В этой книге подробно рассматриваются различные аспекты развертывания и администрирования Active Directory — службы каталога операционной системы Windows 2000. Автор постепенно изменяет статус внимательного читателя — от новичка, которому подробно разъясняется система доменных имен DNS, до опытного системного администратора, способного легко, не покидая рабочего места, провести описанную в последнем уроке установку операционной системы на удаленной рабочей станции.
СОДЕРЖАНИЕ
О сертификации
Необходимость сертификации
Сертификация Microsoft
Сертифицированный профессионал Microsoft
Сертифицированный профессионал Microsoft со специализацией «Разработчик Web-узлов»
Сертифицированный системный инженер Microsoft
Сертифицированный системный инженер Microsoft со специализацией «Internet»
Сертифицированный администратор баз данных Microsoft
Сертифицированный разработчик решений Microsoft
Сертификационный экзамен 70-217 «Развертывание и администрирование службы каталога Microsoft Windows 2000»
Подготовка и сдача сертификационного экзамена
От издательства
Урок 1. Развертывание службы DNS
Система доменных имен
Структура DNS
Зоны DNS
Ресурсные записи
Использование утилиты nslookup для диагностики DNS-сервера
Практическое занятие. Установка службы DNS
Установка службы сервера DNS
Конфигурирование сервера DNS в качестве корневого сервера имен
Конфигурирование сервера DNS в качестве кэширующего сервера имен
Служба DNS как основной локатор ресурсов Windows 2000
SRV-записи
Методика локализации контроллера домена
Методы хранения базы данных зоны DNS
Практическое занятие. Конфигурирование службы DNS
Конфигурирование сервера DNS в качестве основного носителя зоны
Конфигурирование сервера DNS в качестве дополнительного носителя зоны
Конфигурирование сервера DNS в качестве носителя зоны,интегрированного с Active Directory
Динамическая регистрация имен
Практическое занятие. Конфигурирование динамической регистрации имен
Конфигурирование зоны DNS для выполнения динамической регистрации доменных имен
Конфигурирование клиента DHCP для выполнения динамической регистрации доменных имен
Конфигурирование области DHCP для выполнения динамической регистрации доменных имен
Термины этого урока
Контрольные вопросы
Урок 2. Развертывание службы каталога Active Directory
Назначение службы каталога
Архитектура Active Directory
Объекты каталога
Именование объектов каталога
Использование характерных LDAP-имен
Использование основных имен субъектов системы безопасности
Использование глобальных идентификаторов
Термины этого урока
Контрольные вопросы
Урок 3. Доменная модель Windows 2000
Домены
Иерархия доменов
Доверительные отношения
Планирование доменной структуры Active Directory
Практическое занятие. Планирование доменной структуры Active Directory
Создание одиночного домена
Создание дерева доменов
Создание леса доменов
Развертывание службы каталога Active Directory
Практическое занятие. Развертывание службы каталогов Active Directory
Выделение компьютеру статического IP-адреса
Создание нового пространства имен Active Directory
Подключение к существующему лесу доменов Active Directory
Подключение к существующему дереву доменов Active Directory
Создание дополнительного контроллера домена в существующем домене
Контроллеры домена
Практическое занятие. Конфигурирование домена
Подключение к домену
Изменение режима функционирования домена
Создание доверительных отношений
Определение дополнительных суффиксов основного имени
Специализированные роли контроллеров домена
Практическое занятие. Передача ролей контроллеров домена
Передача роли контроллера домена, отвечающего за состав леса домена
Передача ролей, требующих уникальности исполнителя в пределах домена
Выполнение захвата роли
Термины этого урока
Контрольные вопросы
Урок 4. Иерархия объектов каталога
Схема каталога
Практическое занятие. Работа со схемой каталога
Создание утилиты Active Directory Schema
Подключение к носителю схемы
Передача роли владельца схемы
Установка разрешения на изменение данных схемы
Просмотр атрибутов объекта
Добавление нового атрибута существующего объекта
Организационные единицы
Практическое занятие. Создание иерархии организационных единиц
Планирование иерархии организационных единиц
Создание организационной единицы
Узлы и соединение узлов
Практическое занятие. Создание физической структуры каталога
Планирование узловой структуры
Создание объекта, ассоциированного с подсетью
Создание узла
Создание соединения узлов
Создание соединительного моста
Делегирование административных полномочий
Практическое занятие. Делегирование административных полномочий
Делегирование административных полномочий на уровне домена
Делегирование административных полномочий на уровне организационной единицы
Делегирование административных полномочий на уровне узла
Термины этого урока
Контрольные вопросы
Урок 5. Управление объектами каталога
Объекты, ассоциированные с учетными записями пользователей и компьютеров
Практическое занятие. Управление объектами, ассоциированными с учетными записями пользователей и компьютеров
Создание объекта, ассоциированного с учетной записью пользователя
Создание объекта, ассоциированного с учетной записью компьютера
Изменение значений атрибутов объекта, ассоциированного с учетной записью пользователя
Отключение/включение учетной записи пользователя
Снятие блокировки учетной записи пользователя
Смена пароля учетной записи пользователя
Объекты, ассоциированные с группами пользователей
Группы пользователей с доменной областью действия
Группы пользователей с глобальной областью действия
Группы пользователей с универсальной областью действия
Сравнительный анализ групп пользователей с различными областями действия
Практическое занятие. Управление объектами, ассоциированными с группами пользователей
Создание объекта, ассоциированного с группой пользователей
Изменение состава группы пользователей
Объекты, ассоциированные с совместно используемыми сетевыми ресурсами
Практическое занятие. Создание объектов, ассоциированных с совместно используемыми сетевыми ресурсами
Создание объекта, ассоциированного с совместно используемой папкой
Создание объекта, ассоциированного с сетевым принтером
Создание объекта, ассоциированного с информацией о контакте
Импорт и экспорт объектов каталога
Глобальный каталог и поиск объектов в каталоге
Практическое занятие. Работа с глобальным каталогом
Конфигурирование контроллера домена в качестве сервера глобального каталога
Выбор дополнительных атрибутов объектов, предназначенных для размещения в глобальном каталоге
Поиск объекта в каталоге
Перемещение объектов
Практическое занятие. Перемещение объектов
Перемещение объектов каталога
Изменение области действия группы пользователей
Термины этой главы
Контрольные вопросы
Урок 6. Управление процессом репликации каталога
Обзор механизма репликации
Структура каталога с точки зрения подсистемы репликации
Использование порядковых номеров обновления
Разрешение конфликтов
Практическое занятие. Работа с параметрами подсистемы репликации
Получение информации о порядковых номерах обновления
Получение информации о векторе обновления
Получение информации о партнерах по репликации
Компоненты репликации
Репликация внутри узла
Практическое занятие. Управление репликацией внутри узла
Определение соединения
Проверка топологии репликации
Инициирование процесса репликации внутри узла
Репликация между узлами
Практическое занятие. Управление репликацией между узлами
Определение предпочтительных мостовых серверов
Управление расписанием репликации
Термины этой главы
Контрольные вопросы
Урок 7. Обеспечение работоспособности службы каталога
Общие рекомендации по обеспечению отказоустойчивости контроллера домена
Использование RAID-технологий
Резервное копирование системных файлов службы каталога
Практическое занятие. Резервное копирование каталога
Немедленное создание резервной копии системных файлов службы каталога при помощи Backup Wizard
Ежедневное выполнение резервного копирования системных файлов службы каталога посредством Backup Wizard
Выполнение резервного копирования системных файлов службы каталога вручную
Восстановление после сбоя системы
Практическое занятие. Восстановление службы каталога
Загрузка сервера в режиме восстановления службы каталога
Восстановление каталога при помощи Backup Wizard
Авторизованное восстановление каталога
Практическое занятие. Авторизованное восстановление каталога
Авторизованное восстановление всей базы данных каталога
Авторизованное восстановление отдельного поддерева каталога
Термины этого урока
Контрольные вопросы
Урок 8. Мониторинг производительности Active Directory
Мониторинг производительности контроллера домена
Общие рекомендации по оценке производительности основных компонентов сервера
Оценка эффективности использования процессора
Оценка эффективности использования оперативной памяти
Оценка эффективности использования дисковой подсистемы
Оценка эффективности использования сети
Практическое занятие. Использование утилиты Performance
Сбор данных о производительности процессора
Сбор данных о производительности жесткого диска
Сбор данных о производительности сетевых компонентов
Мониторинг производительности компонентов Active Directory
Оценка производительности компонентов службы каталога при помощи счетчиков объекта NTDS
Оценка производительности компонентов службы каталога при помощи счетчиков объекта Database
Практическое занятие. Мониторинг производительности компонентов Active Directory
Установка в системе объекта Database
Сбор данных о производительности службы каталога
Мониторинг производительности подсистемы репликации при помощи Replication Monitor
Практическое занятие. Использование утилиты Replication Monitor
Добавление сервера в список наблюдаемых серверов
Построение схемы топологии репликации
Сравнение экземпляров объектов в различных копиях каталога
Термины этого урока
Контрольные вопросы
Урок 9. Механизм групповых политик
Обзор механизма групповых политик
Использование утилиты Group Policy для определения групповой политики
Практическое занятие. Создание объектов групповой политики
Создание объекта групповой политики
Открытие для редактирования существующего объекта групповой политики
Выбор контроллера домена для использования утилиты Group Policy
Запрещение воздействия групповой политики на определенную категорию объектов
Применение групповой политики
Практическое занятие. Применение групповой политики
Связывание объекта групповой политики с контейнером каталога
Получение списка контейнеров, с которыми ассоциирован некоторый объект групповой политики
Блокирование наследования параметров групповой политики для некоторого контейнера каталога
Запрещение перекрытия параметров групповой политики
Запрещение действия объекта групповой политики на некоторый контейнер каталога
Особенности использования механизма групповых политик при низкой пропускной способности коммуникационных линий
Группы безопасности и групповая политика
Практическое занятие. Использование объектов групповой политики совместно с группами безопасности
Предоставление прав на изменение объекта групповой политики
Ограничение влияния групповой политики
Термины этого урока
Контрольные вопросы
Урок 10. Применение групповых политик для создания среды пользователя
Использование административных шаблонов
Использование административных шаблонов для управления порядком применения объектов групповой политики
Практическое занятие. Работа с административными шаблонами
Загрузка административного шаблона в утилиту Group Policy
Определение интервала обновления групповой политики
Запрещение фонового обновления групповой политики
Конфигурирование режима обнаружения коммуникационных линий с низкой пропускной способностью
Активизация режима асинхронного применения групповых политик
Использование сценариев
Перенаправление пользовательских папок
Практическое занятие. Конфигурирование параметров групповой политики, связанных с управлением средой пользователей
Определение сценария групповой политики
Изменение режима применения сценариев
Перенаправление пользовательских папок
Термины этого урока
Контрольные вопросы
Урок 11. Управление параметрами системы безопасности службы каталога
Разграничение доступа к объектам каталога
Практическое занятие. Управление разрешениями на доступ к объектам каталога
Перевод консоли в расширенный режим отображения
Определение разрешений на уровне объектов
Определение разрешений на уровне атрибутов объекта
Захват права на владение объектом
Использование групповых политик для управления параметрами системы безопасности
Использование шаблонов безопасности
Анализ конфигурации системы безопасности при помощи утилиты Security Configuration and Analysis
Использование утилиты Secedit.exe
Проверка файла, содержащего конфигурацию системы безопасности
Экспортирование конфигурации в шаблон безопасности
Анализ конфигурации системы безопасности
Конфигурирование системы безопасности.
Обновление настроек системы безопасности
Аудит событий, связанных с безопасностью службы каталога
Практическое занятие. Конфигурирование групповой политики для обеспечения безопасности
Импортирование шаблона безопасности
Анализ существующей конфигурации системы безопасности
Активизация режима аудита
Аудит объектов каталога
Термины этого урока
Контрольные вопросы
Урок 12. Управление приложениями при помощи механизма групповых политик
Развертывание приложений
Служба развертывания приложений Windows Installer
Публикация приложений
Назначение приложений
Обновление приложений
Использование механизма групповой политики для управления приложениями
Практическое занятие. Конфигурирование параметров групповой политики для управления приложениями
Конфигурирование процесса развертывания приложений в рамках групповой политики
Назначение приложения на уровне пользователя
Повторное развертывание приложения
Термины этого урока
Контрольные вопросы
Урок 13. Служба удаленной установки
Обзор службы удаленной установки
Взаимодействие службы удаленной установки с другими службами Windows 2000
Структура службы удаленной установки
Развертывание службы удаленной установки
Авторизация RIS-серверов
Практическое занятие. Развертывание службы удаленной установки
Установка службы удаленной установки
Создание дискеты удаленной загрузки
Авторизация RIS-сервера
Конфигурирование службы удаленной установки
Определение параметров удаленной установки на стороне клиента
Выбор режима обработки запросов клиентов
Выбор схемы именования клиентов
Практическое занятие. Конфигурирование службы удаленной установки
Определение режимов установки клиента
Определение режимов обработки RIS-сервером запросов клиентов
Выполнение привязки объекта в каталоге к рабочей станции
Определение схемы именования клиентов
Удаленная установка операционной системы на рабочей станции
Применение релейного агента DHCP/BOOTP
Управление образами инсталляции
Использование CD-образов инсталляции
Создание образов инсталляции при помощи мастера RIPrep
Термины данного урока
Контрольные вопросы
Ответы на контрольные вопросы
Алфавитный указатель
ОТРЫВОК
Урок 1Развертывание службы DNS
Система доменных имен
Структура DNS
Зоны DNS
Ресурсные записи
Использование утилиты nslookup для диагностики DNS-сервера
Практическое занятие. Установка службы DNS
Установка службы сервера DNS
Конфигурирование сервера DNS в качестве корневого сервера имен
Конфигурирование сервера DNS в качестве кэширующего сервера имен
Служба DNS как основной локатор ресурсов Windows 2000
SRV-записи
Методика локализации контроллера домена
Методы хранения базы данных зоны DNS
Практическое занятие. Конфигурирование службы DNS
Конфигурирование сервера DNS в качестве основного носителя зоны
Конфигурирование сервера DNS в качестве дополнительного носителя зоны
Конфигурирование сервера DNS в качестве носителя зоны,интегрированного с Active Directory
Динамическая регистрация имен
Практическое занятие. Конфигурирование динамической регистрации имен
Конфигурирование зоны DNS для выполнения динамической регистрации доменных имен
Конфигурирование клиента DHCP для выполнения динамической регистрации доменных имен
Конфигурирование области DHCP для выполнения динамической регистрации доменных имен
Термины этого урока
Контрольные вопросы
В процессе работы над семейством операционных систем Windows 2000 Microsoft ставила перед собой задачу создания операционной системы, являющейся основой для построения корпоративных вычислительных сетей любого масштаба, с возможностью интеграции в глобальную сеть Интернет. Поскольку в Интернете для именования объектов используется система доменных имен (Domain Name System, DNS), не стоит удивляться тому, что в Windows 2000 в качестве основной системы именования сетевых ресурсов используется именно эта система имен.
Материал данного урока позволяет читателю познакомиться со службой доменных имен (Domain Name Service, DNS), реализованной в составе операционной системы Windows 2000 Server. Полученные знания пригодятся впоследствии при рассмотрении процесса развертывания службы каталога Active Directory.
После изучения материала данного урока вы сможете:
описать структуру пространства имен DNS;
интерпретировать DNS-имена;
объяснять суть разбиения пространства имен DNS на зоны;
производить установку службы сервера DNS;
конфигурировать сервер DNS в качестве корневого и кэширующего серверов;
интерпретировать содержимое базы данных зоны DNS-сервера;
описывать методику локализации контроллеров домена клиентами службы DNS;
описывать различные методы хранения базы данных зоны;
конфигурировать сервер DNS в качестве основных и дополнительных носителей зоны, а также носителя зоны, интегрированной с Active Directory;
объяснять процесс динамической регистрации доменных имен;
конфигурировать клиента DHCP для выполнения динамической регистрации своего доменного имени;
конфигурировать сервер DNS и сервер DHCP для выполнения динамической регистрации доменных имен клиентов.
Система доменных имен
Компьютерная сеть может объединять любое произвольное количество объектов, в качестве которых могут рассматриваться как компьютеры, так и такое активное сетевое оборудование, как, например, маршрутизаторы или мосты. Одно из главных условий при создании компьютерной сети - выделение каждому объекту сети уникального сетевого адреса, однозначно идентифицирующего этот компьютер среди множества подобных. Однако с точки зрения повседневного использования IP-адреса не совсем удобны. Человеку при ссылке на объекты сети удобнее оперировать не последовате
льностью цифр, а осмысленными именами. При этом принято говорить о дружественных именах (friendly name), подразумевая их дружественность человеку, которому их проще воспринимать, чем IP-адреса. Известно несколько систем именования объектов сети, одна из них, Система доменных имен (Domain Name System, DNS), выбрана для семейства операционных систем Windows 2000 в качестве основной системы именования.
В основе системы доменных имен лежит иерархическое пространство имен. При этом все пространство имен DNS представлено в виде отдельных фрагментов, называемых доменами (domains). Домены, связываясь между собой при помощи отношений родитель-потомок, образуют определенную иерархию. В зависимости от того, какое положение занимает домен в этой иерархии, принято говорить об уровне домена. На любом уровне домен может включать в свой состав домены более низкого уровня. Начиная со второго уровня, домены могут также содержать записи о хостах. Домен, лежащий в основа
нии иерархического пространства имен DNS, получил название корневого домена (root domain). Корневой домен выполняет функцию родоначальника всех доменов первого уровня. Фактически он является чисто формальным элементом, символизирующим иерархичность пространства доменных имен. Для ссылки на корневой домен используют пустые кавычки (""). При записи доменного имени корневой домен обозначается как пустое место после десятичной точки, которой оканчивается любое доменное имя.
Самое большое из существующих пространств имен DNS - пространство имен глобальной сети Интернет. На рис. 1.1 приводится фрагмент этого пространства имен. Данный пример позволяет понять, каким образом строится пространство имен DNS. Пространство имен Интернета организовано следующим образом.
Домены первого уровня используются для группировки других доменов по организационному либо географическому признакам. На первоначальном этапе становления Интернета было предложено группировать домены по организационному признаку. При этом способе группировки домен второго уровня связывается с некоторым доменом первого уровня в зависимости от того, к какому типу принадлежит организация, владеющая данным доменом. В случае группировки по организационному уровню имена доменов первого уровня образуются тремя символами: .edu (образовательные учрежден
ия), .com (коммерческие организации), .org (некоммерческие организации), .gov (правительственные организации), .mil (военные учреждения) и др. Выход Интернета за пределы Соединенных Штатов Америки привел к тому, что возникла необходимость в учете национальной принадлежности организаций и учреждений. В связи с этим система построения пространства имен DNS была модифицирована. Было предложено группировать домены по их принадлежности к некоторому государству. Для этого используются имена, состоящие из двух символов. Например: .ru (Россия), .ie (Ирландия), .au (Австралия) и
т. п. Советскому Союзу был выделен домен первого уровня .su. После распада этого государства каждый из субъектов СНГ получил собственный домен первого уровня.
Помимо этого существует еще один домен первого уровня, который используется для группировки обратных доменов (reverse domains). Обратные домены применяются для осуществления поиска доменного имени хоста по его IP-адресу. Этот специальный домен получил название .arpa, и он является единственным доменом первого уровня, имеющим имя из четырех символов. Домен содержит только один домен второго уровня: .in-addr.arpa.
Домены первого уровня используются исключительно для группировки доменов следующих уровней по некоторому признаку. Они могут содержать только домены второго уровня и не могут включать в свой состав никаких записей о хостах. Вопросами создания доменов первого и второго уровней занимается специальная организация - Сетевой информационный центр (Network Information Center, NIC). Чтобы получить домен второго уровня, заинтересованная организация должна обратиться в NIC с соответствующей заявкой на его регистрацию. Если нет объективных причин, препятствующих использо
ванию этой организацией запрошенного доменного имени (например, доменное имя может быть зарегистрировано кем-то), оно регистрируется на некоторый срок. При этом решение о регистрации доменного имени второго уровня принимается исключительно NIC. Однако в связи со стремительным ростом Интернета руководство NIC приняло решение делегировать полномочия по созданию доменов второго уровня в национальных доменах соответствующим организациям. В России регистрацией доменов второго уровня занимается Российский НИИ развития общественных сетей (Russian Institute for Public
Networks, RIPN). Официальный Web-сервер этой организации находится по адресу http://www. ripn.ru. Домены третьего и последующих уровней не требуют регистрации в NIC. Их создание и сопровождение полностью перекладывается на владельцев соответствующих родительских доменов. Например, решение о создании домена третьего уровня с именем .khsu (рис. 1.1) принимается исключительно владельцем домена второго уровня .khakassia.
В пространстве имен DNS домены выступают в роли контейнеров или узлов дерева. Листьями являются конкретные хосты, принадлежащие тому или иному домену. Каждый хост имеет собственное имя, уникальное в пределах того домена, к которому он принадлежит. Чтобы иметь возможность ссылаться на хост из любой произвольной точки сети, необходимо использовать полное доменное имя (Fully Qualified Domain Name, FQDN) этого хоста. Полное доменное имя хоста образуется из имени хоста и имен всех доменов, находящихся между хостом и корневым доменом (в терминологии DNS эту часть полного дом
енного имени принято называть суффиксом DNS). Для хоста supervisor (см. рис. 1.1) полное доменное имя записывается в виде: supervisor.khsu.khakassia.ru. Такое имя уникально в пределах всего пространства имен DNS.
ПРИМЕЧАНИЕ Следует заметить, что при создании самостоятельного пространства имен DNS, не являющегося частью пространства имен DNS Интернета, нет необходимости в соблюдении описанной выше методики. При проектировании пространства имен DNS корпорации администратор может разработать собственные правила именования доменов. Тем не менее в действительности существует очень мало причин делать это.
Однако не стоит забывать, что главная идея построения системы доменных имен заключается в создании альтернативного метода адресации объектов сети. Поскольку соединение может быть организовано только на уровне IP-адресов, необходимо предусмотреть механизм трансляции доменных имен в соответствующие IP-адреса. В качестве такого механизма традиционно используют специальную службу, получившую название Службы доменных имен (Domain Name Service, DNS).
ВНИМАНИЕ Обратите внимание, что аббревиатура DNS может обозначать как Систему доменных имен (Domain Name System), так и Службу доменных имен (Domain Name Service). Однако было бы ошибочно считать, что эти два термина идентичны. В первом случае речь идет о системе именования объектов, а также о методике формирования и разрешения доменных имен. Во втором же случае речь идет о программном обеспечении как средстве разрешения доменных имен.
Служба DNS представляет собой распределенную базу данных, содержащую информацию об IP-адресах и соответствующих им доменных именах. Данные о доменах и принадлежащих им хостах, образующие пространство имен DNS, не концентрируются в одном месте, а хранятся в виде фрагментов на отдельных серверах, что и позволяет говорить о распределенности базы данных DNS. Компьютер, на котором функционирует служба DNS, принято называть сервером DNS. Хотя как стандарт Система доменных имен зафиксирована в RFC 1034 и RFC 1035, существует большое количество разнообразных реализаций сл
ужбы DNS. В Windows 2000 Server реализована BIND-совместимая версия службы DNS.
Структура DNS
На предыдущем занятии уже упоминалось о том, что система доменных имен выступает для семейства операционных системы Windows 2000 в качестве основной системы именования. Это означает, что для ссылки на объекты сети пользователи могут использовать доменные имена (в качестве дружественных пользователю имен), а не только IP-адреса. Пользователь может сослаться на интересующий его хост либо по полному доменному имени, либо только с указанием имени самого хоста (в этом случае полное доменное имя будет достроено системой автоматически путем добавления суффикса
DNS по умолчанию). При этом система пользователя обращается к серверу DNS с запросом на разрешение имени и получает в ответ IP-адрес, соответствующий запрошенному имени. Все вопросы, связанные с трансляцией доменных имен в соответствующие IP-адреса (этот процесс принято называть разрешением доменных имен), берет на себя служба DNS.
В процессе функционирования службы DNS оперирует двумя типами объектов:
зонами DNS;
ресурсными записями.
Зоны DNS
Центральным компонентом службы DNS является база данных, в которой хранятся записи о соответствии доменных имен некоторым IP-адресам. База данных каждого сервера DNS представляет собой фрагмент общего пространства имен DNS, распределенного между множеством серверов. В терминологии DNS такие фрагменты пространства имен принято называть зонами (zone). Зона является основным административным элементом, посредством которого серверы DNS осуществляют управление процессом разрешения имен. При этом границы зоны не определяются доменной структурой. Одна зона може
т включать в себя несколько доменов (рис. 1.2, а), в то время как один домен может быть распределен между несколькими зонами (рис. 1.2, б). Единственное соображение, которым следует руководствоваться, принимая решение о разделении пространства имен DNS на зоны, - удобство администрирования. Можно делегировать административные полномочия по поддержанию зоны для каждого домена организации. В то же время, в случае если домен имеет большие размеры, можно разбить его на зоны, распределив между несколькими DNS-серверами.
DNS-сервер может использоваться для хранения нескольких зон. Аналогичным образом одну зону можно разместить на нескольких серверах. Один из серверов выступает в качестве основного носителя зоны (Primary zone), а остальные конфигурируются как дополнительные носители зоны (Secondary zone). В ситуации, когда основной носитель зоны в силу каких-либо обстоятельств окажется недоступным, все обязанности по разрешению имен для данной зоны возьмет на себя один из дополнительных носителей зоны. Это позволяет обеспечить отказоустойчивость системы разрешения имен.
Отдельно стоит упомянуть о зоне обратного разрешения (reverse lookup zone). Зоны этого типа используются для управления обратными доменами. Механизм обратных доменов позволяет определять доменные имена хостов, основываясь на информации об их IP-адресах. Механизм обратного разрешения используется некоторыми приложениями для обеспечения безопасности (например, служба сервера NFS).
Ресурсные записи
В процессе своего функционирования служба DNS осуществляет разрешение имен и локализацию контроллеров домена, оперируя записями о соответствии доменных имен некоторым IP-адресам. Поскольку эти записи используются для разрешения имен объектов сети (ресурсов), их принято называть ресурсными записями. Существует порядка двадцати типов ресурсных записей. В зависимости от того, к какому типу принадлежит ресурсная запись, соответствие между доменным именем и IP-адресом может иметь различный смысл. В табл. 1.1 приводится несколько наиболее распространенных
типов ресурсных записей.
Таблица 1.1. Наиболее распространенные типы ресурсных записей
Тип записи Описание
A Данный тип ресурсной записи является самым распространенным и представляет собой простое отображение доменного имени хоста на некоторый IP-адрес
CNAME Запись данного типа определяет псевдоним хоста. Псевдонимы позволяют отобразить несколько имен на один IP-адрес. Пользователи могут ссылаться на хост как по имени, указанному при создании ресурсной записи типа A, так и по любому из псевдонимов
MX Ресурсная запись позволяет определить местонахождение почтового сервера, связав его доменное имя с соответствующим IP-адресом
NS Ресурсная запись позволяет определить местонахождение DNS-сервера, отображая его доменное имя в IP-адрес
PTR Ресурсная запись этого типа используется для организации процесса обратного разрешения IP-адреса в соответствующее доменное имя. Ресурсные записи данного типа могут размещаться исключительно в зонах обратного разрешения
SOA Ресурсная запись, которая определяет конфигурацию зоны. Запись SOA генерируется базе данных зоны автоматически при ее создании. Каждая зона может иметь только одну запись SOA
SRV Ресурсные записи этого типа позволяют определить проекцию имен некоторых служб (таких, например, как POP3, telnet, LDAP, SMTP) на доменные имена серверов, предоставляющих услуги этих служб. Подробное рассмотрение данного типа ресурсных записей будет дано на следующем занятии
Использование утилиты nslookup для диагностики DNS-сервера
В качестве основного диагностического инструмента, позволяющего проверить способность DNS-сервера осуществлять разрешение доменных имен в IP-адреса, используется утилита командной строки nslookup. Эта утилита является стандартным инструментом диагностики DNS-сервера и может использоваться совместно с любыми реализациями DNS-серверов.
Эта утилита может функционировать в двух режимах.
Режим командной строки. В данном режиме команда выполняет только одно действие. Режим выбирается в ситуации, когда пользователь запускает утилиту, используя некоторые ключи и параметры. В зависимости от того, какие ключи были указаны, система выполняет ряд действий, после чего возвращается в режим командной строки. Данный режим идеально подходит для ситуации, когда необходимо выполнить небольшое количество операций.
Интерактивный режим. Интерактивный режим выбирается в случае, когда пользователь запускает утилиту без каких-либо параметров. При этом утилита выводит приглашение, ожидая действий пользователя. В интерактивном режиме утилита имеет ряд команд, используя которые пользователь может осуществлять диагностику DNS-серверов. Чтобы выйти из интерактивного режима, пользователь должен нажать комбинацию клавиш CTRL+C. Интерактивный режим лучше всего подходит для ситуации, когда необходимо выполнить большое количество операций.
В табл. 1.2 приводится перечень команд, используемых утилитой nslookup в интерактивном режиме.
Таблица 1.2. Перечень команд утилиты nslookup
Команда Описание
help Команда позволяет вывести на экран список команд утилиты nslookup с кратким их описанием. Этот же эффект может быть достигнут, если пользователь вводит символ "?"
exit Выход из интерактивного режима выполнения команды
finger Подключение на текущем компьютере к серверу, на котором запущена служба finger. Текущий компьютер определяется как компьютер, адрес которого возвратила предыдущая, успешно выполненная команда
ls Вывод информации о некотором домене DNS, имя которого определяется в параметрах команды. По умолчанию в процессе выполнения команды на экран будут выведены имена компьютеров и их IP-адреса
lserver Изменение сервера DNS, используемого утилитой nslookup по умолчанию для заданного домена. Команда lserver использует первоначально установленный сервер для получения сведений о заданном сервере DNS. Это отличает ее от команды server, которая использует для этих сведений текущий сервер
root Изменение имени сервера имен, используемого по умолчанию, на корневой сервер пространства имен DNS
server Изменение сервера DNS, используемого утилитой nslookup по умолчанию для заданного домена. Команда server использует текущий сервер по умолчанию для поиска сведений о заданном сервере DNS
set Команда позволяет определить значение параметров, определяющих работу утилиты nslookup. Имеется 17 различных параметров, значения которых может быть задано посредством команды set
view Выдача и сортировка вывода предыдущих команд ls
ПРИМЕЧАНИЕ Более подробное рассмотрение синтаксиса утилиты nslookup, а также ее параметров выходит за рамки данной книги. При желании всю интересующую информацию можно найти в документации по операционной системе Windows 2000.
Практическое занятие. Установка службы DNS
Цель: овладеть навыками установки службы сервера DNS.
Задача: рассмотреть методику установки сервера DNS и конфигурирование его в качестве:
корневого сервера имен;
кэширующего сервера имен.
Установка службы сервера DNS
Исходные данные: требуется установить службу сервера DNS.
1. Войдите в систему под учетной записью администратора.
2. Запустите Control panel (Панель управления). В открывшемся окне выберите Add/Remove Programs (Добавить/удалить приложения) и щелкните на Add/Remove Windows Component (Добавить/удалить компоненты Windows), чтобы запустить одноименный мастер. Первое окно мастера содержит информацию о назначении мастера. Чтобы перейти непосредственно к выбору устанавливаемых компонентов, нажмите Next.
3. В следующем окне мастера установки компонентов Windows выберите из списка пункт Networking Services (Сетевые службы) (рис. 1.3) и щелкните на кнопке Details (Подробнее).
4. В окне Networking Services установите флажок напротив Domain Name System (DNS) (рис. 1.4) и щелкните на Ok. Мастер вернется в окно выбора устанавливаемых компонентов. После того как вы щелкнете на Next, система произведет установку службы сервера DNS.
Конфигурирование сервера DNS в качестве корневого сервера имен
Исходные данные: требуется создать новое пространство имен DNS, установив корневой сервер имен.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. В дереве серверов DNS выберите интересующий вас сервер и щелкните на нем правой кнопкой, чтобы вызвать контекстное меню (рис. 1.5). В меню выберите пункт Configure the server (Сконфигурировать сервер), чтобы запустить мастер Configure DNS Server Wizard. Перейдите на второе окно мастера.
4. Мастер предложит выбрать метод организации пространства имен DNS (рис. 1.6). Выберите пункт This is the first DNS server on this network (Это первый DNS-сервер в сети).
5. Ответьте отрицательно на предложение создать зоны прямого и обратного разрешения. По окончании работы мастера сервер будет сконфигурирован в качестве корневого сервера имен. На этом сервере будет создан корневой домен, который принято обозначать десятичной точкой.
Конфигурирование сервера DNS в качестве кэширующего сервера имен
Исходные данные: требуется подключиться к существующему пространству имен, сконфигурировав сервер DNS в качестве кэширующего сервера имен. Для этого необходимо связать конфигурируемый сервер с вышестоящим сервером в иерархии, который имеет IP-адрес 192.168.1.5.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. В дереве серверов DNS выберите интересующий вас сервер и щелкните на нем правой кнопкой, чтобы вызвать контекстное меню (см. рис. 1.5). В меню выберите пункт Configure the server (Сконфигурировать сервер), чтобы запустить мастер Configure DNS Server Wizard. Перейдите на второе окно мастера.
4. Мастер предложит выбрать метод организации пространства имен DNS (см. рис. 1.6). Поскольку нам не требуется создание корневого пространства имен, выберите пункт One or more DNS servers are running on this network (В сети уже имеются один или более DNS-серверов) и в поле IP address введите адрес вышестоящего DNS-сервера - 192.168.1.5. Перейдите на следующую страницу.
5. Ответьте отрицательно на предложение создать зоны прямого и обратного разрешения. По окончании работы мастера необходимо связать данный DNS- сервер с вышестоящим сервером в иерархии. В контекстном меню объекта, идентифицирующем DNS-сервер, выберите пункт Properties (Свойства). В открывшемся окне перейдите на вкладку Forwarders (Перенаправление). Установите флажок Enable forwarders (Разрешить перенаправление) и введите IP-адрес 192.168.1.5. Это адрес вышестоящего DNS-сервера, которому будут переправляться запросы на разрешение имен (рис. 1.7).
Служба DNS как основной локатор ресурсов Windows 2000
В семействе операционных систем Windows 2000 реализована модель системы безопасности с разграничением прав доступа на уровне пользователей. Это означает, что пользователь сможет получить доступ к объектам системы только после того, как он будет аутентифицирован и авторизован. В процессе аутентификации система удостоверяет личность пользователя (идентифицирует его) на основании факта знания пароля, соответствующего его учетной записи. Авторизация подразумевает назначение пользователю прав доступа к объектам системы, на основании его членства в разли
чных группах. Для осуществления процессов аутентификации и авторизации необходима информация о пользователях и группах, хранящаяся в каталоге. Другие службы и процессы также могут использовать информацию об объектах, хранящихся в каталоге. Именно поэтому контроллеры домена как единственные носители копии каталога играют первостепенную роль в процессе функционирования сети. Всегда когда клиентам необходимо обратиться к службе каталога Active Directory, они используют службу DNS для того, чтобы локализовать ближайший контроллер домена. При этом задействует
ся механизм, называемый локатором контроллера домена (domain controller locator).
ВНИМАНИЕ Речь идет исключительно о семействе операционных систем Windows 2000. Предыдущие версии Windows используют имена NetBIOS в качестве основной системы именования объектов. В этом случае для локализации контроллеров домена необходимо использовать службу WINS. Выбор метода локализации контроллера домена происходит в момент входа пользователя в сеть, при указании им имени домена. Например, если при ссылке на домен пользователь использовал систему доменных имен, то для локализации контроллера домена будет задействована служба DNS. Если же при вводе имени домена
было использовано имя NetBIOS, то будет задействована служба WINS.
SRV-записи
В контексте разговора о механизме локализации контроллеров доменов особый интерес представляют ресурсные записи типа SRV. Эти записи используются для определения местонахождения серверов, предоставляющих услуги определенных служб. Каждая SRV-запись представляет собой DNS-псевдоним службы, записанный в формате:
_Service._Protocol.DnsDomainName
где Service - название службы (пример: ldap, kerberos, gc и др.); Protocol - протокол, при помощи которого клиенты могут подключиться к данной службе (пример: tcp, udp); DnsDomainName - DNS-имя домена, к которому принадлежит сервер (например: venom.com).
Ниже приводится пример записи DNS-псевдонима службы LDAP-сервера, к которому пользователи могут подключиться при помощи протокола TCP и который принадлежит к домену khsu.khakassia.ru:
_ldap._tcp.khsu.khakassia.ru
Также система создает дополнительные домены нижестоящих уровней (так называемые поддомены):
_msdcs - вспомогательный домен, который используется для группировки ресурсных записей о серверах, выполняющих специфические роли (такие, например, как сервер глобального каталога или основной контроллер домена). Это позволяет осуществлять поиск серверов, основываясь не на имени службы, а на роли, который искомый сервер выполняет (рис. 1.8). Например, когда требуется найти сервер, играющий роль основного контроллера домена, служба DNS будет использовать ресурсные записи, принадлежащие к вспомогательному домену _msdcs. Псевдонимы, используемые для создания ре
сурсных записей данного поддомена, имеют вид:
_Service._Protocol.Dctype._msdcs.DnsDomainName
Параметр Dctype определяет роль сервера (pdc, dc, gc, domains). Например, для сервера, выполняющего функции контроллера домена и принадлежащего к домену khsu.khakassia.ru, будет создан DNS-псевдоним:
_ldap._tcp.dc.khsu._msdcs.khakassia.ru
ВНИМАНИЕ Обратите внимание, что имеются два вида псевдонимов для сервера глобального каталога: с одной стороны, можно создать псевдоним как для стандартной службы, а можно как для контроллера домена, выполняющего специфическую роль (соответственно, этот псевдоним размещается внутри поддомена _msdcs). Связано это с тем, что в среде Windows 2000 могут существовать службы глобального каталога от независимых производителей, которые функционируют на серверах не являющихся контроллерами домена. Служба глобального каталога, входящая в состав Windows 2000 может функциони
ровать исключительно на контроллерах домена.
_sites - домен, используемый для группировки ресурсных записей, отражающих физическую структуру вашей сети (с точки зрения узловой иерархии). Этот домен играет роль контейнера для других доменов, имена которых соответствуют именам узлов. Псевдонимы записываются в следующем формате:
_Service._Protocol.SiteName._sites.DnsDomainName
При этом значение параметра SiteName представляет собой имя соответствующего узла. Для узла Abakan псевдоним службы может выглядеть следующим образом:
_kerberos._tcp.Abakan._sites.khsu.khakassia.ru
Ресурсная запись SRV связывает DNS-псевдоним службы с доменным именем некоторого хоста. Просматривая ресурсные записи типа A, DNS-сервер разрешает данное доменное имя в некоторый IP-адрес.
Методика локализации контроллера домена
Рассмотрим подробнее процесс локализации клиентом ближайшего контроллера домена (рис. 1.9).
Клиент обращается с запросом к службе Netlogon, инициируя процесс локализации контроллера домена. В запросе клиент передает всю необходимую для поиска информацию (такую, например, как наименование службы, протокол, имя домена). В зависимости от того, какая система именования является для клиента основной, осуществляется выбор механизма локализации. Предыдущие версии Windows, которые используют имена NetBIOS в качестве основной системы именования объектов, осуществляют локализацию контроллера домена либо при помощи широковещательных запросов, либо через служ
бу WINS. Windows 2000-клиенты для локализации контроллера домена используют службу DNS. При этом служба DNS прежде всего пытается найти контроллер домена, принадлежащий к тому же узлу, что и клиент, инициировавший запрос. Для этого просматриваются ресурсные записи SRV, ассоциированные с данным узлом. Если в этом узле подходящий контроллер домена не найден, служба DNS начинает просматривать стандартные SRV-записи.
В результате поиска может быть обнаружено несколько контроллеров домена. В этом случае служба Netlogon отправляет дейтаграммы каждому обнаруженному контроллеру домена. Адрес первого ответившего контроллера домена возвращается клиенту. При этом адрес данного контроллера домена помещается в специальный кэш службы Netlogon на случай повторных обращений.
В случае когда служба DNS не может обнаружить ни одного контроллера домена, служба Netlogon использует механизмы локализации, основанные на использовании NetBIOS-имен.
ВНИМАНИЕ Поскольку в механизме локализации контроллеров домена первостепенную роль играет служба DNS, очень важно, чтобы клиент имел возможность связаться с сервером DNS. Для этого при конфигурировании каждого клиента необходимо указать адрес хотя бы одного сервера DNS. В качестве альтернативного варианта можно предоставлять клиенту информацию о местонахождении серверов DNS динамически, через сервер DHCP.
Методы хранения базы данных зоны DNS
Традиционно серверы DNS использовали файлы для хранения базы данных зон. Это достаточно простой и эффективный метод хранения ресурсных записей. Для каждой зоны создается отдельный текстовый файл, в который помещается содержимое ее базы данных. Имя файла образуется из названия зоны, к которому добавлено расширение .dns. Эти файлы располагаются в каталоге %SystemRoot%\System32\Dns вместе с другими системными файлами, используемыми службой DNS. Этот способ хранения зоны также используется службой DNS, реализованной в Windows NT. Таким образом, при переходе на Windows 2000 не возни
кает проблем переноса существующих зон. Говорят, что сервер DNS, использующий подобный метод хранения зоны, выступает в качестве стандартного ее носителя (Standard zone).
Однако этот метод хранения имеет ряд ограничений, связанных с необходимостью синхронизации изменений содержимого зоны. При использовании стандартного типа носителя зоны изменение содержимого зоны может производиться только одним из ее носителей. Этот носитель принято называть основным носителем зоны (Primary zone). Другие носители зоны, которые выступают в качестве дополнительных носителей зоны (Secondary zone), получают в этом случае уже новую, измененную версию зоны. В терминологии DNS процесс синхронизации зоны принято называть процессом передачи зоны (zone tr
ansfer). В отличие от предыдущих версий, служба DNS, реализованная в Windows 2000, позволяет осуществлять передачу не всей зоны, а только произведенные изменения (так называемая инкрементная передача зоны). Такой подход более эффективен. Зона может состоять из тысячи записей, и в случае изменения одной-двух записей нет смысла передавать дополнительным носителям всю зону. Гораздо проще передать только изменения, произведенные в базе данных зоны. Это приводит к снижению трафика, вызванного передачей зон между DNS-серверами.
ВНИМАНИЕ Использование режима инкрементной передачи зоны можно только в случае, когда его поддерживают все носители зоны. В противном случае некоторые из носителей зоны не смогут получить изменения в базе данных зоны, и актуальность данных на этих серверах будет утрачена
Windows 2000 предоставляет и другой способ хранения зоны DNS - в виде объекта каталога. Каждая зона представляется в виде самостоятельного объекта. Совокупность объектов, ассоциированных с зонами DNS, хранится в объекте контейнерного типа dnsZone. При этом говорят, что сервер DNS, использующий данный метод хранения зоны, выступает в качестве носителя интегрированного с Active Directory (Active Directory-integrated zone). Хранение зоны в качестве объекта каталога дает неожиданный эффект. Каждый контроллер домена располагает полнофункциональной копией каталога. При использовании данног
о метода хранения зоны изменение содержимого зоны может производиться любым ее носителем. Все изменения реплицируются между остальными носителями зоны. При таком подходе для одной зоны существует сразу несколько основных носителей зон. Это позволяет обеспечить необходимый уровень безопасности и надежности данных, поскольку любой DNS-сервер, функционирующий на контроллерах домена, автоматически становится основным носителем всех зон, хранящихся в виде объектов каталога.
ПРИМЕЧАНИЕ Заметьте, что службу каталога Active Directory нельзя использовать для размещения дополнительных носителей зон. Конфигурируя сервер в качестве носителя дополнительной зоны, можно выбрать только один метод ее хранения - в виде файла. Однако необходимость создания в домене носителей дополнительной зоны с точки зрения отказоустойчивости не совсем оправдана. Хранение зоны в Active Directory позволяет вам создать для зоны столько резервных DNS-серверов, сколько имеется основных контроллеров домена. ВНИМАНИЕ Поскольку копией каталога обладают только контролл
еры домена, только они могут выступать в качестве носителей зоны, интегрированной с Active Directory.
Таблица 1.3 позволит лучше понять различия между двумя типами носителей зон.
Таблица 1.3. Сравнение двух типов носителей зоны
Характеристики Стандартный носитель зоны Носитель зоны, интегрированный с Active Directory
Метод хранения базы данных зоны Зона хранится в виде файла Зона хранится в виде объекта каталога
Виды носителей зоны Один носитель выступает в виде основного, остальные - в качестве дополнительных Все носители равноправны
Возможность изменения содержимого базы данных зоны Изменения может производить только основной носитель зоны Изменения могут производиться любым из носителей
Метод синхронизации изменений в базе данных Передача изменений осуществляется средствами службы DNS Для передачи изменений зоны используются механизмы репликации службы каталога Active Directory ,/tr>
Возможность реализации Служба сервера DNS может быть установлена на любом сервере Только контроллер домена может выступать в качестве носителя зоны
Практическое занятие. Конфигурирование службы DNS
Цель: овладеть навыками конфигурирования службы сервера DNS.
Задача: рассмотреть методику конфигурации сервера DNS в качестве:
основного носителя зоны;
дополнительного носителя зоны;
носителя зоны, интегрированного с Active Directory.
Конфигурирование сервера DNS в качестве основного носителя зоны
Исходные данные: необходимо сконфигурировать сервер DNS в качестве основного носителя зоны kit.khsu.khakassia.ru.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. В дереве серверов DNS выберите интересующий вас сервер (см. рис. 1.5). В его контекстном меню выберите пункт New Zone (Новая зона), чтобы запустить мастер New Zone Wizard. Перейдите на следующее окно.
4. Ответьте положительно на предложение мастера создать зону прямого разрешения. Мастер предложит выбрать метод хранения зоны и тип носителя (рис. 1.10). Выберите пункт Standard Primary (стандартный основной) и перейдите на следующее окно.
5. В ответ на предложение ввести имя зоны введите kit.khsu.khakassia.ru.
6. В следующем окне мастер потребует определить имя файла, который будет использоваться для размещения зоны (рис. 1.11). По умолчанию мастер формирует имя файла из имени зоны, добавляя расширение .dns.
7. На следующем окне мастер предложит создать зону обратного разрешения. Ответьте отрицательно, выбрав пункт No, do not create a reverse lookup zone. Щелкните на Next и на последнем окне мастера на Finish. Мастер создаст зону прямого разрешения и разместит в ней ресурсную запись типа SOA.
Конфигурирование сервера DNS в качестве дополнительного носителя зоны
Исходные данные: необходимо сконфигурировать сервер DNS в качестве дополнительного носителя зоны с именем kit.khsu.khakassia.ru, которую необходимо получить от сервера DNS, выступающим в качестве основного носителя зоны, с IP-адресом 192.168.1.17.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. В дереве серверов DNS выберите интересующий вас сервер (см. рис. 1.5). В его контекстном меню выберите пункт New Zone (Новая зона), чтобы запустить мастер New Zone Wizard. Перейдите к следующему окну.
4. Ответьте положительно на предложение мастера создать зону прямого разрешения и перейдите на следующее окно. Мастер предложит выбрать метод хранения зоны и тип носителя (см. рис. 1.10). Выберите пункт Standard Secondary (стандартный дополнительный).
5. На следующем окне, в ответ на предложение ввести имя зоны, введите kit.khsu.khakassia.ru. После того как вы перейдете на следующее окно, мастер потребует указать DNS-серверы, уже являющиеся носителями данной зоны (рис. 1.12). Именно от этих серверов конфигурируемый носитель получит копию базы данных зоны. Введите IP-адрес 192.168.1.17 и перейдите к следующему окну.
6. Откажитесь от создания зоны обратного разрешения и в последнем окне щелкните на Finish, чтобы закончить работу с мастером.
Конфигурирование сервера DNS в качестве носителя зоны, интегрированного с Active Directory
Исходные данные: необходимо сконфигурировать сервер DNS в качестве носителя зоны sys.khsu.khakassia.ru, интегрированного с Active Directory.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. В дереве серверов DNS выберите интересующий вас сервер (см. рис. 1.5). В его контекстном меню выберите пункт New Zone (Новая зона), чтобы запустить мастер New Zone Wizard. Перейдите к следующему окну.
4. Ответьте положительно на предложение мастера создать зону прямого разрешения и перейдите к следующему окну. Мастер предложит выбрать метод хранения зоны и тип носителя (см. рис. 1.10). Выберите пункт Active Directory-integrated (интегрированный с Active Directory).
5. На следующем окне в ответ на предложение ввести имя зоны введите sys.khsu.khakassia.ru.
6. Откажитесь от создания зоны обратного разрешения и в последнем окне щелкните на Finish, чтобы закончить работу с мастером.
Динамическая регистрация имен
Основное назначение службы DNS заключается в разрешении доменных имен в соответствующие IP-адреса. При этом механизм разрешения имен использует ресурсные записи, содержащиеся в базе данных DNS-сервера. Изначально ресурсные записи представляли собой статические соответствия между доменным именем и IP-адресом. Модификация существующих, а также добавление новых ресурсных записей традиционно являлись неотъемлемой частью обязанностей администратора. Помимо того что это приводило к повышению стоимости администрирования сети (то, что практичные американц
ы называют совокупной стоимостью владения - Total Cost Ownership, TCO), подобный метод изменения ресурсных записей существенно ограничивает возможности использования службы DNS в корпоративной сети с интенсивно изменяющейся структурой. Любое изменение доменного имени хоста или его IP-адреса необходимо синхронизировать с базой данных службы DNS, вручную изменяя соответствующие записи. В ситуации, когда большая часть компьютеров в корпоративной сети сконфигурирована в качестве DHCP-клиентов, административные затраты на поддержание базы данных DNS в актуальном состоя
нии становятся чрезмерными. Во многих крупных корпорациях вынуждены идти на такой шаг, как введение специальной должности администратора DNS- серверов.
Реализованная в Windows 2000 служба DNS поддерживает режим динамической регистрации хостов. Благодаря этому содержимое базы данных зоны может изменяться тремя путями:
ресурсные записи создаются и изменяются вручную администратором зоны. Этот режим создания и обновления ресурсных записей идентичен механизму создания статических записей предыдущих версий службы DNS;
ресурсные записи создаются и изменяются клиентами службы DHCP самостоятельно в процессе динамической регистрации доменного имени. Следует заметить, что только Windows 2000-клиенты службы DHCP поддерживают режим динамической регистрации;
ресурсные записи создаются и изменяются службой сервера DHCP в процессе выделения IP-адреса в аренду некоторому хосту. При этом сервер DHCP осуществляет регистрацию доменного имени хоста, запросившего выделение IP-адреса. Поскольку при этом для создания ресурсной записи не требуется непосредственного участия клиента, этот режим регистрации может использоваться для динамической регистрации доменных имен клиентов, находящихся под управлением предыдущих версий Windows (например, Windows NT, Windows 95/98).
ПРИМЕЧАНИЕ Обратите внимание, что процесс обновления ресурсной записи инициируется службой DHCP (либо сервером, либо клиентами), а не клиентами DNS, как следовало бы ожидать. Microsoft объясняет это тем, что именно служба DHCP связана с изменением IP-адреса и поэтому логичнее всего, что именно эта служба будет инициировать динамическую регистрацию этих изменений в базе данных DNS.
Динамическая регистрация подразумевает создание (а в ряде случаев и модификацию) в базе данных ресурсной записи типа A, представляющей собой обычное отображение доменного имени в соответствующий IP-адрес.
Процесс динамической регистрации доменного имени инициируется клиентом в следующих ситуациях:
в процессе загрузки системы. Каждый раз, когда Windows 2000-клиент входит в сеть, он регистрирует свое доменное имя в базе данных соответствующей зоны. Это гарантирует, что в базе данных будет всегда находиться только актуальная информация;
у клиента изменяется IP-адрес. Любое изменение адреса приводит к обновлению ресурсной записи в базе данных соответствующей зоны. При этом не важно, каким именно образом происходит изменение адреса. В случае когда клиент сконфигурирован со статическим IP-адресом, процесс динамического обновления начинается при любом его изменении. Если компьютер является также клиентом службы DHCP, то под изменением IP-адреса подразумевается не только обновление адреса, но и изменение условий его аренды;
в процессе принудительного обновления доменного имени. В состав операционной системы Windows 2000 включена утилита ipconfig, использование которой с ключом /registerdns предписывает системе произвести обновление ресурсной записи в базе данных DNS.
В случае если носитель зоны интегрирован с Active Directory, можно использовать режим безопасной динамической регистрации (Secure Dynamic Update). Поскольку каждая ресурсная запись хранится в виде отдельного объекта каталога, администратор имеет возможность регламентировать доступ к этим объектам. Использование режима безопасной динамической регистрации позволяет четко определить пользователей, которым позволено изменять отдельные ресурсные записи зоны. Если для зоны активизирован режим безопасной динамической регистрации, изменение содержимого базы данных з
оны может осуществляться только авторизованными для этого группами пользователей.
Режим динамической регистрации доменных имен подразумевает не только создание, но и удаление ресурсных записей (так называемое освобождение имени). Ресурсные записи автоматически уничтожаются из базы данных зоны в процессе завершения работы компьютера. Однако в некоторых ситуациях (например, в случае неправильного завершения работы компьютера) ресурсные записи могут оставаться в базе данных. Как следствие, в базе данных зоны появляются записи-фантомы, наличие которых может привести к некоторым нежелательным эффектам.
Для поддержания зоны в актуальном состоянии используется механизм очистки (scavenging) ее базы данных от устаревших ресурсных записей. Понятие устаревания ресурсной записи (aging resource record) тесным образом связано с понятием временного штампа (timestamp). Временной штамп фиксирует время создания ресурсной записи в базе данных зоны. В течение определенного периода времени, называемого периодом стабильности (no-refresh interval), запись считается актуальной, и система не предпринимает каких-либо попыток обновить ее. По окончании периода стабильности система ожидает получе
ние заявки на обновление сведений о ресурсной записи. Если такая заявка получена, система делает вывод, что ресурсная запись все еще актуальна, и обновляет временной штамп, фиксируя в нем время получения заявки. Таким образом, временной штамп каждой ресурсной записи обновляется в течение всего периода, пока данная запись актуальна. Период времени, в течение которого система ожидает заявку на обновление сведений о ресурсной записи, называется периодом обновления (refresh interval). По умолчанию значение периода стабильности составляет семь дней. Столько же вре
мени отводится системой и на обновление сведений о ресурсной записи. Любая ресурсная запись, для которой истек период обновления, считается устаревшей и подлежит удалению в процессе очистки базы данных, который инициируется через определенные промежутки времени, определенные администратором при конфигурировании зоны. Устаревшие ресурсные записи удаляются из базы данных зоны, что означает удаление из каталога объектов, ассоциированных с данными ресурсными записями.
Практическое занятие. Конфигурирование динамической регистрации имен
Цель: овладеть навыками конфигурирования служб DNS и DHCP для выполнения динамической регистрации имен.
Задача: рассмотреть методику конфигурирования служб DNS и DHCP для выполнения динамической регистрации доменных имен.
Конфигурирование зоны DNS для выполнения динамической регистрации доменных имен
Исходные данные: зону khsu.khakassia.ru, интегрированную с Active Directory, необходимо сконфигурировать для выполнения безопасной динамической регистрации доменных имен.
1. Войдите в систему под учетной записью администратора.
2. Запустите управляющую консоль DNS (Start (Пуск) - Programs (Приложения) - Administrative Tools (Средства администрирования) - DNS).
3. Выберите в панели обзора консоли зону khsu.khakassia.ru и в ее контекстном меню выберите пункт Properties (Свойства). Откроется окно свойств данной зоны.
4. На вкладке General (Общие) выберите в поле Allow dynamic updates (Позволить динамическую регистрацию) значение Only secure update (Только безопасная регистрация) (рис. 1.13).
Служба каталога Windows 2000. Учебный курс. / А. Вишневский - СПб: Питер, 2001. - 464 с.
|