Een zone in DNS is een onderdeel van de DNS-naamruimte die wordt beheerd door een bepaalde server of een groep DNS-servers. Het is het belangrijkste mechanisme voor het delegeren van bevoegdheden in de DNS en wordt gebruikt om de grenzen in te stellen waarbinnen een bepaalde server verzoeken mag doen. Elke server die een bepaalde zone onderhoudt, wordt beschouwd als de gezaghebbende of verantwoordelijke voor die zone; de enige uitzondering zijn stubzones.
Het is belangrijk om te begrijpen dat elke DNS-partitie of -subsectie binnen een enkele zone kan bestaan. Een organisatie kan bijvoorbeeld de volledige naamruimte van een domein, subdomeinen en subdomeinen in één zone plaatsen, of afzonderlijke delen van die naamruimte in afzonderlijke zones. In feite kan zelfs een hele internetnaamruimte worden gezien als een enkele geroote naamruimte. en veel aparte ruimtes.
Een server waarop DNS is geïnstalleerd maar geen zones zijn geconfigureerd, wordt een caching-only server genoemd. Het installeren van een dergelijke server kan in sommige filiaalscenario's voordelig zijn, omdat het de hoeveelheid clientverzoekverkeer via het netwerk helpt verminderen en de noodzaak elimineert om volledige DNS-zones naar externe locaties te repliceren.
Voorwaartse opzoekzones
Forward lookup-zones, zoals je zou kunnen raden uit hun naam, zijn gemaakt om forward lookups uit te voeren in de DNS-database. Met andere woorden, dit type zone zorgt voor de implementatie van naamomzetting naar IP-adressen en het verstrekken van informatie over bronnen. Als een gebruiker bijvoorbeeld contact wil opnemen met de del.company.com-server en zijn IP-adres wil opvragen in de forward lookup-zone, retourneert DNS de waarde 172.16.1.11, d.w.z. Het IP-adres van deze bron.
Niets belet u om meerdere resourcerecords aan dezelfde resource toe te wijzen. In feite wordt deze techniek vaak in veel situaties gebruikt. Onder bepaalde omstandigheden kan het voor de server handiger zijn om op meer dan één naam te kunnen reageren. Deze functionaliteit wordt doorgaans bereikt door CNAME-records te maken waarmee u aliassen voor de resource kunt maken.
Omgekeerde opzoekzones
Omgekeerde opzoekzones voeren precies het tegenovergestelde uit van wat voorwaartse opzoekzones doen. Ze zorgen voor het toewijzen van IP-adressen aan een algemene naam. Dit is vergelijkbaar met het opzoeken van een telefoonnummer, wanneer het nummer zelf bekend is, maar de naam van de persoon aan wie het toebehoort niet. Zones voor reverse lookup worden meestal handmatig gemaakt en zijn niet noodzakelijk in elke implementatie aanwezig. Door de wizard Een DNS-server configureren te gebruiken, zoals eerder in het hoofdstuk beschreven, kan het proces voor het maken van een dergelijke zone worden geautomatiseerd. Doorgaans worden reverse lookup-zones gevuld met PTR-records die dienen om het reverse lookup-verzoek naar de juiste naam te verwijzen.
In Windows-domeinen slaat DNS informatie op over de services die nodig zijn voor de werking van systemen. En het grootste aantal problemen in het functioneren van het domein (directoryservice) houdt precies verband met de onjuiste configuratie van de DNS-service door beheerders. Daarom is het de moeite waard om de DNS-server in meer detail te bekijken.DNS-voorwaarden
DNS (Domain Name System) is een naamomzettingsservice voor netwerken op basis van het TCP/IP-protocol.
DNS-zones
Een DNS-zone is een onderdeel van een naamruimte waarvoor een DNS-server naamomzettingsbewerkingen kan uitvoeren. Er zijn voorwaartse en achterwaartse opzoekzones, die in de praktijk gemakshalve voorwaartse en achterwaartse zones worden genoemd.
Met de voorwaartse zone kunt u het IP-adres krijgen via de systeemnaam, de omgekeerde zone "geeft" informatie over de hostnaam door het IP-adres. Daarom, als u het adres van de computer wilt achterhalen, hebben ze het over directe naamomzetting. Als ze de computernaam op IP-adres willen krijgen, wordt de naam in dit geval omgekeerd. Strikt genomen, als voorwaartse naamomzetting is geregistreerd in DNS, moet het omgekeerde ook worden geregistreerd.
Het ontbreken van omgekeerde naamresolutie is een vrij veel voorkomende fout op internet. Gewoonlijk zijn de forward zone van een bepaald domein en de reverse zone die overeenkomt met deze naam eigendom van verschillende mensen (organisaties), dus tijdens het registreren van nieuwe DNS-records wordt het vaak vergeten om een corresponderend reverse zone-record aan te maken.
In feite komen directe zones overeen met domeinen van een bepaald niveau. Met de ask.ru-zone kunt u bijvoorbeeld alle verzoeken om namen met betrekking tot het ask.ru-domein oplossen.
De zone in-addr.arpa is gemaakt om omgekeerde namen in het topniveaudomein op te lossen. Zonenamen voor reverse lookup worden gevormd door drie netwerkadresoctetten toe te voegen aan de linkerkant van de naam in omgekeerde volgorde. Voor het netwerk 195.161.192.0/24 is de naam van de omgekeerde zone bijvoorbeeld 192.161.195.in-addr.arpa.
In de meeste gevallen verstoort het ontbreken van registratie in de omgekeerde zone de normale werking van het netwerk niet. Het kan echter ook leiden tot fouten in gevallen waarin het nodig is om de servernaam vanaf een IP-adres in te stellen. Zo is het nu bij het uitwisselen van e-mailberichten gebruikelijk om te controleren of de server behoort tot het domein namens welke deze de mail verstuurt. Als omgekeerde naamomzetting niet wordt uitgevoerd, kan het systeem worden geweigerd om e-mail te accepteren.
Primaire en secundaire zones
De DNS-records die u aanmaakt, moeten één "master" hebben. Om alle records correct te laten zijn, moeten ze op dezelfde DNS-server zijn gemaakt. In dit geval zou de DNS-server de primaire zone hosten. Voor fouttolerantie op andere servers kunt u kopieën van deze zone maken: dergelijke zones worden secundaire zones genoemd. De secundaire zone bevat dezelfde records als de primaire zone, maar kan niet worden gewijzigd of nieuwe records worden toegevoegd. Deze bewerkingen kunnen alleen worden uitgevoerd voor de primaire zone.
Zonenaamservers
Voor elke primaire zone kunt u zoveel kopieën maken als u wilt op andere servers. Meestal zijn DNS-servers geconfigureerd met speciale meldingsmechanismen die ervoor zorgen dat de records van de primaire zone en de kopieën op secundaire servers worden gesynchroniseerd. Maar als dit niet wordt verboden door de DNS-serverinstellingen, kunt u een secundaire zone op uw server maken, waarvan de updates volgens een bepaald schema zullen worden uitgevoerd. Als gevolg hiervan kunnen de gegevens van een dergelijke kopie verouderd zijn. Daarom is het gebruikelijk dat een domein nameservers definieert waarvan de informatie "officieel" is. Dergelijke servers worden NS-records van het bijbehorende domein genoemd. Meestal worden er voor elk domein twee of drie NS-servers gemaakt. Als een reactie op een naamomzettingsverzoek wordt ontvangen van een NS-server, wordt dit als geautoriseerd beschouwd, andere servers retourneren ongeautoriseerde antwoorden.
Dit betekent niet dat er in dit geval onjuiste gegevens worden geretourneerd. De DNS-server zal een clientverzoek alleen oplossen op basis van zijn kopie van de gegevens als de gegevens up-to-date zijn. Maar als de levensduur van records op de nameserver was ingesteld op bijvoorbeeld een week, dan moet u bij wijzigingen in de primaire zone erop voorbereid zijn dat zelfs vóór een week na de wijziging van informatie op de NS-server, andere DNS-servers kunnen honderd retourneren In het geval van een domein Windows 2000 en gebruik van de DNS-zone. geïntegreerd met de directoryservice, kunnen wijzigingen worden aangebracht op elke DNS-server in die zone.
Geldige waarden
Dat wil zeggen, u zult een situatie tegenkomen waarin sommige systemen al de juiste gegevens over de naam hebben ontvangen en andere niet. Daarom is het vóór de voorgestelde wijziging van DNS-records noodzakelijk om hun levensduur te verkorten en een periode te wachten die gelijk is aan de oude levensduur. Dit zal de periode van dergelijke onzekerheid in naamresolutie verminderen. Na het voltooien van de configuratiebewerking moet u terugkeren naar de oude waarden om de belasting van het netwerk en de DNS-servers te verminderen. Als u vermoedt dat de kopie van de DNS-records op de DNS-server verouderd is, moet u een cache-opschoonbewerking uitvoeren voor de overeenkomstige zone. Om dit te doen, moet u de optie inschakelen om extra parameters weer te geven in de serverbeheerconsole, de vereiste zone in de cachestructuur zoeken en deze wissen. De volgende keer dat er gegevens uit deze zone worden opgevraagd, downloadt de server een kopie van de DNS-server die is geconfigureerd om verzoeken door te sturen. Daarom garandeert deze bewerking ook geen up-to-date kopie van de records. Bij het overwegen van problematische situaties, moet u op de officiële bronnen de adressen van de NS-servers van dit domein vinden en de records controleren met behulp van het hulpprogramma nslookup door verbinding te maken met de bijbehorende NS-server.
Om DNS-records op clientcomputers bij te werken, spoelt u de cache van de DNS-record (ipconfig /flushdns).
Zoneoverdracht
Dit is de naam van een speciale bewerking waarbij alle records van een bepaalde zone van de ene DNS-server naar de andere worden gekopieerd. Om veiligheidsredenen zijn zoneoverdrachten meestal alleen toegestaan naar een lijst met DNS-server-IP-adressen die vooraf zijn gedefinieerd door de systeembeheerder. Als de zoneoverdrachtbewerking is uitgeschakeld, kunt u voor dat domein geen secundaire zone maken op uw DNS-server.
Zonedelegatie
Als er bijvoorbeeld een doorstuurzone voor een domein is gemaakt op de DSN-server test.local, dan het record over het domein op het derde niveau level3.test.local moet op dezelfde server staan. Indien geografisch domein level3.test.local verwijderd uit het hoofddomein, dan wordt het niet erg handig om records in zijn zone op de DNS-server te onderhouden. Het is gemakkelijker om de beheerder van dat domein zelf wijzigingen aan te brengen in de DNS-records met behulp van het zonedelegatieproces. Wanneer een zone wordt gedelegeerd, maakt de DNS-server zelf een vermelding aan die aangeeft dat verzoeken om naamomzetting voor die zone moeten worden doorgestuurd naar de andere DNS-server waaraan de zone is gedelegeerd.
Stub-zone (stub-zone)
Wanneer een zone wordt gedelegeerd, wordt informatie over de MS-server van de gedelegeerde zone opgeslagen op de bronserver. Aangezien de beheerder van de gedelegeerde zone zijn DNS-records kan wijzigen, kan hij ook de records van de NS-server wijzigen. Als de overeenkomstige wijziging niet wordt aangebracht aan de server die de delegatie uitvoert, wordt het naamomzettingsproces verbroken (de hoofdserver stuurt nog steeds verzoeken naar het adres dat niet meer bestaat, met als gevolg dat er een onjuist antwoord wordt gegenereerd) . Om deze situatie te verhelpen, heeft Windows Server 2003 DNS stub-zones geïntroduceerd. Wanneer een stubzone wordt aangemaakt, worden daarin de NS-records van de gedelegeerde zone gedefinieerd. Bovendien, als de beheerder van de gedelegeerde zone deze records wijzigt, worden de overeenkomstige wijzigingen aangebracht in de records van de stub-zone. Hierdoor is de integriteit van het naamomzettingsproces gegarandeerd.
Punt zone
Het topleveldomein wordt, zoals reeds vermeld, meestal de naam "punt" genoemd. Als u een "punt"-zone in DNS aanmaakt, betekent dit in feite dat deze server de root in de DNS-structuur is, dat wil zeggen dat hij alle naamquery's zelf moet oplossen. Als deze DNS-server de naam niet kan oplossen, zal zijn antwoord zeggen dat een dergelijke host niet bestaat.
Als u DNS-query's naar andere servers moet doorsturen, moet de "dot"-zone worden verwijderd, waarna u het doorsturen van DNS-query's kunt configureren.
Soorten aanvragen
Er zijn twee soorten query's voor naamomzetting in DNS: iteratief en recursief. Een iteratieve query wordt gebruikt om van de DNS-server waarnaar deze is doorgestuurd, het beste antwoord te verkrijgen dat kan worden verkregen zonder contact op te nemen met andere DNS-servers. Een recursieve query gaat ervan uit dat de DNS-server alle bewerkingen moet uitvoeren om de naam op te lossen. Doorgaans wordt een zone met deze naam gemaakt wanneer u de directoryservice installeert en tegelijkertijd de DNS-server instelt.
Naamomzettingsvolgorde in DNS
DNS-naamomzettingsvolgorde. Het proces van het bepalen van de naam met behulp van iteratieve query's is erg tijdrovend. U moet de NS-server voor dit domein zoeken en er vervolgens gegevens van opvragen met de gewenste naam. Meestal "bieden" clients al deze bewerkingen aan DNS-servers aan door ze een recursieve query te sturen. De DNS-server zoekt, na ontvangst van een recursieve query, zijn eigen cache met namen op. Als het de gewenste invoer vindt en het is nog niet verouderd, dan wordt deze waarde teruggegeven aan de klant. Als er geen invoer is, probeert de server een naamserver op te zoeken voor het domein in de aanvraag. Om zo'n server te vinden wordt er altijd een request gestuurd naar de root server, informatie over het first-level domein wordt daaruit verkregen, informatie over de NS-servers van het second-level domein wordt verkregen door een request aan het first level domein, etc. Daarna wordt een iteratief verzoek gestuurd naar de NS-server van het bijbehorende domein. Uiteraard staat de meeste informatie van de rootdomeinen al in de cache op deze server. Als resultaat bereiken verzoeken de rootservers niet, maar de naamomzettingsketen zelf wordt altijd uitgevoerd van de root naar het huidige domein. Doorgaans configureren beheerders van lokale DNS-servers hun server om naamresolutieverzoeken door te sturen (doorsturen) naar een of andere DNS-server (meestal de DNS-server van de provider). De volledige naamomzettingsprocedure wordt dus door een andere server uitgevoerd. Omdat krachtige internetservers meestal een aanzienlijk grotere cache en een betere verbinding met het wereldwijde netwerk hebben, zorgt deze methode voor een kortere responstijd en minder verkeer.
Goedemiddag, beste lezers en vaste abonnees, IT-blogsite. De vorige keer hebben we besproken wat een DNS-server is, de werkingsprincipes, basisrecords en nog veel meer. Wie het briefje heeft gemist, raad ik je aan te lezen. In de publicatie van vandaag wil ik ingaan op de kwestie van omgekeerde zones en hun toepassing.
Omgekeerde DNS-lookup- een speciale domeinzone die is ontworpen om de naam van een host te bepalen aan de hand van zijn IPv4-adres met behulp van een PTR-record. Het knooppuntadres AAA.BBB.CCC.DDD wordt vertaald in omgekeerde notatie en wordt DDD.CCC.BBB.AAA.in-addr.arpa. Het hiërarchische naamgevingsmodel maakt het mogelijk om het beheer van een zone te delegeren aan de eigenaar van een IP-adresbereik. Om dit te doen, geven de gezaghebbende DNS-serverrecords aan dat een aparte server verantwoordelijk is voor de CCC.BBB.AAA.in-addr.arpa-zone (dat wil zeggen, het AAA.BBB.CCC.000/24-netwerk).
Het PTR-record (van de Engelse pointer - pointer) associeert het IP-adres van de host met zijn canonieke naam. Een zoekopdracht in het in-addr.arpa-domein naar het IP-adres van een host in omgekeerde vorm zal de naam van die host retourneren. Bijvoorbeeld (op het moment van schrijven), voor een IP-adres van 192.0.34.164: het opvragen van het PTR-record 164.34.0.192.in-addr.arpa levert de canonieke naam referrals.icann.org.in-addr.arpa op
in-addr.arpa is een speciale domeinzone die is ontworpen om een hostnaam te bepalen op basis van zijn IPv4-adres met behulp van een PTR-record. Het hostadres AAA.BBB.CCC.DDD wordt vertaald in omgekeerde notatie en wordt DDD.CCC.BBB.AAA.in-addr.arpa. Het hiërarchische naamgevingsmodel maakt het mogelijk om het beheer van een zone te delegeren aan de eigenaar van een reeks IP-adressen. Om dit te doen, geven de gezaghebbende DNS-serverrecords aan dat een aparte server verantwoordelijk is voor de CCC.BBB.AAA.in-addr.arpa-zone (dat wil zeggen, het AAA.BBB.CCC/24-netwerk).
Gebruik
Om het volume van ongevraagde e-mail (spam) te verminderen, kunnen veel servers van e-mailontvangers controleren op een PTR-record voor de host van waaruit het wordt verzonden. In dit geval moet het PTR-record voor het IP-adres overeenkomen met de naam van de verzendende mailserver waaraan het wordt aangeboden tijdens de SMTP-sessie.
Directe weergave nodig om domeinnamen om te zetten in IP-adressen, omgekeerd zoeken– om IP-adressen om te zetten in domeinnamen.
Elk netwerksegment moet een zone voor reverse lookup hebben. In het bijzonder, als je subnetten 192.168.10.0, 192.168.11.0 en 192.168.12.0 hebt, zou je drie zones voor reverse lookup moeten hebben.
De standaardnaam voor een zone voor reverse lookup bestaat uit de netwerk-ID in omgekeerde volgorde en het achtervoegsel in-addr.arpa. De reverse lookup-zones uit het vorige voorbeeld krijgen de naam 10.168.192. in-addr.arpa, 11.168.192.in-addr.arpa en 12.168.192.in-addr.arpa. De zonerecords voor reverse lookup en forward lookup moeten worden gesynchroniseerd. Als de synchronisatie in het domein mislukt, kan de verificatie mislukken.
Volg deze stappen om een zone voor reverse lookup te maken:
1. Openen, troosten DNS-beheerder en maak verbinding met de gewenste server.
2. Klik met de rechtermuisknop op het serverelement en selecteer opdracht Maak een nieuwe zone aan (Nieuwe Zone). Zal openen Wizard nieuwe zone. Klik Verder (Volgende).
3. Als u een met Active Directory geïntegreerde primaire server configureert, vinkt u het vakje aan: Primaire zone en zorg ervoor dat het selectievakje is aangevinkt . Als u DNS niet in Active Directory wilt integreren, vink dan het vakje aan Primaire zone en schakel het selectievakje uit Bewaar de zone in Active Directory. Klik Verder (Volgende).
4. Als u een zone voor reverse lookup configureert voor een secundaire server, selecteert u het keuzerondje Extra zone (secundaire zone) en klik Verder (Volgende).
5. Als u een zone integreert met Active Directory, kiest u een van de volgende replicatiestrategieën:
Voor alle DNS-servers in dit forest (naar alle DNS-servers in dit forest) Dit is de breedste replicatiestrategie. Onthoud dat een Active Directory-forest alle domeinstructuren omvat die directory-informatie delen met het huidige domein.
Voor alle DNS-servers in dit domein (naar alle DNS-servers in dit domein) Selecteer deze strategie om DNS-informatie te repliceren binnen het huidige domein en de onderliggende domeinen.
Voor alle domeincontrollers in dit domein (vervolgens alle domeincontrollers in dit domein) Kies deze strategie als u DNS-informatie wilt repliceren naar alle domeincontrollers binnen het huidige domein en de onderliggende domeinen. Hoewel deze strategie een grotere replicatie van DNS-informatie binnen een domein mogelijk maakt, is niet elke domeincontroller een DNS-server (u hoeft niet elke domeincontroller als DNS-server te configureren).
6. Zet de schakelaar Omgekeerde opzoekzone. Klik Verder (Volgende).
7. Specificeer voor welke adressen u een zone voor reverse lookup wilt maken (IPv4 of IPv6) en klik Volgende. Voer een van de volgende acties uit:
Als u configureert voor IPv4, voert u de netwerk-ID in voor de zone voor reverse lookup. De waarden die u invoert, bepalen de standaardnaam voor de zone voor reverse lookup. Klik Verder (Volgende).
Als u configureert voor IPv6, voert u het netwerkvoorvoegsel in voor de zone voor reverse lookup. Zonenamen worden automatisch gegenereerd op basis van de waarden die je invoert. Afhankelijk van de ingevoerde prefix kunt u maximaal acht zones aanmaken. Klik Verder (Volgende).
8. Als u een niet-ADF geïntegreerde primaire of secundaire server configureert, geeft u de naam van het zonebestand op. De standaardbestandsnaam voor de DNS-zonedatabase moet al zijn ingevoerd. Laat het ongewijzigd of voer een nieuwe naam in. Klik Verder (Volgende).
9. Geef op of dynamische updates moeten worden toegestaan. Je hebt drie mogelijkheden:
Alleen veilige dynamische updates toestaan Als de zone met Active Directory is geïntegreerd, kunt u ACL's gebruiken om te beperken welke clients dynamische updates kunnen uitvoeren. Als u dit selectievakje inschakelt, kunnen alleen clients met geverifieerde computeraccounts en goedgekeurde ACL's bronrecords dynamisch bijwerken.
Sta zowel niet-beveiligde als veilige dynamische updates toe Schakel dit selectievakje in om elke client toe te staan zijn DNS-bronrecords bij te werken wanneer er wijzigingen zijn.
Geen dynamische updates toestaan Deze schakelaar schakelt dynamische DNS-updates uit. Het mag alleen worden gebruikt als de zone niet is geïntegreerd met Active Directory.
Nadat u zones voor reverse lookup hebt ingesteld, moet u ervoor zorgen dat de delegatie voor de zone correct wordt afgehandeld. Neem contact op met uw informatieafdeling of ISP om te controleren of de zones zijn geregistreerd in het bovenliggende domein.
