Rashid Achilov
Mencipta zon DNS
Domain Sistem Nama– sejenis “sistem saraf” Internet. Terima kasih kepadanya bahawa apabila anda menaip , anda sampai ke tapak web majalah "Pentadbir Sistem", dan bukan di tempat lain. Bagaimana untuk mencipta, mengkonfigurasi dan menjalankan pelayan DNS untuk perusahaan kecil?
struktur DNS
Pada masa ini, Internet ialah rangkaian besar yang merangkumi berjuta-juta nod yang terletak di seluruh dunia. Untuk permintaan yang dibuat daripada satu komputer untuk mencapai matlamat yang terletak pada komputer lain, matlamat ini mesti ditentukan terlebih dahulu. Anda boleh, tentu saja, menentukan alamat IP secara langsung. Jika anda mengenalinya, sudah tentu. Tetapi di sini adalah mungkin untuk membuat kesilapan dengan mudah - maklumat tentang tempat alamat yang anda perlukan mungkin telah berubah, dan senario kes terbaik anda akan melihat mesej yang mengatakan bahawa alamat itu tidak ditemui, dan dalam kes yang paling teruk, anda akan mendapati diri anda berada di tapak yang langsung tiada kaitan dengan apa yang anda perlukan. Ia akan menjadi lebih dipercayai dan lebih mudah untuk beralih kepada sistem yang menyimpan surat-menyurat antara nama simbolik seperti www.site dan alamat IP yang sepadan dengannya pada masa ini (dalam kes kami, 217.144.98.99). DNS adalah sistem sedemikian. Oleh kerana operasi keseluruhan Internet bergantung pada kejayaannya berfungsi, sistem ini beroperasi pada prinsip pangkalan data yang diedarkan - terdapat 13 pelayan "terkenal", ia juga dipanggil pelayan "root", mengandungi maklumat tentang pelayan, mengandungi maklumat tentang pelayan dll. Seperti rumah yang Jack bina.
Seluruh rangkaian Internet, yang diterangkan oleh zon "." (titik) dibahagikan kepada apa yang dipanggil TLD (Domain Tahap Atas - domain tingkat atas), diedarkan sama ada secara fungsional atau geografi. Terdapat juga istilah domain primer - "domain utama", atau "domain peringkat pertama", tetapi istilah ini digunakan dengan lebih jarang. Pengedaran geografi dijalankan mengikut ISO 3166, yang menetapkan kod dua dan tiga huruf untuk semua negara di dunia. Peruntukan mengikut asas fungsi dijalankan mengikut keperluan untuk mencipta TLD baharu. Perlu diingatkan di sini bahawa semua isu mengenai TLD ditangani oleh ICANN (Internet Corporation for Assigned Names and Numbers), dan badan inilah yang memutuskan sama ada untuk mencipta TLD baharu.
Pelayan akar sendiri mengandungi hanya pautan ke pelayan yang mengandungi maklumat tentang zon peringkat kedua, yang seterusnya mengandungi maklumat tentang pelayan yang mengandungi maklumat tentang zon peringkat ketiga, dsb. Dalam kebanyakan kes, hierarki berakhir pada zon ketiga atau keempat. Tetapi bukan kerana terdapat beberapa jenis batasan di sini. Mengingati nama kompleks tidak lebih mudah daripada alamat IP.
Oleh itu, proses mencari maklumat, katakan, mengenai pelayan web www.granch.ru, akan kelihatan seperti ini:
- Pelanggan menghubungi pelayan DNSnya, alamat yang ditetapkan oleh pentadbir sistem dengan permintaan "Beritahu saya alamat yang sepadan dengan nama www.granch.ru."
- Pelayan DNS mengetahui alamat pelayan dari mana ia harus mula mencari jika maklumat yang diminta tidak disimpan dalam cachenya, jadi ia beralih kepada salah satu daripadanya.
- Pelayan akar menghantar kepadanya alamat pelayan yang bertanggungjawab untuk zone.ru
- Pelayan DNS mengakses pelayan zone.ru
- Pelayan zone.ru menghantar kepadanya alamat pelayan yang bertanggungjawab untuk zon grainch dalam zonnya.
- Pelayan DNS mengakses pelayan zon granch.ru.
- Dan akhirnya, pelayan zon granch.ru memberitahunya alamat yang sepadan dengan nama www. DALAM dalam kes ini ia akan menjadi 81.1.252.58.
Proses ini digambarkan dalam Rajah. 1, di mana nombor menunjukkan urutan permintaan.
Bagaimana untuk mengintegrasikan maklumat anda ke dalam struktur DNS?
Sebelum menyertai mana-mana sistem, anda perlu mempunyai beberapa idea di mana dan bagaimana untuk menyertai.
Di manakah kita membenamkannya?
Pelayan yang berbeza bertanggungjawab untuk TLD yang berbeza, dan jika, sebagai peraturan, satu pelayan (lebih tepat, satu organisasi) bertanggungjawab untuk domain geografi, maka, secara amnya, bilangan tanpa had yang dipanggil pendaftar, iaitu syarikat yang mempunyai menandatangani perjanjian khas, boleh bertanggungjawab untuk domain berfungsi dengan ICANN bahawa mereka akan menjadi orang yang mendaftarkan nama dalam domain berfungsi tertentu. Penerangan ringkas tentang domain berfungsi dan alamat pendaftarnya diberikan dalam.
Jika terdapat beberapa pendaftar, maka alamat yang utama diberikan (contohnya, VeriSign untuk domain.com). Domain .gov dan .mil dikhaskan secara eksklusif untuk kerajaan Amerika dan organisasi tentera Amerika, dan tempahan .gov diformalkan oleh RFC yang sepadan - RFC 2146. Senarai lengkap semua yang sedia ada pada masa ini TLD geografi yang menunjukkan pendaftar domain dan maklumat hubungan yang diperlukan boleh didapati di. Walaupun jika, katakan, dalam zone.com anda boleh memilih daripada senarai yang besar, maka untuk zones.ru dan.su RUTSENTR, tiada pilihan.
Terdapat beberapa perkara yang perlu diperhatikan di sini. Sebenarnya, zone.su merujuk kepada keadaan yang tidak wujud Kesatuan Soviet(Kesatuan Soviet), walaupun ia terus diservis dan dibuka untuk pendaftaran. Pendaftaran di sana agak mahal - $100 untuk pendaftaran atau sokongan setahun.
Tiada keutamaan di mana satu organisasi atau orang mempunyai keutamaan berbanding yang lain semasa mendaftar domain. Seorang ahli perniagaan Amerika yang terlibat dalam pengeluaran tingkap plastik mendaftarkan domain windows2000.com. Apabila Microsoft cuba melakukan perkara yang sama, ia terkejut apabila mendapati bahawa nama itu telah diambil, dan syarikat itu perlu membayar jumlah yang besar. Malah terdapat konsep "cybersquatting" - proses mendaftarkan domain untuk tujuan penjualan semula seterusnya. RUTSENTR juga memutuskan untuk mengambil bahagian dalam perkara ini, dan mengikut peraturan baru, yang diperkenalkan pada 1 Jun 2006, domain yang dikeluarkan disediakan untuk "lelongan nama domain" dan dipindahkan kepada pembida tertinggi. Nama disimpan di "lelong" selama setahun; jika tiada sesiapa yang menuntutnya dalam tempoh ini, nama itu dikeluarkan untuk pendaftaran percuma.
Apabila TLD yang disenaraikan di atas dicipta, TLD .xxx juga telah dirancang untuk tapak bertema dewasa. ICANN menolak cadangan ini. Ia baru-baru ini disediakan untuk undian kedua dan ICANN menolaknya sekali lagi. Tetapi TLD .tel muncul, direka untuk digunakan secara serentak pada komputer dan peranti mudah alih.
Terdapat RFC 1480, yang menerangkan peraturan untuk mendaftarkan nama dalam domain .us. Peraturan ini amat menyusahkan dan mengelirukan serta memerlukan penciptaan nama daripada 6-7 peringkat seperti Hamilton.High.LA-Unified.K12.CA.US
Bagaimana kita membenamkannya?
Sebelum ini, semuanya lebih rumit. Untuk mendaftar zone.com, saya perlu mengisi banyak borang teks - dengan data tentang organisasi, dengan data tentang orang yang boleh dihubungi... Borang ini kemudiannya dihantar ke alamat khas, dari mana respons datang - diterima atau tidak. Kemudian fail zon pra-jana telah diuji, dan sekali lagi mesej dihantar melalui mel sama ada ujian itu berjaya atau tidak.
Sekarang semuanya menjadi lebih mudah. Kedua-dua Penyelesaian Rangkaian dan RUTSENTR telah memperoleh antara muka web, dengan bantuan semua perkara di atas (kecuali, sudah tentu, membuat fail zon) boleh dilakukan dengan beberapa klik tetikus. Semua data boleh diperbetulkan, ditambah atau dipadamkan pada bila-bila masa. Sebelum ini, adalah perlu untuk membuat perjanjian perkhidmatan dengan RUCENTER, tetapi bermula dari 1 Jun 2006, peraturan baru diperkenalkan, mengikut mana ia cukup untuk mendaftar di laman web mereka. Pendaftar asing, sebagai peraturan, kad kredit digunakan, tetapi jika domain tidak boleh didaftarkan atas sebarang sebab, wang itu akan dikembalikan tidak lebih awal daripada tiga hari kemudian.
Pendaftar perlu menyediakan alamat IP dan subnet mask pelayan yang akan menjalankan program pelayan DNS dan yang akan mengandungi pangkalan data utama yang anda cipta dan edit mengikut keperluan. Pelayan ini akan dipanggil pelayan utama (pelayan induk). Di samping itu, anda perlu menentukan sekurang-kurangnya satu alamat IP pelayan yang mengandungi salinan sandaran asas sekiranya berlaku kegagalan pelayan utama. Pelayan sedemikian dipanggil pelayan sekunder (pelayan hamba). Agar tidak berfikir lama tentang tempat untuk meletakkan DNS sekunder, RUCENTER menawarkan untuk meletakkannya di laman web mereka. Kos perkhidmatan RUCENTER ialah $15 setahun setiap domain dalam zon .ru, .net, .com, .org, $50 setiap domain dalam zon .biz, .info, $100 setiap domain dalam zon .su dan $5 setahun untuk sokongan untuk DNS sekunder di mana-mana zon (termasuk yang tidak berdaftar dengan mereka).
Mengapakah keperluan untuk pelayan DNS sekunder diwajibkan? Kerana kestabilan kerja DNS adalah sangat penting untuk kestabilan Internet secara keseluruhan, orang atau organisasi yang mendaftarkan domain mesti memenuhi syarat tertentu mengenai kestabilan DNS:
- Mesti terdapat sekurang-kurangnya dua pelayan yang menyediakan domain ini.
- Pelayan ini mesti tersedia sekurang-kurangnya 22 jam sehari.
Mengikut peraturan baru, tidak ada keperluan untuk penempatan pelayan, walaupun sebelum ini ia dikehendaki untuk ditempatkan pada rangkaian IP yang berbeza.
www.krokodil.ru
Jadi, katakan kita ingin membuat laman web www.krokodil.ru (pada masa menulis artikel ini adalah percuma), khusus untuk membiak buaya di rumah. Terdapat sambungan talian khusus, rangkaian kelas C, iaitu 212.20.5.0 – 212.20.5.255 (julat ini pada masa ini percuma) yang diperuntukkan oleh pembekal. Contoh ini agak tidak sesuai dengan masa semasa dengan kekurangan alamat IP, tetapi ia diambil secara khusus untuk mempertimbangkan penciptaan zon terbalik. Pilihan untuk menyambung melalui rangkaian 212.20.5.0/31 juga akan dipertimbangkan. Rangkaian dalaman pejabat pembiakan buaya kami terdiri daripada enam komputer dan akan dipisahkan daripada proksi tembok api Internet, dsb. di bawah menjalankan FreeBSD. Apa yang kita perlukan untuk melaksanakan rancangan kita?
Pertama sekali, saya perhatikan bahawa terdapat pilihan yang tidak memerlukan pengetahuan tentang DNS - semuanya dihoskan di tapak penyedia, semuanya diservis oleh pembekal, anda hanya disediakan dengan antara muka web. Perkhidmatan ini sangat popular di luar negara, tetapi dalam permintaan yang sangat sedikit di Rusia. Penerangannya di luar skop artikel ini, jadi saya tidak akan menganggapnya.
Pertama, kami memerlukan program pelayan DNS. Sehingga kini, hanya satu program yang melaksanakan set fungsi yang diperlukan. Ini ialah pelayan DNS BIND yang diedarkan oleh ISC (Internet System Consortium Inc.), sebuah organisasi bukan untung yang membangunkan pelayan BIND, DHCP, INN dan NTP. Jika ia tiada pada sistem anda, anda perlu memuat turun dan memasangnya. FreeBSD dihantar dengan BIND 9.3.2, jadi artikel ini akan memfokuskan pada versi tersebut. Perlu diingat bahawa untuk versi BIND 8.x, perihalan konfigurasi berikut adalah tidak sesuai sepenuhnya kerana format fail konfigurasi BIND 8.x pada asasnya berbeza daripada format fail konfigurasi BIND 9.x.
Kedua, kami perlu mengedarkan alamat IP yang diperuntukkan kepada kami dan memberikan alamat kepada komputer dalaman. Segala-galanya di sini adalah sangat mudah: biarkan 212.20.5.1 sebagai gerbang penyedia, 212.20.5.2 sebagai alamat pelayan UNIX, 10.87.1.0/24 sebagai subnet dalaman, di mana stesen kerja 1 hingga 6 terletak, 254 sebagai alamat pelayan antara muka dalaman. Alamat selebihnya akan dikhaskan untuk pengembangan masa hadapan.
Ketiga, anda memerlukan fail perihalan zon yang telah disediakan yang akan ditakrifkan sejumlah besar alamat luaran: krokodil.ru – pelayan akar zon, www.krokodil.ru, ftp.krokodil.ru, mail.krokodil.ru dan ns.krokodil.ru. Nama ns (pelayan nama) adalah hampir nama tradisional untuk komputer di mana perkhidmatan DNS dijalankan, walaupun, sudah tentu, tiada siapa yang akan menghalang anda daripada memanggilnya, contohnya jaws.krokodil.ru. Nama juga akan ditakrifkan untuk komputer pada rangkaian dalaman, hanya boleh diakses dari dalam: tooth1.krokodil.ru – tooth6.krokodil.ru.
rekod DNS
Terdapat sejumlah besar jenis rekod yang boleh diletakkan dalam DNS. Skop artikel ini membolehkan kami mempertimbangkan hanya yang paling penting sahaja; untuk maklumat lengkap, anda harus merujuk kepada RFC yang berkaitan: RFC 1033 dan RFC 1035 mentakrifkan format rekod asas, RFC 1122 – format rekod PTR, RFC 2782 – format rekod SRV. Kami akan mempertimbangkan hanya rekod yang diperlukan untuk menjana fail zon yang diperlukan untuk pendaftaran domain:
- Rekod SOA yang menentukan permulaan perihalan zon.
- Rekod NS yang mentakrifkan pelayan nama zon.
- Rekod A yang memetakan alamat IP kepada nama (terjemahan langsung).
- Rekod MX yang menerangkan tetapan penghantaran mel untuk komputer ini.
- Rekod CNAME yang menentukan nama alternatif.
- Rekod PTR, yang menentukan surat-menyurat antara nama dan alamat IP (terjemahan terbalik), digunakan dalam perihalan zon "terbalik".
Format rekod DNS adalah biasa kepada semua jenis rekod:
[nama] [kelas]<тип> <данные>
- Nama– ini adalah nama objek yang dikaitkan dengan data;
- ttl– jangka hayat objek;
- Kelas– kelas rekod;
- menaip– jenis rekod;
- data– data yang berkaitan dengan objek ini.
Nama boleh mengambil sebarang nilai, dalam hal ini ia dianggap sebagai nama objek. Jika nama itu berakhir dengan titik, maka ia dianggap layak sepenuhnya, jika tidak, nama zon digantikan pada penghujung nama, yang boleh ditentukan dalam dua cara:
- Dengan menyatakan nama zon dalam arahan $ORIGIN, sebagai contoh:
$ORIGIN krokodil.ru
- Dengan menyatakan nama zon dalam arahan zon fail konfigurasi BIND.
Aksara khas "@" menunjukkan nama zon semasa. Ambil perhatian bahawa arahan $ORIGIN mengatasi arahan zon dan kekal sehingga arahan $ORIGIN seterusnya muncul atau sehingga penghujung fail. Sehingga arahan $ORIGIN pertama muncul, ia dipertimbangkan nilai yang diberi arahan zon dalam fail konfigurasi BIND.
Jika nama diberikan, ia mesti bermula pada kedudukan pertama baris.
TTL biasanya ditinggalkan dan ditetapkan secara global dengan arahan $TTL. Arahan $TTL adalah wajib untuk BIND 9.x dan biasanya ditetapkan pada awal fail. Medan data arahan ini menentukan jangka hayat (dalam saat) elemen semasa ia boleh kekal dalam cache dan dianggap boleh dipercayai. DALAM dalam contoh ini ini adalah dua hari (48 jam).
$TTL 172800
Kelas kemasukan boleh menjadi salah satu daripada nilai berikut:
- DALAM– rakaman sumber Internet.
- CH– rekod sumber ChaosNet – benar-benar tidak dikenali pengguna Rusia rangkaian yang digunakan pada mesin Symbolics.
- H.S.– Rekod sumber hesiod – protokol perkhidmatan BIND.
Jenis rekod adalah salah satu daripada jenis yang disenaraikan di atas.
Sila ambil perhatian bahawa nama, ttl dan medan kelas boleh ditinggalkan. Dalam kes ini, nilai yang ditakrifkan terakhir diambil sebagai nilainya (dalam kes ini, menyatakan @ akan menjadi takrifan yang betul), dan jika nilai itu tidak ditakrifkan di mana-mana, maka untuk medan kelas nilai lalai "IN" ialah diterima, untuk medan lain ia membawa kepada mesej ralat.
Sebagai tambahan kepada entri, fail zon boleh mengandungi arahan. Terdapat empat arahan secara keseluruhan: $TTL, $ORIGIN, $INCLUDE dan $GENERATE. Penerangan tentang perintah $GENERATE diberikan dalam dokumentasi untuk program BIND, serta dalam dan, perintah $INCLUDE berfungsi mengikut ejaannya - termasuk fail yang ditentukan kepada fail semasa.
Nota: tanda ";" (titik bertitik) ialah tanda komen.
Rekod SOA
Entri ini mentakrifkan permulaan zon. Mana-mana zon mesti bermula dengan entri SOA. Kemunculan entri SOA yang lain secara automatik menamatkan zon pertama dan memulakan zon kedua. Format rekod SOA ditunjukkan di bawah. Sebenarnya, rekod SOA menamakan zon dan menetapkan beberapa lalai untuknya.
2005122001; Nombor siri
3600 ; Cuba semula setiap jam
172800); Minimum 2 hari
Mari kita lihat satu contoh. Tanda @ dalam medan nama bermakna anda perlu mengambil nama zon yang dinyatakan sebelum ini oleh arahan $ORIGIN. Kelas rekod ialah IN, jenis rekod ialah SOA. SOA adalah satu-satunya entri yang mempunyai senarai parameter yang begitu kompleks.
Parameter pertama ialah alamat pelayan nama induk zon. Dalam contoh ini, ini ialah krokodil.ru. Parameter kedua ialah alamat e-mel orang yang bertanggungjawab untuk zon ini. Sila ambil perhatian bahawa alamat ditulis sebagai "nama pengguna.domain" dan bukan "nama pengguna@domain".
Parameter kedua ialah senarai nilai yang disertakan dalam kurungan. Secara teorinya, adalah mungkin untuk menulisnya dalam satu baris, tetapi dalam praktiknya saya tidak melihatnya di mana-mana; bentuk notasi yang diberikan dalam contoh digunakan di mana-mana. Senarai ini terdiri daripada lima elemen:
- Nombor siri zon. Parameter ini sangat bermain peranan penting dalam mengedarkan kemas kini yang dilakukan pada pelayan utama kepada semua pelayan sekundernya. Mesti ada beberapa cara untuk memaklumkan pelayan sekunder bahawa data pada pelayan utama telah berubah. Jika pelayan utama telah dimulakan semula, ia menghantar NOTIFY DNS kepada semua pelayan sekunder. Setelah menerima pemberitahuan ini, pelayan kedua meminta nombor siri - jika pelayan utama mempunyai nombor siri yang lebih tinggi daripada pelayan kedua, pelayan kedua mengeluarkan arahan kemas kini zon. Di samping itu, pelayan sekunder melakukan semakan nombor siri berkala untuk tujuan yang sama. Oleh itu, anda harus ingat satu peraturan mudah: jika anda membetulkan zon, tambah nombor siri! Amalan biasa di kalangan pentadbir DNS ialah membentuk nombor siri seperti berikut: YYYYMMDDv, di mana:
- YYYY,MM,DD– tahun semasa (4 digit), bulan dan hari, masing-masing
- v– versi zon untuk hari itu. Jika beberapa perubahan dibuat setiap hari, nombor ini ditambah satu secara berurutan.
Sudah tentu, tiada siapa yang akan memaksa anda untuk mengikuti amalan sedemikian. Sebagai contoh, pelayan DNS dalam Windows tidak mematuhinya, tetapi hanya menomborkannya 1, 2, 3, dsb. - Nilai tempoh kemas kini selepas pelayan hamba mesti menghubungi induk dan menyemak sama ada nombor siri zon telah berubah. Jika nombor siri telah berubah, pelayan hamba akan memuat turun data baharu. Dalam contoh ini, 10800 saat (3 jam).
- Masa selepas itu pelayan hamba akan cuba menghubungi tuan jika percubaan untuk mendapatkan nombor siri baharu gagal. Dalam contoh ini, 3600 saat (satu jam).
- Masa di mana pelayan hamba akan menyampaikan permintaan untuk zon tertentu sekiranya ketiadaan pelayan induk lama. Sistem harus berfungsi walaupun pelayan utama tidak berfungsi untuk jangka masa yang lama, jadi nilai parameter ini ditetapkan kepada 1,728,000 saat (20 hari).
- Masa caching respons negatif. Dalam contoh ini, 172800 saat (2 hari).
kemasukan NS
Entri ini menentukan nama pelayan yang menyokong zon, i.e. mengetuai pangkalannya. Nama pelayan utama dan semua pelayan sekunder harus disenaraikan di sini. Lazimnya entri ini serta-merta mengikuti entri SOA. Satu nilai dimasukkan dalam medan data - nama atau alamat IP pelayan zon DNS, tidak kira sama ada ia adalah tuan atau hamba. Semua nama yang dinyatakan di sini mestilah layak sepenuhnya, iaitu, diakhiri dengan titik!
DALAM NS ns.krokodil.ru.
DALAM NS ns4.nic.ru.
Contoh di atas menerangkan terlebih dahulu pelayan utama zon kami ns.krokodil.ru, dan kemudian pelayan hamba - nod RU CENTER ns4.nic.ru.
Rekod A
Rekod jenis A ialah kandungan utama fail dalam zon penukaran langsung, atau hanya zon "langsung", iaitu, memberikan nama komputer mengikut alamatnya. Ia disusun untuk setiap komputer. Untuk kemudahan kebolehbacaan, rekod ini biasanya dikumpulkan dalam susunan menaik alamat IP, dan juga dikumpulkan dengan rekod MX yang sepadan dengan alamat IP yang diberikan, walaupun ini sudah tentu tidak diperlukan. Dalam medan nama nama yang diberikan kepada alamat IP dimasukkan, dalam medan data - alamat IP yang mana nama itu diberikan. Apabila alamat mempunyai nama tambahan, nama yang diberikan kepada alamat oleh rekod A dipanggil nama utama.
gigi1 DALAM A 10.87.1.1
gigi2 DALAM A 10.87.1.2
gigi3 DALAM A 10.87.1.3
gigi4 DALAM A 10.87.1.4
gigi5 DALAM A 10.87.1.5
gigi6 DALAM A 10.87.1.6
Contoh ini menerangkan penetapan alamat IP kepada komputer pada rangkaian dalaman, yang mempunyai alamat 10.87.1.0/24. Untuk komputer rangkaian dalaman, sebagai peraturan, tidak perlu mencipta sebarang rekod tambahan, dengan kemungkinan pengecualian CNAME.
Rekod CNAME
Rekod CNAME ialah ciri pilihan DNS. Ia membolehkan anda memberikan lebih daripada satu nama kepada satu alamat IP. Dalam medan nama, nama tambahan yang diberikan kepada alamat IP dimasukkan, dalam medan data - nama utama yang sebelum ini diberikan oleh rekod jenis A, atau nama tambahan lain yang diberikan oleh rekod CNAME. Dalam kes ini, nama dalam medan data rekod dipanggil kanonik (oleh itu nama rekod - Nama Kanonik). Satu alamat IP boleh diberikan bilangan nama tambahan tanpa had melalui rekod CNAME, tetapi jenis rekod lain mesti menggunakan nama yang diberikan oleh rekod A dan bukannya rekod CNAME. Di bawah ialah contoh penetapan nama tambahan yang betul dan salah.
Kanan:
ns DALAM A 10.87.1.1
nama1 DALAM CNAME ns
DALAM MX 10 ns
salah:
ns DALAM A 10.87.1.254
nama1 DALAM CNAME ns
DALAM MX 10 nama1
Rekod CNAME boleh menunjuk antara satu sama lain, tetapi tidak lebih daripada tujuh peringkat, yang kelapan mestilah rekod yang menunjuk kepada nama yang diberikan oleh rekod jenis A. Dalam literatur, terdapat pengesyoran untuk menggunakan berbilang jenis rekod A dan bukannya memberikan berbilang nama tambahan ke alamat. Mengenai perkara ini, kita boleh mengatakan bahawa perkara ini disebut dalam RFC 2219 dari segi "tidak ada cadangan mutlak mengenai perkara ini, setiap orang mesti memutuskan sendiri apa yang terbaik untuk mereka." Berbilang CNAME lebih mudah untuk ditadbir, berbilang rekod A lebih mudah dikendalikan kerana lebih sedikit ubah hala berlaku.
Rekod MX
Rekod MX ialah elemen utama kedua bagi fail zon. Entri ini bermaksud "Mail eXchanger", dan bertujuan untuk menunjukkan alamat IP atau nama komputer yang menerima mel untuk nod yang diterangkan dalam medan nama. Medan ini boleh kosong, nama yang layak sepenuhnya atau sebahagiannya. Jika medan nama kosong atau nama yang tidak lengkap ditentukan, maka nama itu ditambah daripada arahan $ORIGIN. Menjana rekod MX dalam kes yang rumit, apabila zon yang agak besar dengan skim penerimaan mel yang luas sedang disediakan, adalah tugas yang sangat tidak remeh yang berkait rapat dengan kerja program yang menggunakan Protokol SMTP untuk penghantaran mel, jadi kami akan mempertimbangkan hanya kes paling mudah - semua mel diterima oleh pelayan UNIX. Dua nilai dimasukkan dalam medan data - keutamaan dan nama atau alamat IP komputer yang menerima mel yang dihantar ke komputer ini. Satu alamat IP pada umumnya boleh mempunyai bilangan rekod MX yang tidak terhad yang dikaitkan dengannya, dan kesemuanya harus mempunyai keutamaan yang berbeza. Mel dihalakan mengikut keutamaan - ejen mel mengisih entri mengikut keutamaan meningkatkan dan cuba menghantar mel dengan cara itu. Mari kita anggap bahawa kita telah bersetuju dengan pentadbir nod behemot.ru bahawa kita boleh menggunakan pelayannya sebagai nod transit yang akan menerima mel kami untuk tujuan penghantaran berikutnya kepada penerimanya apabila sambungan dipulihkan. Kemudian perihalan pelayan krokodil.ru akan kelihatan seperti ini:
krokodil.ru. DALAM A 212.20.5.2
DALAM MX 10 krokodil.ru.
DALAM MX 50 behemot.ru.
www DALAM CNAME krokodil.ru.
mel DALAM CNAME krokodil.ru.
ftp DALAM CNAME krokodil.ru.
Ini ialah contoh yang komprehensif dan menunjukkan penggunaan rekod MX, A dan CNAME dengan serta-merta. Di sini kami:
- Kami memberikan nama krokodil.ru ke alamat 212.20.5.2.
- Kami menunjukkan bahawa mel dihantar ke alamat seperti [e-mel dilindungi], akan menerima (dalam susunan ini):
- pelayan krokodil.ru;
- pelayan behemot.ru.
- Kami mentakrifkan nama tambahan www.krokodil.ru, mail.krokodil.ru dan ftp.krokodil.ru. Sila ambil perhatian bahawa semua nama di sebelah kanan adalah layak sepenuhnya, iaitu, mereka berakhir dengan titik. Jika ini tidak dilakukan, nilai arahan $ORIGIN semasa akan digantikan secara automatik pada penghujung nama. Dalam kes ini, ini akan membawa kepada kemunculan nama seperti www.krokodil.ru.krokodil.ru.
Rekod PTR
Ini adalah jenis rekod yang sangat istimewa. Dalam contoh kami, kami "khusus" mengambil subnet penuh untuk mempertimbangkan kes kerja "biasa" dengan rekod PTR. Kes dengan rangkaian 212.20.5.0/31 akan dibincangkan sedikit kemudian.
Rekod PTR direka bentuk untuk melaksanakan terjemahan terbalik nama kepada alamat IP. Penukaran sedemikian digunakan secara meluas dalam pelbagai program yang menyediakan akses kepada sumber rangkaian tertentu: mereka menyemak korespondensi penukaran ke hadapan dan songsang dan, jika rekod PTR tidak sepadan atau tiada, mereka boleh menafikan akses. Zon yang mengandungi rekod PTR dipanggil zon terjemahan terbalik, atau hanya zon "terbalik".
Rekod PTR tidak mempunyai kaitan dengan A, MX, CNAME dan rekod lain yang menerangkan penukaran langsung. Ini dilakukan dengan sengaja untuk menggunakan set modul perisian yang sama untuk kedua-dua transformasi. Di sini, bagaimanapun, kerumitan menanti kita jenis berikut– nama domain yang layak sepenuhnya dari borang www.krokodil.ru. "meningkatkan dimensi" dari kiri ke kanan (iaitu, nod dibesarkan semasa anda bergerak melalui teks nama dari kiri ke kanan), dan alamat IP 212.20.5.2 adalah dari kanan ke kiri. Untuk menyatukan modul program, konvensyen berikut telah diterima pakai: semua alamat IP adalah nama yang disertakan dalam TLD khas in-addr.arpa. "Zon" dalam domain ini ialah subnet, dan nama zon ditulis semasa alamat IP dibaca ke belakang. Oleh itu, "nama" zon terbalik kami ialah 5.20.212.in-addr.arpa untuk zon terbalik yang mengandungi perihalan untuk rangkaian luaran dan 1.87.10.in-addr.arpa untuk zon terbalik yang mengandungi perihalan rangkaian dalaman.
Sama seperti untuk menggunakan nama domain anda mesti mendaftarkannya, untuk menggunakan terjemahan terbalik anda mesti mendaftarkan "zon" terbalik dengan penyelaras zon terbalik. Tidak seperti zon penukaran langsung, hanya ada satu penyelaras, dan pendaftaran dengannya adalah percuma. Pendaftaran zon songsang dikendalikan oleh RIPE NCC. Semua maklumat tentang mendaftar zon songsang disediakan dalam.
Mengapa anda perlu mendaftar zon terbalik? Pelayan peringkat atas dalam zon in-addr.arpa mesti tahu bahawa untuk melaksanakan permintaan terjemahan terbalik, ia mesti menghubungi pelayan ini dan sedemikian, dalam kes ini 212.20.5.2 kami. Sudah tentu, tidak perlu mendaftar zon terbalik subnet dalaman di mana-mana sahaja.
Rekod PTR itu sendiri kelihatan sangat mudah - bahagian terakhir alamat IP dimasukkan dalam medan nama, dan nama terjemahan langsung yang layak sepenuhnya dimasukkan dalam medan data. Saya menarik perhatian anda kepada perkara terakhir - nama yang dimasukkan dalam medan data mesti memenuhi syarat sepenuhnya, kerana rekod PTR sendiri menentukan hubungan antara alamat IP dan nama, mereka tidak boleh menerima maklumat dari mana-mana tentang zon mana terjemahan langsung yang tidak layak sepenuhnya. nama hendaklah diberikan kepada .
$ORIGIN 1.87.10.in-addr.arpa
1 DALAM PTR tooth1.krokodil.ru.
2 DALAM PTR tooth2.krokodil.ru.
3 DALAM PTR tooth3.krokodil.ru.
4 DALAM PTR tooth4.krokodil.ru.
5 DALAM PTR tooth5.krokodil.ru.
6 DALAM PTR tooth6.krokodil.ru.
Dalam contoh di atas, kami menentukan penukaran terbalik untuk komputer pada rangkaian dalaman. Untuk pelayan, kami akan menulis satu baris (dalam contoh sebenar tidak ada keperluan untuk menentukan arahan $ORIGIN, ia diberikan hanya untuk menjelaskan zon mana yang kita bicarakan):
$ORIGIN 5.20.212.in-addr.arpa
2 DALAM PTR krokodil.ru
Perlu diingatkan di sini bahawa rekod CNAME tidak digunakan untuk menentukan berbilang padanan songsang, jadi apabila bertanya "nama apa yang sepadan dengan alamat 212.20.5.2", hasilnya akan sentiasa krokodil.ru, tanpa mengira bilangan alias yang ditetapkan untuknya.
Bagaimanakah ia akan berbeza apabila pembekal memperuntukkan blok 212.20.5.0/31 dan bukannya subnet penuh? Dari sudut penjanaan semua rekod kecuali PTR, tiada apa-apa. Prosedur untuk mencipta zon langsung dan mendaftarkannya tidak bergantung pada bilangan alamat, terutamanya kerana dalam kebanyakan kes tidak memerlukan banyak alamat. Namun dari segi rekod PTR terdapat perbezaan. Ke arah penyederhanaan. Atau mungkin tidak, bergantung kepada pembekal. Dan ia terletak pada fakta bahawa rekod:
gate.krokodil.ru. DALAM A 212.20.5.1
krokodil.ru. DALAM A 212.20.5.2
akan berada pada pelayan anda dan diuruskan oleh anda, tetapi entrinya:
1 DALAM PTR gate.krokodil.ru.
2 DALAM PTR krokodil.ru.
mesti dibentuk oleh pembekal, kerana keupayaan untuk mendaftar zon terbalik sendiri dan mengurusnya sendiri disediakan hanya jika anda mempunyai rangkaian sekurang-kurangnya kelas C. Ini, dalam satu tangan, menjadikan kerja lebih mudah - anda tidak perlu mendaftar dengan RIPE, tetapi sebaliknya, ia merumitkan perubahan dalam penamaan pelayan mesti dihubungi dengan pembekal setiap kali.
Struktur fail
BIND sendiri, sudah tentu, tidak peduli apa susunan rekod itu atau bagaimana ia diformatkan. Ini penting hanya untuk mereka yang akan mengekalkan zon itu, terutamanya jika perubahan akan dibuat dengan kerap. Di sini saya akan menerangkan pengedaran zon mengikut fail kerana ia digunakan dalam zon yang saya kekalkan. Sudah tentu, ini bukan satu-satunya pesanan yang mungkin, dan mungkin bukan yang terbaik. Tetapi ia berfungsi.
Zon luar dan dalam
BIND 8.x mempunyai satu kelemahan yang sangat besar - ia tidak membenarkan output maklumat dibezakan bergantung pada mana-mana faktor - adalah perlu untuk sama ada menunjukkan perkara yang tidak perlu atau menyembunyikan perkara yang diperlukan. Tidak ada keperluan untuk pelanggan luar mengetahui tentang kehadiran komputer pada rangkaian dalaman, tetapi oleh kerana tiada cara untuk memisahkan maklumat, mana-mana komputer boleh mewujudkan struktur rangkaian dalaman melalui pertanyaan DNS. BIND 9.x bebas daripada kelemahan ini - ia membolehkan anda mengedarkan permintaan merentas "paparan" menggunakan Senarai Kawalan Akses (ACL). Paparan boleh mempunyai nama sewenang-wenangnya, biasanya mencipta pandangan dalaman yang berpuas hati oleh pelanggan pada subnet dalaman dan pandangan luaran yang berpuas hati oleh semua yang lain. Ingat di sini bahawa ini adalah zon yang sama, ia hanya ditunjukkan secara berbeza - sebagai peraturan, fail zon luaran hanya mengandungi maklumat yang diperlukan oleh pelanggan luaran - tentang pelayan luaran, tentang laluan penghantaran mel, dsb., dan fail zon dalaman mencerminkan semua topologi rangkaian. Di samping itu, jika zon terbalik disertai, maka adalah perlu untuk membahagikan maklumat mengenai alamat penukaran terbalik ke dalam fail dengan cara yang sama.
Jadi mari kita kembali kepada contoh kita.
Struktur fail adalah seperti berikut. Kami mempunyai zon langsung krokodil.ru dan zon terbalik 5.20.212.in-addr.arpa. Di samping itu, zon zon terbalik 0.0.127.in-addr.arpa mesti ada untuk memastikan terjemahan terbalik localhost 127.0.0.1 yang betul. Zon ini diperlukan untuk menghalang BIND daripada cuba menanyakan pelayan akar tentang dirinya sendiri, yang berlaku apabila 127.0.0.1 menunjuk kepada "host tempatan." Rekod penukaran langsung 127.0.0.1 localhost.krokodil.ru akan ditulis ke fail penukaran langsung zon dalaman. Untuk tidak memuatkan rangkaian dengan pemindahan data yang tidak berguna, rekod SOA yang berbeza digunakan untuk zon luaran dan dalaman - rekod di zon luaran berubah sangat jarang, dan di zon dalaman agak kerap. Oleh itu kami mempunyai fail berikut:
- localhost.rev– fail zon penukaran terbalik 0.0.127.in-addr.arpa. Fail ini wujud untuk perwakilan dalaman sahaja.
- zon212.rev– fail zon penukaran terbalik 5.20.212.in-addr.arpa.
- zon10.rev– fail zon penyongsangan dalaman 1.87.10.in-addr.arpa.
- direct-krokodil-ru.int– fail zon penukaran langsung dalaman krokodil.ru.
- direct-krokodil-ru.ext– fail zon penukaran langsung luaran krokodil.ru.
- krokodil-ru-int.soa– fail dengan rekod SOA dan NS untuk zon dalaman.
- krokodil-ru-ext.soa– fail dengan rekod SOA dan NS untuk zon luaran.
Walaupun senarai yang luas, fail agak pendek, jadi ia dibentangkan di sini sepenuhnya, kecuali komen.
Mari kita buat satu nota mengenai nama localhost. RFC 1912 secara khusus menyebut tetapan fail untuk diselesaikan kepada 127.0.0.1 dan localhost. Dalam contoh kami, zon localhost mematuhi RFC 1912, walaupun dalam kehidupan sebenar adalah agak mungkin untuk menemui resolusi nama 127.0.0.1 localhost.domain.tld dan resolusi terbalik yang sepadan.
Fail Localhost.rev. Menggunakan satu rekod SOA bersama zon penyongsangan dalaman:
$INCLUDE /etc/namedb/krokodil-ru-int.soa
1 DALAM PTR localhost.
Fail zone212.rev:
1 DALAM PTR gate.krokodil.ru.
2 DALAM PTR krokodil.ru.
Fail zone10.rev:
$INCLUDE /etc/namedb/krokodil-ru-int.soa
1 DALAM PTR tooth1.krokodil.ru.
2 DALAM PTR tooth2.krokodil.ru.
3 DALAM PTR tooth3.krokodil.ru.
4 DALAM PTR tooth4.krokodil.ru.
5 DALAM PTR tooth5.krokodil.ru.
6 DALAM PTR tooth6.krokodil.ru.
Fail direct-krokodil-ru.int:
$INCLUDE /etc/namedb/krokodil-ru-int.soa
krokodil.ru. DALAM 10.87.1.254
DALAM MX 10 krokodil.ru.
www DALAM CNAME krokodil.ru.
mel DALAM CNAME krokodil.ru.
proksi DALAM CNAME krokodil.ru.
ftp DALAM CNAME krokodil.ru.
ns DALAM CNAME krokodil.ru.
localhost. DALAM 127.0.0.1
gigi1 DALAM A 10.87.1.1
gigi2 DALAM A 10.87.1.2
gigi3 DALAM A 10.87.1.3
gigi4 DALAM A 10.87.1.4
gigi5 DALAM A 10.87.1.5
gigi6 DALAM A 10.87.1.6
Fail direct-krokodil-ru.ext:
$INCLUDE /etc/namedb/krokodil-ru-ext.soa
krokodil.ru. DALAM A 212.20.5.2
DALAM MX 10 krokodil.ru.
DALAM MX 50 behemot.ru.
www DALAM CNAME krokodil.ru.
mel DALAM CNAME krokodil.ru.
ftp DALAM CNAME krokodil.ru.
pintu masuk A 212.20.5.1
Fail krokodil-ru-int.soa:
@ DALAM SOA krokodil.ru. hostmaster.krokodil.ru. (
2006051202 ; Nombor siri
10800 ; Muat semula setiap 3 jam
3600 ; Cuba semula setiap jam
1728000; Tamat tempoh setiap 20 hari
172800); Minimum 2 hari
DALAM NS krokodil.ru.
Fail krokodil-ru-ext.soa:
$TTL 172800
@ DALAM SOA korkodil.ru. hostmaster.krokodil.ru. (
2005122001; Nombor siri
10800 ; Muat semula setiap 3 jam
3600 ; Cuba semula setiap jam
1728000; Tamat tempoh setiap 20 hari
172800); Minimum 2 hari
DALAM NS krokodil.ru.
DALAM NS ns4.nic.ru.
Kesimpulan
Bagaimana untuk mencipta, mengkonfigurasi dan menjalankan pelayan DNS untuk perniagaan kecil? Sebenarnya, ia tidaklah sesukar yang kelihatan pada mulanya - cukuplah untuk melalui jalan ini sekali, tindakan selanjutnya akan pergi "secara automatik".
Permohonan
Domain peringkat teratas
Pada mulanya, menurut RFC 920, senarai TLD berfungsi termasuk hanya .com, .gov, .mil, .edu, .org, yang masing-masing mewakili organisasi komersial, kerajaan, tentera, pendidikan dan bukan untung. Selepas itu, senarai ini agak berkembang - pada tahun 1985, TLD .net telah ditambah, mewakili organisasi pembekal perkhidmatan rangkaian, dan pada tahun 1988 - TLD .int, mewakili organisasi antarabangsa. Pada tahun 2001-2002, hampir tidak diketahui oleh pengguna Rusia TLDs .aero, .biz, .cat, .coop, .jobs, .mobi, .museum, .name, .pro dan .travel telah ditambahkan pada senarai ini. Lagi maklumat terperinci diberikan dalam. Domain geografi diedarkan sekali dan untuk semua. Walaupun ini tidak bermakna anda tidak boleh mendaftarkan domain anda dengannya. Banyak domain geografi yang secara kebetulan bertepatan dengan singkatan "terkenal" sangat menarik. Sebagai contoh, .md (Moldova) sangat menarik untuk institusi perubatan dan penduduk Maryland, Amerika Syarikat; .tv (Tuvalu) – untuk laman web berkaitan televisyen; .tm (Turkmenistan) bertepatan dengan ejaan singkatan "Tanda Dagangan", dan .nu (Niue - terdapat koloni pulau sedemikian) - untuk tapak dalam gaya "bogel".
Rujukan sejarah: Sistem Nama Domain dibangunkan pada tahun 1983 oleh Paul Mockapetris. Pada masa yang sama, ujian pertama DNS yang berjaya dijalankan, yang kemudiannya menjadi salah satu komponen asas Rangkaian Internet. DENGAN menggunakan DNS Ia menjadi mungkin untuk melaksanakan mekanisme teragih berskala yang memetakan nama tapak hierarki kepada alamat IP berangka.
Pada tahun 1983, Paul Mokapetris bekerja sebagai felo penyelidik di Institut Sains Maklumat. ISI), sebahagian daripada Sekolah Kejuruteraan Universiti California Selatan ( USC). Penyelianya, Jon Postel, mencadangkan agar Paul menghasilkan mekanisme baharu yang akan mewujudkan pautan antara nama komputer dan alamat Internet - untuk menggantikan direktori terpusat nama dan alamat hos yang digunakan ketika itu, yang diselenggara oleh syarikat California SRI International.
"Semua orang memahami bahawa skim lama tidak boleh berfungsi selama-lamanya," ingat Mockapetris. "Pertumbuhan Internet menjadi runtuhan salji. Semakin banyak syarikat dan institut penyelidikan baharu menyertai rangkaian, yang timbul berdasarkan projek ARPANET yang dimulakan oleh Pentagon.”
Penyelesaian Mockapetris, DNS, ialah pangkalan data teragih yang membenarkan organisasi yang menyertai Internet mendapatkan domain mereka.
"Sebaik sahaja organisasi disambungkan ke rangkaian, ia boleh menggunakan seberapa banyak komputer yang dikehendaki dan menamakannya sendiri," tegas Mockapetris. Nama domain untuk syarikat menerima akhiran .com, universiti - .edu dan sebagainya.
DNS pada asalnya direka untuk menyokong 50 juta rekod dan boleh dikembangkan dengan selamat kepada beberapa ratus juta rekod. Mockapetris menganggarkan kini terdapat kira-kira 1 bilion nama DNS, termasuk hampir 20 juta nama awam. Selebihnya milik sistem yang terletak di belakang tembok api. Nama mereka tidak diketahui oleh pengguna Internet biasa.
Sistem baru diperkenalkan secara beransur-ansur selama beberapa tahun. Pada masa ini, beberapa penyelidik bereksperimen dengan keupayaannya, dan Mokapetris mengkaji ISI penyelenggaraan dan mengekalkan operasi yang stabil" pelayan akar", dibina di atas kerangka utama Peralatan Digital. Salinan jadual hos disimpan pada setiap komputer yang disambungkan ke Internet sehingga kira-kira 1986. Kemudian peralihan besar-besaran untuk menggunakan DNS bermula.
Keperluan untuk memetakan nama hos rangkaian kepada alamat IP
Komputer dan lain-lain peranti rangkaian Apabila menghantar paket kepada satu sama lain melalui rangkaian, mereka menggunakan alamat IP. Walau bagaimanapun, adalah lebih mudah dan lebih mudah bagi pengguna (manusia) untuk mengingati beberapa nama simbolik nod rangkaian daripada empat nombor tidak bermakna. Walau bagaimanapun, jika orang akan menggunakan nama hos dan bukannya alamat IP dalam interaksi mereka dengan sumber rangkaian, maka mesti ada mekanisme yang memetakan nama hos ke alamat IP mereka.
Terdapat dua mekanisme sedemikian - fail hos tempatan untuk setiap komputer dan perkhidmatan nama DNS hierarki terpusat.
Menggunakan tempatan fail hos s dan sistem nama domain DNS untuk resolusi nama hos rangkaian
Pada peringkat awal pembangunan rangkaian, apabila bilangan nod dalam setiap rangkaian adalah kecil, ia sudah cukup untuk menyimpan dan mengekalkan keadaan semasa fail teks mudah pada setiap komputer, yang mengandungi senarai nod rangkaian rangkaian tertentu. Senarai ini distrukturkan dengan sangat ringkas - setiap baris fail teks mengandungi pasangan "alamat IP - nama hos rangkaian". Pada sistem keluarga Windows, fail ini terletak dalam folder %system root%\system32\drivers\etc (di mana %system root% menandakan folder di mana sistem pengendalian dipasang). Sejurus selepas memasang sistem Windows, fail hos dibuat dengan satu entri 127.0.0.1 localhost.
Apabila rangkaian berkembang, pastikan maklumat terkini dan tepat fail hos Ia semakin sukar. Untuk melakukan ini, anda perlu sentiasa mengemas kini kandungan fail ini pada semua nod rangkaian. Selain itu, ia sangat mudah teknologi tidak membenarkan anda menyusun ruang nama ke dalam sebarang struktur. Oleh itu, terdapat keperluan untuk pangkalan data nama terpusat yang membolehkan nama ditukar kepada alamat IP tanpa penyimpanan senarai sepadan pada setiap komputer. Pangkalan sedemikian ialah DNS (Domain Name System), sistem penamaan domain yang memulakan operasi besar-besaran pada tahun 1987.
Ambil perhatian bahawa dengan kemunculan perkhidmatan DNS, kaitan penggunaan fail hos tidak hilang sama sekali; dalam beberapa kes, penggunaan fail ini ternyata sangat berkesan.
Perkhidmatan DNS: ruang nama, domain
DNS ialah pangkalan data hierarki, yang memetakan nama nod rangkaian dan perkhidmatan rangkaiannya ke alamat IP nod. Kandungan pangkalan data ini, di satu pihak, diedarkan merentasi sejumlah besar pelayan perkhidmatan DNS, dan sebaliknya, diuruskan secara berpusat. Pada intinya struktur pangkalan data hierarki DNS ialah ruang nama domain, unit struktur utamanya ialah domain yang menyatukan nod rangkaian (hos), serta subdomain. Proses mencari pangkalan data DNS untuk nama hos rangkaian dan memadankan nama itu dengan alamat IP dipanggil "resolusi nama hos dalam ruang nama DNS."
Perkhidmatan DNS terdiri daripada tiga komponen utama:
Ruang nama DNS dan rekod sumber yang sepadan (RR, rekod sumber)- ini ialah pangkalan data DNS yang diedarkan itu sendiri;
Pelayan nama DNS- komputer yang menyimpan pangkalan data DNS dan bertindak balas kepada permintaan Pelanggan DNS;
Pelanggan DNS (pelanggan DNS, penyelesai DNS)-komputer yang menghantar pertanyaan kepada pelayan DNS untuk mendapatkan rekod sumber.
Ruang nama.
Ruang nama DNS ialah struktur pokok hierarki bermula pada akar, yang tidak mempunyai nama dan dilambangkan dengan titik ".". Reka bentuk ruang nama DNS digambarkan dengan terbaik menggunakan Internet sebagai contoh ( nasi. 4.8).
nasi. 4.8.
Untuk domain peringkat 1 terdapat 3 kategori nama:
ARPA- nama khas yang digunakan untuk resolusi DNS terbalik (dari alamat IP ke nama penuh nod);
Nama peringkat 1 generik- 16 (kini) nama, yang tujuannya diberikan dalam meja 4.4;
Dua nama huruf untuk negara- nama untuk domain yang didaftarkan di negara yang sepadan (contohnya, ru - untuk Rusia, ua - untuk Ukraine, uk - untuk Great Britain, dll.).
|
Jadual 4.4. |
|
|
Nama domain |
Tujuan |
|
Komuniti penerbangan |
|
|
Syarikat (tanpa merujuk kepada negara) |
|
|
Organisasi komersial, terutamanya di Amerika Syarikat (contohnya, domain microsoft.com untuk Microsoft Corporation) |
|
|
Koperasi |
|
|
Institusi pendidikan di Amerika Syarikat |
|
|
agensi kerajaan AS |
|
|
Domain untuk organisasi yang menyediakan sebarang maklumat untuk pengguna |
|
|
organisasi antarabangsa (contohnya, domain nato.int untuk NATO) |
|
|
jabatan tentera AS |
|
|
Domain global untuk individu |
|
|
Domain untuk penyedia Internet dan organisasi lain yang mengurus struktur Internet |
|
|
Pertubuhan bukan untung dan bukan kerajaan, terutamanya di Amerika Syarikat |
|
|
Domain untuk persatuan profesional (doktor, peguam, akauntan, dsb.) |
|
|
Agensi pengambilan |
|
|
Pengendali pelancongan |
|
Untuk memetakan ruang nama secara terus ke ruang alamat IP, gunakan apa yang dipanggil. rekod sumber (RR, rekod sumber). Setiap pelayan DNS mengandungi rekod sumber untuk bahagian ruang nama yang bertanggungjawab ( berwibawa). meja 4.5 mengandungi penerangan tentang jenis rekod sumber yang paling biasa digunakan.
|
Jadual 4.5. |
||
|
Jenis rekod sumber |
Fungsi rakaman |
Penerangan penggunaan |
|
Alamat Hos Alamat hos atau nod |
Petakan nama hos kepada alamat IP (contohnya, untuk domain microsoft.com kepada hos bernama www.microsoft.com alamat IP dipetakan menggunakan entri berikut: www A 207.46.199.60) |
|
|
Nama Kanonik (alias) |
Petakan satu nama kepada nama yang lain |
|
|
Penukar Mel Pertukaran mel |
Mengawal penghalaan mesej mel untuk protokol SMTP |
|
|
Nama Pelayan Pelayan nama |
Menuding kepada pelayan DNS yang bertanggungjawab untuk domain tertentu dan subdomainnya |
|
|
penunjuk |
Digunakan untuk membalikkan penyelesaian alamat IP kepada nama hos dalam domain in-addr.arpa |
|
|
Permulaan Kuasa masuk zon Permulaan |
Digunakan untuk menentukan pelayan utama untuk zon tertentu dan menerangkan sifat zon |
|
|
Penunjuk Lokasi Perkhidmatan kepada perkhidmatan |
Digunakan untuk mencari pelayan yang menjalankan perkhidmatan tertentu (seperti pengawal domain Active Directory atau pelayan katalog global) |
|
Nama domain yang layak sepenuhnya (FQDN) terdiri daripada beberapa nama, dipanggil label, dipisahkan oleh titik. Label paling kiri merujuk terus kepada nod, label yang tinggal ialah senarai domain dari domain peringkat pertama ke domain di mana nod itu berada (senarai ini dilihat dari kanan ke kiri).
Pelayan nama DNS.
Pelayan nama DNS (atau pelayan DNS) ialah komputer yang menyimpan bahagian pangkalan data ruang nama DNS yang mana pelayan ini bertanggungjawab, dan menjalankan perisian yang memproses permintaan resolusi nama klien DNS dan memberikan respons kepada permintaan yang diterima.
pelanggan DNS.
Pelanggan DNS ialah sebarang nod rangkaian yang telah menghubungi pelayan DNS untuk menyelesaikan nama hos kepada alamat IP atau, sebaliknya, alamat IP kepada nama hos.
Perkhidmatan DNS: Domain dan Zon
Seperti yang dinyatakan di atas, setiap pelayan DNS bertanggungjawab untuk menyediakan bahagian khusus ruang nama DNS. Maklumat tentang domain yang disimpan dalam pangkalan data pelayan DNS disusun ke dalam unit khas yang dipanggil zon. Zon ialah unit asas replikasi data antara pelayan DNS. Setiap zon mengandungi sejumlah rekod sumber tertentu untuk domain yang sepadan dan, mungkin, subdomainnya.
Sistem keluarga Windows Server menyokong jenis zon berikut:
Utama standard- salinan utama zon piawai; hanya di salinan ini zon dibenarkan membuat sebarang perubahan, yang kemudiannya direplikasi kepada pelayan yang menyimpan zon tambahan;
menengah standard- salinan zon utama, tersedia dalam mod baca sahaja, direka untuk meningkatkan toleransi kesalahan dan mengagihkan beban antara pelayan yang bertanggungjawab untuk zon tertentu; Proses mereplikasi perubahan kepada rekod zon dipanggil "pemindahan zon" ( pemindahan zon) (maklumat dalam zon standard disimpan dalam fail teks, fail dibuat dalam folder "%system root%\system32\dns", nama fail biasanya terbentuk daripada nama zon dengan penambahan sambungan fail " .dns"; istilah "standard" hanya digunakan pada sistem keluarga Windows);
Bersepadu dalam Direktori Aktif(Direktori Aktif–bersepadu)- semua maklumat zon disimpan sebagai satu entri dalam pangkalan data Active Directory (jenis zon ini hanya boleh wujud pada pelayan Windows yang merupakan pengawal domain Active Directory; dalam zon bersepadu, hak akses kepada entri zon boleh dikawal dengan lebih ketat; perubahan kepada entri zon antara contoh berbeza zon bersepadu tidak dihasilkan mengikut teknologi pemindahan zon oleh perkhidmatan DNS, dan oleh mekanisme replikasi perkhidmatan Active Directory);
Zon rintisan (rintisan; Windows 2003 sahaja) ialah jenis zon khas yang, untuk bahagian tertentu ruang nama DNS, mengandungi set rekod sumber minimum kosong (rekod zon SOA awal, senarai pelayan nama yang bertanggungjawab untuk zon itu dan beberapa Jenis A rekod untuk rujukan kepada pelayan nama untuk zon itu). zon).
Mari kita lihat hubungan antara konsep domain dan zon sebagai contoh. Mari analisa maklumat yang dibentangkan pada nasi. 4.9.
nasi. 4.9.
Dalam contoh ini, ruang nama DNS bermula dengan domain microsoft.com, yang mengandungi 3 subdomain: sales.microsoft.com, it.microsoft.com Dan edu.microsoft.com(domain dalam rajah ditunjukkan oleh bujur mendatar kecil). Domain ialah konsep logik semata-mata yang hanya berkaitan dengan pengedaran nama. Konsep domain tiada kaitan dengan teknologi penyimpanan maklumat tentang domain. Kawasan- ini ialah cara untuk menyampaikan maklumat tentang domain dan subdomainnya dalam storan pelayan DNS tersebut yang bertanggungjawab untuk domain dan subdomain tertentu. Dalam keadaan ini, jika teknologi zon piawai dipilih untuk penyimpanan, maka penempatan maklumat domain boleh dilaksanakan seperti berikut:
rekod berkaitan domain microsoft.com Dan edu.microsoft.com, disimpan dalam satu zon dalam fail "microsoft.com.dns" (dalam rajah zon ditunjukkan oleh bujur condong yang besar);
pengurusan domain sales.microsoft.com Dan it.microsoft.com diwakilkan kepada pelayan DNS lain, fail yang sepadan "sales.microsoft.com.dns" dan "it.microsoft.com.dns" telah dibuat untuk domain ini pada pelayan lain (zon ini ditunjukkan oleh bujur menegak yang besar).
Penugasan kawalan ialah pemindahan tanggungjawab untuk sebahagian daripada ruang nama kepada pelayan DNS lain.
Zon carian ke hadapan dan belakang
Zon yang dibincangkan dalam contoh sebelum ini ialah zon carian hadapan. Zon ini digunakan untuk menyelesaikan nama hos kepada alamat IP. Jenis rekod yang paling biasa digunakan untuk ini ialah A, CNAME, SRV.
Zon carian terbalik ( carian terbalik zon), jenis rakaman utama dalam zon "terbalik" ialah PTR. Untuk menyelesaikan masalah ini, domain khas bernama in-addr.arpa telah dicipta. Untuk setiap rangkaian IP dalam domain sedemikian, subdomain yang sepadan dicipta, dibentuk daripada pengecam rangkaian yang ditulis dalam susunan terbalik. Rekod dalam zon sedemikian akan memadankan ID hos dengan nama FQDN penuh hos itu. Sebagai contoh, untuk rangkaian IP 192.168.0.0/24, anda perlu mencipta zon bernama "0.168.192.in-addr.arpa". Untuk nod dengan alamat IP 192.168.0.10 dan nama host.company.ru, rekod "10 PTR host.company.ru" mesti dibuat dalam zon ini.
Algoritma untuk pertanyaan DNS berulang dan rekursif
Semua permintaan, dihantar oleh klien DNS ke pelayan DNS untuk resolusi nama, dibahagikan kepada dua jenis:
pertanyaan berulang (pelanggan menghantar pelayan DNS permintaan, yang memerlukan anda memberikan jawapan yang terbaik tanpa menghubungi pelayan DNS lain);
pertanyaan rekursif (pelanggan menghantar pertanyaan ke pelayan DNS di mana ia meminta jawapan akhir, walaupun pelayan DNS perlu menghantar pertanyaan ke pelayan DNS lain; pertanyaan yang dihantar dalam kes ini ke pelayan DNS lain akan berulang).
Pelanggan DNS biasa (seperti stesen kerja pengguna) biasanya menghantar pertanyaan rekursif.
Mari lihat contoh cara klien DNS dan pelayan DNS berinteraksi semasa memproses pertanyaan berulang dan rekursif.
Katakan pengguna melancarkan program Penyemak Imbas Internet dan memasukkan alamat dalam bar alamat http://www.microsoft.com. Sebelum penyemak imbas boleh mewujudkan sesi HTTP dengan tapak web, komputer klien mesti menentukan alamat IP pelayan web. Untuk melakukan ini, bahagian klien protokol TCP/IP stesen kerja pengguna (yang dipanggil penyelesai) mula-mula melihat melalui cache tempatan nama yang telah diselesaikan sebelum ini dalam usaha untuk mencari nama di sana www.microsoft.com. Jika nama tidak dijumpai, maka klien menghantar permintaan kepada pelayan DNS yang dinyatakan dalam konfigurasi TCP/IP komputer ini (mari panggil pelayan DNS ini "pelayan DNS tempatan"), untuk resolusi nama www.microsoft.com ke alamat IP nod ini. Pelayan DNS kemudiannya memproses permintaan bergantung pada jenis permintaan.
Pilihan 1 (pertanyaan berulang).
Jika pelanggan menghantar permintaan berulang kepada pelayan (ingat bahawa pelanggan biasanya menghantar permintaan rekursif), maka permintaan itu diproses mengikut skema berikut:
microsoft.com;
jika zon sedemikian ditemui, maka entri untuk nod www dicari di dalamnya; jika rekod ditemui, hasil carian akan dikembalikan dengan serta-merta kepada pelanggan;
www.microsoft.com dalam cache pertanyaan DNS yang telah diselesaikan sebelum ini;
jika nama yang dicari berada dalam cache, maka hasil carian dikembalikan kepada klien; jika pelayan DNS tempatan tidak menemui rekod yang diperlukan dalam pangkalan datanya, maka alamat IP salah satu pelayan DNS akar dihantar kepada klien;
klien mendapatkan alamat IP pelayan akar dan mengulangi permintaan resolusi nama kepadanya www.microsoft.com;
pelayan akar tidak mengandungi zon "microsoft.com" dalam pangkalan datanya, tetapi ia mengetahui pelayan DNS yang bertanggungjawab untuk zon "com", dan pelayan akar menghantar alamat IP kepada klien salah satu pelayan yang bertanggungjawab untuk zon ini ;
pelanggan menerima alamat IP pelayan yang bertanggungjawab untuk zon "com" dan menghantarnya permintaan resolusi nama www.microsoft.com;
pelayan yang bertanggungjawab untuk zon com tidak mengandungi zon dalam pangkalan datanya microsoft.com, tetapi dia tahu pelayan DNS yang bertanggungjawab untuk zon itu microsoft.com, dan pelayan DNS ini menghantar alamat IP kepada klien salah satu pelayan yang bertanggungjawab untuk zon tersebut microsoft.com;
klien menerima alamat IP pelayan yang bertanggungjawab untuk zon tersebut microsoft.com, dan menghantarnya permintaan resolusi nama www.microsoft.com;
pelayan yang bertanggungjawab untuk zon microsoft.com, menerima permintaan ini, mencari dalam pangkalan datanya alamat IP nod www yang terletak dalam zon microsoft.com, dan menghantar hasilnya kepada pelanggan;
klien memperoleh alamat IP yang dicarinya, menyimpan permintaan yang diselesaikan dalam cache setempatnya dan menyerahkan alamat IP tapak web kepada Penyemak Imbas Internet (selepas itu Penyemak Imbas berkomunikasi dengan tapak web melalui HTTP).
Pilihan 2 ( pertanyaan rekursif).
Jika pelanggan dihantar ke pelayan pertanyaan rekursif, maka permintaan diproses mengikut skema berikut:
Pertama, pelayan DNS tempatan mencari di antara zon yang bertanggungjawab untuk zon tersebut microsoft.com; jika zon sedemikian ditemui, maka entri untuk nod www dicari di dalamnya; jika rekod ditemui, hasil carian akan dikembalikan dengan serta-merta kepada pelanggan;
jika tidak pelayan DNS tempatan mencari nama yang diminta www.microsoft.com dalam cache pertanyaan DNS yang telah diselesaikan sebelum ini; jika nama yang dicari berada dalam cache, maka hasil carian dikembalikan kepada klien;
Jika pelayan DNS tempatan tidak menjumpai rekod yang diperlukan dalam pangkalan datanya, maka pelayan DNS tempatan itu sendiri melakukan satu siri pertanyaan berulang untuk menyelesaikan nama www.microsoft.com, dan sama ada alamat IP yang ditemui atau mesej ralat dihantar kepada klien.
Melaksanakan perkhidmatan DNS dalam sistem keluarga Windows Server
Ciri utama perkhidmatan DNS dalam keluarga sistem Windows Server ialah perkhidmatan DNS direka untuk menyokong perkhidmatan direktori Active Directory. Untuk melaksanakan fungsi ini, dua syarat mesti dipenuhi:
sokongan perkhidmatan DNS dinamik pendaftaran (kemas kini dinamik);
Sokongan DNS untuk rekod SRV.
DNS Windows Server memenuhi kedua-dua syarat, dan perkhidmatan direktori Active Directory hanya boleh dilaksanakan pada pelayan berasaskan Windows Server.
Mari lihat beberapa contoh mudah mengurus perkhidmatan DNS:
memasang perkhidmatan DNS;
penciptaan kawasan tontonan langsung utama dan tambahan;
mewujudkan zon carian terbalik;
melakukan pendaftaran dinamik nod dalam zon.
rangkaian terdiri daripada dua Pelayan Windows 2003;
sistem pengendalian - Rusia 120 hari terhad masa versi Windows Edisi Perusahaan Pelayan 2003;
pelayan pertama dipasang pada PC dengan pemproses Intel Pentium-4 3GHz dan 512 MB RAM, nama pelayan - DC1, alamat IP - 192.168.0.1/24;
pelayan kedua berjalan sebagai sistem maya menggunakan Microsoft VirtualPC 2004, nama pelayan -DC2, alamat IP - 192.168.0.2/24;
nama domain dalam ruang DNS dan nama yang sepadan dalam perkhidmatan direktori Active Directory - world.ru (rangkaian diasingkan sepenuhnya daripada rangkaian lain, jadi dalam contoh ini pengarang bebas memilih nama domain; dalam situasi sebenar institusi pendidikan tertentu, guru perlu membetulkan maklumat ini).
Cadangan terperinci untuk mengatur rangkaian untuk kajian kursus ini(kedua-duanya di bawah bimbingan seorang guru dalam kumpulan yang teratur dan semasa belajar bebas) dinyatakan dalam arahan untuk melaksanakan latihan makmal di penghujung manual.
Memasang perkhidmatan DNS
Memasang perkhidmatan DNS (serta komponen sistem lain) agak mudah menggunakan Wizard Pemasangan Komponen Windows:
Buka Panel kawalan.
Pilih item "Pemasangan dan penyingkiran program".
Klik butang "Memasang Komponen Windows".
Pilih "Perkhidmatan Rangkaian"- butang "Tambahan pula"(dalam apa jua keadaan, nyahtanda nama "Perkhidmatan Rangkaian").
Semak perkhidmatan DNS.
nasi. 4.10.
Jika sistem meminta anda untuk menentukan laluan ke pengedaran sistem, masukkan laluan ke folder dengan pengedaran.
Mari lakukan tindakan ini pada kedua-dua pelayan.
Mencipta Zon Pandangan Hadapan Utama.
Pada pelayan DC1 kami akan mencipta zon utama standard bernama world.ru.
Mari buka konsol DNS.
Mari pilih bahagian "Zon Pandangan Hadapan".
Mari lancarkan wizard penciptaan zon (jenis zon - "Asas", kemas kini dinamik - benarkan, parameter lain - lalai).
Mari masukkan nama zon - world.ru.
Mari benarkan zon ini dipindahkan ke mana-mana pelayan DNS (DNS Console - zone world.ru - Hartanah- Penanda buku "Pemindahan Zon"- Semak "Benarkan pemindahan" Dan "Ke mana-mana pelayan").
Mencipta Zon Pandangan Hadapan Tambahan.
Pada pelayan DC2, kami akan mencipta zon tambahan standard bernama world.ru.
Mari buka konsol DNS.
Mari pilih bahagian "Zon Pandangan Hadapan"
"Tambahan", alamat IP pelayan induk (dari mana zon akan disalin) ialah alamat pelayan DC1, parameter lain adalah lalai)
Mari masukkan nama zon - world.ru.
Mari semak rupa zon dalam konsol DNS.
Mengkonfigurasi hos untuk melaksanakan pendaftaran DNS dinamik.
Untuk menyelesaikan tugas ini, anda perlu melakukan beberapa tindakan pada pelayan DNS dan dalam tetapan klien DNS.
pelayan DNS.
Buat zon yang sesuai.
Benarkan kemas kini dinamik.
Kami telah pun melakukan ini.
Pelanggan DNS.
Nyatakan dalam tetapan protokol TCP/IP alamat pelayan DNS pilihan - pelayan yang mana kemas kini dinamik dibenarkan (dalam contoh kami, pelayan DC1).
Dalam nama komputer penuh, nyatakan akhiran DNS yang sesuai (dalam contoh kami - world.ru). Untuk ini - "Komputer saya" - "Hartanah"- Penanda buku "Nama komputer"- Butang "Ubah"- Butang "Tambahan pula"- masukkan nama domain world.ru dalam medan teks kosong - butang "OKEY"(3 kali)).
nasi. 4.11.
Selepas ini, sistem akan meminta anda untuk memulakan semula komputer anda. Selepas but semula pelayan DNS di zon world.ru, rekod jenis A akan dibuat secara automatik untuk pelayan kami ( nasi. 4.12).
nasi. 4.12.
Mencipta Zon Carian Terbalik.
Mari buka konsol DNS.
Mari pilih bahagian "Zon Carian Terbalik".
Mari lancarkan wizard penciptaan zon (pilih: jenis zon - "Asas", kemas kini dinamik - benarkan, parameter lain - lalai)
Di padang "Kod rangkaian (ID)" Mari masukkan parameter pengecam rangkaian - 192.168.0.
Mari jalankan arahan untuk memaksa pelanggan mendaftar pada pelayan DNS - ipconfig /registerdns.
Pelayan kami akan mendaftar dengan zon terbalik DNS ( nasi. 4.13):
Zon ialah pangkalan data yang mengandungi maklumat berwibawa tentang kawasan ruang nama DNS. Apabila anda memasang pelayan DNS dengan pengawal domain, zon DNS dicipta secara automatik untuk menyokong domain Active Directory. Jika pelayan DNS dipasang pada pengawal domain, pelayan ahli domain atau pelayan kendiri, zon mesti dibuat dan dikonfigurasikan secara manual.
Pelajaran ini menerangkan cara membuat dan mengkonfigurasi zon dan menyediakan maklumat yang diperlukan untuk mengkonfigurasi zon dengan betul.
Mencipta zon
Kawasan DNS ialah pangkalan data yang mengandungi rekod yangkaitkan nama dengan alamat di kawasan yang diterangkan dalam ruang nama DNS. Walaupununtuk menjawab pertanyaan nama, pelayan DNS boleh menggunakan cachemaklumat daripada pelayan lain, dia diberi kuasa untuk membalas permintaan hanya dalamkawasan kawalan tempatan. Untuk sebarang skop ruang nama DNS,diwakili oleh nama domain (contohnya, google .ru), hanya ada satusumber data zon yang berwibawa.
Jika anda perlu mencipta zon baharu pada pelayan DNS, anda boleh menggunakan Wizard Zon Baharu dalam Pengurus DNS. Untuk melancarkan wizard, klik Klik kanan Klik ikon pelayan dalam pepohon konsol Pengurus DNS dan gunakan arahan Zon Baharu.
Wizard Zon Baharu mengandungi muka surat seterusnya konfigurasi:
■ Jenis Zon;
■ Kawasan replikasi zon, bersepadu V Direktori Aktif (Skop Replikasi Zon Direktori Aktif);
■ Zon Carian Hadapan atau Songsang;
■ Nama Zon;
■ Kemas kini dinamik (Kemas Kini Dinamik).
Bahagian berikut menerangkan konsep konfigurasi yang dikaitkan dengan lima halaman wizard ini.
Memilih jenis zon
Pada halaman Jenis Zon Wizard Zon Baharu, anda boleh memilih untuk mencipta zon utama, zon sekunder atau zon rintisan. Dengan mencipta zon utama atau stub pada pengawal domain, anda boleh menyimpan data zon dalam Active Directory.
* Kawasan utama
Jenis zon DNS yang paling biasa ialah zon Utama. Ia menyediakan sumber asal yang menyediakan data baca/tulis pelayan DNS tempatan Kuasa untuk membalas pertanyaan DNS untuk skop ruang nama DNS.
Pelayan DNS tempatan yang menguruskan zon utama berfungsi sebagai sumber utama data tentang zon tersebut. Pelayan menyimpan salinan induk data zon dalam fail tempatan atau perkhidmatan domain ah Direktori Aktif (Perkhidmatan Domain Direktori Aktif, AD DS). Jika zon disimpan ke fail dan bukannya Active Directory, nama fail lalai ialah nama_zon.dns dan disimpan dalam folder %systemroot%\System 32\Dns pada pelayan.
*Zon tambahan
Menyediakan salinan berwibawa, baca sahaja bagi zon utama atau satu zon tambahan.
Zon sekunder menyediakan keupayaan untuk mengurangkan jumlah trafik pertanyaan DNS di kawasan rangkaian di mana data zon banyak ditanya dan digunakan. Selain itu, jika pelayan yang mengurus zon utama tidak tersedia, zon kedua boleh memberikan resolusi nama sehingga pelayan utama tersedia semula.
Zon sumber dari mana zon tambahan menerima maklumat dipanggil zon induk, dan prosedur penyalinan data yang memastikan maklumat zon sentiasa dikemas kini dipanggil pemindahan zon. Zon induk boleh menjadi zon utama atau zon tambahan lain. Zon induk boleh diberikan kepada zon tambahan yang dibuat dalam Wizard Zon Baharu. Oleh kerana zon sekunder ialah salinan zon utama yang diuruskan oleh pelayan lain, ia tidak boleh disimpan dalam Active Directory.
* Zon rintisan
Serupa dengan zon sekunder, tetapi mengandungi rekod sumber yang diperlukan untuk mengenal pasti pelayan DNS berwibawa dalam zon utama. Zon tunas sering digunakan untuk membenarkan zon induk (contohnya, google .ru) menggunakan senarai pelayan nama yang dikemas kini yang tersedia dalam zon anak yang diwakilkan (contohnya: terjemah .google .ru). Mereka juga berfungsi untuk meningkatkan resolusi nama dan memudahkan pentadbiran DNS.
* Menyimpan zon dalamAktifDirektori
Apabila anda mencipta zon utama atau zon stub pada pengawal domain, pada halaman Jenis Zon wizard, anda boleh memilih pilihan untuk menyimpan zon dalam Active Directory. Data zon bersepadu Direktori Aktif direplikasi secara automatik kepada Direktori Aktif mengikut tetapan yang dipilih pada halaman Skop Replikasi Zon Direktori Aktif. Terima kasih kepada pilihan ini, tidak perlu mengkonfigurasi pemindahan zon ke pelayan tambahan.
Mengintegrasikan zon DNS ke dalam Active Directory menyediakan beberapa faedah. Pertama, kerana perkhidmatan Active Directory melakukan replikasi zon, tidak perlu mengkonfigurasi mekanisme pemindahan zon DNS yang berasingan antara pelayan primer dan sekunder. Replikasi rangkaian berbilang secara automatik memberikan toleransi kesalahan dan prestasi yang lebih baik disebabkan ketersediaan berbilang pelayan utama baca/tulis. Kedua, Active Directory membolehkan anda mengemas kini dan meniru sifat rekod sumber individu pada pelayan DNS. Oleh kerana banyak rekod sumber lengkap tidak dipindahkan, beban pada sumber rangkaian semasa pemindahan zon dikurangkan. Akhir sekali, zon bersepadu Direktori Aktif juga menyediakan keperluan keselamatan kemas kini dinamik pilihan, yang boleh dikonfigurasikan pada halaman Kemas Kini Dinamik Wizard Zon Baharu.
CATATAN: Pengawal domain baca sahaja dan zon disepadukan dengan Active Directory
Pada pengawal domain tradisional, salinan zon diberikan kebenaran baca/tulis. Pada pengawal domain baca sahaja (RODC), salinan zon diberikan kebenaran baca sahaja.
* Zon piawai
Apabila anda membuat zon pada pengawal domain, pilihan untuk menyimpan zon dalam Active Directory pada halaman Jenis Zon dipilih secara lalai. Walau bagaimanapun, anda boleh mengosongkan kotak pilihan ini dan mencipta zon standard yang dipanggil. Pada pelayan yang bukan pengawal domain, anda hanya boleh membuat zon standard dan kotak pilihan pada halaman ini dikelabukan.
Tidak seperti zon bersepadu Direktori Aktif, zon standard menyimpan datanya dalam fail teks pada pelayan DNS tempatan. Selain itu, jika anda menggunakan zon standard, anda boleh mengkonfigurasi salinan utama sahaja dengan kebenaran baca dan tulis untuk data zon. Semua salinan zon lain (zon tambahan) diberikan kebenaran baca sahaja.
Model zon standard menganggap satu titik kegagalan untuk versi zon boleh ditulis. Jika zon utama tidak tersedia pada rangkaian, tiada perubahan boleh dibuat pada zon tersebut. Walau bagaimanapun, permintaan untuk nama dalam zon mungkin tidak terganggu semasa zon tambahan tersedia.
Memilih skop replikasi zon yang disepadukanAktifDirektori
Pada halaman Skop Replikasi Zon Direktori Aktif Wizard Zon Baharu, anda boleh memilih pengawal domain pada rangkaian anda untuk menyimpan data zon. Halaman ini muncul hanya apabila anda memilih pilihan untuk menyimpan zon dan Direktori Aktif. Pilihan pemilihan skop replikasi zon menentukan pengawal domain yang mana data zon akan direplikasi.
Halaman ini menyediakan pilihan berikut:
■ Kegigihan zon pada semua pengawal domain, yang juga pelayan DNS, di seluruh hutan Direktori Aktif;
■ Kegigihan zon pada semua pengawal domain yang juga berfungsi sebagai pelayan DNS dan domain tempatan Direktori Aktif;
■ Pemeliharaan zon pada semua pengawal domain dan domain Active Directory tempatan (digunakan untuk keserasian dengan Windows 2000);
■ Mengekalkan zon pada semua pengawal domain yang ditentukan dan skop partition tersuai Direktori aktif Direktori.
Pilihan ini diterangkan dengan lebih terperinci dalam topik kedua.
Mencipta Zon Carian Hadapan dan Songsang
Pada halaman Zon Carian Hadapan atau Songsang pada Wizard Zon Baharu, anda mesti memilih jenis zon yang hendak dibuat; Zon Carian Hadapan atau Zon Carian Terbalik.
Dalam zon carian hadapan, pelayan DNS memetakan FQDN kepada alamat IP. Dalam zon carian terbalik, pelayan DNS memetakan alamat IP kepada FQDN. Oleh itu, zon carian hadapan bertindak balas kepada permintaan untuk menyelesaikan FQDN kepada alamat IP dan zon carian terbalik bertindak balas kepada permintaan untuk menyelesaikan alamat IP kepada FQDN. Ambil perhatian bahawa zon carian hadapan dinamakan mengikut nama domain D NS yang kebenarannya dilaksanakan, untuk contoh google .com. Zon carian terbalik dinamakan dalam susunan terbalik bagi tiga oktet pertama ruang alamat yang peleraian nama disediakan, serta teg in-addr.arpa tambahan. Contohnya, jika anda menyelesaikan nama untuk subnet 192.168.1.0/24, zon carian terbalik akan dinamakan 1.168.192.in-addr.arpa. Di kawasan tontonan langsung kemasukan berasingan pangkalan data yang sepadan dengan nama hos dengan alamat dipanggil rekod nod(A). Dalam zon carian terbalik, entri pangkalan data individu yang memetakan alamat IP kepada nama hos dipanggil penunjuk atau rekod PTR.
Prinsip operasi carian hadapan dan belakang saya ditunjukkan dalam rajah.
Zon Pandangan Langsung
Zon Carian Terbalik
CATATAN: Wizard Persediaan Pelayan DNS
Anda boleh menggunakan Wizard Pelayan Konfigurasi DNS untuk mencipta zon carian ke hadapan dan terbalik secara serentak. Untuk memulakan wizard, dalam pepohon konsol Pengurus DNS, klik kanan ikon pelayan dan pilih Konfigurasi Pelayan DNS.
Memilih nama zon
Pada halaman Nama Zon Wizard Zon Baharu, anda boleh memilih nama untuk zon carian hadapan untuk dibuat. Zon carian terbalik diberi nama khas berdasarkan julat alamat IP yang berwibawa.
Jika anda mencipta zon untuk peleraian nama dalam domain Active Directory, sebaiknya tentukan nama zon yang sepadan dengan nama domain Active Directory. Contohnya, jika organisasi mengandungi dua domain Active Directory bernama google.ru dan translate.google.ru, infrastruktur resolusi nama mesti termasuk dua zon yang dinamakan sempena nama domain tersebut.
Jika anda mencipta zon untuk ruang nama DNS yang tidak berada dalam persekitaran ActiveDirectory, anda mesti menentukan nama domain Internet organisasi, seperti wikipedia .org.
CATATAN: PenambahanPelayan DNS bagi setiap pengawal domain
Untuk menambah pelayan DNS pada pengawal domain sedia ada, anda biasanya menambah salinan zon utama untuk memberikan resolusi nama kepada domain Active Directory di premis. Untuk melakukan ini, anda hanya mencipta zon yang namanya sepadan dengan nama zon sedia ada dalam domain Active Directory tempatan. Zon baharu akan diisi dengan data daripada pelayan DNS lain dalam domain.
Mengkonfigurasikan tetapan kemas kini dinamik
Pelanggan komputer DNS boleh mendaftar dan mengemas kini rekod sumber mereka secara dinamik menggunakan pelayan DNS. Secara lalai, klien DNS dengan alamat IP statik mengemas kini rekod hos (A atau AAAA) dan penunjuk (PTR), manakala klien DNS yang merupakan klien DHCP hanya mengemas kini rekod hos. Dalam persekitaran kumpulan kerja, pelayan DHCP mengemas kini entri indeks bagi pihak klien DHCP apabila konfigurasi IP dikemas kini.
Untuk kemas kini DNS dinamik berjaya, zon di mana pelanggan mendaftar atau mengemas kini rekod mesti dikonfigurasikan untuk menerima kemas kini dinamik. Terdapat dua jenis kemas kini ini:
■ selamatkemas kini (selamatkemas kini)
Membenarkan anda melakukan pendaftaran hanya dari komputer dalam domain Active Directory dan mengemas kini hanya dari komputer yang melakukan pendaftaran pada mulanya.
■ Tidak selamatkemas kini (Tidak selamatkemas kini)
Membolehkan anda mengemas kini dari mana-mana komputer.
Pada halaman Kemas Kini Dinamik Wizard Zon Baharu, anda boleh membenarkan kemas kini dinamik yang selamat, tidak selamat atau melumpuhkan sama sekali kemas kini untuk zon yang anda cipta.
Menganalisis Rekod Sumber Terbina dalam
Apabila anda membuat zon baharu, dua jenis rekod dibuat secara automatik. Pertama, zon sedemikian sentiasa termasuk rekod zon SOA (Start Of Authority) awal yang mentakrifkan sifat asas zon. Selain itu, zon baharu mengandungi sekurang-kurangnya satu rekod NS (Pelayan Nama) yang menentukan nama pelayan berwibawa zon tersebut. Berikut menerangkan fungsi kedua-dua rekod sumber ini.
Entri zon awal
Apabila memuatkan zon, pelayan DNS menggunakan rekod SOA (Start Of Authority) zon untuk menentukan sifat asas dan kuasa zon. Parameter ini juga mencirikan kekerapan pemindahan zon antara pelayan utama dan tambahan. Mengklik dua kali entri SOA membuka tab Start Of Authority (SOA) pada kotak dialog sifat zon.
■ bersirinombor (Nombor Siri)
Medan teks ini pada tab Rekod Zon Permulaan (SOA) mengandungi nombor semakan fail zon. Bilangan yang dinyatakan di sini meningkat setiap kali rekod sumber dalam zon berubah. Ia juga boleh ditingkatkan secara manual menggunakan butang Kenaikan.
Jika zon dikonfigurasikan untuk melaksanakan pemindahan zon kepada satu atau lebih pelayan sekunder, pelayan kedua tersebut secara berkala menanyakan pelayan utama untuk nombor siri zon. Permintaan ini dipanggil permintaan SOA. Jika permintaan SOA menerima nombor siri zon utama yang sama dengan nombor siri zon sekunder, pemindahan gagal. Jika nombor siri zon pada pelayan utama lebih besar daripada nilai yang sepadan pada pelayan sekunder yang meminta, yang terakhir memulakan pemindahan zon.
CATATAN: Memindahkan zon pada pelayan utama
Mengklik butang Kenaikan memulakan pemindahan zon.
■ asaspelayan (utamapelayan)
■ BertanggungjawabOrang yang bertanggungjawab
Medan ini ialah tempat anda memasukkan nama Orang Bertanggungjawab (RP) yang sepadan dengan peti mel domain pentadbir zon. Nama yang dimasukkan dalam medan ini mesti sentiasa berakhir dengan noktah. Nama lalai ialah tuan rumah.
■ Selang waktukemas kini (Selang Segar Semula)
Nilai dalam medan ini menentukan berapa lama pelayan DNS sekunder menunggu sebelum meminta kemas kini zon pada pelayan utama. Selepas selang kemas kini tamat, pelayan DNS kedua menanyakan pelayan utama untuk mendapatkan salinan rekod SOA semasa. Selepas menerima respons, pelayan DNS kedua membandingkan nombor siri rekod SOA semasa pelayan utama (dinyatakan dalam respons) dengan nombor siri rekod SOA tempatannya. Jika nilai ini berbeza, pelayan DNS sekunder meminta pemindahan zon daripada pelayan DNS utama. Selang kemas kini lalai ialah 15 minit.
■ Selang waktuCuba Selang Semula
■ Penggaltamat tempohSelepas (Tamat Selepas)
Nilai dalam medan ini menentukan jumlah masa pelayan kedua terus melakukan pertanyaan klien DNS tanpa menghubungi pelayan utama. Selepas masa ini, data dianggap tidak boleh dipercayai. Secara lalai, tetapan ini ditetapkan kepada satu hari.
■ Minimumistilahhayat TTL (Minimum (Lalai)TTL)
Nilai TTL tidak digunakan pada rekod sumber dalam zon berwibawa. Dan zon ini menggunakan seumur hidup cache tulis sumber pada pelayan bukan berwibawa untuk nilai TTL. Pelayan DNS yang mencache rekod sumber daripada permintaan sebelumnya menetapkan semula rekod itu, tetapi TTL rekod telah tamat tempoh.
■ Penggal kehidupan(TTL)rekod(TTL Untuk Rekod Ini)
Nilai yang dinyatakan dalam medan ini menentukan jangka hayat entri SOA semasa. Nilai ini menggantikan nilai lalai yang dinyatakan dalam medan sebelumnya.
Rekod pelayan nama
Rekod pelayan nama (NS) menentukan pelayan berwibawa untuk zon. Apabila anda mencipta zon dalam Windows Server 2008, setiap pelayan yang menguruskan salinan utama zon bersepadu Direktori Aktif akan menerima rekod NS sendiri dalam zon baharu secara lalai. Apabila anda mencipta zon utama standard, rekod NS pelayan tempatan akan ditambah secara lalai.
Untuk pelayan yang mengurus zon tambahan, anda mesti menambah rekod NS secara manual pada salinan induk zon.
Rekod NS dicipta menggunakan prosedur yang berbeza daripada semasa mencipta jenis rekod sumber lain. Untuk menambah rekod NS, dalam Pengurus DNS, klik dua kali mana-mana rekod NS sedia ada. Tab Pelayan Nama bagi kotak dialog sifat zon dibuka. Pada tab Pelayan Nama, klik butang Tambah untuk menambah alamat FQDN dan IP pelayan yang menguruskan zon kedua zon utama tempatan. Selepas menambah pelayan baharu, klik OK - rekod NS baharu akan muncul dalam Pengurus DNS yang menunjukkan pelayan ini.
CATATAN: Dayakan penghantaran ke zon tambahan
Zon kedua tidak mengiktiraf entri ini sebagai pelayan nama yang sah selagi ia mengandungi salinan data zon yang sah. Untuk zon tambahan menerima data ini, pemindahan zon mesti didayakan untuk pelayan itu pada tab Pemindahan Zon pada kotak dialog sifat zon. Tab ini diterangkan dengan lebih terperinci dalam topik seterusnya.
Di bawah ialah contoh entri yang dibuat dalam fail zon standard:
@NS dns1.lucernepublishing.com.
Simbol @ mewakili zon yang ditakrifkan oleh entri SOA dalam fail zon. Kemudian rekod penuh memetakan domain wikipedia.org ke pelayan DNS dns1.wikipedia.org.
Mencipta Rekod Sumber
Selain rekod SOA dan NS, beberapa rekod sumber lain dibuat secara automatik. Contohnya, semasa pemasangan pelayan DNS baharu, apabila pelayan ditetapkan sebagai pengawal domain, banyak rekod SRV Perkhidmatan Domain Direktori Aktif (AD DS) dicipta secara automatik dalam zon yang diuruskan secara tempatan. Selain itu, melalui pengemaskinian dinamik, banyak pelanggan DNS mendaftarkan rekod hos (A dan AAAA) dan penunjuk (PTR) secara automatik dalam zon secara lalai.
Walaupun banyak rekod sumber dicipta secara automatik, persekitaran perusahaan biasanya memerlukan beberapa rekod sumber dibuat secara manual, seperti MX (Mail Exchangers) untuk pelayan mel, alias (CNAME) untuk pelayan web dan aplikasi, dan rekod hos untuk pelayan dan pelanggan , yang tidak boleh melakukan kemas kini mereka sendiri.
Untuk menambah rekod sumber secara manual untuk zon, dalam konsol Pengurus DNS, klik kanan ikon zon dan pilih jenis rekod untuk dibuat daripada menu konteks.
Selepas anda memilih masukan daripada menu konteks, kotak dialog dibuka di mana anda boleh menentukan nama entri dan komputer yang dikaitkan dengannya. Ambil perhatian bahawa hanya rekod hos yang mengaitkan nama komputer dengan alamat IP. Kebanyakan jenis rekod mengaitkan nama perkhidmatan atau alias dengan rekod hos asal. Oleh itu, rekod MX bergantung pada kehadiran nod SRV 12.nwtraders .msft dalam kawasan rekod.
Jenis siaran
Berikut ialah rekod sumber biasa yang dibuat secara manual:
■ nod(AatauALAA);
■ nama panggilan (CNAME);
■ melpenukar (MX);
■ penunjuk (PTR);
■ lokasiperkhidmatan (SRV).
Simpulan (A atau AAAA)
Bagi kebanyakan rangkaian, sebahagian besar rekod sumber dalam pangkalan data zon ialah rekod sumber hos. Rekod ini digunakan dalam zon untuk mengaitkan nama komputer (nama hos) dengan alamat IP.
Walaupun dengan kemas kini dinamik didayakan untuk zon, beberapa senario kemasukan hos memerlukan anda menambah entri secara manual pada zon. Dalam rajah di bawah, Contoso, Inc. menggunakan nama domain contoso.com dalam ruang nama awam dan domain Active Directory dalaman. Dalam kes ini, pelayan web awam www.contoso.com terletak di luar domain Active Directory dan hanya membuat kemas kini kepada pelayan DNS berwibawa awam contoso.com. Tetapi pelanggan dalaman memajukan permintaan DNS mereka ke pelayan DNS dalaman. Kerana www .contoso .com A rekod tidak dikemas kini secara dinamik pada pelayan DNS dalaman, ia ditambah secara manual supaya pelanggan dalaman boleh menyelesaikan nama dan menyambung ke pelayan Web awam.
Rekod hos boleh ditambah secara manual jika rangkaian anda menggunakan pelayan UNIX. Contohnya, Fabrikam, Inc. mempunyai satu domain Active Directory dalam rangkaian peribadinya bernama fabrikam,com. Rangkaian ini juga termasuk pelayan UNIX, App1.fabrikam, com, yang menjalankan aplikasi kritikal untuk operasi harian syarikat. Memandangkan pelayan UNIX tidak boleh melakukan kemas kini dinamik, anda perlu menambah rekod hos pelayan App1 secara manual pada pelayan DNS yang menguruskan zon fabrikam.com. Jika tidak, pengguna tidak akan dapat menyambung ke pelayan aplikasi dengan menyatakan FQDNnya.
Alias (CNAME)
Entri ini kadangkala dipanggil nama kanonik. Mereka membenarkan berbilang nama digunakan untuk merujuk kepada satu nod. Contohnya, nama pelayan yang terkenal (ftp, www) biasanya didaftarkan menggunakan rekod CNAME. Rekod ini memetakan nama hos yang sepadan dengan perkhidmatan mereka kepada rekod sebenar AComputer yang mengawal perkhidmatan.
■ Apabila anda ingin menamakan semula nod yang dinyatakan dalam rekod A zon yang sama.
■ Apabila nama generik pelayan yang terkenal (cth www) perlu diselesaikan ke dalam sekumpulan komputer individu (setiap satu mengandungi rekod A individu) yang menyediakan perkhidmatan yang sama (cth sekumpulan pelayan web yang berlebihan).
Penukar pos (MX)
Rekod ini digunakan oleh aplikasi e-mel untuk mencari pelayan mel dalam zon. Mereka membenarkan anda memadankan nama domain yang dinyatakan dalam alamat e-mel dengan rekod Komputer yang mengawal pelayan mel dalam domain. Oleh itu, jenis rekod ini membolehkan pelayan DNS mengendalikan alamat e-mel yang tidak mempunyai pelayan mel yang ditentukan.
Selalunya rekod MX dicipta untuk memberikan failover kepada pelayan mel lain sekiranya pelayan pilihan tidak tersedia.
Berbilang pelayan diberikan nilai keutamaan. Semakin rendah nilai ini, semakin tinggi susunan keutamaan pelayan.
CATATAN: Simbol @
Dalam contoh ini, simbol @ mewakili nama domain tempatan yang terkandung dalam alamat e-mel.
penunjukPTR
Entri ini hanya digunakan dalam zon carian terbalik untuk menyokong carian terbalik yang berlaku apabila menyelesaikan alamat IP kepada nama hos atau FQDN. Carian terbalik dilakukan pada zon akar domain dalam -addr .arpa. Rekod PTR boleh ditambah ke zon secara manual atau automatik.
Di bawah ialah contoh perwakilan teks dalam fail zon rekod PTR yang dibuat dalam Pengurus DNS yang memetakan alamat IP 192.168.0.99 ke pelayan nama hos 1.google.ru:
99 PTRpelayan 1.google.ru.
CATATAN: Rekod nombor 99PRT
Dalam zon carian terbalik, oktet terakhir alamat IPv4 adalah bersamaan dengan nama hos. Oleh itu, nombor 99 mewakili nama yang diberikan kepada nod di dalam zon 0.168.192.in -addr .arpa. Zon ini sepadan dengan subnet 192.168.0.0.
Lokasi perkhidmatanSRV
Catatan SRV digunakan untuk menunjukkan lokasi perkhidmatan dalam domain. Aplikasi pelanggan yang menggunakan SRV boleh mendapatkan semula rekod SRV pelayan aplikasi melalui DNS.
Aplikasi yang menggunakan SRV ialah Windows Server 2008 Active Directory. Perkhidmatan log masuk rangkaian Netlogon menggunakan rekod SRV untuk mencari pengawal domain dengan mencari domain Protokol Akses Direktori Ringan Direktori Aktif (LDAP). DNS untuk meningkatkan toleransi kesalahan atau menyelesaikan masalah perkhidmatan rangkaian.
KemasukanDNS untuk penyelesaianMENANG
Pada tab WINS pada tetingkap sifat zon, anda boleh menentukan pelayan WINS yang akan dihubungi oleh perkhidmatan Pelayan DNS untuk mencari nama yang tidak ditemui oleh pertanyaan DNS. Apabila anda menentukan pelayan WINS pada tab WINS pada kotak dialog Hartanah Zon Carian Hadapan, entri WINS khas ditambahkan pada zon itu yang merujuk pelayan WINS itu. Apabila anda menentukan pelayan WINS pada tab WINS bagi kotak dialog sifat zon carian terbalik, entri WINS -R khas ditambahkan pada zon untuk mengenal pasti pelayan WINS itu.
Contohnya, jika pelanggan DNS meminta nama ClientZ .contoso .com dan pelayan DNS pilihan tidak dapat mencari jawapan dalam sumber biasa(cache, data zon tempatan dan dengan mengundi pelayan lain), pelayan meminta nama CLIENTZ. pada pelayan WINS yang dinyatakan dalam rekod WINS. Jika pelayan WINS membalas pertanyaan, pelayan DNS mengembalikan responsnya kepada klien.
Membersih dan memadam rekod usang
Setem masa digunakan dalam DNS untuk menjejak umur rekod sumber yang didaftarkan secara dinamik. Pembersihan rekod lapuk ialah proses mengalih keluar rekod usang dengan cap masa. Pembersihan hanya boleh dilakukan jika cap masa digunakan. Setem masa dan gosokan berfungsi bersama untuk mengalih keluar rakaman lama yang mungkin terkumpul dalam zon dari semasa ke semasa. Secara lalai, cap masa dan penyentalan dilumpuhkan.
Dayakan pembersihan
Untuk mendayakan penyental untuk zon individu, anda mesti mendayakan ciri pada peringkat pelayan dan peringkat zon.
Untuk mendayakan penghapusan peringkat pelayan, dalam pepohon konsol Pengurus DNS, klik kanan ikon pelayan dan gunakan perintah Tetapkan Penuaan /Pemeliharaan Untuk Semua Zon. Kemudian, dalam kotak dialog Penuaan / Scavenging Properties Pelayan yang terbuka, pilih kotak semak Scavenge Stale Resource Records. Walaupun tetapan ini mendayakan cap masa dan pembersihan peringkat pelayan untuk semua zon baharu, ia tidak mendayakan cap masa dan pembersihan zon bersepadu Direktori Aktif sedia ada.
Untuk mendayakannya, klik OK, dan kemudian dalam kotak dialog Pengesahan Penuaan/Scavenging Pelayan yang terbuka, pilih kotak semak untuk menggunakan tetapan ini pada zon bersepadu Direktori Aktif sedia ada.
Untuk mendayakan cap masa dan pembersihan peringkat zon, buka Zon Properties, dan kemudian pada tab Umum, klik butang Penuaan. Dalam kotak dialog Zone Aging/Scavenging Properties yang terbuka, pilih kotak semak Scavenge Stale Resource Records.
Cap masa Pelayan DNS melakukan scavenging dengan menggunakan cap masa yang ditetapkan pada rekod sumber dalam zon. Zon bersepadu Direktori Aktif menetapkan nilai cap masa untuk entri log dinamik secara lalai sebelum menyental didayakan. Walau bagaimanapun, zon standard asas menetapkan cap masa untuk entri log dinamik dalam zon hanya selepas menyental didayakan. Rekod sumber yang dibuat secara manual untuk semua jenis zon diberikan cap masa 0; ini bermakna umur mereka tidak akan ditentukan.- ini adalah masa antara maklumat terkini setem dan kemungkinannya kemas kini seterusnya. Menyekat menghalang pelayan daripada memproses kemas kini yang tidak perlu dan mengurangkan jumlah trafik. Selang sekatan lalai ialah 7 hari.
■ Pengubahsuaianselang waktukemas kini
Selang kemas kini ialah selang antara masa terawal cap waktu dikemas kini dan pembersihan rekod masa terawal dimulakan. Selepas menyekat dan mengemas kini selang, entri boleh dialih keluar dari zon. Secara lalai, selang waktu ialah 7 hari. Oleh itu, jika cap masa didayakan, rekod sumber yang dilog secara dinamik boleh dipadamkan selepas 14 hari.
Melakukan pembersihan
Pembersihan dilakukan di zon secara automatik atau manual. Untuk perlaksanaan automatik Pembersihan mesti didayakan dengan memadamkan rekod sumber usang secara automatik pada tab Lanjutan kotak dialog sifat pelayan DNS.
Jika pilihan ini tidak didayakan, anda boleh melakukan pembersihan zon secara manual dengan mengklik kanan ikon pelayan dalam pepohon konsol Pengurus DNS dan menggunakan perintah Scavenge Stale Resource Records.
Zon GlobalNames
Windows Server 2008 termasuk ciri baharu yang membenarkan semua klien DNS dalam hutan Active Directory menggunakan nama daripada label yang sama, seperti Mel, untuk menyambung ke sumber pelayan. Komponen ini berguna jika senarai carian akhiran DNS lalai untuk klien DNS tidak membenarkan pengguna dengan cepat (atau sama sekali) menyambung ke sumber menggunakan nama label tunggal itu.
Pelayan DNS dalam Windows Server 2008 membolehkan anda mencipta zon GlobalNames. Secara lalai, zon GlobalNames tidak wujud, tetapi dengan menggunakan zon dengan nama ini, anda boleh memberikan akses kepada sumber yang dipilih menggunakan nama label tunggal tanpa menggunakan WINS. Biasanya, nama label tunggal diberikan kepada pelayan penting dan digunakan secara meluas yang telah diberikan alamat IP statik. GlobalNames pada pelayan jauh, gantikan tempoh dengan nama pelayan jauh.
■ Ciptaanzon GlobalNames
Langkah seterusnya dalam menggunakan zon GlobalNames ialah membuat zon untuk pelayan DNS yang berfungsi sebagai pengawal domain Windows Server 2008. Zon GlobalNames bukanlah jenis zon khas, sebaliknya zon carian hadapan bersepadu Direktori Aktif yang dipanggil GlobalNames . Apabila anda membuat zon, pilih untuk mereplikasi data zon untuk semua pelayan DNS dalam hutan. Pilihan ini terletak pada halaman skop replikasi zon bersepadu Direktori Aktif (untuk mendayakan peleraian nama label tunggal, buat rekod alias sumber (CNAME) dalam zon GlobalNames. Nama yang diberikan kepada setiap rekod CNAME mewakili nama label tunggal yang pengguna boleh gunakan untuk menyambung ke sumber. Ambil perhatian bahawa setiap rekod CNAME menentukan rekod hos dalam zon lain.
Sistem nama domain adalah asas kepada Internet moden. Orang ramai tidak mahu menyusahkan diri mereka mengingati set nombor 63.245.217.105, tetapi mahu komputer menyambungkannya ke nod yang ditentukan menggunakan nama mozilla.org. Inilah yang dilakukan oleh pelayan DNS: mereka menterjemah permintaan orang ke dalam format digital yang boleh mereka fahami. Walau bagaimanapun, dalam beberapa kes, alamat IP terbalik → penukaran nama DNS mungkin diperlukan. Nama sedemikian akan dibincangkan di bawah.
Untuk apa itu?
Mempunyai alamat rDNS yang dikonfigurasikan dengan betul amat diperlukan untuk menghantar mesej daripada pelayan e-mel korporat anda sendiri. Hampir semua pelayan mel akan menolak mesej pada permulaan sesi jika alamat IP pelayan anda tidak mempunyai entri dalam zon DNS terbalik. Sebab kegagalan oleh pelayan mel jauh kemungkinan besar akan ditunjukkan seperti berikut:
550-"Alamat IP tidak mempunyai rekod PTR (alamat kepada nama) dalam DNS, atau apabila rekod PTR tidak mempunyai rekod A (nama ke alamat) yang sepadan. Sila semak dan betulkan rekod DNS anda."
atau
550-Tiada PTR yang sepadan untuk alamat IP anda (alamat IP), iaitu 550 diperlukan. Maaf, selamat tinggal.
atau secara ringkas
550 IP anda tidak mempunyai Rekod PTR
Nombor 550 dalam ketiga-tiga kes ialah kod standard Pelayan mel SMTP melaporkan ralat kritikal yang tidak dapat diatasi menghalang kerja selanjutnya dalam sesi mel ini. Ia mesti dikatakan bahawa secara umum semua ralat siri 500 adalah kritikal dan adalah mustahil untuk meneruskan penghantaran mel selepas ia muncul. Teks tersebut menerangkan sebab penolakan dengan lebih terperinci dan menyatakan bahawa pentadbir pelayan mel penerima telah mengkonfigurasinya untuk menyemak sama ada pelayan mel menghantar mempunyai entri dalam zon DNS terbalik (rDNS) dan jika ia tiada, penerima pelayan bertanggungjawab untuk menolak sambungan pengirim (ralat siri SMTP- 5XX).
Bagaimana untuk menyediakan dan menggunakan?
Hanya pemilik blok alamat IP yang sepadan yang sepadan dengan zon ini mempunyai hak untuk mengkonfigurasi zon DNS terbalik. Sebagai peraturan, pemilik ini adalah pembekal, yang memiliki sistem autonominya sendiri. Anda boleh membaca lebih lanjut tentang mendaftarkan sistem autonomi (AS) dan blok alamat IP anda dalam artikel ini. Ringkasnya, untuk mendaftar zon DNS terbalik, pengendali blok alamat IP mesti mendaftar dalam miliknya akaun peribadi pada tapak web RIPE, objek jenis "domain", nyatakan alamat pelayan DNS yang akan menyokong zon rDNS dan mengkonfigurasi sokongan untuk zon seperti 3.2.1.in-addr.arpa pada mereka. Penunjuk, rekod PTR, bertanggungjawab untuk sumber di zon songsang. Di sinilah permintaan pergi untuk menyelesaikan alamat IP menjadi nama hos.
Jika anda bukan pemilik gembira sistem autonomi, maka menyediakan rDNS untuk alamat IP atau alamat pelayan mel untuk anda bermula dan berakhir dengan permintaan kepada perkhidmatan sokongan pembekal atau hoster. Dalam kedua-dua kes, nama alamat IP pelayan mel, dan terutamanya pelayan mel korporat, harus diberikan secara bermakna.
Contoh nama baik untuk pelayan mel:
mail.domain.ru
mta.domain.ru
mx.domain.ru
Contoh nama buruk:
hos-192-168-0-1.domain.ru
customer192-168-0-1.domain.ru
vpn-dailup-xdsl-clients.domain.ru
dan seumpamanya. Nama sedemikian berkemungkinan besar akan ditapis sebagai diberikan kepada komputer klien yang mana pelayan mel tidak boleh dipasang, dan oleh itu spam dihantar daripada mereka.
Anda boleh dan harus berjaya menggunakan pertanyaan untuk membalikkan zon DNS serta-merta selepas memulakan pelayan mel. Untuk melakukan ini, anda hanya perlu membuat beberapa pelarasan perisian kecil. Dalam pelayan mel yang berbeza, menyediakan semakan rDNS dilakukan secara berbeza:
reject_unknown_client
sahkan = reverse_host_lookup
Dalam snap-in Exgange Server, pergi ke bahagian Pelayan, kemudian pilih pelayan dalam senarai yang diperluas, pilih Protokol, kemudian protokol SMTP, pilih pelayan SMTP dalam tetingkap kanan dan klik kanan dan pilih daripada senarai Properties. Seterusnya, tab Penghantaran → Lakukan carian DNS terbalik pada mesej masuk
Kini semua mesej daripada alamat IP yang tidak mempunyai rekod DNS terbalik (rekod jenis PTR) akan ditolak, dan aliran spam akan dikurangkan dengan ketara. Mungkin ini adalah kaedah penapisan spam yang paling mudah, berkesan dan paling tidak intensif sumber: pemeriksaan DNS terbalik menolak sebahagian besar spam yang dihantar daripada komputer yang dijangkiti pengguna biasa, membentuk botnet spammer.
Apabila menerbitkan semula artikel, memasang hiperpautan diindeks aktif ke sumber - tapak tapak diperlukan!
Asas
Apakah rekod zon DNS terbalik?
Pertanyaan DNS biasa menentukan alamat IP yang tidak diketahui untuk nama hos yang diketahui. Ini perlu apabila, sebagai contoh, penyemak imbas perlu mewujudkan sambungan TCP dengan pelayan menggunakan URL yang dimasukkan dalam medan alamat.
Forum.hetzner.de --> 213.133.106.33
DNS songsang berfungsi dalam arah lain - pertanyaan menentukan nama hos yang dimiliki oleh alamat IP.
213.133.106.33 --> dedi33.your-server.de
Seperti yang anda lihat, nama hos untuk permintaan hadapan dan belakang tidak semestinya sama!
Apakah tujuan rekod zon DNS terbalik?
- traceroute menunjukkan bukan sahaja alamat IP, tetapi juga nama hos yang boleh dibaca manusia. Ini menjadikannya lebih mudah untuk mendiagnosis ralat.
- Sebilangan besar pelayan mel hanya menerima mesej jika alamat IP penghantar mempunyai rekod DNS terbalik.
- Rekod DNS songsang boleh digunakan dalam rekod SPF (Rangka Kerja Dasar Pengirim; teknologi yang menghalang spam dan virus daripada dihantar daripada alamat e-mel palsu).
Bagaimanakah carian terbalik secara teknikal berfungsi pada pelayan DNS?
berlatih
Bagaimanakah saya boleh memberikan berbilang nama kepada alamat IP saya jika domain berbeza dihoskan pada pelayan saya?
Ini adalah mustahil. Hanya satu nama diberikan kepada setiap alamat IP.
Selain itu, tidak kira zon terbalik yang didaftarkan untuk pelayan. Untuk mengakses tapak, penyemak imbas hanya perlu melakukan penukaran terus (Nama --> IP). Sudah tentu, terdapat berbilang nama, seperti berbilang rekod A atau berbilang rekod CNAME yang menghala ke rekod A.
Untuk pelayan mel berfungsi, tidak perlu mempunyai berbilang nama hos bagi setiap alamat IP. Rekod DNS terbalik mesti sepadan dengan nama hos pelayan SMTP (rujuk tetapan pelayan SMTP yang sepadan).
Jika berbilang domain diuruskan melalui alamat IP (kes yang agak biasa), anda boleh menggunakan nama neutral yang tidak dikaitkan dengan domain pengguna. Penapis spam hanya menyemak sama ada rekod DNS terbalik sepadan dengan nama dalam respons kepada arahan HELO. Ini tidak menjejaskan nama domain dalam apa jua cara dan alamat pos dalam surat yang dihantar.
- Rekod DNS terbalik mesti sepadan dengan nama pelayan mel atau berdasarkan alamat IP.
- Rekod DNS terbalik juga mesti menyelesaikan "majukan" ke alamat IP yang sama.
- Rekod DNS terbalik seharusnya tidak serupa dengan rekod yang dijana secara automatik, seperti "162-105-133-213-static.hetzner.de", kerana nama sedemikian sering dinilai secara negatif oleh penapis spam.
- Nama yang diberi mesti ada. Tolong jangan gunakan nama domain yang tidak wujud.
Contoh entri yang bagus:
Srv01.grossefirma.de --> 213.133.105.162 213.133.105.162 --> srv01.grossefirma.de > telnet 213.133.105.162 25 220 srv01.grossefirma.de
Saya menetapkan PTR pada pelayan DNS saya. Mengapa ini tidak berfungsi?
Pelayan DNS anda hanya bertanggungjawab untuk resolusi hadapan.
Pemilik blok alamat IP (cth Hetzner Online GmbH) bertanggungjawab untuk mengekalkan pelayan DNS yang berwibawa untuk entri terbalik.
Rekod DNS songsang hanya boleh dibuat menggunakan fungsi panel Robot yang sepadan ( menu kiri-> "Pelayan" -> klik pada pelayan -> "IP" -> klik pada medan teks di sebelah alamat IP).
Tulis balik untuk pelayan saya berbeza daripada HELO pelayan mel saya. Adakah ini masalah?
Contoh: Rekod DNS songsang untuk alamat IP pelayan "www.grossefirma.de". Sebagai tindak balas kepada arahan HELO, pelayan mel bertindak balas dengan "mail.grossefirma.de".
Sesetengah penapis spam mengklasifikasikan e-mel daripada penghantar tersebut sebagai "spam". Ketidakkonsistenan seperti itu mesti diperbetulkan. Rekod DNS terbalik dan nama pelayan mel mestilah sama. Dalam contoh di atas mereka boleh, sebagai contoh, "srv01.grossefirma.de". Nama "www.grossefirma.de" boleh diubah hala ke srv01.grossefirma.de tanpa sebarang akibat menggunakan rekod CNAME.
Ujian terperinci rekod DNS boleh dijalankan menggunakan
