Bazele funcționării DNS

  • Distribuirea stocării informațiilor Datele din diferite zone sunt stocate pe servere diferite
  • Distribuirea administrației Diferite zone sunt responsabile pentru diferite zone
  • Abilitatea de a memora cache-urile Pentru a reduce sarcina și a reduce timpul de răspuns.
  • Toleranța erorilor Mai multe servere sunt responsabile pentru stocarea informațiilor despre o zonă

Cu o mare dorință, puteți studia următoarele RFC 1034 1035







Domeniu - Unitate din arborele de nume, împreună cu toate nodurile subordonate. Nivelurile de domenii sunt considerate a fi o referință stânga.

  • Domeniul rădăcină este "." (Punctul care este pus la sfârșitul numelui DNS.) Exemplu: server1.moscow.domain.org.). De obicei, este omis când tastați un nume, dar îl puteți pune, atunci acesta va defini numele ca FQDN (Full Domain Name Qualified).
  • Domeniile de la primul nivel (de obicei, org, com, me, tv, ru etc.) sunt tematice sau regionale. Determinarea țării sau a ocupației.
  • Domeniile de nivel 2 (exemplu: mail, gmail, yandex) Acestea sunt de obicei găsite pe Internet, fiind vândute de registratori. Unii merită un ban, alții sunt ca niște avioane.
  • Domeniile celui de-al treilea și alte niveluri sunt rar vândute și înregistrate. Excepția poate fi, de exemplu, ****. Com.ru și nume similare.

Subdomeniu - Domeniu slave. De exemplu: server1.moscow.domain.org

  • Pentru subdomeniul domeniu domain.org este moscow
  • Durata poate fi de până la 127 de subdomenii, fiecare dintre acestea având până la 63 de caractere. Dar lungimea totală nu trebuie să depășească 254 de caractere

Înregistrare de resurse - O unitate de stocare a informațiilor, are un nume și este legată de un nume de domeniu. De exemplu: server1.moscow.domain.org

  • Înregistrarea resursei va fi server1 și va avea format A-Record

Zona - O parte a numelui de domeniu împreună cu înregistrările de resurse și subdomenii, care este stocată pe un singur server. Deseori, servește la transferarea responsabilității pentru relevanța datelor către terți.

Sugestie rădăcină - Server cunoscut pentru domeniul rădăcină "." (Dot)

Responsabilitate - Există două tipuri:

  • Autoritate - Când serverul DNS stochează zona solicitată
  • Non-autoritar - Când serverul DNS nu stochează zona solicitată

Interpelul recursiv și iterativ

Există două moduri de a rezolva numele.

Al doilea este recursiv - aceasta este metoda prin care serverul DNS transmite datele de la client către un alt server, că va procesa cererea și va returna datele finale. (celălalt server poate funcționa recursiv sau în același mod interactiv)

De exemplu, poate fi citată următoarea poveste:

  1. Resolver trimite o interogare recursivă la serverul DNS NameServer1
  2. NumeServer1 cereri iterative pentru a sugera rădăcini
  3. pentru că datele nu pot fi rezolvate, atunci se returnează IP-ul serverului DNS responsabil pentru zona COM
  4. NameServer1 cereri iterative către NS responsabile pentru zona COM
  5. pentru că datele nu pot fi rezolvate, IP-ul serverului DNS responsabil pentru zona Reskit.com este returnat
  6. NameServer1 face interogări iterative către NS responsabil pentru zona Reskit.com
  7. Obține datele necesare
  8. Trimite datele înapoi la clientul Resolver.

Revenire interogare DNS

Tipurile de înregistrări ale serverului DNS

Noi oferim doar principala, pentru că numărul lor mare:

Rezolvarea numelor și corecțiile legate de cache

Această cifră prezintă toate elementele:

Căutarea tuturor celor 7 pași se oprește imediat ce prima întâmplare îndeplinește condițiile.

Notă:
-Puteți să consultați cache-ul DNS folosind c: \> ipconfig / displaydns

Configurarea IP a Windows

Numele înregistrării. api.wordpress.org

Notă: Toți parametrii principali sunt de înțeles, nu voi preciza

Când se pornește serviciul server DNS, datele din toate zonele sunt stocate în memoria RAM. De asemenea, rețineți că memoria cache a interogărilor DNS va fi stocată în memorie. Va fi util să rețineți cerințele de sistem pentru serverele DNS:

  1. Serverul DNS fără zone durează aproximativ 4 MB în memoria RAM
  2. La adăugarea de zone, datele sunt încărcate în memoria principală
  3. Fiecare înregistrare are aproximativ 100 de octeți. Deci, dacă aveți 1000 de intrări, va fi nevoie de încă 100 kb
  1. Numai în numerar - nu stocați nicio zonă, sunt doar servere în care se stochează memoria cache a interogărilor DNS. Prin urmare, acestea nu creează trafic de transfer de zonă. Puteți utiliza biroul de sucursală pentru a reduce traficul DNS între el și biroul principal.
  2. Non-recursive - Servere pe care este stocată zona DNS și dezactivată posibilitatea de rezoluție nume recursivă. Acest lucru duce la faptul că, dacă serverul nu poate rezolva numele (nu are o înregistrare de resurse), interogarea DNS nu va fi permisă. Astfel de servere pot fi puse în rolul de servere externe DNS ale companiilor. De asemenea, protejează serverele DNS de utilizarea de către utilizatori externi pentru a rezolva numele DNS din Internet.
  3. Numai înainte - este clar din nume că serverele sunt implicate numai în transmiterea cererilor DNS către alte servere (interogarea normală recursivă este dezactivată). În acest caz, dacă serverul nu primește un răspuns de la alții, atunci cererea nu va fi permisă. Astfel de servere pot fi utilizate pentru a gestiona traficul DNS între rețeaua corporativă și Internet. În acest scenariu, toate serverele interne vor accesa serverul Forward-only pentru a rezolva numele externe. Punctul de contact cu Internetul va scădea la un server DNS.
  4. Condiționat înainte - Foarte similar cu serverul Forward-only. dar spre deosebire de acestea este faptul că specificați un pachet în care domeniu pe care doriți să îl transmiteți.

Prin urmare, toate interogările legate de contoso.msft. de exemplu, www.corp.contoso.msft va fi redirecționat la 10.10.0.10

Nivele de securitate Microsoft DNS pentru server

Există 3 nivele:

Planificarea spațiului de planificare

Odată cu planificarea corectă a spațiului de nume DNS, nu va exista nicio problemă în rezolvarea acestor nume. În momentul de față, fiecare companie trebuie să comunice cu lumea exterioară. Ce înseamnă asta pentru noi?

  1. Numele și serviciile serverului DNS intern - nu ar trebui să fie accesibile de pe Internet
  2. Serverele interne ar trebui să poată rezolva numele externe (Internet)
  3. Utilizatorii externi ar trebui să poată rezolva numele externe (de exemplu, numele site-ului, punctul de conectare VPN, Exchange OWA etc.)

Soluția corectă este de a împărți structura DNS în sfera de acțiune (rețea locală și Internet). Există câteva soluții tipice. Să le analizăm și să decidem care dintre ele să aleagă. Un spațiu de nume. Avantajele includ un spațiu de nume pentru rețeaua locală și Internet. În acest caz, diferite servere DNS sunt responsabile pentru înregistrări diferite de resurse. Dacă DNS intern este utilizat pentru Active Directory și resurse similare, atunci DNS extern este utilizat pentru site-uri WWW, puncte de intrare VPN și așa mai departe. De asemenea, zone diferite de zone de viziune.







  • Un spațiu de nume. Avantajele includ un spațiu de nume pentru rețeaua locală și Internet. În acest caz, diferite servere DNS sunt responsabile pentru înregistrări diferite de resurse. Dacă DNS intern este utilizat pentru Active Directory și resurse similare, atunci DNS extern este utilizat pentru site-uri WWW, puncte de intrare VPN și așa mai departe. De asemenea, zone diferite de zone de viziune.
  • Subdomeniu. Cazul în care pentru infrastructura internă alocăm din domeniul principal un subdomeniu.
      1. Mai ușor de administrat
      2. Înțelegeți imediat topologia rețelei
      3. Spațiul de nume intern rămâne invizibil pentru cererile externe
  • Un spațiu de nume separat. Destul de similar cu al doilea caz, împărțim spațiul de nume. Dar, în acest caz, de exemplu, conform voinței viziunilor religioase sau altor sarcini - nu este nevoie să împărtășim un domeniu public. În acest caz, vom face un domeniu separat pentru nevoile interne și separat pentru cele externe. Deși am în imagine și domeniile de nivelul doi sunt aceleași, dar aceasta nu este o condiție obligatorie.

  • Există trei tipuri de zone DNS, fiecare putând fi folosit pentru nevoile lor:

    Windows Server DNS acceptă actualizări dinamice. Există mai multe tipuri.

    • Securizată actualizare dinamică în Active Directory - această funcție este disponibilă numai când sunt integrate zone AD DNS. Deoarece zona va fi stocată în AD, puteți securiza datele utilizând capabilitățile Active Directory. Puteți utiliza lista ACL (Control acces) pentru a defini drepturile de editare / citire
    • Actualizare dinamică DNS de la DHCP - Această funcție vă permite să actualizați înregistrările DNS numai pe serverele DHCP. Actualizarea are loc atunci când clientul serverului DHCP primește adresa IP. Pe serverele DHCP, trebuie să definiți zonele DNS în care serverul va actualiza dinamic valorile. Pe serverul DNS, determinați că numai serverele DHCP pot actualiza înregistrările.
    • Actualizarea dinamică a clientului DNS - Aproape la fel ca la punctul 2. Diferența este că datele din DNS vor fi actualizate de clienții înșiși. Această posibilitate este Windows de la versiunea XP. Această metodă este mai puțin sigură, deoarece Un atacator poate schimba cu ușurință înregistrarea în DNS. Permițând aceste actualizări dinamice, deschideți o ușă suplimentară pentru atacator.

    Transferul și replicarea zonei

    Deoarece structurile distribuite sunt utilizate pentru a asigura disponibilitatea înaltă a serverelor DNS. Este necesară sincronizarea actualizării datelor pe toate serverele responsabile pentru această zonă. Pentru aceasta, folosesc transferul de zone (replicare în Active Directory).

    Zona de depozitare a zonelor

    Delegația este procesul de transferare a drepturilor la o parte a unui nume de domeniu, de exemplu, la o altă organizație, o sucursală și așa mai departe.

    Când trebuie să deleagă?

    1. Când trebuie să transferați controlul asupra unei părți a unui nume de domeniu pentru a administra fără participarea dvs.
    2. Când există o bază de date DNS mare, pentru a oferi toleranță la erori, puteți răspândi baza de date pe diferite servere
    3. Când trebuie să adăugați un subdomeniu nou pentru noul birou și transferați drepturile de administrare a acestuia.

    Studiem capabilitățile serverului DNS Windows

    Baza pe care am trecut-o, acum să trecem peste posibilitățile oferite de standardul DNS. Pentru a face acest lucru, trebuie să instalați rolul serverului DNS pe server. Acești pași sunt săriți, deoarece depăși domeniul de aplicare al acestui articol.

    1. Rulați expertul pentru noua zonă DNS.

    Alegeți tipul de zonă și locația acesteia

    • Primary, Secondary și Stub
    • Stocați zona în Active Directory - să păstrăm noua zonă în Active Directory
  • Setați numele zonei (fără www sau alte subdomenii)
  • Dacă ați exportat zona, puteți pur și simplu să o lipiți din fișier (Utilizați fișierul existent). Fișierul trebuie să fie plasat în% systemroot% \ system32 \ dns
  • Alegeți dacă aveți nevoie de actualizări dinamice pentru zonă. pentru că Creez o zonă pentru site-ul meu web, atunci nu am nevoie de actualizări. Voi adăuga singuri notele. înregistrările nu vor fi mai mult de o duzină.
  • În fila Nume servere, puteți specifica unde vor fi stocate datele despre această zonă, adică. alte servere NS.
  • În fila Transferuri zonale, puteți stabili cine are permisiunea de a transfera zona. Cea mai simplă opțiune este opțiunea Doar pentru serverele listate în fila Nume servere. Ceea ce indică faptul că numai serverele NS specificate explicit pot transfera zona. De asemenea, puteți permite toate serverele sau numai IP-urile selectate

    DNS și Active Directory

    După cum mulți oameni știu deja, Active Directory se bazează foarte mult pe infrastructura DNS. Ea este baza de lucru. Deci, să vedem ce înregistrări sunt prezente și necesare pentru activitatea AD.

    Când rolul serverului este ridicat la DC, toate intrările DNS necesare sunt create automat. Mai târziu, când adăugați alte site-uri DC, ștergeți datele. Toate acestea sunt prescrise în DNS. Din acest motiv, serverul DNS trebuie să susțină actualizările dinamice ale înregistrărilor de resurse. Aceste intrări pot fi găsite în fișierul% SystemRoot% \ System32 \ Config \ Netlogon.dns.

    Acum, să vorbim mai detaliat și să începem cu _msdcs

    • _msdcs este un subdomeniu definit de Microsoft. Sarcina sa este de a determina locația DC, care realizează anumite roluri în pădure și în domeniu. Această zonă este stocată în partiția de director pentru aplicații la nivel de pădure. Serviciul Net Logon înregistrează înregistrare SRV pentru autentificare proxy resurse bine-cunoscute, cum ar fi DC (Domain Controller), GC (catalog global), PDC (Primary Domain Controller), Domenii (Unique Identifier La nivel global, GUID), atât în ​​_msdcs subdomeniu prfiksy. Astfel, subdomeniile definite oprdeleyayut controlerele de domeniu, care sunt in domeniul sau de pădure și își îndeplinește opredelnnye rol. Pentru a determina locația unui DC după tip sau GUID, serverele Windows înregistrează SRV utilizând următorul model:

    _Service._Protocol.DcType._msdcs.DnsDomainName

    • SRV Records. Când un controler de domeniu se învârte, serviciul Net Logon utilizează actualizări dinamice pentru a înregistra înregistrările SRV și A pe serverul DNS. Înregistrările SRV sunt utilizate pentru a fixa numele serviciului (de exemplu, LDAP) peste numele DNS al computerului pe care rulează serviciul. Atunci când o stație de lucru se conectează la un domeniu, acesta interoghează DNS pentru înregistrările SRV folosind formularul următor:

    Deoarece Active Directory utilizează protocolul TCP, clienții găsesc serverul LDAP în această formă:

    • Înregistrările SRV înregistrate de serviciul Net Logon

    Permite clientului să găsească serverul cu serviciul LDAP care rulează în domeniul DnsDomainName. De exemplu: _ldap._tcp.inadmin.ru

    _ldap._tcp. NumeSite. _sites. Dnsdomainname.

    Permite clientului să găsească serverul cu serviciul LDAP care rulează în domeniul DnsDomainName în site-ul SiteName. SiteName este un nume relativ care este stocat în containerul Configuration din Active Directory. De exemplu: _ldap._tcp.Moscow._Sites.inadmin.ru

    Permite clientului să găsească controlerul de domeniu în domeniul DnsDomainName. Toate DC-urile înregistrează această înregistrare SRV.

    _ldap._tcp. NumeSite. _sites.dc._msdcs. Dnsdomainname.

    Permite clientului să găsească controlerul de domeniu în domeniul DnsDomainName în site-ul SiteName. Toate DC-urile înregistrează această înregistrare SRV.

    Permite clientului să găsească PDC în domeniul DnsDomainName. Numai serverul PDC înregistrează această înregistrare SRV.

    Permite clientului să găsească PDC în pădurea DnsForestName. Numai serverele GC înregistrează această înregistrare SRV.

    _ldap._tcp. NumeSite. _sites.gc._msdcs. DnsForestName.

    Permite clientului să găsească GC în pădurea DnsForestName. Numai serverele GC aparținând acestei păduri înregistrează această înregistrare SRV. De exemplu: _ldap._tcp.Moscow._Sites._gc._msdcs.inadmin.ru

    _ gc._tcp. DnsForestName.

    Permite clientului să găsească GC în domeniul dat. Numai serverele GC aparținând acestei pădurii DnsForestName înregistrează această înregistrare SRV. De exemplu: _gc._tcp.inadmin.ru

    _ gc._tcp. NumeSite. _sites. DnsForestName.

    Permite clientului să găsească GC în pădurea DnsForestName dată în site-ul SiteName. Numai serverele GC aparținând acestei pădurii DnsForestName înregistrează această înregistrare SRV. De exemplu: _gc._tcp._Moscow._Sites.inadmin.ru

    _ldap._tcp. DomainGuid. domains._msdcs. DnsForestName.

    Permite clienților să găsească DC după GUID. GUID este un pointer unic pe 128 biți. Calculat la momentul în care DnsDomainName și DnsForestName s-au modificat. De exemplu: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains. _msdcs.inadmin.ru

    Permite clienților să găsească Kerberos KDC în domeniul dat DnsDomainName. Toate DC-urile înregistrează această înregistrare SRV.

    La fel ca _kerberos._tcp. DnsDomainName numai prin UDP

    _kerberos._tcp. NumeSite. _sites. Dnsdomainname.

    Permite clienților să găsească Kerberos KDC în domeniul DnsDomainName dat în SiteName. Toate DC-urile înregistrează această înregistrare SRV.

    Permite clienților să găsească DC pe care rulează rolul Kerberos KDC în acest domeniu DnsDomainName. Toate DC-urile cu rolul KDC înregistrează această înregistrare SRV.

    _kerberos.tcp. NumeSite. _sites.dc._msdcs. Dnsdomainname.

    Permite clienților să găsească DC pe care rulează rolul Kerberos KDC în domeniul DnsDomainName în site-ul SiteName. Toate DC-urile cu rolul KDC înregistrează această înregistrare SRV.

    Vă permite să găsiți Schimbarea parolei Kerberos pentru domeniul curent. Toate DC-urile cu rolul kerberos KDC înregistrează această înregistrare SRV

    La fel ca _kpassword._tcp. DnsDomainName numai prin UDP







    Articole similare

    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: