Настройка DNS сервера.

В случае отсутствия необходимости использования корневых ссылок, необходимо выбрать опцию «не использовать рекурсию для этого домена». В таком случае для удовлетворения запросов будет использоваться собственный кэш DNS-сервера и информация, получаемая от серверов, из списка «Домен DNS». В случае невозможности удовлетворения запроса, сервер не будет пользоваться другими средствами, и сервер произведет соответствующее уведомление клиента. При необходимости возможно ручное добавление записей о корневых ссылках, например в ситуации, когда в рамках системы ActiveDirectoryорганизации функционирует корневой DNS-сервер.Остальные вкладки окон предоставляют информацию по обеспечению аудита и настройке безопасности, и являются отдельной темой для рассмотрения. Конфигурация сервера BINDУстановка программного пакета BINDДля ознакомления с принципами настройки DNS сервером под *nix систем целесообразно выбрать наиболее часто встречающуюся реализацию named, входящую в пакет BIND, функционирующую на большинстве корневых DNS-серверов. Сервер namedимеет широкие возможности конфигурации. Его можно использовать как главный, резервный или кэширующий DNS сервер[7].Настройка программного обеспечения в *nixсистемах происходит посредством записи настроек в специальные файлы, откуда впоследствии происходит чтение параметров[8].Аналогично для настройки программы named, необходимо внести требуемые изменения в файл конфигурации в соответствии с требуемым синтаксисом. Последней версией пакета BIND является девятая версия, поэтому процесс настройки будет рассмотрен применительно к ней. При работе named используются следующие компоненты:файл начальной загрузки буфера (cache);файл конфигурации named (named.boot);файлы, содержащие описания "прямых" и "обратных" зон;Для начала использования программного пакета BIND необходимо произвести его получение из репозитория. Для этого необходимо выполнить следующую команду[4]:sudoaptitudeinstallbind9 dnsutilsКонфигурирование демона «named»После получения программного пакета и его установки можно переходить к конфигурированию. Файлы с настройками хранятся в директории /etc/bind[14]. Переход в каталог с конфигурационными файлами программного пакета BIND осуществляется следующей командой:cd /etc/bindПроцесс формирования файла настроек программного пакета BIND будет рассмотрен с точки зрения создания конфигурации основного DNS-сервера.В каталоге программного пакета создадим подкаталог, для размещения создаваемых конфигурационных файлов с именем организация. sudo mkdir masterПример конфигурирования файла «named.conf.options»Для осуществления настроек необходимо внести правки в файл named.conf.options. Пример конфигурационного файла, для рассматриваемого в курсовой работе случая может выглядеть следующим образом:options { directory "/var/cache/bind" forwarders {  99.77.55.33;  99.77.55.34;  192.168.0.1; }; allow-query { any; }; allow-transfer {  11.22.33.45;  192.168.0.2; };allow-recursion {  127.0.0.1;  192.168.0.0/24; }; notify yes; also-notify {  11.22.33.45;  192.168.0.2; }; auth-nxdomain no; listen-on-v6 { none; }; };После служебного словаforwardersосуществляется перечисление DNS серверов, используемых настраиваемым DNS-сервером при отсутствии информации в собственной базе данных или в сохраненном кэше. На практике в этот список попадают ip-адреса DNS-серверов провайдера, DNS-сервера контроллеров домена или других DNS-серверов[21]. Например возможно использование DNS-серверов компании Google, имеющих ip-адрес «8.8.8.8».Служебное слово allow-queryпозволяет ограничить список узлов, которым будут доступно посылать запросы DNS-серверу. Значение «any» в данном случае означает, что запросы может посылать любой узел. Служебное слово allow-transferподразумевает возможность задания списка DNS-серверов, которым будут отправлены обновления, в случае изменения данных о доменах в зоне ответственности настраиваемого сервера. Служебное слово allow-recursionпозволяет ограничить прием рекурсивных DNS-запросов. Прием будет производить только от узлов, указанных в качестве параметра данного служебно слова[20]. При обработке строки «notifyyes»сервер DNSпри изменении зоны, будет производить попытки оповещения зависимых от него сервером, с целью предоставления им актуальной информации, с требованием обновления необходимых записей.  Служебное слово «also-notify» позволяет произвести оповещение серверов при изменении содержимого в записях DNS-сервера, не обозначенных как подчиненные.Строка «auth-nxdomain» определяет порядок аутентификации для доступа к серверу. В данном примере аутентификация отменена, но что указывает служебное слово «no».Служебное слово «listen-on-v6» позволяет определить возможно ли осуществление работы с узлами по протоколу IPv6. В данном примере работа по протоколу IPv6 отключена, на что указывает параметр «none»[9].После внесения требуемых изменений необходимо сохранить файл и продолжить настройку сервера.Пример конфигурирования файла «named.conf»Следующим файлом, в который необходимо внести изменения является файл «named.conf». Примерный вариант фрагмента содержимого файла «named.conf» представлен ниже:include "/etc/bind/named.conf.options";include "/etc/bind/named.conf.local";include "/etc/bind/named.conf.default-zones";include "/etc/bind/named.conf.zones";В данном случае в файл добавлена строка «include"/etc/bind/named.conf.zones";» ссылающаяся на файл, в который впоследствии будут добавлены доменные зоны для настраиваемого сервера. Далее создадим файл /etc/bind/named.conf.zones и добавим в него зону «organization.com»:zone "organization.com " { type master; file "/etc/bind/master/organization.com ";};Данная зона описана как «master». Это означает, что настраиваемый сервер является авторитетным сервером зоны, и остальные серверы зоны будут получать обновления именно от него. Пример конфигурирования файла зоныДалее необходимо перейти к созданию файла, определяющего настройки созданной зоны. Для создания файла необходимо выполнить последовательность команд:cd /etc/bind/mastersudotouchorganization.comВ файле «organization.org» должны присутствовать следующие настройки:$ORIGIN .$TTL 3600organization.com.   IN SOA ns1.domain.ru. webadmin.domain.ru. (                               2011080901 ; serial                               28800      ; refresh (8 hours)                               7200       ; retry (2 hours)                               604800     ; expire (1 week)                               86400      ; minimum (1 day)                        )                        NS ns1.domain.ru.                        NS ns2.domain.ru.                        A  192.168.0.2                        MX 10 mail.domain.ru.$ORIGIN organization.com.ftp                     A       192.168.0.51mail                    A       192.168.0.3www                     CNAME   organization.com.В данном файле при помощи служебного слова «ORIGIN» определяется корневой DNS-сервер «.».Далее указывается время жизни ресурсных записей, хранимых на сервере. Данная настройка осуществляется командой «TTL 3600». Затем следует фрагмент файла, в котором задаются временные характеристики обновлений ресурсных записей сервера.После этого, с помощью команды «NS»определяются вышестоящие DNS сервера. В данном примере вышестоящими серверами являются «ns1.domain.ru»и «ns2.domain.ru». При помощи команды «А» задается ip-адрес сервера. При помощи записи «MX 10 mail.domain.ru.» определяется почтовый сервер для данного домена. Последние три строки определяют поддомены созданного домена «ftp.organization.com», «mail.organization.com»и «www.organization.com».После внесения изменений в конфигурационный файл его необходимо сохранить и закрыть. Применение настроек и проверка конфигурацииДля того чтобы DNS-сервер named пакета BIND осуществил повторное считывание настроек из конфигурационных файлов и начал их использование необходимо выполнить следующую команду[11]: sudo rndc reloadПосле считывания и применения вновь созданной конфигурации необходимо убедиться в ее работоспособности. Для этого необходимо выполнить следующую команду, позволяющую получить от сервера по адресу «127.0.0.1»ip-адрес узла с именем organization.com[4]:nslookup organization.com 127.0.0.1Результатом выполнения данной команды является ответ сервера и предоставление инициатору запроса ip-адреса, записанного в соответствующем конфигурационном файле (в рассматриваемом примере данный адрес – 192.168.0.2).Таким же образом возможно создание других зон. Необходимо отметить, что при изменении доменных зон необходимо увеличивать серийный номер доменной зоны, для фиксации изменений в ней и предоставления DNS-серверу возможности оповещения зависимых от него DNS-серверов об изменениях[10]. ЗаключениеВ курсовой работе были рассмотрены теоретические вопросы функционирования системы DNS и их практическая реализация. В рамках рассмотрения теоретических основ функционирования системы DNS обозначены документы, регламентирующие использование протокола: серия документов IETF – RFC 1034, RFC 1035, RFC 1591, RFC4033, RFC 4035. Данные документы содержат как основные понятия, касающиеся функционирования протокола, так и детальное описание применяемых в DNS механизмах, например расширений безопасности, описанных в RFC 4035. Необходимо отметить, что приоритет при изучении литературы по данному вопросу отдавался документам IETF, так как они являются первоисточниками при рассмотрении вопросов, связанных с функционированием DNS. Практическая работа по настройке оборудования, выполняющего функции DNS-сервера была разделена на две части. В рамках первой части был рассмотрен порядок конфигурирования DNS сервера, входящего в комплект поставки операционной системы MicrosoftWindows 2003 Server.Настройка DNS-сервера в данном случае осуществлялась с учетом его функционирования в рамках домена, управление которым осуществлялось с помощью системы ActiveDirectory. Кроме системы ActiveDirectoryбыла также произведена настройка DHCP-сервера.Вторая часть освещает порядок конфигурирования DNS-сервера named, входящего в программный пакет BIND. Данный программный пакет широко распространен среди пользователей использующих *nix подобные операционные системы и добавлен в большинство репозиториев программного обеспечения. В отличие от DNS-сервера Microsoftвходящего в состав Windows 2003 ServerDNS-сервер namedне имеет графического интерфейса для конфигурирования и как следствие требует более высокой квалификации пользователя. Необходимо отметить достоинства и недостатки каждого из рассмотренных вариантов. Графическая среда, представляемая операционной системой MicrosoftWindowsпозволяет повысить удобство при конфигурировании сервера, а встроенная система справки оперативно получить системному администратору информацию по настраиваемым параметрам и рекомендуемые значения настроек в каждом конкретном случае. Однако рассматривая функциональную сторону, можно сделать вывод о значительном превосходстве в производительности и потреблении ресурсов DNS-сервера named. Высокая производительность сервера named обуславливает его широкое применение в высоконагруженных системах, об этом свидетельствует тот факт, что программный пакет BIND и DNS-сервер named функционируют на 10 из 13 корневых DNS-серверов. С другой стороны DNS-сервер named требует от системного администратора специальных навыков и, по крайней мере, базовых знаний в области работы с *nix системами. При записи информации в конфигурационные файлы возможны как синтаксические, так и логические ошибки которые могут стать причиной некорректной работы сервера. Другим весомым недостатком DNS-сервера ОС Microsoft 2003 Serverявляется обязательность установки и минимального конфигурирования служб, без которых DNS-сервер не будет установлен, например DHCP и ActiveDirectory. В заключение необходимо отметить, что в обеих реализациях DNS-серверов присутствуют функции контроля работы и протоколирования событий, связанных с функционированием DNS-серверов. Данная возможность, в случае если ей не пренебрегает системный администратор, позволяет эффективно устранять неполадки и оптимизировать работу сервера.Список использованной литературы.RFC 1034 — Доменные имена — Основные понятия. IETF. 1987.RFC 1035 — Доменные имена — Применение и спецификации. IETF. 1987.RFC 1591 — Доменные имена — Структура и делегирование IETF. 1983.RFC 4033 – DNS введение в безопасность и требования. 2005.RFC 4035 – Модификация протокола для расширений безопасности DNS. 2005.В. Олифер, Н. Олифер. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. 4-е изд. - Санкт-Петербург: Питер, 2010, 944 с.Дж. Буравчик. Локальная сеть без проблем: подробное иллюстрированное руководство – Москва: Лучшие книги, 2005, 224 с.У. Одом. Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 – Москва: Вильямс, 2009, 664 с.Э. Немет, Г. Снайдер, Т. Хейн. Руководство администратора Linux. Установка и настройка. – Москва: Вильямс, 2011, 1072 с.К. Хант, TCP/IP — Сетевое администрирование - Москва: Cumbo, 2008, 816 c. А. Стахнов. Сеть для офиса и LINUX-сервер своими руками. - Москва: БХВ-Петербург, 207, 320 с.А. Старовойтов. Сеть на LINUX. Проектирование, прокладка, эксплуатация - Москва: БХВ-Петербург, 2010, 288 с.Т. Адельштайн, Б. Любанович. Системное администрирование в Linux. – Санкт-Петербург: Питер, 2009, 288 с.К. Ли, П. Альбитц. DNS и BIND. 5 изд. — Москва: Символ-Плюс, 2008, 712 с.Д. Колисниченко. FreeBSD. От новичка к профессионалу. — Москва: БХВ-Петербург, 2011, 544 с.М. Фленов. Linux глазами хакера. — Москва: БХВ-Петербург, 2010, 480 с.П. Шетка. Microsoft Windows server 2003. Практическое руководство по настройки сети – Москва: Наука и техника, 2006, 608 с.М. Ногл, TCP/IP. Иллюстрированный учебник. – Москва: ДМК Пресс, 2011, 480 с.Л. Досталек, А. Кабелова, TCP/IP и DNS в теории и на практике. Полное руководство. — Москва: Наука и техника, 2006 г. 608 с.Лора А. Чеппел, Эд Титтел. TCP/IP. Учебный курс. – Москва: БХВ-Петербурб, 2003, 437 c.Р. Моримото, М. Ноэл, О. Драуби, Р. Мистри, К. Амарис. Windows Server 2008 R2 Unleashed. – Москва: Вильямс, 2011, 1456 с.Свободная энциклопедия – http://ru.wikipedia.orgБаза знаний Microsoft – http://msdn.com