دسترسی به DNS server در دیگر سازمان ها
موقعی که یک اکتیودایرکتوری دامین در سازمان ها دارای نام دامینی است که در top-level DNS server ها بر روی اینترنت ثبت نشده است یک عمل امنیتی برای این است که zone اکتیودایرکتوری سازمان ها توسط recursive query ها پاسخ داده نمی شود و در دسترس دیگر کامپیوترها در اینترنت نیست اما در بعضی از مواقع سازمان ها نیاز به ترجمه های FQDN با دیگر سازمان ها دارند که در Zone اکتیو دایرکتوری تبادل انجام شود در این حالت عمل forwarder در تمام نقاط به درخواست های سازمان ها پاسخ می دهد همچنین می توان Forwarder شرطی به نام Stup dns server ایجاد کرد و Targer این درخواست های Forwarder را به طور مستقیم در Zone آن سازمان هدایت کرد
A ( HOST ) : انجام ترجمه FQDN به IPv4
AAAA (IPv6 Host) : انجام ترجمه FQDN به IPV6
CNAME (Canonical Name) : به نام اسامی مستعار یا Alias معروف است FQDN به FQDN های دگیر ترجمه می شود برای مثال یک CNAME رکورد می تواند برای ترجمه www.microsoft.com به server05.microsoft.com استفاده شود
MX (Mail Exchanger) : برای سرور های ایمیل در یک Zone کاربرد دارد
NS (Name Server) : یک dns سرور که authoritative برای یک Zone است
PTR (Pointer) : ترجمه IP به FQDN
SOA (Start of Authority) : اطلاعات و تنظیمات Zone مانند zone transfer و TTL برای رکورد ها در اینجا تنظیم می شود
SRV (Service Location) : برای FQDN در یک دامین کنترلر در اکتیودایرکتوری کاربرد دارد
WINS Lookup : درخواست های forward lookup به صورت یک NetBIOS در سرور Windows Internet Name Service (WINS) کاربرد دارد
توجه داشته باشید که رکورد های A - AAAA به صورت (adslfa.blog.ir) خودکار و داینامیکی و حتی توسط خود شما به صورت دستی قابل پیاده سازی هستند که از ویندوز سرور 2000 به این شکل بود رکوردهای SRV هم برای کامپیوترهایی که داخل اکتیودایرکتوری های محلی هستند به صورت خودکار و داینامیک رکورد سازی می کند توجه داشته باشید به عمل داینامیکی DNS Server گفته می شود Dynamic DNS (DDNS) !!!
round robin
رکورد هاست برای اینکه به صورت Load balance بر روی شبکه سرویس دهی شود از DNS به نام
round robin استفاده می شود برای مثال اگر دو وب سرور داشته باشیم که با ( آدرس های 172.16.0.61 و 172.16.0.62 ) و کاربران شما بخواهند با استفاده ار عمل ترجمه FQDN به آدرس server1.domainX.com دسترسی پیدا کنند در این صورت باید 2 تا رکورد A را برای FQDN این دامنه ایجاد کرد و اولین A رکورد به صورت server1.domainX.com با آدرس IP - 172.16.0.61 اعمال می شود و دومین رکورد A برای server1.domainX.com به صورت e IP address 172.16.0.62 خواهد بود حالا کاربر اول می تواند یک عمل forward lookup را برای server1.domainX.com ارسال کند و حالا DNS سرور هر دو آدرس (adslfa.blog.ir) را بر می گرداند (172.16.0.61 - 172.16.0.62) کاربر با ارسال درخواست های بعدی بر روی هر دو آدرس IP گردش می کند تا به آدرس وب دسترسی پیدا کند توجه داشته باشید راند رابین همیشه آدرس ها را از اولین آدرس تا به پایین بررسی می کند و همیشه ارجعیت با اولین آدرس در لیست موجود خواهد بود این عمل را netmask order گفته می شود که عمل روتینگ راند رابین را انجام می دهد
تنظیمات DNS Server
در ویندوز سرور ( مثلاً در اینجا بر روی ویندوز سرور 2019 ) ابتدا رل DNS Server باید نصب شود تا یک DNS Server به صورت یک کش DNS ایجاد شود همچنین root hint و cached entry به درخواست ها پاسخ می دهند و lookup zone ها بر روی DNS Server به صورت authoritative پاسخ دهی می شوند همچنین امکان root hint برای ترجمه آدرس هایی که در داخل شبکه موجود نیستند و نیاز هست تا عمل recursive به درخواست ها داده شود در اینجا میسر خواهد بود برای نصب اکتیودایرکتوری نیاز به نصب dns server خواهید داشت عمل authoritative بین اکتیودایرکتوری و دامین کنترلر و رکوردهای ذخیره شده در یک Active Directory-integrated primary zone به صورت داینامیکی و خودکار اپدیت های کامپیوترهایی که به دامین وصل می شوند را انجام می دهد :
شکل بالایی نمایی از محیط مدیریتی DNS Server ویندوز را نشان می دهد - دارای یک forward lookup zone به نام domainX.com است و فایل های هاست و رکورد ها برای این دامنه در اکتیودایرکتوری نگهداری می شود در اینجا A رکوردی برای دو شبکه اینترنت روی سروری که نام آن را serverx هست به صورت ( 172.16.0.1 - 192.168.1.107 ) - FQDN برای دامنه serverx.domainX.com و domainX.com ( که در شکل بالا به صورت parent folder نمایش داده شده است ) در اینجا یک رکورد A به صورت SERVERY با 192.168.1.150 داریم و یک رکورد SOA برای zone و یک رکورد NS برای Zone که عمل شناسایی serverx و مانند یک authoritative DNS Server عمل می کند ایجاد کرده ایم رکورد های هاست برای SERVERY و دو هاست domainX.com که به صورت داینامیکی رکوردها را بروزرسانی می کنند و به صورت یک لیست زمانی اصطلاحاً Timestamp می شوند در این بازده های زمانی هر کامپیوتری برای اتصال به DNS Server آپدیتی از رکورد ها را خواهد داشت برای domainX.com forward lookup zone فولدرهایی دیگری داریم به نام های SRV رکورد - LDAP - global catalog - Kerberos وجود دارند - برای مثال فولدر _tcp شمامل رکوردهای SRV است که در پروتکل TCP/IP کار میکند فولدرهای _sites شامل رکوردهای SRV که دامین کنترلر را برای سایت ساماندهی می کند اپدیت داینامیکی رکوردهای the _msdcs برای اطلاعات (adslfa.blog.ir) محلی انجام می شود domainX.com forward lookup zone خود دارای رکورد SRV که به سرعت دادن برای جستجوی دامین کنترلر ها در فارست و تراست فارست ها کمک می کند شکل بالا همچنین شامل DNS Server به صورت 0.16.172.in-addr.arpa که یک reverse lookup zone است عمل می کند این reverse lookup zone عمل عکس نام ها به IP هست که همراه .in-addr.arpa و شامل Zone از منابع رکوردهایی که برای 172.16.0.0/24 استفاده می شود درخواست های فوروارد شده برای lala.com به دیگر سازمان ها انجام می شود و شامل یک Zone به صورت conditional forwarder هست
تنظیمات Primary Zone
شما می توانید به تعداد نامحدودی Primary Zone ایجاد کنید و reverse lookup zones روی یک dns سرور برای نگهداری رکوردها و عملیات authoritative برای یک Zone در فضای نام دامین داشته باشید شما می توانید تنظیمات برای هر Zone رو به این شکل داشته باشید :
1- اجازه برای اپدیت به صورت داینامیکی 2- رکرود به صورت دستی توسط مدیر سرور ایجاد شود
ساخت یک Primary Forward Lookup Zone
شما با راست کلیک بر روی فولدر Forward Lookup Zones تا ویزاد ساخت آن شروع شود :
چک باکس Store the zone in Active Directory به صورت پیش فرض انتخاب شده تا یک Active Directory-integrated primary zone هم ایجاد شود اما شما می توانید این گزینه را از انتخاب خارج کنید تا رکوردها داخل اکتیودایرکتوری ذخیره نشود با انتخاب این گزینه و next باعث می شود تا اکتیودایرکتوری integrated primary zone ایجاد و انتقالات رکوردی بین دامین کنترلرها صورت بگیرد این ارتباط بر روی دامین کنترلر domainX.com رخ می دهد شکل زیر :
انتخاب گزینه بالا باعث ایجاد انتقالات Active Directory-integrated zone خواهد شد با next بعدی باکس Zone name به صورت zoneX.com نمایش داده می شود این zone در بخش C:\Windows\system32\dns قرار دارد و با نام zoneX.com.dns. قابل مشاهده می باشد توجه داشته باید که فایل های زون ها دارای استاندارد هستند و در شکل زیر نمایش داده شده است :
شکل بالا فایل Zone را نشان می دهد که می توان با انتخاب چک باکس بعدی یک کپی از zone فایل هایی که در محل ذخیره سازی DNS هست را انتخاب کرد در شکل پایین هم امن سازی یا عدم امن سازی عملکرد انتقالات رکوردهای که به صورت داینامیکی آپدیت می شوند را نشان می دهد :
Primary Reverse Lookup Zone
مانند مراحل بالا بر روی فولدر Reverse Lookup Zones راست کلیک می کنیم و New Zone ویزارد را انجام می دهیم
پروتکل IP دلخواه برای reverse lookup zone type انجام می شود بعد در شکل پایین اسمی برای ان انتخاب می کنیم :
فایل زون مورد نظر را انتخاب می کنیم
ساخت Resource Record
بعد از ساخت forward - reverse lookup zone شما می توانید رکوردهایی به صورت دستی ایجاد کنید ممکن است شما نیاز داشته باشید رکورد CNAME و MX را برای شرایط خاصی روی round robin یا netmask ordering تنظیم کنید یا ممکن است رکورد PTR برای کامپیوترهایی که نتوانستند داینامیکی آن را ایجاد کنند به صورت دستی ایجاد کنید یا اصلاً ممکن است سیستم عامل هایی داینامیک رکورد را پشتیبانی نکنند
تنظیم و پیکربندی Zone
بعد از اینکه یک primary zone ایجاد شد شما با راست کلیک در منوی DNS Manager و گزینه Properties می توانید نوع Zone و رکوردها پیش فرض را مدیریت کنید منوی General و توقف در ( فولدر DomainX.com ) گزینه Active Directory-integrated zone کار تبادل و انتقال را داینامیکی انجام می دهد و به صورت خودکار رکوردها ایجاد می شود سپس در بخش Agile رکوردهای قدیمی stale resource records می شوند این برای کامپیوترهایی که مدتی طولانی در شبکه نیستند صورت می گیرد این فرایند scavenging نام دارد شکل زیر نمایی از این منو را نشان می دهد :
در پنجره Zone Aging/Scavenging Properties منوی Scavenge stale resource records به صورت پیش فرض No-refresh interval با 7 روز انتخاب شده است بعد از ان Refresh interval که ان هم پیش فرض روی 7 روز قرار داده شده است و بعد از اینکه رکورد کامپیوتر ها در 14 روز اپدیت نشود عمل پاک سازی انجام می شود :
نکته : برای حذف دستی سوابق رکورد های قدیمی هم می توانید بر روی سرور DNS راست کلیک کنید و گزینه Scavenge Stale Resource Records را بزنید
نکته : Scavenging تنها مختص به رکوردهای داینامیکی است و انها که دستی ایجاد شده اند را لحاظ نمی کند