четверг, 1 июля 2010 г.

Настройка DNS

Настройка DNS

Правильная настройка DNS имеет важнейшее значение. Ошибки могут привести к плохой работе сети и появлению значительного лишнего трафика DNS. В зависимости от требуемой задачи возможны разные варианты.

В качестве своих служб DNS может использоваться DNS-сервер в серверных версиях Windows или кэширующий DNS от NAT. Использование своих служб актуально, если у провайдера DNS трафик платный, так как они за счет кэширования позволяют его экономить.

Если у Вас имеется домен Windows, то свой DNS-сервер обязательно присутствует и его надо настроить на работу с внешним Интернет. Тут возможен только вариант 3 - см. далее.

1.

Клиенты и сервер используют DNS-сервер провайдера, службы DNS в своей сети совсем не используются.

У клиентов в качестве DNS-сервера надо прописать IP-адреса DNS-серверов провайдера. Это надо также обязательно сделать, если клиенты получают настройки через DHCP от ICS или RRAS.

У клиентов NAT должен быть разрешен. Если в настройках фильтрации у них трафик по умолчанию запрещен, то надо разрешить UDP/TCP по порту 53.

2.

Используется служба кэширования DNS от NAT.

В ICS это включено по умолчанию, а в RRAS надо явно разрешить. Эта настройка находится в окне общих настроек NAT консоли RRAS. У клиентов в качестве DNS-сервера должен указываться IP-адрес внутреннего интерфейса. При использовании DHCP от NAT эту настройку они получат автоматически.

Так как внутреннего DNS-домена в этом варианте нет, то ни в коем случае у клиентов в настройках DNS не прописывайте зону, которой принадлежит компьютер. У Windows 9x/ME это поле "домен" в окне настроек DNS TCP/IP. В Windows 2000/XP/2003 членство рабочей станции в DNS домене указывается в общих свойствах системы (Мой компьютер/Свойства). Если тут ошибиться и указать несуществующую зону, то это приведет к появлению огромного внешнего DNS-трафика. Это возникнет, если какие-то программы будут обращаться внутри сети по именам хостов. Тогда каждая такая попытка будет сопровождаться внешним DNS-запросом к несуществующей зоне.

Все запросы DNS из внутренней сети эта служба будет пересылать на DNS-сервера, указанные в настройках внешнего интерфейса сервера. Проверьте их.

По умолчанию DNS-трафик для клиентов в этом случае считаться не будет, так как идет на IP-адрес интерфейса внутренней сети. При настройках Traffic Inspector его можно сделать платным. Для этого добавьте фильтр "для тарификации" на UDP/TCP по порту 53 для локального интерфейса.

3.

Используется свой DNS-сервер.

Наиболее предпочтительный вариант. Позволяет описать свою внутреннюю прямую и обратную зону. Наличие своей внутренней зоны упростит обращение внутри сети по именам хостов и позволит исключить паразитный внешний DNS-трафик, связанный с этим.

DNS-сервер лучше всего ставить на сервере, подключенном к Интернет. Он может быть настроен на использование DNS-сервера провайдера, или работать автономно. Первое предпочтительно, если DNS-трафик у провайдера бесплатный. Второе желательно, если у провайдера DNS-сервер работает неустойчиво.

Для использования DNS-сервера провайдера настройте forwarding. Для этого откройте общие настройки в консоли DNS-сервера. Там можно прописать список IP-адресов, по которым будут перенаправляться его запросы. Для автономной работы DNS-сервера этот список оставьте пустым, но у него должен в этом окне настроек присутствовать список корневых DNS-серверов Интернет.

После установки домена в Windows DNS-сервер может оказаться настроенным для локального применения. В этом случае у него forwarding будет запрещен и список корневых серверов будет пустой. Для разрешения работы DNS-сервера с Интернет надо в нем удалить зону с одной точкой. После этого сервер надо перезапустить. Если имеется домен Windows, то перезапустите весь сервер.

В службе NAT RRAS использование DNS надо обязательно отключить. Если это не сделать, она будет перехватывать DNS запросы клиентов и DNS-сервер работать не будет.

Если имеется домен Windows и домен контроллер находится на сервере, подключенном к Интернет, то надо настроить его привязки. Лучше всего у него оставить привязку только к IP-адресу интерфейса внутренней сети. А на всех интерфейсах сервера указывать именно этот адрес в качестве DNS-сервера. Это исключит появление во внутренней DNS-зоне нескольких IP-адресов для имени этого сервера и самой зоны. Проверьте эти записи и лишние удалите.

Пропишите в DNS-сервере внутреннюю прямую зону. Если домен Windows уже настроен, то такая зона уже должна быть. Имя этой зоны надо выбрать таким, чтобы оно не пересекалось с именами Интернет, например mynetwork.local. Также следует прописать и обратную зону на все внутренние IP-сети. Это ускорит и упростит работу некоторых приложений, так как будет возможно преобразование IP-адреса в имя.

В открытых внутренних зонах обязательно пропишите NS-записи с IP-адресом Вашего DNS-сервера.

Настройки клиентов аналогичны варианту 2, но в качестве DNS-домена укажите имя своей внутренней прямой зоны. Также DNS-трафик можно сделать платным.

Прямую и обратную зону можно заполнять вручную. Если используется DHCP-сервер от серверных версий Windows, то его можно настроить на автоматическую прописку в DNS всех клиентов.

Если имеются DNS-сервера внутри сети, например с контроллерами домена, то настройте у них forwarding на DNS-сервер, находящийся на сервере, подключенном к Интернет.

Комментариев нет:

Отправить комментарий