Cai dat va cau hinh Windows Server 2012 R2 (39)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (38)")


Triển khai DNS server


Trong Windows Server 2012 R2, để triển khai một DNS server, mở Server Manager, sử dụng Add Roles And Features Wizard để cài đặt role DNS Server.

Sau khi cài đặt role DNS Server, máy tính đã có thể thực hiện phân giải tên dựa trên thông tin được lưu tạm (caching) trên nó, và có tiện ích DNS Manager để cài đặt các thành phần của DNS.

Tạo zone

Zone là một thực thể, được tạo trong DNS server. Zone đại diện cho một phần không gian tên của DNS. Người quản trị thường tách không gian tên của DNS thành từng phần, chứa trong các zone. Zone được lưu trong các server khác nhau, và có thể ủy quyền quản trị cho các thành viên khác.

Zone có thể chứa toàn bộ một miền (domain) cùng với các miền con (subdomain). Zone cũng có thể chỉ chứa các miền con, với điều kiện là các miền con phải có quan hệ cha con (contiguous) với nhau. Ví dụ, bạn có thể tạo một zone chứa miền cha và các miền con của nó, tuy nhiên, bạn không thể tạo zone chỉ chứa hai miền con (mặc dù chúng có cùng miền cha). Xem hình minh họa.



Bạn có thể chia không gian tên của DNS thành nhiều zone. Sau đó, để các zone này trên một DNS server nếu bạn muốn, tuy nhiên, trong thực tế, điều này không phù hợp. DNS server trong Windows Server 2012 R2 có thể hỗ trợ tới 200 000 zone. Khi triển khai, người quản trị thường tạo các zone trên một server, sau đó ủy quyền quản lý các zone này cho các server khác.

Mỗi zone có cơ sở dữ liệu của riêng nó, cơ sở dữ liệu này chứa các bản ghi thông tin của các miền nằm trong zone. DNS server trong Windows Server 2012 R2 hỗ trợ ba loại zone: primary zone, secondary zone và stub zone.

- Primary zone: chứa cơ sở dữ liệu gốc (master) của zone. Tại đây, người quản trị có thể thực hiện mọi thay đổi liên quan đến các bản ghi thông tin của zone. Nếu zone không được lưu trong Active Directory, server sẽ tạo một tập tin chứa cơ sở dữ liệu của zone và lưu trên ổ đĩa cục bộ. Đây là một tập tin dạng văn bản, nó tương thích với hầu hết các hệ thống DNS server khác (không phải của Microsoft Windows).

- Secondary zone: là bản sao của primary zone trên một server khác. Secondary zone chứa cơ sở dữ liệu dự phòng của primary zone. Bạn chỉ có thể cập nhật cơ sở dữ liệu trong secondary zone bằng cách nhân bản (replicate) nội dung của primary zone, quá trình này có tên gọi là zone transfer.

- Stub zone: là bản sao của primary zone, tuy nhiên, stub zone chỉ chứa một số loại bản ghi quan trọng (NS, SOA, A) của các name server trong zone. Khi nhận được một yêu cầu phân giải tên, stub zone có thể chuyển tiếp (forward) yêu cầu phân giải cho DNS server khác hoặc trực tiếp trả lời sau khi tham vấn (refer) các DNS server khác.

Vì DNS ra đời trước AD, nên hiện nay, hầu hết các cở sở dữ liệu của zone đang tồn tại dưới dạng các tập tin văn bản (text-based). Đa số DNS server trên Internet đang được triển khai bằng phần mềm BIND của UNIX.

Tuy nhiên, đối với các DNS server có thể tích hợp được với AD, bạn có thể sử dụng Windows DNS server để tạo primary zone. Khi đó, cơ sở dữ liệu của zone sẽ được lưu trong cơ sở dữ liệu của AD. Bạn cũng không phải tạo secondary zone, không phải thực hiện zone transfer, hệ thống AD sẽ thực hiện các công việc này. Các giải pháp dự phòng để bảo vệ AD cũng đồng thời bảo vệ dữ liệu của DNS.

Tạo zone tích hợp trong AD


Trên server đang đóng vai trò là một domain controller, bạn sử dụng New Zone Wizard để tạo một zone. Cơ sở dữ liệu của zone sẽ được lưu trong cơ sở dữ liệu của AD, điều này giúp việc quản trị dễ dàng hơn, tiết kiệm băng thông mạng, và tăng tính bảo mật.

Dữ liệu của zone sẽ được nhân bản qua các domain controller khác cùng với quá trình nhân bản dữ liệu của AD. Khi có sự thay đổi nội dung bản ghi DNS trên một domain controller, thay đổi đó sẽ được cập nhật trên các domain controller còn lại. Bạn có thể chỉ định domain controller nào được phép cập nhật thông tin của DNS.

Để tiết kiệm băng thông mạng, AD chỉ thực hiện nhân bản các dữ liệu DNS mới so với lần nhân bản trước đó, đồng thời nó cũng thực hiện nén dữ liệu trước khi gửi đi trên mạng. Để tăng tính bảo mật, trong quá trình nhân bản, dữ liệu của DNS sẽ được mã hóa và chứng thực.

Sau đây là các bước để tạo một zone tích hợp trong AD:

1. Mở Server Manager của máy domain controller (máy tính phải được nâng cấp lên domain controller), vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.

2. Xổ nút DNS server, chọn Forward Lookup Zones.

3. Bấm chuột phải vào Forward Lookup Zones, chọn New Zone để chạy New Zone Wizard.

4. Bấm Next để chuyển qua trang Zone Type.

5. Để nguyên lựa chọn mục Primary Zone và Store The Zone In Active Directory (Available Only If DNS Server Is A Domain Controller), bấm Next để mở trang The Active Directory Zone Replication Scope.

6. Để các thiết lập ở trạng thái mặc định, bấm Next để mở trang Zone Name.

7. Nhập tên cho zone trong mục Zone Name, bấm Next để mở trang Dynamic Update.

8. Lựa chọn một trong các mục sau:

        - Allow Only Secure Dynamic Updates

        - Allow Both Nonsecure And Secure Dynamic Updates

        - Do Not Allow Dynamic Updates

9. Bấm Next, để mở trang Completing the New Zone Wizard.

10. Bấm Finish để hoàn thành việc tạo zone.

11. Đóng cửa sổ DNS Manager.

Để tạo primary zone tích hợp trong AD bằng Windows PowerShell, sử dụng lệnh Add-DnsServerPrimaryZone. Ví dụ:

Add-DnsServerPrimaryZone –Name “congty.com” – ReplicationScope “Domain” –PassThru

Sau khi tạo primary zone, bạn có thể tạo các bản ghi thông tin của DNS server.

Tạo các bản ghi thông tin cho DNS server


Sau đây là một số bản ghi thông tin quan trọng của DNS server:

SOA (Start of Authority): một zone phải có một và chỉ một bản ghi SOA. Bản ghi SOA cho biết cơ sở dữ liệu đang được lưu tại DNS server này là tin cậy.

- NS (Name Server): mỗi DNS server trong một zone (dù là primary zone hay secondary zone) sẽ được đại diện bằng một bản ghi NS. Bản ghi này là bằng chứng để chứng minh tính tin cậy của một DNS server trong zone.

- A (Address): là một ánh xạ từ địa chỉ dạng tên sang địa chỉ IP, sử dụng cho IPv4. Đây chính là bản ghi phục vụ cho quá trình phân giải từ địa chỉ dạng tên sang địa chỉ IP của hệ thống DNS (phân giải xuôi).

AAAA (Address): chức năng giống với bản ghi A, tuy nhiên, được sử dụng cho IPv6.

- PTR (Pointer): là một ánh xạ từ một địa chỉ IP cụ thể (trong miền in-addr.arpa) sang địa chỉ dạng tên. Đây chính là bản ghi phục vụ cho quá trình phân giải từ địa chỉ IP sang địa chỉ dạng tên (phân giải ngược).

- CNAME (Canonical Name): canonical name có thể hiểu nôm na là “tên gốc”. CNAME là một bản ghi cho phép tạo ra một “tên khác” (tiếng anh là Alias) cho một “tên gốc” đã được định nghĩa trong bản ghi A. Sau khi bản ghi CNAME được tạo, việc sử dụng hai tên (“tên gốc” và “tên khác”) là như nhau. Ví dụ, bạn đã có bản ghi A là “dalat.com – 192.168.1.1”. bạn tạo một CNAME có nội dung là “www.dalat.com - dalat.com”. Khi đó bạn truy cập tới www.dalat.com hay dalat.com thì nó đều trỏ về máy tính có IP là 192.168.1.1.

- MX (Mail Exchanger): chỉ định một máy tính (Mail Exchanger) làm nhiệm vụ xử lý các email gửi tới địa chỉ email thuộc miền. Khi nhận được email, Mail Exchanger sẽ chuyển email tới hộp thư của cá nhân, tới mail gateway hoặc một mail server khác.

Các bước để tạo một bản ghi A:

1. Đăng nhập vào hệ thống Windows Server 2012 R2 bằng tải khoản có quyền quản trị. Mở Server Manager.

2. Vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.

3. Xổ nút DNS server, chọn mục Forward Lookup Zones.

4. Bấm chuột phải vào zone mà bạn muốn tạo bản ghi, chọn mục New Host (A or AAAA) để mở cửa sổ New Host. Xem hình minh họa.



5. Nhập địa chỉ dạng tên (host name) vào mục Name, tên dạng đầy đủ sẽ xuất hiện trong mục FQDN.

6. Nhập địa chỉ IPv4 hoặc IPv6 tương ứng với địa chỉ dạng tên vào mục IP Addresss.

7. Có thể đánh dấu chọn vào hai mục sau:
       
       - Create Associated Pointer (PTR) Record: tạo bản ghi thông tin cho quá trình phân giải ngược trong miền in-addr.arpa.

       - Allow Any Authenticated User To Update DNS Records With The Same Owner Name: cho phép người dùng thay đổi các bản ghi thông tin mà họ có quyền sở hữu (own).

8. Bấm Add Host, bản ghi sẽ được tạo trong zone.

9. Đóng cửa sổ DNS Manager.

Để tạo một bản ghi PTR cho một host, bạn có thể đánh dấu chọn vào mục Create Associated Pointer (PTR) Record trong cửa sổ tạo New Host. Tuy nhiên, cách làm này chỉ thực hiện được khi đã có sẵn zone phân giải ngược (reverse lookup zone).

Để tạo một zone phân giải ngược, bạn bấm chuột phải vào mục Reverse Lookup Zones, chọn New Zone, các bước sau đó tương tự như khi tạo zone trong mục Forward Lookup Zones. Nếu bạn tạo reverse lookup zone cho IPv4, tại trang Reverse Lookup Zone Name nhập địa chỉ mạng (network ID) vào mục Network ID. Xem hình minh họa.



Sau khi tạo xong reverse lookup zone, bạn có thể tạo các bản ghi phân giải ngược (PTR) cùng với quá trình tạo bản ghi A hoặc AAAA, hoặc bạn cũng có thể tạo bằng chức năng New Resource Record.

---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/3/15
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (40)