Mastering DNS Server

ADVANCED MCSA 2003 LAB Tài liệu chuyên sâu dành cho người chuyên nghiệp Mastering DNS Server LAB No. 13 T R A I N I N G A N D E D U C A T I O N C E N T E R © Lưu hành nội bộ 02Bis Đinh Thiên Hoàng, phường Dakao, quận 1, Tp.HCM Phone 848 8244041 • Fax (848) 8244041 Email: training@athenavn.com – Web: www.athenavn.com Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 57 Cài đặt DNS Server Cấu hình tạo Zone cho DNS Server Tìm hiểu các lọai Record A, CNAME, MX, NS Thử nghiệm để thấy được chức năng của NS Record Tạo nhiều Zone, tích hợp Zone vào AD Zone Replications DNS Forwarder và RootHints LAB Pro 13.1: DNS SOA Record, Name Server list và DNS Replication LAB Pro 13.2: Dynamic Updates và DHCP Server LAB Pro 13.3: Transfer và tìm Record trong DNS bằng NSLOOKUP LAB Pro 13.4: DNS Zone Transfer (Standard và AD Integrated), sử dụng Network Monitor để thấy sự khác biệt. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 58 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 59 DNS Server DNS Name không phân giải sang IP bằng cách BroadCast mà buộc phải sử dụng DNS Server làm nhiệm vụ phân giải tên DNS sang IP và ngược lại từ IP sang DNS Name. DNS Name được sử dụng trên toàn Internet. Microsoft đưa DNS Name vào sử dụng cho hệ thống Domain 2000 trở về sau này.. etBIOS Name sử dụng cơ chế BroadCast để phân giải tên sang IP và ngược lại. BroadCast bị hạn chế ở số lượng máy trong mạng phải nhỏ, nếu hệ thống lớn sử dụng NetBIOS không hiệu quả về tính Performance và Security. N DNS Name có cấu trúc (Hierrachical Name) và không sử dụng cơ chế BroadCast, mà dùng UniCast để phân giải tên DNS Name (Domain Name – tên miền). DNS Server giữ DataBase toàn hệ thống và chịu trách nhiệm cập nhật khi có sự thay đổi về tên máy và số IP của các Host trong mạng. DNS Client thực hiện Querry vào DNS Server khi có nhu cầu phân giải tên dạng DNS Name. DNS Client muốn sử dụng DNS Server phải cấu hình IP chỉ định về IP của DNS Server Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 60 Trước khi cấu hình DNS Server, Admin phải đổi DNS Suffix cho DNS Server. Trước khi đổi, xác định tên Domain sẽ chọn là gì, ta chọn Athenavn.com Vào System Properties Chọn CHANGE… Click tiếp MORE… Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 61 và điền DNS Suffix cho DNS Server Click OK, OK tiêp tục đóng System Properties lại. Qua trình này buộc phải khởi động lại Server trước khi cài đặt và cấu hình DNS Server Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 62 Admin buộc phải Click YES • TIPS DNS Server cũng phải cấu hình DNS Preferred về chính máy của mình để có thể sử dụng được DNS Zone. CμI ®Æt DNS Server t¹o Zone DataBase của DNS Server được hiển thị dưới dạng Zone. Zone Name chính là Domain Name mà DNS Server đó quản lý. Ví dụ athenavn.com là một Zone Name. Để DNS Server có thể phân giải được tên dạng athenavn.com, Admin cần tạo một Zone mới tên Athenavn.com. Vào DNS Server Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 63 Hoặc Admin có thể sử dụng phím tắt vào RUN và gõ DNSMGMT.MSC Vào DNS Server Console, nếu DNS Server yêu cầu kết nối vào máy nào Admin có thể chọn The following Computer và điền địa chỉ IP. Trong bài LAB này ta cấu hình máy 192.168.1.5 là máy đang ngồi cấu hình, chọn This Computer Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 64 DNS Server mặc định gồm 2 phần Forward Lookup Zone và Reverse Lookup Zone. Forward Lookup Zone phân giải tên DNS Name sang IP, Reverse ngược lại phân giải IP sang Name. Cả 2 Zone này đều cần phải được cấu hình. Tạo Forward Lookup Zone. Click phải chuột vào Forward Lookup Zone, chọn New Zone Click Next và chọn Primary Zone vì Admin đang cấu hình DNS Server đầu tiên cho hệ thống. Với Primary Zone, Admin có thể quản lý trực tiếp từ DNS Server 192.168.1.5 Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 65 Tiếp đến Admin gõ Zone Name athenavn.com Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 66 DNS Server yêu cầu chọn DataBase Path file cho Zone vừa tạo, Admin nên để mặc định. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 67 Đường dẫn cho tập tin này nằm trong thư mục %systemroot%\system32\dns Tiếp theo cập nhật động (Dynamic Update) cho DNS Server. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 68 Dynamic Update cho phép Client tự động cập nhật Host name và IP Address vào DNS Server. Trong quá trình lên Domain, DNS Zone cũng phải được cập nhật SRV Record chứa thông tin về Active Directory nên chức năng Dynamic Update phải được bật. Nhưng đôi khi đây cũng là một tính năng Non-Secure nếu Admin cấu hình không kỹ. Click OK và kết thúc phần tạo Forward Zone. Tiếp theo, tạo Reverse Zone với tên Zone là 192.168.1 (NetID của hệ thống). Click phải chuột vào Reverse Lookup Zone chọn New Zone Vẫn là Primary Zone. Trong bài Lab cấu hình Multimaster Admin mới cần sử dụng đến Secondary Zone. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 69 Tiếp theo gõ tên Zone, Reverse Zone Name có dạng NetID của hệ thống. Mạng chúng ta đang sử dụng là 192.168.1.0 nên NetID là 192.168.1 là tên Zone Name. Bước tiếp theo xác định tên Zone được chứa ở đâu, và tên là gì Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 70 Dynamic Update cũng phải được bật lên cho Reverse Lookup Zone Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 71 OK, kết thúc quá trình tạo Zone, đến bước kiểm tra xem DNS Server đã chạy được hay chưa. Muốn kiểm tra, trước hết xem thử Name Server trong 2 Zone vừa tạo ra đã đúng hay chưa, sử dụng command NSLOOKUP để kỉêm tra Default Server: UnKnown – DNS Server cấu hình chưa đúng. Để kiểm tra cấu hình đúng hay chưa, tiếp tục xem trên Forward Lookup Zone đã có HOST Record của máy tính làm Name Server hay chưa Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 72 OK, Name Server là máy DC2.athenavn.com, vậy Forward Lookup Zone đã có Host DC2 chỉ về IP 192.168.1.5, vậy Forward Lookup Zone đã được cấu hình đúng. Kiểm tra tiếp Reverse Lookup Zone xem POINTER RECORD cho DC2 đã được tạo hay chưa. Name Server là Dc2.athenavn.com nhưng còn thiếu POINTER chỉ định về DC2.athenavn.com cho Host DC2. Admin phải tạo thêm POINTER cho DC2. Click phải chuột vào 192.168.1.x Subnet Zone, chọn New Pointer (PTR)… Điền địa chỉ IP của DC2 và Click Browse để tìm DC2.athenavn.com, hoặc Admin có thể gõ bằng tay Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 73 Click OK, kiểm tra xem POINTER đã được tạo hay chưa Kiểm tra lần nữa bằng lệnh NSLOOKUP Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 74 • TIPS để tránh Name Server bị lỗi khi cài, Admin phải Rename Computer Name và Add thêm DNS Suffix cho DNS Server trước khi cấu hình Zone mới. C¸c lo¹i Record A, CNAME, MX, NS Record (không nhất thiết phải dịch là bản ghi) như các kiểu giá trị của DNS Zone. Không cần hiểu quá phức tạp, đơn giản ta chỉ cần nắm được chức năng của các Record này là OK. • A host Record - thường là tên máy và kết quả chỉ định về IP thực của máy. • Minh họa tạo A Host Record cho DNS Zone • CNAME – Allias – tên giả - chỉ định về A Host. Allias thường được sử dụng làm nhiều tên cho cùng 1 máy Server. • Minh họa tạo Allias cho Server trong DNS Zone • MX Mail Exchanger Record chỉ định về Mail Server của Domain. Domain athenavn.com muốn nhận mail buộc phải cấu hình MX Record. • Hình minh họa cấu hình MX Record cho Domain Athenavn.com Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 75 Tóm tắt các kiểu Record DNS Server Thử nghiệm để thấy được chức năng của NS Record Kiểm tra NS Record bằng câu lệnh NSLOOKUP NS Server chỉ được liệt kê nếu có trong Danh sách của Zone. Trường hợp không có trong danh sách NS List, Server đó chỉ được gọi là Non-authoritative Server – không có khả năng cập nhật thông tin vào Zone. T¹o nhiÒu Zone, tÝch hîp Zone vμo Active Directory Trên DNS Server, ta có thể tạo nhiều Zone. Tạo Zone chỉ để phân giải tên DNS sang IP và ngược lại, không nhất thiết có DNS Server là phải có Domain (Active Directory), nhưng có Active Directory là phải có DNS Server, vì Active Directory sử dụng tên dạng DNS Name. Ta sẽ tạo 2 Zone mới cho DNS Server athenabh.com và athenahcm.com để tạo tên miền cho trang web trong Local. Quá trình tạo Zone mới giống 100% như tạo Zone athenavn.com, Admin cũng vui lòng kiểm tra lại HOST RECORD và POINTER Record trong Forward Lookup Zone và Reverse Lookup Zone. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 76 Tích hợp DNS Zone vào Active Directory có lợi hơn so với để ở trạng thái Standard Bảo mật hơn nhờ thừa kế việc mã hóa của Active Directory Việc transfer giữa các Zone nhanh và hiệu quả hơn nhờ tính Incremential Update của Active Directory chỉ cập nhật những gì mới. Muốn Tích hợp Zone vào Active Directory Admin Properties Zone, trong TAB General chọn Change… Chọn tích hợp vào Active Directory Tiếp tục Admin chọn YES Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 77 và sau đó OK để kết thúc phần cấu hình tích hợp Zone vào Active Directory. • TIPS đôi khi Admin không thấy dòng Store the zone in Active Directory sáng lên do Zone đang nằm trên DNS Server không có chứa Active Directory – túc không phải máy Domain Controller Zone Replications DNS Server phân giải tên dạng tập trung, mọi thao tác Querries đều được gửi từ Client đến DNS Server. Nếu DNS Server gặp sự cố thì toàn bộ hệ thống không thể truy cập thông tin Domain được. Giải pháp sử dụng là tạo DNS Server thứ 2, chứa cùng 1 Zone với DNS Server 1. Ở DNS Server này sử dụng Secondary Zone, chỉ lấy DataBase từ DNS Server 1, không có khả năng cập nhật Records. Đối với DNS Server 2, thì DNS Server là Master Server. Vào DNS Server thứ 2, cài đặt DNS và cấu hình Secondary Zone. Admin cũng vẫn chọn New Zone Nhưng tiếp tục lại chọn Secondary Zone Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 78 Gõ tên Zone cần tạo, vẫn chọn là Athenavn.com – cùng tên Zone với Primary Zone. DNS Server thứ 2 vẫn được sử dụng để phân giải tên miền, nhưng không dùng để quản lý HOST và POINTER. Secondary không tự tạo một DataBase mới mà sử dụng DataBase sẵn có bên Primary Zone Server. Muốn Secondary Server nhìn thấy được Primary, Admin phải khao báo địa chỉ IP của Primary Server Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 79 Zone File được lấy từ DNS Server đầu tiên mang IP 192.168.1.5 Click FINISH và xác kiểm tra lại Zone vừa tạo…Oppss! Failed. Kiểm tra xem tại sao Failed? Secondary Zone lấy Zone File từ DNS Server chứa Primary Zone, vậy kiểm tra xem đường truyền từ DNS Server 2 đến DNS Server 1 có tốt hay chưa, sử dung lệnh PING OK, Reply from 192.168.1.5 tốt hết 4 gói tin gửi đi. Đường truyền đã được xác định là OK, kế đến Admin nghĩ xem chuyện gì xảy ra? Nên đọc lại bảng FAILED trên DNS Server Console của Server 2. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 80 Kế tiếp ta nên nghĩ đến vấn đề Quyền, liệu Server thứ 2 này có được quyền lấy Zone File hay không? OK, vậy là phải kiểm tra Quyền lấy Zone File trên DNS Server đầu tiên Qua DNS Server 1, Properties Zone File Athenavn.com, chọn tab Zone Transfer Chọn Tab Zone Transfer, cấu hình điền địa chỉ IP của Server 2, cho phép Server 2 được phép Transfer Zone File. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 81 Quay lại DNS Server 2, chọn Transfer From Master để lấy Zone File lần 2 Cuối cùng kiểm tra lại Zone xem có lấy được nội dung hay chưa. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 82 Kết thúc quá trình tạo Non-authoritative DNS Server. DNS Serve Secondary tạo ra theo cách này chỉ có thể sử dụng để querry Record, không có khả năng cập nhật Record từ DNS Server này. DNS Server 2 với Secondary Zone nếu muốn sử dụng làm DNS Server cho một Domain thì phải được cấu hình thành một Authoritatve DNS Server. Muốn cấu hình DNS Server thành Authoritative Server thì Server đó phải nằm trong danh sách Name Server của Zone. Kiểm tra xem Name Server List của Zone athenavn.com gồm bao nhiêu Name Server Name Server hiện tại chỉ có một DC2.athenavn.com, Admin muốn sử dụng DC1 làm DNS Server cho Domain Controller thứ 2, buộc phải cấu hình Name Server trên Zone athenavn.com Add thêm Name Server cho DC1.athenavn.com, mang IP 192.168.1.2 • QUESTION Cấu hình Name Server cho Zone Athenavn.com phải làm ở DNS Server nào? Server Primary hay Secondary? Vì sao? Cấu hình Name Server List Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 83 • TIPS Standard Primary Zone và Secondary Zone có DataBase nằm dạng PlainText trong thư mục %systemroot%\system32\DNS. Replication giữa các DNS Server Standard có dạng AXFR – Replicate toàn bộ DataBase dưới dạng Plaintext trên đường truyền. Rất hạn chế nếu ta sử dụng Standard Zone, vì trong Standard, chỉ có 1 Server duy nhất được quyền giữ Primary Zone. Các Server còn lại phải ở dạng Secondary - chỉ transfer từ Master (Primary Server). Mọi thao tác cập nhật Zone đều phải thực hiện ở Primary. Giảm tính Performance trong hệ thống vì Replicate nguyên DataBase và Non-Secure vì transfer Zone dưới dạng Plaintext. Zone của DNS Server có thể được chứa trong Active Directory, với điều kiện trên máy DNS Server phải có Active Directory (trên Domain Controllers). Zone tích hợp trong Active Directory gợi là Active Directory Integrated Zone và được Replicate theo Active Directory vơớ dạng IXFR (Incremential) chỉ Replicate những Records nào mới thay đổi. IXFR làm tăng tính Performance và Secure vì được transfer dưới dạng Encrypted (mã hóa). Muốn tích hợp Zone vào Active Directory ta chỉ cần thực hịên tích hợp - Integrate ƒ TIPS Khi tích hợp, DNS Zone sẽ được Replicate tới tất cả các máy Domain Controllers có chứa cùng Active Directory (MultiMaster). Active Directory Integrated Zone thì DNS Server có thể cập nhật ở bất kỳ DNS Server nào, mọi DNS Server trong Domain lúc này đều là Primary Zone. DNS Forwarder vμ RootHints DNS Forwarder là thao tác Query giữa các DNS Servers. DNS Prefferred là giữa Client và DNS Server. Thời gian Replicate của các DNS Server mặc định là 15 phút, trong 15 phút đó nếu có sự thay đổi chưa kịp Replicate thì sao? DNS Forwarder sẽ giải quyết chuyện này. Nếu DNS Server 1 không giải quyết được Record nào đó, hoặc không giải quyết được Zone nào đó DNS Server 1 sẽ Query sang hỏi DNS Server 2, hoặc DNS Server nào đó mà Admin Forwarder đến. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 84 Thông thường trong hệ thống mang nhiều DNS Server, Admin nên cấu hình Forwarder lẫn nhau giữa các DNS Server này. Properties DNS Server, chọn tab Forwarder Điền IP Address của các DNS Server khác trong hệ thống vào Tab Forwarder. Nếu DNS Server Local không có khả năng phân giải tên sẽ tự động Forward đến Server 192.168.1.10. • TIPS thông thường, Admin cấu hình FORWARDER giữa DNS Server chứa Secondary sang DNS Server chứa Primary Zone. Nhưng cũng có trường hợp khi các Zone đều chứa trong Active Directory (AD Integrated Zone) thì cần cấu hình FORWARDER giữa các DNS Server với nhau, vì lúc này tất cả các Zone đều ở trạng thái Primary Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 85 ƒ TIPS Toàn hệ thống sử dụng Domain, các máy Clients phải Preffered về những DNS Server của Local. Clients có nhu cầu ra mạng Internet buộc phải phân giải tên DNS Internet sang IP (các trang web có dạng DNS Name) nhưng DNS Servers của Local không thể phân giải được các tên này. Giải pháp là Forwarder sang những DNS Server của các ISP gần nhất nhờ phân giải dùm Internet Name. Thao tác thực hiện từ DNS Server Local ra DNS Server của ISP. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 86 Trong trường hợp không Forwarder nhưng DNS Server Local vẫn phân giải được Internet Name? Trong DNS Server có 1 danh sách các Server Root trên internet gọi là Root Hints List, nằm trong tập tin CACHE.DNS trong thư mục %systemroot%\system32\DNS. Root Hints thực ra cũng là dạng Forwarder nhưng là mặc định của DNS Server. Nói thêm về Root Hints – 13 địa chỉ IP nhưng gồm nhiều hệ thống Máy tính chạy các hệ điều hành khác nhau. Nhiều máy tính cùng chạy 1 IP gọi là Cluster hoặc Network Load Balancing. Mục đích tăng cường tính chịu lỗi (Fault Tolerance) của hệ thống. Các DNS Server Root được phân bố ở 5 địa điểm chính trên toàn thế giới, và được bảo mật bằng hệ thống quân sự. DNS SOA Record, Name Server list vµ DNS Replication SOA Record quản lý thời gian cập nhật và Replicate cho DNS Zone. SOA sử dụng số Serial để phân biệt thay đổi mới xảy ra trong Zone. Kiểm tra SOA Record bằng cách Properties Zone Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 87 Chọn Tab Start of Authority (SOA) Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 88 Các tham số trong SOA Zone • Refresh Interval - thời gian Replicate bao nhiêu lâu • Retry Interval - thời gian thử Replicate lần 2 nếu lần 1 không thành công • Expired After - nếu DNS Server Primary gặp sự cố trong thời gian 1 ngày, Secondary tự động vô hiệu hóa Zone của mình, không giải quyết tên DNS cho Client nếu sau 1 ngày. • TTL – Cache trong bộ nhớ những gì đã Forwarder được từ các DNS Server khác. LAB Pro 17.2: Dynamic Updates vμ DHCP Server Dynamic Update cho phép Client và Services có thể tự động cập nhật Record cho Zone. Nếu chức năng Dynamic Update này tắt, Admin phải thực hiện việc tạo Record bằng tay (Manual). Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 89 Trong quá trình DCPROMO lên Domain và khởi động Domain Controllers, Service NET LOGON đăng ký SRV Record chứa thông tin về Active Directory vào DNS Zone, nên Dynamic Update phải được bật lên. Khi Join Domain, Client tự tạo cho mình 1 Record trong Zone (với Windows 2000 trở lên) không cần Admin phải tham gia, nên Dynamic Update phải được bật. DHCP Server có chức năng cấp địa chỉ IP, đồng thời cập nhật PTR Record cho Host được cấp IP vào DNS Server. Muốn DHCP cập nhật PTR, Reverse Zone phải được bật Dynamic Update. Cập nhật Dynamic Update vào Properties Zone cần cập nhật ƒ None - tắt chức năng Dynamic Update ƒ Non Secure and Secure - bật, cập nhật tất cả các Client ƒ Secure only - chỉ cập nhật các máy tính nằm trong Active Directory, đã tham gia Domain. Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 90 Trên Client, muốn cập nhật Host vào DNS Zone, ta sử dụng Command IPCONFIG/REGISTERDNS. Client phải chọn DNS Suffix phù hợp, cùng tên với Zone trên DNS Server (chọn đúng Zone cần cập nhật) Sử dụng command IPCONFIG/REGISTERDNS để đăng ký Host vào Zone. Ngoài ra còn một trường hợp nữa cũng sử dụng Dynamic Update là khi DHCP Server cấp IP cho Client sẽ tự động cập nhật HOST và POINTER cho Client đó. Mặc định DHCP Server chỉ cập nhật POINTER, nếu muốn DHCP Server cập nhật luôn phần HOST (cho những Client không hỗ trợ tự động cập nhật như WIN 9X) Admin phải cấu hình DHCP Server Cấu hình DHCP Server tự động cập nhật HOST và POINTER cho Clients. Properties DHCP Server Chọn TAB DNS Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 91 LAB Pro 17.3: Transfer vμ t×m Record trong DNS b»ng NSLOOKUP • NSLOOKUP Command có thể thực hiện thao tác Transfer Zone và kiểm tra Record trong DNS Server. NSLOOKUP muốn liệt kê được danh sách A host, SOA, SRV thì phải nằm trong danh sách Name Server List hoặc đựơc chỉ định nằm trong danh sách IP Server được quyền Replicate Kiểm tra Zone Transfer Tab xem Server nào được quyền Replicate DNS Zone Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 92 Và kiểm tra danh sách Name Server bằng cách chuyển qua Tab Name Server Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 93 Hiện tại chỉ có DC2.athenavn.com với IP 192.1681.10 là được quyền giữ và cập nhật Zone athenavn.com. Admin muốn sử dụng Dc1.athenavn.com làm Name Server thì phải Add thêm DC1.athenavn.com vào danh sách Name Server. Công việc cập nhật Name Server List bây giờ chỉ có thể thực hiện được trên Primary Zone DNS Server (tức DC2) Vào Tab Name Server, click Add Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 94 Click OK, trở lại với Name Server, bạn sẽ thấy một Name Server mới Ra ngoàI Zone kiểm tra lại, thấy Name Server đã xuất hiện thêm DC1.athenavn.com. Tương tự như vậy, Admin cấu hình tạo thêm Name Server Dc1.athenavn.com cho Reverse Lookup Zone 192.168.1.x Subnet Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 95 ƒ Allow Zone Transfer – cho phép Transfer Zone hay không ƒ To Any Servers - bất cứ Server nào cũng có thể Transfer Zone – Windows 2000 mặc định – non-secure ƒ To Server in the Name Server List - chỉ những DNS Server nào nằm trong danh sánh Name Server (NS list) mới có thể transfer Zone ƒ To the specified Server listed below – xác định bằng địa chỉ IP những DNS Server nào được quyền Transfer Zone. Sö dông Command NSLOOKUP xem DNS Zone Xem NS Record – xác định xem Zone đó có bao nhiêu DNS Server Xem A host Records – xem hệ thống có bao nhiêu máy tính tất cả, Server tên gì Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 96 Xem SRV record - kiểm tra hệ thống có Domain hay không, Domain Controllers là những msy nào Xem toàn bộ danh sách Record trong Zone – transfer toàn bộ nội dung Zone về NSLOOKUp Training & Education Network 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – website: www.athena.com.vn Y O U’LL L O V E T H E W A Y W E M I N D Y O U R K N O W L E D G E 97 LAB Pro 17.4: DNS Zone Transfer (Standard vμ AD Integrated), sö dông Network Monitor ®Ó thÊy sù kh¸c biÖt • Sử dụng Network Monitor để thấy sự khác biệt trong việc Replicate giữa AXFR (Standard Zone) và IXFR (Integrated Zone) • Monitor giữa DNS1 và DNS2 bằng Standard Primary Zone và Secondary Zone, ta sẽ thấy dạng PlainText trong cấu trúc gói tin. • Với IXFR mọi chuyện sẽ khác, Data được mã hóa trong khi Replicate.