Полное руководство к ISA Firewall Outbound DNS (Часть 1)

Published on Февраль 13, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

За годы моей работы я заметил, что большинство проблем, возникающих у людей при работе с ISA Firewall, связаны с установкой DNS и его настройками. Тому есть много причин, одной из которых является то, что DNS – существенный комплекс и то, как ISA Firewall использует DNS, меняется в зависимости от типа пользователя. По этим причинам и не только я решил, что будет полезно написать полное руководство к ISA Firewall DNS.

Причиной, по которой я пользуюсь данной схемой, является то, что DNS, как многие сетевые сервисы, не подходит сразу ко всем настройкам. Требования настроек меняются, как только вы решаете открыть разрешающие способности «исходящих» DNS. То, что может работать у одной корпорации, не заработает у другой, и различные схемы DNS запросят различные методы настроек как для ISA Firewall, так и для пользователей защищенных сетей ISA Firewall.

Прежде, чем вдаваться в детали схемы, я думаю, что будет неплохо получить общие представления о работе DNS. Целью DNS (сервер имен доменов) является наладка использования названий вместо IP адресов для связи с ресурсами сети. Гораздо проще запомнить название типа www.microsoft.com вместо запоминания, например, такого адреса 131.107.1.1.

Когда прикладная программа начинает подключаться к ресурсам сети через название, то она, прежде всего, должна найти IP адрес для послания запроса. Прикладные программы не могут отправлять запрос о соединении сразу к названию, потому что сети, основанные на IP адресах, и направляющая инфраструктура сети Интернет основаны на адресах, — имена придуманы только для нашего удобства ( для большинства – имена очень важны для обсуждения связанных формированийSSL и IPSec).

DNS Resolvers

Ниже приведенный рисунок показывает обычные серии событий, которые происходят, когда прикладная программа клиента нуждается в разрешении имени перед соединением. Заметьте, что колонка под DNS Resolver принадлежит к единственному серверу, потому что это облегчает понимание направлений стрелок в диаграмме.

Полное руководство к isa firewall

Рисунок 1

Цепь событий, представленных на рисунке, имеет следующее описание:

  1. Прикладная программа клиента нуждается в разрешении названия www.microsoft.com к IP адресу, поэтому она может послать запрос соединения с этим адресом. Система пользователя настраивается для использования IP адреса устройства DNS resolver. Запрос DNS отправляется DNS клиентом программного обеспечения системы клиента в DNS resolver. DNS resolver отвечает за разрешение названия к клиенту. Для разрешения названия DNS resolver проходит процесс, называемый recursion (рекурсия). Пункты 2-7 описывают процесс рекурсии DNS.
  2. После получения запроса DNS от клиента, DNS resolver проверяет его файл Root Hints для обнаружения адресов Интернетовских корневых серверов DNS (Internet DNS Root Server). После обнаружения IP адреса корневого сервера Интернета, DNS resolver отправляет DNS запрос для www.microsoft.com в Internet DNS Root Server.
  3. Internet DNS Root Server не является полномочным для домена microsoft.com, поэтому он не может поддерживать IP адрес www.microsoft.com. Однако он может отправлять информацию на верхний уровень сервера .com и возвращать в DNS resolver IP адрес DNS сервера .com.
  4. DNS resolver отправляет DNS запрос к DNS серверу .com для www.microsoft.com
  5. DNS сервер .com не является полномочным для домена microsoft.com. Однако он может снабжать DNS resolver IP адресами DNS сервера microsoft.com.
  6. DNS resolver отправляет DNS запрос на DNS сервер microsoft.com для домена www.microsoft.com. В этом случае DNS сервер micrsoft.com является полномочным для домена microsoft.com и содержит ресурсы для хост-узла www.microsoft.com.
  7. DNS microsoft.com отправляет IP адрес для www.microsoft.com в DNS resolver.
  8. DNS resolver помещает имя хост-узла www.microsoft.com и его IP адрес в кэш-память DNS на период времени, отмеченный в TTL главной записи, обеспечиваемой сервером DNS microsoft.com и потом возвращает IP адрес пользователю, сделавшему этот запрос. Поэтому у пользователя есть IP адрес для www.microsoft.com, и теперь он может подключить к сети Интернет по этому IP адресу.

DNS Forwarders

В выше приведенном примере, мы увидели, что происходит, когда DNS resolver выполняет рекурсию для имени хост-узла, не содержащегося в главной кэш-памяти DNS. Другой доступной для вас опцией является загрузка рекурсии в другом сервере. В этом случае DNS resolver становится DNS клиентом другого DNS сервера. DNS resolver становится DNS клиентом для DNS Forwarder (DNS отправитель).

Существуют несколько преимуществ использования DNS forwarder. Вот некоторые из них:

  • Возможность выгодного использования более большого КЭШа в DNS forwarder. Например, если вы выбираете использование DNS сервера ISP, то существует вероятность того, что DNS кэш в DNS сервере гораздо больше, чем DNS кэш, который может быть образован на вашем личном DNS сервере.
  • DNS forwarder позволяет вам целиком изолировать компьютеры от интернет доступа, наподобие Active Directory объединенного с DNS сервером на сегментах служб сервиса
  • DNS forwarders могут быть приспособлены для кэширования DNS серверов, поэтому эти DNS серверы отвечают за все разрешения Интернета для всех компьютеров организации и, более того, имеют возможность образования очень большого DNS КЭШа в сравнении с разделением обязанностей DNS сервера между десятками активная директорий (Active Directory) сгруппированных DNS серверов в организации.

Ниже приведенный рисунок показывает, что происходит, когда вы используете DNS forwarder для имени, которое еще не было помещено в кэш программами DNS resolver или DNS forwarders.

Что такое dns ресолвер?

Рисунок 2

Цепь событий, представленных на выше приведенном рисунке, может быть объяснено следующим образом:

  1. Прикладная программа клиента нуждается в соединении с www.microsoft.com. Программное обеспечение DNS клиента в системе клиента отправляет DNS запрос к DNS серверу, настроенному в системе для www.microsoft.com
  2. DNS resolver для этого клиента настраивается для использования отправителя (forwarder) имен, для которых он не является полномочным. Поэтому полномочный DNS сервер является DNS сервером, содержащим действительные главные записи для домена microsoft.com, но этот сервер не считается полномочным для microsoft.com. Как только DNS resolver настроен для использования отправителя (forwarder), он больше не выполняет рекурсию для разрешения имени. Напротив, наш DNS resolver будет работать как DNS клиент отправителя (forwarder) и ожидать возвращения адреса для www.microsoft.com. DNS resolver отправляет DNS запрос к DNS forwarder для www.microsoft.com.
  3. Отправитель (forwarder) не является полномочным для домена microsoft.com и не содержит кэш запись для www.microsoft.com. DNS forwarder будет нуждаться в выполнение рекурсии для разрешения главного названия www.microsoft.com в IP адрес. Это начинается с установки файла Root Hints для IP адресов корневых серверов DNS (DNS Root Server), а затем отправляется запрос для www.microsoft.com для одного из интернетовских корневых серверов DNS (Internet DNS Root Server).
  4. Internet DNS Root Server не является полномочным для домена microsoft.com, но в нем содержится информация о IP адресах для DNS серверов .com. Internet Root Server отправляет IP адреса DNS серверов .com в DNS Forwarder.
  5. DNS Forwarder отправляет DNS запрос для www.microsoft.com в DNS сервер .com. Однако DNS сервер .com не является полномочным для домена microsoft.com.
  6. В DNS сервере .com содержится информация о IP адресах DNS серверов microsoft.com, и эта информация отправляется в DNS forwarder.
  7. DNS forwarder отсылает DNS запрос для www.microsoft.com в DNS сервер microsoft.com. DNS сервер microsoft.com является полномочным для домена microsoft.com и содержит главную ресурсную запись для хост-узла www.microsoft.com.
  8. DNS сервер microsoft.com отправляет IP адрес www.microsoft.com в DNS forwarder.
  9. DNS forwarder кэширует DNS запись на период времени, отмеченный в TTL этой записи, а затем возвращает IP адрес в DNS resolver.
  10. DNS resolver кэширует запись на период времени, выработанный в TTL для этой записи, и возвращает IP адрес для www.microsoft.com клиенту, сделавшему запрос. У прикладной программы клиента теперь появляется IP адрес для www.microsoft.com и она может начать соединение по этому IP адресу.

DNS кэширование

Я уже отмечал, что DNS серверы могут кэшировать информацию о разрешенных записях. У всех DNS серверов есть такая возможность, потому что тогда происходит уменьшение потока по обмену информацией через Интернет, происходящего из-за DNS запросов. DNS кэширование может иметь существенное влияние на то, как «быстро» Интернет реагирует на окончание запроса пользователя.

Ниже приведенный рисунок показывает эффект DNS кэширования на DNS запросы.

Dns балансировка нескольких forwarders

Рисунок 3

Цепь событий, представленных на выше приведенном рисунке, может быть объяснено следующим образом:

  1. Прикладная программа, установленная в системе пользователя, нуждается в соединении с www.microsoft.com. Программное обеспечение DNS клиента этой системы отправляет DNS запрос для www.microsoft.com в DNS сервер, настроенный для данного пользователя.
  2. DNS resolver пользователя получает DNS запрос и определяет, что DNS запрос направлен к домену, для которого он не является полномочным и у него нет кэшированной записи для www.microsoft.com. DNS resolver переправляет запрос к его отправителю (forwarder).
  3. У отправителя (forwarder) есть кэшированная запись для www.microsoft.com и возвращает запись в DNS resolver. Из-за того, что у отправителя (forwarder) есть кэшированная запись, он не нуждается в выполнении рекурсии для разрешения имени.
  4. DNS resolver кэширует запись для for www.microsoft.com и возвращает IP адрес for www.microsoft.com пользователю, сделавшему этот запрос.

Как вы думаете, что произойдет после того, как пользователь сделает запрос к нашему DNS resolver для www.microsoft.com? А ответ следующий: DNS resolver не нужно будет обращаться к переправителю (forwarder), так как у него (DNS resolver) есть кэшированная копия, и он вернет информацию DNS клиенту как только TTL на эту запись истечет.

Из схемы, представленной на выше приведенном рисунке, не очень понятно, какие преимущества DNS forwarder могут использоваться в DNS кэшировании, до тех пор, пока мы не возьмем один DNS resolver и один DNS forwarder, вместе DNS resolver и DNS forwarder будут содержать кэшированные копии. Но представьте, что в вашей сети есть тысячи DNS resolver. Вы можете настроить их на использование центрального DNS forwarder или пары центральных DNS forwarder. В этом случае эти DNS forwarder будут содержать кэшированную информацию от запросов, сделанных через все DNS resolver в вашей организации. Конечным результатом будет возможность всех DNS resolver быстрее разрешать названия от коллективного кэширования в DNS forwarder.

Заключение

В первой части этой многосерийной статьи об ISA Firewall outbound DNS мы получили представления о том, как работают некоторые базовые компоненты DNS системы. Мы выяснили, как DNS серверы выполняют рекурсию путем установления связи параллельно соединенных DNS серверов с Интернетом для выполнения резолюции названия, мы обсудили DNS кэширование и то, как оно сокращает общее количество DNS соединений через Интернет, и мы увидели, как DNS forwarder может быть использован для выгодного DNS кэширования с целью централизации исходящих DNS сервисов. Теперь, когда у вас есть базовые представления о DNS резолюции названий, вы можете переходить к следующей части статьи, в которой мы обсудим, как различные клиенты ISA Firewall разносторонне используют DNS.

www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]