Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Zóna DNS je specifická část oboru názvů DNS hostovaného na serveru DNS. Zóna DNS obsahuje záznamy prostředků a server DNS reaguje na dotazy na záznamy v tomto jmenném prostoru. Například server DNS, který je autoritativní pro překlad www.contoso.com na IP adresu, by hostoval zónu contoso.com.
Obsah zóny DNS může být uložen v souboru nebo ve službě Active Directory Domain Services (AD DS). Když server DNS ukládá zónu do souboru:
- Tento soubor je v místní složce na serveru.
- Zapisovatelná je pouze jedna kopie zóny.
- Další kopie, které jsou jen pro čtení, se označují jako sekundární zóny.
Zóny DNS uložené ve službě AD DS se označují jako zóny integrované do služby Active Directory. Zóny integrované ve službě Active Directory jsou k dispozici pouze na řadičích domény s nainstalovanou rolí serveru DNS.
Typy zón DNS
Služba DNS Server podporuje následující typy zón:
- Primární zóna.
- Sekundární zóna.
- Stub zóna.
- Zóna zpětného vyhledávání
Primární zóny
Server DNS hostující primární zónu je primárním zdrojem informací o této zóně. Ukládá data zóny v místním souboru nebo ve službě AD DS. Pokud chcete vytvořit, upravit nebo odstranit záznamy prostředků, musíte použít primární zónu. Sekundární zóny jsou kopie primárních zón určené pouze pro čtení.
Standardní primární zónu můžete uložit do místního souboru nebo můžete ukládat data zóny ve službě AD DS. Při ukládání dat zóny ve službě AD DS jsou k dispozici další funkce, jako jsou zabezpečené dynamické aktualizace a schopnost každého řadiče domény, který je hostitelem zóny, aby fungoval jako primární a mohl zpracovávat aktualizace zóny. Pokud je zóna uložena v souboru, ve výchozím nastavení se primární soubor zóny jmenuje zone_name.dnsa nachází se ve složce %windir%\System32\Dns na serveru.
Při nasazení služby Active Directory se automaticky vytvoří zóna DNS, která je přidružená k názvu domény AD DS vaší organizace. Ve výchozím nastavení se zóna DNS služby AD DS replikuje do jakéhokoli jiného řadiče domény nakonfigurovaného jako server DNS v doméně. Můžete také nakonfigurovat integrované zóny DNS služby Active Directory tak, aby se replikovaly do všech řadičů domény v doménové struktuře služby AD DS nebo na konkrétní řadiče domény zaregistrované v určitém oddílu domény služby AD DS.
Sekundární zóna
Sekundární zóna je kopie primární zóny jen pro čtení. Pokud je zóna, kterou tento server DNS hostuje, sekundární zónou, je tento server DNS sekundárním zdrojem informací o této zóně. Zóna na tomto serveru musí být získána z jiného vzdáleného počítače serveru DNS, který také hostuje zónu. Tento server DNS musí mít síťový přístup ke vzdálenému serveru DNS, který poskytuje tomuto serveru aktualizované informace o zóně. Vzhledem k tomu, že sekundární zóna je pouze kopií primární zóny hostované na jiném serveru, není možné ji uložit ve službě AD DS jako integrovanou zónu služby Active Directory.
Ve většině případů sekundární zóna pravidelně kopíruje záznamy prostředků přímo z primární zóny. V některých složitých konfiguracích ale sekundární zóna může kopírovat záznamy prostředků z jiné sekundární zóny.
Zóna hostitele
Stub zóna obsahuje pouze informace o autoritativních názvových serverech zóny. Zóna hostovaná serverem DNS musí získat informace z jiného serveru DNS, který je hostitelem zóny. Tento server DNS musí mít síťový přístup ke vzdálenému serveru DNS, aby mohl zkopírovat informace autoritativního názvového serveru o zóně.
Můžete použít stub zóny k:
- Udržujte aktuální informace o delegovaných zónách. Server DNS pravidelně aktualizuje zástupné záznamy pro své podřízené zóny. Server DNS, který hostuje jak nadřazenou zónu, tak zástupnou zónu, udržuje aktuální seznam autoritativních serverů DNS pro podřízenou zónu.
- Vylepšení řešení názvů. Překladové zóny umožňují serveru DNS provádět rekurzi pomocí seznamu názvových serverů v překladové zóně, aniž by bylo nutné dotazovat se na internet nebo interní kořenový server pro obor názvů DNS.
- Zjednodušení správy DNS Pomocí zástupných zón v celé infrastruktuře DNS můžete distribuovat seznam autoritativních serverů DNS pro zónu bez použití sekundárních zón. Zástupné zóny však neslouží ke stejnému účelu jako sekundární zóny a také nejsou alternativou pro zvýšení redundance a sdílení zátěže.
Na načítání a údržbě zóny stubů se podílejí dva seznamy serverů DNS:
- Seznam názvových serverů, ze kterých server DNS načítá a aktualizuje úryvkovou zónu. Názvový server může být primárním nebo sekundárním serverem DNS pro zónu. V obou případech obsahuje úplný seznam serverů DNS pro zónu.
- Seznam autoritativních serverů DNS pro zónu. Tento seznam je obsažen ve stub zóně záznamů NS (name server).
Když server DNS načte zónu stub, například widgets.tailspintoys.com, dotazuje se jmenných serverů, které mohou být na různých místech, na potřebné záznamy prostředků autoritativních serverů pro zónu widgets.tailspintoys.com. Seznam názvových serverů může obsahovat jeden server nebo více serverů a je možné ho kdykoli změnit.
Stopková zóna je kopie zóny, která obsahuje pouze ty záznamy prostředků, které jsou nezbytné k identifikaci autoritativních serverů DNS (Domain Name System) pro danou zónu. K řešení názvů mezi samostatnými obory názvů DNS se obvykle používá zóna stub.
Při práci s dílčími zónami byste měli zvážit:
- Stub zónu nelze hostovat na serveru DNS, který je autoritativní pro stejnou zónu.
- Pokud zónu zástupných procedur integrujete do služby AD DS, můžete určit, jestli server DNS hostující zónu zástupných procedur používá místní seznam názvových serverů nebo seznam uložený ve službě AD DS. Pokud chcete použít seznam místních názvových serverů, musíte mít IP adresy pro každý názvový server.
Zóny zpětného vyhledávání
Ve většině vyhledávání DNS (Domain Name System) klienti obvykle provádějí dopředné vyhledávání, což je vyhledávání založené na názvu DNS jiného počítače, jak je uložen v záznamu prostředku hostitele (A). Tento typ dotazu očekává IP adresu jako údaje o zdroji pro odpověď.
DNS také poskytuje proces zpětného vyhledávání, ve kterém klienti používají známou IP adresu a vyhledávají název počítače na základě jeho adresy. Zpětné vyhledávání má formu otázky, například "Můžete mi říct název DNS počítače, který používá IP adresu 192.168.1.20?"
Doména in-addr.arpa byla definována v standardech DNS a vyhrazena v oboru názvů DNS internetu, aby poskytovala praktický a spolehlivý způsob provádění reverzních dotazů. Chcete-li vytvořit reverzní obor názvů, subdomény v rámci domény in-addr.arpa jsou vytvořeny pomocí obráceného pořadí čísel v tečkované desetinné notaci IP adres.
Doména in-addr.arpa se vztahuje na všechny sítě TCP/IP založené na přidělování protokolu IPv4 (Internet Protocol verze 4). Průvodce novou zónou automaticky předpokládá, že tuto doménu používáte při vytváření nové zóny zpětného vyhledávání.
Pořadí oktetů IP adres musí být při sestavení stromu domény in-addr.arpa obrácené. IP adresy in-addr.arpa stromu DNS je možné delegovat do organizací, protože mají přiřazenou určitou nebo omezenou sadu IP adres v rámci internetových tříd adres.
Replikujte databázi DNS
Může existovat více zón představujících stejnou část oboru názvů. Mezi těmito zónami existují tři typy:
- Primární
- Sekundární
- Pahýl
Primární je zóna, do které jsou provedeny všechny aktualizace záznamů, které patří do této zóny. Sekundární zóna je kopie primární zóny jen pro čtení. Stub zóna je kopie primární zóny pouze pro čtení, která obsahuje pouze záznamy prostředků, které určují autoritativní servery DNS pro doménové jméno DNS. Všechny změny provedené v souboru primární zóny se replikují do sekundárního souboru zóny. Servery DNS hostující primární, sekundární nebo zástupnou zónu se označují jako autoritativní pro názvy DNS v zóně.
Protože server DNS může hostovat více zón, může proto hostovat primární zónu (která má zapisovatelnou kopii souboru zóny) a samostatnou sekundární zónu (která získá kopii souboru zóny jen pro čtení). Server DNS, který je hostitelem primární zóny, se označuje jako primární server DNS pro tuto zónu a server DNS, který je hostitelem sekundární zóny, je pro tuto zónu sekundárním serverem DNS.
Poznámka
Sekundární zónu nebo zónu zástupce nelze hostovat na serveru DNS, který hostuje primární zónu pro stejný název domény.
Přenos zóny
Proces replikace souboru zóny na několik serverů DNS se nazývá přenos zóny. Přenos zóny se dosahuje zkopírováním souboru zóny z jednoho serveru DNS na druhý server DNS. Přenosy zón je možné provádět z primárních i sekundárních serverů DNS.
Primární server DNS je jakýkoli autoritativní server nakonfigurovaný tak, aby byl zdrojem přenosu zóny. Pokud je server DNS primárním serverem DNS, přenos zóny pochází přímo ze serveru DNS, který je hostitelem primární zóny. Pokud primární server hostuje sekundární zónu DNS, pak soubor zóny přijatý z primárního serveru DNS s přenosem zóny je kopií sekundárního souboru zóny jen pro čtení.
Přenos zóny se zahájí jedním z následujících způsobů:
- Primární server DNS odešle oznámení (RFC 1996) jednomu nebo několika sekundárním serverům DNS o změně v souboru zóny.
- Když se spustí služba serveru DNS na sekundárním serveru DNS nebo vyprší interval aktualizace zóny, sekundární server DNS se na změny dotazuje primárního serveru DNS. Ve výchozím nastavení je interval aktualizace nastavený na 15 minut v soA RR zóny.
Nastavení přenosu zóny
Přenosy zón umožňují řídit okolnosti, za kterých se má sekundární zóna replikovat z primární zóny. Pokud chcete zlepšit zabezpečení vaší infrastruktury DNS, povolte přenosy zón pouze pro DNS servery uvedené v záznamech NS názvového serveru pro zónu nebo pro konkrétní zadané servery DNS. Pokud povolíte přenosu zóny libovolnému serveru DNS, povolíte přenos interních síťových informací na libovolného hostitele, který může kontaktovat váš server DNS.
Typy replikace souborů zón
Existují dva typy replikace souborů zóny. První, úplný přenos zóny (AXFR) replikuje celý zónový soubor. Druhý, přírůstkový přenos zóny (IXFR), replikuje pouze záznamy, které byly změněny.
BIND 4.9.3 a starší serverový software DNS a Windows NT 4.0 DNS podporují pouze úplný přenos zón (AXFR). Existují dva typy AXFR: jeden vyžaduje jeden záznam na paket, druhý umožňuje více záznamů na paket. Služba SERVER DNS na serverech s Windows podporuje oba typy přenosu zóny, ale ve výchozím nastavení používá více záznamů na paket. Pro zajištění kompatibility se servery, které nepovolují více záznamů na paket, jako jsou servery BIND verze 4.9.4 a starší, je možné nakonfigurovat jinak.
Delegování zóny
Obor názvů DNS (Domain Name System) můžete rozdělit do jedné nebo více zón. Správu části oboru názvů můžete delegovat na jiné místo nebo oddělení ve vaší organizaci delegováním správy odpovídající zóny. Delegování zóny australia.contoso.com ze zóny contoso.com například.
Při delegování zóny nezapomeňte, že pro každou novou zónu, kterou vytvoříte, potřebujete záznamy delegování v jiných zónách, které odkazují na autoritativní servery DNS pro novou zónu. Záznamy delegování jsou nezbytné jak k přenosu autority, tak k poskytnutí správného odkazu pro jiné servery DNS a klienty nových serverů, které se stávají autoritativními pro novou zónu.
Přístup k zónům a názvům
Přístup k zónám DNS a záznamům prostředků uloženým ve službě Active Directory se řídí seznamy řízení přístupu (ACL). Seznamy ACL je možné zadat pro službu serveru DNS, celou zónu nebo pro konkrétní názvy DNS. Ve výchozím nastavení může každý ověřený uživatel Active Directory vytvořit záznamy A nebo PTR v libovolné zóně. Když vlastník vytvoří záznam A nebo PTR (bez ohledu na typ záznamu prostředku), pouze uživatelé nebo skupiny uvedené v ACL pro tento název, kteří mají oprávnění k zápisu, mají povoleno upravovat záznamy odpovídající tomuto názvu. I když je tento přístup ve většině scénářů žádoucí, je třeba některé situace zvážit samostatně.
Skupina DNSAdmins
Ve výchozím nastavení má skupina DNSAdmins úplnou kontrolu nad všemi zónami a záznamy v doméně služby Active Directory. Aby uživatel mohl vytvořit výčet zón v konkrétní doméně, musí být uživatel (nebo skupina, do které uživatel patří), zařazen do skupiny DNSAdmin.
Správce domény nemusí chtít udělit úplné řízení všem uživatelům uvedeným ve skupině DNSAdmins. Místo toho může správce domény chtít udělit konkrétní sadě uživatelů úplné řízení pro jednu zónu a oprávnění jen pro čtení pro jiné zóny. Pro konfiguraci těchto oprávnění může správce domény vytvořit samostatnou skupinu pro každou zónu a přidat do každé skupiny konkrétní uživatele. Seznam ACL pro každou zónu pak obsahuje skupinu s plnou kontrolou pro danou zónu. Všechny skupiny se přidají do skupiny DNSAdmins, kterou je možné nakonfigurovat pouze s oprávněními ke čtení. Seznam ACL zóny vždy obsahuje skupinu DNSAdmins, což znamená, že všichni uživatelé zařazení do skupin specifických pro zóny mají možnost číst všechny zóny v doméně.
Rezervace názvů
Prostředí, která vyžadují vysokou úroveň zabezpečení, můžou potřebovat rezervovat názvy v zóně a zabránit ověřeným uživatelům v vytváření nových názvů v této zóně, což je výchozí chování. Pokud chcete zabezpečit záznamy DNS, můžete výchozí seznam ACL změnit tak, aby umožňoval vytváření objektů pouze určitými skupinami nebo uživateli. Správa ACL podle názvů poskytuje další řešení tohoto problému. Správce si může rezervovat jméno v zóně, která ponechá zbytek zóny otevřené pro vytvoření všech nových objektů všemi ověřenými uživateli. Správce vytvoří záznam pro vyhrazený název a nastaví příslušný seznam skupin nebo uživatelů v seznamu ACL. To znamená, že pod vyhrazeným názvem můžou zaregistrovat jiný záznam pouze uživatelé uvedení v seznamu ACL.
Další kroky
- Správa zón DNS pomocí serveru DNS
- Přehled zásad DNS
- Přehled DNS anycastu