Trasferimento della zona DNS insieme ai privilegi di modifica

0

Ho 3 server di laboratorio chiamati lab1, lab2, lab3,

My Lab2 è il mio Windows AD, Windows DNS Server

Ultimamente non tengo tutti i miei server come non ho bisogno di loro tutto il tempo quindi cosa ho fatto ho installato il ruolo del server DNS su Lab1 e ​​Lab3 e poi ho fatto un trasferimento di zona da Lab2 a Lab1 e ​​Lab3

Sfida

  1. Non riesco ad aggiungere / modificare voci su Lab1 e ​​Lab3.
  2. Sono aperto alle alternative di avere un server DNS che posso tenere sempre attivo.

Saluti

networking  dns 
SeanClt
fonte
1
questo approccio sta chiedendo problemi in molti modi. Per prima cosa dovresti avere una sola zona. Solo uno dei server è StartOfAuthority e da esso viene eseguito il controllo delle versioni di tutte le zone, quindi l'unico posto che è possibile / deve modificare la zona si trova sul server principale (SOA). Gli altri server devono controllare periodicamente il numero di versione del record SOA dei server primari per determinare se la zona è stata modificata e aggiornare la zona dal master. In secondo luogo, questo è solo chiedere problemi di risoluzione del cliente in risposta alle modifiche. Lascia il tuo controller di dominio acceso invece di distribuirlo in così piccola scala.
Frank Thomas
Frank Thomas

Risposte:

1

Le zone DNS sono database di informazioni sui nomi su uno o più domini. Per la tolleranza agli errori, il bilanciamento del carico e le prestazioni di risoluzione, una zona è spesso ospitata su più server, ma presenta un notevole svantaggio: come mantenere la zona in modo coerente su ciascun server che la detiene, assicurando che sia sempre completa, coerente e corretto?

L'ecosistema DNS risolve questo con l'idea di Autorità . Il server originale per contenere una zona è quella zona Start Of Authority [SOA] e contiene il suo Record SOA . Questa è la copia "principale" della Zona.

Sulle reti Microsoft Domain, qualsiasi server DNS diverso dal controller di dominio viene impostato automaticamente come server secondario e, se configurato correttamente, richiede automaticamente un trasferimento di zona, ma a parte il comportamento di MS, qualsiasi server DNS che richiede un trasferimento di zona DNS da un altro server non sarà un'autorità per quel dominio e riconoscerà l'autorità del server SOA su quella zona.

Quando tutto funziona correttamente, un server secondario (o terziario o n-ario) controllerà periodicamente il record SOA dei server master, per verificare se il numero di versione è stato incrementato, indicando una modifica nella zona, quindi richiederà un'altra zona trasferimento (completo o parziale a seconda della configurazione e delle capacità del server) per ottenere le modifiche. È importante notare, tuttavia, che queste modifiche derivano esclusivamente dai genitori e dai discendenti e non possono essere annullate in normali circostanze di runtime.

Quindi, tutto questo insieme significa che non è possibile modificare una zona detenuta su un server che non è la sua SOA. Sono sicuro che puoi vedere quanto sia importante per la sicurezza di Internet. Il phishing sarebbe una cosa banale se un server DNS locale potesse essere ingannato nel distribuire l'IP sbagliato per un sito bancario, ad esempio. I DNS sull'internet pubblico devono essere propagati in tutto il mondo e le zone sono archiviate su server con migliaia di controllo di diverse persone.

Frank Thomas
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.