這個國人翻譯過來叫裂腦DNS的東西在很多書中沒有進行深入大讨論,也不會在你參加的教育訓練中有人會結合下面的情況進行實際分析,不過各位在設定DNS轉發時老師可能都會提到.你也會看到一切企業網絡中的内部DNS和外部的DNS會存在兩種不同的名字,甚至他們的字尾都根本搭不上遍.我認為這是使用非常好的安全防護手段,這就像公司(普遍都這麼做)的帳本,肯定都存在着兩本不同的賬目.我現在不想向剛學習的朋友們灌輸一些技術的枝梢末節,這也就對應了老黃blog中提到的可行性方案的條目,也許這依然是那句老話:“隻會安裝的人領子永遠是藍色的”格言.
我身邊發生的事情
我們都知道DNS本身是一個很呆傻的網絡服務體系,如果它發現了一個與自己查找名字相同的區域名稱來比對的區域檔案,那麼這台伺服器就不再向其他網點查找了,這裡面有一個和我身邊的一個使用者有關,他喜歡将自己的主機名稱設定為 “WWW” ,這是因為她叫: 吳菀文 .那麼她抱着筆記本來到你們公司的時候,如果你沒有規劃Split DNS,反而有啟用了DNS自動更新的朋友可要小心,你們公司的内網使用者們将不能通路你們放置在DMZ的Web伺服器了.(假設這個web伺服器叫做www,一般也都這麼叫).
這個故事告訴我們在不同的網絡區域中, 内部DNS和外部的DNS會存在兩種不同的名字.這個故事發生在你身邊機會是:假設你本地DNS伺服器就是vfast.com.cn解析伺服器,而是上端的管理者則為你設定好了一個vfast.com.cn的區域,用于向内釋出web站點.
微軟曾經發生的事情
仔細考慮一下其實上面這種情況還是有可能發生的,因為我覺得80%(有點保守)的以上Active Directory 都在使用了裂腦或者叫分離DNS技術,微軟設計了AD必須從DNS中查找它的資料,至少你必須從DNS中擷取叫做SRV的記錄來實作kerberos 驗證。,這就是說任何能看到你DNS的人都能看到你DC的準确位置,而微軟之前的做法是讓這個區域成為“動态”,而且很多人不限制dns的區域傳輸,那麼保護AD的方法就是讓别有用心地人根本不知道它的存在。這在IDC設計時非常常見,設計者會采用Split DNS技術來把DNS系統劃分為内部和外部兩部分,其中外部DNS系統位于公共服務區,負責IDC正常對外解析工作,如IDC的Web伺服器、IDC使用者的Web伺服器等解析工作全由外部DNS伺服器來完成,一般采用Bind系統假設在unix和linux主機上。而内部DNS系統主要有兩項工作,一是負責解析IDC内部網絡的主機,如目錄伺服器、郵件伺服器等,另一工作是負責當内部要查詢Internet上域名時,其把查詢任務轉發到外部DNS伺服器上,然後由外部DNS伺服器完成查詢任務,傳回結果。由于把DNS系統分内外兩部分,Internet上使用者隻能看到外部DNS系統中的伺服器,而看不見内部的伺服器,而且隻有内外DNS伺服器之間交換DNS查詢資訊,進而保證了系統的安全性。
這一下,我就能回答上次講課時的那個學生的具體問題了,為什麼我們的老師要講兩邊dns的配置,分别在Windows和linux上了。
那麼剩下的就是具體的配置問題了,關于轉發器的配置,你可以到blog上看看其他人的圖文并茂,不過有人會問,這不是把雞蛋放在一個籃子裡了嗎?如果轉發不成功,我們就上不了網了,sorry,不是你想的那樣,随便看一下轉發器設定的那個界面,在他的右下方,你會發現一個轉發逾時的預設配置時間,如果真的過了這個時間,你的DNS Server 回繞道而行的。如果你的網絡确實比較大的話,還是在轉發器裡面多設幾個IP位址吧,這樣會減輕你的轉發器緩存壓力。
斷網以後發生的事情
我們做了很多試驗,也包括安全試驗,因為一些特殊的代碼會造成系統的嘎然,那麼這種練習環境多在vpc或者vm中,并且自己隔離在Internet之外了。過了幾天,我忽然發現在Active Direcotry中配置dns時發現提示及轉發器為灰色,造成用戶端上網時無法進行internet域名解析。這在公司搬家的時候也有可能發生,隻要你新家沒有連到Internet上。此時,你的DNS伺服器傻的吧唧的認為自己是世界上唯一的根了,因為這是DNS體系決定的,它在沒有找到那13個大哥的時候,認為自己可以當大哥了,于是決定自己成立一個“專用”的根。這種情況也會出現在AD和DNS內建的時候,最令人煩悶的是他認為永遠不能和Internet連接配接了。發生最多的情況是在第一種環境下(長期沒有聯網),這不像Linux的name.ca,既然有這種情況也就有解決的辦法,那麼你可以使用 dnscmd /zonedelete . (注意有個空格),如果和AD已經內建了,還得加一個 /dsdel ,然後重新開機dns services 就可以了。當然還有兩種方法,一種是打開正向搜尋區域檔案夾,删除 “ . ”, 如果和AD內建了就更麻煩些,還得先改區域的屬性,唉。最後一種方法是找系統資料庫
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\DNS Server\Zones\.
有錢和沒有錢的事
有錢你可以按照微軟的MSA CDC 分離-分離式 DNS 設計,如果你也是Contoso公司的話,哈哈。沒錢就可以在單台伺服器上啟用Split DNS分離解析服務配置,方法也是很簡單的。
交待一下睡覺前的事
還有很多東西,寫着寫着發現很晚了,大周末不較勁了,而且老婆不讓寫了,讓睡覺,身體健康重要呀。在條件轉發中還有另外一種腦裂工具,當然在防火牆設計中也包含了腦裂DNS的管理,這可以和轉發/輔助設定等多方面結合,確定DNS的安全。有空繼續了。
本文轉自張琦51CTO部落格,原文連結: http://blog.51cto.com/zhangqi/170156如需轉載請自行聯系原作者
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)