Transfer zona je kompletan ili delimičan transfer svih podataka u zoni sa primarnog DNS Servera koji hostuje zonu na Sekundarni DNS server koji hostuje Read-only kopiju zone. Kada se dogode određene promene u zonskom fajlu na Primarnom DNS Serveru, tada Primerni DNS Server obaveštava Sekundarni DNS server das u se dogodile promene i da su promene replicirane ka svim Sekundarnim DNS serverima za tu zonu koristeći zonski transfer.
Nakon kompletne lekcije naučićete:
- Da opišete kako DNS zonski transfer funkcioniše
- Da opišete kako rade DNS obaveštavanja
- Da konfigurišete DNS transfere zona
Kako rade DNS transferi zonaPostoje dva tipa DNS zonskih transfera:
Full zone transfer i incremental zone transfer.
Primarni DNS Server je administrativna lokacija za zonu i Master kopija zone. Primarni DNS server ima dve funkcije, sadrži Read-Write kopiju zonske baze podataka i kontroliše promene u zoni.
Sekundarni DNS Server je server koji održava kopiju postajeće DNS zone.
Master Server je DNS Server koji odrađuje transfer promena u zoni ka drugom DNS Serveru.
DNS Zone Transfer je sinhronizacija autoritativnih DNS podataka između DNS servera. DNS Server na kome je konfigurisana sekundarna zona periodično postavlja upite Master DNS Serveru jer želi da sinhronizuje svoj zonski fajl sa zonskim fajlom na DNS Master serveru.
Full zone transfer je standardni tip upita koji podržavaju svi DNS Serveri kojim se ažuriraju i sinhronizuju zonski fajlovi kada je zona promenjena. Kada je DNS upit kreiran koristeći AXFR kao tip upita, kao odgovor odradiće se transfer celog zonskog fajla. AXFR upit je zahtev za kompletan transfer zone.
Incremental zone transfer je alternativni tip upita koji koriste neki DNS Serveri da ažuriraju i sinhronizuju zonske fajlove kada je zona promenjena od poslednjeg ažuriranja. Kada dva DNS Servera podržavaju inkrementalni zonski transfer, serveri mogu da ažuriraju samo inkrementalne promene zapisa (promene u zonskom fajlu od poslednjeg Update-ovanja DNS zona) resursa između svake verzije zone.
Svrha zonskog transfera je da se osigura da oba DNS Servera koji hostuju istu zonu (Primarni i Sekundarni) hostuju identični zonski fajl sa apsolutno identičnim informacijama. Bez zonskog transfera, podaci na primernom server bi bili tačni, ali sekundarni DNS Server ne bi imao ažuriranu kopiju zonskog fajla, ii z tog razloga sekundarni server ne bi mogao da podrži razrešavanje imena za tu zonu.
Proces Transfera Zone: - Sekundarni server za zonu čeka određeni vremenski period (refresh interval). Nakon tog perioda vremena sekundarni DNS Server postavlja upit Master server i traži informacije iz SOA zapisa.
- Master Server za tu zonu odgovara slanjem svog SOA zapisa.
- Sekundarni server za tu zonu proverava serijski broj u SOA zapisu koji je dobio od Master server sa svojim SAO zapisom. Ako je serijski broj u SOA zapisu koji je dobio od Master server drugačiji od serijskog broja SOA zapisa koji sekundarni server poseduje u svojoj kopiji zonskog fajla, tada je baza podataka na sekundarnom server neažurirana. Master server tada šalje AXFR upit u kojem od sekundarnog server zahteva transfer zone. Ako DNS Serveri podržavaju inkrementalni transfer zone (Windows server 2000 & Windows Server 2003), tada Master server šalje IXFR zahtev za transferom zonskog fajla, i u tom transferu šalju se samo podaci koji su promenjeni od poslednjeg ažuriranja koje su odradili Sekundarni i Master server.
- Za kompletan transfer zone, Master server za zonu šalje zonski database fajl ka sekundarnom server, a za inkrementalni zonski transfer, master server šalje samo zonske podatke koji su promenjeni.
Važno: Po defoltu, DNS Serverski servis samo dozvoljava da zonske informacije budu poslate serverima koji se nalaze u listi Name Servera (NS) u zonskom fajlu. Ovo je konfiguracija koja pruža dodatnu sigurnost. Za još viši nivo sigurnosti, ipak, potrebno je selektovati opciju koja dozvoljava transfere zona samo ka određenim IP adresama. Dozvoljavanje zonskog transfera ka svim DNS Serverima može da ugrozi bezbednost DNS podataka i može da omogući da napadač ukrade važne podatke sa DNS Servera.
DNS Notify (obaveštenje)DNS Notify (obaveštenje) je nadogradnja originalne DNS protokol specifikacije koja dozvoljava obaveštenja sekundarnih server kada se dogode promene u zonskim fajlovima na Primernim DNS Serverima.
Notify List, je lista u zoni drugih DNS Servera koji bi trebali da budu obavešteni kada se promene u zoni dogode na Primernom serveru. Notify lista koju održava Master server je sačinjena od IP adresa DNS Servera koji su konfigurisani kao Sekundarni DNS Serveri. Kada su DNS Serveri iz Notify liste obavešteni o promenama koje su se dogodile u zonskom fajlu, oni će inicirati zonski transfer sa drugim DNS Serverom i ažuriraće svoj zonski fajl.
Serveri koji su obevešteni mogu da iniciraju transfer zone da bi dobili sve promene koje su se dogodile na njihovim Master serverima i replikama Update-uju svoje zonske fajlove.
Ovo je bitan napredak kroz vreme, ranije su Sekundarni server bili konfigurisani da u određenom vremenu odrađuju kopiranje zonskih fajlova. Kada koristimo Notify, kopije zonskih fajlove će biti ažurirane kada se dogode neke ne planirane promene u zonama.
DNS Notify može da pomogne u poboljšanju konsistentnosti zonskih podataka kroz Sekundarne servere. Na primer, ako se DNS transferi zonskih fajlova odrađuju u određeno vreme, dve situacije mogu da se dogode:
- Da nema promena koje su se dogodile u DNS zoni.
- Nekoliko minuta prođe pre početka zonskog transfera. Zona može da se promeni ponovo u toku tog perioda tako da ove promene neće biti poslate ka sekundarnom serveru.
Korišćenjem DNS Notify, ažuriranje će se dogoditi svaki put kada se dogodi promena u zoni. Kao dodatak, DNS Serveri koji rade na Windows Server 2003 ili Windows 2000 Server podržavaju inkrementalne transfere, tako da Master server šalje samo podatke koji su promenjeni od poslednjeg ažuriranja ka sekundarnim DNS Serverima.
Proces DNS obaveštavanja (notify):
- Lokalna zona na Primernom server je promenjena.
- Serial Number polje u SOA zapisu je Update-ovano i ukazuje na to da je nova verzija zonskog fajla napisana na disku.
- Primerni server tada šalje Notify poruku ka svim sekundarnim DNS Serverima koji se nalate u Notify listi.
- Svi sekundarni server za zonu koji su primili Notify poruku odgovaraju iniciranjem SOA-type upitom ka Primernom server koji ih je obavestio. Ovaj upiz otpočinje DNS transfer zone.
Kako se konfiguriše DNS transfer zone:
- Otvorimo DNS konzolu.
- Proširimo odgovarajući server, i nakon toga proširimo ili Forward Lookup zone ili Reverse Lookup zone.
- Selektujemo odgovarajuću DNS zonu.
- Na Action meniju, kliknemo Properties.
- Properties dialog boksu za zonski fajl, na Zone Transfers kartici, verifikovati da je selektovano Allow Zone Transfers.
- Potrebno je da selektujemo Only to the following servers.
- U IP address polju, upišemo IP adrese DNS servera ka kojim će se slati zonski podaci, i kliknemo na Add.
- U Properties dialog boksu za DNS zonu, na Zone Transfer kartici, kliknemo na Notify.
- U Notify dialog boksu, kliknemo na opciju Following Servers.
- U IP address polje, upišemo IP adrese DNS servera koji će biti automatski obaveštavani, i kliknemo na OK.
- Na Zone Properties kartici, kliknemo na OK.
- Zatvorimo DNS konzolu.