הסבר והגדרת DNS ב Windows Server המקיף ביותר כל הזכויות שמורות לטל בן שושן Shushan.co.il במאמר זה נעבור על כלל ההגדרות הקיימות בשרת,DNS על כל המינוחים וההסברים כיצד מערכת ה DNS עובדת בשרת Windows Server 2008/2012/2016/2019 נתחיל בהסבר כללי DNS הוא קיצור של Domain Name System והוא אחראי על תרגום כתובת שמיות לכתובות IP וכל זה התחיל באופן דיי פשוט בגלל שבני אדם לא מסוגלים לזכור כתובות IP ולכן הומצא המנגנון בו נזין כתובת נאמר את הכתובת של האתר שלי Shushan.co.il ומערכת DNS תתרגם אותה לכתובת.IP זה נשמע מערכת פשוטה יחסית, המכילה טבלה עם כתובות IP וכתובות שם והיא פשוט ממירה אותם. אתם יחסית צודקים אבל כיום מערכות DNS מסוגלות לבצע הרבה דברים מעבר ועליהם נעבור במאמר זה. FQDN הוא קיצור של Fully qualified domain name בפשטות זה שם המחשב + שם הדומיין בו אתם נמצאים נאמר והמחשב שלכם הוא PC1 והדומיין בו אתם נמצאים הוא tal.local אז ה FQDN שלכם הוא,PC1.tal.local זאת אומרת הכתובת המלאה של השרת.
DNS בעולם האמיתי על מנת להבין כיצד עובד DNS בעולם האמיתי נצטרך להתחיל מה Top Level Domain קיצור שלו הוא TLD ואתם תתקלו במונח זה הרבה יחסית. TLD הוא נמצא בהיררכיה הגבוהה ביותר ב,DNS בכדי להבין מזה אומר הכי גבוהה בהיררכיה של DNS נפרק תחילה את הכתובת : www.shushan.co.il מי שאחראי על co.il. הוא country-code top level domain שהוא TLD רק עם תוספת,CCTLD זאת אומרת שיש שרת DNS המכיל בתוכו טבלה עם שמות נאמר shushan וכתובת IP שבעל האתר הגדיר. Zone הוא הטבלה שבתוכה יש את כל השמות האלו, ושם ה Zone הוא co.il. לכן כל שם שיש בתוכו ה FQDN שלו הוא Shushan.co.il או כל שם בנמצא בטבלה בצירוף הסיומת. יש את ה gtld שאחראי על כתובות כמו com.net.org. וכל סיומת שאינה שייכת למדינה יש את ה cctld שאחראי על כל הכתובות של מדינות co.il. או ru. או usa. וכו Domain Name Registrar TLD אז כיצד אתם קונים שם מתחם? כמו co.il. או com. או?org.il על מנת לבצע זאת נבין תחילה איך הכל עובד. ארגון גג בשם IANA קיצור של Internet Assigend Numbers Authority אחראי על כל ה
TLD s והוא יצר 2 קטגוריות ה gtld וה,ccTLD ה gtld הוא קיצור של Generic Top Level Domain וזאת אומרת כל דומיין שאינו שייך למדינה. IANA בכל מדינה קובעים,Registrar חברה שתיהיה אחראית למכור שמות מתחם לרוב cctld ו gtld והיא חייבת לעקוב אחר החוקים והתקנות של IANA ובכך למעשה מותר לה למכור שמות מתחם, את הרווח )שאינו ידוע לי( הם מחלקים בינהם )תחזוקה של שרתי ה,DNS עובדים וכו ( דוגמה קלאסית היא רשימה של Registrar מורשים למכור כתובות co.il. מי שאחראי על אותם Registrar זה איגוד האינטרנט הישראלי )שהוסמך על ידי, (IANA הרשימה בקישור הבא ברגע שתרכשו דומיין עם הסיומת הרצויה, תצטרכו להגדיר ns1 ו ns2 Name Server Name Server הוא פשוט שרת DNS לרוב כאשר רוכשים שם מתחם, נאמר co.il. או com. ה Registrar יבקש שתזינו לו ns1 ו,ns2 הוא למעשה מבקש 2 כתובות של שרת DNS שלכם, דוגמה ns1.shushan.co.il ns2.shushan.co.il אלו הם שני שרתי DNS שלי, בתוך השרת אצלי יש שרת DNS שמפנה לשאר האתרים הקיימים בשרת זאת אומרת כאשר משתמש פונה ל shushan.co.il הוא תחילה פונה ל ) TLD אשר נקראים Root (Hints Root Hints כאשר אתם פונים במחשב הפרטי שלכם לדומיין כמו example.com אתם בעצם מתשאלים את ה DNS שלכם )לרוב הספקית אינטרנט( וכך למעשה מקבלים את הכתובת ה IP של האתר
.example.com אבל מה קורה בתוך שרת ה DNS עצמו? לשרת ה DNS עצמו יש אזור הנקרא Root Hints שבעצם נראה כך. מדוע נקודה? כיוון שהוא שרת ה DNS הגבוהה ביותר בהיררכיה 13, כתובות IP קיימות ל Root Hints השרתים האלו הם למעשה ה TLD והם מכילים את כל הכתובות הידועות בעולם מ com. ועד ) coffe. שקיים דרך אגב(, ברגע שבקשה מגיע לשרת ה DNS הוא יבדוק ברשומות אצלו אם הכתובת קיימת, אם היא לא קיימת הוא יפנה ל Root Hints השאילתה שתגיע ל Root Hints תעבור לשרת DNS שאחראי על סיומת Com ומשם תתקבל תשובה של מה הכתובת IP של example.com עברנו על כל ההסברים התיאורטיים, על מנת להבין יותר כיצד נראה שרת DNS ממוצע, בין אם הוא של מייקרוסופט או של לינוקס או של כל מערכת אחרת, עברו על המאמר כולו ובו אסביר עוד מונחים הקיימים בעולם ה.DNS Recursive and Iterative Query Iterative כאשר מחשב שולח שאילתה לשרת ה DNS הארגוני )הוא מבצע,(Recursive Query נאמר מה הכתובת של,mail.shushan.co.il השרת DNS הארגוני, בודק אצלו ב Zone ואם הוא לא מוצא הוא פונה ל ) Forwader הסברתי למטה מהו (Forwader השאלה הראשונה הזו נקראת Recursive Query אך עליה אסביר בהמשך, כעת אסביר על Forwader ועל Iterative Query Forwader הוא שרת DNS למשל של הספקית או של גוגל 8.8.8.8 למשל. כאשר שרת ה DNS לא מוצא את הרשומה אצלו הוא פונה לשרת ה DNS שרשום לו ב Forwader במקרה שלנו הוא יפנה ל 8.8.8.8 שרת ה DNS של גוגל
באותו הרגע השרת של גוגל יקבל שאילתה משרת ה DNS שלנו )הארגוני( מה הכתובת IP של?mail.shushan.co.il כעת יתחיל תשאול מסוג Iterative *השרת של גוגל יפנה ל Root Hints ויקבל ממנו תשובה שאינו יודע אבל הוא יודע ששרת co.il. יודע ויתן לו את הכתובת של שרת ה DNS של co.il. *כעת השרת DNS של גוגל יפנה ב Iterative Query וישאל את co.il. מי זה?shushan.co.il שרת ה DNS של co.il. יגיד לו שהכתובת של shushan.co.il זה 148.251.128.149 * כעת השרת של גוגל יפנה שוב ב Iterative Query לשרת ה DNS של Shushan.co.il וישאל אותו מי זה המחשב או השרת?mail *השרת Shushan.co.il יתן לו את התשובה שהכתובת של Mail.shushan.co.il זה גם 148.251.128.149 בגלל שתשובה זו הגיע מהשרת ה DNS של Shushan.co.il תשובה זו נקראת Authoritative Answer Authoritative הוא שרת ה DNS של היישות עצמה, נאמר שאלתם את Shushan.co.il מיזה mail.shushan.co.il אם השרת Shushan.co.il מגיב לכם שהכתובת זה 212.10.10.10 אז התשובה היא Authoritative תשובה מוסמכת שהגיע מהמקור עצמו כעת אחרי שהשרת DNS של גוגל קיבל תשובה מוסמכת Authoritative הוא יכול להגיד לשרת ה DNS הארגוני שלנו מה הכתובת ה IP של mail.shushan.co.il התשובה שהוא הולך לתת לשרת ה DNS הארגוני שלנו נקראת Recursive Query Recursive Query כעת השרת של גוגל 8.8.8.8 נותן ב ) Recursive Answer כיוון שהשרת DNS הארגוני כבר שאל ב (Recursive Query את הכתובת של mail.shushan.co.il והשרת DNS הארגוני יענה גם Recursive Answer למחשב ויאמר לו שהכתובת של mail.shushan.co.il זה 148.251.128.149
זהו.. כאן נגמר שאילתות ה Recursive & Iterative תשאול כתובת עד שרת ה DNS ו WWW WWW אם לא הכרתם את המונח, הוא מתאר World Wide Web וחלקכם חושבים שכל אתר עובד רק אם נקיש,WWW אז לא אפשר להכנס גם לאתר בלי,WWW כאשר אתם בונים שרת ווב ),(Web לרוב על פי קוד התנהגות, אמור להיות השם שלו WWW במציאות WWW היא רשומה בתוך ה Zone של השרת DNS שמפנה לשרת הווב נאמר אם אתם רוצים לגשת ל www.example.com זאת אומרת שאתם רוצים לגשת לרשומה בשם www בתוך הדומיין example.com תשאול לאחור כאשר שרת ה DNS מתשאל מה הכתובת של.www.example.com תמיד יש נקודה בסוף של הדומיין, ה. הזו היא תשאול של שרת ה Root Hints זאת אומרת התשאול הפוך, תחילה את ה Root Hints ואז את com. ואז את השרת ) Example רשומה הקיימת בתוך (com. ואז השרת DNS של Example נותן לכם את הכתובת של WWW כיצד התשאול הזה עובד בשלבים? כאשר מחשב רוצה לתשאל כתובת של אתר מסוים, נאמר www.example.com המחשב פונה לשרת ה DNS שלו )במקרה שלנו זה שרת ה DNS הארגוני או של הספקית( *התחנה פונה לשרת ה DNS *שרת ה DNS פונה ל Root Hints שהוא. *שרת ה Root Hints יפנה את שרת ה DNS שלנו לשרת ה DNS שמחזיק ברשומות של Com. *שרת ה DNS המחזיק ברשומות של Com. יפנה אותנו לכתובת IP של Exmaple.com *שרת ה DNS שלנו יתשאל את שרת ה DNS של Example.com ויתשאל אותו מה הכתובת IP של Example.com ושרת ה DNS של Example.com יגיד לו. *שרת ה DNS יחזיר את התשובה בחזרה למחשב ששאל אותו.
Windows Resolving DNS כאשר מחשב Windows רוצה לתשאל כתובת נאמר Shushan.co.il הוא יבצע סדר מסוים של תשאול ניסיון ראשון של תשאול DNS Cache הוא תחילה יפנה ל DNS Cahce במחשב, זאת אומרת אם בעבר הוא תשאל מה הכתובת של Shushan.co.il ויש לו את הכתובת IP ב Chache הוא יקח את הכתובת משם דוגמה קלאסית היא כאשר האתר שינה כתובת IP וכאשר אתם מנסים לגשת ל Shushan.co.il אתם מקבלים שגיאה, במצב זה תוכלו לנקות את ה Cache בכדי שהמחשב יתשאל שוב את שרת ה DNS מה הכתובת IP של Shushan.co.il על מנת לראות את ה Cache ששמור במחשב, נפתח CMD ונקיש ipconfig /displaydns ניתן להבחין שיש כתובות כמו DC1 ו,shushan.co.il עד שה TTL לא יגמר, המחשב לא יתשאל שוב את שרת ה,DNS לכן אם אתם רוצים לנקות את ה Cache ובכך המחשב יתשאל שוב את שרת ה DNS בצעו את הפקודה
ipconfig /flushdns במצב זה ה Cache יתרוקן, ואז המחשב יהיה חייב לתשאל את ה DNS בשנית ניסיון שני של תשאול Hosts
אם המחשב צריך לתשאל מיהו ) Shushan.co.il מה הכתובת ה IP שלו( ואין ב,Cache המחשב יפנה לקובץ ה Hosts הנמצא במחשב בנתיב c:\windows\system32\drivers\etc אם יהיה רשומה של כתובת + IP הכתובת של הדומיין, המחשב לא יתשאל את שרת ה DNS ויתן משתמש את כתובת ה IP מקובץ ה.Hosts על מנת להבין את זה יותר טוב, נעשה מעבדה קטנה נפתח את קובץ ה Hosts עם פנקס רשימות )חובה לפתוח את הפנקס רשימות עם הרשאות מנהל( נכניס לקובץ את הרשומה כך 192.168.1.10 shushan.co.il כתובת ה IP שאתם רוצים ואת הכתובת שאתם רוצים שתתורגם לכתובת ה IP הזו
כעת אם נפתח ) CMD אחרי שניקנו את ה,Cahce שכן המחשב קודם פונה ל (Cache נעשה פינג ל Shushan.co.il נקבל את הכתובת IP שהגדרנו בתור תשובה )זה הכתובת של השרת (DC1 ניסיון שלישי של תשאול DNS Server ברגע שהמחשב עבר לתשאל את ה Cahce ואת קובץ ה Hosts המחשב יפנה לשרת ה DNS הרשום אצלו כ DNS ראשי, ואם לא יצליח את הכתובת הראשונה הוא ינסה לפנות לשניה וגם אם שם יכשל לתשאל. הוא יוותר ויציג לכם שהוא לא הצליח להשיג את כתובת ה IP של הכתובת שביקשתם בתמונה ניתן להבחין שיש רק שרת DNS אחד והוא שרת ה ) DC שיש בו שירות DNS ועליו נעבור במהלך כל המאמר(
Windows Server DNS תחילה יש לבצע את המאמרים הבאים : התקנת Windows Server 2016 הגדרת DC Domain Controller ב Windows Server 2016 תוכלו לבצע גם את המדריך הבא הגדרת שרת Windows Server כ Router יציאה לאינטרנט מאמר זה יתן לכם לבצע עם מחשב שה DNS שלו פונה ל DC1 ויש לו גם רשת, תוכלו להגדיר גם מחשב PC1 שמחובר לרשת ו ה DNS שלו הוא השרת DC1 נתחיל
Windows Server 2016 ב DC Domain Controller כמו שהסברתי במאמר הגדרת בזמן הגדרת DNS )לא ניתן להסיר את ה DNS יותקן ה,Domain Controller במהלך התקנת ה (DC ולאחר מכן נעבור על כל המינוחים הקיימים בו DNS כעת נתחיל בכניסה למערכת הניהול של : נעבור על כל המינוחים הבאים, לכן חשוב לעבור על כל המדריך, לפי סדר המדריך DNS Zone Types A and AAAA Record Host Start Of Authority SOA Recrod DNS CNAME Or Alias Record Zone Transfers Tab DNS Recursive and Iterative DNS Root Hints DNS Name Server Tab DNS SRV (Service) Records Dynamic Updates Global Names DNS Pointer Record PTR DNS Mail Exchange MX Record DNS NetBIOS, Wins, DNS Suffix DNS DC קיימים על אותו SRV Records כיצד לבדוק איזה DNS Aging And Scavenging Round-robin DNS DNS Forwarding Forwarders and Conditional Forwarding DNS נכנס בשרת ל
נעבור כעת כל התיקיות שב DNS
Forward Lookup Zone מכילה את ה, Zone s למשל,tal.local כל תחנה או שרת בתוך Zone ה FQDN שלהם יהיה dc1.tal.local לכן כאשר אני אתקין מחשב חדש בשם,pc2 הוא אוטומטית יכנס ל Zone הזה. בתוך Forward Lookup Zone או כל Zone אחר ניתן ליצור Records שהם רשומות, נאמר והייתי רוצה ליצור את הכתובת הבאה TalPC1.tal.local שהכתובת IP שלו זה?192.168.1.200 אז הייתי יוצר רשומת,A Record כעת נעבור כל כל הרשומות קליק ימני על ה Zone שלנו יציג את כל הרשומות אותן ניתן ליצור רשומות
A Record & AAAA Record רשומה מסוג A היא רשומה מסוג IPv4 והיא מכילה את כתובת ה IP לכתובת מסוימת כל מחשב ברשת יחזיק ברשומה אחת לפחות ב DNS לדוגמה אם מחשב א מבקש משרת ה DNS מה הכתובת של? PC-1545 שרת ה DNS יבדוק ברשומות ה A Record וישלח לו תשובה, ה IP של PC-1545 הוא 192.168.3.142 רשומה מסוג AAAA זו אותה רשומה כמו A רק לכתובות IPv6 אז כיצד מוסיפים?A Record נלחץ על New Host בסוגריים A or AAAA
כעת ניתן להגדיר שם של רשת \ מחשב, דוגמה מחשב בשם,PC2 ניתן להבחין שהזנתי רק PC2 ולמטה כבר השלים ל PC2.tal.local וזאת בגלל שה Zone הוא tal.local Alias הוא רשומה מסוג כינוי, נניח שאני רוצה להגדיר ל DC1 עוד שם, נגיד,Domain זאת אומרת שבכל פעם שמשתמש יפנה ל Domain.tal.local הוא יגיע לכתובת IP שרשומה בתוך הרשומה DC1.tal.local אז למה להגדיר כינוי ולא?A Record תארו לכם שהכתובת של השרת DC1 משתנה כל כמה חודשים? אז ברגע שנגדיר כתובת IP חדשה לשרת,DC1 אז DC1 יעדכן את הרשומה שלו ב DNS לכתובת אחרת ו Domain יפנה תמיד לכתובת המעודכנת כיוון שהוא פונה לרשומה ולא לכתובת IP
Mail Exchanger MX Record היא רשומה מסוג שרת דוא ל, אם יש בארגון שלכם שרת דואר, חובה להגדיר כאן את הכתובת IP והשם של שרת הדואר שלכם, מדוע חייב להגדיר זאת? כאשר תפתחו את ה CMD ותקישו nslookup set type=mx shushan.co.il הכלי nslookup כשמו, הוא כלי לבדיקה של תשאול,DNS כאשר שרת דואר אחר רוצה לשלוח לשרת שלי דואר נאמר לכתובת,admin@shushan.co.il אז השרת דואר פונה לשרת shushan.co.il ומתשאל אותו מה רשומת ה MX שלך, שרת ה DNS שלי יגיב לו שזה
mail.shushan.co.il זאת הרשומה בשרת שלי מוגדרת כרשומת MX ושרת הדואר שלי הכתובת שלו היא ) mail.shushan.co.il שרת בשם (mail אז בוחרים את הרשומה A של השרת דואר ב Browse וזהו. לגבי,Mail Server Priority זה מוגדר כאשר יש כמה שרתי דואר ורוצים להגדיר שכאשר ה DNS נשאל על שרת דואר הוא יתן את זה בעדיפות הגבוהה ביותר, ואם השרת דואר הזה לא מגיב אז השרת הבא ברשימה וכן הלאה SRV Records מזהה את השרת אשר נותן שירותים ספציפיים, לדוגמה Global Catalog, ldap, kerberos, voip, im programs וכו ולרוב רשומה זו נוצרת אוטומטית על ידי אותו השירות מאמר נרחב יותר ניתן לקרוא כאן NetBIOS, Wins, DNS Suffix ניתן לקרוא כאן בהרחבה על שירותים אלו
DNSSEC הוא אינה רשומה, הוא פיצ ר אבטחה, ומוסבר במאמר הבא עד כאן הסברתי על רשומות, כעת נעבור ל Zone s Zone Zone מכיל רשימה של הרשומות עצמן של אותו ה Zone למשל אצלי tal.local הוא Zone וכל רשומה בו היא חלק מה,Zone ממש כמו בתמונה tal.local, הוא אזור המכיל את כל הרשומות, נאמר DC1 הוא למעשה DC1.tal.local
יצירת Zone חדש כעת ניצור Zone חדש ונעבור על ההגדרות, קליק ימני על ה ) Forward Lookup Zone אשר מכיל את כל ה (Zone s ואז New Zone
כעת לחצו על הבא Active ונגדיר אם זה יהיה Stub Zone או Secondary Zone או Primary Zone כאן נגדיר Primary Zone תחילה נבין מהו Directory Integrated Zone
Primary Zone הוא אזור ראשי של ה Domain שאנו מגדירים, הוא במצב של Read\Write זאת אומרת שניתן לקרוא ולכתוב אל ה,Zone זה בדיוק אותו ה Zone כמו של tal.local Secondary Zone הוא Zone מסוג,Read Only זאת אומרת שהוא שואב Zone משרת DNS אחר וניתן רק לקרוא ממנו ולא לכתוב אליו, מדוע נצטרך שרת מסוג זה? תארו לכם שרת DNS איטי שיש לנו והוא נמצא במיקום מרוחק, נוכל להעתיק את ה Zone על ידי Secondary Zone ובכך משתמשים שפתאום ירצו לגשת לכתובת נניח noy.com יפנו לשרת ה DNS שלנו ומה Zone של noy.com )שהוא (Secondary Zone יקראו את הכתובות משם. חשוב לזכור שהשרת DNS של noy.com חייב לתת לכם אפשרות של שכפול ה Zone שלו )נראה בהמשך כיצד מגדירים לשרת DNS שלכם לתת אפשרות לשרת DNS אחר להעתיק Zone ממנו( Stub Zone הוא Zone המכיל את כל שרתי ה DNS אשר הגדרנו כמאושרים על ידנו, נניח ולאתר noy.com יש 5 שרתי DNS ואני רוצה שכל פעם משתמש בארגון שלי יפנה ל noy.com נאמר למחשב PC1.noy.com הוא יפנה לאחד מחמשת שרתי ה DNS של?noy.com אז אצור Stub Zone ואכניס אליו את שרתי ה DNS של.noy.com Primary Zone In Bind File VS Active Directory Integrated Zone Active Directory Integrated Zone
בתמונה למעלה, יש V קטן שרשום בו,Store the zon in Active Directory אופציה זו אומרת שרשומות ה DNS ישמרו בקובץ ה ) NTDS.dit ה Database של,(Active Directory זאת אומרת שכל שרת DNS שנגדיר ב Domain שלנו יקבל את הרשומות הקיימות ב AD ובנוסף ברגע שמגבים את AD גם כל ה Zone והרשומות בתוכם ישמרו. מה יקרה אם תסירו את ה?V Primary Zone In Bind File אם תסירו את ה V ה DNS בעצם ירשום את כל ה Zone לקובץ בנתיב הבא C:\System32\Dns, במצב כזה שרת DC חדש עם שירות DNS לא יקלוט את ה Zone שיצרתם ובנוסף אם שרת ה DC הזה ייהרס או ימחק, אז ה Zone הזה ימחק איתו * ידוע כי ברוב הארגונים קיימים כמה שרתי DC ולכן Active Directory מגובה בכל אחד גם אם יהרסו כל השרתים וישאר אחד, כל רשומות ה DNS ישמרו אם נשאיר את ה V בתצורת Active Directory Integrated Zone בתמונה למעלה, יש V קטן שרשום בו,Store the zon in Active Directory אופציה זו אומרת שרשומות ה DNS ישמרו בקובץ ה ) NTDS.dit ה Database של,(Active Directory זאת אומרת שכל שרת DNS שנגדיר ב Domain שלנו יקבל את הרשומות הקיימות ב AD ובנוסף נמשיך כעת לחלון הבא
בחלון הבא הוא שואל אותנו האם לבצע רפליקציה של ה ) Zone העתקה בזמן אמת( לכל שרתי ה DC או רק לחלק מהם? לרוב משאירים את זה בברירת מחדל שזה לכל ה DC s כעת נגדיר את שם ה Zone עם הסיומת שלו
3 אפשרויות קיימות כאן : Dynamic Updates כאשר מחשב מצטרף לארגון )חייב להיות מצורף(, אז הוא יכול להתווסף ל Zone של הארגון ב ) DNS שבמקרה שלנו זה (tal.local באופן אוטומטי, אפשרות זו אומרת שכל מחשב )המצורף לארגון בלבד( יוכל לעדכן בעצמו את הרשומה זאת אומרת אם מחשב החליף ) IP בגלל DHCP או ביצע שינוי לשם המחשב וכו ( הוא יוכל לשלוח עדכון לשינוי הפרטים ב DNS ובכך מפחית את הניהול ה ידני של מנהל הרשת. ה FL חייב להיות Windows 2003 לפחות. Allow both Nonsecure and secure dynamic updates אפשרות זו אומרת שכל מחשב ברשת יוכל להכניס רשומות ל Zone הזה ב,DNS מצב זה מסוכן שכן מחשב שאני אקים יוכל להתחזות לשרת DC ובכך ליצור בעיה, או להקים שרת ) IIS אתר( שדומה לשם אתר ארגוני אחר ובכך להתחזות אליו, לכן אפשרות זו לא כדאית Do not allow dynamic updates אפשרות זו לא מומלצת כיוון שבמצב זה אתם תאלצו לעדכן את הרשומות ידנית בעצמכם כל הזמן, רק אם ה Zone הזה ייחודי ואינכם רוצים ששום מחשב או שרת בארגון יעדכנו אותו, הגדירו אותו במצב זה
לסיום לחצו על Finish כעת על מנת לבדוק שאכן ה Zone עובד, נכנס אליו וניצור רשומה מסוג A Record
לחצו על New Host A record כעת נגדיר נאמר מחשב בשם PC4 ואת הכתובת של ה Windows 10 שלנו
נעבור ל Windows 10 שלנו ושם נבצע פינג ל PC4.shushan.local Reverse Lookup Zone מבצע המרה הפוכה, זאת אומרת כתובת IP לכתובת שם, אם נפתח CMD ורשום ping -a 192.168.1.100 נקבל בסוגריים את שם התחנה, זה מבוצע על ידי ה Reverse Lookup Zone רשומה בתוך Zone זה נקראת PTR Record על מנת ליצור Reverse Lookup Zone נלחץ קליק ימני ואז New Zone כמו בתמונה
הבא גם כאן אפשר להגדיר האם זה Primary או,Secondary אנחנו נגדיר ) Primary כפי שהוסבר למעלה(
גם כאן הבא כאן נגדיר האם זה IPv4 או IPv6 מסוג Reverse Lookup Zone אנחנו משתמשים ב IPv4 ולכן נלחץ הבא
כעת נגדיר את הרשת שאנחנו רוצים שתוגדר כ Reverse Lookup Zone גם כאן, האם לתת למחשבים בארגון לעדכן רשומות או לא לחצו על הבא
לחצו על הבא וסיום, זהו הגדרתם!Reverse Lookup Zone Conditional Forwarders הוא למעשה מעביר בקשת DNS בתנאי ש זאת אומרת שאם מחשב בארגון רוצה להגיע ל example.com ואני רוצה שהוא ישתמש בשרת DNS הבא ) 1.1.1.1 שרת DNS של חברת (Cloudflare על מנת לשאול מה הכתובת IP של Example.com על מנת לבדוק אם זה אפשרי, נוכל לבדוק זה על ידי יצירת Conditional Forwarders נבדוק מצב בו מחשב PC1 רוצה לגשת לאתר shushan.co.il ובכל פעם שיתשאל את ה DNS שלנו, מה הכתובת IP של Shushan.co.il השרת DNS שלנו יפנה ל 1.1.1.1 ולא ל ) 8.8.8.8 שרת ה DNS של גוגל שמוגדר בשרת כברירת מחדל( לחצו קליק ימני ואז New Conditional Forwarders
כעת ב DNS Domain נזין את האתר Shushan.co.il, בכתובת IP בחלון למטה, נזין את שרת ה DNS שהוא 1.1.1.1 ואז OK כעת אבצע עם הכלי nsloookup תשאול של google.com ו,shsuhan.co.il בתמונה ניתן
לראות שהשרת 192.168.1.10 שהוא ה DC1 שלנו תרגם את הכתובות, אבל מי תרגם כל כתובת? הרי שרת ה DNS שלנו לא יודע מה הכתובת של google.com ולא של Shushan.co.il הוא פנה לשרת DNS אחר שכן יודע, ציינתי בתמונה למי השרת 192.168.1.10 פנה על מנת לתשאל את הכתובת שהזנתי לו, כמו שהסברתי ) Shushan.co.il ה (IP הגיע מ 1.1.1.1 Aging/Scavenging הוא פיצ ר שאחראי על כך שרשומות שעבר הרבה זמן ולא ביצעו עדכון ימחקו, זה תקף לכל ה Zones הקיימים בשרת ה DNS על מנת להגיע לאופציה זו נלחץ קליק ימני על השרת עצמו )כמו בתמונה( ואז Aging/Scavenging
כעת סמנו ב V ואז OK זאת אומרת שאתם מגדירים כאן שכל 7 ימים יבוצע בדיקה של אילו רשומות לא התעדכנו ואז ימחקו. מאמר נרחב שכדאי לקרוא בנושא זה הוא DNS Aging And Scavenging
כעת נלחץ שוב קליק ימני ואז Properties בחלון ה Interfaces נוכל להבחין לאילו כרטיסי רשת יתחייס שרת ה DNS ומאיפה הוא יקבל שאילתות
Forwarders אחד האפשרויות היותר חשובות בשרת ה.DNS כאשר מחשב נאמר PC1 מתשאל את שרת DNS מיהו Shushan.co.il שרת ה DNS תחילה מסתכל ב Zones שלו ואם לא מצא את הכתובת הוא מעביר את השאילתה לשרתי DNS הנמצאים בתוך ה Forwarders לכן חייב שיהיה בשרת Forwarder לפחות אחד, רוב הארגונים מכניסים את הספקית או את 8.8.8.8 שרת ה DNS של חברת גוגל או של 1.1.1.1 של חברת Cloudflare האפשרות הבאה היא מתקדם, כאן החלק היותר מעניין הוא ה,Round Robin קראו את המאמר הבא על מנת להבין אותו יותר טוב )המאמר הוא בשרת Server 2008 אבל פאנל הניהול של DNS לא השתנה
Root Hints אלו הם 13 שרתים עם כתובות ה IP שלהם, זה ההיררכיה הגבוהה ביותר בשרת ה,DNS ברגע שהשרת לא יצליח לתרגם כתובת של אתר, הוא יפנה לאחד משרתי ה Root Hints ויתשאל אותם על מנת לקבל תשובה ואת התשובה הזו יעביר למחשב ששאל את הבקשה
כעת נעבור לאפשרויות של,Zone ניתן לבחור כל Zone אבל אנו נבחר ב Zone הראשי של הארגון נלחץ על Properties
כאן ניתן להגדיר אם ה Zone הוא active directory integrated zone ואם הוא ישכפל את ה Zone לכל שרתי ה DNS בארגון אופציה נוספת היא להגדיר לו אם הוא יהיה ) Dynamic Updates עברנו על נושא זה למעלה( SOA הוא מידע על שרת ה,DNS הוא סוג של רשומה, מאמר נרחב על נושא זה כתוב כאן, היכנסו וקראו עליו
Name Servers כאן יהיו רשימת שרתי ה DNS של הארגון וכל שרתי ה DNS המקושרים ל DNS זה
Zone Transfers אפשרות זו חשובה מאוד, גם בנושא אבטחת מידע, כאן ניתן להגדיר אילו שרתים יוכלו להעתיק את ה Zones הקיימים בשרת ה DNS שלנו, אם נסמן V יהיה לנו 3 אפשרויות To any Server מסוכן מאוד, זה אומר שכל שרת DNS או משתמש עם nslookup יוכל לקבל או להעתיק את כל הרשומות ובכך לקבל את רשימת כל המחשבים והשרתים בארגון only to servers listed on the name server tab זה אומר שרק שרתים הנמצאים בטאב ) Name Server מוסבר סעיף אחד למעלה( יקבלו גישה, אופציה זו יותר הגיונית אם רוצים להפעיל אפשרות זו only to the following server זה אומר שרק שרתים שתכניסו לרשימה יוכלו לקבל עותק של כל ה Zones
Split Brain DNS מצב זה קורה כאשר מוגדר שרת DNS הנמצא בתוך הארגון והדומיין הוא נניח tal.com וקיים עוד שרת DNS היושב ב,DMZ שרת זה מקבל שאילתות מאנשים הגולשים באינטרנט וכאשר הם מתשאלים מיהו tal.com הם מגיעים לשרת ה DNS החיצוני )היושב ב (DMZ ומקבלים ממנו תשובה ואילו משתמשים בארגון משתמשים בדומיין tal.com ומתשאלים אותו )לרוב שניהם מחזיקים את אותו ה (Zone במצב כזה תוקף יכול לתקוף את שרת ה DNS החיצוני ולקבל את כל הרשומות הקיימות בו ובכך לסכן את הארגון )התוקף יקבל רשימה של כל המחשבים והשרתים בארגון( במצב כזה מייקרוסופט ממליצה על,Split Brain DNS זאת אומרת ליצור שני שרתי מופרדים לחלוטין ובכלל מההתחלה לקרוא לדומיין הארגוני tal.local ולשרת ה DNS החיצוני את הדומיין האמיתי שהוא tal.com ובכך הרשומות היחידות שעל השרת DNS tal.com הם למעשה של שרתי ה ווב ושאל האפליקציות שהמשתמשים מבחוץ משתמשים ואילו משתמשי הארגון ישתמשו ב DNS הארגוני שהוא tal.local ביצוע Escalation Privilege בעזרת
Task Scheduler ממשתמש רגיל ל Domain Admin כל הזכויות שמורות לטל בן שושן Shushan.co.il ביצוע Privilege Escalation בעזרת Task Scheduler ממשתמש רגיל ל Domain Admin במאמר זה נראה כיצד נשתמש בסוג של חולשה Task Scheduler, למעשה יכול להריץ פקודה עם הרשאות גבוהות של Domain Admin כך למעשה, יכול משתמש עם הרשאות של מנהל מקומי Local Administrator להריץ פקודה שתכניס את המשתמש שלו ל Domain Admin מבלי שמנהל הארגון יבחין בכך ואפילו תוך כדי התהליך הוא זה שבעצם יתן למשתמש הרשאות של Domain Admin על מנת להבין יותר טוב את החולשה הזו, נצטרך שרת DC מחשב המצורף לדומיין והמשתמש שבו מנהל מקומי )מה שקיים בהרבה ארגונים( תחילה נתחבר למחשב לדוגמה PC1 שהוא Windows 10 עם המשתמש שהוא מנהל מקומי ונפעיל את Task Scheduler
חדש Task כעת ניצור Change User Or Group נלחץ על
נלחץ על מיקומים
נבחר בהספריה כולה ואז נחפש את Administrator או משתמש שהוא Domain Admin בארגון
Run With Highest Privileges כעת נסמן למטה
נעבור ללשונית Triggers ואז New
At Logon ל Begin the task נשנה את ה
כעת נלחץ על הלשונית Actions ואז New
ולמטה את הפקודה net.exe כעת נכניס group Domain Admins tal /add /domain
כעת נתקשר \ נבקש \ נשלח מייל וננסה לבצע Social Engineering בכך שננסה שמנהל הארגון יתחבר למחשב ב RDP וברגע שהוא יתחבר הוא למעשה יריץ את הסקריפט \ Task Scheduler ובכך מבלי להבחין הוא יוסיף את המשתמש tal ל Domain Admins כעת נדמה שמנהל הארגון מתחבר למחשב הזה ב RDP
מנהל הארגון מזין את הסיסמא ומתחבר הוא התחבר ולא מוצג לו שום התראה
אבל אם נבדוק את Active Directory נוכל להבחין שהמשתמש התווסף ל Domain Admins
Linux DNS כל הזכויות שמורות לטל בן שושן Shushan.co.il
Linux DNS במאמר זה אני אתן הסבר קצר DNS והרחבה תוכלו לקרוא במאמרים רבים על DNS הנמצאים באתר, DNS הוא קיצור של Domain Name System ומטרתו היא לקחת כתובת )שם( ולהמיר אותה לכתובת IP וזאת במטרה לחסוך מבני אדם לזכור כתובת IP של כל אתר ואתר לדוגמה : קיים האתר,104.24.112.198 אם תקישו אותו בשורת הכתובות תגיעו לאתר מסוים, אבל בעזרת DNS נוכל לתת שם לדוגמה shushan.co.il שמפנה לכתובת ה IP שהשם שמופנה אליה הוא 104.24.112.198 בחיפוש באתר ל DNS תמצאו הסבר לכל רשומה והסברים נוספים ל DNS בהרחבה https://shushan.co.il/?s=dns נתקין את Bind [root@localhost ~]# yum install bind bind-utils נערוך את [root@localhost ~]# vi /etc/named.conf בשורה הראשונה אחרי } options נוסיף את כתובת ה IP של השרת שלנו. ;} ; listen-on port 53 { 127.0.0.1;192.168.1.100 בשורה השביעית אחרי השורה,listen-on port נוסיף את טווח הרשתות שלכם שיבצעו שאילתות אל מול שרת ה DNS ;} allow-query { localhost;192.168.1.0\24 או תוכלו להזין ;} allow-query { any ***אם נרצה, נוכל להוסיף גם, forwarder אני כרגע לא מוסיף ;} forwarders {8.8.8.8
שרת DNS נוסף כגיבוי *אני לא מוסיף שרת נוסף במדריך זה* אם יש לכם שרתי DNS נוספים שאתם רוצים להגדיר הוסיפו את השורה הזו ושנו את האייפי ל IP של השרת השני שלכם, גם כאן אני כרגע לא מוסיף שרת נוסף *את השורה הזו אתם מוסיפים מתחת ל ; file tal.zone בהסבר למטה, הכתובת כמובן צריכה להיות של השרת המשני ;} ; allow-transfer { 192.168.1.105 ** שרת DNS משני נקרא Slave כאשר הראשי נקרא,Master אתם בטח שואלים למה צריך להיות הגדרה מיוחדת? הסיבה היא כמובן שלא תרצו לעדכן 2 שרתי DNS כל הזמן באופן ידני, אלא ליצור שרת נוסף כגיבוי אם וכאשר Master יפול, יקח שרת ה Slave את הפיקוד וכאשר שרת ה Master יחזור, השרת יתשאל את Slave אם היה עדכונים לרשומות ויעדכן את עצמו בהתאם. ובשרת המשני בקובץ ה,vi /etc/named.conf נערוך אותו ונשנה את ההגדרות כמו ההגדרות למעלה ובתחתית המסמך נוסיף { " zone "com ; type slave ; } masters {192.168.1.100 ;" file "tal.local ;} יש כמובן להוסיף ns2 ל Master כעת נלך לסוף הקובץ ונוסיף
zone "com" IN { type master; file "tal.zone"; }; zone "1.168.192.in-addr.arpa" IN { type master; file "1.168.192.in-addr.arpa.zone"; }; אם יש שגיאות בהגדרות הקובץ, נבדוק על ידי הפקודה, כעת שמרו וסגרו את הקובץ named-checkconf /etc/named.conf אם לא קיבלתם כלום מעולה! אם קיבלתם תקנו את מה שצריך ומהשיכו )סוג של טבלה הממירה את IP קובץ זה יכיל את השמות וכתובת ה,Bind כעת ניצור את הקובץ (IP השמות לכתובות [root@localhost ~]# cd /var/named/ ניצור את הקובץ [root@localhost ~]# touch tal.zone כעת נערוך אותו [root@localhost ~]# vi tal.zone נכניס את כל הערכים הבאים $TTL 86400 @ IN SOA com. root.tal.com. ( 1 ;Serial 3600 ;Refresh 1800 ;Retry 604800 ;Expire 86400 ;Minimum TTL ) @ IN NS com @ IN A 192.168.1.100 @ IN A 192.168.1.100 com IN A 192.168.1.100 tal IN A 192.168.1.100 web.tal IN A 192.168.1.105
נוכל לבדוק על ידי הפקודה הבאה האם הקובץ תקין [root@localhost ~]# named-checkzone com /var/named/tal.zone Reverse Zone *ניתן כך בדיוק לבדוק גם את ה ניצור את הקובץ,Reverse Zone כעת נגדיר את ה [root@localhost ~]# touch 0.26.172.in-addr.arpa.zone נערוך אותו [root@localhost ~]# vi 0.26.172.in-addr.arpa.zone נכניס לתוכו $TTL 86400$ @ IN SOA tal.com. root.tal.com. ( 1 ; Serial 10800 ; Refresh 3600 ; Retry 604800 ; Expire 604800) ; Minimum TTL @ IN NS com. 100 IN PTR mail.tal.com. 105 IN PTR web.tal.com. 100 IN PTR mail2.tal.com. ניתן הרשאות כתיבה לקובץ Root אך קודם נחזור לתיקיית ה [root@localhost ~]# cd / [root@localhost addr.arpa.zone/ ~]# chmod 777 /var/named/0.26.172.in- [root@localhost ~]# chmod 777 /var/named/tal.zone Firewall ב DNS שהוא 53 כעת נגדיר את פורט [root@localhost ~]# firewall-cmd port=53/udp --permanent --zone=public --add-
[root@localhost ~]# firewall-cmd --reload ולסיום נבצע ריסטארט לשירות [root@localhost ~]# systemctl restart named כעת נגדיר את ה DNS שיצרנו במחשב ווינדוס שלנו ונפתח cmd נקיש [root@localhost ~]# nslookup server 192.168.1.100 tal.com והוא אמור לתת לנו את הכתובת, 192.168.1.100 נבדוק כתובת נוספת, זוכרים שכתבנו 192.168.1.105 בטבלת ה DNS שלנו, נרשום כעת web.tal.com כעת נקבל 192.168.1.105 מעולה!! יצרתם שרת! DNS
צירוף מחשב לדומיין Windows 10 Domain Join צירוף מחשב ל Domain צירוף מחשב לדומיין Windows 10 Domain Join צירוף מחשב ל Domain במאמר זה נראה אך מצרפים Windows 10 אל דומיין \ הארגון זאת אומרת המחשב יהיה חלק מהארגון, יקבל GPO מה DC וינוהל על ידי ה DC קודם כל נגדיר כתובת IP למחשב אם בארגון,DHCP נלחץ קליק ימני על ההתחל ואז על Run כל הזכויות שמורות לטל בן שושן Shushan.co.il
Enter ואז NCPA.CPL נרשום
נלחץ קליק ימני על כרטיס הרשת של המחשב ואז Properties
Internet Protocol Version 4 כעת על
נגדיר את פרטי הרשת, במקרה זה נתתי את הכתובת 192.168.1.15 255.255.255.0 אם יש נתב אז הגדירו Default Gateway והגדרתי DNS שהוא שרת ה DC שלנו, שכן אנחנו צריכים שהוא יתקשר עם ה DNS של ה DC שלנו ולכן זה 192.168.1.10 כעת לחצו על OK
כעת פתחו את סייר הקבצים
לחצו קליק ימני על This PC ואז Properties
Advanced System settings כעת לחצו על
לחצו על הלשונית Computer Name
Change כעת על
כעת תנו למחשב שם, נתתי את השם PC1 לחצו על Domain ואז הזינו את כתובת הדומיין, במקרה אצלי זה Shushan.co.il אך אצלכם זה השם שנתתם ל Domain שלכם
כעת אתם חייבים להקיש את שם המשתמש שמנהל את ה Domain ואת הסיסמא )אל תשכחו לפני להכניס את הדומיין (Shushan\Administrator ולחצו על OK
כעת תקבלו הודעת ברוכים הבאים לדומיין אם קיבלתם שגיאה, בדקו שכרטיס הרשת של ה DC שלכם והמחשב עם כתובות תקינות ובאותו הטווח בדקו שכרטיסי הרשת נמצאים באותו הסוויצ ואם זה VM אז באותו ה סוויצ הווירטואלי בדקו שהזנתם את שם הדומיין נכון וה DNS של המחשב שלכם מפנה ל DC
לחצו על OK
Close וכעת
בצעו ריסטארט למחשב
כעת המחשב עלה, אך הרבה טועים כאן ומזינים ישר את הסיסמא וחושבים שהם התחברו למחשב דרך המשתמש של הארגון, ניתן לראות ש Shu-PC זה ה User הלוקאלי המקומי של המחשב ולכן יש ללחוץ על ) Other User מסומן באדום בתמונה(
וכעת ניתן לראות שאתם תתחברו לדומיין שכן רשום למטה Shushan שכן זה שם הדומיין שלי
אבל!! ברגע שתרשמו,Administrator הדומיין ישתנה ל PC1 שזה המחשב המקומי, מדוע? כי למחשב יש יוזר מקומי ששמו Administrator ולכן הוא חושב שאתם רוצים להתחבר מקומית ולא לדומיין אז מה עושים?
אתם חייבים להוסיף Shushan\ The Name Of The Domain זאת אומרת את הדומיין ואז \ ואז את היוזר שהוא Administrator כמו בתמונה
נזין את הסיסמא
זהו! התחברתם ואפילו תוכלו לבדוק ב AD אם המחשב הצטרף לדומיין ב Container ששמו Computers
CSMA/CA As a Collision Domain vs CSMA/CD Access Method כאשר מעוניינים לשלוח מידע יש לבדוק מתי ניתן לשלוח את המידע, דוגמה טובה היא ההשוואה בה נמצא מרצה מול כיתה, המרצה שאל שאלה וענו 3 תלמידים ביחד )בטון גבוהה( במצב כזה
הרצה לא ישמע את התשובות. כך גם בעולם התקשורת בו לא ניתן לשלוח את המידע באותו הזמן מחשש שיתנגש אחד בשני, במצב כזה צריכים לקבוע סט חוקים בהם פועלים על מנת למנוע התנגשות ואם הייתה התנגשות כיצד נשלח את המידע שוב ובפעם הזו הוא לא יתנגש. ההסבר כאן מציג את התצורה בה מחלקים אזורים לאזורי התנגשות ומה עושים אם יש התנגשות ואך מונעים אותה. כל הזכויות שמורות לטל בן שושן Shushan.co.il Collision Domain עולם התקשורת מחולק ל מחוזות התנגשות איפה יכול להיות התנגשות ומה עושים על מנת להימנע ממנו, בעולם התקשורת הישן ה HUB או ה MAU היו נמצאים בדיוק באזורים אלו ואילו ה Bridge הוא זה שהיה מחלק כל אזור אחר שלו ל Collision Domain בגלל שה Hub מבצע Braodcast לכל המחשבים המחוברים אליו לא היה כל אפשרות למנוע התנגשות, מחשב 1 שולח מידע ומחשב 2 באותו הזמן שולח גם, מה יקרה? המידע יתנגש אז אך זה נראה, מבחינת שרטוט ניתן לראות שה Bridge הוא למעשה לא מעביר את ה Broadcast אלא מחזיק רשימת כתובות MAC ואם ההודעה מיועדת לצד השני הוא יעביר את זה ואילו כל HUB מבצע Broadcast למחשבים המחוברים אליו ולכן נקבל 2 אזורים שהם מחוזות התנגשות Collision Domain לעומת זאת ב Switch כל פורט הוא Collision Domain בפני עצמו ובגלל זה ניתן להגדיר ל Switch לעבוד ב Full Duplex בו הוא יכול גם לקבל וגם לשדר.
CSMA/CA Carrier Sense Multiple Access Collision Avoidance הוא שיטה למניעת התנגשות בעת שידור בתווך. -Carrier Sense המחשב מאזין לתווך )צורת שידור, אלחוטי, כבל וכו ( באם מחשב אחר משדר בתוך התווך ימתין ובאם פנוי יתחיל הוא לשדר -Multiple Access לא צריך לקחת תורות באותו חיבור אלא ניתן להאזין במקום לנתק ואז לחבר שוב נוסף על כך הוא למעשה מאפשר למספר מכשירים )דוגמת מחשבים( לשלוח מידע לתווך ולחלוק את הנפח שהוא יכול להעביר וליצור את אותו המצב של, Multiplexing רשתות בהן יתרחש Multiple Access למשל Ring,Bus,Wireless ו Half Duplex רשת בתצורת Full Duplex לא תחשב לא כ Multiple Access- -Collision Avoidance על ידי האזנה לתווך, יאזין המחשב לתווך ויבדוק אם מחשב אחר
משדר בו באם משדר ימתין מחזור זמן מסוים עד אשר ינסה שוב. *אם מדובר ברשת אלחוטית שמצב בו יכול להיות Hide Node Problem אז הוא יבצע RTS\CTS מצב בו המחשב שולח RTS פירוש (Request To Send): לתווך אם הוא קיבל תשובת CTS פירוש (Clear To Send) : הוא יודע שהתווך פנוי והוא יתחיל בשליחת החבילה שהוא מעוניין בה באם לא קיבל CTS הוא יודע שהתווך תפוס והוא ימתין לשליחה CSMA/CD Carrier Sense Multiple Access Collision Detection שיטה לתיקון התנגשות אשר קרתה בתווך את Carrier Sense את Multiple Access הסברתי, אך מהו ה Collision Detection זיהוי התנגשות, זיהוי התנגשות הוא למעשה בודק את התווך באם פנוי ובאם פנוי הוא שולח את החבילה ואז מבצע בדיקה האם קרתה התנגשות ואם כן קרתה התנגשות הוא יבצע Collision Detection Procedure תהליך זיהוי התנגשות הוא יבצע Jaming הוא ישלח את החבילה שוב ושוב אך על מנת לא למצוא את עצמם מתנגשים שוב אחד בשני הם יבצעו Exponential Backoff לאותו Backoff יש Counter שבו הוא סופר מתי לשלוח את החבילה שוב, אותו Counter קובע מספר שרירותי וזאת על מנת שהמחשב ששלח את החבילה שלו יקבע גם זמן שרירותי וכן בפעם הבאה שהם ישלחו את החבילה היא לא תתנגש שוב ואך החישוב הזה מבוצע? שכן שתי החבילות בגודל שונה, הוא יבצע ) Exponential Backoff אלגוריתם( על פי כמות ההתנגשויות שהתרחשו
Broadcast Domains Broadcast Domains One Broadcast Domain הוא למעשה Broadcast אחד שבו כולם נמצאים באותו ) Collision Domain כל הפורטים נמצאים ב (Collision Domain בדיוק כמו מחשבים המחוברים ל HUB שבו המחשב רוצה לשלוח הודעה למחשב הנייד ה HUB יבצע הצפה Broadcast לכל הפורטים שלו HuB לעומת זאת גם Switch נמצא ב Broadcast בגלל שגם Switch יבצע הצפה ב ARP אם אינו יודע את ה Mac Address של מחשב מסוים אבל כל פורט ב Switch נמצאים ב Collision Domain
אחר ומה שיפצל לנו את ה Broadcast Domain לשניים הוא ראוטר! שכן ברגע שה Switch מבצע הצפה Broadcast הראוטר לא יעביר את ה Broadcast ובכך לא נותן לו לעבור ומשאיר את ה Switch ב Broadcast אחד, אז כמה Broadcast Domain יש לנו בשרטוט למטה? 2 כל הזכויות שמורות לטל בן שושן Shushan.co.il switch