مي خواهيم بدانيم كه آپديت و به روزرساني ركوردهاي DNS از چه راه هايي صورت مي گيرد.آيا هر ركوردي مربوط به هر كامپيوتري در شبكه مي تواند به صورت اتوماتيك آپديت شود؟ و هر كسي اجازه ي آپديت ركوردهاي DNS را دارد؟ مسلما اينگونه نيست.Dynamic updates يا همان آپديت پويا ركوردهاي DNS مي تواند به صورت امن(secure) يا نا امن( insecure) صورت بگيرد. يعني فرآِيند آپديت كردن ركوردها به صورت امن،براي اين است كه امنيت ركوردهاي موجود در Zone حفظ شود و مانع از ايجاد هرگونه تغيير توسط افرادي كه صلاحيت ندارند شويم و اگر هركسي از بيرون يا حتي داخل شبكه بتواند به ركوردها دسترسي پيدا كند،امنيت شبكه رسما از بين رفته است. وقتي كه كاربري اين دسترسي را داشته باشد كه بتواند ركوردهاي DNS موجود در Zone را آپديت كند،به راحتي مي تواند ركوردهاي مربوط به يك كاربر يا گروه را ببيند،حذف كند و تغييرات دلخواه را در آن ايجاد كند.اينجاست كه بحث secure dynamic update پيش مي آيد و هركاربري بايد بتواند فقط ركوردهايي را كه مالك آنهاست آپديت كند و قرار نيست هركسي بتواند اين كار را انجام دهد و ركوردهاي ديگران را آپديت كند. Security Dynamic Update فقط براي Zone هايي كه به صورت Active Directory integrated zone (اطلاعات Zone در قالب فايل) تبديل شده اند، فراهم است و بعد از اينكه اين تبديل انجام شد، (Access control list) يا همان ACL ،تمام خصوصيات و قابليتهاي DNS Manager را ويرايش مي كند و ما مي توانيم ركوردها را تغيير دهيم يا حذف كنيم .براي اين كار چندشرط لازم است:
كامپيوتر حتما بايد عضو دامين باشد.
DNSحتما بايد روي Domain controller نصب شود.
فقط آن سيستمي كه مالكيت آن دامين را دارد،ميتواند ركورد موردنظر را آپديت كند.
به صورت پيشفرض :
DNS client ها براي اولين بار در تلاش براي انجام دادن آپديت ها از طريق unsecured (نا امن) هستند زماني كه جوابي نگرفتند اقدام به استفاده از secure update مي كنند.
همچنين ،كلاينتها مي توانند از يك پالسي آپديت پيشفرض كه به آنها اجازه مي دهد بتوانند بر روي ركوردهاي منبع ثبت شده ي قبلي،كه در DNS وجود دارند چيزي بنويسند يا به اصطلاح (overwrite )استفاده كنند.مگراينكه به وسيله ي update security بلاك شده باشند.
بعد از اينكه يك Zone تبديل به Active Directory integrated شد،DNSسرورها ويندوزسرور2008 را براي secure dynamic update only آماده مي بينند.
اگر از standard zone storage (نوعي از Zone است كه زماني كاربرد دارد كه شبكه ي ما اكتيودايركتوري ندارد و work group است) استفاده مي كنيم به صورت پيشفرض براي سرويس DNS server،امكان دايناميك آپديت براي Zone ها وجود ندارد و براي هر دوي Active Directory integrated zoneو standard zone مي توان با تغيير zone،اجازه ي گرفتن تمام آپديت ها را فراهم كرد.
براي انجام فرآيند Allow only secure Dynamic updates ،عضويت در گروه Administrator يا معادل آن،لازم است.
براي صدور اجازه ي only secure update:
كنسول DNS Managerرا باز مي كنيم.
در tree روي zoneكليك راست ميكنيم و properties ميگيريم.
در تب General بررسي مي كنيم كه حتما نوع زون Active Directory integrated باشد. درقسمت Dynamic Updateروي secure only كليك ميكنيم.
نكته اي راجع به تب Zone Transfer (انتقال و Replication اطلاعات Zone ) : به صورت پيشفرض، DNS Serverاجازه ي فرآيند Zone Transfer را فقط براي DNS Serverهاي معتبري كه نام اونها در ليستي كه در تب name serverها ي زون موجود است، فراهم ميكند.يعني DNS server هايي كه ما NS ركوردهاي آنها را به صورت ذخيره در زون داريم و البته ميتوانيم اين تنظيمات را مطابق ميل خودمان عوض كنيم.
مي خواهيم بدانيم كه آپديت و به روزرساني ركوردهاي DNS از چه راه هايي صورت مي گيرد.آيا هر ركوردي مربوط به هر كامپيوتري در شبكه مي تواند به صورت اتوماتيك آپديت شود؟ و هر كسي اجازه ي آپديت ركوردهاي DNS را دارد؟ مسلما اينگونه نيست.Dynamic updates يا همان آپديت پويا ركوردهاي DNS مي تواند به صورت امن(secure) يا نا امن( insecure) صورت بگيرد. يعني فرآِيند آپديت كردن ركوردها به صورت امن،براي اين است كه امنيت ركوردهاي موجود در Zone حفظ شود و مانع از ايجاد هرگونه تغيير توسط افرادي كه صلاحيت ندارند شويم و اگر هركسي از بيرون يا حتي داخل شبكه بتواند به ركوردها دسترسي پيدا كند،امنيت شبكه رسما از بين رفته است. وقتي كه كاربري اين دسترسي را داشته باشد كه بتواند ركوردهاي DNS موجود در Zone را آپديت كند،به راحتي مي تواند ركوردهاي مربوط به يك كاربر يا گروه را ببيند،حذف كند و تغييرات دلخواه را در آن ايجاد كند.اينجاست كه بحث secure dynamic update پيش مي آيد و هركاربري بايد بتواند فقط ركوردهايي را كه مالك آنهاست آپديت كند و قرار نيست هركسي بتواند اين كار را انجام دهد و ركوردهاي ديگران را آپديت كند. Security Dynamic Update فقط براي Zone هايي كه به صورت Active Directory integrated zone (اطلاعات Zone در قالب فايل) تبديل شده اند، فراهم است و بعد از اينكه اين تبديل انجام شد، (Access control list) يا همان ACL ،تمام خصوصيات و قابليتهاي DNS Manager را ويرايش مي كند و ما مي توانيم ركوردها را تغيير دهيم يا حذف كنيم .براي اين كار چندشرط لازم است:
كامپيوتر حتما بايد عضو دامين باشد.
DNSحتما بايد روي Domain controller نصب شود.
فقط آن سيستمي كه مالكيت آن دامين را دارد،ميتواند ركورد موردنظر را آپديت كند.
به صورت پيشفرض :
DNS client ها براي اولين بار در تلاش براي انجام دادن آپديت ها از طريق unsecured (نا امن) هستند زماني كه جوابي نگرفتند اقدام به استفاده از secure update مي كنند.
همچنين ،كلاينتها مي توانند از يك پالسي آپديت پيشفرض كه به آنها اجازه مي دهد بتوانند بر روي ركوردهاي منبع ثبت شده ي قبلي،كه در DNS وجود دارند چيزي بنويسند يا به اصطلاح (overwrite )استفاده كنند.مگراينكه به وسيله ي update security بلاك شده باشند.
بعد از اينكه يك Zone تبديل به Active Directory integrated شد،DNSسرورها ويندوزسرور2008 را براي secure dynamic update only آماده مي بينند.
اگر از standard zone storage (نوعي از Zone است كه زماني كاربرد دارد كه شبكه ي ما اكتيودايركتوري ندارد و work group است) استفاده مي كنيم به صورت پيشفرض براي سرويس DNS server،امكان دايناميك آپديت براي Zone ها وجود ندارد و براي هر دوي Active Directory integrated zoneو standard zone مي توان با تغيير zone،اجازه ي گرفتن تمام آپديت ها را فراهم كرد.
براي انجام فرآيند Allow only secure Dynamic updates ،عضويت در گروه Administrator يا معادل آن،لازم است.
براي صدور اجازه ي only secure update:
كنسول DNS Managerرا باز مي كنيم.
در tree روي zoneكليك راست ميكنيم و properties ميگيريم.
در تب General بررسي مي كنيم كه حتما نوع زون Active Directory integrated باشد. درقسمت Dynamic Updateروي secure only كليك ميكنيم.
نكته اي راجع به تب Zone Transfer (انتقال و Replication اطلاعات Zone ) : به صورت پيشفرض، DNS Serverاجازه ي فرآيند Zone Transfer را فقط براي DNS Serverهاي معتبري كه نام اونها در ليستي كه در تب name serverها ي زون موجود است، فراهم ميكند.يعني DNS server هايي كه ما NS ركوردهاي آنها را به صورت ذخيره در زون داريم و البته ميتوانيم اين تنظيمات را مطابق ميل خودمان عوض كنيم.
معرفي لينوكس ردهت (كلاه قرمز)