Rabu, 31 Oktober 2018

Mengkonfigurasi DNS Server di Windows Server 2012


Assalamualaikum wr. wb.

Dikesempatan kali ini saya akan memposting cara Mengkonfigurasi DNS Server di Windows Server 2012, untuk mengetahui lebih dalamnya apa itu DNS Server di windows server ? 

Domain Name System ( DNS ) adalah sebuah sistem yang menyimpan informasi tentang nama host ataupun nama domain dalam bentuk basis data tersebar ( distributed database ) di dalam jaringan komputer, misalkan: Internet. DNS menyediakan alamat IP untuk setiap nama host dan mendata setiap server transmisi surat ( mail exchange server ) yang menerima surel ( email ) untuk setiap domain. Menurut browser Google Chrome, DNS adalah layanan jaringan yang menerjemahkan nama situs web menjadi alamat internet.

DNS menyediakan pelayanan yang cukup penting untuk internet, ketika perangkat keras komputer dan jaringan bekerja dengan alamat IP untuk mengerjakan tugas seperti pengalamatan dan penjaluran ( routing ), manusia pada umumnya lebih memilih untuk menggunakan nama sumber universal (URL) dan alamat surel. Analogi yang umum digunakan untuk menjelaskan fungsinya adalah DNS bisa dianggap seperti buku telepon internet di mana saat pengguna mengetikkan www.indosat.net.id
di peramban web maka pengguna akan diarahkan ke alamat IP 124.81.92.144 (IPv4) dan 2001:eoo:d:10:3:140::83 (IPv6).

Beberapa kelompok penting dari data yang disimpan di dalam DNS adalah sebagai berikut:
  1. A record atau catatan alamat memetakan sebuah nama host ke alamat IP 32-bit (untuk IPv4).
  2. AAA record atau catatan alamat IPv6 memetakan sebuah nama host ke alamat IP 128-bit (untuk IPv6).
  3. CNAME record atau catatan nama kanonik membuat alias untuk nama domain. Domain yang di aliaskan memiliki seluruh subdomain dan rekod DNS seperti aslinya.
  4. MX record atau catatan pertukaran surat memetakan sebuah nama domain ke dalam daftar mail exchange server untuk domain tersebut.
  5. PTR record atau catatan penunjuk memetakan sebuah nama host ke nama kanonik untuk host tersebut. Pembuatan rekod PTR untuk sebuah nama host di dalam domain in-addr.arpa yang mewakili sebuah alamat IP menerapkan pencarian balik DNS (reverse DNS lookup) untuk alamat tersebut. Contohnya (saat penulisan/penerjemahan artikel ini), www.icann.net memiliki alamat IP 192.0.34.164, tetapi sebuah rekod PTR memetakan , 164.34.0.192.-in-addr.arpa ke nama kanoniknya referrals.icann.org.
  6. NS record atau catatan server nama memetakan sebuah nama domain ke dalam satu daftar dari server DNS untuk domain tersebut. Pewakilan bergantung kepada rekod NS.
  7. SOA record atau catatan otoritas awal (Start Of Authority) mengacu server DNS yang menyediakan otorisasi informasi tentang sebuah domain internet.
  8. SRV record adalah catatan lokasi secara umum.
  9. Catatan TXT mengizinkan administrator untuk memasukan data acak ke dalam catatan DNS, catatan ini juga digunakan di spesifikasi Sender Policy Framework.


DNSSEC merupakan sebuah singkatan dari Domain Name System Security Extensions. DNNSEC menambahkan sebuah informasi dan pesan khusus yang dapat digunakan untuk memverifikasi bahwa data yang diminta cocok dengan informasi aslinya. DNSSEC tidak membuat sebuah saluran aman, DNSSEC tidak mengenkripsi atau menyembunyikan data. Teknologi tersebut dirancang dengan kompabilitas terhadap sistem lama. Sistem standar yang selama ini kita gunakan tetap berjalan sama dengan sebelumnya.
Pada ilmu keamanan jaringan internet, ada metode hacking yang bernama DNS Spoofing. Cara kerja metode ini yaitu attacker akan berada diantara pengakses website dan DNS Server, attacker akan mengganti informasi Alamat IP yang diberikan oleh DNS Server saat pengakses memintanya, sehingga pengakses akan berkomunikasi dengan Alamat IP yang salah, Server dengan IP Address yang diberikan attacker ini biasanya berisi website yang dibuat mirip dengan website aslinya.

DNSSEC berfungsi untuk mencegah DNS Spoofing, karena dengan
  DNSSEC, setiap pengakses meminta menerjemahkan domain ke DNS Server, DNS Server akan menyertakan kode di setiap informasi Alamat IP yang diberikan kepada pengakses untuk menandakan bahwa informasi tersebut berasal dari DNS Server bukan dari attacker.

CARA KERJA DNSSEC 
Kunci yang disediakan untuk umum disimpan ke DNSKEY. Resolver yang melakukan validasi menggunakan DNSKEY untuk mendekripsi RRSIG dan membandingkan hasilnya dengan hash informasi tersebut untuk memastikan keasliannya. Sebuah hash dari DNSKEY disimpan sebagai DS. Informasi tersebut tersimpan di zona induk. Resolver kemudian mengambil informasi dari induk DS, RRSIG, dan kunci publik (DNSKEY; hash dari kunci publik tersebut tersedia juga di induk. Hal tersebut membentuk sebuah rantai keperjayaan.

Langkah awal seperti biasa kita masuk ke menu server manager kemudian klik add roles and features.


Kemudian klik next saja.


 Pilih type istalasi dengan mengklik role-based or feature-based installation. Untuk instalasi awal gunakan role based.


Seleksi server pool yang digunakan sesuaikan dengan ip address yang dipakai pada server.


Setelah server dipilih maka pemilihan role yang dipakai dalam mengkonfigurasi DNS adalah DNS server. Klik DNS Server.


Muncul pop up add roles and features wizard yang merekomendasikan tools yang akan di manage nantinya yakni tools dns server.


Kemudian kita klik next.


Kita klik next saja karena disini kita tidak menambahkan fitur apapun.


DNS server akan menyediakan standar metode untuk penamaan DNS server dalam internet. DNS server ini memungkinkan user lebih mudah mengenali situs yang sudah ada dalam internet.


 Disini kita install DNS Server dimulai.


Proses instalasi akan berjalan dengan normal sampai view installation progress berwarna biru dan garis menunjukkan full.


Setelah proses instalasi selesai maka proses role yang sudah diinstal dapat dilihat pada server manager. Klik server manager kemudian klik tab tools kemudian pilih DNS.


Tampilan dns server yang sudah diinstall dapat dilihat pada gambar dibawah ini dan bisa di klik pada server yang sudah ada sebelumnya sesuai dengan host yang sudah didaftarkan sebelumnya


Kita perlu mengkonfigurasi bagaimana server DNS akan bekerja sebelum menambahkan catatan lainnya. Pilih server DNS yang akan dikelola, lalu klik menu action, dan pilih Configure a DNS Server. Ini akan menampilkan Configure a DNS Server Wizard.


 Ada 3 metode konfigurasi DNS yakni forward lookup zone, forward dan reverse lookup zone, root hints only. Di sini kita pilih no 1 yakni forward dan lookup zone.


Pilih This server maintains the zone untuk membuat server zone yang baru.


Buat zone DNS yang baru sesuai dengan yang anda inginkan lalu klik Next.


Create zone file sebagai copy dari DNS di daftartkan lalu klik Next.


Langkah selanjutnya dynamic update pilih do not allow dynamic update supaya digunakan secara manual.


Masukan ip address server kemudian klik Next


Konfigurasi DNS sudah dibuat sesuai yang di daftarkan dan ip address sesuai dengan ip server.


 Ketika kita sudah menambahkan DNS zone maka host tersebut bisa kita berikan inisial dengan nama DNS dan ip address berikan ip server.


Selanjutnya tambahkan reverse zone untuk network yang akan didaftarkan nantinya. Jadi bisa pemanggilannya dengan menggunakan ip address.


 Welcome wizard untuk mentranslasikan DNS tersebut sesuai dengan network yang terdapat pada server.


Type zona yang dipilih gunakan primary untuk yang didaftarkan pada server.


Pilih IPv4 yang digunakan untuk reverse lookup zone.


Masukkan network ID yang dijadikan reverse lookup zone. Dalam hal ini digunakan IP class C.


Copy reverse zone dapat dilihat pada gambar berikut. Dengan membaca ip address dibalik dimulai dari belakang dengan hanya membaca networknya saja.


 Dynamic update reverse lookup zone pilih do not allow dynamic update. Karena kita akan update zone secara manual.


Complate reverse lookup zone perhatikan ringkasan tersebut sesuaikan yang didaftarkan.


 Selanjutnya tambahkan pointer untuk reverse lookup zone seperti gambar berikut dengan mengklik tombol browse atau bisa juga mengisikan ip server.


Verifikasi

Tahap verifikasi sebagai berikut.
a) Pilih server yang sudah ada lalu klik kanan pada server tersebut, kemudian pilih Lunch nslookup.


Tampilan nslookup akan muncul sesuai dengan gambar di bawah ini! Isikan sesuai dengan dns yang sudah didaftarkan.


Bila menggunakan cmd gunakan perintah ping lalu isikan sesuai dengan dns yang sudah didaftarkan. Jangan lupa arahkan ip dns terlebih dahulu.


 Bila menggunakan web browser isikan sesuai dengan DNS yang dibuat dan bisa juga diuji dengan memasukan ip address sendiri.


KONFIGURASI DNSSEC 

 Langkah pertama dari dns yang sudah dibuat sebelumnya klik kanan pada dns tersebut kemudian pilih DNSSEC lalu Sign the zone.


Akan muncul pop up DNSSEC yang akan menambahkan security pada DNS protokol. Spesifikasi DNSSEC ini akan menyediakan authority, data integrity dan authentikasi penolakan terhadap eksitensi server dan bertanggung jawab dengan digital signature untuk validasi.


Ada 3 opsi yang support dengan zone ini. Pertama Custumize untuk zone awal. Kedua mengcreate bila sudah ada zone sebelumnya. Ketiga zone yang disediakan secara default. Kita pilih custom.


Authentikasi pertama menggunakan KSK ( Key Signing Key ) untuk menghasilkan atau mengcreate tanda tangan digital pada zone.


Selanjutnya kita menambahkan paramete key dengan menggunakan algorithm dan panjang key.


Penggunaan algorithm kriptopgrafi dengan RSA/SHA-1 dengan panjang key 2048.


Setelah menambahkan algoritma dan panjang key pilih Next.


 Selanjutnya authentikasi zone baru dengan menggunakan ZSK ( Zone Signing Key ).


Menambahkan zone ZSK dengan memilih 3 zone ZSK.


 Pemilihan algorithma yang digunakan dengan RSA/SHA-256 dan panjang key 1024.


Pemilihan algoritma ZSK yang sudah dibuat lalu klik Next.


Untuk lebih secure pilih NSEC sebagai record dari zone sebagai authentikasi.


Aktifkan trust anchors untuk mendistribusikan zone supaya key semua muncul pada trust point dan sebagai satuan yang refresenstatif buat public key.


Parameter DNSSEC secara keseluruhan akan ditampilkan pada gambar berikut ini.


DNSSEC sudah berhasil dikonfigurasi dengan KSK dan ZSK sesuai dengan algoritma yang digunakan.


Konfigurasi DNSSEC sudah berhasil dikonfigurasi pada zone yang digunakan kemudian klik finish.


Verifikasi
Tahap verifikasi sebagai berikut:

 Perhatikan gambar dibawah ini sebelum menggunakan DNSSEC. Terlihat bahwa nama zone belum terenkripsi.


 Setelah di refresh maka DNSSEC akan memunculkan DNSKEY.


 Perhatikan pula pada trust points DNSKEY yang sudah dibuat dan algoritma yang digunakan akan muncul secara otomatis pada trust points.


Kita buka google chrome kemudian ketik bind9 10.6 kemudian klik Index of /isc/bind/9.10.6 - Description.


Kita download yang berbentuk ZIP, jadi harus kita download BIND9.10.6.X64.zip


Kemudian kita masuk ke dalam file BIND9.10.6.x64 , sebelumnya kita extract filenya terlebih dahulu, lalu klik BINDInstall Kemudian arahkan target directory ke Local C:\Program Files\dig pilih tools only, kemudian klik install.


Muncul pop up microsoft Visual C++ 2012 ceklist I agree kemudian klik install.


Kemudian pada tombol search cari system environment variabel lalu pada system variables pilih path klik edit tambahkan ;C\Program Files\dig\bin\


Buka cmd lalu tulis dig nama domain yang didaftarkan pada server contoh : dig dns.fikri.net +dnssec +multi.


KONFIGURASI SECONDARY ZONE

Secondary zone digunakan untuk menyalin atau mengcopy data zone dari server utama. Zone secondary ini hanya bisa dibaca tidak bisa di konfigurasi pada server utama. Informasi tentang zone secondary diperoleh dan diperbarui melalui zone transfer pada server utama. Pertama sekali rubah terlebih dahulu host nama untuk server pertama dengan nama primary. Sedangkan server kedua dengan nama secondary


Kita terlebih dahulu mengcreate zone pada server utama seperti tampilan dibawah ini.


Pada reverse lookup zone sesuaikan dengan network yang digunakan pada server utama.


Konfigurasi pada server kedua kita terlebih dahulu create zone dengan type secondary zone.


Setelah selesai mengcreate secondary zone arahkan domain ke server utama sesuaikan dengan zone pada primary.


Pada master dns server masukkan ip address pada server utama ( primary ).


Konfigurasi wizard pada secondary sudah selesai, berikut ringkasannya.


Ketika kita lihat pada secondary zone terlihat bahwa zone belum bisa diload. Hal ini terjadi karena pada server utama belum di transfer datanya.


Langkah selanjutnya pada reverse lookup zone masukkan network dari server utama dengan memilih secondary zone.


Begitu juga dengan reverse lookup zone, zonenya belum ditransfer sehingga belum bisa diload.


Klik kanan pada zone utama, kemudian pilih properties.


Pada tab zone transfer klik Edit.


Pada tab zone edit isikan ip address server secondary, lalu klik OK.


Untuk mengupdate zone tersebut, klik notify kemudian isikan ip server secondary lalu klik ok


Selanjutnya refresh pada server secondary maka akan terlihat data pada server utama sudah masuk seperti gambar dibawah ini.


Pada reverse lookup zone akan terlihat juga sama dengan server utama, yang dibuatnya.


Pastikan bahwa apabila kita menambahkan data pada server utama Start Of Authority (SOA) jumlahnya sama dengan yang di secondary zone dengan terlebih dahulu mengklik kanan pada zone kemudian pilih transfer from master (sisi secondary)


Oke terima kasih, postingan kali ini kurang lebih mohon maaf sebelumnya hehe.

Wassalamualaikum wr. wb.