Configure DNS Forward Lookup Zones

ในบทความที่ผมพูดถึงบ่อย ๆ เรื่องการตั้งค่า DNS เพื่อถามหา IP Address นั้น คงจะสงสัยกันบ้างว่า แล้วมันจะค้นหา IP Address จากไหน เพียงแค่ Install DNS Server ไปแล้วก็ใช้ได้เลยหรือไม่ แล้วมันทำงานยังไงเราถึงจะใช้ได้ ในบทความนี้จะสอนการสร้างสิ่งที่เรียกว่า Record เพื่อใช้ในการแปลงชื่อที่ Client เรียกถามหาให้ตอบกลับไปเป็น IP Address ครับ

เริ่มแรกถ้าหากเราติดตั้ง DNS Server เพียว ๆ แบบไม่ได้ติดตั้งพร้อม Active Directory ด้วยแล้ว เราจะไม่มีอะไรเลย ซึ่งจำเป็นจะต้องสร้าง Forward Lookup Zones ขึ้นมาก่อน ทำได้ดังนี้

Create Forward Lookup Zones

คลิกขวาที่ Forward Lookup Zones เลือก New Zone

หน้า Welcome to the New Zone Wizard คลิก Next

หน้า Zone Type เลือก Primary zone

ตรงนี้แหล่ะครับ หน้า Zone Name เป็นการกำหนด Zone ที่จะครอบคลุม Record ต่าง ๆ ที่ Client ถามหา ว่าจะเรียกหา Record จากโดเมนใด ซึ่งเราสามารถสร้าง Zone ได้หลาย Zone ตอนนี้ให้กำหนด Zone ขึ้นมาชื่อว่า domain.local

หน้า Zone File ตั้งชื่อไฟล์ของ Zone ซึ่งจะถูกบันทึกไว้ที่ C:\Windows\system32\dns ซึ่งไฟล์นี้มีนามสกุลเป็น .dns

หน้า Dynamic Update เป็นการกำหนดว่า ตัว DNS Server นี้ จะสามารถอัพเดต Record ที่เพิ่มขึ้นมาใหม่หรือมีการเปลี่ยนแปลงได้เองหรือไม่ เช่น เมื่อ Client มีการเปลี่ยนแปลง IP Address ไป หากไม่ได้กำหนด Dynamic Update ไว้ เราก็จะต้องเป็นผู้มาสร้าง Record ใหม่เอง หรือแก้ไขด้วยตัวเอง

หน้า Completing the New Zone Wizard คลิก Finish

เราจะได้ Forward Zone แรก ที่ชื่อว่า domain.local แล้ว

ให้เราเข้าไปตรวจสอบก่อนครับว่าตัว DNS Server เอง สามารถค้นหา IP Address ของตัวเองเจอหรือไม่ เพราะก่อนที่จะให้บริการกับผู้อื่น (Client) ตัวเองก็ต้องทำหน้าที่นี้ให้ได้ก่อน โดยการดับเบิลคลิกที่ Name Server

จะพบว่า ตอนนี้ตัวมันเองยังไม่ทราบเลยว่า IP Address ของตัวเองเป็นหมายเลขใด ให้คลิก Edit

หน้า Edit Name Server Record คลิก Resolve

ถ้าไม่มีอะไรผิดพลาด ตัวมันเองจะต้องสามารถค้นหา IP Address ตัวเองได้ จากนั้นก็คลิก OK กลับออกมา

คราวนี้ ไปที่เครื่อง Client แล้วตั้งค่า Preferred DNS server มาที่ IP Address ของเครื่อง DNS Server จากนั้นพิมพ์คำสั่ง nslookup domain.local

คำสั่ง nslookup เป็นคำสั่งในการค้นหา IP Address โดยการถามในรูปแบบชื่อโดเมนเนมไป ซึ่งถ้า DNS Server นั้นมีคำตอบ (Record) ไว้ ก็จะสามารถตอบกลับมาได้ว่า โดเมนเนมที่ถามไป ถูกกำหนดให้มี IP Address เป็นอะไร โดยในภาพที่เห็นนั้น ให้ดูบรรทัด Name: จะเป็นบรรทัดที่เราถามหา IP Address ซึ่งตอนนี้ยังไม่สามารถตอบกลับมาเป็น IP Address ได้

เรามาทดลองสร้าง Record เพิ่มให้กับ domain.local กัน โดยการคลิกขวา แล้วเลือก New Host (A or AAAA)

โดยช่อง Name เราจะปล่อยว่างไว้ก่อน จะระบุเพียงแค่ IP Address

จากนั้นกลับมา nslookup อีกครั้ง จะพบว่า คราวนี้เราได้ IP Address ตอบกลับมาแล้ว

ทดสอบอีกครั้ง โดยการเพิ่ม Record A แล้วระบุ Name ว่า www

แล้วลองกลับมา nslookup ที่เครื่อง Client อีกครั้ง โดยค้นหา www.domain.local

จะพบว่า www.domain.local สามารถตอบกลับมาเป็น IP Address ได้ ซึ่งจะเห็นว่าผมทดสอบค้นหา www2.domain.local ด้วย แต่ปรากฏว่าไม่พบ นั่นก็เพราะว่าเรายังไม่ได้สร้าง Record ไว้นั่นเอง จึงไม่สามารถได้รับคำตอบที่ถามไป

DNS Server นั้น เปิดช่องทำงานที่ Protocol UDP Port Number 53 นะครับ หลายคนเข้าใจผิดว่าเป็น TCP 53 ด้วยเหตุเพราะว่า การ Query DNS นั้น ต้องการความรวดเร็ว เพียงแค่ส่ง Request Query ไปเท่านั้นแล้วต้องการเพียงแค่คำตอบ ไม่ได้ต้องการความแน่นอนของ Data ที่วิ่งผ่านไป ดังนั้นจึงไม่มีความจำเป็นต้องใช้ TCP แต่ด้วยเหตุที่ DNS นั้น มี TCP 53 เข้ามาด้วย นั่นเพราะใช้ในเหตุการณ์อื่น เช่น การ Transfer Zone ข้าม DNS Server นั่นเอง ซึ่งตรงนี้จะต้องการความถูกต้อง แน่นอนของ Data

ทดสอบ Disable UDP 53 บน Windows Firewall ของ DNS Server

เมื่อ Disable UDP 53 ไปแล้ว Client ถึงกับหา Record ไม่ได้กันเลยทีเดียว

ทั้งหมดนี้ก็เป็นตัวอย่างง่าย ๆ ให้เข้าใจว่า DNS Server ที่เราใช้อยู่ ก็มีการทำงานลักษณะนี้แหล่ะครับ รวมถึง DNS Server อื่น ๆ ทั่วโลกก็เช่นกัน ดังนั้นเมื่อเปรียบเทียบกับขั้นตอนที่เราเข้าเว็บไซต์ เช่น www.itsesa.com กระบวนการก็จะค้นหาจาก Name Server ว่า IP Address ของ Web Server เป็นอะไร ซึ่งไม่จำเป็นว่า DNS Server กับ Web Server จะต้องอยู่ในเครื่องเดียวกัน เมื่อ DNS Server ตอบได้ว่า www.itsesa.com มี IP Address เป็นอะไร มันก็จะทำการวิ่งไปหา Web Server ที่มี IP Address นั้นเอง