Merhaba Arkadaşlar bu seferki makalemiz de DNS (DOMAIN NAME SYSTEM) konusunu ele almaya çalışacağız ki bu gerçekten konularımızın arasında ki en önemli meselelerden biridir ve çok iyi kavranması gerekmektedir. Biz konuyu sizlere Windows Server 2012 üzerinden anlatmaya çalışacağız temel bilgiler zaten aynı olduğu için sistemi bağlayan platformun dikkat edilmesi gereken hususları da yazımız esnasın da belirtileceğiz.
Windows Server tüm sürümleri ile birlikte sunucu merkezli bir ağ üzerinde çalışmak üzere tasarlanmıştır. Bu makalemizde ağ hizmetlerinin temel taşlarından biri olan DNS(DOMAIN NAME SYSTEM) anlatılacaktır. Yazımıza başlamadan önce bilinmelidir ki DNS yapısı düzgün olmayan bir ağ üzerinde çalıştırmak isteyeceğiniz hiçbir hizmet ve servisten verim almanız mümkün olmayacaktır, yapınız düzgün çalışmayacak ve yaşadığınız problemlerin çok büyük bir bölümünü bu servisten yaşayacağınızı size hatırlatarak devam edelim. DNS (DOMAIN NAME SYSTEM) günümüzde artık tüm kurum ve kuruluşlarda kullanılmaktadır. DNS (DOMAIN NAME SYSTEM) olmadan, en temel anlatım ile E-Posta göndermek ve almak, internet üzerinde işlerinizi yapmak veya bir önceki makalemizde anlattığımız Active Directory gibi kritik hizmetlere erişim mümkün olamaz. Peki, neden DNS (DOMAIN NAME SYSTEM) bu kadar bağımlı olduk? Birçok insanın çok uzun olan rakamları ezberlemek konusunda iyi olmadığını biliyoruz. Örnek olarak erhanceviz.com gibi bir isim yerine IPv4 adresi, 123.154.128.187 veya IPv6 adresi, 4000:09CD:10B9:1C55:14AD:C094:A05B:E110 ezberlemek zorunda kalsaydık sizce bu mümkün veya mantıklı olabilir miydi? Kurumsal ağlar ve Dünya çapında milyonlarca ev ve iş yerinin interneti veya ağ hizmetlerini kullanabilmeleri için yukarıda belirtmiş olduğumuz IPv4 veya IPv6 adresleri ile bir trafik oluşturabilmek için bir protokol geliştirilmiştir bunun adına da TCP/IP (Transmission Control Protocol )denir. DNS(DOMAIN NAME SYSTEM) diye adlandırılan yapı ise işte bizi bu kafa karışıklığından kurtaran kullanıcı dostu bir isim ve IP adresi, hiç arkadaş canlısı olmayan sayılar arasında çeviri sağlayan bir servistir. Kullanıcı açısından bir diğer yararı ise host name kullanarak temelde belirlenmiş IP adreslerini öğrenmeye veya değiştirmeye gerek kalmamasıdır.
Host Name (Ana Bilgisayar Adı) en çok 255 karakter uzunluğunda olabilir, alfabetik ve sayısal karakterler, nokta ve tire içerebilir. Host Name tam etki alanı adı (FQDN) şeklinde bir alan adı ile birleştirilmiştir. Örneğin www.erhanceviz.com adresine ait (FQDN) alanı “www” kısmıdır “erhanceviz.com” ise etki alanı bileşenidir.
Windows Server 2012 üzerinde de DNS için yeni eklenen gelişmiş teknik özellikleri olan Internet Protokolü Adresi Yönetimi (IPAM) adı verilen bir servis yer almaktadır. Bu servis sistem yöneticileri için DNS ve DHCP servislerinizi yönetebileceğiniz merkezi bir konsola sahip bileşendir. Bu bileşen ile DNS bölgelerinizi ve IP adreslemelerinizin yapılandırmasını ve takibini sağlayabilirsiniz.
Sık Kullanılan Alanları
IP adreslerine Host Name (Ana Bilgisayar Adı) çözümlemek
Etki Alanı denetleyicilerini (DOMAIN CONTROLLERS) ve Genel Katalog (GLOBAL CATALOG SERVERS) Sunucularını bulmak
Posta Sunucularını bulmak
IP Adresleri isimlere çözümlemek
DNS bir istemci/sunucu servisidir, bir kullanıcı bir web sayfasına ulaşmak istediğinde ilk önce yapılan tüm istekler internet üzerinde bulunan DNS Root Server’lara yönlendirilir, şimdi bu isim çözme süreçlerini, ilk olarak DNS istemci üzerinden anlatmaya başlayalım.
DNS Client
Windows üzerinde bir uygulama ile (Internet Explorer, Outlook vb.) internete erişmeyi denediğiz sırada,
- İlk olarak istekte bulunduğunuz adresin kullandığınız bilgisayarın ki ile aynı olup olmadığı kontrol edilir.
- DNS istemci Cache olarak adlandırılan alanı kontrol eder, eğer isteği yaptığımız adrese daha önce girmiş isek sorguyu sonlandırıp bizi doğruca yönlendirir.
- İstekte bulunduğumuz adrese ait sorguyu belirlediğimiz DNS Server’lara yönlendirir. (eğer kurum içinde çalışıyorsak Ana bilgisayarımızın üzerinde bulunan DNS Server’a, dışarıda isek Internet Servis Sağlayıcının DNS Server’larına.)
Windows Vista’dan sonraki bütün Microsoft işletim sistemleri, Windows Server 2008 ve Windows Server 2012 isimleri ve Ip adreslerini çözmek için, Link-Local Multicast Name Resolution (LLMNR) protokolünü kullanır. Bu protokol yerel ağda bir DNS sunucusu yapılandırıldığında adları IPv4 ve IPv6 adreslerini çözmek için kullanılır. Bu protokol IPv6 ile yapılandırılmış ağlarda yerel ad çözümlemesi sağlamak için daha önemli olabilir.
DNS Server
Windows Server 2012 sunucusu üzerinde DNS hizmeti yüklediğinizde, Internet kök sunucuları (Root Servers) varsayılan olarak yüklü gelmektedir. Bu sunucular kök ipuçları (Root Hints) olarak bilinir, bu konu hakkında daha sonra bilgi vereceğiz.
Şimdi bir DNS sunucusu üzerinde, istemci bilgisayarlar ve diğer cihazlar ad çözümlemesi sorgularının nasıl yapılacağına dair süreci takip edelim,
- Bir kullanıcı web browser üzerinden erhanceviz.com veya erhanceviz.com adresimizi yazıyor olsun.
- Eğer yerel DNS sunucusu erhanceviz.com IP adresini bilmiyorsa, .com DNS sunucularının konumunu soran bir kök DNS sunucusunu sorgular.
- Kök DNS sunucusundan .com sorgusunun sonucunu aldıktan sonra, yerel DNS sunucusu bu sefer erhanceviz.com DNS sunucularının yerini isteyen bir .com DNS sunucusunu sorgular
- .com DNS sunucusundan yanıt alındıktan sonra ki adım ise yerel DNS sunucumuz erhanceviz.com adresinin DNS sunucusuna erhanceviz.com adresinin IP adresini isteyen bir sorgu gönderir.
- Daha sonra erhanceviz.com DNS sunucusu bu bilgileri de sağladıktan sonra, yerel DNS sunucumuz kullanıcı bilgisayara erhanceviz.com adresine ait olası anabilgisayar Ip adreslerini döndürür ve sürecimiz tamamlanmış olur.
Bir DNS sunucusu için her ad çözümlemesi sorgusu yukarıda ki adımları takip edecektir. Peki Önbelleğe alma yapılandırma ve yönlendirme işlemleri süreci nasıl değiştirir,
Önbellek – Bir yerel DNS sunucusu bir IP adresine yeni bir isim çözmek için yukarı da ki 5 adımı geçer diyelim. Yerel DNS sunucusu bu bilgileri öğrendikten sonra, birkaç saat için sonuçları hafızasında tutacaktır. Bu noktadan itibaren, aynı ad için yeni ad çözümleme sorgusu yapıldığında süreç daha hızlı sonuçlanacaktır.
Yönlendirme – DNS sunucusu üzerinde yönlendirme yapılandırıldığında, DNS sunucusu üzerine gelen tüm ad çözme sorguları bir başka DNS sunucusuna yönlendirilir.
DNS Bölgeleri ve Kayıtları
DNS sorguları bir veritabanın da tutulur, bu veri tabanı bir text dosyası olabilir ya da mevcut sistem üzerinde Active Directory kurulu ise o zaman bu veriler Active Directory veritabanın da tutulur.
DNS verileri bölgelere ayrılmıştır, her bölge Active Directory içinde saklandığı zaman ayrı bir dosya ya da çoğaltma birimi olarak depolanır. DNS sunucuları belirli bir etki alanının bir veya daha fazla bölgeye ev sahipliği yapabilir. Bir Active Directory etki alanı oluşturulurken, yeni etki alanı ile aynı ada karşılık gelen DNS bölgesi bulunması gerekir veya dizin hizmetleri uygun işlevselliği sağlamak için işlem sırasında oluşturulabilir.
DNS bölgeleri iş istasyonları, sunucular, yönlendiriciler, switchler gibi TCP / IP protokolünü çalıştıran cihazlar için isimleri, adresleri IP adreslerine çözümlemek için kullanılır.
Active Directory etki alanı hizmetlerinde ise, DNS kaydı (SRV) etki alanı denetleyicileri ve genel catalog sunucusu bulmak için kullanılır. Çoğu ortak DNS uygulamalarında, bölgeler iki tür olarak kullanılır, ileriye doğru arama ve geriye doğru arama bölgeleridir.
İleriye Doğru Arama Bölgeleri
İleriye doğru arama bölgeleri, IP adreslerini ana bilgisayar adlarına göre çözümlemek ve bu sorgu sonucunda eşleşen IP adreslerinin yanıtlarını döndürmek için kullanılır.
İleriye doğru arama bölgeleri, IPv4 Ana bilgisayarlar (A), IPv6 Ana bilgisayarlar (AAAA), Name Server kayıtları (NS), Kısa Ad (CNAME), Service (SRV), posta dağıtıcısı (MX), yetki kayıtları (SOA), başlangıç ve sunucu adı da dahil olmak üzere ortak kaynak kayıtlarını Windows Server 2012 üzerinde aynı ileriye doğru arama bölgesinde tutabilirler.
Geriye Doğru Arama Bölgeleri
Geriye doğru arama bölgeleri alan adlarını IP adreslerine göre çözümler. Bir IP adresi yapılan sorgunun parçası olduğunda, geriye doğru arama bölgesi karşılık gelen ana bilgisayar adını döndürür. Geriye doğru arama bölgeleri SOA, NS, ve işaretçi (PTR) kaynak kayıtlarını barındırır. Windows Server 2012 üzerinde IPv4 ve Ipv6 için oluşturulmaları gerekir. Ancak geriye doğru arama bölgeleri olmadan DNS alt yapısı oluşturmak mümkündür ancak bazı önemli işlevlerin bir sonucu olarak sorgular eksik olacak ve hizmet çok sayıda uyarı ve hata mesajı üretecektir.
Geriye doğru arama bölgeleri spam ile mücadele etmek için oldukça kullanışlıdır. Spam gönderenler, istenmeyen e-posta göndermek için internet üzerinde açık olan (SMTP sunucuları) kimliklerini gizlemek için kullanırlar. Geriye doğru arama bölgelerini kullanarak açık olan (SMTP sunucuları) tespit edebilirsiniz ve bu istenmeyen postaları trafik filtreleme kullanarak (Firewall) en aza indirebilirsiniz.
Geriye doğru arama bölgelerinin diğer bir önemli yararı ise kendi üzerinde ki verileri sık sık ileriye doğru arama bölgelerini doğrulamak için kullanılabilir olmasıdır. Örneğin erhanceviz.com adresimizin ileriye doğru arama bölgelerin de ki kaydı 178.22.0.2 olduğu göz önünde bulundurulduğunda geriye doğru arama bölgeleri kullanılarak 178.22.0.2’nin gerçekten erhanceviz.com ile ilişkili olduğunu doğrulatabilirsiniz.
Kök İpuçları ve Iteratif Sorgular
Daha önce Windows Server 2012 üzerinde İnternet Kök Sunucu adreslerinin (kök ipuçları) bir listesinin DNS yüklenirken varsayılan olarak yüklü gelmesinden bahsetmiştik. Bu kök ipuçları İnternet üzerinde üst düzey DNS sunucularına işaret etmektedir. DNS Hizmetini kurarken bu sunucular, .com, .org, .net, .edu, vb. üst düzey etki alanları hakkında bilgiler içerir. Bu bilgiler %windir%system32dns dizininde bulunan varsayılan olarak cache.dns dosyasına kopyalanır.
Bir makalemizin daha sonuna geldik. Bu anlattığımız konular kullanılan yapıların mantığını anlatmaktadır. Ve bu konular detaylandırılacak, kurulumları, konfigürasyonları gibi konulara ilerleyen zamanda yer verilecektir. İlginizi, sabrınız ve vaktiniz için çok teşekkür ederim.
Erhan CEVIZ Gemma Teknoloji
