今天看到了
老黃在夜裡1點多更新了blog,並針對運維業務知識談來自己的看法,這種很好的理念促動了我懶惰的雙手.今天想對乙個幾乎是所有擁有自己dns伺服器的企業來說都存在的乙個問題,如何設計和規劃dns,乍看起來我們要談的題目有些大,所以我縮小了這個範圍,將上一次和學生討論的split dns問題在這裡澄清.
這個國人翻譯過來叫裂腦dns的東西在很多書中沒有進行深入大討論,也不會在你參加的培訓中有人會結合下面的情況進行實際分析,不過各位在設定dns**時老師可能都會提到.你也會看到一切企業網路中的內部dns和外部的dns會存在兩種不同的名字,甚至他們的字尾都根本搭不上遍.我認為這是使用非常好的安全防護手段,這就像公司(普遍都這麼做)的帳本,肯定都存在著兩本不同的賬目.我現在不想向剛學習的朋友們灌輸一些技術的枝梢末節,這也就對應了老黃blog中提到的可行性方案的條目,也許這依然是那句老話:「只會安裝的人領子永遠是藍色的」格言.
我身邊發生的事情
我們都知道dns本身是乙個很呆傻的網路服務體系,如果它發現了乙個與自己查詢名字相同的區域名稱來匹配的區域檔案,那麼這台伺服器就不再向其他網點查詢了,這裡面有乙個和我身邊的乙個使用者有關,他喜歡將自己的主機名稱設定為 「www」 ,這是因為她叫: 吳菀文 .那麼她抱著筆記本來到你們公司的時候,如果你沒有規劃split dns,反而有啟用了dns自動更新的朋友可要小心,你們公司的內網使用者們將不能訪問你們放置在dmz的web伺服器了.(假設這個web伺服器叫做www,一般也都這麼叫).
這個故事告訴我們在不同的網路區域中, 內部dns和外部的dns會存在兩種不同的名字.這個故事發生在你身邊機會是:假設你本地dns伺服器就是vfast.com.cn解析伺服器,而是上端的管理員則為你設定好了乙個vfast.com.cn的區域,用於向內發布web站點.
微軟曾經發生的事情
仔細考慮一下其實上面這種情況還是有可能發生的,因為我覺得80%(有點保守)的以上active directory 都在使用了裂腦或者叫分離dns技術,微軟設計了ad必須從dns中查詢它的資料,至少你必須從dns中獲取叫做srv的記錄來實現kerberos 驗證。,這就是說任何能看到你dns的人都能看到你dc的準確位置,而微軟之前的做法是讓這個區域成為「動態」,而且很多人不限制dns的區域傳輸,那麼保護ad的方法就是讓別有用心地人根本不知道它的存在。這在idc設計時非常常見,設計者會採用split dns技術來把dns系統劃分為內部和外部兩部分,其中外部dns系統位於公共服務區,負責idc正常對外解析工作,如idc的web伺服器、idc使用者的web伺服器等解析工作全由外部dns伺服器來完成,一般採用bind系統假設在unix和linux主機上。而內部dns系統主要有兩項工作,一是負責解析idc內部網路的主機,如目錄伺服器、郵件伺服器等,另一工作是負責當內部要查詢internet上網域名稱時,其把查詢任務**到外部dns伺服器上,然後由外部dns伺服器完成查詢任務,返回結果。由於把dns系統分內外兩部分,internet上使用者只能看到外部dns系統中的伺服器,而看不見內部的伺服器,而且只有內外dns伺服器之間交換dns查詢資訊,從而保證了系統的安全性。
這一下,我就能回答上次講課時的那個學生的具體問題了,為什麼我們的老師要講兩邊dns的配置,分別在windows和linux上了。
那麼剩下的就是具體的配置問題了,關於**器的配置,你可以到blog上看看其他人的**並茂,不過有人會問,這不是把雞蛋放在乙個籃子裡了嗎?如果**不成功,我們就上不了網了,sorry,不是你想的那樣,隨便看一下**器設定的那個介面,在他的右下方,你會發現乙個**超時的預設配置時間,如果真的過了這個時間,你的dns server 回繞道而行的。如果你的網路確實比較大的話,還是在**器裡面多設幾個ip位址吧,這樣會減輕你的**器快取壓力。
斷網以後發生的事情
我們做了很多試驗,也包括安全試驗,因為一些特殊的**會造成系統的嘎然,那麼這種練習環境多在vpc或者vm中,並且自己隔離在internet之外了。過了幾天,我忽然發現在active direcotry中配置dns時發現提示及**器為灰色,造成客戶端上網時無法進行internet網域名稱解析。這在公司搬家的時候也有可能發生,只要你新家沒有連到internet上。此時,你的dns伺服器傻的吧唧的認為自己是世界上唯一的根了,因為這是dns體系決定的,它在沒有找到那13個大哥的時候,認為自己可以當大哥了,於是決定自己成立乙個「專用」的根。這種情況也會出現在ad和dns整合的時候,最令人煩悶的是他認為永遠不能和internet連線了。發生最多的情況是在第一種環境下(長期沒有聯網),這不像linux的name.ca,既然有這種情況也就有解決的辦法,那麼你可以使用 dnscmd /zonedelete . (注意有個空格),如果和ad已經整合了,還得加乙個 /dsdel ,然後重啟dns services 就可以了。當然還有兩種方法,一種是開啟正向搜尋區域資料夾,刪除 「 . 」, 如果和ad整合了就更麻煩些,還得先改區域的屬性,唉。最後一種方法是找登錄檔
hkey_local_machine\software\microsoft\windowsnt\currentversion\dns server\zones\.
有錢和沒有錢的事
有錢你可以按照微軟的msa cdc 分離-分離式 dns 設計,如果你也是contoso公司的話,哈哈。沒錢就可以在單台伺服器上啟用split dns分離解析服務配置,方法也是很簡單的。
交待一下睡覺前的事
還有很多東西,寫著寫著發現很晚了,大週末不較勁了,而且老婆不讓寫了,讓睡覺,身體健康重要呀。在條件**中還有另外一種腦裂工具,當然在防火牆設計中也包含了腦裂dns的管理,這可以和**/輔助設定等多方面結合,確保dns的安全。有空繼續了。
mysql腦裂 如何防止HA集群的腦裂
luozhaode 博主這篇有關腦裂的文章是我看到過的理解的最透徹的。真是學習了,不過在實際工作中還是對腦裂存在著疑惑,懇請博主釋疑一下。謝謝!我們熟知的腦裂問題一般表現形式是 在mysql主備上安裝集群軟體,比如keepalive管理vip的飄逸 heartbeat管理包括vip在內的共享資源的轉...
it 腦裂 讓我們聊聊腦裂這事情
萬事皆有因 最近im雲平台也好,社交應用也好,大量的使用ejabberd的廠商湧現出來了。不過所有使用ejabberd廠商可能都會遇到mnesia腦裂的問題。在這裡打算簡單的談談腦裂這個事情。什麼是腦裂 我在這裡面給個非官方的定義吧。當乙個集群的不同部分在同一時間都認為自己是活動的時候,我們就可以將...
drbd腦裂處理
自動處理 通過 etc drbd.conf配置中設定自動處理策略,在發生資料不一致時自動處理。自動處理策略定義如下 1 after sb 0pri.當兩個節點的狀態都是secondary時,可以通過after sb 0pri策略自動恢復。1 disconnect 預設策略,沒有自動恢復,簡單的斷開連...