentacji zablokujemy aktualizacje automatyczne i będziemy tworzyć rekordy zasobów ręcznie. Pod pojęciem rekordów zasobów rozumiemy zestaw rekordów DNS. Listę tych rekordów znaleźć można pod tym adresem.

 Rys. 8. Definiowanie trybu aktualizacji strefy DNS. 

Po dokończeniu inicjalizacji strefy dostępne są w niej dwa rekordy utworzone domyślnie. Są to rekord SOA będący rekordem początkowym danych domeny określającym serwer przechowujący strefę główną, czas odświeżania, czas, życia rekordu, ważność itd. i rekord NS  mówiący o tym, że serwer DNS-SRV1 jest autorytatywny dla domeny ita.local. Pełną informację na temat rekordów SOA i NS można znaleźć pod adresami: http://www.immt.pwr.wroc.pl/tool/node96.html, http://www.immt.pwr.wroc.pl/tool/node97.html i http://www.immt.pwr.wroc.pl/tool/node98.html. Na tym etapie możemy też zdefiniować rekordy typu A odpowiadające translacji nazw FQDN na adresy IPv4 (rys. 9).

 

Rys. 9. Definiowanie rekordów w strefie DNS. 

Po zdefiniowaniu rekordów dla naszych trzech maszyn (rys. 10) możemy przystąpić do przetestowania serwera DNS.

Rys. 10. Zdefiniowane rekordy. 

Po wydaniu polecenia ping + nazwa FQDN maszyny powinniśmy otrzymać adres IP i odpowiedź danej maszyny (rys. 11) . 

Rys. 11. Rozwiązanie nazwy za pomocą serwera DNS. 

W ten sposób uruchomiliśmy samodzielnie nasz pierwszy serwer DNS. Należy jednak zaznaczyć, że to dopiero wstęp do administracji serwerem DNS. O strefach wyszukiwania wstecznego, rekordach zasobów transferach stref, delegacji i innych funkcjach i własnościach serwera DNS opowiem już w następnym odcinku.

Bartosz Pawłowicz