Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
разделением DNS (DNS split). Технология разделения DNS подразумевает, что разрешение имен локальной сети и Интернета для одного доменного имени настраивается на различные DNS-серверы . Суть решения будет понятна из рассмотрения двух возможных ситуаций: одинаковые имена локального домена и домена Интернета — если имя до- мена Windows совпадает с именем домена Интернета, то единственная необхо- димая операция — это правильная настройка публикации внутренних ресурсов в глобальной сети. Когда клиент локальной сети пытается получить доступ к ка- ким-либо ресурсам, он запрашивает их месторасположение у локального , внут- реннего сервера DNS. Этот сервер возвращает клиенту внутренний адрес ресур- са, к которому и осуществляется подключение (рис. 3.20). На сервере DNS, обслуживающем домен Интернета этого же предприятия, не- обходимо настроить А-запись соответствующего ресурса на внешний адрес брандмауэра предприятия, а на брандмауэре настроить публикацию внутреннего ресурса таким образом, чтобы запрос, приходящий на брандмауэр и адресован- ный на то или иное имя, перенаправлялся на локальный адрес ресурса. Рис. 3.20. Разделение DNS (Windows Server 2016) В результате, независимо от точки подключения, запрос клиента всегда будет доставлен на один и тот же локальный ресурс системы. При использовании технологии разделения DNS клиент локальной сети и ком- пьютер Интернета при разрешении одного и того же имени будут обращаться 134 Глава 3 к различным DNS-серверам. В результате локальный клиент будет обращаться по локальному адресу, а клиент Интернета перешлет запрос на брандмауэр предприятия, который и перенаправит его на локальный адрес запрашиваемого ресурса; различные имена локального домена и домена Интернета — если внутрен- нее и внешнее имена домена предприятия не совпадают, то на внутреннем сер- вере DNS необходимо создать первичную зону для домена с внешним именем. Далее в этой зоне следует создать записи, соответствующие именам систем, предоставляющих необходимые службы (естественно, что изменение записей этой зоны должно выполняться только вручную), причем в качестве IP-адресов этих записей должны быть указаны локальные IP-адреса систем. Таким образом, на внутренних DNS-серверах будет по две зоны: зона, соответствующая внут- реннему домену Windows (реальные внутренние названия компьютеров локаль- ной сети), и зона с внешним именем (фактически содержащая синонимы, вторые имена только для компьютеров, публикующих ресурсы в глобальной сети). Так же, как и в предыдущем примере, следует настроить публикацию внутренних ресурсов на брандмауэре предприятия. Клиентов необходимо настроить (в том числе и в локальной сети) на подключе- ние к ресурсам по внешним именам . Если клиент обратится к почтовому серверу изнутри предприятия, то он запросит внутренний сервер DNS об адресе, соот- ветствующем внешнему имени почтовой системы. Поскольку на внутреннем сервере DNS существует одноименная первичная зона, то сервер будет считать- ся авторизованным для ответов, сообщит клиенту внутренний адрес почтовой системы и произойдет подключение по локальному адресу системы. А если, например, клиенту необходимо обратиться к этому же почтовому серве- ру из Интернета, то он запросит внешний сервер DNS, получит от него адрес брандмауэра и отправит запрос на него. Брандмауэр, получив запрос, проанали- зирует его и перешлет на локальный адрес почтовой системы. Настройка DNS в удаленных офисах Возможны различные варианты конфигурации разрешения имен для удаленных офисов. В наиболее часто используемом случае подключения удаленного офиса к основному через Интернет по VPN-каналу можно реализовать следующую на- стройку DNS: DNS-сервер удаленного офиса настроить на пересылку запросов раз- решения имени на DNS-сервер интернет-провайдера, а пересылку запросов на раз- решение внутренних имен настроить на DNS-сервер центрального офиса. Такая конфигурация легко реализуется на DNS-серверах Windows Server 2008/2012/2016. Обслуживание и диагностика неисправностей DNS-сервера Самый простой способ проверить работоспособность сервера — включить опции мониторинга на соответствующей вкладке консоли управления. Вы должны полу- чить положительную диагностику при тестировании самого сервера и ответа от сервера, на который настроена пересылка запросов. Структура сети 135 Сервер DNS ведет протокол своих основных событий в специальном журнале — DNS-сервер (доступен с помощью программы Просмотр событий). В этом журнале по умолчанию фиксируются только основные события (старт или остановка служ- бы, серьезные ошибки — невозможность передачи зоны, и т. п.). Если необходимо подробно проанализировать работу сервера, то можно включить крайне детализиро- ванный протокол — установить опции ведения журнала отладки на соответст- вующей вкладке консоли управления сервером DNS. Но использовать эту возмож- ность следует только на период отладки. В журнал по умолчанию заносится вся информация (подробно — все данные пакетов), что негативно сказывается на про- изводительности сервера. Универсальная утилита, которую можно использовать для получения данных с лю- бого DNS-сервера (и, соответственно, проверки его работоспособности), — это nslookup, которая вызывается одноименной командой. Она по умолчанию присут- ствует среди утилит в системах с установленным протоколом TCP/IP. Утилита nslookup позволяет вручную получить от сервера DNS такую же информа- цию, какую системы получают в автоматическом режиме при разрешении имен. Поэтому она часто используется при диагностике систем. После запуска утилиты осуществляется подключение к серверу DNS, указанному в настройках сетевого адаптера по умолчанию. Далее в режиме командной строки можно получить ответ на запрос к любому DNS-серверу. Рассмотрим пример использования утилиты nslookup (строки, вводимые пользова- телем, отмечены в начале строки знаком > ). >nslookup Default Server: ack Address: 192.168.0.10 П ОЯСНЕНИЕ После запуска программа выдала сообщение, что подключена к DNS-серверу ack с IP-адресом 192.168.0.10 . >server ns.unets.ru Default Server: ns.unets.ru Address: 195.161.15.19 П ОЯСНЕНИЕ В окне программы nslookup была введена команда подключения к DNS-серверу ns.unets.ru . В ответ программа сообщила, что подключилась к этому серверу и со- общила его IP-адрес. >uzvt.ru Server: ns.unets.ru Address: 195.161.15.19 Non-authoritative answer: uzvt.ru nameserver = ns.isp.ru |