Ten rozdział dotyczy instalowania i konfigurowania serwera DNS w Windows 2000. Przedstawiono tutaj omówienie sytuacji, w których różnorodne funkcje powinny lub nie powinny być używane, lecz nacisk został położony na zaznajomieniu się z serwerem przy założeniu, że projektowanie i planowanie przeprowadzono przed użyciem.
W rozdziale niniejszym omówiono następujące tematy:
§ Przed instalacją. Krótkie przypomnienie etapów przygotowania umożliwiających o wiele prostszy proces instalacji usług DNS.
§ Instalacja serwera DNS Windows 2000. Opisano tutaj kroki wymagane przy uruchomieniu DNS-u w Windows 2000 w minimalnej konfiguracji.
§ Konfiguracja serwera DNS. Spojrzenie na właściwości serwera.
§ Zakładanie strefy, poddomeny i manualne tworzenie rekordów zasobów (RR). Pokrótce przedstawia sposób zapełnienia lokalnego serwera.
§ Integracja z Active Directory. Spojrzenie na ustawienia i skutki użycia magazynu danych Active Directory.
§ Typy serwerów. Spojrzenie na konfigurację serwera w stosunku do innych serwerów
§ Czystość strefy. Krótkie omówienie oczyszczania (scavenging).
§ Funkcje pomocnicze. Wymienia niektóre programy obsługi przeznaczone do zarządzania serwerem i zrozumienia jego działania.
Rozdział niniejszy ma za zadanie skorzystać z informacji przedstawionych w poprzednich rozdziałach i pogłębić je. DNS jest bezsprzecznie najbardziej popularną i rozpowszechnioną usługą zarządzania przestrzenią nazw. W Windows 2000 DNS-owi przydzielono bardziej znaczącą rolę niż, przypuszczalnie, kiedykolwiek dotychczas, a zdecydowanie ważniejszą niż we wszystkich uprzednich wersjach Windows.
Początkowo jednym z głównych powodów korzystania z usługi DNS było ułatwienie identyfikacji swojego systemu indywidualnie przez administratora czy użytkownika. Wprowadzenie w swoim czasie do gry DNS-u spowodowane było przybraniem przez pojedynczy plik HOSTS.TXT, używany w starej metodzie, zbyt dużej objętości, przez co znajdowanie nazw komputerów zaczęło być coraz trudniejsze i mniej wydajne. Przed wprowadzeniem DNS-u, w metodzie opartej o plik HOSTS.TXT przestrzeń nazw była płaska, przez co poszczególne nazwy mogły być przydzielane tylko pojedynczym hostom a najpopularniejsze nazwy zostały szybko zajęte.
Wystarczy wyobrazić sobie posiadanie 300 nienazwanych komputerów w kilku różnych podsieciach, aby zrozumieć sensowność usług nazewniczych. Byłoby to trochę jak konieczność pamiętania trzystu numerów telefonów nie dysponując książką telefoniczną. W chwili obecnej wiele usług w pełni oczekuje, a w niektórych przypadkach wymaga nazwy; wobec tego istnienie narzędzia zarządzającego przestrzenią nazw jest oczywiste.
Proszę wyobrazić sobie 300 zaawansowanych systemów klienckich w środowisku typu klient-serwer o rozproszonych zabezpieczeniach, z których to klientów każdy regularnie wyszukuje zasoby i korzysta z nich. Teraz proszę sobie wyobrazić że zasoby pojawiają się i znikają, ogłaszając swoją obecność gdy są dostępne i zdejmując wywieszkę podczas niedostępności. W tym momencie zaczyna się ujawniać znacząca rola DNS-u w architekturze Windows.
Na tym etapie czytelnik powinien bardzo dobrze rozumieć swoją sieć i zadania, które ma ona spełniać. Struktura Active Directory powinna również być już rozpisana zarówno logicznie, przez określenie granic przestrzeni nazw, jak fizycznie, przez rozmieszczenie serwerów i przydzielenie do nich stref. Konfigurowanie usługi DNS Microsoftu jest dość nieskomplikowane. Instalacja jest tak łatwa, że może uśpić czujność administratora. Proszę jednak nie dać się oszukać. Jeśli usługa nie została prawidłowo zaprojektowana lub skonfigurowana, czytelnik zmuszony będzie cofnąć się i przy odrobinie szczęścia przeprowadzić wszystko od początku; przy braku szczęścia — nakładać łaty na popełnione błędy.
Niezbędna jest tutaj nie tylko dość dobra wiedza o sieci i celach które chcemy osiągnąć, lecz również o łączności i jej wpływie na instalację. Powodów jest nieskończenie wiele; niektórymi z nich jest użycie zapór, specjalnych sieci łączonych mostami i (lub) ruterami, łącza do odległych klientów i schematy dostępu i obciążenia sieci przez klientów. Do tego momentu należy również podjąć decyzje o zastosowaniu (lub nie) Active Directory i dynamicznego DNS-u, oraz o zamierzonym sposobie ich skonfigurowania.
Rozdział bieżący został napisany dla osób przygotowanych i dysponujących jasnym planem.Przedstawiony tutaj został proces instalacji DNS-u Windows 2000 w środowisku o nielimitowanym dostępie do sieci, to znaczy posiadającym pełną łączność z Internetem i wewnętrzną lokacją. Zagadnienia planowania i projektu, ochrony przestrzeni nazw i inne grające tu rolę zostały omówione w rozdziałach 7 – “Dynamiczny DNS i Active Directory”, 9 – “Projektowanie usług DNS” i 10 – “Zagadnienia bezpieczeństwa”. Największym wyzwaniem będzie (a właściwie powinno już zostać zakończone) odpowiednie rozplanowanie domen pod względem delegacji lub ich braku, oraz rozmieszczenie serwerów i stref. Dla tego zadania położenie każdego serwera i klienta w sieci powinno zostać gdzieś rozrysowane, poza wyobraźnią projektanta.
Teraz już pora zainstalować DNS.
Jeśli cokolwiek zostało w Windows 2000 zamienione w doświadczenie nie wymagające myślenia, to właśnie instalacja różnorodnych usług sieciowych. Została ona uproszczona do tego stopnia, że użytkownik może uwierzyć iż obsługa tych usług jest równie prosta. Chociaż nie jest to trudne, obsługa zainstalowanych składników wymaga dobrego ich zrozumienia oraz dobrze skonfigurowanej instalacji.
Wymagania wstępne są podobne jak przy instalowaniu większości oprogramowania usługowego. Potrzebny jest zainstalowany Windows 2000 Server ze skonfigurowanym protokołem TCP/IP. Jeśli serwer nie korzysta dotąd z przydzielonego statycznie adresu IP, należy to zrobić. Nazwa używana dla hosta powinna być stała; zmiana nazwy lub adresu IP po ich rozgłoszeniu wśród klientów może być mniej łatwa i wygodna. Korzystać trzeba z konta posiadającego uprawnienia administracyjne; poza tym jednak niewiele pozostaje do wzięcia pod uwagę. Samo oprogramowanie ma niewielką objętość a komputer już został wybrany. Na wyborze tym powinien jednak zaważyć duży rozmiar pamięci operacyjnej, ponieważ DNS usiłował będzie dla poprawy wydajności zapisać w niej bazę danych, korzystając z pamięci RAM którą możemy mu przydzielić. Oczywiście jest to proporcjonalne do rozmiarów strefy, podobnie jak miejsce potrzebne na partycji rozruchowej lub — w przypadku integracji z Active Directory — na dysku gdzie zapisany jest plik NTDS.DIT.
Proces instalacji, jak już wspomniano, jest bardzo podobna jak w przypadku innych usług sieciowych, a rzeczywisty wkład pracy wymagany jest dopiero w konfigurację po zainstalowaniu. Rysunek 11.1 przedstawia okno dialogowe konfiguracji Usługi sieciowe, w którym pojedyncze pole wyboru decyduje o zainstalowaniu DNS-u. Można skorzystać z Kreatora składników systemu Windows lub postępować zgodnie z poniższymi krokami:
Konieczny wymóg usługi serwera DNS
Każdy komputer służący jako serwer DNS musi mieć statycznie przydzielony adres IP. Nazwę i adres komputera trzeba wybrać tak, aby jedynie w rzadkich przypadkach — jeśli w ogóle — pojawiała się konieczność ich zmian.
Rys. 11.1 Wybór DNS-u w oknie dialogowym składników sieci
1. Otwórz Panel sterowania.
2. Uruchom aplet Dodaj/usuń programy
3. Użyj ikony Dodaj/usuń składniki Windows po lewej stronie aby uruchomić Kreatora składników systemu Windows
4. Przewiń do pozycji Usługi sieciowe i wybierz ją.
5. Użyj przycisku Szczegóły aby otrzymać listę usług sieciowych.
6. [przewiń i]
W wersji polskiej przewijanie niepotrzebne.
7. Zaznacz pole wyboru przy System DNS (Domain Name System).
8. W tym momencie wystarczy zakończyć wykonywanie Kreatora składników systemu Windows za pomocą przycisków Dalej i (lub) Zakończ, zależnie od innych opcji wybranych podczas pracy w kreatorze.
Podobnie jak z wieloma innymi zadaniami w Windows 2000, nawigacja w interfejsie możliwa jest na szereg sposobów. W powyższym przypadku, szybsza alternatywa w miejsce kroków od 1 do 3 wygląda następująco:
1. Użyj menu podręcznego (prawy przycisk myszy) w Moje miejsca sieciowe i wybierz Właściwości. Otwiera to okno Eksploratora zogniskowane na Połączenia sieciowe i telefoniczne.
2. W głównym pasku menu otwórz menu Zaawansowane i wybierz Opcjonalne składniki sieci.
Po zainstalowaniu DNS-u można zacząć pracę. Oczywiście pracę administratora. Jedynie w przypadku samego serwera buforującego zadanie jest niemal ukończone.
Co wobec tego się wydarzyło? Cóż, oczywiście serwer DNS został zainstalowany i powinien już działać. Lecz zaszedł jeszcze szereg innych zdarzeń. W menu Start pojawił się nowy wybór a w kilku przystawkach konsoli zarządzania Microsoftu nowe wpisy. Została założona nowa struktura podkatalogów %windir%\system32\dns, będąca domyślnym położeniem plików używanych przez serwer DNS. Ponadto informacje o serwerze DNS są w tej chwili zapisane w Rejestrze pod HKLM\System\CurrentControlSet\Services\DNS.
Na koniec, w Monitorze systemu zainstalowana została obsługa pewnych nowych liczników oraz, prawdopodobnie, za kulisami dokonany został szereg innych poprawek w systemie.
W pierwszej kolejności trzeba uzyskać dostęp do głównego narzędzia – konsoli zarządzania serwerem DNS. Można ją znaleźć w menu Start w folderze Narzędzia administracyjne. Wystarczy poszukać opcji DNS. Można ją uruchomić z pola Uruchom lub z wiersza poleceń, wpisując dnsmgmt.msc. Narzędzie to jest punktem wyjścia dla większości zadań administracyjnych, chociaż nie należy przeoczyć DNSMGMT.EXE dla zarządzania za pomocą skryptów (patrz rozdział 12 – “Wsparcie usług DNS w Windows” i 13 – “Najważniejsze wskazówki i konserwacja systemu”).
W konsoli zarządzania można administrować wieloma serwerami DNS, z których jeden może być lokalny a reszta zdalna, lub wszystkie zdalne. Instalacja narzędzi administracyjnych w stacji roboczej (przepraszam, profesjonalnej stacji roboczej) umożliwi zarządzanie tymi usługami bez potrzeby obecności przy serwerze. Można je zainstalować znajdując ADMINPAK.MSI: albo na płycie CD Windows 2000 Server w katalogu .\i386, albo w katalogu %windir%\system32 zainstalowanego serwera, a następnie instalując w komputerze przeznaczonym do zarządzania [serwerem].
Aby zarejestrować serwer DNS do zarządzania, w pierwszej kolejności należy kliknąć węzeł na najwyższym poziomie, nazwany DNS, a następnie użyć albo menu podręcznego tego węzła, albo menu Akcja i wybrać Połącz z komputerem. Pierwsze doświadczenia pracy z konsolą mogą sprawiać wrażenie chaotyczności. Proszę zauważyć, że dostępne akcje są zależne od elementu aktywnego. Bardzo często trzeba najpierw kliknąć w węzeł, powodując jego rozwinięcie w prawym panelu (szczegółów), co spowoduje dostosowanie menu podręcznego do nowego elementu aktywnego.
W otwartej konsoli zarządzania DNS proszę wybrać menu Widok. W tym menu można zmienić opcje poleceniem Dostosuj, lecz warto prawdopodobnie wybrać Zaawansowane aby aktywować rozszerzone funkcje wyświetlania. Ten tryb widoku zaawansowanego umożliwia przeglądanie ujawnionego właśnie węzła o nazwie Wyszukiwania wprowadzone do pamięci podręcznej.
Dwa z bardziej popularnych sposobów dostępu do interfejsu zarządzania DNS-em to użycie dostosowanych przez siebie konsoli, oraz z konsoli Zarządzanie komputerem. Pierwszą konsolę należy wpierw utworzyć. Aby otworzyć drugą, można użyć menu podręcznego ikony Mój komputer i wybrać Zarządzaj, lub skorzystać z opcji menu startowego Uruchom i wystartować compmgmt.msc. Po otwarciu konsoli, DNS można znaleźć w węźle Aplikacje i usługi. W tej konsoli w wygodny sposób zostały zgromadzone w ramach jednego interfejsu dzienniki Podglądu zdarzeń i związane z nimi usługi takie, jak DHCP, WINS i DNS.
Aby czytelnik poczuł się pewnie, radzimy rozejrzeć się w interfejsie zarządzania. Zamierzamy zrobić wycieczkę po możliwościach DNS-u, lecz najpierw chcemy zwrócić uwagę czytelnika na kilka parametrów i poleceń. Proszę przyjrzeć się rysunkowi 11.2 który przedstawia menu podręczne węzła serwera.
Rys. 11.2 Menu serwera DNS dla węzła serwera
Opcja Wszystkie zadania została rozszerzona aby pokazać możliwości: Zatrzymaj, Uruchom, Wstrzymaj i Wznów [i Uruchom ponownie
Jest w serwerze; nie ma w książce.
] serwera. W głównej liście opcja Wyczyść pamięć podręczną daje możliwość oczyszczenia pamięci podręcznej resolwera DNS. Ponieważ w serwerze DNS Windows 2000 zaimplementowana jest specyfikacja NCACHE – buforowania odpowiedzi negatywnych, zdolność czyszczenia pamięci podręcznej może być przydatna częściej, zwłaszcza w środowiskach testowych przed wdrożeniem. Również w tym menu znajduje się opcja Aktualizuj pliki danych serwera, dająca możliwość zapisania siłą danych strefy i konfiguracyjnych do stałego magazynu danych tak, że wersja obecna w pamięci zostaje synchronizowana z wersją przechowywaną. Dwie opcje związane z oczyszczaniem (Ustaw przedawnienie/oczyszczanie dla wszystkich stref oraz Oczyść stare rekordy zasobów) powinny sugerować, że konsola ma umożliwić jak najbardziej bezbolesną obsługę dynamicznego DNS-u (DDNS). Opcja Konfiguruj serwer uruchamia kreatora (omówionego w dalszej części rozdziału), zaś temat tworzenia strefy ukryty w opcji Nowa strefa będzie pierwszy w kolejce do omówienia po tym, jak przyjrzymy się opcjom konfiguracji serwera.
Zanim pójdziemy dalej, pora zaznajomić się z sterowaniem na poziomie serwera, dostępnym w serwerze DNS Windows 2000. Rysunek 11.3 przedstawia widok okna dialogowego Właściwości serwera z wybraną zakładką Usługi przesyłania dalej (forwardery). Aby dostać się do okna dialogowego Właściwości serwera DNS, należy wykonać następujące czynności:
1. Otwórz interfejs zarządzania serwerem DNS.
2. Kliknij na właściwy serwer z wyświetlonych poniżej węzła głównego o nazwie DNS.
3. Użyj menu Akcja lub menu podręcznego (zaznacz i kliknij prawym klawiszem myszy) dla wybranego serwera.
4. Wybierz Właściwości.
Rys. 11.3 Zakładka forwarderów w oknie dialogowym Właściwości serwera DNS Windows 2000
Musimy zrobić krótką wycieczkę po dostępnych tutaj opcjach i ustawieniach. Są to ustawienia na poziomie serwera, co oznacza że wpłyną na cały serwer. Właściwości na poziomie strefy i rekordu będą omówione później.
Spoglądając na zakładkę Interfejsy widać, że można kontrolować interfejsy sieciowe na których serwer DNS będzie słuchać i odpowiadać. Do wyboru są albo całe interfejsy, albo ręcznie skonfigurowana lista adresów IP. Ponieważ jest to ustawienie na poziomie serwera, mówi nam że domyślnym zachowaniem serwera DNS jest udostępnianie wszystkich stref na wszystkich dozwolonych interfejsach.
Aby wprowadzone tu zmiany zostały zaprowadzone, trzeba zatrzymać i uruchomić ponownie serwer DNS. Można to zrobić w menu podręcznym serwera pod pozycją Wszystkie zadania.
W zakładce Usługi przesyłania dalej można aktywować korzystanie z forwarderów (patrz poprzedni rysunek 11.3). Można tu przypomnieć że forwarder to serwer DNS do którego serwer DNS przesyłający (ten właśnie zarządzany) wysyła zapytania otrzymane od resolwerów klientów. Serwer przesyłający w pierwszej kolejności sprawdza, czy może odpowiedzieć na zapytanie i przesyła dalej te, na które nie potrafi. Łatwo przeoczyć ten aspekt używania forwarderów: każde zapytanie, na które serwer nie jest w stanie w pełni odpowiedzieć, jest przesyłane dalej. W przypadku korzystania z forwarderów do łączenia ze sobą publicznej i wewnętrznej przestrzeni nazw DNS, komputer przesyłający powinien posiadać pełnomocnictwa dla wszystkich stref wewnętrznych, aby zapobiec przekazywaniu zapytań o nazwy wewnętrzne do zewnętrznych serwerów DNS.
Forwardery konfigurowane są przez aktywowanie tej funkcji w polu wyboru Włącz usługi przesyłania dalej a następnie utworzenie listy serwerów DNS, wpisując kolejno adresy IP i klikając przycisk Dodaj. Jak widać, można porządkować wymienione forwardery tak, że najwydajniejsze i najczęściej dostępne wymienione są na początku listy.
Serwer DNS wysyła zapytania do wymienionych komputerów. Opcja konfiguracji Limit czasu przesyłania dalej (sekundy) decyduje jak długo serwer DNS czeka na odpowiedź przed zastosowaniem innych środków w celu rozwiązania zapytania klienta.
W dolnej części okna, gdy forwardery są aktywne, dostępny jest wybór Nie używaj rekursji
Wolałbym “rekurencji” ale tak jest w oryginale
. Proszę zauważyć, że opcja ta wyklucza się wzajemnie z opcją Limit czasu przesyłania dalej. Wymaga to pewnych wyjaśnień. Jeśli opcja Nie używaj rekursji jest wybrana, serwer DNS jest podporządkowany (slave) forwarderom i nie wolno mu próbować na własną rękę rozwiązywania rekurencyjnego zapytań, lecz zmuszony jest do korzystania z forwarderów. Opcja ta jest chyba nieco źle nazwana – można się zastanawiać, co z zapytaniami iteracyjnymi zaczynającymi się od serwerów poziomu głównego w pliku wskazówek głównych? Może opcja powinna nazywać się Nie rozpoczynaj rozwiązywania. Opcja Nie używaj rekursji czyni z serwera DNS jedynie przesyłający serwer podporządkowany wyspecyfikowanym forwarderom.
Rysunek 11.4 przedstawia zakładkę zaawansowanych właściwości serwera DNS. Chociaż nie zajmujemy tutaj miejsca na zrzuty ekranów wszystkich opcji konfiguracyjnych, dzieje się tutaj całkiem sporo.
Jeśli porównać rysunek 11.3 z rysunkiem 11.4, można zauważyć dodatkową zakładkę Zabezpieczenia. Rysunek 11.3 pochodzi z serwera członkowskiego, rysunek 11.4 z serwera w kontrolerze domeny, skonfigurowanego do składowania danych strefy w Active Directory.
Rys. 11.4 Zakładka Zaawansowane w oknie dialogowym Właściwości serwera DNS Windows 2000
Lista rozwijana Sprawdzanie nazw w zakładce Zaawansowane kontroluje algorytm używany do analizy poprawności etykiet w nazwach DNS. Ustawienie Zgodne z RFC (ANSI) wymusza pełną zgodność nazw z normami RFC. Ustawieniem domyślnym jest Wielobajtowe (UTF8), które jest będącą w trakcie rozwoju opcją wsparcia międzynarodowego (patrz dodatek B – “Dokumenty RFC związane z usługą DNS”). Dwie pozostałe opcje, Nie-RFC (ANSI) i Wszystkie nazwy służą do bardziej swobodnego sprawdzania nazw i różnią się tym, że ostatnia wyłącza sprawdzanie, a poprzednia wymaga jedynie tworzenia etykiet z zestawu znaków ANSI. Dla pełnej współpracy z ogólnoświatowym DNS-em należy korzystać z ustawienia Zgodne z RFC (ANSI).
Prawdopodobnie pierwszą rzeczą na którą należy wskazać jest zdolność do skonfigurowania opcji serwera Załaduj dane strefy przy uruchamianiu. Dostępne są trzy możliwości wyboru: Z Rejestru, Z pliku i Z usługi Active Directory i Rejestru.
W tym miejscu konfigurowana jest integracja DNS-u z Active Directory. Opcja ta dokonuje wielu zmian, lecz jest zmieniana prostym przełącznikiem. Jak trafnie stwierdził mój recenzent, “Prosta zmiana z wieloma konsekwencjami”. Ponieważ rozdział 7 – “Dynamiczny DNS i Active Directory” poświęcony jest analizie najważniejszych z tych konsekwencji, poniższy opis ograniczamy do konfiguracji serwera DNS.
Przy wyborze Z pliku do definiowania ładowanych stref używany jest plik startowy zapisany w %windir%\system32\dns. Zmiana położenia danych wydaje się niemożliwa; korzystanie z polecenia katalogu w pliku startowym jest ignorowane a z użycia pełnych ścieżek dostępu także nie będzie pociechy. Jak dotąd, nie znaleziono udokumentowanych informacji o kluczach Rejestru pozwalających na przemieszczenie tego magazynu.
Przy wyborze Z rejestru strefy do załadowania są zdefiniowane w kluczu Rejestru, lecz dane strefy nadal znajdują się w plikach strefy, tych samych jak w przypadku opcji Z pliku — pod warunkiem, że nazwy plików nie zostały zmienione w kluczach Rejestru odpowiadających strefom. Jedynie przy składowaniu w Active Directory wspomniane pliki strefy wychodzą z użytku.
Przy przełączeniu z pliku na Rejestr, istniejący plik konfiguracyjny jest kopiowany do podkatalogu (.\backup), który w razie potrzeby zostaje utworzony. Podczas przełączenia z powrotem na składowanie w pliku, na podstawie Rejestru tworzony jest nowy plik startowy. Gdy korzysta się ze składowania w pliku, informacje o konfiguracji startowej w Rejestrze są synchronizowane z plikiem startowym.
W ustawieniu Z usługi Active Directory i Rejestru startowe dane konfiguracyjne są przechowywane w Rejestrze a dane strefy w Active Directory. W chwili przełączenia na to ustawienie dane strefy są przenoszone do składowania w postaci obiektów Active Directory i stają się dostępne dla narzędzi LDA...
paradoks24h