Legyen publikus DNS szerverünk? III.
2004/11/28 13:36
1048 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Sulinet/Közháló váltás kapcsán többekben is felmerülhet a saját sulinetes DNS zóna önálló karbantartása, azaz kézbevétele. Merthogy van erre lehetőség a Sulinet után a Közhálóban is.

A sorozat előző részéiben (lásd a cikk alján) szó volt arról hogy egy- vagy többszerveres környezetben hogyan lehet publikus DNS szerver szolgáltatást kialakítani. Arra jutottunk, hogy egy szerver esetén nem könnyű, sőt bizonyos tényezők (AD, ISA, stb.) együttes hatása miatt akár lehetlenné is válhat. Most vegyük azt az ideális esetet, hogy több szerverünk van, amelyből az egyik csak az ISA két hálózati interfésszel és amely nem DC, hanem csak tartományi tag, az operációs rendszer pedig a Windows Server 2003. A publikus, internetre "kitett" DNS szerver biztonságos és helyes működtetése komoly feladat, amelyet hobbiból nem csinálunk. Az írott és íratlan szabályok szerint először fel kell építenünk a helyes zónát, és majd csak ezután kérhetjük ki a Közháló üzemeltetőitől a kezelést. A belső hálózatra, egy Windows tartomány "alá" helyezett DNS szerverhez képest kicsit más, szigorúbb és alaposabb hangolást kell végeznünk, ezért tehát nézzük e folyamat lépéseit.

Teendők a DNS szerverrel

Telepítsük fel rutin szerint a DNS szervert az ISA-ra, majd nyissuk meg a DNS MMC-t. Nézzük meg először a DNS szerver beállításait:

  • Az "Interfaces" fülön: csak és kizárólag a külső hálókártya címe szerepeljen, a többit távolítsuk el
  • A "Forwarders" fülön a Közhálós DNS szerverek címe legyen (valószínűleg a 195.199.255.4 és 57)
  • Az "Event Logging" fülön célszerű beállítani az "All events" opciót, hogy ténykedésünket ellenőrizni tudjuk az Eseménynaplóban. De még ennél is jobb hibakeresést tudunk akkor megvalósítani, ha a "Debug Logging" panelen engedélyezük és beállítjuk a DNS folyamatok nyomkövetését, majd a létrejövő (általunk megadható) naplóállományt megvizsgáljuk. Erre viszont csak speciális esetben van szükség, így most menjünk tovább.

Hozzuk létre a zónát a "Forward Lookup Zones" mappában. Teendőink a zóna létrehozásánál a következőek: "Primary" azaz elsődleges zóna legyen és semmiképp ne az Active Directoryban tároljuk (ez az opció csak akkor látszik, ha DC-re telepítjük a DNS szervert), a zóna neve az iskola közhálós domain neve, a zónafile neve szintén (vagy tetszőleges), viszont az utolsó lépésben mindeképpen a "Do not allow dynamic updates" opciót válasszuk, hiszen erre csak a belső DNS esetében van szükség.

A zóna tulajdonságainál a következőkre ügyeljünk

SOA fül:

  • a verziószám legyen az aktuális dátum plusz két számjegyen a verziószám, azaz pl.: 2004112601,
  • a szerver címe pontos és teljes (FQDN) legyen
  • az e-mail cím mindenképpen egy létező postafiók legyen, vagy egy létező alias,
  • az e-mail cím a szokásos "@" helyett egy ponttal (".") választható el,
  • egy ajánlott frissítési, visszatérési, lejárati és a TTL rekord intervallumot a képen láthatunk.
  • Name Servers fül: ide kerül a mi elsődleges DNS szerverünk IP címe és a másodlagosé is, ami valószínűleg az ns.sulinet.hu lesz (195.199.255.2), ezeken kívül más cím nem szerepelhet itt.
  • Zone Transfers fül: engedélyezve, de csak a használt névszervereknek, azaz második pont.

Ezzel a zóna tulajdonságainak beállítása be is fejeződött, azok a beállítások, amelyeket nem említettünk, maradhatnak az alapértelmezett állapotban. Folytassuk azzal, hogy milyen rekordokat kell felvennünk a zónánkba.

A publikus zóna rekordjai

Ebben a zónában szinte csak az ISA külső hálókártyájának címe illetve neve szerepel, az ISA mögött lévő szervereké semmiképp (márcsak azért sem, mert ezeknek a szervereknek nincs is, nem is lehet publikus IP címe). De nem is kell, hogy legyen: ha beállítjuk, az ISA korrekten és biztonságosan megoldja a hozzá érkező csomagok továbbítását, akár web, ftp, mail vagy bármilyen más publikált szolgáltatás forgalmáról van szó.

  1. Biztosan szükségünk lesz egy "A" rekordra, ami a ISA külső lábának IP címét és nevét jelöli, valamint egy másikra, amely a levelezőszerverünk működéséhez szükséges, a "mail" nevet viseli és szintén az ISA publikus címére mutat (lásd a következő képen).
  2. Amennyiben van levelezőszerverünk, fel kell vennünk az ún. MX (Mail eXchanger) rekordokat. Egy másik levelezőszerver a mi MX rekordunkban közölt cím alapján fogja megtalálni pl. az Exchange szerverünket, így ennek fogja küldeni a tartomány felhasználóinak e-mailjeit. De több MX rekord is kell, vajon miért? Azért mert van lehetőségünk prioritás meghatározására, más szóval küldési sorrend kialakítására. Ha tehát van saját mailszerverünk, akkor azt ezt jelölő MX rekord értékének ("Mail server priority") kell a legkisebb számot adnunk, hiszen ez lesz az elsődleges célpont. Viszont abban az esetben, ha valamilyen okból ez a szerver nem működik, vagy nem elérhető, a tartalék mailszerverek átvehetik a leveleinket, majd amikor stabilizálódik a helyzet, elküldhetik nekünk. Ezeket a tartalék levelezőszervereket szintén egy-egy MX rekorddal jelöljük a DNS-ben, ám nagyobb prioritási értékkel, tükrözve a súlyúkat. A Közhálóban van tartalék MX szolgáltatás, két szerver is rendelkezésünkrere áll (relay1.sys.sulinet.hu és relay2.sys.sulinet.hu), amelyek neveit fel is vehetjük még az élesítés előtt, ám működni csak akkor fognak, ha ezt külön kérjük a forms.sulinet.hu-n.
  3. Szintén biztos, hogy kell néhány CNAME (alias) rekordot gyártanunk. Ezekkel jelöljük a különböző szolgáltatásainkat, amelyek gyakorlatilag az ISA publikus nevének első tagját cserélik le a külvilág számára olyan megszokott elnevezésekre, mint a www, ftp, server, stb.. Ezt a hármat feltétlenül vegyük fel (persze csak akkor ha van web- és ftpszerverünk), mindnél az ISA publikus címével. Ezek mellett persze tetszőleges más "álnevet" is felvehetünk, ha szükség van rá.

Ezzel a zóna el is készült. Viszont hiányzik egy-két részlet még a teljes előkészülethez, ezért a reverse zóna létrehozásáról, illetve a publikus DNS szerver ISA alatti működéséről a következő részben lesz szó.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek