Đang tải... (xem toàn văn)
486 Tổng quan về Doanh nghiệpS, quản trị & giám sát 1 máy chủ Doanh nghiệpS
Lời nói đầu DNS(Domain Name System )là hệ thống phân giải tên miền dược dưa vào sử dụng từ lâu giới Nó dược áp dụng rộng rãi loại mạng máy tính khác LAN, WAN ,và mạng Internet Nhờ DNS mà máy tính thiết bị mạng sử dụng IP dịnh vị cách đẽ dàng, việc tìm kiếm thông tin mạng trở lên đơn giản hởn việc tìm từ khóa tên miền Có thể nói đóng vai trị tảng cho mạng có kích thước giúp thiết bị “ nhìn nhận ”được tìm mạng khác Với tầm quan trọng DNS đồ án môn học ta xem xét cách tổng thể tác dụng, nhiệm vụ, cách hoạt động, thao tác, công cụ dịch vụ tích hợp máy chủ DNS chạy Windows Server 2003 Để thuận tiện cho việc theo dõi dồ án chia thành chương : Chương I: Tổng quan máy chủ quản trị tên miền DNS Chương II: Quản trị & giám sát máy chủ DNS Trong chương có khái niệm DNS, bước thực (hình) Trong trình chuẩn bi, người viết nhận ý kiến đóng góp nội dung trình bày Tác giả xin chân thành cảm ơn PGS-TS Đặng Minh Ất trực tiếp hướng dẫn giúp hoàn thành đề tài Mặc dù dã ý hướng đề tài nghiên cứu khoa học vừa có tính thực tế, q trình thực khơng thể tránh khỏi sai sót Mong nhận dược ý kiến đóng góp bạn đọc để đề tài hoàn thiện Tổng quan DNS, quản trị & giám sát máy chủ DNS Chương I: Tổng quan máy chủ quản trị tên miền DNS (Domain Name System) Giới thiệu tổng quan DNS trình phân giải tên miền 1.1 Lịch sử hình thành DNS Trước hệ thống ARPANET phát triển thành hệ thống Internet ngày nay, việc phân giải tên miền thực nhờ việc sử dụng Files văn (Host.txt) Các file văn liệt kê tên máy địa IP tương ứng Bất máy hay thiết bị đưa vào mạng, file cập nhật thêm tên địa thiết bị Theo lịch đặn, người sử dụng tải sử dụng file Vì file host.txt có cấu trúc phẳng nên tên máy file Khơng có phương pháp tạo khơng gian miền Một vấn đề nảy sinh kích thước CSDL file khó khăn việc phân phối mức tải cho file Host.txt Các file liệt kê tất máy có mạng, điều làm máy phân tích file Host.txt cần dành 100% công việc để phân giải tên máy khách Đây rõ ràng cách làm không đem lại hiệu cao, phương pháp tốt đưa Năm 1984 số máy ARPANET đạt 1000, DNS giới thiệu Bởi DNS thiết kế CSDL phân tán với cấu trúc phân cấp, sử dụng làm tảng cho việc phân giải mạng sử dụng TCP/IP với kích thước Khả DNS cho phép phân phối mức tải việc phân giải tên nhiều máy tính Ngày phần mềm làm việc INTERNET sử DNS làm phương pháp phân giải tên cho 1.2 Ưu điểm DNS DNS sử dụng rộng rãi cho mạng Internet sử dụng rộng cho mang riêng nhờ có ưu điểm: Khả mở rộng: DNS có khả phân phối mức tải CSDL nhiều máy tính, mở rộng gần vơ hạn Tính bất biến: Các tên máy trì khơng đổi chí địa IP gắn với thay đổi, điều giúp xác định tài nguyên mạng dễ Dễ sử dụng: việc sử dụng DNS ta xác định thiết bị tên dễ nhớ VD: www.neu.edu.vn thay phải nhớ địa IP cụ thể số Tính đơn giản: giúp người sử dụng dễ dàng tìm kiếm tài nguyên mạng cách nhanh chóng mà cần biết số quy ước đơn giản hay từ khóa 1.3 Các thành phần DNS Để hiểu tầm quan trọng DNS cách thức hoạt động mơi trường Windows Server 2003 ta cần tìm hiểu thành phần sau: Không gian tên DNS Các vùng DNS Các kiểu máy chủ DNS Các loại ghi tài nguyên Ta xét thành phần phần sau Giới thiệu không gian tên miền: Không gian tên miền vùng tên có phân cấp, có cấu trúc dạng cây, gốc không tên “ ” (root) sử dụng cho hoạt động DNS Trong không gian tên DNS, đối tượng nút thể miền đặt tên Mỗi miền có nhiều miền bổ sung Root “ “ aero mil biz coop com museum name Gốc domain edu net Các domain cấp cao gov info org int pro Second-level domain microsoft msn cpandl Sub domains redmond Nadc1 Nadc1.redmond.microsoft.com Hình 1.1: cấu trúc không gian tênDNS Internet Không gian tên DNS có cấu trúc phân cấp Mỗi tên DNS Miền gốc bắt đầu dấu “.” Dưới miền gốc miền thuộc lớp đỉnh (toplevel domain), hay gọi miền mức đầu tiên, thuộc loại tổ chức khác Có loại miền mức đỉnh là: • Mức đỉnh chung(generic) • Mức mã quốc gia (country code) miền kiểu mã quốc gia VD: vn, jp, uk … • Các tên miền hạ tầng(Infrastructure domain) arpa Cộng đồng sử dụng internet tạo tên miền chung Tổ chức có thẩm quyền gán số Internet( IANA ) cung cấp tên miền mức đỉnh Bảng 1.1 Các tên miền mức đỉnh tổng quan Tên miền aero biz com coop edu gov info int museum net Org pro Sử dụng Sử dụng cho tổ chức hàng không Tên miền mức đỉnh cho công ty lớn giới Cho tổ chức thương mại vd: www.microsoft.com Tên mức đỉnh dành ho tập đoàn Tên miền dành cho quan tổ chức giáo dục, trường ĐH cao đẳng hệ >4 năm Vd: www.neu.edu.vn ĐH Kinh tế quốc dân, Việt Nam Đại diện thuộc phủ Vd: www.moet.gov.vn/ giáo dục Việt Nam Tên miền không giới hạn cung cấp thông tin toàn cầu Các tổ chức thành lập hiệp ước quốc tế Tên miền giới hạn cho nhà thờ, bảo tàng tổ chức, cá nhân liên quan Các tổ chức nhà cung cấp máy tính, mạng chuyên biệt cho internet, cung cấp dịch vụ liên quan.VD: www.fpt.net tên miền nhà cung cấp dịch vụ mạng FPT Tên miền mức đỉnh cho nhóm khơng phù hợp với loại w3.org tên cộng đồng Internet Tên miền mức đỉnh dành cho tổ chức cá nhân chuyên gia Vd: Bác sĩ, luật gia… DNS có vai trị sử dụng tên miền đầy đủ (FQDN) để ánh xạ máy chủ sang địa IP tương ứng Một FQDN miêu tả xác mối liên hệ máy máy chủ miền DNS nó.Ví dụ máy computer1.sales.microsoft.com thể tên máy computer1 miền sales miền mức thứ microsoft miền mức đỉnh com Cài đặt máy chủ DNS máy chủ Windows Server 2003, Linux phân vùng 2.1 Cài đặt DNS Windows Server 2003 Khi tiến hành cài đặt DNS ta nên sử dụng địa IP tĩnh dùng địa máy có địa IP động máy DHCP cấp có khả IP DNS thay đổi Khi truy vấn gửi đến máy khách DNS mà cấu hình với IP cũ không thành công Windows Server 2003 cung cấp số trình hướng dẫn để cài đặt DNS nhanh chóng dễ dàng Đơn giản cho cơng việc cài đặt máy chủ có DNS cài đặt từ đầu bạn cài cho Windows Server 2003 bắt đầu thăng cấp trở thành máy chủ quản trị miền (Domain controler) Khi máy chủ Windows Server 2003 yêu cầu cài đặt với máy chủ DNS, ta cần “Next” Với trường hợp khác bạn có sẵn máy chủ muốn thêm vai trị máy chủ DNS cho Với trường hợp cách dễ dàng sử dụng trang “Manage Your Server” - quản lý máy chủ bạn Trang cho phép thêm vào vài vai trò cho máy chủ máy chủ file, máy chủ DNS, máy chủ in ấn, máy chủ DHCP… Các thao tác sau giúp thêm vào vai trò máy chủ DNS Thêm vai trò DNS Nhấn Start / Adminstratool / Manage Your Server/ Add or Remove a Role(thêm bớt vai trò) / Trong trang “Server Role” ta chọn “DNS server” nhấn Next qua bước kết thúc Chú ý nhỏ: cửa sổ Select Configuration Action(lựa chọn cấu hình) nên chọn Configure Root Hints Only(Recommanded For Advanced Users Only- cấu hình Root Hints cho người có trình độ) sau nhấn Next Hình 2.2 thêm vai trị máy chủ DNS cửa sổ Server Role 2.2 Cài đặt DNS Linux Hiện Internet xuất nhiều nhà cung cấp phần mềm miễn phí cho DNS Nhưng gói dùng cho Unix Linux phổ biến “Bind” Bind phát triển tổ chức phi lợi nhuận ISC(Internet Software Consortium), cung cấp miễn phí webside tổ chức www.isc.org Các khai báo DNS cho client/Server Với Client dùng cho linux unix ta vào File/ Etc/ Resolv.conf Client lấy thông tin domain Client gửi query tới server nhận câu trả lời Với Server Cấu hình tương tự Resolver DNS client Cấu hình cho Name Server(named) Xây dựng sở liệu cho DNS(sử dụng cho Zone) Cấu hình DNS client Ta cần cấu hình resolv.conf Các từ khóa Nameserver Miêu tả Địa Ip DNS server gửi truy vấn đến để lấy thông tin domain Domain name Xác định domain mặc định client Cài đặt DNS cho Server: Lấy chương trình từ www.isc.org cho server Cd/usr/src Mkdir bind-9.xx Cd bind-9.xx Lấy cài đặt DNS bind-9xx-src.tar.gz Gunzip bind-9.xx-src.tar.gz Tar xf bind-9.xx-src.tar Rm bind-9.xx-src.tar Cd src Make clean Make depend Make intall Kết thúc ta cài xong named cho DNS Zone file chứa /var/named cịn file cấu hình /usc/local/etc ta cần tạo đặt file cấu hình Zone file vào thư mục chạy Do cấu hình làm việc Linux phức tạp nên phần sau ta xét hoạt động DNS Windows Server 2003 2.3 Các vùng DNS Với mục đích quản trị, miền DNS tổ chức thành vùng Một vùng tập ánh xạ tên máy tính – địa IP cho máy vùng tiếp giáp không gian tên DNS Một vùng chứa tài nguyên ghi cho hay nhiều miền khác Nhưng vùng chứa miền miền tiếp giáp Điều nghĩa chúng phải có quan hệ cha trực tiếp với Hơn nữa, việc chia không gian tên miền thành vùng cịn có tác dụng để ủy quyền cho phần Các miền lớn gây khó khăn cho việc quản trị Đối với tên miền DNS có vùng, vùng trở thành vùng ủy thác quyền với thông tin miền Một vùng ủy quyền chứa thơng tin vùng Mặc dù máy chủ chứa vùng chưa có đủ quyền để sửa hay xóa tài nguyên Chỉ có máy chủ cấp có quyền Các máy chủ DNS phân loại theo tiêu chí vùng mà phục vụ Có thể vùng chính,vùng phụ , vùng cụt,hay khơng vùng Tóm lại liệu vùng mơ tả máy chủ DNS lưu dạng: Dạng liệu phẳng chứa danh sách ánh xạ Trong sở liệu AD Nếu dựa vào kiểu truy vấn phân thành hai loại phân giải xuôi(Forward Lookup Zone) hay phân giải ngược (Reverse Lookup Zone) Đều thuộc kiểu : Primary (chính) Secondary (phụ) Stub (cụt) Hình 2.3 Thể vùng DNS với tên miền Neu.edu.vn ghi Tùy theo nhu cầu sử dụng mà ta cấu hình máy chủ,VD cấu hình máy chủ thành vùng vùng phụ để chống lỗi Có nhiều lựa chọn cho tối ưu hóa máy chủ DNS dựa vào kiến trúc mạng, kích thước, nhu cầu Hoạt động máy dựa vào vùng sau: Các vùng chuẩn ( Standard Zone) chứa ghi/đọc vùng máy chủ DNS Chỉ có máy chủ DNS chứa nạp ghi tài nguyên vùng, máy thường đặt nơi truy cập, quản trị fle vùng Các vùng thứ cấp chuẩn (Standard Secondary Zone) file vùng lưu nhiều máy chủ mạng Nó cung cấp khả chống lỗi, cân mức tải mạng, tránh việc ép truy vấn kết nối Wan tốc độ thấp Phân vùng thứ cấp đọc ghi DNS Việc làm máy chủ thứ cấp túy chép phân vùng máy chủ Khi tạo máy chủ bạn cần hướng IP đến máy chủ Các vùng cụt (Stub Zone) kiểu hỗ trợ cho Windows Server 2003 chứa tài nguyên ghi đủ để nhận biết máy chủ DNS ủy quyền cho vùng Các vùng cụt cho phép thực truy vấn cách đệ quy cách sử dụng danh sách máy chủ tên có vùng mà không cần truy vấn Internet, máy chủ gốc nội để tìm thơng tin khơng gian tên DNS Hình I.2.4 lựa chọn vùng phù hợp cho máy chủ DNS Các vùng tích hợp AD(Active Directory): phương pháp độc quyền Microsoft giúp người sử dụng dễ dàng quản trị, bảo mật, đồng thông tin Các vùng lưu AD có lợi điểm sau: Khả chống lỗi cao: thông tin lưu nhiều máy chủ Bảo mật: Có khả tăng cường bảo mật danh sách điều khiển truy cập(discretionary access control list - DACL) DACL cho phép định người dùng nhóm có khả chỉnh sửa DNS Zone Các vùng đa chủ: Ở nhiều nơi chỉnh sửa,cập nhật vùng Các thay đổi đồng hóa với máy chủ quản trị có chứa file vùng Đồng hóa hiệu quả: Việc chuyển giao vùng thay hiệu việc đồng AD Điều có hiệu đặc biệt quan trọng mạng bạn có tốc độ đường truyền chậm liệu nén tự động truyền, hồn tồn sử dung để trao đổi site Các vùng thứ cấp: Các vùng lưu AD chuyển giao qua vùng thứ cấp chuẩn để tạo vùng thứ cấp giống cách ta đóng gói file chuyển giao Bạn tạo hai kiểu vùng tích hợp cho Active Directory vùng phân giải xi vùng phân giải ngược 2.4 Các kiểu máy chủ DNS Các kiểu máy chủ xác định kiểu vùng vùng mà chứa chức mà chúng đảm nhận Một máy chủ DNS chứa vùng cấp, vùng thứ cấp hai Trong thời điểm máy chủ máy chủ tên chính, máy chủ chịu trách nhiệm cập nhật máy chủ khác Nếu máy chủ khơng chứa vùng gọi máy chủ đệm Có loại máy chủ hỗ trợ Windows Server 2003 : Máy chủ tên (Primary Name Server): Là máy chủ tên chứa nhiều vùng Khi có thay đổi liệu vùng, ví dụ thêm ghi tài nguyên vùng, thay đổi phải thực máy chủ vùng Sau thay đổi phân phối đến máy chủ tên thứ cấp Máy chủ phục vụ ln việc truy vấn máy trạm Máy chủ tên thứ cấp (Secondary Name Server): Máy chủ chứa hay nhiều CSDL thứ cấp Bởi chuyển vùng tạo vùng thứ cấp thiết phải có máy chủ vùng để tạo máy chủ thứ cấp Máy chủ tên chủ đạo (Master Name Server): Máy chủ chủ đạo có trách nhiệm gửi cập nhật CSDL đến máy chủ khác Nghĩa chứa thứ cấp CSDL Để thực điều máy chủ tên chủ đạo máy chủ hay máy chủ thứ cấp Máy chủ đệm( Caching-Only Server): Máy chủ không chứa vùng miền Các máy chủ đệm khởi đầu với nhớ đệm trống dần thêm vào ghi tài nguyên mà máy chủ sử dụng để thỏa mãn yêu cầu máy khách Các thông tin đệm sẵn sàng để trả lời truy vấn máy khách Điều đặc biệt có giá trị website DNS cần thiết nội việc tạo vùng miền riêng không yêu cầu Các loại ghi tài nguyên DNS Một ghi tài nguyên thông tin liên quan đến miền DNS ví dụ: ghi xác định địa IP máy trạm Bản ghi tài nguyên thể dạng nhị phân truy vấn phản hồi tạo DNS Tuy nhiên file DNS ghi lại thể theo dạng văn Hầu hết ghi thể dạng văn đơn Để tiện theo dõi, dòng trống giải thường thêm vào file vùng DNS bỏ qua Chú thích bắt đầu “ ; ” kết thúc xuống dịng Các ghi tài ngun có cú pháp tiêu chuẩn sau: Owner [TTL] Class Type RDATA Tác dụng trường ghi tài nguyên máy DNS liệt kê bảng sau Bảng I.3.1: trường ghi tài nguyên tiêu chuẩn Tên trường Mô tả tác dụng 10 thiếu ghi ghi sai DNSLint biên dịch file vào định dạng HTML File lưu thư mục mà từ thực DNSLint Ví dụ DNSLint giúp gặp cố phân giải tên NetBios, giúp xác nhận ghi SRV (bản ghi máy khách dùng để tìm kiếm máy chủ (WINS ) chứa sẵn ghi với thông tin xác DNSLint cịn xác định xem DNS có gây cố khơng Ngồi DNSlint cịn có số cơng dụng khác thẩm quyền với gốc rừng Active Directory, quyền phân giải ghi miền AD Cú pháp DNSLint chức – báo cáo DNSLint Cú pháp câu lệnh DNSLint sau: DNSLint /d domain_name [/ad[LDAP_IP_address]] /ql inputfiles [/t][/test_tcp][/S DNS_IP_address] [/v] [/y] /d khóa chuyển /d Được sử dụng để kiểm tra tên miền cụ thể Khóa sử dụng để trợ giúp cho việc ủy quyền không vấn đề liên quan đến DNS /ad Khóa chuyển /ad(kiểm tra việc đồng Active Directory ) sử dụng để kiểm tra ghi DNS chịu trách nhiệm cho việc đồng rừng Active Directory /ql khóa chuyển /ql( kiểm tra danh sách truy vấn )được sử dụng để kiểm tra ghi DNS định file văn Hình II.1.4: báo cáo dạng HTML DNSLint 29 Tạo ghi đầu vào cho DNSLint: Để tạo ghi đầu vào cách đơn giản ta sử dụng tham số tự động tạo với khóa chuyển /ql để sinh file can thiệp Chọn Run mở cửa sổ CMD Nhập vào dòng lệnh DNSLint /ql autocreate Vào Run chọn Notepad in-dnslint.txt Chỉnh sửa thơng tin mặc định máy chủ phía dưới, địa IP Sau lưu thơng tin lại Các bước tạo file đầu vào cho DNSLint Từ liệu ta xem với dạng HTML lệnh: DNSLint /ad /s localhost (hình II.1.4) Chú ý: ta tìm hiểu thêm thơng tin cách sử dụng DNSLint cách truy cập vào trang http://support.microsoft.com nhập mã số viết 321045 vào hộp thoại Sesrch The Knowledge Base 1.4 Sử dụng Dnscmd Công cụ Dnscmd cơng cụ dịng lệnh đặc biệt Với cơng cụ ta thực hầu hết công việc bảng điều khiển DNS Công cụ sử dụng để tạo file kịch script, để trợ giúp việc tự động quản trị cập nhật cấu hình máy DNS sẵn có để cài đặt máy chủ DNS Các cơng việc làm với dịng lệnh Dnscmd: Khởi tạo, xóa, xem vùng loại ghi Khởi tạo thuộc tính máy chủ vùng Thực hành động cập nhật, bảo dưỡng, nạp lại vùng, làm tươi, ghi vào file Active Directory, tạm ngừng chuyển tiếp vùng Xóa nhớ đệm Tạm dừng, khởi động, hủy bỏ dịch vụ DNS Xem thơng số thống kê Hình II.1.5 giao diện dịng lệnh DNSCMD hiển thị vùng thông tin đặc biệt 30 Dnscmd trang bị công cụ dịng lệnh để quản trị máy chủ DNS Để có Dnscmd ta buộc phải cài đặt File cài đặt hỗ trợ cài Windows Server 2003 thư mục \\support\tool\support.msi Quản trị DNS thuộc tính nâng cao máy chủ DNS Các thuộc tính nâng cao DNS thiết lập có thẻ Advance hộp thoại DNS Server Properties (hình II.2.1) Các thuộc tính liên hệ đến tính đặc biệt máy chủ, ví dụ vơ hiệu hóa đệ quy, tiến hành phân giải máy nhiều giao thức mạng, tương thích với máy chủ DNS khơng Microsoft Hình II.2.1thẻ thuộc tính nâng cao DNS Các thiết lập cho máy chủ bao gồm tùy chọn tài nguyên cho máy chủ, tài nguyên nhận giá trị on off tính khác với nhiều lựa chọn cấu hình Bảng sau thể tác dụng tính Bảng II.2.1 bảng thuộc tính nâng cao DNS Thuộc tính Thiết lập Disable Recursion Off Blind Secondaries On 31 Fail On Load if Bad Zone Data Off Enable Round Robin On EnableNetmask Ordering On Secure Cache Against Pollution On Name Checking Multibyte(UTF8) Load Zone Data On Startup Lấy từ AD registry EnableAutomatic Scaveging Of Stale Record Off(cấu hình kích hoạt) Bình thường thuộc tính khuyến khích để chế độ mặc định, nhiên số trường hợp ta cần tham gia chỉnh sửa số tính nhằm phục vụ cho nhu cầu Khi khơng cịn nhu cầu ta trả tính vị trí mặc định nút Reset To Default Các tính cụ thể: Vơ hiệu hóa đệ quy: (Disable Recursion) kích hoạt thuộc tính DNS không trả lời truy vấn mà khơng có thẩm quyền truy vấn chưa trả lời, chưa xuất đệm Tính có tác dụng ta muốn có máy chủ DNS ngăn việc làm hỏng đệm Do máy chủ không tham vấn đến máy chủ khác, khơng cần trì đệm nên khó khăn việc giả mạo(ảnh hưởng đến đệm) Bind thứ cấp: (Bind Secondary) tính điều khiển liệu định dạng chuyển giao vùng nhanh có sử dụng việc chuyển giao vùng DNS không Berkeley Internet Name Domain (BIND) phương pháp triển khai thông thường DNS thực hầu hết phiên có UNIX Chuyển giao vùng nhanh phương thức hữu hiệu việc chuyển giao liệu vùng có khả cung cấp khả nén liệu, chuyển nhiều gói tin thơng điệp TCP Việc lựa chọn không làm ảnh hưởng việc giao tiếp máy chủ Windows với Việc chuyển giao nhanh thực với phiên Bind từ 4.9.4 trở lên Fail On Load If Bad Zone Data: (không nạp liệu vào vùng hỏng) Các máy chủ DNS chạy hệ điều hành Windows Server 2003 theo mặc định nạp liệu vào vùng chứa lỗi Việc lựa chọn giúp ngăn cản điều Kích hoạt ln chuyển xoay vòng: (Enable Round Robin) kĩ thuật cân tải sử dụng máy chủ DNS để chia sẻ phân bố mức tài nguyên mạng Nếu nhiều ghi thỏa mãn với truy vấn, sử dụng Round Robin để quay vòng thứ tự ghi trước trả cho máy trạm Theo mặc định tính bật Nếu bị vơ hiệu hóa, thứ tự phản hồi dựa vào thứ tự gán tĩnh ghi tài nguyên danh sách Kích hoạt thứ tự mặt nạ mạng: (Netmask Ordering) phương pháp xếp để ưu tiên cho IP mạng máy khách truy vấn đến máy có nhiều ghi tài nguyên A Khi kích hoạt IP phù hợp với mặt nạ mạng máy khách đưa lên đầu 32 Bảo mật đệm sai hỏng: (Secure Cache Against Pollution) cho phép máy chủ DNS bảo vệ đệm khỏi tham chiếu mà tham chiếu thường làm hỏng đệm Khi thiết lập kích hoạt, máy chủ lưu đệm ghi có tên tương ứng với miền mà tên miền có truy vấn tạo Bất kì tham chiếu nhận từ máy chủ DNS khác kèm truy vấn bị từ chối.Nếu tính khơng kích hoạt, tất nhiên máy chủ lưu tất ghi tài nguyên nhận trả lời cho truy vấn DNS chí ghi khơng tương ứng với tên miền truy vấn Kiểm tra tên(check name):thiết lập mặc định danh sách xổ xuống Namechecking Multibyte (UTF-8) Khi DNS mặc định tên miền mà dịch vụ thực phù hợp với định dạng chuyển đổi UCS (UCF) Bảng II.2.2 phương pháp kiểm tra tên Phương pháp Mô tả Strict RFC [ASCII ] Kiểm tra tên chặt trẽ Các hạn chế thiết lập RFC 1123, gồm việc giới hạn chữ hoa, chữ thường, số Kí tự đầu số Non RFC Cho phép sử dụng tên không chuẩn không theo đặc tả tên máy Internet RFC 1123 Multibyte (UTF – 8) Cho phép nhận giá trị khác ASCII bao gồm Unicode, thường mã hóa độ dài Octet Với tùy chọn này, kí tự đa byte hỗ trợ UTF-8, cung cấp sẵn Windows Server 2003 Các tên mã hóa khơng vượt kích thước giới hạn định RFC 2181, tối đa 63 octet nhãn, không 255 octet tên Cho phép chữ ngồi tiếng Anh ALL name Cho phép theo hình thức tên Mặc dù phương pháp tên chuẩn theo UTF-8 có tính khả dụng cao, tính Strict RFC có tác dụng máy DNS ta thực chuyển giao với máy chủ không Windows không nhận UTF-8 Các định dạng tên lại nên sử dụng có yêu cầu đặc biệt cần đến Nạp liệu vùng khởi động:Các máy chủ DNS Windows Server 2003 khởi tạo thiết lập định CSDL Active Directory registry máy chủ Ngồi cịn thực việc nạp liệu vào vùng cách sử dụng hai thiết lập khác từ Registry từ File Lão hóa loại bỏ ghi tài nguyên: thông thường, người quản trị DNS trực tiếp xóa ghi tài nguyên khỏi File vùng DNS cần Với tính cập nhật động, máy tính dịch vụ riêng tự thêm vào hay xóa ghi tài nguyên DNS Ví dụ, dịch vụ DNS client đăng kí ghi tài nguyên A PTR tiếp tục sau 24h việc làm 33 đẳm bảo ghi bảo vệ DNS vơ tình xóa ghi Windows Server 2003 gắn tem định thời gian vào ghi tài nguyên mà tự thêm vào vùng vùng kích hoạt lão hóa (Aging) loại bỏ (scavenging) Các ghi thêm vào cách thủ công gắn tem định thời 0, máy hiểu ngoại lệ, không bị ảnh hưởng q trình Hình II.2.2:kích hoạt tính lão hóa loại bỏ Bảo mật DNS DNS giao thức mở, dễ bị công, Windows Server 2003 cung cấp cho số công cụ nhằm tránh công vào sở hạ tầng DNS 3.1 Các nguy bảo mật DNS Bảng II.3.1 Các mối đe dọa an toàn DNS 34 Mối đe dọa Footpriting (lấy dấu) Denial of service -dos (Từ chối dịch vụ) Chỉnh sửa liêu Định hướng lại Mô tả dấu hiệu Là liệu miền DNS bị người lấy được, bao gồm tên miền, địa IP…Kẻ cơng sử dụng liệu để dựng lại hệ thống mạng, dị tìm hệ thống mạng, lấy tài ngun hệ thống mạng Tấn cơng kiểu kiểu cơng có tính tốn trước, nhằm phá hủy tính hệ thống Cách cơng Dos làm tràn tài nguyên mạng yêu cầu khơng thể hồn thành Theo hệ thống ln bận rộn để xử lí, CPU làm việc hiệu suất gần 100% khơng cịn thời gian cho cơng việc hợp lệ khác Sau cơng lấy dấu, có IP cụ thể hợp lệ mạng Kẻ cơng sử dụng để gửi thơng tin giả mạo giốn thông tin hợp lệ từ IP chuẩn, truy cập vào hệ thống mạng để phá hủy thực kiểu công khác Là kiểu công mà kẻ công có khả định hướng lại truy vấn tên DNS máy chủ tầm kiểm sốt Một cách đơn giản kiểu công làm hỏng đệm DNS dẫn liệu đến địa khác Việc cơng thực có khả truy nhập vào liệu DNS 3.2 Các mức bảo mật Việc triển khai bảo mật DNS xác định theo mức thấp , trung, cao Dựa vào đặc tính mạng mà ta chọn mức phù hợp Bảng II.3.2 So sánh mức bảo mật Tiêu chí bảo mật Thấp Trung Cao Cơ sở hạ tân bị phơi bày Có thể Hạn chế Khơng hồn tồn Internet Các phân giả DNS chuẩn Tất máy Một số máy Một số IP thực chủ Cấu hình root Hint trỏ đến máy Tất Giới hạn Một máy mức gốc internet root hint Cho phép chuyển giao vùng Tất máy Giới hạn máy Giới hạn IP ghi xác định NS Máy cấu hình để nghe Tất Xác đinh tên Xác định IP địa Ip máy 35 Cập nhật động Mở cổng 53 tường lửa Ngăn hư hỏng đệm Sử dụng tường lửa Tất máy Tất IP Không Không Không Không Tất Dùng với danh sách Không Không Tất Danh sách máy 3.3 Bảo mật thành phần DNS Bảo mật dich vụ DNS: Dịch cụ DNS chạy máy chủ thành viên máy quản trị miền Khi thiết lập máy chủ miền có nhiều tính nâng cao tùy chọn chạy máy thành viên Hình II.3 dịch vụ bảo mật cho DNS server Ta điều chỉnh cụ thể sách bảo mật DNS server thẻ Advance tab Security bảng điều khiển DNS 36 Bảo mật vùng gói file Bảo mật vùng gói flie yêu cầu việc quản trị quyền truy cập hệ thống file NTFS lưu máy Windows Server 2003 thành viên Thiết lập quyền file gói file: Hình II.3.2 gán quyền bảo mật file – thư mục chứa vùng DNS Bảo mật DNS tích hợp Active Directory Bảo mật tích hợp vùng DNS tích hợp Active Directory yêu cầu tùy chon bổ sung việc cập nhật động điều khiển truy cập Các thiết lập bảo mật mặc định Secury only, ngăn kẻ cơng truy cập vùng DNS Nhưng thiết lập ảnh hưởng tới việc cập nhật động Cập nhật động bảo mật hạn chế vùng DNS cập nhật máy tính xác thực miền Active Directory mà máy DNS thành viên thỏa mãn số yêu câu xác định khác 37 Hình II.3.3 đảm bảo thuộc tính cập nhật đơng ln chọn (Secury Only) Bảo mật chuyển giao vùng Dịch vụ DNS server Windows Server 2003 cho phép thông tin vùng chuyển giao đến máy chủ liệt kê danh sách ghi tài nguyên NS vùng Đây cấu hình bảo mật, để tẳng cường tính bảo mật, người ta hướng vùng chuyển giao đến số IP cố định xác thực Lưu ý máy sử dụng địa IP nên để động máy chủ cấp phát địa IP nên cấu hình bỏ khơng cấp địa Để chỉnh sửa thiết lập chuyển giao vùng, thực bước: Hủy bỏ tính chuyển giao vùng, xóa tùy chọn Allow Zone Transfers hộp chọn Zone Transfers Để kích hoạt ta chọn Để hướng chuyển giao vùng đến máy khác, ta lựa chọn To Any Server : cho phép chuyển đến tất máy chủ khác Only To Servers Listed On The Name Server (chỉ cho phép đến máy có tên list) ta sử dụng tùy chọn thẻ Name Server Only To The Following Server (chỉ cho phép đến server xác định) : nhập IP máy chủ vào danh sách địa IP 38 Hình II.3.4: tùy chọn cho việc bảo mật chuyển giao vùng Bảo mật ghi tài nguyên: Việc điều khiển truy cập ghi tài nguyên lưu Active Directory quản lý DACL (Discrectionary Access Control List) DACL áp dụng ghi tài nguyên cụ thể giới hạn người dùng nhóm người đủ quyền truy nhập vào tài ngun Tính cấu hình thẻ Secury cửa sổ Properties ghi Việc cấu hình tính hồn tồn giống sách tài khoản Active Directory Giám sát giải số cố DNS Trong phần ta tập trung vào công cụ Event Viewer Replicaton Monitor Đây công cụ có ích để sử dụng cho việc giám sát giải cố máy chủ DNS 4.1 Xem nhật kí kiện Ngồi nhật kí máy chủ Active Directory , Windows Server 2003 trì riêng cho DNS nhật kí riêng Khi muốn kiểm tra DNS ta cần xem DNS Server Event Log Đồng thời cấu hình thơng tin cần theo dõi nhờ lọc thơng tin nhật kí 39 Hình II.4.1 giao diện thông báo DNS Event Viewer Khi nhấn pải chuột vào mục DNS Event ta mở cửa sổ DNS Event Properties, chứa thẻ General Filter cho phép ta cấu hình chi tiết sách Hình II.4.2 General Filter 40 4.2 Giải cố với DNS Debug Log Ngoài DNS Event Log, dịch vụ DNS cịn trì nhật kí khác sử dụng để gỡ rối DNS Debug Log Đây file có tên DNS.log, lưu Windows\System32\Dns Ta dùng Notepad để xem Thơng thường DNS Debug Log dùng chứa lỗi, ta sử dụng để thu thập gói tin mà DNS nhận gửi từ gói tin nội Khi kích hoạt lựa chọn “Log Packets For Debugging” ta cấu hình tùy chọn gói tin cần giữ Hình II.4.3 cấu hình DNS Debug log 4.3 Giải cố Replication Monitor Replication Monitor (replmon.exe) cơng cụ giao diện đồ họa tích hợp Windows Support Tool cho phép giám sát giải cố đồng Active Directory Đây tính cần thiết việc giám sát chuyển giao liệu vùng tích hợp DNS Có thể dùng Replication Monitor thực chức sau: Ép đồng hóa liệu nhiều cách đồng Tìm đối tượng đồng hóa có vấn đề Hiển thị kiến trúc đồng 41 Thăm dò đối tượng đồng bộ, tạo lịch sử riêng kiện thành công hay thất bại Hiển thị thay đổi mà chưa đồng từ máy cụ thể Giám sát đồng máy DNS miền từ nhiều rừng khác Hình II.4.4 bảng điều khiển Replication Monitor Tìm kiếm lỗi đồng bộ: Các lỗi DNS Active Directory sinh việc đồng vùng Ta tìm kiếm lỗi thực đơn Action, chọn domain, sau tìm “Search Domain Controllors For Replication Errors” Các lỗi đồng tìm liệt kê 42 Tổng kết: Qua trình bày ta thấy tầm quan trọng phần thấy cách hoạt động máy chủ DNS Làm để điều khiển DNS hiệu an toàn Một số thao tác quan trọng trình bày ứng dụng nhiều làm việc với DNS mà người quan tâm cần hiểu như: Sử dụng cơng cụ dịng lệnh Nslookup, DNSLint, DNScmd Sử dụng thiết lập nâng cao có sẵn để bảo toàn liệu vùng, thiết lập bảo mật đệm Hiểu chọn chế độ secur phù hợp Sử dụng Event Log DNS Debuglog giám sát DNS Các tài liệu tham khảo sử dụng : Cuốn training_kit 70-291 J.C.Mackin & LanMcLean Một số giáo trình quản trị mạng Một số tư liệu khác từ nguồn mạng Internet Xin chân thành cảm ơn ! 43 ... Your Server” - quản lý máy chủ bạn Trang cho phép thêm vào vài vai trò cho máy chủ máy chủ file, máy chủ DNS, máy chủ in ấn, máy chủ DHCP… Các thao tác sau giúp thêm vào vai trò máy chủ DNS Thêm... có máy chủ vùng để tạo máy chủ thứ cấp Máy chủ tên chủ đạo (Master Name Server): Máy chủ chủ đạo có trách nhiệm gửi cập nhật CSDL đến máy chủ khác Nghĩa chứa thứ cấp CSDL Để thực điều máy chủ. .. đến máy chủ DNS B Máy khách gửi truy vấn lặp đến máy chủ DNS B miền sales.contoso.com Máy chủ DNS B phản hồi với tham chiếu đến máy chủ C Máy khách DNS gửi truy vấn lặp đến máy chủ DNS C Máy chủ