что такое днс в политике
Что такое DNS-сервер — объясняем простыми словами
Из этой статьи вы узнаете ряд нюансов работы глобальной сети. Осветим, что такое Domain Name System, как работает технология, какие DNS-серверы бывают и другие важные вопросы.
Что такое DNS?
Прежде чем начать говорить о DNS-серверах, расскажем о самой технологии DNS (Domain Name System). DNS — это технология, которая позволяет браузеру вроде Firefox, Chrome или Edge найти запрошенный пользователем сайт по его имени.
Как работает DNS?
Принцип работы DNS похож на поиск и вызов контактов из телефонной книги смартфона. Ищем имя, нажимаем «позвонить», и телефон соединяет нас с нужным абонентом. Понятно, что смартфон в ходе звонка не использует само имя человека, вызов возможен только по номеру телефона. Если вы внесете имя без номера телефона, позвонить человеку не сможете.
Так и с сайтом. Каждому имени сайта соответствует набор цифр формата 000.000.000.000. Этот набор называется IP-адресом, примером реального IP-адреса является 192.168.0.154 или 203.113.89.134. Когда пользователь вводит в адресной строке браузера имя сайта, например google.com, компьютер запрашивает IP-адрес этого сайта на специальном DNS-сервере и после получения корректного ответа открывает сам сайт.
Что такое DNS-сервер?
Это как раз и есть «книга контактов» интернета. DNS-сервер — это специализированный компьютер (или группа), который хранит IP-адреса сайтов. Последние, в свою очередь, привязаны к именам сайтов и обрабатывает запросы пользователя. В интернете много DNS-серверов, они есть у каждого провайдера и обслуживают их пользователей.
Зачем нужны DNS-серверы и какие они бывают?
Основное предназначение DNS-серверов — хранение информации о доменах и ее предоставление по запросу пользователей, а также кэширование DNS-записей других серверов. Это как раз «книга контактов», о которой мы писали выше.
В случае кэширования все несколько сложнее. Дело в том, что отдельно взятый DNS-сервер не может хранить вообще всю информацию об адресах сайтов и связанных с ними IP-адресами. Есть исключения — корневые DNS-серверы, но о них позже. При обращении к сайту компьютера пользователя браузер первым делом проверяет локальный файл настроек DNS, файл hosts. Если там нет нужного адреса, запрос направляется дальше — на локальный DNS-сервер интернет-провайдера пользователя.
Локальный DNS-сервер в большинстве случаев взаимодействует с другими DNS-серверами из региона, в котором находится запрошенный сайт. После нескольких обращений к таким серверам локальный DNS-сервер получает искомое и отправляет эти данные в браузер — запрошенный сайт открывается. Полученные данные сохраняются на локальном сервере, что значительно ускоряет его работу. Поскольку, единожды «узнав» IP-адрес сайта, запрошенного пользователем, локальный DNS сохраняет эту информацию. Процесс сохранения полученных ранее данных и называется кэшированием.
Если пользователь обратится к ранее запрошенному сайту еще раз, то сайт откроется быстрее, поскольку используется сохраненная информация. Правда, хранится кэш не вечно, время хранения зависит от настроек самого сервера.
IP-адрес сайта может измениться — например, при переезде на другой хостинг или сервер в рамках прежнего хостинга. Что происходит в этом случае? В этом случае обращения пользователей к сайту, чей IP-адрес поменялся, некоторое время обрабатываются по-старому, то есть перенаправление идет на прежний «айпишник». И лишь через определенное время (например, сутки) кэш локальных серверов обновляется, после чего обращение к сайту идет уже по новому IP-адресу.
Где находятся главные DNS-серверы?
DNS-серверы верхнего уровня, которые содержат информацию о корневой DNS-зоне, называются корневыми. Этими серверами управляют разные операторы. Изначально корневые серверы находились в Северной Америке, но затем они появились и в других странах. Основных серверов — 13. Но, чтобы повысить устойчивость интернета в случае сбоев, были созданы запасные копии, реплики корневых серверов. Так, количество корневых серверов увеличилось с 13 до 123.
В Северной Америке находятся 40 серверов (32,5%), в Европе – 35 (28,5%), еще 6 серверов располагаются в Южной Америке (4,9%) и 3 – в Африке (2,4%). Если взглянуть на карту, то DNS-серверы расположены согласно интенсивности использования интернет-инфраструктуры. Есть сервера в Австралии, Китае, Бразилии, ОАЭ и других странах, включая Исландию.
В России тоже есть несколько реплик корневых серверов DNS, среди которых:
Один из узлов корневого DNS-сервера K-root размещен в Selectel.
Что такое DNS-зоны?
В этой статье мы рассматриваем лишь вариант «один домен — один IP-адрес». На самом деле, ситуация может быть и сложнее. Так, с определенным доменным именем может быть связано несколько ресурсов — сайт и почтовый сервер. У этих ресурсов вполне могут быть разные IP-адреса, что дает возможность повысить надежность и эффективность работы сайта или почтовой системы. Есть у сайтов и поддомены, IP-адреса которых тоже могут быть разными.
Вся эта информация о связи сайта, поддоменов, почтовой системы хранится в специальном файле на DNS-сервере. Его содержимое называется DNS-зона. Файл содержит следующие типы записей:
А что с новыми доменами?
После регистрации доменного имени нужно «рассказать» о нем DNS-серверам. Для этого нужно прописать ресурсные записи, что обычно делается в админке хостинг-провайдера или доменного провайдера. Примерно через сутки DNS-записи пропишутся в локальном сервере, также они попадут и в реестры всех прочих DNS-серверов. Как только это произойдет, новый домен станет нормально открываться браузером. «DNS сайта», как иногда ошибочно называют доменное имя, активируется.
Еще немного о DNS
От DNS-инфраструктуры зависит нормальная работа всей глобальной сети, поэтому за работоспособностью серверов постоянно следят. В частности, предпринимаются меры по усилению безопасности системы. Кроме того, вводятся и меры на случай стихийных бедствий, проблем с электричеством и других экстренных ситуаций.
DNS-хостинг
В Selectel вы можете купить домен и сразу делегировать его на NS-серверы компании. Либо разместить уже зарегистрированный домен на наших NS-серверах — в Санкт-Петербурге, Москве, Екатеринбурге, Новосибирске, Киеве, Нью-Йорке, Пало-Альто, Лондоне, Амстердаме и Франкфурте. Услуга DNS-хостинга бесплатна при наличии активного аккаунта.
Технология Anycast, используемая в услугах, делает DNS-системы более надежными, безопасными, отказоустойчивыми. Есть два рекурсивных кэширующих DNS-сервера. Подробнее читайте в Базе знаний Selectel.
Добавление домена и управление им
Зайдите в панель управления my.selectel.ru либо зарегистрируйтесь в ней.
Для добавления домена нажмите кнопку Добавить домен. В открывшемся окне введите имя домена и завершите действие кнопкой Добавить домен.
Для удаление домена выберите домен, отметьте его галочкой и нажмите Удалить. Можно выбрать и удалить несколько доменов одновременно.
Делегирование домена на NS-серверы Selectel происходит по умолчанию.
При необходимости добавьте новые DNS-записи к домену. Для этого выберите нужный домен из списка и нажмите кнопку Добавить запись.
Заполните поля Тип, Имя записи, TTL и Значение. Нажмите Добавить запись.
DNS-записи можно редактировать и удалять.
Для редактирования настроек домена откройте домен и перейдите на соответствующую вкладку. Внесите необходимые изменения и нажмите Сохранить.
Что такое DNS простыми словами
Любой сайт в интернете фактически находится на каком-либо устройстве. Отдельный компьютер, подключенный к интернету, имеет индивидуальный номер, который называется IP-адресом. Он представляет собой набор из четырех чисел от 0 до 255. Благодаря этому адресу можно узнать, откуда загружается страница нужного нам ресурса.
IP-адрес устройства можно сравнить с номером мобильного телефона, а DNS — с телефонной книгой. Если говорить конкретнее, DNS — система доменных имен, которая обеспечивает связь между наименованием сайта и его цифровым адресом.
Иными словами, пользователь набирает доменное имя ресурса в адресной строке браузера, а DNS конвертирует его в IP-адрес и передает вашему устройству. После чего компьютер, находящийся по этому адресу, обрабатывает запрос и присылает информацию для открытия необходимой страницы сайта.
Структуру DNS можно сравнить с логическим деревом. Система содержит распределенную базу доменных имен — пространство, которое организовано по принципу иерархии. На верхнем уровне располагается корневой домен, к которому примыкают домены первого уровня. К каждому из них присоединяются домены второго уровня и так далее.
Что такое DNS-сервер
Система доменных имен действует посредством DNS-сервера, который нужен для выполнения двух основных функций:
Если пользователь собирается посетить сайт, находящийся в другой стране, то регулярная передача запросов к первичному серверу занимает много времени и приводит к медленной загрузке страниц. Чтобы избежать подобных неудобств, DNS-сервер, находящийся рядом с вашим устройством, кэширует данные о запрашиваемых ранее IP-адресах и выдает их при следующем обращении.
Источниками хранения ресурсных записей являются исходные DNS-серверы, содержащие начальные связи между доменами и сетевыми адресами узлов.
Как правило, рекомендуют задействовать два сервера: первичный и вторичный. Это гарантирует получение доступа к вашему домену, потому как, если будет недоступен один сервер, ответит другой.
Как работают DNS-серверы
Рассмотрим поэтапно функционирование приложений, предназначенных для ответа на DNS-запросы:
Также возможна обратная процедура — поиск имени домена в DNS-сервере, соответствующего запрашиваемому IP-адресу. К примеру, это происходит в случае работы с сервером электронной почты.
Читайте также
Где находятся DNS-серверы
Фундаментом для обработки запросов о доменных именах являются корневые серверы, отвечающие за корневую DNS-зону. Ими руководят разные операторы, которые обеспечивают бесперебойное функционирование серверов. Первые корневые серверы появились в Северной Америке, но с течением времени они стали появляться в других странах мира. На сегодня существует 123 корневых сервера, которые располагаются в разных точках мира (в зависимости от интенсивности пользования всемирной паутиной).
Типы записей DNS-сервера
Одному домену могут подходить несколько сетевых адресов, например, интернет-сайт и почтовый сервер. Более того, каждое доменное имя содержит один или несколько поддоменов.
Все соответствия домена и его IP-адресов хранятся в файле на DNS-сервере, содержимое которого называется DNS-зона. Чтобы внести информацию в систему DNS, необходимо прописать ресурсные записи.
Различают несколько ключевых типов ресурсных записей, информация о которых хранится на DNS-сервере:
Зачем нужно прописывать DNS-серверы
Представьте, что вы только что зарегистрировали домен. Чтобы остальным серверам стала доступна информация о существовании вашего домена, необходимо прописать ресурсные записи. Первым делом нужно произвести настройку и прописать для домена DNS-серверы.
Серверы такого формата обновляются до 24 часов, в этот период сайт может не работать. Поэтому необходимо подождать сутки после того, как вы их прописали.
Зачастую такие серверы прописывают парами. У каждого домена существует один первичный и до 12 вторичных серверов. Это нужно для обеспечения надежности работы сайта. Если один из них полетит, то домен и ресурс будут функционировать.
Читайте также
Защита DNS-серверов от атак
В наши дни опасность воздействия хакеров на DNS приобрела глобальные масштабы. Ранее уже были ситуации атак на серверы такого формата, которые приводили к многочисленным сбоям в работе всемирной паутины, в особенности известных социальных сетей.
Наиболее опасными считают нападения на корневые серверы, хранящие данные об IP-адресах. Например, в историю вошла произошедшая в октябре 2002 года DDoS-атака на 10 из 13 серверов верхнего уровня.
Протокол DNS получает результаты по запросам с помощью протокола пользовательских датаграмм UDP. UDP использует модель передачи данных без соединений для обеспечения безопасности и целостности информации. Таким образом, большинство атак производятся на этот протокол с помощью подделки IP-адресов.
Существует несколько схем, настройка которых позволит защитить DNS-сервер от атак хакеров:
Вывод
DNS-сервер хранит информацию о соответствии домена IP-адресу, а также содержит сведения об остальных ресурсных записях.
Значительное внимание уделяется усилению безопасности системы и снижению чувствительности к перебоям в работе. В наши дни интернет является существенной частью жизни, поэтому стихийные бедствия, перепады напряжения в сети и отключение электроэнергии не должны влиять на его производительность.
Вы можете получить бесплатно первичные и вторичные DNS-серверы с базовой функциональностью при покупке веб-хостинга для сайта. Либо разместить DNS на собственном сервере. О том, как выбрать сервер такого формата, подробно рассказывается в статье «Как выбрать DNS-сервер».
Обзор политик DNS
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
С помощью этого раздела вы узнаете о политике DNS, которая является новой в Windows Server 2016. Вы можете использовать политику DNS для управления трафиком на основе Geo-Location, интеллектуальных ответов DNS в зависимости от времени суток, для управления одним DNS-сервером, настроенным для развертывания с разделением, применения фильтров к запросам DNS и многого другого. Следующие элементы содержат более подробные сведения об этих возможностях.
Балансировка нагрузки приложений. При развертывании нескольких экземпляров приложения в разных местах можно использовать политику DNS для балансировки нагрузки трафика между разными экземплярами приложения, динамически выделяя нагрузку на трафик для приложения.
Управление трафиком на основе Geo-Location. С помощью политики DNS можно разрешить основным и дополнительным DNS-серверам отвечать на запросы клиентов DNS на основе географического расположения клиента и ресурса, к которому пытается подключиться клиент, предоставляя клиенту IP-адрес ближайшего ресурса.
Разделение мозгового DNS-сервера. DNS-серверы с разделением и мозгами делятся на разные области зоны на одном DNS-сервере, а DNS-клиенты получают ответ в зависимости от того, являются ли клиенты внутренними или внешними клиентами. Можно настроить DNS с разделением для Active Directory интегрированных зон или для зон на изолированных DNS-серверах.
Фильтрация Вы можете настроить политику DNS для создания фильтров запросов на основе заданных вами условий. Фильтры запросов в политике DNS позволяют настроить DNS-сервер на отправку пользовательского способа на основе DNS-запроса и DNS-клиента, отправляющего запрос DNS.
Криминальная экспертиза Можно использовать политику DNS для перенаправления вредоносных DNS-клиентов на несуществующий IP-адрес вместо того, чтобы направить их на компьютер, к которому они пытаются связаться.
Перенаправление на основе времени суток. Политику DNS можно использовать для распределения трафика приложений между различными географически распределенными экземплярами приложения с помощью политик DNS, основанных на времени суток.
Новые концепции
Чтобы создать политики для поддержки описанных выше сценариев, необходимо иметь возможность определять группы записей в зоне, группы клиентов в сети, помимо других элементов. Эти элементы представлены следующими новыми объектами DNS:
Область рекурсии. области рекурсии — это уникальные экземпляры группы параметров, управляющих рекурсией на DNS-сервере. Область рекурсии содержит список серверов пересылки и указывает, включена ли рекурсия. DNS-сервер может иметь много областей рекурсии. Политики рекурсии DNS-сервера позволяют выбрать область рекурсии для набора запросов. Если DNS-сервер не является полномочным для определенных запросов, политики рекурсии DNS-сервера позволяют управлять способом разрешения этих запросов. Можно указать, какие серверы пересылки следует использовать, а также использовать ли рекурсию.
Области зоны. зона DNS может иметь несколько областей зоны, при этом каждая область зоны содержит собственный набор записей DNS. Одна и та же запись может присутствовать в нескольких областях с разными IP-адресами. Кроме того, зонные передачи выполняются на уровне области зоны. Это означает, что записи из области зоны в основной зоне будут передаваться в ту же область зоны в дополнительной зоне.
Типы политик
Политики DNS делятся на уровни и типы. Политики разрешения запросов можно использовать для определения способа обработки запросов, а политики передачи зоны — для определения способа передачи зон. Каждый тип политики можно применять на уровне сервера или на уровне зоны.
Политики разрешения запросов
Политики разрешения запросов DNS можно использовать для указания способа обработки входящих запросов разрешения DNS-сервером. Каждая политика разрешения запросов DNS содержит следующие элементы.
| Поле | Описание | Возможные значения |
|---|---|---|
| имя; | Имя политики | — До 256 символов — Может содержать любой символ, допустимый для имени файла |
| Состояние | Состояние политики | -Enable (по умолчанию) — Disabled; |
| Level | Уровень политики | Сервер -Zone |
| Порядок обработки | Когда запрос классифицируется по уровню и применяется к, сервер находит первую политику, для которой запрос соответствует критерию, и применяет его к запросу. | — Числовое значение — Уникальное значение на политику, содержащее один и тот же уровень и применяемое к значению |
| Действие | Действие, выполняемое DNS-сервером | -Allow (по умолчанию для уровня зоны) -Deny (по умолчанию на уровне сервера) -Ignore |
| Критерии | Условие политики (и/или) и список критериев, которые должны быть выполнены для применения политики | -Оператор условия (и/или) — Список критериев (см. таблицу критериев ниже). |
| Область | Список областей зоны и взвешенных значений для области. Взвешенные значения используются для распределения балансировки нагрузки. Например, если в этом списке есть datacenter1 с весом 3 и datacenter2 с весом 5, сервер будет отвечать на запись из datacentre1 три раза из восьми запросов. | — Список областей зоны (по имени) и весов |
Политики уровня сервера могут иметь только значения Deny или Ignore в качестве действия.
Поле критериев политики DNS состоит из двух элементов:
Используя приведенную выше таблицу, можно определить критерий, который будет использоваться для сопоставления запросов для записей любого типа, но записи SRV в домене contoso.com, поступающие от клиента в подсети 10.0.0.0/24 через протокол TCP между 8 и 10 с помощью интерфейса 10.0.0.3:
| Имя | Значение |
|---|---|
| Подсеть клиента | EQ, 10.0.0.0/24 |
| Транспортный протокол | EQ, TCP |
| IP-адрес интерфейса сервера | EQ, 10.0.0.3 |
| Полное доменное имя. | EQ, *. contoso. com |
| Тип запроса | NE, SRV |
| Время дня | EQ, 20:00-22:00 |
Можно создать несколько политик разрешения запросов на одном уровне, если они имеют разное значение для порядка обработки. Если доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:
Политики рекурсии
Политики рекурсии — это особые типы политик уровня сервера. Политики рекурсии определяют, как DNS-сервер выполняет рекурсию для запроса. Политики рекурсии применяются только в том случае, если обработка запросов достигает пути рекурсии. Для набора запросов можно выбрать значение DENY или IGNORE для рекурсии. Кроме того, можно выбрать набор серверов пересылки для набора запросов.
Политики рекурсии можно использовать для реализации конфигурации DNS с разделением. В этой конфигурации DNS-сервер выполняет рекурсию для набора клиентов для запроса, а DNS-сервер не выполняет рекурсию для других клиентов этого запроса.
Политики рекурсии содержат те же элементы, которые содержит обычная политика разрешения запросов DNS, а также элементы в таблице ниже.
| Имя | Описание |
|---|---|
| Применить к рекурсии | Указывает, что эту политику следует использовать только для рекурсии. |
| Область рекурсии | Имя области рекурсии. |
Политики рекурсии могут создаваться только на уровне сервера.
Политики зонных передач
Политики зонных передач управляют тем, разрешена ли зонная отправка на ваш DNS-сервер. Вы можете создавать политики для зонных передач на уровне сервера или на уровне зоны. Политики уровня сервера применяются ко всем запросам на зонную пересылку, происходящим на DNS-сервере. Политики уровня зоны применяются только к запросам в зоне, размещенной на DNS-сервере. Наиболее распространенным применением политик уровня зоны является реализация заблокированных или безнадежных списков.
Политики зонных передач могут использовать только действия DENY или IGNORE в качестве действий.
Вы можете использовать политику зонных передач зон на уровне сервера, чтобы запретить зонную пересылку для домена contoso.com из данной подсети.
Можно создать несколько политик зонных передач одного уровня, если они имеют разное значение для порядка обработки. Если доступно несколько политик, DNS-сервер обрабатывает входящие запросы следующим образом:
Управление политиками DNS
Вы можете создавать политики DNS и управлять ими с помощью PowerShell. В приведенных ниже примерах рассматриваются различные примеры сценариев, которые можно настроить с помощью политик DNS.
Управление трафиком
Трафик, основанный на полном доменном имени, можно направить на разные серверы в зависимости от расположения DNS-клиента. В приведенном ниже примере показано, как создать политики управления трафиком для направления клиентов из определенной подсети в центр обработки данных для Северной Америки и из другой подсети в Европейский центр обработки данных.
Первые две строки скрипта создают объекты подсети клиента для Северная Америка и Европы. Две строки после этого создают область зоны в домене contoso.com, по одной для каждого региона. Две строки после этого создают запись в каждой зоне, которая связывает ww.contoso.com с разным IP-адресом, один для Европы, другой — для Северная Америка. Наконец, в последних строках скрипта создаются две политики разрешения DNS-запросов, одна из которых применяется к подсети Северная Америка, другой — к подсети Europe.
Блокировать запросы для домена
Для блокировки запросов к домену можно использовать политику разрешения DNS-запросов. В приведенном ниже примере блокируются все запросы к treyresearch.net:
Блокировка запросов из подсети
Кроме того, можно блокировать запросы, поступающие из определенной подсети. Приведенный ниже сценарий создает подсеть для 172.0.33.0/24, а затем создает политику для игнорирования всех запросов, поступающих из этой подсети.
Разрешить рекурсию для внутренних клиентов
Вы можете управлять рекурсией с помощью политики разрешения DNS-запросов. Приведенный ниже пример можно использовать для включения рекурсии для внутренних клиентов, отключив его для внешних клиентов в сценарии раздельного мозгового случая.
Первая строка скрипта изменяет область рекурсии по умолчанию, просто именуемую «.» (точка) для отключения рекурсии. Вторая строка создает область рекурсии с именем интерналклиентс с включенной рекурсией. А третья строка создает политику для применения новой области рекурсии к любым запросам, поступающим через серверный интерфейс, который имеет 10.0.0.34 в качестве IP-адреса.
Создание политики зонных передач на уровне сервера
Вы можете управлять зонными перемещениями в более детализированной форме, используя политики зонных передач DNS. Приведенный ниже пример скрипта можно использовать, чтобы разрешить передачу зоны для любого сервера в данной подсети.
Первая строка скрипта создает объект подсети с именем алловедсубнет и блоком IP 172.21.33.0/24. Во второй строке создается политика передачи зоны, позволяющая передавать зоны на любой DNS-сервер в подсети, созданной ранее.
Создание политики зонных передач на уровне зоны
Кроме того, можно создать политики зонных передач на уровне зоны. В приведенном ниже примере игнорируются любые запросы на зонную пересылку для contoso.com, поступающих из интерфейса сервера с IP-адресом это 10.0.0.33:
Сценарии политики DNS
Сведения о том, как использовать политику DNS для конкретных сценариев, см. в следующих подразделах этого руководства.
Использование политики DNS на контроллерах домена Read-Only
Политика DNS совместима с Read-Only контроллерами домена. Обратите внимание, что для загрузки новых политик DNS на Read-Only контроллеры домена требуется перезагрузка службы DNS-сервера. Это необязательно для контроллеров домена с возможностью записи.