Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Thursday 22 June 2006 - 00:00:00
[newpage=Основные сведения] Установка DNS.
Служба DNS (Domain Name System) предназначена для преобразования имен узлов в IP-адреса. Для ее функционирования используется два компонента: DNS-клиент и DNS-сервер. В Windows, DNS-клиент является частью стека протоколов TCP/IP и устанавливается автоматически вместе с протоколом. DNS-сервер является отдельной службой, работающей только на серверах.
Основные сведения о DNS.
Прежде чем переходить к планированию, установке и непосредственно управлению DNS-сервером, вы должны познакомиться с основными понятиями и концепциями DNS.
Система доменных имен включает в себя пространство доменных имен, которое описывает древовидную структуру всех доменов. Каждый уровень структуры отделен от вышележащих и нижележащих уровней символом "точка", что позволяет определять местоположение уровня в дереве. Самый верхний уровень является корневым доменом и начинается с точки (".").
Правила именования доменов.
При планировании пространства имен домена старайтесь придерживаться следующих правил.
- Ограничивайте количество уровней домена. Обычно записи узлов должны содержать не более пяти уровней иерархии DNS. При увеличении их количества увеличивается объем задач администрирования и усложняется понимание структуры домена.
- Используйте уникальные имена. Пространство имен домена не должно содержать поддомены с одинаковыми именами.
- Используйте простые имена. Простые и точные имена доменов легче запоминаются и делают возможным интуитивный поиск компьютеров и сервисов, как в Интернете, так и в локальной сети. Используйте устоявшиеся имена для основных сервисов (например, www - для Web-серверов или ftp - для FTP-серверов).
- Избегайте длинных имен. Компонент доменного имени не должен содержать больше 63 символов. Общая длина полного доменного имени не может превышать 255 символов. Регистр символов в доменных именах не учитывается.
- Используйте в DNS-именах стандартные символы. По стандарту RFC 1035 допустимо использование следующих символов: A-Z, a-z, 0-9 и дефис (-).
DNS-сервер Microsoft поддерживает в доменных именах символы Unicode (согласно RFC 2044). Это позволяет использовать символы национальных алфавитов. Однако прибегнуть к этой возможности можно только в том случае, если все серверы и клиенты вашей сети поддерживают в доменных именах Unicode-символы.
Зоны и домены.
Зона (zone) - отдельная непрерывная часть пространства имен домена (например, зона может содержать иерархически связанные домены fio.ru и center.fio.ru, но не center.fio.ru и net.fio.ru, т. к. эти домены не связаны друг с другом).
Зоны позволяют разделить пространство имен домена на отдельные управляемые секции, например, чтобы разместить зону на нескольких серверах или распределить его администрирование.
Типы зон.
Все DNS-зоны можно разделить на зоны прямого и обратного просмотра. Кроме того, каждая из них может быть одного из следующих типов:
- основная (primary zone);
- дополнительная (secondary zone) - резервная копия основной;
- интегрированная в Active Directory (специальный тип зоны, рекомендованный для обслуживания доменов Windows 2000, Windows Server 2003);
- сокращенная или зона-заглушка (stub zone).
Зона прямого просмотра
Зоны прямого просмотра (forward lookup zone) служат для преобразования доменных имен в IP-адреса. Для работы службы DNS-сервера на Windows Server 2003 необходимо наличие на нем как минимум одной такой зоны.
Зона обратного просмотра
Зоны обратного просмотра (reverse lookup zone) позволяют генерировать обратные запросы на поиск имени по IP-адресу. Эти зоны необязательны для функционирования системы DNS, но нужны для нормальной работы различных диагностических утилит (например, ping, tracert и т. п.). Зоны обратного просмотра регистрируются в домене in-addr.arpa. Поддоменам присваиваются имена, соответствующие IP-адресам сетей, причем порядок октетов в адресе изменяется на противоположный. То есть сети 192.168.0.0 соответствует домен 0.168.192.in-addr.arpa.
Основная зона
Стандартный тип зоны. Основные зоны хранятся в виде простого текстового файла, полностью совместимого с BIND (Berkeley Internet Name Daemon - стандарт DNS, использующийся на многих платформах, в том числе и на UNIX). Это позволяет легко переносить данные зоны с одного сервера на другой и вручную редактировать файлы зон.
Дополнительная зона
Резервная копия существующей зоны. Для создания дополнительной зоны необходим сервер, обслуживающий основную зону. Дополнительные зоны также хранятся в текстовых файлах, но ими нельзя управлять, т. к. они являются автоматическими копиями основной зоны.
Зона, интегрированная в Active Directory
Данные интегрированной зоны хранятся в Active Directory (AD), что обеспечивает максимальной уровень надежности Active Directory и DNS - внесение массовых изменений в зону затруднено, совмещение таких зон с расположенными на серверах под управлением UNIX проблематично, зоны теряются только при уничтожении AD.
Этот тип зоны недоступен, если компьютер не является членом домена Windows.
Сокращенная зона или зона-заглушка
Эта зона предназначена для упрощения разрешения имен между несколькими пространствами имен. По структуре сокращенная зона подобна дополнительной зоне, но отличается тем, что содержит только записи SOA, NS и записи узла A для сервера имен домена, а не все записи.
Динамическое обновление зоны.
Функция динамического обновления позволяет клиентам вносить изменения в зоны путем посылки определенных запросов DNS-серверу. В Windows динамическое обновление зон необходимо для нормальной работы Active Directory и автоматической регистрации DHCP-хостов в DNS. Динамические обновления должны поддерживаться обслуживающим зону сервером. Согласно стандарту RFC 2136, возможно изменение зоны не только вручную администратором сервера, но и автоматически, приложениями, поддерживающими этот стандарт. DNS-сервер из состава Windows Server 2003 поддерживает функцию Dynamic DNS (DDNS).
Файл зоны.
Файл зоны - это обычный текстовый файл, который хранится в папке %systemroot%\system32\DNS и может быть изменен при помощи любого текстового редактора. Ниже приведен пример файла зоны сразу после ее создания.
;
; Database file test.fio.ru.dns for test.fio.ru zone.
; Zone version: 1
;
@ IN SOA mcio-08kwa653t4.fio.ru. admin.fio.ru. (
1 ; serial number
900 ; refresh
600 ; retry
86400 ; expire
3600 ) ; minimum TTL
;
; Zone NS records
;
@ NS mcio-08kwa653t4.fio.ru.
;
; Zone records
;
Файл зоны состоит из множества записей, причем одна запись обычно занимает одну строку. Строки, начинающиеся с точки с запятой, являются комментариями и не анализируются DNS-сервером.
Любой файл зоны должен содержать как минимум следующее:
- одну запись Start Of Authority (SOA), содержащую параметры зоны;
- не менее одной записи Name Server (NS), содержащей адреса DNS-серверов, ответственных за хранение и обслуживание зоны;
- не менее одной записи Host (A), содержащей информацию о соответствии имени DNS-сервера, указанного в каждой записи NS, его IP-адресу.
[newpage=Записи зон]
Записи зон.
При создании и изменении зоны вы чаще всего будете использовать следующие типы записей:
Тип записи | Для чего используется |
Start Of Authority (SOA) | Описывает зону и ее параметры. В файле зоны встречается однократно и не требует редактирования вручную |
Name Server (NS) | Описывает один DNS-сервер |
Host (A) | Описывает соответствие имени хоста его IP-адресу. Используется часто |
Canonical Name (CNAME) | Описывает альтернативное имя для уже существующего хоста |
Mail Exchanger (MX) | Описывает почтовый хост, обрабатывающий электронную почту домена |
Pointer (PTR) | Описывает соответствие IP-адреса имени хоста. Используется в зонах обратного просмотра |
Service Location (SRV) | Описывает сервисы, предоставляемые хостами |
Для создания и изменения записей зон можно использовать как инструменты с графическим интерфейсом, так и редактировать файл зоны вручную в любом текстовом редакторе.
После внесения изменений в файл зоны в текстовом редакторе перезапустите службу DNS-сервера, чтобы загрузить новый файл зоны в память.
Общий синтаксис записей зон.
Любая DNS-запись имеет следующий вид:
владелец [класс] [TTL] тип данные Описание полей DNS-записи приведено в таблице.
Поле | Описание |
владелец | Относительное или полное имя записи. Если значение этого поля совпадает с именем зоны, то вы можете использовать символ @ вместо полного имени зоны |
класс | Определяет класс, к которому принадлежит запись. Например, IN указывает, что запись принадлежит к классу записей Интернет-ресурсов. Это единственный класс записей, поддерживаемых DNS-сервером, входящим в состав Windows 2000. В связи с этим в любой записи поле класса может быть опущено, хотя стандарт DNS требует обязательного указания класса записи |
TTL | Определяет время жизни конкретной записи в кэше других DNS-серверов. Является необязательным для большинства типов записей. Если поле TTL у записи опущено, то берется соответствующее значение из параметров зоны (запись SOA). Для того, чтобы предотвратить кэширование записи указывайте значение 0 в качестве TTL |
тип | Обязательное поле, содержащее один из стандартных текстовых идентификаторов, определяющих тип записи |
данные | Обязательное поле, содержащее данные переменной длины. Формат данных определяется типом записи |
Поля записи разделяются любым количеством пробелов или символов табуляции.
Ниже приведено описание наиболее часто используемых DNS-записей. Информацию об остальных типах записей можно получить в Справочной системе Windows или в соответствующих стандартах.
Служебные записи (SOA и NS).
Каждый файл зоны должен содержать запись SOA, которая описывает зону, параметры ее синхронизации и параметры устаревания ее записей. Кроме того, зона должна содержать не менее одной записи NS, описывающей DNS-сервер [в нотации DNS они называются серверами имен (name server)], обслуживающий зону. Если серверов два или более, то один из них является основным, а все остальные - дополнительными. Все изменения в зоне производятся на основном сервере, после чего дополнительные самостоятельно получают ее измененную копию.
Большинство организаций, регистрирующих доменные имена, требуют наличия не менее двух обслуживающих зону DNS-серверов. Кроме того, для надежности эти серверы должны быть расположены в разных IP-сетях класса C.
Синтаксис записи NS
Название | Name Server |
Определена в | RFC 1035 |
Описание | Запись, указывающая один из серверов, обслуживающих зону. В виде NS-записей указываются все сервера (основной и дополнительные). Тот сервер, который указан в SOA-записи, считается основным, все остальные - дополнительными. |
Синтаксис | владелец [класс] [TTL] NS хост |
Параметры | Полное DNS-имя сервера, который должен быть определен в DNS. Допускается определение серверов в той же зоне, которую они обслуживают. |
Пример | @ NS mcio-08kwa653t4.fio.ru @ NS host1.test.fio.ru |
Синтаксис SOA-записи
Название | Start Of Authority |
Определена в | RFC 1035 |
Описание | Запись, описывающая зону ответственности. |
Синтаксис | владелец класс SOA первичный_сервер ответственный (редакция обновление повтор устаревание TTL) |
Параметры | Первичный сервер - полное имя сервера, содержащего основную копию зоны. |
Пример | @ IN SOA mcio-08kwa653t4.fio.ru. admin.fio.ru. ( 1 900 600 86400 3600) |
Пример служебных записей зоны:
; Database file test.fio.ru.dns for test.fio.ru zone.
; Zone version: 2541744385
;
@ IN SOA ns1.test.fio.ru. admin.fio.ru. (
2541744385 ; serial number
10800 ; refresh
3600 ; retry
604800 ; expire
86400 ) ; minimum TTL
;
; Zone NS records
;
@ NS ns1.test.fio.ru.
@ NS ns2.test.fio.ru.
@ NS ns2.fio.ru.
;
; Zone records
;
ns1 A 195.34.17.1
ns2 A 213.128.193.119
Записи хостов (A и PTR).
Для установления соответствия между именем хоста и его IP-адресом используется запись A, для обратного соответствия - запись PTR. Для одного и того же IP-адреса допустимо использование нескольких имен хостов, однако для одного IP-адреса рекомендуется использовать только одну запись PTR. Записи A используются в зонах прямого просмотра, PTR - в зонах обратного просмотра.
Синтаксис записи A
Название | Host Address |
Определена в | RFC 1035 |
Описание | Запись, устанавливающая соответствие имени определенному IP-адресу. |
Синтаксис | владелец [класс] [TTL] A IP_адрес |
Параметры | IP-адрес хоста. |
Пример | host1 IN A 192.168.0.1 |
Синтаксис AAAA-записи
IPv6 Host Address | |
Определена в | RFC 1886 |
Описание | Запись, устанавливающая соответствие имени определенному IP-адресу версии 6. |
Синтаксис | владелец [класс] [TTL] AААА IP_адрес_v6 |
Параметры | IP-адрес версии 6 хоста. |
Пример | host2 IN AAAA 4321:0:1:2:3:4:567:89ab |
Синтаксис PTR-записи
Название | Pointer |
Определена в | RFC 1035 |
Описание | Запись, устанавливающая соответствие IP-адреса доменному имени. Используется в зонах обратного просмотра |
Синтаксис | владелец [класс] [TTL] PTR имя |
Параметры | Полное DNS-имя хоста, соответствующего указанному IP-адресу. |
Пример | 1.0.168.192.in-addr.arpa PTR host1.test.fio.ru |
Записи A и PTR могут быть добавлены в зону следующим образом:
- можно вручную создать необходимые записи (A и PTR) для компьютеров со статическими IP-адресами;
- компьютеры, работающие под управлением Windows 2000 (и более новых версий) и использующие динамические IP-адреса, самостоятельно добавляют или изменяют необходимые записи (A и PTR) в зоне;
- для компьютеров, работающих под управлением более ранних версий Windows и использующих динамические IP-адреса, добавление или изменение необходимых записей (A и PTR) осуществляется DHCP-сервером из состава Windows Server 2003.
Не следует создавать записи A и PTR для всех компьютеров в сети. Они необходимы только для компьютеров, предоставляющих свои ресурсы в совместное использование. Тем не менее, при использовании домена Active Directory, Windows Server 2003 создает запись A для каждого компьютера в домене.
Записи альтернативных имен (CNAME).
Записи альтернативных имен позволяют использовать два или более имен для одного хоста. Использование альтернативных имен отличается от использования нескольких записей A для одного IP-адреса.
Синтаксис CNAME-записи
Название | Canonical Name |
Определена в | RFC 1035 |
Описание | Указывает, что владелец записи является альтернативным именем, для DNS-имени, указываемого как параметр. |
Синтаксис | владелец [класс] [TTL] CNAME имя |
Параметры | Полное или относительное DNS-имя хоста. |
Пример | alias CNAME host1.test.fio.ru alias2 CNAME host2 |
Альтернативные имена используются для:
- изменения имени хоста, определенного при помощи записи A;
- задания привычных имен для хостов, предоставляющих определенные сервисы;
- распределения нагрузки между серверами, предоставляющими один и тот же сервис.
При изменении имени хоста, которое использовалось для обращения по сети, придерживайтесь следующей последовательности.
- cоздайте запись A с новым именем, указывающую на IP-адрес хоста;
- cоздайте запись CNAME со старым именем, указывающую на новое имя хоста;
- удалить запись A хоста со старым именем.
Придерживаясь этой практики, вы позволите обращаться к хосту и по старому, и по новому имени, а когда надобность в старом имени отпадет, достаточно удалить запись CNAME.
Использование записей CNAME для задания привычных имен хостов позволяет осуществлять прозрачное перемещение сервисов с одного хоста на другой, балансировку нагрузки между хостами, прозрачно для пользователей изменять IP-адреса хостов, предоставляющих сервисы.
Рассмотрим это на примере.
Изначально в сети существовал хост, предоставляющий Web- и FTP-сервисы. Соответствующие записи зоны имели следующий вид:
host-a IN A 10.0.0.20
www IN CNAME host-a
ftp IN CNAME host-a
Со временем было принято решение переместить FTP-сервер на отдельный хост. За счет использования записей CNAME это было сделано прозрачно для пользователей:
host-a IN A 10.0.0.20
host-b IN A 10.0.0.21
www IN CNAME host-a
ftp IN CNAME host-b
Со временем нагрузка на Web-сервер возросла, и было принято решение установить дополнительный Web-сервер, разделяя нагрузку между ними, что было сделано прозрачно для пользователей за счет записей CNAME:
host-a IN A 10.0.0.20
host-b IN A 10.0.0.21
host-c IN A 10.0.0.22
www IN CNAME host-a
www IN CNAME host-c
ftp IN CNAME host-b
Относитесь внимательно к удалению записей CNAME, которые ссылаются на уже несуществующие записи хостов. DNS-сервер не отслеживает взаимосвязи между записями, поэтому попытки разрешения записей CNAME, ссылающихся на несуществующие хосты, могут повысить нагрузку на DNS-сервер.
Записи почтовых хостов (MX).
Записи почтовых хостов домена используются почтовыми серверами и программами для определения хоста, на который должна быть отправлена почта. При этом почтовый сервер пытается найти запись MX в домене, имя которого получается отсечением от почтового адреса имени пользователя и символа @. Например, при отправке почты на адрес user1@fio.ru, поиск записи MX будет проводиться в домене fio.ru. Записи почтовых хостов указывают серверы, которые занимаются обработкой входящей почты для соответствующего домена. При наличии нескольких записей MX почтовый сервер пытается сначала использовать запись с наименьшим приоритетом.
Синтаксис записи MX
Название | Mail eXchanger |
Определена в | RFC 1035 |
Описание | Запись, указывающая на сервер, осуществляющий обработку и доставку входящей почты. |
Синтаксис | владелец [класс] [TTL] MX приоритет хост |
Параметры | Приоритет - число от 0 до 65535, определяющее приоритет сервера при наличии в зоне нескольких MX записей с одним именем. Обработка начинается с сервера с наименьшим приоритетом. |
Пример | test.fio.ru MX 10 host1.test.fio.ru @ MX 20 host1.test.fio.ru |
Рассмотрим пример:
@ IN MX 10 mailserver1
@ IN MX 20 mailserver2
Здесь будет сначала использован сервер mailserver1, а при невозможности отправить почту через него - mailserver2. Если и второй сервер будет недоступен, автору сообщения будет отправлено уведомление о невозможности доставки почты.
Записи сервисов (SRV).
Записи сервисов - это новая возможность, не так давно используемая в DNS. Однако, начиная с Windows 2000 они используются очень активно, в основном для обеспечения работы Active Directory. Вся информация о доменах AD, контроллерах доменов, серверах глобального каталога и прочих сервисах, необходимых для ее функционирования, хранится в DNS в виде записей SRV.
Синтаксис записи SRV
Название | Service locator |
Определена в | RFC 2052 |
Описание | Запись, определяющая сервера, предоставляющие определенные сервисы. |
Синтаксис | сервис.протокол.имя [класс] [TTL] SRV приоритет вес порт хост |
Параметры | Сервис - символьное имя сервиса. Имена для стандартных сервисов (_telnet, _smtp и т. п.) определены в RFC 1700 . |
Пример | _ldap._tcp.ms-dcs SRV 0 0 389 host1.test.fio.ru _ldap._tcp.ms-dcs SRV 10 0 389 host1.test.fio.ru |
Т. к. все необходимые записи SRV создаются системой автоматически, вряд ли вам понадобится добавлять или настраивать их вручную. Для работы Active Directory используются динамически обновляемые зоны, все обновления в которые система вносит самостоятельно. Если ваша зона обслуживается сервером, не поддерживающим DDNS (допустим, старые версии DNS-серверов для платформы UNIX), можно добавить все необходимые записи SRV в зону из файла %systemroot%\system32\Config\netlogon.dns. Он обновляется каждый раз при внесении изменений в конфигурацию AD.
[newpage=Планирование DNS.]
Планирование DNS.
Перед началом использования службы DNS в сети следует выработать план, согласно которому она будет развертываться и расширяться в дальнейшем. Выполните следующее:
- Спланировать пространство имен DNS
- Спланировать DNS-зоны
- Спланировать DNS-серверы
- Определить порядок взаимодействия с другими DNS-серверами
Планирование пространства имен.
Перед началом использования службы DNS в сети нужно определить пространство доменных имен DNS. На данном этапе необходимо решить, как предполагается использовать DNS-имена и какие цели достигаются при использовании DNS.
- Выберите первое доменное имя DNS
- Определите, будут ли различаться пространства имен внутренней и внешней сети
- Определите, будет ли служба DNS использоваться для поддержки службы каталогов Active Directory
- Разработайте требования к именам, которые будут применяться при выборе доменных имен DNS для компьютеров
Каждый из этих вопросов обсуждается ниже.
Типовые конфигурации пространств имен.
При планировании пространства имен учитывайте следующее:
- будет ли сеть соединена с Интернетом;
- будет ли использоваться служба каталогов Active Directory;
- потребуется ли доступ к внутренним ресурсам сети из Интернета.
В зависимости от ответов на эти вопросы возможны различные конфигурации внутреннего и внешнего пространств имен DNS. Наиболее типичные конфигурации приведены ниже.
Конфигурация сети | Общее пространство имен | Раздельное пространство имен |
Сеть не соединена с Интернетом. Используется служба каталогов Active Directory | Используется произвольное доменное имя DNS, например school123.int | Организация раздельного пространства имен не имеет смысла |
Выход в Интернет осуществляется через модем с выделением одного IP-адреса. Никакие внутренние ресурсы сети не должны быть доступны из глобальной сети | Организация общего пространства имен не имеет смысла, т. к. в этом случае DNS-сервер должен быть расположен на компьютере, доступном из локальной сети и через Интернет, что невозможно из-за низкой пропускной способности канала связи | Для внутреннего и внешнего пространства имен используются зарегистрированные доменные имена. Например, внешнее пространство имен - school123.edu.ru , внутреннее - school123.msk.ru |
Выход в Интернет осуществляется через выделенный канал с пропускной способностью не ниже 64 Кбит/с. Ряд внутренних ресурсов должен быть доступен из глобальной сети | Используется зарегистрированное доменное имя, например school123.edu.ru . DNS-сервер должен располагаться на компьютере, доступном из локальной сети и через Интернет | Для внутреннего и внешнего пространства имен используются зарегистрированные доменные имена. Например, внешнее пространство имен - school123.edu.ru , внутреннее - school123.msk.ru |
Выбор первого доменного имени DNS.
При установке DNS-серверов рекомендуется сначала выбрать и зарегистрировать уникальное имя родительского домена DNS для вашей организации в Интернете, например fio.ru.
После этого можно на основе используемых в организации имен или названий физического расположения сформировать имена поддоменов. Например, если в дерево доменов добавлен поддомен, такой как study.fio.ru (для ресурсов, используемых в процессе обучения), с помощью этого имени можно формировать дополнительные имена поддоменов. Например, можно создать отдельные поддомены для ресурсов, расположенных в разных учебных аудиториях. Так поддомен одного из классов может называться class10.study.fio.ru или physics.study.fio.ru, а поддомен лаборатории в этом классе - lab.physics.study.fio.ru.
Прежде чем выбрать для организации имя родительского домена DNS в Интернете, следует провести поиск и убедиться, что это имя уникально. Пространством имен DNS Интернета в настоящее время управляет Центр сетевой информации Интернета (Internet Network Information Center, InterNIC). В России вопросами регистрации доменных имен занимается АНО "Региональный Сетевой Информационный Центр" (RU-CENTER).
Планирование пространства имен DNS для Active Directory.
Если вы планируете использовать службу каталогов Active Directory, необходимо сначала спланировать пространство имен. Для правильного развертывания пространства имен доменов DNS в Windows Server 2003 должна быть доступна структура Active Directory. Таким образом, начать следует с разработки структуры Active Directory, а затем поддержать ее с помощью соответствующего пространства имен DNS. Затем при проверке, если будут обнаружены непредвиденные или нежелательные результаты в любом из планов, по мере необходимости можно вносить изменения.
В Windows домены Active Directory получают DNS-имена. Начинается имя с зарегистрированного суффикса имени домена DNS, зарезервированного вашей организацией для использования в Интернете, такого как fio.ru, и на основе используемых в организации имен или названий физического расположения формируются полные имена доменов службы каталогов Active Directory.
Например, группа разработчиков может назвать собственный домен dev.fio.ru. Такой способ именования обеспечивает глобальную уникальность имени домена Active Directory. Кроме того, это облегчает использование существующих имен как родительских при создании дополнительных поддоменов и дальнейшее расширение пространства имен при добавлении новых подразделений.
Для небольшой организации, использующей единственный домен или модель с небольшим числом доменов, планирование может быть непосредственным, соответственно подходу, продемонстрированному в предыдущих примерах.
При планировании пространства имен DNS и службы каталогов Active Directory рекомендуется использовать отдельные наборы несовпадающих имен в качестве основы для внутреннего и внешнего использования DNS. Например, можно использовать домен internal.fio.ru для внутренних имен и external.fio.ru для внешних. Явное разделение пространств внутренних и внешних имен позволяет упростить обработку конфигураций, например, применение фильтров доменных имен или списков исключений.
Выбор имен.
Настоятельно рекомендуется использовать только входящие в стандартный набор разрешенных для использования в именах DNS-узлов символы. В RFC 1123 определены следующие разрешенные символы: все прописные латинские буквы (A-Z), строчные буквы (a-z), цифры (0-9) и дефис (-).
Если в вашей организации ранее использовались NetBIOS-имена компьютеров, то может оказаться, что не все они соответствуют требованиям стандартов DNS. В этом случае рекомендуется все имена компьютеров привести к требованиям DNS-стандарта, как более строгого.
Переход к другим правилам именования может занять много времени. Чтобы облегчить этот процесс, служба DNS включает поддержку расширенного набора символов ASCII и символов Unicode. Однако такая поддержка доступна только в сетевой среде Windows 2000, Windows XP, Windows Server 2003, потому что большая часть DNS-серверов и DNS-клиентов базируется на правилах именования, определенных в RFC 1123. Windows контролирует правильность вводимых доменных имен и рекомендует использовать только стандартные DNS-имена. Так, при установке Windows Server 2003 осуществляется проверка введенного имени на соответствие правилам именования и DNS, и NetBIOS.
В Windows NT 4.0, 9x и более ранних версиях для идентификации компьютера использовалось NetBIOS-имя. В Windows 2000 и более поздних версиях для идентификации компьютера может использоваться любое из следующих имен:
- NetBIOS-имя компьютера, которое является необязательным и используется для возможности совместной работы с компьютерами под управлением предыдущих версий Windows;
- полное имя компьютера, которое представляет собой полное DNS-имя и является основным (стандартным) в Windows 2000 и более поздних версиях Windows.
Дополнительно для идентификации компьютера может использоваться полное доменное имя, состоящее из имени компьютера и DNS-суффикса одного из его подключений. Компьютеры - члены домена автоматически используют доменное имя DNS в качестве DNS-суффикса. Если компьютер не является членом домена, DNS-суффикс можно указать вручную.
Сравнительные характеристики NetBIOS- и DNS-имен представлены в таблице.
NetBIOS-имя | DNS-имя | |
Пространство имен | Плоское | Иерархическое |
Ограничения на используемые символы | Любые Unicode-символы, цифры, пробел, символы ! @ # $ % ^ & ' ) ( . - _ { } ~. | Аналогично NetBIOS. Запрещено использование пробела и точки. |
Максимальная длина | 15 символов | 63 символа в имени компьютера, 255 символов в полном доменном имени компьютера. |
Служба имен | Служба WINS | Служба DNS |
Для взаимозаменяемости NetBIOS- и DNS-имен в Windows 2000, Windows XP и Windows Server 2003 был введен новый параметр - NetBIOS-имя компьютера. Его значение (которое не требуется в чистой среде Windows 2000 и более поздних версий) - это первые 15 символов из полного DNS-имени компьютера.
Если длина имен компьютеров не превышает 15 символов, и используются только символы, разрешенные RFC-1123, то переход от пространства имен NetBIOS к пространству имен DNS практически незаметен - используются короткие имена компьютеров, идентичные именам NetBIOS.
Поддержка нескольких пространств имен.
В дополнение к поддержке внутреннего пространства имен DNS, используемого Windows Server 2003 и службой каталогов Active Directory, для многих сетей требуется поддержка разрешения внешних имен DNS. Служба DNS обеспечивает возможность интеграции и использования раздельных пространств имен, позволяющую сопоставлять и внешние, и внутренние DNS-имена.
При выборе способа интеграции пространств имен следует определить, какой из вариантов ближе к вашей ситуации и предполагаемому использованию DNS:
- внутреннее пространство имен DNS используется только в вашей сети;
- внутреннее пространство имен DNS со ссылками и доступом к внешнему пространству имен, например, со ссылками и отправкой сообщений на DNS-сервер в Интернете;
- внешнее пространство имен DNS, используемое только в общей сети, например, в Интернете.
Если DNS будет использоваться только как служба имен в частном пространстве имен, ограничений на планирование и реализацию структуры имен нет. Например, можно выбрать любой стандарт именования DNS, задать конфигурацию DNS-серверов как действительных корневых серверов сетевой структуры DNS, а также сформировать полностью замкнутую структуру и иерархию дерева доменов DNS.
Если вы начнете эксплуатацию внешнего пространства имен DNS или вам понадобится использовать разрешение внешних DNS-имен, придется рассмотреть вопрос совместимости частного и внешнего пространства имен.
Планирование зон DNS.
При первом разделении пространства имен на зоны следует изучить или спрогнозировать структуру трафика в текущей или планируемой сети. Хотя система DNS предназначена для уменьшения широковещательного трафика между локальными подсетями, она также пересылает некоторый дополнительный объем информации между серверами и клиентами, который тоже необходимо принимать во внимание, особенно когда DNS используется в маршрутизируемых сетях.
Чтобы просмотреть трафик DNS, можно использовать статистику DNS-сервера или счетчики производительности DNS в системном мониторе.
Кроме маршрутизации трафика необходимо учесть влияние следующих факторов, специфических для DNS, в особенности, при работе в глобальной сети с медленными линиями связи:
- обмен сообщениями между серверами, вызываемый как передачей зон, так и взаимодействием с другими DNS-серверами (например, при включении просмотра WINS);
- обмен сообщениями между клиентами и серверами, вызываемый запросами и динамическими обновлениями, которые отправляются DNS-клиентами или DHCP-серверами Windows Server 2003.
На основании полученной информации вы можете определить:
- каким образом используемые пространства имен будут разбиты на отдельные зоны DNS;
- каким образом зоны DNS будут распределены между DNS-серверами;
- где будут размещены дополнительные зоны DNS.
Если при развертывании зон DNS будут использоваться серверы Windows 2000 или Windows Server 2003, необходимо учесть следующие рекомендуемые ограничения, установленные для текущих реализаций DNS Windows 2000, при добавлении новых или расширении текущих зон:
- не пытайтесь добавить в зону более 65 553 записей ресурсов;
- не пытайтесь добавить или загрузить на любой DNS-сервер более 1000 зон.
При совместном использовании нескольких различных DNS-серверов необходимо помнить, что передачи зон между DNS-серверами Windows Server 2003 и другими DNS-серверами (особенно стандарта BIND) могут выполняться медленнее, чем между одинаковыми серверами.
Служба DNS Windows 2000 и Windows Server 2003 поддерживает добавочные зонные передачи между серверами, реплицирующими стандартную зону. Это средство, позволяющее уменьшить трафик при репликации DNS, должно учитываться при планировании зон.
Планирование серверов для DNS.
При планировании DNS-серверов важно следующее:
- Планирование мощности и определение аппаратных требований серверов
- Определение числа требуемых DNS-серверов и их роли в сети. При рассмотрении вопроса о числе используемых DNS-серверов необходимо решить, на каких серверах будут находиться основные и дополнительные копии зон. Кроме того, если используется служба каталогов Active Directory, следует определить, будет ли компьютер DNS-сервера выполнять роль контроллера домена
- Необходимо решить, где в сети следует расположить DNS-серверы для оптимизации трафика и обеспечения репликации и отказоустойчивости
- Необходимо решить, будут ли использоваться только DNS-серверы Windows 2000 / Windows Server 2003 или предполагается их совместное использование с другими реализациями DNS-серверов
Планирование аппаратной конфигурации серверов.
Планирование и развертывание DNS-серверов в сети включает анализ ряда аспектов работы сети и требований к мощности DNS-серверов, которые предполагается в ней использовать. При этом необходимо рассмотреть следующие вопросы:
- сколько зон должны загружаться и управляться DNS-сервером;
- для каждой зоны, которую сервер загружает для обслуживания, необходимо определить размер (на основании размера файла зоны или числа записей ресурсов, используемых в ней);
- сколько интерфейсов должно быть включено на DNS-сервере для прослушивания и обслуживания DNS-клиентов в каждой из подключенных к серверу подсетей;
- сколько всего DNS-запросов от клиентов должен обрабатывать DNS-сервер.
В большинстве случаев, когда сервер обрабатывает и загружает большое число зон и приходится часто выполнять динамические обновления для клиентов зоны, наиболее заметное повышение быстродействия сервера дает увеличение объема ОЗУ, т. к. служба DNS-сервера полностью загружает в память все заданные в конфигурации зоны.
Необходимо помнить, что обычно DNS-сервер расходует системную память следующим образом:
- около 4 Мб ОЗУ используется при запуске DNS-сервера без загрузки зон;
- при создании новой зоны на сервере или добавлении новой записи в существующую зону DNS-сервер расходует дополнительную память;
- согласно оценке, при добавлении каждой записи в зону, обслуживаемую сервером, используется примерно 100 байт памяти сервера (например, если на сервере создается зона, содержащая 1000 записей ресурсов, для нее потребуется примерно 100 Кб памяти сервера).
При планировании серверов полезно сначала произвести ряд тестов производительности DNS-сервера, для чего можно использовать относящиеся к DNS-серверу счетчики в средствах наблюдения Windows. Измерения производительности следует проводить на уже развернутых и работающих в вашей сети DNS-серверах Windows 2000 / Windows Server 2003.
Приведенные выше рекомендации гарантируют повышение производительности службы DNS-сервера, но не максимальную производительность.
Объем памяти, используемой службой DNS-сервера в каждом конкретном случае, указан приблизительно и зависит от типа записи, длины имени записи, количества записей с одинаковыми именами и т. п.
Наряду с планированием DNS-серверов, обслуживающих зоны, имеет смысл рассмотреть возможность использования кэширующих DNS-серверов, которые не содержат зоны DNS. Кэширующие серверы удобны для небольших удаленных сетей, использование DNS в которых сведено к минимуму. Также они позволяют минимизировать накладные расходы на передачу зон.
Где расположить DNS-серверы.
В общем случае DNS-серверы следует размещать в узлах сети, доступных всем клиентам. Наиболее практично использование отдельного DNS-сервера в каждой подсети. При выборе мест для размещения DNS-серверов следует учитывать ряд факторов:
- если структура DNS развертывается для поддержки службы каталогов Active Directory, уточните, является ли компьютер DNS-сервера одновременно контроллером домена или будет использован в этой роли в будущем;
- могут ли локальные клиенты получить доступ к дополнительному DNS-серверу, если основной не отвечает;
- если DNS-сервер расположен в удаленной для некоторых клиентов подсети, то какие другие DNS-серверы будут доступны в случае, когда связь с сетью прервется.
Для всех DNS-серверов, в том числе для тех, в которых нет проблемы использования службы каталогов Active Directory , полезно применять следующие правила планирования и размещения серверов:
- Например, если имеется маршрутизированная локальная сеть с надежным высокоскоростным подключением, можно использовать один DNS-сервер для более широкой сетевой области, разбитой на несколько подсетей. Если имеется большое число клиентских узлов в одной подсети, может потребоваться добавление в нее нескольких DNS-серверов для обеспечения резервирования и восстановления при сбое, если основной DNS-сервер перестает отвечать.
- При определении числа требуемых DNS-серверов следует оценить эффект зонных передач и трафика запросов DNS на самых медленных подключениях в сети. Хотя DNS разработана для снижения широковещательного трафика между локальными подсетями, при ее использовании возникает специфический трафик между серверами и клиентами, который необходимо учитывать (особенно в глобальных сетях или в локальных сетях со сложной маршрутизацией).
- Необходимо рассмотреть эффекты зонных передач по самым медленным подключениям, таким, какие обычно используются в глобальных сетях. Хотя служба DNS поддерживает добавочные зонные передачи, а клиенты и серверы DNS Windows 2000 / Windows Server 2003 могут кэшировать недавно полученные имена, проблемы трафика могут оказаться существенными (особенно при совместном использовании с DHCP), что приводит к необходимости часто выполнять динамические обновления DNS. Одним из вариантов работы с удаленными частями глобальной сети является установка в таких местах DNS-серверов, обеспечивающих службу кэширования DNS.
- В большинстве установок для обеспечения отказоустойчивости необходимо иметь не менее двух серверов, управляющих каждой зоной DNS. В структуре DNS предусмотрены два сервера для каждой зоны, один из которых является основным, а второй - резервным или дополнительным. Когда принято решение о количестве используемых серверов, следует оценить требуемую для сети степень отказоустойчивости.
Для улучшения результатов и упрощения администрирования DNS рекомендуется рассмотреть возможность использования службы DNS-сервера Windows Server 2003 ( или Windows 2000) на всех DNS-серверах локальной сети.
При администрировании файлов зон, созданных службой DNS, рекомендуется вносить изменения с помощью консоли DNS. Вне зависимости от способа редактирования - вручную или через консоль DNS - следует выбрать один метод и постоянно использовать его для всех файлов. Это позволит избежать ошибок, связанных с перезаписыванием или потерей изменений, что может случиться при одновременном использовании двух способов.
Вопросы взаимодействия.
Реализация службы DNS-сервера Windows Server 2003 базируется не только на утвержденных, но и на еще разрабатываемых стандартах RFC. Поэтому есть ряд проблем, которые могут возникнуть при совместном использовании DNS-серверов Windows Server 2003 (или Windows 2000) с их другими реализациями. Кроме того, существует ряд ограничений, накладываемых на DNS-серверы службой каталогов Active Directory. В любом случае можно сказать, что максимальной эффективности можно достичь при эксплуатации в сети только DNS-серверов Windows Server 2003 / Windows 2000.
Служба DNS-сервера Windows Server 2003 / Windows 2000 обеспечивает:
- полную совместимость с другими реализациями DNS-серверов, обеспечивающими RFC-совместимые характеристики службы имен DNS;
- использование DNS-серверов для обеспечения службы DNS в Интернете.
DNS-сервер работающий в среде Windows Server 2003 или Windows 2000 полностью совместим со следующими версиями реализации BIND (Berkeley Internet Name Domain) DNS-сервера:
BIND 4.9.4;
BIND 8.1.2;
BIND 8.2.
Установка службы DNS.
Установка службы DNS может быть произведена во время или после установки сервера. Чтобы установить службу DNS, необходимо соблюдать следующие условия:
- протокол TCP/IP должен быть установлен и связан хотя бы с одним сетевым соединением сервера;
- протокол TCP/IP должен быть сконфигурирован на использование статического IP-адреса хотя бы для одного сетевого соединения;
- в параметрах настройки TCP/IP в качестве DNS-сервера должен быть указан IP-адрес локального компьютера.
Установка службы DNS осуществляется при помощи Мастера установки компонентов Windows. При установке DNS, помимо службы, устанавливается соответствующая оснастка Консоли управления.
После завершения установки можно сразу переходить к начальной настройке DNS.
эта статья с Компьютерные сети и технологии
( http://www.xnets.ru/plugins/content/content.php?content.126 )