Работа DNS-сервера на машине с ISA Server
- Font size: Larger Smaller
- Hits: 10008
- 0 Comments
- Subscribe to this entry
- Bookmark
Примечание переводчика: этот перевод сделан с учетом, что на компьютере установлена англоязычная версия Windows.
Работа DNS-сервера на машине с ISA Server
Работа DNS-сервера на машине с ISA Server.
Много народу хочет запустить DNS-сервер на той же машине, где работает ISA Server. Если у вас сложилась такая ситуация, когда вам необходимо сделать ISA Server общедоступным DNS-сервером, то сия статья вам пригодится.
Какие причины могут возникнуть для запуска DNS-сервера на ISA Server ?
Скорее всего, эти:
- ISA Server является также контроллером домена.
- ISA Server является "официальным" DNS-сервером для общедоступных доменов.
- ISA Server является только кэширующим DNS-сервером для клиентов локальной сети
Обратите внимание, что здесь не рассматривается ситуация, когда ISA Server работает в качестве вторичного DNS-сервера для внутрисетевых клиентов. Это обсуждать не будем, т.к. это не защищаемая конфигурация.
Работа только кэширующего DNS-сервера на ISA Server.
Если вы хотите запустить DNS-сервер, то конфигурация только кэширующего DNS-сервера, возможно, будет самым подходящим решением. Такой DNS-сервер не содержит никаких данных в DNS-зоне. Внутрисетевые клиенты используют этот DNS-сервер для разрешения своих имен. Рабочие станции и сервера могу использовать этот DNS-сервер как предпочитаемый DNS-сервер и внутрисетевые DNS-сервера могут использовать только-кэширующий DNS-сервер в качестве форвардера.
В данном примере машина сконфигурирована как член внутрисетевого домена. Программное обеспечение ISA Server уже установлено. В Protocol Rule все открыто. В Site and Content Rule находится только один включенный руль по умолчанию. Фильтрация пакетов включена.
Выполните следующие действия для установки и настройки только-кэширующего DNS-сервера на компьютере с ISA Server.
1. Откройте Панель управления.
2. Зайдите в Add/Remove Programs
3. Там нажмите на кнопку Add/Remove Windows Components.
4. В появившемся окне Мастера - двойной клик на Network Services.
5. В диалоговом окне Networking Services отметьте галочкой Domain Name System (DNS). Не выбирайте никаких других компонентов. Нажмите ОК.
6. Нажмите Next в диалоговом окне Windows Components.
7. Нажмите Finish на странице Completing the Windows Components Wizard.
8. Нажмите Start => Programs => Administrative Tools => DNS.
9. В консоли DNS будет замечание, что типа нету ни форвардной, ни реверсной зон. Клик правой педалью на имени сервера, переместитесь на View и нажмите на команде Advanced. Теперь можно будет увидеть Cached Lookups, которые произведены этим сервером
10. Правый клик, на имени сервера и выбираем Properties.
11. В диалоговом окне Properties переходим на закладку Interfaces, выбираем опцию Only the following IP addresses. Выбираем IP-адрес внешнего интерфейса ISA Server и жмем Remove (весело, правда ?). Это действие удалит внешний IP-адрес из "прослушивания" DNS-запросов. Вам надо чтобы DNS-сервер прослушивал DNS-запросы только на внутреннем интерфейсе. Жмите Apply.
12. Если у вас хороший, надежный (а так же чисто конкретный, пацанский) интернет-провайдер, который нормально работает со своими DNS-серверами, то вы можете сконфигурировать свой только-кэширующий DNS-сервер для использования DNS-сервера вашего провайдера как форвардера. Если вам это надо, то переходим на закладку Forwarders.
13. На этой закладке ставим галку на Enable forwarders. Впишите IP-адреса или DNS-сервера вашего провайдера и нажмите кнопку Add. И еще не забудьте поставить галку на Do not use recursion, потому что если вы позволите вашему только-кэширующему DNS-серверу выполнять рекурсию, то в случае сбоя форвардера получите конкретные тормоза. Жмем Apply и затем OK.
{mospagebreak}
14. Поменяйте предпочитаемые DNS-настройки у внутрисетевых клиентов, чтобы они использовали внутренний IP-адрес ISA-сервера как DNS-сервер. Если вы используете внутрисетевой DNS-сервер, то сконфигурируйте клиентов на использование внутрисетевого DNS-сервера и настройте остальные внутренние DNS-сервера для использования внутреннего IP-адреса ISA-сервера как форвардера.
Теперь можно протестировать работу только-кэширующего DNS-сервера. Сгоните любого юзера/ламера с его тачки и из командной строки его компа наберите Nslookup. Например, nslookup http://www.mail.ru/ (в оригинале написано nslookup http://www.zdnet.com/, но у меня выдавало таймаут, а разбираться с таймаутом было влом, поэтому и написал http://www.mail.ru/).
Короче, вы должны получить ответ, который выглядит как на картинке ниже. Не пугайтесь надписи Non-authoritative. Это нормальное явление. Причина в том, что ответ был получен из кэша вашего только-кэширующего DNS-сервера. Обязательно посетите несколько Web-сайтов пока вы сидите у юзера/ламера на компе, залезть на пару порносайтов - святое дело (если, конечно ISA Server не скажет "низззя-я").
Тащимся обратно к нашему многострадальному DNS-серверу и залезаем в консоль DNS. Обновите то, что вы видите, раскройте ветку Cached Lookups в левой панели консоли DNS. Вот тут можно увидеть много успешно закэшированных интернет-адресов. Я когда у себя на DNS-сервере туда залез - чуть со стула не упал ! Столько новых порнушных адресов узнал ! :) Как видите, создать только-кэширующий DNS-сервер очень просто. (веселее будет, когда нужно будет создавать полноценный DNS-сервер). Кстати, запомните, что когда вы рестартуете сервер или сервисы только-кэширующего DNS-сервера, то содержимое DNS-кэша будет потеряно.
Publishing a Public DNS Server (туфтология какая-то) :)
Публикация общедоступного DNS-сервера. (так вроде лучше выглядит) :)
Другая причина, почему нам надо поднять DNS-сервер на тачке с ISA Server - это если вы хотите опубликовать свой DNS-сервер для общего доступа. Есть два варианта, чтобы сделать DNS-сервер, расположенный на ISA Server доступным для внешних пользователей:
- Packet Filters
- Server Publishing (что, в общем-то, предпочтительнее)
Для публикации DNS-сервера выполните следующие действия на компьютере с ISA Server:
1. Установите и настройте DNS-сервер, так же как мы делали это выше, в пунктах 1-11. Установка и настройка DNS-listener - все точно так же...
2. Естественно, мы НЕ хотим, чтобы наш DNS-сервер выполнял рекурсию для внешних юзеров. От включения рекурсии мы поимеем серьезный риск с безопасностью. А еще убедитесь, что DNS-сервер НЕ настроен использовать Forwarder. Снимите галку с Enable Forwarders.
3. Перейдите на закладку Advanced. Установите галку на Disable recursion. И еще поставьте галку на Secure cache against pollution (оберегать кэш от мусора). Жмем Apply и ОК. Опция запрещения рекурсии предотвращает DNS-сервер от разрешения DNS-запросов для всяких "левых" доменов. Опция предохранения кэша от мусора защищает сервер от атак, которые могут попортить кэш.
4. А чичас, когда наш DNS-сервер уже настроен мы можем опубликовать его с помощью Server Publishing руля (rule, правило). Откройте консоль ISA Management и раскройте Имя сервера. Раскройте ветку Publishing. Клик правой педали на Server Publishing Rules, перемещаемся на New и жмем Rule.
5. На странице Мастера Welcome to the New Server Publishing Rule Wizard укажите имя руля (rule, правило). Жмем Next
6. На странице Address Mapping (в данном контексте это назначение адресов) впишите внутренний IP-адрес в поле IP address of the internal server и внешний IP-адрес в поле External IP address on ISA Server.
7. На странице Protocol Settings выберите протокол DNS Query Server и нажмите Next.
8. На странице Client Type выберите Any request и нажмите Next.
9. Повторите все телодвижения для создания Server Publishing Rule, но на этот раз обзовите это DNS Zone Transfer и используйте протокол DNS Zone Transfer. Мы можем ограничиться только этими двумя рулями, как показано ниже.
Публикация DNS-сервера с использованием фильтрации пакетов (packet filters) делается немного по-другому. В этом случае надо сделать так, чтобы DNS-сервер слушал внешний интерфейс вместо внутреннего. После того как вы настроите DNS-сервер на прослушку внешнего интерфейса создайте Packet Filters на Allow (разрешения) входящих DNS-запросов.
ВНИМАНИЕ !!!
Запомните, что когда вы публикуете общественный (так и просится другое слово) DNS-сервер на той же машине где стоит ISA Server, то клиенты локальной сети не смогут использовать его для разрешения имен интернет-хостов. DNS-сервер будет способен разрешать имена только для ваших общедоступных сайтов. Клиентам локальной сети не потребуется использовать этот сервер для разрешения имен.
Для публикации DNS-сервера на ISA Server с использованием packet filters выполните следующие действия:
1. Выполните пункты 1-10 как описано в установке только-кэширующего сервера. Это приведет вас к диалоговому окну Properties (свойства).
2. На закладке Interfaces выберите опцию Only the following IP addresses (только указанные IP-адреса). Выберите внутренний IP-адрес ISA Server и нажмите Remove. Нам надо, чтобы DNS-сервер слушал только внешний IP-адрес. Нажмите Apply.
3. Переходим на закладку Forwarders и проверяем, что сервер НЕ использует форвардеры.
4. Закладка Advanced. Смотрим, чтобы было установлено Disable recursion и Secure cache against pollution.
5. Жмем ОК в этом диалоговом окне (Properties)
6. Откройте консоль ISA Management, раскройте Имя_сервера и переместитесь в Access Policy. Клик правой мышью на IP Packet Filters, перемещаемся на New и жмем Filter.
7. На странице Мастера Welcome to the New IP Packet Filter Wizard укажите имя фильтра. В этом примере мы обзовем его DNS Query. Жмите Next.
8. На странице Filter Mode (режим фильтра) выберите опцию Allow packet transmission (разрешить передачу пакетов) и нажмите Next.
9. На странице Filter Type (тип фильтра) выберите Custom и нажмите Next.
10. На странице Filter Settings (настройки фильтра) выберите протокол UDP. Direction (направление) поставьте Receive send (прием отправка). Local port - Fixed port, натравленный на номер 53. Remote port должен быть установлен в All ports. Жмите Next.
(интересно, а для чего это все объяснять словами, если все видно на картинке. Странные люди, эти америкосы)
11. На странице Local Computer выберите опцию Default IP addresses for each external interface on the ISA Server computer (IP-адреса по умолчанию для каждого внешнего интерфейса ISA Server) если у вас единственный IP-адрес на внешнем интерфейсе. Жмите Next.
12. На странице Remote Computers выберите опцию All remote computers и нажмите Next.
13. Нажмите Finish (Финиш) на странице Мастера называемой Completing the New IP Packet Filter Wizard (Завершение мастера по рождению новых фильтров).
14. А теперь создайте второй Packet Filter, но на этот раз сделайте его на TCP 53 вместо UDP 53.
Некролог (т.е. я хотел сказать подведение итогов).
Хм... но ничего интересного я там не нашел... Обрывки строчек, которые написаны выше... Скорее это похоже на напоминание - чтоб вы не забыли о чем читали выше !
:)
