آشنایی با DNS – قسمت سوم

Aging و Scavenging

Aging به فرآیندی گفته می شود که در آن با استفاده از Timestamp، طول عمر Resource Record هایی که به صورت Dynamic در DNS اضافه شده اند معین می گردد. Scavenging به فرآیندی گفته می شود که در آن Resource Record هایی که عمر آن ها سپری شده است، حذف می گردند. بدیهی است Scavenging زمانی می تواند عمل کند که Aging عمل می کند. این فرآیند سبب می شود تا Resouce Record ها دارای تعداد مدیریت شده ای باشند زیرا نود هایی که از شبکه خارج شده اند پس از مدتی Resource Record های مربوط به آن ها حذف می شود و حجم داده های DNS Server نیز مدیریت می شود.

برای فعال کردن Aging در یک Zone لازم است ابتدا Aging در سطح سرور و سپس در سطح Zone فعال گردد. برای فعال کردن Aging در سطح سرور، روی سرور مورد نظر در کنسول DNS کلیک راست کنید و گزینه ی Set Agiing/Scavenging For All Zones را بزنید. سپس از Dialog Box باز شده،گزینه ی Scavenge Stale Resource Records را فعال کنید. با آنکه این گزینه Scavenging را برای تمام Zone ها فعال می کند، Zone های Active Directory Intergrated مستثنی هستند. پس از زدن دکمه OK یک Dialog Box دیگر جهت تایید فعال سازی در آن Zone ها نمایش داده می شود.

1

برای فعال کردن Aging و Scavenging در سطح Zone روی Zone مورد نظر کلیک راست کنید در Properties را بزنید. در زبانه general دکمه Aging را بزنید. اکنون با فعال کردن Scavenge Stale Resource Records، این قابلیت در آن Zone فعال می گردد.

Timestamping

همانطور که گفته شد، Aging وابسته به Timestamp هایی است که Resource Record ها با خود در DNS ثبت می کند. Active Directory Intergrated Zone ها، به صورت پیش فرض، حتی در صورتی که Scavenging غیر فعال باشد، Timestamping را برای تمام Resouce Record هایی که Dynamic ثبت شده اند، انجام می دهند. تمام Resource Record هایی که در هر نوع Zone ساخته می شوند دارای Timestamp=0 هستند و Aging در خصوص آن ها کار نمی کند.

Non-refresh interval

بازه زمانی است که در آن، DNS Server روی Timestamp یک Resouce Record معین Update انجام نمی دهد. با استفاده از گزینه از پروسه و ترافیک های غیر ضروری جلوگیری به عمل می آید.

Refresh interval

بازه زمانی پس Non-refresh interval است که در آن، Update ها روی Timestamp پذیرفته می شود اما تا پایان آن عملیات Scavenge برای یک Resource Record معین صورت نمی گیرد.

با تنظیمات پیش فرض هر دو گزینه ۷ روز می باشند بنابراین، حداقل مدت زمانی که یک Resouce Record می تواند Scavenge گردد ۱۴ روز خواهد بود.

انجام Scavenge

این پروسه می تواند دستی و یا خودکار انجام شود. برای انجام خودکار آن، در DNS Server Configuration به زبانه ی Advanced رفته و گزینه Enable Automatic Scavenging for stale Record را فعال کنید. و برای انجام آن به صورت دستی کافی است روی گره Server در کنسول DNS کلیک راست کنید و گزینه ی Scavenge Stale Resouce Record را بزنید. فراموش نکنید، برای انجام Scavenge باید مراحل فعال سازی آن را که پیش تر گفته شد نیز انجام دهید.

2

Netmask Ordering

با استفاده از این متد اگر از یک رکورد A چند رکورد موجود باشد در ابتدایی ترین رکورد، رکوردی به DNS Client داده می شود که در Subnet خودش باشد. این قابلیت به صورت پیش فرض فعال است و جهت ویرایش آن به زبانه Advanced در Server Properties مراجعه کنید.

Round Robin

با استفاده از این متد، بار روی سرور ها توسط DNS Server تقسیم می شود به این صورت که اگر برای یک سرور چند رکورد A موجود باشد، در ابتدایی ترین رکورد، رکوردی به DNS Client داده می شود که به DNS Client قبلی داده نشده است. این قابلیت به صورت پیش فرض فعال است و جهت ویرایش آن به زبانه Advanced در Server Properties مراجعه کنید. توجه داشته باشید، Netmask Ordering بر Round Robin در اولویت است.

Zone Replication

Zone Replication به فرایند همسان سازی اطلاعات دو Active Directory IntegratedZone روی دو سرور متمایز گفته می شود. یک Active Directory Integrated Zone علاون بر ویژگی های منحصر به فردی که یک Microsoft DNS Zone دارد، دارای قابلیت هایی همچون Secure Dynamic Update و قرارگیری Resource Record ها در دایرکتوری و Replicate شدن آن ها به عنوان یک Application Directory Partition به آن Zone اضافه می شود.

به صورت پیش فرض، در زمان نصب Active Directory دو Application Directory Partition به صورت خودکار به نام های DomainDnsZones و ForestDnsZones ایجاد می شود که به ترتیب بین تمام Domain Controller ها در Domain و Forest آن ها Replicate می شود. جهت کسب اطلاعات بیشتر در خصوص Application Directory Partition مراجعه شوند به “Application Directory Partition”

هر دو Application Directory Partition دارای دو Subdomain جدا برای دسترسی هستند. به عنوان مثال برای دامین port80.erfantaheri.com با Forest Root به erfantaheri.com دو Subdomain به صورت DomainDnsZones.port80.erfantaheri.com و ForestDnsZones.erfantaheri.com وجود خواهد داشت. به تصویر زیر توجه فرمایید. در تصویر زیر دارای شرایط Single Domain هستیم به همین دلیل هر دو subdomain در کنار هم قرار دارند.

3

Replication Scope

همانطور که گفته شد، اطلاعات Application Directory مربوط به DNS فقط به دامین کنترلر هایی Replicate می شود که دارای نقش DNS Server باشند. این تنظیم در زمان ایجاد Zone جدید قابل تغییر است. برای ویرایش آن پس از ساخت Zone کافی است روی Zone مورد نظر کلیک راست کنید و گزینه properties را بزنید سپس در زبانه general در قسمت Replication دکمه Change را بزنید. در Dialog Box باز شده، گزینه مطلوب را انتخاب کنید.

این امکان وجود دارد که یک Application Directory Partition را به صورت دستی بسازید و تنظیمات آن را به نحوی انجام دهید که حاوی اطلاعات یک DNS Zone باشد.

4

Zone Transfer

Zone Transfer به پروسه همسان سازی اطلاعات بین دو Primary Zone و Master Zone گفته می شود. اگر DNS Server روی سروری نصب شود که دامین کنترلر نباشد، امکان ساخت Active Directory IntegratedZone وجود ندارد. در این صورت قابلیت Zone Replication برای آن سرور در دسترس نخواهد بود. پروسه Zone Transfer توسط یک Secondary Zone آغاز می گردد و اطلاعات مربوط به Zone را از یک Master Zone می گیرد. Master Zone می تواند یک Primary Zone و یا Secondary  Zone دیگر باشد. همانطور که گفته شد، در برخی از سناریو ها ممکن است به جای Conditional Forwarding از یک Secondary Zone استفاده شود هر چند این مسئله ایده مناسبی نمی باشد. به مثال زیر توجه کنید.

image

Zone Transfer Initiation

هر کدام از  سه عامل زیر می تواند سبب آغاز فرآیند Zone Transfer باشد:

۱) زمانی که یک سرور ثانویه (Secondary Server) فعال می شود.
۲) زمانی که مقدار Refresh Interval از رکورد SOA سپرش شود.
۳) هنگامی که تغییراتی روی Primary Server انجام شود و روی سرور تعیین شده باشد تغییرات را به Secondary Servers اعلام کند.

زمانی Zone Initiation آغاز می شود، Secondary Server یک All Zone Transfer Query به اختصار AXFR یا Incremental Zone Transfer Query به اختصار IXFR از سرور Master می گیرد. طی یک IXFR Query فقط تغییرات منتقل می شوند اما با استفاده از AXFR Query تمام اطلاعات Zone را منتقل می کند. ویندوز سرور ۲۰۰۰ به بعد به صورت پیش فرض از IXFR Query استفاده می کند اما ویندوز NT از IXFR Query پشتیبانی نمی کند.

image

جهت فعال سازی Zone Transfer به Zone Properties رفته و در زبانه Zone Transfer گزینه مطلوب را انتخاب کنید. توجه داشته باشید، گزینه To any server دارای ریسک امنیتی است و اطلاعات DNS Server در این حالت می تواند در اختیار هر DNS Server دیگری قرار گیرد. در صورت انتخاب گزینه only to servers listed in the Name Server tab نیاز به آن دارد که Secondary Server ها دارای رکورد NS پیش از عملیات Zone Transfer باشند.

5

Notification

از آنجایی که عملیات Zone Transfer توسط Secondary Zone آغاز می شود، این امکان وجود ندارد تا در صورت به روز شدن اطلاعات آن ها را مستقیما در اختیار Secondary Zone ها قرار داد. برای این منظور از Notification استفاده می گردد تا در صورت بروز تغییری Secondary Zone ها را باخبر ساخته و آن ها عملیات Zone Transfer را شروع کنند. برای تنظیمات Notification در زبانه Zone Transfer در Zone Properties رفته و دکمه notify را بزنید.

Zone Delegations

مدیریت یک Namespace بزرگ همانند اینترنت کار بسیار بسیار دشواری است. لذا باید مدیریت دامنه ها به اجزایی واگذار شود. هنگامی که مسئولیت یک sub domain در یک DNS namespace به یک شخص سوم واگذار می شود، به این فرآیند Delegation گفته می شود. به عنوان مثال مدیریت DNS در دامنه ی Microsoft.com به Microsoft corporation واگذار شده است و مایکروسافت می تواند خود رکورد ها و namespace مربوط به خود یعنی Microsoft.com را مدیریت کند. به عنوان مثال وظیفه ایجاد subdomainای به نام mydomain.microsoft.com را خود بر عهده می گیرد. توجه داشته باشید، Delegation بر Forwarder در پاسخ Query ها اولویت دارد.

image

Parent Domain دارای دو رکورد از نوع A و NS است که اشاره به سرور مربوط به Child Domain می کند. این رکورد ها هم برای انتقال کنترل حوزه و هم پاسخ به Iterative Queryها ضرورت دارند. به عنوان مثال با توجه به تصویر زیر، یک سرور معتبر برای Domainای که Delegate شده است(example.microsoft.com) همانند ns1.us.example.microsoft.com لازم است. برای این امر دو رکورد در Microsoft.com مورد نیاز است.

۱) یک رکورد NS: به این رکورد که به آن Delegation Record می گوییم، جهت ساختن Delegation و پاسخ به Query کلاینت DNS که توسط آن ns.usa.example.microsoft.com را یک Nameserver معرفی کند.

۲) یک رکورد A: به این رکورد که Glue Record می گوییم، جهت تبدیل نام nameserver در Delegation Record به IP Address آن به کار برده می شود.

Stub Zone

یک Stub Zone در واقع یک کپی از اطلاعات یک Zone است که حاوی اطلاعات پایه در خصوص Zone اصلی است. هدف Stub Zone ها آن است که یک DNS Server بتواند Query های دریافتی برای یک Zone را به طرز موثری Forward کند. مزیت دیگر Stub Zone ها قابلیت Update شدن آن ها از Master Zone است. عملکرد Stub Zone ها مشابه Zone Delegation است با این تمایز که ویژگی های آن سود می بریم. در مثال زیر، یک Parent Domain می تواند لیست به روزی از NS ها در Child Domain خود داشته باشد.

image