Các loại vùng Dns. Tên miền đảo ngược (DNS ngược) và vị trí của chúng trong hoạt động của máy chủ thư
Trong miền Thông tin Windows DNS lưu trữ các dịch vụ cần thiết để hệ thống hoạt động. Và phần lớn các vấn đề trong hoạt động của một miền (dịch vụ thư mục) đều có liên quan chính xác đến cài đặt không chính xác quản trị viên dịch vụ DNS. Vì vậy, cần xem xét máy chủ DNS chi tiết hơn.Điều khoản DNS
DNS (Tên miền Hệ thống tên Hệ thống tên miền) là dịch vụ phân giải tên cho các mạng dựa trên giao thức TCP/IP.
Vùng DNS
Vùng DNS là một phần của không gian tên mà máy chủ DNS có thể thực hiện các hoạt động phân giải tên. Có các vùng tra cứu tiến và lùi, trong thực tế được gọi là vùng tra cứu tiến và lùi để thuận tiện.
Vùng chuyển tiếp cho phép bạn lấy địa chỉ IP của nó theo tên hệ thống, vùng ngược lại “cung cấp” thông tin về tên máy chủ theo địa chỉ IP. Do đó, nếu bạn cần tìm địa chỉ của nó theo tên máy tính, thì họ sẽ nói về việc phân giải tên trực tiếp. Nếu họ muốn lấy tên máy tính từ một địa chỉ IP thì trong trường hợp này việc phân giải tên ngược sẽ xảy ra. Nói đúng ra, nếu nó được đăng ký trong DNS độ phân giải trực tiếp thì tên ngược lại cũng phải được đăng ký.
Thiếu độ phân giải tên ngược là một lỗi khá phổ biến trên Internet. Thông thường, chủ sở hữu vùng chuyển tiếp của một miền nhất định và vùng đảo ngược tương ứng với tên này là người khác(tổ chức) nên khi đăng ký bản ghi DNS mới người ta thường quên tạo bản ghi vùng đảo ngược tương ứng.
Trên thực tế, các vùng trực tiếp tương ứng với các miền ở một mức độ nào đó. Ví dụ: vùng Ask.ru cho phép bạn giải quyết tất cả các yêu cầu tên liên quan đến miền Ask.ru.
Để giải quyết tên đảo ngược trong chính tên miền cấp cao nhất Vùng in-addr.arpa đã được tạo. Tên vùng tra cứu ngược được hình thành bằng cách thêm ba octet của địa chỉ mạng vào bên trái tên này theo thứ tự ngược lại. Ví dụ: đối với mạng 195.161.192.0/24, tên vùng đảo ngược sẽ là 192.161.195.in-addr.arpa.
Trong hầu hết các trường hợp, việc thiếu đăng ký ở vùng đảo ngược không ảnh hưởng đến hoạt động binh thương trực tuyến. Tuy nhiên, nó cũng có thể dẫn đến sai sót trong những trường hợp cần đặt tên server theo địa chỉ IP. Ví dụ: khi trao đổi email, giờ đây người ta thường kiểm tra xem máy chủ có thuộc miền mà nó thay mặt truyền thư hay không. Nếu việc phân giải tên ngược không được thực hiện, hệ thống có thể bị từ chối chấp nhận thư.
Khu sơ cấp và thứ cấp
bạn bản ghi đã tạo DNS phải có một "chính". Để tất cả các bản ghi đều chính xác, chúng phải được nhập trên cùng một máy chủ DNS. Trong trường hợp này, vùng chính được cho là nằm trên máy chủ DNS như vậy. Để có khả năng chịu lỗi, bạn có thể tạo bản sao của vùng này trên các máy chủ khác: các vùng như vậy sẽ được gọi là vùng phụ. Vùng phụ chứa các bản ghi giống như vùng chính, nhưng không thể thực hiện thay đổi đối với vùng đó hoặc có thể thêm các bản ghi mới vào vùng đó. Những hoạt động này chỉ có thể được thực hiện cho vùng chính.
Máy chủ tên vùng
Đối với mỗi vùng chính, bạn có thể tạo bao nhiêu bản sao tùy thích trên các máy chủ khác. Thông thường, cài đặt máy chủ DNS cung cấp các cơ chế thông báo đặc biệt để đảm bảo đồng bộ hóa các bản ghi trong vùng chính và các bản sao của nó trên máy chủ phụ. Tuy nhiên, nếu cài đặt máy chủ DNS không cấm điều này, bạn có thể tạo vùng phụ trên máy chủ của mình, việc cập nhật vùng này sẽ được thực hiện theo một lịch trình nhất định. Do đó, hồ sơ của bản sao đó có thể không còn giá trị hiện hành. Do đó, theo thông lệ, người ta thường xác định máy chủ định danh cho một miền có thông tin “chính thức”. Các máy chủ như vậy được gọi là bản ghi NS của miền tương ứng. Thông thường, hai hoặc ba máy chủ NS được tạo cho mỗi miền. Nếu nhận được phản hồi cho yêu cầu phân giải tên từ máy chủ NS thì nó được coi là được ủy quyền;
Điều này không có nghĩa là dữ liệu được trả về không chính xác trong trường hợp này. Máy chủ DNS sẽ chỉ giải quyết yêu cầu của khách hàng dựa trên dữ liệu từ bản sao của nó nếu dữ liệu đó không bị lỗi thời. Nhưng nếu thời gian tồn tại của các bản ghi trên máy chủ tên được đặt, chẳng hạn như một tuần, thì trong trường hợp có thay đổi đối với vùng chính, bạn phải chuẩn bị cho thực tế là ngay cả trước một tuần sau khi thay đổi thông tin trên máy chủ NS, các máy chủ DNS khác có thể trả về hàng trăm. Miền Windows 2000 và sử dụng vùng DNS. được tích hợp với dịch vụ thư mục, các thay đổi có thể được thực hiện đối với bất kỳ máy chủ DNS nào trong vùng đó.
Giá trị hợp lệ
Nghĩa là, bạn sẽ phải đối mặt với tình huống một số hệ thống đã nhận được dữ liệu tên chính xác, trong khi những hệ thống khác thì không. Do đó, trước khi thay đổi bản ghi DNS theo dự định, cần phải giảm thời gian tồn tại của chúng và đợi một khoảng thời gian bằng thời gian tồn tại cũ. Điều này sẽ làm giảm khoảng thời gian không chắc chắn như vậy trong việc phân giải tên. Sau khi hoàn tất thao tác cấu hình, bạn nên quay lại các giá trị cũ để giảm tải cho mạng và máy chủ DNS. Nếu bạn nghi ngờ rằng bản sao của bản ghi DNS trên máy chủ DNS đã lỗi thời, bạn nên thực hiện thao tác xóa bộ đệm cho vùng thích hợp. Để thực hiện việc này, bạn cần bật tùy chọn hiển thị các tham số bổ sung trong bảng điều khiển quản lý máy chủ, tìm vùng mong muốn trong cấu trúc bộ đệm và xóa nó. Lần tiếp theo khi yêu cầu dữ liệu từ vùng này được thực hiện, máy chủ sẽ tải xuống một bản sao từ máy chủ DNS để yêu cầu được chuyển tiếp. Do đó, hoạt động này cũng không đảm bảo có được bản sao cập nhật của hồ sơ. Khi xem xét các tình huống có vấn đề, bạn nên tìm hiểu nguồn lực chính thứcđịa chỉ máy chủ NS của miền này và kiểm tra hồ sơ bằng tiện ích nslookup, kết nối với máy chủ NS tương ứng.
Để cập nhật bản ghi DNS trên máy khách, bạn phải xóa bộ đệm ẩn bản ghi DNS (ipconfig /flushdns).
Chuyển vùng
Đây là tên của hoạt động đặc biệt sao chép tất cả các bản ghi của một vùng nhất định từ máy chủ DNS này sang máy chủ DNS khác. Vì lý do bảo mật, việc chuyển vùng thường chỉ được phép tới danh sách địa chỉ IP máy chủ DNS do quản trị viên hệ thống xác định trước. Nếu thao tác chuyển vùng bị tắt thì bạn sẽ không thể tạo vùng phụ cho miền này trên máy chủ DNS của mình.
Phái đoàn khu vực
Ví dụ: nếu một vùng trực tiếp cho miền được tạo trên máy chủ DSN test.local, sau đó là bản ghi về tên miền cấp 3 cấp3.test.local phải được chứa trên cùng một máy chủ. Nếu về mặt địa lý tên miền cấp3.test.local bị xóa khỏi miền chính thì việc duy trì các bản ghi trong vùng của nó trên máy chủ DNS trở nên không thuận tiện cho lắm. Việc hướng dẫn quản trị viên của miền này tự thực hiện các thay đổi đối với bản ghi DNS sẽ dễ dàng hơn, việc này được thực hiện bằng cách sử dụng quy trình ủy quyền vùng. Khi một vùng được ủy quyền, máy chủ DNS sẽ tự tạo một bản ghi cho biết rằng các yêu cầu phân giải tên cho vùng đó sẽ được chuyển tiếp đến một máy chủ DNS khác mà vùng đó đã được ủy quyền.
Vùng sơ khai (vùng sơ khai)
Khi ủy quyền một khu vực cho máy chủ gốc thông tin về máy chủ MS của vùng được ủy quyền sẽ được lưu lại. Vì quản trị viên của vùng được ủy quyền có thể thay đổi bản ghi DNS của nó nên anh ta cũng có thể thay đổi bản ghi máy chủ NS. Nếu thay đổi phù hợp không được thực hiện đối với máy chủ đang thực hiện ủy quyền, quá trình phân giải tên sẽ bị hỏng (máy chủ chính vẫn sẽ gửi yêu cầu đến địa chỉ không còn tồn tại, dẫn đến phản hồi không chính xác). Để chỉnh sửa tình huống tương tự V. Máy chủ DNS Windows Server 2003 đã giới thiệu các vùng sơ khai. Khi một vùng sơ khai được tạo ra, các bản ghi NS của vùng được ủy quyền sẽ được xác định trong đó. Hơn nữa, nếu quản trị viên của vùng được ủy quyền thay đổi các bản ghi này thì những thay đổi tương ứng sẽ được thực hiện đối với các bản ghi của vùng sơ khai. Kết quả là tính toàn vẹn của quá trình phân giải tên được đảm bảo.
Vùng điểm
Tên miền cấp cao nhất, như đã viết, thường được gọi là “dot”. Nếu bạn tạo một vùng “dấu chấm” trong DNS, điều này thực sự có nghĩa là máy chủ này là gốc trong cấu trúc DNS, tức là nó phải giải quyết độc lập mọi truy vấn tên. Nếu máy chủ DNS này không thể phân giải tên thì phản hồi của nó sẽ là máy chủ đó không tồn tại.
Nếu cần thiết, chuyển tiếp truy vấn DNSđối với các máy chủ khác, vùng chấm sẽ bị xóa, sau đó có thể định cấu hình chuyển tiếp các yêu cầu DNS.
Các loại yêu cầu
Có hai loại truy vấn để phân giải tên trong DNS: lặp và đệ quy. Một truy vấn lặp lại được sử dụng để lấy từ máy chủ DNS mà nó được gửi đến câu trả lời tốt nhất có thể nhận được mà không cần liên hệ với các máy chủ DNS khác. Truy vấn đệ quy yêu cầu máy chủ DNS thực hiện tất cả các thao tác để phân giải tên. Thông thường, một vùng có tên này được tạo khi bạn cài đặt dịch vụ thư mục và đồng thời định cấu hình máy chủ DNS.
Quy trình phân giải tên DNS
Trình tự phân giải tên DNS. Quá trình xác định tên bằng các truy vấn lặp lại khá tốn công sức. Bạn cần tìm một máy chủ NS cho một miền nhất định và sau đó yêu cầu dữ liệu từ nó cho tên được yêu cầu. Thông thường, khách hàng “giao phó” tất cả các hoạt động này cho máy chủ DNS bằng cách gửi cho chúng một yêu cầu đệ quy. Máy chủ DNS tra cứu bộ đệm tên của chính nó sau khi nhận được truy vấn đệ quy. Nếu anh ta tìm thấy mục nhập mong muốn và nó chưa lỗi thời thì giá trị này sẽ được trả về cho khách hàng. Nếu không có mục nào, máy chủ sẽ cố gắng tìm máy chủ tên cho miền có trong yêu cầu. Để tìm một máy chủ như vậy, một yêu cầu luôn được gửi đến máy chủ gốc, thông tin về miền cấp một được lấy từ nó, thông tin về các máy chủ NS của miền cấp hai được lấy bằng yêu cầu tới miền cấp một , v.v. Sau đó, một yêu cầu lặp lại được gửi đến máy chủ NS của miền tương ứng. Đương nhiên, hầu hết thông tin từ miền gốc đã được lưu vào bộ nhớ đệm trên máy chủ này. Kết quả là các yêu cầu “không đến được” máy chủ gốc nhưng bản thân chuỗi phân giải tên luôn được thực thi từ gốc đến miền hiện tại. Thông thường, quản trị viên của máy chủ DNS cục bộ định cấu hình máy chủ của họ để chuyển tiếp yêu cầu phân giải tên đến một máy chủ DNS cụ thể (thường là máy chủ DNS của ISP). Như vậy, toàn bộ quy trình phân giải tên sẽ được thực hiện bởi một máy chủ khác. Vì các máy chủ Internet mạnh mẽ thường có bộ nhớ đệm lớn hơn đáng kể và kênh tốt nhất kết nối với mạng toàn cầu, thì bằng cách này sẽ giảm được thời gian phản hồi và giảm lưu lượng truy cập.
Xem trực tiếp cần thiết để phân giải tên miền thành địa chỉ IP, tra cứu ngược– để phân giải địa chỉ IP trong Tên miền.
Mỗi phân đoạn mạng phải có vùng tra cứu ngược. Cụ thể, nếu bạn có mạng con 192.168.10.0, 192.168.11.0 và 192.168.12.0, bạn nên có ba vùng tra cứu ngược.
Tên vùng tra cứu ngược tiêu chuẩn được tạo thành từ ID mạng theo thứ tự ngược lại và hậu tố in-addr.arpa. Vùng tra cứu ngược từ ví dụ trước sẽ được gọi là 10.168.192. in-addr.arpa, 11.168.192.in-addr.arpa và 12.168.192.in-addr.arpa. Bản ghi vùng tra cứu ngược và xuôi phải được đồng bộ hóa. Nếu đồng bộ hóa không thành công trong miền, xác thực có thể không thành công.
Để tạo vùng tra cứu ngược, hãy làm theo các bước sau:
1. Mở bảng điều khiển Trình quản lý DNS và kết nối với máy chủ mong muốn.
2. Nhấp chuột click chuột phải phần tử máy chủ và chọn lệnh Tạo một vùng mới (Vùng mới). Sẽ mở Thuật sĩ vùng mới. Nhấp chuột Kế tiếp.
3. Nếu bạn đang thiết lập một máy chủ chính được tích hợp với Thư mục hoạt động, đặt công tắc Khu chính và đảm bảo hộp kiểm được chọn . Nếu bạn không muốn tích hợp DNS vào Active Directory thì chọn nút radio Khu chính và bỏ chọn hộp Lưu trữ vùng trong Active Directory. Nhấp chuột Kế tiếp.
4. Nếu bạn đang định cấu hình vùng tra cứu ngược cho máy chủ phụ, hãy chọn nút radio Khu phụ và nhấp vào Kế tiếp.
5. Nếu bạn đang tích hợp một vùng với Active Directory, hãy chọn một trong các chiến lược sao chép sau:
Đối với tất cả các máy chủ DNS trong khu rừng này (Đó là Tất cả các máy chủ DNS trong khu rừng này)Đây là một chiến lược nhân rộng rộng rãi. Hãy nhớ rằng rừng Active Directory bao gồm tất cả các cây miền chia sẻ dữ liệu thư mục với miền hiện tại.
Đối với tất cả các máy chủ DNS trong miền này (Đó là Tất cả các máy chủ DNS trong miền này) Chọn chiến lược này để sao chép thông tin DNS trong miền hiện tại và các miền con của nó.
Đối với tất cả các bộ điều khiển miền trong miền này (Đó là Tất cả các bộ điều khiển miền trong miền này) Chọn chiến lược này nếu bạn muốn sao chép thông tin DNS tới tất cả các bộ điều khiển miền trong miền hiện tại và các miền con của nó. Mặc dù chiến lược này cho phép nhân rộng rộng rãi hơn thông tin DNS trong một miền, không phải mọi bộ điều khiển miền đều là máy chủ DNS (bạn không cần định cấu hình mọi bộ điều khiển miền làm máy chủ DNS).
6. Đặt công tắc Vùng tra cứu ngược. Nhấp chuột Kế tiếp.
7. Chỉ định địa chỉ nào bạn muốn tạo vùng tra cứu ngược (IPv4 hoặc IPv6) và nhấp vào Kế tiếp. Thực hiện một trong các hành động sau:
Nếu bạn đang thiết lập IPv4, hãy nhập ID mạng cho vùng tra cứu ngược. Các giá trị bạn nhập sẽ xác định tên mặc định cho vùng tra cứu ngược. Nhấp chuột Kế tiếp.
Nếu bạn đang thiết lập IPv6, hãy nhập tiền tố mạng cho vùng tra cứu ngược. Tên vùng được tạo tự động dựa trên các giá trị bạn nhập. Tùy thuộc vào tiền tố đã nhập, bạn có thể tạo tối đa tám vùng. Nhấp chuột Kế tiếp.
8. Nếu bạn đang thiết lập một cơ bản hoặc máy chủ bổ sung, không được tích hợp với Active Directory, chỉ định tên tệp vùng. Tên tệp mặc định cho cơ sở dữ liệu vùng DNS phải được nhập sẵn. Để nguyên hoặc nhập tên mới. Nhấp chuột Kế tiếp.
9. Chọn có cho phép hay không cập nhật động. Bạn có ba lựa chọn:
Chỉ cho phép cập nhật động an toàn Nếu vùng của bạn được tích hợp Active Directory, bạn có thể sử dụng ACL để giới hạn những máy khách nào có thể thực hiện cập nhật động. Nếu bạn chọn nút chuyển này, chỉ những khách hàng có tài khoản máy tính được xác thực và ACL được phê duyệt mới có thể cập nhật động các bản ghi tài nguyên.
Cho phép cả cập nhật động không an toàn và an toàn Chọn nút chuyển này để cho phép mọi máy khách cập nhật bản ghi tài nguyên của nó trong DNS khi có thay đổi.
Không cho phép cập nhật động Chuyển đổi này vô hiệu hóa cập nhật DNS động. Nó chỉ nên được sử dụng nếu vùng không được tích hợp với Active Directory.
Sau khi cài đặt các vùng tra cứu ngược, bạn cần đảm bảo rằng việc ủy quyền được xử lý chính xác cho vùng đó. Kết nối với phòng thông tin hoặc ISP của bạn để xác minh đăng ký vùng trong miền chính.
Hệ thống tên miền là cơ sở Internet hiện đại. Mọi người không muốn bận tâm đến việc ghi nhớ bộ số 63.245.217.105 mà muốn máy tính kết nối chúng với nút được chỉ định bằng tên mozilla.org. Đây là công việc mà máy chủ DNS thực hiện: chúng dịch yêu cầu của mọi người thành nội dung mà họ có thể hiểu được. định dạng kỹ thuật số. Tuy nhiên, trong một số trường hợp, có thể cần phải chuyển đổi địa chỉ IP đảo ngược → tên DNS. Những cái tên như vậy sẽ được thảo luận dưới đây.
Nó dùng để làm gì?
Việc có địa chỉ rDNS được cấu hình chính xác là hoàn toàn cần thiết để gửi tin nhắn từ máy chủ riêng thư công ty. Hầu như tất cả các máy chủ thư sẽ từ chối thư khi bắt đầu phiên nếu địa chỉ IP máy chủ của bạn không có mục nhập trong vùng DNS ngược. Nguyên nhân lỗi của máy chủ thư từ xa rất có thể sẽ được chỉ ra như sau:
550- "Địa chỉ IP không có bản ghi PTR (địa chỉ thành tên) trong DNS hoặc khi bản ghi PTR không có bản ghi A (tên thành địa chỉ) phù hợp. Vui lòng kiểm tra và sửa bản ghi DNS của bạn."
hoặc
550-Không có PTR tương ứng cho bạnĐịa chỉ IP (địa chỉ IP), bắt buộc phải là 550. Xin lỗi và tạm biệt.
hoặc đơn giản
550 IP của bạn không có bản ghi PTR
Số 550 trong cả ba trường hợp là mã chuẩn Thuộc về bưu điện máy chủ SMTP một báo cáo về lỗi nghiêm trọng, điều này ngăn cản không thể vượt qua công việc tiếp theo trong phiên thư này. Phải nói rằng nhìn chung mọi lỗi của dòng 500 đều nghiêm trọng và không thể tiếp tục gửi thư sau khi chúng xuất hiện. Văn bản giải thích lý do từ chối chi tiết hơn và nêu rõ rằng quản trị viên máy chủ thư- người nhận đã định cấu hình nó để kiểm tra xem máy chủ thư gửi có mục trong vùng DNS ngược (rDNS) hay không và nếu nó bị thiếu, máy chủ nhận có nghĩa vụ từ chối kết nối của người gửi (lỗi SMTP dòng 5XX).
Làm thế nào để thiết lập và sử dụng?
Chỉ chủ sở hữu khối địa chỉ IP tương ứng mà vùng này tương ứng mới có quyền định cấu hình vùng DNS ngược. Theo quy định, chủ sở hữu này là nhà cung cấp, người sở hữu hệ thống tự trị của riêng mình. Tìm hiểu thêm về việc đăng ký của bạn hệ thống tự trị(AS) và khối địa chỉ IP có thể được đọc trong bài viết này. Nói tóm lại, để đăng ký vùng DNS ngược, người vận hành khối địa chỉ IP phải đăng ký trong tài khoản cá nhân trên trang web RIPE, một đối tượng thuộc loại “miền”, chỉ định địa chỉ của máy chủ DNS sẽ hỗ trợ vùng rDNS và định cấu hình hỗ trợ cho vùng như 3.2.1.in-addr.arpa trên chúng. Một con trỏ, một bản ghi PTR, chịu trách nhiệm về các tài nguyên ở vùng đảo ngược. Đây là nơi yêu cầu phân giải địa chỉ IP thành tên máy chủ.
Nếu bạn không phải là chủ sở hữu hài lòng của một hệ thống tự trị, thì việc thiết lập rDNS cho địa chỉ IP hoặc địa chỉ máy chủ thư cho bạn sẽ bắt đầu và kết thúc bằng yêu cầu dịch vụ hỗ trợ của nhà cung cấp hoặc nhà cung cấp dịch vụ lưu trữ. Trong cả hai trường hợp, tên địa chỉ IP của máy chủ thư và đặc biệt là máy chủ thư của công ty phải được cung cấp một cách có ý nghĩa.
Ví dụ về tên hay cho máy chủ thư:
thư.domain.ru
mta.domain.ru
mx.domain.ru
Ví dụ về tên xấu:
máy chủ-192-168-0-1.domain.ru
khách hàng192-168-0-1.domain.ru
vpn-dailup-xdsl-clients.domain.ru
và những thứ tương tự. Những tên như vậy rất có thể bị lọc vì được gán cho các máy khách không thể cài đặt máy chủ thư và do đó thư rác được gửi từ chúng.
Bạn có thể và nên sử dụng thành công các truy vấn để đảo ngược vùng DNS ngay sau khi khởi động máy chủ thư. Để làm điều này, bạn chỉ cần thực hiện thiết lập nhỏ QUA. Trong các máy chủ thư khác nhau, việc thiết lập kiểm tra rDNS được thực hiện khác nhau:
từ chối_unknown_client
xác minh = Reverse_host_lookup
Trong phần đính vào Máy chủ Exgange, đi tới phần Máy chủ, sau đó chọn máy chủ trong danh sách mở rộng, chọn Giao thức, sau đó Giao thức SMTP, trong cửa sổ bên phải, chọn máy chủ SMTP và nhấp vào phím phải chọn chuột từ danh sách Thuộc tính. Tiếp theo, tab Gửi → Thực hiện tra cứu DNS ngược trên các tin nhắn đến
Giờ đây, tất cả thư từ các địa chỉ IP không có bản ghi DNS ngược (bản ghi loại PTR) sẽ bị từ chối và luồng thư rác sẽ giảm đáng kể. Có lẽ đây là phương pháp lọc thư rác đơn giản nhất, hiệu quả nhất và ít tiêu tốn tài nguyên nhất: kiểm tra DNS ngược sẽ loại bỏ phần lớn thư rác được gửi từ các máy tính bị nhiễm của người dùng thông thường vốn tạo nên mạng botnet của những kẻ gửi thư rác.
Khi xuất bản lại một bài viết, cần phải cài đặt một siêu liên kết được lập chỉ mục hoạt động đến trang nguồn - trang!
Vùng là cơ sở dữ liệu chứa thông tin chính thống về một vùng của không gian tên DNS. Khi bạn cài đặt máy chủ DNS với bộ điều khiển miền, vùng DNS sẽ tự động được tạo để hỗ trợ miền Active Directory. Nếu máy chủ DNS được cài đặt trên bộ điều khiển miền, máy chủ thành viên miền hoặc máy chủ độc lập thì các vùng phải được tạo và định cấu hình theo cách thủ công.
Bài học này mô tả cách tạo và cấu hình một vùng cũng như cung cấp thông tin cần thiết để cấu hình một vùng một cách chính xác.
Tạo vùng
Vùng DNS là cơ sở dữ liệu chứa các bản ghiliên kết tên với các địa chỉ trong vùng được mô tả của không gian tên DNS. Mặc dùđể trả lời các truy vấn tên, máy chủ DNS có thể sử dụng bộ nhớ đệmthông tin từ các máy chủ khác, anh ta chỉ được phép phản hồi các yêu cầu trongkhu vực do địa phương quản lý. Đối với bất kỳ phạm vi nào của không gian tên DNS,được biểu thị bằng một tên miền (ví dụ: google .ru), chỉ có mộtnguồn dữ liệu khu vực có thẩm quyền.
Nếu bạn cần tạo một vùng mới trên máy chủ DNS, bạn có thể sử dụng Trình hướng dẫn vùng mới trong Trình quản lý DNS. Để khởi chạy trình hướng dẫn, nhấp chuột phải vào biểu tượng máy chủ trong cây bảng điều khiển Trình quản lý DNS và sử dụng lệnh Vùng mới.
Trình hướng dẫn vùng mới chứa trang tiếp theo cấu hình:
■ Loại vùng;
■ Khu vực nhân rộng vùng, tích hợp V. Active Directory (Phạm vi sao chép vùng Active Directory);
■ Vùng tra cứu tiến hoặc lùi;
■ Tên khu vực;
■ Cập nhật động (Cập nhật động).
Các phần sau đây mô tả các khái niệm cấu hình liên quan đến năm trang hướng dẫn này.
Chọn loại vùng
Trên trang Loại vùng của Trình hướng dẫn vùng mới, bạn có thể chọn tạo vùng chính, vùng phụ hoặc vùng sơ khai. Bằng cách tạo vùng chính hoặc vùng sơ khai trên bộ điều khiển miền, bạn có thể lưu trữ dữ liệu vùng trong Active Directory.
* Khu vực chính
Loại vùng DNS phổ biến nhất là vùng Chính. Nó cung cấp dữ liệu đọc/ghi nguồn để cấp cho máy chủ DNS cục bộ quyền phản hồi các truy vấn DNS trong phạm vi không gian tên DNS.
Máy chủ DNS cục bộ quản lý vùng chính đóng vai trò là nguồn dữ liệu chính về vùng đó. Máy chủ lưu trữ bản sao chính của dữ liệu vùng trong một tệp cục bộ hoặc trong Dịch vụ miền Active Directory (AD DS). Nếu vùng được lưu vào một tệp chứ không phải vào Active Directory thì tên tệp mặc định là tên vùng.dns và được lưu trữ trong thư mục %systemroot%\System 32\Dns trên máy chủ.
*Các khu vực bổ sung
Cung cấp một bản sao có thẩm quyền, chỉ đọc của vùng chính hoặc một vùng bổ sung.
Các vùng phụ cung cấp khả năng giảm lượng lưu lượng truy vấn DNS trong các khu vực của mạng nơi dữ liệu vùng được truy vấn và sử dụng nhiều. Ngoài ra, nếu máy chủ quản lý vùng chính không khả dụng, vùng bổ sung có thể cung cấp độ phân giải tên cho đến khi máy chủ chính hoạt động trở lại.
Các vùng nguồn mà từ đó các vùng bổ sung nhận thông tin được gọi là vùng chính và quy trình sao chép dữ liệu để đảm bảo thông tin vùng được cập nhật thường xuyên được gọi là chuyển vùng. Vùng chính có thể là vùng chính hoặc vùng bổ sung khác. Một vùng chính có thể được gán cho một vùng bổ sung đang được tạo trong Trình hướng dẫn vùng mới. Vì vùng phụ là bản sao của vùng chính được quản lý bởi máy chủ khác nên vùng này không thể được lưu trữ trong Active Directory.
* Vùng sơ khai
Tương tự như vùng phụ, nhưng chứa các bản ghi tài nguyên cần thiết để xác định các máy chủ DNS có thẩm quyền trong vùng chính. Các vùng sơ khai thường được sử dụng để cho phép vùng chính (ví dụ: google .ru) sử dụng danh sách cập nhật các máy chủ tên có sẵn trong vùng con được ủy quyền (ví dụ: dịch .google .ru). Chúng cũng phục vụ để cải thiện độ phân giải tên và đơn giản hóa việc quản trị DNS.
* Lưu trữ các khu vực trongTích cựcDanh mục
Khi bạn tạo một vùng chính hoặc một vùng sơ khai trên bộ điều khiển miền, trên trang Loại vùng của trình hướng dẫn, bạn có thể chọn tùy chọn lưu vùng trong Active Directory. Dữ liệu vùng tích hợp Active Directory được tự động sao chép sang Active Directory theo các cài đặt đã chọn trên trang Phạm vi sao chép vùng Active Directory. Nhờ tùy chọn này, không cần phải định cấu hình chuyển vùng sang các máy chủ bổ sung.
Việc tích hợp vùng DNS vào Active Directory mang lại một số lợi ích. Đầu tiên, vì các dịch vụ Active Directory thực hiện sao chép vùng nên không cần phải cấu hình cơ chế chuyển vùng DNS riêng giữa máy chủ chính và máy chủ phụ. Sao chép nhiều mạng tự động cung cấp khả năng chịu lỗi và cải thiện hiệu suất do có sẵn nhiều máy chủ chính đọc/ghi. Thứ hai, Active Directory cho phép bạn cập nhật và sao chép các thuộc tính riêng lẻ của bản ghi tài nguyên trên máy chủ DNS vì nhiều bản ghi tài nguyên hoàn chỉnh không được chuyển tải nên tải sẽ tiếp tục. tài nguyên mạng trong quá trình chuyển vùng. Cuối cùng, các vùng tích hợp Active Directory cũng cung cấp các yêu cầu bảo mật cập nhật động tùy chọn, có thể được cấu hình trên trang Cập nhật động của Trình hướng dẫn vùng mới.
GHI CHÚ: Bộ điều khiển miền và vùng chỉ đọc được tích hợp với Active Directory
Trên bộ điều khiển miền truyền thống, bản sao của vùng được cấp quyền đọc/ghi. Trên bộ điều khiển miền chỉ đọc (RODC), bản sao vùng được gán quyền chỉ đọc.
* Vùng tiêu chuẩn
Khi bạn tạo một vùng trên bộ điều khiển miền, tùy chọn lưu vùng trong Active Directory trên trang Loại vùng được chọn theo mặc định. Tuy nhiên, bạn có thể bỏ chọn hộp kiểm này và tạo ra cái gọi là vùng tiêu chuẩn. Trên máy chủ không phải là bộ điều khiển miền, bạn chỉ có thể tạo vùng tiêu chuẩn và hộp kiểm trên trang này có màu xám.
Không giống như vùng tích hợp Active Directory, vùng tiêu chuẩn lưu trữ dữ liệu của nó trong tập tin văn bản trên máy chủ DNS cục bộ. Ngoài ra, nếu bạn sử dụng vùng tiêu chuẩn, bạn chỉ có thể đặt cấu hình bản sao chính có quyền đọc và ghi đối với dữ liệu vùng. Tất cả các bản sao khác của vùng (vùng bổ sung) được chỉ định quyền chỉ đọc.
Mô hình vùng tiêu chuẩn giả định một điểm lỗi duy nhất đối với phiên bản có thể ghi của vùng. Nếu vùng chính không có sẵn trên mạng thì không thể thực hiện thay đổi nào đối với vùng đó. Tuy nhiên, yêu cầu về tên trong một khu vực có thể không bị gián đoạn khi có các khu vực bổ sung.
Chọn phạm vi sao chép vùng được tích hợp trongTích cựcDanh mục
Trên trang Phạm vi sao chép vùng Active Directory của Trình hướng dẫn vùng mới, bạn có thể chọn bộ điều khiển miền trên mạng của mình để lưu dữ liệu vùng vào. Trang này chỉ xuất hiện khi bạn chọn tùy chọn lưu vùng và Active Directory. Các tùy chọn lựa chọn phạm vi sao chép vùng xác định các bộ điều khiển miền trong đó dữ liệu vùng sẽ được sao chép.
Trang này cung cấp các tùy chọn sau:
■ Tính bền vững của vùng trên tất cả các bộ điều khiển miền, cũng là máy chủ DNS, trong toàn bộ khu rừng Active Directory;
■ Tính kiên trì của vùng trên tất cả các bộ điều khiển miền cũng đóng vai trò là máy chủ DNS và tên miền địa phương Thư mục hoạt động;
■ Bảo toàn vùng trên tất cả các bộ điều khiển miền và miền Active Directory cục bộ (được sử dụng để tương thích với Windows 2000);
■ Bảo toàn vùng trên tất cả các bộ điều khiển miền được chỉ định và phạm vi của phân vùng thư mục Active Directory tùy chỉnh.
Các tùy chọn này được mô tả chi tiết hơn trong chủ đề thứ hai.
Tạo vùng tra cứu tiến và lùi
Trên trang Vùng tra cứu tiến hoặc lùi của Trình hướng dẫn vùng mới, bạn phải chọn loại vùng sẽ được tạo; Vùng tra cứu chuyển tiếp hoặc Vùng tra cứu ngược.
Trong vùng tra cứu chuyển tiếp, máy chủ DNS ánh xạ FQDN tới địa chỉ IP. Trong vùng tra cứu ngược, máy chủ DNS ánh xạ địa chỉ IP tới FQDN. Do đó, các vùng tra cứu chuyển tiếp đáp ứng các yêu cầu phân giải FQDN thành địa chỉ IP và các vùng tra cứu ngược đáp ứng các yêu cầu phân giải địa chỉ IP thành FQDN. Lưu ý rằng các vùng tra cứu chuyển tiếp được đặt tên theo tên miền D NS mà quyền được thực thi. ví dụ google.com. Các vùng tra cứu ngược được đặt tên theo thứ tự ngược lại của ba octet đầu tiên của không gian địa chỉ mà độ phân giải tên được cung cấp, cộng với thẻ in-addr.arpa bổ sung. Ví dụ: nếu bạn phân giải tên cho mạng con 192.168.1.0/24 thì vùng tra cứu ngược sẽ là 1.168.192.in-addr.arpa. Trong vùng tra cứu chuyển tiếp, bản ghi cơ sở dữ liệu riêng lẻ ánh xạ tên máy chủ tới địa chỉ được gọi là bản ghi nút(MỘT). Trong vùng tra cứu ngược, mục nhập cơ sở dữ liệu riêng lẻ ánh xạ địa chỉ IP tới tên máy chủ được gọi con trỏ hoặc bản ghi PTR.
Nguyên tắc hoạt động tra cứu tiến và lùi của tôi được thể hiện trong hình.
Vùng nhìn về phía trước
Vùng tra cứu ngược
GHI CHÚ: Trình hướng dẫn thiết lập máy chủ DNS
Bạn có thể sử dụng Trình hướng dẫn Định cấu hình Máy chủ DNS để tạo các vùng tra cứu chuyển tiếp và đảo ngược cùng một lúc. Để khởi động trình hướng dẫn, trong cây bảng điều khiển Trình quản lý DNS, nhấp chuột phải vào biểu tượng máy chủ và chọn Cấu hình máy chủ DNS.
Chọn tên vùng
Trên trang Tên vùng của Trình hướng dẫn vùng mới, bạn có thể chọn tên cho vùng tra cứu chuyển tiếp sẽ được tạo. Các vùng tra cứu ngược được đặt tên đặc biệt dựa trên phạm vi địa chỉ IP mà chúng có thẩm quyền.
Nếu bạn đang tạo một vùng để phân giải tên trong miền Active Directory, tốt nhất bạn nên chỉ định tên vùng khớp với tên miền Active Directory. Ví dụ: nếu một tổ chức có hai miền Active Directory có tên là google.ru và Translate.google.ru thì cơ sở hạ tầng phân giải tên phải bao gồm hai vùng được đặt tên theo các tên miền đó.
Nếu bạn đang tạo một vùng cho vùng tên DNS không nằm trong môi trường ActiveDirectory, bạn phải chỉ định tên miền Internet của tổ chức, chẳng hạn như wikipedia .org.
GHI CHÚ: Phép cộngMáy chủ DNS cho mỗi bộ điều khiển miền
Để thêm máy chủ DNS vào bộ điều khiển hiện có miền, thông thường một bản sao của vùng chính sẽ được thêm vào để cung cấp khả năng phân giải tên trong miền Active Directory cục bộ. Để thực hiện việc này, bạn chỉ cần tạo một vùng có tên khớp với tên của vùng hiện có trong miền Active Directory cục bộ. Vùng mới sẽ được điền dữ liệu từ các máy chủ DNS khác trong miền.
Định cấu hình cài đặt cập nhật động
Khách hàng máy tính DNS có thể đăng ký và cập nhật động các bản ghi tài nguyên của họ bằng máy chủ DNS. Theo mặc định, máy khách DNS có địa chỉ IP tĩnh cập nhật bản ghi máy chủ (A hoặc AAAA) và con trỏ (PTR), trong khi máy khách DNS là máy khách DHCP chỉ cập nhật bản ghi máy chủ. Trong môi trường nhóm làm việc Máy chủ DHCP cập nhật các mục con trỏ thay mặt cho máy khách DHCP bất cứ khi nào cấu hình IP được cập nhật.
Để cập nhật DNS động thành công, vùng mà khách hàng đăng ký hoặc cập nhật bản ghi phải được cấu hình để chấp nhận các bản cập nhật động. Có hai loại bản cập nhật này:
■ An toàncập nhật (Chắc chắncập nhật)
Cho phép bạn chỉ thực hiện đăng ký từ các máy tính trong miền Active Directory và chỉ cập nhật từ máy tính thực hiện đăng ký ban đầu.
■ Không an toàncập nhật (Không an toàncập nhật)
Cho phép bạn cập nhật từ bất kỳ máy tính nào.
Trên trang Cập nhật động của Trình hướng dẫn vùng mới, bạn có thể cho phép cập nhật động an toàn, không an toàn hoặc tắt hoàn toàn các bản cập nhật cho vùng bạn đang tạo.
Phân tích bản ghi tài nguyên tích hợp
Khi bạn tạo một vùng mới, hai loại bản ghi sẽ được tạo tự động. Đầu tiên, một vùng như vậy luôn bao gồm bản ghi vùng SOA (Start Of Authority) ban đầu xác định các thuộc tính cơ bản của vùng. Ngoài ra, các vùng mới chứa ít nhất một bản ghi NS (Máy chủ tên) chỉ định tên của (các) máy chủ có thẩm quyền của vùng. Phần sau đây mô tả chức năng của hai bản ghi tài nguyên này.
Các mục nhập vùng ban đầu
Khi tải một vùng, máy chủ DNS sử dụng bản ghi SOA (Bắt đầu ủy quyền) của vùng đó để xác định các thuộc tính và quyền hạn cơ bản của vùng đó. Các tham số này cũng đặc trưng cho tần suất chuyển vùng giữa máy chủ chính và máy chủ bổ sung. Bấm đúp vào một mục SOA sẽ mở tab Bắt đầu ủy quyền (SOA) của hộp thoại thuộc tính vùng.
■ nối tiếpsố (Số sê-ri)
Trường văn bản này trên tab Bản ghi vùng ban đầu (SOA) chứa số sửa đổi của tệp vùng. Số được chỉ định ở đây tăng lên mỗi khi bản ghi tài nguyên trong vùng thay đổi. Nó cũng có thể được tăng lên một cách thủ công bằng cách sử dụng nút Tăng.
Nếu các vùng được định cấu hình để thực hiện chuyển vùng sang một hoặc nhiều máy chủ phụ thì các máy chủ phụ đó sẽ truy vấn định kỳ máy chủ chính để biết số sê-ri của vùng. Những yêu cầu này được gọi là yêu cầu SOA. Nếu yêu cầu SOA nhận được số sê-ri của vùng chính bằng với số sê-ri của vùng phụ thì quá trình truyền không thành công. Nếu số sê-ri vùng trên máy chủ chính lớn hơn giá trị tương ứng trên máy chủ phụ yêu cầu thì máy chủ phụ sẽ bắt đầu chuyển vùng.
GHI CHÚ: Chuyển vùng trên máy chủ chính
Nhấp vào nút Tăng sẽ bắt đầu chuyển vùng.
■ Nền tảngmáy chủ (Sơ đẳngMáy chủ)
■ Chịu trách nhiệmNgười có trách nhiệm
Trường này là nơi bạn nhập tên Người chịu trách nhiệm (RP) tương ứng với hộp thư miền của quản trị viên vùng. Tên được nhập vào trường này phải luôn kết thúc bằng dấu chấm. Tên mặc định là chủ nhà.
■ Khoảng thời giancập nhật (Khoảng thời gian làm mới)
Giá trị trong trường này xác định thời gian máy chủ DNS phụ chờ trước khi yêu cầu cập nhật vùng trên máy chủ chính. Sau khi hết khoảng thời gian cập nhật, máy chủ DNS phụ sẽ truy vấn máy chủ chính để lấy bản sao của bản ghi SOA hiện tại. Sau khi nhận được phản hồi, máy chủ DNS phụ sẽ so sánh số sê-ri của bản ghi SOA hiện tại của máy chủ chính (được chỉ định trong phản hồi) với số seri mục SOA cục bộ của bạn. Nếu các giá trị này khác nhau, máy chủ DNS phụ sẽ yêu cầu chuyển vùng từ máy chủ DNS chính. Khoảng thời gian cập nhật mặc định là 15 phút.
■ Khoảng thời gianKhoảng thời gian thử lại
■ Thuật ngữhết hạnSau (Hết hạn sau)
Giá trị trong trường này xác định lượng thời gian mà máy chủ phụ tiếp tục thực hiện các truy vấn máy khách DNS mà không liên hệ với máy chủ chính. Sau thời gian này, dữ liệu được coi là không đáng tin cậy. Theo mặc định, cài đặt này được đặt thành một ngày.
■ tối thiểuthuật ngữcuộc sống TTL (Tối thiểu (Mặc định)TTL)
Giá trị TTL không áp dụng cho các bản ghi tài nguyên trong vùng có thẩm quyền. Và các vùng này sử dụng thời gian tồn tại của bộ đệm ghi tài nguyên trên các máy chủ không có thẩm quyền cho các giá trị TTL. Máy chủ DNS đã lưu bản ghi tài nguyên vào bộ nhớ đệm từ yêu cầu trước đó sẽ đặt lại bản ghi đó nhưng TTL của bản ghi đã hết hạn.
■ Thuật ngữ mạng sống(TTL)Hồ sơ(TTL cho bản ghi này)
Giá trị được chỉ định trong trường này xác định thời gian tồn tại của mục nhập SOA hiện tại. Giá trị này thay thế giá trị mặc định được chỉ định trong trường trước đó.
Bản ghi máy chủ tên
Bản ghi máy chủ tên (NS) chỉ định máy chủ có thẩm quyền cho vùng. Khi tạo một vùng trong máy chủ Windows 2008, mỗi máy chủ quản lý bản sao chính của vùng tích hợp Active Directory sẽ nhận được mục nhập riêng NS trong vùng mặc định mới. Khi bạn tạo vùng chính tiêu chuẩn, bản ghi NS máy chủ cục bộ sẽ được thêm theo mặc định.
Đối với các máy chủ quản lý các vùng bổ sung, bạn phải thêm bản ghi NS theo cách thủ công vào bản sao chính của vùng.
Bản ghi NS được tạo bằng quy trình khác với khi tạo các loại bản ghi tài nguyên khác. Để thêm bản ghi NS, trong Trình quản lý DNS, bấm đúp vào bất kỳ mục hiện có NS. Tab Máy chủ Tên của hộp thoại thuộc tính vùng sẽ mở ra. Trên tab Máy chủ tên, bấm vào nút Thêm để thêm FQDN và địa chỉ IP của máy chủ quản lý vùng phụ của vùng chính cục bộ. Bằng cách thêm máy chủ mới, nhấp OK - một bản ghi NS mới sẽ xuất hiện trong Trình quản lý DNS cho biết máy chủ này.
GHI CHÚ: Cho phép truyền tới các vùng bổ sung
Vùng phụ không nhận ra mục này là máy chủ tên hợp lệ miễn là nó chứa bản sao hợp lệ của dữ liệu vùng. Để một vùng bổ sung nhận được dữ liệu này, việc chuyển vùng phải được bật cho máy chủ đó trên tab Chuyển vùng của hộp thoại thuộc tính của vùng. Tab này được mô tả chi tiết hơn trong chủ đề tiếp theo.
Dưới đây là ví dụ về mục được tạo trong tệp vùng tiêu chuẩn:
@NS dns1.lucernepublishing.com.
Ký hiệu @ đại diện cho vùng được xác định bởi mục SOA trong tệp vùng. Sau đó hồ sơ đầy đủánh xạ miền wikipedia.org tới máy chủ DNS dns1.wikipedia.org.
Tạo bản ghi tài nguyên
Ngoài các bản ghi SOA và NS, một số bản ghi tài nguyên khác cũng được tạo tự động. Ví dụ: trong quá trình cài đặt máy chủ DNS mới, khi máy chủ được chỉ định làm bộ điều khiển miền, nhiều bản ghi SRV Dịch vụ miền Active Directory (AD DS) sẽ được tạo tự động trong vùng được quản lý cục bộ. Ngoài ra, thông qua cập nhật động, nhiều máy khách DNS tự động đăng ký các bản ghi máy chủ (A và AAAA) và con trỏ (PTR) trong vùng theo mặc định.
Mặc dù nhiều bản ghi tài nguyên được tạo tự động nhưng môi trường doanh nghiệp thường yêu cầu một số bản ghi tài nguyên được tạo thủ công, chẳng hạn như MX (Bộ trao đổi thư) cho máy chủ thư, bí danh (CNAME) cho máy chủ ứng dụng và web cũng như bản ghi máy chủ cho máy chủ và máy khách. không thể thực hiện cập nhật của riêng họ.
Để thêm bản ghi tài nguyên cho một vùng theo cách thủ công, trong bảng điều khiển Trình quản lý DNS, nhấp chuột phải vào biểu tượng vùng và chọn loại bản ghi cần tạo từ menu ngữ cảnh.
Sau khi bạn chọn một mục từ menu ngữ cảnh, một hộp thoại sẽ mở ra nơi bạn có thể chỉ định tên mục nhập và máy tính được liên kết với nó. Lưu ý rằng chỉ các bản ghi máy chủ mới liên kết tên máy tính với địa chỉ IP. Hầu hết các loại bản ghi đều liên kết tên dịch vụ hoặc bí danh với bản ghi máy chủ ban đầu. Do đó, bản ghi MX dựa vào sự hiện diện của nút SRV 12.nwtraders .msft trong khu vực của bản ghi.
Các loại bài đăng
Sau đây là các bản ghi tài nguyên phổ biến được tạo thủ công:
■ nút (MỘThoặcALA);
■ tên nick (CNAME);
■ thưtrao đổi (MX);
■ con trỏ (PTR);
■ vị trídịch vụ (SRV).
Nút thắt (A hoặc AAAA)
Đối với hầu hết các mạng, phần lớn các bản ghi tài nguyên trong cơ sở dữ liệu vùng là các bản ghi tài nguyên máy chủ. Những bản ghi này được sử dụng trong một vùng để liên kết tên máy tính (tên máy chủ) với địa chỉ IP.
Ngay cả khi bật cập nhật động cho các vùng, một số trường hợp nhập máy chủ sẽ yêu cầu bạn thêm các mục vào vùng theo cách thủ công. Trong hình bên dưới, Contoso, Inc. sử dụng tên miền contoso.com trong không gian tên công cộng và miền Active Directory nội bộ. Trong trường hợp này, máy chủ web công cộng www.contoso.com nằm bên ngoài miền Active Directory và chỉ thực hiện cập nhật cho máy chủ DNS công cộng có thẩm quyền contoso.com. Nhưng các máy khách nội bộ sẽ chuyển tiếp yêu cầu DNS của họ tới các máy chủ DNS nội bộ. Vì bản ghi www .contoso .com không được cập nhật động trên các máy chủ DNS nội bộ nên nó được thêm thủ công để các máy khách nội bộ có thể phân giải tên và kết nối với máy chủ Web công cộng.
Các mục lưu trữ có thể được thêm thủ công nếu mạng sử dụng máy chủ UNIX. Ví dụ: Fabrikam, Inc. có trong nó Mạng riêng tư một miền Active Directory có tên fabrikam,com. Mạng này cũng bao gồm máy chủ UNIX App1.fabrikam, com, chạy ứng dụng quan trọngđể thực hiện các hoạt động hàng ngày của công ty. Vì máy chủ UNIX không thể thực hiện cập nhật động nên bạn sẽ phải thêm bản ghi máy chủ máy chủ App1 theo cách thủ công vào máy chủ DNS quản lý vùng fabrikam.com. Nếu không, người dùng sẽ không thể kết nối với máy chủ ứng dụng bằng cách chỉ định FQDN của nó.
Bí danh (CNAME)
Những mục này đôi khi được gọi là tên chuẩn. Chúng cho phép sử dụng nhiều tên để chỉ một nút. Ví dụ: tên máy chủ nổi tiếng (ftp, www) thường được đăng ký bằng bản ghi CNAME. Những bản ghi này ánh xạ tên máy chủ tương ứng với dịch vụ của chúng với bản ghi thực tế của AComputer kiểm soát dịch vụ.
■ Khi bạn muốn đổi tên một nút được chỉ định trong bản ghi A của cùng một vùng.
■ Khi tên nhóm của một máy chủ đã biết (chẳng hạn như www) cần được phân giải thành nhóm máy tính cá nhân(mỗi bản ghi chứa các bản ghi A riêng lẻ) cung cấp cùng một dịch vụ (ví dụ: một nhóm máy chủ web dự phòng).
Trao đổi bưu chính (MX)
Những bản ghi này được sử dụng bởi các ứng dụng E-mailđể bản địa hóa máy chủ thư trong vùng. Chúng cho phép bạn so khớp tên miền được chỉ định trong địa chỉ email với bản ghi của Máy tính điều khiển máy chủ thư trong miền. Do đó, loại bản ghi này cho phép máy chủ DNS xử lý các địa chỉ email không được chỉ định máy chủ thư.
Thông thường, bản ghi MX được tạo để cung cấp khả năng chuyển đổi dự phòng sang máy chủ thư khác trong trường hợp máy chủ ưu tiên không khả dụng.
Nhiều máy chủ được gán giá trị ưu tiên. Giá trị này càng thấp thì thứ tự ưu tiên của máy chủ càng cao.
GHI CHÚ: Biểu tượng @
TRONG trong ví dụ này Ký hiệu @ đại diện cho tên miền cục bộ có trong địa chỉ email.
Con trỏPTR
Mục nhập này chỉ được sử dụng trong các vùng tra cứu ngược để hỗ trợ tra cứu ngược xảy ra khi phân giải địa chỉ IP thành tên máy chủ hoặc FQDN. Tra cứu ngược được thực hiện trên vùng gốc của miền in -addr .arpa. Bản ghi PTR có thể được thêm vào vùng theo cách thủ công hoặc tự động.
Dưới đây là ví dụ trình bày văn bản trong tệp vùng của bản ghi PTR được tạo trong Trình quản lý DNS để ánh xạ địa chỉ IP 192.168.0.99 tới máy chủ tên máy chủ 1.google.ru:
99 PTRmáy chủ 1.Google.ru.
GHI CHÚ: Kỷ lục số 99PRT
Trong vùng tra cứu ngược, octet cuối cùng của địa chỉ IPv4 tương đương với tên máy chủ. Do đó, số 99 đại diện cho tên được gán cho nút bên trong vùng 0.168.192.in -addr .arpa. Vùng này tương ứng với mạng con 192.168.0.0.
Địa điểm phục vụCHXHCNVN
bài viết SRV được sử dụng để chỉ ra vị trí của các dịch vụ trong một miền. Ứng dụng khách Sử dụng SRV, DNS có thể truy xuất bản ghi SRV của máy chủ ứng dụng.
Một ứng dụng sử dụng SRV là Windows Server 2008 Active Directory. Dịch vụ đăng nhập mạng Netlogon sử dụng bản ghi SRV để định vị bộ điều khiển miền bằng cách tìm kiếm miền Giao thức truy cập thư mục nhẹ Active Directory (LDAP). DNSđể cải thiện khả năng chịu lỗi hoặc khắc phục sự cố các dịch vụ mạng.
Bao gồmDNS để phân giảiTHẮNG
Trên tab WINS của cửa sổ thuộc tính vùng, bạn có thể chỉ định máy chủ WINS mà dịch vụ Máy chủ DNS sẽ liên hệ để tra cứu các tên mà các truy vấn DNS không tìm thấy. Khi bạn chỉ định một máy chủ WINS trên tab WINS của hộp thoại Thuộc tính vùng tra cứu chuyển tiếp, một mục nhập WINS đặc biệt sẽ được thêm vào vùng đó tham chiếu đến máy chủ WINS đó. Khi bạn chỉ định một máy chủ WINS trên tab WINS của hộp thoại thuộc tính vùng tra cứu ngược, một mục nhập WINS -R đặc biệt sẽ được thêm vào vùng để xác định máy chủ WINS đó.
Ví dụ: nếu máy khách DNS yêu cầu tên ClientZ .contoso .com và máy chủ DNS ưa thích không thể tìm thấy câu trả lời từ các nguồn thông thường (bộ đệm, dữ liệu vùng cục bộ và bằng cách thăm dò các máy chủ khác), thì máy chủ sẽ yêu cầu tên CLIENTZ . trên máy chủ WINS được chỉ định trong bản ghi WINS. Nếu máy chủ WINS phản hồi truy vấn, máy chủ DNS sẽ trả lời phản hồi của nó cho máy khách.
Làm sạch và xóa các bản ghi lỗi thời
Dấu thời gian được sử dụng trong DNS để theo dõi tuổi của các bản ghi tài nguyên được đăng ký động. Xóa bản ghi cũ là quá trình loại bỏ các bản ghi lỗi thời bằng dấu thời gian. Việc xóa chỉ có thể được thực hiện nếu sử dụng dấu thời gian. Dấu thời gian và quá trình lọc hoạt động cùng nhau để loại bỏ các bản ghi cũ có thể đã tích lũy trong một vùng theo thời gian. Theo mặc định, dấu thời gian và quá trình lọc bị tắt.
Kích hoạt tính năng dọn dẹp
Để bật tính năng quét cho một vùng riêng lẻ, bạn phải bật tính năng này ở cấp máy chủ và cấp vùng.
Để kích hoạt tính năng quét rác cấp máy chủ, trong cây bảng điều khiển Trình quản lý DNS, nhấp chuột phải vào biểu tượng máy chủ và sử dụng lệnh Set Aging /Scavenging For All Zones. Sau đó, trong hộp thoại Thuộc tính lão hóa / thu dọn máy chủ mở ra, hãy chọn hộp kiểm Bản ghi tài nguyên cũ của Scavenge. Mặc dù cài đặt này cho phép gắn dấu thời gian và dọn dẹp ở cấp độ máy chủ cho tất cả các vùng mới, nhưng nó không cho phép gắn dấu thời gian và dọn dẹp các vùng tích hợp Active Directory hiện có.
Để bật chúng, hãy bấm OK, sau đó trong hộp thoại Xác nhận Lão hóa/Xác nhận Quét Máy chủ mở ra, hãy chọn hộp kiểm để áp dụng các cài đặt này cho các vùng tích hợp Active Directory hiện có.
Để bật dấu thời gian và dọn dẹp cấp vùng, hãy mở Thuộc tính vùng, sau đó trên tab Chung, nhấp vào nút Lão hóa. Trong hộp thoại Thuộc tính lão hóa/loại bỏ vùng mở ra, hãy chọn hộp kiểm Bản ghi tài nguyên cũ của Scavenge.
Dấu thời gian Máy chủ DNS thực hiện quét bằng cách sử dụng dấu thời gian được đặt trên các bản ghi tài nguyên trong vùng. Các vùng tích hợp Active Directory đặt giá trị dấu thời gian cho các mục được ghi động theo mặc định trước khi bật tính năng lọc. Tuy nhiên, các vùng tiêu chuẩn cơ bản chỉ đặt dấu thời gian cho các mục được ghi động trong vùng sau khi bật tính năng lọc. Bản ghi tài nguyên được tạo thủ công cho tất cả các loại vùng được gán dấu thời gian là 0; điều này có nghĩa là tuổi của họ sẽ không được xác định.— đây là thời gian giữa lần cập nhật tem cuối cùng và thời điểm có thể thực hiện được cập nhật tiếp theo. Việc chặn ngăn máy chủ xử lý các cập nhật không cần thiết và giảm lượng lưu lượng truy cập. Khoảng thời gian chặn mặc định là 7 ngày.
■ sửa đổikhoảng thời giancập nhật
Khoảng thời gian cập nhật là khoảng thời gian giữa thời điểm sớm nhất dấu thời gian được cập nhật và thời điểm bắt đầu dọn dẹp bản ghi thời gian sớm nhất. Sau khi chặn và cập nhật khoảng thời gian, các mục có thể bị xóa khỏi vùng. Theo mặc định, khoảng thời gian là 7 ngày. Do đó, nếu dấu thời gian được bật, các bản ghi tài nguyên được ghi động có thể bị xóa sau 14 ngày.
Thực hiện dọn dẹp
Việc làm sạch được thực hiện trong vùng một cách tự động hoặc thủ công. Để tự động thực hiện dọn dẹp, bạn phải kích hoạt tính năng tự động xóa các bản ghi tài nguyên lỗi thời trên tab Nâng cao của hộp thoại thuộc tính máy chủ DNS.
Nếu tùy chọn này không được bật, bạn có thể thực hiện dọn dẹp vùng theo cách thủ công bằng cách nhấp chuột phải vào biểu tượng máy chủ trong cây bảng điều khiển Trình quản lý DNS và sử dụng lệnh Scavenge Stale Resource Records.
Tên toàn cầu của vùng
Đã bật trong Windows Server 2008 thành phần mới, cho phép tất cả các máy khách DNS trong nhóm Active Directory sử dụng tên từ cùng một nhãn, chẳng hạn như Thư, để kết nối với tài nguyên máy chủ. Thành phần này hữu ích nếu danh sách tra cứu hậu tố DNS mặc định cho máy khách DNS không cho phép người dùng nhanh chóng (hoặc hoàn toàn) kết nối với tài nguyên bằng tên nhãn đơn đó.
Máy chủ DNS trong Windows Server 2008 cho phép bạn tạo một vùng GlobalNames. Theo mặc định, vùng GlobalNames không tồn tại, nhưng bằng cách triển khai một vùng có tên này, bạn có thể cung cấp quyền truy cập vào các tài nguyên đã chọn bằng các tên nhãn đơn mà không cần sử dụng WINS. Thông thường, tên nhãn đơn được gán cho các máy chủ quan trọng và được sử dụng rộng rãi đã được gán địa chỉ IP tĩnh. Tên toàn cầu đang bật máy chủ từ xa, thay vì dấu chấm, hãy nhập tên của máy chủ từ xa.
■ Sự sáng tạoVùng GlobalNames
Bước tiếp theo trong việc triển khai vùng GlobalNames là tạo một vùng cho máy chủ DNS đóng vai trò là bộ điều khiển miền Windows Server 2008. Vùng GlobalNames không phải là một loại vùng đặc biệt mà là vùng tra cứu chuyển tiếp tích hợp Active Directory được gọi là GlobalNames. . Khi bạn tạo một vùng, hãy chọn sao chép dữ liệu vùng cho tất cả các máy chủ DNS trong forest. Tùy chọn này nằm trên trang phạm vi sao chép vùng tích hợp Active Directory (để bật độ phân giải tên nhãn đơn, hãy tạo bản ghi bí danh tài nguyên (CNAME) trong vùng GlobalNames. Tên được gán cho mỗi bản ghi CNAME đại diện cho tên nhãn đơn mà người dùng có thể sử dụng để kết nối với một tài nguyên. Lưu ý rằng mỗi bản ghi CNAME chỉ định một bản ghi máy chủ ở một vùng khác.
Để máy chủ thư hoạt động bình thường, điều quan trọng là phải có vùng được cấu hình đúng. Thiết lập vùng DNS là một trong những hoạt động chuẩn bị trước khi triển khai máy chủ thư và hiệu suất của hệ thống email phụ thuộc trực tiếp vào nó.
Cài đặt không chính xác có thể dẫn đến việc thư không thể được gửi tới máy chủ thư của bạn hoặc máy chủ người nhận từ chối thư của bạn. Thật vậy, nếu bản ghi vùng của bạn không chứa thông tin về máy chủ thư thì thư sẽ được gửi ở đâu? Đến làng của ông nội? Tất nhiên, bạn có thể yêu cầu nhà cung cấp của mình định cấu hình vùng DNS, nhưng tốt hơn hết bạn nên tự làm việc đó.
Chúng ta cần gì? Địa chỉ IP chuyên dụng (giả sử là 11.22.33.44) mà bạn phải lấy từ nhà cung cấp của mình. Một tên miền (ví dụ example.com) có thể được đăng ký với bất kỳ nhà đăng ký nào hoặc đối tác của họ. Khi đăng ký với đối tác, hãy kiểm tra xem anh ta có cung cấp quyền truy cập vào quản lý vùng DNS hay không, nếu không bạn sẽ phải chi tiêu Thêm thời gian, thần kinh và tiền bạc để chuyển tên miền cho nhà đăng ký.
Nếu bạn đã có miền và rất có thể có một trang web hoạt động trên miền đó, hãy kiểm tra xem liệu có khả thi không quản lý DNS vùng từ bảng điều khiển của nhà cung cấp dịch vụ lưu trữ, nếu không, tốt hơn hết bạn nên chuyển tên miền cho nhà đăng ký; để thực hiện việc này, hãy liên hệ với bộ phận hỗ trợ của nhà cung cấp.
Vì vậy, chúng tôi có một tên miền. Vùng DNS của nó chứa những bản ghi nào? Đầu tiên, đây là bản ghi SOA - mô tả về vùng. Chúng tôi sẽ không phân tích chi tiết tất cả các mục, điều này nằm ngoài phạm vi bài viết của chúng tôi, nhưng cần phải có hiểu biết chung về chúng. Cũng cần có hai bản ghi NS trỏ đến máy chủ định danh ( máy chủ DNS) phục vụ tên miền này, đây sẽ là máy chủ của nhà đăng ký hoặc nhà cung cấp dịch vụ lưu trữ.
Bản ghi đầu tiên được thêm vào sẽ là bản ghi A hoặc bản ghi tên. Nó sẽ trỏ đến địa chỉ IP của máy chủ của bạn nếu bạn quyết định tự mình phục vụ tất cả các yêu cầu đến tên miền hoặc tới địa chỉ IP của nhà cung cấp dịch vụ lưu trữ nếu bạn quyết định lưu trữ trang web của mình. Khi lưu trữ một trang web bằng hosting, tên miền thường được ủy quyền cho máy chủ DNS của nó (các bản ghi NS tương ứng đã được đăng ký) và bản ghi A sẽ được tạo tự động khi đỗ tên miền.
Tùy chọn này là phổ biến nhất nhưng nếu cần, bạn luôn có thể tự tạo bản ghi A. Mục nhập này có dạng:
ví dụ.com. TRONG A 22.11.33.44
Trong ví dụ của chúng tôi, 22.11.33.44 là địa chỉ của nhà cung cấp dịch vụ lưu trữ nơi đặt trang web. Hãy chú ý đến dấu chấm ở cuối tên, điều này cho biết tên đó là tuyệt đối; nếu không có dấu chấm, tên được coi là tương đối và tên miền từ SOA sẽ được thêm vào đó. Bạn có thể kiểm tra mục nhập bằng lệnh nslookup.
Để máy chủ thư hoạt động, bạn cần tạo bản ghi MX, bản ghi này sẽ trỏ đến máy chủ thư của chúng tôi. Để làm điều này, hãy tạo một bản ghi:
ví dụ.com. TRONG MX 10 mail.example.com.
Bạn cũng có thể viết đơn giản:
ví dụ.com. TRONG thư MX 10
Ví dụ.com sẽ tự động được thêm vào tên này (không có dấu chấm ở cuối). Số 10 xác định mức độ ưu tiên của máy chủ; số này càng thấp thì mức độ ưu tiên càng cao. Nhân tiện, vùng DNS có thể đã chứa bản ghi MX như:
ví dụ.com. TRONG MX 0 ví dụ.com.
Thông thường, mục này được nhà cung cấp dịch vụ lưu trữ tự động tạo khi lưu trữ trang web; nó cần được xóa.
Bây giờ hãy tạo bản ghi A cho mail.example.com
thư.example.com. TRONG A 11.22.33.44
Bây giờ tất cả thư cho miền example.com sẽ được gửi đến máy chủ thư có địa chỉ 11.22.33.44, tức là. máy chủ thư của bạn, đồng thời trang web example.com sẽ tiếp tục hoạt động trên máy chủ của nhà cung cấp vào ngày 22.11.33.44.
Câu hỏi có thể nảy sinh: tại sao bạn không thể chỉ định ngay địa chỉ IP của máy chủ thư trong bản ghi MX? Về nguyên tắc thì có thể, một số người làm được nhưng nó không tuân thủ các thông số kỹ thuật của DNS.
Bạn cũng có thể tạo bí danh cho máy chủ thư như pop.example.ru Và smtp.example.ru. Tại sao điều này là cần thiết? Điều này sẽ cho phép khách hàng không phụ thuộc vào các tính năng của cơ sở hạ tầng của bạn bằng cách chỉ định cài đặt một lần. Giả sử công ty của bạn đã phát triển và phân bổ một máy chủ thư riêng để phục vụ khách hàng bên ngoài. thư1, tất cả những gì bạn cần làm là thay đổi hai bản ghi DNS, khách hàng thậm chí sẽ không nhận thấy rằng họ đang làm việc với một máy chủ mới. Để tạo bí danh, bản ghi loại CNAME được sử dụng:
Đưa vào CNAME mail.example.com.
smtp TRONG CNAME mail.example.com.
Tại thời điểm này, việc thiết lập vùng DNS chuyển tiếp có thể được coi là hoàn tất; điều thú vị nhất vẫn là - vùng đảo ngược. Vùng đảo ngược được quản lý bởi nhà cung cấp đã cấp địa chỉ IP cho bạn và bạn không thể tự quản lý nó (trừ khi bạn là chủ sở hữu của một khối địa chỉ IP). Nhưng bạn cần thêm ít nhất một mục vào vùng đảo ngược. Như chúng tôi đã viết ở bài viết trước, nhiều máy chủ thư kiểm tra bản ghi PTR (bản ghi vùng đảo ngược) cho máy chủ gửi và nếu chúng vắng mặt hoặc không khớp với miền của người gửi thì thư sẽ bị từ chối. Do đó, hãy yêu cầu nhà cung cấp của bạn thêm một mục như thế này cho bạn:
44.33.22.11.in-addr.arpa. TRONG PTR mail.example.com.
Nhìn hơi lạ phải không? Chúng ta hãy xem cấu trúc bản ghi PTR chi tiết hơn. Để phân giải tên ngược, một tên miền cấp cao nhất đặc biệt in-addr.arpa được sử dụng. Điều này được thực hiện để sử dụng các cơ chế phần mềm tương tự để chuyển đổi tên thuận và ngược. Thực tế là tên dễ nhớ được viết từ trái sang phải và địa chỉ IP được viết từ phải sang trái. Vì vậy, mail.example.com. nghĩa là thư máy chủ nằm trong ví dụ về miền, nằm trong miền cấp cao nhất com., 11.22.33.44 nghĩa là máy chủ 44 nằm trong mạng con 33, là một phần của mạng con 22, thuộc mạng lưới 11. Để duy trì trật tự thống nhất, các bản ghi PTR chứa địa chỉ IP ngược được bổ sung tên miền cấp cao nhất in-addr.arpa.
Bạn cũng có thể kiểm tra bản ghi MX và PTR bằng lệnh nslookup sử dụng một tham số bổ sung -type=MX hoặc -type=PTR
Và tất nhiên, chúng ta không nên quên rằng bất kỳ thay đổi nào trong Vùng DNS không xảy ra ngay lập tức mà diễn ra trong vài giờ hoặc thậm chí vài ngày, cần thiết để các thay đổi lan truyền khắp hệ thống DNS toàn cầu. Điều này có nghĩa là mặc dù máy chủ thư của bạn sẽ bắt đầu hoạt động sau 2 giờ kể từ khi thực hiện thay đổi nhưng đối tác của bạn có thể không gửi thư cho bạn trong một thời gian dài hơn.
