Разработчики DNS обращали мало внимания на вопросы безопасности, и это прекрасно известно системному администратору. Фотакелис, автор раздела Reader to Reader журнала Windows IT Pro, составил список рекомендаций на основе 11-летнего опыта работы в области ИТ, в том числе в должности системного администратора университета имени Аристотеля в Салониках (Греция). Недавно он рассказал мне о методах повышения безопасности DNS и привел некоторые примеры поиска неисправностей, связанных с преобразованием имен, из своей практики.
Какую среду вы обслуживаете?
По требованиям безопасности я не могу описать инфраструктуру той компании, где работаю сейчас, поэтому расскажу об университете, где работал прежде.
У нас было восемь серверов. Первоначально они работали с Linux, IRIX, Solaris и Windows NT 4.0, но постепенно мы перешли на Windows Server 2003 R2, сохранив два сервера Linux. Один из серверов Linux был виртуализован. Еще мы обзавелись девятым сервером Windows 2003, который использовали для краткосрочных исследовательских проектов и включали только при необходимости. В июле 2007 г. мы установили сервер Windows Server 2008 Beta 3 для тестирования. Число конечных пользователей и рабочих станций составляло от 50 до 100, в зависимости от количества исследовательских проектов. Клиенты работали с 32- и 64-разрядной Windows XP. Нашей основной площадкой был комплекс университетских зданий, а двумя другими — исследовательские лаборатории. Основными приложениями были как программы Microsoft Office (Word, Excel), так и наши собственные программы для нанесения цифровых водяных знаков, цифровой обработки видео и искусственного интеллекта.
Многие наши читатели постоянно интересуются DNS как неотъемлемой частью своей работы. Какие приемы обслуживания DNS вы выработали за эти годы?
Я всегда уделяю особое внимание преобразованию имен (в основном DNS, реже WINS), поскольку это элемент любой инфраструктуры. Если в преобразовании имен есть изъяны, то это вызывает многочисленные проблемы, которые порой трудно связать с ошибками преобразования имен. Поэтому, прежде чем решать другие проблемы Windows, такие как Active Directory и безопасность, необходимо убедиться в правильности настройки DNS/WINS.
Со временем я составил список рекомендаций для DNS, которые всегда выполняю при организации сети (см. врезку «Рекомендации по DNS для системного администратора»). Поначалу я следовал рекомендациям Microsoft, затем стал пробовать и другие подходы. Моими ресурсами были Microsoft TechNet, различные форумы и собственные эксперименты. Кроме того, как обладателю сертификата MCT, мне посчастливилось быть преподавателем любознательных студентов, чьи вопросы заставили меня еще глубже проникнуть в механизмы DNS. Я также учился в процессе диагностики неполадок, с которыми учащиеся сталкивались в своих сетях. Я считаю, что эти рекомендации по DNS применимы к подавляющему большинству компаний и организаций, с которыми я работал.
Могли бы вы привести примеры необычного функционирования сети, причиной которого были неполадки в преобразовании имен?
Обычно длительные задержки при открытии общих папок в сети указывают на неполадки, но, к сожалению, бывают случаи, когда причины неисправностей скрыты. Например, сервер Microsoft Exchange записывал множество ошибок в журнал событий, и при этом не было ни единого намека на преобразование имен. Оказалось, что сервер глобального каталога неверно регистрировался в DNS; но мы потеряли много часов, пытаясь разобраться в проблеме.
Протестировать преобразование имен просто, но обычно это не первая вещь, которая приходит в голову при поиске неисправностей. По моему опыту, необъяснимые неполадки в локальной сети обычно связаны с разрешением имен или RPC (вызов удаленной процедуры), поэтому я стараюсь в первую очередь проверить их, прежде чем переходить к более высокоуровневым проверкам.
Какие еще проблемы приходится решать ИТ-подразделениям при обслуживании конечных пользователей, особенно связанным с сетью и безопасностью?
Потребности университета в Салониках в общем близки к требованиям в сфере бизнеса. Мы должны были обеспечить такие же показатели отказоустойчивости, надежности и безопасности. Однако были и особые нужды. Например, мы не могли найти программу управления ресурсами (ERP), соответствующую нашим запросам, и были вынуждены разработать собственную. Кроме того, многие наши приложения предназначались для исследовательских целей. Они все еще находились в стадии проектирования и обычно были плохо документированы, поэтому, сталкиваясь с неполадками, мы не могли надеяться на помощь Internet. Все эти особенности напрямую влияли на безопасность: не имея официального поставщика, предоставляющего исправления и обновления, нам приходилось принимать превентивные меры и вникать в проблемы безопасности программ.
Еще одна трудность заключалась в том, что иногда пользователям требовалась программа, разработанная для другой платформы, несовместимая с Windows XP. В этом случае нас выручал Microsoft Virtual PC. В прошлом у нас были специальные компьютеры для таких программ, но благодаря Virtual PC мы просто сохраняли образы Virtual PC на DVD-дисках и развертывали их, когда у пользователей возникала нужда в программах.
Каролин Марвиц (cmarwitz@windowsitpro.com) — помощник редактора в Windows IT Pro и SQL Server Magazine
Рекомендации по DNS для системного администратора
-
Создайте зоны DNS на внутренних DNS-серверах для борьбы с очевидной Web-рекламой.
-
Используйте DNS-серверы OpenDNS (www.opendns.com) в качестве ретранслятора (DNS-серверы для DNS-серверов), чтобы обеспечить дополнительный уровень безопасности.
-
Блокируйте определенные протоколы DNS (UDP, TCP или оба) на периферии (брандмауэр) и на сервере. Кроме того, запретите изменение параметров DNS-сервера. Для выполнения этих двух задач очень полезен мастер настройки безопасности Windows Server 2003 SP1.
-
Используйте зоны, интегрированные с Active Directory (AD), и безопасные динамические обновления.
-
Ограничьте репликацию DNS только необходимыми DNS-серверами.
-
Если возможно, выполните разделение DNS.
-
Используйте DNSstuff (www.dnsstuff.com), чтобы получить полезную дополнительную информацию, которая пригодится и для диагностики.
-
Избавьтесь от NetBIOS over TCP и WINS. В Windows Server 2008 имеется специальная зона DNS, благодаря которой исключается необходимость в WINS-сервере.
-
Составьте собственный список рекомендаций.