"Enter"a basıp içeriğe geçin

DNS Server Kurulumu ve Konfigürasyonu – Bölüm 5

Tarih: 9 Kasım 2017 | Yazar: onurbabur

Last updated on 26 Şubat 2019

DNS Bölgeleri ve Kayıtları Oluşturma ve Yapılandırma

DNS Zone Types (DNS Bölge Tipleri)

Bölgeler DNS kaynak kaydı bilgilerini depolar. Windows Server 2016’daki DNS Sunucusu hizmeti, her biri farklı koşullar için uygun olan birkaç bölge türünü desteklemektedir. Zone tipleri, primary, secondary, stub ve GlobalNames bölgelerini içerir. Zone’ları AD’ye integrated zone veya geleneksel primary veya secondary mimariyi kullanabiliriz.

  • Primary zone
  • Secondary zone
  • Stub Zone
  • Active Directory integrated zone

Allow only secure dynamic updates : Bu seçenek sadece AD integrated zones seçildiğinde kullanılabilir. Yalnızca kimliği doğrulanmış istemciler DNS kayıtlarını güncelleyebilir.

Allow both non-secure and secure dynamic updates : Bu seçenek, herhangi bir clientın DNS güncelleyebileceğini belirtir. Bu seçenek uygun olsa da, herhangi bir istemci DNS bölgesini güncelleştirebileceğinden güvensizdir, DNS sunucusunda depolanan bilgilerin kalitesine güvenen istemcileri potansiyel olarak yönlendirebilir.

Do not allow dynamic updates : Bu seçeneği belirlediğinizde, tüm DNS güncellemeleri manuel olarak yapılmalıdır. Bu seçenek çok güvenlidir, ancak emek ve iş yükü getiren bir konudur.

Bir Active Directory integrated zone, salt okunur bir etki alanı denetleyicisine (RODC) çoğalabilir. Bu yapılandırmayla birlikte göz önünde bulundurulması gereken birkaç nokta, RODC tarafından barındırılan bölge salt okunur ve RODC’nin geleneksel yazılabilir etki alanı denetleyicisinde olduğu gibi bölgeye yönelik güncelleştirmeleri işleyememesidir.  Bir AD integrated zones, RODC’ye kopyalandığında, RODC yönlendirilen tüm zone güncelleştirme trafğını yazılabilir bir DC’ye iletir.

Active Directory’yi ilk kez yüklediğinizde yükleme işlemi, root etki alanıyla ilişkili DNS bölgesinin otomatik olarak bir Active Directory integrated zone olarak yapılandırılmasını sağlar. Bu root etki alanı bölgesi, ormandaki tüm etki alanı denetleyicilerine otomatik olarak çoğaltılır.

Primary and Secondary Zones

Geleneksel DNS uygulamarında tek bir sunucu, tüm zone güncellemelerini işleyen primary zone barındırır ve secondary sunucular topluluğu primary zonedan zone verilerini çoğaltır. Bu modelin dezavantajı, primary sunucu başarısız olursa, primary zone geri yüklenene kadar herhangi bir bölge güncellemesi gerçekleştirilememesidir.

Server 2016 iki tür primary zone’u desteklemektedir. AD integrated zones ve primary zonelar. AD integrated zone yalnızca DC olarak işlev gören bilgisayarlarda barındırılabilir. Bununla birlikte Server 2016 çalıştıran ancak DC olarak işlev göremeyen sunucular, standart primary zonelara ev sahipliği yapabilir. DC olmayan bir bilgisayarda primary zone oluşturduğunuzda, sihirbaz bölge için bir çoğaltma kapsamı belirlememize izin vermez.

Sorgu Türleri

  • Forward lookup : İsimden IP çözümlemesi yapan zone’dur. İsimler ve ilgili IP’leri bu Zone’da yer alır. Oluşturulmuş bir zone adından sub zone’lar bu alanda bulunur.
  • Reverse lookup : IP’den isim çözümlemesi yapılırken sorgu gönderilen DNS zone’u dur.

 

DC’de tüm Zone Türleri

Bir DC’de ki DNS sunucusu hizmeti tüm zone tiplerini destekler. Bu ne demek zone deploy işlemi gerçekleştirirlirken; standart ya da AD integrated primary zone, a stub zone, a reverse lookup zone ya da secondary zone’u seçip yükleyebiliriz.

Secondary zone, primary bölgenin salt okunur bir kopyasıdır. Secondary zonelar güncelleştirmeleri işleyemez ve yalnızca primary zonedan güncelleme alabilirler. Ayrıca secondary zonelar AD integrated zonelarda olamaz ancak AD integrated zonelar primary zone için bir secondary zone yapılandırılabilir. Secondary zone yapılandırmadan önce bu zone’a aktarmaları etkinleştirmek için replike olmasını istediğimiz primary bölgeyi yapılandırmamız gerekmektedir. Bunu Zone Transfer sekmesinden yapabiliriz.  Secondary zones, çoğalttığı ilk bölge sık güncelleme yapmadığından çok iyi çalışır. Primary zone sık sık güncelleniyorsa, secondary zone güncel kayıtları olmayabilir.

Reverse lookup zones (Ters Arama Bölgeleri)

Reverse lookup zones, IP adreslerini FQDN’e çevirir. IPv4 ve IPv6 reverse lookup bölgeleri oluşturabilir ve geriye doğru arama bölgelerini AD integrated zone, primary zone, secondary zone veya stub zone olarak yapılandırabiliriz. Aslında Reverse lookup zone yapılandırmamızı gerektiren az sayıda uygulama vardır. Çoğu kuruluşta, tek bir reverse lookup zone bulunur bu da otomatik olarak AD yüklendiğinde oluşturulur.

Stub zones

Stub zone, hedef zone için yetkili ad sunucusu kayıtlarını depolayan özel bir zone dur. Stub zonelar, hedef bölgenin yetkili DNS sunucusnun adresi düzenli olarak değiştiğinde forwarderslara göre bir avantaja sahiptir. Stub Zonelar, yetkili DNS sunucularının temsil edilen bölgelerdeki kayıtlarını barındırmak için sıklıkla kullanılır. Stub Zone bu şekilde kullanılması, temsilci bölge bilgilerinin güncel olmasını sağlar.

GlobalNames zones

GlobalNames bölgeleri, varolan DNS altyapısını kullanabilen WINS için tek etiketli bir ad çözümlemesi yerini alır. WINS sunucuların olduğu yerde, GlobalNames zones’u devreye alma. Windows Server 2008’in bulunduğu alanlarda GLobalNames zonelar devreye alınabilir.

Aşağıda belirtilen durumlar kuruluşunuzda bulunuyorsa, GlobalNames zonelarını devreye almayı düşünmelisiniz;

  1. Kurumunuz IPv6’ya geçiyor. WINS, IPv6 desteği yoktur ve tek etkietli isim çözümlemeyi desteklemeniz gerekir.
  2. Tek etkietkli ad çözümlemesi, nadir değişen az sayıdaki ana bilgisayarlarla sınırlıdır. GlobalNames bölgeleri manuel olarak güncellenmelidir.

GlobalNames bölgelerindeki girdilerin el ile doldurulması gerekir. GlobalNames bölgesi girdileri, varolan DNS A veya AAAA kayıtlarına yapılan takma ad (CNAME) kayıtlarıdır. Mevcut DNS A ve AAAA kayıtları, bu güncellemelerin GlobalNames bölgesindeki kayıtlara akmasıyla dinamik olarak güncellenebilir.

Bir ormanda bir GlobalNames bölgesi dağıtmak için aşağıdaki adımları gerçekleştirin:

  1. Bir DNS sunucusu olarak yapılandırılan bir etki alanı denetleyicisinde, yeni bir Active Directory ile tümleşik ileri arama bölgesi oluşturun ve Yeni Bölge Sihirbazı’nı kullanarak ormandaki her etki alanı denetleyicisine çoğaltmak üzere yapılandırın.
  2. Bölge Adı sayfasında, bölge adı olarak GlobalNames yazın. Aynı Windows PowerShell komutunu çalıştırarak da aynı görevi gerçekleştirebilirsiniz:

Add-DnsServerPrimaryZone –Name GlobalNames –ReplicationScope Forest

  1. Sonra, ormandaki bir etki alanı denetleyicisinde barındırılan her yetkili DNS sunucusundaki GlobalNames bölgesini etkinleştirin. Bunu yapmak için, aşağıdaki Windows PowerShell komutunu yürütün. (burada DNSServerName DNS barındıran etki alanı denetleyicisinin adıdır)

Set-DnsServerGlobalNameZone –ComputerName DNSServerName –Enable $True

GlobalNames bölgesini doldurmak için GlobalNames bölgesinde, varolan bölgelerdeki A veya AAAA kayıtlarına işaret eden takma ad (CNAME) kayıtları oluşturun.

Resource records / Kaynak Kayıtları

DNS, çok sayıda kaynak kaydını destekler. En temel kaynak kaydı bir FQDN’yi bir IP adresiyle eşleştirir. Daha karmaşık kaynak kayıtları, SMTP sunucuları ve etki alanı denetleyicileri gibi hizmetlerin konumu hakkında bilgi sağlar.

Host Kaydı

Host kayıtları, en yaygın kayıt şekli olup, FQDN’leri IP adreslerine eşlemek için kullanılabilir. İki tür host kaydı vardır: FQDN’leri IPv4 adreslerine eşlemek için kullanılan A kaydı ve FQDN’leri IPv6 adreslerine eşlemek için kullanılan AAAA kaydı. DNS Yöneticisi’nde bölgeyi sağ tıklatıp ardından Yeni Ana Bilgisayar (A veya AAAA) seçeneğini tıklatarak bölgeye yeni bir ana makine kaydı ekleyebilirsiniz. Varsa, uygun ters arama bölgesinde bir işaretçi (PTR) kaydı oluşturma seçeneğiniz de vardır. PTR kaydı A kaydının ters bir versiyonu gibidir. A kaydı, etki alanı adını bir IP adresine eşler. PTR ise IP adresini bir ana makine adına eşler. Bununla birlikte, bu iki kayıt bağımsızdır.

Alias (CNAME)

Bir takma ad veya CNAME kaydı, varolan bir ana makine kaydı olduğunda başka bir ad vermenizi sağlar. İhtiyacınız olan belirli bir kayıt için birçok takma ad oluşturabilirsiniz. Bir bölgede yeni bir takma ad oluşturmak için, DNS Yöneticisi’nde bölgeyi sağ tıklayın ve ardından Yeni Tamam (CNAME) seçeneğini tıklayın. Bir takma ad oluşturduğunuzda takma adı varolan bir ana makine kaydına işaret etmeniz gerekir. Hedef ana bilgisayar kaydına gitmek veya elle girmek için Göz At düğmesini kullanabilirsiniz.

Mail Exchanger | MX Kaydı

Mail exchanger (MX) kayıtları, posta ağ geçitlerini bulmak için kullanılır. Örneğin, bir uzak posta ağ geçidi bir e-posta iletisini kuruluşunuzun DNS bölgesi ile ilişkili bir e-posta adresine iletmek istediğinde, posta ağ geçidinin yerini belirlemek için bir MX araması gerçekleştirir. Belirleme yapıldıktan sonra, uzak posta ağ geçidi yerel ağ geçidine başvurur ve mesajı iletir. MX kayıtları, mevcut ana makine kayıtlarına eşlenmelidir. Bir MX kaydı oluşturmak için bölgeyi DNS Yöneticisi’nde sağ tıklatın, Yeni Posta Eşanjıcısı’nı (MX) tıklatın ve Yeni Kaynak Kaydı iletişim kutusuna bilgi girin. Posta Sunucusu Önceliği alanı, bir bölgede birden fazla MX kaydının bulunmasına izin vermek için kullanılabilir ve genellikle kuruluşların birden fazla posta ağ geçidine sahip olması durumunda kullanılır.

Pointer record | PTR

Pointer (PTR) kayıtları IP adreslerini FQDN’lere bağlamanızı sağlar ve ters arama bölgelerinde barındırılır. Bir ana bilgisayar kaydı oluşturduğunuzda, uygun bir geriye doğru arama bölgesi varsa, PTR kaydı otomatik olarak varsayılan olarak oluşturulur. Bir PTR kaydı oluşturmak için DNS Yöneticisi’nde geriye doğru arama bölgesini sağ tıklatın, Yeni İşaretleyici’yi (PTR) tıklatın ve PTR kayıt bilgilerini Yeni Kaynak Kaydı iletişim kutusuna girin.

Zone aging and scavenging

Aging and scavenging tekniği, birincil DNS bölgesinde eski kaynak kayıtlarının görülme sıklığını azaltmak için geliştirilmiş bir tekniktir. Eski kayıtlar, güncel olmayan veya kullanılmayan, geçerli olmayan kayıtlardır. Kuruluşunuzun taşınabilir bilgisayarlara sahip olduğu, dizüstü bilgisayarlar ve tabletler gibi alanlarla ilişkili bölgeler varsa, bu bölgeler eski kaynak kayıtlarının birikmesine neden olabilir. Bu, aşağıdaki sorunlara neden olabilir:

  • DNS sorguları alakalı sonuçlar yerine eski kayıtları döndürür.
  • Büyük bölgeler, DNS sunucusu performans sorunlarına neden olabilir.
  • Eski kayıtlar, DNS adlarının farklı cihazlara yeniden atanmasını engelleyebilir.

Bu sorunları gidermek için, DNS Sunucusu hizmetini aşağıdakileri yapacak şekilde yapılandırabilirsiniz:

  • Primary zone’lara dinamik olarak eklenen kayıtlardan dolayı. Zone aging and scavenging etkinleştirilmelidir.
  • Yenileme süresinin ötesinde halen bulunan kaynak kayıtlarını temizleyin.

DNS Sunucusu hizmetini yapılandırdıktan sonra, aging and scavengin işlemi otomatik olarak gerçekleşir. DNS Yöneticisi’nde DNS sunucusunu sağ tıklatarak, Scavenge Stale Resource Records’ı seçerek de temizleme işlemini başlatmak da mümkündür. Aşağıda belirtilen powershell komutunu da kullanabiliriz. Örneğin, bir DNS sunucusunun tüm bölgelerinde eski kaynak kaydı temizleme işlemini etkinleştirmek ve Yenileme ve Yenile Aralıklarını 10 gün olarak ayarlamak için;

Set-DnsServerScavenging –ApplyOnAllZones –RefreshInterval 10.0:0:0 –ScavengingInterval 10.0:0:0 –ScavengingState $True

GUI arayüzünden işlemi gerçekleştirmek için;

DNS Manager arayüzünden, DNS sunucusu üzerine sağ tıklanır; Set Aging/Scavenging for All Zones.. seçilir.

Gelen ekranda “Scavenge stale resource records” tiki seçilir ve no-refresh interval – Refresh interval değerleri güncellenir.

No refresh Interval ve Refresh Interval süresinin toplamı kaydın ne zaman silineceğini gösterir.

No-refresh interval: Kayıt DNS üzerinde oluşturulduktan veya yenilendikten sonra no-refresh interval süresinde belirtilen değer kadar gelen yenilenme istekleri DNS tarafından değerlendirilmeyecektir. Yani record time stamp değişmeyecektir. Bu süre, oluşturulma tarihi ile ilk yenilenebilme tarihi arasındaki süredir. Amaç kaydın sürekli yenilenmesini engelleyerek gereksiz replikasyon datası oluşmasını önlemektir.

Refresh interval: No-refresh interval süresi ile kaydın silinebileceği ilk tarih arasındaki süredir. DNS, no-refresh interval süresi sonrasında kayıtı silmek için, minimum refresh interval süresi kadar kaydın yenilemesini bekleyecektir. Bu süre sonunda yenileme isteği gelmez ise kayıt stale olarak nitelendirilecek ve çalışacak ilk scavenge işleminde kayıt silinecektir.

DNS sunucusu üzerinde gerçekleştirilen işlemin aynı şekilde zone’lar üzerinde de gerçekleştirilmesi gerekmektedir. İlgili güncellemeler Zone üzerinde gerçekleştirilip, DNS sunucusu üzerinde yapılmadığı takdirde işlem çalışmayacaktır. Burada yapılan toplu işlem sadece Active Directory Integrated zone’ları etkiler. Primary zone’lar için bu işlemi yapmak istiyorsanız zone’un özelliğinden ilgili seçeneği aktif edilmesi yeterlidir.

Başka bir makale serimizde görüşmek üzere,

Tarih: Windows Server

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir