การถ่ายโอนโซน DNS พร้อมกับการแก้ไขสิทธิ์

0

ฉันมี 3 แลปเซิร์ฟเวอร์เรียกว่า lab1, lab2, lab3

Lab2 ของฉันคือโฆษณา Windows, Windows DNS Server ของฉัน

เมื่อเร็ว ๆ นี้ฉันไม่เก็บเซิร์ฟเวอร์ทั้งหมดของฉันไว้เพราะฉันไม่ต้องการมันตลอดเวลาดังนั้นสิ่งที่ฉันทำฉันติดตั้งบทบาทเซิร์ฟเวอร์ DNS ในแล็บ 1 และแล็บ 3 จากนั้นก็ทำการถ่ายโอนโซนจาก Lab2 ไปยังแล็บ 1 และแล็บ 3

ท้าทาย

  1. ฉันไม่สามารถเพิ่ม / แก้ไขรายการใน Lab1 และ Lab3
  2. ฉันเปิดเพื่อเป็นทางเลือกของการมีเซิร์ฟเวอร์ DNS ซึ่งฉันสามารถเก็บไว้ตลอดเวลา

ความนับถือ

networking  dns 
SeanClt
แหล่งที่มา
1
วิธีนี้กำลังถามหาปัญหาในหลาย ๆ ด้าน ก่อนอื่นคุณควรมีเพียงหนึ่งโซน มีเพียงเซิร์ฟเวอร์เดียวเท่านั้นที่เป็น StartOfAuthority ของคุณและจากนั้นการกำหนดเวอร์ชันของโซนทั้งหมดจึงเกิดขึ้นที่เดียวที่คุณสามารถ / ควรแก้ไขโซนนั้นอยู่บนเซิร์ฟเวอร์หลัก (SOA) เซิร์ฟเวอร์อื่น ๆ ควรตรวจสอบเซิร์ฟเวอร์หลักหมายเลขรุ่น SOA บันทึกเป็นระยะเพื่อตรวจสอบว่าโซนมีการเปลี่ยนแปลงและฟื้นฟูโซนจากต้นแบบ ประการที่สองนี่เป็นเพียงการขอให้ลูกค้าแก้ปัญหาเพื่อตอบสนองต่อการเปลี่ยนแปลง เพียงปล่อยให้ตัวควบคุมโดเมนของคุณเปิดแทนที่จะกระจายขนาดเล็ก
Frank Thomas
ดูเพิ่มเติมที่นี่: technet.microsoft.com/en-us/library/cc781340%28v=ws.10%29.aspx
Frank Thomas

คำตอบ:

1

DNS Zones เป็นฐานข้อมูลชื่อข้อมูลในหนึ่งโดเมนขึ้นไป สำหรับการยอมรับข้อบกพร่องโหลดบาลานซ์และประสิทธิภาพการแก้ปัญหาโซนมักโฮสต์บนเซิร์ฟเวอร์หลายเครื่อง แต่ที่มาพร้อมกับข้อเสียเปรียบที่สำคัญ: คุณจะรักษาโซนอย่างสม่ำเสมอในแต่ละเซิร์ฟเวอร์ที่เก็บไว้ได้อย่างไร และถูกต้องหรือไม่

ระบบนิเวศ DNS แก้ปัญหานี้ด้วยแนวคิด ผู้มีอำนาจ . เซิร์ฟเวอร์ดั้งเดิมเพื่อเก็บโซนคือโซนนั้น Start Of Authority [SOA] และมี บันทึก SOA . นี่คือสำเนา "ต้นแบบ" ของโซน

บนเครือข่าย Microsoft Domain เซิร์ฟเวอร์ DNS อื่นใดนอกเหนือจาก Domain Controller จะถูกตั้งค่าเป็นเซิร์ฟเวอร์รองโดยอัตโนมัติและหากกำหนดค่าอย่างถูกต้องจะขอการถ่ายโอนโซนโดยอัตโนมัติ แต่พฤติกรรมของ MS อยู่ข้างกันเซิร์ฟเวอร์ DNS ใด ๆ ที่ร้องขอ DNS Zone Transfer จากเซิร์ฟเวอร์อื่น จะไม่เป็นสิทธิ์สำหรับโดเมนนั้นและจะรับรู้สิทธิ์ของเซิร์ฟเวอร์ SOA ในโซนนั้น

เมื่อทุกอย่างทำงานอย่างถูกต้องเซิร์ฟเวอร์รอง (หรือตติยภูมิหรือ n-ary) จะตรวจสอบบันทึกเซิร์ฟเวอร์ SOA เป็นระยะเพื่อดูว่าหมายเลขรุ่นเพิ่มขึ้นบ่งชี้ถึงการเปลี่ยนแปลงในโซนและจากนั้นจะขอโซนอื่น ถ่ายโอน (เต็มหรือบางส่วนขึ้นอยู่กับการกำหนดค่าและความสามารถของเซิร์ฟเวอร์) เพื่อรับการเปลี่ยนแปลง สิ่งสำคัญคือต้องทราบว่าการเปลี่ยนแปลงเหล่านี้จะไหลจากพาเรนต์ไปยังผู้สืบทอดเท่านั้นและไม่สามารถย้อนกลับได้ในสถานการณ์ปกติ

ดังนั้นทั้งหมดนี้เข้าด้วยกันหมายความว่าคุณไม่สามารถแก้ไขโซนที่อยู่ในเซิร์ฟเวอร์ที่ไม่ใช่ SOA ฉันแน่ใจว่าคุณสามารถเห็นความสำคัญสำหรับความปลอดภัยของอินเทอร์เน็ต ฟิชชิ่งจะเป็นเรื่องเล็กน้อยหากเซิร์ฟเวอร์ DNS ในท้องถิ่นอาจถูกหลอกให้แจก IP ผิดสำหรับเว็บไซต์ธนาคารเช่น DNS บนอินเทอร์เน็ตสาธารณะจะต้องแพร่กระจายไปทั่วโลกและโซนจะถูกเก็บไว้ในเซิร์ฟเวอร์ภายใต้การควบคุมของประชาชนหลายพันคน

Frank Thomas
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.