Доменная система имен

Если основной сервер длительное время отключен, то вспомогательные серверы будут многократно пытаться регенерировать свои данные, однако эти попытки всегда будут кончаться неудачей. В конце концов все вспомогательные серверы решат, что основной сервер не включится никогда и что его данные наверняка устарели. Параметр expire определяет, как долго вспомогательные серверы будут продолжать обслуживать данные этого домена в отсутствие основного сервера. Система должна выжить, даже если основной сервер не работает неделю, поэтому параметру expire следует присваивать большое значение. Мы рекомендуем брать от недели до месяца. Параметр minimum задает время жизни записей о ресурсах, которое будет приниматься по умолчанию. Он кэшируется вместе с записями и используется для отмены их действия на неавторитетных серверах. Каждая запись может в поле время содержать явно заданное значение; если такое значение не установлено, то используется значение из записи SOA. Опыт показывает, что следует брать значения от нескольких часов до нескольких дней. Увеличение значения этого параметра приблизительно до недели существенно снижает интенсивность сетевого графика и нагрузку на доменную систему имен. Записи NS Записи NS описывают серверы, которые авторитетны для данной зоны. Обычно эти записи следуют за записью SOA. Запись NS имеет следующий формат: зона [время] [класс] NS имя_машины Например: ccl.ru 3600 IN NS ns.ccl.ruccl.ru 3600 IN NS ns.ussr.eu.netccl.ru 3600 IN NS ns.spb.su Поскольку имя зоны здесь совпадает с указанным в поле имя записи SOA, которая идет перед записями NS, поле зона можно оставить пустым. Поэтому строки IN NS ns.ccl.ruIN NS ns.ussr.eu.netIN NS ns.spb.su будут эквивалентны приведенным выше. Следует указывать все авторитетные серверы. Кэширующие серверы не могут быть авторитетными, поэтому их давать не нужно. Здесь нет ключевого слова, которое указывало бы на то, какой сервер имен является основным, — это определяется в файле начальной загрузки, которым пользуется демон named. Честно говоря, если записи NS относятся к серверам имен для текущей зоны, доменная система имен их практически не использует. Они просто поясняют пользователям, как организована зона и какие машины играют ключевую роль в обеспечении сервиса имен. Записи А Записи А — сердце базы данных DNS. Они обеспечивают перевод имен машин в IP-адреса, ранее заданные в файле /etc/hosts. Для каждого из сетевых интерфейсов машины должна быть сделана одна запись А. Эта запись имеет следующий формат: имя_машины [время] [класс] А ip-адрес Например: lab10.icmm.ru 85640 IN A 62.76.204.162 Записи PTR Записи PTR выполняют обратное преобразование IP-адресов в имена машин. Как и в случае с записями А, для каждого сетевого интерфейса машины должна быть сделана одна запись PTR. Перед тем как описывать эти записи, давайте отвлечемся и поговорим о специальном домене верхнего уровня, который называется IN-ADDR.ARPA. Полностью определенные имена машин можно рассматривать как структуру, в которой "старший бит" стоит справа. Например, в имени vtau.pstu.ac.ru vtau находится в pstu, pstu находится в ac, a ac — в ru. С другой стороны, в IP-адресах "старший бит" стоит слева: 195.19.161.194 Машина 194 находится в сети 195.19.161. Домен IN-ADDR.ARPA был создан для того, чтобы и для преобразования IP-адресов в имена машин, и для преобразования имен в IP-адреса использовался один и тот же набор программных модулей. Поддомены этого домена именуются как IP-адреса с байтами, расставленными в обратном порядке. Например, зона для cети 195.19.161 составлена следующим образом (см. рис. 5): Рис. 5. Таксономия зон в IN-ADDR.ARPA Обратите внимание на то, что на рис. 5 компонент 161.19.195 (представляющий сеть класса C) отмечен как одна зона. Зоны с именем 195.IN-ADDR.ARPA нет. Это противоречит здравому смыслу и ранее сказанному нами в этой главе, но это очень особый случай. По сути дела, никто не делает запросов о 195.IN-ADDR.ARPA. (Попробуйте сделать это с помощью dig или nslookup, и у Вас ничего не получится.) Проблема состоит в том, чтобы запросы об адресах под 195.IN-ADDR.ARPA выдавали результаты, имеющие смысл. Оказывается, если сделать на всех серверах зоны IN-ADDR.ARPA записи NS о 161.19.195.IN-ADDR.ARPA, то надобность в промежуточной зоне (195.IN-ADDR.ARPA) исчезнет. Ссылки на ее поддомены будут обрабатываться таким образом, чтобы возвращался самый подробный адрес сервера, о котором у данного сервера есть запись NS. Теоретически это звучит несколько странно, но на практике предлагаемой схемой пользоваться очень легко. Представьте, что точка между компонентами 19 и 195 адреса (или компонентами любой сети, для которой Вы создаете зону) — это обычный символ, например, дефис. Считайте этот адрес единым целым и строите родительский домен и поддомен как обычно. Общий формат записи PTR таков: адрес [время] [класс] PTR имя_машины Запись PTR в домене IN-ADDR.ARPA, соответствующая приведенной выше записи А для машины vtau, будет иметь такой вид: 194.161.19.195 IN PTR vtau.pstu.ac.ru. Имя 194.161.19.195 не заканчивается точкой и поэтому является относительным. Вопрос: относительным относительно чего? Ни в коем случае не относительно "pstu.ac.ru.". Для того чтобы эта запись была точной, домен по умолчанию должен называться "IN-ADDR.ARPA.". Этого можно добиться либо поместив записи PTR в отдельный файл, в котором домен по умолчанию — IN-ADDR.ARPA. (заданный в файле начальной загрузки демона named), либо изменив этот домен с помощью директивы $ORIGIN. Если домен по умолчанию определен как 161.19.195.IN-ADDR.ARPA., то запись можно представить так: 194 IN PTR vtau.pstu.ac.ru. Поскольку pstu.ac.ru и 161.19.195.IN-ADDR.ARPA — разные области пространства имен DNS, они составляют две отдельные зоны. У каждой из этих зон должна быть своя запись SOA и свои записи о ресурсах. Помимо определения зоны IN-ADDR.ARPA для каждой реальной сети Вам нужно определить зону, которая заботилась бы о закольцовывающей сети, 127.0.0. Файлы, содержащие записи PTR, в больших организациях часто строятся по подсетям. При этом домен по умолчанию включает лишь часть сетевого адреса, которая является обшей для всех подсетей (Такое возможно лишь в том случае, если подсети разбиты по границе байта). В приведенном выше примере домен по умолчанию включает полный адрес подсети. Отметим, что имя машины vtau должно быть полностью определенным, чтобы к нему не добавился домен 161.19.195.IN-ADDR.ARPA. Обратные соответствия, содержащиеся в записях PTR в домене IN-ADDR.ARPA, используются всеми программами, которые аутентифицируют входящий сетевой трафик. Например, удаленная регистрация без пароля допускается, если исходная машина указана по имени в пользовательском файле ~/.rhosts. Когда машина-адресат получает запрос на установление соединения, она знает машину-отправителя только по IP-адресу. Пользуясь услугами DNS, она преобразовывает IP-адрес в имя, которое сравнивается с соответствующим файлом. Программы natstat, sendmail, X Window, syslog, finger, ftp, rlogind — все они получают имена машин из IP-адресов с помощью обратного преобразования.

Отправить комментарий

Проверка
Антиспам проверка
Image CAPTCHA
...