Triển khai DNS server
Trong Windows Server 2012 R2, để triển khai một DNS server, mở
Server Manager, sử dụng Add Roles And Features Wizard để cài đặt role DNS
Server.
Sau khi cài đặt role DNS Server, máy tính đã có thể thực
hiện phân giải tên dựa trên thông tin được lưu tạm (caching) trên nó, và có tiện
ích DNS Manager để cài đặt các thành phần của DNS.
Tạo zone
Zone là một thực thể, được tạo trong DNS server. Zone đại
diện cho một phần không gian tên của DNS. Người quản trị thường tách không gian
tên của DNS thành từng phần, chứa trong các zone. Zone được lưu trong các
server khác nhau, và có thể ủy quyền quản trị cho các thành viên khác.
Zone có thể chứa toàn bộ một miền (domain) cùng với các miền
con (subdomain). Zone cũng có thể chỉ chứa các miền con, với điều kiện là các
miền con phải có quan hệ cha con (contiguous) với nhau. Ví dụ, bạn có thể tạo
một zone chứa miền cha và các miền con của nó, tuy nhiên, bạn không thể tạo
zone chỉ chứa hai miền con (mặc dù chúng có cùng miền cha). Xem hình minh họa.
Bạn có thể chia không gian tên của DNS thành nhiều zone. Sau
đó, để các zone này trên một DNS server nếu bạn muốn, tuy nhiên, trong thực tế,
điều này không phù hợp. DNS server trong Windows Server 2012 R2 có thể hỗ trợ
tới 200 000 zone. Khi triển khai, người quản trị thường tạo các zone trên một
server, sau đó ủy quyền quản lý các zone này cho các server khác.
Mỗi zone có cơ sở dữ liệu của riêng nó, cơ sở dữ liệu này chứa các bản
ghi thông tin của các miền nằm trong zone. DNS server trong Windows Server 2012
R2 hỗ trợ ba loại zone: primary zone, secondary zone và stub zone.
- Primary
zone: chứa cơ sở dữ liệu gốc (master) của zone. Tại đây, người quản trị có thể
thực hiện mọi thay đổi liên quan đến các bản ghi thông tin của zone. Nếu zone
không được lưu trong Active Directory, server sẽ tạo một tập tin chứa cơ sở dữ
liệu của zone và lưu trên ổ đĩa cục bộ. Đây là một tập tin dạng văn bản, nó
tương thích với hầu hết các hệ thống DNS server khác (không phải của Microsoft Windows).
- Secondary
zone: là bản sao của primary zone trên một server khác. Secondary zone chứa cơ
sở dữ liệu dự phòng của primary zone. Bạn chỉ có thể cập nhật cơ sở dữ liệu
trong secondary zone bằng cách nhân bản (replicate) nội dung của primary zone,
quá trình này có tên gọi là zone transfer.
- Stub
zone: là bản sao của primary zone, tuy nhiên, stub zone chỉ chứa một số loại
bản ghi quan trọng (NS, SOA, A) của các name server trong zone. Khi nhận được
một yêu cầu phân giải tên, stub zone có thể chuyển tiếp (forward) yêu cầu phân giải cho DNS server khác hoặc trực tiếp trả lời sau khi tham vấn
(refer) các DNS server khác.
Vì DNS ra đời trước AD, nên hiện nay, hầu hết các cở sở dữ
liệu của zone đang tồn tại dưới dạng các tập tin văn bản (text-based). Đa số
DNS server trên Internet đang được triển khai bằng phần mềm BIND của UNIX.
Tuy nhiên, đối với các DNS server có thể tích hợp được với AD,
bạn có thể sử dụng Windows DNS server để tạo primary zone. Khi đó, cơ sở dữ
liệu của zone sẽ được lưu trong cơ sở dữ liệu của AD. Bạn cũng không phải tạo
secondary zone, không phải thực hiện zone transfer, hệ thống AD sẽ thực hiện
các công việc này. Các giải pháp dự phòng để bảo vệ AD cũng đồng thời bảo vệ dữ
liệu của DNS.
Tạo zone tích hợp trong AD
Trên server đang đóng vai trò là một domain controller, bạn
sử dụng New Zone Wizard để tạo một zone. Cơ sở dữ liệu của zone sẽ được lưu
trong cơ sở dữ liệu của AD, điều này giúp việc quản trị dễ dàng hơn, tiết kiệm
băng thông mạng, và tăng tính bảo mật.
Dữ liệu của zone sẽ được nhân bản qua các domain controller
khác cùng với quá trình nhân bản dữ liệu của AD. Khi có sự thay đổi nội dung bản
ghi DNS trên một domain controller, thay đổi đó sẽ được cập nhật trên các
domain controller còn lại. Bạn có thể chỉ định domain controller nào được phép
cập nhật thông tin của DNS.
Để tiết kiệm băng thông mạng, AD chỉ thực hiện nhân bản các
dữ liệu DNS mới so với lần nhân bản trước đó, đồng thời nó cũng thực hiện nén
dữ liệu trước khi gửi đi trên mạng. Để tăng tính bảo mật, trong quá trình nhân
bản, dữ liệu của DNS sẽ được mã hóa và chứng thực.
Sau đây là các bước để tạo một zone tích hợp trong AD:
1. Mở Server Manager của máy domain controller (máy tính phải được nâng cấp lên domain controller), vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.
2. Xổ nút DNS server, chọn Forward Lookup Zones.
3. Bấm chuột phải vào Forward Lookup Zones, chọn New Zone để chạy New Zone Wizard.
4. Bấm Next để chuyển qua trang Zone Type.
5. Để nguyên lựa chọn mục Primary Zone và Store The Zone In Active Directory (Available Only If DNS Server Is A Domain Controller), bấm Next để mở trang The Active Directory Zone Replication Scope.
6. Để các thiết lập ở trạng thái mặc định, bấm Next để mở trang Zone Name.
7. Nhập tên cho zone trong mục Zone Name, bấm Next để mở trang Dynamic Update.
8. Lựa chọn một trong các mục sau:
- Allow Only Secure Dynamic Updates
- Allow Both Nonsecure And Secure Dynamic Updates
- Do Not Allow Dynamic Updates
9. Bấm Next, để mở trang Completing the New Zone Wizard.
10. Bấm Finish để hoàn thành việc tạo zone.
11. Đóng cửa sổ DNS Manager.
Để tạo primary zone tích hợp trong AD bằng Windows PowerShell, sử dụng lệnh Add-DnsServerPrimaryZone. Ví dụ:
Add-DnsServerPrimaryZone –Name “congty.com” – ReplicationScope “Domain” –PassThru
Sau khi tạo primary zone, bạn có thể tạo các bản ghi thông tin của DNS server.
Tạo các bản ghi thông tin cho DNS server
Sau đây là một số bản ghi thông tin quan trọng của DNS
server:
- SOA (Start of Authority): một zone phải có một
và chỉ một bản ghi SOA. Bản
ghi SOA cho biết cơ sở dữ
liệu đang được lưu tại DNS server này là tin cậy.
- NS (Name Server): mỗi DNS server trong một zone
(dù là primary zone hay secondary zone) sẽ được đại diện bằng một bản ghi NS. Bản
ghi này là bằng chứng để chứng minh tính tin cậy của một DNS server trong zone.
- A (Address): là một ánh xạ từ địa chỉ dạng tên
sang địa chỉ IP, sử dụng cho IPv4. Đây chính là bản ghi phục vụ cho quá trình
phân giải từ địa chỉ dạng tên sang địa chỉ IP của hệ thống DNS (phân giải xuôi).
- AAAA (Address): chức năng giống với bản ghi A,
tuy nhiên, được sử dụng cho IPv6.
- PTR (Pointer): là một ánh xạ từ một địa chỉ IP
cụ thể (trong miền in-addr.arpa) sang địa chỉ dạng tên. Đây chính là bản ghi
phục vụ cho quá trình phân giải từ địa chỉ IP sang địa chỉ dạng tên (phân giải ngược).
- CNAME (Canonical Name): canonical name có thể hiểu nôm na là “tên gốc”.
CNAME là một bản ghi cho phép tạo ra một “tên khác” (tiếng anh là Alias) cho
một “tên gốc” đã được định nghĩa trong bản ghi A. Sau khi bản ghi CNAME được
tạo, việc sử dụng hai tên (“tên gốc” và “tên khác”) là như nhau. Ví dụ, bạn đã
có bản ghi A là “dalat.com – 192.168.1.1”. bạn tạo một CNAME có nội dung là “www.dalat.com - dalat.com”.
Khi đó bạn truy cập tới www.dalat.com hay dalat.com
thì nó đều trỏ về máy tính có IP là 192.168.1.1.
- MX (Mail Exchanger): chỉ định một máy tính (Mail Exchanger) làm nhiệm
vụ xử lý các email gửi tới địa chỉ email thuộc miền. Khi nhận được email, Mail
Exchanger sẽ chuyển email tới hộp thư của cá nhân, tới mail gateway hoặc một
mail server khác.
Các bước để tạo
một bản ghi A:
1. Đăng nhập vào hệ thống Windows Server 2012 R2 bằng tải khoản có quyền quản trị. Mở Server Manager.
2. Vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.
3. Xổ nút DNS server, chọn mục Forward Lookup Zones.
4. Bấm chuột phải vào zone mà bạn muốn tạo bản ghi, chọn mục New Host (A or AAAA) để mở cửa sổ New Host. Xem hình minh họa.
5. Nhập địa chỉ dạng tên (host name) vào mục Name, tên dạng đầy đủ sẽ xuất hiện trong mục FQDN.
6. Nhập địa chỉ IPv4 hoặc IPv6 tương ứng với địa chỉ dạng tên vào mục IP Addresss.
7. Có thể đánh dấu chọn vào hai mục sau:
- Create Associated Pointer (PTR) Record: tạo bản ghi thông tin cho quá trình phân giải ngược trong miền in-addr.arpa.
- Allow Any Authenticated User To Update DNS Records With The Same Owner Name: cho phép người dùng thay đổi các bản ghi thông tin mà họ có quyền sở hữu (own).
8. Bấm Add Host, bản ghi sẽ được tạo trong zone.
9. Đóng cửa sổ DNS Manager.
Để tạo một bản
ghi PTR cho một host, bạn có thể đánh dấu chọn vào mục Create Associated
Pointer (PTR) Record trong cửa sổ tạo New Host. Tuy nhiên, cách làm này chỉ
thực hiện được khi đã có sẵn zone phân giải ngược (reverse lookup zone).
Để tạo một zone
phân giải ngược, bạn bấm chuột phải vào mục Reverse Lookup Zones, chọn New Zone,
các bước sau đó tương tự như khi tạo zone trong mục Forward Lookup Zones. Nếu bạn
tạo reverse lookup zone cho IPv4, tại trang Reverse Lookup Zone Name nhập địa
chỉ mạng (network ID) vào mục Network ID. Xem hình minh họa.
Sau khi tạo xong
reverse lookup zone, bạn có thể tạo các bản ghi phân giải ngược (PTR) cùng với
quá trình tạo bản ghi A hoặc AAAA, hoặc bạn cũng có thể tạo bằng chức năng New
Resource Record.
---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/3/15
---------------------------
Đọc thêm