Professional Documents
Culture Documents
Napredne DNS Opcije, Danica Popadci Rer 15-14
Napredne DNS Opcije, Danica Popadci Rer 15-14
NI
SEMINARSKI RAD
Napredne DNS opcije
PREDMET: Administriranje raunarskih mrea
Mentor:
Student:
Dr Mirko Kosanovi
Danica Popadi
Rer 15/14
SADRAJ:
UVOD........................................................................................................................................2
1. DNS servis.............................................................................................................................3
1.1 DNS Klijent.............................................................................................................3
1.2 DNS Server..............................................................................................................4
1.3 DNS Zone I arhive..................................................................................................5
1.3.1 Forward lookup zone..6
1.3.2 Reverse lookup zone....6
ZAKLJUAK.........................................................................................................................17
LITERATURA.......................................................................................................................18
1
UVOD
DNS je u samom srcu vecine velikih mreza danas. Bez DNS-a ne bismo mogli da
aljemo ili primamo e-mail, da pristupimo internet ili bilo kojem drugom vanom servisu poput
Aktivnog Direktorijuma. DNS je omoguio da ja Vama poaljem ovaj mejl.
Razlog zbog ega zavisimo od DNS je to to ljudi mnogo lake pamte kratke adrese
kao to je google.com, nego duge IPv4 adrese kao to je npr. 206.178.205.143, ili IPv6 adrese,
npr. 20D0:12DC:20A7:3C48:78DA:C096:B10A:E387. TCP/IP protokolu, koji se koristi na
internetu od strane korporativnih mreza I miliona domova u celom svetu, su potrebne te IP
adrese da bi komunicirao i da bi rutirao mreni saobraaj. DNS prua uslugu koja omoguava
prevoenje is prostih adresa (www.google.com) u komplikovane IP adrese.
Jos jedna korist sa korisnike take gledita je da moe da koristi adresu web sajta, koja
se ne menja, dok se IP adresa tog istog sajta menja a da korisnik to ne mora ni da zna.
Windows Server 2012 prua neke napredne opcije koje omoguavaju bolju zatitu i
performanse DNS infrastrukture.
1. DNS servis
DNS je klijent/server servis koji moe da ukljui stotine kompjutera, poevi od korisnika
koji trai web-sajt iz kancelarije svoje korporacije, do samih korena DNS servera na internetu.
Pogledajmo kako bismo ime rezolucionog procesa, prvenstveno sa strane DNS klijenta do DNS
servera.
DNS se najee koristi:
1. Da odredi ime hosta u IP adresu;
2. Locira kontrole domena usluge globalnog kataloga;
3. Locira usluge elektronske pote;
4. Da prevede IP adrese u imena.
Naziv web sajta moe biti dugaak do 255 karaktera i moe sadrati slova i brojeva,
take i crtice. Naziv stranice je kombinovan sa imenom domena da formira Puno
kvalifikovano ime domena (Fully qualified domain name FQDN). Na primer:
www.google.com je FQDN gde je WWW host a google.com domen komponenta. DNS
Windows server-a 2012 moe biti konfigurisan da formira FQDN i ostala imena hostova u IPv4
i IPv6 adrese.
Windows Server 2012 je dodao neke nove, napredne DNS opcije i novi servis koji se
zove Internet protokol adresni menadzment (Internet protocol address management
IPAM) koji dozvoljava sistemskim administratorima da kontrolie DNS i DHCP i njihov rad
sa centralne konzole omoguavajui ujedinjen pogled na DNS zone i konfiguraciju i korienje
IP adresa.
2. Pretraie ke za odredjivanje DNS klijenta. Bilo koji pokuaj ulaza u folder imena je
prethodno uitan u ke za odredjivanje.
3. Poalje DNS zahtev za rezoluciju imena njegovom konfigurisanom DNS serveru.
DNS klijent ide iz jednog koraka u drugi samo ako ne moe doi do imena prethodno
pronadjenog. Ako ni jedan od navedenih koraka ne radi a NetBIOS je ukljuen preko TCP/IP,
DNS e nastaviti sledeim putem:
1. Prepraviti ime na jednostavnu oznaku (NetBIOS ime) i proveriti lokanu NetBIOS zalihu
imena.
2. Kontaktirae konfigurisan WINS server.
3. Prikazae NetBIOS ime tri puta u lokalnom subnetu.
4. Pretraie Lmhosts datoteku.
Svi Windows klijenti (od sistema Windows Vista), Windows server 2008 i Windows
server 2012 podravaju razotkrivanje imena u IP adrese koristei Link-Local multicast name
resolution (LLMNR) protokol. LLMNR moe da se koristi u lokalnoj mrei da razrei imena
na IPv4 i IPv6 adrese kada DNS server nije konfigurisan. Ovaj protokol moe biti od veeg
znaaja da stvori rezolucije lokalnog imena na IPv6 mreze, posto NetBIOS radi samo na IPv4
okruenjima. Svi delovi na lokalnom subnet-u moraju imati ukljueno otkrivanje mree
(Network discovery) da bi radili kako valja.
3. Kada dobije odgovor od korenskog DNS servera, lokalni DNS server, trai .com DNS
server traie lokaciju google.com DNS servera.
4. Kada .com DNS server odgovori, lokalni DNS server kontaktira google.com DNS server
traei IP adresu www.google.com adrese.
5. Nakon to google.com DNS server prosledi informaciju, lokalni DNS server povrati IP
adresu sajta www.google.com nazad do korisnika raunara da bi omoguio tom raunaru da
uspostavi konekciju na www.google.com.
Ovaj redosled ne vai za svako ime koje se konektuje na DNS server. Rezerva i
konfiguracija koja se prosledjuje se menja kako DNS reava procese.
Skladitenje Recimo da lokalni DNS server prolazi kroz ovih 5 koraka da pretvori
ime u IP adresu. Kada lokalni DNS server naui te informacije, on pamti dobijene rezultate
narednih par sati. Od te take nadalje, svaka nova rezolucija imena za isto ime e biti uitana
iz skladita DNS servera. Ovo ubrzava rezoluciju procesa imena.
Prosledjivanje Kada se prosledjivanje konfigurie, DNS server e proslediti ime
rezolucije drugom DNS serveru (kada isti zatrai informaciju), umesto to e traiti po
korenskom serveru na Internetu. Takodje je mogue konfigurisati opcionalno prosledjivanje;
opcionalni prosledjiva je DNS server koji e proslediti DNS skladinu informaciju
odredjenom serveru prema imenu domena koje je ukljueno u preuzimanju informacije.
DNS zone sadre razliite resurse memorije. Resursi memorije odredjuju tip resursa, a IP
adresa da locira resurse. DNS zone mogu da razloe imena na IP adrese ili IP adrese na imena,
za uredjaje koje pokreu TCP/IP protokole kao radne stanice, serveri, ruteri, prekidaci itd.
U sluaju usluga aktivnog direktorijuma, specijalni tip DNS memorije (SRV) se koristi da
locira kontrolere domena i servere globalnog kataloga. Dva tipa uobiajenih DNS zona,
konfigurisana na veinu DNS implementacija, su forward lookup zones i reverse lookup
zones.
1.3.1. Forward lookup zone
Forward lookup zone razreavaju host imena u IP adrese i odgovaraju na pretragu
imena dajui IP adrese koje odgovaraju imenima u tim pretragama.
Forward lookup zone najee hostuju sledee zapise IPV4 (A), IPv6 (AAAA), pseudonim
(CNAME), usluga (SRV), razmena pote (MX), poetak autoriteta (SOA), i server imena (NS).
IPv4 I IPv6 host imena se oba mogu svrstati u istu lookup zonu na Windows server 2012.
1.3.2. Reverse lookup zone
Reverse lookup zone razreavaju IP adrese u imena domena. Kada je IP adresa deo
pretrage reverse lookup zona uzvraa odgovarajuim host imenom. Reverse lookup zone
hostuju SOA, NS, i (PTR) zapisi. Moraju se napraviti razliite lookup zone za IPv4 i IPv6 na
Windows serveru 2012. Mogue je pokrenuti DNS infrastrukturu bez konfigurisanja reverse
lookup zona, ali neke bitne funkcije mogu izostati kao rezultat toga i usluga e izbacivati brojna
upozorenja I greke.
Reverse lookup zone se mogu koristili protiv spamovanja. Spameri koriste otvorene
releje (SMTP server) na internetu da bi poslali masivan broj nepotrebnih mejlova I sakrili svoj
identitet. Server za potu moe izvriti obrnutu pretragu da bi otkrio otvorene releje, ovo bi
moglo dozvoliti primenu filtriranja saobraaja koji dolazi od ti otvorenih releja to moe
spreiti ili umanjiti neeljenu potu.
Jo jedna bitna korist reverse lookup zona je to se njihovi podaci esto koriste za
potvrdjivanje informacija forward zona. Na primer, ako forward lookup tvrdi da se
support.mycompany.com razreuje u 172.16.0.8 moe se iskoristiti obrnuta pretraga da bi se
potvrdilo da je 172.16.0.8 zaista povezan sa support.mycompany.com .
vremena ivota. Po defoltu, cache locking procentualna vrednost je 100 to znai da cached
unosi nee biti presnimljeni za celo trajanje vremena ivota.
Moe se koristiti dnscmd alat da se konfigurie cache locking na DNS server Windows
server a 2012. Videti prikaz ispod.
1.7.1
Primarna zona:
DNS server moe itati i pisati podatke u primarnoj zoni. Ovo je mogue jer DNS
server skladiti originalnu kopiju zone podataka u tekst fajlu ili u aktivnoj bazi podataka
direktorijuma ako je DNS instaliran na kontroleru domena. Ako je korien lokalni fajl, taj fajl
je nazvan istim imenom kao i zona koja koristi .dns nastavak (ime_zone.dns). Ovaj fajl se
automatski uva u %windir%\system32\dns direktorijumu.
Kada se fajl koristi, primarni DNS server je jedini koji ima upisivu kopiju baze
podataka.
DNS server je merodavan za zapise koje dri u primarnoj zoni. To znai da ako DNS
server primi upit za razreavanje imena koji sadri ime domena na primarnoj zoni, DNS server
e odgovoriti sa da ili ne odgovorom. Ovakav DNS server nee proslediti upit za razreavanje
imena bilo kom drugom DNS serveru.
1.7.2
Sekundarna zona:
DNS server moe da ita ali ne i da pie podatke na/u sekundarnoj zoni. Sekundarna
zona je kopija primarne zone koju drugi DNS server hostuje. Informacija u/na sekundarnoj
zoni se dobavlja i aurira preko prenosa zone od drugog servera. Tekstualni podatak koji je
samo za itanje (read-only) se koristi za lokalno skladitenje informacija; sekundarne zone ne
mogu da se skladite u aktivnoj bazi podataka direktorijuma. DNS server je merodavan za
podatke koje dri u sekundarnoj zoni.
1.7.3
Stub zona:
Stub zona je ograniena kopija zone koja se sastoji od sledeih podataka: poetak
pouzdanih (SQA) informacija, podataka servera za imenovanje (NS) i imena podataka hosta
(A). Ovi podaci se koriste za identifikaciju merodavnog DNS servera zone. DNS server koji
dri STUB zonu nije merodavan za tu zonu. Kada ovaj DNS server primi upit za razreavanje
imena, on mora da PITA jednog od merodavnih DNS servera iz STUB zone.
1.7.4
Ova zona moze da se konfigurie samo na kontroleru domena koji su takodje DNS
serveri. Ovo je primarna zona sa svojim podacima uskladitenim u aktivnoj bazi podataka
direktorijuma. Slika ispod:
10
11
12
tzv
13
Pripisaemo DNS zonu DNSSEC-u za proveru promena izlaza. Ovo su koraci pripisivanja
zona:
1. Otvoriti DNS
menader,
pritisnemo desni
tastererom mia na
DNS zone i
odabrati opciju
DNSSEC Sign
the Zone.
14
2. Na stranici DNS
security
Extensions
(DNSSEC),
kliknuti Next.
3. Na stranici
Signing Options
(opcije
pripisivanja) ,
selektujemo opciju
Use default
settings to sign the
zone, I kliknemo
Next.
4. Na stranici DNS
Security
Extensions
(DNSSEC),
kliknemo Next.
15
5. Na stranici
Signing the
zone, kliknuti
Finish.
Sada
RRSIG,
moemo
videti
DNSKEY
16
ZAKLJUAK
DNS (Domain name system) je, u osnovi, sistem koji pretvara imena raunara
(hostnames) u IP adrese. DNS takoe obezbeuje podatke i o serverima elektronske pote na
domenu (MX), poetnom DNS serveru (SOA) i druge. DNS je zasnovan na hijerarhijskom
principu i jedna je od osnovnih komponenti interneta.
Kada u svoj browser ukucate veb adresu http://sr.wikipedia.org/ , va raunar e uz
pomo DNS servera to ime pretvoriti u adresu 208.80.152.2, to je IP adresa raunara na kojem
se nalazi taj sajt.
Ako se rezervie domen velikafirma.com bie potreban jedan sopstveni DNS server koji
je zasluan za sve hostove koji pripadaju tom domenu. Sve informacije koje se odnose na
hostove snimljene su u jednoj datoteci koja u praksi esto nosi naziv "zone-file". Pod zonom
se podrazumeva podruje za koje je na DNS server zasluen. U naem primeru bi to znailo
da
bi
jedan
server
mogao
rukovoditi
zonama
evropa.velikafirma.com
kao
azija.velikafirma.com i svi hostovi bi bili uvedeni u jednoj datoteci. Ipak, u praksi se esto za
svaku zonu koristi poseban DNS server jer to znatno olakava administraciju.
Domain name system security extensions (DNSSEC) je paket ekstenzija koje dodaju
sigurnost DNS protokolu. Ovo omoguava svim zapisima u DNS zoni da budu kriptografski
potpisani i prua origin authority, integritet podataka i overeno poricanje postojanja. DNSSEC
je vaan jer omoguava DNS serverima i razreivaima da "veruju" odgovorima DNS koristei
digitalni potpis za validaciju kako bi osigurali da odgovori koje vraaju nazad nisu
modifikovani na bilo koji nain.
17
LITERATURA
1. https://sr.wikipedia.org/wiki/DNS
2. https://bs.wikipedia.org/wiki/Domain_Name_System
3. http://www.windowsnetworking.com/articlestutorials/netgeneral/windows-server-2012-dns-part1.html
4. http://www.windowsnetworking.com/articlestutorials/netgeneral/windows-server-2012-dns-part2.html
18