DNS viết tắt từ Domain Name System (tạm dịch Hệ thống tên miền) do Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát minh vào năm 1984 cho Internet và là một trong số các chuẩn công nghiệp của các cổng bao gồm cả TCP/IP.
DNS là chìa khóa chủ chốt của nhiều dịch vụ mạng như duyệt Internet, mail server, web server.Có thể nói không có DNS, Internet sẽ mau chóng lụi tàn để bạn có thể hình dung về mức độ quan trọng của DNS.
Trong những ngày đầu tiên của mạng Internet, tất cả các tên máy và địa chỉ IP tương ứng của chúng được lưu giữ trong file hosts.txt và được lưu giữ ở trung tâmthông tin mạng NIC (Network Information Center ) ở Mỹ. Tuy nhiên khi hệ thống Internet phát triển, việc lưu giữ thông tin trong một file không thể đáp ứng nhu cầu phân phối và cập nhật. Do đó hệ thống tên miền DNS đã phát triển dưới dạng các cơ sở dữ liệu phân bố , mỗi cơ sở dữ liệu này sẽ quản lý một phần trong hệ thống tên miền.
Hệ thống tên miền bao gồm một loạt các cơ sở dữ liệu chứa địa chỉ Ip và các tên miền tương ứng của nó.
Hệ thống tên miền giúp cho nó có thể chỉ định tên miền cho các nhóm người sử dụng Internet một cách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng.
12 trang |
Chia sẻ: tuandn | Lượt xem: 2250 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Đồ án Ứng dụng của Linux ở Việt Nam, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Trường TCN KTCN Hùng Vương
Môn học: Project2
Trường TCN Kỹ Thuật Công Nghệ Hùng Vương
Khoa công nghệ thông tin
&
Báo Cáo Đồ Án
ỨNG DỤNG CỦA LINUX Ở VIỆT NAM
GVHD: Nguyễn Hải Triều
NTH: Lê Ngọc Minh Châu
Công Thị Hoàng Dung Nguyễn Ngọc Thiên Trang
Huỳnh Đức Thiên Tường
12/09/2011
DNS VÀ CHIA SITE
Phần 1: DNS
I / Giới thiệu về DNS
DNS là gì?
DNS viết tắt từ Domain Name System (tạm dịch Hệ thống tên miền) do Paul Mockpetris thuộc viện USC’s Information Sciences Institute phát minh vào năm 1984 cho Internet và là một trong số các chuẩn công nghiệp của các cổng bao gồm cả TCP/IP.
DNS là chìa khóa chủ chốt của nhiều dịch vụ mạng như duyệt Internet, mail server, web server...Có thể nói không có DNS, Internet sẽ mau chóng lụi tàn để bạn có thể hình dung về mức độ quan trọng của DNS.
Trong những ngày đầu tiên của mạng Internet, tất cả các tên máy và địa chỉ IP tương ứng của chúng được lưu giữ trong file hosts.txt và được lưu giữ ở trung tâmthông tin mạng NIC (Network Information Center ) ở Mỹ. Tuy nhiên khi hệ thống Internet phát triển, việc lưu giữ thông tin trong một file không thể đáp ứng nhu cầu phân phối và cập nhật. Do đó hệ thống tên miền DNS đã phát triển dưới dạng các cơ sở dữ liệu phân bố , mỗi cơ sở dữ liệu này sẽ quản lý một phần trong hệ thống tên miền.
Hệ thống tên miền bao gồm một loạt các cơ sở dữ liệu chứa địa chỉ Ip và các tên miền tương ứng của nó.
Hệ thống tên miền giúp cho nó có thể chỉ định tên miền cho các nhóm người sử dụng Internet một cách có ý nghĩa, độc lập với mỗi địa điểm của người sử dụng.
Nhiệm vụ của DNS
Chuyển đổi tên miền sang địa chỉ IP và ngược lại từ địa chỉ IP sang tên miền, giúp người dùng sử dụng một tên dễ nhớ và mang tính gợi mở và đồng thời nó giúp cho hệ thống Internet dễ dàng sử dụng. Tên miền là những tên gợi nhớ như Vnexpress.net hay yahoo.com tương ứng với địa chỉ IP giúp cho người sử dụng dễ dàng nhớ hơn.
Phân giải tên Domain
Trong hệ thống có domain, DNS là nơi làm trung gian để giúp client tìm kiếm các service hay các client khác.
II / Cấu trúc của hệ thống tên miền ( DNS )
Hệ thống tên trong DNS được sắp xếp theo mô hình phân cấp và cấu trúc cây logic được gọi là DNS namespace.
Hiện nay hệ thống tên miền được phân thành nhiều cấp:
Gốc ( Domain Root ) : là đỉnh của nhánh cây của tên miền và có thể biểu diễn đơn giản chỉ là dấu chấm “.”
Tên miền cấp một ( Top-level-domain ) : gồm vài ký tự xác định một nước, khu vực hoặc tổ chức. Nó được thể hiện là “.com”, “.edu” …
Tên miền cấp hai ( Second-level-domain ) : rất đa dạng có thể là tên một công ty, một tổ chức hay một cá nhân.
Tên miền cấp nhỏ hơn ( Subdomain ) : chia thêm ra của tên miền cấp hai trở xuống, thường được sử dụng như chi nhánh, phòng ban của một cơ quan hay chủ đề nào đó.
Cách đặt tên miền:
Tên miền sẽ có dạng : Label.label.label….label
Độ dài tối đa của một tên miền là 255 ký tự
Mỗi một label tối đa là 63 ký tự bao gồm cả dấu “.”
Label phải được được bắt đầu bằng chữ số và chỉ được chứa chữ, số,dấu trừ (-)
Phân loại tên miền:
Tên miền mô tả
.com: Các tổ chức, công ty thương mại
.org: Các tổ chức phi lợi nhuận
.net : Các trung tâm hỗ trợ về mạng
.edu: Các tổ chức giáo dục
.gov: Các tổ chức thuộc chính phủ
.mil : Các tổ chức quân sự
.int: Các tổ chức được thành lập bởi các hiệp ước quốc tế
.arts: Những tổ chức liên quan đến nghệ thuật và kiến trúc
.nom: Những địa chỉ cá nhân và gia đình
.rec: Những tổ chức có tính chất giải trí, thể thao
.firm: Những tổ chức kinh doanh, thương mại.
.info: Những dịch vụ liên quan đến thông tin.
.Travel : Tên miền dành cho tổ chức du lịch
.Post : Tên miền dành cho các tổ chức bưu chính
Tên miền quốc gia được qui định bằng hai chữ cái theo tiêu chuẩn ISO-3166
.vn : Việt Nam
.us: Mỹ
.uk : Anh
.jp: Nhật Bản
.ru: Nga
.cn : Trung Quốc …
III / Máy chủ quản lý tên miền
DNS server
Máy chủ quản lý tên miền (dns) theo từng khu vực, theo từng cấp như : một tổ chức, một công ty hay một vùng lãnh thổ.Máy chủ đó chứa thông tin dữ liệu về địa chỉ và tên miền trong khu vực , trong cấp mà nó quản lý dùng để chuyển giữa tên miền và địa chỉ IP đồng thời nó cũng có khả năng hỏi các máy chủ quản lý tên miền khác hoặc cấp cao hơn nó để có thể trả lời được các truy vấn về những tên miền không thuộc quyền quản lý của nó và cũng luôn sẵn sàng trả lời các máy chủ khác về các tên miền mà nó quản lý.
Máy chủ cấp cao nhất là Root Server do tổ chức ICANN quản lý:
Là server quản lý toàn bộ cấu trúc của hệ thống tên miền
Root Server không chứa dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ chuyển quyền (delegate) quản lý xuống cho các server cấp thấp hơn và do đó root server có khả năng định đường đến của một domain tại bất kì đâu trên mạng
Hiện nay trên thế giới có khoảng 13 root server quản lý toàn bộ hệ thống Internet.
Một DNS server có thể nằm bất cứ vị trí nào trên mạng Internet nhưng được cấu hình logic để phân cấp chuyển tên miền cấp thấp hơn xuống cho các DNS server khác nằm bất cứ vị trí nào trên mạng Internet. Nhưng tốt nhất là đặt DNS tại vị trí nào gần với các client để dễ dàng truy vấn đến đồng thời cũng gần với vị trí của DNS server cấp cao hơn trực tiếp quản lý nó.
Phân loại DNS Server :
Primary Server :
Được tạo khi ta add một Primary Zone mới thông qua New Zone Wizard.
Thông tin về tên miền do nó quản lý được lưu trữ tại đây và sau đó có thể được chuyển sang cho các Secondary Server.
Các tên miền do Primary Server quản lý thì được tạo và sửa đổi tai Primary Server và được cập nhật đến các Secondary Server.
Secondary Server :
DNS được khuyến nghị nên sử dụng ít nhất là hai DNS Server để lưu cho mỗi một Zone. Primary DNS Server quản lý các Zone và Secondary Server sử dụng để lưu trữ dự phòng cho Primary Server. Secondary DNS Server được khuyến nghị dùng nhưng không nhất thiết phải có.
Secondary Server được phép quản lý domain nhưng dữ liệu về tên miền (domain), nhưng Secondary Server không tạo ra các bản ghi về tên miền (domain) mà nó lấy về từ Primary Server.
Khi lượng truy vấn Zone tăng cao tại Primary Server thì nó sẽ chuyển bớt tải sang cho Secondary Server .Hoặc khi Primary Server gặp sự cố không hoạt động được thì Secondary Server sẽ hoạt động thay thế cho đến khi Primary Server hoạt động trở lại.
Primary Server thường xuyên thay đổi hoặc thêm vào các Zone mới. Nên DNS Server sử dụng cơ chế cho phép Secondary lấy thông tin từ Primary Server và lưu trữ nó. Có hai giải pháp lấy thông tin về các Zone mới là lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental).
Caching Name Server :
Caching Name Server không có bất kỳ tập tin CSDL nào. Nó có chức năng phân giải tên máy trên những mạng ở xa thông qua những Name Server khác. Nó lưu giữ lại những tên máy đã được phân giải trước đó và được sử dụng lại những thông tin này nhằm mục đích:
Stub Server :
Là DNS Server chỉ chứa danh sách các DNS Server đã được authoritative từ Primary DNS
Sử dụng stub có thể tăng tốc độ phân giải tên vàdễ quản lý
IV/ Cơ chế phân giải tên miền:
Phân giải tên thành IP.
Root name server : Là máy chủ quản lý các name server ở mức top-level domain. Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain)
Đến lượt các name server của top-level domain cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn.
Như vậy ta thấy vai trò rất quan trọng của root name server trong quá trình phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được thì mọi yêu cầu phân giải đều không thực hiện được.
Phân giải IP thành tên máy tính.
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin .rhost hay host.equiv).
Trong không gian tên miền đã nói ở trên dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng.
Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in- addr.arpa. Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP.
Ví dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
V / Một số khái niệm cơ bản
Domain name và zone.
Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ, miền ca bao gồm nhiều miền con như ab.ca, on.ca, qc.ca,... Bạn có thể ủy quyền một số miền con cho những DNS Server khác quản lý. Những miền và miền con mà DNS Server được quyền quản lý gọi là zone. Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con.
Hình sau mô tả sự khác nhau giữa zone và domain.
Các loại Zone
Primary zone : Cho phép đọc và ghi cơ sở dữ liệu, có thể toàn quyền trong việc update dữ liệu Zone.
Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu. Do nó chứa dữ liệu Zone nên cung cấp khả năng resolution cho các máy có yêu cầu. Muốn cập nhật dữ liệu Zone phải đồng bộ với máy chủ Primary.
Stub zone : Dữ liệu của Stub Zone chỉ bao gồm dữ liệu NS Record trên máy chủ Primary Zone mà thôi, với việc chứa dữ liệu NS máy chủ Stub Zone có vai trò chuyển các yêu cầu dữ liệu của một Zone nào đó đến trực tiếp máy chủ có thẩm quyền của Zone đó.
Chú Ý:
Phân biệt giữa sử dụng Stub Zone và Forwarder
Trong Forwarder có thể sử dụng để chuyển các yêu cầu đến một máy chủ có thẩm quyền. Một điều quan trọng của sự khác nhau đó là Stub Zone có khả năng chứa dữ liệu NS của Primary Zone nên có khả năng thông minh trong quá trình cập nhật dữ liệu, địa chỉ của máy chủ NS của Zone đó nên việc chuyển yêu cầu sẽ dễ dàng hơn.
Forwarder: Là nhờ một máy chủ nào đó đi phân giải giùm. Nghĩa là nó không thể tự động cập nhật dữ liệu, nhưng đó cũng là một lợi thế và có thể sử dụng trên Internet. Còn Stub Zone chỉ sử dụng khi trong một domain có nhiều Zone con (delegation zone) và chỉ dành cho một tổ chức khi truy cập vào các dữ liệu của tổ chức đó
Name Server chính là máy chủ chứa dữ liệu Primary Zone
Sự ủy quyền(Delegation).
Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế uỷ quyền (delegation).
Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này.
Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn.
Active Directory-integrated zone.
Sử dụng Active Directory-integrated zone có một số thuận lợi sau:
DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn.
Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS.
Sử dụng secure dynamic update.
Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.
Resource Record (RR).
RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).
SOA(Start of Authority): trong mỗi tập tin CSDL phải có một và chỉ một record SOA, bao gồm các thông tin về domain trên DNS server.
Serial: Áp dụng cho mọi dữ liệu trong zone và là 1 số nguyên. Trong ví dụ, giá trị này bắt đầu từ 1 nhưng thông thường người ta sử dụng theo định dạng thời gian như 1997102301. Định dạng này theo kiều YYYYMMDDNN, trong đó YYYY là năm, MM là tháng, DD là ngày và NN số lần sửa đổi dữ liệu zone trong ngày. Bất kể là theo định dạng nào, luôn luôn phải tăng số này lên mỗi lần sửa đổi dữ liệu zone. Khi máy máy chủ Secondary liên lạc với máy chủ Primary, trước tiên nó sẽ hỏi số serial. Nếu số serial của máy Secondary nhỏ hơn số serial của máy Primary tức là dữ liệu zone trên Secondary đã cũ và sau đó máy Secondary sẽ sao chép dữ liệu mới từ máy Primary thay cho dữ liệu đang có hiện hành.
Refresh: Chỉ ra khoảng thời gian máy chủ Secondary kiểm tra dữ liệu zone trên máy Primary để cập nhật nếu cần. Trong ví dụ trên thì cứ mỗi 3 giờ máy chủ Secondary sẽ liên lạc với máy chủ Primary để cập nhật dữ liệu nếu có. Giá trị này thay đổi tuỳ theo tần suất thay đổi dữ liệu trong zone.
Retry: Nếu máy chủ Secondary không kết nối được với máy chủ Primary theo thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo một chu kỳ thời gian mô tả trong retry. Thông thường giá trị này nhỏ hơn giá trị refresh.
Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết nối được với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá hạn. Một khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả lời mọi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh và giá trị retry.
TTL (Time to live): Giá trị này áp dụng cho mọi record trong zone và được đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là chỉ ra thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời. Việc cache thông tin trả lời giúp giảm lưu lượng truy vấn DNS trên mạng.
NS (Name Server): chứa địa chỉ IP của DNS server cùnng với các thông tin về domain đó.
Record A (Address) - host : phân giải tên máy thành địa chỉ IP (IPv4).
Record CNAME (canonical name) - Alias: cho phép một host có thể có nhiều tên.
SRV (Service): cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers. Các field trong SVR:
Tên dịch vụ service.
Giao thức sử dụng.
Tên miền (domain name).
TTL và class.
Priority.
Weight (hỗ trợ load balancing).
Port của dịch vụ.
Target chỉ định FQDN cho host hỗ trợ dịch vụ.
MX (Mail Exchange):
DNS dùng record MX trong việc chuyển mail trên mạng Internet. Khi nhận được mail, trình chuyển mail (mailer) sẽ dựa vào record MX để quyết định đường đi của mail.
Để tránh việc gửi mail bị lặp lại, record MX có thêm 1 giá trị bổ sung ngoài tên miền của mail exchanger là 1 số thứ tự tham chiếu. Đây là giá trị nguyên không dấu 16-bit (0-65535) chỉ ra thứ tự ưu tiên của các mail exchanger.
PTR (Pointer): Record PTR dùng để ánh xạ địa chỉ IP thành Hostname.
Zone Transfer : Do đề phòng rủi ro khi DNS server không hoạt động hoặc kết nối bị đứt thì nên dùng hơn một DNS server để quản lý môt zone nhằm tránh trục trặc đường truyền. Do vậy ta phải có cơ chế chuyển dữ liệu các zone và đồng bộ giữa các DNS server khác nhau.
WINS: cấu hình máy chủ WINS cho Zone này.
VI / Các thuộc tính của DNS (Window)
Interfaces: Cho phép ta cấu hình những card mạng nào lắng nghe các request
Forwarders: Chuyển các request một domain nào đó tới một máy chủ DNS nào đó
Advanced: Cho phép nâng cao các thuộc tính các tính năng trong DNS Server
Root hints: Cho phép cấu hình gốc của domain, và cần thiết để cho client vào internet
Debug logging: ghi lại các tiến trình để phân tích nếu lỗi xảy ra
Event logging: Các tính huống để ghi lại
Monitoring: Giám sát DNS Server
Security: Bảo mật dữ liệu DNS
Phần 2: Active Directory Child Domain - Active Directory Site
I / Active Directory
Là dịch vụ thư mục quan trọng nhất trong một hệ thống với vai trò quản lý dữ liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác
Dùng quản lý tập trung các tài nguyên mạng và điều khiển các quyền truy cập đến tài nguyên
Tổ chức các tài nguyên dưới dạng các đối tượng. Một đối tượng bao gồm nhiều thuộc tính của đối tượng, các thuộc tính này sẽ lưu trữ tất cả các thông tin mô tả về đối tượng đó
Giúp cho việc nâng cấp từ hệ thống nhỏ lên hệ thống lớn rất dể dàng, từ hệ thống có vài trăm đối tượng có thể dể dàng nâng cấp lên hàng triệu đối tượng
Cung cấp cơ chế tìm kiếm dể dàng thông qua Global Catalog
II / Active Directory Child Domain:
Khi quy mô công ty lớn hơn, số lượng User nhiều hơn, chi nhánh đặt ở nhiều vị trí địa lý khác nhau thì yêu cầu cơ sở dữ liệu Active Directory cũng cần được phân tán với các lý do:
Mỗi chi nhánh cần có các chính sách nhóm ( GPOs) khác nhau, chẳng hạn như chính sách về mật khẩu, về Account Policy.
Giới hạn quyền quản trị của các Admin mỗi chi nhánh
Tối ưu hóa việc đồng bộ dữ liệu Active Directory giữa các máy DC.
Tối ưu việc xác thực của user trong các domain
Child Domain là một domain có cơ sở dữ liệu Active Directory gần như độc lập với domain cha, nó bị ràng buộc với domain cha và forest bởi một số thành phần như: Trust Relation Ship, Operation Master Role…
III / Active Directory Site:
Site là một bộ chứa các liên kết, cung cấp cho việc đồng bộ dữ liệu Active Directory giữa các máy DC nằm ở khác hoặc cùng vị trí địa lý với nhau
Mục đích chia Site Logic:
Tối ưu việc đồng bộ hóa dữ liệu Active Directory giữa các Site dựa trên các Subnet khai báo sẵn.
Giảm thiểu lưu lượng WAN cung cấp cho việc xác thực.