Установка DNS в Windows 2003
Будут выделены ключевые моменты, которые помогут сделать установку DNS в Windows 2003 эффективной. Эта статья будет посвящена безопасности, поскольку безопасность является неотъемлемой частью любой хорошо построенной сети. Планирование установки DNS выходит за рамки этой статьи и будет рассмотрено в следующих статьях.
Установка DNS сама по себе совсем не сложна, но необходимо рассмотреть аспекты и соображения по смягчению последствий, чтобы принять во внимание безопасность, а также учесть планирование и резервирование, чтобы обеспечить нормальное время простоя без нарушения работы клиентов. Необходимо учитывать конкретные правила, например, где разместить такой сервер и как его защитить, а адекватное планирование приведет к успешному отключению службы.
TCP/IP использует IP-адреса для поиска хостов и подключения к ним, люди не пристрастны к запоминанию чисел и предпочитают понятные имена и, следовательно, потребность в DNS (служба доменных имен). Например, пользователи предпочитают понятное имя www.windowsecurity.com вместо IP-адреса 69.20.*.*. DNS определен в RFC 1034 и 1035 и используется для обеспечения типичного соглашения об именах для определения местоположения компьютеров на основе IP.
Исторически использовались файлы, расположенные на локальном компьютере, эти файлы были известны как файлы хоста и должны поддерживаться и обновляться администратором на каждом компьютере, чтобы упростить разрешение имен. Представьте себе, что сегодня вы поддерживаете файл hosts для всех доменных имен и поддоменов в Интернете. Отсюда рождение распределенной базы данных, которая существует сегодня под названием DNS, замечательной службы, управляемой множеством интернет-провайдеров и интернет-органов, которые облегчают преобразование IP-адресов в понятные имена, которые пользователи могут вводить в своих браузерах или подключаться к ресурсам. Для получения дополнительной информации о процессе обратитесь к RFC 1034 и 1035.
DNS-зависимость Windows 2003.
Если вы используете Windows 2003, вы скоро поймете, что жизненно важной службой, без которой активный каталог не может функционировать, является DNS. Причина этого в том, что вместо использования альтернативных методов, таких как WINS (Windows Internet Naming Service), используется DNS, поскольку он более универсален и не зависит от платформы. DNS необходим, как вы уже знаете, для разрешения имен и взаимодействия Active Directory с другими службами и приложениями, на которые приходится полагаться, если не воспринимать DNS как должное.
Обеспечение единой точки отказа.
DNS очень полезен и необходим во всех функциональных сетях Active Directory, поэтому рекомендуется, чтобы серверный компьютер, на котором установлен DNS, был защищен и изолирован от радикальных изменений. Чтобы убедиться, что сервер всегда доступен, убедитесь, что никто не вносит изменения в сервер без тестирования и резервного копирования конфигурации. В большинстве случаев успешная стратегия резервного копирования гарантирует, что в случае незначительного сбоя или аварии конфигурацию можно будет восстановить на другой системе. Не пренебрегайте DNS, так как сложные конфигурации сложно восстановить без документации и предварительных знаний о разрушенных системах. Всегда полезно снизить риск, но разделить функцию DNS на два сервера: один первичный и один вторичный, чтобы в случае выхода из строя DNS не теряла доступность. С точки зрения целостности вам необходимо убедиться, что никто, кроме авторизованных пользователей, не имеет доступа и контроля над DNS-сервером, это важно, поскольку вы не хотите, чтобы ваши ресурсы были злоупотреблены и неправильно настроены злоумышленниками, у которых есть другие планы для вашей жизненно важной службы имен. Если вы находитесь в среде с высоким уровнем безопасности, важно, чтобы этот сервер был заблокирован, поскольку он является легкой целью для злоумышленников, которые хотят вызвать отказ в обслуживании в вашем активном каталоге. Может быть хорошей идеей разрешить только пользователям локальной сети, которые являются частью домена, запрашивать ваш DNS-сервер, чтобы обеспечить конфиденциальность ваших соглашений об именах и другой конфиденциальной информации. Добавив эти дополнительные слои на ваш DNS-сервер, вы можете быть уверены.
DNS и брандмауэры.
DNS использует порт TCP и UDP 53 для поиска и передачи. Его необходимо открыть на брандмауэре, если вам нужно использовать внутренний DNS для поиска. Примечание: это решение будет определено на этапе планирования и должно быть тщательно рассчитано. С точки зрения безопасности публикуйте службы в открытом доступе только в случае необходимости. Если вы хотите удаленно администрировать DNS-сервер, вам нужно будет открыть RCP-порт 135, делайте это только в том случае, если это необходимо и если вы защитили сервер. Если вы используете ISA, есть предустановленные фильтры протоколов, которые вы можете включить.
Подготовка сервера.
Большинство сетевых специалистов используют DHCP при назначении динамических IP-адресов. В этом упражнении используйте DHCP только для динамического назначения адреса DNS-сервера клиенту, но не назначайте серверу DHCP-адрес, это не только нарушит вашу конфигурацию DNS, но также сделает ваш DNS-сервер неработоспособным, так как клиенты будут сбиты с толку. и не будет знать, где найти DNS-сервер, так как адрес постоянно меняется.
Стандартная конфигурация
Убедитесь, что все обновления Windows выполнены, а последние драйверы и пакеты ПЗУ загружены на сервер и применены к оборудованию. Это важно, поскольку вы не хотите применять эти изменения на более позднем этапе, когда машина выйдет из строя в производство. Пропуск этого шага приведет к ненужному простою в будущем. Перед началом процесса установки убедитесь, что серверу назначен статический IP-адрес.
После всей преамбулы мы теперь готовы начать установку DNS на наш недавно настроенный и подготовленный сервер.
Убедитесь, что у вас установлена Windows Server 2003 Std и назначен статический IP-адрес. На рис. 1.1 показано, как следует настраивать DNS, а также дополнительные параметры TCP/IP. В настройках DNS вы должны указать сервер на себя для разрешения DNS. Если внешние интернет-имена должны быть разрешены, вы можете настроить пересылку, чтобы запросы отправлялись на DNS-сервер интернет-провайдера или внешний DNS-сервер. Выбор постоянно работающего DNS-сервера имеет первостепенное значение, поскольку разрешение внешних имен зависит от этого ресурса.
Установите DNS-сервер Microsoft
Нажмите «Пуск», «Панель управления», «Установка и удаление программ», а затем «Установка и удаление». Компоненты Windows. Затем нажмите «Список компонентов», затем нажмите «Сетевые службы», затем нажмите «Подробности», установите флажок «Система доменных имен (DNS)» и нажмите «ОК». Следуйте приведенному ниже рис. 1.2 для руководства.
Рисунок 1.2
После установки DNS вам нужно будет проверить, прошла ли установка успешно и можете ли вы разрешать имена. Nslookup — это встроенная утилита, которую можно использовать для проверки правильности установки и настройки службы. Не забудьте протестировать как внутренние, так и внешние имена перед завершением тестов. После ввода Nslookup он подключается к настроенному серверу в ваших свойствах TCP/IP или, если вы запускаете эту команду из формы клиента, он подключается к DNS-серверу, предоставленному DHCP. Затем вы сможете ввести имя, которое хотите найти, например, www.google.com или , оно затем разрешит имя в IP-адрес, если это произойдет, если вы правильно установили и настроили DNS.
C:>nискать
*** Серверы по умолчанию недоступны
Сервер по умолчанию: Неизвестный
Адрес: 127.0.0.1
помощь
Команды: (идентификаторы показаны в верхнем регистре, [] означает необязательный)
ИМЯ | - распечатать информацию о ИМЯ хоста/домена, используя сервер по умолчанию |
ИМЯ1 ИМЯ2 | - как указано выше, но используйте NAME2 в качестве сервера |
помочь или? | - распечатать информацию об общих командах |
установить ВАРИАНТ | - установить вариант |
Все | - параметры печати, текущий сервер и хост |
[нет] отладки | - распечатать отладочную информацию |
[нет] d2 | - распечатать исчерпывающую отладочную информацию |
[нет] определяемое имя | - добавлять доменное имя к каждому запросу |
[нет] рекурсия | - запрашивать рекурсивный ответ на запрос |
[нет] поиск | - использовать список поиска домена |
[нет]вк | - всегда используйте виртуальную цепь |
домен=ИМЯ | - установить имя домена по умолчанию на ИМЯ |
srchlist=N1[/N2/…/N6] | – установить домен на N1 и список поиска на N1, N2 и т. д. |
корень=ИМЯ | - установить корневой сервер на ИМЯ |
повторить = Х | - установить количество попыток на X |
таймаут=Х | - установить начальный интервал тайм-аута на X секунд |
тип=Х | - установить тип запроса (например, A,ANY,CNAME,MX,NS,PTR,SOA,SRV) |
тип запроса = X | - то же, что тип |
класс=Х | - установить класс запроса (например, IN (Интернет), ЛЮБОЙ) |
[нет]msxfr | – использовать быструю передачу зоны MS |
ixfrver=X | – текущая версия для использования в запросе на передачу IXFR |
имя сервера | - установить сервер по умолчанию на ИМЯ, используя текущий сервер по умолчанию |
ИМЯ сервера | - установить сервер по умолчанию на ИМЯ, используя исходный сервер |
палец [ПОЛЬЗОВАТЕЛЬ] | - указать необязательное ИМЯ на текущем хосте по умолчанию |
корень | - установить текущий сервер по умолчанию в корень |
ls [опция] ДОМЕН [> ФАЙЛ] | – список адресов в ДОМЕНЕ (необязательно: вывод в ФАЙЛ) |
-а | - список канонических имен и псевдонимов |
-д | - перечислить все записи |
-t ТИП | – список записей данного типа (например, A, CNAME, MX, NS, PTR и т. д.) |
посмотреть файл | - отсортировать выходной файл 'ls' и просмотреть его с помощью pg |
выход | – выйти из программы. |
Если все хорошо, когда вы вводите nslookup в командной строке, вы будете подключены к DNS, настроенному либо DHCP, либо статически.
Резюме
В этой статье я рассмотрел важные этапы установки DNS и основные рекомендации, касающиеся безопасности и архитектуры. Перед установкой DNS важно понять эти процессы и принять во внимание рекомендации по безопасности перед установкой DNS. Помните, что DNS — это ваша главная точка отказа, поскольку это система именования, которую использует Windows.