Đang tải... (xem toàn văn)
MCSA phần 18 dịch vụ DNS
Bài 18 DỊCH VỤ DNS Tóm tắt Lý thuyết tiết - Thực hành 12 tiết Mục tiêu Kết thúc học giúp học viên hiểu nguyên tắc hoạt động, tổ chức, cài đặt quản trị dịch vụ phân giải tên miền DNS, hiểu mơ hình phân giải tên hệ thống mạng Internet Các mục I Tổng quan DNS II Cách phân bổ liệu quản lý Domain Name III Cơ chế phân giải tên miền IV Một số khái niệm Bài tập bắt buộc Bài tập làm thêm Dựa vào tập môn Dịch mạng vụ Windows 2003 Dựa vào tập môn Dịch mạng vụ Windows 2003 V Phân loại Domain Name Server VI Resource Record (RR) VII Cài đặt cấu hình dịch vụ DNS 417 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net I Tổng quan DNS I.1 Giới thiệu DNS Mỗi máy tính mạng muốn liên lạc hay trao đổi thông tin, liệu cho cần phải biết rõ địa IP Nếu số lượng máy tính nhiều việc nhớ địa IP khó khăn Mỗi máy tính ngồi địa IP cịn có tên (hostname) Đối với người việc nhớ tên máy dù dễ dàng chúng có tính trực quan gợi nhớ địa IP Vì thế, người ta nghĩ cách ánh xạ địa IP thành tên máy tính Ban đầu quy mơ mạng ARPA NET (tiền thân mạng Internet) nhỏ vài trăm máy, nên có tập tin đơn HOSTS.TXT lưu thông tin ánh xạ tên máy thành địa IP Trong tên máy chuỗi văn không phân cấp (flat name) Tập tin trì máy chủ máy chủ khác lưu giữ Tuy nhiên quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có nhược điểm sau: - Lưu lượng mạng máy chủ trì tập tin HOSTS.TXT bị tải hiệu ứng “cổ chai” - Xung đột tên: Khơng thể có máy tính có tên tập tin HOSTS.TXT Tuy nhiên tên máy khơng phân cấp khơng có đảm bảo để ngăn chặn việc tạo tên trùng khơng có chế uỷ quyền quản lý tập tin nên có nguy bị xung đột tên - Khơng đảm bảo tồn vẹn: việc trì tập tin mạng lớn khó khăn Ví dụ tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ xa có thay đổi địa mạng Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn thiếu chế phân tán mở rộng Do đó, dịch vụ DNS đời nhằm khắc phục nhược điểm Người thiết kế cấu trúc dịch vụ DNS Paul Mockapetris - USC's Information Sciences Institute, khuyến nghị RFC DNS RFC 882 883, sau RFC 1034 1035 với số RFC bổ sung bảo mật hệ thống DNS, cập nhật động ghi DNS … Lưu ý: Hiện máy chủ sử dụng tập tin hosts.txt để phân giải tên máy tính thành địa IP (trong Windows tập tin nằm thư mục WINDOWS\system32\drivers\etc) Dịch vụ DNS hoạt động theo mơ hình Client-Server: phần Server gọi máy chủ phục vụ tên hay gọi Name Server, cịn phần Client trình phân giải tên - Resolver Name Server chứa thông tin CSDL DNS, Resolver đơn giản hàm thư viện dùng để tạo truy vấn (query) gửi chúng qua đến Name Server DNS thi hành giao thức tầng Application mạng TCP/IP DNS CSDL phân tán Điều cho phép người quản trị cục quản lý phần liệu nội thuộc phạm vi họ, đồng thời liệu dễ dàng truy cập toàn hệ thống mạng theo mơ hình Client-Server Hiệu suất sử dụng dịch vụ tăng cường thông qua chế nhân (replication) lưu tạm (caching) Một hostname domain kết hợp từ phân cách dấu chấm(.) Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 418 Hình 1.1: Sơ đồ tổ chức DNS Cơ sở liệu(CSDL) DNS đảo ngược Mỗi nút lại gốc Mỗi phân vùng toàn CSDL DNS gọi miền (domain) Mỗi domain phân chia thành phân vùng nhỏ gọi miền (subdomain) Mỗi domain có tên (domain name) Tên domain vị trí CSDL DNS Trong DNS tên miền chuỗi tên nhãn nút ngược lên nút gốc phân cách dấu chấm Tên nhãn bên phải domain name gọi top-level domain Trong ví dụ trước srv1.csc.hcmuns.edu.vn, miền “.vn” top-level domain Bảng sau liệt kê top-level domain Tên miền Mô tả com Các tổ chức, công ty thương mại org Các tổ chức phi lợi nhuận net Các trung tâm hỗ trợ mạng edu Các tổ chức giáo dục gov Các tổ chức thuộc phủ mil Các tổ chức quân int Các tổ chức thành lập hiệp ước quốc tế Vì tải domain name tồn tại, làm phát sinh top-level domain Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 419 Bảng sau liệt kê top-level domain 420 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Tên miền Mô tả arts Những tổ chức liên quan đến nghệ thuật kiến trúc nom Những địa cá nhân gia đình rec Những tổ chức có tính chất giải trí, thể thao firm Những tổ chức kinh doanh, thương mại .info Những dịch vụ liên quan đến thơng tin Bên cạnh đó, nước có top-level domain Ví dụ top-leveldomain Việt Nam vn, Mỹ us, ta tham khảo thêm thông tin địa tên miền địa chỉ: http://www.thrall.org/domains.htm Ví dụ tên miền số quốc gia Tên miền quốc gia Tên quốc gia us Mỹ uk Anh jp Nhật Bản ru Nga cn Trung Quốc … I.2 Việt Nam … Đặt điểm DNS Windows 2003 - Conditional forwarder: Cho phép Name Server chuyển yêu cầu phân giải dựa theo tên domain yêu cầu truy vấn - Stub zone: hỗ trợ chế phân giải hiệu - Đồng DNS zone Active Directory (DNS zone replication in Active Directory) - Cung cấp số chế bảo mật tốt hệ thống Windows trước - Luân chuyển (Round robin) tất loại RR Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 421 - Cung cấp nhiêu chế ghi nhận theo dõi cố lỗi DNS 422 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net - Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp tính bảo mật cho việc lưu trữ nhân (replicate) zone - Cung cấp tính EDNS0 (Extension Mechanisms for DNS) phép DNS Requestor quản bá zone transfer packet có kích thước lớn 512 byte II Cách phân bổ liệu quản lý domain name Những root name server (.) quản lý top-level domain Internet Tên máy địa IP name server công bố cho người biết chúng liệt kê bảng sau Những name server đặt khắp nơi giới Tên máy tính Địa IP H.ROOT-SERVERS.NET 128.63.2.53 B.ROOT-SERVERS.NET 128.9.0.107 C.ROOT-SERVERS.NET 192.33.4.12 D.ROOT-SERVERS.NET 128.8.10.90 E.ROOT-SERVERS.NET 192.203.230.10 I.ROOT-SERVERS.NET 192.36.148.17 F.ROOT-SERVERS.NET 192.5.5.241 F.ROOT-SERVERS.NET 39.13.229.241 G.ROOT-SERVERS.NET 192.112.88.4 A.ROOT-SERVERS.NET 198.41.0.4 Thông thường tổ chức đăng ký hay nhiều domain name Sau đó, tổ chức cài đặt hay nhiều name server trì sở liệu cho tất máy tính domain Những name server tổ chức đăng ký Internet Một name server biết Primary Name Server Nhiều Secondary Name Server dùng để làm backup cho Primary Name Server Trong trường hợp Primary bị lỗi, Secondary sử dụng để phân giải tên Primary Name Server tạo subdomain ủy quyền subdomain cho Name Server khác 423 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.2: Root hints III Cơ chế phân giải tên III.1 Phân giải tên thành IP Root name server : Là máy chủ quản lý name server mức top-level domain Khi có truy vấn tên miền Root Name Server phải cung cấp tên địa IP name server quản lý top-level domain (Thực tế hầu hết root server máy chủ quản lý top-level domain) đến lượt name server top-level domain cung cấp danh sách name server có quyền second-level domain mà tên miền thuộc vào Cứ đến tìm máy quản lý tên miền cần truy vấn Qua cho thấy vai trò quan trọng root name server trình phân giải tên miền Nếu root name server mạng Internet không liên lạc u cầu phân giải khơng thực Hình vẽ mơ tả q trình phân giải grigiri.gbrmpa.gov.au mạng Internet 424 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.3: Phân giải hostname thành địa IP Client gửi yêu cầu cần phân giải địa IP máy tính có tên girigiri.gbrmpa.gov.au đến name server cục Khi nhận yêu cầu từ Resolver, Name Server cục phân tích tên xét xem tên miền có quản lý hay không Nếu tên miền Server cục quản lý, trả lời địa IP tên máy cho Resolver Ngược lại, server cục truy vấn đến Root Name Server gần mà biết Root Name Server trả lời địa IP Name Server quản lý miền au Máy chủ name server cục lại hỏi tiếp name server quản lý miền au tham chiếu đến máy chủ quản lý miền gov.au Máy chủ quản lý gov.au dẫn máy name server cục tham chiếu đến máy chủ quản lý miền gbrmpa.gov.au Cuối máy name server cục truy vấn máy chủ quản lý miền gbrmpa.gov.au nhận câu trả lời Các loại truy vấn : Truy vấn dạng : - Truy vấn đệ quy (recursive query) : name server nhận truy vấn dạng này, bắt buộc phải trả kết tìm thông báo lỗi truy vấn không phân giải Name server tham chiếu truy vấn đến name server khác Name server gửi truy vấn dạng đệ quy tương tác đến name server khác phải thực có kết thơi 425 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.4: Recursive query - Truy vấn tương tác (Iteractive query): name server nhận truy vấn dạng này, trả lời cho Resolver với thơng tin tốt mà có vào thời điểm lúc Bản thân name server khơng thực truy vấn thêm Thông tin tốt trả lấy từ liệu cục (kể cache) Trong trường hợp name server không tìm thấy liệu cục trả tên miền địa IP name server gần mà biết Hình 1.5: Iteractive query III.2 Phân giải IP thành tên máy tính Ánh xạ địa IP thành tên máy tính dùng để diễn dịch tập tin log cho dễ đọc Nó dùng số trường hợp chứng thực hệ thống UNIX (kiểm tra tập tin rhost hay host.equiv) Trong khơng gian tên miền nói liệu -bao gồm địa IP- lập mục theo tên miền Do với tên miền cho việc tìm địa IP dễ dàng Để phân giải tên máy tính địa IP, không gian tên miền người ta bổ sung thêm nhánh tên miền mà lập mục theo địa IP Phần không gian có tên miền inaddr.arpa Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 426 Hình 1.33: Ví dụ nslookup Hình 1.34: Xem RR MX Hình 1.35: Xem địa IP hostname 451 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.36: Kiểm tra phân giải ngược Một số thơng số cấu hình cần thiết cho DNS Client: Hình 1.37: Một số thơng tin cấu hình khác VII.2.5 Tạo miền con(Subdomain) Trong miền có nhiều miền con, việc tạo miền giúp cho người quản trị cung cấp tên miền cho tổ chức, phận miền thơng qua cho phép người quản trị phân loại tổ chức hệ thống dễ dàng Để tạo miền ta chọn Forward Lookup Zone, sau ta click chuột phải vào tên Zone chọn New Domain…(tham khảo Hình 1.38) 452 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.38: Tạo miền VII.2.6 Ủy quyền cho miền Giả sử ta ủy quyền tên miền subdomain hbc.csc.com cho server serverhbc có địa 172.29.14.150 quản lý, ta thực thao tác sau: - Tạo resource record A cho serverhbc miền csc.com(tham khảo phần tạo RR A) - Chọn Forward Lookup Zone, sau Click chuột phải vào tên Zone chọn New delegation… | Next (tham khảo Hình 1.39), Hình 1.39: delegation domain - Add Name Server quản lý cở liệu cho miền hbc.csc.com hộp thoại Name Server (tham khảo Hình 1.40) 453 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.40: Add Name Server - Sau add xong Name Server bước ta chọn Next | Finish để hoàn tất VII.2.7 Tạo Secondary Zone Thơng thường domain ta tổ chức Primary Name Server(PNS) Secondary Name Server(SNS), SNS đóng vai trị máy dự phịng, lưu trữ bảng liệu từ máy PNS, PNS bị cố ta sử dụng SNS thay cho máy PNS Sau ta sử dụng máy chủ server1 có địa 172.29.14.151 làm máy chủ dự phịng (SNS) cho miền csc.edu từ Server (PNS) có địa 172.29.14.149 - Click chuột phải vào tên Name Server giao diện DNS management console chọn New Zone | Next | Secondary Zone (tham khảo Hình 1.41) - Secondary Zone : Khi ta muốn chép dự phòng sở liệu DNS từ Name Server khác, SNS hỗ trợ chế chứng thực, cân tải với máy PNS, cung cấp chế dung lỗi tốt - Stub Zone: Khi ta muốn chép sở liệu từ PNS, Stub Zone chứa số RR cần thiết NS, SOA, A hỗ trợ chế phân giải hiệu Hình 1.41: Tạo Secondary Zone - Chọn Forward Lookup Zone ta muốn tạo chép Zone thuận, chọn Reverse Lookup Zone ta muốn chép Zone nghịch Trong trường hợp ta chọn Forward Lookup Zone | Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 454 Next 455 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net - Chỉ định Zone Name mà ta muốn chép (ví dụ csc.edu), ta chọn Next - Chỉ định địa máy chủ Master Name Server(còn gọi Primary Name Server), chọn Add | Next (tham khảo Hình 1.42) Hình 1.42: Tạo Secondary Zone - Chọn Finish để hồn tất trình ta kiểm tra xem Zone csc.edu tạo có sở liệu chép từ PNS, ngược lại zone csc.edu khơng có sở liệu ta hiệu lại thơng số Zone Transfer máy Master Name Server phép máy SNS chép sở liệu, ta thực điều cách Click chuột phải vào Zone csc.edu máy Master Name Server, chọn Properties | chọn Tab Zone Transfer (Tham khảo Hình 1.43) Hình 1.43: Allow Zone Transfer - Sau ta hiệu xong thông tin Zone Transfer ta Reload sở liệu từ máy SNS máy SNS chép lại sở liệu từ PNS (Tham khảo hình 1.44) 456 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.44: Reload Secondary Zone VII.2.8 Tạo zone tích hợp với Active Directory Trong trình nâng cấp máy Stand-Alone Server thành Domain Controller cách cài Active Directory ta chọn chế cho phép hệ thống tự động cài đặt cấu hình dịch vụ DNS tích hợp chung với Active Directory, ta chọn theo cách sau q trình nâng cấp hồn tất, ta tham khảo sở liệu DNS tích hợp chung với Active Directory thơng qua trình quản lý dịch vụ DNS(tham khảo Hình 1.45) Trong Hình 1.45 ta tham khảo sở liệu DNS quản lý tên miền csc.com tích hợp chung với Active Directory Hình 1.45: Active Integrated zone Tuy nhiên ta cho hệ thống tự động cấu hình sở liệu cho zone tạo số sở liệu cần thiết ban đầu để thực số thao tác truy vấn quản lý sở liệu cho Active Directory Để cho DNS hoạt động tốt ta mơ tả thêm thông tin resource record cần thiết vào, điều cần thiết ta tạo Reverse Lookup Zone cho Active Integrated Zone ban đầu hệ thống khơng tạo zone này, mô tả thêm thông tin record PTR cho resource record A Forward Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 457 Lookup Zone 458 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Ta tạo zone tích hợp với Active Directory theo bước sau: Bấm chuột phải vào tên DNS Server DNS management console, chọn New Zone…| chọn Next Trong hộp thoại zone type ta chọn Primary Zone với chế lưu trữ zone AD(tham khảo hình 1.46), tiếp tục chọn Next Hình 1.46: Chọn zone type Chọn chế nhân liệu tới tất Domain Controller Active Directory Zone | Next (tham khảo Hình 1.47) Hình 1.47: Nhân liệu cho zone Chọn tạo zone thuận (Forward Lookup Zone) | Next Chỉ định tên zone (Zone Name) | Next Chỉ định Dynamic Update trường hợp ta muốn tạo DDNS cho zone (tham khảo Hình 1.48), trường hợp ta chọn Allow both nonsecure and secure dynamic updates | Next 459 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.48: Dynamic update Chọn Finish để hồn tất q trình, sau hồn thành ta mơ tả resource record cho zone này, tạo thêm Reverse Lookup Zone trường hợp ta muốn hỗ trợ phân giải nghịch Hình 1.49: Cơ sở liệu zone VII.2.9 Thay đổi số tùy chọn Name Server Trong phần ta khảo sát vài tùy chọn cần thiết để tạo hiệu chỉnh thơng tin cấu hình cho DNS Thơng thường có ba phần việc thay đổi tùy chọn - Tùy chọn cho Name Server - Tùy chọn cho zone name - Tùy chọn cho RR zone name Tùy chọn cho Name Server Cho phép thay đổi số tùy chọn Name Server bao gồm: Cấu hình Forwarder, Cấu hình Root hints, đặt số tùy chọn cho phép theo dõi log (Event Logging), quản lý truy vấn (Monitoring query), debug logging, số hiệu chỉnh khác Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 460 Để sử dụng tùy chọn ta chọn Properties tên server DNS management console (tham khảo Hình 1.50) Hình 1.50: Name server properties - Cấu hình Forwader: Chọn Tab Forwarders từ hình properties Name Server (tham khảo hình 1.51) Hình 1.51: Cấu hình Forwarder - Cấu hình Root hints: Ta tham khảo danh sách Root name server quản lý TopLevel domain, thơng qua hộp thoại ta thêm, xóa, hiệu chỉnh địa Root hints, thơng thường địa hệ thống tự nhận biết (tham khảo hình 1.52) 461 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Hình 1.52: Root Name Server - Hiệu chỉnh số thơng số cấu hình nâng cao (tham khảo Hình 1.53): - Disable recursion: bỏ chế truy vấn đệ qui, ta chọn tùy chọn Forwarder bị disable - BIND secondaries: Cho phép secondary Name server môi trường Unix - Fail on load if bad zone data : Nếu zone data bị lỗi khơng cho name server load liệu - Enable round robin: Cho phép chế luân chuyển server trình phân giải tên miền - Enable netmask ordering: Cho phép client dựa vào local subnet để lựa chọn host gần với client (một client nhận câu trả lời truy vấn ánh xạ hostname có nhiều địa IP) - Secure cache agianst pollution: Bảo mật vùng nhớ tạm lưu trữ RR phân giải trước 462 Hình 1.53: Tùy chọn nâng cao Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Tùy chọn cho Zone 463 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Để sử dụng tùy chọn ta chọn Properties tên zone DNS management console - Trong phần ta : - Thay đổi Zone Type, cho phép zone hỗ trợ hay không hỗ trợ Dynamic update (DDNS) (tham khảo Hình 1.54) Hình 1.54: Tùy chọn chung zone name - Thay đổi thông tin resource record SOA, NS (ta tham khảo phần cấu hình trước) - Cho phép hay không cho phép chép liệu zone Name Server (tham khảo hình 1.55) Hình 1.55: Zone transfer Tùy chọn cho Resource Record Thơng qua tùy chọn ta thay đổi thông tin resource record cho zone name, resource record có thơng tin khác nhau: để thực điều ta cần bấm đôi vào tên resource record tưng ứng (tham khảo ví dụ Hình 1.56 RR MX) Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 464 Hình 1.56: Thuộc tính MX record VII.2.10 Theo dõi kiện log DNS Khi quản trị dịch vụ DNS, việc ghi nhận theo dõi kiện xảy cho dịch vụ DNS quan trọng, thơng qua ta đưa số giả pháp khác phục có cố xảy ra,…Trong DNS management console cung cấp mục Event Viewer ta thực điều này, phần ta cần lưu ý số biểu tượng như: Theo dõi kiện: - : Chỉ thị lỗi nghiêm trọng, lỗi ta cần theo xử lý nhanh chóng Hình 1.57: Theo dõi kiện lỗi - : Thông tin ghi nhận kiện bình thường shutdown, start, stop DNS,… Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 465 ... services thành phần Add/Remove Program VII.1 Các bước cài đặt dịch vụ DNS Khi cài đặt dịch vụ DNS Windows 2003 Server đòi hỏi máy phải cung cấp địa IP tĩnh, sau số bước để cài đặt dịch vụ DNS Windows... Thêm dịch vụ mạng Windows Chọn tùy chọn Domain Name System (DNS) , sau chọn nút OK(Tham khảo hình 1 .18) Hình 1 .18: Thêm dịch vụ DNS Chọn Next sau hệ thống chép tập tin cần thiết để cài đặt dịch vụ. .. VII.2 Cấu hình dịch vụ DNS Sau ta cài đặt thành cơng dịch vụ DNS, ta tham khảo trình quản lý dịch vụ sau: Ta chọn Start | Programs | Administrative Tools | DNS Nếu ta khơng cài DNS với q trình