В
процессе создания конфигурации DNS-сервера
необходимо выполнить следующие действия:
Установить
службу DNS-сервера на всех контроллерах
доменов в созданном вами лесу,
что обеспечит отказоустойчивость
в том случае, если какой-то из серверов
будет недоступным. Это упростит
для среду управления, так как
конфигурация на всех контроллерах доменов
будет одинаковой, причем, контроллеры
домена не будут зависеть от других
серверов DNS при разрешении имен;
Настроить
контроллер корневого домена Active Directory
так, чтобы он содержал зону DNS леса Active
Directory;
В
случае необходимости, настроить все
региональные контроллеры домена так,
чтобы они содержали зоны DNS, соответствующие
доменам контроллеров доменов Active Directory;
Для
корректной настройки службы DNS на клиентских
компьютерах, вам, как владельцу
службы DNS доменных служб Active Directory, нужно
указать схему именования компьютеров,
а также способ поиска DNS-серверов для
клиентов. Лучше всего использовать стандартную
схему именования клиентских компьютеров,
то есть полное доменное имя FQDN должно
состоять из имени узла компьютера и имени
домена AD. Также необходимо настроить
клиентские компьютеры так, чтобы они
указывали на все DNS-сервера, которые есть
в сети.
3.2.
Администрирование
DNS
Ниже
приведены рекомендации по обеспечению
бесперебойной работы при администрировании
службы доменных имен (DNS).
- Настройка
DNS-сервера на использование статического
IP-адреса.
Если DNS-сервер
настроен на использование динамических
адресов, назначаемых с помощью DHCP,
при назначении DHCP-сервером нового
IP-адреса для DNS-сервера DNS-клиенты, в
параметрах которых указан предыдущий
IP-адрес DNS-сервера, не смогут разрешить
предыдущий IP-адрес и найти DNS-сервер.
- Необходимо
соблюдать осторожность при добавлении
записей ресурсов псевдонима в зоны. Лучше
избегать использования записей ресурсов
псевдонима (CNAME) для сопоставления имен
узлов, которые используются в записях
ресурсов узла (A), там, где они не требуются.
Также следует убедиться, что используемые
имена-псевдонимы не задействованы в других
записях ресурсов.
- При проектировании
сети DNS лучше использовать стандартные
рекомендации и по возможности следовать
практическим рекомендациям по управлению
инфраструктурой DNS. В систему DNS заложен
определенный уровень отказоустойчивости
при разрешении имен. Желательно, чтобы
каждая зона размещалась по меньшей мере
на двух DNS-серверах.
- При применении
доменных служб Active Directory в целях повышения
уровня безопасности, обеспечения отказоустойчивости,
а также упрощения развертывания и управления
следует использовать для зон DNS хранилище,
интегрированное в службу каталогов. Интеграция
зон DNS в доменные службы Active Directory позволяет
упростить планирование сети. Например,
при использовании интегрированных в
Active Directory зон DNS контроллеры доменов для
каждого из доменов Active Directory напрямую
соответствуют своим DNS-серверам. Это позволяет
упростить планирование и облегчить устранение
неполадок, связанных с DNS и репликацией
Active Directory, так как в обеих топологиях используются
одни и те же серверы. Если для зон используется
хранилище, интегрированное в службу каталогов,
можно выбирать различные области репликации,
которые реплицируют данные зоны DNS по
всему каталогу. Можно выбрать области
репликации, реплицирующие данные зоны
DNS на все DNS-серверы в лесу Active Directory, на
все DNS-серверы в указанном домене Active
Directory или на все контроллеры домена, указанные
в настраиваемой области репликации. Любой
DNS-сервер, размещающий зону, интегрированную
в службу каталогов, является основным
DNS-сервером для этой зоны. Это позволяет
использовать модель с несколькими хозяевами,
в рамках которой обновлять одни и те же
данные зоны могут несколько DNS-серверов.
Использование модели с несколькими хозяевами
исключает проблему, возникающую в обычной
топологии с одним главным DNS-сервером,
когда только один DNS-сервер может обновлять
данные для указанной зоны. Одним из важных
преимуществ интеграции в каталог является
поддержка безопасных динамических обновлений
имен в пределах зоны.
- Введите правильный
адрес электронной почты лица, ответственного
за каждую добавленную и управляемую зону
на DNS-сервере. Приложения используют
это поле в начальной записи зоны (SOA) для
оповещения администраторов DNS по ряду
причин. Например, это поле может использоваться
при возникновении ошибок запроса, возврате
неверных данных в запросе, а также при
появлении проблем с безопасностью. Хотя
обычно адрес электронной почты в программах
электронной почты содержит символ «@»,
при вводе электронного адреса в этом
поле данный символ необходимо заменить
на точку (.). Например, вместо administrator@microsoft.com
следует использовать запись administrator.microsoft.com.
При
установке DNS с доменными службами
Active Directory мастер установки доменных
служб Active Directory (Dcpromo.exe), используемый
для установки контроллера домена,
автоматически устанавливает и
настраивает локальный DNS-сервер. Мастер
устанавливает службу DNS-сервера
на тот компьютер, где он запущен,
и настраивает параметр предпочитаемого
DNS-сервера компьютера на использование
нового локального DNS-сервера. Необходимо
настроить другие компьютеры, которые
будут присоединяться к этому домену,
на использование IP-адреса этого сервера
в качестве предпочитаемого DNS-сервера.
Перед запуском мастера установки доменных
служб Active Directory рекомендуется вручную
настроить использование статического
IP-адреса на компьютере. Если DNS-сервер
настроен на использование динамических
адресов, назначаемых с помощью DHCP, при
назначении DHCP-сервером нового IP-адреса
для DNS-сервера DNS-клиенты, в параметрах
которых указан предыдущий IP-адрес DNS-сервера,
не смогут разрешить предыдущий IP-адрес
и найти DNS-сервер.
Чтобы
удалить DNS-сервер из сети, необходимо
воспользоваться следующей процедурой
для внесения изменений в зонах, где данный
сервер является заслуживающим доверия
сервером зоны:
- Удаление
записи ресурса. Данная процедура используется
для удаления записи ресурса узла (A) для
указанного сервера.
- Изменение
существующей записи ресурса. Данная процедура
используется для обновления записей
ресурсов сервера имен (NS) в зонах, где
данный сервер является заслуживающим
доверия, для исключения сервера по имени
(в виде, в котором оно присутствовало
в записи ресурса узла (А), которая была
удалена в процедуре 1).
- Изменение
начальной записи ресурсов зоны (SOA). Данная
процедура используется для изменения
поля владельца начальной записи зоны
(SOA) с целью указания нового основного
DNS-сервера для данной зоны. (Если зона
является интегрированной в службу каталогов,
то выполнять данную процедуру не требуется.)
- Проверка
делегирования зоны. Данная процедура
используется для проверки родительской
зоны, чтобы убедиться, что все записи
ресурса (сервера имен (NS) или записи ресурсов
узла (А)), используемые для делегирования
в зону, изменены и не указывают на удаленный
сервер.
- Удаление
DNS-сервера из раздела каталога приложений
DNS. Данная процедура используется для
удаления DNS-сервера, если он был указан
в разделе каталога приложений DNS.
3.2.3.
Управление DNS-сервером
После
установки и настройки DNS-сервера
иногда необходимо выполнить дополнительные
задачи для его настройки и
обслуживания. Ниже перечислены эти
задачи.
- Изменение
IP-адреса DNS-сервера, например при перемещении
этого сервера в новый сегмент сети. Процесс
изменения IP-адреса существующего DNS-сервера
одинаков для всех DNS-узлов: следует обновить
IP-адрес в записи ресурса узла сервера
(A или AAAA). Если имя сервера не изменяется,
то запись ресурса сервера имен (NS) и начальная
запись зоны (SOA) остаются без изменений.
Распространенная ошибка конфигурации,
которая возникает при изменении IP-адреса
в записи ресурса узла (A или AAAA) в зоне,
заключается в том, что те же данные, используемые
в другой части инфраструктуры DNS, не обновляются.
Например, если DNS-сервер, имя или адрес
которого изменились, используется в родительской
зоне как часть набора записей делегирования,
то записи зоны могут обновиться, но записи
делегирования остаются неизменными.
Поэтому при изменении или обновлении
IP-адресов записей ресурсов узла (A или
AAAA) для DNS-серверов в зоне рекомендуется
также проверить родительскую зону. В
противном случае делегирование зоны
может быть неудачным.
- Изменение
параметров сервера по умолчанию для повышения
производительности или безопасности.
При первоначальной установке роль DNS-сервера
настраивается с параметрами по умолчанию,
которые подходят для большинства вариантов
развертывания. Параметры следует изменять
только в случае, если эти изменения гарантированно
необходимы для инфраструктуры DNS. Можно
изменить следующие параметры по умолчанию:
IP-адреса, которые DNS-сервер будет использовать
для связи с DNS-клиентами и другими DNS-серверами
и свойства устаревания и очистки по умолчанию,
которые управляют удалением устаревших
записей ресурсов.
- Работа с
корневыми ссылками для обеспечения получения
сведений и обнаружения службой DNS заслуживающих
доверия серверов, управляющих доменами,
расположенными на более высоком уровне
или в других поддеревьях пространства
имен домена DNS. Корневые ссылки — это
данные DNS, хранящиеся на DNS-сервере, который
определяет заслуживающие доверия DNS-серверы
для корневой зоны пространства имен DNS.
Корневые ссылки можно использовать для
настройки заслуживающих доверия серверов
для некорневых зон, чтобы они могли обнаруживать
заслуживающие доверия серверы, размещающие
более высокоуровневые домены или домены
в других поддеревьях пространства имен
домена DNS. Эти корневые ссылки необходимы
для заслуживающих доверия серверов, расположенных
на более низких уровнях пространства
имен, когда эти серверы пытаются найти
другие серверы при этих условиях. По умолчанию
служба DNS-сервера настраивается со стандартным
набором корневых ссылок. Набор корневых
ссылок по умолчанию содержит записи ресурсов
сервера имен (NS) и узла (A) для корневых
серверов в Интернете. Тем не менее, если
служба DNS-сервера используется в частной
сети, можно заменить корневые ссылки
по умолчанию записями, которые будут
указывать на внутренние корневые DNS-серверы.
Если DNS-сервер настроен на доступ к другим
DNS-серверам, например, по списку DNS-серверов,
настроенному в его клиентских свойствах
TCP/IP для установленного сетевого подключения,
то служба DNS-сервера может собирать корневые
ссылки самостоятельно во время настройки
нового сервера. Для выполнения этой задачи
можно использовать мастер настройки
DNS-сервера.
- Управление
интеграцией DNS-сервера с доменными службами
Active Directory для сохранения и репликации
данных DNS. Интеграция DNS в доменные службы
Active Directory служит для автоматической репликации
между контроллерами домена в обычном
домене или лесу. Установка нескольких
контроллеров домена в домене, где работает
служба DNS-сервера, гарантирует функционирование
DNS, даже если какой-либо контроллер домена
выйдет из строя или будет переведен в
автономный режим для обслуживания. При
наличии нескольких контроллеров домена
также имеется возможность размещать
серверы в сайтах, чтобы DNS-клиенты могли
подключаться к ним с наибольшей эффективностью.
Кроме того, итоговая балансировка нагрузки
может улучшить общую производительность
DNS. При установке доменных служб Active Directory
с помощью мастера установки доменных
служб Active Directory (Dcpromo.exe) можно автоматически
установить и настроить DNS-сервер. Полученная
в результате зона DNS интегрируется с доменом
Active Directory, который управляется сервером
Active Directory. Это наиболее распространенный
способ интегрирования DNS с доменными
службами Active Directory. Также можно создавать
зоны, интегрированные со службой каталогов,
не являющиеся частью пространства имен
домена доменных служб Active Directory. По умолчанию
данные для зоны, интегрированной со службой
каталогов, реплицируются на все контроллеры
домена в соответствующем лесу или домене.
Если необходимо изменить область репликации
для зоны, можно создать раздел каталога
приложений для хранения данных зоны.
Чтобы повысить безопасность инфраструктуры
DNS, можно изменить список пользователей
или групп, которым разрешено выполнять
безопасное обновление соответствующей
зоны, а также, если необходимо, изменить
разрешения для них.
- Использование
переадресации запросов. Сервер пересылки
— это DNS-сервер в сети, который используется
для переадресации DNS-запросов внешних
DNS-имен на DNS-серверы за пределами этой
сети. Запросы также можно переадресовывать
в соответствии с определенными именами
доменов, используя для этого серверы
условной пересылки. DNS-сервер в сети назначается
сервером пересылки, если другие DNS-серверы
в сети настроены на переадресацию запросов,
которые не могут быть разрешены локально,
на этот DNS-сервер. С помощью сервера пересылки
можно управлять разрешением имен, находящихся
вне сети организации, например имен, находящихся
в Интернете. Чтобы использовать серверы
пересылки для управления DNS-трафиком
между сетью и Интернетом, настройте брандмауэр
сети для разрешения связи с Интернетом
только выделенному набору DNS-серверов.
Если на других DNS-серверах в сети настроена
пересылка запросов, которые не могут
быть разрешены локально, на эти выделенные
DNS-серверы, то они будут функционировать
как серверы пересылки. На DNS-серверах,
которые пересылают запросы в Интернет,
не следует размещать зоны, чтобы не подвергать
пространство имен внутренней сети возможным
атакам злоумышленников извне. Серверы
условной пересылки являются DNS-серверами,
которые переадресуют запросы в соответствии
с именами доменов. Вместо того, чтобы
пересылать всех запросы к DNS-серверу,
которые не удалось разрешить локально,
на сервер пересылки, можно настроить
DNS-серверы таким образом, чтобы они пересылали
запросы на различные серверы пересылки
в зависимости от определенных имен доменов,
содержащихся в этих запросах. Пересылка
в зависимости от имен доменов повышает
эффективность обычной пересылки путем
введения в процесс пересылки условия,
зависящего от имени. Серверы условной
пересылки можно использовать для повышения
эффективности разрешения имен между
внутренними (частными) пространствами
имен DNS, которые не являются частью пространства
имен DNS Интернета. Например, такие пространства
имен DNS могут образоваться в результате
слияния компаний. При настройке DNS-серверов
в одном внутреннем пространстве имен
для пересылки всех запросов на заслуживающие
доверия DNS-серверы во втором внутреннем
пространстве имен серверы условной пересылки
включают разрешение имен между двумя
пространствами имен без выполнения рекурсии
с использованием пространства имен DNS
Интернета. Подобное усовершенствование
процесса разрешения имен также позволяет
избегать ситуаций, в которых DNS-серверы
выполняют рекурсию на внутренний корневой
сервер для других пространств имен в
сети.
Можно
предпринять целый ряд мер, чтобы
обеспечить сопротивляемость инфраструктуры
DNS атакам. К этим действиям относятся:
Защита
службы DNS-сервера от изменения не
уполномоченными на это пользователями.
Одним из преимуществ размещения службы
DNS-сервера на контроллере домена Active Directory
является возможность управления доступом
через доменные службы Active Directory (AD DS), позволяющая
предотвратить изменение параметров DNS-сервера
не уполномоченными на это пользователями.
Эту процедуру можно использовать для
управления списком пользователей, которые
могут администрировать DNS-сервер, и набором
изменений, которые они могут вносить.
Поддержание
глобального списка блокировки для
защиты DNS-клиентов от известных фиктивных
серверов. Функция списка блокировки,
обеспечиваемая ролью DNS-сервера, помогает
предотвратить перехват WPAD, гарантируя,
что запросы WPAD-серверов всегда будут
приводить к неудаче, если WPAD не исключен
из списка блокировки. Список блокировки
автоматически применяется ко всем зонам,
для которых сервер является заслуживающим
доверия. Например, если DNS-сервер является
заслуживающим доверия для contoso.com и europe.contoso.com,
то он игнорирует запросы как для имени
wpad.contoso.com, так и для имени wpad.europe.contoso.com.
Однако служба DNS-сервера не игнорирует
запросы для имен в зонах, для которых
он не является заслуживающим доверия.
Говоря точнее, служба DNS-сервера не игнорирует
запросы, которые она получает через сервер
пересылки или зону-заглушку либо в качестве
результата обычной рекурсии или переадресации.
Если список блокировки заставляет службу
DNS-сервера игнорировать запрос записи
ресурса, которая существует в зоне, то
служба регистрирует событие, которое
объясняет, почему она это сделала. Это
событие регистрируется только один раз
с момента перезапуска DNS-сервера, чтобы
предотвратить переполнение журнала событий
при попытке атаки типа «отказ в обслуживании»
(DOS).
Повышение
безопасности зон. Можно повысить уровень
безопасности инфраструктуры DNS, приняв
меры для обеспечения безопасности зон,
размещаемых на DNS-серверах. Безопасность
зон может быть нарушена одним из двух
способов: несанкционированными изменениями
в зоне и несанкционированным доступом
к данным зоны. Несанкционированные изменения
в зоне могут произойти в результате динамических
обновлений в зоне, которые может выполнить
нарушитель. Можно помочь предотвратить
этот тип атаки, обеспечив возможность
выполнения только безопасных динамических
обновлений. Несанкционированный доступ
к данным зоны может произойти, если нарушитель
настроит дополнительный сервер, который
сможет получать передачи зоны от неправильно
настроенного основного DNS-сервера. Можно
способствовать предотвращению атак этого
типа, настроив в зонах передачу только
заслуживающим доверия DNS-серверам. Наконец,
для зон, хранящихся в доменных службах
Active Directory, можно настроить список управления
доступом, чтобы предотвратить несанкционированные
изменения или доступ к зонам.
Заключение
Все
вопросы поставленные в техническом
задании рассмотрены и можно сделать следующие
выводы.
DNS
(англ. Domain Name System — система доменных
имён) — компьютерная распределённая
система для получения информации
о доменах. Чаще всего используется
для получения IP-адреса по имени
хоста (компьютера или устройства),
получения информации о маршрутизации
почты, обслуживающих узлах для
протоколов в домене (SRV-запись).
Распределённая
база данных DNS поддерживается с помощью
иерархии DNS-серверов, взаимодействующих
по определённому протоколу.
Одним
из важных пунктов работы DNS – совместимость
с Activ Directory, т.к. это средство управления
пользователями и сетевыми ресурсами
сильно облегчает жизнь администраторам
больших сетей и вокруг него строится
вся система управления сетью и её безопасности.
DNS, интегрированная в Active Directory, располагает
рядом достоинств, таких как, например
то, что каждый из серверов DNS может вносить
изменения в зону и, в случае отказа одного
из серверов, обновления зоны DNS не прекращаются.
В стандартной конфигурации DNS обновления
невозможны, если прекращает работу основной
сервер имен.
Планирование
и администрирование DNS являются
сложными процессами и требуют специальных
навыков и знаний.
DNS
важна для работы Интернета,
ибо для соединения с узлом
необходима информация о его
IP-адресе, а для людей проще
запоминать буквенные (обычно
осмысленные) адреса, чем последовательность
цифр IP-адреса. В некоторых случаях
это позволяет использовать виртуальные
серверы, например, HTTP-серверы, различая
их по имени запроса. Первоначально
преобразование между доменными
и IP-адресами производилось с
использованием специального текстового
файла hosts, который составлялся
централизованно и автоматически
рассылался на каждую из машин
в своей локальной сети. С ростом
Сети возникла необходимость в эффективном,
автоматизированном механизме, которым
и стала DNS.
Список
литературы
1. “Атака
и защита DNS”, К. Пьянзин, журнал "LAN/Журнал
сетевых решений", 07/1997, URL: http://www.osp.ru/lan/1997/07/79.htm