Ovaj modul objašnjava kako se konfiguriše i kako se rešavaju problemi sa Domain Name System (DNS) serverom i svojstva zona koje ćemo koristiti u sigurnom okruženju.
DNS uloga servera je kritična komponenta Windows Server 2008 domenske infrastrukture. Ova lekcija nudi informacije koje se odnose na DNS ulogu servera i kako DNS adresni prostor funkcioniše (DNS Name Space). Takođe nudi detaljne informacije o promenama u DNS ulozi za Windows Server 2008 i identifikuje stvari na koje bi trebalo obratiti pažnju prilikom izgradnje DNS uloge servera.
Predstavljanje DNS (Domain Name System) uloge
DNS je Name Resolution Servis koji razrešava imena u IP adrese. Računari komuniciraju korišćenjem IP adresa, međutim, puno je praktičnije i ljudima jednostavnije da koriste host imena, imena računara (npr. www.microsoft.com, RSA22-12). DNS servis je hijerarhijski distribuirana baza podataka. Ovo znači da je baza podataka logički odvojena, i da omogućava različitim serverima hostovanje rasprostranjene baze podataka DNS imena.
DNS (Domain Name System) karakteriše:
Administratori moraju da konfigurišu klijentske kompjutere na mreži tako da njihova kompjuterska imena mogu da budu razrešena u IP adrese. Kada konfigurišemo klijenta za razrešavanje imena (Name Resolution), mi time osiguravamo da oni mogu da komuniciraju sa drugim kompjuterima koristeći imena, a ne samo IP adrese. Da bi dva hosta mogla da komuniciraju na mreži, MAC adresa svakog hosta moraju da bude identifikovana. IP adresa je vezana za MAC adresu mrežne karte, a ime kompjutera je vezano za IP adresu. Razrešavanje imena (Name Resolution) je proces saznavanja i dobijanja podataka o IP adresi vezanoj za traženo ime kompjutera. Poznavanje različitih metoda za razrešavanja imena kompjutera može da vam umnogome pomogne u odrađivanju ovih administrativnih zadataka.
Razrešavanje imena u mrežnoj infrastrukturi (Name Resolution): u Transmission Control Protocol/Internet Protocol (TCP/IP) mrežama mnoge komponente obezbeđuju komunikaciju između dva TCP/IP hosta i pristup mrežnim resursima. Deo uspešnog komunikacionog procesa u TCP/IP mreži je Name Resolution (razrešavanje imena). Proces razrešavanja imena je prevođenje imena kompjutera u odgovarajuću IP adresu. Sama imena i IP adrese nalaze se u DNS bazi kao zapisi, međusobno povezani i uslovljeni.
Upoznavanje sa imenima: Postoje dva tipa imena koja se koriste u TCP/IP mrežama i to su host imena i NetBIOS imena.
Host imena ili NetBIOS imena su se koristila kao lakši način za identifikovanje servera i radnih stanica. NetBIOS je baziran na starijem protokolu i može se koristiti samo na LAN-u, a glavna mana (nekada vrlina) je u tome što se svaki put kada se računar startuje ime registruje na mreži, korišćenjem LMHOSTS. Može da bude dugo 16 karaktera, od kojih su 15 vidljivi. NetBIOS imena se ne mogu koristiti za imenovanje računara koji su članovi domena. Host TCP/IP imena se razrešavaju u IP adrese ili uz pomoć lokalnog HOST fajla ili uz pomoć DNS-a. Koriste se i za računare koji su članovi domena, i mogu da budu do 255 karaktera duga i da sadrže „-“ i „.“ u sebi. Od Windowsa 2000 možete da isključite NetBIOS i time poprilično utišate mrežu.
Host ime je prva komponenta sa leve strane DNS imena koje identifikuje host (kompjuter ili resurs). DNS imena su deo jedne velike hijerarhijske strukture. U DNS imenu na primer, webserver1.linkgroup.co.rs host ime predstavlja prvu komponentu sa leve strane (webserver1). Host ime je u stvari alijas koji je prilepljen određenoj IP adresi kako bi se računar koji poseduje tu IP adresu označio kao TCP/IP, odnosno mrežni resurs.
NetBIOS ime je 16-bitno ime koje identifikuje NetBIOS aplikaciju na mreži. NetBIOS ime može biti jedinstveno (exclusive) ili grupno (nonexclusive).
Host imena i NetBIOS imena su Display imena koje korisnici upotrebljavaju da bi mogli da pristupe resursima na mreži. Ipak, računari koriste IP adrese da bi mogli da se međusobno povežu i iz tog razloga Display imena moraju da budu razrešena u IP adrese da bi korisnici mogli da pristupe resursima na mreži. Na primer, korisniku1 je potreban pristup resursima na prodajakompjuter1 računaru. Korisnik upisuje ime kompjutera prodajakompjuter1. Ipak korisnikov kompjuter mora da zna IP adresu prodajakompjuter1 računara da bi mogao da uspostavi konekciju. Kompjuteri razrešavaju Display imena u IP adrese koristeći proces razrešavanja imena. Postoji dosta komponenata koje učestvuju u procesu razrešavanja imena. Kada korisnik želi da pristupi određenom resursu na mreži, potrebno je da ukuca ime kompjutera na kojem se resurs nalazi. Kompjuter tada koristi proces razrešavanja imena kako bi dobio IP adresu računara na kojem se potrebni resurs nalazi. Kada se odradi proces prevođenja, DNS adresni prostor (Namespace) omogućava da DNS klijent locira kompjuter. DNS adresni prostor je organizovana u hijerarhiji ili slojevima da bi mogla da distribuira informacije kroz mnogo servera.
Slika 04.01
Root domen: Root Domen je predstavljen tačkom. Postoji 13 Root domenskih servera u svetu, i služe za razrešavanje imena i IP adresa na internetu, tačnije sadrže bazu u kojoj su svi mogući zapisi sa inteneta.
Top-Level domeni: primeri top-level domena na internetu uključuju: .com, .net, .org, .biz, .gov, .ca. Takođe postoje top-level domeni (TLD) za svaku zemlju. Na primer, TLD za Kanadu je .ca, a TLD za Veliku Britaniju je .co.uk. Telo koje reguliše ove domene naziva se Internet Corporation for Assigned Names and Numbers (http://www.icann.org/). Ako želite da vidite ažuriranu listu TLDs, idite na stranicu http://www.iana.org/popular.htm
Second-level domeni: Second-level ime domena je deo imena domena koje ide pre TLD-a. Primer Second-level domenskog imena je Microsoft u www.microsoft.com domenu.
Subdomain (poddomeni): poddomen je domen koji je izlistan pre Second-level domena i Top-level domena. Primer jednog subdomaina je www u www.microsoft.com domenu.
Upoznaćete se sa prednostima korišćenja Windows Server 2008 operativnog sistema sa novim karakteristikama koje su uključene u DNS ulozi servera. Ove karakteristike uključuju učitavanje zone u pozadini (Backgound Zone Loading), podršku za IPv6 i Read-Only domenski kontroleri i Global Single imena.
Background Zone Loading: Microsoft je sa Windows 2008 serverom promenio način na koji DNS učitava podatke zona u memoriju. Ponekad je DNS serveru potrebno i par sati da učita ove podatke, naročito kod DNS servera sa velikim bazam koje opsluđuju velike organizacije sa puno podataka u Active Directory servisima. Rezultat ovoga je da DNS ne može da opslužuje klijentske zahteve u realnom vremenu.
Sa promenjenim ponašanjem DNS-a u Windowsu 2008, sada DNS može da učitava podatke zone iz aktivnog direktorijuma u pozadini, a da paralelno opslužuje korisničke zahteve vezane za druge zone. Na primer, ako je na DNS-u podignuto 50 zona, i podaci za prvih 10 zona su učitani kako treba, DNS će biti u mogućnosti da opslužuje korisničke zahteve upućene ka tih prvih 10 zona dok se ostatak učitava.
Način na koji se ovo postiže je razdvajanje tredova (sistema) koji opslužuju korisnike od onih koji učitavaju podatke.
Kada se DNS uključi izvršavaju se sledeće aktivnosti:
Dakle, DNS serveri koji hostuju velike DNS zone koje AD DS smešta su u mogućnosti da odgovore na klijentske upite mnogo brže nakon restarta iz razloga što se zonski podaci sada učitavaju u pozadini.
IPv6 support: DNS serverski servis sada u potpunosti podržava korišćenje dužih adresa IPv6 specifikacije. Do Windowsa 2008 ovo nije bilo moguće, tačnije bilo je moguće samo ručno upisivanje IPv6 adresa u DNS, dok Windows 2008 DNS radi i automatsku sinhronizaciju ovih adresa.
Podrška za Read-Only domenske kontrolere (RODCs): uloga DNS servera u Windows Server 2008 nudi primarne read-only zone koje se nalaze na RODCs. Read-Only domen kontroleri su kako se i iz samog imena može zaključiti domen kontroleri sa kojih se samo može čitati sadržaj, odnosno oni na kojima se ne može vršiti upis, pa tako i DNS zone na RODC-ima su zone iz kojih se jedino može čitati. Ovakve zone su odlično rešenje za servere koji se postavljaju na udaljenim lokacijama, odnosno lokacijama na kojima može doći do krađe ili kompromitovanja serrevera od strane napadača.
Single-label Names: DNS zauzima vodeću ulogu u rezoluciji imena računara na TCP/IP mreži. Međutim, WINS se i dalje široko koristi u organizacijama kao alternativni servis za rezoluciju imena. WINS je stariji servis koji koristi NetBIOS over TCP/IP (NetBT). Osnovni razlog zbog kog se WINS koristi je rezolucija single-label imena. Kako sam WINS ne podržava IPv6 adrese koje sve više ulaze u upotrebu, bilo je potrebno doraditi DNS da razrešava imena ovog tipa ili doraditi WINS da podržava IPv6 adrese.
DNS na Windows2008 serveru podržava rezoluciju single-label imena upotrebom specijalnih GlobalName zona. Uloga ove zone je da osim single-label imena podržava i statička i globalna imena.
Na kraju, GlobalNames zonu možemo da koristimo da držimo Single-lable imena koja mogu da budu jedinstvena u celoj šumi. Ovo eliminiše potrebu korišćenja NetBIOS-based Windows Internet Name Service (WINS) da bi se ponudila podrška za Single-label imena.
Sledeća pitanja su korisna kada razmišljamo o izgradnji DNS uloge servera:
Treba pomenuti da mnogi problemi u radu aktivnog direktorijuma, kao što je replikacija i autentifikacija, mogu da budu prouzrokovani nefunkcionisanjem DNS servera.