"Enter"a basıp içeriğe geçin

DNS Server Kurulumu ve Konfigürasyonu – Bölüm 2

Last updated on 26 Şubat 2019

En temel anlamda DNS sunucunun amacının isimleri IP’ye, IP’lerin de isimlere çevirmeye yaradığını belirtmiştik. DNS sunucularda özel kayıtları sorgulayarak, posta sunucularımıza, AD sunucularımı bulabiliriz.

Windows Server bilgisayarların 2 ismi vardır.

  • Host 255 karaktere kadar destekler

  • NetBIOS Names – 15 karakterden oluşmaktadır.

İsim Çözümlemesi Nasıl Gerçekleşir

  • Öncelikle client kendi üzerinde bulunan “hosts” dosyasına ilgili sorguyu yapar,
  • Bilgisayarımızın DNS cache kayıtları kontrol edilir,
  • Sorguyu DNS Sunucusuna gerçekleştirir,

Zone’lar Arası DNS Çözümleme

DNS Forwarding

DNS sunucusu sorguyu çözemezse bir DNS sorgusuna ne olacağını belirlemenizi sağlar. Forwarders, DNS sunucu, yerel DNS bölgesinde bilgisini kullanarak sorguyu çözümleyemediği sürece tüm istekleri başka bir DNS sunucusuna iletmesi için kullanılmaktadır. Çoğu kuruluş, ISP’nin DNS sunucusunu bir forwarder olarak yapılandırır. Bunu yaptığımızda, ISP’nin DNS sunucusu, tüm sorgu işini gerçekleştirir ve sonucu kuruluşunuzun DNS sunucusuna döndürür. Kuruluşunuzun DNS sunucusu daha sonra sorgunun sonucunu, sorguyu başlatan istemciye geri döndürür.

Forwarderları, DNS sunucumuz üzerinden yapılandırabiliriz. DNS Managerı kullanarak, Forwarderları yapılandırabiliriz. DNS Sunucunun özelliklerine girerek, Forwarder sekmesinden ilgili alanı yapılandırarak bunu gerçekleştirebiliriz.

Powershell komutunu kullanarak,

Add-DnsServerForwarder 192.168.1.5

 

Conditional forwarders (Koşullu Yönlendirme, iletme)

Koşullu yönlendiriciler, yalnızca DNS sunucusu tarafından çözülemeyen tüm istekleri iletmek yerine, belirli alanlara giden adres isteklerini isletirler. Yapılandırma işlemleri tamamlandığında, Conditional forwarders, forwarders dan önceliklidir. Conditional Forwarders, Kurumunuzun başka bir kurum ile “güven ilişkisi” kurulduğu vakit yararlıdır.

Powershell aracılığıyla eklenmek istendiğinde,

Add-DnsServerConditionalForwarderZone –MasterServers 192.168.1.5 –Name babur.com –ReplicationScope Forest

DNS Recursion

İsteğe bağlı bir DNS Sunucusu, bir DNS sorgusunu talep eden bir istemci adına çözmek için diğer DNS sunucularını sorduğunda tekrarlama meydana gelir. Bu seçenek seçilirse, DNS Server bir ismi çözümlemek için başka bir DNS servera ilgili sorguyu sormasını engellemiş oluruz. Varsayılan olarak, tüm DNS sunucuları özyinelemeli sorgular gerçekleştirir. Bu ne demek; DNS sunucusuna, DNS sunucusu tarafından barındırılan bir bölgede depolanmayan bir kayıt bulmasını isterse DNS sunucsu gider ve sorgunun sonucunu bulur ve istemciye geri gönderir. Bu seçenek önemli olup, üçüncü taraflar için “Recursion” denial-of-service attack türü altında saldırılacak alanlarda yer almaktadır. Bu da bir DNS sunucusnun yanıt vermemesine neden olup, DNS hizmetimizi yavaşlatacaktır.

Recursion, DNS sunucusunun özelliklerinin, gelişmiş sekmesinde; devre dışı bırakılabilir ve ya ” Set-DNSServerRecursion ” komutunu PowerShell üzerinden kullanabiliriz.

Örneğin; Recursion’un yeniden deneme aralığını 3 saniyeye yapılandırmak için aşağıdaki komutu kullanabiliriz.

Set-DNSServerRecursion -RetryInterval 3 -PassThru

BIND Secondaries

Zoneların Master DNS den Secondary DNS servera hızlı zone transfer formatı kullanılarak iletilmesini sağlar.

Fail on Load If Bad Zone Data

MS Windows Server 2000 hariç, Bundan sonraki sunucu ailesinde, DNS buraya bakar ve ilgili alan işaretliyse, içerisinde yanlış kayıtlar bulunan zoneları kullanmaz.

Enable Round Robin

MS Windows Server 2008 ‘ den sonraki işletim sistemlerinde, DNS sunucular arasnda yük dengeleme işlemini yapmayı sağlar. DNS, kendine gelen sorguları varsayılan olarak kontrol eder ilk gördüğü doğru kaydı istemciye ulaştırır. Bu kutucuk işaretli olduğunda ve aynı cname/host kaydına çok fazla sorgu gelirse, bu seçenek sayesinde DNS kendine gelen fazla sorguları, ortamdaki diğer DNS sunucularına paylaştırır.

Enable Netmask Ordering 

DNS’ in , network kartlarına göre hangi maskları kullanarak istemci tarafına cevap vereceğini belirler. Bu seçenek işaretlendiğinde DNS, kendine gelen TCP/IP paketini alıp çözer ve istemci tarafına istemcinin network’ üne uygun şekilde cevap verir. Netmask sıralaması, DNS sunucusunun, böyle bir kayıt varsa, istekte bulunan istemcinin alt ağında ana makine kaydını döndürmesini sağlar. Örneğin, aşağıdaki ana bilgisayar kayıtlarının 24 bit alt ağ maskeleri kullanan bir ağ üzerinde olduğunu düşünün:

10.10.10.105 wsus.contoso.com
10.10.20.105 wsus.contoso.com
10.10.30.105 wsus.contoso.com

Netmask sıralaması etkinleştirilirse ve IP adresi 10.10.20.50 olan bir istemci wsus.contoso.com’un bir araması gerçekleştirirse, arama her zaman 10.10.20.105 kaydını döndürür çünkü bu kayıt istemci ile aynı alt ağdadır. Netmask sıralaması etkinleştirilmezse, DNS sunucusu kayıtları round robin şeklinde döndürür. İstekte bulunan istemci, ana bilgisayar kayıtlarından herhangi biriyle aynı ağda değilse, DNS sunucusu kayıtları dairesel olarak döndürür. Netmask sıralaması, her şubede bulunabileceğiniz WSUS gibi hizmetler için kullanışlıdır. Netmask sıralamasını kullandığınızda, DNS sunucusu şubedeki istemciyi yerel alt ağdaki bir kaynağa yönlendirir. Netmask sıralaması, Windows Server 2012 DNS sunucularında varsayılan olarak etkindir. DNS sunucusunun gelişmiş özelliklerini görüntüleyerek Netmask Ordering etkin olduğunu doğrulayabilirsiniz.

Secure cache aganist pollution

Güvenli ön bellek tekrarlama anlamına gelir. Burası işaretli değilse, DNS yanlızca kendine son gelen sorguları önbellekte tutar ve cevap olarak istemci tarafına son sorgunun cevabını döndürür.

Enable DNSSEC Validation For Remote Addresses 

Bir DNS sunucusu üzerindeki bölgeler imzalandı ise ve bu seçenek aktif ise, DNS cevap döndürürken, karşı tarafta aynı validation methodunun olup olmadığını sorgular ve cevap verip vermeyeceğine buna göre karar verir. Her iki DNS sunucusunda karşılıklı işaretli ise (zone’ların signured olduğunu varsayarsak) isim çözümleme gerçekleşir.

Name Checking 

İsim çözümlemelerinde kullanılacak uluslararası formatı belirler. UTF-8 her dil için anlaşılır olduğundan varsayılan olarak bu seçilidir. Değiştirilmesi önerilmez.

Load Zone Data on Startup

 From filefrom registry ve from Active Directory and registryolmak üzere üçe ayrılır. Varsayılan olarak from Active Directory and registry seçilidir.

C:\Windows\system32\dns dizini içerisinde yer almaktadır. Active Directory olarak bırakılması tavsiye edilir.

Enable Automatic Scavenging of state records

DNS ‘ in kendi üzerinde bulunan kayıtları ne zaman otomatik olarak değiştireceğinin belirlendiği alandır. Varsayılan olarak seçili değildir. Seçilmesi ve haftalık olarak set edilmesi önerilir.

Root Hints    

DNS’ in kendinde bulamadığı kayıtları sormak için yardım istediği dünya üzerinde bulunan 13 adet ayrı DNS sunucudur.  Söz konusu DNS public ise, burası devre dışıdır.

Monitoring   

Basit ve recursive sorgularının testlerinin yapıldığı bölümdür.

Zone Delegation

Bölge temsilcileri, DNS hiyerarşisinde sonraki alt DNS katmanına işaretçiler olarak işlev görür. Örneğin, Kuruluşunuzun microsoft.com DNS bölgesi mevcut ve sales.microsoft.com DNS bölgesi oluşturmak istiyorsanız, bir bölge temsilcisi yaparak microsoft.com DNS zone’u için DNS sunucularının DNS’i işaret etmesini sağlayabiliriz. Yani DNS’te ki delegation yapısının temel amacı, ortamdaki farklı sitelar, lokasyonlarda bulunan DNS’lerin root DNS olarak kimi tanıyacağını belirlemektir. Şöyle ki, Child domain, en tepede hangi DNS sunucusuna sorgu atacaksa, delegation o sunucuya assign edilir ve böylelikle, ilgili child domain’in root domaini assign etmiş olduğumuz DNS olur.

DNS makale serimizin devamında görüşmek üzere,

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.