Что такое dns dhcp
DHCP и DNS: динамичный дуэт
Разработки в области DHCP и динамической DNS должны облегчить управление IP-адресами и именами доменов. ОСНОВЫ TCP/IP DHCP: ЗАКЛИНАНИЕ IP? ХОСТ ПОД ЛЮБЫМ ДРУГИМ ИМЕНЕМ КТО СТУЧИТСЯ В ДВЕРЬ КО МНЕ?
Разработки в области DHCP и динамической DNS должны облегчить управление IP-адресами и именами доменов.
Вследствие гигантского спроса на доступ в Internet и стремления больших и малых компаний построить идеальную корпоративную сеть Intranet, администраторы сетей сталкиваются с многочисленными сложностями в управлении IP-адресами и именами доменов. Последние разработки в области протокола динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP) и динамической системы имен доменов (Domain Name Service) открывают перед ними новую альтернативу.
ОСНОВЫ TCP/IP
Рисунок 1.
Стек протоколов TCP/IP показан в сравнении с эталонной моделью OSI. В иерархии TCP/IP протоколы TCP и IP служат связующими звеньями между высокоуровневыми и низкоуровневыми протоколами.
Сетевые устройства, использующие TCP/IP, такие как компьютеры, принтеры, маршрутизаторы и концентраторы, нуждаются в способе идентификации друг друга. Это достигается с помощью схемы адресации IP, при которой каждый объект, или «хост», получает числовой идентификационный код в виде четырех 8-разрядных сегментов (или октетов) из 32-разрядного адресного пространства, причем значение каждого сегмента варьируется от 0 до 255. Схема идентификации IP напоминает чем-то принцип образования телефонных номеров, согласно которому местоположение абонента определяется в соответствии с иерархией «код города-префикс АТС-номер».
DHCP: ЗАКЛИНАНИЕ IP?
Несмотря на то что практика назначения статических IP-адресов позволяет хостам в сети найти друг друга, реализация и управление сети TCP/IP со статическими адресами предоставляет в избытке проблем для администраторов сетей. Каждому новому объекту в сети должен быть задан уникальный IP-адрес. Хосту необходимо также указать IP-адрес шлюза. Если хост перемещается в другую сеть, то эти адреса скорее всего придется изменить.
Данная процедура представляется весьма простой, но что делать, если под вашим попечительством находится сеть с более чем 10 000 узлами, причем ежедневно появляется несколько десятков или даже сотен новых систем? К тому же не стоит забывать об этих докучливых портативных компьютерах, пользователи которых подключают адаптеры PCMCIA к соединителям Категории 5 там, где им заблагорассудится. Учитывая количество человеко-часов, необходимых для разрешения проблемы дублирования IP-адресов вкупе с проведением новых инсталляций и диагностикой унаследованных систем, нет ничего удивительного в том, что организации, большие и малые, ищут иные решения.
Очевидный способ решить эту проблему состоит в том, что при загрузке хост спрашивает IP-адрес у указанного ему сервера, избавляя администратора от необходимости переконфигурации хоста при каждом его перемещении. Изначально протокол, известный как BOOTP, разрабатывался для того, чтобы бездисковые рабочие станции могли запрашивать и получать информацию о конфигурации у назначенного сервера по UDP. Будучи шагом в правильном направлении, BOOTP тем не менее не имел средств для динамического назначения IP-адресов, так что администратору все равно приходилось вручную указывать серверу, какой адрес он должен дать данному хосту.
В частности, DHCP применяет тот же самый формат пакетов, что и BOOTP, но если последний использует в поле опций только два типа сообщений (BootRequest и BootReply), то DHCP поддерживает семь типов сообщений (DhcpDiscover, DhcpOffer, DhcpRequest, DhcpAck, DhcpNak, DhcpDecline и DhcpRelease). Благодаря этому формату DHCP совместим как с клиентами BOOTP, так и с транслирующими агентами BOOTP. Несмотря на некоторые небольшие отличия в способе приобретения новой по сравнению с модифицированной конфигурацией, механизм начальной конфигурации весьма показателен для функционирования системы DHCP в целом.
При получении подтверждения (DhcpAck) клиент проверяет сообщение, в частности правильность адреса сети. Предположим, что адрес неправильный, тогда клиент отправляет сообщение DhcpDecline. Если же все хорошо, клиент переходит в так называемое связанное состояние (сервер фиксирует данные об адресе клиента в базе данных DHCP) и начинает пользоваться только что полученным адресом. В зависимости от режима (автоматическое повторное использование адреса возможно только при динамическом назначении) информация об аренде передается в виде идентификационной записи об условиях аренды в сообщении DhcpAck. Клиентские системы могут отказаться от аренды до истечения срока посредством отправки серверу сообщения DhcpRelease. DHCP поддерживает опции продления срока аренды, так что клиент может запросить предоставивший ему адрес сервер DHCP о продлении аренды, благодаря чему отпадает необходимость повторять процесс запроса адреса с нуля.
Несмотря на то что по сравнению со всеми предшествующими попытками автоматического назначения адресов DHCP является несомненным достижением, он не свободен от недостатков. Ввиду того, что DHCP использует клиент-серверную функциональную модель, клиент не может работать, если сервер DHCP не функционирует. Задание длительного срока аренды для предотвращения слишком частых запросов о продлении, а также установка более чем одного сервера DHCP для обслуживания новых запросов об аренде позволяют сделать эту модель более или менее отказоустойчивой. Если один сервер выйдет из строя, то при двадцатичетырехчасовой аренде у администратора будет достаточно времени для восстановления системы или установки новой машины с тем же самым пулом IP-адресов, что и у ее предшественника. Вообще говоря, клиенты DHCP начинают пытаться узнать о статусе сервера-арендодателя после того, как срок истек наполовину, и продолжают это делать периодически до полного окончания срока аренды, после чего при отсутствии данного сервера они обращаются за новым адресом к другому. Благодаря этому процессу клиент может продолжать функционировать, даже если прежний адрес недоступен.
ХОСТ ПОД ЛЮБЫМ ДРУГИМ ИМЕНЕМ
Данный запрос обрабатывается агентом хоста, известного как resolver. Этот агент связывается затем с серверами имен, обслуживающими различные поддеревья в иерархии доменов. При регистрации нового домена первичные серверы имен генерируют соответствующую запись, после чего она распространяется между другими серверами имен в Internet. В ping IP-адрес можно указать непосредственно, так что обращение к DNS не потребуется (см. технические детали в www.ds.internic.net/rfc/rfc1035.txt ).
КТО СТУЧИТСЯ В ДВЕРЬ КО МНЕ?
Теперь, когда серверы DHCP могут динамически назначать IP-адреса, которыми DNS должна управлять, мы хотели бы иметь и динамическую службу DNS, чтобы она автоматически модифицировала таблицу соответствия имен доменов согласно новым назначениям DHCP. Современный стандарт не обеспечивает базы для динамической модификации таблицы имен доменов согласно назначениям DHCP; однако проект стандарта, рассматриваемый IETF, вкупе с рыночным прессингом, усилившимся в результате появления разработок нескольких производителей, должен в конце концов привести к появлению нового стандарта в ближайшие несколько лет.
Вообще-то, термин «динамическая DNS» относится к системам, в которых ссылки таблицы DNS на динамически назначаемые IP-адреса хостов обновляются автоматически. Классический пример приложений этого типа можно найти в мобильной вычислительной среде, где пользователь портативного компьютера переходит из одной подсети в другую в пределах одного и того же здания, или пользователи сервера удаленного доступа должны связываться с несколькими различными серверами DHCP или PPP. При переходе хоста laptop.network.com с одного соединения на другое, он запрашивает новый IP-адрес у доступного сервера DHCP, а тот в свою очередь просит сервер имен модифицировать таблицу соответствия адресов. Эта функция автоматического обновления позволяет другим компьютерам находить laptop.network.com по имени, а приложениям и разделяемым ресурсам, использующим идентификацию по имени, нормально работать вне зависимости от IP-адреса хоста на данный момент.
Некоторые динамические системы DNS могут автоматически генерировать имя хоста во многом аналогично тому, как сервер DHCP назначает автоматически IP-адрес, однако такие системы в значительном меньшинстве на рынке динамических DNS. Учитывая тот факт, что первоочередная задача DNS состоит в том, чтобы пользователи могли давать легко запоминаемые имена сетевым устройствам, ценность систем, генерирующих алфавитно-цифровые идентификаторы, которые администратор или пользователь должен будет отыскать, если он хочет найти конкретный физический хост, весьма сомнительна.
В отсутствии стандарта компании IBM, Quadritek Systems и Isotro Network Management разработали программное обеспечение серверов DHCP и динамической DNS для решения этой проблемы следующим образом: сначала оно выполняет функцию сервера DHCP по динамическому назначению IP-адреса для данного клиента, а затем функцию динамического сервера DNS по размещению обновленной информации о соответствии имен. Такие системы находятся пока в младенческом состоянии и не отличаются поддержкой разнообразных клиентских платформ.
Кроме того, динамическая DNS представляет собой парадокс с точки зрения безопасности. Хорошо защищенные системы используют зачастую автономные или статические хранилища идентификаторов и конфигурационной информации для предотвращения несанкционированного изменения. Однако по своей природе эта стратегия вступает в противоречие с концепцией постоянно доступной, динамически модифицируемой клиент-серверной базы данных.
Представьте себе на мгновение, что злоумышленник посылает IP-адрес своей машины в качестве обновления открытому серверу DNS и, таким образом, занимает место настоящего хоста. В действительности эта проблема состоит из двух: проверка клиента и авторизация обновления DNS. Недавно принятый документ RFC 2065 предлагает расширить структуру записей DNS для поддержки использования криптографических цифровых сертификатов наряду с оснащенными функциями защиты агентами (resolver) и приложениями для заделки имеющихся «дыр» в системе защиты DNS.
Несмотря на то что сразу несколько поставщиков сетевых ОС разработали функции динамического обновления своих соответствующих таблиц DNS, каждая реализация имеет определенные ограничения, из-за которых полное взаимодействие между DHCP и динамической DNS невозможно.
OS/2 Warp Server 4.0 компании IBM представил на всеобщее обозрение «истинно» динамическую DNS (Warp DNS автоматически обновляется в соответствии с данными DHCP), причем он решает и проблему безопасности посредством реализации двух уровней цифровых подписей на основе механизма открытых ключей RSA для идентификации транзакций (с помощью защищенного, генерируемого клиентом ключа или с помощью защищенного, генерируемого сервером ключа, назначаемого клиенту).
По словам Глена Стампа, эксперта по динамическому IP в IBM-Raleigh, компания заняла выжидательную позицию, пока статус Secured DNS (DNSSEC) RFC 2065 не будет окончательно определен; однако он дал ясно понять, что IBM рассматривает вопросы защиты как вопросы чрезвычайной важности. Согласно утверждению Стампа, следующая версия OS/2 Warp Server будет иметь дополнительные функции защиты вместе с улучшенными функциями DHCP и динамической DNS корпоративного уровня.
Хотя динамическая DNS в Warp Server 4.0 является определенным шагом вперед, клиентская поддержка ограничена Warp Connect и AIX. Однако бета-версию клиента для Windows 95 можно найти на узле Web компании IBM, и она должна появиться в окончательном виде, когда эта статья выйдет в свет. Конфигурация DHCP осуществляется с помощью графического интерфейса в две колонки, а он в свою очередь генерирует конфигурационный файл ASCII, редактирование которого можно производить и вручную. Правда, функции сервера запускаются с помощью команд. Хотя графический интерфейс динамической DNS в версии 4.0 отсутствует, конфигурационный GUI на базе Java находится в стадии разработки для следующей версии, появление которой запланировано на осень. Также работа ведется и над взаимодействием с функциями DHCP ОС Windows NT 4.0, однако поддержка Windows NT 3.51 в настоящее время не планируется.
Windows NT Server 4.0 компании Microsoft имеет улучшенные по сравнению с версией 3.51 функции DHCP и DNS, но полноценных функций динамической DNS у него нет, так как обновление информации об именах возможно только для клиентов WINS (Windows Internet Naming Service). В результате DNS в Windows NT 4.0 не имеет связи с DHCP. Хотя в интерактивной документации по NT 4.0 утверждается, что NT поддерживает стандартный DHCP, система тем не менее не поддерживает BOOTP, а это в случае сетей, где есть устаревшее оборудование, может привести к проблемам взаимодействия.
NetWare/IP компании Novell, поставляемый вместе с IntranetWare, предоставляет пользователям NetWare поддержку сервера DHCP, причем конфигурация осуществляется с помощью утилиты DHCP Configuration Utility (DHCPCFG) со стандартным интерфейсом «а ля» NLM. DHCPCFG автоматически обнаруживает подсети, к которым сервер DHCP подключен, создавая профиль подсети для каждой, причем позднее профиль может быть отредактирован. Утилита допускает создание профилей для подсетей вручную, если сервер не имеет с ними прямого соединения. Реально сервер выполняет свои функции посредством dhcpsrvr.nlm.
Хотя NetWare/IP позволяет задавать несколько диапазонов IP-адресов в пуле, система не поддерживает исключенные адреса непосредственно; однако администратор может ввести MAC-адреса узлов, которые DHCP не должен обслуживать (т. е. назначать им IP-адреса), посредством их прямого указания в списке исключенных узлов. Хорошо хотя бы то, что исключение адресов может производиться с использованием символа подстановки вместо поля узла в MAC-адресе. DNS компании Novell полностью статична, и она вообще не имеет никаких динамических функций.
ДИНАМИЧЕСКИЕ ПАКЕТЫ
Ирония заключается в том, что окончательное объединение функциональности DHCP и динамической DNS будет скорее всего осуществлено не самими поставщиками сетевых ОС, а вторичными поставщиками, чьи системы мегауправления IP работают поверх данных операционных систем. Эти поставщики способны предоставить исключительно надежные решения.
Утилиты управления IP предлагают несколько поставщиков, но среди них мы бы хотели выделить: Quadritek Systems и Isotro Network Management. Продукты обеих компаний обладают широким диапазоном функций управления и позволяют осуществлять миграцию к IP в масштабах предприятия. Таким образом, в вопросах DHCP и динамической DNS эти компании знают, что делать.
Когда этот номер выйдет из печати, Quadritek должна уже выпустить версию 3.1 своей системы QIP для управления IP. Данная версия будет поддерживать обновления сервера DHCP не только на HP-UX, SunOS, Sun Solaris и AIX 4.1.2, но и на Windows NT. QIP уже имеет клиентов управления для Windows 3.1, Windows 95 и Windows NT, а также Unix и Motif/X11R5.
Isotro предлагает свою систему NetID в версиях для Unix и Windows. NetID имеет серверы DHCP и динамической DNS, Web Gateway для доступа к Internet и обширный комплект инструментов для управления IP. Корпоративное издание имеет лицензию на трех пользователей, поддерживает базы данных Sybase и Oracle в качестве центрального хранилища всей идентификационной информации о хостах, а также включает Admin Tool, Export Tool, Import Tool и Scheduler.
С помощью NetID Admin Tool администратор может просматривать всю информацию об идентификации, управлять доступом пользователей и конфигурировать систему с помощью определяемых полей, записей о ресурсах, опций BOOTP, шаблонов, системных моделей и многооконного интерфейса. Администратор может непосредственно инициировать функции импорта и экспорта из Admin Tool или, при желании, из Export Tool и Import Tool. С помощью последнего инструмента идентификационную информацию можно загрузить из существующих файлов с данными о зонах DNS, хост-файлов Unix, табличных файлов BOOTP или пользовательских текстовых файлов, созданных из электронных таблиц или баз данных. Система имеет опции для управления опциями DHCP и BOOTP на уровне всей сети, подсети и хоста.
ПЕРЕКОНФИГУРАЦИЯ DHCP
Следующий год станет, вероятно, весьма бурным периодом в эволюции DHCP и динамической DNS, но для этого IETF и другие группы должны остановить свой выбор на каком-то одном стандарте. Если вы читали нашу статью внимательно, то, должно быть, заметили, что стандарт DHCP не описывает сообщения DhcpReconfigure. Вы совершенно правы, это дело DHCPv6, предлагаемой структуры для передачи информации DHCP узлам IPv6. Оставайтесь с нами, гонки должны быть интересными.
Поделитесь материалом с коллегами и друзьями
Chi cerca — trova…
Что такое DNS- и DHCP-сервера? Нужны ли они?
· многие не знают лицензионной политики Microsoft (впрочем, это верно и для любого другого вендора),
· далеко не все в ИТ придерживаются единого подхода и стандартов,
· в силу вышесказанного все задачи решаются не «как надо», а «как получается»,
· «получается» у всех по-разному, отсюда бардак и отсутствие хоть какой-то документации по сервисам, предоставляемых в компании.
Уверен, что большинство сейчас же со мной не согласится. Ну и что из того негатива, что я привел? Ведь все работает, «бизнес» не жалуется. Да, на первый взгляд, так оно и есть. Но…
… а знает ли «бизнес», что эти сервисы могут работать лучше? Является ли предлагаемое Вами решение оптимальным? «Бизнесу» абсолютно всё равно на технические аспекты, ему важно понимать, насколько эффективно используются инвестиции в ИТ. Малый бизнес тут не исключение. Ведь ни для кого не секрет, я надеюсь, что Microsoft предлагает готовые решения (не продукты!) для малого бизнеса за вполне умеренные деньги (но есть и ряд ограничений на использование). Почему же тогда не повысить эффективность труда и в маленьких компаниях? Большие затраты на ИТ не сможет позволить себе маленькая компания, а простой в работе ИТ скажется на ней моментально.
Было много разговоров на тему внедрения Active Directory в маленьких компаниях (примерно до 15-25 компьютеров). Как оказалось, многие не знают и не понимают идеологии самой технологии. Где-то слышал, что используется в enterprise-сегменте, попробовал, ничего не ясно, не буду использовать. Я не скрываю того, да и всячески акцентирую внимание, что любая технология в неумелых руках способна принести больше вреда, нежели пользы. Ну не зря есть много официальных и авторских курсов. Поверьте, это не просто так. Не важно, сколько Вы знаете, или какой у Вас опыт, курсы помогают систематизировать информацию даже в том случае, если Вы уже всё-всё-всё знаете. Почему-то гуру в своих направлениях не стесняются посещать такие курсы. Для них новой информации там может быть менее 30%, но систематизация знаний в таком случае более важна.
Сегодня я хочу продолжить цикл статей «Сервера в малом бизнесе: просто и доступно». В этой статье мы поговорим о DNS- и DHCP-серверах. Почему? На этот вопрос вы получите ответ в конце статьи. J
Итак, для чего нужен DNS-сервер? Domain Name System (система доменных имен) – это распределенная система получения соответствия между именем компьютера и его числовым ip-адресом. Числовая адресация удобна для машинной обработки таблиц маршрутов, но совершенно не приемлема для использования ее человеком. Запомнить наборы цифр гораздо труднее, чем мнемонические осмысленные имена. Для облегчения взаимодействия сначала стали использовать таблицы соответствия числовых адресов именам машин. Эти таблицы сохранились до сих пор и могут использоваться старыми прикладными программами. Это файлы с именем hosts. Большинство интернет ресурсов известно пользователям по их доменным именам. Это справедливо как для адресов электронной почты, так и для адресов веб-сайтов. В любом адресе центральное место занимает доменное имя сервера, на котором ресурс расположен.
Соответственно можно определить основное назначение DNS-серверов:
· получение информации об IP-адресе сервера по его имени и наоборот,
· маршрутизация электронной почты,
· предоставление информации об обслуживающих серверах определенных протоколов внутри сети.
Для чего нужен DHCP-сервер? Dynamic Host Configuration Protocol (протокол динамической конфигурации хоста) – сетевой протокол, используемый для того, чтобы компьютеры в сети смогли автоматически получить правильный IP-адрес и другие параметры для работы в сети TCP/IP.
Я не хочу останавливаться на техническом описании реализации данных служб. Они, во-первых, разные у разных производителей, а, во-вторых, даже у одного производителя в зависимости от используемой версии могут быть разными реализации. Давайте обсудим целесообразность и те выгоды, что получает в данном случае системный администратор.
Правильное планирование и настройка данных серверов могут сберечь много времени для администратора. Ведь конечному пользователю (директору, бухгалтеру, менеджеру) абсолютно всё равно как у него настроен компьютер для сетевого взаимодействия – автоматически или в ручном режиме. Но если администратор ценит свое время и свой труд, то он один раз потратит время на изучение принципов работы с данными службами, а в будущем просто будет отслеживать их корректную работу. Согласитесь, предотвращать инциденты гораздо эффективнее, чем постоянно решать возникающие проблемы. Да, никто не оценит этот труд. Это та работа, которая остается «за кадром». Но рано или поздно Вы оцените, что не зря потратили время на внедрение этого функционала.
В продолжение тематики первой статьи об Active Directory хочу отметить, что DNS является необходимым компонентом работы служб Active Directory (как было отмечено, DNS используется для предоставления информации об обслуживающих серверах определенных протоколов).
Настройка DNS требует определенных знаний и полного понимания вносимых настроек. Экспериментам не место на DNS-серверах внутри компании. Иначе одно неправильное действие и сеть компании превращается просто в набор проводов и джеков. Ни один сервис не будет работать. Приведу простой пример. В Украине довольно популярен провайдер Ого! со своим ADSL подключением по телефонной паре. Я уже неоднократно слышал такие «вредные» советы от их службы поддержки. Они предлагают в настройках сетевого подключения на конечном устройстве указать их (то есть провайдера) адреса DNS-серверов. На доступе в интернет это не скажется никак. Но ваши внутренние ресурсы перестанут быть видимыми для компьютеров сети. Опять-таки в случае использования Active Directory это просто недопустимо по понятным причинам. Такой вариант имеет на существование только при подключении одного конечного устройства к интернет. Даже в домашних условиях он сейчас не особо применим. Поясняю почему… Зачастую дома ставится небольшой маршрутизатор, зачастую он же является и точкой доступа для WiFi устройств. Соответственно, если я хочу организовать обмен данными между «домашними» устройствами, то мне необходимо пользоваться встроенным в маршрутизатор DNS-сервером.
Многие старожилы ИТ любят всё и вся настраивать исключительно в ручном режиме. Это касается и простых сетевых настроек — указать IP-адрес, маску подсети, адрес шлюза и DNS-сервера. Но и этот процесс можно автоматизировать. Согласитесь, всё больше и больше устройств для подключения в интернет, что нас окружают, в своем функционале имеют DHCP-сервер. Отключать его и настраивать всё в ручном режиме конечно же можно, но зачем? Гораздо удобнее, чтобы конечные устройства получали все вышеуказанные настройки автоматически. Проверьте, насколько это удобно вручную на рабочем месте выставлять все рабочие параметры, а приходя домой с тем же ноутбуком всё настраивать заново, но уже для домашней сети. Не проще ли все настройки получать автоматом в зависимости от того, к какой сети подключается ноутбук?
Для решения такой вот задачи существует ряд программных продуктов. Настраиваются несколько профилей, в которых указываются вручную необходимые настройки, а затем происходит простое переключение между профилями по желанию пользователя. Но и у такого сценария есть один недостаток – хоть один раз, но вы должны все настройки ввести сами.
Рассматривая целесообразность внедрения DHCP-сервера оцените главную его пользу – Вы избавляетесь от конфликтных ситуаций, которые могут появиться при установке параметров вручную. Один раз спроектировали, один раз настроили и всё работает как надо. Сервер точно «помнит», кому, какие IP-адреса выдавал и на какой период.
Учитывая, что протоколы далеко не новые, всё равно следите за изменениями, которые происходят в управлении этими серверами. Например, почитать о новом функционале DHCP-сервера, который входит в состав только Windows Server 2008 R2, можно в статье Дмитрия Пономарева.
И напоследок, помните, что DNS – это распределенная система. Не экономьте на втором сервере, просто посчитайте, во сколько может обойтись простой при отказе DNS (откажет DNS – откажут все сервисы в сети). Ну а единожды правильно настроенный DHCP-сервер позволит Вам забыть о конфигурировании рабочих станций для работы в сети компании раз и навсегда.
А теперь перейдем к главному. Сегодня рассмотрели именно эти сервера, потому как они будут очень нужны при развертывании Active Directory с нуля. Без DNS-сервера сама AD не будет работать (более детально в статье Дениса Баканова). А вот без DHCP-сервера вполне может обойтись, но зачем придумывать себе лишнюю работу.
Как настроить Active Directory, DNS и DHCP сервера для малого бизнеса смотрите в следующем веб-касте.