我有 3 个实验室服务器,分别称为 lab1、lab2、lab3,
我的 Lab2 是我的 Windows AD、Windows DNS 服务器
最近我没有让所有服务器都保持运行,因为我不需要它们一直运行,所以我在 Lab1 和 Lab3 上安装了 DNS 服务器角色,然后从 Lab2 到 Lab1 和 Lab3 进行了区域传输
挑战
- 我无法在 Lab1 和 Lab3 上添加/编辑条目。
- 我愿意接受拥有一个可以一直保持运行的 DNS 服务器的替代方案。
问候
答案1
DNS 区域是一个或多个域上的名称信息数据库。为了实现容错、负载平衡和解析性能,区域通常托管在多台服务器上,但这有一个主要缺点:如何在每个服务器上一致地维护区域,确保它始终完整、一致且正确?
DNS 生态系统通过以下想法解决了这个问题权威. 原始服务器持有区域是区域Start Of Authority[SOA] 并包含其SOA 记录。这是该区域的“主”副本。
在 Microsoft 域网络上,除域控制器之外的任何 DNS 服务器都会自动设置为辅助服务器,并且如果配置正确,将自动请求区域传输,但除了 MS 行为之外,任何从另一台服务器请求 DNS 区域传输的 DNS 服务器都不会成为该域的权威,并且将识别该区域上 SOA 服务器的权威。
当一切正常运行时,辅助(或第三或 n 元)服务器将定期检查主服务器的 SOA 记录,以查看版本号是否已增加,这表示区域发生了变化,然后将请求另一次区域传输(完全或部分,取决于配置和服务器功能)以获取更改。但需要注意的是,这些更改仅从父级流向后代,并且在正常运行时情况下无法逆转。
因此,所有这些加在一起意味着您无法编辑非 SOA 服务器上的区域。我相信您能看出这对互联网安全有多重要。如果本地 DNS 服务器可以被欺骗而为银行网站提供错误的 IP,那么网络钓鱼就不是什么难事了。公共互联网上的 DNS 必须在全球范围内传播,并且区域存储在数千个不同人员控制的服务器上。