LAB No 13 ADVANCED MCSA 2003 LAB Tài liệu chuyên sâu dành cho người chuyên nghiệp Mastering DNS Server TRAINING AND EDUCATION CENTER © Lưu hành nội 02Bis Đinh Thiên Hoàng, phường Dakao, quận 1, Tp.HCM Phone 848 8244041 • Fax (848) 8244041 Email: training@athenavn.com – Web: www.athenavn.com Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Cài đặt DNS Server LAB Pro 13.1: DNS SOA Record, Name Server list DNS Replication Cấu hình tạo Zone cho DNS Server LAB Pro 13.2: Tìm hiểu lọai Record A, CNAME, MX, NS Dynamic Updates DHCP Server Thử nghiệm để thấy chức NS Record Tạo nhiều Zone, tích hợp Zone vào AD LAB Pro 13.4: Zone Replications DNS Zone Transfer (Standard AD Integrated), sử dụng Network Monitor để thấy khác biệt DNS Forwarder RootHints Y O U’LL LAB Pro 13.3: Transfer tìm Record DNS NSLOOKUP L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 57 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 58 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn DNS Server DNS Name không phân giải sang IP cách BroadCast mà buộc phải sử dụng DNS Server làm nhiệm vụ phân giải tên DNS sang IP ngược lại từ IP sang DNS Name DNS Name sử dụng toàn Internet Microsoft đưa DNS Name vào sử dụng cho hệ thống Domain 2000 trở sau N etBIOS Name sử dụng chế BroadCast để phân giải tên sang IP ngược lại BroadCast bị hạn chế số lượng máy mạng phải nhỏ, hệ thống lớn sử dụng NetBIOS không hiệu tính Performance Security DNS Name có cấu trúc (Hierrachical Name) không sử dụng chế BroadCast, mà dùng UniCast để phân giải tên DNS Name (Domain Name – tên miền) DNS Server giữ DataBase toàn hệ thống chịu trách nhiệm cập nhật có thay đổi tên máy số IP Host mạng DNS Client thực Querry vào DNS Server có nhu cầu phân giải tên dạng DNS Name DNS Client muốn sử dụng DNS Server phải cấu hình IP định IP DNS Server Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 59 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Trước cấu hình DNS Server, Admin phải đổi DNS Suffix cho DNS Server Trước đổi, xác định tên Domain chọn gì, ta chọn Athenavn.com Vào System Properties Chọn CHANGE… Click tiếp MORE… Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 60 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn điền DNS Suffix cho DNS Server Click OK, OK tiêp tục đóng System Properties lại Qua trình buộc phải khởi động lại Server trước cài đặt cấu hình DNS Server Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 61 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Admin buộc phải Click YES • TIPS DNS Server phải cấu hình DNS Preferred máy để sử dụng DNS Zone CμI ®Æt DNS Server t¹o Zone DataBase DNS Server hiển thị dạng Zone Zone Name Domain Name mà DNS Server quản lý Ví dụ athenavn.com Zone Name Để DNS Server phân giải tên dạng athenavn.com, Admin cần tạo Zone tên Athenavn.com Vào DNS Server Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 62 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Hoặc Admin sử dụng phím tắt vào RUN gõ DNSMGMT.MSC Vào DNS Server Console, DNS Server yêu cầu kết nối vào máy Admin chọn The following Computer điền địa IP Trong LAB ta cấu hình máy 192.168.1.5 máy ngồi cấu hình, chọn This Computer Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 63 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn DNS Server mặc định gồm phần Forward Lookup Zone Reverse Lookup Zone Forward Lookup Zone phân giải tên DNS Name sang IP, Reverse ngược lại phân giải IP sang Name Cả Zone cần phải cấu hình Tạo Forward Lookup Zone Click phải chuột vào Forward Lookup Zone, chọn New Zone Click Next chọn Primary Zone Admin cấu hình DNS Server cho hệ thống Với Primary Zone, Admin quản lý trực tiếp từ DNS Server 192.168.1.5 Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 64 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn • TIPS Standard Primary Zone Secondary Zone có DataBase nằm dạng PlainText thư mục %systemroot%\system32\DNS Replication DNS Server Standard có dạng AXFR – Replicate toàn DataBase dạng Plaintext đường truyền Rất hạn chế ta sử dụng Standard Zone, Standard, có Server quyền giữ Primary Zone Các Server lại phải dạng Secondary - transfer từ Master (Primary Server) Mọi thao tác cập nhật Zone phải thực Primary Giảm tính Performance hệ thống Replicate nguyên DataBase Non-Secure transfer Zone dạng Plaintext Zone DNS Server chứa Active Directory, với điều kiện máy DNS Server phải có Active Directory (trên Domain Controllers) Zone tích hợp Active Directory gợi Active Directory Integrated Zone Replicate theo Active Directory vơớ dạng IXFR (Incremential) Replicate Records thay đổi IXFR làm tăng tính Performance Secure transfer dạng Encrypted (mã hóa) Muốn tích hợp Zone vào Active Directory ta cần thực hịên tích hợp - Integrate ƒ TIPS Khi tích hợp, DNS Zone Replicate tới tất máy Domain Controllers có chứa Active Directory (MultiMaster) Active Directory Integrated Zone DNS Server cập nhật DNS Server nào, DNS Server Domain lúc Primary Zone DNS Forwarder vμ RootHints DNS Forwarder thao tác Query DNS Servers DNS Prefferred Client DNS Server Thời gian Replicate DNS Server mặc định 15 phút, 15 phút có thay đổi chưa kịp Replicate sao? DNS Forwarder giải chuyện Nếu DNS Server không giải Record đó, không giải Zone DNS Server Query sang hỏi DNS Server 2, DNS Server mà Admin Forwarder đến Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 83 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Thông thường hệ thống mang nhiều DNS Server, Admin nên cấu hình Forwarder lẫn DNS Server Properties DNS Server, chọn tab Forwarder Điền IP Address DNS Server khác hệ thống vào Tab Forwarder Nếu DNS Server Local khả phân giải tên tự động Forward đến Server 192.168.1.10 • TIPS thông thường, Admin cấu hình FORWARDER DNS Server chứa Secondary sang DNS Server chứa Primary Zone Nhưng có trường hợp Zone chứa Active Directory (AD Integrated Zone) cần cấu hình FORWARDER DNS Server với nhau, lúc tất Zone trạng thái Primary Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 84 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn ƒ TIPS Toàn hệ thống sử dụng Domain, máy Clients phải Preffered DNS Server Local Clients có nhu cầu mạng Internet buộc phải phân giải tên DNS Internet sang IP (các trang web có dạng DNS Name) DNS Servers Local phân giải tên Giải pháp Forwarder sang DNS Server ISP gần nhờ phân giải dùm Internet Name Thao tác thực từ DNS Server Local DNS Server ISP Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 85 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Trong trường hợp không Forwarder DNS Server Local phân giải Internet Name? Trong DNS Server có danh sách Server Root internet gọi Root Hints List, nằm tập tin CACHE.DNS thư mục %systemroot%\system32\DNS Root Hints thực dạng Forwarder mặc định DNS Server Nói thêm Root Hints – 13 địa IP gồm nhiều hệ thống Máy tính chạy hệ điều hành khác Nhiều máy tính chạy IP gọi Cluster Network Load Balancing Mục đích tăng cường tính chịu lỗi (Fault Tolerance) hệ thống Các DNS Server Root phân bố địa điểm toàn giới, bảo mật hệ thống quân DNS SOA Record, Name Server list vµ DNS Replication SOA Record quản lý thời gian cập nhật Replicate cho DNS Zone SOA sử dụng số Serial để phân biệt thay đổi xảy Zone Kiểm tra SOA Record cách Properties Zone Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 86 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Chọn Tab Start of Authority (SOA) Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 87 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Các tham số SOA Zone • Refresh Interval - thời gian Replicate lâu • Retry Interval - thời gian thử Replicate lần lần không thành công • Expired After - DNS Server Primary gặp cố thời gian ngày, Secondary tự động vô hiệu hóa Zone mình, không giải tên DNS cho Client sau ngày • TTL – Cache nhớ Forwarder từ DNS Server khác LAB Pro 17.2: Dynamic Updates vμ DHCP Server Dynamic Update cho phép Client Services tự động cập nhật Record cho Zone Nếu chức Dynamic Update tắt, Admin phải thực việc tạo Record tay (Manual) Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 88 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Trong trình DCPROMO lên Domain khởi động Domain Controllers, Service NET LOGON đăng ký SRV Record chứa thông tin Active Directory vào DNS Zone, nên Dynamic Update phải bật lên Khi Join Domain, Client tự tạo cho Record Zone (với Windows 2000 trở lên) không cần Admin phải tham gia, nên Dynamic Update phải bật DHCP Server có chức cấp địa IP, đồng thời cập nhật PTR Record cho Host cấp IP vào DNS Server Muốn DHCP cập nhật PTR, Reverse Zone phải bật Dynamic Update Cập nhật Dynamic Update vào Properties Zone cần cập nhật ƒ None - tắt chức Dynamic Update ƒ Non Secure and Secure - bật, cập nhật tất Client ƒ Secure only - cập nhật máy tính nằm Active Directory, tham gia Domain Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 89 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Trên Client, muốn cập nhật Host vào DNS Zone, ta sử dụng Command IPCONFIG/REGISTERDNS Client phải chọn DNS Suffix phù hợp, tên với Zone DNS Server (chọn Zone cần cập nhật) Sử dụng command IPCONFIG/REGISTERDNS để đăng ký Host vào Zone Ngoài trường hợp sử dụng Dynamic Update DHCP Server cấp IP cho Client tự động cập nhật HOST POINTER cho Client Mặc định DHCP Server cập nhật POINTER, muốn DHCP Server cập nhật phần HOST (cho Client không hỗ trợ tự động cập nhật WIN 9X) Admin phải cấu hình DHCP Server Cấu hình DHCP Server tự động cập nhật HOST POINTER cho Clients Properties DHCP Server Chọn TAB DNS Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 90 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn LAB Pro 17.3: Transfer vμ t×m Record DNS b»ng NSLOOKUP • NSLOOKUP Command thực thao tác Transfer Zone kiểm tra Record DNS Server NSLOOKUP muốn liệt kê danh sách A host, SOA, SRV phải nằm danh sách Name Server List đựơc định nằm danh sách IP Server quyền Replicate Kiểm tra Zone Transfer Tab xem Server quyền Replicate DNS Zone Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 91 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Và kiểm tra danh sách Name Server cách chuyển qua Tab Name Server Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 92 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Hiện có DC2.athenavn.com với IP 192.1681.10 quyền giữ cập nhật Zone athenavn.com Admin muốn sử dụng Dc1.athenavn.com làm Name Server phải Add thêm DC1.athenavn.com vào danh sách Name Server Công việc cập nhật Name Server List thực Primary Zone DNS Server (tức DC2) Vào Tab Name Server, click Add Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 93 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Click OK, trở lại với Name Server, bạn thấy Name Server Ra ngoàI Zone kiểm tra lại, thấy Name Server xuất thêm DC1.athenavn.com Tương tự vậy, Admin cấu hình tạo thêm Name Server Dc1.athenavn.com cho Reverse Lookup Zone 192.168.1.x Subnet Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 94 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn ƒ Allow Zone Transfer – cho phép Transfer Zone hay không ƒ To Any Servers - Server Transfer Zone – Windows 2000 mặc định – non-secure ƒ To Server in the Name Server List - DNS Server nằm danh sánh Name Server (NS list) transfer Zone ƒ To the specified Server listed below – xác định địa IP DNS Server quyền Transfer Zone Sö dông Command NSLOOKUP xem DNS Zone Xem NS Record – xác định xem Zone có DNS Server Xem A host Records – xem hệ thống có máy tính tất cả, Server tên Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 95 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Xem SRV record - kiểm tra hệ thống có Domain hay không, Domain Controllers msy Xem toàn danh sách Record Zone – transfer toàn nội dung Zone NSLOOKUp Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 96 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn LAB Pro 17.4: DNS Zone Transfer (Standard vμ AD Integrated), sö dông Network Monitor ®Ó thÊy sù kh¸c biÖt • • • Sử dụng Network Monitor để thấy khác biệt việc Replicate AXFR (Standard Zone) IXFR (Integrated Zone) Monitor DNS1 DNS2 Standard Primary Zone Secondary Zone, ta thấy dạng PlainText cấu trúc gói tin Với IXFR chuyện khác, Data mã hóa Replicate Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 97 [...]... Non-authoritative DNS Server DNS Serve Secondary tạo ra theo cách này chỉ có thể sử dụng để querry Record, không có khả năng cập nhật Record từ DNS Server này DNS Server 2 với Secondary Zone nếu muốn sử dụng làm DNS Server cho một Domain thì phải được cấu hình thành một Authoritatve DNS Server Muốn cấu hình DNS Server thành Authoritative Server thì Server đó phải nằm trong danh sách Name Server của Zone... thống mang nhiều DNS Server, Admin nên cấu hình Forwarder lẫn nhau giữa các DNS Server này Properties DNS Server, chọn tab Forwarder Điền IP Address của các DNS Server khác trong hệ thống vào Tab Forwarder Nếu DNS Server Local không có khả năng phân giải tên sẽ tự động Forward đến Server 192.168.1.10 • TIPS thông thường, Admin cấu hình FORWARDER giữa DNS Server chứa Secondary sang DNS Server chứa Primary... TIPS Khi tích hợp, DNS Zone sẽ được Replicate tới tất cả các máy Domain Controllers có chứa cùng Active Directory (MultiMaster) Active Directory Integrated Zone thì DNS Server có thể cập nhật ở bất kỳ DNS Server nào, mọi DNS Server trong Domain lúc này đều là Primary Zone DNS Forwarder vμ RootHints DNS Forwarder là thao tác Query giữa các DNS Servers DNS Prefferred là giữa Client và DNS Server Thời gian... Zone đang nằm trên DNS Server không có chứa Active Directory – túc không phải máy Domain Controller Zone Replications DNS Server phân giải tên dạng tập trung, mọi thao tác Querries đều được gửi từ Client đến DNS Server Nếu DNS Server gặp sự cố thì toàn bộ hệ thống không thể truy cập thông tin Domain được Giải pháp sử dụng là tạo DNS Server thứ 2, chứa cùng 1 Zone với DNS Server 1 Ở DNS Server này sử dụng... Clients phải Preffered về những DNS Server của Local Clients có nhu cầu ra mạng Internet buộc phải phân giải tên DNS Internet sang IP (các trang web có dạng DNS Name) nhưng DNS Servers của Local không thể phân giải được các tên này Giải pháp là Forwarder sang những DNS Server của các ISP gần nhất nhờ phân giải dùm Internet Name Thao tác thực hiện từ DNS Server Local ra DNS Server của ISP Y O U’LL L O V... tra xem Name Server List của Zone athenavn.com gồm bao nhiêu Name Server Name Server hiện tại chỉ có một DC2.athenavn.com, Admin muốn sử dụng DC1 làm DNS Server cho Domain Controller thứ 2, buộc phải cấu hình Name Server trên Zone athenavn.com Add thêm Name Server cho DC1.athenavn.com, mang IP 192.168.1.2 • QUESTION Cấu hình Name Server cho Zone Athenavn.com phải làm ở DNS Server nào? Server Primary... Prefferred là giữa Client và DNS Server Thời gian Replicate của các DNS Server mặc định là 15 phút, trong 15 phút đó nếu có sự thay đổi chưa kịp Replicate thì sao? DNS Forwarder sẽ giải quyết chuyện này Nếu DNS Server 1 không giải quyết được Record nào đó, hoặc không giải quyết được Zone nào đó DNS Server 1 sẽ Query sang hỏi DNS Server 2, hoặc DNS Server nào đó mà Admin Forwarder đến Y O U’LL L O V E T H E... Giải pháp sử dụng là tạo DNS Server thứ 2, chứa cùng 1 Zone với DNS Server 1 Ở DNS Server này sử dụng Secondary Zone, chỉ lấy DataBase từ DNS Server 1, không có khả năng cập nhật Records Đối với DNS Server 2, thì DNS Server là Master Server Vào DNS Server thứ 2, cài đặt DNS và cấu hình Secondary Zone Admin cũng vẫn chọn New Zone Nhưng tiếp tục lại chọn Secondary Zone Y O U’LL L O V E T H E W A Y W E M... website: www.athena.com.vn Trong trường hợp không Forwarder nhưng DNS Server Local vẫn phân giải được Internet Name? Trong DNS Server có 1 danh sách các Server Root trên internet gọi là Root Hints List, nằm trong tập tin CACHE .DNS trong thư mục %systemroot%\system32 \DNS Root Hints thực ra cũng là dạng Forwarder nhưng là mặc định của DNS Server Nói thêm về Root Hints – 13 địa chỉ IP nhưng gồm nhiều hệ... E-mail: training@athenavn.com – website: www.athena.com.vn Zone File được lấy từ DNS Server đầu tiên mang IP 192.168.1.5 Click FINISH và xác kiểm tra lại Zone vừa tạo…Oppss! Failed Kiểm tra xem tại sao Failed? Secondary Zone lấy Zone File từ DNS Server chứa Primary Zone, vậy kiểm tra xem đường truyền từ DNS Server 2 đến DNS Server 1 có tốt hay chưa, sử dung lệnh PING OK, Reply from 192.168.1.5 tốt hết