DNS-сервер Windows Server 2012 (часть 1)

Windows Server 2012 был разработан для работы в сети, ориентированной на службы, а не на сервер. Это долгожданное изменение, поскольку управление сетевыми службами даже важнее, чем управление любым отдельным сервером в современной сетевой среде.

Эта первая статья из нашей серии сетевых услуг посвящена системе доменных имен (DNS). В наши дни DNS находится в самом сердце большинства корпоративных сетей. Без DNS вы не сможете отправлять и получать электронную почту, просматривать Интернет или иметь доступ к другим важным службам, таким как Active Directory. Именно DNS позволил вам найти и прочитать эту статью в Интернете.

Почему мы стали настолько зависимы от DNS? На самом деле это человеческий недостаток: мы плохо запоминаем длинные числа. Легче запомнить имя, например amazon.com, а не адрес IPv4, например 206.178.205.143, или адрес IPv6, например 2000:12DC:20A7:3C48:78DA:C096:B10A:E387. Протокол TCP/IP, который используется в Интернете как корпоративными сетями, так и миллионами домов по всему миру, нуждается в этих IP-адресах для связи и маршрутизации сетевого трафика. DNS предоставляет услугу, которая позволяет осуществлять перевод между удобными для пользователя именами и неудобными номерами IP-адресов.

Еще одним преимуществом с точки зрения пользователя является то, что вы можете использовать имена хостов, которые не меняются, в то время как базовые IP-адреса могут быть изменены без необходимости изучения пользователями нового адреса. С DNS они не заметят разницы, так и должно быть.

Имя хоста может содержать до 255 символов и может включать буквы и цифры, точки и дефисы. Имя хоста объединяется с доменным именем для формирования полного доменного имени (FQDN). Например, www.google.com — это полное доменное имя, где «www» — это хост, а «google.com» — компонент домена. DNS Windows Server 2012 можно настроить для преобразования полных доменных имен и других имен узлов в адреса IPv4 и IPv6.

В Windows Server 2012 добавлены некоторые новые расширенные функции DNS и новая служба под названием «Управление адресами интернет-протокола» (IPAM), которая позволяет системным администраторам управлять службами DNS и DHCP с центральной консоли, обеспечивая унифицированное представление ваших зон DNS, а также конфигурацию и использование IP-адресации..

DNS чаще всего используется для:

• Преобразование имен хостов в IP-адреса
• Найдите контроллеры домена и серверы глобального каталога
• Найдите почтовые серверы
• Преобразовывать IP-адреса в имена

DNS — это служба клиент/сервер, в которой могут участвовать сотни компьютеров, начиная с пользователя, пытающегося получить доступ к веб-сайту из корпоративного офиса, и заканчивая корневыми серверами DNS в Интернете. Давайте рассмотрим процесс разрешения имен, сначала со стороны DNS-клиента, а затем со стороны DNS-сервера.

DNS-клиент

Если приложение требует использования сокетов Windows и имен хостов, операционные системы Windows пытаются разрешить имена хостов в следующем порядке:

1. Проверьте, совпадает ли имя хоста с именем локального хоста.
2. Найдите кэш преобразователя DNS-клиента. Любые записи из файла hosts предварительно загружаются в кэш распознавателя.
3. Отправьте запрос разрешения DNS-имени на настроенный DNS-сервер.

DNS-клиент переходит от одного шага к другому только в том случае, если ему не удается разрешить имя хоста на предыдущем шаге. Если ни один из предыдущих шагов не работает и NetBIOS через TCP/IP включен, DNS-клиент будет действовать следующим образом:

1. Преобразуйте имя хоста в одну метку (имя NetBIOS) и проверьте его локальный кэш имен NetBIOS.
2. Свяжитесь с его настроенным WINS-сервером.
3. Передайте запрос имени NetBIOS до трех раз в локальной подсети.
4. Найдите файл Lmhosts.

Все клиенты Windows, начиная с Windows Vista, Windows Server 2008 и Windows Server 2012, поддерживают преобразование имен в IP-адреса с помощью протокола Link-Local Multicast Name Resolution (LLMNR). LLMNR можно использовать в локальной сети для преобразования имен в адреса IPv4 и IPv6, если DNS-сервер не настроен. Этот протокол может быть более важным для обеспечения локального разрешения имен в сетях IPv6, поскольку NetBIOS работает только в средах IPv4. Для правильной работы LLMNR на всех узлах в локальной подсети должно быть включено обнаружение сети.

DNS-сервер

При установке службы DNS на сервер Windows Server 2012 по умолчанию предварительно загружается список корневых серверов Интернета. Эти серверы известны как корневые ссылки; Я расскажу о них позже.

Давайте проследим, как этот DNS-сервер будет обрабатывать запросы на разрешение имен от клиентских компьютеров и других устройств.

1. Пользователь вводит что-то вроде www.google.com или щелкает гиперссылку google.com в браузере.
2. Если локальному DNS-серверу неизвестен IP-адрес www.google.com, он запрашивает корневой DNS-сервер о расположении DNS-серверов.com.
3. Получив ответ от корневого DNS-сервера, локальный DNS-сервер запрашивает у DNS-сервера.com расположение DNS-серверов google.com.
4. После ответа DNS-сервера.com локальный DNS-сервер связывается с DNS-сервером google.com, запрашивая IP-адрес www.google.com.
5. После того как DNS-сервер google.com предоставит эту информацию, локальный DNS-сервер возвращает IP-адрес www.google.com обратно на компьютер пользователя, чтобы этот компьютер мог установить соединение с www.google.com.

Не каждый запрос на разрешение имен к DNS-серверу будет выполнять предыдущие шаги. Конфигурация кэширования и пересылки может изменить то, как DNS-серверы обрабатывают процесс.

Кэширование. Допустим, локальный DNS-сервер выполняет эти 5 шагов, чтобы преобразовать новое имя в IP-адрес. Как только локальный DNS-сервер узнает эту информацию, он кэширует результаты на несколько часов. С этого момента любой новый запрос разрешения имен для того же имени будет обслуживаться из кэша DNS-сервера. Это ускоряет процесс разрешения имен.

Переадресация — если переадресация настроена, DNS-сервер будет пересылать запросы на разрешение имен на другой DNS-сервер вместо того, чтобы запрашивать корневые серверы в Интернете. Можно настроить условную переадресацию; условная пересылка — это DNS-сервер, который перенаправляет DNS-запросы в соответствии с доменным именем, включенным в запрос.

DNS-зоны и записи

Данные DNS хранятся в базе данных, которую можно хранить в текстовом файле или в базе данных Active Directory, если служба DNS настроена на контроллере домена.

Данные DNS организованы в зоны; каждая зона — это определенная часть пространства имен DNS, которая хранится в отдельном файле или как единица репликации при сохранении в активном каталоге. DNS-серверы могут размещать одну или несколько зон определенного домена. При создании домена активного каталога соответствующая зона DNS с тем же именем, что и у нового домена, должна существовать или должна быть создана во время процесса, чтобы обеспечить правильную работу служб каталогов.

Зоны DNS содержат разные записи ресурсов. Записи ресурсов определяют тип ресурса и IP-адрес для поиска ресурса. Зоны DNS могут преобразовывать имена в IP-адреса или IP-адреса в имена для устройств, работающих по протоколу TCP/IP, таких как рабочие станции, серверы, маршрутизаторы, коммутаторы и т. д.

В случае доменных служб Active Directory для обнаружения контроллеров домена и серверов глобального каталога используется специальный тип записи DNS (SRV). Два типа общих зон DNS, настроенных в большинстве реализаций DNS, — это зоны прямого просмотра и зоны обратного просмотра.

Зоны прямого просмотра

Зоны прямого просмотра преобразуют имена хостов в IP-адреса и отвечают на запросы имен, отвечая соответствующими IP-адресами, которые соответствуют именам в этих запросах.

В зонах прямого просмотра размещаются общие записи ресурсов, включая хост IPV4 (A), хост IPv6 (AAAA), псевдоним (CNAME), сервис (SRV), почтовый обменник (MX), начало полномочий (SOA) и ресурс сервера имен (NS). записи. Имена узлов IPv4 и IPv6 могут быть включены в одну и ту же зону прямого просмотра в Windows Server 2012.

Зоны обратного просмотра

Зоны обратного просмотра преобразуют IP-адреса в доменные имена. Когда IP-адрес является частью запроса, зона обратного просмотра возвращает соответствующее имя хоста. В зонах обратного просмотра размещаются записи ресурсов SOA, NS и указателя (PTR). Для IPv4 и IPv6 в Windows Server 2012 необходимо создать отдельные зоны обратного просмотра. Инфраструктуру DNS можно запустить без настройки зон обратного просмотра, но в результате будут отсутствовать некоторые важные функции, и служба будет генерировать многочисленные предупреждения и сообщения об ошибках..

Зоны обратного просмотра можно использовать для борьбы со спамом. Спамеры используют открытые ретрансляторы (SMTP-серверы) в Интернете, чтобы рассылать массивные нежелательные электронные письма и скрывать свою личность. Почтовый сервер может выполнять обратный поиск, чтобы попытаться обнаружить открытые ретрансляторы; это позволит применять фильтрацию трафика от этих открытых ретрансляторов, что может предотвратить или свести к минимуму нежелательный спам.

Еще одним важным преимуществом зон обратного просмотра является то, что их данные часто используются для проверки информации прямой зоны. Например, если прямой поиск указывает, что адрес support.mycompany.com разрешается в 172.16.0.8, вы можете использовать обратный просмотр, чтобы убедиться, что 172.16.0.8 действительно связан с support.mycompany.com.

Рекурсивные и итеративные DNS-запросы

DNS-сервер отвечает на рекурсивные и повторяющиеся запросы DNS. Для рекурсивных запросов требуется полностью разрешенный IP-адрес с DNS-сервера. Эти типы запросов обычно исходят от DNS-клиентов к DNS-серверу. После получения рекурсивного запроса DNS-сервер либо ответит соответствующим IP-адресом, либо сгенерирует отрицательный ответ. DNS-сервер не будет направлять DNS-клиента на другой DNS-сервер для продолжения запроса.

Итеративные запросы обычно инициируются DNS-сервером после получения запроса на разрешение имен, на который он не может ответить, используя свою локальную базу данных или поиск в кэше. В этом случае DNS-сервер использует итеративный запрос для отправки того же вопроса на другой DNS-сервер. Если у другого DNS-сервера есть ответ, он отвечает IP-адресом запрошенного имени, но если он не знает ответа, он отправляет обратно ссылку на DNS-серверы, отвечающие за запрашиваемый домен. Этот процесс продолжается до тех пор, пока не будет найден авторитетный DNS или не будет достигнуто условие тайм-аута.

Корневые подсказки и итерационные запросы

Ранее я упоминал, что при установке DNS на Windows Server 2012 по умолчанию предварительно загружается список адресов корневых серверов Интернета (корневых подсказок). Эти корневые ссылки указывают на DNS-серверы верхнего уровня в Интернете. Эти серверы содержат информацию о доменах верхнего уровня, таких как.com,.org,.net,.edu и т. д. При установке службы DNS эта информация копируется из файла cache.dns, который по умолчанию находится на %windir% каталог system32dns.

Серверы корневых подсказок не настроены для ответа на рекурсивные запросы, а DNS-серверы только отправляют итерационные запросы к корневым подсказкам. Некоторых это может немного сбить с толку, поскольку, чтобы запретить DNS-серверу отправлять запросы к корневым ссылкам, необходимо выбрать параметр «Не использовать рекурсию для этого домена». Однако рекурсия на DNS-сервере и рекурсивные запросы — это две разные вещи.

Когда рекурсия включена на DNS-сервере, это означает, что сервер может отправлять DNS-запросы на свои настроенные корневые ссылки или на другие DNS-серверы, выступая в качестве пересылки. Рекурсивные запросы — это запросы на разрешение имен, направляемые DNS-серверу, в которых запрашивающая сторона запрашивает у DNS-сервера полный ответ «да» или «нет». DNS-сервер не может ответить с рекомендацией запрашивающей стороне связаться с другим DNS-сервером.

Резюме

В этой статье я рассмотрел важность и основы DNS, поделившись с вами контекстом, в котором работает DNS, и тем, как запросы на разрешение имен обрабатываются на локальных DNS-серверах Windows Server 2012 и в Интернете. В следующей статье мы рассмотрим установку и настройку роли DNS, а также некоторые дополнительные функции, доступные в Windows Server 2012 DNS.

Intense School