Tweet
Triển khai và Quản lý Dịch vụ DNS
Trong hạ tầng CNTT hiện đại, DNS (Domain Name System) là một trong những dịch vụ nền tảng quan trọng nhất. Nếu không có DNS, người dùng sẽ phải nhớ địa chỉ IP thay vì tên miền dễ đọc như google.com hay vnpro.vn. Trong môi trường doanh nghiệp, DNS không chỉ phục vụ phân giải tên mà còn là thành phần sống còn của Active Directory Domain Services (AD DS).
Trong bài học này, chúng ta sẽ đi từ kiến thức nền tảng đến triển khai thực tế dịch vụ DNS trên Windows Server. Tổng quan bài học
Các nội dung chính bao gồm:
1. DNS Components – Các thành phần của DNS
Một hệ thống DNS hoàn chỉnh gồm nhiều thành phần phối hợp với nhau: DNS Server
Máy chủ DNS chịu trách nhiệm lưu trữ cơ sở dữ liệu DNS và trả lời truy vấn phân giải tên.
Ví dụ:
DNS server có thể đóng vai trò:
DNS Client (Resolver)
Đây là máy tính người dùng hoặc server gửi yêu cầu phân giải tên.
Ví dụ:
ping google.com
Máy client sẽ gửi truy vấn DNS để tìm IP của google.com.
DNS Zone
Zone là vùng quản lý dữ liệu DNS.
Ví dụ:
Domain:
vnpro.vn
Có thể chứa:
mail.vnpro.vn
vpn.vnpro.vn
dc01.vnpro.vn
Zone là nơi chứa các bản ghi DNS.
DNS Records
Là các bản ghi ánh xạ tên ↔ thông tin mạng.
Ví dụ:
A Record
www.vnpro.vn → 192.168.1.10
MX Record
mail server của domain
CNAME
ftp.vnpro.vn → fileserver.vnpro.vn
2. DNS Zones là gì?
DNS zone là phần dữ liệu DNS mà một DNS server chịu trách nhiệm quản lý.
Có thể hiểu:
Ví dụ:
Domain:
company.local
Zone:
company.local
Chứa:
dc01.company.local
fileserver.company.local
printer.company.local
Các loại DNS Zone
Primary Zone
Zone chính.
Cho phép đọc/ghi.
Lưu bản sao chính thức của DNS database.
Ví dụ:
company.local
được lưu trên:
DC01
Secondary Zone
Bản sao chỉ đọc.
Dùng cho redundancy.
Dữ liệu lấy từ Primary bằng Zone Transfer.
Ví dụ:
DC02
nhận dữ liệu từ:
DC01
Stub Zone
Không chứa toàn bộ database.
Chỉ chứa:
Dùng để hỗ trợ name resolution giữa các domain.
AD-Integrated Zone
Zone lưu trong Active Directory thay vì file text.
Ưu điểm:
Đây là kiểu phổ biến trong domain enterprise.
3. DNS Records là gì?
Các record phổ biến: A Record
Ánh xạ tên → IPv4
Ví dụ:
server01.vnpro.local → 10.10.10.10
AAAA Record
Tên → IPv6
Ví dụ:
server01 → 2001:db8::10
CNAME
Alias.
Ví dụ:
www → web01
MX
Mail server.
Ví dụ:
vnpro.vn → mail.vnpro.vn
NS
Name Server.
Cho biết DNS server authoritative cho zone.
Ví dụ:
ns1.vnpro.vn
PTR
Reverse lookup.
IP → Name
Ví dụ:
10.10.10.10 → server01
SRV
Cực kỳ quan trọng với Active Directory.
Ví dụ:
AD clients dùng record này để tìm:
Ví dụ:
_ldap._tcp.dc._msdcs.company.local
Nếu record này lỗi → domain join fail.
4. Demo: Cài DNS Role trên Windows Server
GUI:
Server Manager
→ Add Roles and Features
Chọn:
DNS Server
Hoặc PowerShell:
Install-WindowsFeature DNS -IncludeManagementTools
Kiểm tra:
Get-WindowsFeature DNS
5. Quản lý DNS Service
Khởi động / dừng dịch vụ:
Restart-Service DNS
Stop-Service DNS
Start-Service DNS
Kiểm tra trạng thái:
Get-Service DNS
6. Tạo DNS Record
Ví dụ tạo A record:
Add-DnsServerResourceRecordA `
-Name "web01" `
-ZoneName "vnpro.local" `
-IPv4Address "10.10.10.20"
Kiểm tra:
Resolve-DnsName web01.vnpro.local
7. DNS Forwarding
DNS nội bộ thường không tự resolve Internet.
Nó sẽ forward query ra DNS upstream.
Ví dụ:
Forwarder:
8.8.8.8
1.1.1.1
PowerShell:
Add-DnsServerForwarder -IPAddress 8.8.8.8
8. DNS và Active Directory
AD phụ thuộc mạnh vào DNS.
Không phải optional.
Là mandatory.
AD dùng DNS để:
Ví dụ:
Khi join domain:
company.local
Client sẽ query:
_ldap._tcp.dc._msdcs.company.local
Nếu DNS sai:
9. DNS Policies
Windows Server DNS hỗ trợ policy-based behavior.
Ví dụ:
Ứng dụng:
Internal user:
app.company.local → 10.1.1.10
External user:
app.company.local → 203.x.x.x
10. DNSSEC
DNS truyền thống không xác thực dữ liệu.
Có thể bị:
DNSSEC thêm:
Dùng:
Nhưng cần quản lý key lifecycle cẩn thận.
Kết luận
DNS là dịch vụ nền tảng của hầu hết mọi hệ thống enterprise.
Nếu hiểu DNS tốt, bạn sẽ dễ dàng làm việc với:
Một System Engineer giỏi gần như chắc chắn phải rất vững DNS.
Bởi vì khi DNS lỗi…
mọi thứ trông giống như mạng bị hỏng.
Trong hạ tầng CNTT hiện đại, DNS (Domain Name System) là một trong những dịch vụ nền tảng quan trọng nhất. Nếu không có DNS, người dùng sẽ phải nhớ địa chỉ IP thay vì tên miền dễ đọc như google.com hay vnpro.vn. Trong môi trường doanh nghiệp, DNS không chỉ phục vụ phân giải tên mà còn là thành phần sống còn của Active Directory Domain Services (AD DS).
Trong bài học này, chúng ta sẽ đi từ kiến thức nền tảng đến triển khai thực tế dịch vụ DNS trên Windows Server. Tổng quan bài học
Các nội dung chính bao gồm:
- DNS components (Các thành phần của DNS)
- DNS zones là gì?
- DNS records là gì?
- Demo cài đặt và cấu hình DNS role
- Quản lý DNS services
- Tạo DNS records
- Cấu hình DNS zones
- DNS forwarding
- DNS tích hợp với Active Directory Domain Services (AD DS)
- Tổng quan DNS Policies
- Giới thiệu DNSSEC
1. DNS Components – Các thành phần của DNS
Một hệ thống DNS hoàn chỉnh gồm nhiều thành phần phối hợp với nhau: DNS Server
Máy chủ DNS chịu trách nhiệm lưu trữ cơ sở dữ liệu DNS và trả lời truy vấn phân giải tên.
Ví dụ:
- Client hỏi: www.vnpro.vn = ?
- DNS Server trả lời: 103.x.x.x
DNS server có thể đóng vai trò:
- Authoritative DNS Server → nắm thông tin chính thức của zone
- Recursive Resolver → thay mặt client đi truy vấn các DNS khác
DNS Client (Resolver)
Đây là máy tính người dùng hoặc server gửi yêu cầu phân giải tên.
Ví dụ:
ping google.com
Máy client sẽ gửi truy vấn DNS để tìm IP của google.com.
DNS Zone
Zone là vùng quản lý dữ liệu DNS.
Ví dụ:
Domain:
vnpro.vn
Có thể chứa:
mail.vnpro.vn
vpn.vnpro.vn
dc01.vnpro.vn
Zone là nơi chứa các bản ghi DNS.
DNS Records
Là các bản ghi ánh xạ tên ↔ thông tin mạng.
Ví dụ:
A Record
www.vnpro.vn → 192.168.1.10
MX Record
mail server của domain
CNAME
ftp.vnpro.vn → fileserver.vnpro.vn
2. DNS Zones là gì?
DNS zone là phần dữ liệu DNS mà một DNS server chịu trách nhiệm quản lý.
Có thể hiểu:
- Domain là namespace logic
- Zone là database thực tế
Ví dụ:
Domain:
company.local
Zone:
company.local
Chứa:
dc01.company.local
fileserver.company.local
printer.company.local
Các loại DNS Zone
Primary Zone
Zone chính.
Cho phép đọc/ghi.
Lưu bản sao chính thức của DNS database.
Ví dụ:
company.local
được lưu trên:
DC01
Secondary Zone
Bản sao chỉ đọc.
Dùng cho redundancy.
Dữ liệu lấy từ Primary bằng Zone Transfer.
Ví dụ:
DC02
nhận dữ liệu từ:
DC01
Stub Zone
Không chứa toàn bộ database.
Chỉ chứa:
- SOA
- NS
- glue A records
Dùng để hỗ trợ name resolution giữa các domain.
AD-Integrated Zone
Zone lưu trong Active Directory thay vì file text.
Ưu điểm:
- Multi-master replication
- Secure dynamic update
- Không cần zone transfer kiểu truyền thống
Đây là kiểu phổ biến trong domain enterprise.
3. DNS Records là gì?
Các record phổ biến: A Record
Ánh xạ tên → IPv4
Ví dụ:
server01.vnpro.local → 10.10.10.10
AAAA Record
Tên → IPv6
Ví dụ:
server01 → 2001:db8::10
CNAME
Alias.
Ví dụ:
www → web01
MX
Mail server.
Ví dụ:
vnpro.vn → mail.vnpro.vn
NS
Name Server.
Cho biết DNS server authoritative cho zone.
Ví dụ:
ns1.vnpro.vn
PTR
Reverse lookup.
IP → Name
Ví dụ:
10.10.10.10 → server01
SRV
Cực kỳ quan trọng với Active Directory.
Ví dụ:
AD clients dùng record này để tìm:
- Domain Controller
- Kerberos
- LDAP
Ví dụ:
_ldap._tcp.dc._msdcs.company.local
Nếu record này lỗi → domain join fail.
4. Demo: Cài DNS Role trên Windows Server
GUI:
Server Manager
→ Add Roles and Features
Chọn:
DNS Server
Hoặc PowerShell:
Install-WindowsFeature DNS -IncludeManagementTools
Kiểm tra:
Get-WindowsFeature DNS
5. Quản lý DNS Service
Khởi động / dừng dịch vụ:
Restart-Service DNS
Stop-Service DNS
Start-Service DNS
Kiểm tra trạng thái:
Get-Service DNS
6. Tạo DNS Record
Ví dụ tạo A record:
Add-DnsServerResourceRecordA `
-Name "web01" `
-ZoneName "vnpro.local" `
-IPv4Address "10.10.10.20"
Kiểm tra:
Resolve-DnsName web01.vnpro.local
7. DNS Forwarding
DNS nội bộ thường không tự resolve Internet.
Nó sẽ forward query ra DNS upstream.
Ví dụ:
Forwarder:
8.8.8.8
1.1.1.1
PowerShell:
Add-DnsServerForwarder -IPAddress 8.8.8.8
8. DNS và Active Directory
AD phụ thuộc mạnh vào DNS.
Không phải optional.
Là mandatory.
AD dùng DNS để:
- Tìm Domain Controller
- LDAP lookup
- Kerberos auth
- Global Catalog discovery
- Replication partner discovery
Ví dụ:
Khi join domain:
company.local
Client sẽ query:
_ldap._tcp.dc._msdcs.company.local
Nếu DNS sai:
- Không join domain được
- GPO fail
- Login domain fail
- Replication fail
9. DNS Policies
Windows Server DNS hỗ trợ policy-based behavior.
Ví dụ:
- Geo-location responses
- Split-brain DNS
- Traffic management
- Filtering queries
Ứng dụng:
Internal user:
app.company.local → 10.1.1.10
External user:
app.company.local → 203.x.x.x
10. DNSSEC
DNS truyền thống không xác thực dữ liệu.
Có thể bị:
- spoofing
- cache poisoning
- forged response
DNSSEC thêm:
- authenticity
- integrity
- trust chain
Dùng:
- digital signatures
- DNSKEY
- RRSIG
- DS records
Nhưng cần quản lý key lifecycle cẩn thận.
Kết luận
DNS là dịch vụ nền tảng của hầu hết mọi hệ thống enterprise.
Nếu hiểu DNS tốt, bạn sẽ dễ dàng làm việc với:
- Active Directory
- Exchange
- Web services
- Cloud hybrid environments
- Security troubleshooting
Một System Engineer giỏi gần như chắc chắn phải rất vững DNS.
Bởi vì khi DNS lỗi…
mọi thứ trông giống như mạng bị hỏng.
Attached Files