2014-02-02
4952
Служба DNS
Как работает DHCP
Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов. Этот процесс состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.
Система доменных имен (Domain Name System) - служба имен Интернета, стандартная служба TCP/IP. Служба DNS дает возможность клиентским компьютерам в сети регистрировать и разрешать доменные (символьные) имена. Доменные имена используются, чтобы находить ресурсы в сети и обращаться к ним. Сервер DNS входит в стандартную сборку Windows Server.
Если в вашей сети IP-адреса распределяются посредством сервера DHCP, вы не сможете задавать фиксированные адреса в конфигурационном файле зоны, так как адрес, выделенный клиенту DHCP, становится известным лишь при его загрузке и может измениться при следующей загрузке. Возможны два решения этой проблемы: настройка сервера DHCP для предоставления клиенту одного и того же IP-адреса и настройка DHCP и серверов DNS для совместной работы. Если вы выберете первый способ, т. е. сконфигурируете сервер DHCP так, что он будет выделять конкретным клиентам фиксированные IP-адреса, вам придется уделять много внимания сопровождению этих серверов. Предположим, что вам необходимо указать, что компьютеру birch.threeroomco.com должен соответствовать адрес 192.168.1.2. Для этого вам надо изменить как конфигурационный файл сервера DHCP, так и конфигурационные файлы зон сервера DNS, используемых для прямого и обратного преобразования (в системах Microsoft проще делается через оснастки – хотя можно и через командную строку, в Linux-системах, как правило, за это отвечают конфигурационные файлы dhcpd.conf, named.conf и resolv.conf). При этом надо следить за тем, чтобы значения в файлах совпадали. Несмотря на то, что данное решение реализуется относительно просто, для больших доменов оно оказывается слишком трудоёмким.
Допишем на нашем Linux-сервере в файлы конфигурации DNS строку:
zone "threeroomco.com" { type master; file "named.threeroomco.com";allow-update { 192.168.1.1; } };Всё. Теперь BIND будет принимать информацию об IP-адресах от компьютера с адресом 192.168.1.1. Само собой, предполагается, что это адрес сервера DHCP.
А теперь внимание. Не важно – Linux у вас сервер, или вы те аналогичные настройки произвели на Windows, вы открыли доступ к кофигурированию вашего DNS-сервера. Да, вы ограничили доступ к нему адресом 192.168.1.1, но что может помешать злоумышленнику выдать свои датаграммы за датаграммы этого сервера? Нет, понятно, что существует множество антихакерских и прочих защитных программ, но всёже одним из базовых механизмов безопасности конфигурационных серверов является их размещение на одной локальной машине с правом доступа к ним только с локального узла (127.0.0.1).
