DNS sunucusu kurulduğunda ileri düzey ayarlar aşağıdaki gibidir :
Disable recursion : off
BIND Secondaries : On
Fail on load if bad zone data : off
Enable round robin : on
Enable netmask ordering : on
Secure Cache against pollution : on
Name checking : Multibyte (UTF8)
Load zone data on startup : From active directory and registry
Enable automatic scanvenging of stale records : off (requiers configuration)
Disable Recursion (özyineleme)
Bu seçenek varsayılan değer olarak kapalıdır. Bir DNS sunucusu istemciden gelen sorguyu, yineleme (iteration) yoluyla FQDN sorgusunun tam cevabını alana kadar diğer sunuculara sormaya devam eder. Cevabı alınca da istemciye bildirir.
Disable recursion : off
BIND Secondaries : On
Fail on load if bad zone data : off
Enable round robin : on
Enable netmask ordering : on
Secure Cache against pollution : on
Name checking : Multibyte (UTF8)
Load zone data on startup : From active directory and registry
Enable automatic scanvenging of stale records : off (requiers configuration)
Disable Recursion (özyineleme)
Bu seçenek varsayılan değer olarak kapalıdır. Bir DNS sunucusu istemciden gelen sorguyu, yineleme (iteration) yoluyla FQDN sorgusunun tam cevabını alana kadar diğer sunuculara sormaya devam eder. Cevabı alınca da istemciye bildirir.
Disable recursion seçildiğinde sunucu istemcinin sorgusunu cevaplamak için araştırmak yerine istemcinin kendi cevabını araştırabilmesi için refererans kayıtları istemciye gönderir (referral). Bu durumun geçerli olabileceği hallere örnek vermek gerekirse ; istemcinin bir internet adresini çözmek istemesi ancak yerel DNS sunucusunun sadece kendi alanına ait kayıtları bulundurması olabilir.
Disable Recursion aktif hale getirildiğinde, DNS sunucusunda forwarders sekmesi pasif hale gelir.
BIND Secondaries
Windows 2003 DNS sunucuları BIND DNS kullanan ikincil sunuculara alan transferi yaparken fast transfer format denen hızlı veri aktarım yöntemini kullanmazlar. Bu özellik, 4.9.4’den eski BIND sürümleri ile uyumluluk sağlamak içindir. Bu seçenek varsayılan değer olarak açıktır. Eğer ortamdaki tüm BIND DNS sunucularının sürümleri 4.9.4’den büyükse bu seçenek kapatılabilir.
Şu anki mevcut BIND sürümü 9.2.2’dir.
Fail on load if bad zone data
Windows 2003 DNS sunucusu alanı yüklerken eğer kayıtlarda hata tespit etmişse bunu loglar ancak alanı yüklemeye devam eder. Bu seçenek varsayılan değer olarak kapalıdır. Aktif hale getirilirse, DNS sunucusu kayıtlarda bozukluk tespit ettiğinde alanı yüklemeyi durdurur.
Enable Netmask Ordering
Çok sayıda ağ kartı ve IP adresi bulunan (Multihomed) bir istemcinin birden fazla (A) kaydının olması halinde DNS sunucusu sorguyu yapan istemciye ilk olarak, sorguyu yapan istemcinin bulunduğu subnete uyan (A) kaydını gösterecektir. Varsayılan değer olarak bu özellik aktiftir.
Ortada birden fazla IP adresi ve (A) kaydı varsa DNS sunucusu istemciye hosta ait tüm (A) kayıtlarını belirlenen sırada gönderecektir. İstemci ilk gelen kayda erişim sağlamaya çalışacak, başaramazsa ikinciyi deneyecektir.
MCSE sınavlarında Enable Netmask Ordering, LocalNetPriority olarak adlandırılmaktadır.
Enable Round Robin
Bu özellik multihomed bir hotsu sorgulayan istemcilere, uygun (A) kayıtlarının belirli bir sıra dahilinde değiştirilerek her seferinde farklı bir kayıt sunulmasını sağlar. Çok temel olarak bu yöntem hotsun ağ kartları arasında bir yük dengeleme (load balancing) yöntemi sağlamakta ve yükün teorik olarak tüm ağ kartlarına eşit şekilde dağıtılmasını sağlamaktadır. Aynı içeriği sunan birden çok sunucunun olduğu web sitelerinde sıkça kullanılan bir yöntemdir.Varsayılan değer olarak aktiftir.
Secure Cache against pollution
Bu özelliğin aktif hale getirilmesi ile DNS sunucusu kayıtlarını yanlış kayıtlar ile doldurma ve bir anlamda kirlenmeden korumaktadır. Özellik aktifken DNS sunucusu sadece sorgunun yapıldığı etki alanı adı ile tamamiyle uyan alan adlarına ilişkin sonuçları saklar. Örneğin, Microsoft.com adresine yapılan bir sorgu için msn.com’dan bir kayıt sonuç olarak alınmışsa, bu özellik açıkken bu kayıt saklanmaz. Böylece yetkisiz sunucuların ve kişilerin DNS sorgularını yanıltmaları önlenebilir.
Alanların Yetki Devirlerinin Yapılması (Zone Delegation)
Internet kadar büyük bir isim uzayı (namespace) , eğer etki alanlarının daha küçük parçalara bölünerek yönetiminin farklı kişilere devri imkanı olmasaydı yönetilemezdi. Bu nedenle DNS isimuzayı içindeki bir alt-etki alanı (subdomain) devredilmek istendiğinde yeni bir alan (zone) yaratılır ve yetki ilgili yöneticiye devredilir.
Bir alanın yetki devrini yapmak demek, bu DNS isimuzayını küçük alt-etki alanlarına bölerek yetkiyi devretmek demektir. Örnekte Microsoft.com etki alanının devir modeli görülmektedir.
Ne zaman yetki devri gerekir ?
- DNS etki alanının organizasyon içindeki bir şube ya da bölüm tarafından yönetilmesi gerektiğinde.
- Kurumun çok büyük bir DNS sistemi varsa ve birden fazla DNS sunucusu üzerinde yönetiliyorsa, bu ortamda hata toleransı ve performans artışı sağlanması istendiğinde
Yetki devrinin yapılabilmesi için ana alanın (parent zone) devredilecek etki alanını yöneten yetkili DNS sunucusuna ait A ve NS kayıtlarına sahip olması gereklidir. Bu kayıtlar alanın istemcilerinin iteratif sorgularına cevap bulabilmelerini sağlar.
Not : Yetki devri yapılırken A ve NS kayıtları otomatik olarak oluşturulur.
Yukarıdaki örnekte, yeni oluşturulan example.microsoft.com etki alanının yetkili DNS sunucusu ns1.us.example.microsoft.com olarak belirtilmiştir. Bu sunucunun yetki ataması yapılan yeni alanın dışındaki hostlar tarafından da tanınması için bir NS ve A kaydı otomatik olarak ana alanda (Microsoft.com) oluşturulur.
NS kaydı yeni alan için yetkili isim sunucusunun ns1.us.example.microsoft.com olduğunu belirtir ve alana dair sorguların bu sunucuya yönlendirilmesini sağlar.
A kaydı (glue record olarak da tanınır) ise NS kaydında ismi belirtilen sunucunun IP adresinin çözümlenmesini sağlar. Eğer yetkili sunucu yeni yetki devri yapılmış alanın bir üyesiyse, daha üst seviyedeki tüm hostlar tarafından isim-IP çözümlemesinin sağlıklı olarak yapılabilmesi için gereklidir.
Örneğin bir DNS sunucusu box.example.microsoft.com adresini çözümlemek istiyor : İlk olarak sorguyu Microsoft.com alanının yetkili DNS sunucusuna gönderecektir. Bu sunucudaki yetki transferi nedeniyle sunucu cevap olarak sorgulanan alanın (example.microsoft.com) yetkili sunucusunun adını ve IP adresini istemciye gönderecek ve buraya sormasını isteyecektir. İstemci de aynı sorguyu bu sefer bu sunucuya soracak (ns1.us.example.microsoft.com) ve sonucunda istediği cevabı alacaktır.
Stub Zone
Stub Zone, ana alanın (master zone) kısaltılmış ancak düzenli olarak güncellenen ve içeriğinde sadece ana alana ait NS kayıtlarını bulunduran bir kopyasıdır. Stub zone barındıran bir sunucu sorgulara doğrudan cevap vermek yerine onları stub zone kayıtlarında bulunan NS kaynaklarına yönlendirir.
Stub zone oluşturmak için değişmez IP adresi olan bir isim sunucusunu alana eklemek yeterlidir. Alan, daha sonra eklenecek veya çıkartılacak isim sunucularını kendisi otomatik olarak güncelleyecektir.
Stub zone kayıtları elle değiştirilemez.
Faydaları
- İsim çözümlemesini geliştirir Stub zone bir DNS sunucusunun alanda kayıtlı isim sunucularını sorgulayarak özyineleme (recursion) yapmasını sağlar ve her seferinde kök DNS sunucusunu sorgulamasını engeller.
- Uzak alanlara dair güncel bilgi sağlar Stub zone otomatik olarak güncellendiği için farklı bir alana ait DNS sunucularının güncel listesi daima kayıtlıdır. Örneğin; farklı bir DNS sunucusunda yetki devri yapılmış bir alan.
- DNS yönetimini kolaylaştırır İkincil alanlar kullanmaya gerek kalmadan alan bilgisi (zone information) dağıtımı sağlanır.
Stub zone, ikincil alanların hata toleransı ve yük paylaşımı gibi faydalarını sağlayamaz ve bu amaçlarla kullanılamaz.
Stub Zone ne zaman kullanılır
Yukarıdaki örnekte, widgets.microsoft.com alanı için yetki devri yapılmış ve bu alana iki NS kaydı ve DNS sunucusu eklenmiştir. Sistem yöneticisi bir süre sonra alana iki DNS sunucusu daha eklemiş ama ana alanı (parent zone) bu durumdan haberdar etmemiştir. Bu nedenle de widgets.microsoft.com alanına gelen sorgular halen ilk iki sunucu tarafından karşılanmaktadır.
Bu durum bir stub zone kurulmasıyla giderilebilirdi. Widgets.microsoft.com alanına ait Stub zone Microsoft.com alanının yöneticisi tarafından ana alanda kurulduğunda, widgets.microsoft.com alanının baş NS sunucusu sorgulanacak ve tüm NS kayıtları elde edilecektir. Bu alana yapılacak her türlü ekleme ve çıkarma işlemleri de otomatik olarak güncellenebilecektir.
Dikkat : Bir stub zone, aynı alanı yönetmeye yetkili DNS sunucusu üzerine kurulamaz. Örneğin, widgets.microsoft.com alanının stub zonu bu alanın yetkili DNS sunucusunda kurulamazdı. Bu alanın stub zonu ancak farklı bir alanın yetkili DNS sunucusunda kurulabilirdi. Örneğimizde bu sunucu Microsoft.com alanının yetkili DNS sunucusu olabilirdi.
Farklı kullanım metotları
Yukarıdaki örnekte farklı iki istemci ns.mgmt.ldn.microsoft.com kaynağını çözümlemek için kendi DNS sunucularına sorgu gönderiyorlar. Soldaki klasik DNS hiyerarşisi içinde uzun bir yoldan bu çözümlemeyi yapmak zorunda kalırken, sağdaki istemci ise, actg.wa.microsoft.com alanında oluşturulan stub zone sayesinde çözümlemek istediği kaynağın bulunduğu alana ait NS kayıtlarına tek hamlede ulaşmakta ve çözümlemeyi çok daha kısa yoldan yapmaktadır.
Önemli : Stub zone glue records DNS konsolundan görülememektedir.