Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

DDNS своевременно обновит имена

Джефф Баллард

Отслеживание сетевых изменений и перемещений компьютеров в офисах и отделениях вашей организации не самое увлекательное занятие. Здесь на помощь приходит протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol — DHCP), однако ваша система доменных имен (Domain Name System — DNS) едва ли “успеет” за изменениями, требуя обновления записей вручную. Более удобным подходом является использование механизма Dynamic DNS (DDNS), обеспечивающего своевременное автоматическое обновление информации об именовании сетевых ресурсов.

Протокол DHCP, безусловно, служит хорошим подспорьем в управлении IP-адресами в сети предприятия. В ней рабочие станции получают IP-адреса и сетевые настройки от DHCP-сервера. Когда отдел “переезжает”, его серверы и рабочие станции получают новые настройки. Однако назначать компьютерам осмысленные DNS-имена, отслеживая нужные IP-адреса, затруднительно, если пользоваться одним лишь DHCP. Лучше ассоциировать IP-адреса с осмысленными именами, которые помогут легко и быстро идентифицировать компьютеры в сети. Используя службу DNS, ваши системы могут осуществлять поиск нужного компьютера с последующим сохранением информации.

Но, если службы DHCP и DNS у вас запущены без поддержки Dynamic DNS, в именах ваших хостов вы не найдете данных, позволяющих их различать, а выглядеть они будут, например, следующим образом: dhcp-192-168-12-34.example.com. Более наглядно выглядело бы, например, имя accounting-sue.workstation.example.com. Процесс назначения подобных имен значительно упрощается при использовании DDNS. Запоминая регистрационные данные DHCP ваших IP-служб (в частности, Web-серверов), DDNS выстраивает своеобразный мост между DHCP и DNS.

До того как поддержка DDNS получила широкое распространение в DHCP- и DNS-продуктах, предприятия использовали свои, “доморощенные” приемы и способы обновления информации DNS. С одной стороны, это правильно, а с другой — они были “вещью в себе” и их поддержку осуществлять было трудно. Вам лучше сразу внедрить в вашу инфраструктуру DDNS-продукты.

Полную версию данной статьи смотрите во 4-ом номере журнала за 2006 год.

DDNS крупным планом

Динамическая система DNS отличается от обычной наличием трех функций: динамическое обновление, уведомление и частичная передача зоны (IXFR).

Процесс динамического обновления заключается в уведомлении DHCP-сервером (или другой IP-службой) DNS-сервера о поступлении новой информации. По безопасному соединению DNS-серверу, скажем, сообщается, что рабочая станция bill.accounting.example.com теперь функционирует под IP-адресом 10.35.99.124. DNS-сервер записывает эту информацию поверх старой и начинает отвечать на запросы имени хоста с адресом 10.35.99.124 строкой bill.accounting.example.com.

Большинство организаций крупного бизнеса имеют более одного DNS-сервера, чтобы обеспечивать резервирование и распределять нагрузку. По терминологии, употребляющейся в отношении DNS, зона является одной из частей DNS-записи, разделенных точками — .accounting.example.com, например. Информация DNS передается и сохраняется относительно данной зоны. DNS-сервер с открытым исходным кодом BIND (Berkeley Internet Name Daemon) от Internet Systems обычно обновляет записи файлов зон вторичного DNS-сервера по файлам первичного каждые 15 мин, что, конечно, не позволяет говорить о получении информации в реальном масштабе времени. Но использование функциональной возможности zone-notify системы DDNS снимает этот вопрос: первичный DNS-сервер уведомляет вторичные об обновлениях записей зоны DNS. Это “заставляет” вторичный DNS-сервер обзавестись обновленной копией файла зон, чтобы иметь такую же конфигурацию, как и основной сервер.

Если вы не используете систему DDNS, то для раздачи информации вам придется передавать полностью файл зон. Возникает проблема с “динамическими” DNS-записями: при наличии у вас большой или часто обновляемой зоны DNS ваши серверы окажутся перегруженными. Использование функции DDNS IXFR позволяет вторичному серверу запрашивать первичный лишь о внесенных изменениях. Предположим, что из 10 тыс. записей DNS в вашем файле зон изменилось только три, тогда вторичным серверам будет отослана информация лишь об этих трех записях, а не обо всей зоне.

Коммерческие серверы и серверы с открытым исходным кодом

Если вы хотите установить DNS-сервер в большой сети, безопаснее всего будет использовать ПО сервера BIND: оно стабильно и хорошо поддерживается.

Существуют также и коммерческие DDNS-продукты, которые управляют не только службой доменных имен, но обычно еще и IP-адресами. Примерами могут служить устройства Network Identity от Infoblox, ПО VitalQIP от Lucent Technologies и Meta IP от MetaInfo. Это законченные решения для управления IP-адресами и службами DNS/DDNS.

Если вы решили запустить BIND, убедитесь, что у вас инсталлирована версия ПО не ниже 9.2, так как при работе с более ранними версиями возникали проблемы (см. “Подводные камни BIND”). ПО BIND работает под управлением Mac OS X, Linux, Windows и Unix.

Главное — ключи

Важнее всего обеспечить безопасное обновление данных. Допустим, вы не сконфигурировали DNS-сервер для проверки, например, отправителя обновлений. В этом случае взломщик сможет “направить” ваших пользователей вместо узла secure-intranet.example.com на свой узел www.i-am-a-hacker.com. Избыточность здесь не спасет — при наличии функций динамического обновления и IXFR ложная информация быстро попадет на ваши вторичные DNS-серверы. Поэтому при конфигурировании обновлений DDNS обязательно задействуйте криптозащиту с “длинными” ключами.

Существует два безопасных метода организации DDNS-соединений: сигнатур транзакций (TSIG) и SIG(0). Ключи TSIG представляют собой симметричные ключи HMAC-MD5 (Hashing Message for Authentication MD5). Они основаны на так называемом “общем секрете”. Если какая-либо машина, отправляющая обновления на DNS-сервер, окажется скомпрометированной, то, как говорится, пиши пропало, поскольку каждая машина вместе с DNS-сервером использует один и тот же ключ. Все же ключи TSIG в отличие от ключей SIG(0) установить проще и они широко поддерживаются DNS/DHCP-продуктами.

Асимметричные ключи SIG(0) представляют собой пару из открытого и секретного ключей, основанную на каком-либо стандарте шифрования. Этот метод безопаснее, чем HMAC-MD5, но на настройку ключей у вас уйдет больше времени. Каждый источник обновлений получает собственный ключ, и для большинства клиентского ПО потребуются дополнительные настройки, чтобы работать с SIG(0).

В вашем конфигурационном файле DNS может быть несколько ключей. Так, *.a.example.com может иметь ключ, отличный от ключа *.b.example.com. Таким способом можно уменьшить ущерб от компрометации ключей. Но будьте осторожны с правами доступа. К примеру, в продукте BIND от Internet Systems ключи записываются в конфигурационные файлы открытым текстом, поэтому убедитесь, что атрибуты этих файлов установлены таким образом, чтобы доступ к ним был разрешен лишь системным администраторам.

Время жизни

Если ваши данные DDNS доступны через Интернет, возникает вопрос: как долго DNS-серверам Сети следует хранить в кэш-памяти вашу информацию DDNS? время, отведенное для кэширования любой DNS-записи, называется Time to Live (TTL) — “Время жизни”. Чем меньше его значение, тем быстрее DNS-серверы Интернета узнают об изменениях, но тем чаще они будут запрашивать информацию у ваших DNS-серверов. Чем больше это значение, тем менее свежей будет ваша DNS-информация в Интернете. Зато нечастые обновления снизят нагрузку на ваши DNS-серверы.

Продукт DHCPD от Internet Systems по умолчанию устанавливает значение TTL, равное половине времени для выделенного диапазона DHCP. Однако вы вольны уменьшить его. На практике для часто обновляемых сетей значение тайм-аута обычно выбирают равным 30 с.

На первых шагах конфигурирования регистрируйте все события, происходящие на ваших DNS- и DHCP-серверах. После запуска DDNS вы можете подкорректировать настройки журналов, чтобы регистрировать лишь критичные, на ваш взгляд, ошибки и вести необходимый контроль. Так, служба DNS генерирует множество журналов о плохо сконфигурированных DNS-серверах Интернета. Они не подпадают под ваш контроль, поэтому нет и надобности регистрировать относящиеся к ним события.

Следующим шагом в построении системы динамического обновления IP-адресов станет конфигурирование вашего DHCP-сервера. Он должен обновлять DNS-сервер. ПО DHCPD от Internet Systems фактически является стандартным DHCP-сервером; его версия 3 — текущая — отправляет динамические обновления на DNS. У DHCPD много опций, но особое внимание обратите на ограничения для имен ваших клиентских машин, на зону, в которой должны выполняться обновления, и на действия на случай непредоставления компьютером имени хоста.

Насколько активна ваша служба AD?

В идеале можно было бы взяться за конфигурирование поддержки DDNS службой Microsoft Active Directory, но мы оставляем это на ваше усмотрение. ОС Windows 2000 и выше для управления именами машин используют записи DNS и SRV вместо WINS. В связи с этим у нас есть сначала хорошая новость: все это можно реализовать на одном DNS-сервере, а затем плохая: ваши машины с ОС Windows 2000 могут попытаться без вашего ведома динамически внести поправки в ваш DNS-сервер. Поэтому главное, над чем придется немного поработать, — это обеспечить их безопасную интеграцию.

Существует несколько способов интеграции Active Directory с DNS: вы можете полностью использовать Active Directory для управления DNS, все относящееся к Active Directory сделать лишь частью DNS, задействовать Active Directory для динамического обновления стандартного DNS-сервера. Если у вас установлены только продукты от Microsoft и все находится под контролем Active Directory, самым простым будет использование встроенных DNS-служб Windows 2000.

Когда же вам нужно интегрировать Active Directory с уже существующей DNS-службой, можно делегировать справочнику отдельные зоны — в частности, имена *.ad.example.com отнести к зонам управления Active Directory, а остальные — к зонам DNS, управляемым другим сервером.

Делегируя серверу справочника зоны AD от вашего первичного DNS-сервера и исключив для последнего использование DDNS напрямую, можно “уйти” от DNS-служб Microsoft. Эти дополнительные зоны помогут не только серверам Active Directory находить друг друга, но и рабочим станциям обнаруживать серверы. Так, запись _msdcs.example.com содержит список всех серверов AD в области example.com. (Active Directory хранит всю информацию для поиска доменных контроллеров, серверов паролей и т. д. данной зоны.) Как видим, при такой модели AD самостоятельно управляет всей нужной информацией.

При полномасштабном развертывании DDNS динамические обновления Active Directory отправляет непосредственно вашему главному DNS-серверу. Так безопаснее, поскольку информация DNS централизуется в одном месте, соответственно меньшему количеству серверов понадобятся “заплаты”, обновления и мониторинг.

Проверьте, как работает клиент

Если для смены IP-адресов некоторых ваших компьютеров нецелесообразно использовать DHCP или Active Directory, вам, возможно, потребуется такой инструмент, как nsupdate из пакета BIND. Данное ПО предполагает использование командной строки или сценария для непосредственного обновления информации DNS (так можно, например, осуществлять обновления DDNS без DHCP). Nsupdate применяет стандартные способы ввода-вывода для обновления записей DDNS. По адресу www.knuthaugen.no/linux/ddns/ можно “скачать” простой сценарий, базирующийся на nsupdate для обновления IP-адреса Linux-машины.

Имейте в виду, что автономные рабочие станции Windows 2000 и XP попытаются автоматически зарегистрироваться посредством DDNS-записей “в стиле” AD — сначала при входе в систему, а затем ежечасно. Если ваш DNS-сервер не сконфигурирован на разрешение таких регистраций, это выльется в большой объем ненужного трафика и появление в журналах сообщений об ошибках. Отменить автоматическую регистрацию на Windows 2000 и XP-машинах можно, отредактировав реестр: установите значение параметра HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Netlogon\Parameters\UseDynamicDns равным 0x0 (по умолчанию оно равно 0x1). Ее (автоматическую регистрацию) также можно отменить в настройках сетевой карты (дополнительные настройки стека TCP/IP) в панели управления Windows. Это предотвратит попытки машин Windows 2000 или XP отсылать обновления DDNS.

При правильной установке системы DDNS она позволит вам меньше отвлекаться на управление IP-адресами и будет отсылать серверам сети подробную и согласованную информацию. В результате вы сможете динамически обновлять информацию об именах хостов при конфигурировании сети через DHCP..





  
4 '2006
СОДЕРЖАНИЕ

бизнес

• Коммуникации — это не только IP-пакеты

• E-learning в бизнесе: потребности, возможности, перспективы

инфраструктура

• Российские серверы

• Рынок iSCSI-сетей SAN готов к стремительному подъему

• DDNS своевременно обновит имена

сети связи

• IMS и новые услуги связи

• Системы широкополосного доступа для NGN

кабельные системы

• Как спасти ЦОД от перегрева

• Системы управления СКС на российском рынке

• Высокоскоростным оптическим сетям — высокоуровневое тестирование

защита данных

• Тестируем средства защиты от шпионского ПО

новые продукты

• HiPath 4000. Теперь с протоколом SIP и шифрованием; Промышленные компьютеры от Ampro Computers; Системы учета трафика «АЛС и ТЕК»


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх