Unter Berücksichtigung DNS Server Design

Nicht jeder hat die nötige Erfahrung, um Lösungen zu entwickeln für Infrastruktur-Level-Anwendungen wie DNS (oder für Web und E-Mail, aber das ist ein anderes Thema). Wenn Sie eine Reihe von grundlegenden Richtlinien folgen, obwohl, können Sie eine stabile und skalierbare DNS-Server ohne viel Aufwand haben. Stabilität und Skalierbarkeit sind die beiden Qualitäten, die alle Architekten streben. Natürlich DNS-Server können für die Konfiguration eines Systems jeder Systemadministrator scheinbar hat ihre eigenen Tricks in anderen Möglichkeiten-umgesetzt werden. Denken Sie daran, dass jeder clevere Trick, den Sie bei der Konfiguration eines Systems verwenden ist ein mehr Kopfschmerzen haben Sie, wenn Sie das System später sind zur Fehlerbehebung. Strebt nach Einfachheit und Ihre geistige Gesundheit wird es Ihnen danken.

Halten Sie den Server sicher

Sicherheit ist von größter Bedeutung, wenn Sie einen DNS-Server sind mit der Konfiguration. Sie können denken, dass Sicherheit nur in einem Internet Service Provider (ISP) Einstellung wirklich wichtig ist, eine Webseite Hijacking oder E-Mail-Spoofing zu vermeiden, aber es ist ebenso wichtig, in einer Unternehmensumgebung. DNS-Sicherheit ist sehr wichtig, in einem ISP. Wenn ein Angreifer Zugang zu Ihrem DNS-Server, kann er A-Datensätze auf andere Server verweisen verunstaltet Webseiten enthält, die als Zugang zu den ursprünglichen Web-Server selbst als gut ist und die Seite unleserlich zu werden. Für den Zugriff der Eindringling kann auch verwendet werden, um den MX-Eintrag für eine Domäne zu ändern, was noch schlimmer Folgen hat. Mit dem Hinweis der MX-Eintrag auf einem Mail-Server, den Eindringling Kontrollen und nimmt auch das Eigentum an der Domain durch Änderungen an der Domain-Registrierung einreichen. Beachten Sie, dass diese Unsicherheit nicht so sehr ein Fehler in der DNS-Infrastruktur ist, wie es die Schuld der Domain-Administratoren, die für ihre Domains MAIL-TO als Authentifizierungsmethode verwenden.

DNS-Sicherheit ist ebenso wichtig, in einer Unternehmensumgebung, obwohl es eine subtilere Bedeutung hat. Das Problem in einer Unternehmensumgebung ist die gleiche wie in einem ISP: Ein Eindringling kann DNS-Einträge Punkt auf einem Server ändern er steuert. In diesem Fall kann er wichtige Daten zu stehlen, indem sie Nutzer denken, dass es zu einem realen Server geht, wenn es wirklich auf den Rogue-Server gehen. Denken Sie daran, dass die meisten Angriffe auf Unternehmensnetzwerke kommen aus dem Inneren der Gesellschaft, so DNS-Sicherheit wichtig ist, auch wenn Sie eine Firewall oder gar keine Internetverbindung.

DNS läuft nicht in einem Vakuum. Nicht nur, dass Ihre DNS-Dienst gesichert werden müssen, aber das Betriebssystem Sie verwenden und die physischen Server müssen auch gründlich geprüft und getestet werden. Selbst wenn Sie die DNS-Dienste ordnungsgemäß gesichert sind, ist alles umsonst, wenn ein Netzwerk Eindringling administrativ oder Root-Level-Kontrolle über den Server erlangen können, die DNS-Hosting.

Vielleicht am deutlichsten, sollten Sie physisch sichern den Server in einem Ort, an dem nur autorisierte Benutzer Zugriff haben sollen. Sie sollten auch mit Betriebssystemrichtlinien nicht-administrativen Personal von der Möglichkeit zur Anmeldung auf dem Server beschränken. Überprüfen Sie regelmäßig mit Ihrem Betriebssystem-Anbieter für Software-Updates und Sicherheitswarnungen. Die Sicherheit des Servers, der DNS-Hosting ist "Job # 1" - wenn man es schieben lassen, werden Sie wahrscheinlich es bereuen werde.

Im Notfall

Wenn der DNS-Infrastruktur Planung heraus, müssen Sie immer mindestens zwei DNS-Server zum Zweck der Redundanz zu haben. Wenn ein Server ausfällt, kann der andere noch Kunden dienen. DNS-Server sind in vielen Fällen nicht überflüssig, aber diese Situation ist absolut nicht zu empfehlen. Wenn Sie einen einzelnen DNS-Server verwenden und es fehlschlägt, werden Sie wahrscheinlich die wenig beneidenswerte Aufgabe bekommen von vielen bösen Anrufe zu beantworten.

Sie können DNS-Redundanz auf zwei Arten zur Verfügung stellen:

  • Master / Slave: In der traditionellen Master / Slave-DNS-Beziehung, (ein oder mehrere) DNS-Slave-Server laden Zonendaten vom Master-Server beim Start und in Intervallen in den Autoritäts (SOA) Datensatz für jede Zone festgelegt. Diese Methode der Redundanz hat einen großen Vorteil: Wenn eine Zonendatei geändert wird, werden die Änderungen automatisch an die Slave-Server weitergegeben. Dieser Vorgang geschieht in der Regel, sobald die Änderungen vorgenommen werden, wenn der DNS-Benachrichtigungsfunktion unterstützt wird, und es geschieht nach dem Zeitintervall in der Aufzeichnung SOA Wenn notify nicht unterstützt wird.
    • Die Master / Slave-DNS-Server-Beziehung hat einen Nachteil auch: Wenn der Master nach unten geht, wird der Slave neu gestartet, und die Zonendaten nicht übertragen werden können. Auch, wenn der Master geht nach unten und wird nicht durch die Zeit der DNS wiederhergestellt Datensatz aktuell ist (weil es nicht vom Master-Server aktualisieren kann), ist die Zone nicht mehr erreichbar.
  • Mehrere Master: Wenn Sie mehr besorgt sind mit jederzeit verfügbaren DNS mit anstatt die Bequemlichkeit von einem Master / Slave-Konfiguration zur Verfügung gestellt, können Sie eine Multi-Master-Konfiguration verwenden. Das Konzept ist einfach: Alle DNS-Server Master-Server für jede Zone sind. Der schwierigste Teil mehrere Master-DNS-Server, die kommt, wenn eine Änderung an einer Zonendatei oder der DNS-Konfiguration vorgenommen wird. Die Änderung muss jedem Master-DNS-Server vorgenommen werden und wird nicht automatisch weitergegeben.

Legen Sie nicht alle Eier in einen Korb

Die Lage der DNS-Server ist für eine Reihe von Gründen. (Dieser Abschnitt überlappt leicht mit den vorhergehenden zwei Abschnitten.) Die meisten Umgebungen verwenden zwei DNS-Server - ein Meister und ein Sklave oder zwei Herren, wenn sie nur das Caching sind - obwohl keine Begrenzung für die Anzahl der Server vorhanden ist, kann man haben.

Sie müssen zwei getrennte, aber miteinander verbundene Probleme für den DNS-Server-Standort berücksichtigen:

  • Platzierung in Bezug auf eine Firewall: In den meisten Fällen sind die internen DNS-Server im internen Netz platziert und von außen zugänglichen Server sind in der entmilitarisierten Zone (DMZ) der Firewall platziert, die sicher ist, sondern auch zugänglich aus dem öffentlichen Netz. Wenn Sie nur einen Satz von DNS-Server für die interne und externe DNS haben (obwohl diese Anordnung nicht zu empfehlen ist), sollten Sie sie in der DMZ platzieren und haben interne Benutzer zugreifen, sie aus dem internen Netzwerk, anstatt sie in den internen Netzwerk und öffnen Sie ein Loch in der Firewall für externe DNS-Anfragen.
  • Platzierung auf dem Netzwerksegmente geographisch oder in einer anderen logischen Art und Weise: Sie haben eine Reihe von Gründen, Ihre DNS-Server auf getrennten Netzwerksegmenten und getrennten Standorten -primarily zu platzieren, Redundanz. Wenn ein Netzwerksegment ausfällt, oder sogar eine ganze Stelle verloren, weil eine Katastrophe von einer Art, noch Sie den DNS-Dienst zur Verfügung stellen kann. Darüber hinaus erhöht sich die Leistung für die interne DNS-Server führen kann, wenn Sie Systeme konfigurieren Sie zunächst die lokalen DNS-Server zu verwenden und die Remote-DNS-Server verwenden, wenn der lokale Server nicht verfügbar ist. mindestens einen internen DNS-Server an jedem geografischen Standort zu haben, ist gängige Praxis.

Ähnliche

Menü