解析 DNS 主機名稱epaper.gotop.com.tw/PDFSample/ACA020100.pdf · 2014. 6. 10. · 解析dns...
12
3 解析 DNS 主機名稱 本章將介紹如何利用網域名稱系統(Domain Name System,DNS)來解析 DNS 主機名稱(例如 server1.abc.com)的 IP 位址。Active Directory 網域也與 DNS 緊密整合在一起,例如網域成員電腦依賴 DNS 伺服器來找尋網域控制站。 兩台電腦之間在溝通時,傳統上是使用 NetBIOS 電腦名稱,例如當您透過 【按+ R 鍵輸入\\Server1】來與電腦 Server1 溝通時,此處的 Server1 就是 NetBIOS 電腦名稱,透過 NetBIOS 電腦名稱解析 IP 位址的常用方法為廣播 與 WINS 伺服器,這部份的詳細說明請參考電子書附錄 A。 3-1 DNS 概觀 3-2 DNS 伺服器的安裝與用戶端的設定 3-3 DNS 區域的建立 3-4 DNS 區域的進階設定 3-5 動態更新 3-6 「單一標籤名稱」解析 3-7 求助於其他 DNS 伺服器 3-8 檢測 DNS 伺服器 3-9 DNS 的安全防護-DNSSEC 3-10 清除過期記錄
Transcript of 解析 DNS 主機名稱epaper.gotop.com.tw/PDFSample/ACA020100.pdf · 2014. 6. 10. · 解析dns...
3 解析 DNS主機名稱
本章將介紹如何利用網域名稱系統(Domain Name System,DNS)來解析 DNS
主機名稱(例如 server1.abc.com)的 IP 位址。Active Directory 網域也與 DNS
緊密整合在一起,例如網域成員電腦依賴 DNS 伺服器來找尋網域控制站。
兩台電腦之間在溝通時,傳統上是使用 NetBIOS 電腦名稱,例如當您透過 【按+ R 鍵輸入\\Server1】來與電腦 Server1 溝通時,此處的 Server1 就是
NetBIOS 電腦名稱,透過 NetBIOS 電腦名稱解析 IP 位址的常用方法為廣播 與 WINS 伺服器,這部份的詳細說明請參考電子書附錄 A。
3-1 DNS 概觀
3-2 DNS 伺服器的安裝與用戶端的設定
3-3 DNS 區域的建立
3-4 DNS 區域的進階設定
3-5 動態更新
3-6 「單一標籤名稱」解析
3-7 求助於其他 DNS 伺服器
3-8 檢測 DNS 伺服器
3-9 DNS 的安全防護-DNSSEC
3-10 清除過期記錄
Chapter 3 解析 DNS 主機名稱
3-2
3-1 DNS 概觀 當 DNS用戶端要與某台主機溝通時,例如要連接網站 www.sayms.com,該用戶端
會向 DNS伺服器查詢 www.sayms.com的 IP位址,DNS伺服器收到此要求後,會
幫用戶端找尋 www.sayms.com 的 IP 位址。提出查詢要求的 DNS 用戶端被稱為
resolver,而提供資料的 DNS伺服器被稱為 name server(名稱伺服器)。
當用戶端向DNS伺服器提出查詢 IP位址的要求後,DNS伺服器會先從自己的DNS
資料庫內來尋找,若資料庫內沒有所需資料的話,DNS伺服器需求助於其他 DNS
伺服器。以下將詳細說明這些查詢的流程。
DNS 網域名稱空間
整個 DNS架構是一個如圖 3-1-1所示的階層式樹狀結構,這個樹狀結構稱為 DNS
網域名稱空間(DNS domain namespace)。
圖 3-1-1
圖中位於樹狀結構最上層的是 DNS 網域名稱空間的根(root),一般是用句點(.)來
代表根,根內有多台 DNS伺服器,分別由不同機構來負責管理。根之下為最高層
網域(top-level domain),每一個最高層網域內都有數台的 DNS伺服器。最高層網
域用來將組織分類。表 3-1-1為部份的最高層網域名稱。
3-2 DNS 伺服器的安裝與用戶端的設定
3-11
圖 3-2-2
完成安裝後可以透過【點擊伺服器管理員右上方的工具DNS】或【按鍵切換
到開始選單系統管理工具DNS】的途徑來開啟 DNS 主控台與管理 DNS 伺服
器、透過【在 DNS主控台中對著 DNS伺服器按右鍵所有工作】的途徑來執行啟
動/停止/暫停/繼續 DNS伺服器等工作、利用【在 DNS主控台中對著 DNS按右鍵
新增伺服器】的途徑來管理其他 DNS 伺服器。您也可以利用 dnscmd.exe 程式
來管理 DNS伺服器。
DNS 用戶端的設定
以 Windows 8.1 電腦來說:
【按+ X 鍵控制台網路和
網際網路網路和共用中心
點擊乙太網路點擊內容鈕
點擊網際網路通訊協定第 4 版
(TCP/IPv4) 點 擊 內 容 鈕
在圖 3-2-3中的慣用 DNS伺服器
處輸入 DNS伺服器的 IP位址】。
圖 3-2-3
3-3 DNS 區域的建立
3-39
圖 3-3-49
由於區域 mkt.sayms.local 的授權伺服器本身也是位於此區域內(其 FQDN 為
dns3.mkt.sayms.local),因此您必須在圖 3-3-49 中指明其 IP 位址,否則無法得
知其 IP 位址,例如若用戶端要查詢 pc51.mkt.sayms.local 的 IP 位址,此時必須
向授權伺服器 dns3.mkt.sayms.local 查詢,然而需先解析 dns3.mkt.sayms.local的 IP 位址,因此必須向 mkt.sayms.local 的授權伺服器 dns3.mkt.sayms.local查詢,此時又必須解析 dns3.mkt.sayms.local 的 IP 位址…,如此將一直循環不停,
因而無法得知 dns3.mkt.sayms.local 與 pc51.mkt.sayms.local 的 IP 位址。
回到名稱伺服器畫面時按下一步鈕。
出現完成新增委派精靈畫面時按完成鈕。
圖 3-3-50 為完成後的畫面,圖中的 mkt 就是剛才委派的子網域,其內只
有一筆名稱伺服器(NS)的記錄,它記載著 mkt.sayms.local 的授權伺服器
是 dns3.mkt.sayms.local, 當 DNS1 收到查詢 mkt.sayms.local 內的記錄的
要求時,它會向 dns3.mkt.sayms.local 查詢(反覆查詢)。
Chapter 6 Web Farm 與網路負載平衡(NLB)
6-2
6-1 Web Farm 與網路負載平衡概觀 將企業內部多台 IIS網頁伺服器組成 Web Farm後,這些伺服器將同時對使用者來
提供一個不中斷的、可靠的網站服務。當 Web Farm接收到不同使用者的連接網站
要求時,這些要求會被分散的送給 Web Farm中不同網頁伺服器來處理,因此可以
提高網頁存取效率。若 Web Farm之中有網頁伺服器因故無法對使用者提供服務的
話,此時會由其他仍然正常運作的伺服器來繼續對使用者提供服務,因此 Web
Farm具備容錯功能。
Web Farm 的架構
圖 6-1-1 為一般 Web Farm 架構的範例,圖中為了避免單一點故障而影響到 Web
Farm的正常運作,因此每一個關卡,例如防火牆、負載平衡器、IIS網頁伺服器與
資料庫伺服器等都不只一台,以便提供容錯、負載平衡功能:
圖 6-1-1
防火牆:可確保內部電腦與伺服器的安全。
負載平衡器:可將連接網站的要求分散到 Web Farm中不同的網頁伺服器。
前端 Web Farm(IIS網頁伺服器):將多台 IIS網頁伺服器組成 Web Farm來對
使用者提供網頁存取服務。
後端資料庫伺服器:用來儲存網站的設定、網頁或其他資料。
7-2 FTP 站台的基本設定
7-19
圖 7-2-13
檢視目前連線的使用者
您可以如圖 7-2-14所示點擊My FTP Site中間的 FTP目前的工作階段透過前景
圖來檢視目前連接到 FTP 站台的使用者。若要將某個連線強制中斷的話,只要點
選該連線後,再點擊右邊的中斷工作階段即可。
圖 7-2-14
Chapter 7 FTP 伺服器的架設
7-20
一個已沒有任何動作的連線,預設會在 120 秒後被自動中斷,若要變更此預設值
的話:【點擊 My FTP Site 右邊的進階設定…展開連線控制通道逾時】。
透過 IP 位址來限制連線
您可以讓 FTP站台允許或拒絕某台特定電腦、某一群電腦來連接 FTP站台,其設
定途徑為:【如圖 7-2-15所示點擊 My FTP Site中間的 FTP IP位址及網域限制
透過前景圖來設定】,其設定原理與網站類似(見第 4章的說明)。
圖 7-2-15
7-3 實體目錄與虛擬目錄 您可能需要在 FTP 站台的主目錄之下建立多個子資料夾,然後將檔案儲存到主目
錄與這些子資料夾內,這些子資料夾被稱為實體目錄。
您也可以將檔案儲存到其他地點,例如本機電腦其他磁碟機內的資料夾,或是其
他電腦的共用資料夾,然後透過虛擬目錄(virtual directory)來對應到這個資料夾。
Chapter 7 FTP 伺服器的架設
7-30
主目錄,因此無法檢視或修改其他使用者主目錄內的檔案。使用者也無法存取 FTP
站台內的全域虛擬目錄。
我們需要建立目錄名稱與使用者名稱相同的實體或虛擬目錄,此處採用實體目
錄。您需要在 FTP站台主目錄之下建立以下的資料夾結構:
LocalUser\使用者名稱:LocalUser 資料夾是本機使用者專屬的資料夾、使用
者名稱是本機使用者帳戶名稱。請在 LocalUser資料夾之下為每一位需要登入
FTP站台的本機使用者各建立一個專屬子資料夾,資料夾名稱需與使用者帳戶
名稱相同。使用者登入 FTP站台時,會被導向到與其帳戶名稱同名的資料夾。
LocalUser\Public:使用者利用匿名帳戶(anonymous)登入 FTP 站台時,會被
導向到 Public資料夾。
網域名稱\使用者名稱:若使用者是利用 Active Directory網域使用者帳戶來登
入 FTP 站台的話,則請為該網域建立一個專屬資料夾,此資料夾名稱需與
NetBIOS網域名稱相同;然後在此資料夾之下為每一位需要登入 FTP站台的網
域使用者,各建立一個專屬的子資料夾,此資料夾名稱需與使用者帳戶名稱相
同。網域使用者登入 FTP站台時,會被導向到與其帳戶名稱同名的資料夾。
舉例來說,若 FTP 站台的主目錄位於 C:\inetpub\ftproot,而您要讓匿名帳戶
(anonymous)、本機使用者 George與 Mary、網域 SAYMS使用者 Jackie與 Alice
等來登入 FTP站台,且要讓他們都有專屬主目錄的話,則在 FTP站台主目錄之下
的資料夾結構將是如表 7-4-1所示。
表 7-4-1
使用者 資料夾
匿名帳戶 C:\inetpub\ftproot\LocalUser\Public
本機使用者 George C:\inetpub\ftproot\LocalUser\George
本機使用者 Mary C:\inetpub\ftproot\LocalUser\Mary
網域 SAYMS 使用者 Jackie C:\inetpub\ftproot\SAYMS\Jackie
網域 SAYMS 使用者 Alice C:\inetpub\ftproot\SAYMS\Alice
要讓 FTP 站台啟用這種模式的話,請如圖 7-4-6 所示選擇使用者名稱目錄(停用
全域虛擬目錄)後點擊套用。
7-6 防火牆的 FTP 設定
7-45
同理伺服器在建立圖中 3號箭頭的資料通道連線時,也必須在防火牆開放連接
埠號碼 n,其開放方向是伺服器往用戶端。然而此連接埠 n是動態產生,它不
是固定的連接埠號碼,因此難以在防火牆針對這個不固定的連接埠來開放,
此時可以利用以下方法來解決這個問題:
在用戶端改用被動模式來連接伺服器(後述)。
採用功能較強的防火牆,例如 Microsoft ISA Server或 Microsoft Forefront
Threat Management Gateway,它會監視用戶端的 PORT指令,以便得知
用戶端的 IP位址與連接埠號碼,然後自動開放此 IP位址與連接埠。
1. 圖中若伺服器為 Windows Server 2012 R2,則在安裝 FTP 伺服器角色服務
時,它會自動在 Windows 防火牆內開放 FTP 的流量,因此圖中 1 號、2 號 箭頭的連線不會被伺服器的 Windows 防火牆阻擋。
2. 用戶端的 Windows 防火牆也不會阻擋 3 號箭頭的連線,因為它會掃瞄 2 號 箭頭的 PORT 指令,取得其內的連接埠 n 後,自動開放此連接埠。
3. Windows 系統內建的 FTP 用戶端程式 ftp.exe 預設是採用主動模式,但您可
以在連接到 FTP 伺服器後,透過 literal pasv 指令切換到被動模式。Internet
Explorer(與檔案總管)預設是採用被動模式,但是可以透過【按一下 Alt 鍵
工具功能表網際網路選項進階標籤取消勾選使用被動式 FTP (以與 防火牆及 DSL 數據機相容】來將其變更為主動模式。
FTP 被動模式
被動模式又稱為 PASV模式,此時 FTP用戶端與伺服器之間的溝通過程如下所示
(以圖 7-6-2為例):
1. 用戶端建立與伺服器之間的控制通道連線:此時伺服器的 IP 位址為
192.168.8.1、連接埠號碼為標準的 21;用戶端的 IP 位址為 192.168.8.3、
連接埠號碼為動態產生(假設為 m)。
2. 用戶端透過控制通道傳送 PASV 指令給伺服器,表示要利用被動模式來與
伺服器溝通。
Chapter 7 FTP 伺服器的架設
7-46
3. 伺服器將用來接聽用戶端要求的 IP位址與連接埠號碼(假設為 x),透過控制
通道傳給用戶端,此連接埠號碼為動態產生。
4. 用戶端建立與伺服器之間的資料通道連線:此時伺服器的 IP 位址為
192.168.8.1、連接埠號碼為 x;用戶端的 IP位址為 192.168.8.3、連接埠號碼
為動態產生(假設為 n)。
圖 7-6-2
被動模式 FTP over SSL(FTPS)的 Explicit SSL 的控制通道連接埠號碼為 21、 資料通道連接埠號碼為隨機值;Implicit SSL 的控制通道連接埠號碼為 990、資料
通道連接埠號碼為隨機值。
用戶端與伺服器之間被防火牆隔離-被動模式
在被動模式下,若 FTP用戶端與 FTP伺服器之間被防火牆隔離的話:
用戶端在建立圖 7-6-2中 1號箭頭的控制通道連線時,必然會被防火牆阻擋,
除非在防火牆開放連接埠號碼 21,其開放方向是用戶端往伺服器。
同理用戶端在建立圖中 4號箭頭的資料通道連線時,也必然會被防火牆阻擋,
除非在防火牆開放連接埠號碼 x,其開放方向是用戶端往伺服器。然而此連接
埠 x 是動態產生,而系統預設的動態連接埠範圍是位於 49152-65535 之間。
在防火牆開放這麼大一段範圍的連接埠,並不是安全的作法,此時您可以利用
以下方法來解決此問題:
Chapter 10 虛擬私人網路(VPN)
10-22
若 VPN 用戶端目前無法連接網際網路的話,則系統會問您是否要設定網際網路 連線,此時請選擇我稍後再設定網際網路連線。
在圖 10-2-19 中的網際網路位址處輸入 VPN 伺服器外網卡的 IP 位址
192.168.1.200、目的地名稱假設使用預設值。按建立鈕。
圖 10-2-19
點擊圖 10-2-20 右方的 VPN 連線、點擊 連線(C)鈕。
圖 10-2-20
如圖 10-2-21所示輸入連接VPN伺服器的使用者帳戶與密碼後按確定鈕。
Chapter 10 虛擬私人網路(VPN)
10-30
上述限制也是大部分系統管理員所期望的,因為若 VPN 用戶端取消勾選使用遠端
網路的預設閘道的話,則在連上 VPN 伺服器後,其路由表將會是類似圖 10-2-34
所示,圖中除了原來的預設閘道之外,還有一個目的地是內部網路的路徑
(192.168.8.0),因此 VPN 用戶端所有送往內部網路的封包,將會透過此路徑傳送
到 VPN 伺服器,而上網的封包會透過預設閘道(192.168.1.254)來傳送,也就是說
VPN 用戶端能夠同時存取內部網路與網際網路,如此這台 VPN 用戶端電腦可能會
成為駭客攻擊內部網路的跳板,造成安全上的威脅。
圖 10-2-34
VPN 用戶端為何無法上網 – Part 2
若是如圖 10-2-35 所示在 VPN 伺服器內指定靜態 IP 位址範圍,而且其網路識別碼
與內部網路不同,例如圖中網路識別碼為 192.168.3.0,而內部網路的網路識別碼
