[ Pobierz całość w formacie PDF ]
.)DNS dla domeny wewnętrznej (.)Zone for (.) with internal serversStrefa dla corporation.com łącznie z serwerami wewnętrznymiProszę uświadomić sobie jasno, iż dylemat, czy implementować dwie oddzielne przestrzenie nazw, czy też tę samą przestrzeń dla sieci wewnętrznej organizacji i w Internecie, może podlegać niekończącym się dyskusjom.Na ten temat można mówić długo, lecz niezależnie od osobistych preferencji jedno jest pewne: nie należy nigdy łączyć się z Internetem bez zapory sieciowej (lub, jeśli bezpieczeństwo nie jest dla nas aż tak ważne, jakiejś odmiany serwera proxy).I jeszcze jedna nota: większość organizacji w istocie wybiera oddzielne przestrzenie nazw.Daje to mniejsze pole manewru dla poważnych błędów, które z kolei mogą zostawić drzwi otwarte dla nieproszonych gości z Internetu!Tabela 7.11Za i przeciw wspólnej przestrzeni nazw wewnątrz i na zewnątrz organizacjiZaletyWadyNazwa drzewa corporation.com jest zgodna w Internecie i prywatnej sieci intranetowejCzęsto wymaga dość złożonej konfiguracji klientów proxy, ponieważ muszą one wiedzieć, kiedy wysyłać żądania na zewnątrz sieci korporacyjnejStosowane są domyślnie takie same nazwy dla rejestracji użytkowników i poczty elektronicznejMoże powodować niejasności dla administratorów, co może na przykład prowadzić do przypadkowego opublikowania w sieci zewnętrznej danych przeznaczonych tylko na potrzeby wewnętrzne.Ponadto aktualizacja wewnętrznych i zewnętrznych zasobów musi być lepiej zsynchronizowana.Użytkownicy muszą wiedzieć, iż otrzymają inny widok zasobów organizacji w zależności od położenia klienta.Na przykład, użytkownik łączący się z corporation.com z Internetu nie będzie widział wewnętrznych zasobów sieciowych korporacji.Strefy DNS i replikacjaOstatnimi zagadnieniami, którymi trzeba się zająć w związku z projektowaniem i planowaniem usługi DNS są strefy i replikacja.Uwaga na nazbyt często występujący błąd: serwer DNS nie może rozwiązywać części nazw domen w InternecieJest jeden błąd, który powoli staje się klasyczny, wobec czego chciałbym poświęcić kilka chwil na opis, jak go unikać.Błąd ten zachodzi jedynie wtedy, gdy używamy serwera DNS w sieci wewnętrznej do rozwiązywania nazw hostów internetowych poprzez odpytywanie o rekordy serwera nazw na zewnątrz zapory sieciowej przedsiębiorstwa.Problem — niezdolność do rozwiązywania niektórych (lecz nie wszystkich) nazw domen w Internecie — pojawia się, gdy internetowy serwer nazw odpowiada na zapytanie używając innego adresu IP niż ten, na który zapytanie zostało w pierwszej kolejności wysłane przez wewnętrzny serwer DNS.W takiej sytuacji zapora zazwyczaj odrzuca odpowiedź zewnętrznego serwera, ponieważ nie jest w stanie zrozumieć, iż jest to w rzeczywistości odpowiedź na zapytanie, wysłane z sieci wewnętrznej (z powodu zmiany adresu IP).Można uniknąć tego problemu na dwa sposoby:lW serwerze DNS niezdolnym do rozwiązania niektórych nazw domen można skonfigurować w roli forwardera serwer DNS na zewnątrz zapory.Użycie opcji forwardera powoduje wysyłanie przez wewnętrzny serwer DNS zapytania rekurencyjnego do zewnętrznego serwera DNS, dzięki czemu odpowiedź będzie pochodzić z tego samego adresu IP, na który wysłano zapytanie.llMożna ustawić odpowiednią regułę w zaporze, przepuszczając cały ruch przychodzący na port 53 do wewnętrznego serwera DNS.Dzięki takiemu ustawieniu zapora nie będzie odrzucać odpowiedzi pochodzących z innego adresu źródłowego niż ten, na który zapytanie zostało wysłane.lUwagaInformacje zawarte w tym podrozdziale dotyczą jedynie planowania standardowej usługi DNS.Wobec tego, Czytelnik stosujący jedynie strefy DNS zintegrowane z Active Directory może spokojnie pominąć resztę podrozdziału.Strefy DNS, jak już wspomniano, składają się z zestawu plików, których można używać do delegowania lub zachowania pełnomocnictw.W strefie DNS, będącej częścią przestrzeni nazw DNS, rekordy bazy danych są przechowywane i zarządzane w określonym pliku bazy danych DNS.Dane przechowywane w strefie udostępniane są za pomocą kilku serwerów nazw, w których utrzymuje się aktualność danych poprzez replikacje (nazywane w DNS-ie transferami stref).Drzewo domen Active Directory zawsze stanowi ciągłą przestrzeń nazw.Dzięki temu dana przestrzeń nazw może zostać przydzielona do jednej strefy, podzielona na więcej stref odpowiadających poszczególnym domenom lub podzielona w jakikolwiek inny sposób uznawany za rozwiązanie optymalne
[ Pobierz całość w formacie PDF ]