Active Directory от простого к сложному (AD15)

Служба рассылок MailList.ru компании АГАВА

Архив рассылки Active Directory от простого к сложному

Не показываются картинки?

Продолжение начало смотрите здесь.

Способы хранения зон DNS.

В Windows Server 2003 существует три метода хранения зон DNS, а именно:

• хранение зоны в отдельном файле,
• хранение зоны в доменном разделе каталога,
• хранение зоны в разделе приложений.

Рассмотрим каждый из этих способов хранения зоны. 

Хранение зоны в файле.

Этот метод есть традиционный метод хранения зон DNS описанный в спецификациях DNS. При таком методе хранения зоны вся информация о зоне хранится в специальном текстовом файле. Имя файла образуется из "названия зоны" с расширением ".dns". 

К примеру в случае если мы решили сохранить информацию о зоне нашего домена RK.COM то у нас это информация на сервере будет сохранена в файле "rk.com.dns". На DNS сервере мы можем располагать и несколько зон, и в данном случае каждая зона будет иметь свой отдельный файл, смотрите рисунок 1. На рисунке показан еще файл зоны xu.com. Такой метод хранения является достаточно простым методом хранения зон и более старым, по сравнению с остальными которые приведены здесь. Именно такой метод применяется для хранения зон в Windows NT 4. 

Рисунок 1.

Хранятся данные файлы с окончанием dns в папке %SystemRoot% \system32\dns.

При таком методе хранения зоны в случае необходимости администратор всегда может перенести зону на любой другой DNS сервер и редактировать ее в любом текстовом редакторе. Формат такого файла смотрите рисунок 2.

  Рисунок 2.

На рисунке в данном файле мало записей так как данный файл создан только для примера, в жизни такие файлы куда более насыщены информацией но формат записей такие же как и на рисунке 2.

Хранение зоны в доменном разделе каталога.

Этот способ хранения нас в данном случае больше всего интересует так как мы затронули тему DNS по причине изучения Active Directory, который трудно понять без знания принципов функционирования службы DNS.

В Windows Server 2003 служба DNS может быть интегрирована с службой каталога Active Directory и это дало возможность разместить зону DNS в области Active Directory, то есть зона становится одним из контейнеров Active Directory который содержит ресурсные записи зоны. Из каких логических контейнеров (разделов) состоит Active Directory вы можете посмотреть здесь.

Зона которая хранится в каталоге Active Directory получила название - "зоной интегрированной в Active Directory" (Active Directory integrated zone).

Надо заметить что подобный метод хранения зоны возможен только в случае когда служба DNS установлена на контролере домена. А что такое контролер домена Вы если читали рассылку с начала должны помнить. Но я напомню вкратце. Контролер домена считается компьютер на котором установлена служба каталога Active Directory. 

Для размещения зоны DNS используется доменный раздел Active Directory (о разделах Active Directory смотри здесь). 

Размещение зоны в Active Directory позволяет задействовать множество механизмов Active Directory и в первую очередь механизм репликации Active Directory который распространяется и на службу DNS. Это связано с тем что при интеграции зоны DNS в Active Directory зона рассматривается как объект Active Directory и любое изменение на одной из копий зон, будет приводить к распространению этой информации на все остальные копии по правилам репликации Active Directory которые мы уже рассмотрели в других статьях на сайте и в рассылке.  

Но стоит отметить что, хранение зоны в доменном разделе каталога  Active Directory имеет и некоторые недостатки. Поскольку информация о зоне размещается в доменном контексте  Active Directory, то как мы знаем о репликации (смотри здесь) информация реплицируется только в пределах домена. Данный факт делает невозможным хранение зоны на DNS-серверах, расположенных в других доменах. Следует также отметить что, поскольку зона размещается в доменном разделе, она реплицируется на все контроллеры домена, согласно параметрам по умолчанию, а это лишает администратора возможности указать, на каких именно контроллерах домена необходима информация о зоне.

Хранение зоны DNS в разделе приложений.

Данный метод работает только в Windows Server 2003 и только так как реализован впервые на данной сетевой операционной системе. 

Само название говорит что зона будет хранится в разделе приложений Active Directory (application partitions). Характерной  особенностью данного метода хранения зоны DNS есть то что администратор может избирательно  размещать раздел приложений и размешать данный раздел приложений только на тех контроллерах домена, что являются DNS-серверами. На других контроллерах домена реплика подобных разделов не создается. 

Зоны заглушки

Зона заглушка (stub zone), новый тип зоны которая появилась в Windows 2003.  Зона-заглушка вместо всех записей зоны хранит лишь записи Start of Authority (SOA), Name Server (NS) и связывающую A-запись (о типах ресурсных записях смотрите здесь). Благодаря зонам-заглушкам DNS-сервера Windows 2003 создают зоны, которые отличаются от зон созданных и находящиеся на стандартных первичных и вторичных DNS-серверах. В зонах на стандартных первичных и вторичных DNS-серверах содержится полный экземпляр файла зоны, а в зоне-заглушке хранится лишь минимальный файл зоны. Другими словами, единственная информация, которую можно получить от DNS-сервера с зоной-заглушкой для данной зоны, — это имена DNS-серверов и сведения о том, какой из них является первичным DNS-сервером зоны. 

IP-адрес определенной хост-машины в зоне из зоны-заглушки получить нельзя.

Примечание: С зонами заглушками в Windows 2003 связано одно существенное ограничение, а именно - зона заглушка не может быть создана на DNS - серверах, которые одновременно выступают в качестве носителя полной версии зоны.

Чем может быть полезна зона, которая лишь сообщает, какие серверы являются серверами имен зоны? Предположим что у нас есть домен rk.com имеющий большую зону с огромным количеством записей в ней. Учитывая то что зона большая то и количество серверов DNS в ней естественно будет большим что бы обслуживать запросы клиентов, снизить сетевой трафик и повысить надежность зоны. Администраторы сети при проектирование сети создали первичный DNS и группу вторичных DNS-серверов, ну все как положено в таких случаях. 

Но в процессе работы, при анализе сетевого трафика выяснилось, что DNS-серверы тратят больше времени на синхронизацию копии зоны (приведение к одинаковости всех копий зоны находящихся на других DNS серверах (передача зоны смотрите здесь) от первичного DNS-сервера, и тем самым тормозят работу первичного сервера DNS данной зоны и создают избыточный трафик в сети, нагружая сеть. То есть, создают избыточный трафик на синхронизации копии зон , чем на рассылку ответов по разрешению имен.

Проанализировав данную ситуацию с учетом большого трафика между основным DNS сервером и вторичными DNS серверами сетевые администраторы пришли к выводу что необходимо преобразовать некоторое количество вторичных DNS серверов в DNS сервера с зонами заглушками. В этой ситуации если DNS-серверы получают запрос по разрешению имен относительно rk.com, то они не дадут ответа, но им известно, на какой сервер точно нужно направить запрос. То есть DNS серверы не создают некие, допустим рекурсивные запросы по разрешении имени rk.com и не проходят всю иерархию DNS серверов в поисках ответа на запрос о rk.com, и данный процесс упрощается, а именно - запрашиваемый DNS сервер задает вопрос DNS серверу содержащий зону заглушку и зона заглушка передает ответ с указанием сервера DNS который точно ответственен за разрешение имен запрашиваемого ресурса. 

И еще при создание DNS серверов с зонами заглушками в процессе разрешения имени не вовлекаются корневые серверы DNS что очень важно и полезно для всех живущих на просторах интернета.

Кроме того серверы с зонами заглушками играют роль серверов кэширования (как практически все DNS-серверы) что убыстряют ответ на запрос так как не обязательно просматривать базу данных зоны а запрашиваемые данные извлекаются из кэша. 

То есть, как мы видим из приведенного примера, как бы происходит локализация запросов. И если говорить по большому то - 

основное назначение зоны заглушки - идентификация DNS - серверов способных выполнить разрешение имени принадлежащей к данной зоне.

Еще одно применение зон заглушек в Windows Server 2003 это организация взаимодействия двух лесов доменов. В таком сценарии в каждом лесу имеются собственные корневые серверы (о лесах и корневых серверах смотрите здесь и здесь). Так вот создавая зоны заглушки сетевой админ может создать ссылки на домены расположенные в другом пространстве имен.

И еще, маленькая зона-заглушка быстро обновляется, поэтому не создает серьезной нагрузки на оперативную память и процессор DNS-сервера, а также не загружает сетевой трафик. Содержание зоны заглушки в активном состоянии происходит как и для обычной зоны. Периодически один из носителей полной зоны выполняет обновление зоны заглушки передавая необходимые ресурсные записи с учетом требуемых ресурсных записей для данного типа записей. Конфигурация процесса передачи зоны определяется параметрами записи SOA данной зоны и мы их рассмотрели в предыдущей теме.  

Тут можно было бы закончить но что бы понять лучше что такое зоны заглушки и механизм условных пересылок запросов которые схожи надо в данном контексте рассмотреть и данный механизм.

Условные пересылки запросов (conditional forwarding) 

Механизм условных пересылок запросов или вы еще можете их встретить как "выборочного перенаправления запросов" (conditional forwarding) позволяет осуществлять перенаправление пользовательских запросов на другие DNS-серверы, основываясь на информации о доменном имени, включенном в запрос.

Обычный режим перенаправления (forwarding)  предполагает перенаправление всех запросов на определенный DNS-сервер или группу серверов. 

Рисунок 3.

Фактически условных пересылок позволяет выполнять на DNS-сервере сортировку запросов. Некоторую часть запросов сервер способен разрешить сам, другая часть будет перенаправлена различным серверам имен. Смотрите рисунок 3.

Условные пересылки позволяет повысить эффективность разрешения запросов за счет сокращения количества операций. Так же, как и механизм упрощенных зон, выборочное перенаправление может быть использовано как средство организации взаимодействия двух лесов доменов, реализующих собственные пространства имен DNS.

Поскольку механизм условных пересылок способен решать те же задачи, что и зоны заглушки, очень трудно увидеть различия между ними. Какой из двух механизмов выбрать в той или иной ситуации?

механизм условных пересылок позволяет перенаправить запросы пользователей по разрешению определенного доменного имени на конкретный DNS-сервер. Использование же упрощенных зон для разрешения определенного доменного имени дает ссылку на некоторый набор DNS-серверов, способных выполнить это разрешение. Поэтому, если администратору необходимо контролировать процесс обращения пользователей к корпоративным DNS-серверам (например, с целью управления нагрузкой на серверы или для сокращения нагрузки на линии связи с ограниченной пропускной способностью), он должен использовать механизм условных пересылок.

С другой стороны, использование механизма зон заглушек позволяет реализовать большую гибкость в управлении DNS-серверами. Изменение списка DNS-серверов, выступающих в качестве носителей полноценной копии зоны (а соответственно, способных выполнить разрешение определенного множества доменных имен), приводит к автоматическому обновлению зоны заглушки на всех ее носителях. В случае же использования механизма условных пересылок администратору придется вручную изменить конфигурацию всех вовлеченных DNS-серверов.

Всего светлого! Леонид. 

Сайт рассылки alterego.ucoz.org  

---

Архив рассылки

|

RSS версия

|

Настройки

|

Отписаться: На сайте / По почте