Администрирование корпоративной сети на основе Microsoft Windows 2000 Advanced Server

цель WINS – разрешение имен NetBIOS в IP-адрес, в то время как DNS

сопоставляет имена узлов их IP-адресам.

DNS используется Windows 2000 не только для разрешения имен узлов в их

IP-адреса. Эта служба также помогает системе находить службы в сети, такие

как службу аутентификации контроллера домена. Когда пользователь пытается

войти в домен, его Windows 2000-система запрашивает DNS о наличии одного

или более контроллеров домена на данном физическом сайте. Контроллеры

домена автоматически регистрируются в DNS и также регистрируют записи,

относящиеся к некоторым, работающим на них, службам. Точно также, клиенты

Windows 2000 могут регистрировать себя в DNS самостоятельно, а могут и

через сервер DHCP, который дает клиенту его IP-адрес. Оба эти механизма

требуют пристального рассмотрения и мы вернемся к ним в нашей серии.

Хотя этот раздел только введение в DNS, хочу привести несколько

дополнительных важных заметок о DNS:

- Windows 2000 DNS поддерживает IXFR или инкрементальный (добавочный)

трансфер зоны. При этой настройке, если происходят изменения в файле зоны,

только эти изменения реплицируются на другие сервера DNS. Если вы помните,

в Windows NT DNS поддерживало только АXFR – полный трансфер зоны, при

котором изменения в зоне вызывали необходимость репликации всего файла зоны

на все дополнительные сервера имен.

- Если используется DNS, интегрированный в Active Directory, то можно

активизировать функцию, называемую Secure Dynamic Updates (безопасные

динамические обновления). При этом сервер DNS будет позволять обновления

или регистрацию записей только с систем, которые имеют правомочные учетные

записи в Active Directory. Если эта настройка не активизирована, то любая

система может делать изменения в DNS, что представляет, конечно же, угрозу

безопасности сети.

5.3.1. Планирование внедрения DNS для Active Directory

Прежде чем устанавливать Active Directory в среду Windows 2000, важно

разработать реализацию DNS, которая бы соответствовала как вашей системе

разрешения имен, так и требованиям Active Directory. DNS необходим Active

Directory как для разрешения имен, так и для определения пространства имен,

так как доменные имена в Windows 2000 базируются на соглашении об

именовании DNS. Как следствие, любой сервер, на который устанавливается

Active Directory, должен иметь в своих настройках протокола TCP/IP указание

на сервер DNS, который необходимо установить и настроить предварительно.

Если не сделаеть это заранее, то инсталляция Active Directory автоматически

создаст структуру DNS, которая, возможно, не будет соответствовать вашим

пожеланиям.

Первая концепция - это использование DNS для разрешения имен узлов

(нахождение соответствующего узлу IP-адреса) или разрешения FQDN (Fully

Qualified Domain Name – полностью определенное имя домена) в его IP-адрес.

Чтобы напомнить вам, FQDN представляет имя узла в виде доменного имени

системы. Например:

www.firma.ru

В этом примере имя узла – левая часть полного имени, а именно www.

Имена узла также могут разрешаться при помощи файла HOSTS, который является

статическим текстовым файлом и находится в папке

%systemroot%\system32\drivers\etc на локальном компьютере. Не стоит путать

DNS c WINS, которая ставит в соответствие Netbios имени соответствующий IP-

адрес (также имеется текстовый эквивалент данной службы, файл LMHOSTS).

Служба DNS хранит большое число записей ресурсов различного типа,

кроме простой записи хоста, т.н. «А» записи. Наиболее используемые типы

записей, которые можно встретить в файле зоны, рассмотрены ниже:

SOA – представляет из себя запись ресурса начальной записи зоны, и

предоставляет информацию о зоне, включая сведения о том, какой сервер

является основным, кто отвечает за административный контакт, как часто файл

базы данных проверяется на наличие изменений, серийный номер базы данных,

значение времени жизни, и т.д.

A – представляет уникальный адрес узла в сети, сопоставляя его имя IP-

адресу.

NS – обозначает доменное имя и связанное с ним FQDN сервера имен,

который является полномочным для домена.

MX – обозначает, что данный узел является почтовой службой (сервером

почты или сервером пересылки) для определенного домена.

PTR – предоставляет возможность для обратного просмотра (сопоставляет

IP-адресу узла его FQDN). Это позволяет находить имя узла, связанное с IP-

адресом. Записи PTR находятся в файле reverse lookup zone (зоны обратного

просмотра).

SRV – сопоставляет отдельные службы одному или нескольким узлам и

наоборот. Например, записи могут обозначать сервер как сервер Глобального

Каталога, контроллер домена и т.д.

Вторая главная концепция – эта концепция Зоны. Зона – это область

пространства имен DNS, которая функционирует как административная единица.

То есть группа серверов ответственна (имеет полномочие) за записи,

относящиеся к некоторому домену или поддомену. Главной причиной для того,

чтобы иметь несколько зон, является разделение административной

ответственности, так же как и задача пересылки зон.

Существует 5 основных типов серверов DNS. Это основные, вторичные,

интегрированные в Active Directory, серверы пересылки и кэширующие сервера.

Основной сервер DNS – основным сервером DNS является сервер, который

полномочен для зоны. По существу это означает, что в зоне есть только один

сервер, на котором можно производить изменения в базе данных зоны.

Вторичный сервер DNS – вторичный сервер DNS содержит копии «только для

чтения» информации, хранящейся на основном сервере DNS, и получают

обновления в ходе передачи зоны. Один вторичный сервер является минимально

необходимым, но и другие могут создаваться с целью выравнивания нагрузки и

обеспечению отказоустойчивости.

Интегрированный в Active Directory сервер DNS – возможен только для

серверов DNS на базе OS Windows 2000, в данной реализации DNS файл зоны

хранится как объект в Active Directory, а не как несколько файлов на

жестком диске. В данном сценарии каждый контроллер домена, на котором

установлена DNS по существу действует как основной сервер DNS, допускает

изменения в зоне и осуществляет синхронизацию файла зоны через репликацию

Каталога. Как следствие, если какой-либо сервер DNS выйдет из строя, любой

другой сервер, интегрированный в Active Directory может продолжать

осуществлять изменения.

Кэширующий только – кэширующий сервер DNS не является полномочным для

зоны. Как следствие, он только получает клиентские запросы, осуществляет

запросы других серверов DNS, кэширует результаты и посылает ответы

клиентам. По умолчанию кэширующий сервер DNS пересылает все запросы, ответы

на которые не найдены в его кэше, корневому серверу DNS.

Сервер пересылки DNS – серверы DNS могут быть настроены так, что будут

пересылать запросы, которые не могут разрешить к какому-либо определенному

серверу. Такие серверы называются forwarder (сервер пересылки). Серверы

пересылки могут впоследствии обрабатывать запросы, вместо других серверов

DNS. Это позволяет уменьшить время обработки некоторых запросов по поиску

узлов (в Интернете, например), т.к. сервер пересылки обрабатывает запросы и

кэширует результат, который потом возвращается к компьютеру, сделавшему

запрос. Это может улучшить и скорость и производительность.

5.3.2. Новые свойства DNS в Windows 2000

В реализации DNS в Windows 2000 есть ряд изменений по сравнению с NT

4. Наиболее важные из них это – поддержка записей служб, динамическая DNS,

безопасное динамическое обновление, добавочная передача зоны и

интегрирование с Active Directory.

Записи для служб – в реализации DNS в Windows 2000 поддерживаются

записи для такого важного типа ресурсов, как записи служб (часто

упоминаемые как SRV записи). Записи служб позволяют клиентам запрашивать

DNS-поиск для систем, на которых запущены определенные службы, такие как

Глобальный Каталог (который обозначается как GC-запись).

Динамическая DNS – в традиционных реализациях DNS все записи было

необходимо создавать и изменять вручную на DNS сервере, что могло отнимать

огромное количество времени. Реализация DNS в Windows 2000 поддерживает RFC

2136 и обычно называется Dynamic DNS или DDNS. В данной реализации клиенты

имеют возможность автоматически обновлять свои записи, которые главным

образом используются в среде, где клиенты подключаются к серверу DHCP для

получения IP-адресов. Windows 2000 является единственной OS фирмы Microsoft

(теперь еще и Windows XP), которая поддерживает динамическое обновление.

Однако можно настроить сервер DHCP в Windows 2000 так, что он сможет

обновлять DNS на стороне клиентов, что позволяет клиентам, работающим под

другими (не-Windows 2000) OS, обновлять информацию о себе в DNS.

Динамическая DNS также очень удобна для контроллеров домена, которые также

могут автоматически регистрировать записи своих сервисов, в противном

случае, все это было бы необходимо делать вручную.

Безопасное динамическое обновление – если DNS зона является

интегрированной в Active Directory, то Windows 2000 позволяет вам

использовать нечто, что называется безопасным динамическим обновлением.

Заметьте, что простые динамические обновления могут быть потенциально

опасными, потому что любой клиент может быть зарегистрирован в DNS, так как

динамическая DNS только отвечает на запросы, но не аутентифицирует их. Если

установлено безопасное динамическое обновление, только пользователь или

система, которые имеют соответствующие разрешения на связанных ACL (access

control list – списках контроля доступа) для зоны, могут добавлять записи в

DNS. По умолчанию Группа Аутентифицированных Пользователей имеет

необходимые разрешения. Клиентские системы сначала предпринимают попытку

использовать обычный запрос по умолчанию и, если он будет отвергнут,

безопасное обновление.

Добавочная передача зоны – реализация NT 4 DNS поддерживает только

AXFR, или полную передачу зоны. При этой конфигурации каждый раз, когда

основной сервер имен осуществлял передачу зоны вторичному серверу, файл

базы данных зоны передавался целиком, даже если в нем произошло единичное

изменение. Windows 2000 поддерживает IXFR или добавочную передачу зоны. В

данной реализации, только изменения передаются в ходе передачи зоны, вместо

передачи всего файла базы данных зоны.

Интеграция с Active Directory – Windows 2000 продолжает поддерживать

традиционную реализацию по схеме основной/вторичный сервера DNS. В данном

сценарии, изменения в файле зоны могут быть сделаны только на основном

сервере, так как только он содержит редактируемую копию файла зоны. В

Windows 2000 вводится новая концепция – DNS, интегрированная в Active

Directory. В этой реализации файл зоны DNS и связанная с ним информация

хранится как объект в Active Directory вместо того, чтобы находиться в

папке DNS на жестком диске. Эта интеграция позволяет любому контроллеру

домена, на котором запущена служба DNS, делать изменения в базе данных DNS,

при этом изменения в зоне реплицируются как часть процесса репликации

Active Directory. Это также позволяет сделать службу DNS более

отказоустойчивой. В традиционной среде DNS, если основной сервер имен

выходит из строя, все динамические изменения в DNS становятся невозможными,

так как редактируемая копия зоны недоступна. В DNS, интегрированной в

Active Directory, все DNS сервера могут осуществлять обновления.

Традиционные сервера DNS могут продолжать существовать в такой среде – они

могут быть вторичными и использовать сервер DNS, интегрированный в Active

Directory, как основной сервер для получения файла зоны.

5.3.3 Настройка сервера DNS.

Настройка и изменение конфигурации сервера DNS могут понадобиться по

разным причинам, например:

1. При изменении имени компьютера-сервера

2. При изменении имени домена для компьютера-сервера

3. При изменении IP-адреса компьютера-сервера

4. При удалении сервера DNS из сети

5. При изменении основного сервера (primary server) зоны

Управление клиентами

Для клиентов Windows конфигурация DNS при настройке свойств TCP/IP

для каждого компьютера включает следующие задачи:

1. Установка имени хоста DNS для каждого компьютера или сетевого

подключения.

2. Установка имени родительского домена, которое помещается после

имени хоста, чтобы формировать полное (fully qualified) имя домена для

каждого клиента.

3. Установка основного DNS-сервера и списка дополнительных DNS-cep-

веров, которые будут использоваться, если основной сервер недоступен.

4. Установка очередности списка поиска доменов, используемого в

запросах для дополнения не полностью заданного имени компьютера.

Управление зонами

После добавления зоны при помощи оснастки DNS можно управлять

следующими общими свойствами зоны:

1. Запрещать или разрешать использование зоны

2. Изменять или преобразовывать тип зоны

3. Разрешать или запрещать динамическое обновление зоны

Также можно настраивать начальные записи зоны (Start Of Authority,

SOA), ресурсные записи, делегирование зон, списки оповещения, использование

просмотра WINS, а также управлять зонами обратного просмотра (reverse

zone), необходимыми для обратного разрешения имен — из адреса в имя.

Мониторинг и оптимизация

В Windows 2000 Advanced Server можно производить мониторинг и по его

результатам оптимизировать настройки службы DNS при помощи:

1. Системного монитора (Performance Monitor)

2. Опций протоколирования

3. Статистики по DNS-серверу

4. Настройки дополнительных параметров

5.4. Служба WINS

Служба WINS (Windows Internet Name Service, служба имен Windows)

обеспечивает поддержку распределенной базы данных для динамической

регистрации и разрешения имен NetBIOS для компьютеров и групп, используемых

в сети. Служба WINS отображает пространство имен NetBIOS и адресное

пространство IP друг на друга и предназначена для разрешения имен NetBIOS в

маршрутизируемых сетях, использующих NetBIOS поверх TCP/IP. Имена NetBIOS

используются более ранними версиями операционных систем Microsoft для

идентификации компьютеров и других общедоступных ресурсов. [12]

Хотя протокол NetBIOS может применяться с другими сетевыми

протоколами, помимо TCP/IP (например, NetBEUI или IPX/SPX), служба WINS

была разработана для поддержки NetBIOS поверх TCP/IP (NetBT). WINS упрощает

управление пространством имен NetBIOS в сетях на базе TCP/IP. WINS

применяется для распознавания имен NetBIOS, но для ускорения разрешения

имен клиенты должны динамически добавлять, удалять или модифицировать свои

имена в WINS.

5.4.1. Новые возможности WINS в Windows 2000

В Windows 2000 WINS обеспечивает следующие расширенные возможности:

1. Постоянные соединения. Теперь можно настроить каждый WINS-сервер на

обслуживание постоянного соединения с одним или большим количеством

партнеров репликации. Это увеличивает скорость репликации и снижает затраты

на открытие и завершение соединений.

2. Управление "захоронением". Можно вручную отмечать записи для

захоронения (отметка для дальнейшего удаления, tombstoning). Состояние

"захоронения" записи копируется для всех серверов WINS, что предотвращает

восстановление копии из баз данных других серверов.

3. Улучшенная утилита управления. Утилита управления WINS реализована

в виде оснастки ММС, что упрощает использование WINS для администратора.

4. Расширенная фильтрация и поиск записей. Улучшенная фильтрация и

новые поисковые функции помогают находить записи, показывая только записи,

соответствующие заданным критериям. Эти функции особенно полезны для

анализа очень больших баз данных WINS.

5. Динамическое стирание записей и множественный выбор. Эти

особенности упрощают управление базой данных WINS. При помощи оснастки WINS

можно легко манипулировать с одной (или более) записью WINS динамического

или статического типа.

6. Проверка записей и проверка правильности номера версии. Эти

возможности проверяют последовательность имен, сохраненных и скопированных

на серверах WINS. Проверка записей сравнивает IP-адреса, возвращаемые по

запросу по имени NetBIOS с различных серверов WINS. Проверка правильности

номера версии проверяет номер владельца таблицы отображения "адрес-версия".

7. Функция экспорта. При экспорте данные WINS сохраняются в текстовом

файле с запятыми в качестве разделителей. Можно импортировать этот файл в

Microsoft Excel и другие программы для анализа и составления отчетов.

8. Увеличенная отказоустойчивость клиентов. Клиенты под управлением

Windows 2000 или Windows 98 могут использовать более двух серверов WINS

(максимально — 12 адресов) на интерфейс. Дополнительные адреса серверов

WINS будут использоваться, если первичные и вторичные серверы WINS не

отвечают на запросы.

9. Консольный доступ только для чтения к WINS Manager. Эта возможность

предоставляется группе Пользователи WINS (WINS Users), которая

автоматически создается при установке сервера WINS. Добавляя членов к этой

группе, можно предоставить доступ только для чтения к информации о WINS.

Это позволяет пользователю-члену группы просматривать, но не изменять

информацию и свойства, хранящиеся на определенном сервере WINS.[1]

5.4.2. Компоненты службы WINS

Основные компоненты WINS — сервер WINS и клиенты WINS, а также

посредники WINS (WINS proxy).

Серверы WINS. Сервер WINS обрабатывает запросы на регистрацию имен от

клиентов WINS, регистрирует их имена и IP-адреса и отвечает на запросы

разрешения имен NetBIOS от клиентов, возвращая IP-адрес по имени, если это

имя находится в базе данных сервера (рис. 17.8). Сервер WINS поддерживает

базу данных WINS.

Клиенты WINS. Клиенты WINS регистрируют свои имена на сервере WINS,

когда они запускаются или подключаются к сети.

Microsoft поддерживает клиентов WINS на платформах Windows 2000

Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows for

Workgroups, Microsoft LAN Manager, MS-DOS, OS/2, Linux/Unix (с

установленной службой Samba) [7].

Клиенты WINS обращаются к серверу WINS, чтобы зарегистрировать/об-

новить/удалить имя клиента в базе данных WINS, а также для разрешения имен

пользователей, имен NetBIOS, имен DNS и адресов IP.

Посредники WINS. Посредник WINS — клиентский компьютер WINS,

настроенный так, чтобы действовать от имени других хостов, которые не могут

непосредственно использовать WINS .

5.4.3. Планирование сети с использованием WINS

Перед установкой серверов WINS в сети необходимо решить следующие

задачи:

Определить число необходимых серверов WINS

Спланировать партнеров репликации

Оценить влияние трафика WINS на самых медленных соединениях

Оценить уровень отказоустойчивости в пределах сети для WINS

Составить и оценить план инсталляции WINS

До настройки репликации нужно тщательно спроектировать топологию

репликации WINS. В глобальных сетях это очень важно для успешного

развертывания и использования WINS.

Настройка статического отображения:

Запись, отображающая имя в IP-адрес, может быть добавлена в базу

данных WINS двумя способами:

1. Динамически (клиентами WINS, непосредственно при связи с сервером

WINS).

2. Статически (вручную, администратором, при помощи оснастки WINS или

утилит командной строки).

Статические (добавляемые администратором вручную) записи полезны,

когда нужно добавить отображение "имя-адрес" к базе данных сервера для

компьютера, который непосредственно не использует WINS. Например, в

некоторых сетях серверы под управлением других операционных систем не могут

регистрировать имя NetBIOS непосредственно на сервере WINS. Хотя эти имена

можно было бы добавить с помощью файла Lmhosts или через запрос

5.4.4. Управление базой данных WINS

Оснастка WINS обеспечивает поддержку, просмотр, копирование и

восстановление базы данных WINS. Основные задачи по работе с базой:

Сжатие базы

Резервное копирование базы

Проверка целостности базы

Переход от WINS к DNS

В сетях, использующих только Windows 2000, можно уменьшить или даже

устранить применение WINS. Удаление установленных серверов WINS из сети

называется отзывом (decommissioning).

После развертывания сервера DNS в сети отзыв сервера WINS выполняется

в такой последовательности:

1. Клиентские компьютеры перенастраиваются, чтобы они не использовали

WINS, а только DNS.

2. На каждом сервере WINS по отдельности запускается процесс отзыва:

• В дереве WINS выбрать сервер WINS, который нужно отозвать, затем

выбрать опцию Активные регистрации (Active Registrations).

• В меню Действие (Action) выберать пункт «Найти по владельцу» (Show

records for the sleeted owner).

• В появившемся окне в списке только для выбранного владельца (only

for selected owner) выбрать сервер WINS, который необходимо отозвать, и

нажать кнопку ОК.

• В подокне подробного просмотра выделить все элементы.

• В меню Действие (Action) выберать команду Удалить (Delete).

• В диалоговом окне Подтверждение удаления записей (Confirm WINS

Record Delete) установить переключатель Реплицировать удаление записи на

другие серверы (Tombstone WINS records on all WINS servers) переключателя и

нажмать кнопку ОК.

• Подтвердить удаление, нажав кнопку Да (Yes) в окне запроса.

Страницы: 1, 2, 3, 4, 5, 6, 7