В случае отсутствия необходимости использования корневых ссылок, необходимо выбрать опцию «не использовать рекурсию для этого домена». В таком случае для удовлетворения запросов будет использоваться собственный кэш DNS-сервера и информация, получаемая от серверов, из списка «Домен DNS». В случае невозможности удовлетворения запроса, сервер не будет пользоваться другими средствами, и сервер произведет соответствующее уведомление клиента. При необходимости возможно ручное добавление записей о корневых ссылках, например в ситуации, когда в рамках системы ActiveDirectoryорганизации функционирует корневой DNS-сервер.Остальные вкладки окон предоставляют информацию по обеспечению аудита и настройке безопасности, и являются отдельной темой для рассмотрения. Конфигурация сервера BINDУстановка программного пакета BINDДля ознакомления с принципами настройки DNS сервером под *nix систем целесообразно выбрать наиболее часто встречающуюся реализацию named, входящую в пакет BIND, функционирующую на большинстве корневых DNS-серверов. Сервер namedимеет широкие возможности конфигурации. Его можно использовать как главный, резервный или кэширующий DNS сервер[7].
Настройка программного обеспечения в *nixсистемах происходит посредством записи настроек в специальные файлы, откуда впоследствии происходит чтение параметров[8]. Аналогично для настройки программы named, необходимо внести требуемые изменения в файл конфигурации в соответствии с требуемым синтаксисом. Последней версией пакета BIND является девятая версия, поэтому процесс настройки будет рассмотрен применительно к ней. При работе named используются следующие компоненты:
файл начальной загрузки буфера (cache);файл конфигурации named (named.boot);файлы, содержащие описания «прямых» и «обратных» зон;Для начала использования программного пакета BIND необходимо произвести его получение из репозитория. Для этого необходимо выполнить следующую команду[4]: sudoaptitudeinstallbind9 dnsutilsКонфигурирование демона «named"После получения программного пакета и его установки можно переходить к конфигурированию. Файлы с настройками хранятся в директории /etc/bind[14]. Переход в каталог с конфигурационными файлами программного пакета BIND осуществляется следующей командой: cd /etc/bindПроцесс формирования файла настроек программного пакета BIND будет рассмотрен с точки зрения создания конфигурации основного DNS-сервера.В каталоге программного пакета создадим подкаталог, для размещения создаваемых конфигурационных файлов с именем организация. sudo mkdir masterПример конфигурирования файла «named.conf.options"Для осуществления настроек необходимо внести правки в файл named.conf.options. Пример конфигурационного файла, для рассматриваемого в курсовой работе случая может выглядеть следующим образом: options { directory «/var/cache/bind» forwarders { 99.
77.55. 33; 99.
77.55. 34; 192.
168.
0.1; }; allow-query { any; }; allow-transfer { 11.
22.33. 45; 192.
168.
0.2; };allow-recursion { 127.
0.0. 1; 192.
168.
0.0/24; }; notify yes; also-notify { 11.
22.33. 45; 192.
168.
0.2; }; auth-nxdomain no; listen-on-v6 { none; }; };После служебного словаforwardersосуществляется перечисление DNS серверов, используемых настраиваемым DNS-сервером при отсутствии информации в собственной базе данных или в сохраненном кэше. На практике в этот список попадают ip-адреса DNS-серверов провайдера, DNS-сервера контроллеров домена или других DNS-серверов[21]. Например возможно использование DNS-серверов компании Google, имеющих ip-адрес «8.
8.8. 8″. Служебное слово allow-queryпозволяет ограничить список узлов, которым будут доступно посылать запросы DNS-серверу. Значение «any» в данном случае означает, что запросы может посылать любой узел. Служебное слово allow-transferподразумевает возможность задания списка DNS-серверов, которым будут отправлены обновления, в случае изменения данных о доменах в зоне ответственности настраиваемого сервера.
Служебное слово allow-recursionпозволяет ограничить прием рекурсивных DNS-запросов. Прием будет производить только от узлов, указанных в качестве параметра данного служебно слова[20]. При обработке строки «notifyyes"сервер DNSпри изменении зоны, будет производить попытки оповещения зависимых от него сервером, с целью предоставления им актуальной информации, с требованием обновления необходимых записей. Служебное слово «also-notify» позволяет произвести оповещение серверов при изменении содержимого в записях DNS-сервера, не обозначенных как подчиненные. Строка «auth-nxdomain» определяет порядок аутентификации для доступа к серверу.
В данном примере аутентификация отменена, но что указывает служебное слово «no». Служебное слово «listen-on-v6» позволяет определить возможно ли осуществление работы с узлами по протоколу IPv6. В данном примере работа по протоколу IPv6 отключена, на что указывает параметр «none"[9]. После внесения требуемых изменений необходимо сохранить файл и продолжить настройку сервера. Пример конфигурирования файла «named.conf"Следующим файлом, в который необходимо внести изменения является файл «named.conf».
Примерный вариант фрагмента содержимого файла «named.conf» представлен ниже: include «/etc/bind/named.conf.options» ;include «/etc/bind/named.conf.local» ;include «/etc/bind/named.conf.default-zones» ;include «/etc/bind/named.conf.zones» ;В данном случае в файл добавлена строка «include» /etc/bind/named.conf.zones" ;" ссылающаяся на файл, в который впоследствии будут добавлены доменные зоны для настраиваемого сервера. Далее создадим файл /etc/bind/named.conf.zones и добавим в него зону «organization.com»: zone «organization.com «{ type master; file «/etc/bind/master/organization.com «;};Данная зона описана как «master». Это означает, что настраиваемый сервер является авторитетным сервером зоны, и остальные серверы зоны будут получать обновления именно от него. Пример конфигурирования файла зоны
Далее необходимо перейти к созданию файла, определяющего настройки созданной зоны. Для создания файла необходимо выполнить последовательность команд: cd /etc/bind/mastersudotouchorganization.comВ файле «organization.org» должны присутствовать следующие настройки:$ORIGIN .$TTL 3600organization.com. IN SOA ns1.domain.ru. webadmin.domain.ru. (2 011 080 901; serial 28 800; refresh (8 hours) 7200; retry (2 hours) 604 800; expire (1 week) 86 400; minimum (1 day)) NS ns1.domain.ru.
NS ns2.domain.ru. A 192.
168.
0.2 MX 10 mail.domain.ru.$ORIGIN organization.com.ftp A 192.
168.
0.51mail A 192.
168.
0.3www CNAME organization.com.В данном файле при помощи служебного слова «ORIGIN» определяется корневой DNS-сервер «.». Далее указывается время жизни ресурсных записей, хранимых на сервере. Данная настройка осуществляется командой «TTL 3600». Затем следует фрагмент файла, в котором задаются временные характеристики обновлений ресурсных записей сервера. После этого, с помощью команды «NS"определяются вышестоящие DNS сервера. В данном примере вышестоящими серверами являются «ns1.domain.ru"и «ns2.domain.ru». При помощи команды «А» задается ip-адрес сервера. При помощи записи «MX 10 mail.domain.ru.» определяется почтовый сервер для данного домена. Последние три строки определяют поддомены созданного домена «ftp.organization.com», «mail.organization.com"и «www.organization.com». После внесения изменений в конфигурационный файл его необходимо сохранить и закрыть. Применение настроек и проверка конфигурации
Для того чтобы DNS-сервер named пакета BIND осуществил повторное считывание настроек из конфигурационных файлов и начал их использование необходимо выполнить следующую команду[11]: sudo rndc reloadПосле считывания и применения вновь созданной конфигурации необходимо убедиться в ее работоспособности. Для этого необходимо выполнить следующую команду, позволяющую получить от сервера по адресу «127.
0.0. 1"ip-адрес узла с именем organization.com[4]: nslookup organization.com 127.
0.0. 1Результатом выполнения данной команды является ответ сервера и предоставление инициатору запроса ip-адреса, записанного в соответствующем конфигурационном файле (в рассматриваемом примере данный адрес — 192.
168.
0.2).Таким же образом возможно создание других зон. Необходимо отметить, что при изменении доменных зон необходимо увеличивать серийный номер доменной зоны, для фиксации изменений в ней и предоставления DNS-серверу возможности оповещения зависимых от него DNS-серверов об изменениях[10]. Заключение
В курсовой работе были рассмотрены теоретические вопросы функционирования системы DNS и их практическая реализация. В рамках рассмотрения теоретических основ функционирования системы DNS обозначены документы, регламентирующие использование протокола: серия документов IETF — RFC 1034, RFC 1035, RFC 1591, RFC4033, RFC 4035
Данные документы содержат как основные понятия, касающиеся функционирования протокола, так и детальное описание применяемых в DNS механизмах, например расширений безопасности, описанных в RFC 4035
Необходимо отметить, что приоритет при изучении литературы по данному вопросу отдавался документам IETF, так как они являются первоисточниками при рассмотрении вопросов, связанных с функционированием DNS. Практическая работа по настройке оборудования, выполняющего функции DNS-сервера была разделена на две части. В рамках первой части был рассмотрен порядок конфигурирования DNS сервера, входящего в комплект поставки операционной системы MicrosoftWindows 2003 Server. Настройка DNS-сервера в данном случае осуществлялась с учетом его функционирования в рамках домена, управление которым осуществлялось с помощью системы ActiveDirectory. Кроме системы ActiveDirectoryбыла также произведена настройка DHCP-сервера.Вторая часть освещает порядок конфигурирования DNS-сервера named, входящего в программный пакет BIND.
Данный программный пакет широко распространен среди пользователей использующих *nix подобные операционные системы и добавлен в большинство репозиториев программного обеспечения. В отличие от DNS-сервера Microsoftвходящего в состав Windows 2003 ServerDNS-сервер namedне имеет графического интерфейса для конфигурирования и как следствие требует более высокой квалификации пользователя. Необходимо отметить достоинства и недостатки каждого из рассмотренных вариантов. Графическая среда, представляемая операционной системой MicrosoftWindowsпозволяет повысить удобство при конфигурировании сервера, а встроенная система справки оперативно получить системному администратору информацию по настраиваемым параметрам и рекомендуемые значения настроек в каждом конкретном случае. Однако рассматривая функциональную сторону, можно сделать вывод о значительном превосходстве в производительности и потреблении ресурсов DNS-сервера named. Высокая производительность сервера named обуславливает его широкое применение в высоконагруженных системах, об этом свидетельствует тот факт, что программный пакет BIND и DNS-сервер named функционируют на 10 из 13 корневых DNS-серверов.
С другой стороны DNS-сервер named требует от системного администратора специальных навыков и, по крайней мере, базовых знаний в области работы с *nix системами. При записи информации в конфигурационные файлы возможны как синтаксические, так и логические ошибки которые могут стать причиной некорректной работы сервера. Другим весомым недостатком DNS-сервера ОС Microsoft 2003 Serverявляется обязательность установки и минимального конфигурирования служб, без которых DNS-сервер не будет установлен, например DHCP и ActiveDirectory. В заключение необходимо отметить, что в обеих реализациях DNS-серверов присутствуют функции контроля работы и протоколирования событий, связанных с функционированием DNS-серверов. Данная возможность, в случае если ей не пренебрегает системный администратор, позволяет эффективно устранять неполадки и оптимизировать работу сервера. Список использованной литературы. RFC 1034 — Доменные имена — Основные понятия. IETF.
1987.RFC 1035 — Доменные имена — Применение и спецификации. IETF. 1987. RFC 1591 — Доменные имена — Структура и делегирование IETF. 1983. RFC 4033 — DNS введение в безопасность и требования. 2005. RFC 4035 — Модификация протокола для расширений безопасности DNS. 2005.В. Олифер, Н.
Олифер. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд.
— Санкт-Петербург: Питер, 2010, 944 с.Дж. Буравчик. Локальная сеть без проблем: подробное иллюстрированное руководство — Москва: Лучшие книги, 2005, 224 с.У. Одом.
Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 — Москва: Вильямс, 2009, 664 с.Э. Немет, Г. Снайдер, Т. Хейн. Руководство администратора Linux. Установка и настройка. — Москва: Вильямс, 2011, 1072 с.К. Хант, TCP/IP — Сетевое администрирование — Москва: Cumbo, 2008, 816 c. А.
Стахнов. Сеть для офиса и LINUX-сервер своими руками. — Москва: БХВ-Петербург, 207, 320 с.А. Старовойтов.
Сеть на LINUX. Проектирование, прокладка, эксплуатация — Москва: БХВ-Петербург, 2010, 288 с.Т. Адельштайн, Б. Любанович. Системное администрирование в Linux. -
Санкт-Петербург: Питер, 2009, 288 с.К. Ли, П. Альбитц. DNS и BIND. 5 изд. — Москва: Символ-Плюс, 2008, 712 с.Д. Колисниченко. F reeBSD.
От новичка к профессионалу. — Москва: БХВ-Петербург, 2011, 544 с.М. Фленов. L inux глазами хакера. —
Москва: БХВ-Петербург, 2010, 480 с.П. Шетка. Microsoft Windows server 2003
Практическое руководство по настройки сети — Москва: Наука и техника, 2006, 608 с.М. Ногл, TCP/IP. Иллюстрированный учебник. — Москва: ДМК Пресс, 2011, 480 с.Л. Досталек, А. Кабелова, TCP/IP и DNS в теории и на практике. Полное руководство. —
Москва: Наука и техника, 2006 г. 608 с. Лора А. Чеппел, Эд Титтел. TCP/IP. Учебный курс. -
Москва: БХВ-Петербурб, 2003, 437 c.Р. Моримото, М. Ноэл, О. Драуби, Р. Мистри, К.
Амарис. W indows Server 2008 R2 Unleashed. — Москва: Вильямс, 2011, 1456 с. Свободная энциклопедия —
http://ru.wikipedia.orgБаза знаний Microsoft —
http://msdn.com
