DNS-Spickzettel – SouToub


prchecker.info
prchecker.info

Jeder kennt den Domain Name Service schon lange. Dies ist einer der “nützlichsten” Dienste, dessen Zweck selbst für einen normalen Benutzer mehr als offensichtlich ist.… Nur wenige Menschen kennen die Funktionsweise von DNS und die Hintergründe der “einfachen” Namensauflösung von Name zu IP-Adresse (und nicht nur). Ich muss zugeben, dass ich selbst nicht alle Nuancen verstehe, da ich in Bezug auf die Besonderheiten meiner Arbeit nicht jeden Tag auf DNS stoße (die Eingabe von DNS-Servern in die Netzwerkeinstellungen zählt nicht). Selbst wenn Sie es schaffen, etwas herauszufinden, wird alles sehr schnell vergessen. In der Tat ist DNS im Unternehmensnetzwerk einer der Dienste, die ich eingerichtet und vergessen habe.

Es ist lange an der Zeit, das gewonnene Wissen an einen einzigen Ort zu bringen und es gegebenenfalls schnell in meinem Kopf wiederherzustellen. Ein kleiner Artikel in der Nähe ist ideal. Dieser Artikel hat das Format eines Spickzettel, in dem ich Fragen formuliere, die in erster Linie für mich selbst relevant sind, und sie im Laufe der Zeit schrittweise beantworte.

Zuerst müssen Sie alles in die Regale stellen. ::

„Gemäß den Richtlinien (RFC-1034, RFC-1035) besteht das Domain Name System aus drei Hauptteilen:

  • Gesamtsatz von Domainnamen (Domain Name Space)
  • Domain Name Server
  • DNS-Clients (Resolver) “

Die Struktur vieler Domainnamen ist eine baumartige Hierarchie. Um die anfangs recht einfache Sache nicht zu komplizieren, habe ich das am besten geeignete Bild ausgewählt, das die Domainnamenhierarchie beschreibt ::

DNS-Hierarchie

Die Klassifizierung von Domainnamen sollte ebenfalls leicht verständlich sein, aber überraschenderweise gibt es im Internet praktisch keine normalen Abbildungen. Ich habe nur eine Hand ::

hqdefault

Im Allgemeinen auf diesem Kanal Eine große Anzahl von Lektionen, die speziell dem DNS gewidmet sind. Ich rate dir auf jeden Fall, es dir anzusehen. Obwohl es eine Beschreibung der Arten von DNS-Servern auf Wikipedia gibt , es ist flach dort und nur umsonst verwirrend.

Fragen, die DNS-Kunden sind, sollten nicht auftauchen.

Wenn wir darüber reden maßgebend und nicht maßgebend Server besteht ihr Unterschied darin, dass im ersten Fall der Server für die Zone verantwortlich ist und im zweiten Fall nicht. Das heißt, nicht autorisierende Server fungieren in den meisten Fällen nur als Caching und können nur diese Zone kopieren. Dies ist aus der obigen Abbildung gut ersichtlich.

Es gibt verschiedene Arten von autorisierenden DNS-Servern: primärer Master, Master, Slave… Es gibt nur deutliche Unterschiede zwischen dem primären Master und dem Slave. Die Quintessenz ist, dass im ersten Fall der Server an der Spitze der Hierarchie steht, Sie Änderungen an der Beschreibung der darauf befindlichen Zone vornehmen können und dieser Server diese Zone niemals von anderen Servern kopieren wird. Im Gegenteil, Slave-Server sind nur sekundär und kopieren die Zone vom primären Master. Ihre Hauptaufgabe ist Lastausgleich, Redundanz. Es ist für mich etwas schwierig, den Typ der Master-Server zu bestimmen. Viele Quellen bezeichnen diese Server auch als die wichtigsten:

„Die Beschreibung der Zone des Master-Servers ist seitdem primär Es wird manuell vom Zonenadministrator erstellt. Dementsprechend kann nur der Administrator dieses Servers Änderungen an der Zonenbeschreibung vornehmen. Alle anderen Server kopieren nur Informationen vom Master-Server. “

… aber andererseits widerspricht die Definition des Primärmasters dem sogar aus denselben Quellen:

“Um einen Server zu unterscheiden, der keine Zonen von einem anderen Server kopiert, wird das Konzept des primären Masters eingeführt.”

Das heißt, nicht auf allen Master-Servern können Änderungen an der Zonenbeschreibung vorgenommen werden, sondern nur auf einem einzelnen Master-Server, der als primärer Master bezeichnet wird. In diesem Fall gibt es wirklich nur zwei “statische” Servertypen – primären Master und Slave. Der Server kann nur für einen bestimmten kurzen Zeitraum eine Master-Rolle spielen – wenn ein Slave-Server (Server 1 genannt) Informationen von einem anderen Slave-Server (Server 2) kopiert. In diesem Fall hat Server 2 das Recht, als Master-Server für Server 1 bezeichnet zu werden. Dies gilt jedoch nur für einen bestimmten Zonen-Kopiervorgang. Wenn Server 2 die Zonenbeschreibung von einem einzelnen primären Master kopiert, handelt es sich wieder um einen Slave-Server. Dies wird durch eine Illustration von nic.ru bestätigt ::

000128

Hier sind einige Überlegungen. Natürlich sind alle diese Definitionen eher verwirrend als hilfreich. Sie müssen nur bedenken, dass es einen primären Meister gibt und er an der Spitze der Hierarchie steht und es alle anderen gibt. Es sollte hinzugefügt werden, dass Server aller drei Typen autorisierend sind, dh für die Zone verantwortlich sind.

An der Spitze der gesamten Hierarchie der Domänennamen stehen die Server, die die Stammzone bedienen. Sie werden aufgerufen Root-Server… Sie sind die ersten, auf die alle anderen DNS-Server zugreifen, wenn sie keine Informationen zu einem Domainnamen haben. In der Hierarchie der Domainnamen in der ersten Abbildung des Artikels befinden sie sich am “.«.

Bevor Sie mit der Beschreibung der Arten von Anforderungen fortfahren, müssen Sie einen weiteren wichtigen Punkt beachten – den Unterschied zwischen Zone und Domain… Das Thema wird in einer Publikation zu Habré angesprochen ::

Somit ist der Namespace in Zonen unterteilt ( Zonen), von denen jede von einer eigenen Domain verwaltet wird. Beachten Sie den Unterschied zwischen dem (Zone) und Domain (Domain): Domain groucho.edu betrifft alle Autos an der Groucho Marx Universität, während die Zone groucho.edu Umfasst nur Hosts, die im direkten Rechenzentrum arbeiten, z. B. im Fachbereich Mathematik. Die Gastgeber in der Physikabteilung gehören nämlich einer anderen Zone an physik.groucho.edu.

Meiner Meinung nach wird dies in dem Artikel auf nic.ru, der ganz am Anfang erwähnt wurde, genauer und klarer angegeben:

Eine Domäne ist eine Gruppe von Computern, die zum selben Domänennamen gehören. Beispielsweise gehören alle Computer, deren Namen das Postfix kiae.su enthalten, zur Domäne kiae.su. Eine Zone ist der “Verantwortungsbereich” eines bestimmten Domain Name Servers, dh. Das Konzept einer Domäne ist breiter als das einer Zone. Wenn eine Domain in Subdomains aufgeteilt ist, kann jede von ihnen einen eigenen Server haben. In diesem Fall ist die Verantwortungszone eines übergeordneten Servers nur der Teil der Domänenbeschreibung, der nicht an andere Server delegiert wird. Das Aufteilen einer Domäne in Unterdomänen und das Organisieren eines Servers für jede dieser Domänen wird als Delegierung von Zonenverwaltungsrechten an den entsprechenden Domänennamenserver oder einfach als Zonendelegierung bezeichnet.

Es gibt zwei Arten von Abfragen an DNS-Server: rekursiv und nicht rekursiv (iterativ)… Das Funktionsprinzip wird ausführlich beschrieben auf dem oben genannten Youtube-Kanal. Bei einer rekursiven Anforderung wendet sich der Client an den bevorzugten DNS-Server. Wenn er die Antwort nicht kennt, beginnt er, die für die Zonen verantwortlichen Server nacheinander abzufragen, beginnend mit dem Stammverzeichnis und dann in der Hierarchie. Eine umfassende Erläuterung der Funktionsweise einer rekursiven Abfrage finden Sie im Artikel auf oszone.ru. Eine iterative Abfrage ist seltener. Darin fragt der Client selbst nacheinander DNS-Server ab, beginnend mit den Stammservern usw. Natürlich, wenn er die Abfrageergebnisse nicht in seinem Cache findet.

Visuell rekursiv Die Anfrage sieht folgendermaßen aus:

wiederholt sich

aber nicht rekursiv ::

not_recurs

Damit ist der Überblick über die Grundprinzipien von DNS abgeschlossen. Als Teil dieses Artikels hatte ich nicht vor, auf die DNS-Datensatztypen sowie die Mechanismen der umgekehrten Namensauflösung (IP-Adresse nach DNS-Name) einzugehen, obwohl dies natürlich sehr interessante Themen sind.

Das Konfigurieren der DNS-Rolle unter Windows Server ist wie bei vielen anderen eine recht einfache Aufgabe. Fügen Sie eine Rolle im Server-Manager hinzu, führen Sie den Assistenten aus und richten Sie alles ein. Trotzdem gibt es paradoxe Situationen, und manchmal hört man Geschichten, wie einige “Administratoren” nacheinander auf jedem Domänencontroller dieselben Benutzerkonten hinzufügen, ohne eine Ahnung von der Replikation zu haben. Und das Schlimmste ist, dass sie Erfolg haben! Das heißt, wir können daraus schließen, dass Domänencontroller zwar dieselbe Domäne unterstützen, jedoch nichts voneinander wissen (andernfalls wäre es nicht möglich gewesen, ein Konto mit demselben Namen zu erstellen). Dies kann auf eine Fehlkonfiguration der DNS-Rolle zurückzuführen sein, die normalerweise immer neben AD DS steht.

Dieser Abschnitt bietet einen Überblick über bewährte Methoden zum Konfigurieren der DNS-Rolle (AD integriert) unter Windows Server 2012 R2. Die meisten Hinweise gelten jedoch auch für frühere Betriebssystemversionen. Vergessen Sie jedoch nicht die Verbesserungen, die in jeder neuen Version hinzugefügt werden, und 2012 R2 ist keine Ausnahme. .

Ich meine, es macht keinen Sinn zu wiederholen, dass es in jeder Domäne mindestens zwei Domänencontroller geben muss. Dies ist für die Fehlertoleranz erforderlich. Die eigene IP-Adresse des Servers muss statisch sein .

Eigentlich die Empfehlungen selbst:

1) «Wenn mehrere DCs als DNS-Server konfiguriert sind, sollten sie so konfiguriert sein, dass sie sich zuerst für die Auflösung und dann selbst für die Auflösung verwenden.» .

Um Probleme mit der Replikation zu vermeiden, sollten die Replikationspartner, dh andere Domänencontroller, zuerst in der Liste der primären DNS-Server auf jedem Domänencontroller aufgeführt werden. Die eigene Adresse eines einzelnen Servers muss als die neueste angegeben werden in seiner Liste der DNS-Server. Verwenden Sie für eine bessere Leistung die zuletzt in der Liste angegebene Loopback-Adresse 127.0.0.1. als die eigene Adresse des Servers (aber nicht die tatsächliche Netzwerkadresse des Adapters), obwohl dies manchmal kleinere Probleme verursachen kann .

2) Auf Client-Systemen sollten nur lokale DNS-Server verwendet werden, keine öffentlichen.

Andernfalls können Probleme auftreten mit internen Namen aufgelöst, obwohl außerhalb verfügbar sein wird. Im Unternehmensnetzwerk dürfen jedoch nur Domänencontroller und Exchange-Server über DNS-Ports nach außen zugreifen.

Stellen Sie sicher, dass Ihr DHCP-Server den Clients Einstellungen mit allen DNS-Serveradressen gibt, die Sie haben. Es kann zwei oder mehr geben, alles hängt von der spezifischen Topologie ab. Wenn Sie eine AD-Struktur mit vielen Standorten haben, ist es logisch, dass die Server des Standorts, an dem sich dieser PC befindet, zuerst in Reihenfolge gebracht werden und erst dann die Adressen der DNS-Server anderer Standorte ausgegeben werden .

3) Wenn Sie eine AD-Domäne haben, verwenden Sie nur die AD-integrierte (AD-integrierte) Rolle. Es werden viele Vorteile in Bezug auf Sicherheit, Leistung und Fehlertoleranz hinzugefügt .

Wenn wir über Fehlertoleranz sprechen, haben Sie keinen einzigen Fehlerpunkt in Form eines primären Master-Servers für Ihre DNS-Zone (wenn dieser Server ausfällt und nicht sofort wiederhergestellt oder ersetzt wird, werden Client-Anforderungen zum Ändern von Datensätzen nicht ausgeführt verarbeitet. das wäre ein sehr großes Problem für einen statischen PC-Park, aber nicht angenehm genug). Außerdem müssen Administratoren nicht mit zwei verschiedenen Replikationsschemata herumspielen – DNS und ADDS. Für einfachere und verständlichere Schemata erhöht sich die Zuverlässigkeit erheblich.

Die Leistung der gesamten Infrastruktur wird erhöht, da alle Replikationspartner (Domänencontroller) das gleiche Gewicht haben und keine Master- oder Slave-Server vorhanden sind. Wenn die Anforderung an den klassischen DNS-Slave-Server gesendet wird, muss er sich an den Master wenden, um den Aktualisierungsprozess zu starten. Mit werbeintegrierten DNS kann jeder Domänencontroller Änderungen in die DNS-Datenbank schreiben und diese dann langsam auf andere Controller replizieren. Darüber hinaus ist der Replikationsmechanismus von ad ds selbst erheblich schneller.

Erhöhte Sicherheit durch sichere dynamische Updates … Wir sprechen hier nicht über DNSSEC, dies ist eine allgemeine Technologie, obwohl Windows implementiert ist .

Dies ist wahrscheinlich die beste Vorgehensweise. Es gibt einige Überlegungen was ist besser use – root-Hinweise oder Weiterleitungsserver, dies ist jedoch eher eine persönliche Angelegenheit des Administrators als eine gängige Praxis. Denken Sie daran, dass Ihr DNS-Server iterative Anforderungen an die Stammserver und rekursive Anforderungen an die Weiterleitungen stellt, die für sie ein Client sind. Root-Hinweise werden zunächst konfiguriert, weil Sie sind für das gesamte Internet gleich und die Weiterleitungen müssen manuell angegeben werden. Das einzige, was Sie beachten müssen, ist, dass Sie auf den Weiterleitungsservern keine öffentlichen Server angeben. lass es besser sein dns-ressourcen deines anbieters.

Es gibt auch Empfehlungen (Erforderliche Lektüre) zur automatischen Bereinigung von DNS-Datensätzen. Ich werde sie in diesem Artikel nicht im Detail behandeln, da die automatische Bereinigung von Datensätzen standardmäßig deaktiviert ist. Tatsächlich ist der Einrichtungsprozess sehr einfach, hat aber kolossale Konsequenzen. für die Infrastruktur für den Fall, dass Sie nicht verstehen, was genau Sie tun und wozu es führen kann.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *