A DNS e rovat olvasja szmra valsznleg dupln fontos

A DNS e rovat olvasja szmra valsznleg dupln fontos. Ugyanis korrekt bels hlzati DNS nvfelolds nlkl nincs mkd Windows 2000/2003 tartomny. Ez nem mts, hanem kkemny tny.A DNS rvidts...... a Domain Name System azaz tartomnynv-rendszer fogalmt takarja. A legtbb opercis rendszer s az Internet felhasznli a DNS szolgltats segtsgvel rik el az internet-nevekhez tartoz IP cmeket. A DNS TCP/IP alap protokollok s szolgltatsok csomagja, melynek segtsgvel a felhasznlk az egyes szmtgpeket a nehezen megjegyezhet IP cmek helyett felhasznlbart nvvel rhetik el. A DNS rendszer nemzetkzi s tbbszint, a legfels szinten ll az a 12 db n. root (gykr) szerver amelyet az InterNIC zemeltet, a kvetkez szinten szerepelnek a fels szint n. top tartomnyok (com; net; edu; org; orszgvgzdsek, stb.). E szint alatt rengeteg tovbbi tartomny tallhat, amelyeket a tartomnyok tulajdonosai (cgek, intzmnyek, szervezetek, magnszemlyek) tartanak karban az ltaluk mkdtetett sajt DNS szerverekkel. Ha egy tartomnyban el akarunk klnteni bizonyos szmtgpcsoportokat, pl. fldrajzi, topolgiai vagy strukturlis okokbl, akkor kln znkat hozunk ltre ezek szmra, de legalbb egy znra mindenkppen szksgnk lesz egy-egy tartomnyon bell.

A root serverek fldrajzi elhelyezkedse

A nvfelolds menete egyszerstve a kvetkez: elszr egy nvkrs trtnik a felold gp fell (resolver), amelyet eme gp TCP/IP tulajdonsgainl belltott nvkiszolgl (name server) megprbl a sajt adatbzisban (a zn(k)ban) megkeresni, ha megvan, kiadja a krdses rekordot (nv>IP vagy fordtva) ha nincs, akkor csak msik, esetleg tbb kiszolgl adatbzishoz csatlakozva tudja ezt a krst kiszolglni.

A nvkiszolglk hrom klnfle csoportba sorolhatak tevkenysgk alapjn:Elsdleges (primary): felels egy tartomnynvtr vagy annak egy rszletnek karbantartsrt (zna), ennek a znnak a tulajdonosa, a bejegyzett rekordokhoz teljes kr jogosultsga vanMsodlagos (secondary): az elsdleges szerveren trolt zna egy msolatt tartalmazza, s a zna belltsainak megfelelen automatikusan frissti a zna rekordjaitGyorstraz (cache-only): a nvfeloldsi krsek tovbbtsra szolglnak

A root serverek listja

Milyen rekordokat tartalmazhat egy Internetre "kttt" DNS szerver znja?SOA: az els rekord, nvkiszolgl neve, a zna aktulis sorszma, a zna felelsnek e-mail cme, frisstsi belltsokA: egy szmtgp cmeNS: tovbbi nvkiszolglk jellseCNAME: msodnevek kialaktsra szolgl (pl. www, ftp, mail, proxy, stb.)MX: az e-mailek tovbbtsrt felels mailszerver cmePTR: a fordtott felolds znknl egy szmtgp cme

Milyen tovbbi rekordokat tartalmazhat egy - csak a bels hlzaton dolgoz - DNS Server znja?WINS: egy WINS szerver cmeWINS-R: a fordtott feloldsokhoz hasznlt WINS szerver cmeSRV: Windows tartomnyokban kritikusan fontos rekord, amely a klnbz tartomnyvezrl szolgltatsokat (pl. PDC emulator, DC, stb.) nyjt szmtgp(ek) cme(i)re mutat

A DNS szerver ltjogosultsga Windows tartomnybanMirt fontos, st alapveten fontos a DNS az Interneten kvl a Windows 2000/2003 alap helyi hlzatokban is? Kt okbl mindenkpp: egyrszt a Windows 2000 ta az alaprtelmezett hlzati nvfelolds a DNS-en alapszik, teht a Windows 2000 s magasabb verzij szerverek s kliensek gy talljk meg egymst a korbbi NetBIOS alap nvfelolds helyett (persze a NetBIOS felolds is mkdik, de csak abban az esetben ha a DNS krs sikertelen), msrszt a tartomnyra vonatkoz DNS zna specilis n. SRV rekordjai alapjn talljk meg a tartomny gpei magt a tartomnyt, a tartomnyvezrl szerepkrket birtokl szmtgp(ek)et, s a klnbz - a hlzati mkdshez elengedhetetlen - szolgltatsokat.

Fontos indok volt a DNS felolds tartomnyi bevezetsekor, az a tny is, hogy egy DNS zna s a cmtr ugyanazzal a hierarchikus szerkezettel rendelkezik. Ennek megfelelen sok szervezet esetben mg a publikus DNS nvvel (cegnev.hu) is megegyezik a bels zna s a cmtr neve. Ezt a lehetsget is rdemes a zna s a cmtr nevnek tervezsekor figyelembe venni, br termszetesen ilyenkor clszer kt egymstl jl elvlasztott DNS szervert alkalmazni, egyet a tzfalon, az internetrl rkez publikus szolgltatsaink elrse cljbl (pl. webszerver) s egyet pedig a tzfalon bell a tartomnyvezrln a cmtr szmra. A cimtr s a DNS zna nvternek kivlasztsa megoldhat gyis, hogy teljesen eltr a publikus felhasznlsra kijellt nvtl. Akr gy, hogy egy alzna lesz a cmtr neve (pl. ad.cegnev.hu vagy intra.cegnev.hu), akr gy, hogy teljesen ms, specilis dns vgzdssel ltjuk el, pl. cegnev.priv, vagy cegnev.local). A kls s a bels nvfelolds zavartalansga mindegyik esetben megoldhat.

A cmtr s a DNS zna tallkozik a zna trolsa szempontjbl is, hiszen egy zna lehet Active Directory integrlt is. Ebben az esetben automatikusan replikldik s frisstennk sem kell manulisan (nem is lehet), viszont nem is frhetnk llomnyszinten hozz, illetve csak igen krlmnyesen. A Windows 2000 Server jdonsga volt mg a dinamikus DNS (DDNS, RFC 2136) szolgltats, amely (szges ellenttben a hagyomnyos zemmd DNS szerverekkel) jelentsen, st zrra cskkenti az adatbzis kzi szerkesztsnek ignyt, mert automatikusan bejegyzi s frissti a DNS adatbzist minden esetben (a DHCP szerverrel egyttmkdve mg Windows 9x-ek esetn is!), amikor az gyfelek belltsaiban vltozs kvetkezik be.

A cikk elz rszben vzolt problmt maximum gy lehetne megoldani, hogy a lenti brn lthat mdon felvesszk a znba a tovbbi alias-okat (pl. www1, ftp1, stb.) amelyek az adott szerver bels IP-jre mutatnak, s kzljk a felhasznlinkkal, hogy bellrl ezeket hasznljk a bngszskor, vagy a levelezprogram belltsakor. Sajnos, ettl mg a vegyes IP cm publikls tovbbra is megmarad mint problma, gy ez az t nem igazn javasolt.

Az elz cikkben kiderlt, hogy az azonos privt s publikus DNS znanv hasznlata (non-split) ugyanazon a kiszolgln teljesen tkletesen jrhat t. Viszont mi a helyzet az n. split DNS-sel? Ez a technika mr hasznlhat lenne ebben az esetben is, de mg bizonyos opercis rendszerek alatt elrhet alapbl, Windows platformon a bepztett eszkzkkel nem. Ugyanis ehhez kt egyidejleg fut DNS szerver szksges, mivel eggyel nem lehetsges kt azonos nev znt ltrehozni. Ezt elvileg meg lehetne oldani egy kls gyrttl szrmaz DNS szerverrel, de ezek tbbnyire pnzbe kerltek, ezenkvl nekem nem sikerlt pkzlb megoldst sszehozni, mert mindegyikkel volt valami problma... Ha sikerl, akkor igy kellene kinznie a kt znnak.

Persze az is igaz, hogyha a kt znanv klnbz, akkor mkdhet a dolog, br ekkor nmi gondot okoz az, hogy mindkt hlzati krtyn meg kell engednnk a DNS szerver mkdst, amitl kicsit borzongok :D, de vglis mkdik.

Nmikpp thidal megolds az viszont, ha elre gondolkozunk. Konkrtan arrl van sz, hogy a leend tartomny teleptse (azaz az els DC teleptse eltt) eldntjk, hogy a klsnek is hasznalhat znanevet meghagyjuk (pl. tjszki.hu) s ez al ksztjk el a bels AD nvtert, azaz a tartomnyunk neve pl. ad.tjszki.hu lesz. Ekkor a tjszki.hu znt kifel hasznljuk az ad.tjszki.hu alznt pedig bentrl, gy nem fog sszeakadni a kett.

Azonban akrhogy is gyeskednk egy a vge: nem okos dolog egy szerveren hagyni a kt znt, kell mg egy szerver (ez mondjuk egyb okokbl is gy van egy Windows 2000/2003 tartomny esetn).

2. Bels s kls DNS, bels az ISA mgtt, kls az ISA-n (mert legalbb 2 szervernk van)Ez az igazi korrekt s biztonsgos fellls. Az ISA-n lv szervernk a publikus DNS szerver, mg a bels tartomnyvezrln elhelyezett DNS a Windows tartomny DNS nvfeloldst vgzi. Nzzk, mely kritriumok mentn, melyek a feladataink a kt DNS szerverrel kapcsolatban:

Kzs elnyk:- Lehet ugyanaz a tartomnynv gond nlklA bels DNS szerverbe ugyangy fel lehet venni a ugyanazokat a CNAME rekordokat mint a klsbe, persze bels cmmel. Ez azrt lehetsges mert a kt DNS szerver nem fogja "tni" egymst sohasem.

A Bels (privt) DNS szerverrel kapcsolatos teendk- Ha tbb hlkrtya van, mrlegeljnk, hogy kell-e hogy fusson mind1gyiken a DNS szerver. Ha eldntttk, akkor a DNS MMC-ben az "Interfaces" fln lltsuk be a szksges krtykat s trljk a feleslegest.- Mihez kezdjnk a bels kliensek internet fel irnyul nvfeloldsi krelmeivel? Egyszer az eset, a DNS MMC-ben a "Forwarders" fln lltsuk be sajt publikus DNS-nket, azaz az ISA kls lbt. Bellthatnnk a a sulinetes/kzhls DNS szerverek is, de gy esetenknt gyorsabb a felolds.- A znatvitellel (DNS MMC: a zna tulajdonsgai/Zone Transfers) kapcsolatban csak annyi kell megemlteni, hogy ha 1 db tartomnyvezrlnk van, akkor mindenkppen tiltsuk le (a reverse znnl is). Ha tbb van s ezek kzl van msodalgos (secondary) DNS szerver, akkor engedlyezzk neki.

A Kls (publikus) DNS szerverrel kapcsolatos teendk- A DNS MMC-ben az Interfaces fln: csak s kizrlag a kls hlkrtya cme!- DNS MMC: Forwarders > a kls (sulinetes/kzhls) DNS szerverek- DNS MMC: Zone Transfers engedlyezve, de csak a hasznlt nvszervereknek (azaz a mi publikus msodlagos DNS szervernknek)- ISA: Extensions > Application Filters > DNS intrusion detection filter: az utols kett tmadsi forma bepiplva

A publikus DNS szerverrel kapcsolatos tovbbi teendkrl, a zna ltrehozsrl s biztonsgos belltsrl valamint az ISA alatti viselkedsrl a kvetkez rszben lesz sz.

A sorozat elz rsziben (lsd a cikk aljn) sz volt arrl hogy egy- vagy tbbszerveres krnyezetben hogyan lehet publikus DNS szerver szolgltatst kialaktani. Arra jutottunk, hogy egy szerver esetn nem knny, st bizonyos tnyezk (AD, ISA, stb.) egyttes hatsa miatt akr lehetlenn is vlhat. Most vegyk azt az idelis esetet, hogy tbb szervernk van, amelybl az egyik csak az ISA kt hlzati interfsszel s amely nem DC, hanem csak tartomnyi tag, az opercis rendszer pedig a Windows Server 2003.A publikus, internetre "kitett" DNS szerver biztonsgos s helyes mkdtetse komoly feladat, amelyet hobbibl nem csinlunk. Az rott s ratlan szablyok szerint elszr fel kell ptennk a helyes znt, s majd csak ezutn krhetjk ki a Kzhl zemeltetitl a kezelst. A bels hlzatra, egy Windows tartomny "al" helyezett DNS szerverhez kpest kicsit ms, szigorbb s alaposabb hangolst kell vgeznnk, ezrt teht nzzk e folyamat lpseit.

Teendk a DNS szerverrelTeleptsk fel rutin szerint a DNS szervert az ISA-ra, majd nyissuk meg a DNS MMC-t. Nzzk meg elszr a DNS szerver belltsait:- Az "Interfaces" fln: csak s kizrlag a kls hlkrtya cme szerepeljen, a tbbit tvoltsuk el- A "Forwarders" fln a Kzhls DNS szerverek cme legyen (valsznleg a 195.199.255.4 s 57)- Az "Event Logging" fln clszer belltani az "All events" opcit, hogy tnykedsnket ellenrizni tudjuk az Esemnynaplban. De mg ennl is jobb hibakeresst tudunk akkor megvalstani, ha a "Debug Logging" panelen engedlyezk s belltjuk a DNS folyamatok nyomkvetst, majd a ltrejv (ltalunk megadhat) naplllomnyt megvizsgljuk. Erre viszont csak specilis esetben van szksg, gy most menjnk tovbb.

Hozzuk ltre a znt a "Forward Lookup Zones" mappban. Teendink a zna ltrehozsnl a kvetkezek: "Primary" azaz elsdleges zna legyen s semmikpp ne az Active Directoryban troljuk (ez az opci csak akkor ltszik, ha DC-re teleptjk a DNS szervert), a zna neve az iskola kzhls domain neve, a znafile neve szintn (vagy tetszleges), viszont az utols lpsben mindekppen a "Do not allow dynamic updates" opcit vlasszuk, hiszen erre csak a bels DNS esetben van szksg.

A zna tulajdonsgainl a kvetkezkre gyeljnk:- SOA fl: - a verziszm legyen az aktulis dtum plusz kt szmjegyen a verziszm, azaz pl.: 2004112601,- a szerver cme pontos s teljes (FQDN) legyen- az e-mail cm mindenkppen egy ltez postafik legyen, vagy egy ltez alias,- az e-mail cm a szoksos "@" helyett egy ponttal (".") vlaszthat el,- egy ajnlott frisstsi, visszatrsi, lejrati s a TTL rekord intervallumot a kpen lthatunk.

- Name Servers fl: ide kerl a mi elsdleges DNS szervernk IP cme s a msodlagos is, ami valsznleg az ns.sulinet.hu lesz (195.199.255.2), ezeken kvl ms cm nem szerepelhet itt.- Zone Transfers fl: engedlyezve, de csak a hasznlt nvszervereknek, azaz msodik pont.

Ezzel a zna tulajdonsgainak belltsa be is fejezdtt, azok a belltsok, amelyeket nem emltettnk, maradhatnak az alaprtelmezett llapotban. Folytassuk azzal, hogy milyen rekordokat kell felvennnk a znnkba.

A publikus zna rekordjaiEbben a znban szinte csak az ISA kls hlkrtyjnak cme illetve neve szerepel, az ISA mgtt lv szerverek semmikpp (mrcsak azrt sem, mert ezeknek a szervereknek nincs is, nem is lehet publikus IP cme). De nem is kell, hogy legyen: ha belltjuk, az ISA korrekten s biztonsgosan megoldja a hozz rkez csomagok tovbbtst, akr web, ftp, mail vagy brmilyen ms publiklt szolgltats forgalmrl van sz.

1. Biztosan szksgnk lesz egy "A" rekordra, ami a ISA kls lbnak IP cmt s nevt jelli, valamint egy msikra, amely a levelezszervernk mkdshez szksges, a "mail" nevet viseli s szintn az ISA publikus cmre mutat (lsd a kvetkez kpen).2. Amennyiben van levelezszervernk, fel kell vennnk az n. MX (Mail eXchanger) rekordokat. Egy msik levelezszerver a mi MX rekordunkban kzlt cm alapjn fogja megtallni pl. az Exchange szervernket, gy ennek fogja kldeni a tartomny felhasznlinak e-mailjeit. De tbb MX rekord is kell, vajon mirt? Azrt mert van lehetsgnk priorits meghatrozsra, ms szval kldsi sorrend kialaktsra.Ha teht van sajt mailszervernk, akkor azt ezt jell MX rekord rtknek ("Mail server priority") kell a legkisebb szmot adnunk, hiszen ez lesz az elsdleges clpont. Viszont abban az esetben, ha valamilyen okbl ez a szerver nem mkdik, vagy nem elrhet, a tartalk mailszerverek tvehetik a leveleinket, majd amikor stabilizldik a helyzet, elkldhetik neknk. Ezeket a tartalk levelezszervereket szintn egy-egy MX rekorddal jelljk a DNS-ben, m nagyobb prioritsi rtkkel, tkrzve a slykat. A Kzhlban van tartalk MX szolgltats, kt szerver is rendelkezsnkrere ll (relay1.sys.sulinet.hu s relay2.sys.sulinet.hu), amelyek neveit fel is vehetjk mg az lests eltt, m mkdni csak akkor fognak, ha ezt kln krjk a forms.sulinet.hu-n.

3. Szintn biztos, hogy kell nhny CNAME (alias) rekordot gyrtanunk. Ezekkel jelljk a klnbz szolgltatsainkat, amelyek gyakorlatilag az ISA publikus nevnek els tagjt cserlik le a klvilg szmra olyan megszokott elnevezsekre, mint a www, ftp, server, stb.. Ezt a hrmat felttlenl vegyk fel (persze csak akkor ha van web- s ftpszervernk), mindnl az ISA publikus cmvel. Ezek mellett persze tetszleges ms "lnevet" is felvehetnk, ha szksg van r.

Ezzel a zna el is kszlt. Viszont hinyzik egy-kt rszlet mg a teljes elkszlethez, ezrt a reverse zna ltrehozsrl, illetve a publikus DNS szerver ISA alatti mkdsrl a kvetkez rszben lesz sz.