Tweet
DNS Zones là gì? Hiểu đúng về vùng DNS trong hệ thống mạng doanh nghiệp
Khi học về DNS, nhiều người mới thường chỉ nghĩ đơn giản rằng DNS là hệ thống “dịch tên miền thành địa chỉ IP”. Điều đó đúng, nhưng chưa đủ. Để DNS hoạt động hiệu quả trong môi trường doanh nghiệp, chúng ta cần hiểu một khái niệm cực kỳ quan trọng: DNS Zone.
DNS Zone là nền tảng để tổ chức, quản lý và phân phối dữ liệu DNS trên các máy chủ DNS. DNS Zone là gì?
DNS Zone (vùng DNS) là một phần của không gian tên DNS (DNS namespace) được lưu trữ và quản lý trên một DNS server.
Hiểu đơn giản:
DNS namespace là toàn bộ cây phân cấp tên miền của DNS trên Internet hoặc trong hệ thống nội bộ.
Ví dụ:
DNS Zone là phần dữ liệu mà một DNS server chịu trách nhiệm quản lý.
Ví dụ DNS server quản lý zone:
training.local
thì server đó sẽ chịu trách nhiệm trả lời các truy vấn liên quan đến:
Forward Lookup Zone
Đây là loại zone phổ biến nhất.
Chức năng:
Chuyển đổi tên thành địa chỉ IP
Ví dụ:
Người dùng gõ:
ping server1.training.local
DNS sẽ tìm bản ghi:
server1.training.local → 192.168.2.10
Forward Lookup Zone chứa nhiều loại bản ghi DNS như:
Ví dụ:
client1.training.local A 192.168.2.45
client2.training.local A 192.168.2.46
client3.training.local A 192.168.2.47
Luồng hoạt động:
Client hỏi:
DNS trả lời:
Đây chính là name resolution.
Reverse Lookup Zone
Reverse Lookup Zone làm điều ngược lại.
Chức năng:
Chuyển đổi địa chỉ IP thành tên host
Ví dụ:
Hệ thống có IP:
192.168.2.46
DNS có thể trả về:
client2.training.local
Loại zone này dùng namespace:
in-addr.arpa
Ví dụ subnet:
192.168.2.0/24
Reverse zone sẽ là:
2.168.192.in-addr.arpa
Bản ghi sử dụng:
PTR record
Ví dụ:
45 PTR client1.training.local
46 PTR client2.training.local
47 PTR client3.training.local
Ứng dụng thực tế:
Ví dụ khi xem log firewall:
Thay vì thấy:
192.168.2.46 connected to server
ta có thể thấy:
client2.training.local connected to server
Dễ đọc hơn rất nhiều.
Primary Zone
Primary Zone là zone chính.
Đây là nơi:
Primary zone là authoritative cho namespace mà nó quản lý.
Ví dụ:
DNS server:
DC01
lưu zone:
training.local
Nếu client hỏi:
server1.training.local
DC01 có thể trả lời trực tiếp vì nó là authoritative server.
Secondary Zone
Secondary Zone là bản sao chỉ đọc (read-only copy) của Primary Zone.
Mục tiêu:
Ví dụ:
Primary:
DC01
Secondary:
DC02
Nếu DC01 gặp sự cố:
DC02 vẫn có thể trả lời truy vấn DNS.
Dữ liệu được đồng bộ bằng:
Zone Transfer
thường dùng:
Secondary zone không cho phép chỉnh sửa trực tiếp.
Stub Zone
Stub Zone là loại zone đặc biệt.
Nó không chứa toàn bộ bản ghi DNS.
Chỉ chứa thông tin tối thiểu để xác định authoritative DNS server của zone đích.
Thường bao gồm:
Mục đích:
Giúp DNS server biết:
Ví dụ:
Mạng có hai domain:
corp.local
branch.local
DNS của corp.local cần biết cách liên hệ authoritative DNS của branch.local.
Thay vì copy toàn bộ zone branch.local, chỉ cần stub zone.
Lợi ích:
Minh họa thực tế
Forward lookup:
client2.training.local → 192.168.2.46
Reverse lookup:
192.168.2.46 → client2.training.local
Đây là hai chiều phân giải tên cực kỳ quan trọng trong vận hành hệ thống.
So sánh nhanh
Forward Zone:
Tên → IP
Reverse Zone:
IP → Tên
Primary Zone:
Zone chính, có thể ghi
Secondary Zone:
Bản sao chỉ đọc
Stub Zone:
Chỉ chứa thông tin định tuyến DNS
Góc nhìn thực chiến cho System Engineer
Trong môi trường Active Directory, DNS là thành phần sống còn.
Domain Controller phụ thuộc DNS cho:
Nếu DNS zone cấu hình sai:
triệu chứng thường gặp:
Cho nên khi học Windows Server / AD DS, hiểu DNS Zone là bắt buộc.
DNS không chỉ là “dịch tên”.
DNS là hệ thống bản đồ của toàn bộ hạ tầng IT.
Khi học về DNS, nhiều người mới thường chỉ nghĩ đơn giản rằng DNS là hệ thống “dịch tên miền thành địa chỉ IP”. Điều đó đúng, nhưng chưa đủ. Để DNS hoạt động hiệu quả trong môi trường doanh nghiệp, chúng ta cần hiểu một khái niệm cực kỳ quan trọng: DNS Zone.
DNS Zone là nền tảng để tổ chức, quản lý và phân phối dữ liệu DNS trên các máy chủ DNS. DNS Zone là gì?
DNS Zone (vùng DNS) là một phần của không gian tên DNS (DNS namespace) được lưu trữ và quản lý trên một DNS server.
Hiểu đơn giản:
DNS namespace là toàn bộ cây phân cấp tên miền của DNS trên Internet hoặc trong hệ thống nội bộ.
Ví dụ:
- company.local
- vnpro.vn
- lab.training.local
DNS Zone là phần dữ liệu mà một DNS server chịu trách nhiệm quản lý.
Ví dụ DNS server quản lý zone:
training.local
thì server đó sẽ chịu trách nhiệm trả lời các truy vấn liên quan đến:
- client1.training.local
- server1.training.local
- dc01.training.local
Forward Lookup Zone
Đây là loại zone phổ biến nhất.
Chức năng:
Chuyển đổi tên thành địa chỉ IP
Ví dụ:
Người dùng gõ:
ping server1.training.local
DNS sẽ tìm bản ghi:
server1.training.local → 192.168.2.10
Forward Lookup Zone chứa nhiều loại bản ghi DNS như:
- A record (IPv4)
- AAAA record (IPv6)
- CNAME
- MX
- SRV
- TXT
- NS
- SOA
Ví dụ:
client1.training.local A 192.168.2.45
client2.training.local A 192.168.2.46
client3.training.local A 192.168.2.47
Luồng hoạt động:
Client hỏi:
"IP của client2 là gì?"
DNS trả lời:
"192.168.2.46"
Đây chính là name resolution.
Reverse Lookup Zone
Reverse Lookup Zone làm điều ngược lại.
Chức năng:
Chuyển đổi địa chỉ IP thành tên host
Ví dụ:
Hệ thống có IP:
192.168.2.46
DNS có thể trả về:
client2.training.local
Loại zone này dùng namespace:
in-addr.arpa
Ví dụ subnet:
192.168.2.0/24
Reverse zone sẽ là:
2.168.192.in-addr.arpa
Bản ghi sử dụng:
PTR record
Ví dụ:
45 PTR client1.training.local
46 PTR client2.training.local
47 PTR client3.training.local
Ứng dụng thực tế:
- Troubleshooting
- Security logging
- Mail server validation
- SIEM correlation
- Packet analysis
Ví dụ khi xem log firewall:
Thay vì thấy:
192.168.2.46 connected to server
ta có thể thấy:
client2.training.local connected to server
Dễ đọc hơn rất nhiều.
Primary Zone
Primary Zone là zone chính.
Đây là nơi:
- chứa dữ liệu gốc
- cho phép chỉnh sửa
- tạo mới resource record
Primary zone là authoritative cho namespace mà nó quản lý.
Ví dụ:
DNS server:
DC01
lưu zone:
training.local
Nếu client hỏi:
server1.training.local
DC01 có thể trả lời trực tiếp vì nó là authoritative server.
Secondary Zone
Secondary Zone là bản sao chỉ đọc (read-only copy) của Primary Zone.
Mục tiêu:
- redundancy
- load distribution
- fault tolerance
Ví dụ:
Primary:
DC01
Secondary:
DC02
Nếu DC01 gặp sự cố:
DC02 vẫn có thể trả lời truy vấn DNS.
Dữ liệu được đồng bộ bằng:
Zone Transfer
thường dùng:
- AXFR (full transfer)
- IXFR (incremental transfer)
Secondary zone không cho phép chỉnh sửa trực tiếp.
Stub Zone
Stub Zone là loại zone đặc biệt.
Nó không chứa toàn bộ bản ghi DNS.
Chỉ chứa thông tin tối thiểu để xác định authoritative DNS server của zone đích.
Thường bao gồm:
- SOA
- NS
- glue A records
Mục đích:
Giúp DNS server biết:
"Muốn hỏi zone này thì nên hỏi DNS server nào"
Ví dụ:
Mạng có hai domain:
corp.local
branch.local
DNS của corp.local cần biết cách liên hệ authoritative DNS của branch.local.
Thay vì copy toàn bộ zone branch.local, chỉ cần stub zone.
Lợi ích:
- ít dữ liệu
- giảm replication
- query nhanh hơn
- tối ưu inter-domain resolution
Minh họa thực tế
Forward lookup:
client2.training.local → 192.168.2.46
Reverse lookup:
192.168.2.46 → client2.training.local
Đây là hai chiều phân giải tên cực kỳ quan trọng trong vận hành hệ thống.
So sánh nhanh
Forward Zone:
Tên → IP
Reverse Zone:
IP → Tên
Primary Zone:
Zone chính, có thể ghi
Secondary Zone:
Bản sao chỉ đọc
Stub Zone:
Chỉ chứa thông tin định tuyến DNS
Góc nhìn thực chiến cho System Engineer
Trong môi trường Active Directory, DNS là thành phần sống còn.
Domain Controller phụ thuộc DNS cho:
- domain join
- user authentication
- locating domain controllers
- locating LDAP services
- Kerberos
- Group Policy
Nếu DNS zone cấu hình sai:
triệu chứng thường gặp:
- không join domain được
- login domain chậm
- GPO không apply
- replication lỗi
- Exchange lỗi
- ứng dụng enterprise hoạt động bất thường
Cho nên khi học Windows Server / AD DS, hiểu DNS Zone là bắt buộc.
DNS không chỉ là “dịch tên”.
DNS là hệ thống bản đồ của toàn bộ hạ tầng IT.
Attached Files