Лабораторная работа №2 Изучение методов разрешения имен. Настройка dns сервера.

Цель работы: Изучение протоколов LLMNR (Link Local Multicast Name Resolution), NetBIOS и DNS.

Краткие теоретические сведения.

Разрешение имен – преобразование компьютерных имен в IP адреса. Разрешение имен является одним из самых важных компонентов сетевой инфраструктуры. В сетях Windows Server 2008 R2 используются три системы разрешения имен:

• DNS (Domain Name System);

• LLMNR (Link Local Multicast Name Resolution);

• NetBIOS (Network Basic Input/Output System).

Самой важной является DNS, поскольку она обеспечивает работу доменных служб AD DS и применяется для разрешения имен в сети Интернет. Система DNS нуждается в скоординированной настройке серверов и клиентов всей организации, поэтому она не подходит для небольших организаций, работающих в рамках модели рабочей группы. В таких случаях используются другие службы разрешения имен  LLMNR и Net BIOS.

Протокол LLMNR по умолчанию включен на клиентах Windows Server 2008R2 и Windows 7 и используется для поддержки функции Карта сети и для просмотра сети с помощью команды Сеть. Для его работы нужно активировать Сетевое обнаружение, которое включается в Центре управления сетями и общим доступом. Отключить LLMNR можно с помощью групповой политики.

Если в конфигурации IP не указан DNS сервер, команда ping <имя_хоста> будет использовать LLMNR для разрешения имени хоста:

• первый шаг – проверка кэша LLMNR локального компьютера;

• если запись не найдена, будет отправлено два пакета с LLMNR запросами в локальную сеть:

• первый – по многоадресному IPv6 адресу FF02::1:3

• второй – по многоадресному IPv4 адресу 224.0.0.252

• если компьютер <имя_хоста> расположен в той же подсети, он пошлет ответ по протоколу IPv6 и IPv4 (в зависимости от того, какой из них включен).

NetBIOS – устаревший сетевой протокол и система именования - трансформировался в NetBT, NetBIOS over TCP/IP. Он до сих пор включен во все версии Windows. В версиях Windows до Windows Vista используется для просмотра списка компьютеров утилитой Сеть или Сетевое окружение и для разрешения имен компьютеров в случае недоступности DNS. В более поздних версиях Windows используется для разрешения имен, если DNS не сконфигурирован, а LLMNR отключен.

Разрешение имен NetBIOS включает три метода разрешения имен

• широковещание NetBIOS – посылается широковещательный запрос на разрешение имени узла;

• WINS сервер - специальный сервер (сервис на сервере Windows), который регистрирует в своем каталоге соответствие имен и адресов IPv4, в версиях Windows NT до Windows 2000 Server использовался для поддержки доменов,позволяет разрешать имена NetBIOS за пределами локальной подсети;

• файл LMHOSTS - статический файл %SystemRoot%\System32\Drivers\Etc, который требуется создавать вручную.

Параметры разрешения имен NetBIOS можно изменить в Центре управления сетями и общим доступом  Изменение параметров адаптера Свойства Протокол Интернета версии 4(TCP/IPv4) Свойства Дополнительно вкладка WINS (рис.15).

Рис. 15. Настройка параметров разрешения имен NetBIOS.

Существует четыре комбинации методов разрешения имен NetBIOS по TCP/IP:

• широковещательный (b-узел) – использует широковещательные запросы имен NetBIOS для регистрации и разрешения имен. Работает только в локальной сети;

• точка-точка (p-узел) – запрашивает ip адрес у сервера WINS;

• комбинированный (m-узел) - сначала использует широковещание, потом запрос WINS сервера;

• гибридный (h-узел) - сначала запрос к серверу WINS потом широковещательный запрос.

По умолчанию, если для разрешения имен используется WINS, для регистрации имени применяется метод h-узла. Этот же метод (с небольшими отличиями) будет использован для разрешения имен. Система выполнит следующие действия.

1. Проверит, является ли указанное имя именем локальной машины.

2. Проверит кэш имен удаленных систем. Любое разрешенное имя помещается в кэш и находится там на протяжении 10 минут.

3. Использует сервер WINS.

4. Использует широковещательную рассылку.

5. Проверяет файл LMHOSTS (при наличии соответствующей настройки).

6. Использует файл HOSTS и DNS (при наличии соответствующей настройки).

Все компьютеры, начиная с Windows 2000, используют DNS для локализации контроллеров доменов в AD DS:

• клиентские компьютеры при входе в сеть;

• контроллеры домена - для поиска партнеров по репликации;

• серверы Exchange Server для поиска данных получателей электронной почты.

Доменные имена AD DS являются именами DNS, а данные зон DNS можно хранить в AD DS или в текстовых файлах.

Система именования DNS основана на иерархической и логической древовидной структурe, которая называется пространством имен DNS. Это пространство имеет уникальный корень, у которого может быть любое количество поддоменов. Каждый поддомен может иметь домены более низкого уровня. Каждый узел в доменном дереве DNS идентифицируется по его полному доменному имени FQDN (Fully Qualified Domain Name). FQDN однозначно указывает расположение домена относительно корня доменного дерева DNS, например именем FQDN для сервера SUN в домене TUC.NOAO.EDU ,будет имя sun.tuc.noao.edu – это конкатенация имени SUN и основного DNS суффикса с точкой (.)

DNS сервер – компьютер с программой DNS сервера, например служба DNS Server в Windows 2008 Server или BIND в UNIX. Сервер, использующий локально управляемую базу данных вместо простого кэширования данных с других серверов, является полномочным сервером домена, отвечающим на запросы об узлах в этом домене.

Зона DNS – это непрерывная часть пространства имен, в которой сервер является полномочным. Сервер может быть полномочным в одной и более зон. Например, сервер может быть полномочным в зонах noao.edu и doao.edu, а в каждой зоне может быть один или более доменов. Файл зоны содержит данные зон, для которых сервер является полномочным. Файлы зоны хранятся либо в текстовых файлах либо в AD.

Распознаватель DNS - служба, использующая протокол DNS для запроса информации DNS серверов. В Windows 2008 реализован в виде службы «DNS клиент», который дополнительно обеспечивает кэширование сопоставлений DNS

Записи ресурсов – записи базы данных DNS, которые используются для ответов на DNS запросы. Существуют следующие типы записей:

• узел (A или АААА);

• псевдоним (CNAME);

• запись почтового сервера (MX);

• указатель (PTR);

• расположение службы (SRV).

Практические задания

Задание 1. Изучение разрешения имен LLMNR и NetBIOS

1. Подготовьте две виртуальные машины Windows 2008 Server. Назовите их, соответственно, DC1 и DC2. Удалите роль контроллера домен на DC2. При необходимости смените роль Мастера глобального каталога в Active Directory — сайты и службы. Зайдите в оснастку Сервисы и проверьте, что сервис DNS Server остановлен на машине DC1. Если он не остановлен, остановите его. Проверьте настройки Брандмауэра Windows. Он должен быть отключен на обеих машинах.

2. Отключите протокол IPv4 в Центре управления сетями и общим доступом (Network and Sharing Center) -> Изменение параметров адаптера (Change adapter settings). Назначьте IPv6 адрес fd00::1 компьютеру DC1 и IPv6 адрес fd00::2 компьютеру DC2. Зайдите в «Дополнительные параметры общего доступа» и убедитесь, что выбран вариант Включить сетевое обнаружение.

3. В командной строке на компьютере DC2 выполните команду ping DC1.

4. Если Вы получили 4 ответа с локального IPv6 адреса компьютера DC1, значит, имя разрешено именно протоколом LLMNR.

5. Включите протокол IPv4 и еще раз запустите команду ping DC1.

С какого адреса Вы получили ответ? Запишите результат в рабочую тетрадь. Можете ли Вы сделать вывод о том, какой протокол разрешения имен используется во втором случае?

6. На компьютере DC2 зайдите в Центр управления сетями и общим доступом (Network and Sharing Center) -> Изменение параметров адаптера (Change adapter settings). Выберите компонент Протокол Интернета версии 4 (Internet Protocol version 4(TCP/IPv4)). Нажмите кнопку Дополнительно и перейдите на вкладку Служба WINS. На этой вкладке выберите Отключить NetBIOS через TCP/IP. Закройте все окна.

7. В командной строке на компьютере DC2 выполните команду ping DC1.

С какого адреса Вы получили ответ? Можно ли сделать вывод о том, с помощью какого протокола разрешаются имена?

8. Отключите протокол IPv6 в Центре управления сетями и общим доступом (Network and Sharing Center) -> Изменение параметров адаптера (Change adapter settings).

9. Для отключения протокола LLMNR в меню пуск оснастку MMC Редактор групповой политики Пуск –Выполнить – gpedit.msc. Откройте пункт Конфигурация компьютера – Административные шаблоны – Сеть – DNS клиент. Выберите параметр Отключить многоадресное разрешение имен и установите параметр Включено. Таким образом Вы отключили протокол разрешения имен LLMNR.

10. Для очистки кэша протокола LLMNR необходимо перезагрузить компьютер DC2.

11. В командной строке на компьютере DC2 выполните команду ping DC1

12. Запишите результат в рабочую тетрадь. Продемонстрируйте результат преподавателю.

13. На компьютере DC2 зайдите в Центр управления сетями и общим доступом (Network and Sharing Center) -> Изменение параметров адаптера (Change adapter settings). Выберите компонент Протокол Интернета версии 4 (Internet Protocol version 4 (TCP/IPv4)). Нажмите кнопку Дополнительно и перейдите на вкладку Служба WINS. На этой вкладке выберите По умолчанию (Default). Закройте все окна

14. В командной строке на компьютере DC2 выполните команду ping DC1. С какого адреса Вы получили ответ? Можно ли сделать вывод о том, с помощью какого протокола разрешаются имена?

15. Если Вы останавливали сервис DNS сервер, зайдите в оснастку Сервисы и запустите DNS Server. С помощью локальной групповой политики включите протокол разрешения имен LLMNR.

Задание 2. Изучение разрешения имен DNS. Просмотр параметров DNS сервера.

1. Откройте консоль Менеджер DNS (Пуск - Администрирование) на сервере DC1. Включите DNS.

2. Просмотрите настройки DNS сервера. Для этого нажмите правой кнопкой мыши по названию сервера DC1 - Свойства. Запишите настройки сервера в рабочую тетрадь.

   1. Интерфейсы

   2. Источник корневых ссылок

   3. Пересылка

   4. Частота очистки неактивных записей (Scavening)

   5. Журнал

3. Просмотрите свойства содержание Зоны прямого просмотра.

4. Выберите зону fflab.net и запишите все типы записей, которые в ней имеются. Какие записи хостов (A) уже присутствуют в зоне?

5. Из командной строки сервера DC2 выполните команду ping DC1 и nslookup DC1. Получите с их помощью IP адрес компьютера DC1 <ip_DC1>. Выполните команду nslookup <ip_DC1>. Получили ли Вы результат обратного разрешения имен?

6. Перейдите в Зоны обратного просмотра и создайте Основную зону обратного просмотра для Вашей сети с помощью Мастера. Для этого щелкните правой кнопкой мыши на папке Зоны обратного просмотра -> Новая зона и следуйте указаниям Мастера.

7. Выполните команду nslookup <ip_DC1>. Изменилось ли обратное разрешение имен? Почему?

8. Выполните запрос ping www.microsoft.com. Данный запрос может не выполниться при отсутствия подключения к Интернету. Опишите все этапы разрешения имен. Какие службы и компьютеры участвуют в каждом этапе?

9. Измените настройку Пересылка (Forwarders) на сервере DC1. Для этого перейдите на вкладку Пересылка, нажмите кнопку Изменить. Удалите существующие записи, если они есть и добавьте сервер DC2.

10. Выполните очистку кэша DNS с помощью ipconfig /flushdns в командной строке.

11. Выполните запрос ping www.microsoft.com. Что изменилось в последовательности разрешения имен?

В каких случаях DNS сервер обращается к корневому серверу?

Каким образом DNS сервер, обращающийся к корневому серверу для разрешения имени www.contoso.com , когда он не может ответить на запрос, определяет начальный сервер, которому следует отправлять следующий запрос?

Задание 3. Просмотр кэша распознавателя DNS.

1. Выполните в командной строке компьютера DC2 команду ipconfig /flushdns. Эта команда очищает кэш локального распознавателя (DNS клиента).

2. В командной строке выполните команду ipconfig /displaydns. Запишите результат в рабочую тетрадь.

3. Из командной строки сервера DC2 выполните команду ping DC1. С какого адреса Вы получили ответ? Какой DNS суффикс прикреплен к имени DC1?

К неполному имени для формирования FQDN имени в запросе разрешения имени по умолчанию прикрепляется основной DNS суффикс локального компьютера. Возможно разрешение коротких имен из других доменов, если DNS суффиксы этих доменов добавлены в список поиска или список просмотра DNS

4. Для просмотра или изменения списка просмотра DNS откройте настройки подключения в Центре управления сетями и общим доступом (Network and Sharing Center) -> Изменение параметров адаптера (Change adapter settings). Выберите компонент Протокол Интернета версии 4 (Internet Protocol version 4(TCP/IPv4)). Нажмите кнопку Дополнительно и перейдите на вкладку DNS. Выберите пункт Дописывать следующие DNS-суффиксы и нажмите кнопку Добавить. В открывшемся окне напишите DNS суффикс своего домена и нажмите кнопку Добавить. Таким же образом добавьте DNS суффикс хост-компьютера. Обратите внимание на то, что можно явным образом указать суффикс подключения в DNS и зарегистрировать его на DNS сервере.

5. В командной строке выполните команду ipconfig /displaydns. Изменилось ли что-нибудь после изменения списка просмотра DNS? Запишите результат в рабочую тетрадь.

6. Из командной строки сервера DC2 выполните команду ping DC1 и ipconfig /displaydns. Изменился ли результат команды? Почему?

Контрольные вопросы

1. Что такое разрешение имен? Опишите кратко три системы разрешения имен, которые используются в сетях Windows 2008 Server.

2. Протокол LLMNR. Какие компоненты необходимы для его работы? Опишите по шагам алгоритм разрешения имен с помощью протокола LLMNR.

3. Протокол разрешения имен NetBIOS. В каких случаях он используется для разрешения имен? Какие методы разрешения имен он включает?

4. Протокол разрешения имен NetBIOS. Опишите алгоритм разрешения имен для компьютера, сконфигурированного как h-узел.

5. Система разрешения имен DNS. DNS сервер, зона DNS, распознаватель DNS, записи ресурсов. Типы записей ресурсов.

6. Кэш распознавателя DNS. Просмотр и очистка кэша распознавателя DNS.

7. Алгоритм разрешения имен DNS.