Введение

Microsoft Forefront Threat Management Gateway (TMG) 2010 очень сильно зависит от самых различных служб для поддержания безопасности сети и оптимального быстродействия. Настройка сетевых интерфейсов и в особенности разрешение имен имеет ключевую роль, особенности в случае если TMG настроен как прямой и обратный прокси. В моей практике очень много проблем с TMG были вызваны неправильной настройкой DNS. В этой статье я хотел бы поговорить о настройке сетевых интерфейсов и требований к DNS серверам для правильного разрешения имен в TMG.

Требования к DNS серверам

При выборе DNS сервера в TMG необходимо принять во внимание несколько важных факторов. За очень редким исключением TMG должен быть настроен на использование только внутренних DNS серверов, которые могут резолвить внутреннее пространство адресов а также внешние адреса. Для обеспечения безотказной работы данные DNS сервера должны быть подключены по быстрым соединениям и иметь достаточно ресурсов для успешной обработки всех входящих запросов на разрешение имен. Это целиком зависит от того, как много пользователей подключены к TMG и каким образом они подключены. Клиент веб-прокси и TMG клиент целиком и полностью зависят от TMG в процессе разрешения имен, увеличивая загрузку DNS серверов. Клиенты SecureNAT выполняют разрешение самостоятельно. Если DNS сервера слишком перегружены или между TMG и DNS проблемы с каналами связи, вы можете испытывать самые разнообразные проблемы в работе TMG. Например результатом этого может быть медленная загрузка страниц или запрос на аутентификацию для пользователей, которые должны быть аутентифицировы прозрачно с помощью NTLM или Kerberos.Далее...

Я недавно нашел отличный способ просмотра списка всех записей в публичной DNS зоне, которым бы хотел поделиться с читателями. Для кото-то данный метод не станет откровением, но для кого он будет полезен, тем более никаких специальных средств для него не нужно.

Я уверен большинство из вас знакомы с командой NSLookup.  С помощью неё вы можете подключиться к удаленному серверу и просто набрав ls получить список всех записей данного домена.  Чаще всего вы получите отказ, так как подавляющее большинство администраторов DNS зон запрещают трансфер зоны по запросы на неизвестные хосты, что является правильным и уменьшает шансы атакующего получить список записей зоны, однако знать данный метод бывает полезно, так как кое где он работает. Далее...

Устанавливаем bind-chroot на оба сервера:

# yum install bind-chroot

Выполняем следующую команду на Primary DNS сервере

# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST master-slave
   Kmaster-slave.+157+50029

В результате получаем имя файла, содержащего наш новый ключ: в этом примере это Kmaster-slave.+157+50029.private. Номер это алгоритм DNSSEC (157=HMACMD5), и отпечаток ключа (50029).

Из ключа Kmaster-slave+157.50029.private извлекаем наш обший ключ:Далее...

В данной статье я расскажу как включить обратный поиск в DNS для всех версий IIS.

Когда на веб-сервере включен обратный DNS просмотр, IP адрес каждого клиента подключающего к IIS резолвится в DNS имя и в лог файла заносятся именно имена, а не IP адреса клиентов. Также включение обратного просмотра оказывает влияние на расширения CGI и ISAPI.

Статья знаний Microsoft под номером  297795 подробно расскажет нам как включить RDNS для IIS4, IIS5 and IIS6. Необходимо запустить соответствующие скрипты из папки ADScripts:Далее...

Первая часть статьи тут

5 Установка MyDNSConfig 3

Теперь приступаем к установке MyDNSConfig 3:

cd /tmp
   wget http://downloads.sourceforge.net/mydnsconfig/MyDNSConfig-3.0.1.tar.gz?use_mirror=
   tar xvfz MyDNSConfig-3.0.1.tar.gz
   cd mydnsconfig/install/
   php -q install.php

В результате будет запущен установщик MyDNSConfig 3:Далее...

В данной статье я опишу процесс установки и настройки MyDNS и MyDNSConfig 3 на Fedora 10. MyDNS это DNS сервер, который в качестве бэкенда использует базу данных MySQL, вместо обычных конфигурационных файлов как в Bind или djbdns. Преимущество MyDNS в том, что он просто читает записи из базы, и нет необходимости перезапускать службу в случае изменения записей зоны или создания/редактирования/удаления. Вторичный DNS сервер может быть легко установлен с доступом к той же бае, или для большей отказоустойчивости, можно использовать master / slave репликацию в MySQL.

MyDNSConfig это простой веб-интерфейс к MyDNS. MyDNSConfig может создавать все типы DNS записей, доступные в MyDNS и дополнительно имеет функции по управлению пользователями и правами доступа

1 Начальные данные

Мой сервер имеет имя server1.example.com с IP адресом 192.168.0.100. Далее...

Хочу представить одну незамысловатую утилиту с именем DNS-add, с помощью которой можно добавить DNS сервера в Linux или Unix. Практической ценности я в ней вижу мало, отредактировать /etc/resolv.conf достаточно просто и руками

Ссылка для скачивания - : http://sourceforge.net/projects/isp-fw/files/DNS-add/

Итак, приступаем:Далее...

Недавно я случайно обратил внимание что команда NSLOOKUP на моем SBS 2008 сервере не может вернуть локальное ДНС имя сервера. В то время как все другие хосты прекрасно резолвились и никаких проблем замечено не было. Я заметил, что nslookup использует адрес IPv6, который не отключен на сервере и понял в чем проблема. На моем DNS сервере не было создана PTR запись для сервера.

Вот как можно решить данную проблему:Далее...

Продолжаем знакомиться с замечательной командой DNSCMD, которая будет незаменима для управления DNS сервером, который запущен под управлением Windows Server Core. В прошлой статье мы рассмотрели использование серверов пересылки и их настройку с помощью DNSCMD. В этой статье мы рассмотрим настройку серверов условной пересылки. Условная пересылка это пересылка запросов на другие сервера только для определенных доменных имен. Условная пересылка позволяет DNS серверу перенаправлять запросы о различных DNS адресах на различные сервера.

Для настройки условной пересылки вы должны указать домен и один или более IP адресов DNS серверов, которые могут разрешить запрос направленный в этот домен.Далее...

Мы продолжаем рассматривать управление DNS сервером в среде Windows Server Core с помощью команды DNSCMD, и сегодня у нас на очереди настройка серверов пересылки. Сервера пересылки это специальные DNS сервера, которые вы назначали для обработки клиентских запросов, которые основной DNS сервер не может или не должен обрабатывать. DNS клиенты обычно выполняют рекурсивные запросы к серверу, ожидая правильного (успешного или неудачного) отклика. Когда DNS сервер получает клиентский запрос и на нем настроен сервер пересылки, DNS сервер посылает рекурсивный запрос на данный сервер.Далее...

Если ваш DNS сервер запущен в Windows Server Core, вы можете настраивать передачу зон вашего DNS сервера с помощью команды DNSCMD. Зоны, интегрированные в AD DS хранят свою информацию в AD и передают эту информацию между контроллерами домена с помощью репликацию AD. Стандартные зоны, хранящие свои данные в файлах зоны реплицируют эту информацию с помощью процесса, называемого передачей зоны. Когда происходит передача зоны, основной DNS сервер для зоны передает информацию на дополнительный DNS сервер. В этой ситуации, основной DNS сервер называют первичным DNS сервером (master) для зоны.

Первичный сервер указывается когда вы создаете дополнительную зону. Однако впоследствии вы можете указать другой первичный сервер с помощью Dnscmd. К примеру, если вы изменили первичный DNS сервер для зоны hr.fabrikam.com zone с SEA-SC2 (172.16.11.31) на SEA-SC4 (172.16.11.33), тогда вы должны использовать следующую команду для настройки нового первичного сервера на сервере SEA-SC1:Далее...

Итак, в предыдущих статьях из этой серии мы научились создавать зону прямого просмотра, добавлять в неё записи ресурсов. В этой статье я покажу как с помощью DNSCMD можно создать зону на обратного просмотра.

В основном вам пригодятся данные знания в скриптах для автоматизации или если вы управляете DNS сервером в Windows Server Core. В то время как зона прямого просмотра называется в соответствии с FQDN домена, зона обратного просмотра называется в соответствии с следующим правилом:

[Октеты относящиеся к адресу сети в реверсном порядке].in-addr.arpa.Далее...

Продолжаем работать с управлением DNS сервера из командной строки с использованием утилиты DNSCMD. Рассмотрим примеры создания прямой зоны просмотра на следующих примерах:

1. Используя DNSCMD создадим основную зону прямого просмотра с именем research.fabrikam.com на DNS сервере SEA-SC4 и поместим базу данных этой зоны в файл  research.dns. 

<strong>dnscmd SEA-SC4 /zoneadd research.fabrikam.com /primary /file research.dns</strong>

2. Используя DNSCMD создадим основную зону прямого просмотра интегрированную в AD DS с именем marketing.fabrikam.com на DNS сервере SEA-SC1, который одновременно является контроллером домена:Далее...

В данном кратком руководстве я расскажу как создать запись ресурса в DNS сервере с помощью командной строки.

Если ваш DNS сервер запущен на Windows Server Core, вы можете создать запись для ресурса из командной строки используя команду DNSCMD. Для примера, давайте создадим A запись в домене fabrikam.com на полномочном DNS сервере SEA-SC1 для сервера SEA-SRV8, который имеет IP-адрес 172.16.11.75:

<strong>dnscmd SEA-SC1 /recordadd fabrikam.com SEA-SRV8.fabrikam.com. /aging /openacl A 172.16.11.75</strong>

Проверим результатДалее...

Для просмотрта существующих зон на DNS сервере из командной строки можно использовать команду Dhscmd.

К примеру, для просмотра зон на локальном DNS сервере введите следующую команду:

C:\Users\administrator><strong>dnscmd /enumzones</strong>    
   Enumerated zone list:    
          Zone count = 3    
    Zone name                      Type       Storage         Properties    
   .                              Cache      AD-Domain    
     _msdcs.fabrikam.com            Primary    AD-Forest       Secure    
     fabrikam.com                   Primary    AD-Domain       Secure

Далее...

Вопрос. С помощью какой команды можно узнать SOA запись в DNS для любого домена из шелла UNIX / Linux shell?

Ответ. получить SOA (start of authority record) - запись о сервере, хранящем эталонную конфигурацию в DNS, можно с помощью команд dig или host в UNIX или Linux.

Получаем SOA используя команду host

<code>$ host -t soa {domain.com}
$ host -t soa ya.ru</code>

Далее...

Если вы хотите экспортировать dns записи в текстовый или CSV файл из DNS сервера выполните следующие шаги:

Решение 1

Это решение работает в Windows Server 2003/2000

Нажмите кнопку Start –> programs –> administrative tools –> DNS.

Когда панель управления DNS октроется, нажмите плюс напротив имени сервера и вы должны увидеть в списке зоны прямого и обратного просмотра. Правой кнопкной нажмите на имени сервера и в контекстном меню выберите опцию “export list…”

Далее вы увидите диалоговое окно для сохранения файла. Выберите месторасположение для файла, введите имя файла, и ниже укажите тип файла, который вы хотите получить: тестовый, или csv. Далее...

Dig (domain information groper) это гибкая утилита для "опрашивания" DNS серверов. Она выполняет просмотр DNS и отображает ответы, полученные от name сереров. Большинство DNS администраторов используют dig для выявления проблем в DNS так как данная утилита гибка, легка в применении и дает понятный вывод данных. Другие подобные утилиты обычно имеют меньше функциональности чем dig.

Dig имеет огромный список опций и по ним можно сделать большую статью. Возможно позднее я и напишу подобное.Далее...

Данная утилита, входящая в состав дистрибутива Backtrack 2, позволяет введя диапазон IP адресов, получить соответствующие этим адресам DNS-записи очень быстро и просто.

Мы используем такую команду:

<em>dns-ptr 69.41.185.195 20</em>

BIND 9 это часть ядра FreeBSD 7.x. Каким образом применить патч безопасности, связанный с недавними обновлениями крупнейших DNS серверов из за уязвимости в архитектуре DNS, в FreeBSD 7. Нужно ли скачивать целиком исходный код для того, чтобы пропатчить BIND 9? Далее...

Для компаний, рассматривающих возможный апгрейд до Windows Server 2008, очень важно понимать как DHCP и DNS работают совместно. В этой статье мы рассмотрим, как DHCP конфигурируется на совместную работу с DNS и WINS.

Во времена Windows NT, службу DNS была статичной и все изменения необходимо было вносить вручную. С появлением Windows 2000, многие администраторы были обрадованы появлением новой возможности Dynamic DNS (DDNS). По существу, DDNS, в связке с DHCP и Active Directory мог обеспечить безопастные динамические обновления A и PTR записей в DNS. Далее...