Monday, December 11th, 2017

Полное руководство к ISA Firewall Outbound DNS (Часть 3)

Published on Февраль 13, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В первых двух частях этой серии мы рассмотрели некоторые основы того, как работает Domain Name Service (DNS), а затем погрузились в важные вопросы о том, как различные виды клиентов ISA Firewall разрешают имена хостов и Direct Access. В третьей части мы изучим подробности различных схем исходящих DNS, используемых ISA Firewall.

Схема 1 исходящих DNS: Resolver в контроллере домена

В большинстве общих схем в маленьком или среднем бизнесе контроллер домена используется как DNS resolver. В такой схеме, контроллер домена является полномочным для внутренних имен домена и производит рекурсию имен, которая не является полномочной.

Нижеприведенный рисунок показывает тип DNS настроек, когда DNS сервер в контроллере домена настроен для разрешения как внутренних, так и внешних имен.

Пересылка dns запросов на isa 2006

Рисунок 1

События этого рисунка происходят следующим образом:

  1. Приложение клиента нуждается в разрешении имени www.microsoft.com в IP адрес и отправляет DNS запрос к DNS resolver в контроллере домена.
  2. DNS сервер в контроллере домена не является полномочным для домена microsoft.com, поэтому он должен обратиться к интернет DNS серверам, чтобы выполнить рекурсию для разрешения имени.
  3. DNS сервер, являющийся полномочным для домена microsoft.com, возвращает IP адрес хоста www.microsoft.com.
  4. DNS сервер в контроллере домена кэширует запись для периода времени, отмеченного в TTL записи, и возвращает результат клиенту. Как только у клиента появляется IP адрес хоста www.microsoft.com, то сразу становится возможным соединение с ним.

Есть несколько ключевых требований для резолюции интернет имен в этой схеме:

  • Контроллер домена должен быть настроен для резолюции имен хостов интернет. Это требует наличие у DNS сервера списка Internet Root Servers, который он может достать и который настроен для выполнения рекурсии.
  • Должен присутствовать Access Rule, который позволяет DNS серверу в контроллере домена иметь анонимный доступ в DNS серверы в установленной по умолчанию внешней сети ISA Firewall
  • Клиенты должны быть настроены с адресами внутреннего DNS сервера
  • Внутренний интерфейс ISA Firewall должен быть настроен для использования внутреннего DNS сервера, и не должно быть списка ни одного внешнего DNS сервера ни в одном интерфейсе ISA Firewall. Внутренний интерфейс должен быть вверху списка интерфейсов в ISA Firewall.

Обычно я говорю, что когда у вас есть проблемы с DNS, вам необходимо настроить ISA Firewall для использования DNS сервера, который может разрешать как внутренние, так и внешние имена. Однако я обычно не вдаюсь в детали того, как это делать. Я исправлю этот пропуск прямо сейчас.

DNS сервер легко настроить для резолюции внутренних и внешних имен хостов. Это можно сделать двумя путями: разрешить DNS серверу самому выполнять рекурсию или настроить ваш DNS resolver для использования отправителя (forwarder). В этом примере я покажу вам, как настроить DNS resolver для выполнения рекурсии.

На ниже приведенном рисунке вы видите DNS консоль и два интегрированных Active Directory DNS сервера в левой части консоли. Щелкните правой кнопкой на одном из DNS серверов, который вы хотите использовать как resolver для входа в его меню Свойства.

Шыф server внутренний dns

Рисунок 2

В меню Свойства DNS resolver нажмите на иконку Root Hints. В меню Root Hints вы увидите список Internet Root Servers, которые DNS сервер может использовать для запуска процесса рекурсии. Если у вас нет списка Internet Root DNS серверов, тогда вам нужно загрузить его самостоятельно. Без этого списка Internet Root DNS серверов вы не сможете выполнить рекурсию, и если это устройство настроено для выполнения только рекурсии для разрешения имен хостов интернет, то резолюция имен хостов интернет завершится не успешно.

Картинка контроллер домена

Рисунок 3

Нажмите на ярлык Advanced в меню Properties DNS resolver. Убедитесь, что в поле Disable recursion нет «галочек». Вам нужно разрешить эту опцию, когда вы размещаете DNS advertiser для вашего домена, как это описано в ранних сериях inbound DNS на этом сайте.

Www microsoft com

Рисунок 4

Наконец нажмите на ярлык Forwarders в меню Properties DNS resolver. Убедитесь, что в Enable Forwarders нет «галочек». В этом примере мы не используем forwarder, поэтому убедитесь, что использование forwarders отключено.

Dns firewall

Рисунок 5

Когда DNS сервер настроен для выполнения рекурсии, то вам следует убедиться, что присутствует Access Rule, который позволяет анонимный доступ (не требует аутентификации) из DNS серверов к установленной по умолчанию внешней сети ISA Firewall. Причиной, по которой нам нужно разрешить анонимное соединение, является то, что только клиент Firewall может отправить информацию об аутентификации для DNS протокола в ISA Firewall, и мы никогда не установим клиент Firewall в сетевой сервер; клиент Firewall устанавливается только в сетевую систему клиента. Обычно я делаю Computer Set для DNS серверов и называю Computer Set DNS Servers, как вы это можете видеть на ниже приведенном рисунке.

Firewall на схеме

Рисунок 6

Теперь вам необходимо настроить внутренний интерфейс ISA Firewall, чтобы он был наверху списка интерфейсов, поэтому настройка этого интерфейса используется сначала для поиска списка DNS сервера. С тех пор, как мы должны использовать только внутренний DNS сервер и ни одного внешнего DNS сервера, нам следует разместить во внутреннем интерфейсе все DNS серверы, которые мы хотим использовать во внутренней сети. Никогда не помещайте DNS сервер ни в каком другом интерфейсе кроме внутреннего. Если вы разместите адреса DNS серверов в каком-то другом интерфейсе, то вы замедлите резолюцию имен. К тому же, если вы поместите внешний DNS сервер в любой интерфейс, то вы сломаете коммуникацию Active Directory для ISA Firewall, и аутентификация не пройдет успешно, когда вы попытаетесь подключиться к интернету.

Чтобы поместить внутренний интерфейс вверху списка интерфейсов, откройте окно Network Connections и нажмите на меню Advanced. Затем нажмите Advanced Settings.

Isa настрайваем днс

Рисунок 7

В меню Advanced Settings выберите внутренний интерфейс и используйте кнопку-стрелку, чтобы продвинуть внутренний интерфейс наверх списка.

Домен контроллер лого

Рисунок 8

Теперь этот внутренний интерфейс, содержащий список внутренних DNS серверов, которые могут разрешить внутренние и внешние имена, находится наверху списка. Все это предназначено для настройки ISA Firewall и DNS resolver, поэтому внутренние и внешние имена могут быть разрешены.

В общем, я предпочитаю оставаться в стороне от этой схемы в окружениях с высокой степенью безопасности. В таких окружениях серверы никогда не делают соединения с анонимными или незаслуживающими доверия серверами интернета. К несчастью, с DNS, чтобы выполнять рекурсии вы должны разрешить DNS серверу соединиться с анонимным или не заслуживающим доверия устройством через интернет. Я рекомендую это решение только компаниям, у которых нет никаких других вариантов.

Схема 2 исходящих DNS: DNS сервер, предназначенный только для кэширования во внутренней сети

В нашей второй схеме мы продолжим позволять клиентам использовать контроллер домена как их DNS сервер, но мы перемещаем роль resolver в DNS сервер, предназначенный только для кэширования (cashing-only), который расположен в той же внутренней сети, что и контроллер домена DNS сервера. В этих настройках контроллер домена Active Directory объединенный с DNS сервером является полномочным для внутренних имен, но использует cashing-only DNS сервер для разрешения имен хостов интернета, для которых он не является полномочным.

Вообще существуют два варианта, когда вы можете выгодно использовать cashing-only DNS сервер в этой схеме: в первом случае вы можете настроить клиенты для использования Active Directory Integrated DNS сервера, как их DNS сервер, а затем настроить Active Directory Integrated DNS сервер для использования cashing-only DNS сервера в качестве их forwarder’а; во втором случае нужно настроить все устройства в сети для использования cashing-only DNS сервера и настроить cashing-only DNS сервер на использование условной пересылки для домена внутренних сетей.

Ниже приведенный рисунок показывает первый случай, когда клиенты сети (включая ISA Firewall) используют Active Directory Integrated DNS сервер для их основного DNS сервера, и Active Directory Integrated DNS сервер в контроллере домена, использует cashing-only DNS сервер как своего отправителя (forwarder).

Настроить внутренний dns

Рисунок 9

Цепь событий, представленных на выше стоящем рисунке:

  1. Приложение на клиентском устройстве нуждается в разрешении имени www.microsoft.com в его IP адрес. Программное обеспечение клиента DNS отправляет DNS запрос для www.microsoft.com в Active Directory Integrated DNS сервер во внутренней сети.
  2. Active Directory Integrated DNS сервер находящийся в контроллере домена не является полномочным для домена microsoft.com, поэтому он отправляет запрос в cashing-only DNS сервер путем отправления DNS запроса для www.microsoft.com в DNS forwarder.
  3. Cashing-only DNS сервер не является полномочным ни для одного домена, поэтому он запускает процесс рекурсии для резолюции имени www.microsoft.com в IP адрес.
  4. DNS сервер microsoft.com возвращает IP адрес хоста www.microsoft.com в cashing-only DNS server resolver, предназначенного только для кэширования.
  5. Cashing-only DNS сервер кэширует результаты запроса и отправляет ответ в Active Directory Integrated DNS сервер расположенный в контроллере домена.
  6. Active Directory Integrated DNS сервер кэширует результаты и возвращает ответ клиенту, который сделал данный запрос. Поэтому у клиента есть IP адрес хоста www.microsoft.com, и он может направить запрос по соединению сервисам.

Пока у настроек еще есть смысл, это должен быть лучший путь для применения в сети cashing-only DNS сервера. Почему? Да потому что мы используем Active Directory Integrated DNS сервер как основной DNS сервер для всех клиентов сети, DNS сервер должен выдерживать все DNS маршруты в сети. Более того, мы завершаем кэширование результатов запросов имен хостов интернета как в Active Directory Integrated DNS сервере, так и в cashing-only DNS сервере. Должно быть это лучшее решение, если мы можем уменьшить дублирование работы и уменьшить количество маршрутов DNS запросов направленных в Active Directory Integrated DNS сервер, так как помимо обслуживания результатов DNS запросов у контроллера домена есть другие важные сетевые задачи.

Мы можем выполнить эти задания, настроив клиентов сети для использования cashing-only DNS сервера как их основного DNS сервера. Когда мы это сделаем, cashing-only DNS сервер разрешит имена хостов интернета для похожих интернет соединений и перенаправит пользователей в Active Directory Integrated DNS сервер, когда запрос приходит для имен во внутренней сети.

Схемы разрешения имен в dns

Рисунок 10

Описание событий, представленных на выше приведенном рисунке:

  1. Приложение клиента нуждается в резолюции имени www.microsoft.com. Программное обеспечение DNS клиента, установленное на системе клиента, отправляет DNS запрос в caching only DNS сервер.
  2. Так как caching only DNS сервер не является полномочным для любого домена, то он выполняет рекурсию для определения IP адреса хоста www.microsoft.com.
  3. DNS сервер, являющийся полномочным для домена microsoft.com возвращает IP адрес хоста www.microsoft.com в caching only DNS сервер.
  4. Caching only DNS сервер кэширует результаты запроса и затем возвращает IP адрес хоста www.microsoft.com на клиентский компьютер, который сделал данный запрос. В этом случае система пользователя может сделать запрос соединения с IP адресом для www.microsoft.com
  5. Приложение клиента в устройстве внутренней сети нуждается в соединении с хостом внутренней сети, такого как www.internal.com. Программное обеспечение DNS клиента отправляет DNS запрос для www.internal.com в caching only DNS сервер.
  6. Caching only DNS сервер не является полномочным ни для одного домена. Однако caching only DNS сервер настраивается на выполнение условного отправления для домена internal.com. Условное отправление просит caching only DNS сервер отправить DNS запрос в Active Directory Integrated DNS сервер.
  7. Active Directory Integrated DNS сервер возвращает результаты в caching only DNS сервер.
  8. Caching only DNS сервер кэширует результат и отправляет ответ клиенту, делающему данный запрос. В этом случае приложение клиента может соединиться с IP адресом сервера-адресата.

Как вы видите, использование caching only DNS сервера в роли основного DNS сервера не только переписывает маршрут DNS запроса для хостов интернета вне контроллера домена, но также переписывает внутредоменные маршруты DNS запроса вне контроллера домена, потому что caching only DNS сервера кэширует еще и результаты запроса имен внутреннего домена. Неплохо!

Требования для этого решения таковы:

  • DNS сервер, установленный во внутренней сети, который настраивается как caching only DNS сервер.
  • Все клиенты настраиваются для использования caching only DNS сервера в роли основного DNS сервера (включая внутренний интерфейс ISA Firewall)
  • Access Rule ISA Firewall, который позволяет исходящий доступ из caching only DNS сервера в установленную по умолчанию внешнюю сеть для DNS протокола.
  • Внутренний интерфейс ISA Firewall должен быть настроен для использования внутреннего DNS сервера, и ни одного внешнего DNS сервера не должно быть ни на одном из интерфейсов ISA Firewall. Внутренний интерфейс должен быть вверху списка интерфейсов в ISA Firewall.

Мы уже познакомились с опциями настроек для того, чтобы сделать внутренний интерфейс ISA Firewall первым в списке интерфейсов. Помните, что вы никогда не поместите адрес внешнего DNS сервера в какой-либо из интерфейсов ISA Firewall. Вы используете только внутренние DNS серверы, которые могут разрешить имена внутренних и внешних хостов, и все эти DNS серверы расположены во внутреннем интерфейсе ISA Firewall.

Чтобы настроить условный отправитель для caching only DNS сервера так чтобы DNS запросы для внутреннего домена направлялись в контроллер домена, откройте DNS регистр и щелкните правой кнопкой мыши на имени caching only DNS сервера и выберите Properties. В этом меню нажмите ярлык Forwarders. В подменю Forwarders нажмите кнопку New.

Картинка контроллер домена

Рисунок 11

В окне New Forwarder введите имя внутреннего домена и нажмите OK.

Www microsoft com

Рисунок 12

В меню Forwarders нажмите на новый ввод домена в спсике DNS domain. Введите IP адрес Active Directory Integrated DNS сервера в строчку Selected domain’s forwarder IP address list и нажмите на Add. Теперь IP адрес появится в списке.

Dns 323 руководство инструкция

Рисунок 13

Заметьте, что когда вы нажимаете на All other DNS domains в списке DNS domain, там нет ни одного IP адреса. В этом случае cashing-only DNS сервер будет выполнять рекурсию для всех остальных DNS доменов.

Dns незаслуживающий доверия ответ

Рисунок 14

Заключение

В этой статье мы рассмотрели в деталях две общепринятые и важные схемы исходящих DNS, используемых в ISA Firewall. В следующей статье мы закончим серию изучением двух более важных схем исходящих DNS. Увидимся!

www.isaserver.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]