2014-02-24
543
Исследование существующей инфраструктуры DNS
Первый шаг в проектировании инфраструктуры DNS должен состоять в исследовании уже имеющейся инфраструктуры DNS. В большинстве случаев служба DNS в Active Directory должна взаимодействовать с имеющейся инфраструктурой DNS. Это может означать просто конфигурирование ретранслятора в существующем сервере DNS, использование имеющегося DNS-сервера как основного для Active Directory или отсутствие развертывания DNS в Windows Server 2003. Active Directory требует, чтобы работала служба DNS, однако существует несколько вариантов ее развертывания.
При исследовании существующей инфраструктуры DNS необходимо выполнить следующие действия [13]:
- задокументировать все DNS-имена доменов, используемые в настоящее время в пределах компании. Сюда входят имена, встречающиеся в Интернете, а также внутренние имена;
- задокументировать все дополнительные имена, которые компания зарегистрировала для возможности использования в Интернете;
- задокументировать существующую конфигурацию серверов DNS. Эта документация должна включать типы DNS-серверов, в настоящее время развернутых в сети. Кроме того, конфигурация DNS должна содержать информацию о ретрансляторах, о делегировании зон и о конфигурации основных и дополнительных серверов.
При настройке DNS-серверов рекомендуется сначала выбрать и зарегистрировать уникальное родительское имя DNS, которое будет представлять организацию в Интернете. Это имя является доменом второго уровня внутри одного из доменов верхнего уровня, используемых в Интернете.
|
|
|
Прежде чем задавать родительское имя DNS для организации, необходимо убедиться, что это имя не присвоено другой организации. Родительское имя DNS можно соединить с именем местоположения или подразделения внутри организации для формирования других имен доменов следующих уровней.
Для внедрения Active Directory существуют два вида пространств имен (внутреннее и внешнее), при этом пространство имен Active Directory совпадает с заданным зарегистрированным пространством имен DNS или отличается от него [4]:
- Совпадающие внутреннее и внешнее пространства имен. Согласно этому сценарию, организация использует одно и то же имя для внутреннего и внешнего пространств имен — имя компании применяется как внутри, так и вне организации. Для реализации этого сценария надо соблюдать следующие условия. Пользователи внутренней частной сети компании должны иметь доступ как к внутренним, так и к внешним серверам (по обе стороны брандмауэра). Для защиты конфиденциальной информации клиенты, осуществляющие доступ извне, не должны иметь доступ к внутренним ресурсам компании или иметь возможность разрешать свои имена. Кроме того, необходимы две раздельные зоны DNS, одна из которых, за пределами брандмауэра, обеспечивает разрешение имен для общедоступных ресурсов. Она не сконфигурирована для разрешения имен внутренних ресурсов, поэтому доступ к ним извне получить нельзя.
- Отличающиеся внутреннее и внешнее пространства имен. В этом случае компания использует различные внутреннее и внешнее пространства имен — изначально в зонах по разные стороны брандмауэра имена различаются. Для этого необходимо зарегистрировать два пространства имен в DNS Интернета. Цель регистрации — предотвратить дублирование внутреннего имени другой общедоступной сетью. Если имя не зарезервировано, внутренние клиенты не смогут отличить внутреннее имя от имени, зарегистрированного в общедоступной сети пространства имен DNS. Таким образом, устанавливаются две зоны: одна отвечает за разрешение имен во внешнем пространстве, другая — во внутреннем. Пользователям не составит труда различать внутренние и внешние ресурсы.
|
|
|
