Nhiều người thắc mắc rằng dữ liệu DNS được lưu trữ như thế nào? và sao lại liên quan đến Zones và vì sao lại phải sử dụng nó? Khi một Domain lớn muốn quản trị nó một cách đơn giản người ta nghĩ ra cách đó là chia thành các Zones có cùng các chính sách quản lý hơn. Nghiên cứu về Zone chúng ta sẽ liên quan đến các vấn đề như:
Nơi lưu trữ dữ liệu Zone
Dữ liệu đó được cập nhật như thế nào
Dữ liệu Zone được truyền giữa các máy ra sao.... Trong phần 3 các vấn đề liên quan tới DNS tôi sẽ giới thiệu với các bạn.
Chúng ta nghiên cứu về Zone Properties sẽ ra được toàn bộ các vấn đề trên.
Trong Zone Properties có những tab sau:
General: Với thiết lập về nơi lưu trữ dữ liệu Zone, cách cập nhật dữ liệu zone, và cấu hình dạng Zone (type of Zone)..
Start of Authority: Chúng ta sẽ biết máy chủ nào là máy chủ Primary chứa dữ liệu Zone đó, cấu hình thời gian cho việc cập nhật dữ liệu giữa các máy chủ Zone với nhau
Name Server: Cấu hình trong này sẽ ảnh hưởng tới các máy chủ chứa dữ liệu Zone, cho phép tranfer dữ liệu zone ngoài ra dữ liệu NS này cũng có khả năng tự động cập nhật nếu cài thêm domain controller cho domain này.
Security: Trong tab security chúng ta sẽ có thể gán cho từng group cụ thể, user cụ thể có khả năng làm được một việc cụ thể.
Zone Tranfer: Trong tab này chúng ta sẽ cấu hình cách thức dữ liệu zone được truyền
WINS: cấu hình máy chủ WINS cho Zone này.
1. Nghiên cứu về tab General
Trong tab này chúng ta có thể cấu hình về status của Zone này như Pause, Resume, Stop với một nút bấm đầu tiên.
Trong Zone Type là một trong những vùng cấu hình quan trọng nhất đối với Zone.
Ở đây cho phép ta cấu hình dữ liệu đang chứa trên máy tính ở dạng Zone nào:
Primary: Dữ liệu Zone được chứa trên máy chủ chứa Primary Zone, Primary cho phép cập nhật dữ liệu và tranfer với các máy chủ chứa Secondary Zone
Secondary: Chứa dữ liệu Copy của Primary Zone, chỉ có khả năng cập nhật với dữ liệu trên Primary không có khả năng tự update dữ liệu, là một bản sao của Primary Zone.
Stub: Là bản sao dữ liệu NS (Name Server) trên Primary Zone, không có khả năng resolve tên cho các máy con.
Như bài đầu tiên tôi có giới thiệu về ý nghĩa của từng Type of Zone các bạn có thể xem lại để hiểu được khi nào phải dùng dạng Zone nào cho hợp lý và tối ưu hoá việc resolve tên cho các máy client và đảm bảo đường truyền cho hệ thống.
Dấu check box ở cuối hình các bạn nhìn thấy đó chính là việc có lưu dữ liệu Zone trên Active Directory hay không. Các bạn biết rằng khi dữ liệu chứa trên Active Directory thì nó mới có khả năng Replication được còn không thì sẽ không được. Khi các bạn đánh dấu vào dấu check box đó có nghĩa dữ liệu Zone của bạn sẽ được Lưu trên Active Directory và bạn có thể cấu hình vùng chúng Replication trên Active Directory.
Ngoài ra chỉ khi bạn lưu dữ liệu DNS trên Active Directory thì dữ liệu Zone mới cho tính năng Dynamic Update nhưng ở dạng Secure Only phần sau chúng ta sẽ tìm hiểu vấn đề này.
Khi cấu hình cho dữ liệu Zone lưu trên Active Directory bạn cần phải quan tâm tới rằng dữ liệu Zone đó được đồng bộ trên những máy tính nào trong hệ thống.
dấu check box đầu tiên: Sẽ đồng bộ toàn bộ dữ liệu Zone với tất cả máy chủ DNS trên toàn forest
dấu check box thứ hai: Sẽ đồng bộ toàn bộ dữ liệu Zone với tất cả máy chủ DNS trên toàn domain
dấu check box thứ ba: Sẽ đồng bộ toàn bộ dữ liệu Zone với toàn bộ máy chủ Domain Controller trên toàn Domain.
Sau khi cấu hình xong về vấn đề dạng dữ liệu Zone (Type Zone), Cách lưu trữ dữ liệu Zone trên Active Directory chúng ta cần cấu hình một phần không kém quan trọng đó là Dynamic update:
Dynamic update: Máy chủ DNS chứa các record quan trọng đó là Host A Record (ví dụ server.vne.com --- 192.168.1.2) với ánh xạ như vậy để khi có một request server.vne.com máy chủ DNS sẽ trả lời lại request là 192.168.1.2. Vậy một máy client50.vne.com để cấp địa chỉ IP tự động thì thế nào, hôm nay dữ liệu Host A trên DNS là client50.vne.com ---192.168.1.55 ngày mai khi được cấp địa chỉ IP động máy client50 sẽ nhận địa chỉ IP khác không phải 55 nữa vậy khi có request tới client50.vne.com thì máy chủ vẫn trả về địa chỉ là 192.168.1.55 vậy là quá trình truy cập sẽ bị sai. Khắc phục vấn đề này máy chủ DNS cho phép dự liệu tự động update.
Dynamic update: Cho phép máy chủ DNS tự động thay đổi các dữ liệu Record
Cấu hình Dynamic update có các vấn đề sau:
None: Không tự động cập nhật dữ liệu
None Security and Security: Cho phép tự động cập nhật dữ liệu không yêu cầu bảo mật giữa máy client và máy DNS và cho phép cả quá trình cập nhật bảo mật vì sao phải lựa chọn này là mặc định bởi cho phép cả các máy client không trong domain và trong domain.
Secure Only lựa chọn này chỉ có khi bạn lưu dữ liệu Zone trong Active Directory, khi bạn lựa chọn này yêu cầu tất cả sẽ phải cập nhật trong bảo mật.
Trong tab general còn một vấn đề khác đó là đó là xoá các thông tin cũ Aging trong cấu hình này cho phép bạn xoá các dữ liệu đã quá cũ rồi.
2. Nghiên cứu về tab Start of Authority (SOA).
Trong tab này có mục Serial number đây là thông tin chứa số lượng các record chứa trên máy chủ DNS. Ví như khi bạn thêm một record Host A thì giá trị Serial Number này sẽ tăng lên một giá trị.
Trong thông số Primary server chính là máy chủ chứa dữ liệu Primary Zone. Khi chúng ta có nhiều máy chủ DNS và khi muốn thay đổi một máy chủ đang là Secondary Server sang Primary server thì phải vào đây thay đổi.
Trong này có mục là Responsible Person đó chính là máy chủ trả lời các request.
Trong phần Refresh Interval với mặc định là 15 phút đó là khoảng thời gian để đồng bộ dữ liệu giữa máy chủ chứa Primary Zone và các máy chủ Secondary Zone. Trong phần này ta cấu hình thay đổi không sử dụng mặc định nữa bởi vì nếu dữ liệu DNS ít có sự thay đổi ta có thể để khoảng thời gian này lớn để giảm băng thông đường truyền cho mạng.
Retry Interval: nếu quá trình Refresh mà xảy ra lỗi thì sau một khoảng thời gian nào đó sẽ refresh lại.
Expire after: thông tin DNS nếu không refresh sẽ không còn giá trị sau một ngày.
Dữ liệu DNS được làm tươi liên tục với thời gian là 1h với mặc định tất cả các dữ liệu.
Khi nghiên cứu về Tab này chúng ta có thể thấy được ý nghĩa của nó với DNS là cho chúng ta biết số lượng record, máy chủ Primary, và có thể thay đổi được máy chủ trả lời cho các client ngoài ra chúng ta còn có thể cấu hình thời gian cho việc refresh dữ liệu giữa Primary và Secondary.
3. Nghiên cứu về Tab Name Server.
Trong tab này chúng ta sẽ thấy suất hiện các domain controller của domain đó, nếu bạn cấu hình cho dữ liệu DNS lưu trên Active Directory.
Ngoài ra chúng ta có thể thêm những máy chủ NS vào tab này để ta có thể dựa vào các thông tin ở đây để đồng bộ dữ liệu DNS, ta có thể cấu hình chỉ đồng bộ dữ liệu với các máy chủ có trong NS table này mà thôi. Ngoài ra dữ liệu NS là dữ liệu được Stub Zone copy về và dựa vào nó để gửi các request tới các máy chủ trong NS tab này. Dữ liệu NS có thể tự động cập nhật (khi cài domain controller) hoặc bạn có thể add manual vào.
4. Nghiên cứu về tab Security.
Đúng như tên gọi của nó trong tab này chúng ta cấu hình gán Permission cho người dùng hoặc nhóm người dùng có khả năng làm được gì trong dữ liệu Zone như tạo, thay đổi, copy... các record trong Zone.
5. Nghiên cứu về Zone Transfers.
Dữ liệu Zone là một trong các dữ liệu quan trọng bậc nhất trong hệ thống mạng, nó cho phép bạn quản lý các máy tính theo tên thay vì một hệ thống địa chỉ IP phức tạp. Nhưng nếu dữ liệu Zone cuar bạn bị lộ thì một kẻ tấn công có thể dựa vào dữ liệu này để phân tích hệ thống mạng của bạn và từ đó sẽ tấn công xâm nhập vào hệ thống của bạn dễ dàng hơn.
Do đó dữ liệu Zone chỉ nên đồng bộ và cho phép truyền tới một số máy mà thôi mặc định với "to any server" cái này có nghĩa khi có yêu cầu truyền thông tin về Zone máy chủ sẽ truyền dữ liệu Zone. Nhưng nếu như vậy thì ai cũng có thể lấy được thông tin về Zone, nhưng DNS còn có các lựa chọn khác như "Only to server listed on the NS table" có nghĩa dữ liệu Zone chỉ truyền tới các máy chủ có trong danh sách của NS table mà thôi. Ngoài ra DNS còn có Options cho phép bạn chỉ đồng bộ tới một máy chủ nhất định nào đó mà thôi.
6. Nghiên cứu về Tab WINS.
Bạn là nhà quản trị mạng trong hệ thống của bạn có hai domain vne.com máy chủ DNS và Domain controllers là các máy chủ chạy Windows Server 2003, Win client là Windows XP. Ngoài ra trong hệ thống còn có domain sov với các máy chủ Windows NT Server 4.0, các máy con chạy Windows NT 4.0
Các máy client trong domain sov nói vào dữ liệu cả hai vùng một cách bình thường, nhưng các máy client trong domain vne.com lại không thể truy cập vào các dữ liệu trên domain sov. Vậy nguyên nhân tại sao?.
Windows NT 4.0 Server chạy dịch vụ WINS là dịch vụ Name Resolution vì công nghệ NT 4.0 chưa có DNS.
Do vậy khi máy client muốn vào dữ liệu trên domain sov thì bạn phải cấu hình trong tab WINS
với dấu check box "Use WINS lookup forward" sau đó bạn add thêm một máy chủ chạy dịch vụ WINS vào là được.
7. Kết luận.
Trong ba phần các vấn đề về DNS tôi trình bày các bạn có biết về các thông tin về DNS, các dữ liệu chứa trên DNS (record), các dạng về Zone, và khi nào sử dụng các dạng Zone này. Trong các tab của DNS tôi trình bày khá chi tiết và các ứng dụng của mỗi trường hợp khi có sự thay đổi về cấu hình.
Chúc các bạn thành công!
0 comments:
Post a Comment