Khi nghiên cứu về DNS chúng ta cần nghiên cứu đầu tiên về các thuộc tính và ý nghĩa của các cấu hình trên DNS Server. Giúp bạn hiểu sâu về ý nghĩa của nó trong (phần 2) này tôi trình bay chi tiết ý nghĩa của từng thuộc tính và việc vận dụng chúng trong môi trường thực tế ra sao.
DNS Server properties bao gồm các vấn đề như:
- Interfaces: Cho phép ta cấu hình những card mạng nào nghe các request
- Forwarders: Chuyển các request một domain nào đó tới một máy chủ DNS nào đó
- Advanced: Cho phép nâng cao các thuộc tính các tính năng trong DNS Server
- Root hints: Cho phép cấu hình gốc của domain, và cần thiết để cho client vào internet
- Debug logging: ghi lại các tiến trình để phân tích nếu lỗi xảy ra
- Event logging: Các tính huống để ghi lại
- Monitoring: Giám sát DNS Server
- Security: Bảo mật dữ liệu DNS
1. Nghiên cứu về tab Interfaces
a. Ví dụ: Chẳng hạn ở đây ta có máy chủ DNS có FQDN là VNEXPERTS.VNE.COM máy chủ có 4 card mạng với địa chỉ lần lượt là:
LAN1: 192.168.0.5 – dành cho public web site
LAN 2: 192.168.1.5 – dành cho name resolution
LAN 3: 192.168.2.5 – dành cho name resolution
LAN 4: 192.168.3.5 – dành cho ứng dụng SQL
Điều này có nghĩa là máy chủ này cần phải cấu hình sao cho chỉ đáp ứng các yêu cầu (Lookup Forward Query) về DNS từ hai card mạng LAN 2 và LAN 3 mà thôi bởi nếu nghe từ tất cả các card mạng sẽ dẫn đến ảnh hưởng băng thông đường truyền với các dịch vụ khác.
Mặc định máy chủ DNS nghe các request từ tất cả các card mạng nhưng trong tình huống này bạn cần phải cấu hình lại để chỉ nghe từ một số card mạng mà thôi.
2. Nghiên cứu về Forwarders.
Ví dụ: Công ty của bạn có ba địa điểm khác nhau là Nghệ An, Thái Nguyên, Hà Nội (vne.com). Mỗi site có một domain riêng lần lượt là: vne.com, na.com, tn.com. Toàn bộ ba site này được kết nối với nhau qua đường VPN. Máy chủ tại na.com rất yếu và chỉ có thể nghe những yêu cầu về DNS tại Site Nghệ an mà thôi. Điều này có nghĩa bạn không thể tạo được secondary zone của vne.com và tn.com tại máy chủ DNS của na.com
DNS server của vne.com là - 192.168.1.5
DNS server của na.com là – 192.168.0.5
DNS server của tn.com là – 192.168.2.5
Lúc này máy client tại na.com muốn truy cập vào một máy chủ tại vne.com có tên web1.vne.com.
Khi cấu hình như trên hình trên có nghĩa là khi user truy cập vào domain vne.com máy chủ DNS sẽ gửi toàn bộ các request đó tới máy chủ DNS khác có tên là 192.168.1.5.
Trong thực tế chúng ta chỉ sử dụng Forwarders khi: thứ nhất – không thể tạo được secondary zone hay stub zone của một domain nào đó (chúng ta có thể sử dụng trên internet – ví dụ khi vào www.microsoft.com ta gửi luôn lên máy chủ DNS của Mỹ thay vì forward tới DNS của ISP). Hoặc máy chủ DNS của chúng ta quá yếu để đáp ứng các request của client.
Dấu check box "do not use recusion for this domain" – khi bạn không dánh dấu ở check box này, trở lại ví dụ trên. Khi một client tại na.com truy vấn vào web1.vne.com máy chủ DNS tại na.com gửi toàn bộ request lên máy chủ DNS tại vne.com dể nhờ resolve hộ. Nhưng chẳng may gói tin được gửi từ máy chủ DNS tại na.com không đến được máy chủ DNS tại máy chủ vne.com thì sao. Nếu bạn không tích dấu check box đó máy chủ DNS tại na.com sẽ tự động gửi lại gói tin yêu cầu bao giờ kết nối được thì thôi. Còn nếu có dấu check box thì máy chủ chỉ gửi một lần lỗi không gửi lại nữa.
Dấu check box đó chỉ áp dụng cho một domain còn nếu muốn cấu hình không gửi lại có nghĩa là "do not use recusion all domain" thì trong tab advanced chúng ta sẽ nghiên cứu.
3. Nghiên cứu về Tab Advanced
Một tab quan trọng nhất của DNS Server properties cho phép ta cấu hình nhiều tính chất quan trọng của DNS.
a. Dấu check box "disable recusion (also disable forwarders)
- Như ta nghiên cứu về forwarder khi bạn đánh dấu check box này có nghĩa là bạn sẽ không bao giờ sử dụng việc gửi lại "do not use recusion all domain". Mặc định máy chủ DNS sẽ không tick vào dấu check box này (hình trên là mặc định của DNS server).
b. Dấu check box "BIND secondaries"
Khi hệ thống DNS của bạn có máy chủ Linux cài BIND service lên đây cũng là dịch vụ DNS trên hệ điều hành *nix. Việc bạn đánh dấu vào đây có nghĩa cho phép máy chủ BIND lấy dữ liệu từ Primary zone về.
c. dấu check box "Fail on load if bad zone data" - Nếu quá trình truyền dữ liệu zone giữa primary và secondary bị lỗi sẽ chuyền lại luôn hay không
d. dấu check box "Enable round robin"
Ví dụ máy chủ VNEXPERTS.VNE.COM có địa chỉ
LAN 1: 192.168.0.5
LAN 2: 192.168.0.6
LAN 3: 192.168.0.7
Cả ba địa chỉ này đều được dùng để cho các client trong mạng truy cập vào web nội bộ của công ty được đặt tại máy chủ vnexperts.vne.com
Nếu các bạn không enable tính năng này:
Một client1 truy cập vào http://vnexperts.vne.com máy chủ DNS sẽ trả về địa chỉ thật là 192.168.0.5, tiếp đến máy chủ client 2 truy cập vào http://vnexperts.vne.com thì DNS vẫn trả về địa chỉ 192.168.0.5.
Nhưng nếu enable tính năng này lên máy chủ DNS sẽ kiểm soát quá trình truy cập vào một máy tính có nhiều card mạng (máy tính có nhiều card mạng được gọi là Multihome computer).
Một client 1 truy cập vào http://vnexperts.vne.com máy chủ cấp địa chỉ là 192.168.0.5 nhưng một client 2 lại truy cập vào http://vnexperts.vne.com thì máy chủ sẽ cấp địa chỉ 192.168.0.6 và cứ như vậy DNS sẽ kiểm soát quá trình truy cập vào một máy tính.
e. Dấu check box "Enable netmask ordering"
Chẳng hạn có một máy chủ với tên vnexperts.vne.com có địa chỉ là
LAN 1: 192.168.1.5
LAN 2: 192.168.2.5
LAN 3: 192.168.3.5
Một client với địa chỉ 192.168.2.53 truy cập vào http://vnexperts.vne.com máy chủ DNS sẽ cấp lại cho client địa chỉ nào?. Nếu bạn không enable tính năng này máy chủ DNS sẽ trả lại client địa chỉ vnexperts.vne.com là 192.168.1.5 theo đúng thứ tự ghi trên dữ liệu của DNS.
Nếu enable tính năng này máy chủ DNS sẽ so sánh địa chỉ IP của client và của vnexperts.vne.com sau đó sẽ trả lại địa chỉ của vnexperts.vne.com là 192.168.2.5
f. Dấu check box "Secure cache against pollution"
Khi một client yêu cầu máy chủ DNS về www.microsoft.com máy chủ DNS sau khi truy vấn các máy chủ ngoài Internet lấy được địa chỉ IP của www.microsoft.com. Sau khi có địa chỉ IP rồi máy chủ DNS sẽ lưu lại thông tin đó vào cache, nhưng nếu không enable tính năng này chẳng hạn một kẻ giả mạo gói tin DNS và yêu cầu máy chủ cập nhật vào cache thì máy chủ sẽ lưu. Khi enable tính năng này thì chỉ có các địa chỉ được query thì mới lưu vào cache mà thôi.
Dấu check box "enable automatic scavenging of stale records" là tính năng xoá dữ liệu cache trong khoảng thời gian bao nhiêu lâu đó.
4. Nghiên cứu về tab root hints
Mặc định tab root hints chứa địa chỉ 13 máy chủ gốc của Internet điều này có ý nghĩa khi client truy vấn vào một địa chỉ trên internet thì cơ sở dữ liệu của DNS trong internal không có thì máy chủ sẽ gửi yêu cầu resolve tên lên 13 máy chủ gốc này nhờ resolve hộ.
Nếu bạn không muốn vào internet bạn chỉ cần remove toàn bộ 13 máy chủ root hints đi là được.
Một ứng dụng root hints đó là bạn có thể thêm vào root hints để tạo gốc cho DNS của bạn (lưu ý chỉ sử dụng được trong private domain mà thôi.
Ngoài ra chúng ta còn có những tab còn lại nhưng các tab đó tôi nghĩ rất dễ dàng để hiểu bởi nó viết khá chi tiết và kiến thức về nó không khó các bạn có thể tự nghiên cứu trong phần 3 của bài viết tôi sẽ giới thiệu về Zone Properties với nội dung về các dạng của zone, cách lưu trữ dữ liệu zone, cách cập nhật các dữ liệu của zone, cách chúng truyền giữa các zone như thế nào trong phần 3 cũng là phần cuối về DNS tôi sẽ giới thiệu.
0 comments:
Post a Comment