Документ описывает систему имен доменов (DNS), которая служит для сопоставления имен хостов с IP-адресами и маршрутизации электронной почты. Упоминается, что DNS является распределенной системой, где каждый узел хранит свою базу данных и взаимодействует с другими серверами. Также представлены аспекты работы DNS, включая кэширование, рекурсивные и итеративные запросы, а также формат DNS-сообщений и структуры имен.

1. (DNS - Domain Name System)
система имен доменов

2. • Система имен доменов (DNS - Domain Name
System) это распределенная база данных,
которая используется приложениями
TCP/IP, для установления соответствия
между именами хостов и IP адресами.
• DNS также используется для
маршрутизации электронной почты.

3. • Мы используем термин распределенная,
потому что на одном узле Internet не хранится
вся необходимая информация.
• Каждый узел (университет, университетский
городок, компания или отдел внутри
компании) поддерживает собственую
информационную базу данных и запускает
программу сервер, которая может отправить
запрос по Internet к другим системам.
• DNS предоставляет протокол, который
позволяет клиентам и серверам общаться друг
с другом.

5. Операционные системы 5
Общий
глобальный
каталог
microsoft.com
product.microsoft.comdev.microsoft.com
Доверяет
ДоверяетДоверяет
Дерево доменов
Деревья различают по :
- иерархии доменов;
-
непрерывности пространства
имен; - доверительным
отношениям между доменами;
- общей
схеме; -
способности отображать любой
объект в списке глобального
каталога.
Пространство имен – набор
правил именования,
обеспечивающих
иерархическую структуру, или
путь в дереве. По стандартам
DNS имя дочернего домена
дополняется именем
родительского.
clerc1.dev.microsoft.com
clerc2.dev.microsoft.com

6. Операционные системы 6
Общий
глобальный
каталог
microsoft.com
seattle.microsoft.com miami.microsoft.com
msnbc.com
ns.msnbc.com ms.msnbc.com
доверие
доверие
доверие
Лес доменов
Леса различаются по:
- одному или более набору деревьев;
- несвязанному пространству
имен между деревьями;
- доверительным отношениям
между этими деревьями;
- общей схеме;
- способности
отображать любой объект в списке глобального
каталога.
доверие
доверие
доверие
Доверительные отношения: -
односторонние (явное доверие); -
двусторонние - транзитивные
(полное доверие).

7. • Наиболее распространенным
программным продуктом, решающим
данную задачу является BIND (Berkeley
Internet Name Domain).
• Иногда для этой цели выделяют
специальную машину.
• Задача DNS — преобразование
символьного имени в IP-адрес и, наоборот,
в условиях, когда число узлов Internet
растет экспоненциально, совсем не проста.
• Сама иерархическая система имен (DNS)
настроена на упрощение решения этой
проблемы.

8. Схема взаимодействия программы
пользователя с локальным и удаленными
DNSсерверами

9. Операционные системы 9
5.7.3. Контроллеры домена и сайты
DNS - сервер
LDAP - сервер
Рабочая станция
1. Поиск контроллера
домена через DNS
2. Адрес контроллера
домена
3. Доступ к данным
каталога при помощи
LDAP
4. Данные
каталога Контроллер домена
Хранилище данных
(data stores) - файл
NTDS.DIT и
глобальные каталоги
(global catalogs)
NTDS.DIT СОДЕРЖИТ: 1. Данные домена – информация об объектах домена (учетные записи, общие
ресурсы, ОП, групповые политики). 2. Данные конфигурации (топология каталога, список лесов,
деревьев, контроллеров и серверов ГК). 3. Данные схемы - информация об объектах и типов данных,
которые могут храниться в каталоге.

10. • База имен является распределенной, так как
нет такой ЭВМ, где бы хранилась вся эта
информация.
• Имя содержит несколько полей (длиной не
более 63 символов), разделенных точками, а
его полная длина не должна превышать 255
октетов, включая байт длины.
• Анализ имени производится справа налево.
• Самая правая секция имени характеризует
страну или характер организации:
образовательная, коммерческая,
правительственная и т.д..

11. Стандартизованные суффиксы имен
• поле адреса Тип сети
• .aero Фирма или организация, относящаяся к сфере
• авиации
• .arpa Специальный домен, используемый для
• преобразования IP-адреса в имя
• .arts Культура и досуг
• .biz Организация, относящаяся к сфере бизнеса
• .com Коммерческая организация
• .coop Кооперативная организация
• .edu Учебное заведение
• .firm Коммерческое предприятие
• .gov Государственное учреждение (США)
• .info Открытая TLD-структура (регистрация имен доменов)

12. Иерархия имен в ИнтернетDNS
(I — домен первого уровня; II — второго уровня)
Число уровней реально больше, но обычно не превышает 5.

13. • Каждому узлу (прямоугольнику на рисунке)
соответствует имя, которое может содержать до 63
символов.
• Только самый верхний, корневой узел не имеет
имени.
• При написании имени узла строчные и прописные
символы эквивалентны.
• Имя домена, завершающееся точкой, называется
абсолютным или полным именем домена
(например, itep.ru.).
• В некоторых странах создана структура имен,
сходная с com/edu/org.
• Так, в Англии можно встретить адреса .ac.uk для
академических учреждений и .co.uk — для
коммерческих.

14. • Если имя домена не завершено символом
точки, DNS может попытаться его дополнить,
например, имя ns может быть преобразовано
в ns.itep.ru.
• На приведенной схеме каждому объекту трех
верхних уровней соответствуют серверы имен,
которые могут взаимодействовать друг с
другом при решении задачи преобразования
имени в IP-адрес.
• Можно было бы построить схему, при
которой в любом сервере имен имелись
адреса серверов .com, .edu, .ru и т.д. и при
необходимости он мог бы послать туда
запрос.

15. • Реальная схема серверов не столь идеальна и
стройна — существуют серверы nsf.gov, oakland.edu
и т.д., которые непосредственно связаны с базовым
сервером имен.
• Каждый сервер содержит лишь часть дерева имен.
• Эта часть называется зоной ответственности
сервера.
• DNSсервер может делегировать ответственность за
часть зоны другим серверам, создавая субзоны.
• Когда в зоне появляется новая ЭВМ или субдомен,
администратор зоны записывает ее имя и IP-адреса
в базу данных сервера.

16. • Администратор зоны определяет, какой из
DNSсерверов имен является для данной зоны
первичным.
• Число вторичных серверов не лимитировано.
• Первичный и вторичный серверы должны
быть независимыми и работать на разных
ЭВМ, так, чтобы отказ одного из серверов не
выводил из строя систему в целом.
• Отличие первичного сервера имен от
вторичного заключается в том, что первичный
загружает информацию о зоне из файлов на
диске, а вторичный получает ее от первичного
сервера.

17. • Администратор вносит любые изменения в
соответствующие файлы первичного сервера,
а вторичные сер веры получают эту
информацию, периодически (раз в 3 часа)
запрашивая первичный сервер.
• Пересылка информации из первичного во
вторичные серверы имен называется зонным
обменом.
• Как будет вести себя сервер, если он не имеет
запрашиваемой информации? Он должен
взаимодействовать с корневыми серверами.
• Таких серверов насчитывается около десяти и
их IPадреса должны содержаться в
конфигурационных файлах.

18. • Список корневых серверов вы можете получить с
помощью анонимного FTP по адресам: nic.ddn.mil
или ftp.rs.internic.net.
• Корневые серверы хранят информацию об именах
и адресах всех серверов доменов второго уровня.
• Существует два вида запросов: рекурсивные и
итеративные.
• Первый вид предполагает получение клиентом IP-
адреса, а второй — адреса сервера, который может
сообщить адрес.
• Первый вид медленнее, но дает сразу IP-адрес,
второй эффективнее — в вашем сервере копится
информация об адресах серверов имен.

19. • Одним из способов повышения эффективности
трансляции имен в адреса является кэширование,
то есть хранение в оперативной памяти
именадресов, которые использовались последнее
время особенно часто.
• Рассмотрение процесса обмена между
ЭВМклиентом и сервером имен может прояснить
работу системы в целом.
• Прежде чем использовать протоколы UDP или TCP,
прикладная программа должна узнать IP-адрес
объекта, куда она хочет послать дейтограмму.
• Для решения этой задачи программа посылает
запрос в локальный сервер имен.

20. • В Unix-системах имеются специальные
библиотечные процедуры gethostbyname и
gethostbyaddr, которые позволяют определить
IP-адрес по имени ЭВМ и наоборот.
• В одном запросе может содержаться
несколько вопросов.
• Если сервер не сможет ответить на вопросы,
он пришлет отклик, где содержатся адреса
других серверов, способных решить эту
задачу.
• Ниже на рисунке 5.3 представлен формат
таких сообщений (в качестве транспорта
используется UDP или TCP, порт 53).

21. Формат DNS-сообщений

22. • Каждое сообщение начинается с заголовка,
который содержит поле идентификация,
позволяющее связать в пару запрос и отклик.
• Поле флаги определяет характер запрашиваемой
процедуры, а также кодировку отклика.
• Поля число... определяют число записей
соответствующего типа, содержащихся в
сообщении.
• Так, число запросов задает число записей в секции
запросов, требующих ответов.
• Каждый вопрос состоит из символьного имени
домена, за которым следует тип запроса и класс
запроса.

23. Назначение битов поля флаги
• 0 (QR) Операция: 0 запрос
• 1 отклик
• 1…4 Тип запроса (opcode): 0 стандартный
• 1 инверсный
• 2 запрос состояния сервера
• 5 (AA) Равен 1 при отклике от сервера (RR), в ведении которого находится домен, упомянутый в запросе
• 6 (TC) Равен 1 при укорочении сообщения. Для UDP это означает, что ответ содержал более 512 октетов, но
прислано только первые 512
• 7 (RD) Равен 1, если для получения ответа желательна рекурсия
• 8 (RA) Равен 1, если рекурсия для запрашиваемого сервера доступна
• 9…11 Зарезервировано на будущее. Должны равняться нулю
• 12…15 Тип отклика (rcode): 0 нет ошибки
• 1 ошибка в формате запроса
• 2 сбой в сервере
• 3 имени не существует

24. • Последние две строки в таблице 5.3 относятся
только к запросам. Поле класс запроса позволяет
использовать имена доменов для произвольных
объектов (все официальные имена Интернет
относятся к одному классу [IN] — 1).
• В сообщении DNS-сервера каждая из секций
(дополнительной информации, ответов или
узловых серверов имен) состоит из набора
ресурсных записей, которые описывают имена
доменов и некоторую другую информацию
(например, их адреса).
• Появление ресурсных полей в DNS базе данных
придают ей новые качества. Каждая запись
описывает только одно имя, формат этих записей
отображен на рис. 5.6.

25. Формат ресурсных записей в DNS
(RR)

27. • Для администраторов, обслуживающих DNS, весьма
полезно ознакомиться с документом RFC-1536
("Common DNS Implementation Errors and Suggested
Fixes"). Ошибки при конфигурации DNSсервера могут
привести к досадным ошибкам и отказам системы.
Обычно при получении запроса DNS сначала
определяется его зона и просматривается кэш. Если
запрос не может быть выполнен, просматривается
список вышестоящих DNSсерверов, которые могут
содержать необходимую информацию, и запрос
пересылается одному из них. Если клиент прислал
рекурсивный запрос и сервер поддерживает рекурсию,
запрос пересылается соответствующим серверам

28. • Если рекурсия не поддерживается, сервер
возвращает клиенту список DNS-серверов,
предоставляя ему решать свои проблемы
самостоятельно. Однако в некоторых
случаях DNSсервер по ошибке может
включить себя в такой список серверов.
Если программное обеспечение клиента не
проверяет список, запрос может быть
послан этому серверу повторно, что
вызовет бесконечный цикл запросов.

29. • С точки зрения приложения, доступ к DNS
осуществляется посредством разборщика
(resolver) (разборщик (resolver) -
подпрограммы, которые используются для
создания, отправки и интерпретации
пакетов, используемых серверами имен
Internet).

30. • разборщик - это часть приложения. Он не
является частью ядра операционной
системы как протоколы TCP/IP.
• Приложение должно конвертировать имя
хоста в IP адрес, перед тем как оно
попросит TCP открыть соединение или
послать датаграмму с использованием UDP.
Протоколы TCP/IP внутри ядра ничего не
знают о DNS.

32. • После набора имени домена в браузере ваш
компьютер связывается с DNS-серверами провайдера
доступа в интернет, запрашивая IP-адрес, к которому
привязан этот домен (шаг 1 на схеме). DNS-серверы
провайдера ищут в своем кэше необходимую пару
домен — IP-адрес и, если находят ее, выдают вам
этот IP (сразу переходим к шагу 6). Если в кэше ничего
не нашлось, DNS-сервер провайдера делает запрос к
одному из корневых DNS-серверов, которых всего
несколько по всему миру (шаг 2). Корневой сервер, в
свою очередь, ищет в своей базе данных адреса DNS-
серверов хостера, к которому привязан домен (NS-
серверы домена), и сообщает их DNS-серверу
провайдера (шаг 3). (На самом деле, здесь все
немного сложнее, но для простоты мы опустим
некоторые подробности.)

33. • Получив адреса NS-серверов, провайдер
делает запрос к одному из них, получает в
ответ искомый IP-адрес (шаги 4–5),
запоминает его в кэше (чтобы впоследствии
не обращаться каждый раз к корневому
DNS-серверу) и передает вашему браузеру.
Браузер, наконец, запрашивает сайт у
хостера и показывает его вам (шаги 7–8).