Kłopotliwy DNS

Firmy planujące migrację do Windows 2000 mogą napotkać problem integracji dotychczas stosowanych serwerów DNS z nowym systemem Microsoftu.

Firmy planujące migrację do Windows 2000 mogą napotkać problem integracji dotychczas stosowanych serwerów DNS z nowym systemem Microsoftu.

Duże firmy planujące migrację do Windows 2000 coraz częściej zarzucają Microsoftowi, że system nazewnictwa komputerów oparty w całości na usługach katalogowych Active Directory oraz usłudze DNS (Domain Name System) nie jest w pełni standardowy. Microsoft konstruując DNS w Windows 2000 nie korzystał bowiem wyłącznie z zatwierdzonych standardów i w niektórych przypadkach zdecydował się zastosować ich robocze wersje. Prowadzi to do niekompatybilności DNS-u Windows 2000 z serwerami DNS innych producentów.

Dynamiczny, znaczy lepszy?

Windows 2000 wyposażony jest w tzw. dynamiczny DNS, który od tradycyjnych serwerów DNS różni się tym, że może być automatycznie aktualizowany poprzez stacje robocze włączające i odłączające się od sieci. Z jednej strony jest to rozwiązanie wygodne dla administratora, gdyż zwalnia go z konieczności ręcznego dokonywania wpisów w DNS, ale z drugiej - może prowadzić do powstania zamieszania we wpisach DNS (nie zawsze bowiem administratorzy chcą umieszczać na tych serwerach informacje o wszystkich stacjach roboczych). Windows 2000 nie daje jednak możliwości niestosowania dynamicznego DNS-u.

Microsoft zdecydował się również zaimplementować w Windows 2000 nie zatwierdzoną jeszcze oficjalnie przez komitet normalizacyjny IETF propozycję nowego standardu DHCP, który umożliwia, oprócz przyznania numeru IP stacji roboczej, zadanie pytania o nazwę i wpisanie jej do DNS-u. Przy takiej automatycznej aktualizacji mogą wystąpić problemy, gdy funkcji serwera DNS nie będzie pełnić serwer Windows 2000.

Lepszy od standardów

Zdecydowana większość serwerów DNS pracujących w Internecie wykorzystuje darmowe oprogramowanie serwera DNS o nazwie BIND (Berkeley Internet Name Domain). takie mogą replikować informacje domenowe przechowywane na serwerach DNS Windows 2000. Nie jest to jednak bezpieczne dlatego że Microsoft również w dziedzinie replikacji zaimplementował dopiero proponowaną wersję standardu.

Kłopotliwe dla użytkowników oprogramowania BIND i innych serwerów DNS jest wykorzystanie przez Microsoft znaku podkreślenia (_) w specjalnych, nowych wpisach SRV kierujących użytkowników do określonych usług systemowych, takich jak Active Directory, Kerberos, usługi plików i drukowania itp. Wykorzystanie znaku podkreślenia nie było bowiem dotychczas dopuszczalne w DNS, ma to umożliwić dopiero nowa wersja standardu, dostępna obecnie wyłącznie jako propozycja standardu.

Microsoft doradza użytkownikom oprogramowania BIND i innych serwerów DNS wyłączenie opcji sprawdzania błędów wtedy, gdy uczestniczą one w replikacji rekordów DNS z serwerami Windows 2000. Wybranie takiego wariantu może spowodować pomyłki w innych, ręcznie wprowadzanych wpisach.

Panaceum

Administratorzy, którzy nie chcą udostępniać w Internecie pełnych informacji o konfiguracji zarządzanych domen Windows 2000, powinni stworzyć dwie struktury DNS-u. Pierwsza, korporacyjna, zawierająca wszelkie informacje o domenach, musi pracować na serwerach Windows 2000 (jest ona niezbędna dla usług katalogowych Active Directory). Druga, przeznaczona dla użytkowników Internetu, może zawierać wyłącznie statyczne wpisy i działać zarówno pod kontrolą Windows 2000 (nie może w tym przypadku replikować informacji z intranetowym serwerem DNS), jak i dowolnego systemu wyposażonego np. w oprogramowanie BIND.


TOP 200