Việc điều khiển truy cập các bản ghi tài nguyên lưu trong Active Directory được quản lý bởi DACL (Discrectionary Access Control List) . DACL áp dụng trên các bản ghi tài nguyên cụ thể sẽ giới hạn các người dùng và nhóm người đủ quyền truy nhập vào các tài nguyên đó. Tính năng được cấu hỡnh tại chớnh thẻ Secury của cửa sổ Properties của từng bản ghi đó. Việc cấu hỡnh và cỏc tính năng hoàn toàn giống chính sách tài khoản của Active Directory .
Bạn đang xem trước 20 trang tài liệu Quản trị và giám sát máy chủ DNS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
chủ của bạn. Trang này cho phép thêm vào một vài vai trò cho máy chủ như máy chủ file, máy chủ DNS, máy chủ in ấn, máy chủ DHCP… Các thao tác sau sẽ giúp thêm vào vai trò máy chủ DNS.
Thêm vai trò DNS
Nhấn Start / Adminstratool / Manage Your Server/ Add or Remove a Role(thêm và bớt một vai trò) /
Trong trang “Server Role” ta chọn “DNS server” nhấn Next qua các bước tiếp theo cho đến khi kết thúc.
Chú ý nhỏ: trong cửa sổ Select Configuration Action(lựa chọn cấu hình) nên chọn Configure Root Hints Only(Recommanded For Advanced Users Only- cấu hình Root Hints cho người có trình độ) sau đó nhấn Next.
Hình 2.2 thêm vai trò của máy chủ DNS trong cửa sổ Server Role
Cài đặt DNS trên Linux.
Hiện nay trên Internet xuất hiện rất nhiều nhà cung cấp phần mềm miễn phí cho DNS. Nhưng gói dùng cho Unix và Linux phổ biến nhất hiện tại là “Bind”. Bind được phát triển bởi một tổ chức phi lợi nhuận là ISC(Internet Software Consortium), và được cung cấp miễn phí tại webside của tổ chức là www.isc.org
Các khai báo DNS cho client/Server
Với Client dùng cho linux hoặc unix ta có thể vào File/ Etc/ Resolv.conf
Client chỉ lấy thông tin về domain
Client chỉ gửi query tới server và nhận các câu trả lời
Với Server
Cấu hình tương tự Resolver như DNS client
Cấu hình cho Name Server(named)
Xây dựng cơ sở dữ liệu cho DNS(sử dụng cho các Zone)
Cấu hình DNS client. Ta chỉ cần cấu hình trong resolv.conf
Các từ khóa
Miêu tả
Nameserver
Địa chỉ Ip của DNS server sẽ gửi truy vấn đến để lấy thông tin domain
Domain name
Xác định domain mặc định của client
Cài đặt DNS cho Server:
Lấy chương trình từ www.isc.org cho server
Cd/usr/src
Mkdir bind-9.xx
Cd bind-9.xx
Lấy và cài đặt DNS về bind-9xx-src.tar.gz
Gunzip bind-9.xx-src.tar.gz
Tar xf bind-9.xx-src.tar
Rm bind-9.xx-src.tar
Cd src
Make clean
Make depend
Make intall
Kết thúc ta đã cài xong named cho DNS và các Zone file sẽ được chứa trong /var/named còn các file cấu hình trong /usc/local/etc vậy ta chỉ cần tạo và đặt file cấu hình và Zone file vào các thư mục đó và chạy. Do cấu hình và làm việc trên Linux phức tạp nên các phần sau ta chỉ xét hoạt động của DNS trên nền Windows Server 2003
Các vùng DNS.
Với mục đích quản trị, các miền của DNS được tổ chức thành các vùng. Một vùng là 1 tập các ánh xạ tên máy tính – địa chỉ IP cho các máy trong một vùng tiếp giáp nhau trong không gian tên DNS. Một vùng có thể chứa các tài nguyên bản ghi cho 1 hay nhiều miền khác nhau. Nhưng một vùng có thể chứa hơn 1 miền khi các miền tiếp giáp nhau. Điều này nghĩa là chúng phải có quan hệ cha con trực tiếp với nhau. Hơn nữa, việc chia ra không gian tên miền thành các vùng con còn có tác dụng để ủy quyền cho từng phần của nó. Các miền lớn sẽ gây khó khăn cho việc quản trị.
Đối với mỗi tên miền DNS có một vùng, vùng này trở thành vùng được ủy thác quyền với các thông tin của miền đó. Một vùng được ủy quyền sẽ chứa các thông tin về vùng đó. Mặc dù vậy các máy chủ chứa các vùng cũng chưa chắc đã có đủ quyền để sửa hay xóa các tài nguyên này. Chỉ có các máy chủ chính cấp mới có quyền này. Các máy chủ DNS cũng được phân loại theo các tiêu chí các vùng mà nó phục vụ. Có thể là vùng chính,vùng phụ , vùng cụt,hay không vùng nào cả.
Tóm lại dữ liệu vùng được mô tả trên máy chủ DNS được lưu dưới một trong 2 dạng:
Dạng dữ liệu phẳng chứa danh sách ánh xạ.
Trong cơ sở dữ liệu AD
Nếu dựa vào kiểu truy vấn thì có thể phân thành hai loại chính là phân giải xuôi(Forward Lookup Zone) hay phân giải ngược (Reverse Lookup Zone). Đều có thể thuộc 1 trong 3 kiểu :
Primary (chính)
Secondary (phụ)
Stub (cụt)
Hình 2.3 Thể hiện các vùng của DNS với tên miền Neu.edu.vn cùng các bản ghi.
Tùy theo nhu cầu sử dụng mà ta cấu hình các máy chủ,VD có thể cấu hình 2 máy chủ thành một vùng chính một vùng phụ để chống lỗi. Có nhiều lựa chọn cho tối ưu hóa máy chủ DNS là dựa vào kiến trúc mạng, kích thước, nhu cầu. Hoạt động 1 máy sẽ dựa vào 1 trong 3 vùng chính sau:
Các vùng chính chuẩn ( Standard Zone) chứa một bản sao có thể ghi/đọc của một vùng máy chủ DNS. Chỉ có 1 máy chủ DNS có thể chứa nạp bản ghi tài nguyên chính của vùng, máy này thường đặt tại nơi có thể truy cập, quản trị fle của vùng.
Các vùng thứ cấp chuẩn (Standard Secondary Zone) bản sao file của một vùng có thể lưu trên nhiều máy chủ trên mạng. Nó cung cấp khả năng chống lỗi, cân bằng mức tải của mạng, tránh việc ép truy vấn trên các kết nối Wan tốc độ thấp. Phân vùng thứ cấp chỉ có thể đọc được các bản ghi trên DNS chính. Việc làm của các máy chủ thứ cấp thuần túy chỉ là sao chép các phân vùng của máy chủ chính. Khi tạo các máy chủ này bạn cần hướng IP của nó đến máy chủ chính.
Các vùng cụt (Stub Zone) kiểu cùng hỗ trợ cho Windows Server 2003 nó chỉ chứa các tài nguyên bản ghi căn bản đủ để nhận biết các máy chủ DNS được ủy quyền cho vùng đó. Các vùng cụt cho phép thực hiện truy vấn một cách đệ quy bằng cách sử dụng danh sách của các máy chủ tên có trong vùng mà không cần truy vấn Internet, hoặc máy chủ gốc nội bộ để tìm thông tin không gian tên DNS
Hình I.2.4 lựa chọn một vùng phù hợp cho máy chủ DNS
Các vùng tích hợp của AD(Active Directory): đây là một phương pháp độc quyền của Microsoft giúp người sử dụng dễ dàng quản trị, bảo mật, đồng bộ thông tin. Các vùng được lưu trong AD có lợi điểm sau:
Khả năng chống lỗi cao: do thông tin được lưu trong nhiều máy chủ
Bảo mật: Có khả năng tăng cường bảo mật bằng danh sách điều khiển truy cập(discretionary access control list - DACL). DACL cho phép chỉ định người dùng nhóm nào có khả năng chỉnh sửa DNS Zone.
Các vùng đa chủ: Ở nhiều nơi có thể chỉnh sửa,cập nhật các vùng. Các thay đổi đó sẽ được đồng bộ hóa với các máy chủ quản trị có chứa file của vùng.
Đồng bộ hóa hiệu quả: Việc chuyển giao vùng có thể được thay thế hiệu quả hơn bằng việc đồng bộ trong AD. Điều này có hiệu quả đặc biệt quan trọng khi mạng của bạn có tốc độ đường truyền chậm vì các dữ liệu được nén tự động trong khi truyền, do vậy nó hoàn toàn có thể sử dung để trao đổi giữa các site.
Các vùng thứ cấp: Các vùng lưu trong AD có thể được chuyển giao qua các vùng thứ cấp chuẩn để tạo ra các vùng thứ cấp giống cách ta vẫn đóng gói file được chuyển giao.
Bạn có thể tạo ra hai kiểu vùng tích hợp cho Active Directory đó là các vùng phân giải xuôi và các vùng phân giải ngược.
Các kiểu máy chủ DNS.
Các kiểu máy chủ xác định bởi kiểu vùng hoặc các vùng mà nó chứa và chức năng mà chúng đảm nhận. Một máy chủ DNS có thể chứa một vùng chính cấp, một vùng thứ cấp hoặc cả hai. Trong 1 thời điểm máy chủ có thể là một máy chủ tên chính, đó là máy chủ chịu trách nhiệm cập nhật các máy chủ khác. Nếu máy chủ không chứa một vùng nào nó được gọi là máy chủ chỉ đệm. Có 4 loại máy chủ được hỗ trợ trong Windows Server 2003 :
Máy chủ tên chính (Primary Name Server): Là máy chủ tên chính chứa một hoặc nhiều hơn 1 vùng chính. Khi có một sự thay đổi giữa dữ liệu vùng, ví dụ thêm một bản ghi tài nguyên của vùng, sự thay đổi này phải được thực hiện trên máy chủ chính của vùng đó. Sau đó các thay đổi sẽ được phân phối đến các máy chủ tên thứ cấp. Máy chủ chính cũng phục vụ luôn việc truy vấn của các máy trạm.
Máy chủ tên thứ cấp (Secondary Name Server): Máy chủ này chứa một hay nhiều CSDL của cùng thứ cấp. Bởi sự chuyển vùng tạo ra một vùng thứ cấp vì thế nhất thiết phải có máy chủ chính và vùng để tạo một máy chủ thứ cấp.
Máy chủ tên chủ đạo (Master Name Server): Máy chủ chủ đạo có trách nhiệm gửi bản sao cập nhật CSDL đến các máy chủ khác. Nghĩa là nó có thể chứa bản sao chính hoặc thứ cấp của CSDL. Để thực hiện được điều này máy chủ tên chủ đạo có thể là một máy chủ chính hay máy chủ thứ cấp.
Máy chủ chỉ đệm( Caching-Only Server): Máy chủ này không được chứa bất kì vùng nào cũng như miền nào. Các máy chủ chỉ đệm khởi đầu với một bộ nhớ đệm trống và dần thêm vào các bản ghi tài nguyên mà máy chủ sử dụng để thỏa mãn yêu cầu của máy khách. Các thông tin ở bộ đệm của nó sẵn sàng để trả lời truy vấn của máy khách. Điều này đặc biệt có giá trị trong website DNS cần thiết trong nội bộ nhưng việc tạo các vùng miền riêng là không yêu cầu.
Các loại bản ghi tài nguyên DNS.
Một bản ghi tài nguyên là thông tin liên quan đến một miền DNS ví dụ: bản ghi xác định địa chỉ IP của 1 máy trạm. Bản ghi tài nguyên được thể hiện dạng nhị phân khi các truy vấn và phản hồi tạo ra trong DNS. Tuy nhiên trong các file của DNS các bản ghi này lại được thể hiện theo dạng văn bản. Hầu hết các bản ghi đều thể hiện ở dạng văn bản đơn. Để tiện theo dõi, các dòng trống và chú giải thường được thêm vào trong file của vùng và được DNS bỏ qua. Chú thích được bắt đầu bằng “ ; ” kết thúc bằng xuống dòng.
Các bản ghi tài nguyên có cú pháp tiêu chuẩn như sau:
Owner [TTL] Class Type RDATA
Tác dụng của từng trường trong bản ghi tài nguyên của máy DNS được liệt kê bằng bảng sau
Bảng I.3.1: các trường trong bản ghi tài nguyên tiêu chuẩn
Tên trường
Mô tả tác dụng
Owner
Nhận diện các máy DNS mà các bản ghi tài nguyên này là sở hữu của nó
TTL(thời gian sống)
Là thời gian tồn tại tối đa của một máy chủ đệm hay máy trạm có thể lưu bản ghi này. Ta có thể tùy chọn cho nó bằng một số nguyên độ dài tối đa 32 bit (thời gian theo giây)
Class
Định nghĩa các giao thức quen thuộc được sử dụng. VD: IN là internet
Type
Nhận diện các loại bản ghi tài nguyên VD bản ghi SOA, bản ghi A…
Rdata
Chứa Rdata. Là một trường có độ dài biến đổi, nó thể hiện các thông tin sẽ mô tả bởi bản ghi tài nguyên VD: dữ liệu của bản ghi A là 1 chuỗi 32 bit địa chỉ IP của máy chủ ở trong owner
Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows Server 2003. Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai DNS trong Windows Server 2000 và Windows Server 2003:
Bảng I.3.2 Các kiểu bản ghi trong Windows Server 2003
Mô tả
Phân loại
TTL
Kiểu bản ghi
Dữ liệu
Khởi đầu ủy quyền
IN
(internet)
60 phút
SOA
Tên chủ sở hữu, FQDNcủa máy chủ tên, số TT, khoảng thời gian làm việc(đổi tên,làm tươi, hết hạn, TTL min… )
Trạm
IN
Bằng TTL SOA trong vùng
A
Tên chủ sở hữu(DNS chính) và Ipv4 của máy(32 bit )
Máy chủ tên
IN
Bằng TTL SOA trong vùng
NS
Tên chủ sở hữu và tên DNS của máy chủ
Trao đổi thư
IN
Bằng TTL SOA trong vùng
MX
Tên chủ sở hữu và tên máy chủ trao đổi thư, số thứ tự ưu tiên
Tên quy chuẩn
IN
Bằng TTL SOA trong vùng
CNAME
Tên bí danh của chủ sở hữu, tên DNS máy
Để tạo ra 1 bản ghi bất kì trong các bản ghi thuộc loại trên ta có thể thao tác băng cách vào thanh Tab Action trong cửa sổ DNS hoặc chọn chuột phải vào tên Domain rồi chọn “New….”
Hình I.3.2 cách tạo một bản ghi mới
Bản ghi tài nguyên khởi tạo ủy quyền(Start of Authority-SOA): ở mỗi vùng đều chứa một bản ghi tài nguyên SOA ở phần đầu file của vùng. Nó chứa toàn bộ thông tin cụ thể của vùng để máy chủ DNS sử dụng để duy trì và quản lý. Đây là bản ghi đầu tiên mặc định tạo ra khi ta tạo 1 vùng mới. Hình I.3.3 mô tả chi tiết thông tin được hiển thị và sử dụng của bản ghi tài nguyên SOA
Serial Number: số này xác định số bản ghi xóa hoặc thêm. Nó sẽ tự tăng sau mỗi lần thay đổi( thêm hoặc xóa).
Primary Server: trường này cho phép xác định máy chủ server chính.
Responsible: cho biết người quản lý chính miền.
Fresh interval: chu kì các máy chủ thứ cấp cập nhật làm mới thông tin từ server chính.
Retry interval: thời gian mà máy chủ thứ câp sẽ cố đợi tìm máy chủ chính trước khi gửi 1 yêu cầu khác
Expire after: thời gian bằng giây mà máy chủ thứ cấp của vùng tiếp tục phản hồi các truy vấn về vùng trước khi loại bỏ 1 vùng vì không hợp lệ.
Minimum TTL(time to life ): thời gian tối thiểu áp dụng cho một bản ghi bất kì mà không ghi rõ giá trị TTL riêng của nó. Đây chính là thời gian mà bản ghi còn được lưu trong cache của DNS.
Bản ghi SOA (Start of Authority) Bản ghi Name Server (NS)
Bản ghi PTR và bản ghi Host A(address)
Hình I.3.3. một số bản ghi tiêu biểu được đưa ra trong Windows Server 2003
Bản ghi tài nguyên tên máy chủ (NS):bản ghi NS nhận biết một máy chủ mà được ủy quyền cho 1 vùng. Tên của máy chủ DNS mà được ủy quyền cho 1 vùng được lưu trong trường RDATA. Các bản ghi tài nguyên NS được dùng để nhận biết cả các máy chính cấp cũng như thứ cấp cho 1 vùng địa chỉ tài nguyên trong SOA. Khi tạo náy chủ dịch vụ Windows Server 2003 tự tạo ra 1 bản ghi NS. Ta có thể tạo thêm bằng cách sử dụng câu lệnh trong DNSCMD hay thanh Manager.
Bản ghi tài nguyên địa chỉ trạm Host A: bản ghi tài nguyên địa chỉ trạm ánh xạ một tên FQDN đến với 1 địa chỉ IP tương ứng. Ví dụ bản ghi Host A ở trên được đặt trong miền FQDN là CNTT.neu.edu.vn xạ đến địa chỉ IP 192.168.1.1
Bản ghi tài nguyên PTR: bản ghi này thực hiện chức năng ngược hẳn so với bản ghi Host A. Nó ánh xạ một địa chỉ IP sang một tên FQDN. Ví dụ trên, bản ghi PTR thực hiện nhiệm vụ ánh xạ địa chỉ IP 192.168.1.1 đến FQDN của nó: 1.1.168.192 in-addr.arpa In PTR neu.edu.vn.
Bản ghi tài nguyên MX( Mail Exchange):Bản ghi tài nguyên trao đổi thư điện tử MX chỉ định một máy chủ sẵn sàng làm một máy chủ trao đổi thư điện tử cho một tên DNS. Máy chủ thư mà nhận biết một bản ghi MX là một máy chủ hoặc xử lý hoặc chuyển tiếp cho một miền DNS. Công việc này là đưa nó đến đúng địa chỉ hay chuyển nó sang 1 dạng khác của công việc vận chuyển thư.
Bản ghi tài nguyên định vị dịch vụ(SRV): cho phép chỉ định một máy chủ cung cấp một dịch vụ mạng nào đó theo một giao thức thích hợp, trong một miền xác định.
Ngoài ra Windows Server 2003 còn cung cấp cho ta một số loại bản ghi khác như bản ghi AAAA, AFSDB, HINFO, ISDN ….đây còn được gọi là các bản ghi không định nghĩa.
Quá trình truy vấn và chuyển giao giữa các vùng
Khi một khách hàng DNS cần tra cứu tên để có địa chỉ IP tương ứng, nó hình thành trên một truy vấn DNS chứa các thông tin sau đây:
Tên miền DNS dước dạng một FQDN.
Kiểu truy vấn – chỉ định bản ghi tài nguyên sẽ được trả lại (A, SRV , …vv..)
Phân lớp tên miền DNS , đó là IN nếu như muốn trỏ ra Internet
Đầu tiên, truy vấn sẽ được chuyển đến dịch vụ phân giải tên DNS nội bộ trên máy khách để phân giải tên. Nếu như truy vấn này không được phân giải trong nội bộ, nó sẽ được gửi đến máy chủ DNS chính.
Nếu như truy vấn không khớp với bất cứ mục nào trong bộ đệm dự trữ, quá trình phân giải sẽ tiếp tục với việc máy khách sẽ truy vấn một máy chủ DNS để phân giải tên này. Các truy vấn từ máy khách hoặc máy chủ có thể thực hiện dưới hai định dạng: Lặp lại và đệ qui.
Hình I.4.1: quá trình truy vấn lặp.
Các truy vấn lặp
Một truy vấn lặp là một truy vấn DNS gửi đến một máy chủ DNS trong đó máy khách thực hiện truy vấn sẽ yêu cầu máy chủ đưa về một câu trả lời tốt nhất mà nó có thể cung cấp, bằng cách sử dụng thông tin của nó mà không tìm kiếm sự trợ giúp nào từ các máy chủ DNS khác. Ví dụ trong hình I.4.1, một máy trạm truy vấn máy chủ DNS chính, máy chủ này sẽ kiểm tra các bản ghi của nó và hướng máy khách hàng đến mọt máy chủ A. Máy chủ A sẽ kiểm tra bộ nhớ đệm tên nó, không tìm thấy câu trả lời và gửi lại một tham chiếu thay thế đến máy chủ B. Máy khách sẽ nhận được phản hồi và gửi một truy vấn đến máy chủ B, máy chủ này sẽ gửi trả lại một tham chiếu đến máy chủ C. Máy khách tiếp tục truy vấn máy chủ C và nhận được một phản hồi khác .
Như thể hiện trên hinh I.4.1 máy khách truy vấn sẽ có trách nhiệm thực hiện những truy vấn bổ sung cho đến khi nó nhận được câu trả lời cuối cùng. Trong ví dụ đó, máy khách này thực hiện 3 truy vấn trước khi nhận được thông tin mà nó yêu cầu. Qúa trình này như sau:
Bước đầu tiên của quá trình truy vấn là chuyển đổi tên yêu cầu thành một truy vấn và chuyển nó đến dịch vụ DNS Client để phân giải các thông tin trong bộ nhớ đệm. Nếu truy vấn này có thể trả lời được từ bộ nhớ đệm nội bộ, quá trình này hoàn thành. Nếu không, máy khách sẽ gửi đến một truy vấn lặp đến một máy chủ DNS chính của nó.
Máy chủ DNS chính kiểm tra để xem liệu nó có được ủy quyền cho miền đó không. Trong ví dụ này, nó không được ủy quyền nhưng lại chứa nhiều thông tin mà trỏ đến các máy chủ DNS của miền mức - đỉnh.com. Máy chủ chính này sẽ phản hồi cho máy trạm với ban tham chiếu đến máy chủ miền mức - đỉnh .com.
Máy khách DNS sẽ gửi một truy vấn lặp đến máy chủ DNS A.
Máy khách DNS A phản hồi với tham chiếu đến máy chủ DNS B
Máy khách gửi một truy vấn lặp đến máy chủ DNS B về miền sales.contoso.com.
Máy chủ DNS B phản hồi với tham chiếu đến máy chủ C.
Máy khách DNS sẽ gửi một truy vấn lặp đến máy chủ DNS C.
Máy chủ DNS C được ủy quyền cho miền sales.contoso.com và phản hồi lại một câu trả lời cuối cùng cho truy vấn của máy khách (trong trường hợp này bản ghi A cho sales.contoso.com ).
Tính chất lặp lại được sử dụng trong các tình huống:
Máy khách yêu cầu việc sử dụng đệ qui nhưng đệ quy lại không được kích hoạt trong máy chủ DNS
Máy khách không yêu cầu sử dụng đệ qui khi truy vấn máy chủ DNS
Yêu cầu truy vấn lặp từ máy khách thông báo cho máy chủ DNS rằng máy khách kỳ vọng câu trả lời tôt nhất mà máy chủ DNS có thể được cung cấp ngay lập tức mà không cần phải liên hệ với các máy chủ DNS khác.
Các truy vấn đệ qui
Một truy vấn đệ qui là một truy vấn DNS gửi đến một máy chủ DNS trong đó máy khách truy vấn sẽ yêu cầu máy chủ DNS cung cấp một câu trả lời cuối cùng cho truy vấn đó, điều này có nghĩa là máy chủ DNS thậm chí phỉa liên hệ với các máy chủ khác để có thể cung cấp câu trả lời. Khi gửi đi một truy vấn đệ qui, máy chủ DNS sẽ truy vấn lặp các máy chủ khác để có thể có được câu trả lời. Trong hình I.4.2, máy khách sẽ truy vấn chỉ đưa ra một truy vấn trước khi nhận được thông tin mà nó yêu cầu.
Hình I.4.2quá trình truy vấn Đệ quy
Để tập trung mức tải và giảm lưu lượng mạng, các máy khách thông thường sẽ gửi các truy vấn đệ qui đến các máy chủ DNS. Một mạng với 1000 máy khách gửi các truy vấn lặp đến các máy chủ DNS sẽ không hiệu quả bằng việc tập trung các truy vấn vào một máy chủ trung tâm nào đó. Việc tập trung các truy vấn có nghĩa là mỗi máy khách sẽ gửi đi một truy vấn đệ qui hơn là mỗi máy khách sẽ gửi đi nhiều truy vấn lặp. Các máy chủ DNS thông thường sẽ đưa ra các truy vấn lặp đến các máy chủ DNS khác nếu chúng không thể đưa ra câu trả lời cho truy vấn đệ qui từ thông tin có trong bộ nhớ đệm của nó. Bằng cách sử dụng các truy vấn đệ qui, mức tải của việc phân giải tên DNS có thể được tập trung vào một số máy chủ và do đó hệ thống có thể hoạt động hiệu quả hơn. Hình 3-9 thể hiện một máy khách gửi một truy vấn đệ qui và nhận được câu trả lời cuối cùng. Qúa trình đó như sau:
Bước đầu tiên của quá trình truy vấn là chuyển đổi một yêu cầu tên sang một truy vấn và sau đó chuyển nó tới dịc vụ DNS client để phân giải tên sử dụng các thông tin bộ đệm dự trữ nội bộ. Nếu như có thể trả lời được truy vấn này bằng bộ đệm dự trữ, quá trình sẽ kết thúc. Nếu không, truy vấn này sẽ được chuyển đến máy chủ DNS nội bộ.
Máy chủ tên nội bộ kiểm tra xem liệu nó có được ủy quyền cho miền đó không. Trong ví dụ này, nó không được ủy quyền nhưng nó lại chứa các root hint. Máy chủ tên nội bộ sử dụng các root hint dể bắt đầu tìm kiếm máy chủ tên mà được ủy quyền cho miền sales.contoso.com. Nó sau đó sẽ được truy vấn máy chủ tên mức gốc.
Máy chủ tên gốc sẽ gửi địa chỉ IP của các máy chủ tên của miền mức đỉnh .com trả lại cho máy chủ DNS nội bộ.
Máy chủ DNS nội bộ sẽ gửi một truy vấn lặp lại đến máy chủ DNS A (.com) của miền sales.contoso.com.
Máy chủ DNS A sẽ trả lời với tham chiếu đến máy chủ tên contoso.com, máy chủ DNS B.
Máy chủ DNS nội bộ sẽ gửi một truy vấn lặp lại khác đến máy chủ DNS B.contoso.com.
Máy chủ DNS B sẽ phản hồi với địa chỉ IP của máy chủ được ủy quyền, máy chủ DNS C.
Máy chủ DNS nội bộ sẽ gửi một truy vấn lặp đến máy chủ DNS C.
Máy chủ DNS C sẽ phản hồi bằng câu trả lời cuối cùng ( trong trường hợp này là bản ghi A)
Máy chủ DNS nội bộ sẽ phản hồi với máy khách DNS bằng một câu trả lời cuối cùng.
Theo đúng như mong muốn của máy khách, một yêu cầu được gửi đi và được giải đáp bởi máy chủ DNS nội bộ. Thông tin có được bởi máy chủ DNS nội bộ sẽ được lưu vào bộ đệm dự trữ để có thể trả lời các truy vấn đó.
Định thời gian truy vấn đệ qui.
Theo mặc định, các máy chủ DNS sử dụng bộ định thời để xác định các khoảng thời gian lặp lại và khoảng thời gian hết hạn. Các giá trị này như sau:
Khoảng thời gian chờ thực hiện lại của truy vấn đệ qui là 3 giây. Đó là khoảng thời gian mà dịch vụ DNS sẽ đợi trước khi cố gắng tạo ra một truy vấn mới trong quá trình phân giải kiểu đệ qui.
Khoảng thời gian hết hạn của một truy vấn đệ qui là 15 giây. Đó là khoảng thời gian mà dịch vụ DNS đợi trước khi xác định một phân giải đệ qui là không thành công sau khi đã cố gắng thực hiện.
Thông thường ta không cần thiết phải chỉnh sửa các tham số này. Song trong một số trường hợp như đang sử dụng tra cứu đệ quy trên một mạng Wan tốc độ chậm, có thể cải thiện hiệu năng máy chủ và hoàn thành truy vấn nhờ điều chỉnh ở thiết lập này.
Có thể vô hiệu hóa hệ thống bằng việc cấu hình thuộc tính trong thẻ Advance của DNS. Việc vô hiệu hóa chính là giới hạn việc phân giải tên bằng các máy xác định.
Hình I.4.3 Vô hiệu hóa đệ quy một máy chủ DNS (bỏ Disable Recursion)
Ủy quyền cho các vùng.
Khởi đầu một vùng chỉ lưu thông tin về một tên vùng DNS đơn. Khi thêm các miền khác vào, ta cần xem xét liệu miền thêm vào có là một phần của vùng đó không. Nếu lựa chọn nó là miền con, ta có thể:
Quản trị miền con này như một phần của vùng khởi tạo.
Ủy quyền quản trị miền con cho một vùng khác
Như ta đã biết, không gian tên miền có thể được chia thành rất nhiều vùng. Các vùng có thể được lưu trữ, phân phối, đồng bộ cùng với các máy chủ DNS khác. Việc thực hiện quá trình ủy thác sẽ có vai trò tốt cho một số nhu cầu của mạng VD: có nhu cầu quản trị một phần không gian DNS khác, cung cấp một môi trường chống lỗi tốt hơn, cải thiện hiệu năng bằng cách phân một vùn lớn thành nhiều vùng nhỏ, cần mở rộng quy mô DNS…
Các thành phần cơ bản phục vụ cho việc ủy quyền để một máy chủ có thể biết đến các vùng khác được ủy thác ở ngoài là:
Một bản ghi NS: có tác dụng quảng bá máy chủ có tên trong bản ghi này là có quyền trên miền được ủy thác.
Một bản ghi tài nguyên Host A (bản ghi gắn kết) để phân giải tên của máy chủ có trong bản ghi NS ở trên sang IP của máy đó.
Hình I.4.4 mô hình ủy quyền cho miền
Sự chuyển giao vùng.
Là quá trình chuyển một phần hay toàn bộ dữ liệu của một vùng từ một máy chủ DNS chính đang phục vụ sang một máy chủ DNS thứ cấp có chứa bản sao của nó. Khi có sự thay đổi nào đó trên DNS chính, máy chủ DNS chính sẽ gửi thông báo đến DNS thứ cấp, và sự đồng bộ các thay đổi này sẽ áp dụng cho tất cả các máy thứ cấp đó.
Các điều kiện kích hoạt quá trình chuyển giao vùng:
Có thể khởi tạo việc chuyển giao vùng bằng cách thủ công tai máy chủ thứ cấp.
Khoảng thời gian làm tươi của vùng hết hạn.
DNS server khởi động tại máy thứ cấp.
Máy chủ chính có thông báo cho máy chủ thứ cấp có sự thay đổi trong vùng
Việc chuyển giao luôn bắt đầu từ máy chủ thứ cấp của vùng và gửi đến các máy chủ chủ đạo trong cấu hình của nó. Điều kiện cần thiết là máy chủ chủ đạo phải bật tính năng cho chuyển giao vùng Alow Zone Transfers
Hình I.4.4: cho phép thực hiện việc chuyển giao vùng Alow Zone Transfers
Trong các phiên bản server trước Windows Server 2003 tính năng chuyển giao vùng chỉ hỗ trợ việc chuyển giao toàn vùng (Full Zone Transfers). Bản Windows Server 2003 đã cung cấp thêm cho ta một tính năng mới là chuyển giao phần tăng thêm (incremental zone transfers). Tính năng này được đưa ra đã giảm đáng kể lưu lượng dữ liệu truyền đi trên mạng. Thay vì cần gửi một bản đầy đủ tất cả các file dữ liệu của vùng, chuyển giao vùng tăng chỉ gửi đi các bản ghi sau lần chuyển cuối cùng. Tuy cách này tiết kiệm băng thông đường truyền nhưng lại tốn kém về không gian bộ nhớ. Các máy chủ sẽ tự động ghi lai các phiên bản dữ liệu của cùng của lần cuối cùng trước khi cập nhật.
Hình I.4.6cách thức thực hiện chuyển giao vùng
Sự chuyển tiếp (forwarding).
Trạm chuyển tiếp (forwarder) của một hệ thống là máy chủ DNS được sử dụng để chuyển các truy vấn các tên DNS bên ngoài ra các máy chủ DNS ở ngoài mạng.
Chuyển tiếp chuẩn:
Bằng cách sử dụng máy chủ chuyển tiếp, ta có thể quản trị việc phân giải tên cho các tên bên ngoài hệ thống mạng, ví dụ các tên trên Internet và cải thiện hiệu năng cho máy tính, ví dụ trong hệ thống máy tính có thiết lập tường lửa chỉ cho phép máy chủ DNS chuyển tiếp kết nối Internet.
Hoạt động của một máy chủ chính DNS sử dụng máy chủ được cấu hình trở thành máy chủ chuyển tiếp sẽ tuân theo các bước sau:
Khi DNS nhận truy vấn nó sẽ cố gắng phân giải truy vấn này bằng cách sử dụng miền thứ cấp nó chứa bằng bộ đệm.
Nếu các truy vấn không đưa ra câu trả lời bởi các dữ liệu nội bộ, máy chủ sẽ chuyển hoạt động này sang máy chủ có chức năng chuyển tiếp.
Máy chủ chuyển tiếp sẽ tiến hành tìm kiếm bên ngoài và chuyển câu trả lời cho máy chủ DNS. Máy chủ chính sẽ cố gắng đợi một thời gian trước khi liên hệ với máy trong Root Hints
Thay vì gửi lại một truy vấn lặp chuẩn, khi một máy chủ DNS chuyển truy vấn đến máy chủ chuyển tiếp, theo mặc định nó sẽ gửi đi một truy vấn đệ qui.
Chuyển tiếp điều kiện:
Chuyển tiếp có điều kiện cho phép một máy chủ DNS có thể chuyển tiếp các truy vấn đến các máy DNS khác dựa trên tên miền DNS trong truy vấn đó. Bằng cách chuyển tiếp có điều kiện, máy chủ DNS cấu hình chuyển tiếp tất cả các truy vấnnó nhận được đến IP của máy DNS xác định.
Hình I.4.5 cấu hình các máy chuyển tiếp
Chương II Quản trị và giám sát DNS
Sau khi kết thúc chương chúng ta có khả năng:
Sử dụng các công cụ để cấu hình hệ thống tên miền DNS bao gồm Nslookup, DNSLint, Dnscmd
Quản trị DNS bằng các công cụ cao cấp hơn, cấu hình DNS trong thẻ Advance…
Bảo mật DNS, giải quyết sự cố đơn giản.
Sử dụng các công cụ quản trị DNS.
Một số công cụ hữu ích cho việc quản trị DNS bao gồm:
Bảng điều khiển DNS, nó là một phần trong Administrative Tool, đây là công cụ chính với giao diện Windows để ta có thể cấu hình cho DNS.
Nslookup: là công cụ có tác dụng cho việc truy vấn thông tin về vùng của DNS để xác nhận bản ghi đã tồn tại hay đã được cấu hình trước.
DNSlint: đây là công cụ xác nhận sự thống nhất giữa các bản ghi DNS tên nhiều máy chủ DNS.
Công cụ Event Viewer: ta có thể tìm thấy các sự kiện hoạt động của DNS bằng sử dụng công cụ này.
Dnscmd: đây là công cụ có giao diện dòng lệnh để thực hiện được hầu hết tác vụ của DNS. Công cụ này không có sẵn, cần cài đặt thêm.
Sử dụng bảng điều khiển để giám sát các máy chủ DNS.
Bạn có thể sử dụng điều khiển DNS để quản trị các máy chủ DNS tự động hoặc thủ công bằng cách thực hiện hai kiểu truy vấn khác nhau:
Một truy vấn đơn giản, hay một truy vấn lặp. Thành phần phân giải tên DNS trên máy chủ (đóng vai trò máy khách) sẽ truy vấn chính các máy DNS nội bộ.
Truy vấn đệ quy: đến các máy chủ DNS khác thành phần phân giải DNS trên máy chủ( đóng vai trò máy khách )sẽ truy vấn máy chủ DNS nội bộ, nhưng thay vì gửi một truy vấn lặp nó sẽ gửi đi một truy vấn đệ quy. Trong trường hợp đặc biệt, máy khách yêu cầu máy chủ sử dụng truy vấn đệ quy để phân giải truy vấn kiểu tên máy chủ.
Các thuộc tính này sẽ được tìm thấy trong thẻ Monitoring trong cửa sổ trang thuộc tính của DNS. Có thể thục hiện ngay bằng cách ấn Test Now hay chỉ định một khoảng thời gian để thực hiện việc kiểm tra. Kết quả sẽ được hiển thị tại trang Test Results. Các thông tin hiển thị bao gồm:
Thời gian gửi truy vấn.
Kết quả trạng thái bổ xung của lần kiểm tra xác định nào đó. Ví dụ đó là lần truy vấn đơn giản hay đệ quy, thành công hay thất bại.
Hình II.1.1:Hộp thoại danh sách Test Result
Truy vấn bằng Nslookup.
Đây là một công cụ dòng lệnh kèm theo giao thức TCP/IP và có sẵn trong Windows Server 2003, công cụ này cho phép kiểm tra các thành phần của file vùng trên các máy chủ nội bộ ở xa, Nslookup là một công cụ nhỏ thường xuyên được dùng để nhận biết cấu hình của các vùng DNS, nhằm chuẩn đoán sự cố trong việc phân giải tên. Nó có thể thực hiện tại chế độ dấu nhắc dòng lệnh đơn, hoặc một chương trình chứa một chuỗi các dòng lệnh. Ví dụ một cấu trúc lệnh Nslookup neu.edu.com thì câu trả lời cho ta có thể có:
Đầu tiên nó thực hiện truy vấn bằn cách gửi tên cần truy vấn đến máy chủ chính trong kết nối của mạng nội bộ. Máy chủ này sẽ trả lời truy vấn từ bộ nhớ đệm của nó hay trả lời một cách đệ quy.
Nếu máy chủ được gửi đến không tồn tại sẽ có thông báo xuất hiện. Ngoài ra ta có thể gửi đến máy chủ một địa chỉ IP để máy chủ thực hiện phân giải ngược sang tên máy. Hoặc cũng phân giải một tên đại diện(ALIAS-bản ghi CNAME)
Hình II.1.2: dùng NSLOOKUP thực hiện truy vấn một máy trạm
Cú pháp của câu lệnh Nslookup
NSLOOKUP [-opt] [{Host, Server Name…}]
Trong đó:
-opt: chỉ định một hay nhiều lệnh con của Nslookup như tùy chọn của dòng lệnh.
Host: tìm kiếm thông tin máy trạm bằng cách sử dụng máy chủ tên DNS(NS) mặc định hiện tại. Để tìm một máy tính không có trong miền DNS cần gắn các dấu “.” Bên trong như www.microsoft.com
Server : chỉ sử dụng các máy chủ như các máy chủ tên DNS. Nếu bỏ tham số này các tên máy chủ mặc định sẽ được sử dụng.
Sử dụng chế độ tương tác: khi muốn sử dụng câu lệnh Nslookup thì việc dùng nó trong chế độ tương tác sẽ đem lại kết quả tốt hơn. Để vào chế độ này ta chọn lệnh Nslookup rồi nhấn Enter.
Trong chế độ tưởng tác Nslookup cho phép thực hiện thêm rất nhiều chức năng, ví dụ hiển thị các nội dung đặc biệt trong các trao đổi DNS, giả lập quá trình chuyển giao vùng, hoặc tìm kiếm bản ghi kiểu xác định trên một máy chủ nào đó.
Hình II.1.3 tổ hợp các lệnh trong DNS
Sử dụng một số lệnh trong Nslookup
Lệnh set: có thể sử dụng để cấu hình các tùy chọn cho Nslookup. Bằng cách sử dụng câu lệnh Set All ta có thể xem các tùy chọn của lệnh này mà ta đang cấu hình cho máy.
Bảng II.1.1: các tùy chọn của các lệnh đi cùng lệnh set
Các tùy chọn
Tác dụng
Ví dụ
Set all
Hiển thị các trạng thái cấu hình của các tùy chọn hiện có
>Set all
Set[no]debug
Đặt nslookup trong chế độ gỡ rối. Khi có chế độ này bật lên, nhiều thông tin được in ra hơn về các gói tin đã gửi đến máy chủ và các đáp trả.
>set debug
Hoặc
Set nodebug
Set [no]d2
Nslookup được đặt trong trạng thái gỡ rối diễn giải dài do đó có thể kiểm tra truy vấn và các gói tin phản hồi giữa bộ phận phân giải và máy chủ.
> Set d2 hoặc
> Set nod2
Set domain=
Thông báo tên miền nào sẽ được gắn các thông báo truy vấn chưa chứng nhận
> Set domain=ABC.com
Set timeout
Thông báo giá trị thời gian hết hạn sử dụng.
> Set timeout=5
Set type=
Thông báo kiểu bản ghi tài nguyên sẽ được tìm kiếm
> Set type=A
> Set type=MS
Truy vấn các máy chủ tên khác một cách trực tiếp(lệnh Server hoặc Lserver)
Để truy vấn các máy chủ tên khác một cách trực tiếp sử dụng lệnh server hay Lserver để chuyển sang máy chủ tên đó. Lệnh Lserver sử dụng máy chủ tại chỗ để lấy địa chỉ máy nó sẽ chuyển tới trong đó lệnh server lại sử dụng máy chủ mặc định hiện tại để lấy địa chỉ.
Sau khi bạn thực thi bất kì một lệnh nào trong các lệnh trên, tất cả các tìm kiếm tiếp theo trong phiên nslookup hiện tại sẽ được thực hiện trong máy chủ chỉ định ở trên cho đến khi bạn chuyển sang máy chủ khác.
Cú pháp sau đây minh họa các thông tin mà bạn nhập vào để khởi tạo việc chuyển máy chủ.
C:\>nslookup
Default Seven: nameserver1.contoso.com
Address: 10.0.0.2
>server nameserver2
Default Seven: nameserver2.contoso.com
Address: 10.0.0.2
Sử dụng các lệnh phụ Ls trong nslookup để xem dữ liệu của vùng
Bạn có thể sử dụng lệnh phụ Ls của Lslookup để liệt kê các thông tin về một miền DNS. Khi bạn sử dụng lệnh Ls, bạn thực tế đang yêu cầu một sự chuyển giao vùng. Cú pháp của lệnh Ls như sau:
Ls [-a\d\ttype] domain. [>filename]
Bảng II.1.2:các tùy chọn của LS
Các tùy chọn
Tác dụng
Ví dụ
-t querytype
Liệt kê tất cả các bản ghi của kiểu xác định.
>ls –t cname microsoft.com
-a
Liệt kê các biệt danh của máy tính trong miền
> ls –a microsoft.com
-d
Liệt kê tất cả bản ghi trong miền DNS(tương đương –t ANY)
>ls –t microsoft.com
-h
Liệt kê thông tin về CPU & HĐH của các máy trong miền DNS
> ls –h [computername]
-s
Liệt kê các dịch vụ đã biết của máy trong miền(giống –t WKS)
>ls –s microsoft.com
Theo mặc định, DNS chỉ cho chuyển giao thông tin đến máy chủ được liệt kê bản ghi tài nguyên máy (NS) của một vùng. Mặc dù đây đã là một cách bảo mật song ta nên tăng cường bằng cách định hướng nó vào một địa chỉ IP xác định.
Truy vấn bằng DNSLint:
DNSLint cũng là một công cụ dòng lệnh của DNS có trong Windows Server 2003 để xác nhận sự đồng nhất của một tập hợp cá biệt các bản ghi DNS trên nhiều máy chủ DNS. Nó cũng giúp trong việc chuẩn đoán và giải quyết các lỗi gây ra do DNS thiếu bản ghi hoặc bản ghi sai. DNSLint biên dịch các file vào định dạng HTML. File này được lưu trong thư mục mà từ đó thực hiện DNSLint.
Ví dụ DNSLint có thể giúp khi gặp sự cố phân giải tên NetBios, hoặc giúp xác nhận rằng bản ghi SRV (bản ghi các máy khách dùng để tìm kiếm máy chủ (WINS ) đều chứa sẵn các bản ghi với thông tin chính xác. DNSLint còn có thể xác định xem DNS có gây ra sự cố nào không. Ngoài ra DNSlint còn có một số công dụng khác về thẩm quyền với gốc của 1 rừng Active Directory, quyền phân giải một bản ghi của một miền AD nào đó.
Cú pháp DNSLint và chức năng – báo cáo của DNSLint
Cú pháp của một câu lệnh DNSLint như sau:
DNSLint /d domain_name. [/ad[LDAP_IP_address]] /ql inputfiles
[/t][/test_tcp][/S DNS_IP_address] [/v] [/y]
./d khóa chuyển /d Được sử dụng để kiểm tra một tên miền cụ thể. Khóa này sử dụng để trợ giúp cho việc ủy quyền không đúng và các vấn đề liên quan đến DNS.
./ad Khóa chuyển /ad(kiểm tra việc đồng bộ Active Directory ) sử dụng để kiểm tra các bản ghi DNS chịu trách nhiệm cho việc đồng bộ rừng Active Directory
./ql khóa chuyển /ql( kiểm tra danh sách truy vấn )được sử dụng để kiểm tra các bản ghi DNS chỉ định trên một file văn bản
Hình II.1.4: báo cáo dạng HTML của DNSLint
Tạo một bản ghi đầu vào cho DNSLint:
Để tạo một bản ghi đầu vào một cách đơn giản ta sử dụng các tham số tự động tạo với khóa chuyển /ql để sinh ra một file có thể can thiệp.
Chọn Run rồi mở cửa sổ CMD
Nhập vào dòng lệnh DNSLint /ql autocreate
Vào Run chọn Notepad in-dnslint.txt
Chỉnh sửa thông tin mặc định của máy chủ ở phía dưới, và địa chỉ IP. Sau đó lưu thông tin mới lại.
Các bước tạo một file đầu vào cho DNSLint. Từ dữ liệu này ta có thể xem với dạng HTML bằng lệnh: DNSLint /ad /s localhost (hình II.1.4)
Chú ý: ta có thể tìm hiểu thêm thông tin về cách sử dụng DNSLint bằng cách truy cập vào trang và nhập mã số bài viết 321045 vào hộp thoại Sesrch The Knowledge Base
Sử dụng Dnscmd
Công cụ Dnscmd là công cụ dòng lệnh đặc biệt. Với công cụ này ta có thể thực hiện hầu hết các công việc tại bảng điều khiển DNS. Công cụ này có thể sử dụng để tạo các file kịch bản script, để trợ giúp trong việc tự động quản trị và cập nhật các cấu hình máy DNS sẵn có hoặc để cài đặt các máy chủ DNS. Các công việc có thể làm với dòng lệnh Dnscmd:
Khởi tạo, xóa, xem các vùng và các loại bản ghi.
Khởi tạo các thuộc tính của máy chủ và của vùng.
Thực hiện các hành động như cập nhật, bảo dưỡng, nạp lại vùng, làm tươi, ghi vào file hoặc Active Directory, tạm ngừng và chuyển tiếp 1 vùng
Xóa các bộ nhớ đệm.
Tạm dừng, khởi động, hủy bỏ dịch vụ DNS
Xem các thông số thống kê.
Hình II.1.5. giao diện dòng lệnh DNSCMD hiển thị các vùng thông tin đặc biệt
Dnscmd được trang bị như là một công cụ dòng lệnh để quản trị máy chủ DNS. Để có Dnscmd ta buộc phải cài đặt nó. File cài đặt được hỗ trợ trong bộ cài Windows Server 2003 tại thư mục \\support\tool\support.msi
Quản trị DNS bằng các thuộc tính nâng cao của máy chủ DNS
Các thuộc tính nâng cao của DNS là các thiết lập có thể có trong thẻ Advance của hộp thoại DNS Server Properties (hình II.2.1). Các thuộc tính này liên hệ đến những tính năng đặc biệt của máy chủ, ví dụ vô hiệu hóa đệ quy, tiến hành phân giải máy nhiều giao thức mạng, có thể tương thích với các máy chủ DNS không của Microsoft.
Hình II.2.1thẻ thuộc tính nâng cao của DNS
Các thiết lập cho máy chủ bao gồm 6 tùy chọn tài nguyên cho máy chủ, trong đó các tài nguyên nhận giá trị on hoặc off và 3 tính năng khác với nhiều lựa chọn cấu hình. Bảng sau sẽ thể hiện tác dụng của các tính năng.
Bảng II.2.1 bảng thuộc tính nâng cao của DNS
Thuộc tính
Thiết lập
Disable Recursion
Off
Blind Secondaries
On
Fail On Load if Bad Zone Data
Off
Enable Round Robin
On
EnableNetmask Ordering
On
Secure Cache Against Pollution
On
Name Checking
Multibyte(UTF8)
Load Zone Data On Startup
Lấy từ AD và registry
EnableAutomatic Scaveging Of Stale Record
Off(cấu hình khi kích hoạt)
Bình thường các thuộc tính đều được khuyến khích để ở chế độ mặc định, tuy nhiên trong một số trường hợp nào đó ta vẫn cần tham gia chỉnh sửa ở một số tính năng nhằm phục vụ cho nhu cầu nào đó. Khi không còn nhu cầu ta có thể trả các tính năng này về vị trí mặc định chỉ bằng nút Reset To Default.
Các tính năng cụ thể:
Vô hiệu hóa đệ quy: (Disable Recursion) kích hoạt thuộc tính này DNS sẽ không trả lời các truy vấn mà nó không có thẩm quyền hoặc các truy vấn nó chưa từng trả lời, chưa xuất hiện trong bộ đệm của nó. Tính năng này có tác dụng nếu ta chỉ muốn có một máy chủ DNS và ngăn việc làm hỏng bộ đệm. Do máy chủ này không tham vấn đến máy chủ khác, nó không cần duy trì bộ đệm nên khó khăn trong việc giả mạo(ảnh hưởng đến bộ đệm)
Bind thứ cấp: (Bind Secondary) tính năng này sẽ điều khiển liệu định dạng chuyển giao vùng nhanh có được sử dụng trong việc chuyển giao vùng DNS không. Berkeley Internet Name Domain (BIND) là một phương pháp triển khai thông thường của DNS được thực hiện trên hầu hết các phiên bản hiện có của UNIX. Chuyển giao vùng nhanh là một phương thức hữu hiệu của việc chuyển giao các dữ liệu vùng có khả năng cung cấp khả năng nén dữ liệu, chuyển nhiều gói tin trong 1 thông điệp TCP. Việc lựa chọn này không làm ảnh hưởng việc giao tiếp giữa các máy chủ Windows với nhau. Việc chuyển giao nhanh chỉ được thực hiện với các phiên bản Bind từ 4.9.4 trở lên.
Fail On Load If Bad Zone Data: (không nạp dữ liệu vào vùng hỏng) Các máy chủ DNS chạy hệ điều hành Windows Server 2003 theo mặc định sẽ nạp dữ liệu vào một vùng ngay cả khi chứa lỗi. Việc lựa chọn này sẽ giúp ngăn cản điều đó.
Kích hoạt luân chuyển xoay vòng: (Enable Round Robin) là một kĩ thuật cân bằng tải sử dụng bởi các máy chủ DNS để chia sẻ và phân bố mức tài nguyên mạng. Nếu nhiều bản ghi thỏa mãn với truy vấn, có thể sử dụng Round Robin để quay vòng thứ tự các bản ghi trước khi trả cho máy trạm. Theo mặc định tính năng này được bật. Nếu bị vô hiệu hóa, thứ tự phản hồi dựa vào thứ tự gán tĩnh của các bản ghi tài nguyên trong danh sách.
Kích hoạt thứ tự mặt nạ mạng: (Netmask Ordering) là phương pháp sắp xếp để ưu tiên cho các IP trong 1 mạng khi máy khách truy vấn đến một máy có nhiều bản ghi tài nguyên A. Khi được kích hoạt các IP phù hợp nhất với mặt nạ mạng của máy khách sẽ được đưa lên đầu
Bảo mật bộ đệm sai hỏng: (Secure Cache Against Pollution) cho phép máy chủ DNS bảo vệ bộ đệm của nó khỏi các tham chiếu mà các tham chiếu này thường làm hỏng bộ đệm của nó. Khi thiết lập này được kích hoạt, máy chủ sẽ chỉ lưu đệm các bản ghi có tên tương ứng với miền mà tên miền này có trong truy vấn tạo ra. Bất kì tham chiếu nào nhận được từ các máy chủ DNS khác đi kèm 1 truy vấn sẽ bị từ chối.Nếu tính năng này không được kích hoạt, tất nhiên máy chủ sẽ lưu tất cả các bản ghi tài nguyên nhận được khi trả lời cho các truy vấn DNS thậm chí cả bản ghi không tương ứng với tên miền truy vấn.
Kiểm tra tên(check name):thiết lập mặc định của danh sách xổ xuống Namechecking là Multibyte (UTF-8). Khi đó DNS mặc định mọi tên miền mà dịch vụ này thực hiện sẽ phù hợp với định dạng chuyển đổi UCS (UCF).
Bảng II.2.2 các phương pháp kiểm tra tên
Phương pháp
Mô tả
Strict RFC [ASCII ]
Kiểm tra tên rất chặt trẽ. Các hạn chế được thiết lập trong RFC 1123, gồm việc giới hạn các chữ hoa, chữ thường, các số. Kí tự đầu có thể là số
Non RFC
Cho phép sử dụng tên không chuẩn và không theo các đặc tả về tên máy Internet trong RFC 1123
Multibyte (UTF – 8)
Cho phép nhận các giá trị khác ngoài ASCII bao gồm Unicode, thường được mã hóa độ dài hơn 1 Octet. Với tùy chọn này, các kí tự đa byte có thể được hỗ trợ UTF-8, được cung cấp sẵn trong Windows Server 2003
Các tên mã hóa không được vượt kích thước giới hạn chỉ định trong RFC 2181, tối đa 63 octet trên 1 nhãn, không quá 255 octet trên 1 tên. Cho phép các chữ cái ngoài tiếng Anh.
ALL name
Cho phép theo mọi hình thức tên.
Mặc dù phương pháp tên chuẩn theo UTF-8 có tính khả dụng cao, nhưng tính năng Strict RFC có tác dụng khi máy DNS của ta thực hiện chuyển giao với máy chủ không là Windows và không nhận được UTF-8. Các định dạng tên còn lại chỉ nên sử dụng khi có các yêu cầu đặc biệt cần đến.
Nạp dữ liệu của vùng khi khởi động:Các máy chủ DNS trong Windows Server 2003 sẽ khởi tạo các thiết lập chỉ định trong CSDL của Active Directory và registry của máy chủ. Ngoài ra còn có thể thực hiện việc nạp dữ liệu vào vùng bằng cách sử dụng hai thiết lập khác là từ Registry hoặc từ File
Lão hóa và loại bỏ các bản ghi tài nguyên: thông thường, người quản trị DNS sẽ trực tiếp xóa các bản ghi tài nguyên khỏi File của các vùng DNS nếu cần. Với tính năng cập nhật động, các máy tính và các dịch vụ riêng sẽ tự thêm vào hay xóa đi bản ghi tài nguyên DNS. Ví dụ, dịch vụ DNS client sẽ đăng kí bản ghi tài nguyên A và PTR và cứ tiếp tục sau mỗi 24h việc làm này đẳm bảo bản ghi luôn là mới nhất và bảo vệ DNS khi vô tình xóa đi một bản ghi nào.
Windows Server 2003 sẽ gắn một tem định thời gian vào trong các bản ghi tài nguyên mà được tự thêm vào các vùng chính nếu các vùng được kích hoạt lão hóa (Aging) và loại bỏ (scavenging). Các bản ghi được thêm vào một cách thủ công sẽ được gắn tem định thời là 0, máy sẽ hiểu đây là ngoại lệ, không bị ảnh hưởng bởi các quá trình trên.
Hình II.2.2:kích hoạt tính năng lão hóa và loại bỏ
Bảo mật DNS
DNS là một giao thức mở, do đó nó rất dễ bị tấn công, Windows Server 2003 cung cấp cho chúng ta một số công cụ nhằm tránh các tấn công vào cơ sở hạ tầng của DNS.
Các nguy cơ bảo mật DNS.
Bảng II.3.1. Các mối đe dọa an toàn DNS
Mối đe dọa
Mô tả dấu hiệu
Footpriting
(lấy dấu)
Là khi dữ liệu về miền của DNS bị người ngoài lấy được, bao gồm tên miền, địa chỉ IP…Kẻ tấn công có thể sử dụng dữ liệu để dựng lại cả hệ thống mạng, dò tìm hệ thống mạng, có thể lấy đi tài nguyên chính trong hệ thống mạng
Denial of service -dos
(Từ chối dịch vụ)
Tấn công kiểu này là kiểu tấn công có tính toán trước, nhằm phá hủy tính năng hệ thống. Cách tấn công Dos sẽ làm tràn tài nguyên mạng bằng yêu cầu không thể hoàn thành. Theo đó hệ thống luôn bận rộn để xử lí, CPU làm việc hiệu suất gần 100% và không còn thời gian cho công việc hợp lệ khác.
Chỉnh sửa dữ liêu
Sau khi đã tấn công lấy dấu, có các IP cụ thể và hợp lệ trong mạng. Kẻ tấn công có thể sử dụng để gửi các thông tin giả mạo giốn như các thông tin hợp lệ từ IP chuẩn, có thể truy cập vào hệ thống mạng để phá hủy hoặc thực hiện các kiểu tấn công khác.
Định hướng lại
Là kiểu tấn công mà kẻ tấn công có khả năng định hướng lại các truy vấn về các tên DNS về các máy chủ trong tầm kiểm soát của mình. Một cách đơn giản nhất của kiểu tấn công này là làm hỏng bộ đệm DNS và dẫn dữ liệu đến một địa chỉ khác. Việc tấn công có thể thực hiện bất kì khi nào có khả năng truy nhập vào dữ liệu của DNS
Các mức bảo mật.
Việc triển khai bảo mật của DNS được xác định theo các mức thấp , trung, cao. Dựa vào các đặc tính mạng mà ta chọn các mức phù hợp.
Bảng II.3.2 So sánh các mức bảo mật
Tiêu chí bảo mật
Thấp
Trung
Cao
Cơ sở hạ tân có thể bị phơi bày hoàn toàn trên Internet
Có thể
Hạn chế
Không
Các phân giả DNS chuẩn được thực hiện bởi
Tất cả máy chủ
Một số máy
Một số IP
Cấu hình root Hint trỏ đến máy mức gốc trên internet
Tất cả
Giới hạn
Một máy root hint
Cho phép chuyển giao vùng
Tất cả máy
Giới hạn máy trong bản ghi NS
Giới hạn IP xác định
Máy được cấu hình để nghe mọi địa chỉ Ip của nó
Tất cả
Xác đinh tên máy
Xác định IP
Cập nhật động
Tất cả máy
Không
Không
Mở cổng 53 của tường lửa
Tất cả IP
Không
Không
Ngăn hư hỏng bộ đệm
Không
Tất cả
Tất cả
Sử dụng tường lửa
Không
Dùng với danh sách
Danh sách máy
Bảo mật các thành phần của DNS
Bảo mật dich vụ DNS:
Dịch cụ DNS có thể chạy trên một máy chủ thành viên hoặc máy quản trị miền. Khi thiết lập nó trên máy chủ miền nó sẽ có nhiều tính năng nâng cao hơn các tùy chọn khi nó chạy trên các máy thành viên.
Hình II.3 dịch vụ bảo mật cho DNS server
Ta có thể điều chỉnh cụ thể các chính sách bảo mật của DNS server tại thẻ Advance trong tab Security của bảng điều khiển DNS.
Bảo mật vùng gói file
Bảo mật các vùng được gói trong flie yêu cầu việc quản trị quyền truy cập hệ thống file NTFS lưu trên máy Windows Server 2003 thành viên.
Thiết lập quyền trên file của cùng được gói file:
Hình II.3.2 gán quyền bảo mật file – thư mục chứa vùng DNS
Bảo mật DNS tích hợp Active Directory
Bảo mật tích hợp vùng DNS tích hợp Active Directory sẽ yêu cầu các tùy chon bổ sung của việc cập nhật động và điều khiển truy cập.
Các thiết lập bảo mật mặc định là Secury only, nó ngăn kẻ tấn công có thể truy cập các vùng DNS. Nhưng thiết lập này ảnh hưởng tới việc cập nhật động.
Cập nhật động bảo mật sẽ hạn chế các vùng DNS được cập nhật bởi các máy tính đã xác thực và đã trong miền Active Directory mà máy DNS này là thành viên và thỏa mãn một số yêu câu xác định khác.
Hình II.3.3 hãy đảm bảo thuộc tính cập nhật đông luôn được chọn (Secury Only)
Bảo mật chuyển giao vùng
Dịch vụ DNS server trong Windows Server 2003 cho phép thông tin của vùng được chuyển giao chỉ đến máy chủ được liệt kê trong danh sách các bản ghi tài nguyên NS của vùng. Đây đã là một cấu hình bảo mật, nhưng để tẳng cường tính bảo mật, người ta hướng các vùng được chuyển giao đến một số IP cố định đã xác thực. Lưu ý rằng các máy sử dụng địa chỉ IP này nên để động và máy chủ cấp phát địa chỉ IP nên được cấu hình bỏ không cấp các địa chỉ này.
Để chỉnh sửa các thiết lập chuyển giao vùng, thực hiện các bước:
Hủy bỏ tính năng chuyển giao vùng, xóa tùy chọn Allow Zone Transfers trong hộp chọn Zone Transfers.
Để kích hoạt ta chọn nó
Để hướng các chuyển giao vùng đến một máy khác, ta có thể lựa chọn
To Any Server : cho phép chuyển đến tất cả các máy chủ khác
Only To Servers Listed On The Name Server (chỉ cho phép đến các máy có tên trong list) ta sử dụng các tùy chọn trong thẻ Name Server
Only To The Following Server (chỉ cho phép đến các server xác định) : nhập IP các máy chủ đó vào trong danh sách địa chỉ IP.
Hình II.3.4: các tùy chọn cho việc bảo mật chuyển giao vùng
Bảo mật bản ghi tài nguyên:
Việc điều khiển truy cập các bản ghi tài nguyên lưu trong Active Directory được quản lý bởi DACL (Discrectionary Access Control List) . DACL áp dụng trên các bản ghi tài nguyên cụ thể sẽ giới hạn các người dùng và nhóm người đủ quyền truy nhập vào các tài nguyên đó. Tính năng được cấu hình tại chính thẻ Secury của cửa sổ Properties của từng bản ghi đó. Việc cấu hình và các tính năng hoàn toàn giống chính sách tài khoản của Active Directory .
Giám sát và giải quyết một số sự cố DNS
Trong phần này ta chỉ tập trung vào công cụ Event Viewer và Replicaton Monitor. Đây là các công cụ có ích để sử dụng cho việc giám sát và giải quyết sự cố của máy chủ DNS.
Xem các nhật kí sự kiện.
Ngoài nhật kí của máy chủ Active Directory , Windows Server 2003 duy trì riêng cho DNS một nhật kí riêng. Khi muốn kiểm tra DNS ta chỉ cần xem DNS Server Event Log. Đồng thời cấu hình các thông tin cần theo dõi nhờ bộ lọc thông tin nhật kí.
Hình II.4.1 giao diện thông báo của DNS Event Viewer
Khi nhấn pải chuột vào mục DNS Event ta mở ra cửa sổ DNS Event Properties, chứa 2 thẻ General và Filter cho phép ta cấu hình chi tiết hơn các chính sách.
Hình II.4.2 General và Filter
Giải quyết sự cố với DNS Debug Log
Ngoài DNS Event Log, dịch vụ DNS còn duy trì một nhật kí khác sử dụng để gỡ rối là DNS Debug Log. Đây là một file có tên DNS.log, được lưu trong Windows\System32\Dns. Ta có thể dùng Notepad để xem.
Thông thường DNS Debug Log chỉ dùng chứa lỗi, nhưng ta có thể sử dụng nó để thu thập các gói tin mà DNS nhận hoặc gửi từ 1 gói tin nội bộ. Khi kích hoạt lựa chọn “Log Packets For Debugging” ta có thể cấu hình các tùy chọn gói tin cần giữ.
Hình II.4.3 cấu hình DNS Debug log
Giải quyết sự cố bằng Replication Monitor
Replication Monitor (replmon.exe) là một công cụ giao diện đồ họa được tích hợp trong Windows Support Tool cho phép giám sát và giải quyết các sự cố đồng bộ Active Directory. Đây là tính năng cần thiết trong việc giám sát và chuyển giao dữ liệu trong các vùng tích hợp DNS.
Có thể dùng Replication Monitor thực hiện chức năng sau:
Ép đồng bộ hóa dữ liệu bằng nhiều cách đồng bộ.
Tìm ra một đối tượng đồng bộ hóa có vấn đề.
Hiển thị kiến trúc đồng bộ.
Thăm dò đối tượng đồng bộ, tạo lịch sử riêng của sự kiện thành công hay thất bại.
Hiển thị thay đổi mà chưa được đồng bộ từ một máy cụ thể nào đó.
Giám sát đồng bộ của máy DNS miền từ nhiều rừng khác nhau.
Hình II.4.4 bảng điều khiển Replication Monitor
Tìm kiếm các lỗi đồng bộ: Các lỗi DNS trong Active Directory có thể sinh ra do việc đồng bộ vùng. Ta có thể tìm kiếm các lỗi trên thực đơn Action, chọn domain, sau đó tìm “Search Domain Controllors For Replication Errors”. Các lỗi đồng bộ sẽ được tìm và liệt kê.
Tổng kết:
Qua các trình bày ở trên ta đã thấy tầm quan trọng và phần nào thấy được cách hoạt động của một máy chủ DNS. Làm sao để điều khiển DNS hiệu quả và an toàn.
Một số thao tác quan trọng đã trình bày và được ứng dụng nhiều trong khi làm việc với DNS mà người quan tâm cần hiểu như:
Sử dụng các công cụ dòng lệnh Nslookup, DNSLint, DNScmd
Sử dụng các thiết lập nâng cao có sẵn để bảo toàn dữ liệu vùng, thiết lập bảo mật bộ đệm.
Hiểu và chọn một chế độ secur phù hợp.
Sử dụng Event Log và DNS Debuglog giám sát DNS
Các tài liệu tham khảo sử dụng :
Cuốn training_kit 70-291 của J.C.Mackin & LanMcLean.
Một số giáo trình quản trị mạng.
Một số tư liệu khác từ nguồn mạng Internet.
Xin chân thành cảm ơn !
Các file đính kèm theo tài liệu này:
- M0758.doc