Vùng dns bổ sung. Tạo và cấu hình vùng DNS
Xin chào các độc giả thân mến và những người đăng ký thường xuyên của trang blog CNTT. Lần trước chúng ta đã xem xét máy chủ DNS là gì, nguyên tắc hoạt động, các bản ghi cơ bản và hơn thế nữa. Nếu bạn bỏ lỡ ghi chú, tôi khuyên bạn nên đọc nó. Trong ấn phẩm hôm nay, tôi muốn xem xét vấn đề về vùng đảo ngược và ứng dụng của chúng.
Tra cứu DNS ngược- một vùng miền đặc biệt được thiết kế để xác định tên của máy chủ theo địa chỉ IPv4 của nó bằng bản ghi PTR. Địa chỉ nút AAA.BBB.CCC.DDD được dịch theo ký hiệu ngược và trở thành DDD.CCC.BBB.AAA.in-addr.arpa. Nhờ vào mô hình phân cấp quản lý tên, có thể ủy quyền quản lý vùng cho chủ sở hữu của một loạt địa chỉ IP. Để thực hiện việc này, các bản ghi máy chủ DNS có thẩm quyền chỉ ra rằng một máy chủ riêng biệt chịu trách nhiệm về vùng CCC.BBB.AAA.in-addr.arpa (nghĩa là mạng AAA.BBB.CCC.000/24 ).
Bản ghi PTR (từ con trỏ tiếng Anh - con trỏ) liên kết IP của máy chủ với tên chuẩn của nó. Một yêu cầu trong miền in-addr.arpa tới IP của máy chủ ở dạng ngược lại sẽ trả về tên của máy chủ này. Ví dụ: (tại thời điểm viết bài), đối với địa chỉ IP 192.0.34.164: yêu cầu bản ghi PTR 164.34.0.192.in-addr.arpa sẽ trả về tên chuẩn của nó là reference.icann.org.in-addr.arpa
in-addr.arpa là vùng miền đặc biệt được thiết kế để xác định tên máy chủ theo địa chỉ IPv4 bằng bản ghi PTR. Địa chỉ máy chủ AAA.BBB.CCC.DDD được dịch theo ký hiệu ngược và trở thành DDD.CCC.BBB.AAA.in-addr.arpa. Nhờ mô hình quản lý tên phân cấp, có thể ủy quyền quản lý vùng cho chủ sở hữu của một loạt địa chỉ IP. Để thực hiện việc này, các bản ghi máy chủ DNS có thẩm quyền chỉ ra rằng một máy chủ riêng biệt chịu trách nhiệm về vùng CCC.BBB.AAA.in-addr.arpa (nghĩa là mạng AAA.BBB.CCC/24).
Cách sử dụng
Để giảm khối lượng thư không mong muốn (thư rác), nhiều máy chủ người nhận E-mail có thể kiểm tra sự hiện diện của bản ghi PTR đối với máy chủ nơi việc gửi xảy ra. Trong trường hợp này, bản ghi PTR cho địa chỉ IP phải khớp với tên người gửi máy chủ thư, mà nó xuất hiện trong phiên SMTP.
Tiếp tục chủ đề xây dựng website, chúng ta cùng nói về vấn đề này nhé khía cạnh quan trọng Hệ thống tên miền (DNS) hoạt động như thế nào? Nhiều vấn đề liên quan đến vị trí ban đầu, cũng như việc chuyển trang web giữa các máy chủ và máy chủ lưu trữ khác nhau, có liên quan đến việc thiết lập và vị trí của vùng DNS. Hiểu cách hoạt động của hệ thống tên miền giúp bạn dễ dàng quản lý tên miền của riêng mình cũng như các trang web liên quan và các dịch vụ khác.
Tên miên la gi? Đối với nhiều người, điều này đồng nghĩa với địa chỉ trang web, ví dụ: www.trang web. Bằng cách gõ địa chỉ này, bạn tin chắc rằng bạn sẽ đến trang này chứ không phải ở nơi nào khác. Đồng thời, tên miền không chỉ có thể chỉ định một trang web mà còn có thể chỉ định một máy chủ email, sàn giao dịch tin nhắn ngắn hoặc dịch vụ mạng và Internet khác. Tên miền được bao gồm trong các vùng miền, được đặt trong nhau theo thứ tự phân cấp.
Theo nghĩa chung, tên miền là một tên tượng trưng cho phép bạn đánh địa chỉ duy nhất cho một không gian tên tự trị trên Internet. Và không chỉ địa chỉ mà còn cho phép bất kỳ khách hàng nào nhanh chóng tìm thấy nút cần thiết mà không cần biết chút gì về vị trí của nó. Có thể nói không ngoa rằng hệ thống DNS là nền tảng của Internet hiện đại ở dạng mà tất cả chúng ta đều biết và quen với nó.
Hệ thống DNS có tính toàn cầu và có hệ thống phân cấp chặt chẽ. Hãy xem xét sơ đồ sau:
Cấp cao nhất của hệ thống phân cấp là tên miền gốc, được biểu thị bằng dấu chấm, chứa thông tin về tên miền cấp một, ví dụ: ru, com, tổ chức và như thế. Công việc của vùng gốc được đảm bảo bởi 13 máy chủ gốc đặt trên khắp thế giới và liên tục sao chép dữ liệu của chúng với nhau. Trên thực tế, có nhiều máy chủ gốc hơn, nhưng các tính năng giao thức chỉ cho phép bạn chỉ định 13 nút cấp cao nhất do đó, khả năng mở rộng và khả năng chịu lỗi của hệ thống được đảm bảo bởi các máy nhân bản của mỗi máy chủ gốc.
Tên miền cấp một là các vùng miền quen thuộc với chúng ta và có thể được quản lý bởi các tổ chức trong nước và quốc tế cũng như có điều khoản sử dụng riêng. Mỗi vùng miền cấp một cho phép bạn đặt số lượng không giới hạn tên miền cấp hai, quen thuộc với mọi người dùng Internet dưới dạng địa chỉ trang web.
Đổi lại, tên miền cấp hai cũng là vùng miền và cho phép bạn đặt tên miền cấp ba, trong đó, giống như trong một con búp bê lồng nhau, bạn có thể đặt tên miền thứ tư, thứ năm, v.v. cấp độ. Để có thể xác định rõ ràng các nút nằm trong khu vực khác nhau, khái niệm đã được giới thiệu tên miền đầy đủ (FQDN, Đủ điều kiện Tên miền ), bao gồm tất cả các tên miền gốc trong hệ thống phân cấp DNS. Ví dụ: đối với trang web của chúng tôi, FQDN sẽ là: trang mạng. Chính xác như vậy, kết thúc bằng dấu chấm biểu thị vùng gốc.
Cái này rất tâm điểm. TRONG sử dụng hàng ngày Thông thường, người ta sẽ loại bỏ dấu chấm ở cuối, nhưng trong bản ghi DNS, việc không có dấu chấm ở cuối có nghĩa là tên miền này thuộc về vùng miền hiện tại, tức là. Máy chủ DNS sẽ thêm vào tên này vùng miền riêng của nó và tất cả các vùng cấp cao hơn cho đến thư mục gốc.
Ví dụ: trên máy chủ của chúng tôi trong khu vực trang mạng chúng tôi thêm bản ghi loại CNAME sẽ trỏ đến máy chủ của bên thứ ba, chẳng hạn như thư Yandex. Mục nhập chính xác sẽ trông như thế này:
MailIN CNAMEdomain.mail.yandex.net.
Trong trường hợp này, tên thư không phải là FQDN và sẽ được mở rộng thành thư.site., nếu chúng ta quên đặt dấu chấm ở cuối tên miền Yandex thì tên này cũng sẽ không được coi là FQDN và phải được hoàn thành với tên miền đầy đủ. Sau đây là một mục nhập không chính xác:
Gửi thư TRONG tên miền CNAME.mail.yandex.net
Thật khó để nhận ra sự khác biệt bằng con mắt chưa qua đào tạo, nhưng thay vì giao diện web thư Yandex, thiết kế này sẽ đưa chúng ta đến một địa chỉ không tồn tại: tên miền.mail.yandex.net.site.
Một điều nữa. Tất cả các bản ghi cho một vùng miền đều được quản trị viên vùng nhập vào máy chủ DNS của riêng họ, làm cách nào để hệ thống DNS biết được những bản ghi này? Cuối cùng, chúng tôi không thông báo cho máy chủ DNS cấp cao hơn rằng chúng tôi đã thay đổi bất kỳ bản ghi nào.
Bất kỳ vùng DNS nào chỉ chứa các bản ghi về các nút thành viên và vùng con của nó. Thông tin về các nút ở vùng hạ lưu được lưu trữ trên các máy chủ của chính nó. Điều này được gọi là ủy quyền và cho phép bạn giảm tải cho máy chủ gốc và cung cấp quyền tự chủ cần thiết cho chủ sở hữu vùng miền con.
Vì vậy, bạn đã mua một tên miền, giả sử ví dụ.org, sau đó bạn phải ủy quyền nó, tức là. chỉ định máy chủ tên (máy chủ DNS) sẽ chứa các bản ghi cho vùng tệp này. Đây có thể là máy chủ của riêng bạn hoặc dịch vụ công cộng, ví dụ: DNS Yandex.
Trong trường hợp này, trong vùng miền tổ chức một mục sẽ được thêm vào:
Ví dụ TRONG NS dns1.yandex.net.
Điều này sẽ chỉ ra rằng tất cả các bản ghi của vùng này đều được đặt trên máy chủ dns1.yandex.net. Theo quy định, mỗi vùng miền phải có ít nhất hai máy chủ NS nằm ở các mạng con khác nhau. Trong thực tế, họ thường làm việc với một máy chủ, mua hai địa chỉ IP cho nó từ các phạm vi khác nhau.
Bây giờ, hãy xem quá trình tìm kiếm bản ghi DNS mà chúng tôi cần diễn ra như thế nào và tại sao bản ghi được tạo trên máy chủ của bạn cho phép khách truy cập từ mọi nơi trên thế giới truy cập trang web của bạn.
Giả sử người dùng muốn truy cập tài nguyên Yandex Market phổ biến, anh ta nhập tên trang web tương ứng vào thanh địa chỉ của trình duyệt và nhấn nút Enter. Để hiển thị nội dung của một trang cho người dùng, trình duyệt phải gửi yêu cầu đến máy chủ web phục vụ trang web và để làm được điều này, bạn cần biết địa chỉ IP của nó. Do đó, trình duyệt liên hệ với máy khách DNS để tìm ra địa chỉ nào tương ứng với tên miền mà người dùng đã nhập.
Đổi lại, máy khách DNS kiểm tra các mục trong tệp máy chủ, sau đó trong bộ đệm cục bộ và không tìm thấy nó ở đó hồ sơ cần thiết, truyền yêu cầu đến máy chủ DNS được chỉ định trong cài đặt mạng. Đây rất có thể sẽ là proxy DNS bộ nhớ đệm cục bộ như dnsmasq hoặc máy chủ DNS doanh nghiệp cục bộ. Các giải pháp này thường không phải là máy chủ chính thức hệ thống toàn cầu DNS và không được bao gồm trong đó, chỉ phục vụ các yêu cầu DNS vùng cục bộ và bộ đệm, do đó, yêu cầu đó, nếu dữ liệu không có trong bộ đệm, sẽ được chuyển đến máy chủ DNS cấp cao hơn, thường là máy chủ của nhà cung cấp.
Sau khi nhận được yêu cầu, máy chủ của nhà cung cấp sẽ kiểm tra bản ghi âm riêng, sau đó là bộ đệm riêng của nó và nếu tìm thấy kết quả sẽ báo cáo cho máy khách, nếu không máy chủ sẽ buộc phải dùng đến đệ quy- tìm kiếm trong hệ thống DNS toàn cầu. Để hiểu rõ hơn về cơ chế của quá trình này, chúng tôi đã chuẩn bị sơ đồ sau:
Vì vậy, khách hàng gửi yêu cầu DNS đến máy chủ của nhà cung cấp để tìm ra địa chỉ miền thị trường.yandex.ru, máy chủ của nhà cung cấp không có thông tin đó nên nó liên hệ với một trong các máy chủ gốc, chuyển yêu cầu đến nó. Máy chủ gốc cũng không có các bản ghi cần thiết nhưng phản hồi rằng nó biết máy chủ chịu trách nhiệm về vùng đó ru - a.dns.ripn.net. Cùng với tên này, máy chủ gốc có thể báo cáo ngay địa chỉ IP của nó (và trong hầu hết các trường hợp là như vậy), nhưng nó có thể không thực hiện được điều này nếu không có thông tin đó, trong trường hợp đó, trước khi liên hệ với máy chủ này, bạn sẽ cần phải thực hiện thêm một truy vấn đệ quy, chỉ để xác định tên của nó.
Sau khi tìm ra địa chỉ của máy chủ chịu trách nhiệm về vùng ru, máy chủ của nhà cung cấp sẽ gửi yêu cầu đến nó, nhưng máy chủ này cũng không có các bản ghi cần thiết nhưng sẽ báo cáo vùng đó là gì yandex máy chủ phản hồi ns1.yandex.ru Và nhất thiết sẽ cho địa chỉ của anh ấy Nếu không, việc đệ quy sẽ không thể hoàn thành được vì vùng yandex máy chủ nằm trong vùng phản hồi yandex. Để thực hiện điều này, ở vùng cao hơn, ngoài bản ghi NS về các máy chủ tên phục vụ vùng đó, một Bản ghi A "được liên kết", cho phép bạn tìm ra địa chỉ của một máy chủ như vậy.
Cuối cùng, bằng cách gửi yêu cầu đến máy chủ phục vụ vùng yandex, máy chủ của nhà cung cấp sẽ nhận được địa chỉ của miền được yêu cầu và báo cáo cho khách hàng. Nó cũng sẽ đặt kết quả thu được vào bộ đệm trong khoảng thời gian được chỉ định bởi giá trị TTL trong bản ghi SOA của miền này. Trong thực tế, vì các truy vấn đệ quy rất tốn kém nên thời gian lưu vào bộ nhớ đệm ghi lại cho nhà cung cấp có thể bỏ qua các giá trị TTL của miền và đạt các giá trị từ hai đến bốn giờ đến vài ngày hoặc thậm chí một tuần.
Bây giờ chúng ta hãy xem xét một điểm nữa. Truy vấn có thể đệ quy hoặc không đệ quy. Yêu cầu đệ quy cung cấp khả năng nhận được câu trả lời có sẵn, tức là Địa chỉ IP hoặc thông báo miền không tồn tại, không được ủy quyền, v.v. Yêu cầu không đệ quy chỉ cung cấp phản hồi về vùng mà máy chủ nhất định chịu trách nhiệm hoặc trả về lỗi.
Vì các truy vấn đệ quy khá tốn tài nguyên nên hầu hết các máy chủ DNS đều xử lý các truy vấn đệ quy không đệ quy. Hoặc họ có thể thực hiện việc này một cách có chọn lọc, ví dụ: máy chủ DNS của nhà cung cấp chỉ thực hiện các truy vấn đệ quy cho máy khách của họ và phần còn lại không thực hiện đệ quy.
Trong trường hợp của chúng tôi, máy khách đã gửi một yêu cầu đệ quy đến máy chủ của nhà cung cấp, sau đó máy chủ của nhà cung cấp sẽ gửi các yêu cầu không đệ quy một cách tuần tự cho đến khi tìm thấy máy chủ được yêu cầu và đưa ra câu trả lời được yêu cầu. Đồng thời, không chỉ kết quả yêu cầu của người dùng mà cả kết quả của các yêu cầu trung gian cũng được đặt trong bộ đệm của máy chủ của nhà cung cấp, cho phép các yêu cầu sau được thực hiện không đệ quy hoặc với số lượng yêu cầu tối thiểu .
Ví dụ: nếu người dùng sau khi truy cập Yandex Market quyết định sử dụng dịch vụ bưu chính, sau đó máy chủ sẽ gửi ngay yêu cầu tới ns1.yandex.ru, vì nó đã biết máy chủ nào chứa các bản ghi cho vùng đó yandex.
Từ lý thuyết đến thực hành
Khi bạn mua miền từ một nhà đăng ký, bạn sẽ được yêu cầu ủy quyền miền đó, tức là. chỉ định máy chủ DNS nơi đặt vùng miền. Đây có thể là máy chủ đăng ký (thường miễn phí), máy chủ lưu trữ, dịch vụ DNS công cộng hoặc máy chủ định danh của riêng bạn; nếu nó nằm trong cùng một vùng miền thì bạn cũng sẽ cần chỉ định địa chỉ IP. Ví dụ: đây là giao diện của cửa sổ ủy quyền tên miền tại một nhà đăng ký nổi tiếng:
Chính xác thì tôi nên đặt gì ở đó? Nó phụ thuộc vào vị trí và cách bạn sẽ lưu trữ trang web của mình. Nếu bạn dùng Shared Hosting thì thế thôi hồ sơ cần thiếtđược tạo tự động bởi nhà cung cấp dịch vụ lưu trữ, khi bạn thêm trang web của mình vào bảng điều khiển lưu trữ, tất cả những gì bạn cần là ủy quyền miền cho máy chủ NS của nhà cung cấp dịch vụ lưu trữ, tức là. chỉ ra chúng trong cửa sổ này. Phương pháp này rất phù hợp cho người mới bắt đầu do tính đơn giản của nó, nhưng cũng có mặt sau, khả năng quản lý vùng DNS của người dùng không có hoặc ở mức tối thiểu. Ngoài ra, trên lưu trữ ảo Quản trị viên có thể thay đổi địa chỉ IP của trang web mà không thông báo cho người dùng, vì vậy nếu bạn không muốn sử dụng máy chủ NS của nhà cung cấp dịch vụ lưu trữ thì vấn đề này chắc chắn phải được thảo luận với bộ phận hỗ trợ kỹ thuật.
Nếu bạn đang chuyển một trang web sang một nhà cung cấp dịch vụ lưu trữ khác thì bạn sẽ cần phải chuyển trang web đó và thay đổi máy chủ tên của máy chủ lưu trữ cũ sang máy chủ của máy chủ mới tại nhà đăng ký. Nhưng hãy nhớ rằng thông tin trong bộ đệm của máy chủ DNS không được cập nhật ngay lập tức mà ít nhất là sau khi giá trị tên miền TTL hết hạn, vì vậy trong một thời gian, trang web của bạn vẫn có thể truy cập được ở địa chỉ cũ. Nếu bạn cần làm việc khẩn cấp với nó, bạn có thể thêm nó vào tệp mà không cần đợi bộ đệm DNS của nhà cung cấp cập nhật. máy chủ mục có nội dung sau:
1.2.3.4 ví dụ.com
Ở đâu 1.2.3.4 Và ví dụ.com tương ứng là địa chỉ IP mới và tên miền của bạn.
Nếu bạn có VPS riêng hoặc muốn kiểm soát hoàn toàn vùng miền thì bạn nên sử dụng máy chủ hoặc dịch vụ công cộng của nhà đăng ký. Theo chúng tôi, việc tạo máy chủ tên của riêng bạn không phải là một ý tưởng đáng giá trừ khi bạn tự lưu trữ.
Trong trường hợp này, bạn cần tạo ít nhất hai bản ghi A sẽ trỏ đến máy chủ web phục vụ trang web trong miền này:
@ IN A 1.2.3.4
www TRONG A 1.2.3.4
Ký tự con chó trong bản ghi DNS biểu thị chính tên miền đó và bạn cũng nên tạo bản ghi cho tên miền phụ www để người dùng nhập địa chỉ trang web bằng www cũng có thể truy cập được.
Chúng tôi sẽ không xem xét việc thêm mục nhập cho email; bạn có thể đọc về điều này trong bài viết của chúng tôi:
Khi di chuyển một trang web, bạn sẽ chỉ cần thay đổi địa chỉ IP trong bản ghi A và đợi thông tin DNS được cập nhật. Thông thường, đây là thời điểm khó chịu nhất - mọi thứ dường như đã xong, nhưng bạn không thể thay đổi bất cứ điều gì, bạn chỉ có thể chờ đợi. Nhưng nếu bạn làm theo một số khuyến nghị, quá trình này có thể được thực hiện một cách dễ dàng và không bị khách truy cập chú ý nhất có thể.
Trước hết, hãy thay đổi giá trị TTL trong bản ghi SOA. Theo mặc định, nó bằng vài giờ và đó là khoảng thời gian bạn sẽ phải đợi để mục nhập của mình trong bộ đệm máy chủ DNS được cập nhật. Để tìm ra giá trị TTL hiện tại, bạn có thể chạy lệnh bằng cách chỉ định tên miền mong muốn:
Nslookup -typr=trang soa
Trong trường hợp của chúng tôi là 4 giờ: 
Do đó, ít nhất 4 giờ (giá trị TTL cũ) trước khi chuyển theo kế hoạch, hãy thay đổi giá trị TTL thành giá trị thấp hơn, ví dụ: 900 (15 phút). Sau đó đặt trang web của bạn ở chế độ chỉ đọc và chuyển nó sang máy chủ mới. Không nên tắt hoặc chuyển trang web để bảo trì; nó có thể và vẫn có thể truy cập được. Nhưng bạn phải ngăn người dùng thay đổi và thêm thông tin, tức là. cấm đăng ký, bình luận, đặt hàng, v.v. Ngoài ra, hãy nhớ đăng thông báo ở nơi dễ nhìn thấy về công việc kỹ thuật và ngày hoàn thành gần đúng.
Để làm việc với máy chủ mới mà không thay đổi bản ghi DNS, hãy thêm dòng mong muốn V. tập tin máy chủ. Sau khi đặt trang web trên trang web mới và đảm bảo rằng nó hoạt động bình thường, hãy thay đổi bản ghi DNS, giờ đây trong vòng 15 phút, những người dùng đầu tiên sẽ bắt đầu truy cập trang web của bạn trên máy chủ mới. Chức năng của máy chủ cũ cần được duy trì thêm một thời gian nữa, lý tưởng là lên đến một tuần, vì không phải tất cả các nhà cung cấp đều sử dụng giá trị TTL từ bản ghi SOA để cập nhật bộ nhớ đệm, cài đặt của riêng bạn có thể được sử dụng để giảm tải cho bộ nhớ đệm; thiết bị.
Sau khi chuyển thành công, giá trị TTL phải được tăng lên các giá trị trước đó để không tạo ra tải thêmđể đặt tên cho máy chủ.
Chúng tôi đã cân nhắc nhiều nhất sơ đồ đơn giản, nhưng trên thực tế, ngoài địa điểm thường còn có mạng văn phòng, nhiều tài nguyên trong số đó cũng phải có sẵn từ bên ngoài. Hãy xem xét sơ đồ sau:
Chúng ta có máy chủ công cộng cho trang web, email và mạng văn phòng mà chúng tôi đã phân bổ tên miền phụ văn phòng. Nếu không có vấn đề đặc biệt nào với máy chủ thư và web thì sẽ có các tùy chọn với khu vực văn phòng. Thông thường, một vùng cục bộ được phục vụ bởi DNS riêng của nó và không có kết nối với vùng mẹ. Đối với vùng hệ thống DNS toàn cầu office.example.com không tồn tại, nhưng máy chủ cùng tên tồn tại. Điều này là hợp lý nếu mạng doanh nghiệp đứng sau NAT và các nút của nó chỉ có địa chỉ màu xám và việc truy cập từ bên ngoài chỉ được thực hiện tới cổng mà các cổng tương ứng từ các nút bên trong được chuyển tiếp.
Trong trường hợp này, bản ghi DNS của vùng ví dụ.com có thể trông như thế này:
@ IN A 1.2.3.4
www TRONG A 1.2.3.4
thư IN A 1.2.3.5
văn phòng IN A 5.6.7.8
Nhưng có một số vấn đề phức tạp nảy sinh: trong mạng, các máy khách truy cập các dịch vụ mạng bằng cách sử dụng tên nội bộ: corp.office.example.com hoặc rdp.office.example.com, trỏ đến các địa chỉ "xám" nội bộ. Tuy nhiên, bên ngoài mạng cục bộ, không thể phân giải địa chỉ IP cho những tên như vậy vì không có vùng chứa chúng cho hệ thống DNS toàn cầu. Một cơ chế có tên là Split-DNS cho phép bạn thoát khỏi tình huống này, cho phép bạn đưa ra các kết quả khác nhau tùy thuộc vào vị trí của khách hàng.
Trong mạng cục bộ, các yêu cầu DNS của máy khách được phục vụ bởi Máy chủ cục bộ, có bản ghi tương ứng, các yêu cầu bên ngoài nó sẽ được gửi đến máy chủ phục vụ vùng đó ví dụ.com. Đồng thời, mọi thứ nguồn lực doanh nghiệp, được đại diện bởi nhiều máy chủ khác nhau trên mạng cục bộ, có thể truy cập được từ bên ngoài tại một địa chỉ duy nhất: office.example.com. Vì vậy, đã đến lúc phải ghi nhớ biệt hiệu hoặc bản ghi CNAME. Mục nhập này cho phép các tên hoặc bí danh dễ nhớ bổ sung được liên kết với tên máy chủ thực. Xin lưu ý rằng việc sử dụng bí danh trong các mục khác là không thể chấp nhận được. Trong trường hợp của chúng tôi, chúng tôi nên thêm các mục sau:
Corp.office TRONG CNAME office.example.com.
rdp.office TRONG CNAME office.example.com.
Bây giờ, khách hàng, bất kể vị trí của nó, có thể sử dụng cùng một tên để truy cập tài nguyên, nhưng kết quả sẽ khác. Trên mạng cục bộ, nó sẽ nhận địa chỉ máy chủ thực và kết nối trực tiếp, còn bên ngoài nó sẽ được dẫn đến cổng mạng.
Ngoài ra, bản ghi loại CNAME có thể được sử dụng để chuyển hướng ra ngoài vùng miền được hỗ trợ. Điều kiện chính là bản ghi CNAME phải trỏ đến tên thật ở định dạng FQDN.
Một cách sử dụng khác của bí danh là rút ngắn địa chỉ. Giả sử, với tư cách là máy chủ thư cho toàn bộ miền ví dụ.com chúng tôi muốn sử dụng một máy chủ đặt tại văn phòng Moscow và có địa chỉ mail.office.msk.example.com, bạn phải thừa nhận, nó trông không hấp dẫn lắm. Sẽ thuận tiện hơn nhiều nếu có một địa chỉ như thư.example.com, không có gì đơn giản hơn, hãy thêm mục sau:
Gửi thư IN CNAME mail.office.msk.example.com.
Nhưng hãy nhớ rằng trong phần còn lại hồ sơ tài nguyên Chỉ nên sử dụng tên thật, vì vậy điều này sẽ không chính xác:
Ví dụ.com. TRONG thư MX 10
Cách đúng sẽ là:
Ví dụ.com. TRONG MX 10 mail.office.msk
Cuối cùng, hãy nói về việc ủy quyền các vùng miền. Trong ví dụ trên, chúng ta đã xem xét một tình huống trong đó các bộ phận khác nhau được phân bổ miền phụ trong một miền, vì mỗi bộ phận có cơ sở hạ tầng riêng nên việc ủy quyền cho họ quản lý các vùng miền riêng của họ là điều hợp lý. Để thực hiện việc này trong vùng ví dụ.com một NS và một bản ghi A liên quan phải được đặt cho mỗi vùng. Ví dụ:
Msk IN NS ns1.msk.example.com.
msk TRONG NS ns2.msk.example.com.
ns1.msk TRONG A 1.2.3.4
ns2.msk TRONG 5.6.7.8
Bây giờ khi truy cập một địa chỉ, giả sử mail.office.msk.example.com máy chủ tên vùng ví dụ.com sẽ hiển thị tên và địa chỉ của máy chủ phục vụ vùng msk.example.com. Điều này cho phép quản trị viên vùng tự thực hiện các thay đổi cần thiết mà không ảnh hưởng đến hoạt động của vùng chính hoặc liên hệ với quản trị viên của vùng đó về bất kỳ vấn đề nào cần thay đổi hồ sơ.
Thẻ:
Trong tài liệu này, chúng ta sẽ xem xét cấu hình của chương trình được đặt tên khi tổ chức một máy chủ miền, máy chủ của nó được phân phối trên hai mạng IP Loại C vật lý (theo ký hiệu CIDR x.x.x.x/24). Sự chú ý chính sẽ được dành cho các vùng “đảo ngược”, bởi vì Vùng “trực tiếp” trong trường hợp này không khác biệt đáng kể so với vùng được xem xét khi mô tả miền công ty nhỏ.
Tình huống được xem xét trong trường hợp này là điển hình cho các tổ chức có nhiều hơn một mạng Loại C cần triển khai một miền công ty. Nói chính xác hơn thì Chúng ta đang nói về không chỉ về mạng lớp C.
Giả sử rằng nhóm địa chỉ được phân bổ cho một tổ chức và các bộ phận của nó không phải là một không gian địa chỉ duy nhất mà là một phần của một số khối địa chỉ. Hơn nữa, các khối này được cắt theo cách mà các địa chỉ được lấy từ Những khu vực khác nhau, nếu chúng ta xem xét không gian địa chỉ theo quan điểm của ký hiệu CIDR x.x.x.x/24. Ví dụ:
192.168.0.0/24 và 192.168.10.0/24
Từ quan điểm mô tả sự tương ứng giữa tên miền và địa chỉ IP trong vùng “trực tiếp”, không có vấn đề gì ở đây:
$ORIGIN vi.
kiểm tra TRONG SOA ns.test.ru. Hostmaster.test.ru (
233 3600 300 9999999 3600)
;
TRONG NS ns.test.ru.
TRONG NS ns.privider.ru.
TRONG 192.168.10.1
TRONG MX 10 mail.test.ru.
TRONG MX 20 mail.provider.ru.
;
ns TRONG A 192.168.10.1
gửi thư VÀO A 192.168.0.1
www TRONG A 192.168.10.2
ftp TRONG A 192.168.0.2
Ví dụ cho thấy các bản ghi địa chỉ có thể được “trộn lẫn” một cách hoàn hảo trong phần mô tả vùng. Do đó, một vùng trực tiếp có thể được xác định trên bất kỳ bộ địa chỉ nào, có thể được phân tán tùy ý trong không gian địa chỉ.
Tất nhiên, có những địa chỉ không nên can thiệp. Ví dụ: không nên trộn lẫn các địa chỉ có thể định tuyến và không thể định tuyến. Trên thực tế, trong ví dụ này chúng tôi sử dụng chính xác địa chỉ sau (để biết thêm thông tin về các địa chỉ không thể định tuyến, hãy xem RFC 1918).
Nếu bạn yêu cầu địa chỉ IP từ Internet bằng tên miền và nhận được địa chỉ từ một nhóm không thể định tuyến, bạn sẽ không rõ phải làm gì với địa chỉ đó. Ngay cả khi bản thân bạn đang ở trong một mạng không thể định tuyến, địa chỉ nhận được từ bên ngoài từ cùng một mạng rất có thể không phải là địa chỉ bạn đang tìm kiếm.
Trên thực tế, cùng một máy chủ tên miền có thể hỗ trợ cả các kết quả trùng khớp có thể định tuyến và không thể định tuyến, nhưng để đơn giản cho việc trình bày, trường hợp này tốt nhất nên để một phân tích riêng trong một tài liệu khác.
Và vì vậy, trong vùng “trực tiếp”, chúng ta có thể “can thiệp” vào các địa chỉ, nhưng làm cách nào chúng ta có thể duy trì các kết quả trùng khớp ngược? Thật vậy, trong trường hợp vùng “đảo ngược”, chúng ta cũng đang xử lý tên miền, mặc dù chúng được hình thành bằng cách đảo ngược địa chỉ IP. Dấu phân cách trong hệ thống phân cấp đặt tên miền là ký tự ".", do đó, ranh giới byte trong địa chỉ sẽ tương ứng với ranh giới lồng nhau của tên miền.
Giải pháp rất đơn giản - tạo hai vùng đảo ngược 0.168.192.in-addr.arpa và 10.168.192.in-addr.arpa. Nó sẽ trông giống như thế này:
$TTL 3600
10 TRONG SOA ns.test.ru. máy chủ.test.ru. (
75 3600 300 9999999 3600)
TRONG NS ns.test.ru.
TRONG NS ns.privider.ru.
1 TRONG PTR ns.test.ru.
2 TRONG PTR www.test.ru.
Và đối với 0.168.192.in-addr.arpa. tương ứng:
$TTL 3600
$ORIGIN 168.192.in-addr.arpa.
0 TRONG SOA ns.test.ru. máy chủ.test.ru. (
75 3600 300 9999999 3600)
TRONG NS ns.test.ru.
TRONG NS ns.privider.ru.
1 TRONG PTR ns.test.ru.
2 TRONG PTR www.test.ru.
Hai vùng "đảo ngược" phải được khai báo trên máy chủ chính. Trong BIND 4.x, nó sẽ trông giống như thế này trong tệp có tên.boot:
thư mục /etc/namedb
test.ru test.ru chính
localhost chính localhost
chính 127.in-addr.arpa localhost.rev
chính 10.168.192.in-addr.arpa 10.168.192.in-addr.arpa
chính 0.168.192.in-addr.arpa 0.168.192.in-addr.arpa
xfrnet 192.168.20.1&255.255.255.255
bộ đệm. tên.root
tùy chọn không đệ quy không tìm nạp keo giả-query
Trên thực tế, từ quan điểm bối cảnh của tài liệu này, điều quan trọng là trong số các chỉ thị kiểm soát có hai chỉ thị chính dành cho các vùng đảo ngược tương ứng.
Ở đây chỉ cần làm rõ rằng trong trường hợp này, địa chỉ 192.168.20.1 là địa chỉ của máy chủ nô lệ, được phép sao chép vùng. Mục đích của các chỉ thị kiểm soát còn lại được thảo luận chi tiết trong “Miền công ty nhỏ trong miền ru. Mô tả các vùng “chuyển tiếp”.
Đối với tệp có tên.conf dành cho các phiên bản BIND 8.x và 9.x, nội dung của nó sẽ trông như thế này:
tùy chọn (
thư mục "/etc/namedb";
cho phép truy vấn (bất kỳ;);
đệ quy không;
truy vấn giả có;
lấy keo không;
sử dụng-id-pool có;
};
// Gợi ý máy chủ gốc
vùng "." ( gõ gợi ý; file "named.root"; );
// Chuyển tiếp vòng lặp ngược lại
vùng "localhost" (
gõ chủ;
tập tin "localhost";
};
// Vòng lặp ngược
vùng "0.0.127.in-addr.arpa" (
gõ chủ;
tập tin "localhosr.rev";
};
// Tên miền công ty
vùng "test.ru" (
gõ chủ;
tập tin "test.ru";
};
vùng "0.168.192.in-addr.arpa" (
gõ chủ;
tập tin "0.168.192.in-addr.arpa";
cho phép chuyển nhượng ( 192.168.20.1; );
};
// Đảo ngược tên miền công ty
vùng "10.168.192.in-addr.arpa" (
gõ chủ;
tập tin "10.168.192.in-addr.arpa";
cho phép chuyển nhượng ( 192.168.20.1; );
};
Mô tả này cũng chứa hai chỉ thị cho các vùng đảo ngược mà tên được ánh xạ tới. Phần mô tả này dài hơn một chút so với BIND 4.x do định dạng của tệp cấu hình khác nhau, nhưng bản chất của nó là giống nhau.
Cần lưu ý ở đây rằng một số vùng đảo ngược xuất hiện, chẳng hạn như đối với các mạng như x.x.x.x/23. Toàn bộ vấn đề là nhóm địa chỉ, ví dụ: 192.168.0.0.23, kết hợp hai khối liền kề 192.168.0.0/24 và 192.168.1.0/24. Do đó sẽ có 2 vùng đảo ngược tương ứng là 0.168.192.in-addr.arpa và 1.168.192.in-addr.arpa. Kết hợp chúng một cách chuẩn mực chỉ có thể ở cấp 168.192.in-addr.arpa, nhưng không thể thấp hơn.
Từ những điều trên, chủ sở hữu vùng 168.192.in-addr.arpa phải giao trách nhiệm quản lý hai vùng đảo ngược cho khách hàng của mình nếu anh ta không muốn tự mình quản lý chúng.
Nhận xét tương tự có giá trị đối với nhóm địa chỉ x.x.x.x/16 và nhóm địa chỉ x.x.x.x.8, tức là mạng lớp B và lớp A tương ứng. Không gian tên miền của các vùng "đảo ngược" được xây dựng dựa trên cách phân loại địa chỉ cũ, vào thời điểm ký hiệu CIDR chưa được sử dụng rộng rãi.
RFC 1519 nêu chi tiết việc ánh xạ không gian địa chỉ CIDR tới "siêu mạng" của mạng Loại C, tức là. nhóm địa chỉ được tạo thành từ các mạng con của mạng lớp B và A, trong trường hợp này, nhà cung cấp phải ủy quyền các vùng đảo ngược tương ứng cho khách hàng và họ cung cấp hỗ trợ theo cách tương tự như trường hợp 192.168.0.0/23, đã thảo luận. bên trên.
- Albitz P., Lee K.. DNS và BIND. - Mỗi. từ tiếng Anh - St. Petersburg: Symbol-Plus, 2002. - 696 tr.
- P. Mockapetris. RFC-1034. TÊN MIỀN - KHÁI NIỆM VÀ TIỆN ÍCH. ISI, 1987. (
Xem trực tiếp cần thiết để phân giải tên miền thành địa chỉ IP, tra cứu ngược– để phân giải địa chỉ IP thành tên miền.
Mỗi phân đoạn mạng phải có vùng tra cứu ngược. Cụ thể, nếu bạn có mạng con 192.168.10.0, 192.168.11.0 và 192.168.12.0, bạn nên có ba vùng tra cứu ngược.
Tên vùng tra cứu ngược tiêu chuẩn được tạo thành từ mã định danh mạng được tích hợp trong thứ tự ngược lại và hậu tố in-addr.arpa. Vùng tra cứu ngược từ ví dụ trước sẽ được gọi là 10.168.192. in-addr.arpa, 11.168.192.in-addr.arpa và 12.168.192.in-addr.arpa. Bản ghi vùng tra cứu ngược và xuôi phải được đồng bộ hóa. Nếu đồng bộ hóa không thành công trong miền, xác thực có thể không thành công.
Để tạo vùng tra cứu ngược, hãy làm theo các bước sau:
1. Mở bảng điều khiển Trình quản lý DNS và kết nối với máy chủ mong muốn.
2. Nhấp chuột click chuột phải phần tử máy chủ và chọn lệnh Tạo một vùng mới (Vùng mới). Sẽ mở Thuật sĩ vùng mới. Nhấp chuột Kế tiếp.
3. Nếu bạn đang thiết lập máy chủ chính Tích hợp với Active Directory, đặt nút radio Khu chính và đảm bảo hộp kiểm được chọn . Nếu bạn không muốn tích hợp DNS vào Active Directory thì chọn nút radio Khu chính và bỏ chọn hộp Lưu trữ vùng trong Active Directory. Nhấp chuột Kế tiếp.
4. Nếu bạn đang định cấu hình vùng tra cứu ngược cho máy chủ phụ, hãy chọn nút radio Khu phụ và nhấp vào Kế tiếp.
5. Nếu bạn đang tích hợp một vùng với Active Directory, hãy chọn một trong các chiến lược sao chép sau:
Đối với tất cả các máy chủ DNS trong khu rừng này (Đó là Tất cả các máy chủ DNS trong khu rừng này)Đây là một chiến lược nhân rộng rộng rãi. Hãy nhớ rằng rừng Active Directory bao gồm tất cả các cây miền chia sẻ dữ liệu thư mục với miền hiện tại.
Đối với tất cả các máy chủ DNS trong miền này (Đó là Tất cả các máy chủ DNS trong miền này) Chọn chiến lược này để sao chép thông tin DNS trong miền hiện tại và các miền con của nó.
Đối với tất cả các bộ điều khiển miền trong miền này (Đó là Tất cả các bộ điều khiển miền trong miền này) Chọn chiến lược này nếu bạn muốn sao chép thông tin DNS tới tất cả các bộ điều khiển miền trong miền hiện tại và các miền con của nó. Mặc dù chiến lược này cho phép nhân rộng rộng rãi hơn thông tin DNS trong một miền, không phải mọi bộ điều khiển miền đều là máy chủ DNS (bạn không cần định cấu hình mọi bộ điều khiển miền làm máy chủ DNS).
6. Đặt công tắc Vùng tra cứu ngược. Nhấp chuột Kế tiếp.
7. Chỉ định địa chỉ nào bạn muốn tạo vùng tra cứu ngược (IPv4 hoặc IPv6) và nhấp vào Kế tiếp. Thực hiện một trong các hành động sau:
Nếu bạn đang thiết lập IPv4, hãy nhập ID mạng cho vùng tra cứu ngược. Các giá trị bạn nhập sẽ xác định tên mặc định cho vùng tra cứu ngược. Nhấp chuột Kế tiếp.
Nếu bạn đang thiết lập IPv6, hãy nhập tiền tố mạng cho vùng tra cứu ngược. Tên vùng được tạo tự động dựa trên các giá trị bạn nhập. Tùy thuộc vào tiền tố đã nhập, bạn có thể tạo tối đa tám vùng. Nhấp chuột Kế tiếp.
8. Nếu bạn đang định cấu hình máy chủ chính hoặc máy chủ phụ không được tích hợp Active Directory, hãy chỉ định tên tệp vùng. Tên tệp mặc định cho cơ sở dữ liệu vùng DNS phải được nhập sẵn. Để nguyên hoặc nhập tên mới. Nhấp chuột Kế tiếp.
9. Chỉ định có cho phép hay không cập nhật động. Bạn có ba lựa chọn:
Chỉ cho phép cập nhật động an toàn Nếu vùng của bạn được tích hợp Active Directory, bạn có thể sử dụng ACL để giới hạn những máy khách nào có thể thực hiện cập nhật động. Nếu bạn chọn nút chuyển này, chỉ những khách hàng có tài khoản máy tính được xác thực và ACL được phê duyệt mới có thể cập nhật động các bản ghi tài nguyên.
Cho phép cả cập nhật động không an toàn và an toàn Chọn nút chuyển này để cho phép mọi máy khách cập nhật bản ghi tài nguyên của nó trong DNS khi có thay đổi.
Không cho phép cập nhật động Chuyển đổi này vô hiệu hóa cập nhật DNS động. Nó chỉ nên được sử dụng nếu vùng không được tích hợp với Active Directory.
Sau khi cài đặt các vùng tra cứu ngược, bạn cần đảm bảo rằng việc ủy quyền được xử lý chính xác cho vùng đó. Kết nối với phòng thông tin hoặc ISP của bạn để xác minh đăng ký vùng trong miền chính.
Rashid Achilov
Tạo vùng DNS
Hệ thống tên miền là một loại “hệ thần kinh” của Internet. Nhờ cô ấy mà khi gõ , bạn sẽ vào được trang web của tạp chí “Quản trị viên hệ thống” chứ không phải ở nơi nào khác. Làm cách nào để tạo, định cấu hình và chạy máy chủ DNS cho doanh nghiệp nhỏ?
Cấu trúc DNS
Hiện nay, Internet là một mạng lưới khổng lồ bao gồm hàng triệu nút trên khắp thế giới. Để yêu cầu được thực hiện từ một máy tính có thể đạt được mục tiêu nằm trên một máy tính khác, trước tiên mục tiêu này phải được chỉ định. Tất nhiên, bạn có thể chỉ định địa chỉ IP trực tiếp. Tất nhiên là nếu bạn biết anh ấy. Nhưng ở đây rất dễ mắc sai lầm - thông tin về địa chỉ bạn cần có thể đã thay đổi và kịch bản hay nhất bạn sẽ thấy một thông báo nói rằng không tìm thấy địa chỉ và trong trường hợp xấu nhất, bạn sẽ thấy mình đang ở trên một trang web hoàn toàn không liên quan gì đến những gì bạn cần. Sẽ đáng tin cậy và dễ dàng hơn khi chuyển sang một hệ thống lưu trữ sự tương ứng giữa các tên tượng trưng như www.site và các địa chỉ IP tương ứng với chúng trong khoảnh khắc này(trong trường hợp của chúng tôi là 217.144.98.99). DNS là một hệ thống như vậy. Do hoạt động của toàn bộ Internet phụ thuộc vào hoạt động thành công của nó nên hệ thống này hoạt động theo nguyên tắc cơ sở dữ liệu phân tán - có 13 máy chủ “nổi tiếng”, chúng còn được gọi là máy chủ “root”, chứa thông tin về máy chủ, chứa thông tin về máy chủ, v.v. Giống như ngôi nhà mà Jack đã xây.
Toàn bộ mạng Internet được mô tả bằng vùng “.” (dấu chấm) được chia thành cái gọi là TLD (Tên miền cấp cao nhất), được phân bổ theo chức năng hoặc theo địa lý. Ngoài ra còn có thuật ngữ tên miền chính - “tên miền chính” hoặc “tên miền cấp một”, nhưng thuật ngữ này được sử dụng ít thường xuyên hơn. Việc phân phối theo địa lý được thực hiện theo tiêu chuẩn ISO 3166, thiết lập mã hai và ba chữ cái cho tất cả các quốc gia trên thế giới. Việc phân bổ theo cơ sở chức năng được thực hiện khi cần thiết để tạo TLD mới. Cần lưu ý ở đây rằng tất cả các vấn đề liên quan đến TLD đều được giải quyết bởi ICANN (Tập đoàn Internet cấp số và tên miền) và chính cơ quan này sẽ quyết định có tạo TLD mới hay không.
Bản thân các máy chủ gốc chỉ chứa các liên kết đến các máy chủ chứa thông tin về các vùng cấp hai, các máy chủ này chứa thông tin về các máy chủ chứa thông tin về các vùng cấp ba, v.v. Trong hầu hết các trường hợp, hệ thống phân cấp kết thúc ở vùng thứ ba hoặc thứ tư. Nhưng không phải vì có một số hạn chế ở đây. Việc ghi nhớ những cái tên phức tạp không dễ dàng hơn địa chỉ IP.
Do đó, quá trình tìm kiếm thông tin, chẳng hạn như về máy chủ web www.granch.ru, sẽ như sau:
- Máy khách liên hệ với máy chủ DNS của nó, địa chỉ do quản trị viên hệ thống đặt với yêu cầu “Hãy cho tôi biết địa chỉ tương ứng với tên www.granch.ru.”
- Máy chủ DNS biết địa chỉ của các máy chủ mà từ đó nó sẽ bắt đầu tìm kiếm nếu thông tin được yêu cầu không được lưu trong bộ đệm của nó, vì vậy nó sẽ chuyển sang một trong số chúng.
- Máy chủ gốc gửi cho anh ta địa chỉ của máy chủ chịu trách nhiệm về vùng.ru
- Máy chủ DNS truy cập máy chủ Zone.ru
- Máy chủ Zone.ru gửi cho anh ta địa chỉ của máy chủ chịu trách nhiệm về vùng Granch trong vùng của anh ta.
- Máy chủ DNS truy cập vào máy chủ của vùng granch.ru.
- Và cuối cùng, máy chủ của vùng granch.ru cho anh ta biết địa chỉ tương ứng với tên www. Trong trường hợp này nó sẽ là 81.1.252.58.
Quá trình này được minh họa trong hình. 1, trong đó các con số chỉ ra trình tự các yêu cầu.
Làm cách nào để tích hợp thông tin của bạn vào cấu trúc DNS?
Trước khi tham gia bất kỳ hệ thống nào, bạn cần có một số ý tưởng về địa điểm và cách thức tham gia.
Chúng ta nhúng nó ở đâu?
Các máy chủ khác nhau chịu trách nhiệm cho các TLD khác nhau và theo quy định, một máy chủ (chính xác hơn là một tổ chức) chịu trách nhiệm về các miền địa lý, thì nói chung, không giới hạn số lượng cái gọi là nhà đăng ký, tức là các công ty có ký kết các thỏa thuận đặc biệt, có thể chịu trách nhiệm về các miền chức năng với ICANN rằng họ sẽ là bên đăng ký tên trong các miền chức năng nhất định. Mô tả ngắn miền chức năng và địa chỉ của nhà đăng ký nó được đưa ra ở dạng .
Nếu có nhiều nhà đăng ký thì địa chỉ của nhà đăng ký chính sẽ được cung cấp (ví dụ: VeriSign cho domain.com). Các miền .gov và .mil được dành riêng cho chính phủ Hoa Kỳ và các tổ chức quân sự Hoa Kỳ và việc bảo lưu .gov được chính thức hóa bởi RFC - RFC 2146 tương ứng. Danh sách đầy đủ tất cả đều hiện hữu trong Hiện nay TLD địa lý cho biết nhà đăng ký tên miền và thông tin cần thiết thông tin liên lạc có thể được xem trong . Mặc dù, giả sử, trong Zone.com, bạn có thể chọn từ một danh sách khổng lồ, thì đối với Zone.ru và.su RUTSENTR, không có tùy chọn nào.
Có một số điểm cần lưu ý ở đây. Trên thực tế, Zone.su thuộc về quốc gia không tồn tại của Liên Xô, mặc dù nó vẫn tiếp tục được phục vụ và mở cửa để đăng ký. Việc đăng ký ở đó khá tốn kém - 100 USD cho việc đăng ký hoặc hỗ trợ mỗi năm.
Không có sự ưu tiên nào theo đó một tổ chức hoặc cá nhân được ưu tiên hơn tổ chức hoặc cá nhân khác khi đăng ký tên miền. Một doanh nhân người Mỹ tham gia sản xuất cửa sổ nhựa, đã đăng ký tên miền windows2000.com. Khi Microsoft cố gắng làm điều tương tự, người ta ngạc nhiên khi biết rằng cái tên này đã được sử dụng và công ty phải trả tiền. một khoản tiền lớn. Thậm chí còn có khái niệm về cybersquatting - quá trình đăng ký tên miền cho mục đích bán lại sau đó. RUTSENTR cũng quyết định tham gia vào việc này và theo các quy định mới được ban hành vào ngày 1 tháng 6 năm 2006, các miền đã phát hành sẽ được đưa ra để "đấu giá tên miền" và chuyển cho người trả giá cao nhất. Tên được giữ tại "đấu giá" trong một năm; nếu không có ai yêu cầu trong thời gian này, tên đó sẽ được đăng ký miễn phí.
Khi các TLD được liệt kê ở trên được tạo, TLD .xxx cũng được lên kế hoạch cho các trang web có chủ đề người lớn. ICANN đã từ chối đề xuất này. Gần đây nó đã được đưa ra để bỏ phiếu lần thứ hai và ICANN lại từ chối nó. Nhưng TLD .tel đã xuất hiện, được thiết kế để sử dụng đồng thời trên máy tính và thiết bị di động.
Có RFC 1480, mô tả các quy tắc đăng ký tên trong miền .us. Những quy định này cực kỳ rườm rà, khó hiểu và yêu cầu phải tạo tên từ cấp độ 6-7 như Hamilton.High.LA-Unified.K12.CA.US
Làm thế nào để chúng ta nhúng nó?
Trước đây, mọi thứ phức tạp hơn nhiều. Để đăng ký Zone.com, tôi phải điền vào nhiều biểu mẫu văn bản - với dữ liệu cho tổ chức, với dữ liệu cho người liên hệ... Những biểu mẫu này sau đó được gửi đến các địa chỉ đặc biệt, từ đó có câu trả lời - được chấp nhận hay không. Sau đó, tệp vùng được tạo trước đã được kiểm tra và một lần nữa một thông báo được gửi qua thư cho dù quá trình kiểm tra có thành công hay không.
Bây giờ mọi thứ đã trở nên đơn giản hơn nhiều. Cả Network Solutions và RUTSENTR đều có giao diện web, với sự trợ giúp của tất cả những điều trên (tất nhiên, ngoại trừ việc tạo tệp vùng) có thể được thực hiện chỉ bằng một vài cú click chuột. Tất cả dữ liệu có thể được sửa chữa, bổ sung hoặc xóa bất cứ lúc nào. Trước đây, cần phải ký kết thỏa thuận dịch vụ với RUCENTER, nhưng bắt đầu từ ngày 1 tháng 6 năm 2006, các quy định mới được đưa ra, theo đó chỉ cần đăng ký trên trang web của họ là đủ. Nhà đăng ký nước ngoài, như một quy luật, chi phí thẻ tín dụng, nhưng nếu miền không thể đăng ký vì bất kỳ lý do gì, tiền sẽ được trả lại không sớm hơn ba ngày sau.
Nhà đăng ký sẽ cần cung cấp địa chỉ IP và mặt nạ mạng con của máy chủ sẽ chạy chương trình máy chủ DNS và sẽ chứa cơ sở dữ liệu chính mà bạn tạo và chỉnh sửa nếu cần. Máy chủ này sẽ được gọi là máy chủ chính (master server). Ngoài ra, bạn sẽ cần chỉ định ít nhất một địa chỉ IP của máy chủ chứa bản sao dự phòng của cơ sở dữ liệu trong trường hợp máy chủ chính bị lỗi. Những máy chủ như vậy được gọi là máy chủ phụ (máy chủ nô lệ). Để không phải suy nghĩ lâu về nơi đặt DNS phụ, RUCENTER đề nghị đặt nó trên trang web của họ. Chi phí của dịch vụ RUCENTER là 15 USD mỗi năm cho mỗi tên miền trong các vùng .ru, .net, .com, .org, 50 USD mỗi tên miền trong các vùng .biz, .info, 100 USD mỗi tên miền trong vùng .su và 5 USD mỗi năm để được hỗ trợ DNS phụ ở bất kỳ vùng nào (bao gồm cả những vùng chưa được đăng ký với chúng).
Tại sao yêu cầu về máy chủ DNS phụ là bắt buộc? Bởi vì sự ổn định DNS hoạt động cực kỳ quan trọng đối với sự ổn định của Internet nói chung, cá nhân hoặc tổ chức đăng ký tên miền phải đáp ứng một số điều kiện nhất định liên quan đến tính ổn định của DNS:
- Phải có ít nhất hai máy chủ phục vụ miền này.
- Các máy chủ này phải có sẵn ít nhất 22 giờ một ngày.
Theo quy định mới, không có yêu cầu nào về việc đặt máy chủ, mặc dù trước đây người ta yêu cầu chúng phải được đặt trên các mạng IP khác nhau.
www.krokodil.ru
Vì vậy, giả sử chúng tôi muốn tạo một trang web www.krokodil.ru (tại thời điểm viết bài này là miễn phí), dành riêng cho việc nuôi cá sấu tại nhà. Có một kết nối đường dây chuyên dụng, mạng loại C, cụ thể là 212.20.5.0 – 212.20.5.255 (phạm vi này hiện miễn phí) do nhà cung cấp phân bổ. Ví dụ này hơi khác so với thời điểm hiện tại vì thiếu địa chỉ IP, nhưng nó được lấy cụ thể để xem xét việc tạo vùng đảo ngược. Tùy chọn kết nối qua mạng 212.20.5.0/31 cũng sẽ được xem xét. Mạng nội bộ của văn phòng nhân giống cá sấu của chúng tôi bao gồm sáu máy tính và sẽ được tách biệt khỏi proxy tường lửa Internet, v.v., chạy FreeBSD. Chúng ta sẽ cần những gì để thực hiện kế hoạch của mình?
Trước hết, tôi lưu ý rằng có những tùy chọn không yêu cầu bất kỳ kiến thức nào về DNS - mọi thứ đều được lưu trữ trên trang web của nhà cung cấp, mọi thứ đều do nhà cung cấp phục vụ, bạn chỉ được cung cấp giao diện web. Dịch vụ này cực kỳ phổ biến ở nước ngoài nhưng lại có rất ít nhu cầu ở Nga. Mô tả của nó nằm ngoài phạm vi của bài viết này nên tôi sẽ không xem xét nó.
Đầu tiên, chúng ta sẽ cần một chương trình máy chủ DNS. Cho đến nay, chỉ có một chương trình thực hiện bộ chức năng cần thiết. Đây là máy chủ DNS BIND được phân phối bởi ISC (Internet System Consortium Inc.), một tổ chức phi lợi nhuận phát triển máy chủ BIND, DHCP, INN và NTP. Nếu nó không có trên hệ thống của bạn, bạn cần tải xuống và cài đặt nó. FreeBSD đi kèm BIND 9.3.2 nên bài viết này sẽ tập trung vào phiên bản đó. Cần lưu ý rằng đối với các phiên bản BIND 8.x, mô tả cấu hình bên dưới là hoàn toàn không được chấp nhận, vì định dạng của cấu hình tập tin BIND 8.x về cơ bản khác với định dạng tệp cấu hình BIND 9.x.
Thứ hai, chúng tôi sẽ cần phân phối các địa chỉ IP được cấp cho chúng tôi và gán địa chỉ cho các máy tính nội bộ. Mọi thứ ở đây cực kỳ đơn giản: gọi 212.20.5.1 là cổng của nhà cung cấp, 212.20.5.2 là địa chỉ của máy chủ UNIX, 10.87.1.0/24 là mạng con nội bộ, trong đó có các máy trạm từ 1 đến 6, 254 là địa chỉ của máy chủ giao diện nội bộ. Các địa chỉ còn lại sẽ được dành riêng cho việc mở rộng trong tương lai.
Thứ ba, bạn sẽ cần một tệp mô tả vùng được chuẩn bị trước để xác định một lượng nhỏđịa chỉ bên ngoài: krokodil.ru – máy chủ gốc của vùng, www.krokodil.ru, ftp.krokodil.ru, mail.krokodil.ru và ns.krokodil.ru. Tên ns (nameserver) gần như là tên truyền thống của các máy tính chạy nó dịch vụ DNS, mặc dù tất nhiên sẽ không ai ngăn cản bạn gọi nó, chẳng hạn như Jaws.krokodil.ru. Tên cũng sẽ được xác định cho các máy tính trong mạng nội bộ, chỉ có thể truy cập được từ bên trong: răng1.krokodil.ru – răng6.krokodil.ru.
bản ghi DNS
Có khá nhiều loại bản ghi khác nhau có thể được đặt trong DNS. Phạm vi của bài viết này cho phép chúng tôi chỉ xem xét những điều quan trọng nhất trong số đó, để có được thông tin đầy đủ bạn nên tham khảo các RFC liên quan: RFC 1033 và RFC 1035 xác định định dạng bản ghi chính, RFC 1122 định dạng bản ghi PTR, RFC 2782 định dạng bản ghi SRV. Chúng tôi sẽ chỉ xem xét những bản ghi cần thiết để tạo các tệp vùng cần thiết cho việc đăng ký tên miền:
- Một bản ghi SOA chỉ định phần đầu của mô tả vùng.
- Bản ghi NS xác định máy chủ tên của vùng.
- Bản ghi A ánh xạ địa chỉ IP tới tên (bản dịch trực tiếp).
- Bản ghi MX mô tả cài đặt gửi thư cho máy tính này.
- Bản ghi CNAME chỉ định các tên thay thế.
- Bản ghi PTR, chỉ định sự tương ứng giữa tên và địa chỉ IP (dịch ngược), được sử dụng trong mô tả vùng “đảo ngược”.
Định dạng bản ghi DNS chung cho tất cả các loại bản ghi:
[tên] [lớp]<тип> <данные>
- Tên– đây là tên của đối tượng mà dữ liệu được liên kết;
- ttl– tuổi thọ của đối tượng;
- Lớp học– lớp hồ sơ;
- kiểu- loại bản ghi;
- dữ liệu– dữ liệu liên quan đến đối tượng này.
Tên có thể nhận bất kỳ giá trị nào, trong trường hợp đó nó được coi là tên của đối tượng. Nếu tên kết thúc bằng dấu chấm thì nó được coi là đủ điều kiện, nếu không thì tên vùng được thay thế ở cuối tên, có thể được chỉ định theo hai cách:
- Bằng cách chỉ định tên vùng trong lệnh $ORIGIN, ví dụ:
$ORIGIN krokodil.ru
- Bằng cách chỉ định tên vùng trong lệnh vùng của tệp cấu hình BIND.
Ký tự đặc biệt "@" cho biết tên vùng hiện tại. Lưu ý rằng lệnh $ORIGIN sẽ ghi đè lệnh vùng và tồn tại cho đến khi lệnh $ORIGIN tiếp theo xuất hiện hoặc cho đến khi kết thúc tệp. Cho đến khi chỉ thị $ORIGIN đầu tiên xuất hiện, nó được coi là giá trị đã cho chỉ thị vùng trong tệp cấu hình BIND.
Nếu đặt tên thì phải bắt đầu ở vị trí đầu tiên của dòng.
TTL thường được bỏ qua và được đặt trên toàn cầu bằng chỉ thị $TTL. Lệnh $TTL là bắt buộc đối với BIND 9.x và thường được đặt ở đầu tệp. Trường dữ liệu của lệnh này chỉ định thời gian tồn tại (tính bằng giây) của một phần tử trong đó nó có thể vẫn còn trong bộ đệm và được coi là đáng tin cậy. TRONG trong ví dụ nàyđây là hai ngày (48 giờ).
$TTL 172800
Lớp đầu vào có thể là một trong các giá trị sau:
- TRONG– ghi lại tài nguyên Internet.
- CH– bản ghi về tài nguyên ChaosNet – một mạng hoàn toàn xa lạ với người dùng Nga, được sử dụng trên các máy Symbolics.
- HS– Bản ghi tài nguyên Hesiod – Giao thức dịch vụ BIND.
Loại bản ghi là một trong những loại được liệt kê ở trên.
Xin lưu ý rằng các trường tên, ttl và lớp có thể được bỏ qua. Trong trường hợp này, giá trị được xác định cuối cùng được lấy làm giá trị của chúng (trong trường hợp này, việc chỉ định @ sẽ là định nghĩa chính xác) và nếu giá trị không được xác định ở bất kỳ đâu, thì đối với trường lớp, giá trị mặc định “IN” là được chấp nhận, đối với các trường khác, nó sẽ dẫn đến thông báo lỗi.
Ngoài các mục, một tệp vùng có thể chứa các lệnh. Tổng cộng có bốn lệnh: $TTL, $ORIGIN, $INCLUDE và $GENERATE. Mô tả về lệnh $GENERATE được đưa ra trong tài liệu dành cho chương trình BIND, cũng như trong và, lệnh $INCLUDE hoạt động theo cách viết của nó - nó bao gồm tệp được chỉ định trong tệp hiện tại.
Lưu ý: ký “;” (dấu chấm phẩy) là dấu chú thích.
Bản ghi SOA
Mục này xác định điểm bắt đầu của vùng. Bất kỳ vùng nào cũng phải bắt đầu bằng một mục SOA. Sự xuất hiện của một mục SOA khác sẽ tự động kết thúc vùng đầu tiên và bắt đầu vùng thứ hai. Định dạng bản ghi SOA được hiển thị bên dưới. Trên thực tế, một bản ghi SOA đặt tên cho một vùng và đặt một số giá trị mặc định cho nó.
2005122001 ; Số seri
3600 ; Thử lại mỗi giờ
172800); Tối thiểu 2 ngày
Hãy xem một ví dụ. Dấu @ trong trường tên có nghĩa là cần phải lấy tên vùng được chỉ định trước đó bởi lệnh $ORIGIN. Lớp bản ghi là IN, loại bản ghi là SOA. SOA là bản ghi duy nhất có điều này danh sách phức tạp thông số.
Tham số đầu tiên là địa chỉ máy chủ tên chính của vùng. Trong ví dụ này, đây là krokodil.ru. Tham số thứ hai là địa chỉ email của người chịu trách nhiệm về vùng này. Xin lưu ý rằng địa chỉ được viết là "username.domain" chứ không phải "username@domain".
Tham số thứ hai là danh sách các giá trị được đặt trong dấu ngoặc đơn. Về mặt lý thuyết, có thể viết nó thành một dòng, nhưng trong thực tế, tôi chưa thấy điều này ở đâu cả; dạng ký hiệu đưa ra trong ví dụ được sử dụng ở mọi nơi. Danh sách bao gồm năm yếu tố:
- Số sê-ri vùng. Cài đặt này đóng vai trò cực kỳ quan trọng trong việc truyền bá bản cập nhật được thực hiện trên máy chủ chính tới tất cả các máy chủ phụ của nó. Phải có cách nào đó để thông báo cho máy chủ phụ rằng dữ liệu trên máy chủ chính đã thay đổi. Nếu máy chủ chính đã được khởi động lại, nó sẽ gửi THÔNG BÁO DNS đến tất cả các máy chủ phụ. Khi nhận được thông báo này, máy chủ thứ cấp sẽ yêu cầu số seri– nếu số sê-ri trên máy chủ chính lớn hơn trên máy chủ phụ thì máy chủ phụ sẽ thực thi lệnh cập nhật vùng. Ngoài ra, máy chủ phụ còn thực hiện kiểm tra số sê-ri định kỳ cho cùng mục đích. Vì vậy, bạn nên nhớ một quy tắc đơn giản: nếu bạn sửa vùng, hãy tăng số sê-ri! Một cách phổ biến của các quản trị viên DNS là tạo số sê-ri như sau: YYYYMMDDv, trong đó:
- YYYY,MM,DD– năm hiện tại (4 chữ số), tháng và ngày tương ứng
- v– phiên bản khu vực trong ngày. Nếu một số thay đổi được thực hiện mỗi ngày, con số này sẽ tăng lên một cách tuần tự.
Tất nhiên, không ai bắt buộc bạn phải tuân theo cách thực hành như vậy. Ví dụ, máy chủ DNS trong Windows họ không dính vào nó, họ chỉ đánh số 1, 2, 3, v.v. - Giá trị khoảng thời gian cập nhật mà sau đó máy chủ phụ phải liên hệ với máy chủ chính và kiểm tra xem số sê-ri vùng có thay đổi hay không. Nếu số sê-ri đã thay đổi, máy chủ nô lệ sẽ tải xuống dữ liệu mới. Trong ví dụ này là 10800 giây (3 giờ).
- Khoảng thời gian sau đó máy chủ phụ sẽ cố gắng liên hệ với máy chủ nếu nỗ lực lấy số sê-ri mới không thành công. Trong ví dụ này là 3600 giây (một giờ).
- Thời gian mà máy chủ nô lệ sẽ phục vụ các yêu cầu cho một vùng nhất định trong trường hợp máy chủ chính vắng mặt trong thời gian dài. Hệ thống vẫn hoạt động ngay cả khi máy chủ chính ngừng hoạt động một thời gian dài thời gian, do đó giá trị của tham số này được đặt thành 1.728.000 giây (20 ngày).
- Thời gian lưu vào bộ nhớ đệm phản hồi tiêu cực. Trong ví dụ này là 172800 giây (2 ngày).
mục nhập NS
Mục này chỉ định tên của các máy chủ hỗ trợ vùng, tức là. dẫn đầu căn cứ của cô ấy. Tên của máy chủ chính và tất cả máy chủ phụ sẽ được liệt kê ở đây. Thông thường mục này ngay sau mục SOA. Một giá trị được nhập vào trường dữ liệu - tên hoặc địa chỉ IP của máy chủ vùng DNS, bất kể đó là máy chủ chính hay phụ. Tất cả các tên được chỉ định ở đây phải đủ điều kiện, nghĩa là kết thúc bằng dấu chấm!
TRONG NS ns.krokodil.ru.
TRONG NS ns4.nic.ru.
Trong ví dụ đã cho, trước tiên chúng tôi mô tả máy chủ chính của vùng ns.krokodil.ru của chúng tôi, sau đó là máy chủ phụ - nút RU CENTER ns4.nic.ru.
Ghi A
Bản ghi loại A là nội dung chính của các tệp trong vùng chuyển đổi trực tiếp hoặc đơn giản là vùng "trực tiếp", nghĩa là đưa ra tên của máy tính theo địa chỉ của nó. Nó được biên dịch cho mỗi máy tính. Để dễ đọc, các bản ghi này thường được nhóm theo thứ tự tăng dần của địa chỉ IP và cũng được nhóm với các bản ghi MX tương ứng với đến địa chỉ IP này, mặc dù điều này tất nhiên là không bắt buộc. Trong trường tên, tên được gán cho địa chỉ IP được nhập, trong trường dữ liệu - địa chỉ IP được gán cho tên đó. Khi một địa chỉ có tên bổ sung, tên được bản ghi A gán cho địa chỉ đó được gọi là tên chính.
răng1 TRONG A 10.87.1.1
răng2 TRONG A 10.87.1.2
răng3 TRONG A 10.87.1.3
răng4 TRONG A 10.87.1.4
răng5 TRONG A 10.87.1.5
răng6 TRONG A 10.87.1.6
Ví dụ này mô tả việc gán địa chỉ IP cho các máy tính trên mạng nội bộ có địa chỉ 10.87.1.0/24. Đối với các máy tính trong mạng nội bộ, theo quy định, không cần phải tạo bất kỳ mục bổ sung, ngoại trừ CNAME.
bản ghi CNAME
Bản ghi CNAME là một tính năng bổ sung của DNS. Nó cho phép bạn gán nhiều tên cho một địa chỉ IP. Trong trường tên, tên bổ sung được gán cho địa chỉ IP được nhập, trong trường dữ liệu, tên chính được gán trước đó bởi bản ghi loại A hoặc tên bổ sung khác do bản ghi CNAME gán. Trong trường hợp này, tên trong trường dữ liệu bản ghi được gọi là chuẩn (do đó tên của bản ghi - Canonical Name). Một địa chỉ IP có thể được gán số lượng tên bổ sung không giới hạn thông qua bản ghi CNAME, nhưng các loại bản ghi khác phải sử dụng tên do bản ghi A gán thay vì bản ghi CNAME. Dưới đây là một ví dụ về việc gán tên bổ sung đúng và sai.
Phải:
ns TRONG A 10.87.1.1
tên1 IN CNAME ns
TRONG MX 10 ns
Sai:
ns TRONG A 10.87.1.254
tên1 IN CNAME ns
TRONG MX 10 tên1
Các bản ghi CNAME có thể trỏ đến nhau, nhưng không quá bảy cấp, cấp thứ tám phải là bản ghi trỏ đến tên được gán bởi bản ghi loại A. Trong tài liệu, có khuyến nghị nên sử dụng nhiều bản ghi loại A thay vì gán nhiều bản ghi. tên bổ sung cho địa chỉ. Về vấn đề này, chúng ta có thể nói rằng điểm này đã được đề cập trong RFC 2219 với ý nghĩa “không có khuyến nghị tuyệt đối nào về vấn đề này, mọi người phải tự quyết định điều gì là tốt nhất cho mình”. Nhiều CNAME dễ quản lý hơn, nhiều bản ghi A dễ xử lý hơn vì xảy ra ít chuyển hướng hơn.
Bản ghi MX
Bản ghi MX là thành phần chính thứ hai của tệp vùng. Mục này là viết tắt của " Trao đổi thư", và nhằm mục đích chỉ ra địa chỉ IP hoặc tên của các máy tính nhận thư cho nút được mô tả trong trường tên. Trường này có thể trống, tên đủ điều kiện hoặc một phần. Nếu trường tên trống hoặc tên đủ điều kiện được chỉ định thì tên đó sẽ được bổ sung từ lệnh $ORIGIN. Tạo bản ghi MX trong các trường hợp phức tạp, khi định cấu hình một vùng khá lớn với sơ đồ nhận thư mở rộng, là một nhiệm vụ rất không hề nhỏ, gắn chặt với công việc của các chương trình sử dụng giao thức SMTP để gửi thư, vì vậy chúng tôi sẽ chỉ xem xét trường hợp đơn giản nhất - tất cả thư đều được nhận bởi máy chủ UNIX. Hai giá trị được nhập vào trường dữ liệu - mức độ ưu tiên và tên hoặc địa chỉ IP của máy tính nhận thư gửi tới máy tính này. Một địa chỉ IP thường có thể có số lượng bản ghi MX không giới hạn được liên kết với nó và tất cả chúng đều phải có mức độ ưu tiên khác nhau. Thư được gửi theo mức độ ưu tiên - đại lý bưu điện sắp xếp các bản ghi theo thứ tự ưu tiên tăng dần và cố gắng gửi thư theo cách này. Giả sử rằng chúng tôi đã đồng ý với quản trị viên của nút behemot.ru rằng chúng tôi có thể sử dụng máy chủ của anh ấy làm nút chuyển tuyến sẽ nhận thư của chúng tôi nhằm mục đích gửi tiếp theo cho người nhận khi kết nối được khôi phục. Sau đó, mô tả về máy chủ krokodil.ru sẽ như thế này:
krokodil.ru. TRONG A 212.20.5.2
TRONG MX 10 krokodil.ru.
TRONG MX 50 behemot.ru.
www TRONG CNAME krokodil.ru.
gửi thư TẠI CNAME krokodil.ru.
ftp TRONG CNAME krokodil.ru.
Cái này ví dụ phức tạp, nó hiển thị ngay việc sử dụng bản ghi MX, A và CNAME. Ở đây chúng tôi:
- Chúng tôi gán tên krokodil.ru cho địa chỉ 212.20.5.2.
- Chúng tôi cho biết rằng thư được gửi đến các địa chỉ như [email được bảo vệ], sẽ chấp nhận (theo thứ tự này):
- máy chủ krokodil.ru;
- máy chủ behemot.ru.
- Chúng tôi xác định các tên bổ sung www.krokodil.ru, mail.krokodil.ru và ftp.krokodil.ru. Xin lưu ý rằng tất cả các tên ở phía bên phải đều đủ điều kiện, nghĩa là chúng kết thúc bằng dấu chấm. Nếu điều này không được thực hiện, giá trị của lệnh $ORIGIN hiện tại sẽ tự động được thay thế ở cuối tên. Trong trường hợp này, điều này sẽ dẫn đến sự xuất hiện của những cái tên như www.krokodil.ru.krokodil.ru.
Bản ghi PTR
Đây là một loại kỷ lục rất đặc biệt. Trong ví dụ của chúng tôi, chúng tôi “đặc biệt” lấy toàn bộ mạng con để xem xét trường hợp hoạt động “bình thường” với các bản ghi PTR. Trường hợp với mạng 212.20.5.0/31 sẽ được thảo luận sau.
Bản ghi PTR được thiết kế để thực hiện dịch ngược tên thành địa chỉ IP. Những phép biến đổi như vậy được sử dụng rất rộng rãi trong các chương trình khác nhau, cung cấp quyền truy cập vào một số tài nguyên mạng: Họ kiểm tra xem bản dịch xuôi và ngược có khớp nhau không và nếu có bản ghi PTR không khớp hoặc bị thiếu, họ có thể từ chối quyền truy cập. Vùng chứa các bản ghi PTR được gọi là vùng dịch ngược hoặc đơn giản là vùng "đảo ngược".
Bản ghi PTR không liên quan đến A, MX, CNAME và các bản ghi khác mô tả chuyển đổi trực tiếp. Điều này được thực hiện có chủ ý để sử dụng cùng một bộ cho cả hai phép biến đổi module phần mềm. Tuy nhiên, ở đây sự phức tạp đang chờ chúng ta loại sau– tên miền đủ điều kiện theo mẫu www.krokodil.ru. “tăng kích thước” từ trái sang phải (nghĩa là các nút được phóng to khi bạn di chuyển qua văn bản tên từ trái sang phải) và địa chỉ IP 212.20.5.2 là từ phải sang trái. Để thống nhất các mô-đun chương trình, quy ước sau đã được thông qua: tất cả địa chỉ IP đều là tên được bao gồm trong TLD đặc biệt in-addr.arpa. Các "vùng" trong miền này là mạng con và tên vùng được viết dưới dạng địa chỉ IP đọc ngược. Do đó, “tên” của vùng đảo ngược của chúng tôi sẽ là 5.20.212.in-addr.arpa cho vùng đảo ngược chứa mô tả cho mạng bên ngoài và 1.87.10.in-addr.arpa cho vùng đảo ngược chứa mô tả về mạng mạng nội bộ.
Cũng giống như để sử dụng một tên miền, bạn phải đăng ký nó, để sử dụng bản dịch ngược, bạn phải đăng ký một "vùng" đảo ngược với điều phối viên vùng đảo ngược. Không giống như các khu vực chuyển đổi trực tiếp, chỉ có một điều phối viên và việc đăng ký với anh ta là miễn phí. Việc đăng ký vùng đảo ngược được xử lý bởi RIPE NCC. Tất cả thông tin về việc đăng ký vùng đảo ngược được cung cấp trong.
Tại sao cần phải đăng ký vùng lùi? Máy chủ cấp cao nhất trong vùng in-addr.arpa phải biết rằng để thực hiện yêu cầu dịch ngược, nó phải liên hệ với máy chủ đó, trong trường hợp này là 212.20.5.2 của chúng tôi. Tất nhiên, không cần phải đăng ký vùng đảo ngược của mạng con nội bộ ở bất cứ đâu.
Bản ghi PTR trông rất đơn giản - phần cuối cùng của địa chỉ IP được nhập vào trường tên và tên dịch trực tiếp đủ điều kiện được nhập vào trường dữ liệu. Tôi thu hút sự chú ý của bạn đến điều cuối cùng - tên được nhập vào trường dữ liệu phải đủ điều kiện, vì bản ghi PTR tự xác định mối quan hệ giữa địa chỉ IP và tên, chúng không thể nhận thông tin từ bất kỳ đâu về khu vực dịch trực tiếp không đủ điều kiện tên nên được gán cho .
$ORIGIN 1.87.10.in-addr.arpa
Răng 1 IN PTR1.krokodil.ru.
2 IN PTR răng2.krokodil.ru.
3 IN PTR răng3.krokodil.ru.
4 IN PTR răng4.krokodil.ru.
5 IN PTR răng5.krokodil.ru.
6 IN PTR răng6.krokodil.ru.
Trong ví dụ trên, chúng tôi đã chỉ định chuyển đổi ngược cho các máy tính trong mạng nội bộ. Đối với máy chủ, chúng tôi sẽ viết một dòng (trong ví dụ thực tế Các chỉ thị $ORIGIN không cần phải được chỉ định, chúng chỉ được đưa ra để làm rõ chúng ta đang nói đến vùng nào):
$ORIGIN 5.20.212.in-addr.arpa
2 TRONG PTR krokodil.ru
Cần lưu ý ở đây rằng bản ghi CNAME không được sử dụng để chỉ định nhiều kết quả trùng khớp ngược, vì vậy khi hỏi “tên nào khớp với địa chỉ 212.20.5.2”, kết quả sẽ luôn là krokodil.ru, bất kể số lượng bí danh được đặt cho nó.
Sẽ khác như thế nào khi nhà cung cấp phân bổ khối 212.20.5.0/31 thay vì toàn bộ mạng con? Từ quan điểm tạo ra tất cả các bản ghi ngoại trừ PTR, không có gì. Quy trình tạo vùng trực tiếp và đăng ký vùng đó không phụ thuộc vào số lượng địa chỉ, đặc biệt vì trong hầu hết các trường hợp không cần nhiều địa chỉ. Tuy nhiên, xét về mặt bản ghi PTR thì có sự khác biệt. Hướng tới sự đơn giản hóa. Hoặc có thể không, tùy thuộc vào nhà cung cấp. Và nó nằm ở chỗ các hồ sơ:
cổng.krokodil.ru. TRONG A 212.20.5.1
krokodil.ru. TRONG A 212.20.5.2
sẽ ở trên máy chủ của bạn và do bạn quản lý, nhưng các mục:
Cổng 1 IN PTR.krokodil.ru.
2 TRONG PTR krokodil.ru.
phải do nhà cung cấp hình thành, vì khả năng tự đăng ký vùng đảo ngược và tự quản lý nó chỉ được cung cấp nếu bạn có mạng ít nhất là loại C. Điều này, một mặt, giúp công việc dễ dàng hơn - bạn không. cần phải đăng ký với RIPE, nhưng mặt khác, nó làm phức tạp thêm việc thay đổi cách đặt tên máy chủ mỗi lần phải liên hệ với nhà cung cấp.
Cấu trúc tập tin
Tất nhiên, bản thân BIND không quan tâm đến thứ tự các bản ghi hoặc cách chúng được định dạng. Điều này chỉ quan trọng đối với những người sẽ duy trì vùng này, đặc biệt nếu vùng đó được thay đổi thường xuyên. Ở đây tôi sẽ mô tả việc phân bổ các vùng theo tệp vì nó được sử dụng trong các vùng mà tôi duy trì. Tất nhiên, đây không phải là mệnh lệnh duy nhất có thể thực hiện được và có lẽ không phải là mệnh lệnh tốt nhất. Nhưng nó đã có tác dụng.
Vùng bên ngoài và bên trong
BIND 8.x có một nhược điểm cực kỳ lớn - nó không cho phép phân biệt thông tin đầu ra tùy thuộc vào bất kỳ yếu tố nào - cần phải hiển thị những gì không cần thiết hoặc ẩn những gì cần thiết. Hoàn toàn không cần thiết cho các máy khách bên ngoài biết về sự hiện diện của các máy tính trên mạng nội bộ, nhưng vì không có cách nào để phân tách thông tin nên bất kỳ máy tính nào cũng có thể thiết lập cấu trúc của mạng nội bộ thông qua truy vấn DNS. BIND 9.x không có nhược điểm này - nó cho phép bạn phân phối các yêu cầu trên các “chế độ xem” bằng cách sử dụng Danh sách điều khiển truy cập (ACL). Chế độ xem có thể có tên tùy ý, thường tạo chế độ xem nội bộ được khách hàng trên mạng con nội bộ hài lòng và chế độ xem bên ngoài được tất cả những người khác hài lòng. Ở đây hãy nhớ rằng đây là cùng một vùng, nó chỉ được hiển thị khác nhau - theo quy luật, các tệp vùng bên ngoài chỉ chứa thông tin mà máy khách bên ngoài cần - về máy chủ bên ngoài, về đường dẫn gửi thư, v.v. và các tệp vùng bên trong phản ánh toàn bộ cấu trúc liên kết mạng. Hơn nữa, nếu đi kèm vùng đảo ngược, thì cần phải chia thông tin về địa chỉ chuyển đổi ngược thành các file theo cách tương tự.
Vì vậy, hãy quay lại ví dụ của chúng tôi.
Cấu trúc tập tin sẽ như sau. Chúng tôi có vùng trực tiếp krokodil.ru và vùng đảo ngược 5.20.212.in-addr.arpa. Ngoài ra, vùng đảo ngược 0.0.127.in-addr.arpa phải có mặt để đảm bảo dịch ngược chính xác localhost 127.0.0.1. Vùng này cần thiết để ngăn BIND cố gắng truy vấn chính các máy chủ gốc, điều này xảy ra khi 127.0.0.1 trỏ tới “localhost”. Bản ghi chuyển đổi trực tiếp 127.0.0.1 localhost.krokodil.ru sẽ được ghi vào tệp chuyển đổi trực tiếp vùng nội bộ. Để không tải mạng khi truyền dữ liệu vô ích, các vùng bên ngoài và bên trong được sử dụng mục khác nhau SOA – các bản ghi ở vùng bên ngoài rất hiếm khi thay đổi và ở vùng bên trong thay đổi khá thường xuyên. Vì vậy chúng tôi có các tập tin sau:
- localhost.rev– tệp vùng chuyển đổi ngược 0.0.127.in-addr.arpa. Tệp này tồn tại chỉ để thể hiện nội bộ.
- khu212.rev– tệp vùng chuyển đổi ngược 5.20.212.in-addr.arpa.
- khu10.rev– tệp vùng đảo ngược nội bộ 1.87.10.in-addr.arpa.
- trực tiếp-krokodil-ru.int– tập tin vùng chuyển đổi trực tiếp nội bộ krokodil.ru.
- trực tiếp-krokodil-ru.ext– tập tin vùng chuyển đổi trực tiếp bên ngoài krokodil.ru.
- krokodil-ru-int.soa– một tệp có bản ghi SOA và NS cho các vùng nội bộ.
- krokodil-ru-ext.soa– một tệp có bản ghi SOA và NS cho các vùng bên ngoài.
Mặc dù có danh sách phong phú nhưng các tệp khá ngắn nên chúng được trình bày đầy đủ ở đây, ngoại trừ các nhận xét.
Hãy ghi một lưu ý liên quan đến tên localhost. RFC 1912 đề cập cụ thể đến việc cài đặt các tệp để phân giải thành 127.0.0.1 và localhost. Trong ví dụ của chúng tôi, vùng localhost tuân thủ RFC 1912, mặc dù trong đời thực, hoàn toàn có thể gặp phải độ phân giải tên 127.0.0.1 localhost.domain.tld và độ phân giải ngược tương ứng.
Tệp Localhost.rev. Sử dụng một bản ghi SOA duy nhất cùng với vùng đảo ngược nội bộ:
$ BAO GỒM /etc/namedb/krokodil-ru-int.soa
1 TRONG PTR localhost.
Tệp vùng212.rev:
Cổng 1 IN PTR.krokodil.ru.
2 TRONG PTR krokodil.ru.
Tệp vùng10.rev:
$ BAO GỒM /etc/namedb/krokodil-ru-int.soa
Răng 1 IN PTR1.krokodil.ru.
2 IN PTR răng2.krokodil.ru.
3 IN PTR răng3.krokodil.ru.
4 IN PTR răng4.krokodil.ru.
5 IN PTR răng5.krokodil.ru.
6 IN PTR răng6.krokodil.ru.
Tệp trực tiếp-krokodil-ru.int:
$ BAO GỒM /etc/namedb/krokodil-ru-int.soa
krokodil.ru. TRONG 10.87.1.254
TRONG MX 10 krokodil.ru.
www TRONG CNAME krokodil.ru.
gửi thư TẠI CNAME krokodil.ru.
proxy TRONG CNAME krokodil.ru.
ftp TRONG CNAME krokodil.ru.
ns TRONG CNAME krokodil.ru.
localhost. TRONG 127.0.0.1
răng1 TRONG A 10.87.1.1
răng2 TRONG A 10.87.1.2
răng3 TRONG A 10.87.1.3
răng4 TRONG A 10.87.1.4
răng5 TRONG A 10.87.1.5
răng6 TRONG A 10.87.1.6
Tệp direct-krokodil-ru.ext:
$ BAO GỒM /etc/namedb/krokodil-ru-ext.soa
krokodil.ru. TRONG A 212.20.5.2
TRONG MX 10 krokodil.ru.
TRONG MX 50 behemot.ru.
www TRONG CNAME krokodil.ru.
gửi thư TẠI CNAME krokodil.ru.
ftp TRONG CNAME krokodil.ru.
cổng IN A 212.20.5.1
Tệp krokodil-ru-int.soa:
@ TRONG SOA krokodil.ru. Hostmaster.krokodil.ru. (
2006051202; Số seri
10800; Làm mới sau mỗi 3 giờ
3600 ; Thử lại mỗi giờ
1728000; Hết hạn sau mỗi 20 ngày
172800); Tối thiểu 2 ngày
TRONG NS krokodil.ru.
Tệp krokodil-ru-ext.soa:
$TTL 172800
@ TRONG SOA korkodil.ru. Hostmaster.krokodil.ru. (
2005122001 ; Số seri
10800; Làm mới sau mỗi 3 giờ
3600 ; Thử lại mỗi giờ
1728000; Hết hạn sau mỗi 20 ngày
172800); Tối thiểu 2 ngày
TRONG NS krokodil.ru.
TRONG NS ns4.nic.ru.
Phần kết luận
Làm cách nào để tạo, định cấu hình và chạy máy chủ DNS cho doanh nghiệp nhỏ? Trên thực tế, nó không khó như ban đầu - chỉ cần đi qua con đường này một lần là đủ, các hành động tiếp theo sẽ diễn ra “tự động”.
Ứng dụng
Tên miền cấp cao nhất
Ban đầu, theo RFC 920, danh sách các TLD chức năng chỉ bao gồm .com, .gov, .mil, .edu, .org, lần lượt đại diện cho các tổ chức thương mại, chính phủ, quân sự, giáo dục và phi lợi nhuận. Sau đó, danh sách này được mở rộng phần nào - vào năm 1985, TLD .net đã được thêm vào, đại diện cho các tổ chức cung cấp dịch vụ mạng, và năm 1988 - TLD .int, đại diện cho các tổ chức quốc tế. Vào năm 2001-2002, người dùng Nga thực tế không biết đến các TLD TLD .aero, .biz, .cat, .coop, .jobs, .mobi, .museum, .name, .pro và .travel đã được thêm vào danh sách này. Hơn thông tin chi tiếtđược đưa vào . Các miền địa lý được phân phối một lần và mãi mãi. Mặc dù điều này không có nghĩa là bạn không thể đăng ký tên miền của mình với nó. Nhiều tên miền địa lý trùng hợp ngẫu nhiên với những từ viết tắt “nổi tiếng” vô cùng hấp dẫn. Ví dụ: .md (Moldova) rất hấp dẫn đối với cơ sở y tế và cư dân Maryland, Hoa Kỳ; .tv (Tuvalu) – dành cho các trang web liên quan đến truyền hình; .tm (Turkmenistan) trùng với cách viết của từ viết tắt “Trade Mark”, và .nu (Niue - có một thuộc địa trên đảo như vậy) - dành cho các trang web theo phong cách “khỏa thân”.
