Zarządzanie serwerem DNS – cz. 2

Witajcie

Po dłuższej przerwie w pisaniu spowodowanej wieloma perypetiami powracamy do naszego mini cyklu o podstawach zarządzania serwerem DNS. Już na wstępie zaznaczę, że gdy sam przyjrzałem się jeszcze raz pierwszemu odcinkowi zamieszczonemu na tym blogu uznałem, że tematyka poświecona konfiguracji serwera DNS pracującego w oparciu o system Windows Server musi być nieco poszerzona. Choć pierwotnie zakładałem, że tematyka DNS zmieści się w 2 odcinkach to jednak dziś po przyjrzeniu się całości stwierdzam, że będzie jeszcze jeden lub dwa dodatkowe odcinki. Dziś przybliżę wszystkim czytelnikom proces tworzenia strefy wtórnej (secondary zone), co umożliwi przede wszystkim zabezpieczenie serwera DNS pracującego w naszej sieci oraz utworzenie dodatkowego węzła, do którego będą kierowane zapytania DNS w razie gdybyśmy wymagali tej funkcjonalności ze względu na duże obciążenie sieci. W tym momencie zakładam, że wszyscy czytelnicy zapoznali się już z treścią wszystkich moich poprzednich wpisów na blogu i wystarczającym będzie jeśli powiem, że dysponujemy już dwoma serwerami (o nazwach DNS1 i DNS2), które mają w pełni skonfigurowaną łączność sieciową i zainstalowane role serwera DNS. Na serwerze DNS1 została dodatkowo utworzona i skonfigurowana strefa główna (primary zone) ita.local. W strefie zdefiniowano rekordy typu A dla obu serwerów DNS i dla dwóch komputerów klienckich (rys.1).

Rys. 1. Strefa DNS utworzona na serwerze głównym.

Aby utworzyć strefę wtórną uruchamiamy na serwerze DNS2 kreatora konfiguracji strefy i w oknie wyboru typu strefy wybieramy opcję “secondary zone” (rys. 2). Należy w tym miejscu zaznaczyć, że mechanizm tworzenia strefy skrótowej (stub zone) jest identyczny jak tworzenia strefy wtórnej. Jedyną różnicą z punku widzenia użytkownika jest konieczność wyboru tej opcji w kreatorze strefy. Warto jednak pamiętać, że po utworzeniu strefy skrótowej nie mamy do czynienia z kopią całej strefy lecz tylko wybranych rekordów.

Rys. 2. Okno wyboru typu strefy.

W kolejnym kroku zdefiniować musimy nazwę strefy. Ponieważ tworzymy kopię strefy głównej przechowywanej na innym serwerze to nazwa tworzonej strefy będzie taka sama jak nazwa zdefiniowanej wcześniej strefy głównej (rys. 3).

Rys. 3. Definicja nazwy strefy.

Konieczne jest też wybranie nadrzędnego serwera DNS przechowującego strefę którą będziemy kopiować (rys. 4). Może to być, ale nie musi serwer przechowujący strefę główną. Jako serwer nadrzędny możemy wskazać serwer, przechowujący tylko strefę wtórną. W takim przypadku tworzona przez nas strefa będzie kopią kopii strefy głównej. Zaznaczyć należy, że wskazać możemy kilka serwerów, które będą serwerami nadrzędnymi będącymi źródłem danych dla konfigurowanego przez nas serwera. Serwery te mogą być serwerami przechowującymi tylko strefy wtórne. Jak można również zauważyć możemy wybrać wersję protokołu IP jaką posłużymy się podczas komunikacji między serwerami DNS. Domyślnie test poprawnego rozwiązania nazwy serwera nadrzędnego wykonywany jest dla protokołu w wersji 4 i w wersji 6.

Rys. 4. Wybór serwera nadrzędnego.

Jeśli wszystkie powyższe kroki wykonaliśmy poprawnie to teoretycznie powinniśmy być w stanie dokonać transferu strefy. Niestety bezpośrednio po zakończeniu powyższych czynności zazwyczaj pojawi się komunikat o odmowie dostępu i niemożności załadowania strefy (rys. 5). Aby umożliwić poprawną replikację strefy DNS należy zezwolić na transfer stref przez nadrzędny serwer DNS.

Rys. 5. Błąd transferu strefy.

Aby tego dokonać należy we właściwościach strefy w zakładce transfery stref (zone transfers) zezwolić na transfery i wybrać jedną z trzech dostępnych opcji. Jeśli strefa wtórna, którą skonfigurowaliśmy jest pierwszą strefą na serwerze DNS wtedy najwygodniej jest wybrać opcję zezwolenia na transfer stref do każdego serwera DNS. Mamy oczywiście również możliwość zezwolenia na transfer tylko do wskazanych serwerów DNS, ale jest to możliwe jeśli serwer, do którego ma zostać skopiowana strefa jest już pełnoprawnym serwerem DNS co oznacza, że jakaś strefa musi być już na nim zdefiniowana. W innym przypadku otrzymamy komunikat (rys. 6) o tym, że serwer nie jest serwerem autorytatywnym dla danej strefy i replikacja stref do danego serwera nie będzie możliwa. Możemy również użyć listy serwerów autorytatywnych zdefiniowanych w zakładce serwery nazw (name servers) ale w naszym przypadku posiadania serwera DNS, który będzie przechowywał tylko jedna strefę wtórną również obowiązuje wspomniane wcześniej ograniczenie.

Rys. 6. Wybór serwerów uprawnionych do transferu stref.

W omawianym przypadku jedynym możliwym wyborem jest wiec zezwolenie na transfer strefy do wszystkich serwerów (rys. 7). Należy tu jednak zaznaczyć, że po wykonaniu pierwszego transferu strefy możliwa i konieczna jest zmiana tego ustawienia bowiem serwer, do którego dokonujemy transferu staje się pełnoprawnym serwerem DNS i możliwe jest wskazanie go jako autorytatywnego serwera DNS dla danej strefy. 

Rys. 7. Zezwolenie na transfer stref do wszystkich serwerów DNS

W kolejnym kroku możliwe jest wykonanie transferu strefy. Dokonujemy tego poprzez wskazanie odpowiedniej opcji w menu kontekstowym utworzonej strefy wtórnej (rys. 8). Po zakończeniu tego procesu konieczne może być odświeżenie zawartości konsoli zarządzania serwerem DNS.

Rys. 8. Transfer strefy z serwera nadrzędnego.

Po pomyślnym wykonaniu transferu możliwe jest “podejrzenie” właściwości zdefiniowanej strefy wtórnej. Jak można się przekonać (rys. 9) większość opcji i właściwości strefy będzie niedostępna co oznacza, że mamy do czynienia ze strefą wtórną i chcąc ją zmodyfikować konieczna jest zmiana ustawień na serwerze przechowującym strefę główną.

Rys. 9. Ograniczenia edycji właściwości strefy wtórnej.

Możliwe jest jednak dokonanie konwersji strefy (rys. 10). Oznacza to, że w razie konieczności możliwe jest przekształcenie strefy wtórnej w strefę główną lub w strefę skrótową.

Rys. 10. Zmiana typu strefy.

Po wykonaniu wcześniejszych kroków możliwe jest wprowadzenie serwera przechowującego strefę wtórną na listę serwerów autorytatywnych dla danej domeny DNS (rys. 11).

Rys. 11. Zdefiniowanie dodatkowego autorytatywnego serwera DNS.

Dzięki temu do zdefiniowanej wcześniej strefy (rys. 12) zostanie dodany rekord autorytatywnego serwera nazw wskazujący na serwer DNS2 przechowujący strefę wtórną. Dodanie tego rekordu jest informacją o tym, że w domenie istnieją dwa autorytatywne serwery i w razie braku odpowiedzi z jednego z nich drugi będzie w stanie rozwiązać każdą nazwę z danej domeny.

Rys. 12. Strefa DNS z dodatkowym rekordem NS.

Jak pamiętamy w pierwszym odcinku uruchomiliśmy serwer DNS. Obecnie wiemy już jak wdrożyć dodatkowy serwer, który zwiększy niezawodność naszej infrastruktury i odpowiednio skonfigurować strefy przechowywane na naszych serwerach. Więcej o możliwościach definiowania ustawień stref i serwerów DNS opowiem już w następnym odcinku.

Bartosz Pawłowicz