Разное

Dns сервер настройка – Настройки DNS, как установить DNS-сервер

09.10.2018

Содержание

Настройки DNS, как установить DNS-сервер

Что такое DNS?

DNS – это аббревиатура от Domain Name System. Переводится как система доменных имён, и является системой, которая сопоставляет между собой доменное имя и IP адрес хоста. Так, зная имя хоста, можно получить его адрес и наоборот. Для чего это нужно? Всемирная сеть Интернет устроена таким образом, что каждое устройство (компьютер, телефон, планшет, маршрутизатор) имеет свой уникальный адрес (на самом деле адреса могут повторяться, если речь идет о разных ЛОКАЛЬНЫХ сетях, но в данной статье мы говорим о глобальной сети и не будем вдаваться в подробности NAT, PAT и маршрутизации), и обратиться к этому устройству можно только зная его адрес в сети. Работая в Интернете, мы обращаемся к десяткам сайтов каждый день. Трудно было бы запомнить все их адреса, состоящие из последовательности номеров и точек, например, что проще запомнить 77.222.61.238 или integrus.compumur.ru? Конечно, второе. А адрес за вас вспомнит система доменных имен.

DNS есть на любом компьютере, в каждой сети и у каждого провайдера, кроме того имеет иерархический вид и в случае, когда система доменных имен не может определить адрес запрошенного ресурса по доменному имени, она передает запрос вышестоящему DNS-серверу. Запрос может передаваться вплоть до одного из 13 «самых главных в мире» корневых DNS серверов.

Как установить DNS-сервер?

Сервер может выполнять различные функции, он может исполнять роль глобального каталога, хранить файловую информацию, работать с базами данных, работать одновременно с несколькими пользователями. В зависимости от предназначения сервера на нем устанавливают роли – специальный набор программ, позволяющих серверу выполнять необходимые функции.

Как установить роль DNS сервера? Установку будем проводить на Windows Server 2012 R2.

Чаще всего роль DNS-сервера устанавливается вместе с контроллером домена. Но в случае если во время установки Active Directory вы сняли галочку «DNS-сервер», либо AD просто не нужен, то необходимо провести установку только DNS-сервера. Для этого нужно зайти в диспетчер сервера и нажать кнопку «Добавить роли и компоненты».

Откроется окно «Мастера добавления ролей и компонентов». Прочитайте вступительный текст мастера и нажмите «Далее».

Убедитесь, что выбран пункт «Установка ролей и компонентов» и нажмите «Далее».

Выберите сервер из пула серверов. В нашем случае сервер всего один, у вас может быть больше.

Выбираем Роль DNS-сервер.

Отметив необходимый пункт галочкой, увидим появившееся окно «Мастера добавления ролей и компонентов». Эти компоненты необходимы для управления устанавливаемой ролью. В случае, если вы собираетесь администрировать DNS-сервер с другого сервера, то можно пропустить добавление данных компонентов.

Вернувшись в окно, с отмеченной галочкой DNS-сервер, нажмите кнопку «Далее», затем «Далее и снова «Далее», пока не станет активна кнопка «Установить».

Нажмите кнопку «Установить».

Начнется установка.

После завершения установки (установка будет длится менее 5 минут) появится надпись: «Установка выполнена на ИмяВашегоСервера». Можно нажать кнопку «Закрыть». Теперь в Панели мониторинга сервера, а также в Меню Пуск появится новая строчка «DNS». Если кликнуть по этой строчке, то запустится «Диспетчер DNS».

Он выглядит следующим образом.

На данный момент на DNS-сервере не настроена ни одна зона. Такой сервер называется кэширующим. Зоны – это части пространства имен, за которые отвечает сервер. Зоны прямого просмотра предполагают преобразование имени в IP-адрес. Зона обратного просмотра наоборот, сопоставляет IP-адрес с именем.

Создадим зону прямого просмотра и сделаем её простую настройку.

Для этого кликнем правой кнопкой мыши на надписи «Зоны прямого просмотра» и затем «Создать новую зону».

Откроется окно «Мастера создания новой зоны», жмем «Далее». Откроется окно выбора типа зоны. Если у Вас нет другого сервера DNS выбирайте «Основная зона» и «Далее».

В следующем окне нужно задать имя зоны. Рекомендуется использовать ваш домен. В нашем случае в качестве имени было бы указано: integrus.compumur.ru. Жмем «Далее».

Выбираем «Создать новый файл» и жмем «Далее».

В следующем окне выберите тип динамического обновления. Рекомендуется разрешить динамические обновления, но только если DNS будет использоваться исключительно в вашей локальной сети. В противном случае этот пункт может повлечь за собой риски безопасности, о чем «Мастер создания новой зоны» вас предупредит.

Жмем «Далее» и «Готово». Зона прямого просмотра успешно создана, проведем её простую настройку. Настройка зоны просмотра осуществляется путем добавления в зону DNS-записей. Существует несколько типов DNS-записей. Рассмотрим основные типы:

  • А-запись. Соотносит Имя хоста и адрес протокола IPV
  • АААА-запись. Соотносит Имя хоста и адрес протокола IPV
  • CNAME-запись. Псевдоним, используется для переадресации на другое имя.
  • MX-запись. Почтовая запись, указывает на почтовые сервера.
  • NS-запись. Указывает на DNS-сервер домена.

Создадим А-запись для нашей новой зоны прямого просмотра. Для этого кликнем правой кнопкой мыши на зоне и выберем соответствующий пункт контекстного меню, как показано на рисунке.

В открывшемся окне «Новый узел» вводим Имя узла, например GateWay и его IP-адрес, например 192.168.0.1. Нажмите кнопку «Добавить узел».

Готово! Запись успешно создана!

В данной статье мы постарались максимально понятным языком объяснить простому человеку без глубоких знаний IT что такое DNS, как установить роль DNS-сервера на Windows Server 2012, познакомились с основными типами записей и в картинках показали как эти записи делаются. А если все вышеописанное показалось Вам трудным, то наши специалисты настроят Вам сервер менее, чем за час.

integrus.ru

от теории до тонкой настройки

Приветствую! Сегодня мы обсудим все важные моменты про DNS сервер. От того, что это такое, до настройки и выбора альтернативных DNS. Все по пунктам, понятно как дважды-два от простого советского Ботана с сайта WiFiGid.ru. Рассаживаемся по местам и не забываем пристегнуться!

Если у вас появились вопросы или есть что дополнить – ОБЯЗАТЕЛЬНО напишите в комментарии к этой статье. Вы очень поможете и нам, и другим читателям!

Что такое DNS?

Начинаем с отдаленной теории. Кому это не интересно, переходите в нужную главу ниже – вся настройка и выбор будут там. А здесь мы поговорим про само явление DNS.

DNS – Domain Name System – система доменных имен

Стало страшно? Попробуем запутать еще больше… т.е. распутать. Давайте по пунктам:

  1. Во время пользования интернетом вы вбиваете название сайта в окно браузера. Например, ГУГЛ.ФУ (да простят они нас и тоже подкинут трафика).
  2. В сетях вся адресация происходит по IP адресам. Т.е. железо умеет искать маршруты только по цифрам. Например, 7.7.7.7. Но пользователям неудобно запоминать эти цифры (вспомните хотя бы номера 50 своих контактов из телефона).
  3. И тут как аналогия с телефоном. Номера вы знать не обязаны, а вот имена примерно помните. Т.е. вы забиваете в телефоне имя, а звонок идет уже по номеру. Так и в интернете – вы вводите символьное имя (доменное имя), а браузер уже в обход ваших глаз отправляется искать нужный сайт по IP адресу.

DNS сервер как раз и занимается преобразованием доменного имени в IP адрес. Получает буквы – отдает числа.

Чтобы убедиться в таком преобразовании, можно «пингануть» любой сайт:

У домена ya.ru текущий IP 87.250.250.242

Серверы – теория

Не будем сильно углубляться в архитектуру DNS серверов, но для общего понимания стоит знать:

  1. Их много – нет единого верного, как правило вы получаете DNS провайдера, но это не всегда лучшее решение.
  2. Имеют вложенную структуру – корневые, страны, провайдеры, роутеры (очень грубо). В том плане, что все DNS наследуют друг от друга информацию, и если чего-то нет на текущем, запрос будет послан выше.
  3. У них есть IP адрес – вы стучитесь на него, а он уже отдает нужные IP адреса сайтов.

Как правило, после подключения к интернету при ничегонеделании с настройками вы получите DNS от своего провайдера.

Как узнать текущий?

Прежде чем перейти к установке, возможно понадобится узнать текущий ДНС сервер. Чтобы далее не было вопросов, показываю как это быстро сделать:

  1. Нам нужно открыть командную строку (есть и другие варианты открытия, можно погуглить). Нажимаем клавиши Win+R (открывается утилита «Выполнить», вбиваем в нее cmd

  1. Вводим nslookup

В моем случае текущий DNS – 192.168.0.1. Для продвинутых пользователей – это адрес роутера. Все запросы адресуются на него, а уже он отправляет далее (в текущий момент на нем работают гугловские ДНСы).

Провайдер

Разыменовывать сайты через своего провайдера можно, но не всегда это работает как надо. Для обычного домашнего пользователя все может пройти незаметно и всю жизнь, но вот если вы очень плотно работаете с интернетом, беда может наступить негаданно. Мои тезисы по поводу провайдерских серверов:

  1. Стабильность оставляет желать лучшего – в том плане, что раз в год и палка стреляет, так и здесь раз в пару лет их серверы падают, сайты не открываются наглухо. Неприятный момент, домашний пользователь мог бы подумать, что отвалился интернет, а проблема была зарыта на поверхности. Кому-то падения раз в пару лет достаточно для счастья.
  2. Территориальные ограничения – забанят в DNS какой-нибудь сайт и туши пропало. На самом деле через него сейчас банят редко чего, но так, к слову, были прецеденты.
  3. Медленное обновление зон (для меня это самый важный пункт). Серверы провайдеров обновляются очень медленно. Изменил владелец сайта у себя сервер (переехать ему захотелось на железо помощнее), поменял у себя в настройках DNS на новый IP адрес, а пользователю в регионе такая информация может долететь лишь через пару дней. И будет он стучаться по несуществующему адресу, получать недоступный сайт, или сайт с нарушением сертификатов безопасности и морем других болячек.

Итого – все работает, иногда очень долго и хорошо, но есть ведь минусы, которые легко заменить альтернативными DNS.

Альтернативные DNS

В настройках Windows, которые мы будем смотреть ниже, есть поле с альтернативным DNS. Так вот, в том случае речь идет просто о резервном адресе DNS сервера, если основной будет недоступным. В этой же главе «альтернативный» означает лишь то, что он не выдан провайдером.

Вот табличка основных актуальных сейчас DNS:

СервисDNS 1DNS 2
Google Public DNS8.8.8.8
2001:4860:4860::8888 (IPv6)		8.8.4.4
2001:4860:4860::8844 (IPv6)
Open DNS208.67.222.222208.67.220.220
Яндекс77.88.8.8
77.88.8.88 (без сайтов мошенников)
77.88.8.7 (без сайтов для взрослых)		77.88.8.1
77.88.8.2 (без сайтов мошенников)
77.88.8.3 (без сайтов для взрослых)
DNS WATCH82.200.69.8084.200.70.40
Norton Connect Safe198.153.192.1
198.153.192.40 (только безопасные сайты)
198.153.192.50 (без порно)
198.153.192.60 (полная безопасность)		198.153.194.1
198.153.194.40 (только безопасные сайты)
198.153.194.50 (без порно)
198.153.194.60 (полная безопасность)
Level 3 DNS209.244.0.3
4.2.2.1
4.2.2.3		209.244.0.4
4.2.2.2
4.2.2.4
Comodo Secure DNS8.26.56.268.20.247.20
Open NIC DNSВыбирайте из списка
https://servers.opennic.org		Выбирайте из списка
https://servers.opennic.org

Кратко пробегусь по каждому:

  • Google Public DNS – сам пользуюсь и рекомендую, пока не запретили. Работает как часы, быстро обновляется. Адреса легко запоминаются – «восьмерки». Есть и IPv6 версии.
  • Open DNS – второй по популярности сервис. Некоторое время пользовался, особой разницы от Гугла замечено не было. Работает и да ладно.
  • Яндекс – из бонусных отличий есть дополнительные серверы с фильтрами сайтов – без известных фишинговых и мошеннических сайтов, и без сайтов для взрослых – они просто не будут открываться. Эдакий родительский контроль.
  • Остальные – тоже работают. Описывать не вижу смысла, будет водная вода. Для дома достаточно первого, а в случае чего и второго. Остальное – избыток для технических специалистов. К сожалению или к счастью, наш WiFiGid не для спецов.

Настройка

А теперь покажу, куда нужно вставить эти адреса, чтобы все работало как дорогие швейцарские часы.

  1. Переходим в «Центр управления сетями» (Windows 7) ил «Параметры сети и интернет» (Windows 10). Можно для этого щелкнуть по значку сети правой кнопкой мыши и выбрать этот пункт:

  1. Далее «Настройка параметров адаптера» (или «Изменение параметров адаптера»):

  1. А тут уже ищем наш адаптер, через который мы подключились к сети, правой кнопкой – «Свойства» и делаем все как на схеме:

Здесь я установил адреса Google – первый и второй (первая и вторая колонка таблицы выше соответственно). Можете сделать так же, а можете поэкспериментировать с другими сервисами.

Эти действия выполняются одинаково на операционных системах Windows 7, Windows 8, Windows 10.

Подобное можно провернуть на каждому устройстве, включая и телефоны (смотрите инструкции по настройкам DNS под свою модель). Один из примеров, сделать возможно:

А лучше все сразу сделать на роутере в настройках DHCP сервера (который занимается раздачей сетевых настроек на подключенные устройства). Тогда все подключенные к нему устройства сразу будут идти через нормальные серверы. На примере TP-Link, под свою модель ищите настройки через поиск на нашем сайте:

Некоторые программы, приложения и мобильные устройства в своих конфигурациях просят поле DNS Address – IP адреса из таблицы выше тоже подойдут.

Возможные ошибки

Нет возможности перечислять все возможные ошибки, связанные с багами ДНС – их можно поискать по названиям на нашем сайте, мы действительно разобрали основные из них. Но суть по решению любой из них очень простая:

  1. Перезагружаем роутер и компьютер, ноутбук, телефон – для повторной попытки получения сетевых настроек.
  2. Пока все перезагружается проверяем провода – все ли заходит, нигде ли нет перелома.
  3. Если не помогает – вписываем адреса DNS вручную как в разделе выше.
  4. Если и это не помогает – ошибка где-то на стороне провайдера или же на самом сайте (тот самый возможный переезд). Если поголовно не открывается ничего – на всякий случай пробуем отключать антивирусы, брандмауэры, прокси, VPN и прочий софт, который использует сеть.

Если все совсем плохо и ничего не нашли – пишите комментарий ниже!

wifigid.ru

Как поменять или настроить DNS сервер на Windows 7, 10, Ubuntu, настройка ДНС на роутере

Среди обычных пользователей никто и никогда не задумывался о том, как работает интернет. Как происходит сёрфинг в глобальной паутине, почему браузеры попадают именно на те страницы, которые вы запрашиваете. Именно тут и вступает в игру DNS-серсер (Domain Name System). Эта система необходима для того, чтобы корректно соблюдать маршруты между адресами интернета, от ПК до запрашиваемых сайтов.

Когда и зачем возникает необходимость менять DNS-сервер

По умолчанию DNS-сервер назначается вашим провайдером, но бывают случаи перегрузки, когда конкретному сервису обращается слишком много клиентов. Из-за этого скорость загрузки и передачи пакетов данных может существенно падать. Также некоторые DNS-серверы имеют ограничения в связи с законодательством государства, в котором ведут свою деятельность. Случается, что правительства блокируют даже мировые социальные сети и мессенджеры. В отдельных случаях смена DNS может разрешить доступ к заблокированным ресурсам, а также увеличить скорость загрузки файлов и контента.

Принцип работы DNS-сервера — направить пользователя по правильному адресу интернета

Как узнать прописанный адрес DNS-сервера и как его изменить

Сейчас мировой тренд провайдеров заключается в автоматическом определении DNS-сервера, то есть, его не нужно изначально. Но все же узнать его довольно просто, всего в несколько кликов мышкой.

Windows

Узнать свой DNS-сервер и заменить его можно в соответствующей графе «Панели управления».

  1. Нажимаем комбинацию клавиш Win+R, в поле «Выполнить» прописываем control и запускаем команду в действие кнопкой OK или Enter на клавиатуре.

    Запускаем «Панель управления» через исполняющую программу

  2. Меняем вид с «Категории» на «Значки» и щёлкаем по пункту «Центр управления сетями и общим доступом».

    Выбираем элемент «Центр управления сетями и общим доступом»

  3. Откроется окно с активными (действующими, подключёнными) сетями. Нажимаем на ссылку напротив той, которая имеет доступ к интернету.

    Просматриваем список активных сетей в «Центре управления сетями и общим доступом»

  4. Откроется окно состояния сети. Кликаем кнопку «Сведения…».

    В окне «Состояние» нажимаем кнопку «Сведения»

  5. Появится ещё одно окно со всеми данными подключённой сети. В графе «DNS-серверы IPv4» знакомимся с действующими адресами сервисов, которые использует подключение в данный момент.

    Просматриваем подключенные DNS-серверы

Заменить DNS-сервер также просто. Для начала возвращаемся в окно «Состояние».

  1. Нажимаем кнопку «Свойства», что в графе «Активность».

    Нажимаем кнопку «Свойства», что в графе «Активность»

  2. В окне компонентов выделяем пункт «IP версии 4», после чего нажимаем кнопку «Свойства».

    Открываем протокол «IP версии 4»

  3. Откроется последнее окно настроек. Ставим галочку у пункта «Использовать следующие адреса DNS-серверов», прописываем IP-адреса сервисов, которые вы хотите использовать. Затем сохраняем все изменения во всех окнах кнопкой OK.

    Чтобы прописать адрес DNS-сервера, ставим галочку на «Использовать следующие адреса DNS-серверов»

В итоге мы имеем доступ к заданному сервису преобразования доменных имён.

Ubuntuк

Чтобы изменить настройки DNS в операционных системах Ubuntu можно пользоваться разными способами. Самый простой — при помощи интерфейса.

  1. В правом верхнем углу выпадающее меню сети. Нажимаем на соответствующий значок, выбираем пункт «Изменить соединение…».

    Открываем выпадающее меню сети и нажимаем «Изменить соединение…»

  2. Выбираем активное соединение с интернетом и нажимаем «Изменить».

    Выбираем подключение к интернету и нажимаем кнопку «Изменить»

  3. Переходим во вкладку «Параметры IPv4».

    Переходим во вкладку «Параметры IPv4»

  4. Меняем фильтр «Способ настройки» на «Автоматически (DHCP, только адрес)».

    Меняем фильтр «Способ настройки» на «Автоматически (DHCP, только адрес)»

  5. В графе «Серверы DNS» прописываем нужные адреса через запятую. Затем нажимаем кнопку «Сохранить» и закрываем окно.

    В поле «Серверы DNS» прописываем соответствующие адреса

Чтобы узнать нынешний DNS-сервер в ОС Ubuntu, необходимо в терминале ввести команду $ cat /etc/resolv.conf. Это выдаст всю информацию по сети: графа nameserver и содержит доменный адрес.

На роутере

Сразу стоит отметить, что не все модели роутеров дают возможность изменять в своих настройках адрес DNS-серверов. Некоторые устройства позволяют заменить на известные сервисы, к примеру «Яндекс-DNS» или DNS Google.

  1. Для начала необходимо перейти на страницу управления роутером. Для этого в адресной строке любого браузера вводим 192.168.1.1 и нажимаем клавишу Enter.
  2. В зависимости от марки роутера дальнейшие инструкции имеют варианты. В некоторых случаях дополнительные настройки и сведения могут находиться уже на основной странице. Но чаще всего необходимо нажать некую кнопку для перехода в сопутствующее меню. Кнопка может называться Advansed, Setup, «Настройки» и так далее. Нажимаем на эту кнопку, чтобы перейти в дополнительное меню.

    На главной странице управления роутером переходим в дополнительные настройки

  3. Зачастую в первой графе сведений уже виден DNS-адрес.

    Среди сведений знакомимся с адресом DNS-сервера

  4. Для смены сервиса есть несколько вариантов:
    • среди пунктов меню может быть «Динамический DNS». Включение этой функции запустит автоматическую смену сервера, если работающий в данный момент по какой-либо причине перестанет отвечать на запросы пользователя. Переставляем галочку в активное состояние или пункт «Включить» и сохраняем изменения;

      В некоторых роутерах есть возможность настройки динамического доменного сервиса

    • В некоторых роутерах уже вписан качественный DNS-сервер от корпораций гигантов, таких как Яндекс или Google. Эти сервисы работают практически без сбоев.

      В некоторых роутерах уже вписан качественный DNS-сервер от Яндекс и/или Google

Ошибки, которые могут возникнуть при использовании DNS

Пользователь редко сталкивается с ошибками, которые связаны с DNS-сервером, но они случаются и делятся на два типа: внутренние и внешние. Под внешними разумеются неполадки самого сервиса, к которому обращается браузер. Эту проблему решить просто: необходимо поставить автоматический выбор DNS или сменить сервис на более надёжный, как показано в примерах выше.

Если же способы смены проблему не решили, значит, неполадки связаны со службой «DNS-клиента». Она может быть отключена или повреждена вирусами.

  1. Нажимаем комбинацию клавиш Win+R, вводим команду services.msc, после чего нажимаем кнопку OK или Enter.

    Через исполняющую программу запускаем «Службы»

  2. Среди перечня служб находим «DNS-клиент», двойным щелчком мыши по ней открываем свойства.

    Среди списка служб находим «DNS-клиент»

  3. Меняем тип запуска на «Автоматически», после чего перезагружаем компьютер.

    Двойной щелчок открывает свойства службы

Если с перезагрузкой проблема не исчезла — значит, файлы службы повреждены и необходимо запустить проверку системы на вирусы и восстановление файлов ОС. Лучше использовать две или три антивирусные программы.

  1. Нажмите комбинацию клавиш Win+R, введи в поле «Выполнить» команду CMD и нажмите OK.
  2. В открывшемся терминале Windows введите sfc /scannow и запустите проверку и восстановление файлов системы. Обязательно дождитесь, пока утилита закончит свою работу. После перезагрузите компьютер.

    Через командную строку проверяем целостность файлов операционной системы

Видео: как исправить ошибки, связанные с DNS-сервером

Изменить DNS-сервер просто. В случае необходимости вы сможете без труда восстановить скорость работы любимых сайтов. Пользуйтесь инструкциями выше, и у вас не возникнет никаких проблем с сёрфингом в сети.

itmaster.guru

Как включить и настроить DNS сервер на Windows 7, что делать, если ДНС не отвечает

Автор admin На чтение 8 мин. Опубликовано

DNS расшифровывается как Domain Name System, то есть «Система доменных имён». Это такая система, в которой все доменные имена серверов распределены по определённой иерархии. Давайте разберёмся, для чего нужны DNS-сервера, как их настроить на Windows 7, что делать, если сервер не отвечает, и как исправить возможные ошибки.

Что такое DNS и для чего он нужен

На сервере DNS хранится информация о доменах. Для чего это нужно? Дело в том, что компьютеру не понятны наши с вами буквенные обозначения сетевых ресурсов. Вот, например, yandex.ru. Мы называем это адресом сайта, а для компьютера это всего лишь набор символов. Зато компьютер прекрасно понимает IP-адреса и как к ними обращаться. IP-адреса представлены как четыре числа из восьми символов в двоичной системе счисления. Например, 00100010.11110000.00100000.11111110. Для удобства, двоичные IP-адреса записывают в виде тождественных десятичных чисел (255.103.0.68).

Так вот, компьютер, обладая IP-адресом, может сразу же обратиться к ресурсу, но запоминать четырёхчисленные адреса было бы затруднительно. Поэтому были придуманы специальные сервера, которые к каждому IP-адресу ресурса хранили соответствующее символьное обозначение. Таким образом, когда вы пишите адрес веб-сайта в поисковую строку браузера, данные подаются в DNS-сервер, который ищет совпадения со своей базой. Затем DNS посылает на компьютер нужный IP-адрес, и тогда браузер обращается непосредственно к сетевому ресурсу.

При настройке DNS на компьютере, подключение к сети будет проходить через DNS-сервер, что позволяет защитить компьютер от вирусов, установить родительский контроль, запретить определённые веб-сайты и много чего другого.

Как узнать, включён ли DNS-сервер на компьютере

Узнать, включён ли DNS-сервер на вашем компьютере и его адрес можно через «Панель управления».

  1. Откройте «Панель управления» -> «Сеть и интернет» -> «Просмотр состояния сети и задач». На странице найдите пункт «Просмотр активных сетей», там найдите название вашего подключения к сети, нажмите на него, потом на вкладку «Общее» и на кнопку «Свойства».

    Откройте окно вашего подключения, затем его свойства

  2. Появится окно, в нём будет список, где надо найти пункт «Протокол интернета версии 4 (TCP/IPv4)». Откройте свойства этого протокола.

    Откройте свойства IPv4

  3. В свойствах, во вкладке «Общие» будет отмечено «Использовать DNS сервер», если подключение через DNS-сервер включено.

    В свойствах будет указан IP-адрес используемого DNS-сервера

  4. IP-адрес DNS-сервера будет указан ниже.

Как установить

  1. Точно так же, как и в предыдущем пункте, откройте «Панель управления» -> «Сеть и интернет» -> «Просмотр состояния сети и задач». Затем откройте свойства вашего подключения к сети. В появившемся окне откройте свойства «Протокола интернета версии 4 (TCP/IPv4)».
  2. Во вкладке «Общие» установите отметку на «Использовать DNS сервер».

    Откройте свойства TCP/IPv4 и отметьте «Использовать DNS-сервер…»

  3. Затем введите IP-адреса основного и альтернативного DNS-серверов. IP-адреса серверов можно найти в интернете. Например, на этой странице: http://www.comss.ru/list.php?c=securedns.
  4. Будьте осторожны при выборе: используйте надёжные DNS-сервера. Например, прекрасно подойдут Яндекс.DNS или Google Public DNS. Они бесплатны и надёжны.

Видео: настройка ДНС-сервера

Зачем нужно менять DNS-сервер

Конечно, собственный DNS-сервер есть и у вашего провайдера, ваше подключение по умолчанию определено через этот сервер. Но стандартные сервера не всегда являются лучшим выбором: они могут очень медленно работать или даже не работать совсем. Очень часто DNS-сервера операторов не справляются с нагрузкой и «падают». Из-за чего невозможно выйти в интернет.

Кроме того, стандартные DNS-сервера обладают только функциями определения IP-адресов и преобразования их в символьные, но никакой функции фильтрации у них нет. Сторонние DNS-сервера крупных компаний (например, Яндекс.DNS) лишены этих недостатков. Их сервера всегда расположены в разных местах, и ваше подключение идёт через ближайший. Благодаря этому скорость загрузки страниц увеличивается.

Они имеют функцию фильтрации и осуществлять функцию родительского контроля. Если у вас есть дети, то это оптимальный вариант — сомнительные и не предназначенные для детской аудитории сайты станут для них недоступными.

У них есть встроенный антивирус и чёрный список сайтов. Так что мошеннические сайты и сайты, содержащие вредоносное ПО, будут блокированы, и вы не сможете случайно подхватить вирус.

Сторонние DNS-сервера позволяют обходить блокировки сайтов. Звучит немного абсурдно, ведь мы сказали, что DNS-сервера призваны блокировать нежелательные ресурсы. Но дело в том, что интернет-провайдеры вынуждены запрещать в своих DNS-серверах доступ к сайтам, запрещённым Роскомнадзором. Независимые DNS-сервера Goggle, Яндекса и прочие этого делать совсем не обязаны, поэтому различные торрент-трекеры, социальные сети и прочие сайты будут доступны для посещения.

Как настроить/изменить DNS

  1. Чтобы изменить или настроить параметры DNS-сервера, зайдите в «Панель управления» -> «Сеть и интернет» -> «Просмотр состояния сети и задач». Затем откройте свойства подключения, в списке выберите «Протокол интернета версии 4 (TCP/IPv4)» и нажмите «Свойства».

    Откройте свойства TCP/IPv4

  2. Нажмите кнопку «Дополнительно», а затем откройте вкладку DNS, чтобы настроить DNS-сервер.

Здесь можно настроить порядок обращения к DNS-серверам. Неопытным пользователям стоит объяснить, что не существует одного такого сервера, на котором хранились бы все существующие интернет-адреса. Слишком много веб-сайтов сейчас существует, поэтому DNS-серверов множество. И если введённый адрес не найдётся на одном DNS-сервере, компьютер обращается к следующему. Так вот, в Windows можно настроить, в каком порядке обращаться к DNS-серверам.

Можно настроить DNS-суффиксы. Если вы этого не знаете, то вам эти настройки и не нужны. DNS-суффиксы — очень сложная для понимания вещь и важна скорее самим провайдерам. Если в общих чертах, то все url-адреса делятся на поддомены. Например, server.domain.com. Так вот, com — домен первого уровня, domain — второго, server — третьего. По идее, domain.com и sever.domain.com абсолютно разные ресурсы, с разными IP-адресами и разным содержимым. Однако server.domain.com всё равно находится в пространстве domain.com, который, в свою очередь, находится внутри com. DNS-суффиксом при обращении к server является domain.com. Несмотря на то что IP-адреса разные, server можно найти только через domain.com. В Windows можно настроить, каким образом присваивать суффиксы, что даёт определённые преимущества для внутренних сетей. Что касается интернета, создатели DNS-серверов уже настроили всё необходимое автоматически.

Возможные ошибки и как их исправить

Что делать, если сервер не отвечает или не обнаружен

Что делать, если при попытке зайти на какой-либо сайт, появляется ошибка «Параметры компьютера настроены правильно, но устройство или ресурс (DNS-сервер) не отвечает»? Возможно, что на компьютере по каким-то причинам отключилась служба DNS. Возможно, DNS-сервер, который вы используете, перестал работать.

  1. Для начала зайдите в «Панель управления» –> «Система и безопасность» –> «Администрирование» –> «Службы». В списке найдите «DNS-клиент» и щёлкните по нему дважды.

    Откройте свойства DNS-клиента

  2. В окне посмотрите на состояние DNS-клиента, там должно значиться «Выполняется». Если служба отключена, включите её: для этого установите тип запуска «Автоматически».

    В выпадающем списке выберите «Автоматически»

  3. Если служба включена, значит, проблемы на стороне DNS-сервера. Попробуем сменить DNS-сервер. Для этого откройте «Панель управления» -> «Сеть и интернет» -> «Просмотр состояния сети и задач». Откройте свойства подключения, затем свойства «Протокола интернета версии 4 (TCP/IPv4)». Нажмите «Использовать DNS сервер», если этот пункт у вас не отмечен, и введите IP-адрес DNS-сервера. Список публичных DNS-серверов можно найти в интернете. Например, можете ввести 8.8.8.8 — публичные сервера Google; или 77.88.8.1 — публичный DNS от Яндекса.

    Попробуйте изменить стандартный DNS-сервер на сторонний

  4. Обычно проблема решается таким образом. Если всё же не помогло, попробуйте 1) обновить драйвера вашего сетевого адаптера (сетевой карты) — просто скачайте их с официального сайта производителя адаптера, 2) проверьте соединение с интернетом, возможно, проблема с доступом к нему, 3) позвоните оператору связи, возможно, неполадки связаны с техническими работами.

Неправильно разрешает имена

Если DNS-сервер не разрешает имена либо разрешает имена неправильно, то возможны две причины:

  1. DNS неправильно настроен. Если у вас точно всё настроено верно, то, возможно, ошибка в самом DNS-сервере. Поменяйте DNS-сервер, проблема должна решиться.
  2. Технические неполадки на серверах оператора связи. Решение проблемы то же: использовать другой DNS-сервер.

DHCP-сервер: что это и в чём его особенности

DHCP-сервер автоматически настраивает параметры сети. Такие сервера помогут в домашней сети, чтобы не настраивать каждый подключённый компьютер отдельно. DHCP самостоятельно прописывает параметры сети подключившемуся устройству (включая IP-адрес хоста, IP-адрес шлюза и DNS-сервер).

DHCP и DNS — разные вещи. DNS всего лишь обрабатывает запрос в виде символьного адреса и передаёт соответствующий IP-адрес. DHCP куда более сложная и умная система: она занимается организацией устройств в сети, самостоятельно распределяя IP-адреса и их очерёдность, создавая сетевую экосистему. 

Итак, мы разобрались, что DNS-сервера призваны передавать IP-адрес запрашиваемого ресурса. Сторонние DNS-сервера позволяют ускорить интернет (в отличие от стандартных серверов провайдера), защитить соединение от вирусов и мошенников, включить родительский контроль. Настроить DNS-сервер совсем несложно, а большинство проблем с ним можно решить, переключившись на другой DNS-сервер.

Оцените статью: Поделитесь с друзьями!

www.remnabor.net

Как включить и настроить DNS сервер на Windows 7, что делать, если ДНС не отвечает

Современный интернет является не чем иным, как множеством разных компьютеров, ноутбуков и мобильных устройств, связанных между собой в одну сеть. По сути все эти устройства представляют собой сервера. Ведь каждое из них имеет IP-адрес, являющийся уникальным. Именно благодаря IP и происходит идентификация устройств в глобальной сети.

При этом для работы интернета требуется два типа серверов: основной и вспомогательный. Первый служит для размещения сайтов пользователей. В зависимости от того, какой объём информации отдаётся и получается, на сервере может храниться разное число сайтов — от одного (facebook.com, mail.ru, odnoklassniki.ru) до многих тысяч. Второй тип представлен вспомогательными серверами, которые помогают работать основной сети, обеспечивая общее взаимодействие. Одной из разновидностей таких вспомогательных устройств являются DNS-сервера.

Что собой представляет DNS-сервер и для чего используется

DNS-сервер является по сути компьютером, но не совсем. Он служит для размещения распределённой базы данных, входящей в систему доменных имён (DNS), которая используется для получения и передачи и передачи пользователям информации об интересующих доменах. DNS-сервера соединяются в сеть и взаимодействуют между собой по определённому протоколу.

Можно дать и более простое описание. С помощью DNS-сервера определяется соответствие привычного нам имени сайта его IP-адресу. Эта информация хранится в постоянно пополняемой базе данных.

Рассмотрим на практике всю последовательность. Браузер, в котором пользователь открывает сайт, изначально обращается к DNS-серверу и оповещает его, что хочет отыскать и попасть на сайт, адрес которого введён в текстовом поле адресной строки. Идём дальше. DNS-сервер определяет по своей базе, в каком месте сети находится сайт с таким именем, сопоставив его IP-адресу сервера с находящимся на нём ресурсом и отправляет туда запрос. В результате формируется ответ, состоящий из набора различных файлов, составляющих сам сайт (HTML-документы, изображения и таблицы, CSS-стили) и отправляется в браузер пользователя.

Порядок работы DNS-сервера в глобальной сети

Где находятся настройки ДНС-сервера и как узнать его адрес в Windows 7

Рассмотрим ситуацию, когда пользователь на своём компьютере под управлением Windows 7 спокойно «путешествует» по интернету. Это значит, что DNS-сервер работает. Убедиться в этом можно, зайдя через вкладку «Администрирование» панели управления в меню «Службы» и посмотреть состояние DNS-клиента. Служба должна быть включена при выбранном автоматическом типе запуска.

Проверка включения и настроек DNS-клиента

Для того чтобы узнать адрес DNS-сервера, следует воспользоваться командой ipconfig/all, введя её в командной строке утилиты cmd.exe, запущенной от имени администратора.

Вывод данных подключения по локальной сети с указанным IP-адресом DNS-сервера

Как установить и настроить: инструкция

DNS-сервер подключается при настройке сетевого протокола.

Последовательность запуска:

  1. Выберите в нижней части рабочего стола (справа в трее) сетевое подключение, щёлкнув мышкой по соответствующей пиктограмме, и перейдите в открывшемся всплывающем окне по ссылке на вкладку управления сетевыми подключениями.

    Открытие вкладки «Центра управления сетями и общим доступом»

  2. Выберите действующее подключение и в открывшемся окне нажмите кнопку «Свойства».

    Открытие свойств подключения по локальной сети

  3. Выберите вкладку настройки свойств протокола интернета TCP/IPv4.

    Открытие свойств протокола интернета версии 4 (TCP/IPv4)

  4. Отметьте радиокнопки автоматического получения адресов IP и DNS-сервера, нажмите «ОК» и закройте все открытые вкладки.

    Выбор автоматического получения адреса DNS-сервера

Следует заметить, что такая автоматическая настройка возможна только в том случае, если включена служба DHCP-клиент, обеспечивающая запуск и работу в сети DHCP-сервера. Её настройки можно посмотреть и изменить, выбрав соответствующий пункт в открытом окне системных служб вкладки «Администрирование» панели управления.

Просмотр и настройка службы DHCP-клиент

При автоматической настройке используются DNS-серверы провайдера. Это не всегда целесообразно, так как могут возникнуть сложности. Например, серверы провайдера далеко не всегда могут справиться с возникающей нагрузкой и не делают фильтрацию. В этом случае предпочтительно подключаться через большие известные компании.

DNS-серверы Яндекс:

DNS-серверы Google:

DNS-серверы OpenDNS:

В зависимости от выбранной компании пара адресов вводится в окне свойств протокола интернета в поля предпочитаемого и альтернативного DNS-сервера при отмеченной радиокнопке их использования.

Ручное введение адресов DNS-сервера

Возможные проблемы и пути их решения

Если у вас возникли проблемы с доступом к интернету, то не спешите расстраиваться. Вполне возможно, что это произошло из-за нарушений работы DNS-сервера.

Основные проблемы:

  • пропадает интернет и невозможно открыть ни одного сайта;
  • сайты в браузере не откраваются, но при этом торрент-клиент продолжает работать;
  • при попытке перезагрузки сетевого адаптера процесс «зависает»;
  • невозможно перезагрузить DNS-клиент, при этом выдаётся ошибка.

Может случиться, что ваш провайдер включил блокировку некоторых DNS-серверов или же прописанные в настройках сетевого протокола адреса стали недоступны. Решение проблемы очень простое. Вначале попробуйте поменять адреса DNS-серверов, а если из этого ничего не получится, то включите их автоматическое получение. Если проблема не решена, то следует искать другую причину или же обратиться в сервисный центр.

Видео: что делать, если DNS не отвечает, и как исправить другие неполадки

Сервер DHCP и его отличие от DNS

DHCP-сервер относится к вспомогательному типу серверов, содержащих сетевой протокол, обеспечивающий динамическую настройку узла на этапе автоматического конфигурирования любого сетевого устройства, подключаемого к интернету. Администратором сети при этом задаётся только диапазон адресов. В этом случае отсутствует ручная настройка и, соответственно, сокращается число возникающих ошибок. Так происходит потому, что сервер автоматически распределяет адреса между компьютерами в соответствии с заданным диапазоном. Большинство сетей TCP/IP работает по протоколу DHCP.

Отличие между DNS- и DHCP-сервером заключается в том, что в первом случае идёт сопоставление символьных имён, а во втором раздача сетевых параметров.

В представленном материале дано понимание того, для чего нужен DNS-сервер. Как его запустить и настроить, какие проблемы могут возникнуть при этом и как их решать. В результате можно сделать вывод о безусловной важности DNS-серверов, обязательных для настройки сетевых подключений, и без которых в принципе невозможно функционирование интернета.

53 года. Образование высшее техническое. Отличительные черты — обязательность и ответственность. Профессиональный подход к работе. Тщеславен, но положительно реагирую на критику, которая бывает, к сожалению, редко. Всегда учусь. Оцените статью: Поделитесь с друзьями!

www.2dsl.ru

DNS-сервер на Windows 7: запуск, настройка и устранение возможных ошибок

Иногда пользователям требуется самостоятельно установить и настроить DNS-сервер на операционной системе Windows 7. Он может применяться в рабочих целях, для создания собственного сайта или по любым другим причинам. Windows 7 — это графическая операционная система (в отличие от Linux), интерфейс которой интуитивно понятен, и настроить DNS-сервер не составит большого труда даже для человека, не обладающего специальными навыками. Аналогично можно своими руками исправить возникающие ошибки, когда ДНС не отвечает, недоступен или не обнаружен.

Что такое DNS-сервер и для чего он нужен

DNS — это не что иное, как Domain Name System. Как следует из названия, это сервер, который выдаёт доменные имена IP-адресам в интернете. Все сайты имеют свой IP, другими словами, набор цифр, который позволяет компьютеру добраться до интернет-ресурсов (например, 192.168.11.231). Но при смене провайдера адрес меняется, как же пользователям узнать, где теперь находится их веб-портал? Для этого и нужен DNS-сервер, он выдаёт понятные человеку наименования вместо IP и позволяет вам достучаться до нужного адреса без знания набора цифр.

Итак, в один прекрасный момент вы решили, что вам нужно доменное имя для почты, личного сайта или FTP-сервера. Вам нужно будет установить и настроить ДНС-сервер, чтобы ваш хост смогли найти без сложного запоминания набора цифр.

Где найти и как включить ДНС на Windows 7

Пользователь, от имени которого будут выполняться все нижеперечисленные операции, должен обладать правами администратора компьютера.

  1. В меню «Пуск» вам первым делом понадобится зайти в «Панель управления».

    Выберите «Панель управления»

  2. Если панель управления имеет сокращённый вид, то в пункте «Сеть и интернет» обратите внимание на «Просмотр состояния сети и задач». Если у вас по умолчанию отображаются все элементы панели управления единым списком, используйте «Центр управления сетями и общим доступом».

    Выберите «Просмотр состояния сети и задач»

  3. В разделе «Просмотр активных сетей» найдите то подключение, благодаря которому вы имеете доступ к интернету (то, что стоит после «Подключения»), и нажмите на него.

    Выберите подключение для

  4. Перед вами откроется новое окно, в котором отображаются все настройки выбранного подключения. Нажмите кнопку «Свойства».

    Нажмите кнопку «Свойства»

  5. Среди отмеченных компонентов, которые используются подключением, найдите «Протокол Интернета версии 4 (TCP/IPv4)» или «Протокол Интернета версии 6 (TCP/IPv6)» и щёлкните по кнопке «Свойства».

    Выберите «Свойства» для подходящего протокола

  6. Активируйте пункт «Использовать следующие адреса DNS-серверов» и наберите в текстовом поле адрес вашего сервера и дополнительный, если первый окажется неактивным.

    Введите адрес вашего сервера и альтернативного

  7. После этого не забудьте нажать «Ок», чтобы ваши изменения сохранились.

Когда возникает необходимость менять

Обычно все пользуются DNS-сервером своего провайдера, но он не всегда обеспечивает хорошую скорость загрузки. К тому же такие механизмы часто не справляются с нагрузкой и «падают», тем самым ограничивая вам доступ во всемирную сеть. Такие бесплатные сервисы, как Яндекс.DNS или Google Public DNS помогут обойти эту проблему.

Это две крупнейшие компании, которые могут позволить себе качественное оборудование и справляются даже с большими нагрузками. Их серверы расположены в разных уголках нашей страны и мира. Благодаря этому, а также умному распределению запросов сигнал поступает на ближайший доступный сервер и страницы в интернете грузятся в несколько раз быстрее, чем у провайдера. Кроме того, такие сервисы имеют и множество других настроек: фильтрацию, родительский контроль, встроенный антивирус и пользовательский чёрный список.

В связи со введением новых законов в Российской Федерации провайдеры обязаны блокировать доступ к некоторым сайтам. Многим уже известны пути обхода этого ограничения, и один из них — это DNS-сервер. Закон не коснулся компаний, предоставляющих услуги по подключению ДНС, а это значит, что у них есть ещё одно преимущество перед провайдерами.

Как настроить или изменить

  1. Проделайте пункты 1–5 включения DNS.
  2. Вместо ввода IP-адресов (которые уже есть) нажмите на кнопку «Дополнительно».

    Нажмите на кнопку «Дополнительно»

  3. В новом открывшемся окне «Дополнительные параметры TCP/IP» перейдите на вкладку DNS.

    Перейдите на вкладку DNS и измените настройки сервера

  4. Измените настройки и нажмите «Ок», чтобы сохранить их.

На одном из этапов вы вводили адрес сервера и альтернативный. Это нужно потому, что доменные имена со всего мира не могут храниться в одном месте. Когда компьютер ищет среди DNS запрашиваемое имя, он обходит несколько серверов по порядку, который вы можете самостоятельно задать в текстовом поле «Адреса DNS-серверов в порядке использования». Здесь может быть не только два набора цифр, введённых изначально, но и несколько дополнительных.

DNS-суффиксы нужны для формирования внутренних сетей, поддоменных имён (например, subdomain.domain.com). Если сервер вам необходим только для подключения к интернету, то можно пропустить эту настройку и оставить её по умолчанию. Если вы пользуетесь, например, внутренней рабочей сетью, введите суффиксы её поддоменов в соответствующее поле.

Включённая настройка «Зарегистрировать адрес этого подключения в DNS» означает, что ваш компьютер будет зарегистрирован на сервере со своим адресом и именем устройства, прописанного в настройках. Узнать, как называется ваше устройство, можно в «Панели управления» в пункте «Система». Включённый пункт «Использовать DNS-суффикс подключения при регистрации в DNS» присоединит к имени вашего компьютера в сети дополнительный суффикс.

Как поменять DNS-сервер: необходимые настройки на видео

В каких случаях DNS может не отвечать и что надо делать

Служба DNS отключена

Возможно, DNS на вашем устройстве просто не работает. Нужно проверить настройки системных служб, для этого:

  1. В меню «Пуск» найдите «Панель управления».
  2. Выберите «Система и безопасность».

    Выберите «Система и безопасность»

  3. В следующем окне нажмите на «Администрирование».

    Нажмите на «Администрирование»

  4. Перед вами откроется список всех доступных программ, выберите «Службы».

    Выберите «Службы»

  5. Найдите «DNS-клиент» и дважды щёлкните по нему мышкой.

    Кликните на DNS-клиент

  6. Обратите внимание на «Тип запуска» — этот пункт должен иметь настройку «Автоматически».

    DNS должен запускаться автоматически

  7. После изменения не забудьте сохранить, нажав «Ок».

Неисправность DNS-сервера

Если все необходимые службы включены, а DNS-сервер всё равно не отвечает, значит, он неисправен. В таком случае рекомендуется поменять его. Для этого нужно выполнить те же самые действия, что и при подключении сервера, но вместо старого адреса ввести новый.

Как исправить возможные ошибки сервера ДНС: видео

Что такое DHCP-сервер и чем он отличается от DNS

Во время настройки DNS-сервера вы часто сталкивались с аббревиатурой DHCP. Что это и для чего нужно?

DHCP расшифровывается как Dynamic Host Configuration Protocol. Это сетевой протокол, который автоматически выдаёт компьютерам в сети нужные IP-адреса и другие настройки. Например, администратор сети может задать диапазон, в котором должны находиться хосты. Это значительно ускоряет настройку большой компьютерной сети и позволяет избежать множества ошибок.

В отличие от DNS этот протокол работает исключительно с IP-адресами и их настройками. В совокупности эти службы представляют собой очень мощный сервис и значительно облегчают работу системным администраторам.

DNS-сервер нужен для хранения доменных имён различных IP-адресов в интернете. Его использование имеет множество преимуществ: ускорение загрузки, гибкие настройки, обход блокировки ресурсов. Наладить его работу в операционной системе Windows 7 вовсе не сложно. А практически любая проблема с подключением решается включением службы или сменой сервера.

kompkimi.ru

делаем правильно / Конференции Олега Бунина (Онтико) corporate blog / Habr

Представляем вашему вниманию очень эмоциональный рассказ Льва Николаева (@maniaque) о том, как надо настраивать DNS и особенно, как делать не надо. Вот прямо после каждого пункта можете мысленно добавлять: «Пожалуйста, не делайте этого!» В своем докладе Лев так и говорит.

Статья будет состоять из трех частей:

1. Как сделать резольвер (unbound, bind)

Резольвер — это та штука, которую вы прописываете в настройках своей операционной системы, чтобы можно было превращать понятные человеку адреса типа ya.ru в непонятное 87.250.250.242.

2. Как держать зоны (PowerDNS)

Если вы уже доросли до этого, расскажем, как держать зону самостоятельно, как это делать хорошо и отказоустойчиво, и как это делать, если у вас несколько сотен доменов.

3. Как взболтать, но не смешивать (PowerDNS + unbound)



О спикере: Три года назад Лев Николаев пришел в компанию Макснет, в которой DNS развивался как раз не совсем правильно. Был bind и текстовые файлы с зонами; руки чесались навести порядок. В основе статьи доклад на Root Conf 2017, в ходе которого Лев делится с сообществом своим ассортиментом граблей.

Делаем резольвер


Резольвер нужен тем организациям, у которых либо нет провайдерского резольвера, либо которым он уже начинает мешать (от вас льется столько запросов, что резольвер не успевает отвечать или же лимитирует вас). От ЦОД или
провайдера в принципе ждут наличия своего производительного резольвера.

Интересный вопрос к размышлению состоит в том, почему в стандартной поставке почти любой операционной системы нет резольвера, который умеет самостоятельно выполнять DNS запросы от корневых серверов. Совершенно непонятно, почему всегда моя машина должна идти к кому-то и просить его выполнить DNS запрос. Как ни странно, коллеги по цеху из FreeBSD ответили, что там есть, что у них из коробки ставится unbound, но в остальных ОС этого нет.

Выбор софта для резольвера


По большому счету, здесь всего 2 варианта:
  1. Вы можете использовать bind;
  2. Вы можете использовать unbound.

На самом деле, это почти все, что можно использовать реально для серьезного прода и больших нагрузок. Другие варианты я намеренно не называю, потому что далеко не все сервера отвечают требованиям. Если вы делаете резольвер, то автоматически считайте, что нагрузка у вас будет большая, иначе вы бы его не делали.


В отношении резольвера я не пытаюсь вас склонить к выбору какого-то конкретного софта, потому что на сегодня резольвер — это в первую очередь некие реализуемые фичи, а не конкретный софт. Вы можете использовать bind или unbound, или что угодно еще, если оно будет отвечать тем вещам, про которые я сейчас расскажу.

Привет убунтоводам!


Если вы любите Ubuntu, как мы, и используете ее в продакшне, вам придется немножко повелосипедить. Как известно, unbound должен стартовать вместе с системой. В 16.04 перешли на systemd, но, естественно, юнит написать забыли. И когда генератор пытается его сгенерировать автоматически из SysV-скрипта, получается полное безобразие. Не вздумайте это выкатывать в продакшн — я это сделал и оставил 30 000 абонентов без DNS на полчаса. Благо, это было ночью.

Пишите юнит! Или возьмите у меня, в конце будет адрес репозитория. Это касается только тех, кто с Ubuntu, но, например, в Debian что-то близкое должно быть.

Что должно быть в резольвере?


5 вещей, которые нужно сделать в своем резольвере.

1. Никаких форвардов к Яндексу или Google

Это довольно очевидно, поэтому, пожалуйста, перестаньте так делать. Перенаправлять запросы к Google плохо по двум причинам. Во-первых, вас рано или поздно ограничат по количеству запросов, о чем они заранее предупреждают. Но самое неприятное в том, что связность неидеальная.

Иногда бывает, что даже заветные 4 восьмерки недоступны, соответственно, у вас тоже будут проблемы. Абсолютно то же самое касается и Яндекса.

Нет, это не проблема Google или Яндекс, их недоступность обычно связана с тем, что у Вас (или Вашего аплинка) упал до них канал.

2. SO_REUSEPORT

Эта опция реально ускоряет жизнь, но требует, чтобы у вас было ядро, как минимум, версии 3.9. Если среди вас есть любители ядер 2.6. (моябабушкаизRedHat), закопайте его, пожалуйста. Опция SO_REUSEPORT позволяет нескольким процессам одновременно биндить один порт (у них должен быть одинаковый UID, чтобы порт не «угнать»), но ее приятственность в другом — нагрузка распределяется на эти потоки равномерно. Для DNS это подходит идеально, и вы на самом деле увидите прирост производительности, просто перейдя на современное ядро.

SO_REUSEPORT есть и в bind, и в unbound. В bind он включен из коробки, в unbound его надо отдельно включать, потому что unbound пытается быть максимально совместимым, иногда в ущерб производительности.

3. Prefetch

Это странная опция. Она действительно помогает в том смысле, что она немножко не уважает TTL. Когда мы идем к авторитетному серверу и спрашиваем у него какую-то запись, у нее есть TTL — это то время, в течение которого к нему можно за обновлением не ходить. Unbound и bind идут за обновленным содержимым этой записи раньше, чем TTL реально истек.

Но есть две особенности. Вы получите прирост в исходящем трафике процентов на 10. Хотя на самом деле в целом резольверы с трудом могут генерировать вообще много трафика, поэтому вряд ли это вас будет волновать. Второй момент — с короткими TTL (например, в минуту) с Prefetch никакой особой пользы не получится, но так как для ru-сегмента короткий TTL пока еще фантастика, в принципе может отлично сработать.

4. Expired

Этой опции в bind я не нашел, но в unbound она есть и позволяет возвращать просроченную запись с нулевым TTL, а в фоне пытается получить свежую у авторитетных серверов. Это хорошо помогает от крупных падений, например, пользователи могли бы даже и не заметить недавнего падения Dyn, если эта опция была бы массово включена. Но ее не все знают, не все любят и не все включают.

5. DNSSEC

DNSSEC есть в 2 разных ипостасях — в простой и в сложной:

  • Простой, когда вы просто валидируете запись, если DNSSEC у домена включен.
  • Сложной, когда вы сами для своего домена делаете подпись DNSSEC и пр.

В простом варианте оно работает автоматически. Просто, если есть DNSSEC, надо его проверять, и при нарушениях не отдавать результат запроса. На сегодня это важно, потому что TTL записей стремятся к 0, т. е. существует определенная вероятность попытки отравления кэша DNS.

Как вы понимаете, если мы отравим кэш резольвера, все его клиенты получат отравленную запись, и можно будет сделать много интересных вещей. Поэтому, пожалуйста, всегда проверяйте DNSSEC, если он есть у домена, в этом нет ничего сложного и это делается автоматически и хорошо.

Зарубежные домены обзавелись DNSSEC уже неплохо, хотя процент там тоже небольшой. При этом многие провайдеры принципиально DNSSEC не проверяют, например, Ростелеком.

За полтора года этой валидации я все ожидал, что кто-нибудь из наших крупных компаний накосячит с DNSSEС, тем самым порвав на британский флаг нашу техподержку, но пока все единичные срабатывания были на зарубежные сайты с небольшим трафиком — все нормально.

Мелочи жизни


1. Перестаньте отвечать на ANY

Если вы делаете резольвер, перестаньте отвечать на запросы ANY потому, что это вид запроса, который на самом деле толком не стандартизован и используется на 99% всякими замечательными вирусами.

Чтобы не опускаться до программного уровня, можно использовать iptables, который работает достаточно быстро: если он видит, что запрос ANY, он его просто дропает.

iptables -A INPUT -p udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm -j DROP

2. Rate-limit

Используйте ограничение на количество запросов в секунду, если Вы не закрыты извне. Мой резольвер по целому ряду причин пришлось открыть всему миру, поэтому практически первое, что я сделал — это ограничил количество запросов в секунду извне. Если вы не можете закрыть ваш резольвер для клиентов снаружи, то хотя бы лимитируйте их. Лимит поставьте по вкусу, например, у меня 70 запросов в секунду.

[здесь -j ACCEPT для всех тех, от кого закрываться не надо]
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent …
--set --name DNSQF --rsource
--update --seconds 1 --hitcount 70 --name DNSQF --rsource -j DROP

3. Для unbound хорошо interface-automatic: yes

Третья приятная мелочь. Обычно, в сети делается не один резольвер, и иногда хочется делать между ними failover, но, естественно, не при помощи самого резольвера. Надо failover делать методами маршрутизации и у unbound есть отличная опция interface-automatic: yes. Она говорит: «Если запрос ко мне попал в принципе, мне плевать, кому он был предназначен, я отвечу на него». С этой опцией очень удобно, если нужно, на unbound заворачивать трафик соседнего резольвера.

Что мониторить?


Это типичная картинка с прода. Мы здесь видим, что количество запросов достигло 300 000 запросов, и это не в минуту и не в секунду, у меня статистика снимается каждые 5 минут, т. е. на самом деле мелочь.

Таким образом, мониторить количество запросов обязательно нужно, т. к. если вы не можете их измерять, вы не можете их контролировать. Еще нужно мониторить виды запросов. В примере ниже хорошо видно: бирюзовая полоска — это PTR-запросы, и надо разбираться, почему их так много и откуда они берутся.

Чаще всего их причиной является криво сконфигурированный софт, либо какой-то роутер считает, что ему нужно срочно сделать PTR-запросик пару тысяч раз.

Это делается достаточно просто — вы по cron дергаете статистику unbound, а потом оттуда (мы в Zabbix юзер-параметром) забираете то, что нужно.

Виды ответов тоже обязательно надо мониторить. На картинке выше типичный пример DNS Water Torture, т. е. ботнет внутри вашей сети запрашивает несуществующие адреса поддомены атакуемого домена. В результате он получает ответ Nodata (красный цвет), в примере доходило до 25 000 таких запросов в пике.

Цель при этом: заколебать до смерти Name-сервер атакуемого домена, чтобы он устал отвечать и на легитимные запросы. А как только вы начинаете мониторить виды ответов, то начинаете видеть, насколько внутри вашей сети активны ботнеты.

Обратите внимание, и количество легитимных запросов подпрыгивает точно также, когда появляется красненькая полоска, т. е. здесь ботнеты увеличивают количество запросов 2 раза.

Другая проблема — что с этим делать потом, но это не сегодняшняя тематика.

Ваш лучший друг — dnstop


Это очень удобная команда, чтобы понять, кто и что запрашивает, если случилась атака и что-то пошло не так. Обычно, её запускают без параметров, но это неправильно.

dnstop <интерфейс> -i <наш ip>
Нажимаем на клавиатуре с, а потом цифру 2

Я специально пишу, что нужно указывать наш IP адрес, чтобы не учитывать в статистике запросы самого резольвера, которых будет много. Далее в сочетании это магических кнопок с значит выдать детализацию по IP адресам, 2 — детализация до 2-го уровня доменов.

Так можно легко смотреть, кто и куда ходит, и какая атака идет сейчас.

Грабли (делюсь своими)


Их много. Как только вы поднимете резольвер, вы столкнетесь с криво настроенными роутерами или софтом. Можете получить тонны PTR запросов. Такое бывает достаточно часто, и вы это будете видеть, сможете исправлять, разбираться и делать вашу сеть лучше. Отдельный момент — это прекрасные китайские видеорегистраторы. К ним у меня особая любовь, как и у многих, наверное.

В вашей сети главная проблема в том, что вашим пользователям на ваши проблемы глубоко наплевать чаще всего. То есть то, что от пользователя идет паразитный трафик с DNS Water Torture его волнует мало, пока World of Tanks работают.

Сейчас говорили про простейшую вещь — про резольвер, теперь давайте усложним задачку.

Держим зоны


Итак, мы доросли до того, что у нас есть домены, мы хотим их у себя держать, быть авторитетным за них сервером, отдавать ответы.

Как правило у себя держат зоны либо организации с особыми амбициями: «Мы крутые! Мы зоны лучше держим, чем какой-нибудь Dyn!», либо ЦОДы или провайдеры, от которых этого опять же этого ждут по умолчанию.

Не надо совмещать


Первая задача — не надо совмещать. Пожалуйста, не делайте этого никогда! Хотя мы найдем исключение из этого правила. Совмещать на одной машине резольвер и авторитетный сервер — это плохо . В чем проблема, я думаю, вы понимаете. Если клиент «увел» домен от вас (т. е. сменил ns-сервера у регистратора) или домен протух (т. е. истек его оплаченный период), Вы об этом вообще не узнаете никак. Потому, что вы можете не внести изменения локально.

У нас были клиенты, которые настолько верили в то, что если сайт открывается изнутри нашей сети, то им и домен продлевать не надо. У них дома наш интернет и на работе наш интернет — везде же открывается, все нормально.

Выбор софта


Главный момент: не надо думать, что вы здесь выбираете софт. Это ключевая ошибка в головах многих. DNS — это база данных, не пихайте ее в текстовый файл. Очень и очень плохо, если вы при помощи Ansible или chef генерируете текстовый файл, который потом засовываете в bind. Но я знаю — вы это делаете, а потом рассказываете о том, что оно плохо работает.

Поэтому ответ: PowerDNS

Вы знаете, что к bind есть патч, чтобы работать с MySQL, да? А вы его пробовали? Многие еще не знают про PowerDNS. Большая часть свято считает, что этот патч можно как-то использовать на старых версиях, но оно будет работать ужасно в плане производительности, потому что это просто набор костылей.

Опять привет убунтуводам


Если вы используете Ubuntu, то в стандартных репозиториях 16.04 лежит alpha-версия PowerDNS 4.х. Я не знаю, кому сказать спасибо за это. Она действительно работает, но с проблемками. Уже год, как я открыл к версии 4.х issue #3824. Я спрашиваю у разработчиков PowerDNS:
– Ребят, а ничего, что я MySQL перезапускаю, а у вас PowerDNS не подхватывает его обратно?
– Ух ты, прикольно!

Запомните этот баг, они уже 3 раза закрывали и 3 раза открывали в 4-й ветке. Поэтому — есть 3-я стабильная, у нее этих проблем нет, но на Debian / Ubuntu вам понадобится ее ставить из deb-файла. И на сегодня, на март 2018 года она уже небезопасна. Поэтому выход один — переходить на ppa от разработчиков для Вашей версии Ubuntu.

Вдумчивая архитектура


Здесь начинается сложная часть статьи — давайте подумаем про архитектуру. Как только мы пришли к PowerDNS, раз это база данных, мы хотим удобный редактор в вебе. А редакторов нет, кроме PowerAdmin. Это веб-приложение на PHP, и сразу понятно, что тому, кто его развернет вместе с DNS-сервером, надо руку отрубить — нельзя его на ту же машину ставить. В итоге возникает задача:
  • Есть база данных.
  • Есть сервер, который ходит в эту базу данных, чтобы получить ответы.
  • Этих серверов несколько.
  • Надо все синхронизировать.

Естественно, в первую очередь в голову приходит механизм трансфера зон *XFR, т. е. не важно IXFR или AXFR. Но если вы оставите этот механизм для передачи зон, вы себя запрете. Вы будете продолжать делать master/slave — и так и не уйдете от этих понятий.

Далее, у нас несколько DNS-серверов и необходимо доставлять на них базу данных. Получается, что есть машина с PowerAdmin, с актуальной базой данных, и нужно эту базу данных как-то раскатывать еще на кучу машин.

– Давайте возьмем, например, репликацию MySQL. Говорят, она прикольно работает!
– Она вам тоже не поможет. Репликация тут не лучший друг.

Поэтому схема выглядит так.

У вас есть сервер с PowerAdmin и MySQL. С DNS-сервера вы идете туда и делаете mysqldump с опцией skip-extended-insert (мы о ней скоро поговорим) и получаете SQL-файл.

Вы скажете: «Эка невидаль! Что мы, дампов никогда не делали?»

А дальше начинается интересное. Естественно, вы не можете, взяв dump в базе на допустим 700 доменов, загружать его в ту же базу. Поэтому его надо загрузить в соседнюю, а потом сделать RENAME TABLE. Вы спросите — зачем? Это 100% атомарно. RENAME TABLE — это офигительная штука, которая, как и переименование файла в Linux, либо отрабатывает, либо нет, у неё нет промежуточного состояния. Это очень удобно и удобнее, чем транзакция, потому что в разы быстрее. После того, как вы успешно этот dump загрузили, вы этот же файл кладете в git. Поскольку есть опция skip-extended-insert, то файлик получается git-friendly, т. е. у него на каждый insert одна строчка, и вы получаете вменяемый diff.

Главное здесь вот что: я хочу иметь возможность видеть diff от результатов «накатывания» базы.

Что получим


  • Это очень простые операции: 225 строк на PHP во имя добра.
  • Каждый DNS-сервер это делает каждые 2 минуты. Часы у них синхронизированы, поэтому у вас может быть любое количество серверов — они получат одинаковую базу данных.
  • Опция skip-extended-insert позволяет делать не один большой монструозный INSERT, а много маленьких.

Несмотря на это, оно работает очень быстро и весь процесс засасывания нового дампа на 700 доменах занимает еле-еле 15 секунд. Да, время не растет пропорционально. То есть, если завтра у вас будет 1400 доменов, то это будет занимать 18 секунд, окей.

А про понятие master/slave забудьте, в данном контексте оно маловажно.

Хьюстон, у нас проблема


Все бы здорово и замечательно, но у нас есть одна проблема. Этот классный подход работает, только если мы для домена, в котором мы это делаем, и master, и slave. Если же это не так, начинаются сложности, которые мы сейчас будем побеждать.

Давайте переосознаем роль master/slave еще раз. Master шлет уведомления, как только у него изменилась зона, slave эти уведомления получает и что-то делает, при этом оба они отвечают на запросы.

Есть 2 стула варианта:


  1. Клиент хочет, чтобы мы держали у себя slave. То есть у клиента где-то будет держать master, а мы должны забирать у него данные. Это как раз сложный вариант, который потребует телодвижений.
  2. Клиент хочет, чтобы мы держали у себя master, а он будет slave, т. е. будет забирать у нас копию. Это простой вариант, мы просто разрешаем трансфер зоны клиенту.

Выход — назначить один из серверов (можно 2 — отдельный разговор) ответственным за прием *XFR. Это не может делать сервер с PowerAdmin, т. к. там нет DNS-сервера и некому принимать.

Схема выглядит так:
  • Один из наших серверов получает *XFR.
  • Вносит изменения в свою базу.
  • Вкатывает эти изменения серверу, где стоит PowerAdmin.

У нас может быть 2 роли: просто DNS-сервер, который синхронизируется, а может быть DNS-сервер с ролью slave, который принимает *XFR, записывает себе в базу данных, и отдает изменения PowerAdmin, выполняя еще один скрипт.

Повторю, что эта схема достаточно простая, работает очень хорошо уже достаточно долго и позволяет полностью отказаться от понятий master и slave вообще в принципе. Мы slave в тех случаях, когда нам нужно им быть, и не более того.

Что мониторить?


Power DNS — это все-таки отдельный механизм, который надо мониторить. Ниже картинки из Zabbix. Мы снимаем Latency, т. е. сколько времени занял ответ в микросекундах, и хорошо видны всплески, если машина была занята или база данных тормозила.

Протокол, по которому пришел запрос тоже нужно мониторить. Там не всегда легитимен TCP, за ним тоже надо аккуратно наблюдать. Заодно можно понять, насколько популярен IPv6, здесь это 10% запросов.

Виды запросов тоже нужно снимать, тогда вы будете понимать, что происходит, и видеть, например, что запросы вида АААА, то есть адреса в IPv6 в нашей ситуации уже практически равны запросам IPv4.

Обязательно нужно мониторить отправку SERVFAIL и поломанные пакеты, причем это удобно делать на одном графике. Если эти два числа совпадают — спите спокойно. Не совпадают — вы увидите.



Взболтать, но не смешивать


Увы иногда приходится использовать связку PowerDNS + unbound. К примеру, у вас есть локальный домен с хитрой структурой, которую неудобно настраивать в unbound. Кстати, так работает один из механизмов блокировки сайтов в России. Резольвер вашего провайдера может возвращать для «плохого» домена заглушку, для хорошего — нормальную запись. В корпоративной среде такое применяется, например, для блокировки социальных сетей или защиты от вирусов.

Архитектура


Архитектура здесь до боли проста — это просто смесь 2 компонентов, о которых мы только что говорили. То есть в свет смотрит PowerDNS, принимает запрос, смотрит в базу, к config-файле которой есть опция отправить запрос дальше вот этому серверу (стоящему на той же машине unbound), если чего-то нет в самой базе. Единственная особенность, что в рамках мониторинга мы на эту машину настраиваем template Zabbix 2 раза и картинок становится в 2 раза больше.

Контакты


» Код репозитория — https://github.com/maniaque/rootconf2017
» Почта — [email protected]
» Telegram — @maniaque_ruОтветы и вопросы — Хотелось бы услышать Ваш совет, каким образом можно фильтровать до сервера запросы определенных типов. Например, я хочу полностью отрезать IPv4 все запросы, чтобы они не доходили до сервера вообще.

— Эти опции есть и в PowerDNS, и в unbound. Еще есть вариант, используя IPtables, вы можете с помощью hex match выдергивать кусочек, смотреть, что там за запросы и просто их дропать полностью. Еще один вариант. Существуют различные DNS-прокси, причем даже авторы PowerDNS тоже выпускают свой резольвер, который поддерживает скрипты на Lua. Вы можете туда подсунуть свой скрипт, который будет делать любую кастомную магию. Есть для этого разные средства. Все зависит от того, что у вас за задача.

— Скажите, Вы у себя на сети внедрили блокировку запрещенных сайтов с помощью DNS? Статистика примерная есть?

Скажу так, и ее тоже. Много ли блокируется? Понятно, что блокировка через DNS — это от домохозяек. Понятно, что никто не мешает абоненту взять и вбить DNS Google. Честно скажу, мы не смотрим на нее, но в принципе, что-то туда падает.

— А по отчетам ревизоров заметны изменения после внедрения блокировки DNS?

Да. Для ревизора это отличный способ. Имейте это в виду.

— Вы своим клиентам, которые пользуются вашим DNS, даете IP адреса? Вы обеспечиваете доступность этих адресов, и каким образом?

Давайте коротенечко расскажу, как это работает. Вы же помните, что мы там вводим 2 адреса. Знаете, как смешно там работает failover. Смотрите, Windows и Linux ведут себя по-разному. Windows при недоступности первого переключается на второй и раз в 15 минут пытается по-прежнему тыркать первый и по возможности переключается на него. Linux этого не делает.

Во-первых, что надо понимать? Что failover средствами операционной системы не униформен и плох. Соответственно, ваша задача, чтобы оба IP, которые вы отдаете, как резольверы, светились всегда и работали. Поскольку мы это делаем с помощью маршрутизации, у каждого из наших серверов дополнительными IP к интерфейсу прописаны адреса его друганов. У нас их используется 3 и пока хватает.

При помощи маршрутизации мы туда направляем трафик. Поскольку в unbound мы используем опцию «отвечать на всех интерфейсах», он отлично отвечает, и ему никаких дополнительных манипуляций не надо.

— У Вас была табличка по передаче MySQL dump от серверов друг к другу. Вы говорили, что у вас получился не master/slave и master/master. То есть, грубо говоря, вы меняете всегда зону на одном из серверов и перекидываете на другой и split-brain не может получиться в этом случае?

Нет, split-brain возможен. Вообще каждый сервер раз в 2 минуты бежит делает dump и закидывает его к себе. Но если у него это не получилось, то мы наблюдаем а-ля split-brain, у него старая версия базы.

Но здесь нам помогает следующее. Если он не смог этого сделать, скорее всего, у него нет связанности. Если нет связанности, то значит, клиенты до него тоже не доберутся, и проблема не возникнет. Как только у него появится связанность он очень быстро получит новую копию.

— Нет, split-brain в том смысле, что вы на одном из серверов изменили запись, а на другом нет.

Смотрите, на самих DNS-серверах ничего не изменяется. Изменяется в одном месте, где PowerAdmin, а оттуда раскатывается на все остальные. Соответственно, такого не может быть, что мы забыли базу поменять где-то в другом месте. Мы как раз это и делали, чтобы так не было никогда.

Это была одна из наших проблем, когда был bind с текстовыми файлами. Было клево поменять зону в одном месте, потом забыть изменить серийник, а она XFR’ом на второй не перетекала. Это была наша боль, которую мы этим тоже устраняли.

— А еще есть какая-нибудь статистика по тому, когда перестать пользоваться XFR…

XFR — это механизм, который был придуман в условиях плохой связанности. Условно говоря, XFR, особенно инкрементальный XFR, придуман, чтобы полосу экономить. Но в современных реалиях полоса DNS сервера 5 Мб/с, больше он не ест. Поэтому, на мой взгляд, сейчас XFR — это механизм так себе. Поэтому я бы, в принципе, не рекомендовал смотреть в его сторону. Ребята из Power DNS в документации так и пишут, что если вы можете бэкенд как-то реплицировать без XFR и прочего, сделайте это. В нашем случае получилось здорово.

— Когда Вы рассказывали про ситуацию настройки авторитетного сервера, сказали, что якобы про репликацию Master/slave надо забыть, и мы отдаем на один сервер одинаковую конфигурацию со всего. В такой ситуации в SOA записи у нас есть какой-то ns сервер. А ns записей сколько получается? То есть, не будет ли такого, поскольку существуют разные чекеры DNS сервисов, правильно он настроен или нет, он будет ругаться типа: «У тебя 1 ns сервер, это очень плохо!» и т.д. Или мы сделаем одну ns запись несколькими IP’шниками?

Несколько записей, если быть правильным. В нашей ситуации, если клиент приходит к нам с доменом, то мы в качестве ns прописываем один, два — хотите, третий дорисую, четвертый, пятый. Ns может быть огромное количество — любое. У вас на все из них будут литься запросы равномерно.

— У меня легкие уточнения по поводу PowerDNS и изменения зоны. В 4-й версии есть PDNSutil edit. Он берет из базы зону, представляет ее в текстовом классическом виде. Говоришь save — он ее загружает обратно.

По поводу исправления issue — я месяц назад разговаривал с разработчиками PowerDNS — они очень мало притрагиваются сейчас к авторитетному серверу. У них все усилия брошены на DNS dist и recursor. Поэтому если хочется запатчить, лучше самому. В ближайший год они, похоже, ничего там делать не будут.

Меня 3-я версия устраивает. 4-ю я видел только потому, что она в 16.4 по дефолту приезжает. Это было из разряда «О, что есть!»

— Последнее. Как раз в сентябре будет меняться DNSSEC ключ на корнях, не забудьте обновить!

Спасибо.

— Вы говорили, что нельзя использовать форвардинг, нужно использовать рекурсивный резолвинг. У меня возник такой вопрос, а если все начнут использовать рекурсивные DNS — корневых серверов как бы мало?

Протокол DNS придуман так, что вы к корневым серверам будете ходить очень редко. Корневые сервера условно держат сейчас уже много Top Level Domain, но посмотрите TTL — там он огромный. Вы туда будете ходить очень редко — раз в месяц сходите, и после этого не будете.

— Вы имеете в виду, что наш резольвер отрезольвит ns из зоны.ru и будет уже ходить только к ним?

Конечно. Пока TTL не истечет, он туда ходить не будет. Я же еще раз говорю — вопрос к размышлению. Это же точка отказа. Есть у меня клиент, и у него в настройках сетевого адаптера какие-то DNS сервера. Но они не обязаны никому работать. Можно было софтово включить поддержку этого дела в ОС. Представляете, какой бы пласт проблем это сняло: отравление кэшей, например. Многие вещи просто перестали бы иметь смысл.

То есть злоумышленнику сейчас резольвер — лакомый кусок для атаки потому, что «отравлю ему кэш — отравлю кэш толпе!» Это плохо, неправильно и так не должно быть. Чтобы это решить, надо просто всунуть резольвер в коробку в ОС. Я не понимаю, почему до сих пор никто этого не делает. Это не настолько сложно.

— У Ubuntu, кажется, dnsmasq в коробке есть.

Нет, там плохо все, поверьте. dnsmasq вообще плохо. Но дело даже не в этом. Он есть только в FreeBSD, там есть unbound, он на local-хвосте висит и работает. Но процент пользователей FreeBSD — это отдельный разговор.


Умеете больше, выше, сильнее — программный комитет RootConf в составе РИТ++ ждет ваших заявок до 9 апреля. Также, как и рассказов о собственных граблях и шишках во всем спектре тем, касающихся поддержки и эксплуатации ИТ-проектов.

habr.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *