Windows 2012ネットワークサービス-DNS

かつて、私は自分自身の簡単な真実を発見しました：何かを覚えたい場合-概要を保持し（本を読んでも）、それを統合して体系化したい場合-人々に伝えます（記事を書く）。 したがって、システム統合の2年間の作業（私がシステム管理者だったときに専門家をアップグレードしたい人にとっては単なる宝庫と考えていた分野）の後、ドキュメントを編集し、マニュアルと指示を構成するスキルによって知識が徐々に取って代わられることに気づいたときフォーム基本的なことについての記事を書き始めました。 たとえば、これはDNSについてです。 それから私は自分のためにもっとや​​ったが、私は思った-突然誰かが重宝するだろう。



キーではない場合、最新のネットワークでのサービス。 DNSサービスが新しくない人は、最初の部分を安全にスキップできます。

内容：

1.基本情報

2. DNSメッセージ形式について少し

3. TCPおよびUDP

4. Windows Server 2008および2012のDNS

5. DNSおよびActive Directory

6.情報源



（アンカーがないため、コンテンツにはリンクがありません）

1.基本情報

DNSは、ネットワークオブジェクト名のIPアドレスへのマッピングに関する情報を主に含むデータベースです。 「基本的に」-そこと他のいくつかの情報が保存されているため。 具体的には、次のタイプのリソースレコード（リソースレコード-RR）：



そして -シンボリックドメイン名のIPアドレスへの同じマッピング。



AAAAはAと同じですが、IPv6アドレス用です。



CNAME -Canonical NAMEはエイリアスです。 コーポレートポータルが実行されているnsk-dc2-0704-ibmなどの読み取り不能な名前のサーバーもネームポータルに応答する場合は、ネームポータルと同じIPアドレスを持つ別のタイプAレコードを作成できます。 しかし、その後、IPアドレスが変更された場合（何が発生してもかまいません）、そのようなレコードをすべて再作成する必要があります。 また、nsk-dc2-0704-ibmを指す名前ポータルでCNAMEを作成する場合、何も変更する必要はありません。



MX -Mail eXchanger-メールエクスチェンジャーへのポインター。 CNAMEと同様に、これはタイプAの既存のレコードへのシンボリックポインターですが、名前に加えて、優先度も含まれています。 1つのメールドメインに対して複数のMXレコードが存在する場合がありますが、まず優先度フィールドに低い値が示されているサーバーにメールが送信されます。 利用できない場合-次のサーバーなどへ



NS-ネームサーバー-このドメインを担当するDNSサーバーの名前が含まれています。 当然、NSタイプの各レコードには、Aタイプの対応するレコードが必要です。



SOA-権限の開始-どのNSサーバーがこのドメインに関する参照情報、ゾーンの責任者の連絡先情報、キャッシュに情報を保存するタイミングを保存するかを示します。



SRV-サーバーへのポインター、サービスの所有者（ADサービスおよびJabberなどに使用）。 サーバー名に加えて、優先度（MXに類似）、重量（同じ優先度のサーバー間で負荷を分散するために使用されます-クライアントは、重みとポート番号-ポート番号に基づいた確率でサーバーをランダムに選択します）サービスがリクエストをリッスンする場所。



上記のすべてのレコードタイプは、DNSの前方参照ゾーンにあります。 また、逆引き参照ゾーンがあります-PTRタイプのレコードがそこに保存されます-PoinTeR-レコードはタイプAの反対です。IPアドレスとそのシンボリック名のマッピングを保存します。 逆引き要求を処理するために必要です-そのIPアドレスによってホスト名を決定します。 DNSの機能には必要ありませんが、さまざまな診断ユーティリティや、メールサービスの一部の種類のスパム対策保護に必要です。



さらに、ドメインに関する情報を格納するゾーン自体は、2つのタイプ（クラシック）です。



メイン（プライマリ） -ドメインのホストとサービスに関する情報を含むテキストファイルです。 ファイルを編集できます。



追加（セカンダリ）もテキストファイルですが、メインのファイルとは異なり、編集できません。 メインゾーンを格納するサーバーから自動的に縮小します。 可用性と信頼性が向上します。



インターネットでドメインを登録するには、少なくとも2つのDNSサーバーがそのドメインに関する情報を保存する必要があります。



Windows 2000は、 ADに統合されたこのタイプのゾーンを導入しました。ゾーンはテキストファイルではなくADデータベースに保存され、複製メカニズムを使用してADとともに他のドメインコントローラーに複製できます。 このオプションの主な利点は、DNSで安全な動的登録を実装できることです。 つまり、ドメインのメンバーであるコンピューターのみが自分自身に関するレコードを作成できます。



Windows 2003では、 スタブゾーン（スタブゾーン）も導入されました。 このドメインに対して権限のあるDNSサーバーに関する情報のみを保存します。 つまり、NSレコード。 これは、同じバージョンのWindows Serverに登場した条件付き転送に意味が似ていますが、要求の転送先のサーバーのリストは自動的に更新されます。

反復クエリと再帰クエリ。

単一のDNSサーバーがインターネット上のすべてのドメインを認識していないことは明らかです。 したがって、彼が知らないアドレス、たとえばmetro.yandex.ruへの要求を受信すると、次の一連の反復が開始されます。



DNSサーバーは、インターネットルートサーバーの1つにアクセスします。インターネットルートサーバーには、第1レベルドメインまたはゾーン（ru、org、comなど）の承認された所有者に関する情報が格納されます。 彼は、権限のあるサーバーの受信アドレスをクライアントに報告します。



クライアントは、同じ要求でruゾーンの所有者に連絡します。



RUゾーンのDNSサーバーはキャッシュ内で対応するレコードを検索し、見つからない場合、クライアントに第2レベルドメイン（この場合はyandex.ru）に対して権限のあるサーバーのアドレスを返します。



クライアントは同じクエリでyandex.ru DNSにアクセスします。



Yandex DNSは、目的のアドレスを返します。



私たちの時代には、この一連のイベントはまれです。 再帰クエリのようなものがあるため-これは、クライアントが最初にアドレス指定したDNSサーバーがクライアントに代わってすべての反復を実行し、クライアントに準備完了の応答を返し、受信した情報をキャッシュに格納するときです。 サーバーで再帰クエリのサポートを無効にすることもできますが、ほとんどのサーバーでサポートされています。



クライアントは、原則として、「再帰が必要」というフラグを持つリクエストを作成します。

2. DNSメッセージ形式について少し

メッセージは、12バイトのヘッダーとそれに続く4つの可変長フィールドで構成されます。



ヘッダーは次のフィールドで構成されます。

DNSメッセージ形式

識別-特定の識別子がこのフィールドでクライアントによって生成され、対応するサーバー応答フィールドにコピーされるため、応答がどの要求に届いたかを理解できます。



フラグ-8ビットに分割された16ビットフィールド：

• QR （メッセージタイプ）、1ビットフィールド：0は要求、1は応答を意味します。
• オペコード （ opcode ）、4ビットフィールド。 デフォルト値は0（標準リクエスト）です。 他の値は1（逆要求）と2（サーバーステータス要求）です。
• AAは、「信頼できる応答」を意味する1ビットのフラグです。 DNSサーバーには、質問セクションでこのドメインに対する権限があります。
• TCは、「切り捨てられた」ことを意味する1ビットのフィールドです。 UDPの場合、これは、合計応答サイズが512バイトを超えたことを意味しますが、応答の最初の512バイトのみが返されました。
• RDは、「再帰が必要」を意味する1ビットのフィールドです。 要求でビットを設定し、応答で返すことができます。 このフラグでは、DNSサーバーがこの要求自体を処理する必要があります（つまり、サーバー自体が必要なIPアドレスを決定し、別のDNSサーバーのアドレスを返さない必要があります）。これは再帰クエリと呼ばれます。 このビットが設定されておらず、要求されたDNSサーバーに信頼できる応答がない場合、要求されたサーバーは、応答を受信するために参照する必要がある他のDNSサーバーのリストを返します。 これは、反復クエリと呼ばれます。 次の例では、両方のタイプのクエリの例を見ていきます。
• RAは、「利用可能な再帰」を意味する1ビットのフィールドです。 サーバーが再帰をサポートしている場合、このビットは応答で1に設定されます。 例では、いくつかのルートサーバーを除き、ほとんどのDNSサーバーが再帰をサポートしていることがわかります（エッジサーバーは、ワークロードのために再帰クエリを処理できません）。
• 0-この3ビットフィールドは0でなければなりません。
• rcodeは4ビットの戻りコードフィールドです。 一般的な値は0（エラーなし）および3（名前エラー）です。 名前エラーは、権限のあるDNSサーバーからのみ返され、リクエストで指定されたドメイン名が存在しないことを意味します。

次の4つの16ビットフィールドは、記録を完了する4つの可変長フィールドのポイント数を示します。 クエリでは、質問の数は通常1で、他の3つのカウンターは0です。応答では、回答の数は少なくとも1で、残りの2つのカウンターはゼロまたは非ゼロのいずれかです。



例（ping www.ruコマンドの実行時にWinDumpを使用して取得）：



IP KKasachev-nb.itcorp.it.ru.51036 > ns1.it.ru.53: 36587+ A? www.ru. (24)





IP ns1.it.ru.53 > KKasachev-nb.itcorp.it.ru.51036: 36587 1/2/5 A 194.87.0.50 (196)







最初の行はリクエストです：PCの名前、51036はランダムに選択された送信ポート、53はDNSサーバーの既知のポート、36587はリクエストID、+-「再帰が必要」、AはレコードタイプAのリクエスト、疑問符はこれを意味します応答ではなく要求。 括弧内は、メッセージの長さ（バイト単位）です。



2行目はサーバーの応答です。指定された要求IDを持つ指定された送信元ポートへの応答です。 応答には、要求に対する応答である1つのRR（DNSリソースレコード）、2つの承認レコード、および5つの追加レコードが含まれます。 応答の合計の長さは196バイトです。

3. TCPおよびUDP

噂によると、DNSはUDP（ポート53）上で動作します。 これが実際のデフォルトです。要求と応答はUDPを介して送信されます。 ただし、メッセージヘッダーにTC（Truncated）フラグが存在することは上記のとおりです。 応答サイズが512バイト（UDP応答の制限）を超えると1に設定されます。これは、応答が切断され、最初の512バイトのみがクライアントに送信されたことを意味します。 この場合、クライアントは要求を繰り返しますが、TCPを使用すると、その特異性により、大量のデータを安全に転送できます。



また、メインサーバーから追加サーバーへのゾーンの転送はTCPを介して実行されます。この場合、512バイトをはるかに超えるデータが送信されるためです。

4. Windows Server 2008および2012のDNS

Windows 2008では、次の機能が導入されました。

ゾーンのバックグラウンド読み込み

Active Directoryドメインサービスを使用してDNSデータを保存する非常に大きなゾーンを持つ非常に大規模な組織では、DNSデータがディレクトリサービスから取得されるまで、DNSサーバーの再起動に1時間以上かかることがあります。 同時に、Active Directoryドメインサービスゾーンを読み込んでいる間、クライアント要求を常に処理するためにDNSサーバーを使用できません。

Windows Server 2008 DNSサーバーは、再起動時にバックグラウンドでActive Directoryドメインサービスからゾーンデータをダウンロードし、他のゾーンからのデータ要求を処理できるようになりました。 DNSサーバーを起動すると、次のアクションが実行されます。

• ロードされるすべてのゾーンが定義されています。
• ルートリンクは、ファイルまたはActive Directoryドメインサービスリポジトリからロードされます。
• ファイルがサポートされているすべてのゾーン、つまりActive Directoryドメインサービスではなくファイルに保存されているゾーンが読み込まれます。
• 要求およびリモートプロシージャコール（RPC）の処理が開始されます。
• Active Directoryドメインサービスに格納されているゾーンを読み込むために、1つ以上のスレッドが作成されます。

ゾーンの読み込みタスクは個別のスレッドによって実行されるため、DNSサーバーはゾーンの読み込み中に要求を処理できます。 DNSクライアントが、既にロードされているゾーン内のホストのデータを要求した場合、DNSサーバーはデータ（または、適切な場合は否定応答）で応答します。 メモリにまだロードされていないノードに対してクエリが実行されると、DNSサーバーはActive Directoryドメインサービスからノードデータを読み取り、それに応じてノードレコードのリストを更新します。

IPv6アドレスのサポート

インターネットプロトコルバージョン6（IPv6）は、32ビット長のIPバージョン4（IPv4）アドレスとは対照的に、128ビット長のアドレスを定義します。

Windows Server 2008 DNSサーバーは、IPv4アドレスとIPv6アドレスの両方を完全にサポートするようになりました。 dnscmdコマンドラインツールは、両方の形式のアドレスも受け入れます。 フォワーダーのリストには、IPv4アドレスとIPv6アドレスの両方を含めることができます。 DHCPクライアントは、IPv4アドレスとともに（またはIPv4アドレスの代わりに）IPv6アドレスを登録することもできます。 最後に、DNSサーバーは後方一致のためにip6.arpaドメイン名前空間をサポートするようになりました。

DNSクライアントの変更

LLMNR名前解決

DNSクライアントコンピューターは、マルチキャストDNSまたはmDNSとも呼ばれるLLMNR（リンクローカルマルチキャスト名前解決）を使用して、DNSサーバーが利用できないLANセグメントの名前を解決できます。 たとえば、ルーターの誤動作によりサブネットがネットワーク内のすべてのDNSサーバーから分離されている場合、LLMNR名前解決をサポートするそのサブネット上のクライアントは、ネットワークへの接続が復元されるまで、ピアツーピアスキームを使用して名前を解決できます。

ネットワーク障害が発生した場合の名前の解決に加えて、LLMNR関数は、空港ラウンジなどでピアツーピアネットワークを展開する場合にも役立ちます。



DNSに関するWindows 2012の変更は、主にDNSSECテクノロジに影響し（DNSレコードにデジタル署名を追加することでDNSセキュリティを確保します）、特に、Windows Server 2008でDNSSECが有効になったときに利用できなかった動的更新を提供しました。

5. DNSおよびActive Directory

Active Directoryは、その操作に関してDNSに大きく依存しています。 これにより、ドメインコントローラーは複製のためにお互いを探します。 クライアント（およびNetlogonサービス）を使用して、クライアントは承認のためにドメインコントローラーを定義します。



検索を提供するために、サーバー上のドメインコントローラーの役割を上げるプロセスで、そのNetlogonサービスは対応するAおよびSRVレコードをDNSに登録します。



Net Logonによって記録されたSRVレコード：



_ldap._tcp.DnsDomainName

_ldap._tcp.SiteName._sites.DnsDomainName

_ldap._tcp.dc._msdcs.DnsDomainName

_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName

_ldap._tcp.pdc._msdcs.DnsDomainName

_ldap._tcp.gc._msdcs.DnsForestName

_ldap._tcp.SiteName._sites.gc._msdcs。 DnsForestName

_gc._tcp.DnsForestName

_gc._tcp.SiteName._sites.DnsForestName

_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName

_kerberos._tcp.DnsDomainName。

_kerberos._udp.DnsDomainName

_kerberos._tcp.SiteName._sites.DnsDomainName

_kerberos._tcp.dc._msdcs.DnsDomainName

_kerberos.tcp.SiteName._sites.dc._msdcs.DnsDomainName

_kpasswd._tcp.DnsDomainName

_kpasswd._udp.DnsDomainName



SRVレコードの最初の部分は、SRVレコードが指すサービスを識別します。 次のサービスを利用できます。



_ldap -Active Directoryは、LDAPサーバーとして機能するドメインコントローラーを備えたLDAP準拠のディレクトリサービスです。 レコード_ldap SRVは、ネットワークで利用可能なLDAPサーバーを識別します。 これらのサーバーは、Windows Server 2000+ドメインコントローラーまたは他のLDAPサーバーにすることができます。



_kerberos - SRKレコード_kerberosは、ネットワーク上のすべてのキー配布センター（KDC）を識別します。 これらは、Windows Server 2003または他のKDCサーバーを備えたドメインコントローラーにすることができます。



_kpassword-ネットワーク上のKerberosパスワード変更サーバーを識別します。



_gcは、Active Directoryのグローバルカタログ機能に関連するエントリです。



_mcdcsサブドメインには、Microsoft Windows Serverドメインコントローラーのみが登録されています。 このサブドメインにマスターレコードとエントリの両方を作成します。 マイクロソフト以外のサービスは、マスターエントリのみを作成します。



SiteNameサイト識別子を含むレコードは、クライアントが自分のサイトで承認用のドメインコントローラーを見つけることができ、低速チャンネルを介して別の都市にログインするために登らないようにするために必要です。



DomainGuidは、グローバルドメイン識別子です。 ドメインの名前が変更された場合、それを含むレコードが必要です。

DC検索プロセスはどのように進みますか

ユーザーのログイン時に、クライアントはリモートプロシージャコール（RPC）を使用してNetLogonサービスを使用してDNSロケーターを開始します。 初期データとして、コンピューター名、ドメイン、およびサイト名がプロシージャに転送されます。



サービスは、API関数DsGetDcName（）を使用して1つ以上の要求を送信します



DNSサーバーは、優先度と重みに従ってソートされたサーバーの要求リストを返します。 クライアントは、UDPポート389を使用して、返された順に各レコードアドレスにLDAP要求を送信します。



使用可能なすべてのドメインコントローラーがこの要求に応答し、その状態を報告します。



ドメインコントローラが検出された後、クライアントはActive Directoryへのアクセスを取得するためにLDAPコントローラを確立します。 ダイアログの一部として、ドメインコントローラーはIPアドレスに基づいてクライアントがホストされているサイトを決定します。 クライアントが最も近いDCに接続しなかったが、たとえば、最近別のサイトに移動し、古いサイトから習慣的に要求されたDCがなくなったことが判明した場合（サイト情報は、最後に成功したログインの結果に基づいてクライアントにキャッシュされます）、コントローラーは彼にその名前（クライアント）を送信します新しいサイト。 クライアントがすでにこのサイトでコントローラーを見つけようとしたが、役に立たない場合は、見つかったコントローラーを引き続き使用します。 そうでない場合は、新しいサイトを示す新しいDNSクエリが開始されます。



Netlogonサービスは、ドメインコントローラーの場所に関する情報をキャッシュして、DCにアクセスする必要があるたびに手順全体を開始しないようにします。 ただし、「別のサイトにある」「最適でない」DCが使用されている場合、クライアントは15分後にこのキャッシュをクリアし、（最適なコントローラーを見つけるために）検索を再開します。



キャッシュにサイトに関する情報がない場合、コンピューターはドメインコントローラーに接続します。 この動作を抑制するために、DNSでNetMask Orderingを構成できます。 DNSは、クライアントと同じネットワーク上にあるコントローラーが最初の順番でDCリストを表示します。



例： Dnscmd / Config / LocalNetPriorityNetMask 0x0000003Fは、優先DCのサブネットマスク255.255.255.192を指定します。 デフォルトのマスクは255.255.255.0（0x000000FF）です

情報源：

www.hardline.ru/4/49/1236/1630-25.html



www.inadmin.ru/2010/02/26/dns-internet-domain



minergimn.ru/statii/16-adwin2003132



technet.microsoft.com/en-us/library/cc728909.aspx



support.microsoft.com/kb/247811/en-us?fr=1