Witajcie

W dzisiejszym odcinku pora na kilka słów o ciekawych opcjach strefy i serwera DNS. Poniżej pokażemy krótko kilka opcji, o których nie było mowy w poprzednich dwóch odcinkach. Funkcje, które przedstawię dziś pozwalają na precyzyjne “dostrojenie” funkcjonowania serwera i stref do potrzeb wdrożonej w naszej organizacji infrastruktury IT. Pierwszą zakładką do jakiej uzyskujemy dostęp po wybraniu z menu kontekstowego właściwości strefy jest zakładka “ogólne” (rys. 1). Z jej poziomu możliwe jest wstrzymanie funkcjonowania danej strefy, zmiana typu strefy pomiędzy główną, wtórną i skrótową oraz zablokowanie lub włączenie dynamicznych aktualizacji rekordów zasobów.

Rys. 1. Ogólne właściwości strefy DNS. 

Z poziomu tej zakładki możemy również uzyskać dostęp do opcji popularnie zwanych “aging” i “scavenging” (rys. 2). Ich odpowiednie zdefiniowanie umożliwia określenie interwałów czasu w jakich rekordy zasobów będą odświeżane (“aging”), a stare rekordy zasobów (np. takie dla których usunięty został rekord typu A) usuwane (“scavenging”).

 Rys. 2. Definiowanie interwałów czasu odświeżania i usuwania rekordów zasobów. 

Kolejnym istotnym zestawem parametrów, są właściwości rekordu SOA (rys. 3). Wśród nich możliwe jest zdefiniowanie takich zmiennych jak czas “życia” rekordu (TTL), interwał czasu odświeżania, ważności rekordu, a także wskazanie głównego serwera DNS. Jako że pozostałe właściwości strefy DNS były już omawiane w poprzednich odcinkach czas przejść do właściwości serwera, o których jak dotąd nie było mowy.

  Rys. 3. Właściwości rekordu SOA. 

Jedną z najważniejszych opcji serwera jest możliwość wyboru na jakich interfejsach będzie dostępna usługa rozwiązywania nazw (rys. 4). Lista interfejsów obejmuje w tym wypadku wszystkie interfejsy logiczne tak więc wszystkie adresy IP przypisane do pojedynczego fizycznego portu traktowane są niezależnie. 

   Rys. 4. Wybór interfejsów, na których dostępna będzie usługa DNS. 

Kolejną niesłychanie istotną opcją jest zdefiniowanie serwerów DNS, do których nasz serwer będzie przekazywał zapytania w przypadku niemożności rozwiązania nazwy (rys. 5). Praktyka definiowania dodatkowych serwerów DNS jest powszechnie przyjęta w procesie wdrażania usługi Active Directory. Dodatkowy serwer do którego przekazujemy zapytania jest wtedy umieszczany w strefie DMZ w celu uniknięcia widoczności kontrolerów domen naszej organizacji z sieci zewnętrznej.

   Rys. 5. Definicja serwerów DNS, do których będą przekazywane zapytania DNS. 

Kolejnym zestawem właściwości możliwych do zdefiniowania są właściwości ukryte w zakładce zaawansowane (rys. 6). Zakładka ta umożliwi użytkownikowi włączenie automatycznego oczyszczania nieaktualnych rekordów zasobów, wybór trybu ładowania strefy podczas uruchamia serwera i sposób sprawdzania nazw. Wśród pozostałych właściwości dostępne są opcje wyłączenia przesyłania zapytań rekursywnych (czego skutkiem będzie możliwość rozwiązywania nazw tylko ze stref przechowywanych na danym serwerze), wyłączenia przyspieszonego transferu stref w celu zapewnienia kompatybilności z serwerami DNS opartymi o alternatywne systemy operacyjne oraz opcje bezpieczeństwa i równoważenia obciążenia sieciowego szerzej opisane w bibliotece Technet.

    Rys. 6. Zaawansowane właściwości serwera DNS. 

Fundamentalną dla poprawnego działania zakładką jest zakładka “Root Hints” (rys. 7). Za jej pomocą edytować możemy dane 13 głównych autorytatywnych serwerów DNS. Jak można się w tym przypadku domyślić usunięcie danych wszystkich serwerów głównych mogłoby spowodować niemożność rozwiązywania nazw DNS spoza naszej organizacji.

     Rys. 7. Zaawansowane właściwości serwera DNS. 

Ciekawymi opcjami są również możliwości rejestrowania pakietów w celu ich późniejszej analizy (rys. 8) i zdefiniowanie jakiego typu zdarzenia mają być zapisywane w rejestrze zdarzeń (rys. 9). Wymagać można zapisu wszystkich zdarzeń, błędów, lub błędów i ostrzeżeń. Dostępna jest także opcja wyłączenia rejestrowania zdarzeń.

      Rys. 8. Opcje rejestrowania pakietów przesyłanych przez serwer DNS. 

       Rys. 9. Opcje rejestrowania zdarzeń generowanych przez serwer DNS. 

Ważną opcją jest możliwość generowania prostych i rekursywnych zapytań testowych, a także możliwość powtarzania procedury testowej co zadany okres czasu (rys. 10).

       Rys. 10. Procedury autotestowania serwera DNS.

Oczywiście dociekliwym czytelnikom polecam dalszą lekturę, dzięki której będą mogli zgłębić szczegółowo wszystkie dostępne opcje serwerów i stref DNS. W naszym mini cyklu obejmującym zagadnienia związane z serwerem DNS docieramy powoli do odcinka czwartego, w którym opowiem o zaletach integracji usługi DNS z usługą katalogową Active Directory oraz zmianach w sposobie administracji serwerem jakie taka integracja powoduje.

Bartosz Pawłowicz

Witajcie

Po dłuższej przerwie w pisaniu spowodowanej wieloma perypetiami powracamy do naszego mini cyklu o podstawach zarządzania serwerem DNS. Już na wstępie zaznaczę, że gdy sam przyjrzałem się jeszcze raz pierwszemu odcinkowi zamieszczonemu na tym blogu uznałem, że tematyka poświecona konfiguracji serwera DNS pracującego w oparciu o system Windows Server musi być nieco poszerzona. Choć pierwotnie zakładałem, że tematyka DNS zmieści się w 2 odcinkach to jednak dziś po przyjrzeniu się całości stwierdzam, że będzie jeszcze jeden lub dwa dodatkowe odcinki. Dziś przybliżę wszystkim czytelnikom proces tworzenia strefy wtórnej (secondary zone), co umożliwi przede wszystkim zabezpieczenie serwera DNS pracującego w naszej sieci oraz utworzenie dodatkowego węzła, do którego będą kierowane zapytania DNS w razie gdybyśmy wymagali tej funkcjonalności ze względu na duże obciążenie sieci. W tym momencie zakładam, że wszyscy czytelnicy zapoznali się już z treścią wszystkich moich poprzednich wpisów na blogu i wystarczającym będzie jeśli powiem, że dysponujemy już dwoma serwerami (o nazwach DNS1 i DNS2), które mają w pełni skonfigurowaną łączność sieciową i zainstalowane role serwera DNS. Na serwerze DNS1 została dodatkowo utworzona i skonfigurowana strefa główna (primary zone) ita.local. W strefie zdefiniowano rekordy typu A dla obu serwerów DNS i dla dwóch komputerów klienckich (rys.1).

Rys. 1. Strefa DNS utworzona na serwerze głównym.

Aby utworzyć strefę wtórną uruchamiamy na serwerze DNS2 kreatora konfiguracji strefy i w oknie wyboru typu strefy wybieramy opcję “secondary zone” (rys. 2). Należy w tym miejscu zaznaczyć, że mechanizm tworzenia strefy skrótowej (stub zone) jest identyczny jak tworzenia strefy wtórnej. Jedyną różnicą z punku widzenia użytkownika jest konieczność wyboru tej opcji w kreatorze strefy. Warto jednak pamiętać, że po utworzeniu strefy skrótowej nie mamy do czynienia z kopią całej strefy lecz tylko wybranych rekordów.

Rys. 2. Okno wyboru typu strefy.

W kolejnym kroku zdefiniować musimy nazwę strefy. Ponieważ tworzymy kopię strefy głównej przechowywanej na innym serwerze to nazwa tworzonej strefy będzie taka sama jak nazwa zdefiniowanej wcześniej strefy głównej (rys. 3).

Rys. 3. Definicja nazwy strefy.

Konieczne jest też wybranie nadrzędnego serwera DNS przechowującego strefę którą będziemy kopiować (rys. 4). Może to być, ale nie musi serwer przechowujący strefę główną. Jako serwer nadrzędny możemy wskazać serwer, przechowujący tylko strefę wtórną. W takim przypadku tworzona przez nas strefa będzie kopią kopii strefy głównej. Zaznaczyć należy, że wskazać możemy kilka serwerów, które będą serwerami nadrzędnymi będącymi źródłem danych dla konfigurowanego przez nas serwera. Serwery te mogą być serwerami przechowującymi tylko strefy wtórne. Jak można również zauważyć możemy wybrać wersję protokołu IP jaką posłużymy się podczas komunikacji między serwerami DNS. Domyślnie test poprawnego rozwiązania nazwy serwera nadrzędnego wykonywany jest dla protokołu w wersji 4 i w wersji 6.

Rys. 4. Wybór serwera nadrzędnego.

Jeśli wszystkie powyższe kroki wykonaliśmy poprawnie to teoretycznie powinniśmy być w stanie dokonać transferu strefy. Niestety bezpośrednio po zakończeniu powyższych czynności zazwyczaj pojawi się komunikat o odmowie dostępu i niemożności załadowania strefy (rys. 5). Aby umożliwić poprawną replikację strefy DNS należy zezwolić na transfer stref przez nadrzędny serwer DNS.

Rys. 5. Błąd transferu strefy.

Aby tego dokonać należy we właściwościach strefy w zakładce transfery stref (zone transfers) zezwolić na transfery i wybrać jedną z trzech dostępnych opcji. Jeśli strefa wtórna, którą skonfigurowaliśmy jest pierwszą strefą na serwerze DNS wtedy najwygodniej jest wybrać opcję zezwolenia na transfer stref do każdego serwera DNS. Mamy oczywiście również możliwość zezwolenia na transfer tylko do wskazanych serwerów DNS, ale jest to możliwe jeśli serwer, do którego ma zostać skopiowana strefa jest już pełnoprawnym serwerem DNS co oznacza, że jakaś strefa musi być już na nim zdefiniowana. W innym przypadku otrzymamy komunikat (rys. 6) o tym, że serwer nie jest serwerem autorytatywnym dla danej strefy i replikacja stref do danego serwera nie będzie możliwa. Możemy również użyć listy serwerów autorytatywnych zdefiniowanych w zakładce serwery nazw (name servers) ale w naszym przypadku posiadania serwera DNS, który będzie przechowywał tylko jedna strefę wtórną również obowiązuje wspomniane wcześniej ograniczenie.

Rys. 6. Wybór serwerów uprawnionych do transferu stref.

W omawianym przypadku jedynym możliwym wyborem jest wiec zezwolenie na transfer strefy do wszystkich serwerów (rys. 7). Należy tu jednak zaznaczyć, że po wykonaniu pierwszego transferu strefy możliwa i konieczna jest zmiana tego ustawienia bowiem serwer, do którego dokonujemy transferu staje się pełnoprawnym serwerem DNS i możliwe jest wskazanie go jako autorytatywnego serwera DNS dla danej strefy. 

Rys. 7. Zezwolenie na transfer stref do wszystkich serwerów DNS

W kolejnym kroku możliwe jest wykonanie transferu strefy. Dokonujemy tego poprzez wskazanie odpowiedniej opcji w menu kontekstowym utworzonej strefy wtórnej (rys. 8). Po zakończeniu tego procesu konieczne może być odświeżenie zawartości konsoli zarządzania serwerem DNS.

Rys. 8. Transfer strefy z serwera nadrzędnego.

Po pomyślnym wykonaniu transferu możliwe jest “podejrzenie” właściwości zdefiniowanej strefy wtórnej. Jak można się przekonać (rys. 9) większość opcji i właściwości strefy będzie niedostępna co oznacza, że mamy do czynienia ze strefą wtórną i chcąc ją zmodyfikować konieczna jest zmiana ustawień na serwerze przechowującym strefę główną.

Rys. 9. Ograniczenia edycji właściwości strefy wtórnej.

Możliwe jest jednak dokonanie konwersji strefy (rys. 10). Oznacza to, że w razie konieczności możliwe jest przekształcenie strefy wtórnej w strefę główną lub w strefę skrótową.

Rys. 10. Zmiana typu strefy.

Po wykonaniu wcześniejszych kroków możliwe jest wprowadzenie serwera przechowującego strefę wtórną na listę serwerów autorytatywnych dla danej domeny DNS (rys. 11).

Rys. 11. Zdefiniowanie dodatkowego autorytatywnego serwera DNS.

Dzięki temu do zdefiniowanej wcześniej strefy (rys. 12) zostanie dodany rekord autorytatywnego serwera nazw wskazujący na serwer DNS2 przechowujący strefę wtórną. Dodanie tego rekordu jest informacją o tym, że w domenie istnieją dwa autorytatywne serwery i w razie braku odpowiedzi z jednego z nich drugi będzie w stanie rozwiązać każdą nazwę z danej domeny.

Rys. 12. Strefa DNS z dodatkowym rekordem NS.

Jak pamiętamy w pierwszym odcinku uruchomiliśmy serwer DNS. Obecnie wiemy już jak wdrożyć dodatkowy serwer, który zwiększy niezawodność naszej infrastruktury i odpowiednio skonfigurować strefy przechowywane na naszych serwerach. Więcej o możliwościach definiowania ustawień stref i serwerów DNS opowiem już w następnym odcinku.

Bartosz Pawłowicz

Witajcie

Po wielu perypetiach właśnie zamieszczam tekst do rysunków z początku bieżącego miesiąca. Za opóźnienia wszystkich wiernych czytelników bardzo przepraszam. Dzisiejszy (i nie tylko) temat to podstawy zarządzania serwerem DNS. Jak wiemy usługa rozwiązywania nazw jest jedną z najważniejszych usług sieciowych. DNS jest przy tym protokołem dość dobrze opisanym tak więc po informacje szczegółowe na temat tej usługi i samego protokołu odsyłam wszystkich zainteresowanych do jego opisu na wikipedii w wersji polskiej i angielskiej. Teraz zaś do rzeczy – czyli instalacji i podstawowej konfiguracji serwera DNS w oparciu o Windows Server 2008. W celu demonstracji tego zagadnienia posłużymy się trzema maszynami. Pierwszą z nich jest sam serwer, na których zainstalujemy rolę serwera DNS. Pozostałe dwie maszyny to maszyny klienckie oparte o leciwy już (choć wystarczający do celów demonstracji rozwiązywania nazw) system Windows XP. Maszynom zostały przyporządkowane następujące numery IP:

192.168.10.1 – Windows Server 2008 / serwer DNS o nazwie DNS-SRV1

192.168.10.10 – Windows XP / Klient nr 1 o nazwie WXP-CL1

192.168.10.20 –  Windows XP / Klient nr 2 o nazwie WXP-CL2

Nie opisuję na tym etapie szczegółowo konfiguracji adresów IP bowiem proces ten powinien być czytelnikom doskonale znany z poprzednich moich tekstów. Warto natomiast wspomnieć, że wymienione nazwy nie są nazwami FQDN (Fully Qualified Domain Name) poszczególnych maszyn lecz ich nazwami NetBIOS na podstawie, których w dalszym etapie zdefiniujemy nazwy FQDN. W odpowiednim momencie wyłączymy również obsługę protokołu NetBIOS co spowoduje, że rozwiązywanie nazw oparte o ten protokół będzie niemożliwe – pozostanie tylko DNS. Aby mówić o serwerze DNS opartym o system Windows Server 2008 musimy zainstalować wspominaną wcześniej rolę (rys. 1). Warto w tym przypadku wspomnieć, że serwer DNS może tutaj działać w dwóch trybach. Pierwszy z nich, którym zajmiemy się w bieżącym i kolejnym odcinku to niezależny serwer DNS przechowujący zdefiniowane przez administratora strefy DNS. Drugim z trybów pracy serwera DNS jest integracja z usługą Active Directory. Jest to bardzo specyficzny tryb pracy bowiem podczas promocji kontrolera domeny serwer DNS instalowany jest domyślnie. Domyślnie też tworzony jest zestaw stref odpowiadający zdefiniowanej domenie AD. Szczegółowo tym trybem pracy serwera DNS zajmiemy się w kolejnych odcinkach.

 Rys. 1. Instalacja roli serwera DNS. 

Po instalacji roli serwera DNS, która wymaga od administratora jedynie potwierdzenia chęci instalacji wspomnianej roli możemy za pomocą polecenia dnsmgmt.msc wywołać konsolę zarządzania serwerem DNS (rys. 2). Jak możemy zaobserwować kontenery zawierające strefy wyszukiwania w przód i strefy wyszukiwania wstecznego są puste co oznacza ze to na administratorze spoczywa obowiązek zdefiniowania stref i ich nazewnictwa. W przypadku kiedy instalujemy serwer DNS razem z kontrolerem domeny AD odpowiednie strefy i komplet wpisów są tworzone automatycznie.

 Rys. 2. Konsola zarządzania serwerem DNS. 

Kolejnym krokiem mającym na celu zademonstrowanie działania serwera DNS jest wyłączenie rozwiązywania nazw NetBIOS. Należy jednak podkreślić, że w normalnym środowisku nie ma konieczności wyłączania obsługi tego protokołu, gdyż protokoły DNS i NetBIOS mogą ze sobą współistnieć w ramach tej samej infrastruktury sieciowej chyba, że czynimy to ze względów bezpieczeństwa. Co więcej należy podkreślić, że domeny AD również mogą posiadać nazwy NetBIOS, choć stan ten utrzymywany jest raczej z konieczności zapewnienia kompatybilności wstecznej. Wyłączenia obsługi NetBIOS dokonać można przez wywołanie zaawansowanych właściwości protokołu TCPIP we właściwościach połączenia sieciowego. Odpowiednie ustawienie znajdziemy w zakładce WINS (rys. 3).

 Rys. 3. Wyłączenie rozwiązywania nazw za pomocą protokołu NetBIOS i obsługi pliku LMHOSTS. 

Aby sprawdzić efekt naszych działań na dowolnym kliencie wywołujemy konsolę i za pomocą polecenia ping + nazwa klienta testujemy rozwiązywanie nazw NetBIOS (rys. 4). Jeśli inny komputer nie odpowiada oznacza to, że obsługa protokołu NetBIOS została wyłączona. Aby zatrzymać rozwiązywanie nazw NetBIOS w obrębie całej sieci powyższą procedurę należy powtórzyć na wszystkich podłączonych maszynach (klientach i serwerach).

 Rys. 4. Nieudana próba rozwiązania nazwy za pomocą NetBIOS.

Następnie przystąpić możemy do zdefiniowania strefy wyszukiwania w przód. Odbywa się to za pomocą kreatora strefy wywoływanego po rozwinięciu prawym przyciskiem myszy menu kontekstowego dla kontenera przechowującego strefy wyszukiwania do przodu czyli takie które służą do tłumaczenia nazwy na konkretny adres IP. Po wywołaniu kreatora mamy do dyspozycji wybór strefy (rys 5). Możemy zdefiniować strefę jako strefę główną (primary), wtórną (secondary) i skrótowej (stub). Strefa główna jest strefą przeznaczoną do zapisu i odczytu. W przypadku aktualizacji rekordów DNS to właśnie do takiej strefy zapisywane są uaktualnienia. Strefa wtórna jest kopią strefy głównej przeznaczoną do odczytu. Strefy wtórne dla danej strefy głównej mogą być przechowywane na wielu serwerach, a ich zastosowanie ma na celu zwiększenie niezawodności systemu DNS i zapewnienie równoważenia obciążenia serwerów DNS w dużych sieciach. Strefa skrótowa jest zaś specjalnym typem strefy przechowującym tylko wybrane elementy strefy głównej. Jest ona stosowania w dużych sieciach połączonych łączami WAN o niskiej przepustowości. jej zastosowanie ma na celu zmniejszenie obciążenia ruchem łączy typu WAN. Świetny opis systemu DNS po polsku można również znaleźć na technecie. Zauważyć też można, że jedno dodatkowe ustawienie jest niedostępne. Jeśli korzystamy z AD to strefy zdefiniowane na serwerach domenowych mogą być przechowywane w partycjach usługi katalogowej.

 Rys. 5. Tworzenie nowej strefy głównej.

W kolejnym kroku zdefiniować możemy pełną nazwę kwalifikowaną FQDN domeny (rys. 6). Może to być nazwa domeny organizacji albo nazwa poddomeny danej organizacji. Należy też pamiętać, że nasz serwer będzie autorytatywnym serwerem dla zdefiniowanej przez nas przestrzeni nazw lub jej fragmentu. Oznacza, to że serwer ten jest w stanie rozwiązać wszystkie nazwy znajdujące się w domenie ita.local. W przypadku gdybyśmy uruchomili drugi serwer DNS obsługujący poddomenę domeny ita.local o nazwie np hr.ita.local to byłby on serwerem autorytatywnym dla poddomeny hr ale nieautorytatywnym dla ita.local. Taki serwer w przypadku otrzymania zapytania o rozwiązanie nazwy z domeny ita.local musiałby przekazać zapytanie dalej do serwera autorytatywnego dla tej domeny.

 Rys. 6. Nadawanie strefie nazwy FQDN. 

Następnie zdefiniować musimy nazwę pliku, w którym dana strefa będzie przechowywana (rys. 7). Istnieje też możliwość przywrócenia strefy z pliku.

 Rys. 7. Definiowanie nowego pliku przechowującego strefę DNS. 

Niezbędne jest też wybranie sposobu aktualizacji rekordów w strefie. Jeśli serwer DNS nie jest kontrolerem domeny AD ani serwerem członkowskim usługi Active Directory to możliwy jest jedynie wybór jedynie pomiędzy aktualizacjami dynamicznymi i brakiem aktualizacji rekordów zasobów. Do celów prezentacji zablokujemy aktualizacje automatyczne i będziemy tworzyć rekordy zasobów ręcznie. Pod pojęciem rekordów zasobów rozumiemy zestaw rekordów DNS. Listę tych rekordów znaleźć można pod tym adresem.

 Rys. 8. Definiowanie trybu aktualizacji strefy DNS. 

Po dokończeniu inicjalizacji strefy dostępne są w niej dwa rekordy utworzone domyślnie. Są to rekord SOA będący rekordem początkowym danych domeny określającym serwer przechowujący strefę główną, czas odświeżania, czas, życia rekordu, ważność itd. i rekord NS  mówiący o tym, że serwer DNS-SRV1 jest autorytatywny dla domeny ita.local. Pełną informację na temat rekordów SOA i NS można znaleźć pod adresami: http://www.immt.pwr.wroc.pl/tool/node96.html, http://www.immt.pwr.wroc.pl/tool/node97.html i http://www.immt.pwr.wroc.pl/tool/node98.html. Na tym etapie możemy też zdefiniować rekordy typu A odpowiadające translacji nazw FQDN na adresy IPv4 (rys. 9).

Rys. 9. Definiowanie rekordów w strefie DNS. 

Po zdefiniowaniu rekordów dla naszych trzech maszyn (rys. 10) możemy przystąpić do przetestowania serwera DNS.

Rys. 10. Zdefiniowane rekordy. 

Po wydaniu polecenia ping + nazwa FQDN maszyny powinniśmy otrzymać adres IP i odpowiedź danej maszyny (rys. 11) . 

Rys. 11. Rozwiązanie nazwy za pomocą serwera DNS. 

W ten sposób uruchomiliśmy samodzielnie nasz pierwszy serwer DNS. Należy jednak zaznaczyć, że to dopiero wstęp do administracji serwerem DNS. O strefach wyszukiwania wstecznego, rekordach zasobów transferach stref, delegacji i innych funkcjach i własnościach serwera DNS opowiem już w następnym odcinku.

Bartosz Pawłowicz

Witajcie

Dziś kilka słów o konfiguracji i zarządzaniu podstawowymi funkcjami serwera plików. Udostępnianie plików to jedna z najbardziej obecnie rozpowszechnionych funkcji komputerów. Niejednokrotnie taki serwer jest realizowany w oparciu o kliencki system operacyjny. Nie budzi to już żadnego zdziwienia bowiem takie systemy jak Windows XP, Vista czy Windows 7 w wersjach Professional, Business czy Ultimate są narzędziami całkowicie wystarczającymi przy tworzeniu serwerów plików dla potrzeb domowych. Niestety niejednokrotnie spotykamy się z tym (ja sam miałem takie przygody), że te systemy wykorzystywane są jako serwery plików w przedsiębiorstwach gdzie niestety ich możliwości (choć bardzo duże) bywają niewystarczające. Jest tak dlatego, że udziały udostępnione w przedsiębiorstwach wymagają często precyzyjnego zarządzania przydziałem przestrzeni dyskowej, przydziałem przestrzeni w katalogach użytkownika, czy też wykorzystywania kilku protokołów udostępniania jednocześnie (np. SMB i NFS). Dodatkowo jeśli przechowujemy pliki newralgiczne i musimy uzyskiwać dostęp do udziałów z różnych lokalizacji fizycznych oddalonych geograficznie konieczne staje się wdrożenie systemów replikacji plików jak np. DFS. Oczywiście w bieżącym odcinku nie będziemy korzystać (jeszcze) z systemu DFS, ale już wkrótce będę opisywał zastosowania i konfigurację także tej funkcji systemu Windows Server. W systemie Windows Server 2008 do wszystkich funkcji oferowanych przez serwer plików mamy dostęp z poziomu konsoli zarządzania serwerem plików (rys. 1). W jej gałęzi główne mamy możliwość podglądu wszystkich folderów udostępnionych oraz parametrów z jakimi zostały one udostępnione. Jest to niezaprzeczalne udogodnienie w stosunku do Windows Server 2003, w którym to systemie aby uzyskać pełne możliwości zarządzania serwerem plików konieczne było doinstalowanie kilku różnych konsolek, zaś częścią ustawień zarządzać można był jedynie z poziomu właściwości pliku/folderu.

Rys. 1. Konsola zarządzania serwerem plików. 

W przypadku systemu Windows Server 2008 uzyskujemy natychmiastowy i intuicyjny dostęp do informacji czy mamy do czynienia z udostępnionym dyskiem, czy folderem, jak również do ścieżki logicznej prowadzącej do danego zasobu, informacji o tym, czy udział udostępniony jest do celów administracyjnych (symbol “$” na końcu nazwy udziału), wykorzystywanym protokole, obecności polityce ograniczeń pojemności udziału (Quota), ilości wolnego miejsca na dysku, włączeniu lub wyłączeniu mechanizmu  VSS (Shadow Copies) pozwalającego na dostęp do poprzednich wersji plików jak również informacji o statusie funkcji wykluczania niepożądanych plików lub dopuszczania tylko wybranych typów plików (File screening). Nową funkcjonalnością jest wprowadzenie kreatora udostępniania udziałów (rys. 2), który przeprowadza nas krok po kroku przez wszystkie opcje udostępnienia udziału w sieci.

Rys. 2. Kreator udostępniania udziału.

Pierwszym krokiem jest oczywiście wskazanie ścieżki do folderu lub pliku, który chcemy udostępniać. Możemy także udostępnić całe dyski (opcja “provision storage”).

Rys. 3. Zarządzanie uprawnieniami NTFS.

Następnie konieczna jest decyzja czy modyfikowane będą bezpośrednie uprawnienia do plików (rys. 3). Możemy zdecydować się na ich modyfikację, lub pozostawić je bez zmian. Co do samych uprawnień NTFS to tematykę tą poruszałem już na początku naszego cyklu (odcinki 1 i 2), tak więc zainteresowanych czytelników odsyłam do lektury tamtych tekstów. Po zdefiniowaniu uprawnień do folderów i plików konieczne jest zdefiniowanie nazwy udziału udostępnianego (rys. 4).

Rys. 4. Zdefiniowanie nazwy udziału udostępnianego. 

Wypada tutaj wspomnieć, że udział możemy udostępnić także do celów administracyjnych przez dodanie symbolu “$” na końcu nazwy udziału. do tak udostępnionego folderu lub pliku dostęp ma tylko administrator po wpisaniu ścieżki do pożądanego udziału w linii poleceń np \\nazwa_serwera\nazwa_udziału$ (w przypadku obecności w naszej sieci serwera DNS) lub \\adres_IP_serwera\nazwa_udziału$. Oczywiście do zwykłych folderów udostępnionych też można dostać się w ten sposób ale w przypadku udziałów udostępnionych do celów administracyjnych nie działa np funkcja wyszukiwania – administrator musi po prostu wiedzieć, gdzie chce się dostać. Dodać należy, ze inni użytkownicy nie mają dostępu do tych udziałów nawet jeśli znaliby poprawną ścieżkę dostępu. Na tym etapie możemy też zdecydować, czy udział ma być udostępniony dodatkowo przy użyciu protokołu NFS. Ta funkcja nie jest jednak dostępna domyślnie – aby można było z niej skorzystać konieczne jest doinstalowanie odpowiedniej usługi składowej serwera plików za pomocą menedżera ról serwera.

Rys. 5. Zaawansowane właściwości udostępniania. 

Mamy także możliwość konfiguracji granicznej ilości użytkowników mających jednoczesny dostęp do plików (rys. 5). Istnieje również opcja blokady wyświetlania zasobów udostępnionych dla użytkowników, którzy nie mają do nich dostępu. Na tym etapie mamy również możliwość konfiguracji udostępnienia offline danego udziału. Udostępnienie udziału w ten sposób wiąże się z tym, że po przeprowadzeniu synchronizacji zawartość folderu będzie przechowywana na lokalnych dyskach twardych klientów korzystających z danego zasobu. Jest to wygodne w przypadku, kiedy użytkownicy korzystają z urządzeń przenośnych, często odłączanych od sieci naszej organizacji.

 Rys. 6. Definiowanie uprawnień dostępu do udziału. 

W kolejnym kroku skonfigurować należy uprawnienia do udziału udostępnionego (rys. 6) Czynność ta jest bardzo podobna do konfiguracji uprawnień NTFS i określa kto i w jaki sposób może uzyskiwać dostęp do folderu lub pliku udostępnionego. Do wyboru są w tym przypadku trzy opcje – odczyt, zapis i pełna kontrola. Rola dwóch pierwszych ustawień wyczuwalna jest dość intuicyjne i polega na udostępnieniu uprawnienia do odczytu, lub odczytu i zapisu do danego udziału. Trzecie ustawienie przeznaczone jest dla tych użytkowników, którym powinno przysługiwać prawo do zmiany dwóch wcześniejszych ustawień dla pozostałych użytkowników. Należy podkreślić, że uprawnienia te nie mają wpływu na uprawnienia NTFS, które muszą zostać skonfigurowane niezależnie, żeby zapewnić uprawnionym użytkownikom dostęp do zasobów. 

  Rys. 7. Definiowanie przydziałów przestrzeni dyskowej. 

Ważne przy konfigurowaniu udziału jest też zdefiniowanie przestrzeni dyskowej jaką dany udział może zająć (rys. 7). Domyślnie mamy dostęp do czterech ustawień określających kolejne limity przestrzeni dyskowej i dwóch ustawień sprowadzających się tylko do funkcji monitorowania udziałów przekraczających zadane rozmiary. Aby uzyskać więcej opcji musimy skorzystać, ze specjalnej gałęzi ułatwiającej zarządzanie przydziałami (Quota Management). 

   Rys. 8. Konfiguracja polityki wykluczania plików. 

Przydatna jest również możliwość takiej konfiguracji udziałów, aby pliki o określonych rozszerzeniach były automatycznie odrzucane, a ich kopiowanie do folderu udostępnionego było niemożliwe. W kreatorze udostępniania udziału (rys. 8) mamy dostęp tylko do czterech domyślnych ustawień związanych z blokowaniem plików dźwiękowych i filmów, plików wykonywalnych, obrazów i wiadomości pocztowych oraz jednego umożliwiającego monitorowanie kopiowania plików wykonywalnych i systemowych. Więcej ustawień można uzyskać przy użyciu gałęzi File Screening Management. 

   Rys. 9. Konfiguracja przydziałów przestrzeni dyskowej dla folderów udostępnionych.

Jak wspomniałem wcześniej przy ręcznym definiowaniu przydziałów (rys. 9) możemy znacznie lepiej wycelować daną politykę co oznacza, że możliwe jest precyzyjne określenie przy jaki może być graniczny rozmiar folderu udostępnionego, w jaki sposób o danym zdarzeniu ma być powiadamiany administrator, a co najważniejsze możliwe jest przyporządkowywanie kilku polityk do jednego udziału co oznacza, że przy określonym rozmiarze zapisanych danych można włączyć monitoring i powiadomienie administratora i od razu określić kolejny próg przy, którym nastąpi blokada zapisu na dysk. Aby uprościć tworzenie polityk możliwe jest także tworzenie szablonów (rys. 10).

 Rys. 10. Tworzenie szablonu przydziału. 

Szablony mogą zawierać ręcznie i elastycznie zdefiniowane progi blokady zapisu i metody powiadamiania i ewidencji takich zdarzeń w zależności od potrzeb i ważności udziału do którego polityka zostanie zastosowana.

 Rys. 11. Tworzenie polityki wykluczania plików.

W analogiczny sposób możemy precyzyjnie tworzyć polityki blokowania zapisu określonych typów plików o zadanych rozszerzeniach (rys. 11), tworzyć polityki dla grup plików podlegających wykluczeniu, a także definiować sposób powiadomienia administratora o próbie zapisu takiego pliku na dysk, zapis do rejestru zdarzeń, a nawet wykonanie określonej operacji w odpowiedzi na próbę zapisu.

 Rys. 12. Tworzenie polityki wyjątków w wykluczaniu plików.   

Możliwe jest także utworzenie polityki przeciwnej do wykluczania, a mianowicie dopuszczenie określonych typów plików (rys. 12). Jest to przydatne kiedy na całe drzewo katalogów narzuciliśmy politykę wykluczania np. obrazów, a jeden z użytkowników podfolderów musi do swojego folderu kopiować zdjęcia ponieważ jest fotografem i pracuje nad np. aranżacjami do materiałów reklamowych. 

 Rys. 13. Tworzenie szablonów polityk wykluczania plików.    

Podobnie jak w przypadku przydziałów dysków jest możliwe tworzenie rozmaitych szablonów wykluczających lub dopuszczających kopiowanie określonych typów plików lub ich rozmaitych kombinacji dostosowanych do sytuacji panującej w naszej organizacji (rys. 13).

 Rys. 14. Tworzenie nowej grupy plików. 

Aby uniknąć sytuacji, w której za każdym razem konieczne jest zdefiniowanie w szablonie kilkudziesięciu rozszerzeń plików możliwe jest także zgrupowanie plików o określonych typach rozszerzeń (rys. 14). Ułatwia to tworzenie polityk i szablonów bo tworzenie listy plików do wykluczenia/dopuszczenia nie jest już tak czasochłonne.

 Rys. 15. Konfiguracja raportowania. 

Ciekawą funkcją jest też możliwość tworzenia raportów (rys. 15). Zdefiniować możemy sposób dostarczania raportu czyli np. zapis na dysk twardy lub e-mail, jak również jakie informacje dany raport ma zawierać. Warto wśród nich wymienić takie możliwości jak raportowanie zapisu dużych plików, plików do których najczęściej i najrzadziej uzyskiwano dostęp, możliwość segregacji plików w oparciu o właściciela czy też grupę. Mamy również możliwość ustawienia odstępu czasowego w jakim cyklicznie generowany jest raport i formatów raportu takich jak HTML, XML, CSV i inne.

 Rys. 16. Konfiguracja przydziałów dla partycji. 

Warto również wspomnieć o możliwości ustawiania przydziału na całym dysku logicznym. Funkcję tą konfigurujemy poprzez właściwości danego dysku logicznego (rys. 16). Za jej pomocą ustawić możemy globalny limit objętości danych przypadający na użytkownika danego dysku logicznego. Możemy również wyznaczyć poziom alarmowy objętości danych przypadający na użytkownika. Zdarzenia odpowiadające przekroczeniu poziomu alarmowego i osiągnięcia poziomu maksymalnego mogą być rejestrowane w rejestrze zdarzeń.

Rys. 17. Konfiguracja mechanizmu VSS.

Bardzo ciekawą funkcją o której warto wspomnieć jest funkcja kopiowania woluminów w tle (rys. 17). Ułatwia ona bardzo zarządzanie serwerem plików bowiem umożliwia wykonanie kopii zapasowej woluminu co pewien okres czasu – zdefiniowany przez administratora – dzięki czemu daje dostęp do wcześniejszych wersji plików. Umożliwia to bezproblemowe odzyskanie starszych i zmienionych przypadkowo wersji plików i dokumentów. Na koniec warto również podkreślić, że aby serwer plików działał niezawodnie zawsze należy zastosować przynajmniej macierz dysków aby zapewnić niezawodność i wydajność takiego rozwiązania. W przypadku serwerów w bardzo małych organizacjach macierz RAID 1 może okazać się wystarczająca i zapewni nam ona pełną kopię danych przechowywanych na serwerze. W przypadku bardziej wymagających środowisk pracy konieczne może okazać się zastosowanie macierzy RAID 5 lub RAID 10. Pamiętać jednak musimy że w przypadku awarii procesora bądź płyty głównej serwera utracimy dostęp do naszych danych do momentu wymiany uszkodzonego podzespołu. Jeśli więc nasza organizacja wymaga absolutnie nieprzerwanego dostępu do danych zgromadzonych na serwerze należy rozważyć zastosowanie klastra lub replikacji plików na kilka maszyn fizycznych i zintegrowanie ich w ramach systemu plików DFS, do którego konfiguracji będziemy jeszcze wracać. Abyśmy jednak mogli przejść do bardziej zaawansowanych zagadnień typu drzewa domen, IPv6, DFS i innych najpierw musimy zapoznać się z podstawami systemu DNS i administracją tego rodzaju serwerem. Dotąd jak czytelnicy pewnie zauważyli traktowałem DNS jako coś co w systemie Windows Server skonfiguruje się “samo” i rzeczywiście w prostych przykładach jakie dotąd rozważaliśmy było to możliwe. Jednak chciałbym abyśmy już niedługo zaczęli podchodzić do bardziej zaawansowanych rozwiązań i omawiania bardziej skomplikowanych przykładów. Z tego też powodu zapraszam wszystkich czytelników do mini cyklu, który przybliży nam ideę, zasadę działania i konfigurację serwerów DNS pracujących w oparciu o system operacyjny Windows Server.

Bartosz Pawłowicz

Witajcie

W tym odcinku przybliżę konfigurację serwera DHCP opartego o Windows Server 2008 R2. Jak już wspominałem w poprzednim odcinku jest to jeden z niezbędnych elementów sieci, którą rozpoczęliśmy tworzyć w drukarni. Muszę też wspomnieć, że na obecnym etapie będziemy posługiwać się adresacją IPv4 tak wiec zostanie omówiona konfiguracja serwera dla protokołu IP w wersji 4. W tym momencie wypada wspomnieć, że postaram się krok po kroku dojść również do opisu konfiguracji i funkcjonowania sieci pracującej w oparciu o protokół IPv6 jednak abym mógł opisywać konfigurację sieci pracującej z wykorzystaniem tego protokołu muszę przybliżyć jeszcze kilka ról serwera … Nie będę też przybliżał samego protokołu DHCP ponieważ jego opis można znaleźć w setkach miejsc w sieci a najszybciej w Wikipedii. Przed nami jednak dość długi tekst z 25 zrzutami ekranu z kolejnych etapów konfiguracji serwera. Zasadniczo po instalacji roli serwera DHCP i konfiguracji domyślnego zakresu możemy zarządzać serwerem z użyciem kilku różnych narzędzi. Pierwszym z nich jest oczywiście menedżer serwera. W przystawce tej możemy dostać się do drzewa zarządzania serwerem DHCP rozwijając gałąź role i potem DHCP. Drugim – moim zdaniem bardzo efektywnym – sposobem zarządzania jest wywołanie autonomicznej przystawki za pomocą polecenia dhcpmgmt.msc z linii poleceń w menu start. Trzecim sposobem jest zarządzanie przez utworzenie spersonalizowanej przystawki mmc. Cała konfiguracja była w omawianym przypadku wykonywana za pomocą narzędzia wywoływanego z linii poleceń. Konsolka wyposażona jest w trzy obszary (rys. 1), w których obserwować możemy rozwijane drzewo ustawień, wykaz możliwych do podjęcia akcji dla danego obiektu w drzewie i obszar informacyjny, z poziomu którego obserwować możemy istniejące dzierżawy adresów, wykluczenia, rezerwacje itd.    

Rys. 1. Konsola zarządzania DHCP.

Konsola udostępnia też możliwość dodawania i zdalnego zarządzania serwerami DHCP znajdującymi się w domenie Active Directory jak również umożliwia zdalną autoryzację i deautoryzację serwerów DHCP domeny AD. Należy jednak podkreślić, że konsola nie ma mechanizmu wykrywania, które serwery są serwerami DHCP. Z tego względu to administrator musi wiedzieć, które obiekty w domenie reprezentują serwery DHCP i które musi wskazać aby móc nimi zarządzać. Do autoryzacji zdalnej niezbędna jest natomiast znajomość adresu IP serwera który ma zostać poddany temu procesowi. Jest to również dobry sposób na wyłączenie niechcianych serwerów DHCP z działania bez zmiany ich konfiguracji ponieważ nieautoryzowane serwery DHCP będące członkami domeny nie rozsyłają adresów. Dostęp do wspomnianych powyżej opcji otrzymujemy po rozwinięciu menu zarządzania konsolą DHCP (rys. 2).

Rys. 2. Dostęp do zarządzania i autoryzacji zdalnej.

Kolejnym bardzo ważnym ustawieniami jakie możemy zdefiniować są położenie bazy danych DHCP i pliku kopii zapasowej tej bazy tworzonej na dysku twardym. Ustawienia te definiowane są globalnie w odniesieniu do całego serwera (rys. 3). Jeśli mamy do czynienia z małą organizacją (jak nasza drukarnia) możemy sobie pozwolić na przechowywanie tych plików w lokalizacjach domyślnych, jednak w przypadku dużych organizacji nie jest to dobrym pomysłem. Musimy pamiętać, że w przypadku gdy nasza organizacja wykorzystuje kilka do kilkunastu maszyn posługujących się adresami IP to w przypadku awarii serwera jesteśmy w najgorszym wypadku w stanie ustawić na wszystkich maszynach statyczne adresy i podtrzymać funkcjonalność sieci. W przypadku dużych organizacji to właśnie usługa DHCP jest jedną z newralgicznych usług sieci bo od niej zależy zaistnienie komunikacji – bez niej żadne inne usługi wymagające użycia adresów IP nie będą dostępne – a ustawienie statycznych adresów IP na kilku tysiącach lub dziesiątkach tysięcy maszyn nie wchodzi w grę w przypadku awarii serwerów DHCP. Dodatkowo w dużych środowiskach ustawienia serwera zawierają tysiące rezerwacji, zakresów, wykluczeń itd. Z tych powodów powinniśmy być w stanie szybko odtworzyć bazę danych ustawień serwera i przechowywać ją w bezpiecznej lokalizacji wykonując regularnie kopię zapasową.

Rys. 3. Ustawianie lokalizacji plików bazy danych i kopii zapasowej ustawień DHCP.

W sekcji ustawień dla protokołów IPv4 i IPv6 (rys. 4 i 5) dostępnych jest szereg ustawień umożliwiających precyzyjną współpracę serwerów DHCP i DNS (zakładka DNS), mechanizmu NAP (zakładka Network Access Protection), generowania statystyk (zakładka General), ustawień filtrowania adresów MAC (zakładka Filters), rejestrowania zdarzeń, poświadczeń aktualizacji rekordów DNS i dowiązań (zakładka Advanced). Niestety poszczególnych ustawień jest na tyle dużo, że nie sposób w tym tekście omówić wszystkie z osobna, tak więc rozgryzienie ich wszystkich pozostawiam dociekliwym czytelnikom.

Rys. 4. Okno właściwości protokołu IPv4. 

Rys. 5. Okno właściwości protokołu IPv6.

Zarówno dla protokołu IPv4 jak i IPv6 możemy ustawić szereg opcji serwera (rys. 6 i 7). Należy jednak zaznaczyć, że jest ich zdecydowanie więcej dla protokołu IPv4. Dostępne są oczywiście opcje wskazywania bram, serwerów DNS, serwerów czasu, WINS/NBNS i kilkadziesiąt innych opcji dotyczących protokołu IPv4. Ustawienia są tak rozbudowane dlatego, że protokół IPv4 ewoluował w czasie w nowe rozszerzenia dostarczające nowe funkcjonalności. Obecnie dla protokołu IPv6 dostępnych jest tylko kilka dodatkowych ustawień, w dużej części dzięki temu, że realizuje on domyślne większość funkcji dodatkowych protokołu IPv4. Niestety, ze względu na mnogość dostępnych ustawień muszę prosić o samodzielne zapoznanie się z nimi. Dobrym źródłem informacji jest norma RFC2132.

Rys. 6. Opcje serwera DHCP dla protokołu IPv4. 

Rys. 7. Opcje serwera DHCP dla protokołu IPv6.

Czas więc zabrać sie za konfigurację i uruchomienie naszego serwera DHCP. Pamiętajmy, że w poprzednim odcinku dokonaliśmy domyślnej konfiguracji zakresu podczas instalacji. W takim przypadku zainstalowany serwer DHCP będzie działał domyślnie z tak zdefiniowanym zakresem rozgłaszania adresów IP. Jest jednak druga możliwość, z której skorzystałem przy pisaniu tego artykułu – podczas instalacji roli serwera DHCP konfigurację domyślnego zakresu można pominąć i zainstalować “czysty” serwer. W ten sposób mogę zademonstrować wszystkie kroki prowadzące do uruchomienia serwera DHCP. Pierwszym koniecznym krokiem jest wskazanie protokołu dla którego będziemy tworzyli zakres. W naszym przypadku będzie to IPv4. Z menu kontekstowego dostępnego dla tego protokołu wybieramy “New Scope” (rys. 8). 

Rys. 8. Wybór akcji “Nowy Zakres” dla protokołu IPv4.

Powoduje to uruchomienie kreatora nowego zakresu (rys. 9). Nazwa zakresu jest obowiązkowa, natomiast pole “opis” służy tylko do uzupełnienia informacji o danym zakresie i może pozostać puste.

Rys. 9. Kreator zakresu.

W następnym kroku (rys. 10) musimy podać zakres adresów dostępnych dla klientów i maskę IP

Rys. 10. Definiowanie dostępnego zakresu adresów.

i zakres wykluczonych z dystrybucji adresów IP (rys. 11). Funkcja ta przydatna jest jeśli mamy już serwery pod danymi adresami ze zdefiniowanego zakresu i gwarantuje że nie dojdzie do konfliktu adresów w sieci. Kolejnym parametrem jaki możemy ustawić jest “DHCP Delay”. Ustawienie to przydatne jest w przypadku obecności w sieci więcej niż jednego serwera DHCP i ma na celu zapobieżenie błędom maszyn klienckich podczas identyfikacji serwerów DHCP podczas odbioru wiadomości DHCPOFFER rozsyłanej przez serwery.

Rys. 11. Definiowanie wykluczeń adresów.

Następnym ważnym elementem zdefiniowania zakresu jest zdefiniowanie czasu dzierżawy adresu (rys. 12). Domyślnie w Windows Server wynosi on 8 dni. Należy pamiętać, że jest to ustawienie, które może wpłynąć na wzrost lub obniżenie ruchu w sieci. Jest tak dlatego, że zapytania o przedłużenie dzierżawy są przez klienta wysyłane w połowie czasu trwania dzierżawy i w 87,5 % trwania tego czasu. Jeśli zdefiniujemy krótszy czas dzierżawy spowodujemy wzrost ruchu z powodu częstszych zapytań o odnowienie adresu. Należy też podkreślić, że oczywiście natężenie ruchu jest zależne od ilości maszyn w sieci. W rozbudowanych sieciach korporacyjnych lub operatorskich czas ten musi być niechybnie brany pod uwagę jako ważny czynnik pracy sieci.

 Rys. 12. Definiowanie czasu dzierżawy adresów.

Na koniec czeka nas pytanie o aktywację danego zakresu. Możemy to zrobić od razu (rys. 13) lub później przy wykorzystaniu menu kontekstowego zakresu (rys. 14). Serwer nie rozsyła adresów z zakresów nieaktywnych. Cecha ta umożliwia nam elastyczne dostosowanie konfiguracji serwera do każdych warunków, a potem aktywację i deaktywację kolejnych zakresów zależnie od potrzeb. 

 Rys. 13. Aktywacja zakresu za pomocą kreatora. 

 Rys. 14. Aktywacja zakresu za pomocą menu kontekstowego.

Po poprawnej konfiguracji i aktywacji zakresu powinniśmy zobaczyć przedział dystrybuowanych i wykluczonych adresów (rys. 15), zaś po uruchomieniu komputerów klienckich naszym oczom powinien ukazać sie widok z rysunku 16 – adresy zostały pobrane i mamy dwa komputery klienckie w sieci. Może się zdarzyć, że konieczne będzie odnowienie adresu na komputerze klienckim, co możemy wykonać przy użyciu polecenia ipconfig /renew.

 Rys. 15. Poprawnie skonfigurowany i aktywowany zakres.

  Rys. 16. Dwa komputery klienckie pobrały adresy IP.

Aby jednak sprawnie zarządzać przydziałami dużej ilości adresów nie możemy się ograniczyć tylko do skonfigurowania zakresu. Musimy także wprowadzić jednoznaczne przyporządkowanie danego adresu IP do maszyny. Procedura ta nazywa się rezerwacją adresów i ma na celu przyporządkowanie jednego adresu do danego urządzenia. Oczywiście możemy tego nie robić ale poza bałaganem, który sami sobie stworzymy będziemy w takim przypadku mieli jeszcze jeden, poważniejszy powód do zmartwień. Otóż jeśli pracujemy z użyciem domeny AD lub domeny DNS gdzie każde urządzenie ma przyporządkowaną nazwę FQDN częste i przypadkowe zmiany adresów tych samych urządzeń będą skutkować koniecznością dokonywania aktualizacji wpisów na serwerze DNS. Jeśli wszystkich aktualizacji dokonujemy ręcznie to można teoretycznie zapanować nad niekontrolowanym przyrostem rekordów hostów (A). Jeśli aktualizacje dokonywane są automatycznie baza rekordów może zacząć rozrastać się w sposób niekontrolowany. Dlatego lepiej na początku przyporządkować jednoznacznie adres IP urządzeniu. Wtedy jednemu urządzeniu będzie odpowiadał dokładnie jeden rekord (A) na serwerze DNS.

  Rys. 17. Tworzenie rezerwacji adresu IP.

Rezerwację adresu utworzyć w gałęzi “Reservations” przy użyciu akcji nowa rezerwacja (rys. 17). Aby zdefiniować rezerwację konieczna jest znajomość adresu IP, który przyporządkujemy danemu urządzeniu i adresu MAC tego urządzenia. Podanie nazwy w przypadku tworzenia rezerwacji jest obowiązkowe. Dobrze jest też wiedzieć czy dane urządzenie obsługuje protokół DHCP czy też tylko starszy BOOTP. Nie jest to jednak newralgiczne ustawienie bo możemy wymusić obsługę obydwóch protokołów. Po utworzeniu rezerwacja widoczna jest jako nieaktywna ponieważ dane urządzenie, dla którego ją tworzyliśmy może mieć przyznany inny adres. Dopiero po odnowieniu adresu IP (czyli po zapytaniu o nowy adres w trakcie trwania okresu dzierżawy, restarcie urządzenia lub wymuszeniu odnowienia adresu) rezerwacja staje się aktywna i urządzeniu zostaje przypisany pożądany adres IP (rys. 18).

   Rys. 18. Weryfikacja rezerwacji adresu IP.

Kolejną interesującą funkcją serwera DHCP jest dystrybucja adresów do wielu podsieci. Jak się domyślamy adresy do separowanych fizycznie podsieci można rozprowadzać za pomocą dwóch niezależnie skonfigurowanych Zakresów. Nie jest to procedura trudna i za pomocą zdobytej już wiedzy i chwili zabawy czytelnicy będą niewątpliwie w stanie skonfigurować szybko tą funkcjonalność. Kolejną ciekawą funkcją jest taki przydział adresów aby w jednej fizycznej sieci bądź podsieci adresy były z jednego serwera przydzielane do kilku sieci logicznych. Innym słowy w wyniku naszego działania maszyny podłączone fizycznie do pojedynczego przełącznika będą logicznie w wielu sieciach. Aby skonfigurować tą funkcję posłużymy się tzw. superzakresem (superscope). Superzakres jest tworem logicznym grupującym kilka zakresów skonfigurowanych do przydzielania adresów dla różnych logicznych podsieci w jedną całość. Aby utworzyć funkcjonujący superzakres musimy mieć co najmniej dwa skonfigurowane zakresy. na potrzeby demonstracji utworzyłem drugi zakres dystrybucji dla innej logicznej podsieci w identyczny sposób jak pierwszy tworzony w artykule zakres. Tworzenie superzakresu rozpoczynamy identycznie jak w przypadku tworzenia zakresu poprzez uruchomienie odpowiedniego kreatora (rys. 19).

   Rys. 19. Uruchomienie kreatora tworzenia superzakresu.

W kolejnym kroku (rys. 20) musimy wybrać, które zakresy będą elementami superzakresu. Jeśli mamy więcej niż dwa skonfigurowane zakresy nie musimy wybierać wszystkich. Warto pamiętać, że możemy mieć skonfigurowany więcej niż jeden superzakres. Każdy ze skonfigurowanych przez nas superzakresów może rozprowadzać adresy do innej podsieci fizycznej w ramach, których z kolei wyodrębnione są sieci logiczne.

   Rys. 20. Wybór zakresów członkowskich superzakresu.

Niestety samo utworzenie superzakresu (rys. 21) nie umożliwia jeszcze przydziału różnych adresów w jednej sieci fizycznej.

   Rys. 21. Utworzony superzakres.

Aby superzakres spełniał poprawnie swoją funkcję konieczne jest skonfigurowanie rezerwacji dla maszyn, które mają podłączonych do sieci fizycznej, które mają mieć przydzielone adresy z różnych podsieci logicznych. Warto wspomnieć, że serwer DHCP nie musi mieć adresu z każdej z tych podsieci przyznanego do jednej karty sieciowej. Po skonfigurowaniu rezerwacji do maszyn zostaną przydzielone adresy z odpowiednich zakresów (rys. 22).

   Rys. 22. Skonfigurowany superzakres.

Kiedy już poprawnie skonfigurujemy zakresy i superzakresy pozostaje odpowiednia konfiguracja opcji (rys. 23). Jak już wspominałem skonfigurować możemy bardzo wiele opcji, jednak jedną z najważniejszych informacji, jest to, że możemy ustawić je globalnie do serwera lub też dla każdego zakresu z osobna. Jeśli ustawimy opcje globalnie dla serwera wtedy są one stosowane do wszystkich zakresów, jeśli zaś skonfigurujemy opcje zakresu wtedy nadpisują one ustawienia dla całego serwera. Należy też wspomnieć, że możemy ustawić opcje tylko dla wybranych zakresów pozostawiając resztę bez konfiguracji. Wtedy wszystkie pozostałe będą się posługiwać wartościami ustawionymi w opcjach serwera.

  Rys. 23. Konfiguracja opcji.

Warto też wspomnieć o konfiguracji dowiązań. Dowiązania umożliwiają określenie interfejsów sieciowych związanych z serwerem DHCP (rys. 24).

   Rys. 24. Konfiguracja dowiązań.

Dla całego serwera, jak również dla zakresów i superzakresów można uzyskać dostęp do statystyk (rys. 25), które informują o dostępności adresów, wykorzystaniu liczbowym i procentowym puli, wysłanych ofertach, żądaniach przydzielenia adresów ilości zakresów, superzakresów itd. Statystyki są narzędziem szczególnie przydatnym w dużych środowiskach, gdzie nie jesteśmy w stanie przejrzeć wszystkich i skonfigurowanych zakresów w krótkim czasie.

   Rys. 25. Wyświetlenie statystyk.

Oczywiście zdaję sobie sprawę, że artykuł niniejszy nie wyczerpuje tematyki związanej z serwerem DHCP bo jest to niemożliwe w ramach jednego artykułu, lecz mam nadzieję, że informacje podane tutaj zachęcą czytelników do dalszego zgłębiania tej tematyki. Oczywiście do DHCP jeszcze powrócimy np. przy omawianiu NAP lecz w następnym odcinku zajmiemy się administracją serwerem plików.

Bartosz Pawłowicz