mcsa intro

در بخش چهارم از دوره آموزش Mcsa مایکروسافت  قصد داریم تا شما رو با سیستم NAME RESOLUTION به طور کامل آشنا کنیم 

 

ما در این دوره به دو  صورت ویدیویی و همینطور مقاله آموزشی سعی بر این داشته ایم تا شما دوستان عزیز را به صورت تخصصی و حرفه ای با سیستم های NAME RESOLUTION آشنا کنیم

 

و ریز جزئیات آن آشنا کنیم از سری مباحثی که در این بخش به آن ها پرداخته ایم میتوان به

نصب Dns , توضیح کامل درباره zone ها , ایجاد و مدیریت رکورد های Dns و آموزش تنظیمات پیشرفته Dns ها اشاره کرد 

 

در اینجا کمی شما را در مورد هدف کلی این بخش  و همچنین محتوایه دروس آشنا میکنیم 

 


 

توضیح کلی بخش چهارم 

 

بخش چهارم دارای دروسی نسبتا  بیشتر و دارای حجم دروس  سنگین تری نسبت به دیگر بخش ها میباشد 
 
ببینید دوستان DNS یا Domain name system در واقع یکی از پایه های سرور ما میباشد و اگر DNS بر روی  سرور  ما نصب نباشد و یا DNS سرور ما به مشکلی بر خورد کند میتواند یک تهدید جدی برای سرور و شبکه ما باشد
 
در ساده ترین تعریف میشود گفت که DNS در شبکه نقش 118 را دارد یعنی چی ؟
 
ببینید شما وقتی شماره یک نفر  و یا مکانی رو میخواهید به 118 زنگ میزنید و ازش میپرسید که به طور مثال شماره علی چنده در فضای شبکه نیز به همین شکل است
با این تفاوت که در اینجا شما از Dns میتوانید شماره IP یک نفر و یا سرویس مورد نظر خودتون رو دریافت کنید 
 
در این بخش ما میخواهیم تا از پایه ترین بخش های DNS شروع کرده و در پارت آخر که توضیح تنظیمات پیچیده DNS میباشد آن را به شما آموزش دهیم 
 
در قسمت اول این بخش شروع میکنیم با معرفی مکانیزمهای NAME RESOLUTION که در آن شما را با Dns  آشنا میکنیم
توانایی و کاربرد هایش را توضیح داده و چگونگی عملکرد این سیستم را شرح میدهیم 
 
قسمت دوم همانطور که از نامش پیداست نحوه نصب DNS بر روی سرور رو آموزش میدهیم 
 
در قسمت سوم  مبحث zone رو شروع میکنیم و از تنظیمات پایه ای آن پیش رفته تا توضیحات پیشرفته  این مبحث در قسمت هشتم پیش میرویم 

 

بد نیست مقاله Zone چیست رو مطالعه کنید در این مقاله اشاره ای کوتاه بر این مبحث کرده  و توضیح مختصری از کلیت آن داده ایم 
 
در نهمین قسمت از بخش چهارم میپردازیم به ایجاد رکورد ها در DNS  که مبحث بسیار مهم و کاربردی در سرور و شبکه شما میتواند باشد
  و توصیه میکنم به دقت این مبحث رو مطالعه بفرمایید 
 
در درس دهم بیشتر در مورد  رکورد های DNS صحبت کرده و حتی در اول این درس لیست کامل رکورد های DNS را قرار داده ایم 
و بقیه درس را به توضیح راجب رکورد های پر کاربرد پرداخته ایم 
 
در درس یازدهم به توضیح تنظیمات پایه ای DNS میپردازیم در طول دروس قبلی شما با این تنظیمات برخورد داشته اید
و در اینجا ما به توضیح هر کدام از آنها و کاربرد و روند کاری آنها میپردازیم 
 
همانطور که میدانید در هر نوع سیستم و خدماتی در فضای شبکه , امنیت یکی از واجبات آن میباشد
و  اگر در شبکه ما امنیت وجود نداشته و یا در سطوح ضعیفی بنا شده باشد
 قاعدتاً امکان هک شدن و از بین رفتن اطلاعات زیاد شده  و خسارات ناهنجاری را ممکن است برای ما ایجاد کند
 
  بحث DNS نیز از این موضوع مستثنا نبوده و باید اطمینان حاصل کرد که DNS server  ما دارای سطوح امنیتی بالایی باشد  و امکان  هک و نفوذ به آن را تا حد ممکن کم کنیم 
 
در درس دوازدهم به مبحث DNSSEC میپردازیم و در این درس  اشاره دقیق بر همین موضوع داشته و صرفا جهت امنیت سازی Dns میباشد 
 
درس سیزدهم که ادامه مبحث DNSSEC میباشد  روش تخصصی تری برای امضا کردن zone  , ایمن سازی Dns و خدمات به کلاینت ها  میباشد 
 
تا اینجا شما را با یک سری از تنظیمات پایه ای Dns آشنا کردیم و مورد یک  سری مفاهیم را درباره مبحث DNS صحبت کردیم
در سه درس پایانی بخش چهارم میپردازیم به آموزش تنظیمات پیشرفته DNS میپردازیم 
 
پیشنهاد میکنم حتما قبل از مطالعه سه درس اخر به طور کامل به دروس قبل از آنها مسبط شوید
برای اینکه در این دروس باید قطعا شما راجب تنظیمات پایه اطلاعات داشته باشید تا بتوانید وارد سطح پیشرفته تنظیمات شوید

 

و همچنین در این دروس از اصطلاحات و مفاهیمی نام برده شده که اگر کاربرد هر بخش و معنی این اصطلاحات را ندانید فهم این دروس غیر ممکن میباشد 
 
در درس چهاردهم یه سری مباحث باقی مانده از امنیت DNS مطرح شده 
در مورد DNS Policy صحبتی خواهیم داشت 
و در اخر توضیحی مختصر بر بخش مدیریتی DNS و کاربرد هایش داریم 
 
در درس پانزدهم میرسیم به مباحث حرفه ای تری به یه سری موضوعات پرداخته ایم  که در بین دروس اشاره ای بسیار مختصر به آنها داشته ایم مانند

 

Global Names , Aging/Scavenging همچنین از عیب یابی در Dns گفته و راه کارهایه رفع مشکلات متعدد در Dns را توضیح داده ایم 
 
و در اخرین درس یعنی درس شانزدهم درباره مانیتورینگ عملکرد DNS توضیح داده ایم اما تمرکز اصلی این درس را به توضیح حرفه ای پیکربندی Zone Scope  اختصاص داده ایم 
 

مروری بر موضوعات دروس

 

درس اول : مکانیزمهای Name Resolution

 

  • معرفی سرویس DNS
  • مکانیزم های Name Resolutions در شبکه
  • مراحل ترجمه نامهای Unqualified
  • مراحل ترجمه نامهای Qualified
  • اتصال مکانیزم های ترجمه نام
  • مکانیزم Local DNS
  • نقش کلیدی سرویس DNS در ارتباطات Domain

 

معرفی سرویس DNS
     کار این سرویس اینست که عملیات Name Resolution را انجام دهد. در زبانهای برنامه نویسی متغیر ( variable ) چیزی است که برای انسان قابل فهم است ولی برای CPU و عملگرهای آن نامفهوم است.
پس در زبانهای برنامه نویسی از کامپایلرها و مترجم ها استفاده میشود که متغیر تعریف شده توسط برنامه نویس را به زبانی که برای ماشین قابل فهم باشد، ترجمه کنند.
یعنی در نهایت همه چیز به رشته ای از 0 و 1 ها بدل شود. همین کار را سرویس DNS در ارتباطات شبکه ای انجام میدهد. وقتی شما در مرورگر وب خود آدرس www.google.com را وارد می کنید،
این آدرس برای شما قابل درک است ولی برای مرورگر وب نامفهوم است و نمی داند که این عبارت دقیقا به چه ادرسی اشاره میکند.
پایه ارتباطات شبکه ای، پروتکل IP است. هر آدرسی باید به IP تبدیل شود. مروگر وب نیاز دارد که بداند درخواست لود صفحه مورد نظر شما را به کدام IP Address باید بفرستد؟
یعنی وب سرور میزبان سایت www.google.com دارای چه IP address می باشد؟ سرویس DNS ( در گذشته سرویس Wins ) عملیات ترجمه آدرس وارد شده را به IP address مربوط به آن انجام میدهند.
یعنی مرورگر شما از DNS میپرسد که IP Address متعلق به www.google.com چه می باشد؟ DNS پاسخ میدهد که ( بعنوان مثال) عبارتست از 42.85.123.29 . لذا مرورگر با IP address فوق ارتباط برقرار میکند.
پس ترجمه نام یعنی مشخص شدن IP address یک نهاد مثل کامپیوتر، سرور، وبسایت و…

 

برای دیدن ادامه این آموزش اینجا  را کلیک کنید 

 

درس دوم : نصب Dns 

 

  • نصب DNS
  • اجرای کنسول DNS

 

نصب DNS

 

     البته میتوان DNS را همانطوری که مایکروسافت توصیه میکند در حین نصب AD DS نصب کرد ولی اکنون روش نصب مستقل این سرویس روی سیستمی غیر از DNS را آموزش میدهیم.
قبل از نصب، دو پیش نیاز روی کامپیوتر فوق باید برآورده شده باشد:
 
  • کامپیوتر فوق باید دارای تنظیمات صحیح IPv4 یا IPv6 ( یا هر دو) مطابق سابنت متبوع خود در شبکه باشد و ارتباط فیزیکی بین این کامپیوتر و سایر کامپیوترها برقرار باشد.
  • در تنظیمات IP باید در کادر مقابل Preferred DNS آدرس loopback قرار گرفته شده باشد.
 
1P Settings

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 
 

درس سوم :  پیکربندی و مدیریت ZONE ها – بخش نخست

 

  • مفهوم Zone
  • Lookup Zone ها
  • قسمت های عمده سرویس DNS
  • انواع Zone

 

مفهوم Zone
      در ساده ترین بیان، zone پایگاه داده DNS است. در واقع میتوان گفت که هر Domain باید دارای یک Zone باشد و تمام اطلاعات DNS آن Domain درون آن Zone قرار می گیرد.
بعنوان مثال به محض ایجاد دامین ITPerfection.local و نصب سرویس DNS یک Zone بنام دامین ایجاد میگردد. تمام اطلاعات DNS دامین فوق درون Zone فوق قرار دارد.
اطلاعات تمام DC ها و Client ها به همراه رکوردهای آنها. سرویس DNS بدون zone اصولا مفهومی ندارد.
در ویندوز سرور 2016 ، میتوان در یک DNS Server ده ها هزار Zone ساخت. Zone ها همیشه شامل domain ها یا subdomain های یکپارچه میشوند.
یعنی می توان یک zone که شامل چندین دامین میشود را پیاده سازی کرد البته به شرطی که دامین های فوق دارای آدرس DNS وابسته باشند.
عنوان مثال می توان یک zone مشترک برای parent domain و child هایش ایجاد کرد. چون بطور مستقیم به یکدیگر وابسته هستند اما نمی توان یک zone مشترک برای child domain ها ( بدون parent domain آنها) ایجاد کرد چون childe ها بصورت مستقیم به یکدیگر وابسته نمی باشند.
در ساختار شبکه ای ما که شامل دامین والد یعنی ITPerfection.local و والد فرزند sales.ITPerfection.local است:
 
 
  • میتوان یک DNS Zone ساخت که شامل اطلاعات و مورد استفاده هر دو دامین باشد به نام local
  • میتوان برای هر یک، DNS Zone اختصاصی ساخت.
 
برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس چهارم : پیکربندی و مدیریت ZONE ها – بخش دوم

 

  • تعریف سناریو برای ایجاد انواع Zone ها
  • انواع روشهای بروزرسانی رکوردهای داخل Zone ها
  • پیکربندی یک Active Directory Integration of Primary Zone
  • نکات پایانی در مورد Active-Directory integrated Zone

 

تعریف سناریو برای ایجاد انواع Zone ها

 

     برای ایجاد انواع Zone ها، سناریوی ذیل را پیاده سازی خواهیم کرد:
 1 : در درسهای قبلی روی DC1 و DC2که DC های دامین هستند، سرویس DNS همزمان با AD DS نصب شده است و روی هر دو یک Zone با نام دامین و بصورت Active-Directory Integrated وجود دارد.
روی هر دو در زیر مجموعه forward lookup zone یک Zone به نام local وجود دارد. روی این Zone راست کلیک کرده و گزینه Delete را انتخاب کنید. اکنون باید با شکلی مانند ذیل مواجه باشیم:

 

not zone on DNS

 

    پس در این سناریو دو DC داریم:
  • ITPerfection.local که DC اصلی دامین است. ( 192.168.1.1 ) . روی این کامپیوتر سرویس DNS نصب است ولی فاقد Zone میباشد.
  • ITPerfection.local که Writable Additional DC دامین است. ( 192.168.1.2 ). روی این کامپیوتر نیز سرویس DNS نصب است ولی فاقد Zone میباشد.

 

برای دیدن ادامه این اموزش اینجا را کلیک کنید 
 

درس پنجم : پیکربندی و مدیریت Zone ها – بخش سوم

 

  • ساخت و پیکربندی یک zone Primary برای forward lookup

 

ساخت و پیکربندی یک zone Primary برای forward lookup

 

     روی DC1 اقدام به ایجاد Primary Zone میکنیم. پس روی DC1.ITPerfection.local :
  • کنسول DNS را اجرا میکنیم. اکنون چنین وضعیتی باید برقرار باشد:
 
not zone on DNS
     در پنل سمت چپ روی Forward lookup zones فوق راست کلیک می کنیم و عبارت new Zone را انتخاب می کنیم.
start create new zone

 

 

  • ویزاردی شروع بکار میکند. از صفحه خوش آمدگویی رد می شویم.
  • در صفحه بعدی با شکل ذیل روبرو می شویم. در این صفحه باید نوع Zone را انتخاب کنیم. طبعا گزینه نخست یعنی primary zone را انتخاب کرده و به مرحله بعد میرویم. حواستان باشد که چکباکس Store the zone in active dlocalectory تیک نداشته باشد.

 

zone type-primary

 

  • در صفحه بعد باید برای zone خود یک نام تعیین کنیم که اگر دامین داشته باشیم، باید همان FQDN دامین باید باشد. پس نام local را وارد میکنیم.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 

 

درس ششم : پیکربندی و مدیریت Zone ها – بخش چهارم

 

  • ساخت و پیکربندی یک Secondary Zone برای Forward Lookup
  • پیکربندی Master DNS Server
  • مبحث Delegation در DNS

 

پیکربندی Master DNS Server
     در DC1.ITPerfection.local ، کنسول DNS را اجرا میکنیم. روی Zone مربوطه کلیک راست کرده و properties را انتخاب میکنیم.
     در تب name Servers روی دکمه add کلیک میکنیم. در پنجره ای که ظاهر میشود، در کادر بالا عبارت DC2.ITPerfection.local و در کادر پایین آدرس آن یعنی 192.168.1.2 را وارد کرده و روی دکمه Resolve کلیک کنید تا DC2 شناسایی شود و جزو name servers قرار گیرد.
 
     سپس به تب Zone transfers می رویم. در این تب، چکباکس Allow Zone Transfers را فعال می کنیم. اکنون سه دکمه رادیویی وجود دارد:
 
  • To any Server : انتقال دیتابیس zone به هر سروری که تقاضای اطلاعات بکند. بسیار ناامن است.
  • Only to servers in listed on the servers name tab : انتقال Zone به تمام سرورهای موجود در تب name servers . این گزینه بهترین انتخاب است.
  • Only to following servers : انتقال Zone به سرور ( های) مشخص. این روش هم ریسک دارد و قابل هک شدن است. زیرا هر سروری میتواند IP خود را به این IP ها تغییر دهد و اطلاعات را دریافت کند. پس بهتر است از روش دوم استفاده شود.
 
     نکته مهمی را باید ذکر کرد. در تب SOA مقررر شده است که هر 15 یا 10 یا یک دقیقه، عمل مقایسه صورت گیرد و در صورت نیاز، آپدیت انجام شود.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 

 

درس هفتم : پیکربندی و مدیریت Zone ها – بخش پنجم

 

  • ساخت و پیکربندی Stub zone
  • استفاده از حالت Nonsecure DDNS

 

ساخت و پیکربندی Stub zone
      این Zone سلسله مراتبی از DNS ها بوجود می آورد. یعنی DNS server اصلی شبکه، وقتی از این نوع باشد، خودش فاقد Zone است
و صرفا درخواست ها را هدایت میکند به DNS server های مختلفی که هر کدام اطلاعات خاصی از جزئیات شبکه، دامین های مرتباط، اینکه کدام دامین ها به کدام DNS server مرتبط هستند و …. را دارند.
تقریبا همان کار DNS forwarding را انجام میدهد با یک تفاوت.
 
در DNS forwarding اگر آدرس هر کدام از DNS server ها تغییر میکرد، باید تغییر آدرس بصورت دستی در DNS Server اصلی ست میشد.
اما اگر zone را از این نوع در نظر بگیریم، خودش با در اختیار داشتن رکوردهای NS و SOA و A-record ، تغییرات احتمالی آدرس های DNS server ها را انجام میدهد.
 
      نیز چون یک کپی از تمام رکوردهای NS تمام name server ها نگه میدارد، بدینوسیله از تعداد و آدرس تمام name server های موجود در دامین مطلع است و میتواند درخواست ها را بصورت بالانس شده بین DNS server های دامین ارجاع دهد.
 
     اگر Stub zone روی یک writable DC ساخته شود، میتواند در اکتیودایرکتوری نیز ذخیره شده و با سایر DC ها عمل رپلیکیشن انجام دهد.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 

 

درس هشتم : پیکربندی و مدیریت Zone ها- بخش ششم

 

  • ایجاد Reverse Lookup Zones

 

ایجاد Reverse Lookup Zones
     این Query که بر خلاف forward lookup Zone عمل میکند،  زمانی بدرد میخورد که مثلا متوجه میشویم با یک IP دارندکامپیوتر یا شبکه ما را هک میکنند.
می خواهیم متوجه شویم چه کامپیوتر یا چه شبکه ای میخواهد به کامپیوتر / شبکه ما، آسیب بزند. IP را داریم و با استفاده از این خاصیت میتوانیم نام کامپیوتررا به دست می آوریم.
( اگر سرویس Reverse فعال باشد، دستور زیر باید نام را برگرداند):

 

Ping  -a 192.168.100.17

 

     وقتی DNS و DC با یکدیگر روی یک سیستم نصب باشند، بصورت خودکار یک Forward lookup zone از نوع Active Directory Integrated ایجاد میشود اما هیچ کانفیگی در قسمت Reverse lookup zone بصورت خودکار انجام نمیشود

 

و اکثر مدیران شبکه نیز اقدامی برای ایجاد آن بعمل نمی آورند اما ما در اینجا قصد داریم روی DC1.ITPerfection.local یک Reverse lookup zone از نوع Active Directory Integrated ایجاد کنیم. بسیاری از مراحل شبیه آن چیزی است که در ساخت Zone های نوع forward lookup دیدیم.

 

  • کنسول DNS را اجرا کنید. روی Reverse lookup zone کلیک راست کرده و گزینه new zone را انتخاب نمایید. صفحه welcome ظاهر میشود.
  • سپس صفحه ای ظاهر میشود که باید نوع Zone را مشخص کنید. همان انواعی که میدانیم یعنی Primary, Secondary, Stub یا Active Directory Integrated . ما گزینه Active Directory Integrated را انتخاب میکنیم.
  • در صفحه بعد باید مشخص کنیم که این zone باید اطلاعات را با کدام DNS Server ها تبادل کند؟ با گزینه های این صفحه نیز آشنا هستید. گزینه پیشفرض یعنی همه DNS Server هایی که روی DC های همین domain نصب هستند را انتخاب میکنیم.

 

Reverse lookup zone-replication

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 
 

درس نهم : ایجاد و مدیریت رکوردهای DNS- بخش نخست

 

  • انواع رکوردهای منبع در DNS
  • ایجاد رکوردهای منبع برای Zone
  • ساخت رکورد منبع A یا AAAA

 

انواع رکوردهای منبع در DNS
     اطلاعات DNS درون رکوردها قرار می گیرد. در واقع record جز بنیادین ساختار DNS می باشد. گفتیم که zone پایگاه داده DNS میباشد..
این پایگاه داده از رکوردها تشکیل شده است. رکوردها اشاره میکنند به name Server ها، host ها، سرویس ها یا دیگر Zone ها. در تصویر با انواع رکوردها به همراه خلاصه ای از کاربرد و مفهوم هر کدام آشنا میشوید:
 
all records review
نکته: Host A که به A record هم معروف است و نیز PTR record هر دو دربرگیرنده اطلاعات hostname و IP address دیوایس ها هستند.
منتهی اولی در forward lookup zone وجود دارد و دومی در reverse lookup zone .
 
نکته : A-record برای IPv4 میباشد و AAAA-record برای IPv6 .

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید 
 

درس دهم :  ایجاد و مدیریت رکوردهای DNS- بخش دوم

 

  • ایجاد سایر رکوردها
  • رکورد SRV
  •  پیکربندی Record Options
  • تغییر TTL رکورد

 

رکورد SRV
     DC ها سعی میکنند که برای سرویس AD DS خود یک رکورد SRV در DNS ایجاد کنند. ( اگر DNS و DC روی یک کامپیوتر باشند و Active Directory Integrated Zone موجود باشد)
این رکوردها نیز بصورت خودکار ایجاد خواهند شد. این رکوردها در مسیر ذیل ایجاد میشوند ( بعنوان مثال در دامین ITPerfection.local ):
 
DNS/Forward lookup zones/ITPerfection.local/
 
     در مسیر فوق و در داخل فولدرهای TCP و Sites و UDP بوفور رکوردهای SRV وجود دارند.
 
SRV location
 
     رکوردهای SRV کلاینتها را قادر میسازد که بتوانند تشخیص دهند کدام سرویس روی کدام سرور ارائه میشود. بعنوان مثال سرویس Exchange روی کدام server قرار دارد.
فرض کنید کاربری قصد دارد از طریق یک کلاینت logon کند، این رکوردهای SRV هستند که مشخص میکنند کدامیک از DC ها در این لحظه میتوانند عملیات Authentication را انجام دهند.
     بعنوان مثال اکر کامپیوتر Exchange Server تلاش میکند که متوجه شود کدام DC در دامین ITPerfection.local سرویس Global Catalog را اجرا میکند،
برای DNS یک Query میفرستد. Query فوق تحویل رکورد SRV به نام _gc-tcp میشود.
 
     جهت کمک برای کلاینت ها که بتوانند DC های مجاور خود را جهت استفاده از خدمات AD DS شناسایی کنند، اطلاعات مربوط به Site ها درون رکورد SRV قرار دارند.
بعنوان مثال اگر یک کامپیوتر میزبان Windows 10 روشن شود، هنگام Logon به دامین، به جستجوی رکورد SRV مربوط به مشخصات Site میپردازد.
پاسخ نمونه به Query این کلاینت شامل موارد ذیل میتواند باشد:
 
  • لیست DC های همان site
  • لیست DC های Site بعدی ( بشرطی که GPO مربوطه فعال باشد)
  • یک لیست تصادفی از DC های آماده بکار در دامین
 
برای دیدن ادامه این آموزش اینجا را کلیک کنید 

 

درس یازدهم : پیکربندی تنظیمات پایه ای DNS

 

  • پیکربندی DNS forwarders و Conditional Forward
  • سلسله مراتب عملیات Name Resolution در Domain
  • پیکربندی Root Hint ها
  • انواع Query Type
  • پیکربندی Recursion

 

انواع Query Type
  • Iterative : یا پرس و جوی تکراری. زمانی که DNS server شبکه، پاسخ عملیات Name Resolution را خودش بدست آورده است. پرس و جوی Local DNS Server از root hint ها ( مراحل 5 و 6 و7 ) جزو این نوع پرس و جوها محسوب میشود.
 
  • Recursive : یا پرس و جوی بازگشتی. هرگاه یک DNS Server جهت عملیات name resolution به یک DNS Server دیگر مراجعه کند، DNS Query فوق از نوع بازگشتی یعنی Recursion می باشد. پرس و جوی کلاینت ها از DNS server دامین نیز جزو اینگونه پرس و جوها محسوب میشود.
 
 
پیکربندی Recursion
     مکانیزم Recursive Query از طرف هکرها برای انجام حملات DoS ( Denial of Service ) مورد استفاده قرار می گیرد. پس مایکروسافت توصیه میکند که اگر دارای DNS Server در شبکه هستید که نمی خواهید Recursive Query ها برایش ارسال شود، حتما Recursion را روی آن غیرفعال کنید. برای این انجام این امر:

 

  • کنسول DNS را اجرا نمایید.
  • در پنل سمت چپ، روی نام DNS Server کلیک کرده و properties را انتخاب کنید.
  • در پنجره Properties به تب Advanced بروید.
  • در قسمت Server Options چکباکس Disable Recursion (also disable Forwarders) را تیک بزنید.

 

disable recusrion

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید
 

درس دوازدهم : پیکربندی DNSSEC- بخش نخست

 

  • معرفی DNSSEC
  • روش کار DNSSEC
  • پیاده سازی DNSSEC

 

معرفی DNSSEC
     یک مکانیسم امنیتی برای جلوگیری از حملات شبکه ای DNS Spoofing و همچنین DNS Poisoning است.
 
 تا قبل از ویندوز 2012 ارتباطات DNS احراز هویت نمیشدند و ارتباط بین کلاینت ها و سرورهای DNS غیرامن بود و یک هکر با spoof ( جعل) کردن ترافیک DNS یا نفوذ به داخل DNS Cache Local کلاینت ها میتوانست ارتباطات شبکه را بدزدد و کاربران و برنامه ها را به سمت سایت ها و سرویس های مخرب هدایت کند.
 
در ویندوز 2012 مجموعه ای از آیتم های امنیتی به پروتکل های DNS افزوده شد و DNS server ها ملزم شده اند که تمام فعل و انفعالات را validate کنند.
این مجموعه امنیتی جدید را DNSSEC می نامند. از اینرو کاربران مطمئن میشوند که سایتی که در حال اتصال به آن هستند، دقیقا همان سایت مدنظر خودشان است. چگونه مطمئن باشند؟
تا حد خیلی زیادی پروتکل SSL این اطمینان را بوجود میاورد. این پروتکل مبتنی بر Authentication و رمزگذاری اطلاعات است اما اگر در جواب یکی از query های DNS یک IP address جعلی برگردد،
 
دیگر از SSL هم کاری ساخته نیست. مشخصا ممکن است یک DNS server آلوده شده ( هک شده) ترافیک مربوط به عملیات name resolution که از طرف کلاینت یا یک DNS server دیگر ارسال شده است را قطع کند
 
و یک پاسخ جعل شده برای آنها ارسال نماید و پاسخ فوق در DNS server یا کلاینتی که آنرا دریافت کرده است، cache شده و به مرور زمان به کلاینت ها و سرورهای دیگر نیز ارسال شود و خرابی را افزایش دهد.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس سیزدهم : پیکربندی DNSSEC- بخش دوم

 

  • روش دیگر پیکربندی DNSSEC
  • Zone Unsigning

 

روش دیگر پیکربندی DNSSEC
در درس گذشته، دکمه رادیویی سوم یعنی Use Default settings to sign this zone را جهت امضا کردن Zone انتخاب کردیم. در این بخش قصد داریم آموزش دهیم که اگر دکمه رادیویی نخست را انتخاب کنید، چه تنظیماتی را باید انجام دهید. با انتخاب این دکمه یک ویزارد ظاهر میشود:
 
  • در صفحه نخست باید یک key master برای این zone انتخاب کنیم. Key master یک DNS Server است که کلید امضا را تولید و مدیریت میکند. اگر گزینه this server را انتخاب کنیم، همین DNS server بعنوان key master انتخاب میشود. با انتخاب گزینه دوم میتوانیم یک DNS server دیگر را بعنوان key master تعیین کنیم. گزینه this server را انتخاب میکنیم.

 

 

zone key master select

 

  • در صفحه بعد توضیح داده میشود که KSK ( Key Signing Key ) یک کلید احراز هویت است که تمام رکوردهای DNSKEY را که در ریشه این zone قرار دارند را sign میکند.
  • روی next کلیک میکنیم و به صفحه ایجاد یا ادیت یا حذف KSK میرسیم.

 

KSK

 

 

  • هم میتوانیم همین کلید ایجاد شده 2048 بیتی را قبول کنیم و روی دکمه next کلیک نماییم و هم میتوانیم با کلیک روی دکمه edit در این KSK تغییراتی ایجاد نماییم و یا با دکمه add یک KSK بسازیم. ما روی دکمه add کلیک می کنیم. پنجره ذیل ظاهر میشود:

 

add-edit ksk

 

 

 Cryptographic algorithm : تعیین الگوریتم رمزنگاری برای KSK که الگوریتم پیشفرض در شکل قابل مشاهده است. اگر قصد داشته باشیم که zone بوسیله NSEC3 امضا شود نباید الگوریتم RSA/SHA-1 را انتخاب کنیم.

 

Key Length : بصورت پیشفرض کلیدهایی که از الگوریتم NSEC3 یعنی RSA/SHA-1 استفاده میکنند دارای 2048 بیت هستند.

 

Select Key Storage Provider to generate and store keys : اگر بخواهیم کلیدها توسط سرویس اکتیودایرکتوری در دامین توزیع شوند باید ابزار مایکروسافتی Microsoft Software key storage provider را انتخاب کنیم.

 

DNSKEY RRSET signature validity period : مقدار پیشفرض اعتبار امضا 168 ساعت است. ( یک هفته)

 

Key rollover : پیشنهاد شده است که گزینه Enable automatic rollover را انتخاب کنیم تا دوره تناوبی برای rollover وارد شود. Rollover میانگیری است که میتواند کراکترها و فرمان های واردشده را به هنگام بالا بودن سرعت دخول آنها نسبت به پردازش کامپیوتر ذخیره کند.

 

  • تنظمیات مد نظر خود را انجام داده و روی OK کلیک میکنیم. مجددا به پنجره مرحله قبل برگشته و این بار روی next کلیک می نمائیم.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس چهاردهم : پیکربندی تنظیمات پیشرفته DNS –بخش نخست

 

  • پیکربندی Socket Pool
  • پیکربندی Cache Locking
  • فعال کردن Response rate limiting
  • DNS Policy ها
  • اعطا کردن اختیارات مدیریتی
  • پیکربندی DNS Logging
 
DNS Policy ها
     یکی از راههای مدیریت سرویس DNS در شبکه های بزرگ استفاده از DNS Policy هاست که یکی از ویژگی های جدید در ویندوز سرور 2016 محسوب میشود. دلایل ذیل، دلایل عمده ای هستند که یک متخصص شبکه را به استفاده از این پالیسی ها تشویق میکند:
  • Traffic Management : با این پالیسی ها DNS Server میتواند درخواستهای DNS Client ها را بسوی نزدیکترین سرور یا دیتاسنتر هدایت کند.
  • Split-brain DNS : قابلیت تفکیک DNS Client ها به کلاینت های اینترنتی یا کلاینت های سازمانی جهت پاسخدهی بهتر.
  • Filtering : امکان بلاک کردن DNS Query هایی که از سوی host های آلوده ارسال شده اند.
  • Time-of-day Based Redirection : با این پالیسی ها، DNS Server میتواند درخواست های DNS Client ها را بر حسب زمان به Server ها یا دیتاسنترهایی دیگر هدایت نماید.

 

     در بحث پیاده سازی Zone Scope ها با DNS Policy سر و کار خواهیم داشت و در آنجا میتوانید بیشتر با مکانیزم و طراحی این پالیسی ها آشنا شوید اما برای بدست آوردن اطلاعات بیشتر در مورد DNS Policy ها و چگونگی پیاده سازی و استفاده از آنها به آدرس ذیل مراجعه کنید:

 

https://technet.microsoft.com/windows-server-docs/networking/dns/deploy/dns-policies-overview
 
 
اعطا کردن اختیارات مدیریتی
     بصورت پیشفرض اعضای گروههای ذیل اختیارات مدیریتی روی DNS Server دارند:
  • Domain Admins : دسترسی کامل به تمام جنبه های DNS Server های دامین
  • Enterprise Admins : دسترسی کامل به تمام جنبه های DNS Server های سراسر Forest
  • Dns Admins : میتوانند همه داده ها، تنظیمات و پیکربندی های DNS Server های دامین را مشاهده و اصلاح کنند.
     در شبکه های Enterprise گاهی این نیاز پیش می آید که به کاربر یا گروهی اختیارات مدیریتی DNS Server اعطا ( Delegate ) شود. کافیست که کاربر یا گروه فوق را به عضویت گروه Dns Admins درآورید.
     برای تغییر permission های مدیریتی DNS ، باید در کنسول DNS روی نام DNS Server و یا روی نام zone مورد نظر راست کلیک کرد، گزینه Properties را انتخاب نمود و به تب Security رفت. آنگاه میتوانید Permission ها را ادیت کنید. مانند شکل ذیل:

 

 

DNS Server Security Tab
 
برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

درس پانزدهم : پیکربندی تنظیمات پیشرفته DNS – بخش دوم

 

  • معرفی و تنظیم Global Names
  • سرویس DNS روی کامپیوتری با دوکارت شبکه
  • قابلیت های Aging/Scavenging
  • عیب یابی DNS

 

معرفی و تنظیم Global Names
    گاهی تعداد کامپیوترهای از نوع unqualified در شبکه ما چنان کم است که توجیه مناسبی برای راه اندازی WINS server وجود ندارد.
مشکل دیگر اینست که WINS از آدرس IPv6 پشتیبانی نمی کند.
 
     برای حل این مشکل قابلیتی به نام Global Names به سرویس DNS اضافه شده است که باعث ترجمه نام های Unqualified توسط DNS میشود. در واقع این قابلیت جایگزین WINS شده است. معمولا سازمان هایی که دارای شرایط فوق هستند بجای WINS از Global Names استفاده میکنند:
  • ابتدا باید از طریق دستور زیر در محیط پاورشل قابلیت Global Names را فعال کنید:
Set-DnsServerGlobalNameZone –AlwaysQueryServer $true
  • سپس باید این zone را از طریق وارد کردن دستور ذیل در محیط Powershell ایجاد کرد: ( باید حتما نام Zone را GlobalNames بگذارید). در انتهای دستور نیز حوزه Replication این Zone را تمام DNS Server های سراسر Forest تعیین شده است.
dd-DnsServerPrimaryZone –Name GlobalNames –ReplicationScope Forest

 

  • اکنون کنسول DNS را اجرا کنید. همانطور که مشاهده میکنید GlobalNames Zone درون Forward lookup Zones ایجاد شده است:

 

globalname zone view

 

سپس باید برای تمام منابعی که نام آنها بصورت unqualified میباشد، یک رکورد CNAME ایجاد شود. برای این کار در داخل zone جدیدی که به نام Globalnames ساخته ایم راست کلیک کرده و گزینه New alias را انتخاب می کنیم.
سپس از طریق دکمه browse بسراغ منبع فوق رفته، آنرا پیدا کرده و IP Address آنرا نیز مشخص میکنیم.

 

برای دیدن ادامه این آموزش اینجا را کلیک کنید
 

درس شانزدهم : پیکربندی تنظیمات پیشرفته DNS – بخش سوم

 

  • DNS Round Robin
  • پیکربندی Zone Scope
  • ایجاد Client Subnet ها
  • ایجاد DNS Zone Scope
  • ایجاد رکورد منبع و مشخصا رکورد A برای Zone Scope
  • تعریف و اعمال DNS Policy روی هر Zone Scope
  • مانیتورینگ عملکرد DNS

 

ایجاد Client Subnet ها
     دو دستور ذیل برای دو شعبه، Client Subnet را ایجاد میکنند:
  • Add-DnsServerClientSubnet -Name “ParSubnet”  -IPv4Subnet “172.17.0.0/24”
  • Add-DnsServerClientSubnet -Name “LonSubnet”  -IPv4Subnet “172.17.1.0/24”
 
ایجاد DNS Zone Scope
     اکنون باید Zone Scope ها را ایجاد کرد:
  • Add-DnsServerZoneScope -ZoneName “ ITPerfection.local”  -Name “ParZS”
  • Add-DnsServerZoneScope -ZoneName “ ITPerfection.local”  -Name “LonZS”
 
ایجاد رکورد منبع و مشخصا رکورد A برای Zone Scope

 

  • Add-DnsServerResourceRecord -ZoneName “ITPerfection.local”  -A  -Name “ www”  -IPv4Address “172.17.0.80”  -ZoneScope “ParZS”
  • Add-DnsServerResourceRecord -ZoneName “ITPerfection.local”  -A  -Name “ www”  -IPv4Address “172.17.1.80”  -ZoneScope “LonZS”
 
تعریف و اعمال DNS Policy روی هر Zone Scope
     این پالیسی ها به DNS Server دستور میدهند که Query های کلاینتها را بر اساس تعاریف موجود پاسخ دهند.

 

  • Add-DnsServerQueryResolutionPolicy -Name “ParPolicy”  -Action  Allow    -ClientSubnet “eq,ParSubnet”   -ZoneScope “ParZS,1”  -ZoneName “ITPerfection.local”
  • Add-DnsServerQueryResolutionPolicy -Name “LonPolicy”  -Action  Allow    -ClientSubnet “eq,LonSubnet”  -ZoneScope “LonZS,1”  -ZoneName “ITPerfection.local”
    
حال چنانچه یک کلاینت در پاریس، یک Query ارسال کند، DNS Server با آدرس 172.17.0.80 پاسخ میدهد. اگر همان رکورد را یک کلاینت در لندن بخواهد، پاسخ را با آدرس 172.17.1.80 دریافت خواهد کرد.
 
برای دیدن ادامه این آموزش اینجا را کلیک کنید

 

امیدوارم این بخش مورد توجه شما دوستان عزیز قرار گرفته باشد 

 

 

 

پست های مشابه

اینترنت اشیا دنیای امروزی دنیایی است که در آن، اطلاعات حرف اول را می‌زند و به نوعی می‌توان به آن‌ها مفهوم طلای مجازی را اطلاق کرد؛ اینترنت اشیا نیز با دانستن ای...
Group policy     در بخش هفتم از آموزش MCSA مایکروسافت  میپردازیم به مبحث gpo و یا group policy object ها و آن را از مفاهیم پایه و مقدماتی شروع کرده و با  آموزش ...
آموزش DHCP در دو بخش از آموزش MCSA مایکروسافت تمرکز رو روی مبحث DHCP  گذاشته ایم   در مقاله  آشنایی با DHCP  جهت سهولت در یادگیری شما و همچنین آشنایی شما با این...
آشنایی با DHCP در پخش  پنجم و ششم از دوره  آموزش  MCSA  مایکروسافت  به صورت کامل درباره مبحث DHCP توضیح داده ایم   در این مقاله سعی داریم به صورت کلی مروری بر...
zone چیست در آموزش mcsa مایکروسافت  در بخش چهارم به صورت اختصاصی درباره Dns ها صحبت کرده ایم اما در این بخش نیز به صورت تخصصی  یک قسمت از Dns مورد بحث قرار داد...

0 پاسخ به "DNS"

ارسال یک پیغام

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بیست − 6 =

کپی رایت آکادمی ITperfection.