[ Pobierz całość w formacie PDF ]
.Czy na pewno czytelnik chcia³by aby ka¿dy mia³ dostêp do takich informacji? Niew mojej sieci! Na wiele z tych pytañ odpowiadaj¹ rozdzia³y 9 i 10.Wszystko to oczywiœcie zale¿y od struktury organizacji i polityki dostawcyus³ug.Nasza porada: czytelnik zarz¹dzaj¹cy dowolnymi zasobami powinien przej¹ætyle kontroli nad us³ugami sieciowymi, ile tylko mo¿e.Jeœli ma siê kontrolê nad sieci¹, wprowadzanie zmian jest ma³o k³opotliwe imo¿na wyegzekwowaæ w³asne wymagania co do bezpieczeñstwa i danych które wolnopublikowaæ.Dostawca us³ug internetowych mo¿e stawiaæ opór; niektórzy dostawcynie bêd¹ chêtni do oddelegowania bloku adresów i zezwolenia na prowadzenieprzez organizacjê w³asnych us³ug DNS.W takim przypadku lepiej rozejrzeæ siê zanowym dostawc¹.Pod³¹czenie do sieci i instalacja serwerów.Teraz, gdy zarejestrowaliœmy domenê, posiadamy po³¹czenie z Internetem ipodjêliœmy podstawowe decyzje co do architektury sieci, pora zacz¹æ instalowaæserwery.Zak³adamy, ¿e ISP zgodzi³ siê na prowadzenie przez nas w³asnej us³uginazewniczej, co oznacza zainstalowanie serwera podstawowego (master).Nale¿yrównie¿ zadecydowaæ, czy potrzebne bêd¹ lokalne lub zdalne serwery wtórne(slave).Pierwszym krokiem do ustalenia tych wymagañ jest przegl¹d strukturyorganizacyjnej i architektury sieci zatrudnionej do przesy³ania danych.Pytaniao iloœæ serwerów nazw i ich lokalizacjê mog¹ zostaæ skomplikowane przezistniej¹ce ju¿ strategie bezpieczeñstwa sieci.Czy serwery nazw maj¹ dzia³aæzza zapór sieciowych (firewall)? Ile w sieci wykorzystanych bêdzie ruterów i³¹cz sieci rozleg³ych (WAN)? Jakie bêd¹ prêdkoœci wykorzystanych ³¹czy WAN? Czyktóreœ z ³¹czy WAN bêd¹ typu po³¹czenia na ¿¹danie (dial-on-demand)? Ponadto,jak du¿a jest organizacja i ile nale¿y utworzyæ poddomen?Poni¿sza lista kontrolna mo¿e pomóc w procesie:[Podpisaæ] kontrakt o œwiadczenie us³ug z ISP.Uzyskaæ po³¹czenie z Internetem.Otrzymaæ przydzia³ adresów IP.Zainstalowaæ sieæ i przetestowaæ podstawow¹ ³¹cznoœæ (ruting i protoko³y).Upewniæ siê o dostêpie do Internetu testuj¹c poleceniem ping adresy IP.Upewniæ siê czy mo¿na po³¹czyæ siê ze zdalnymi komputerami przez us³ugi telneti ftp oraz sprawdziæ przepustowoœæ przy ³adowaniu danych.Uruchomiæ us³ugê nazewnicz¹ za pomoc¹ podstawowego serwera DNS i przynajmniejjednego wtórnego (lub, w przypadku Active Directory, wielokrotnych serwerówpodstawowych).Dokonaæ rejestracji hostów dla serwerów nazw które chcemy zarejestrowaæ.Dokonaæ rejestracji domeny organizacji, ³¹cznie z w³aœnie zarejestrowanymihostami.Zape³niæ bazy danych (strefy) serwerów DNS organizacji wymaganymi danymi.Przetestowaæ dzia³anie wszystkiego, najlepiej ze zdalnej lokacji (w poleceniunslookup wybraæ zdalny serwer nazw o obs³ugi zapytañ w obrêbie naszej domeny).Zacz¹æ zamartwiaæ siê o bezpieczeñstwo, poniewa¿ teraz ju¿ jesteœmy „w sieci”.Dla ma³ego przedsiêbiorstwa na pocz¹tek pojedyncza domena bêdzie idealniewystarczaj¹ca i zdecydowanie ³atwiejsza do zarz¹dzania.Jeœli organizacja jest wiêksza i geograficznie rozrzucona, warto zastosowaæpoddomeny — zgodnie z podzia³em na departamenty lub regiony.Oœrodki stosuj¹cezapory firewall musz¹ rozwa¿yæ problemy projektowe.Czy nale¿y utworzyæ„dziurê” w zaporze pozwalaj¹c¹ na bezpoœredni ruch danych serwera nazw? Czyzainstalowaæ i utrzymywaæ dwa oddzielne serwery (jeden wewn¹trz zaporysieciowej, drugi na zewn¹trz), czy te¿ zewnêtrzny ma byæ serwerem wtórnym dladomeny? W przypadku rozdzielonego serwera DNS (z ang.split-brain), gdypodstawowe serwery nazw istniej¹ po obu stronach zapory, zewnêtrzny serwerpodstawowy publikuje jedynie hosty które zdaniem organizacji powinny byæwidoczne z zewn¹trz.Wewnêtrzny serwer podstawowy posiada wpisy dla wszystkichhostów w domenie, lecz skonfigurowany jest tak, aby przekazywaæ do zewnêtrznegoserwera DNS wszystkie zapytania dotycz¹ce hostów spoza domeny (stref) serwera.Wewnêtrzny serwer podstawowy mo¿e równie¿ byæ podporz¹dkowany (slave) wobeczewnêtrznego, pozostaj¹c przez to w ukryciu dla reszty Internetu.Jeœlipodjêliœmy decyzjê, aby ISP obs³ugiwa³ czêœæ naszego DNS-u, zaleca siê abydostawca us³ug obs³ugiwa³ serwer podstawowy dla naszej domeny, lecz jedynie dlahostów znanych [publicznie], co pozwoli na zmniejszenie potrzeby utrzymywaniawielu serwerów podstawowych w oœrodku.Organizacje rozproszone geograficznie czêsto korzystaj¹ z [wielokrotnietrasowanych] po³¹czeñ z ró¿nymi biurami.Jeœli w skali przedsiêbiorstwa stosujesiê Windows 2000, zdalne kontrolery domen najprawdopodobniej œwiadczyæ bêd¹us³ugi nazewnicze.Wykorzystanie Active Directory znacznie upraszczazarz¹dzanie takimi serwerami, poniewa¿ wszystkie serwery nazw publikuj¹ te samewspó³dzielone informacje pochodz¹ce z Active Directory.Jeœli nie stosuje siêWindows 2000 w skali ca³ego przedsiêbiorstwa, nale¿y przeanalizowaæ wzorceruchu w sieci organizacji aby okreœliæ, jaka czêœæ ruchu sieciowego kierowanajest do hostów wewnêtrznych w stosunku do zewnêtrznych.Jeœli wiêkszoœæ ruchukierowana jest do hostów wewnêtrznych, rozs¹dnie jest zainstalowaæ serwerywtórne w odleg³ych biurach.Jeœli w ka¿dym takim biurze bêdzie znajdowa³ siêserwer wtórny, wiêkszoœæ zapytañ do us³ugi nazewniczej obs³ugiwana bêdzielokalnie w biurze.Rozdzia³y 9 i 10 opisuj¹ cechy [w³aœciwe] dla tych rozwi¹zañi ich implementacjê.Dokonywanie zmian w serwerze nazwNie nale¿y zmieniaæ adresu IP serwera nazw.Od czasu do czasu mo¿e byæ tojednak konieczne.Na przyk³ad, mo¿e zmieniæ siê ISP obs³uguj¹cy nasz publicznyDNS.Sama zmiana adresu IP hosta jest ³atwa, lecz aby unikn¹æ przerw wdzia³aniu us³ugi nale¿y zaplanowaæ odpowiednio operacjê.W przypadku zmianyadresu IP serwera nazw nale¿y przedsiêwzi¹æ kilka prostych lecz niezwyklewa¿nych kroków.Jeœli serwer nazw jest zarejestrowany w InterNIC, informacja onowym adresie IP musi byæ zg³oszona w InterNIC z wykorzystaniem formularzamodyfikacji hosta (host-modification template).Jeœli serwer nazw jest typupodstawowego, formularz zmian staje siê o wiele wa¿niejszy.W przypadkuprzenosin na nowe miejsce, nale¿y oprócz danych hosta uaktualniæ nasze danekontaktowe (NIC Handle).Jeœli zmieniamy jedynie dostawcê us³ug internetowych,wymagany jest jedynie formularz modyfikacji hosta, który pos³u¿y równie¿ doodpowiedniego uaktualnienia bazy danych whois.Informacje dotycz¹ce zmianadresu IP serwera nazw przedstawia rozdzia³ 13, zaœ formularze i szczegó³yrejestracji i modyfikacji w InterNIC – dodatek D.Na szczêœcie jedynie serwery podstawowe i wtórne stanowi¹ krytyczn¹ czêœæca³ego procesu i aby u³atwiæ sobie ¿ycie mo¿na przedsiêwzi¹æ szereg kroków.Jeœli to tylko mo¿liwe, nowe adresy IP (i w miarê mo¿liwoœci nowe po³¹czenia)nale¿y skonfigurowaæ ze znacznym wyprzedzeniem przed zg³oszeniem zmian wInterNIC.Posiadanie nowej lokalizacji lub nowego po³¹czenia daje nam mnóstwoczasu na testy nowej konfiguracji przed dokonaniem jakichkolwiek powa¿nychzmian.Jeœli przenosimy siê do nowej lokalizacji dysponuj¹c integracj¹ ActiveDirectory w Windows 2000, uruchomienie nowego serwera nazw polega jedynie nadodaniu komputera w roli replikowanego serwera podstawowego
[ Pobierz całość w formacie PDF ]