Known-DNS

รู้จักกับ DNS Application Directory Partition

รู้จักกับ-DNS ในการสร้างโดเมนคอนโทรลเลอร์หลัก (PDC) ขึ้นบนโดเมน Active Directory จะสร้างแอพพลิเคชันไดเรกทอรีพาร์ทิชัน (Application Directory Partition) ขึ้น 2 ตัวคือ DomainDnsZones และ ForestDnsZones สำหรับเก็บข้อมูลของ Known-DNS ซึ่งจะมีหน้าที่ ดังนี้

– DomainDnsZones จะเก็บข้อมูล DNS Zone เอาไว้เพื่อใช้ในการเรพลิเคตข้อมูลไปยังโดเมนคอนโทรลเลอร์ทุกตัวที่อยู่บนโดเมน
– ForestDnsZones จะเก็บข้อมูลของ DNS Zone เอาไว้เพื่อใช้ในการเรพลิเคตข้อมูลไปยังโดเมนคอนโทรลเลอร์ทุกตัวที่อยู่ในฟอเรสต์

รู้จักกับ-DNS เราสามารถตรวจสอบโฟลเดอร์ทั้งสองได้ โดยการเปิดเครื่องมือ DNS Manager ภายใต้โซนไฟล์ siam2019.com จะเก็นคอนเทนเนอร์ของแอพพลิเคชันไดเรกทอรีพาร์ทิชันอยู่ 2 ตัว คือ DomainDnsZones และ ForestDnsZones

เรคอร์ดสำคัญของโซน

โซนเป็นฐานข้อมูลที่ใช้เก็บข้อมูลชื่อโดเมนในแต่ละโดเมนที่รับผิดชอบเอาไว้ ซึ่ง DNS Server ทั่วไปจะเก็บโซนไว้เป็นเท็กซ์ไฟล์ เรียกว่า โซนไฟล์ ชื่อไฟล์คือ ชื่อโซน.dns และเก็บอยู่ในตำแหน่ง windows\system32\dns (ส่วน DNS Server แบบ Active Directory Integrated Zone จะเก็บโซนไว้ใน Active Directory) และภายในจะมีเรคอร์ดสำคัญที่ใช้งาน เช่น SRV, SOA, A, MX, NS เป็นต้น โดยเรคอร์ดแต่ละประเภทมีความหมาย ดังนี้

Known-DNS

 

@ : เป็นโซนปัจจุบัน เช่น thaibusiness.com ที่จะใช้อ้างอิงจากไฟล์ thaibusiness.com.dns (หรือโซนไฟล์ปัจจุบันที่ใช้งานอยู่)

IN : คือ Internet

Siam99.thaibusiness.com. : เป็นชื่อ FQDN ของ Primary Server ที่มีข้อมูลโซน

Admin.thaibusiness.com : อีเมลแอดเดรสผู้รับผิดชอบโซน คั่นระหว่างชื่อผู้ใช้กับโดเมนด้วย (.)

(..) : เป็นการเพิ่มข้อมูลในส่วนของ SOA Records ได้มากกว่า 1 บรรทัด

Serial number : เป็นเลขจำนวนการแก้ไขข้อมูลในโซน เป็นมาตรฐานการนับของ Primary zone ซึ่ง Secondary zone จะเปรียบเทียบกับจำนวนของมัน ถ้าไม่ตรงกันก็จะทำการขอ Zone Transfer (ส่วน Active Directory integrated zone จะทำการเรพลิเคตโซนร่วมกับ Active Directory โดยการเช็ก Serial Number)

refresh : เป็นระยะเวลาที่เครื่อง Secondary server รอก่อนที่จะพยายามตรวจสอบการเปลี่ยนแปลงข้อมูลโซนในเครื่อง Primary Server

retry : ระยะเวลาที่เครื่อง Secondary server ควรรอก่อนที่จะพยายามทำ Zone Transfer อีกครั้งหลังจากที่ทำล้มเหลวไป (ต้องมีค่าน้อยกว่า refresh ในที่นี้คือ 10 นาที)

expire : เป็นระยะเวลาการหมดอายุของโซน กรณีที่ไม่สามารถติดต่อเพื่อขอรีเฟรชข้อมูลกับ Primary master ได้ (ค่าเริ่มต้นเป็น 1 วัน หรือ 86400 วินาที)

TTL : เป็นระยะเวลาการเก็บเรคอร์ดเอาไว้ (ค่าเริ่มต้นเป็น 60 วินาที)

 

สนับสนุนโดย แทงบอลออนไลน์ ฝากขั้นต่ำ 100

Windows

Windows Server 2012 R2

Monitoring เป็นการทดสอบการติดต่อกับ DNS Server

วินโด้เซอร์เวอร์2012-R2 โดยจะมี 2 รูปแบบ คือ Simple query และ Recursive query เราสามารถทดสอบการเชื่อมต่อกับ DNS Server ภายในด้วย Simple query ด้วยการคลิกปุ่ม Test Now ถ้าผ่านจะแสดงข้อความ “Pass” ส่วน Recursive query เอาไว้ทดสอบการเชื่อมต่อกับ Root Domain Name Server ที่อยู่ภายนอกหรืออินเทอร์เน็ต (ระบบจะต้องเชื่อมต่อกับอินเทอร์เน็ตด้วย)

Root Hints เป็นการค้นหารายชื่อ DNS Server อื่นๆ ที่อยู่บนอินเทอร์เน็ต

วินโด้เซอร์เวอร์2012-R2 Windows Server 20xx ได้บรรจุรายชื่อและไอพีแอดเดรสของ Root Domain Name Server เอาไว้ในแท็บ Root Hints ซึ่งมีอยู่ 13 ตัวด้วยกัน จะถูกใช้งานเมื่อทางเครื่อง DNS Server หรือ Forwarder ไม่สามารถจะแมปชื่อโฮสต์ที่ต้องการได้ ก็จะส่งรายชื่อโฮสต์นั้นไปยัง Root Domain Name Server บนอินเทอร์เน็ตต่อไป

Windows

Security เป็นการกำหนดระบบความปลอดภัย และสิทธิ์ในการควบคุมดูแล DNS Server

โดยเฉพาะการสืบทอด (Inherited) พฤติกรรมจาก Active Directory บน ACLs ซึ่ง Windows Server ได้กำหนดค่าเริ่มต้นของระบบความปลอดภัยเอาไว้แล้ว แต่เราสามารถจะแก้ไข – เพิ่มเติมสิทธิ์ให้เหมาะสมกับหน่วยงานได้

Advanced เป็นการกำหนดตัวเลือก Server Options

ซึ่งมีการทำงาน 7 ตัวเลือก คือ Disable recursion, BIND secondaries, Fail on load if bad zone data, Enable round robin, Enable netmask ordering, Secure cache against pollution และ Enable DNSSEC validation for remote resources (รายละเอียดให้คลิกปุ่ม ? ที่มุมบนขวาของหน้าต่าง แล้วนำเมาส์มาชี้ตรง Options ที่ต้องการทราบ) เช่น Fail on load if bad zone data ออพชันนี้จะใช้สำหรับเครื่อง Secondary DNS Server หรือกรณีที่ไม่ต้องการใช้ Active Directory Integrated Zone

เพื่อตรวจสอบข้อมูล DNS อย่างละเอียดถี่ถ้วน และ Secure cache against pollution ออพชันนี้จะใช้สำหรับป้องกันชื่อโฮสต์ขยะ (Pollution) เช่น ไคลเอนต์สอบถามชื่อโฮสต์ของ bandhit.com แต่การตอบสนองได้อ้างอิงชื่อโฮสต์ nomame.com เข้ามา ด้วยออพชัน Secure cache against pollution จะตัดชื่อโฮสต์ nomame.com ทิ้งไป (ไม่นำมาเก็บไว้ในแคช) เพราะไม่เกี่ยวข้องกันเลย

Event Logging เป็นการกำหนดให้มีการบันทึกไฟล์ Log ของการทำงานต่างๆ เช่น errors, warning และเหตุการณ์อื่นๆ ที่เกี่ยวข้อง โดยจะสัมพันธ์กับ Debug Logging

Debug Logging เป็นการกำหนดให้มีการบันทึกไฟล์ Log ของการทำงานต่างๆ

เช่น การับ – ส่งแพ็กเกจของ DNS โดยจะแบ่งตามหัวข้อ เช่น Packet direction (Outgoing – Incoming), Transport protocol (UDP – TCP), Packet contents (Queries – Updates – Notifications), Packet type (Request – Response) ปกติแล้วไฟล์ Log จะเก็บอยู่ในโฟลเดอร์ %systemRoot%\system32\dns\dns.log

DNS-information

การทำงานข้อมูลของ DNS

DNS-information

การทำงานข้อมูลของDNS DNS Server บนโดเมนจะส่งการร้องขอไปยังเครื่อง TLD DNS Server .Com (เป็นการร้องขอแบบ Iterative)

TLD DNS Server .Com ไม่มีคำตอบ จะส่งหมายเลขไอพีแอดเดรสของเครื่อง Authoritative DNS Server ที่ดูแลโดเมน bandhit.com อยู่ตอบกลับไปให้ Local DNS Server

Local DNS Server บนโดเมนจะส่งการร้องขอต่อไปยังเครื่อง Authoritative DNS Server ที่ดูแลโดเมน bandhit.com (เป็นการร้องของแบบ Iterative)

Authoritative DNS Server ที่ดูแลโดเมน bandhit.com มีคำตอบ ก็จะส่งหมายเลขไอพีแอดเดรสของโฮสต์ มาให้เครื่อง  Local DNS Server บนโดเมน

เมื่อได้รับไอพีแอดเดรสที่ต้องการแล้ว เครื่อง Local DNS Server บนโดเมนจะตอบกลับพร้อมทั้งส่งหมายเลขไอพีแอดเดรสของโฮสต์ มาให้เครื่องไคลเอนต์

แนวคิดในการออกแบบชื่อโดเมน

ในอดีตระบบปฏิบัติการ Windows NT Server 4.0 จะใช้ระบบ WINs (Windows Internet Name Service) ในการแมป (จับคู่) ชื่อเครื่องคอมพิวเตอร์แบบ NetBIOS ให้มาเป็นไอพีแอดเดรสซึ่งเหมาะกับเครือข่ายขนาดเล็ก แต่การออกแบบโดเมนบน Windows Server 20xx จะมีพื้นฐานมาจากระบบ DNS (Domain Name System) ซึ่งเป็นระบบการตั้งชื่อโดเมนบนระบบอินเทอร์เน็ต โดยจะมีโครงสร้างแบบลำดับชั้น (Hierachical) การตั้งชื่อโดเมนจึงมีความสำคัญมาก ดังนั้นเราจำเป็นต้องมีการวางแผนตั้งชื่อโดเมนให้เหมาะสมกับองค์กรของเรา โดยการออกแบบระบบ DNS ให้ทำงานร่วมกับระบบ Active Directory บน Windows Server 20xx เพื่อให้การทำงานทำได้อย่างเต็มที่ และมีประสิทธิภาพที่สุด

ระบบ Host Name Resolution

Host Name Resolution เป็นระบบที่ความเกี่ยวพันกับ การทำงานข้อมูลของDNS โดยตรง กล่าวคือเมื่อใดที่เครื่องไคลเอนต์ทำการค้นหาไอพีแอดเดรสของเครื่องเซิร์ฟเวอร์ปลายทางก็จะใช้กระบวนการ Host Name Resolution ในการสอบถามจาก DNS ซึ่งการตั้งชื่อโดเมนจำเป็นที่จะต้องเหมาะสมกับองค์กร เพื่อให้สามารถทำงานได้อย่างมีประสิทธิภาพ เช่น bandhit.com, yahoo.com และชื่อเครื่องคอมพิวเตอร์บนระบบเครือข่ายของ Windows Server 20xx จะต้องมีความสัมพันธ์กับชื่อโดเมนด้วย เช่น server01.bandhit.com, northern.thaimail.com ดังนั้นถ้าไคลเอนต์ต้องการทราบไอพีแอดเดรสของเครื่องเซิร์ฟเวอร์ปลายทางก็จะใช้ Resolver ส่งการร้องขอการสืบค้น (Host Name Resolution) ไปยังเครื่อง DNS Server บนโดเมน และทำการสืบค้นจากฐานข้อมูลต่อไป