Продолжение темы DNS. Начало смотрите здесь.
Как мы говорили в предыдущих темах DNS по сути это распределенная база данных. Почему распределенная база данных мы тоже обсуждали, но кто забыл напомню что распределенные базы данных не хранятся в одном месте а распределены по всей сети как локальной так и глобальной. Под глобальной я имею ввиду интернет который и есть - сеть сетей.
Еще мы знаем что, зона есть основной административный элемент и так же представляет собой распределенную базу данных. Но зона не ограничивается размерами домена. Зона может хранить базу данных как одного какого либо домена различного уровня так и множество доменов может хранится в одной зоне. А так же может хранить информацию только части домена. Деление доменного пространства имен происходит в первую очередь для удобства администрирования и исходя из технических возможностей, таких как допустим, какой либо сервер DNS не справляется с трафиком запросов по разрешению имен. DNS база данных, которая так же стоит в основу базы данных зоны, как любая база данных содержит записи. Но в отличие от обычных баз данных записи базы данных DNS называются ресурсными записями (resourse records).
Хотя ресурсных записей порядка около 20 типов все они имеют одинаковый синтаксис следующего вида:
Характеристика полей ресурсных записей приведена в таблице 1.
Таблица 1.
Существует порядка более 20 типов ресурсных записей. Основные записи приведены в таблице 2.
Таблица 2.
Не будем останавливается на перечисление всех типов ресурсных записей DNS. Остановимся на основных или часто используемых ресурсных записях.
Рассмотрим запись типа SOA (Start of Autoriti). Нужно отметить что любая зона DNS содержит одну такую запись. В нашем примере мы на сервере под именем SERVER1 развернули DNS сервер зоны нашей приславутой фирмы "Рога и Копыта" и соответствующий ей домен RK.COM смотрите рисунок 1.
Рисунок 1. Если мы встанем на данную запись и кликнем по правой кнопки мыши у нас откроется такое окно смотрите рисунок 2.
Рисунок 2.
На вкладке "Начальная запись зоны (SOA)" мы увидим основные характеристики данной ресурсной записи. Рассмотрим основные из них.
Один из важнейших параметров является "Серийный номер" или номер версии (serial namber) зоны. Зачем нужен данный номер и почему он так важен. А дело в том что данный номер позволяет всем клиентам или другим DNS серверам зоны обнаружить изменения содержимого зоны. Дополнительные носители зоны периодически сверяют номер собственной копии с номером зоны основного носителя. Если эти номера не соответствуют то включается механизм передачи зоны который мы рассмотрим далее. Номер версии на основном носителе зоны с каждым изменением увеличивается. Тут принцип такой что - номер версии после изменения больше чем до изменения.
Передача зоны
В любой зоне могут быть больше чем один DNS сервер которые и будут носителями зоны. Но в каждой зоне будет один главный сервер носителя зоны, он и будет основным сервером имен (Primary Name Server) и такой сервер является единственным сервером для всей зоны. Только на данном сервере база данных позволяет читать и писать в ней, (зона на основном сервере имен называется основной зоной - primary zone). На остальных или дополнительных носителей зоны информация только читается. Для каждой зоны важно что бы информация находящиеся в базе данных зоны была идентична или скажем проще одинакова на всех серверах являющимися носителями зоны или дополнительными серверами DNS.
Процесс синхронизации или приведения баз данных зоны в одинаковое состояние между множеством носителей зоны называется передачей зоны (Transfer Zone) или зонной передачей. Так как изменения могут вносится только в копии основного носителя зоны, передача зоны иди процесс приведения копии баз данных к одинаковости всегда происходят в направлении от основного носителя зоны к дополнительным. То есть основной носитель зоны последовательно передает измененную копию зоны каждому дополнительному носителю зоны. Базовым считается режим передачи в котором передается вся копия зоны целиком.
Время от времени дополнительные носители зоны обращаются к основному носителю зоны и сравнивают свой "серийный номер" с "серийным номером" основного носителя. Если серийный номер дополнительного носителя зоны меньше чем серийный номер основной зоны, дополнительные носители запрашивают передачу зоны.
Периодичность этих обращений к основному носителю зоны определяется значением указанным в "Интервал обновления" смотрите рисунок 2 (подчеркнуто красным).
С другой стороны дополнительные носители помимо их самостоятельного обращения к основному носителю зоны могут быть извещены ( Уведомлены) (notify) основным носителем о факте изменения зоны. (Как настраивается уведомление смотрите здесь).
Если после запроса на передачу зоны от основного носителя к дополнительному носителю по каким - то причинам не началось дополнительные носители зоны повторяют свой запрос через определенные промежутки времени, называемые "Интервалом повтора" которые мы так же можем задавать или оставлять таким какой он по умолчанию смотрите рисунок 2.
Если зона не была обновлена после интервала указанного в поле "Срок истекает после" смотрите рисунок 2, то зона считается устаревшей и не может быть использована для разрешения имен.
Все эти интервалы перечисленные выше такие как "Интервал обновления", "Интервалом повтора", и "Срок истекает после" определяются на уровне всей зоны посредством корректировки или оставления по умолчанию параметров записи SOA которые показаны на рисунке 2, исходя из конкретной ситуации которая у нас имеется.
Передача зоны инициируется при следующих обстоятельствах. - истекает интервал обновления зоны;
- основной носитель зоны уведомляет (извещает) (notify) дополнительные носители о том что информация о зоне изменилась;
- для зоны был внедрен еще один или несколько дополнительных носителей зоны. В этом случае необходимо создать на этих дополнительных носителях копию зоны;
- администратор по собственной инициативе инициирует процесс передачи зоны.
Служба DNS в Windows Server 2003 позволяет помимо базового режима в котором при передачи зоны передается вся копия зоны целиком, так же передачу зоны частично - то есть только передачу изменений. Такой процесс передачи зоны для синхронизации копий зоны называется "инкрементной передачей зоны". Данное нововведение в 2003 сервере позволяет значительно снизит трафик между DNS серверами поскольку в большинстве случаев все изменения в зоне сводятся всего лишь к добавлению или удалению одной или нескольких записей. В таких ситуациях нет необходимости для передачи зоны целиком. Хочется добавить что режим инкрементной передачи зоны возможен лишь в том случае если все DNS сервера поддерживают данный режим так как в сети могут быть различные реализации DNS серверов.
DNS-сервер Windows Server 2003 поддерживает интегрированные (integrated) зоны Active Directory, в которых регулярная зонная передача заменена репликацией Active Directory.
Зоны полномочий
Чтобы полностью понимать DNS, вы должны познакомиться с зонами полномочий (zones of authority) и полномочными (authoritative) (авторитарный или авторитетный) серверами имен. Каждый основной и дополнительный серверы имен являются полномочными для своего домена. Например, если DNS-сервер содержит зонные файлы для домена RK.COM, то этот сервер является полномочным сервером имен для этого домена. Как полномочный сервер имен он не будет отправлять никаких запросов о хостах этой зоны другим DNS-серверам так как эти хосты находятся в его собственной зоне. Многие фирмы устанавливают конфигурацию DNS-сервера так, как показано на рисунке 3. В такой конфигурации имеются два основных DNS-сервера (то есть и тот первый и второй настроены так что они есть авторитарными серверами для зоны который содержит разрешение имен (вроде бы так не должно быть скажете вы, но оказывается можно)) , сконфигурированные для домена RK.COM. Допустим DNS1 содержит запись хоста для сервера по имени Web1.RK.COM (к примеру так мы его настроили), a DNS2- этой записи не имеет. Когда клиент соединяется с DNS1, он сможет разрешить IP-адрес для Web1. Когда клиент соединяется с DNS2 и запрашивает IP-адрес для Web1, сервер ответит, что хост не может быть найден. А не может быть найден по причине что DNS2 анализирует поступивший запрос, смотрит по записи SOA и видет что он отвечает за данную зону,...проверяет записи из зоны по разрешении данного имени...а там просто такого имени и IP нет. Поскольку DNS2 сервер является полномочным для домена RK.COM, он не будет отправлять запросы серверу DNS1. Такое поведение заложено в самой конфигурации и, это дает определенное преимущество в безопасности.
Рисунок 3.
Сервер DNS1 находится с внутренней стороны брандмауэра, а сервер DNS2 - с его внешней стороны. Сервер DNS2 используется для разрешения DNS-запросов клиентов интернета, в то время как DNS1 используется для внутренних клиентов и для SRV-записей Active Directory. Поскольку оба сервера полномочны для одной и той же зоны (RK.COM), они не будут отправлять запросы об этом домене друг другу. В этом случае необходимо поддерживать уникальную зонную информацию на каждом DNS-сервере. Внешний DNS-сервер, вероятно, будет иметь относительно маленький зонный файл, состоящий из веб-серверов и МХ-записей, которые должны быть доступны из интернета. Внутренний DNS-сервер будет иметь намного больший зонный файл, содержащий все записи контроллера домена, все внутренние записи сервера и, возможно, записи хоста для всех клиентских компьютеров в сети. Единственное дублирование между двумя зонными файлами может состоять из некоторых внешних записей DNS. Например, когда внутренние клиенты соединяются с www.rk.com, вы можете потребовать, чтобы они соединялись с тем же внешним веб-сервером, к которому обращаются интернет-клиенты. Для этого нужно включить запись хоста для вебсервера в зонный файл на DNS1. Если вы не сделаете этого, то внутренние клиенты не смогут соединяться с веб-сервером.
Продолжение читайте здесь
|