زهرا مرشدی
متخصص شبکه های مایکروسافت

آموزش فعال کردن Secure Dynamic Update در DNS سرور

در مقاله قبلی راجع به مفهوم داینامیک آپدیت در DNS سرورهای مایکروسافت صحبت کردیم و حالا می خواهیم بدانیم که آپدیت و به روزرسانی رکوردهای DNS از چه راه هایی صورت می گیرد.آیا هر رکوردی مربوط به هر کامپیوتری در شبکه می تواند به صورت اتوماتیک آپدیت شود؟ و هر کسی اجازه ی آپدیت رکوردهای DNS را دارد؟ مسلما اینگونه نیست.Dynamic updates یا همان آپدیت پویا رکوردهای DNS می تواند به صورت امن(secure) یا نا امن( insecure) صورت بگیرد.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

یعنی فرآِیند آپدیت کردن رکوردها به صورت امن،برای این است که امنیت رکوردهای موجود در Zone حفظ شود و مانع از ایجاد هرگونه تغییر توسط افرادی که صلاحیت ندارند شویم و اگر هرکسی از بیرون یا حتی داخل شبکه بتواند به رکوردها دسترسی پیدا کند،امنیت شبکه رسما از بین رفته است. وقتی که کاربری این دسترسی را داشته باشد که بتواند رکوردهای DNS موجود در Zone را آپدیت کند،به راحتی می تواند رکوردهای مربوط به یک کاربر یا گروه را ببیند،حذف کند و تغییرات دلخواه را در آن ایجاد کند.

اینجاست که بحث secure dynamic update پیش می آید و هرکاربری باید بتواند فقط رکوردهایی را که مالک آنهاست آپدیت کند و قرار نیست هرکسی بتواند این کار را انجام دهد و رکوردهای دیگران را آپدیت کند. Security Dynamic Update فقط برای Zone هایی که به صورت Active Directory integrated zone (اطلاعات Zone در قالب فایل) تبدیل شده اند، فراهم است و بعد از اینکه این تبدیل انجام شد، (Access control list) یا همان ACL ،تمام خصوصیات و قابلیتهای DNS Manager را ویرایش می کند و ما می توانیم رکوردها را تغییر دهیم یا حذف کنیم .برای این کار چندشرط لازم است:

  • کامپیوتر حتما باید عضو دامین باشد.
  • DNSحتما باید روی Domain controller نصب شود.
  • فقط آن سیستمی که مالکیت آن دامین را دارد،میتواند رکورد موردنظر را آپدیت کند.

به صورت پیشفرض :

  • DNS client ها برای اولین بار در تلاش برای انجام دادن آپدیت ها از طریق unsecured (نا امن) هستند زمانی که جوابی نگرفتند اقدام به استفاده از secure update می کنند.
  • همچنین ،کلاینتها می توانند از یک پالسی آپدیت پیشفرض که به آنها اجازه می دهد بتوانند بر روی رکوردهای منبع ثبت شده ی قبلی،که در DNS وجود دارند چیزی بنویسند یا به اصطلاح (overwrite )استفاده کنند.مگراینکه به وسیله ی update security بلاک شده باشند.
  • بعد از اینکه یک Zone تبدیل به Active Directory integrated شد،DNSسرورها ویندوزسرور2008 را برای secure dynamic update only آماده می بینند.
  • اگر از standard zone storage (نوعی از Zone است که زمانی کاربرد دارد که شبکه ی ما اکتیودایرکتوری ندارد و work group است) استفاده می کنیم به صورت پیشفرض برای سرویس DNS server،امکان داینامیک آپدیت برای Zone ها وجود ندارد و برای هر دوی Active Directory integrated zoneو standard zone می توان با تغییر zone،اجازه ی گرفتن تمام آپدیت ها را فراهم کرد.

برای انجام فرآیند Allow only secure Dynamic updates ،عضویت در گروه Administrator یا معادل آن،لازم است.

برای صدور اجازه ی only secure update

  • کنسول DNS Managerرا باز می کنیم.
  • در tree روی zoneکلیک راست میکنیم و properties میگیریم.
وب سایت توسینسو

در تب General بررسی می کنیم که حتما نوع زون Active Directory integrated باشد. درقسمت Dynamic Updateروی secure only کلیک میکنیم.

وب سایت توسینسو

نکته ای راجع به تب Zone Transfer (انتقال و Replication اطلاعات Zone ) : به صورت پیشفرض، DNS Serverاجازه ی فرآیند Zone Transfer را فقط برای DNS Serverهای معتبری که نام اونها در لیستی که در تب name serverها ی زون موجود است، فراهم میکند.یعنی DNS server هایی که ما NS رکوردهای آنها را به صورت ذخیره در زون داریم و البته میتوانیم این تنظیمات را مطابق میل خودمان عوض کنیم.


زهرا مرشدی
زهرا مرشدی

متخصص شبکه های مایکروسافت

وقتی باختم مسیر را یافتم.راهی جز موفقیت ندارم پس راهی میشوم.

نظرات