Роль dns сервера windows

Добрый день! Уважаемые читатели и гости популярнейшего IT блога Pyatilistnik.org. В прошлый раз мы с вами установили в Windows Server 2012 R2, роль DNS сервера. Данная технология по мимо своей основной задачи по разрешению DNS имен в IP-адреса и обратно, имеет еще ряд функций, которые вы как системный администратор просто обязаны знать. DNS, это сердце все сейчас, если у вас он перестанет работать в вашей инфраструктуре, то у вас все встанет. Вы также должны уметь его защищать, и знать уровни безопасности Microsoft DNS серверов.

Системные требования

Когда сервис DNS-сервера запускается, то в оперативную память помещаются данные из всех зон. Так же помним, что в памяти будет храниться кэш DNS запросов. Полезно будет помнить системные требования для DNS серверов:

1. DNS сервер без зон занимает порядка 4 Мб в оперативной памяти
2. При добавлении зон, данные загружаются в оперативную память
3. Каждая запись занимает порядка 100 байт. Так если у вас 1000 записей это займет еще 100 кб

Роли DNS серверов

1. Cashing-only — не хранят на себе никаких зон, являются только серверами, где хранится кэш DNS запросов. Поэтому они не создают Zone Transfer трафик. Можно использовать у филиальном офисе, для уменьшения DNS трафика между ним и главным офисом.
2. Non-recursive — Сервера, на которых хранится DNS зона и у которых отключена возможность рекурсивного разрешения имени. Это приводит к тому, что если сервер не может разрешить имя (не имеет ресурсной записи) то DNS запрос будет не разрешен. Такие сервера можно ставить в роли внешних DNS серверов компаний. Так же это защитит от использования внешними пользователями ваших DNS серверов для разрешения DNS имен в интернете.
3. Forward-only — Понятно из названия, что сервера занимаются только пересылкой DNS запросов на другие сервера (обычный рекурсивный запрос — отключен). В таком случае, если сервер не получит ответа от других, то запрос будет не разрешен. Такие сервера можно использовать для управления DNS трафиком между корпоративной сетью и интернетом. В таком сценарии все внутренние сервера будет обращаться к Forward-only серверу с просьбой разрешить внешние имена. Пятно контакта с интернет уменьшится до одного DNS сервера.
4. Conditional forwards — Очень похоже на сервера Forward-only , но в отличии от них в том, что задается связка какой домен на какой IP нужно пересылать.

contoso.msft	10.10.0.10
talspintoys.msft	172.16.0.20

Таким образом все запросы связанные с contoso.msft , к примеру www.corp.contoso.msft будут перенаправлены на 10.10.0.10

Уровни безопасности Microsoft DNS серверов

Выделяют 3 уровня:

• Низкий уровень безопасности
  1. Ваша DNS инфраструктура полностью выставлена в интернет
  2. Обычное разрешение имен DNS выполняют все сервера в вашей сети
  3. Все DNS сервера сконфигурированы на использование Root-Hint`ов
  4. Все DNS сервера позволяют перемещение зоны на любые сервера
  5. Все DNS сервера слушают на всех своих IP
  6. Отключено очистка от старых записией в кэше
  7. Динамическое обновление разрешено для всех зон
  8. На пограничном Firewall пропускается DNS трафик в обе стороны

• Средний уровень безопасности
  1. Ваша DNS инфраструктура имеет ограниченный доступ в интернет
  2. Все DNS сервера настроены на использование пересылки запросов на специальные сервера, когда они не могут разрешить имя локально
  3. Перемещении зоны разрешено только для своих NS серверов
  4. Сервера настроены прослушивать только на определенных IP
  5. Включена очистка загрязнений в DNS кэше
  6. Общение между внутренним и внешними DNS серверами происходит через Firewall, который частично ограничивает запросы. Есть жесткий список от кого и кому разрешены DNS запросы.
  7. Внешние DNS сервера настроены на использование Root-Hints

• Высокий уровень безопасности — немного больше закрученных гаек по сравнению со средним уровнем. В такой структуре полностью отсутствует взаимодействие с интернетом. Это не стандартная конфигурация, но она идеальна, если не нужен доступ в интернет.
  1. Ваша DNS инфраструктура полностью не доступна из интернета
  2. Внутри сети используются DNS сервера, которые являются корневыми и хранят все адресное пространство.
  3. Сервера, настроенные для пересылки запросов используют только внутренние IP DNS серверов
  4. Перемещение зоны жестко ограничено IP адресами
  5. Сервера настроены прослушивать только на определенных IP
  6. Включена очистка загрязнений в DNS кэше
  7. Внутренние DNS сервера настроены на использование root-hint прикрепленым к корневым внутренним DNS, на которых хранится корневая зона для вашего пространства имен
  8. Все DNS сервера хранятся на Domain controllers и имеют ограниченный доступ (DACL)
  9. Все зоны хранятся в Active Directory и имеют ограниченный доступ (DACL)
  10. Безопасные динамические обновления разрешены за исключением верхнего уровня корневых зон.

Роль DNS-сервера: настройка DNS-сервера

DNS-серверы поддерживают записи в распределенной базе данных DNS и используют эти записи для обработки запросов сопоставления DNS-имен, созданных DNS-клиентами, таких как запросы имен веб-сайтов или компьютеров в сети или в Интернете. Если планируется использовать компьютер для обработки DNS-запросов компьютеров в сети, следует добавить для него роль DNS-сервера.

В этом разделе объясняются основные шаги, которые необходимо проделать при настройке DNS-сервера для небольшой организации или подразделения крупной организации. Для обоих сценариев в этом разделе разъясняются основные действия при настройке DNS-сервера и настройке зоны DNS для сети. В данном разделе также объясняется, как пересылать запросы для внешних ресурсов на DNS-сервер либо при помощи поставщика услуг Интернета (ISP), если это небольшая организация, либо через центральный офис крупной организации в случае работы с подразделением.

Для настройки компьютера как DNS-сервера используются: мастер настройки сервера, мастер создания и настройки DNS-сервера и программа «Управление данным сервером». По окончании установки основного DNS-сервера можно выполнить дополнительную настройку задач в зависимости от того, как будет использоваться DNS-сервер.

В малом бизнесе DNS-серверы используются редко, так как для обнаружения сетевых ресурсов используется метод разрешения имен службы WINS, а ресурсы Интернета обнаруживаются при помощи DNS-серверов поставщика услуг Интернета (ISP). Однако по причине интеграции многих сетей с Интернетом, DNS все шире распространяется в небольших сетях.

Использование DNS в сети не требует обязательного администрирования инфраструктуры DNS. При наличии небольшой сети с необходимостью надежной поддержки информации имеется возможность задать администрирование пространства имен DNS сторонней организацией, специализирующейся в администрировании DNS, например государственной организацией или поставщиком услуг Интернета. В таком случае сторонняя организация будет размещать и администрировать информацию о DNS или интегрировать компьютеры с работающим DNS-сервером, расположенным в ее сети.

Предварительная подготовка

Прежде чем компьютер будет настроен как DNS-сервер, необходимо убедиться в следующем.

• Операционная система настроена корректно. В системах Windows Server 2003 служба DNS-сервера зависит от настройки операционной системы и ее служб, таких как TCP/IP. При заново установленной операционной системеWindows Server 2003 можно использовать параметры служб по умолчанию. Никаких дополнительных действий не требуется. При обновлении операционной системы до Windows Server 2003 или при необходимости убедиться в соответствии параметров служб требованиям оптимальной производительности и безопасности см. раздел Стандартная настройка служб.
• Все доступное дисковое пространство выделено. Для создания нового раздела из невыделенного пространства может быть использована оснастка «Управление дисками» или программа DiskPart.exe. Дополнительные сведения см. в разделе Чтобы создать раздел или логический диск.
• Все существующие тома диска используют файловую систему NTFS. Тома FAT32 не безопасны и не поддерживают сжатие файлов и папок, дисковые квоты, шифрование файлов и разрешения специального доступа к файлам.
• Включен брандмауэр Windows. Соответствующие сведения см. на веб-узле корпорации Майкрософт в документе, в котором описывается использование мастера настройки безопасности в Windows Server 2003 Service Pack 1 (http://www.microsoft.com/) .
• Мастер настройки безопасности установлен и активен. Сведения о мастере настройки безопасности содержатся в разделе Мастер настройки безопасности.
• Запустите Windows Update Дополнительные сведения см. в разделе Windows Update.

Следующая таблица содержит сведения, необходимые для добавления роли DNS-сервера.

Для всех организаций
Прежде чем добавить роль DNS-сервера	Комментарии
Определите, добавляется ли роль DNS-сервера для поддержки Active Directory.	Если Active Directory будет разворачиваться, то используемые для ее поддержки DNS-серверы будут автоматически установлены и настроены мастером установки Active Directory. Дополнительные сведения см. в разделах Обычная установка первого сервера и Роль контроллера домена: настройка контроллера домена.
Учтите особенности поддержки политик безопасности сети и организации при передаче данных через Интернет.	Изначально DNS разрабатывался как открытый протокол, поэтому он уязвим для злоумышленников. Windows Server 2003 предоставляет специальные средства обеспечения повышенной безопасности инфраструктуры DNS. При настройке DNS для поддержки политик безопасности необходимо принимать во внимание доступные на момент разработки и развертывания DNS-сервера, зон и записей ресурсов политики безопасности организации. Дополнительные сведения см. в разделе Сведения о безопасности для DNS.
Просмотрите контрольный список для DNS.	Сведения см. в разделе Контрольный список для установки DNS-сервера.
Для небольших организаций
Прежде чем добавить роль DNS-сервера	Комментарии
Определите первое DNS-имя домена для организации.	Определение первого DNS-имени домена для организации представляет собой выбор уникального имени домена в пространстве DNS-имен в Интернете. Если у организации есть веб-сайт, следует использовать его имя как отправную точку при выборе DNS-имени домена. Если имя веб-сайта www.humongousinsurance.com, можно создать имя первого домена в виде расширения этого имени, используя имя поддомена corp, например corp.humongousinsurance.com.
Уточните у поставщика услуг Интернета, зарегистрированы ли IP-адреса сети у регистратора Интернета.	Для работы разворачиваемого DNS-сервера через Интернет и IP-адреса, и DNS-имя домена, используемые в сетью, должны быть зарегистрированы у авторизованного регистратора Интернета. Эти организации несут ответственность за разрешение IP-адресов и DNS-имен доменов и хранение общих записей разрешений. При соединении через Интернет сеть организации представляет собой подсеть поставщика услуг Интернета. В этом случае IP-адреса подсети уже будут зарегистрированы у регистратора Интернета.
Зарегистрируйте DNS-имя домена у регистратора Интернета.	При развертывании DNS в частной сети следует зарегистрировать DNS-имя домена, которое будет использоваться организацией, у регистратора Интернета. Если имя не будет зарегистрировано, то при попытке использовать его в Интернете или при соединении с сетью, подключенной к Интернету, имя может стать недоступным по причине регистрации его другой организацией. Также можно воспользоваться регистрацией DNS-имени домена, предоставляемой поставщиком услуг Интернета. При выборе DNS-имени домена имеется возможность просмотра доступных для использования имен в Интернете на веб-сайтах полномочных служб регистраторов Интернета. Сведения о поиске в Интернете доступных имен доменов, см. на веб-сайте Информационного центра сети Интернет (InterNIC). XOX
Имейте в виду, что имя первой зоны DNS, в которой будет расположен DNS-сервер, совпадает с регистрируемым DNS-именем домена.	При настройке роли DNS-сервера определяется первая зона DNS в которой он будет расположен. Для этого используется DNS-имя домена сети, например corp.humongousinsurance.com.
Выделите IP-адрес одного или нескольких DNS-серверов, расположенных у поставщика услуг Интернета, для использования в качестве сервера пересылки.	Настройте DNS-сервер для пересылки с целью отправки запросов имен из других сетей на DNS-сервер поставщика услуг Интернета.
Для подразделения крупной организации
Прежде чем добавить роль DNS-сервера	Комментарии
Получите DNS-имя домена для сети из центрального офиса.	Первое DNS-имя домена для подразделения представляет собой поддомен используемого в центральном офисе домена. Например, если в центральном офисе используется имя домена corp.humongousinsurance.com, то DNS-имя домена для подразделения может быть corp.humongousinsurance.com. В любом случае следует убедиться, что DNS-имя домена корректно делегировано из центрального офиса.

Настройка конфигурации DNS-сервера

Для настройки DNS-сервера необходимо запустить мастер настройки сервера, выполнив следующие действия.

• В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
• Чтобы открыть мастер настройки сервера, нажмите кнопку Пуск и выберите команды Программы, Администрирование и Мастер настройки сервера.

На странице Роль сервера выберите DNS-сервер и нажмите кнопку Далее.

Сводка выбранных параметров

На странице Сводка выбранных параметров посмотрите и подтвердите выбранные параметры. Если на странице Роль сервера был выбран DNS-сервер, то будут отображены следующие параметры.

• Установка DNS-севера
• Запуск мастера настройки DNS-сервера для настройки службы DNS

Если на странице Сводка выбранных параметров отображены эти две строки, нажмите кнопку Далее. Если на странице Сводка выбранных параметров нет этих строк, нажмите кнопку Назад для перезапуска страницы Роль сервера, а затем выберите DNS-сервер и нажмите кнопку Далее.

Настройка статических IP-адресов DNS-сервера

После нажатия кнопки Далее мастер настройки сервера установит службу DNS-сервера. В процессе установки службы DNS-сервера мастер настройки сервера определяет, является ли IP-адрес для этого сервера статическим или настраивается автоматически. Клиенты DNS находят DNS-серверы при помощи автоматически настраиваемых статических IP-адресов. Это может создавать трудности для клиентов DNS при изменении IP-адресов.

Если этот сервер настроен для автоматического получения IP-адреса, то появляется страница Настройка компонентов мастера компонентов Windows и предлагает настроить этот сервер для использования статического IP-адреса. В окне Свойства подключения по локальной сети выберите вариант Протокол Интернета (TCP/IP) и нажмите кнопку Свойства. В диалоговом окне Свойства протокола Интернета (TCP/IP) выберите Использовать следующий IP-адрес и введите статический IP-адрес, маску подсети и основной шлюз для этого сервера. В строке Предпочитаемый DNS-сервер введите IP-адрес этого сервера. В строке Дополнительный DNS-сервер введите IP-адрес DNS-сервера, находящегося в центральном офисе или у поставщика услуг Интернета. Когда будут настроены статические IP-адреса для DNS-сервера нажмите кнопку OK, а затем кнопку Закрыть.

• Для небольшой организации статический IP-адрес сервера будет использоваться для регистрации DNS-имени домена авторизованным регистратором Интернета. Регистратор Интернета сопоставит DNS-имя домена организации с IP-адресом, и компьютерам в Интернете при поиске компьютеров из сети организации будет известен IP-адрес DNS-сервера этой сети.
• Для подразделения статический IP-адрес сервера сервера будет использоваться при делегировании имени домена, настроенного на DNS-сервере в центральном офисе организации. Компьютеры в организации и в Интернете при поиске компьютеров из сети будут использовать IP-адрес DNS-сервера этой сети. Поэтому очень важно не изменять IP-адрес этого сервера после добавления роли DNS-сервера.

Использование мастера настройки DNS-сервера

После нажатия кнопки Закрыть запускается мастер настройки DNS-сервера. Если вы отмените работу мастера настройки DNS-сервера, служба DNS-сервера останется установленной, но не сможет рассылать клиентам IP-адреса, пока не будет создана область. Создать область позже можно при помощи консоли DNS.

В этом разделе приведены действия при работе с мастером настройки DNS-сервера.

Выбор действия по настройке

На странице Выбор действия по настройке выберите Создать зону прямого просмотра и нажмите кнопку Далее.

Размещение основного сервера

Чтобы задать, что этот DNS-сервер будет содержать зону DNS, в которую входят записи ресурсов DNS для ресурсов сети, на странице Размещение основного сервера выберите Управление зоной выполняется этим сервером и нажмите кнопку Далее.

Имя зоны

На странице Имя зоны в строке Имя зоны задайте имя зоны DNS для сети и нажмите кнопку Далее. Имя зоны совпадает с именем DNS домена для небольшой организации или подразделения.

Динамическое обновление

На странице Динамическое обновление выберите Разрешить любые динамические обновления и нажмите кнопку Далее. Это позволит автоматизировать процесс обновления записей ресурсов DNS для ресурсов сети.

Пересылка

На странице Пересылка выберите Да, пересылать запросы DNS-серверам по следующим IP-адресам и нажмите кнопку Далее. Выбор конфигурации позволит пересылать запросы DNS для DNS-имен вне сети на DNS-сервер центрального офиса или поставщика услуг Интернета. Введите один или несколько IP-адресов, используемых DNS-серверами центрального офиса или поставщика услуг Интернета.

Завершение работы мастера настройки DNS-сервера

На странице Завершение работы мастера настройки DNS-сервера можно нажать кнопку Назад для изменения любого параметра. Для применения выбранных параметров нажмите кнопку Готово.

Завершение работы мастера настройки сервера

После завершения работы мастера настройки DNS-сервера мастер настройки сервера отобразит страницу Этот сервер теперь является DNS-сервером. Для просмотра всех изменений, сделанных на сервере мастером настройки сервера, или для проверки успешной установки новой роли щелкните ссылку Просмотр сведений о настройке журнала сервера. Файл log мастера настройки сервера хранится по адресу корневая_папка_системы\Debug\Configure Your Server.log. Для закрытия мастера настройки сервера нажмите кнопку Готово.

Удаление роли DNS-сервера

Если требуется перенастроить сервер для другой роли, можно удалить существующую роль. Если роль DNS-сервера будет удалена, придется настроить параметры TCP/IP этого сервера и всех клиентов, использующих данный сервер как DNS-сервер, на IP-адрес другого DNS-сервера.

Для удаления роли DNS-сервера необходимо перезапустить мастер настройки сервера, выполнив следующие действия.

• В программе «Управление данным сервером» выберите ссылку Добавить или удалить роль. По умолчанию программа «Управление данным сервером» автоматически загружается при входе в систему. XOX
• XOX

На странице Роль сервера выберите DNS-сервер и нажмите кнопку Далее. На странице Подтверждение удаления роли просмотрите список, отображенный под заголовком Сводка, установите флажок Удалить роль DNS-сервера и нажмите кнопку Далее. После нажатия кнопки Далее появится, а затем автоматически закроется страница Настройка компонентов мастера компонентов Windows. На этой странице невозможно нажать кнопки Назад или Далее. На странице Роль DNS-сервера удалена нажмите кнопку Готово.

Дальнейшие действия: выполнение дополнительных задач

После завершения работы мастера настройки сервера и мастера настройки DNS-сервера DNS-сервер готов к использованию. К данному моменту завершены следующие задачи.

• DNS-сервер настроен для использования статического IP-адреса.
• Для сети задана зона DNS.
• DNS-сервер настроен для пересылки всех запросов DNS для DNS-имен вне сети на DNS-сервер центрального офиса или поставщика услуг Интернета.

При завершении работы мастера настройки сервера автоматически устанавливается оснастка DNS, которая используется для управления DNS-сервером. XOX

В следующей таблице приведены некоторые дополнительные задачи, которые может понадобиться выполнить на DNS-сервере.

Задачи	Назначение задачи	Ссылка
Настройка компьютеров в сети для использования DNS-сервера как предпочитаемого DNS-сервера.	Для подключения клиентов DNS к DNS-серверу и динамического обновления с целью разрешения имен требуется зона с записями ресурсов DNS.	Чтобы настроить TCP/IP на использование DNS; Динамическое обновление
Если сервер является многосетевым компьютером, следует настроить службу DNS-сервера для обработки запросов только IP-адресов локальной сети.	Для защиты DNS-сервера от запросов извне. Например, если сервер работает как прокси-сервер, у него может быть установлено два сетевых адаптера, один для внутренней сети, а другой для Интернета. Если этот сервер работает также под управлением службы DNS-сервера Windows Server 2003, то можно настроить службу для использования сетевого адаптера только внутренней сети. Настроив сервер для обработки только запросов IP-адресов локальной сети, удастся защитить сервер от нежелательных запросов из Интернета.	Чтобы ограничить DNS-сервер прослушиванием только выбранных адресов
Проверка конфигурации сервера.	Для проверки правильности настройки конфигурации DNS мастером настройки DNS-сервера.	Проверка конфигурации сервера
Проверка отклика DNS-сервера с помощью команды nslookup.	Для проверки возможности сопоставления DNS-сервером запросов DNS с ресурсами сети.	Чтобы проверить отклик DNS-сервера с помощью команды nslookup
Проверка существования записи ресурса в DNS.	Для проверки возможности расположения в сети компьютеров, использующих DNS-сервер.	Чтобы проверить существование записи ресурса А в DNS
Настройте порты для разрешения удаленного администрирования.	Чтобы управлять DNS-сервером с других компьютеров сети.	При включенном брандмауэре Windows необходимо выполнить специальную настройку ряда параметров, чтобы можно было использовать возможности технологий, поставляемых с операционными системами Windows Server 2003, и осуществлять их удаленное администрирование. Сведения об этих параметрах см. на веб-узле корпорации Майкрософт в документе, в котором описываются параметры брандмауэра Windows (http://www.microsoft.com/) .

Названия организаций и изделий, имена доменов, адреса электронной почты, эмблемы, а также имена, места и события, используемые в качестве примеров, являются вымышленными. Возможное сходство с реально существующими предприятиями, организациями, изделиями, именами доменов, адресами электронной почты, эмблемами, лицами, местами и событиями следует рассматривать как случайное.