Що таке DNS сервер та їх адреси: від теорії до тонкого налаштування. Що таке ДНС-сервер, як дізнатися про адресу провайдера, замінити на Google Public DNS або альтернативні варіанти Додатковий dns

DNS (або також відома як Система доменних імен) - це система, яка зіставляє доменні імена, такі як Google.com або Yandex.ru, з правильними IP-адресами. Ця система є базою даних доменних імен та IP-адрес. Він використовується для ведення каталогу доменних імен та допомагає перетворити ці доменні імена на правильні IP-адреси.

Доменні імена — це легкочитані адреси, які ми використовуємо щодня. Наприклад, доменне ім'я Yandex - yandes.ru. Якщо ви хочете відвідати сайт Яндекс, просто введіть yandex.ru в адресний рядок веб-браузера.

Але ваш комп'ютер не знає, де знаходиться yandex.ru. За лаштунками ваш комп'ютер зв'яжеться з DNS-серверами і запитає, яка IP-адреса пов'язана з yandex.ru.

Після цього він підключиться до цього веб-сервера, завантажить вміст і відобразить у вашому веб-браузері.

У цьому випадку yandex.ru знаходиться за IP-адресою 77.88.55.70 в Інтернеті. Ви можете ввести цю IP-адресу у своєму веб-браузері, щоб відвідати веб-сайт Yandex. Однак замість 77.88.55.70 ми використовуємо "yandex.ru", тому що його легко запам'ятати.

Без DNS весь інтернет не буде доступним. Ми повернемося на той час, коли Інтернет ще не народився. І ваш комп'ютер може використовуватися тільки для створення документів або грати в автономні ігри.

Звичайно, це просто просте пояснення, насправді це трохи складно. Для отримання додаткової інформаціїя б порекомендував вам прочитати цю статтю або подивитися відео нижче.

Різні інтернет-провайдери використовують різні DNS-сервери. За промовчанням, якщо ви не налаштували певні DNS-сервери на своєму комп'ютері (або маршрутизаторі), будуть використовуватися DNS-сервери за промовчанням від вашого інтернет-провайдера.

Якщо ці DNS-сервери нестабільні, можливо, у вас виникли деякі проблеми під час використання Інтернету на комп'ютері. Наприклад, не може завантажити веб-сайти повністю або не має доступу до Інтернету. Щоб уникнути небажаних помилок DNS, перейдіть на загальнодоступні DNS-сервери, такі як Google DNS та OpenDNS.

Ось кілька поширених помилок, пов'язаних з DNS, які можна подивитися:

• Виправлена ​​помилка пошуку DNS у Google Chrome
• Як виправити помилку Err_Connection_Timed_Out
• Як виправити помилку Err_Connection_Refused
• Виправити Dns_Probe_Finished_Nxdomain Помилка
• Виправити DNS-сервер не відповідає на Windows

Ви можете виправити ці помилки, перейшовши на сторонні сервери DNS у списку нижче.

Переваги використання публічних DNS-серверів

Ви можете запитати, чи є у вашого інтернет-провайдера DNS-сервери за промовчанням, навіщо вам ці публічні DNS-сервери? Ось причини, чому ви повинні використовувати ці альтернативні сервери DNS:

• Деякі DNS-сервери за умовчанням недостатньо швидкі, а іноді їх час минув. При цьому ваше інтернет-з'єднання не є стабільним. Переключення на ці швидкі DNS-сервери допоможе підвищити швидкість вашого інтернету.
• Використання загальнодоступних DNS-серверів допоможе покращити стабільність.
• Деякі сторонні DNS-сервери мають функції захисту та фільтрації. Ці функції допоможуть вам захистити ваш комп'ютер від атак фішингу.
• Це допоможе вам пройти через обмеження щодо змісту географії та веб-інспекцій. Наприклад, ви можете легко дивитися відео на YouTube, коли на ньому написано: "Це відео недоступне у вашій країні".

Список 10 найкращих публічних DNS-серверів

Після прочитання пояснення того, що таке DNS-сервер, корисні сторонні DNS-сервери, ознайомтеся зі списком нижче. Це список топ-10 найкращих сторонніх DNS-серверів:

1. Громадський DNS-сервер Google

Це один із найшвидших DNS-серверів, які багато користувачів використовують на своїх комп'ютерах. Використовуючи DNS-сервери Google, ви отримаєте більш високий рівень безпеки та зручність роботи на своєму комп'ютері.

Щоб використовувати загальнодоступні DNS-сервери Google, настройте параметри мережі з наступними IP-адресами:

8.8.8.8 як бажаний DNS-сервер

8.8.4.4 як ваш альтернативний DNS-сервер

2. OpenDNS

Крім DNS-серверів Google, OpenDNS є одним із найкращих хмарних DNS-серверів. Це допоможе захистити ваш комп'ютер від шкідливих атак.

Щоб використовувати OpenDNS, давайте налаштуємо параметри вашої мережі з наступними IP-адресами:

208.67.222.222

208.67.222.220

OpenDNS також пропонує два безкоштовні рішення для приватних клієнтів: OpenDNS Family Shield та OpenDNS Home.

Сімейство OpenDNS Shield поставляється із попередньо налаштованим для блокування контенту для дорослих. Щоб використовувати його, в налаштуваннях мережі необхідно налаштувати різні DNS-сервери з наступними IP-адресами.

Уподобаний DNS-сервер: 208.67.222.123

Альтернативний DNS-сервер: 208.67.220.123

Тим часом, OpenDNS Home поставляється з налаштованим захистом від крадіжки та фішингу.

3. Norton ConnectSafe

Norton пропонує не тільки антивірусні програмита програми для забезпечення безпеки в Інтернеті. Він також пропонує послугу сервера DNS під назвою Norton ConnectSafe. Цей хмарний сервіс DNS допоможе захистити ваш комп'ютер від фішингових сайтів.

Norton ConnectSafe постачається з трьома заздалегідь визначеними політиками фільтрації вмісту. Це безпека, безпека + порнографія та безпека + порнографія + інше.

Ви можете переглянути зображення нижче для отримання додаткової інформації про кожну заздалегідь визначену політику. Завітайте для отримання додаткової інформації.

4. Comodo Secure DNS

Comodo Secure DNS - це служба сервера доменних імен, яка дозволяє ваші DNS-запити через безліч глобальних DNS-серверів. Він забезпечує набагато швидший та кращий досвід роботи в Інтернеті, ніж використання стандартних DNS-серверів, що надаються вашим Інтернет-провайдером.

Якщо ви хочете використовувати Comodo Secure DNS, вам не потрібно встановлювати будь-яке обладнання або програмне забезпечення. Просто змініть ваш основний та додатковий DNS-сервери на 8.26.56.26 та 8.20.247.20.

5. Рівень 3

Level3 - наступна безкоштовна служба DNSу цьому списку. Він працює на рівні 3 зв'язків. Щоб скористатися цією безкоштовною послугою, просто налаштуйте параметри мережі за допомогою наступних IP-адрес DNS:

209.244.0.3

208.244.0.4

Завітайте для більш детальної інформації.

6. Перевага DNS

Це один із найшвидших DNS-серверів, які забезпечують найкращу продуктивністьпід час роботи в Інтернеті. Це допоможе вам завантажувати сайти швидше та безпечніше. Щоб використовувати DNS Advantage, налаштуйте кращі/альтернативні DNS-сервери з наступними подробицями:

156.154.70.1

156.154.71.1

7. OpenNIC

Як і багато інших DNS-серверів вище, OpenNIC є гарною альтернативою для заміни ваших DNS-серверів за промовчанням. Це захистить ваш комп'ютер від уряду та збереже вашу конфіденційність. Щоб використовувати цю службу DNS, настройте бажані та альтернативні DNS-сервери таким чином:

46.151.208.154

128.199.248.105

Щоб знайти надійніші DNS-сервери.

8. Дін

Dyn – наступний найкращий безкоштовний сторонній DNS-сервер у списку. Він забезпечує дивовижний досвід роботи в Інтернеті та захищає вашу інформацію від більшості фішингових атак. Налаштуйте параметри мережі з наведеними нижче IP-адресами DNS, щоб використовувати DNS-сервер Dyn.

216.146.35.35

216.146.36.36

9. SafeDNS

SafeDNS — це ще одна служба DNS, яка базується на хмарі. Це допоможе вам захистити ваш комп'ютер, а також забезпечити найкращий досвід перегляду веб-сторінок. Для використання SafeDNS використовуйте наступну інформацію DNS нижче:

195.46.39.39

195.46.39.40

Про безкоштовні та преміальні послуги DNS від SafeDNS.

10. DNS.Watch

DNS.Watch є останньою безкоштовною загальнодоступною службою DNS у цьому списку. Це забезпечує цензуру, швидкий та надійний досвід перегляду веб-сайтів безкоштовно. Щоб налаштувати свій ПК або маршрутизатор за допомогою DNS.Watch, використовуйте два IP- адреси DNSнижче:

84.200.69.80

84.200.70.40

Іноді, якщо ви не можете правильно переглядати веб-сторінки, ви можете спробувати змінити DNS-сервери за промовчанням на комп'ютері або маршрутизатор на ці DNS-сервери. Це забезпечить найкращий досвід перегляду веб-сторінок, а також захистить вас від можливих атак.

Не знаєте, як змінити DNS-сервери на Windows, Mac чи Android? Просто прочитайте .

Вітаю! Сьогодні ми обговоримо все важливі моментипро сервер DNS. Від того, що це таке, до налаштування та вибору альтернативних DNS. Розсідаємося по місцях і не забуваємо пристебнутися!

Якщо у вас виникли запитання чи є що доповнити – ОБОВ'ЯЗКОВО напишіть у коментарі до цієї статті. Ви дуже допоможете і нам, та іншим читачам!

Що таке DNS?

Починаємо з віддаленої теорії. Кому це не цікаво, переходьте в потрібний розділ нижче – все налаштування та вибір будуть там. А тут ми поговоримо про саме явище DNS.

DNS – Domain Name System – система доменних імен

Чи стало страшно? Спробуємо заплутати ще більше… тобто. розплутати. Давайте за пунктами:

1. Під час користування інтернетом ви вбиваєте назву сайту у вікно браузера. Наприклад, ГУГЛ.ФУ (хай пробачать вони нас і теж підкинуть трафіку).
2. У мережах вся адресація відбувається за адресами IP. Тобто. залізо вміє шукати маршрути лише за цифрами. Наприклад, 7.7.7.7. Але користувачам незручно запам'ятовувати ці цифри (згадайте хоча б 50 номерів своїх контактів з телефону).
3. І тут як аналогія із телефоном. Номери ви знати не зобов'язані, а ось імена пам'ятайте. Тобто. ви забиваєте в телефоні ім'я, а дзвінок уже йде за номером. Так і в інтернеті - ви вводите символьне ім'я (доменне ім'я), а браузер вже в обхід ваших очей відправляється шукати потрібний сайт за адресою IP.

DNS сервер таки займається перетворенням доменного імені в IP адресу. Отримує букви – віддає числа.

Щоб переконатися в такому перетворенні, можна «пінганути» будь-який сайт:

У домену ya.ru поточний IP 87.250.250.242

Сервери – теорія

Не сильно заглиблюватимемося в архітектуру DNS серверів, але для загального розуміння варто знати:

1. Їх багато – немає єдиного вірного, як правило, ви отримуєте DNS провайдера, але це не завжди найкраще рішення.
2. Мають вкладену структуру - кореневі, країни, провайдери, роутери (дуже грубо). У тому плані, що всі DNS успадковують один від одного інформацію, і якщо чогось немає на поточному, запит буде надісланий вище.
3. У них є IP адреса – ви стукаєтеся на неї, а вона вже віддає потрібні IP адреси сайтів.

Як правило, після підключення до інтернету при байдикування з налаштуваннями ви отримаєте DNS від свого провайдера.

Як дізнатися поточний?

Перш ніж перейти до установки, можливо знадобиться дізнатися про поточний ДНС сервер. Щоб далі не було питань, показую, як це швидко зробити:

1. Нам потрібно відкрити командний рядок (є й інші варіанти відкриття, можна погуглити). Натискаємо клавіші Win+R(відкривається утиліта «Виконати», вбиваємо до неї cmd

1. Вводимо nslookup

У разі поточний DNS – 192.168.0.1. Для просунутих користувачів це адреса роутера. Всі запити адресуються на нього, а вже він відправляє далі (зараз на ньому працюють гуглівські ДНСи).

Провайдер

Розіменовувати сайти через свого провайдера можна, але не завжди це працює як слід. Для звичайного домашнього користувача все може пройти непомітно і все життя, але якщо ви дуже щільно працюєте з інтернетом, біда може наступити несподівано. Мої тези щодо провайдерських серверів:

1. Стабільність залишає бажати кращого - у тому плані, що раз на рік і палиця стріляє, так і тут раз на пару років їх сервери падають, сайти не відкриваються наглухо. Неприємний момент, домашній користувач міг би подумати, що відвалився інтернет, а проблема була закопана на поверхні. Комусь падіння раз на пару років достатньо для щастя.
2. Територіальні обмеження – забанять у DNS якийсь сайт і туші пропало. Насправді через нього зараз лазять рідко, але так, до речі, були прецеденти.
3. Повільне оновлення зон (для мене це найважливіший пункт). Сервери провайдерів оновлюються дуже повільно. Змінив власник сайту сервер (переїхати йому захотілося на залізо потужніше), змінив у себе в налаштуваннях DNS на нову IP адресу, а користувачеві в регіоні така інформація може долетіти лише через пару днів. І він стукатиметься за неіснуючою адресою, отримуватиме недоступний сайт, або сайт із порушенням сертифікатів безпеки та морем інших болячок.

Разом - все працює, іноді дуже довго і добре, але є мінуси, які легко замінити альтернативними DNS.

Альтернативні DNS

У налаштуваннях Windows, які ми будемо дивитися нижче, є поле з альтернативним DNS. Так от, у тому випадку мова йдепросто про резервну адресу DNS сервера, якщо основна буде недоступною. У цьому ж розділі «альтернативний» означає лише те, що його не видано провайдером.

Ось табличка основних актуальних зараз DNS:

Сервіс	DNS 1	DNS 2
Google Public DNS	8.8.8.8 2001:4860:4860::8888 (IPv6)	8.8.4.4 2001:4860:4860::8844 (IPv6)
Open DNS	208.67.222.222	208.67.220.220
Яндекс	77.88.8.8 77.88.8.88 (без сайтів шахраїв) 77.88.8.7 (без сайтів для дорослих)	77.88.8.1 77.88.8.2 (без сайтів шахраїв) 77.88.8.3 (без сайтів для дорослих)
DNS WATCH	82.200.69.80	84.200.70.40
Norton Connect Safe	198.153.192.1 198.153.192.40 (тільки безпечні сайти) 198.153.192.50 (без порно) 198.153.192.60 (повна безпека)	198.153.194.1 198.153.194.40 (тільки безпечні сайти) 198.153.194.50 (без порно) 198.153.194.60 (повна безпека)
Level 3 DNS	209.244.0.3 4.2.2.1 4.2.2.3	209.244.0.4 4.2.2.2 4.2.2.4
Comodo Secure DNS	8.26.56.26	8.20.247.20
Open NIC DNS	Вибирайте зі списку https://servers.opennic.org	Вибирайте зі списку https://servers.opennic.org

Коротко пробігу по кожному:

• Google Public DNS – сам користуюся та рекомендую, доки не заборонили. Працює як годинник, швидко оновлюється. Адреси легко запам'ятовуються - "вісімки". Є й IPv6 версії.
• Open DNS – другий за популярністю сервіс. Якийсь час користувався, особливої ​​різниці від Гугла помічено не було. Працює і так добре.
• Яндекс – з бонусних відмінностей є додаткові сервери з фільтрами сайтів – без відомих фішингових та шахрайських сайтів та без сайтів для дорослих – вони просто не будуть відкриватися. Такий собі батьківський контроль.
• Інші – теж працюють. Описувати не бачу сенсу, чи буде водна вода. Для будинку достатньо першого, а в разі чого другого. Решта – надлишок для технічних спеціалістів. На жаль чи на щастя, наш WiFiGid не для спеців.

Налаштування

А тепер покажу, куди потрібно вставити ці адреси, щоб усе працювало як дорогий швейцарський годинник.

1. Переходимо до «Центру управління мережами» (Windows 7) або «Параметри мережі та інтернет» (Windows 10). Можна для цього клацнути правою кнопкою миші по значку мережі і вибрати цей пункт:

1. Далі «Налаштування параметрів адаптера» (або «Зміна параметрів адаптера»):

1. А тут вже шукаємо наш адаптер, через який ми підключилися до мережі, правою кнопкою – «Властивості» та робимо все як на схемі:

Тут я встановив адреси Google – перший і другий (перша та друга колонка таблиці вище відповідно). Можете зробити так само, а можете поекспериментувати з іншими сервісами.

Ці дії виконуються однаково на операційних системах Windows 7, Windows 8, Windows 10.

Подібне можна провернути на кожному пристрої, включаючи телефони (дивіться інструкції з налаштування DNS під свою модель). Один із прикладів, зробити можливо:

А краще все відразу зробити на роутері в налаштуваннях сервера DHCP (який займається роздачею мережевих налаштуваньна підключені пристрої). Тоді всі підключені до нього пристрої одразу йдуть через нормальні сервери. На прикладі TP-Link, під свою модель шукайте налаштування через пошук на нашому сайті:

Деякі програми, програми та мобільні пристроїу конфігураціях просять поле DNS Address – IP адреси з таблиці вище теж підійдуть.

Можливі помилки

Немає можливості перераховувати все можливі помилки, пов'язані з багами ДНС – їх можна пошукати за назвами на нашому сайті, ми справді розібрали основні з них. Але суть за рішенням будь-якої з них дуже проста:

1. Перезавантажуємо роутер та комп'ютер, ноутбук, телефон – для повторної спроби отримання налаштувань мережі.
2. Поки все перезавантажується, перевіряємо дроти – чи все заходить, чи ніде немає перелому.
3. Якщо не допомагає – вписуємо адреси DNS вручну, як у розділі вище.
4. Якщо і це не допомагає - помилка десь на стороні провайдера або на самому сайті (той самий можливий переїзд). Якщо поголовно не відкривається нічого - про всяк випадок пробуємо відключати антивіруси, брандмауери, проксі, VPN та інший софт, який використовує мережу.

Якщо все зовсім погано та нічого не знайшли – пишіть коментар нижче!

Бажаєте швидко перевірити знання вашого системного адміністратора? Запитайте IP-адресу публічного DNS Google. Будь-який сисадмін, що поважає себе, відповість: «8.8.8.8», а просунутий додасть «… і 8.8.4.4».

Що такеDNS?

DNS – це абревіатура від Domain Name System. Перекладається як система доменних імен, і є системою, яка зіставляє між собою доменне ім'я та IP-адресу хоста. Так, знаючи ім'я хоста, можна отримати його адресу і навпаки. Для чого це потрібно? Всесвітня мережаІнтернет влаштована таким чином, що кожен пристрій (комп'ютер, телефон, планшет, маршрутизатор) має свою унікальну адресу (насправді адреси можуть повторюватися, якщо йдеться про різні локальні мережі, але в даній статті ми говоримо про глобальної мережіі не будемо вдаватися до подробиць NAT, PAT і маршрутизації), і звернутися до цього пристрою можна тільки знаючи його адресу в мережі. Працюючи в Інтернеті, ми звертаємося до десятків сайтів щодня. Важко було б запам'ятати всі їхні адреси, що складаються з послідовності номерів та точок, наприклад, що простіше запам'ятати 77.222.61.238 чи integrus.compumur.ru? Звісно, ​​друге. А адресу за вас згадає система доменних імен.

DNS є на будь-якому комп'ютері, в кожній мережі та у кожного провайдера, крім того має ієрархічний вигляд і у випадку, коли система доменних імен не може визначити адресу запитаного ресурсу по домену, вона передає запит вищому DNS-серверу. Запит може передаватися до одного з 13 «найголовніших у світі» кореневих DNS серверів.

Як встановити DNS-сервер?

Сервер може виконувати різні функції, може виконувати роль глобального каталогу, зберігати файлову інформацію, працювати з базами даних, працювати одночасно з кількома користувачами. Залежно від призначення сервера у ньому встановлюють ролі – спеціальний набір програм, дозволяють серверу виконувати необхідні функції.

Як встановити рольDNS сервер? Установку будемо проводити на Windows Server 2012 R2.

Найчастіше роль DNS-сервера встановлюється разом із контролером домену. Але якщо під час установки Active Directoryви зняли галочку DNS-сервер, або AD просто не потрібен, то необхідно провести установку тільки DNS-сервера. Для цього потрібно зайти в диспетчер сервера та натиснути кнопку «Додати ролі та компоненти».

Відкриється вікно «Майстри додавання ролей та компонентів». Прочитайте вступний текст майстра та натисніть «Далі».

Переконайтеся, що вибрано пункт «Встановлення ролей та компонентів» та натисніть кнопку «Далі».

Виберіть сервер із пулу серверів. У нашому випадку сервер лише один, у вас може бути більше.

Вибираємо роль DNS-сервер.

Відзначивши необхідний пункт галочкою, побачимо вікно «Майстри додавання ролей і компонентів», що з'явилося. Ці компоненти необхідні управління встановлюваної роллю. У випадку, якщо ви збираєтеся адмініструвати DNS-сервер з іншого сервера, можна пропустити додавання даних компонентів.

Повернувшись у вікно, з позначеною галочкою DNS-сервер, натисніть кнопку "Далі", потім "Далі і знову "Далі", доки не стане активна кнопка "Встановити".

Натисніть кнопку "Встановити".

Почнеться встановлення.

Після завершення установки (установка триватиме менше 5 хвилин) з'явиться напис: «Установка виконана на Ім'я Вашого Сервера». Можна натиснути кнопку «Закрити». Тепер у Панелі моніторингу сервера, а також у Меню Пуск з'явиться новий рядок DNS. Якщо клацнути по цій сходинці, то запуститься «Диспетчер DNS».

Він виглядає так.

на Наразіна DNS-сервері не налаштовано жодної зони. Такий сервер називається кешуючим. Зони – це частини простору імен, які відповідає сервер. Зони прямого перегляду передбачають перетворення імені на IP-адресу. Зона зворотного перегляду навпаки, зіставляє IP-адресу з ім'ям.

Створимо зону прямого перегляду та зробимо її просте налаштування.

Для цього натисніть правою кнопкою миші на написи «Зони прямого перегляду» і потім «Створити нову зону».

Відкриється вікно «Майстри створення нової зони», тиснемо «Далі». Відкриється вікно вибору типу зони. Якщо у Вас немає іншого сервера DNS, вибирайте «Основна зона» та «Далі».

У наступному вікні потрібно вказати ім'я зони. Рекомендовано використовувати ваш домен. У разі як ім'я було зазначено: . Тиснемо «Далі».

У наступному вікні виберіть тип динамічного оновлення. Рекомендується дозволити динамічні оновлення, але тільки якщо DNS використовуватиметься виключно у вашій локальної мережі. В іншому випадку цей пункт може спричинити ризики безпеки, про що «Майстер створення нової зони» вас попередить.

Тиснемо «Далі» та «Готово». Зона прямого перегляду успішно створена, проведемо її просте налаштування. Налаштування зони перегляду здійснюється шляхом додавання до зони DNS-записів. Існує кілька типів записів DNS. Розглянемо основні типи:

• А-запис. Співвідносить Ім'я хоста та адресу протоколу IPV
• АААА-запис. Співвідносить Ім'я хоста та адресу протоколу IPV
• CNAME-запис. Псевдонім використовується для переадресації на інше ім'я.
• MX запис. Поштовий запис вказує на поштові сервери.
• NS-запис. Вказує на DNS-сервер домену.

Створимо запис для нашої нової зони прямого перегляду. Для цього натисніть правою кнопкою миші на зоні і виберемо відповідний пункт контекстного меню, як показано на малюнку.

У вікні «Новий вузол» вводимо Ім'я вузла, наприклад GateWay та його IP-адресу, наприклад 192.168.0.1. Натисніть кнопку «Додати вузол».

Готово! Запис успішно створено!

У цій статті ми постаралися максимально зрозумілою мовою пояснити простій людині без глибоких знань IT, що таке DNS, як встановити роль DNS-сервера на Windows Server 2012, познайомилися з основними типами записів і в картинках показали, як ці записи робляться. А якщо все вищеописане видалося Вам важким, то наші фахівці налаштують Вам сервер менш ніж за годину.

Зона є базою даних, що містить повноважну інформацію про область простору імен DNS. При установці DNS-сервера разом з контролером домену автоматично створюється зона DNS для підтримки домену Active Directory. Якщо DNS-сервер був встановлений на контролері домену, сервері - члені домену або автономному сервері, зони слід створювати і конфігурувати вручну.

У цьому занятті описано принципи створення та налаштування зони, а також викладено відомості, необхідні для коректного конфігурування зони.

Створення зон

Зона DNS є базою даних, що містить записи, якіпов'язують імена з адресами в області простору імен DNS , що описується . Хочадля відповідей на запити імен DNS-сервер може використовувати кешовануінформацію з інших серверів, він уповноважений відповідати на запити лише улокально керованої зони. Для будь-якої області простору імен DNSпредставленого ім'ям домену (наприклад, google .ru ), існує лише одинповноваження джерела даних зони.
При необхідності створити на DNS-сервері нову зону можна скористатися майстром створення нової зони (New Zone Wizard) у диспетчері DNS (DNS Manager). Для запуску майстра клацніть правою кнопкою миші піктограму сервера в дереві консолі диспетчера DNS і застосуйте команду Створити нову зону (New Zone).

Майстер створення нової зони містить наступні сторінки конфігурації:

■ Тип зони (Zone Type);

■ Область реплікації зони інтегрованоюв Active Directory (Active Directory Zone Replication Scope);

■ Зона прямого або зворотного перегляду (Forward or Reverse Lookup Zone);

■ Ім'я зони (Zone Name);

■ Динамічне оновлення (Dynamic Update).

У наступних розділах описано концепції конфігурації, пов'язані з цими п'ятьма сторінками майстра.

Вибір типу зони

На сторінці Тип зони (Zone Type) майстра створення нової зони (New Zone Wizard) можна вибрати створення основної зони, додаткової або зони заглушки. Створивши основну зону або зону-заглушку на контролері домену, ви зможете зберігати дані зони в Active Directory.

* Основні зони

Найпоширенішим типом зон DNS є основна зона (Primary zone). Вона забезпечує вихідні дані читання/запису джерела, що надають локальному DNS-серверу повноваження відповідати на запити DNS області простору імен DNS.

Локальний DNS-сервер, що керує основною зоною, є первинним джерелом даних про цю зону. Сервер зберігає головну копію даних зони у локальному файлі або в доменних службах Active Directory (Active Directory Domain Services, AD DS). Якщо зона зберігається у файлі, а не в Active Directory, цей файл за замовчуванням отримує ім'я ім'я_зони.dnsі зберігається в папці %systemroot %System 32Dns на сервері.

* Додаткові зони

Забезпечують повноважну копію з правом лише для читання основної зони або ще однієї додаткової зони.

Додаткові зони (Secondary zones) надають можливість знизити обсяг трафіку запитів DNS в областях мережі, де відбувається інтенсивне запитування та використання даних зони. Крім того, у разі недоступності сервера, який керує основною зоною, додаткова зона може забезпечувати дозвіл імен доти, доки основний сервер знову не стане доступним.

Вихідні зони, у тому числі додаткові зони отримують інформацію, називаються мастер-зонами, а процедури копіювання даних, які забезпечують регулярне оновлення інформації зони, називаються передачами зон. Майстер-зоною може бути основна зона чи інша додаткова зона. Майстер-зону можна призначити для створюваної додаткової зони у майстрі створення нової зони (New Zone Wizard). Оскільки додаткова зона — це копія основної зони, яку керує ще один сервер, її не можна зберігати в Active Directory .

* Зони-заглушки

Аналогічні додатковій зоні, проте містять записи ресурсів, необхідні для ідентифікації повноважних DNS-серверів головної зони. Зони-заглушки (Stub zone) часто застосовуються для того, щоб батьківська зона (наприклад, google. ru) могла використовувати оновлюваний список серверів імен, доступних у делегованій дочірній зоні (наприклад: translate. Вони також служать для покращення дозволу імен та спрощення адміністрування DNS.

* Зберігання зон вActiveDirectory

При створенні основної зони або заглушки на контролері домену, на сторінці Тип зони (Zone Type) майстра можна вибрати опцію збереження зони в Active Directory. Дані зон, інтегрованих в Active Directory, автоматично реплікуються в Active Directory відповідно до параметрів, вибраних на сторінці Область реплікації зони, інтегрованої в Active Directory (Active Directory Zone Replication Scope). Завдяки цій опції немає потреби налаштовувати передачу зон на додаткові сервери.

Інтеграція зони DNS у Active Directory дає кілька переваг. По-перше, оскільки служби Active Directory виконують реплікацію зон, немає потреби в налаштуванні окремого механізму передачі зон DNS між основним та додатковими серверами. Множинна реплікація в мережі автоматично забезпечує стійкість до відмов і підвищену продуктивність завдяки доступності безлічі основних серверів з правом читання/запису. По-друге, служби Active Directory дозволяють виконувати оновлення та реплікацію окремих властивостей записів ресурсів на DNS-серверах. Оскільки не передається безліч повних записів ресурсів, знижується навантаження на мережні ресурси під час передачі зон. Нарешті, зони, інтегровані в Active Directory, забезпечують також опціональні можливості впровадження вимог безпеки динамічних оновлень, налаштування яких здійснюється на сторінці динамічного оновлення (Dynamic Update) майстра створення зони.

ПРИМІТКА: Контролери домену з правом читання та зони, інтегровані в Active Directory

На традиційних контролерах доменів копії зони надається право читання/запису. На контролерах доменів з доступом лише для читання (Read-Only Domain Controller, RODC) копії зони призначається лише право читання.

* Стандартні зони

При створенні зони на контролері домену опція збереження зони в Active Directory на сторінці Тип зони (Zone Type) вибирається за замовчуванням. Однак цей прапорець можна зняти та створити так звану стандартну зону. На сервері, що не є контролером домену, можна створювати лише стандартні зони, а прапорець на цій сторінці неактивний.

На відміну від зони, інтегрованої в Active Directory, стандартна зона зберігає свої дані в текстовому файліна локальному DNS-сервері. Крім того, у разі використання стандартних зон можна конфігурувати лише основну копію з правом читання та запису даних зони. Всім іншим копіям зони (додаткові зони) призначено право лише для читання.

Модель стандартної зони передбачає одну точку збою версії зони, що перезаписується. У разі недоступності основної зони в мережі ніяких змін до зони внести не можна. Однак запити імен у зоні можуть не перериватися, доки доступні додаткові зони.

Вибір області реплікації зони, інтегрованої вActiveDirectory

На сторінці Область реплікації зони, інтегрованої в Active Directory (Active Directory Zone Replication Scope) майстра створення нової зони (New Zone Wizard) можна вибрати контролери домену в мережі для збереження даних зони. Ця сторінка з'являється лише при виборі опції збереження зони та Active Directory . Опції вибору області реплікації зон визначають контролери домену, серед яких буде реплікація даних зон.

На цій сторінці представлені такі опції:

■ Збереження зони на всіх контролерах домену, які також є DNS-серверами у всьому лісі Active Directory;

■ Збереження зони на всіх контролерах домену, які також є DNS-серверами та локальним доменом Active Directory;

■ Збереження зони на всіх контролерах домену та локальному домені Active Directory (використовується для сумісності з Windows 2000);

■ Збереження зони на всіх контролерах домену , вказаних та області налаштованого розділу каталогу Active Directory.

Докладніше ці опції описані у другій темі.

Створення зон прямого та зворотного перегляду

На сторінці Зона прямого або зворотного перегляду (Forward or Reverse Lookup Zone) майстра створення попів зони (New Zone Wizard) необхідно вибрати тип створюваної зони; зона прямого перегляду (Forward Lookup Zone) чи зона зворотного перегляду (Reverse Lookup Zone).

У зонах прямого перегляду DNS-сервери порівнюють повні доменні імена FQDN з IP-адресами. У зонах зворотного перегляду DNS-сервери зіставляють I-адреси імен FQDN. Таким чином, зони прямого перегляду відповідають на запити дозволу імен FQDN в IP-адреси, а зони зворотного перегляду відповідають на запити дозволу IP-адрес в імена FQDN. дозволяється дозвіл, наприклад google .com. Зони зворотного перегляду іменуються і в зворотному порядку перших трьох октетів адресного простору, для якого забезпечується роздільна здатність імен плюс додатковий тег in-addr.arpa. Наприклад, при роздільній здатності імен для підмережі 192.168.1.0/24 зона зворотного перегляду отримає ім'я 1.168.192.in-addr.arpa. У зоні прямого перегляду окремий запис бази даних, що зіставляє ім'я вузла з адресою, називається записом вузол(А). У зоні зворотного перегляду окремий запис бази даних, що зіставляє IP-адресу, з ім'ям вузла, називається вказівникомабо PTR-записом.

Принцип роботи мого прямого та зворотного перегляду продемонстровано на малюнку.

Зона прямого перегляду

Зона зворотного перегляду

ПРИМІТКА: Майстер налаштування DNS-сервера

Для одночасного створення зон прямого та зворотного перегляду можна використовувати майстер налаштування DNS-сервера (Configure A DNS Server Wizard). Щоб запустити майстер, у дереві консолі диспетчера DNS клацніть правою кнопкою миші піктограму сервера та застосуйте команду Налаштувати DNS-сервер (Configure A DNS Server).

Вибір імені зони

На сторінці Ім'я зони (Zone Name) майстра створення нової зони (New Zone Wizard) можна вибрати ім'я зони прямого перегляду, що створюється, Зони зворотного перегляду отримують особливі імена відповідно до діапазону IP-адрес, для яких є повноважними.

Якщо зона створюється для дозволу імен у домені Active Directory, найкраще вказати ім'я зони, яке відповідає імені домену Active Directory. Наприклад, якщо організація містить два домени Active Directory, з іменами google.

У разі створення зони для простору імен DNS не в середовищі ActiveDirectory потрібно вказати ім'я Інтернет-домену організації, наприклад wikipedia .org .

ПРИМІТКА: ДодаванняDNS-сервера на контролер домену

Щоб додати DNS-сервер на існуючий контролер домену, зазвичай додається копія основної зони, що забезпечує дозвіл імен в локальному домені Active Directory . Для цього потрібно створити зону, ім'я якої відповідає імені існуючої зони в локальному домені Active Directory . Нова зона буде заповнена даними з інших серверів DNS в домені.

Налаштування параметрів динамічного оновлення

Клієнтські комп'ютери DNS можуть реєструвати та динамічно оновлювати свої записи ресурсів за допомогою сервера DNS. За замовчуванням DNS-клієнти зі статичними IP-адресами оновлюють записи вузлів (А або АААА) і вказівників (PTR), а DNS-клієнти, що є DHCP-клієнтами, лише записи вузлів. У середовищі робочої групи DHCP-сервер оновлює записи вказівника від імені DHCP-клієнта під час кожного оновлення конфігурації IP.

Для успішного динамічного оновлення DNS зона, в якій клієнти реєструють або оновлюють записи, має бути налаштована для прийому динамічних оновлень. Існує два типи такого оновлення:

■ Безпечнеоновлення (Secureupdates )

Дозволяє виконувати реєстрацію лише з комп'ютерів домену Active Directory та оновлення лише з комп'ютера, який спочатку виконував реєстрацію.

■ Небезпечніоновлення (Nonsecureupdates )

Дозволяє виконувати оновлення з будь-якого комп'ютера.

На сторінці Динамічне оновлення (Dynamic Update) майстра створення нової зони (New Zone Wizard) для створюваної зони можна дозволити безпечні, небезпечні динамічні оновлення або взагалі заборонити оновлення.

Аналіз вбудованих записів ресурсів

Під час створення нової зони автоматично створюється два типи записів. По-перше, така зона завжди включає початковий запис зони SOA (Start Of Authority), що визначає основні властивості зони. Крім того, нові зони містять хоча б один запис сервера імен NS (Name Server), що вказує ім'я сервера (серверів) зони. Далі описано функції цих двох записів ресурсів.

Початкові записи зони

Під час завантаження зони DNS-сервер використовує початковий запис зони SOA (Start Of Authority) для визначення основних властивостей та повноважень зони. Ці параметри також характеризують частоту передачі зон між основним і додатковим сервером. Якщо двічі клацнути запис SOA, відкриється вкладка Початковий запис зони (SOA) діалогового вікна властивостей зони.

■ Серійнийномер (Serial Number)

Це текстове поле вкладки Початковий запис зони (SOA) містить номер редакції файлу зони. Зазначене число збільшується щоразу при зміні записів ресурсів у зоні. Його також можна збільшити вручну за допомогою кнопки Збільшити (Increment).

Якщо зони налаштовані для виконання передач зон на один або кілька додаткових серверів, ці додаткові сервери періодично запитують серійний номер зони на головному сервері. Такі запити називаються запитами SOA. Якщо у запиті SOA отримано серійний номер основної зони, який дорівнює серійному номеру додаткової зони, передача не виконується. Якщо ж серійний номер зони на головному сервері більше відповідного значення на додатковому сервері, що запитує, останній ініціює передачу зони.

ПРИМІТКА: Передача зон на основному сервері

Клацніть кнопку Збільшити (Increment) ініціюється передача зони.

■ Основнийсервер (PrimaryServer )

■ Відповідальнеособа (Responsible Person)

У цьому полі вводиться ім'я відповідної особи (RP), що відповідає доменній поштовій скриньці адміністратора зони. Ім'я, введене в поле, завжди повинно завершуватися точкою. За промовчанням використовується ім'я hostmaster.

■ Інтервалоновлення (Refresh Interval)

Значення цього поля визначає час очікування додаткового DNS-сервера перед запитом оновлення зони на головному сервері. Після закінчення інтервалу оновленнядодатковий DNS-сервер запитує на головному сервері копію поточного запису SOA. Після отримання відповіді додатковим DNS-сервер порівнює серійний номер поточного запису SOA головного сервера (зазначеного у відповіді) з серійним номеромсвого локального запису SOA. Якщо ці значення відрізняються, додатковий DNS-сервер запитує передачу зони з головного сервера DNS. За промовчанням призначається інтервал оновлення 15 хвилин.

■ Інтервалповтору (Retry Interval)

■ Термінспливаєпісля (Expires After)

Значення цього поля визначає інтервал часу, протягом якого додатковий сервер продовжує виконання запитів DNS-клієнтів, не звертаючись до головного сервера. Після цього часу дані вважаються ненадійними. За промовчанням для цього параметра призначається один день.

■ Мінімальнийтермінжиття TTL (Minimum (Default)T TL)

Значення TTL не стосуються записів ресурсів у повноважних зонах. І в цих зонах для значень TTL використовується час життя кешу запису ресурсів на неповноважних серверах. DNS-сервер, який вніс у кеш запис ресурсу з попереднього запиту, скидає цей запис, але після запису TTL.

■ Термін життя(TTL)записи(TTL For This Record)

Значення , вказане у цьому йолі, визначає термін життя поточного запису SOA . Це значення замінює стандартне значення, зазначене в попередньому полі.

Записи серверів імен

Запис сервера імен (NS) вказує повноважний сервер для зони. При створенні зони в Windows Server 2008 кожен сервер, що управляє основною копією зони, інтегрованої в Active Directory, отримає власний запис NS в новій зони за промовчанням. При створенні стандартної основної зони за промовчанням буде додано запис NS локального сервера.

Для серверів, які керують додатковими зонами, потрібно вручну додати записи NS до основної копії зони.

Записи NS створюються за допомогою іншої процедури, ніж у разі створення інших типів ресурсів. Щоб додати записи NS, у диспетчері DNS двічі клацніть будь-яку існуючий запис NS. Відкриється вкладка Сервери імен (Name Servers) діалогового вікна властивостей зони. На вкладці Сервери імен натисніть кнопку Додати (Add), щоб додати ім'я FQDN та IP-адресу сервера, що управляє додатковою зоною локальної основної зони. Додавши новий сервер, клацніть ОК - у диспетчері DNS з'явиться новий запис NS, що вказує на цей сервер.

ПРИМІТКА: Включення передачі до додаткових зон

Додаткова зона не розпізнає цей запис як дійсний сервер імен, поки містить дійсну копію даних зони. Щоб додаткова зона отримала ці дані, потрібно увімкнути передачу зон для цього сервера на вкладці Передача зон (Zone Transfers) діалогового вікна властивості зони. Ця вкладка більш детально описана у наступній темі.

Нижче наведено приклад запису, створеного у файлі стандартної зони:

@ NS dns1.lucernepublishing.com.

Символ @ представляє зону, визначену записом SOA у файлі зони. Потім повний запис зіставляє домен wikipedia .org із DNS-сервером dns1.wikipedia .org .

Створення записів ресурсів

Крім записів SOA і NS, автоматично створюються ще деякі записи ресурсів. Наприклад, під час встановлення нового сервера DNS, коли сервер призначається контролером домену, багато записів SRV доменних служб Active Directory (AD DS ) створюються автоматично в локально керованій зоні. Крім цього, за допомогою динамічного оновлення багато DNS-клієнтів за замовчуванням автоматично реєструють записи вузлів (А і АААА) і покажчиків (PTR) в зоні.

Незважаючи на те, що багато записів ресурсів створюються автоматично, в корпоративних середовищах зазвичай потрібно створити деякі записи ресурсів вручну, наприклад поштові обмінники MX (Mail Exchanger) для поштових серверів, псевдоніми (CNAME) для веб-серверів і серверів додатків, а також записи вузлів для серверів і клієнтів , які не можуть виконувати власні оновлення.

Щоб вручну додати запис ресурсу для зони, в консолі Диспетчер DNS (DNS Manager ) клацніть правою кнопкою миші піктограму зони та в контекстному менювиберіть тип запису, що створюється.

Після вибору запису в контекстному меню відкриється діалогове вікно, де можна вказати ім'я запису та пов'язаний з ним комп'ютер. Зазначимо, що ім'я комп'ютера з IP-адресою пов'язують лише записи вузла. Більшість типів записів пов'язують ім'я служби або псевдонім із вихідним записом вузла. Таким чином, запис MX покладається на присутність у зоні запису вузла SRV 12.nwtraders .msft.

Типи записів

Нижче наведено поширені записи ресурсів, що створюються вручну:

■ вузол (АабоАЛАА);

■ псевдонім (CNAME);

■ поштовийобмінник (MX);

■ покажчик (PTR);

■ розташуванняслужби (SRV).

Вузол (А чи АААА)

Більшість мереж основну частину записів ресурсів у базі даних зони становлять записи ресурсів вузлів. Ці записи використовуються в зоні зв'язування комп'ютерних імен (імен вузлів) з IP-адресами.

Навіть при включенні динамічних оновлень для зон у деяких сценаріях запису вузлів потрібно буде додавати записи до зони вручну. На малюнку далі компанія Contoso, Inc. використовує доменне ім'я contoso .com у загальнодоступному просторі імен та внутрішньому домені Active Directory . У цьому випадку публічний веб-сервер www.contoso.com розташований поза доменом Active Directory і виконує оновлення лише на публічному повноважному DNS-сервері contoso.com. Але внутрішні клієнти пересилають запити DNS на внутрішні DNS - сервери. Оскільки запис А сервера www.contoso.com не оновлюється динамічно на внутрішніх DNS-серверах, його додають вручну, щоб внутрішні клієнти могли дозволяти імена та підключатися до громадського веб-сервера.

Записи вузлів можна додавати вручну, якщо в мережі використовується сервер UNIX. Наприклад, компанія Fabrikam, Inc. має у своїй приватній мережі один домен Active Directory з ім'ям fabrikam, com. Ця мережа також включає UNIX-сервер App1.fabrikam,com, який запускає важливий додаток для виконання щоденних операцій компанії. Оскільки UNIX-сервери не можуть виконувати динамічні оновлення, доведеться вручну додати запис вузла сервера Арр1 на DNS-сервер, який управляє зоною fabrikam, com. Інакше користувачі не можуть підключатися до сервера програм, вказуючи його ім'я FQDN.

Псевдонім (CNAME)

Ці записи іноді називають канонічними іменами. Вони дають змогу використовувати кілька імен для вказівки одного вузла. Наприклад, відомі імена серверів (ftp, www), як правило, реєструються за допомогою записів CNAME. Ці записи зіставляють імена вузлів, відповідні їх службам, із реальним записом Акомп'ютера, керуючого службою.

■ Коли потрібно перейменувати вузол, вказаний у записі тієї ж зони.

■ Якщо групове ім'я відомого сервера (наприклад, www) потрібно дозволити в групу окремих комп'ютерів (кожен з яких містить індивідуальні записи А), які забезпечують одну і ту ж службу (наприклад, група резервних веб-серверів).

Поштовий обмінник (MX )

Ці записи використовуються програмами електронної поштидля локалізації поштового серверау зоні. Вони дозволяють зіставляти доменне ім'я, вказане на адресу електронної пошти із записом Акомп'ютера, керуючого поштовим сервером в домені. Таким чином, цей тип запису дозволяє DNS-серверу обробляти адреси електронної пошти, у яких не вказано поштовий сервер.

Часто записи MX створюються для забезпечення відмови стійкості ще одного поштового сервера на випадок недоступності бажаного сервера.

Багато серверів призначаються значення переваг. Чим нижче це значення, тим вищий порядок переваги сервера.

ПРИМІТКА: Символ @

У цьому прикладі символ @ представляє локальне доменне ім'я, що міститься на адресі електронної пошти.

ПокажчикPTR

Цей запис використовується лише в зонах зворотного перегляду для підтримки зворотного перегляду, який здійснюється при дозволі IP-адрес в імена вузлів або імена FQDN. Зворотний перегляд виконується в кореневих зонах домену in-addr. Arpa. Записи PTR можна додавати до зони вручну або автоматично.

Нижче наведено приклад текстового представлення у файлі зони запису PTR, створеної в диспетчері DNS, яка зіставляє IP-адресу 192.168.0.99 імені вузла server 1.google.

99 PTRserver 1.google.ru .

ПРИМІТКА: Номер 99 записуPRT

У зоні зворотного перегляду останній октет IPv 4-адреси еквівалентний імені вузла. Тому число 99 є ім'я, призначене вузлу всередині зони 0.168.192.in -addr .arpa . Ця зона відповідає підмережі 192.168.0.0.

Розташування службиSRV

Записи SRV застосовують для вказівки розташування служб у домені. Клієнтські програми, що використовують SRV, за допомогою DNS можуть витягувати записи SRV серверів додатків.

Як програму, що використовує SRV, можна навести Windows Server 2008 Active Directory. Служба мережного входу в систему Netlogon використовує записи SRV для локалізації контролерів домену, виконуючи пошук домену Служби Active Directory полегшеного доступу до каталогів (Lightweight Directory Access Protocol, LDAP). DNS, щоб підвищити стійкість до відмови або усунути несправності мережних служб.

УвімкненняDNS для дозволуWINS

На вкладці WINS вікна властивостей зони можна вказати WINS-сервер, до якого буде звертатися служба DNS-сервер для перегляду імен, не знайдених за допомогою запитів DNS. При вказанні WINS-сервера на вкладці WINS діалогового вікна властивостей зони прямого перегляду до цієї зони додається особливий запис WINS, що посилається на цей WINS-сервер. При вказанні WINS-сервера на вкладці WINS діалогового вікна властивостей зони зворотного перегляду до зони додається особливий запис WINS-R, що визначає цей WINS-сервер.

Наприклад, якщо DNS-клієнт запитує ім'я ClientZ. contoso. на WINS-сервері, вказаному в записі WINS . Якщо сервер WINS відповідає на запит, DNS-сервер повертає його відповідь клієнту.

Очищення та видалення застарілих записів

Штампи часу використовуються в DNS для відстеження віку ресурсів, що динамічно реєструються записів. Очищення застарілих записів є процес видалення застарілих записів зі штампами часу. Очищення може виконуватися лише у разі використання штампів часу. Штампи часу та очищення разом забезпечують видалення старих записів, які можуть накопичуватися з часом у зоні. За замовчуванням штампи часу та очищення вимкнено.

Увімкнення очищення

Щоб увімкнути очищення окремої зони, потрібно включити цю функцію на рівні сервера та рівні зони.

Щоб увімкнути очищення на рівні сервера, у дереві консолі DNS (DNS Manager ) клацніть правою кнопкою миші значок сервера і застосуйте команду Встановити властивості очищення для всіх зон (Set Aging /Scavenging For All Zones ). Потім у діалоговому вікні Властивості очищення сервера (Server Aging /Scavenging Properties) встановіть прапорець Видаляти застарілі записи ресурсів (Scavenge Stale Resource Records). Хоча цей параметр включає на рівні сервера штампи часу та очищення всіх нових зон, він не включає штампи часу і очищення існуючих зон, інтегрованих в Active Directory .

Щоб задіяти їх, клацніть ОК, а потім у діалоговому вікні Підтвердження очищення сервера від застарілих ресурсів (Server Aging/ Scavenging Confirmation) установіть прапорець для застосування цих параметрів до існуючих зон, інтегрованих у Active Directory.

Щоб увімкнути штампи часу та очищення на рівні зони, відкрийте Властивості зони, а потім на вкладці Загальні (General) клацніть кнопку Очистка (Aging). У діалоговому вікні Властивості очищення для зони (Zone Aging/Scavenging Properties) встановіть прапорець Видаляти застарілі записи ресурсів (Scavenge Stale Resource Records).

Штампи часу DNS-сервер здійснює очищення за допомогою штампів часу, встановлених для записів ресурсів у зоні. Зони, інтегровані в Active Directory, встановлюють значення штампів часу для записів, що динамічно реєструються, за замовчуванням ще до включення очищення, Однак основні стандартні зони встановлюють штампи часу для динамічно реєстрованих записів в зоні лише після включення очищення. Записам ресурсів, створюваним вручну всім типів зон, призначається штамп часу 0; це означає, що їх вік не визначатиметься.- цей час між останнім оновленнямштампу та його можливим наступним оновленням. Блокування не дозволяє серверу обробляти непотрібні оновлення та знижує обсяг трафіку. За промовчанням призначається інтервал блокування 7 днів.

■ Модифікаціяінтервалуоновлення

Інтервал оновлення — це проміжок між раннім часом оновлення штампу часу і раннім часом початку очищення запису. Після закінчення інтервалів блокування та оновлення запису можуть видалятися із зони. За замовчуванням інтервал дорівнює 7 дням. Тому при включенні штампів часу записи ресурсів, що динамічно реєструються, можуть бути видалені через 14 днів.

Виконання очищення

Очищення виконується автоматично або вручну. Для автоматичного виконання очищення потрібно дозволити автоматичне видалення застарілих записів ресурсів на вкладці Додатково (Advanced) діалогового вікна властивостей DNS-сервера.

Якщо ця опція не увімкнена, ви можете виконати очищення в зонах вручну, клацнувши правою кнопкою миші значок сервера в дереві консолі Диспетчер DNS (DNS Manager) і застосувавши команду Видалити застарілі записи (Scavenge Stale Resource Records).

Зона GlobalNames

У Windows Server 2008 включений новий компонент, що дозволяє всім DNS-клієнтам у лісі Active Directory використовувати імена з однієї мітки, наприклад Mail, для підключення до ресурсів сервера. Цей компонент зручно використовувати, якщо список перегляду DNS-суфіксів за замовчуванням для DNS-клієнтів не дозволяє користувачам швидко підключатися (або підключатися взагалі) до ресурсу за допомогою такого імені з однієї мітки.

DNS-сервер у Windows Server 2008 дозволяє створювати зону GlobalNames. За промовчанням зона GlobalNames не існує, однак, розгорнувши зону з цим ім'ям, можна забезпечити доступ до вибраних ресурсів за допомогою імен з однієї мітки, не використовуючи WINS. Як правило, імена з однієї мітки призначаються важливим і широко використовуваним серверам, яким вже призначені статичні IP-адреси. GlobalNames на віддаленому сервері, замість точки введіть ім'я віддаленого сервера.

■ створеннязони GlobalNames

Наступний крок а розгортанні зони GlobalNames полягає у створенні зони для DNS-сервера, що служить контролером домену Windows Server 2008. Зона GlobalNames є не особливим типом зони, а лише інтегрованою в Active Directory зону прямого перегляду з ім'ям GlobalNames. Під час створення зони виберіть реплікацію даних зони для всіх DNS-серверів у лісі. Ця опція знаходиться на сторінці Область реплікації зони, інтегрованої в Active Directory (забезпечити можливість дозволу імен з однієї мітки, створіть і зоні G lobalNames запис псевдоніма (CNAME ) ресурсу. Ім'я, призначене кожному запису CNAME , представляє ім'я з однієї мітки, за допомогою якого використовується підключатися до ресурсу Відзначимо, що кожен запис CNAME вказує запис вузла ще в одній зоні.

Свого часу відкрив для себе просту істину: хочеш запам'ятати щось – веди конспект (навіть при читанні книги), а хочеш закріпити та систематизувати – донеси до людей (напиши статтю). Тому, після двох років роботи в системній інтеграції (сфері, яку я перебуваю системним адміністратором, вважав просто рогом достатку для спраглих прокачування фахівців), коли я зрозумів, що знання поступово витісняються навичками редагування документації та конфігурування за мануалами та інструкціями, для підтримки форми я почав писати статті про базові речі. Наприклад ось – про DNS. Робив тоді я це більше для себе, але подумав - раптом комусь знадобиться.

Сервіс у сучасних мережах якщо не ключовий, то один із таких. Ті, для кого служба DNS не нова, першу частину можуть спокійно пропустити.

(анкерів немає, тому зміст без посилань)

1. Основні відомості

DNS - це база даних, що містить, в основному, інформацію про зіставлення імен мережевих об'єктів їх IP-адрес. «Здебільшого» - тому що там і ще деяка інформація зберігається. А точніше, ресурсні записи (Resource Records – RR) наступних типів:

А- те саме зіставлення символьного імені домену його IP-адресою.

АААА- те, що А, але для адрес IPv6.

CNAME- Canonical NAME – псевдонім. Якщо потрібно, щоб сервер з незручним ім'ям типу nsk-dc2-0704-ibm, на якому крутиться корпоративний портал, відгукувався також на ім'я portal, можна створити для нього ще один запис типу А, з ім'ям portal і такою ж IP-адресою. Але тоді, у разі зміни IP адреси (будь-яке буває), потрібно буде перестворювати всі подібні записи заново. А якщо зробити CNAME з ім'ям portal, що вказує на nsk-dc2-0704-ibm, то нічого міняти не доведеться.

MX- Mail eXchanger – покажчик на поштовий обмінник. Як і CNAME, є символьним покажчиком на вже наявний запис типу A, але крім імені містить також пріоритет. MX-записів може бути кілька для одного поштового домену, але насамперед пошта буде надсилатися на той сервер, для якого вказано менше значення в полі пріоритету. У разі його недоступності – на наступний сервер тощо.

NS- Name Server – містить ім'я DNS-сервера, відповідального за цей домен. Звичайно для кожного запису типу NS має бути відповідний запис типу А.

SOA- Start of Authority - вказує на якому з NS-серверів зберігається еталонна інформація про цей домен, контактну інформацію особи, відповідальної за зону, таймінги зберігання інформації в кеші.

SRV- покажчик на сервер, власник якогось сервісу (використовується для сервісів AD і, наприклад, Jabber). Крім імені сервера містить такі поля як Priority (пріоритет) – аналогічний такому ж у MX, Weight (вага) – використовується для балансування навантаження між серверами з однаковим пріоритетом – клієнти вибирають сервер випадковим чином з ймовірністю на основі ваги та Port Number – номер порту, у якому сервіс «слухає» запити.

Усі перелічені типи записів зустрічаються у зоні прямого перегляду (forward lookup zone) DNS. Є ще зона зворотного перегляду (reverse lookup zone) – там зберігаються записи типу PTR- PoinTeR - запис протилежний типу A. Зберігає зіставлення IP-адреси його символьного імені. Потрібна для обробки зворотних запитів - визначення імені хоста за його IP-адресою. Не потрібно для функціонування DNS, але потрібна для різних діагностичних утиліт, а також деяких видів антиспам-захисту в поштових сервісах.

Крім того, самі зони, що зберігають у собі інформацію про домен, бувають двох типів (класично):

Основна (primary)- являє собою текстовий файл, що містить інформацію про хостів та сервіси домену. Можна редагувати файл.

Додаткова (secondary)- теж текстовий файл, але, на відміну від основного, редагування не підлягає. Стягується автоматично із сервера, що зберігає основну зону. Збільшує доступність та надійність.

Для реєстрації домену в інтернет, треба щоб інформацію про нього зберігали щонайменше два DNS-сервери.

У Windows 2000 з'явився такий тип зони як інтегрована в AD- зона зберігається над текстовому файлі, а базі даних AD, що дозволяє їй реплікуватися інші контролери доменів разом із AD, використовуючи її механізми реплікації. Основним плюсом цього варіанта є можливість реалізації безпечної динамічної реєстрації в DNS. Тобто записи про себе можуть створити лише комп'ютери – члени домену.

У Windows 2003 з'явилася також stub-зона - зона-заглушка. Вона зберігає інформацію лише про DNS-сервери, які є повноважними для цього домену. Тобто NS-записи. Що схоже за змістом на умовне пересилання ( conditional forwarding), яка з'явилася в цій же версії Windows Server, але список серверів, на який надсилаються запити, оновлюється автоматично.

Ітеративний та рекурсивний запити.

Зрозуміло, що окремий DNS-сервер не знає про всі домени в інтернеті. Тому при отриманні запиту на невідому йому адресу, наприклад metro.yandex.ru, ініціюється наступна послідовність ітерацій:

DNS-сервер звертається до одного з кореневих серверів інтернету, які зберігають інформацію про повноважних власників доменів першого рівня або зон (ru, org, com і т.д.). Отриману адресу повноважного сервера повідомляє клієнту.

Клієнт звертається до власника зони ru з тим самим запитом.

DNS-сервер зони RU шукає у себе в кеші відповідний запис і, якщо не знаходить, повертає клієнту адресу сервера, що є повноважним для домену другого рівня - у нашому випадку

Клієнт звертається до DNS yandex.ru з тим самим запитом.

DNS яндексу повертає потрібну адресу.

Така послідовність подій рідко зустрічається у наш час. Тому що є таке поняття, як рекурсивний запит - коли DNS-сервер, до якого клієнт спочатку звернувся, виконує всі ітерації від імені клієнта і потім повертає клієнту вже готову відповідь, а також зберігає у себе в кеші отриману інформацію. Підтримку рекурсивних запитів можна відключити на сервері, але більшість серверів підтримують.

Клієнт, як правило, звертається із запитом, який має прапор «потрібна рекурсія».

2. Небагато про формат повідомлення DNS

Повідомлення складається з 12-байтного заголовка, за яким йдуть 4 поля змінної довжини.

Заголовок складається з наступних полів:

Формат DNS-повідомлення

Ідентифікація - у це полі клієнтом генерується певний ідентифікатор, який потім копіюється у відповідне поле відповіді сервера, щоб можна було зрозуміти, на який запит надійшла відповідь.

Прапори - 16-бітове поле, поділене на 8 частин:

• QR(тип повідомлення), 1-бітове поле: 0 означає - запит, 1 означає - відгук.
• opcode(код операції), 4-бітове поле. Звичайне значення 0 (стандартний запит). Інші значення - це 1 (інверсний запит) та 2 (запит статусу сервера).
• AA- 1-бітовий прапор, який означає авторитетна відповідь (authoritative answer). Сервер DNS має повноваження для цього домену у розділі питань.
• TC- 1-бітове поле, яке означає "обрізане" (truncated). У випадку UDP це означає, що повний розмір відгуку перевищив 512 байт, проте повернули лише перші 512 байт відгуку.
• RD- 1-бітове поле, яке означає "потрібна рекурсія" (recursion desired). Біт може бути встановлений у запиті, а потім повернутий у відгуку. Цей прапор вимагає від DNS сервера обробити цей запит самому (тобто. сервер повинен сам визначити потрібну IP адресу, а не повертати адресу іншого DNS сервера), що називається рекурсивним запитом (recursive query). Якщо цей біт не встановлений і сервер DNS, що запитується, не має авторитетної відповіді, запитуваний сервер поверне список інших серверів DNS, до яких необхідно звернутися, щоб отримати відповідь. Це називається повторюваним запитом (iterative query). Ми розглянемо приклади обох типів запитів у таких прикладах.
• RA- 1-бітове поле, яке означає "рекурсія можлива" (recursion available). Цей біт встановлюється в один у відгуку, якщо сервер підтримує рекурсію. Ми побачимо в наших прикладах, що більшість серверів DNS підтримують рекурсію, за винятком декількох кореневих серверів (коневі сервери не в змозі обробляти рекурсивні запити через свою завантаженість).
• 0 - Це 3-бітове поле має дорівнювати 0.
• rcodeце 4-бітове поле коду повернення. Звичайні значення: 0 (немає помилок) та 3 (помилка імені). Помилка імені повертається тільки від повноважного DNS-сервера і означає, що ім'я домену, вказаного в запиті, не існує.

Наступні чотири 16-бітові поля вказують на кількість пунктів у чотирьох полях змінної довжини, які завершують запис. У запиті кількість питань (number of questions) зазвичай дорівнює 1, а інші три лічильники дорівнюють 0. У відгуку кількість відповідей (number of answers) щонайменше дорівнює 1, а два лічильника, що залишилися, можуть бути як нульовими, так і ненульовими.

Приклад (отримано за допомогою WinDump при виконанні команди ping www.ru):

IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53: 36587+ A? www.ru. (24)
IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036: 36587 1/2/5 A 194.87.0.50 (196)

Перший рядок - запит: ім'я мого ПК, 51036 - випадково вибраний порт відправки, 53 - заздалегідь відомий порт DNS-сервера, 36587 - ідентифікатор запиту, + - "потрібна рекурсія", А - запит запису типу А, знак питання означає, що це запит, а чи не відповідь. У дужках – довжина повідомлення в байтах.

Другий рядок - відповідь сервера: на вказаний вихідний порт із зазначеним ідентифікатором запиту. Відповідь містить один RR (ресурсний запис DNS), що є відповіддю на запит, 2 записи повноважень та 5 якихось додаткових записів. Загальна довжина відповіді – 196 байт.

3. TCP та UDP

На слуху відомості про те, що DNS працює за протоколом UDP (порт 53). Це дійсно за умовчанням так - запити та відповіді надсилаються UDP. Однак вище згадується наявність у заголовку повідомлення прапора TC (Truncated). Він виставляється в 1, якщо розмір відгуку перевищив 512 байт - межа для UDP-відгуку - отже був обрізаний і клієнту прийшли лише перші 512 байт. У цьому випадку клієнт повторює запит, але вже по TCP, який через свою специфіку, може безпечно передати великі обсяги даних.

Також передача зон від основних серверів до додаткових здійснюється за TCP, оскільки в цьому випадку передається значно більше 512 байт.

4. DNS у Windows Server 2008 та 2012

У Windows 2008 з'явилися такі можливості:

Фонове завантаження зон

У великих організаціях з дуже великими зонами, які використовують для зберігання даних DNS доменні служби Active Directory, перезапуск DNS-сервера може тривати годину або більше, поки дані DNS вилучаються зі служби каталогів. При цьому DNS-сервер недоступний для обслуговування клієнтських запитів весь час, доки триває завантаження зон доменних служб Active Directory.
DNS-сервер з ОС Windows Server 2008 тепер під час перезавантаження завантажує дані зони з доменних служб Active Directory фоновому режимі, завдяки чому може обробляти запити даних з інших зон. Під час запуску сервера DNS виконуються такі дії:

• визначаються всі зони, які мають бути завантажені;
• із файлів або сховища доменних служб Active Directory завантажуються кореневі посилання;
• завантажуються всі зони з файловою підтримкою, тобто зони, що зберігаються у файлах, а не доменних служб Active Directory;
• починається обробка запитів та віддалених викликів процедур (RPC);
• створюються один або кілька потоків для завантаження зон, які зберігаються в доменних службах Active Directory.

Оскільки завдання завантаження зон виконується окремими потоками, сервер DNS може обробляти запити під час завантаження зони. Якщо DNS-клієнт запитує дані для вузла в зоні, яка вже завантажена, DNS-сервер відправляє у відповідь дані (або, якщо це доречно, негативна відповідь). Якщо запит виконується для вузла, який ще не завантажений у пам'ять, сервер DNS зчитує дані вузла з доменних служб Active Directory і оновлює відповідним чином список записів вузла.

Підтримка IPv6-адрес

Протокол Інтернету версії 6 (IPv6) визначає адреси, довжина яких становить 128 біт, на відміну адрес IP версії 4 (IPv4), довжина яких становить 32 біта.
DNS-сервери з Windows Server 2008 тепер повністю підтримують як IPv4-адреси, так і IPv6-адреси. Засіб командного рядка dnscmd також приймає адреси в обох форматах. Список серверів пересилання може містити і IPv4-адреси, і IPv6-адреси. DHCP-клієнти також можуть реєструвати IPv6-адреси поряд з IPv4-адресами (або замість них). Нарешті, DNS-сервери тепер підтримують місце імен домену ip6.arpa для зворотного зіставлення.

Зміни DNS-клієнта

Роздільна здатність імен LLMNR
Клієнтські комп'ютери DNS можуть використовувати роздільну здатність імен LLMNR (Link-local Multicast Name Resolution), яку також називають багатоадресною системою DNS або mDNS, для дозволу імен у сегменті локальної мережі, де недоступний DNS-сервер. Наприклад, при ізоляції підмережі від усіх DNS-серверів в мережі через збій у роботі маршрутизатора клієнти в цій підмережі, які підтримують дозвіл імен LLMNR, можуть і дозволяти імена за допомогою однорангової схеми до відновлення з'єднання з мережею.
Крім дозволу імен у разі збою в роботі мережі, функція LLMNR може також бути корисною при розгортанні однорангових мереж, наприклад, у залах очікування аеропортів.

Зміни Windows 2012в частині DNS торкнулися переважно технології DNSSEC (забезпечення безпеки DNS за рахунок додавання цифрових підписівдо записів DNS), зокрема - забезпечення динамічних оновлень, які були недоступні при включенні DNSSEC у Windows Server 2008.

5. DNS та Active directory

Active Directory дуже сильно спирається на свою діяльність на DNS. З його допомогою контролери домену шукають один одного для реплікації. З його допомогою (і Netlogon служби) клієнти визначають контролери домену для авторизації.

Для забезпечення пошуку в процесі підняття на сервері ролі контролера домену його служба Netlogon реєструє в DNS відповідні A і SRV записи.

SRV записи, що реєструються службою Net Logon:

_ldap._tcp.DnsDomainName
_ldap._tcp.SiteName._sites.DnsDomainName
_ldap._tcp.dc._msdcs.DnsDomainName
_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName
_ldap._tcp.pdc._msdcs.DnsDomainName
_ldap._tcp.gc._msdcs.DnsForestName
_ldap._tcp.SiteName._sites.gc._msdcs. DnsForestName
_gc._tcp.DnsForestName
_gc._tcp.SiteName._sites.DnsForestName
_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName
_kerberos._tcp.DnsDomainName.
_kerberos._udp.DnsDomainName
_kerberos._tcp.SiteName._sites.DnsDomainName
_kerberos._tcp.dc._msdcs.DnsDomainName
_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName
_kpasswd._tcp.DnsDomainName
_kpasswd._udp.DnsDomainName

Перша частина запису SRV ідентифікує службу, на яку вказує запис SRV. Існують такі служби:

_ldap - Active Directory є службою каталогу, сумісною з LDAP-протоколом, з контролерами домену, які функціонують як LDAP-сервери. Записи _ldap SRV ідентифікує сервери LDAP, наявні в мережі. Ці сервери можуть бути контролерами домену Windows Server 2000+ або іншими серверами LDAP;

_kerberos - SRV-записи _kerberos ідентифікують усі ключові центри розподілу (KDC – Key Distribution Centers) у мережі. Вони можуть бути контролерами домену з Windows Server 2003 або іншими серверами KDC;

_kpassword - ідентифікує сервери зміни паролів kerberos у мережі;

_gc - запис, що стосується функції глобального каталогу в Active Directory.

У піддомені _mcdcs реєструються лише контролери домену Microsoft Windows Server. Вони роблять і основні записи та записи в цьому піддоміні. Не-Microsoft-служби роблять лише основні записи.

DomainGuid - Глобальний ідентифікатор домену. Запис, що містить його, необхідна у разі перейменування домену.

Як відбувається процес пошуку DC

Під час входу користувача клієнт ініціює DNS-локатор, за допомогою віддаленого виклику процедури (Remote Procedure Call - RPC) службою NetLogon. Як вихідні дані в процедуру передаються ім'я комп'ютера, назва домену та сайту.

Служба надсилає один або кілька запитів за допомогою функції API DsGetDcName()

DNS сервер повертає запитаний список серверів, розсортований відповідно до пріоритету та ваги. Потім клієнт надсилає LDAP запит, використовуючи UDP-порт 389 на кожну з адрес запису в тому порядку, як вони були повернуті.

Усі доступні контролери доменів відповідають на цей запит, повідомляючи про свою працездатність.

Після виявлення контролера домену, клієнт встановлює з ним з'єднання LDAP для отримання доступу до Active Directory. Як частина їх діалогу, контролер домену визначає, на якому сайті розміщується клієнт, на основі його IP адреси. І якщо з'ясовується, що клієнт звернувся не до найближчого DC, а, наприклад, нещодавно переїхав в інший сайт і за звичкою запросив DC зі старого (інформація про сайт кешується на клієнта за результатами останнього успішного входу), контролер висилає йому назву його (клієнта) нового сайту Якщо клієнт вже намагався знайти контролер у цьому сайті, але безуспішно, він продовжує використовувати знайдений. Якщо ні, то ініціюється новий DNS-запит із зазначенням нового сайту.

Служба Netlogon кешує інформацію про місцезнаходження контролера домену, щоб не ініціювати всю процедуру за будь-якої необхідності звернення до DC. Однак, якщо використовується неоптимальний DC (розташований в іншому сайті), клієнт очищає цей кеш через 15 хвилин і ініціює пошуки заново (у спробі знайти свій оптимальний контролер).

Якщо у комп'ютера відсутня в кеші інформація про його сайт, він звертатиметься до будь-якого контролера домену. Щоб припинити таку поведінку, на DNS можна налаштувати NetMask Ordering. Тоді DNS видасть список DC у такому порядку, щоб контролери, розташовані в тій самій мережі, що й клієнт, були першими.

Приклад: Dnscmd /Config /LocalNetPriorityNetMask 0x0000003Fвкаже маску підмережі 255.255.255.192 для пріоритетних DC. За замовчуванням використовується маска 255.255.255.0 (0x000000FF)