Какую роль играет домен в компьютерной сети

Обновлено: 21.11.2024

Система доменных имен (т. е. «DNS») отвечает за преобразование доменных имен в определенный IP-адрес, чтобы инициирующий клиент мог загружать запрошенные интернет-ресурсы. Система доменных имен во многом похожа на телефонную книгу, где пользователи могут искать нужного человека и получать его номер телефона. DNS-серверы преобразуют запросы для определенных доменов в IP-адреса, контролируя, какие пользователи сервера имеют доступ, когда они вводят доменное имя в свой браузер.

Краткая история DNS

Когда появился Интернет, людям было проще сопоставлять определенные IP-адреса с определенными компьютерами, но это продолжалось недолго, поскольку к растущей сети присоединялось все больше устройств и людей. Хотя по-прежнему можно ввести определенный IP-адрес в браузер и перейти на веб-сайт, пользователи хотели, чтобы названия веб-сайтов было легче запомнить. Когда появился Интернет, Элизабет Файнлер из Стэнфорда лично внесла эти имена и адреса в главный список каждого компьютера, подключенного к Интернету. Этот текстовый файл назывался «hosts.txt».

Поскольку Интернет разросся до миллионов доменов, это стало неустойчивым. В 1983 году Полу Мокапетрису, исследователю USC, было поручено разработать решение. Его решением стала новая система, которую он назвал DNS, которая по-прежнему основана на фундаментальных принципах Мокапетриса. Сегодня стандарты DNS поддерживаются Инженерной группой Интернета (IETF) в документе RFC 1035.

Как работают DNS-серверы

Каталог DNS распространяется по всему миру и хранится на специальных серверах, называемых DNS-серверами (т. е. «серверами доменных имен»), которые соединены между собой и регулярно обмениваются данными для синхронизации информации каталога и создания избыточности.

DNS-серверы и IP-адреса

Процесс поиска DNS

Целью DNS является преобразование доменного имени в соответствующий IP-адрес. Это делается путем поиска DNS-записей запрошенного домена. Обычно в этом процессе поиска DNS есть восемь шагов, которые следуют по пути информации от исходного веб-браузера до DNS-сервера и обратно. На практике информация DNS часто кэшируется, чтобы сократить время ответа при поиске DNS. Если информация DNS не кэшируется, восьмиэтапный процесс поиска выглядит следующим образом:

Восемь шагов поиска в DNS:

Типы служб DNS

Существует два основных типа служб, предоставляемых DNS-серверами: полномочный DNS и рекурсивный DNS. Оба являются неотъемлемой частью инфраструктуры DNS, но каждый из них служит разным целям во время запроса DNS. Рекурсивный DNS-сервер в начале и полномочный DNS-сервер в конце DNS-запроса.

Рекурсивный DNS-сервер. Как указано в описании процесса поиска DNS, рекурсивный DNS-сервер отвечает на запрос клиента и возвращает IP-адрес запрошенного доменного имени. Сервер рекурсивного распознавателя выполняет ряд запросов, пока не достигнет полномочного сервера имен DNS для запрошенного домена.

Авторитетный DNS-сервер. Авторитетный DNS-сервер — это сервер, который фактически хранит и поддерживает запись для запрошенного домена. Полномочный DNS-сервер также имеет обновленный механизм, позволяющий администраторам управлять своими общедоступными DNS-именами. Авторитетный DNS-сервер является окончательным источником достоверной информации о DNS домена и отвечает за предоставление информации об IP-адресе домена запрашивающему рекурсивному DNS-серверу.

Инструменты

Система доменных имен (DNS) является одной из основ Интернета, однако большинство людей, не связанных с сетями, вероятно, не осознают, что используют ее каждый день для выполнения своей работы, проверки электронной почты или траты времени на смартфоны.

По сути, DNS – это каталог имен, совпадающих с числами. Числа в данном случае — это IP-адреса, которые компьютеры используют для связи друг с другом. В большинстве описаний DNS используется аналогия с телефонной книгой, что подходит для людей старше 30 лет, которые знают, что такое телефонная книга.

Если вам меньше 30 лет, подумайте о DNS как о списке контактов вашего смартфона, в котором имена людей сопоставляются с их номерами телефонов и адресами электронной почты. Затем умножьте этот список контактов на всех остальных на планете.

Краткая история DNS

Очевидно, что это была неприемлемая ситуация по мере роста Интернета, не в последнюю очередь потому, что Feinler обрабатывал запросы только до 18:00. по калифорнийскому времени и взял отпуск на Рождество.В 1983 году Полу Мокапетрису, исследователю Университета Южной Калифорнии, было поручено найти компромисс между многочисленными предложениями по решению проблемы. Он практически проигнорировал их все и разработал свою собственную систему, которую назвал DNS. Хотя с тех пор он, очевидно, сильно изменился, на фундаментальном уровне он по-прежнему работает так же, как и почти 40 лет назад.

Как работают DNS-серверы

Каталог DNS, имя которого совпадает с номером, не находится в одном месте в каком-то темном уголке Интернета. С учетом того, что на конец 2017 года было зарегистрировано более 332 миллионов доменных имен, один каталог был бы действительно очень большим. Как и сам Интернет, каталог распространяется по всему миру и хранится на серверах доменных имен (обычно называемых для краткости DNS-серверами), которые регулярно взаимодействуют друг с другом для предоставления обновлений и избыточности.

Авторитетные DNS-серверы и рекурсивные DNS-серверы

Когда вашему компьютеру требуется найти IP-адрес, связанный с доменным именем, он сначала отправляет запрос рекурсивному DNS-серверу, также известному как рекурсивный преобразователь. Рекурсивный преобразователь — это сервер, который обычно управляется интернет-провайдером или другим сторонним провайдером, и он знает, какие другие DNS-серверы ему нужно запрашивать, чтобы разрешить имя сайта с его IP-адресом. Серверы, на которых действительно есть необходимая информация, называются авторитетными DNS-серверами.

DNS-серверы и IP-адреса

Еще одна причина распределенного характера каталога – время, которое потребовалось бы для получения ответа при поиске сайта, если бы для каталога существовало только одно местоположение, доступное миллионам, а возможно, и миллиардам пользователей. , людей, одновременно ищущих информацию. Это одна длинная очередь, чтобы воспользоваться телефонной книгой.

Что такое кэширование DNS?

Как мне найти свой DNS-сервер?

Могу ли я использовать DNS 8.8.8.8?

Однако важно помнить, что хотя ваш интернет-провайдер установит DNS-сервер по умолчанию, вы не обязаны его использовать. У некоторых пользователей могут быть причины избегать DNS своего интернет-провайдера — например, некоторые интернет-провайдеры используют свои DNS-серверы для перенаправления запросов на несуществующие адреса на страницы с рекламой.

Если вам нужна альтернатива, вы можете вместо этого указать свой компьютер на общедоступный DNS-сервер, который будет действовать как рекурсивный преобразователь. Одним из самых известных общедоступных DNS-серверов является сервер Google; его IP-адрес 8.8.8.8. Службы Google DNS, как правило, работают быстро, и, хотя есть определенные вопросы о скрытых мотивах Google для предоставления бесплатной услуги, они не могут получить от вас больше информации, чем они уже получают от Chrome. У Google есть страница с подробными инструкциями по настройке компьютера или маршрутизатора для подключения к DNS Google.

Как DNS повышает эффективность

Поскольку DNS работает уже более 30 лет, большинство людей считают это само собой разумеющимся. Безопасность также не учитывалась при создании системы, поэтому хакеры в полной мере воспользовались этим, создавая различные атаки.

Атаки отражения DNS

Атаки отражения DNS могут завалить жертв большим объемом сообщений с серверов преобразователя DNS. Злоумышленники запрашивают большие файлы DNS со всех открытых преобразователей DNS, которые они могут найти, и делают это, используя поддельный IP-адрес жертвы. Когда резолверы отвечают, жертва получает поток незапрошенных данных DNS, которые перегружают ее компьютеры.

Отравление кеша DNS

Отравление кеша DNS может перенаправить пользователей на вредоносные веб-сайты. Злоумышленникам удается вставлять записи ложных адресов в DNS, поэтому, когда потенциальная жертва запрашивает разрешение адреса для одного из зараженных сайтов, DNS отвечает IP-адресом другого сайта, контролируемого злоумышленником. Оказавшись на этих фальшивых сайтах, жертвы могут быть обманом выданы с паролем или подвергнуты загрузке вредоносного ПО.

Исчерпание ресурсов DNS

Атаки с исчерпанием ресурсов DNS могут засорить инфраструктуру DNS интернет-провайдеров, блокируя доступ клиентов интернет-провайдеров к сайтам в Интернете. Это может быть сделано путем регистрации злоумышленниками доменного имени и использования сервера имен жертвы в качестве полномочного сервера домена. Поэтому, если рекурсивный преобразователь не может предоставить IP-адрес, связанный с именем сайта, он запросит имя сервера жертвы. Злоумышленники генерируют большое количество запросов для своего домена и добавляют несуществующие поддомены для загрузки, что приводит к тому, что сервер имен жертвы получает поток запросов на разрешение, перегружая его.

Что такое DNSSec?

Расширения безопасности DNS — это попытка сделать обмен данными между различными уровнями серверов, участвующих в поиске DNS, более безопасным. Он был разработан Интернет-корпорацией по присвоению имен и номеров (ICANN), организацией, отвечающей за систему DNS.

ICANN стало известно о недостатках связи между серверами каталогов верхнего, второго и третьего уровней DNS, которые могут позволить злоумышленникам перехватить поиск. Это позволит злоумышленникам отвечать на запросы о поиске законных сайтов с IP-адресом вредоносных сайтов. Эти сайты могут загружать пользователям вредоносные программы или проводить фишинговые и фарминговые атаки.

DNSSEC решит эту проблему, заставив каждый уровень DNS-сервера подписывать свои запросы цифровой подписью, что гарантирует, что запросы, отправленные конечными пользователями, не будут присвоены злоумышленниками. Это создает цепочку доверия, так что на каждом этапе поиска проверяется целостность запроса.

Кроме того, DNSSec может определить, существуют ли доменные имена, и, если они не существуют, он не позволит доставить этот мошеннический домен невиновным запрашивающим сторонам, которые хотят разрешить доменное имя.

По мере того, как создается все больше доменных имен и все больше устройств продолжают подключаться к сети через устройства Интернета вещей и другие «умные» системы, а также по мере того, как все больше сайтов переходят на IPv6, будет требоваться поддержание здоровой экосистемы DNS. Рост объемов больших данных и аналитики также приводит к увеличению потребности в управлении DNS.

SIGRed: обнаружена уязвимость DNS-червей

Недавно мир внимательно изучил тот хаос, который могут вызвать слабые места в DNS после обнаружения уязвимости в DNS-серверах Windows. Потенциальная дыра в безопасности, получившая название SIGRed, требует сложной цепочки атак, но может использовать неисправленные DNS-серверы Windows для потенциальной установки и выполнения произвольного вредоносного кода на клиентах. Кроме того, эксплойт является «червячным», что означает, что он может распространяться с компьютера на компьютер без вмешательства человека. Уязвимость была сочтена настолько тревожной, что федеральным агентствам США дали всего несколько дней на установку исправлений.

Это решение вызывает споры. Пол Викси, который сделал большую часть ранней работы над протоколом DNS еще в 1980-х годах, называет этот шаг «катастрофой» для безопасности: например, корпоративным ИТ-специалистам будет гораздо труднее отслеживать или направлять трафик DoH, который проходит через их сеть. Тем не менее, Chrome вездесущ, и DoH скоро будет включен по умолчанию, так что посмотрим, что нас ждет в будущем.

(Кейт Шоу бывший старший редактор Network World и отмеченный наградами писатель, редактор и обозреватель продуктов, который написал для многих публикаций и веб-сайтов по всему миру.)

(Джош Фрулингер — писатель и редактор, проживающий в Лос-Анджелесе.)

Присоединяйтесь к сообществам Network World на Facebook и LinkedIn, чтобы комментировать самые важные темы.

Домен 4: Связь и сетевая безопасность (разработка и защита сетевой безопасности)

Эрик Конрад, . Джошуа Фельдман, учебное пособие CISSP (третье издание), 2016 г.

DNSSEC

DNSSEC (расширения безопасности сервера доменных имен) обеспечивает аутентификацию и целостность ответов DNS с помощью шифрования с открытым ключом. Обратите внимание, что DNSSEC не обеспечивает конфиденциальность: он действует как цифровая подпись для ответов DNS.

Глобальные беспроводные сети (WAN) — эволюция GSM

15.8.6 DNS/DHCP

DNS-сервер используется, как и в любой IP-сети, для преобразования имен хостов в IP-адреса, т. е. логические имена обрабатываются вместо необработанных IP-адресов. Кроме того, DNS-сервер используется для преобразования имени точки доступа (APN) в IP-адрес GGSN. При желании его можно использовать, чтобы позволить UE использовать логические имена вместо физических IP-адресов.

Сервер протокола динамической конфигурации хоста используется для управления распределением информации о конфигурации IP путем автоматического назначения IP-адресов системам, настроенным на использование DHCP.

Введение в криптографию

Криптографические протоколы и приложения

Криптография используется для обеспечения безопасности данных и информации как при хранении, так и при передаче. Это достигается за счет использования криптографических приложений и протоколов. Криптографические протоколы строятся на криптографических алгоритмах и описывают, как работает алгоритм. Криптографические протоколы используются в пользовательских приложениях или при разработке других протоколов.

Криптографическое приложение или протокол – это набор криптографических протоколов, приемов и методов в сочетании с удобным интерфейсом. Хотя криптографические алгоритмы и методы сложны, эти приложения и протоколы позволяют конечным пользователям пользоваться преимуществами криптографии без необходимости разбираться в алгоритмах или математике, лежащей в основе этих алгоритмов.

Ниже приведены некоторые часто используемые криптографические протоколы и приложения

Расширения безопасности сервера доменных имен

Расширения безопасности сервера доменных имен (DNSSEC) — это протокол, предназначенный для защиты распределенных служб имен. Как следует из названия, он добавляет уровень безопасности к незащищенному коммуникационному трафику DNS.Поскольку информация DNS должна быть общедоступной, DNSSEC не нацелена на то, чтобы сделать трафик конфиденциальным. Скорее, он нацелен на целостность данных и подлинность источника данных, а также на доступность службы за счет указания альтернативных DNS-серверов, прошедших проверку подлинности.

Безопасность на уровне защищенных сокетов/транспортном уровне

Secure Sockets Layer (SSL) – это протокол, используемый для защиты интернет-трафика, несущего конфиденциальную информацию. В настоящее время в версии 3.0 протокол SSL был расширен и переименован в Transport Layer Security (TLS) Инженерной группой Интернета (IETF).

SSL изначально был разработан для обеспечения конфиденциальности сообщений. Однако SSL и TLS можно расширить, чтобы обеспечить аутентификацию и целостность сообщений. Эти протоколы в настоящее время используются в таких приложениях, как просмотр веб-страниц, электронная почта, отправка факсов через Интернет, обмен сообщениями через Интернет и виртуальные частные сети (VPN). Как правило, SSL и TLS используются для защиты канала связи, а не самого сообщения.

Используя криптографические методы, TLS обеспечивает два типа аутентификации: конечная точка и взаимная аутентификация. Аутентификация конечной точки предоставляет пользователю средство для проверки подлинности сервера, с которым осуществляется связь. Взаимная аутентификация использует инфраструктуру открытого ключа, еще одну криптографическую методологию, при которой две конечные точки обмена данными взаимно аутентифицируют и проверяют личность других сторон.

Защищенный протокол передачи гипертекста

Протокол защищенной оболочки

Secure Shell Protocol (SSH) – это криптографический протокол, обеспечивающий взаимную аутентификацию и безопасный обмен данными. Наиболее распространенными приложениями SSH являются обеспечение безопасных терминальных сеансов и передача данных. Однако SSH можно использовать для «туннелирования» или перенаправления произвольных соединений протокола управления передачей (TCP), обеспечивая при этом безопасность канала связи.

Типичный сеанс SSH имеет два уровня аутентификации: аутентификация клиент-сервер, когда два взаимодействующих узла аутентифицируются друг против друга, и аутентификация сеанса пользователя. Аутентификация пользователя может быть либо симметричной, либо на основе открытого ключа, поскольку версия 2 SSH поддерживает хранение закрытых ключей.

Безопасность интернет-протокола

Безопасность интернет-протокола (IPSec) – это набор протоколов, обеспечивающих шифрование и безопасность на сетевом уровне. ИТ-отдел поддерживает одноранговую аутентификацию, аутентификацию источника данных, целостность данных и службы шифрования.

IPSec работает в двух режимах: туннельном и транспортном. Туннельный режим обеспечивает шифрование на уровне пакетов и известен как VPN. Транспортный режим создает безопасное соединение между двумя конечными точками, обычно двумя шлюзами, и шифрует полезную нагрузку Интернет-протокола (IP) в пакете.

Настройка базовой системы

Грэм Спик, Eleventh Hour Linux+, 2010

Тип записи DNS и разрешение DNS

Быстрые факты

Каждый DNS будет хранить данные домена в записях ресурсов. Эти записи содержат один факт об этом домене с общими записями, определенными ниже: ■

Записи (адреса) определяют фактический IP-адрес, связанный с именем.

Записи NS (сервера имен) определяют полномочный NS для домена.

Записи MX (почтовый обменник) определяют главный сервер для зоны.

Записи PTR (указатели) определяют реальное имя хоста для определенного IP-адреса.

CNAME (каноническое имя) — это псевдоним одного имени для другого.

TXT (текст) В первую очередь для удобочитаемого текста, но может также содержать машиночитаемые данные.

Дополнительная информация о DNS содержится в Главе 8 , «Установка и настройка в качестве сервера».

TCP/IP

Уильям Бьюкенен, бакалавр наук (с отличием), CEng, PhD, компьютерные автобусы, 2000 г.

23.9.1 DNS-программа

Программа DNS обычно запускается на ПК под управлением Linux с помощью программы named (расположенной в /usr/sbin ) с информационным файлом named.boot . Для запуска программы используется следующее:

Следующее показывает, что программа DNS запущена в данный момент.

В этом случае файл данных named.boot находится в каталоге /usr/local/adm/named. Пример файла с именем.boot

Затем программу DNS можно протестировать с помощью nslookup; Например,

Маршрутизация

Доменные имена и DN5

Когда вы отправляете сообщение, адресованное с использованием доменного имени, будь то URL-адрес или адрес электронной почты, доменное имя должно быть преобразовано в IP-адрес, прежде чем маршрутизатор сможет принять какие-либо решения о маршрутизации. Поэтому ваш компьютер должен обратиться к серверу доменных имен, чтобы попытаться найти правильный статический IP-адрес, прежде чем пакет можно будет собрать и направить.

Если вы не указали иное, ваш компьютер сначала обращается к ближайшему DNS-серверу, который он может найти, обычно расположенному у вашего интернет-провайдера. DNS-серверы вашего интернет-провайдера обычно содержат ту часть базы данных DNS, которая наиболее часто используется этим интернет-провайдером. Если доменное имя не может быть разрешено у провайдера, то DNS-сервер провайдера свяжется с другим DNS-сервером с большей частью базы данных DNS и повторит поиск. Поиск будет продвигаться вверх по иерархии, пока не достигнет корневого DNS-сервера, который знает, где можно найти базу данных домена верхнего уровня. Если поиск на DNS-сервере верхнего уровня завершается неудачей, вы получаете сообщение о том, что местоположение не может быть найдено, как правило, из вашего браузера или с сервера электронной почты поставщика услуг Интернета.

Примечание. Поскольку результаты поиска DNS кэшируются, создавая «локальные» базы данных DNS, поиск IP-адреса редко заканчивается на одном из корневых серверов.

При использовании динамической IP-адресации ваш DHCP- или BootP-сервер будет предоставлять IP-адреса ближайших DNS-серверов к вашей сети (т. е. у вашего интернет-провайдера). Интернет-провайдер предоставляет IP-адреса DNS-серверов DHCP- или BootP-серверу, который, в свою очередь, передает их вашему компьютеру при предоставлении IP-адреса.

Однако, если вы используете статическую IP-адресацию, вам потребуется ввести IP-адреса DNS-серверов вручную. Во-первых, получите эти IP-адреса от вашего интернет-провайдера. Для Windows или OS X введите эти адреса в панели управления конфигурацией TCP/IP, используя текстовые поля DNS-сервера. (Еще раз вернитесь к рисункам 6-2 и 6-3.)

Если вы используете Linux, вам нужно отредактировать /etc/resolv.conf. Добавьте следующие строки:

Можно указать не более трех DNS-серверов.

Установка и настройка в качестве сервера

Грэм Спик, Eleventh Hour Linux+, 2010

<р>5. Вы хотите управлять своим DNS с помощью команды rndc, но не можете подключиться к серверу. Вы пропинговали сервер, и он отвечает. Вы только что установили клиент на свой компьютер. Какова вероятная ошибка?

Вы не указали IP-адрес своей машины в файле rndc.conf для целевого DNS.

Вы не вставили правильные ключи в файл rdnc.conf.

Вы запустили команду dnssec-keygen непосредственно перед вводом команды rndc.

Вы должны запустить команду dnssync на новом хосте и цели, чтобы убедиться, что они могут взаимодействовать друг с другом.

Уровень 2: уровень канала передачи данных

Поиск DNS

Большинство программ, написанных для мониторинга сети, выполняют обратный поиск в DNS, когда выдают выходные данные, состоящие из исходного и целевого хостов, задействованных в сетевом подключении. В процессе выполнения этого поиска генерируется дополнительный сетевой трафик; в основном, DNS-запрос для поиска сетевого адреса. Можно отслеживать сеть на наличие хостов, которые выполняют большое количество операций поиска адресов в одиночку; однако это может быть случайностью и не привести к прослушивающему хосту.

Более простой способ, обеспечивающий 100-процентную точность, — создать ложное сетевое подключение с адреса, который не имеет отношения к локальной сети. Затем вы будете отслеживать сеть на предмет DNS-запросов, которые пытаются разрешить поддельный адрес, выдавая сниффинг-хост.

Бюллетень OSS от а до я

хосты

Хосты

TCP/IP взаимодействуют друг с другом через IP-адреса, но, поскольку IP-адреса трудно запомнить, имена хостов (доменов) обычно назначаются IP-адресам. и используется для ссылки на них.

Файл /etc/hosts — это файл редактирования, содержащий запись для каждого удаленного хоста, известного системе. Это OSS-версия файла Guardian HOSTS, и HP рекомендует связать файл OSS с файлом Guardian, чтобы конфигурацию можно было поддерживать в одном месте и использовать как inetd, так и LISTNER.

BP-LINK-INETD-01

Связать /etc/hosts с файлом Guardian HOSTS.

BP-FILE-HOSTS-01

Файл $SYSTEM.ZTCPIP.HOSTS должен быть защищен «NUUU».

Преобразователь доменных имен (DNR) использует либо сервер доменных имен (DNS), либо файл HOSTS для сопоставления доменного имени с IP-адресом. Если DNS-сервера нет, /etc/hosts используется для преобразования общих имен хостов в соответствующие им IP-адреса.

HP предоставляет версию файла /etc/hosts по умолчанию. Он содержит ту же информацию, что и файл $SYSTEM.ZTCPIP.HOSTS.

Может быть несколько активных файлов SERVICES и HOSTS для использования с отдельными процессами LISTNER. Если используется более одного файла, может возникнуть путаница, потому что иногда трудно определить, какой LISTNER использует какой файл.

$ ps -ax
PID TTY STAT TIME КОМАНДА
295 con S< /td> 0:00 bootpd
35 con S 0:00 /usr/sbin/1pd
272 con S 0:00 /usr/sbin/named –b /usr/local/adm/named/named.boot
264 p 1 S 0:01 bash
306 pp0 R 0:00 ps -ax
BP-ETC-INETD-02хосты должны быть защищены 644 (rw- r– r–).
BP-ETC-OSSOWN-01хосты должны принадлежать SUPER.SUPER.
BP-ETC-OSSLOC-01hosts находится в /etc.

MCSE 70-293: Планирование, реализация и поддержка стратегии разрешения имен

Мартин Грасдал, . Д-р Томас В. Шиндер, технический редактор, учебное пособие MCSE (экзамен 70–293), 2003 г.

Перенос зон с помощью BIND

BIND поддерживает стандартные первичные и вторичные зоны DNS. Таким образом, серверы BIND можно использовать как первичные DNS-серверы, которые передают файлы зоны на вторичные серверы Microsoft DNS, и наоборот. Сервер BIND также можно настроить в качестве вторичного сервера для зоны, интегрированной с Active Directory. Однако зона, интегрированная с Active Directory, не может быть вторичной зоной, поэтому сервер BIND не может размещать первичную зону, которая передает информацию о зоне во вторичную зону, настроенную в AD. Также обратите внимание, что если вы хотите защитить передачу зон между BIND и Microsoft DNS-серверами, вы не сможете использовать механизмы TSIG, доступные в последних реализациях BIND.

Для защиты передачи зон DNS необходимо либо внедрить зоны, полностью интегрированные с Active Directory, либо использовать какой-либо другой механизм, например туннели VPN и IPSec, если вы используете стандартные зоны DNS.

Версии BIND до BIND 4.9.4 не поддерживают метод быстрой передачи для репликации зоны. Когда для репликации зоны включен метод быстрой передачи, несколько RR зоны сжимаются в пакете TCP/IP. Быстрая передача зон включена по умолчанию в Windows DNS. Вы должны отключить быструю передачу зоны, только если на ваших вторичных DNS-серверах работают версии BIND, предшествующие версии 4.9.4. Конфигурация быстрой передачи зон может быть включена или отключена только для всего сервера. Вы не можете включить или отключить его для каждой зоны отдельно. Отключение быстрой передачи зон не влияет на репликацию зон между DNS-серверами Windows. На рис. 6.15 показана конфигурация по умолчанию, обеспечивающая быструю передачу зон. Чтобы отключить быструю передачу зон для вторичных серверов BIND, перейдите на вкладку «Дополнительно» на страницах свойств DNS-сервера и снимите флажок для вторичных серверов BIND.

Рисунок 6.15. Включение Fast Zone Transfers для вторичных серверов BIND

Файлы зон Windows DNS могут содержать RR, которые могут вызвать проблемы для вторичных серверов BIND. К этим записям относятся те, в которых используется символ подчеркивания в имени хоста или домена, а также записи WINS и WINS-R. В некоторых версиях BIND, особенно в BIND 8.0, наличие этих записей может привести к сбою загрузки зоны.

Несмотря на то, что символ подчеркивания является допустимым символом в имени NetBIOS, он не является допустимым символом для имен хостов DNS в соответствии с документами RFC 851, 952 и 1123. последний RFC 2181 указывает, что любая двоичная строка может использоваться для представления имени хоста, но не все DNS-серверы соответствуют стандартам, указанным в RFC 2181.) BIND версии 8, в частности, будет иметь проблемы, если он встретит символы подчеркивания в хосте или доменные имена при загрузке данных для дополнительной зоны. Это результат функции BIND 8, известной как проверка имен, которая ограничивает набор символов, используемый для имен хостов и доменов. Если в именах хостов присутствуют символы подчеркивания, у вас есть два варианта: переименовать компьютеры, чтобы в их именах не было символов подчеркивания, или отключить проверку имен на сервере BIND 8, изменив параметр проверки имени по умолчанию на сервере BIND 8 с Fail на Предупредить или игнорировать.

Если на сервере BIND 8 размещена первичная или вторичная зона для записей AD SRV, единственным вариантом является отключение проверки имен, поскольку эти записи содержат символы подчеркивания в именах доменов, и их нельзя изменить. (BIND 9 не ограничивает набор символов для доменных имен, так что это не проблема, если вы используете BIND 9.)

Проприетарные записи прямого и обратного поиска WINS также создают проблемы для вторичных серверов BIND. В этом случае проблема вызвана тем, что запись WINS не является частью стандарта DNS и не распознается другими DNS-серверами. DNS-серверы сторонних производителей будут воспринимать записи прямого и обратного просмотра WINS как ошибочные записи, что приведет либо к ошибкам данных, либо к сбою загрузки зоны.Если вы используете вторичные зоны BIND для зоны, содержащей записи WINS, у вас есть два варианта: настроить записи WINS так, чтобы они не реплицировались, или настроить отдельную зону ссылок для записей WINS. Предпочтительно настроить отдельную реферальную зону для записей WINS, поскольку клиенты, обращающиеся к вторичным DNS-серверам, могут получать ответы, отличные от тех клиентов, которые обращаются к первичному DNS-серверу. Мы обсудим взаимодействие WINS и DNS более подробно позже в этой главе.

Преобразователи DNS играют ключевую роль в преобразовании веб-ссылок в IP-адреса, выступая в качестве связующего звена между вашим компьютером и инфраструктурой DNS Интернета. Преобразователь DNS — это локальный сервер, на котором хранится центральная база данных DNS-серверов имен и который управляет DNS-запросами для всех клиентов в вашей сети. Благодаря преобразователям DNS вашему компьютеру не нужно хранить адреса для нескольких онлайн-серверов имен, процесс, которым трудно эффективно управлять.

Как работает DNS

Системы DNS позволяют сетевым клиентам преобразовывать универсальные указатели ресурсов или URL-адреса в IP-адреса. Это ключевая часть работы сети, поскольку компьютерам и другим устройствам обычно необходимо знать IP-адреса друг друга для связи по сети. Когда вы предоставляете компьютеру веб-ссылку, компьютер отправляет DNS-запрос с запросом IP-адреса, соответствующего этому адресу. Затем DNS отвечает соответствующим адресом, позволяя компьютеру взаимодействовать с сервером, на котором размещен этот сайт.

Роль распознавателей

Преобразователь DNS — это сервер, который действует как «первый порт захода» в процессе DNS. Когда сетевой клиент связывается с распознавателем, этот распознаватель связывается с несколькими авторитетными серверами имен — серверами, которые фактически содержат информацию об IP-адресе — для получения необходимого IP-адреса. Запросы DNS могут касаться серверов имен по всему миру.

Повышение эффективности

Распознаватель DNS повышает эффективность системы DNS. Без распознавателей каждому компьютеру в сети необходимо было бы предоставить адреса нескольких авторитетных серверов имен для разрешения адресов. Кроме того, список серверов каждого компьютера необходимо будет обновлять индивидуально. Использование преобразователей означает, что все клиенты в сети имеют доступ к центральному списку авторитетных серверов имен, что сокращает время управления, необходимое для поддержания системы в актуальном состоянии.

Преимущества в производительности

Некоторые преобразователи DNS кэшируют результаты, отправляемые клиентам. Это означает, что если другой клиент запрашивает тот же IP-адрес позже, преобразователь может предоставить этот IP-адрес напрямую, без необходимости связываться с какими-либо внешними серверами имен. Локальное хранение результатов сокращает время отклика DNS и помогает снизить нагрузку на сеть, поскольку для выполнения некоторых результатов DNS не требуется покидать локальную сеть.

Энди Уолтон пишет о технологиях с 2009 года и специализируется на сетях и мобильных коммуникациях. Ранее он был ИТ-специалистом и менеджером по продуктам. Уолтон живет в Лестере, Англия, и имеет степень бакалавра информационных систем Университета Лидса.

Читайте также: