- Спеціалізовані сервери з заздалегідь встановленим програмним забезпеченням DNS Вже багато років компанії...
- BlueCat Adonis і BorderWare NameVault
- Сімейство Incognito MSA
- Infoblox DNS One
- Offmyserver DNSdevil
- Сімейство Razzo IP компанії Threshold Networks
- реальна альтернатива
- Контактна інформація постачальників
- DNS ONE
- DNSBOX300, DNSBOX050, DNSBOX100
- DNSDEVIL
- MSA 300, MSA 800
- NAMEVAULT DNS APPLIANCE
- RAZZO IP E-1000, RAZZO IP C-2500
Спеціалізовані сервери з заздалегідь встановленим програмним забезпеченням DNS
Вже багато років компанії випускають спеціалізовані мережеві апаратні пристрої із заздалегідь інстальованим програмним забезпеченням, які можна запустити в роботу з мінімальними зусиллями або зовсім без додаткової настройки конфігурації. У таких пристроїв є ряд переваг, в тому числі низька ціна, простота використання і висока надійність. Спеціалізовані пристрої продаються повністю зібраними, з заздалегідь встановленим програмним забезпеченням, завдяки чому вдається заощадити час і знизити витрати на їх підготовку до роботи. Завдяки спрощеному інтерфейсу налаштування конфігурації і адміністрування, для успішного розгортання глибоких технічних знань звичайно не потрібно. Пристрої, спроектовані для виконання єдиної функції, часто бувають надійніше універсальних серверів, які вирішують ті ж завдання.
Як і спеціалізовані мережеві пристрої, DNS-сервери випускаються вже кілька років і звертають на себе увагу користувачів з кількох причин. Для користувача перетворення DNS - прихована функція, один з компонентів технічної інфраструктури. При цьому надійні служби DNS так само необхідні для успішної роботи мережі, як електроенергія. Якщо порушений процес перетворення імен, то зв'язок клієнта з сервером переривається і робота зупиняється.
Адміністраторам, які використовують DNS-службу Windows Server 2003 або Windows Server 2000, буде цікаво порівняти спеціалізовані DNS-сервери з універсальними серверами, що забезпечують роботу Windows DNS Service. DNS-служби Windows 2003 докладно описані в статтях Марка Мінас «Служба DNS в Windows Server 2003» і «Усуваємо проблеми DNS», опублікованих в Windows & NET Magazine / RE 8, 2003.
Дві найважливіші характеристики сервера Windows DNS Service - підтримка зон-заглушок (stub zone) і умовних ретрансляторів (conditional forwarder). У серверах зон-заглушок зберігаються тільки записи Start of Authority (SOA) і Name Server (NS) для домену (тобто зони). Якщо клієнт налаштований на роботу з сервером DNS Service, домен якого працює як зона-заглушка, то сервер не може безпосередньо відповідати на запити перетворення імен від вузлів в цій зоні. Замість цього сервер зони-заглушки передає запит одного з відомих йому серверів DNS Service, відповідальних за цю зону. Адміністратор може передати список уповноважених серверів на сервер зони-заглушки за допомогою Active Directory (AD) або вручну ввести список уповноважених серверів DNS Service на кожен сервер зони-заглушки. Зони з умовними ретрансляторами схожі на зони-заглушки, але в умовний ретранслятор кожної зони необхідно ввести список серверів DNS Service, призначених для даної зони, - автоматична реплікація цієї інформації в AD не передбачена.
У таких областях, як інтеграція з AD і безпеку, між серверами Windows DNS Services і спеціалізованими DNS-серверами, відмінними від Windows, існують помітні відмінності. Наприклад, деякі пристрої, що працюють з іншими операційними системами, що не повністю інтегровані з AD. І навпаки, в серверах Windows DNS Service немає функцій шифрованих зональних пересилань і поновлення, як в ряді серверів DNS на інших платформах. У даній статті розглядаються спеціалізовані сервери DNS провідних постачальників: ApplianSys, BlueCat Networks, BorderWare Technologies, Incognito Software, Infoblox, Offmyserver і Threshold Networks.
Сімейство ApplianSys DNSBOX
Компанія ApplianSys випускає три спеціалізованих сервера DNS: DNSBOX300, DNSBOX050 і DNSBOX100. DNSBOX300 і DNSBOX050 працюють з Nixu NameSurfer Suite, програмним комплексом для управління перетворенням імен та IP-адресами. DNSBOX100 - DNS-сервер на базі BIND, який працює виключно в режимі вторинного пристрою і може функціонувати як допоміжний DNS-сервера з будь-яким стандартним первинним DNS-сервером. У парі DNSBOX100-DNSBOX300 зональні пересилання і поновлення виконуються через захищений тунель VPN; в результаті досягається більш високий рівень захисту, ніж при використанні сигнатур транзакцій (Transaction Signature, TSIG) програми BIND 9.
У трьох пристроях ApplianSys використовується версія Linux з посиленим захистом. Унікальна відмінність моделей DNSBOX від інших пристроїв в даному огляді полягає в тому, що для початкового завантаження і роботи замість жорсткого диска використовуються дві карти CompactFlash (CF). В результаті виключається рухливий механічний компонент, який часто стає причиною відмов. DNSBOX300 випускається в монтується в стійку корпусі висотою 1U з процесором Pentium III на 1 ГГц, оперативною пам'яттю об'ємом 512 Мбайт і 10/100-Мбіт / с портом Ethernet. Модель DNSBOX050 оснащується процесором Celeron, що працює з тактовою частотою 1,4 ГГц, оперативною пам'яттю типу PC133 DRAM об'ємом 512 Мбайт, а пристрій DNSBOX100 - процесором Celeron на 1,7 ГГц і пам'яттю типу PC2100 Double Data Rate (DDR) обсягом 512 Мбайт.
Функціональність DNS моделі DNSBOX050 схожа на DNSBOX300, але це пристрій призначений для малих мереж. Всі сервери можуть бути інтегровані з AD і підтримують визначення SRV-записів, дане в документі Request for Comments (RFC) 2782 групи Internet Engineering Task Force (IETF). Обидва майстер-сервера розташовують DHCP-сервером, вбудованою функцією реєстрації вузлів DDNS (динамічна DNS) і функціями перевірки достовірності і коректності даних для пошуку синтаксичних помилок, логічних помилок і дубльованих імен та IP-адрес. Вбудований брандмауер зменшує вірогідність несанкціонованого доступу.
Налаштовувати конфігурацію і управляти пристроями можна з Web-інтерфейсу, який забезпечує безпечний зв'язок з використанням протоколу SSL (Secure Sockets Layer), відстеження і аудит змін і має в своєму розпорядженні необмеженими можливостями відміни / повтору дій. Пристрої підтримують розподілене адміністрування. Головний адміністратор може створити кілька адміністративно-призначених для користувача облікових записів, надавши кожній з них право управляти тільки конкретним доменом. Пристрої також можна налаштувати на автоматичне оновлення програми BIND і операційної системи Linux, що додатково полегшує завдання адміністратора.
Ціна моделі DNSBOX300 в корпусі 1U становить 10 950 дол., А моделі DNSBOX100 в корпусі 1U - 2950 дол. Ціна настільного міні-куба DNSBOX050 - 4250 дол.
BlueCat Adonis і BorderWare NameVault
Компанія BlueCat пропонує Adonis DNS Management Server, спеціалізований сервер DNS (без функцій DHCP або WINS) з програмою BIND 9. Програма працює з посилено захищеної версією ядра Linux. У стандартній конфігурації відкриті тільки порт 53 (DNS) і порт, який використовується інтерфейсом управління.
Для конфігурації і управління пристроєм використовується консоль Adonis Management Console - графічний інтерфейс на базі Java, який працює на будь-якій платформі, сумісної з Java 1.3. Для захисту функцій управління сервером в консолі застосовується аутентифікація користувачів на базі сертифікатів і 128-розрядний SSL-з'єднання між клієнтом і сервером. Для спрощення роботи в консолі передбачено 100 рівнів скасування / повтору дій, а початкова установка і конверсія з іншими платформами DNS полегшуються завдяки програмним майстрам.
З метою забезпечення безпеки проводиться аутентифікація зональних пересилань і інших змін DNS за допомогою шифрування і сигнатур транзакцій (TSIG) BIND 9. Інструментарій перевірки даних виявляє логічні помилки в конфігураціях DNS і забезпечує повну і точну синхронізацію і реплікацію з підлеглими серверами. Можна встановити функцію аутентіфіцированний доступ із застосуванням сертифікатів як на клієнтської, так і на стороні сервера. Вбудований брандмауер можна налаштувати на блокування будь-якого мережевого трафіку, не пов'язаного з DNS або консоллю Adonis Management Console.
Пристрій Adonis підтримує DDNS і кешування серверних конфігурацій. Модель інтегрується з AD і сумісна з SRV-записами, відповідними вимогам специфікації RFC 2782. Можлива робота в конфігурації з первинним AD-сервером. При використанні обох пристроїв модель Adonis автоматично передає функції відмовив пристрої справного.
Adonis поставляється в монтується в стійку корпусі висотою 1U і оснащується системною платою з процесором Pentium 4 на 2,6 ГГц, оперативною пам'яттю об'ємом 512 Мбайт, жорстким диском місткістю 40 Гбайт і 10/100-Мбіт / с портом Ethernet. Представники BlueCat стверджують, що сервер може обробляти більше 20 тис. Запитів в секунду і забезпечує роботу мереж, в яких налічується понад 100 тис. IP-адрес. Рекомендована виробником ціна Adonis - 9995 дол.
Компанія BorderWare додала спеціалізований DNS-сервер до свого сімейства продуктів, продаючи його під ім'ям NameVault DNS Appliance. На відміну від BlueCat, BorderWare пропонує покупцям NameVault DNS Appliance договір на обслуговування протягом року. Ціна пакету - 12 тис дол.
Сімейство Incognito MSA
У спеціалізованих DNS-серверах MSA 300 і MSA 800 компанії Incognito використовуються сервери компанії Cubix, що складаються з трьох і восьми модулей- «лез» відповідно. На машини інсталюється програма DNS Commander від Incognito або програма IP Commander (супутній DHCP-сервер), що працюють з Red Hat Linux або Windows 2000 Professional. Наприклад, в типовому сервері з трьома модулями один модуль може працювати з DNS Commander на платформі Red Hat Linux, один модуль - з DNS Commander на платформі Windows 2000 Pro і один - з IP Commander і будь-який з цих операційних систем. Більш докладно про серверах- «лезах» можна прочитати в статті «Компактні модульні сервери», Windows & NET Magazine / RE №5 за 2003 рік.
На відміну від деяких спеціалізованих DNS-серверів, DNS Commander виконано не так на базі відкритої програми BIND, хоча продукт сумісний з документом RFC на рівні BIND 9. В основі DNS Commander - власна реалізація відносяться до DNS документів RFC. Представники Incognito стверджують, що даний продукт дуже надійно захищений (так як вихідний текст не є загальнодоступним) і більш стабільний (бо проходить тестування перед випуском в продаж).
DNS Commander не підтримує AD. Однак програма забезпечує роботу з зонами-заглушками, а також кешування і умовну ретрансляцію конфігурацій. Серед інших функцій, що представляють інтерес для адміністраторів Windows, - функції перетворення WINS і поновлення DDNS від DHCP-серверів і клієнтів Windows 2000. Web-адміністраторів кількох доменів повинна зацікавити можливість блокувати домени і записи ресурсів. DNS можна налаштувати до розгортання системи і відключити перетворення імен для домену, не видаляючи інформацію з DNS.
Існує три способи управляти DNS Commander. За допомогою програми Win32 адміністратори можуть налаштовувати і управляти конфігураціями як Red Hat Linux, так і Windows. Web-інтерфейс також можна використовувати для модулів, що працюють з Microsoft IIS (на платформі Windows) або Apache (Red Hat Linux). З інтерфейсу командного рядка можна виконувати типові адміністративні завдання.
Ціна DNS Commander залежить від числа модулів і числа адрес (записів A), якими керує система. Типова система на базі MSA 300 має в своєму розпорядженні двома модулями DNS Commander з процесором Pentium III на 1 ГГц (один з Red Hat Linux і один з Windows 2000 Pro); ціна ліцензії на 1000 A-записів - 7350 дол. Компанія Incognito перестала активно рекламувати MSA 300 і MSA 800 на своєму Web-сайті, але може надати більш детальну інформацію про ці пристрої.
Infoblox DNS One
Фахівці Infoblox називають DNS One, продукт досліджень компанії в області технологій розподілених баз даних, новим етапом в розподілених обчисленнях. DNS One можна використовувати як сервер кешування і сервер умовної ретрансляції для зон і мереж. У 2004 р Infoblox планує забезпечити підтримку зон-заглушок.
До складу DNS One входить стандартний DHCP-сервер з новітньої стабільної редакцією BIND 9. Завдяки інтеграції служб DHCP і DNS, DNS One забезпечує динамічну реєстрацію клієнтів DHCP в DNS, незалежно від сумісності клієнтської операційної системи з DDNS. DHCP-сервер працює в мережах з масками підмережі змінної довжини (Variable-Length Subnet Masks, VLSM) і адресацією CIDR (Classless Inter-Domain Routing - безкласову міждоменну маршрутизацію). Завдяки сумісності DHCP Relay і BOOTP, DNS One надає послуги DHCP в охоплюють все підприємство мережах з обладнанням від багатьох постачальників.
Як і більшість інших пристроїв, представлених в цьому огляді, DNS One працює зі спрощеної і додатково захищеною версією Linux. У DNS One відкрито лише кілька портів TCP / IP, і ці порти можна налаштувати. Порт 53 (DNS) і порт 443 (SSL) відкриті; адміністратор може відкрити порт 66 або 67 (DHCP) або порт 15300 (API сценаріїв). За даними Infoblox, DNS One можна використовувати в мережах, що містять до 100 тис. IP-адрес. Завдяки сумісності з AD, DNS On може працювати як високопродуктивний DNS-сервер для зон на базі AD. DNS One проектувався для змішаних платформ, в тому числі мереж з клієнтами з різними операційними системами, клієнтами Voice over IP (VoIP) і іншими шлюзами.
Для настройки і управління DNS One використовується графічний інтерфейс на базі Java. Цей інтерфейс реалізований у вбудованому SSL-сумісному Web-сервері. Завдяки управлінню на основі ролей головний адміністратор може делегувати повноваження іншим адміністраторам, обмеживши їх доступ до певних зон і функцій управління. DNS One сумісний з протоколом SNMP, що дозволяє інтегрувати його з продуктами управління мережами від незалежних постачальників. Функція поновлення програми одним натисненням кнопки дозволяє без праці модернізувати програму і встановити програмні виправлення для системи безпеки. За допомогою API, доступного через Perl, можна автоматизувати типові адміністративні завдання. Функція Phone Home сповіщає про неполадки в апаратних засобах і програмному забезпеченні.
Якщо зв'язати між собою два пристрої DNS One, то в разі відмови одного з них функції несправного пристрою автоматично передаються іншому. Працюючи в активному / пасивному відмовостійкості режимі, DNS One перепризначає адреси IP і MAC сервера пасивному сервера. Ціна DNS One - 12 тис. Дол.
Offmyserver DNSdevil
Компанія Offmyserver, новий учасник ринку спеціалізованих DNS-серверів, планує випустити DNSdevil в продаж у другому кварталі 2004 р На відміну від інших пристроїв в даному огляді, в DNSdevil використовується спеціально налаштоване ядро FreeBSD. Машина має оперативною пам'яттю типу DDR об'ємом 1 Гбайт, жорстким диском місткістю 40 Гбайт і чотирма 100-Мбіт / с контролерами Ethernet компанії Intel.
DNSdevil також працює з BIND 9, сумісний з AD і реєстрацією DDNS. Конфігурацію DNSdevil можна налаштувати з SSL-захищеного Web-інтерфейсу, а при необхідності - отримати доступ до системи через оболонку Secure Shell (SSH).
Процес створення нових зон спрощується завдяки зональним параметрам, що обирається за замовчуванням. Можна навіть будувати кілька зон одночасно.
DNSdevil у своєму розпорядженні великий інструментарієм. Наприклад, за допомогою функції запитів DNS можна порівняти результати запиту до локального сервера з результатами такого ж запиту до інших DNS-серверів в Internet і переконатися, що ім'я домену та локальний сервер коректно налаштовані для загального використання. Управління зоною спрощується завдяки інструментам аудиту записів про ресурси.
Ціна DNSdevil - 5500 дол. Компанія Offmyserver безкоштовно надає виправлення системи безпеки; додаткова технічна підтримка оплачується.
Сімейство Razzo IP компанії Threshold Networks
Компанія Threshold Networks випускає моделі Razzo IP E-1000 і Razzo IP C-2500. Ці DNS-сервери відрізняються один від одного в основному рівнем відмовостійкості базової апаратної платформи. Razzo IP E -1000 оснащується процесором Celeron на 2 ГГц, оперативною пам'яттю об'ємом 1 Гбайт, жорстким диском IDE ємністю 80 Гбайт і двома 100-Мбіт / с контролерами Ethernet. Razzo IP C-2500 має в своєму розпорядженні двома процесорами Xeon на 2,4 ГГц, оперативною пам'яттю об'ємом 2 Гбайт, віддзеркалювати жорсткими дисками Ultra 160 SCSI ємністю 36 Гбайт, двома контролерами Gigabit Ethernet; жорсткі диски і надлишкові джерела живлення можна замінювати без відключення джерел живлення.
У Razzo IP використовується BIND 9 і варіант DHCP 3.0, запропонований консорціумом Internet Software Consortium (ISC). Інформація DNS і DHCP зберігається в базі даних типу SQL, в якій реалізована однокрокової операція резервного копіювання та відновлення, а також можливість скасувати деякі адміністративні зміни. Завдяки інтеграції DNS і DHCP, функції DDNS автоматично вводять і видаляють інформацію про вузли DNS для клієнтів DHCP у міру закінчення терміну клієнтських ліцензій.
Вбудований сервер WINS управляє перетворенням імен для клієнтів WINS. Вбудований брандмауер захищає від нападів, що викликають відмови в обслуговуванні (DoS), і дозволяє відкривати і закривати порти IP і TCP. Спеціалізоване ядро Linux з посиленим захистом забезпечує додаткову стабільність і безпеку системи. Завдяки сумісності з AD можна імпортувати і експортувати А SRV між Razzo IP і DNS-зонами на базі AD.
Для настройки конфігурації і управління Razzo IP використовується додаток Win32 або графічний Web-інтерфейс на базі Java. Програмні виправлення для Razzo IP можна отримати на компакт-диску або завантажити з Web-вузла компанії Threshold Networks. За допомогою SNMP-систем управління мережею можна зібрати дані про продуктивність Razzo IP. Функція виявлення вузлів дозволяє порівняти виявлені мережеві адреси зі списком мережевих вузлів в базі даних Razzo IP; при необхідності майстер допомагає вставити адреси виявлених вузлів. Ще одна функція дозволяє перетворити DHCP-клієнтів для роботи зі статичними IP-адресами.
У разі неполадок як Razzo IP E-1000, так и Razzo IP C-2500 забезпечують перемикань на одного, резервне Пристрій. Ціна Razzo IP C-2500 разом з необмеженим числом хост-ліцензій - 4995 дол. Ціна Razzo IP E -1000 разом з 10 тис. Хост-ліцензій - 2995 дол.
реальна альтернатива
Кожен з представлених в цьому огляді спеціалізованих DNS-серверів має унікальні переваги. Одним адміністраторам можуть сподобатися пристрої зі стандартною реалізацією BIND, які не потребують особливих зусиль при обслуговуванні (наприклад, Adonis, DNS One, DNSdevil, Razzo IP), інші віддадуть перевагу моделі з закритим вихідним текстом (MSA 300, DNSBOX300). Третя категорія адміністраторів вибере DNS-сервер для роботи в невеликій приватній мережі (DNSBOX050). Незалежно від потреб замовника, спеціалізовані DNS-сервери будуть недорогий і дуже надійною альтернативою розгортання DNS-служби Windows на універсальному сервері.
Контактна інформація постачальників
ADONIS DNS MANAGEMENT SERVER
BlueCat Networks http://www.bluecatnetworks.com
DNS ONE
Infoblox http://www.infoblox.com
DNSBOX300, DNSBOX050, DNSBOX100
ApplianSys http://www.appliansys.com
DNSDEVIL
Offmyserver http://www.offmyserver.com
MSA 300, MSA 800
Incognito Software http://www.incognito.com
NAMEVAULT DNS APPLIANCE
BorderWare Technologies http://www.borderware.com
RAZZO IP E-1000, RAZZO IP C-2500
Threshold Networks http://www.thresholdnetworks.com
Джон Грін - президент компанії Nereus Computer Consulting. З ним можна зв'язати за адресою: [email protected]
