VISOKA TEHNIKA KOLA

NI

SEMINARSKI RAD
Napredne DNS opcije
PREDMET: Administriranje raunarskih mrea

Mentor:

Student:

Dr Mirko Kosanovi

Danica Popadi
Rer 15/14

SADRAJ:

UVOD........................................................................................................................................2
1. DNS servis.............................................................................................................................3
1.1 DNS Klijent.............................................................................................................3
1.2 DNS Server..............................................................................................................4
1.3 DNS Zone I arhive..................................................................................................5
1.3.1 Forward lookup zone..6
1.3.2 Reverse lookup zone....6

1.4 Rekurzivna i iterativna DNS pretraga.7

1.4.1 Root hints I iterativne pretrage.7

1.5 DNS socket pool and zakljuavanje cache-a.8

1.6 Caching-only DNS Server..9
1.7 Tipovi DNS zona.9
1.7.1 Primarna zona...10
1.7.2 Sekundarna zona...10
1.7.3 Stub zona10
1.7.4 Active Directory Integrated zone.10

2. Napredne DNS opcije konfigurisanja Windows servera 2012.13

2.1 DNS sigurnosne ekstenzije (DNSSEC)13
2.2 Trust points i name resolution policy tabele14
2.2.1 Trust points14
2.2.2 Name resolution policy tabele...14

ZAKLJUAK.........................................................................................................................17
LITERATURA.......................................................................................................................18
1

UVOD

DNS je u samom srcu vecine velikih mreza danas. Bez DNS-a ne bismo mogli da
aljemo ili primamo e-mail, da pristupimo internet ili bilo kojem drugom vanom servisu poput
Aktivnog Direktorijuma. DNS je omoguio da ja Vama poaljem ovaj mejl.
Razlog zbog ega zavisimo od DNS je to to ljudi mnogo lake pamte kratke adrese
kao to je google.com, nego duge IPv4 adrese kao to je npr. 206.178.205.143, ili IPv6 adrese,
npr. 20D0:12DC:20A7:3C48:78DA:C096:B10A:E387. TCP/IP protokolu, koji se koristi na
internetu od strane korporativnih mreza I miliona domova u celom svetu, su potrebne te IP
adrese da bi komunicirao i da bi rutirao mreni saobraaj. DNS prua uslugu koja omoguava
prevoenje is prostih adresa (www.google.com) u komplikovane IP adrese.
Jos jedna korist sa korisnike take gledita je da moe da koristi adresu web sajta, koja
se ne menja, dok se IP adresa tog istog sajta menja a da korisnik to ne mora ni da zna.
Windows Server 2012 prua neke napredne opcije koje omoguavaju bolju zatitu i
performanse DNS infrastrukture.

1. DNS servis

DNS je klijent/server servis koji moe da ukljui stotine kompjutera, poevi od korisnika
koji trai web-sajt iz kancelarije svoje korporacije, do samih korena DNS servera na internetu.
Pogledajmo kako bismo ime rezolucionog procesa, prvenstveno sa strane DNS klijenta do DNS
servera.
DNS se najee koristi:
1. Da odredi ime hosta u IP adresu;
2. Locira kontrole domena usluge globalnog kataloga;
3. Locira usluge elektronske pote;
4. Da prevede IP adrese u imena.
Naziv web sajta moe biti dugaak do 255 karaktera i moe sadrati slova i brojeva,
take i crtice. Naziv stranice je kombinovan sa imenom domena da formira Puno
kvalifikovano ime domena (Fully qualified domain name FQDN). Na primer:
www.google.com je FQDN gde je WWW host a google.com domen komponenta. DNS
Windows server-a 2012 moe biti konfigurisan da formira FQDN i ostala imena hostova u IPv4
i IPv6 adrese.
Windows Server 2012 je dodao neke nove, napredne DNS opcije i novi servis koji se
zove Internet protokol adresni menadzment (Internet protocol address management
IPAM) koji dozvoljava sistemskim administratorima da kontrolie DNS i DHCP i njihov rad
sa centralne konzole omoguavajui ujedinjen pogled na DNS zone i konfiguraciju i korienje
IP adresa.

1.1. DNS Klijent

Ako aplikacija zahteva korienje Windows memoriju i ime sajta, Windows operativni
sistem e pokuati da razloi imena u sledeem redu:
1. Proverie da li je ime hosta isto kao i lokalno host ime.
3

2. Pretraie ke za odredjivanje DNS klijenta. Bilo koji pokuaj ulaza u folder imena je
prethodno uitan u ke za odredjivanje.
3. Poalje DNS zahtev za rezoluciju imena njegovom konfigurisanom DNS serveru.
DNS klijent ide iz jednog koraka u drugi samo ako ne moe doi do imena prethodno
pronadjenog. Ako ni jedan od navedenih koraka ne radi a NetBIOS je ukljuen preko TCP/IP,
DNS e nastaviti sledeim putem:
1. Prepraviti ime na jednostavnu oznaku (NetBIOS ime) i proveriti lokanu NetBIOS zalihu
imena.
2. Kontaktirae konfigurisan WINS server.
3. Prikazae NetBIOS ime tri puta u lokalnom subnetu.
4. Pretraie Lmhosts datoteku.
Svi Windows klijenti (od sistema Windows Vista), Windows server 2008 i Windows
server 2012 podravaju razotkrivanje imena u IP adrese koristei Link-Local multicast name
resolution (LLMNR) protokol. LLMNR moe da se koristi u lokalnoj mrei da razrei imena
na IPv4 i IPv6 adrese kada DNS server nije konfigurisan. Ovaj protokol moe biti od veeg
znaaja da stvori rezolucije lokalnog imena na IPv6 mreze, posto NetBIOS radi samo na IPv4
okruenjima. Svi delovi na lokalnom subnet-u moraju imati ukljueno otkrivanje mree
(Network discovery) da bi radili kako valja.

1.2. DNS server

Kada se instalira DNS servis na Windows serveru 2012, lista korenskih mrenih servera
je prvobitno uitana. Ovi serveri su poznati kao korenske naznake.
DNS server bi razvrstavao imena rezolucije od klijenta kompjutera i drugih uredjaja na
sledei nacin:
1. Korisnik ukuca npr. www.google.com ili klikne hiperlink za google.com na pretraivau.
2. Ako lokalni DNS serveri ne poznaju IP adresu ve kliknutog www.google.com, on ga trai
u korenskom DNS serveru traei lokaciju .com na DNS serveru.

3. Kada dobije odgovor od korenskog DNS servera, lokalni DNS server, trai .com DNS
server traie lokaciju google.com DNS servera.
4. Kada .com DNS server odgovori, lokalni DNS server kontaktira google.com DNS server
traei IP adresu www.google.com adrese.
5. Nakon to google.com DNS server prosledi informaciju, lokalni DNS server povrati IP
adresu sajta www.google.com nazad do korisnika raunara da bi omoguio tom raunaru da
uspostavi konekciju na www.google.com.
Ovaj redosled ne vai za svako ime koje se konektuje na DNS server. Rezerva i
konfiguracija koja se prosledjuje se menja kako DNS reava procese.
Skladitenje Recimo da lokalni DNS server prolazi kroz ovih 5 koraka da pretvori
ime u IP adresu. Kada lokalni DNS server naui te informacije, on pamti dobijene rezultate
narednih par sati. Od te take nadalje, svaka nova rezolucija imena za isto ime e biti uitana
iz skladita DNS servera. Ovo ubrzava rezoluciju procesa imena.
Prosledjivanje Kada se prosledjivanje konfigurie, DNS server e proslediti ime
rezolucije drugom DNS serveru (kada isti zatrai informaciju), umesto to e traiti po
korenskom serveru na Internetu. Takodje je mogue konfigurisati opcionalno prosledjivanje;
opcionalni prosledjiva je DNS server koji e proslediti DNS skladinu informaciju
odredjenom serveru prema imenu domena koje je ukljueno u preuzimanju informacije.

1.3. DNS Zone i memorija

DNS podaci se uvaju u bazi podataka, koja moe biti skladitena u tekstualnoj datoteci ili
u bazi podataka aktivnog direktorijuma kada je DNS server konfigurisan na glavnom
kontroleru domena.
DNS data je organizovana u zone; svaka zona ima specifini deo DNS mesta za ime koje
je skladiteno u podeljenim datotekama ili kao jedinica replikacije kada se uva u aktivnom
direktorijumu. DNS serveri mogu da hostuju jednu ili vie zona odredjenog domena. Kada se
stvara aktivni direktorijum domena, DNS zone sa istim imenom koja uzajamno saradjuje sa
njom, kao novi domen, mora postojati ili da se stvori u toku procesa da osigura dobru
funkcionalnost direktorijumskih usluga.
5

DNS zone sadre razliite resurse memorije. Resursi memorije odredjuju tip resursa, a IP
adresa da locira resurse. DNS zone mogu da razloe imena na IP adrese ili IP adrese na imena,
za uredjaje koje pokreu TCP/IP protokole kao radne stanice, serveri, ruteri, prekidaci itd.
U sluaju usluga aktivnog direktorijuma, specijalni tip DNS memorije (SRV) se koristi da
locira kontrolere domena i servere globalnog kataloga. Dva tipa uobiajenih DNS zona,
konfigurisana na veinu DNS implementacija, su forward lookup zones i reverse lookup
zones.
1.3.1. Forward lookup zone
Forward lookup zone razreavaju host imena u IP adrese i odgovaraju na pretragu
imena dajui IP adrese koje odgovaraju imenima u tim pretragama.
Forward lookup zone najee hostuju sledee zapise IPV4 (A), IPv6 (AAAA), pseudonim
(CNAME), usluga (SRV), razmena pote (MX), poetak autoriteta (SOA), i server imena (NS).
IPv4 I IPv6 host imena se oba mogu svrstati u istu lookup zonu na Windows server 2012.
1.3.2. Reverse lookup zone
Reverse lookup zone razreavaju IP adrese u imena domena. Kada je IP adresa deo
pretrage reverse lookup zona uzvraa odgovarajuim host imenom. Reverse lookup zone
hostuju SOA, NS, i (PTR) zapisi. Moraju se napraviti razliite lookup zone za IPv4 i IPv6 na
Windows serveru 2012. Mogue je pokrenuti DNS infrastrukturu bez konfigurisanja reverse
lookup zona, ali neke bitne funkcije mogu izostati kao rezultat toga i usluga e izbacivati brojna
upozorenja I greke.
Reverse lookup zone se mogu koristili protiv spamovanja. Spameri koriste otvorene
releje (SMTP server) na internetu da bi poslali masivan broj nepotrebnih mejlova I sakrili svoj
identitet. Server za potu moe izvriti obrnutu pretragu da bi otkrio otvorene releje, ovo bi
moglo dozvoliti primenu filtriranja saobraaja koji dolazi od ti otvorenih releja to moe
spreiti ili umanjiti neeljenu potu.
Jo jedna bitna korist reverse lookup zona je to se njihovi podaci esto koriste za
potvrdjivanje informacija forward zona. Na primer, ako forward lookup tvrdi da se
support.mycompany.com razreuje u 172.16.0.8 moe se iskoristiti obrnuta pretraga da bi se
potvrdilo da je 172.16.0.8 zaista povezan sa support.mycompany.com .

1.4 Rekurzivna i iterativna DNS pretraga

DNS server odgovara na rekurzivne i iterativne DNS pretrage. Rekurzivne pretrage
zahtevaju u potpunosti razreenu IP adresu od DNS servera. Ove vrste pretraga uglavnom
potiu od DNS klijenta i usmerene su DNS serveru. Nakon primanja rekurzivne pretrage DNS
server e odgovoriti odgovarajuom IP adresom ili e stvoriti odrian odgovor. DNS nee
usmeriti DNS klijenta na drugi DNS server da bi nastavio pretragu.
Iterativne pretrage su tipino pokrenute od strane DNS servera nakon to se primi
poruka za razreavanje imena koja DNS server ne moe da razrei koristei svoju lokalnu bazu
podataka i cache lookupove. U ovom sluaju DNS server koristi iterativnu pretragu da poalje
isto pitanje drugom DNS serveru. Ako taj drugi DNS server ima odgovor onda on odgovara IP
adresom za zahtevano ime, ali ako ne zna odgovor onda alje nazad uput DNS serverima koji
su njemu poslali pretragu. Ovaj proces se nastavlja dok se ne pronadje nadleni (autoritativni?)
DNS ili dok ne dodje to time-out-a. (???)
1.4.1

Root hints I iterativne pretrage

Ranije je pomenuto da se kada se instalira DNS na Windowsserveru 2012 lista interntet

root server adrese (root hints) instaliraju automatski. Ovi root hintovi ukazuju na DNS najvieg
nivoa na internet. Ovi server imaju informacije o najviim domenskim nivoima kao sto su .com,
.org, .net, .edu, itd. Kada se instalira DNS usluga ova informacija se kopira iz cache.dns fajla
koji je po defoltu lociran u %windir%\system32\dns imeniku.
Root hint server nisu konfigurisani da odovore na rekurzivne pretrage a DNS server
samo alju iterativne pretrage root hintovima. Ovo moe biti malo zbunjujuce nekim ljudima
jer da bi se spreilo da DNS server da alje pretrage root hintovima, opcija rekurziju za ovaj
domen mora biti odabrana. Medjutim, rekurzija na DNS server I rekurzivne pretragu su dve
razliite stvari.
Kada je rekurzija osposobljena na DNS serveru to znai da server moe slati DNS
pretrage svojim konfigurisanim root hintovima ili drugim DNS serverima kada mu je uloga da
alje. Rekurzivne pretrage su zahtevi za razreavanje imena upueni DNS serveru u kojima se
trai od DNS server da da jasan da ili ne odgovor. DNS server ne moe da poalje zahtev za
kontaktiranje drugog DNS servera.

1.5 DNS socket pool and zakljuavanje cache-a

DNSSEC je dizajniran da zatiti pretrage za razreavanje imena DNS klijenata od
falsifikovanih DNS podataka, ukljuujui DNS cache korupciju. Socket pool I zakljuavanje
cache-a su dve napredne opcije za konfiguraciju koji mogu da pomognu da se ojaa bezbednost
DNS-a.
DNS socket pool. Ova opcija omoguava DNS serveru da koristi nasumian source port
od prethodno konfigurisanog dometa kada alje DNS pretrage. Time to se ne koristi isti port
za svaku DNS pretragu, socket pool poboljava zatitu protiv napada koji korumpiraju DNS
cache.
Prikaz ispod pokazuje kako se koristi dnscmd alat da bi se verifikovala I konfigurisala
DNS socket pool veliina.

Zakljuavanje cache-a. Kada je zaljuavanje cache-a osposobljeno DNS server nee

dozvoliti cache zapisima da budu presnimljeni u vremenskom periodu koji odgovara vrednosti
vremena zivota (TTL) na DNS zapisima. Ova odlika titi DNS cache zapise protiv moguih
napada, od strane zlonamernih korisnika na internetu, koji mogu korumpirati DNS cache.
Zakljuavanje cache-a se konfigurie kao procentualna vrednost. Recimo da se cache
locking vrednost podesi na 75, DNS server nee presnimiti cache unos dok ne istekne 75% od

vremena ivota. Po defoltu, cache locking procentualna vrednost je 100 to znai da cached
unosi nee biti presnimljeni za celo trajanje vremena ivota.
Moe se koristiti dnscmd alat da se konfigurie cache locking na DNS server Windows
server a 2012. Videti prikaz ispod.

1.6 Caching-only DNS Server

Bilo da koristite server manader ili Windows PowerShell, DNS server nema konfigurisanu
zonu odmah nakon instalacije. Bez zone ovaj server se jo uvek moe koristiti ali samo kao
caching-only DNS.
Caching-only DNS server nije autoritativni server bilo kog domena. On prima zahtever za
razreenje imena i stvara ili iterativnu pretragu za root hintove na internet ili prosledjuje zahtev
drugom DNS serveru kad je konfugurisan kao prosledilac. Caching-only DNS server memorie
odgovore pre nego to ih poalje nazad DNS klijentu, na taj nain kada stigne zahtev za
razreenje imena istog imena caching-only DNS server iz svoje sopstvene memorije umesto da
stvari jo jednu iterativnu pretragu ili da prosledi zahtev.

1.7 Tipovi DNS zona

Pored forward zona i reverse lookup zona, postoje cetiri razlicitih tipova zona koje
mogu da se konfiguriu na DNS serveru Windows servera 2012.

1.7.1

Primarna zona:

DNS server moe itati i pisati podatke u primarnoj zoni. Ovo je mogue jer DNS
server skladiti originalnu kopiju zone podataka u tekst fajlu ili u aktivnoj bazi podataka
direktorijuma ako je DNS instaliran na kontroleru domena. Ako je korien lokalni fajl, taj fajl
je nazvan istim imenom kao i zona koja koristi .dns nastavak (ime_zone.dns). Ovaj fajl se
automatski uva u %windir%\system32\dns direktorijumu.
Kada se fajl koristi, primarni DNS server je jedini koji ima upisivu kopiju baze
podataka.
DNS server je merodavan za zapise koje dri u primarnoj zoni. To znai da ako DNS
server primi upit za razreavanje imena koji sadri ime domena na primarnoj zoni, DNS server
e odgovoriti sa da ili ne odgovorom. Ovakav DNS server nee proslediti upit za razreavanje
imena bilo kom drugom DNS serveru.
1.7.2

Sekundarna zona:

DNS server moe da ita ali ne i da pie podatke na/u sekundarnoj zoni. Sekundarna
zona je kopija primarne zone koju drugi DNS server hostuje. Informacija u/na sekundarnoj
zoni se dobavlja i aurira preko prenosa zone od drugog servera. Tekstualni podatak koji je
samo za itanje (read-only) se koristi za lokalno skladitenje informacija; sekundarne zone ne
mogu da se skladite u aktivnoj bazi podataka direktorijuma. DNS server je merodavan za
podatke koje dri u sekundarnoj zoni.
1.7.3

Stub zona:

Stub zona je ograniena kopija zone koja se sastoji od sledeih podataka: poetak
pouzdanih (SQA) informacija, podataka servera za imenovanje (NS) i imena podataka hosta
(A). Ovi podaci se koriste za identifikaciju merodavnog DNS servera zone. DNS server koji
dri STUB zonu nije merodavan za tu zonu. Kada ovaj DNS server primi upit za razreavanje
imena, on mora da PITA jednog od merodavnih DNS servera iz STUB zone.
1.7.4

Active Directory Integrated zone:

Ova zona moze da se konfigurie samo na kontroleru domena koji su takodje DNS
serveri. Ovo je primarna zona sa svojim podacima uskladitenim u aktivnoj bazi podataka
direktorijuma. Slika ispod:
10

Postoje nekoliko prednosti korienja ove zone:

Secure dynamic updates: Bezbedonosna dinamika auriranja omoguavaju DNS
klijentima da registruju zapis resursa u DNS bazi podataka automatski. Ovo svojstvo je
dostupno na standardnim primarnim zonama; ali, samo aktivne direktorijumski integrisane
DNS zone mogu da budu konfigurisane za Secure dynamic updates. To znai da moemo da
podesimo ovlaenja na zoni da dozvole samo odobrenim kompjuterima da se registruju u DNS
bazi podataka.
Secure replication topology. Ne postoji potreba za konfigurisanje transfera zone u
aktivnim direktorijumski integrisanim zonama na nain na koji to treba uraditi sa standardnim
primarnim zonama i sekundarnim zonama. Sa aktivnim direktorijumski integrisanim zonama,
Dns podaci se prenose automatski kao deo aktivnih direktorijumskih kopija. Sve ove kopije se
automatski ifriraju.

11

Povecanje elastinosti (Increase resilience). Ne postoji ni jedna taka neuspeha kada

imamo vie kontrolera domena koji dre aktivne direktorijumski integrisane zone. Svaki
kontroler domena ima read/write kopiju DNS zone; ovo omoguava promene i automatsko
auriranje koje se obavlja na bilo kom kontroleru domena da bude ponovljeno preko domena
ili ume koristei snani mehanizam repliciranja aktivnog direktorijuma.
Bezbednosne dozvole (Security pemissions). Kao i bilo koji drugi objekat aktivnog
direktorijuma, moemo poveriti administraciju i primeniti individualne dozvole zonama i
zapisima resursa modifikujui kontrolnu listu pristupa u zoni. Slika ispod predstavalja
podeavanja aktivne direktorijumski integrisane zone:

12

2. Napredne DNS opcije konfigurisanja Windows servera 2012

Windows server 2012 prua napredne opcije konfigurisanja koje omoguavaju da
poboljanje bezbednost i performanse DNS infrastrukture. A to su:

2.1. DNS sigurnosne ekstenzije (DNSSEC).

DNS protokol nema ugradjene mogunosti da osigura proveru autentinosti ili da proveri
integritet DNS informacija koje se razmenjuju izmedju DNS servera ili dostavljaju DNS
klijentima. Ova ranjivost se moe eksploatisati od strane napadaa koje moe oteti aktivnost
razreivaa imena kada korisnici pokuavaju da dodju do web stranice na internetu. Jedna od
svrha napadaa moe biti preuzimanje kontrole procesa i preusmeravanje korisnikog
pretraivaa na scam vebsajtu gde se od korisnika trai da unese line informacije kao to su
korisniko ima, ifra, broj kreditne kartice, raun u banci i sl. DNSSEC koristi

tzv

"infrastruktura javnog kljua" sertifikate sa DNS protokolom kako bi omoguio DNS

serverima da potvrde odgovor DNS-a. Sa DNSSEC-om, administrator moe digitalno upisati
DNS zonu, to je nain da se digitalno potpiu svi zapisi u toj zoni.
Kada se DNS upit izda za zapis resursa u potpisanoj zoni, digitalni potpis se vraa sa
odgovorom da bi validacija mogla biti obavljena. Proces validacije osigurava da podaci nisu
modifikovani i da im DNS razreiva moe "verovati".
DNSSEC zapisi resursa
Novi tipovi zapisa resursa su pridrueni sa DNSSEC. Potpisi koji su generisani nakon
implementacije DNSSEC su sadrani unutar DNS zone kao Potpis zapisa resursa. Kada DNS
server reaguje na upit razreavanja imena jedan ili vie potpisa su vraeni u odgovoru. Javni
kriptografski klju koji je sauvan u DNSKEY zapisu resursa se koristi za proveru potpisa.
DNSKEY zapis je uitan od strane DNS servera u toku procesa validacije. Ako se ne pronadje
poklapajui zapis resursa, to znai da ne postoji potpis zapisa resursa, ali odgovor DNS servera
i dalje mora biti proveren jer se u ovim sluajevima koriste Next Secure zapisi. Validator moe
koristiti Next Secure zapis kao dokaz da ime ne postoji. NSEC3 je bolja alternativa od NSEC
zapisa; oba su podrana od strane Windows servera 2012.

13

2.2. Trust points i name resolution policy tabele

Dve vane komponente DNSSEC implementacije su Trust points i Name resolution policy
tabele.
2.2.1. Trust points
One pruaju nain za deljenje javnog kljua koji se koristi za validaciju RRSIG digitalnog
potpisa zapisa sa ostalim DNS serverima od poverenja. Ako DNS server funkcionie na
kontroleru domena, trust points mogu biti smetene u particiji umskog direktorijuma u
aktivnom direktorijumu usluga domena iz koga mogu biti kopirane na svim DNS serverimakoji
funkcioniu na kontrolerima domena u umi.
2.2.2. Name resolution policy tabele
Izlistava zone ili imenski prostor koji obavlja DNSSEC upite i one koji to ne obavljaju.
Mogue je koristiti ili group policy ili WIndows PowerShell za podeavanje NRPT da trae da
se DNSSEC validacija obavi na odgovorima DNS na oznaenim imenskim prostorima.
Pogledajte sledei izlaz:

Pripisaemo DNS zonu DNSSEC-u za proveru promena izlaza. Ovo su koraci pripisivanja
zona:
1. Otvoriti DNS
menader,
pritisnemo desni
tastererom mia na
DNS zone i
odabrati opciju
DNSSEC Sign
the Zone.

14

2. Na stranici DNS
security
Extensions
(DNSSEC),
kliknuti Next.

3. Na stranici
Signing Options
(opcije
pripisivanja) ,
selektujemo opciju
Use default
settings to sign the
zone, I kliknemo
Next.

4. Na stranici DNS
Security
Extensions
(DNSSEC),
kliknemo Next.

15

5. Na stranici
Signing the
zone, kliknuti
Finish.

Sada
RRSIG,

moemo

videti

DNSKEY

NSEC3 resurse memorije,

sadrane u pripisanoj zoni.

Ponovnim pokretanjem Windows PowerShell-a, potvrdjujemo da je zona digitalno pripisana.

Rezultate moete uporediti sa prethodnim izlazom, pre nego to smo primenili DNSSEC.

16

ZAKLJUAK

DNS (Domain name system) je, u osnovi, sistem koji pretvara imena raunara
(hostnames) u IP adrese. DNS takoe obezbeuje podatke i o serverima elektronske pote na
domenu (MX), poetnom DNS serveru (SOA) i druge. DNS je zasnovan na hijerarhijskom
principu i jedna je od osnovnih komponenti interneta.
Kada u svoj browser ukucate veb adresu http://sr.wikipedia.org/ , va raunar e uz
pomo DNS servera to ime pretvoriti u adresu 208.80.152.2, to je IP adresa raunara na kojem
se nalazi taj sajt.
Ako se rezervie domen velikafirma.com bie potreban jedan sopstveni DNS server koji
je zasluan za sve hostove koji pripadaju tom domenu. Sve informacije koje se odnose na
hostove snimljene su u jednoj datoteci koja u praksi esto nosi naziv "zone-file". Pod zonom
se podrazumeva podruje za koje je na DNS server zasluen. U naem primeru bi to znailo
da

bi

jedan

server

mogao

rukovoditi

zonama

evropa.velikafirma.com

kao

azija.velikafirma.com i svi hostovi bi bili uvedeni u jednoj datoteci. Ipak, u praksi se esto za
svaku zonu koristi poseban DNS server jer to znatno olakava administraciju.
Domain name system security extensions (DNSSEC) je paket ekstenzija koje dodaju
sigurnost DNS protokolu. Ovo omoguava svim zapisima u DNS zoni da budu kriptografski
potpisani i prua origin authority, integritet podataka i overeno poricanje postojanja. DNSSEC
je vaan jer omoguava DNS serverima i razreivaima da "veruju" odgovorima DNS koristei
digitalni potpis za validaciju kako bi osigurali da odgovori koje vraaju nazad nisu
modifikovani na bilo koji nain.

17

LITERATURA

1. https://sr.wikipedia.org/wiki/DNS

2. https://bs.wikipedia.org/wiki/Domain_Name_System

3. http://www.windowsnetworking.com/articlestutorials/netgeneral/windows-server-2012-dns-part1.html

4. http://www.windowsnetworking.com/articlestutorials/netgeneral/windows-server-2012-dns-part2.html

18