Dns Considérant la conception du serveur

Pas tout le monde a l'expérience nécessaire pour concevoir des solutions pour des applications au niveau des infrastructures, tels que DNS (ou pour le Web et le courrier, mais cela est un autre sujet). Si vous suivez un ensemble de lignes directrices de base, cependant, vous pouvez avoir un serveur DNS stable et évolutive sans trop de tracas. La stabilité et l'évolutivité sont les deux qualités que tous les architectes tendre. Bien sûr, les serveurs DNS peuvent être mises en œuvre dans d'autres façons-tout administrateur de systèmes a apparemment ses propres astuces pour la configuration d'un système. Gardez à l'esprit que chaque astuce vous utilisez dans la configuration d'un système est l'un des maux de tête plus que vous avez lorsque vous dépanner le système plus tard. Tendre à la simplicité, et votre santé mentale vous remerciera.

Garder le serveur sécurisé

La sécurité est primordiale lorsque vous configurez un serveur DNS. Vous pensez peut-être que la sécurité est vraiment important que dans un cadre fournisseur de services Internet (ISP), pour éviter la page Web détournement ou e-mail spoofing, mais il est tout aussi important dans un environnement d'entreprise. La sécurité du DNS est très important dans un FAI. Si l'accès des gains d'intrusion à votre serveur DNS, il peut pointer des enregistrements vers d'autres serveurs contenant des pages Web défigurés, ce qui est aussi bon que l'accès au serveur Web d'origine lui-même et défigurer la page. L'accès de l'intrus peut également être utilisé pour modifier l'enregistrement MX pour un domaine, qui a des conséquences encore pires. En pointant l'enregistrement MX à un serveur de messagerie, les contrôles anti-intrusion et prend même la propriété du domaine en soumettant des modifications au Registre de domaine. Notez que cette insécurité est pas tellement un défaut dans l'infrastructure DNS car il est la faute des administrateurs de domaine qui utilisent le courriel-vers comme une méthode d'authentification pour leurs domaines.

La sécurité du DNS est tout aussi important dans un environnement d'entreprise, même si elle a une importance plus subtile. Le problème dans un environnement d'entreprise est la même que dans un FAI: Un intrus peut modifier les enregistrements DNS pour pointer vers un serveur qu'il contrôle. Dans ce cas, il peut voler des données importantes en faisant les utilisateurs pensent que ça va un serveur réel quand il va vraiment le serveur pirate. Rappelez-vous que la plupart des attaques sur les réseaux d'entreprise viennent de l'intérieur de la société, de sorte que la sécurité du DNS est important, même si vous avez un pare-feu ou même pas de connexion Internet.

DNS ne fonctionne pas dans un vide. Non seulement votre service DNS doivent être fixés, mais le système d'exploitation que vous utilisez et le serveur physique doivent aussi être examinés à fond et testé. Même si vous avez obtenu les services de DNS correctement, tout est pour rien si un intrus de réseau peut prendre le contrôle Administratif- ou au niveau de la racine du serveur qui héberge DNS.

Peut-être la plus évidente, vous devez physiquement sécuriser le serveur dans un endroit où seuls les utilisateurs autorisés peuvent accéder. Vous devriez également restreindre, en utilisant des stratégies système d'exploitation, le personnel non-administrateurs d'être en mesure de se connecter au serveur. Régulièrement vérifier avec votre fournisseur de système d'exploitation pour les mises à jour logicielles et des alertes de sécurité. La sécurité du serveur qui héberge DNS est «Travail # 1" - si vous laissez glisser, vous aurez probablement le regretter.

En cas d'urgence

Lors de la planification de votre infrastructure DNS, vous devez toujours avoir au moins deux serveurs DNS à des fins de redondance. Si un serveur tombe en panne, l'autre peut encore servir les clients. Les serveurs DNS dans de nombreux cas ne sont pas redondants, mais cette situation est absolument pas recommandés. Si vous utilisez un seul serveur DNS et il échoue, vous obtiendrez probablement la tâche peu enviable de répondre à de nombreux appels téléphoniques désagréables.

Vous pouvez fournir une redondance de DNS de deux façons:

• Maître d'esclave: Dans la relation de DNS maître / esclave traditionnelle, (un ou plusieurs) des données de la zone serveurs esclaves DNS de charge du serveur maître au démarrage et à intervalles spécifiés dans le début de l'autorité (SOA) pour chaque zone. Cette méthode de redondance a un énorme avantage: Quand un fichier de zone est modifiée, les modifications sont automatiquement répercutées sur les serveurs esclaves. Ce processus se déroule normalement dès que les modifications sont apportées si la fonction NOTIFY DNS est pris en charge, et ce qui se passe après l'intervalle de temps dans l'enregistrement SOA si notifiez est pas pris en charge.

La relation du serveur DNS maître / esclave présente un inconvénient aussi: Si le maître tombe en panne, l'esclave est redémarré, et les données de la zone ne peut pas être transféré. En outre, si le maître descend et ne sont pas restaurées par le temps l'enregistrement DNS devient fade (parce qu'il ne peut pas mettre à jour à partir du serveur maître), la zone est plus accessible.

• Multiple maître: Si vous êtes concerné plus ayant DNS disponible en tout temps plutôt que d'avoir la commodité fournie par une configuration maître / esclave, vous pouvez utiliser une configuration maître multiple. Ce concept est simple: Tous les serveurs DNS sont les serveurs maîtres pour chaque zone. La partie la plus difficile d'avoir de multiples serveurs DNS maîtres vient quand une modification est apportée à un fichier de zone ou de la configuration DNS. Le changement doit être fait pour chaque serveur DNS maître et est ne se propage pas automatiquement.

Ne pas mettre tous les œufs dans le même panier

L'emplacement des serveurs DNS est important pour un certain nombre de raisons. (Cette section chevauche légèrement avec les deux sections précédentes.) La plupart des environnements utiliser deux serveurs DNS - un maître et un esclave ou deux maîtres si elles sont de cache - même si aucune limite existe sur le nombre de serveurs, vous pouvez avoir.

Vous devez tenir compte de deux questions distinctes mais connexes pour l'emplacement du serveur DNS:

• Placement par rapport à un pare-feu: Dans la plupart des cas, les serveurs DNS internes sont placés sur le réseau interne, et les serveurs accessibles de l'extérieur sont placés dans la zone démilitarisée (DMZ) du pare-feu, qui est sécurisé, mais également accessible depuis le réseau public. Si vous avez seulement un ensemble de serveurs DNS pour les deux DNS interne et externe (bien que cet arrangement est déconseillé), vous devez les placer dans la DMZ et avoir des utilisateurs locaux y accéder depuis le réseau interne plutôt que de les placer dans le réseau interne et ouvrir un trou dans votre pare-feu pour les requêtes DNS externes.

• Placement sur vos segments de réseau géographiquement ou d'une autre manière logique: Vous avez un certain nombre de raisons pour placer vos serveurs DNS sur des segments de réseau distincts et des endroits séparés -principalement, la redondance. Si un segment de réseau tombe en panne, ou même d'une situation entière est perdue à cause d'une catastrophe d'une certaine sorte, vous pouvez toujours fournir le service DNS. En outre, les augmentations de performance pour les serveurs DNS internes peuvent se produire si vous configurez les systèmes d'utiliser le serveur DNS local d'abord et utiliser le serveur DNS distant si le serveur local est en panne. Ayant au moins un serveur DNS interne à chaque emplacement géographique est une pratique courante.