Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A DNS-zóna a DNS-kiszolgálón üzemeltetett DNS-névtér adott része. A DNS-zónák erőforrásrekordokat tartalmaznak, és a DNS-kiszolgáló válaszol a névtérben lévő rekordok lekérdezéseire. A www.contoso.com IP-címhez való feloldásához mérvadó DNS-kiszolgáló például a contoso.com zónát üzemelteti.
A DNS-zóna tartalma tárolható egy fájlban vagy az Active Directory Domain Servicesben (AD DS). Ha a DNS-kiszolgáló egy fájlban tárolja a zónát:
- Ez a fájl a kiszolgáló helyi mappájában található.
- A zónának csak egy példánya írható.
- Az egyéb, írásvédett másolatokat másodlagos zónáknak nevezzük.
Az AD DS-ben tárolt DNS-zónákat Active Directory-integrált zónáknak nevezzük. Az Active Directoryval integrált zónák csak a dns-kiszolgálói szerepkörrel rendelkező tartományvezérlőkön érhetők el.
DNS-zónatípusok
A DNS Server szolgáltatás a következő zónatípusokat támogatja:
- Elsődleges zóna.
- Másodlagos zóna.
- Csonkzóna.
- Fordított keresési zóna.
Elsődleges zónák
A zónával kapcsolatos információk elsődleges forrása az elsődleges zónát üzemeltető DNS-kiszolgáló. A zónaadatokat egy helyi fájlban vagy az AD DS-ben tárolja. Erőforrásrekordok létrehozásához, szerkesztéséhez vagy törléséhez az elsődleges zónát kell használnia. A másodlagos zónák az elsődleges zónák csak olvasható példányai.
Egy szabványos elsődleges zónát tárolhat egy helyi fájlban, vagy a zónaadatokat az AD DS-ben is tárolhatja. Ha zónaadatokat tárol az AD DS-ben, más funkciók is elérhetők, például biztonságos dinamikus frissítések, valamint a zónát üzemeltető tartományvezérlők azon képessége, hogy elsődlegesként működjenek, és feldolgozhassák a zóna frissítéseit. Ha a zóna egy fájlban van tárolva, alapértelmezés szerint az elsődleges zónafájl neve zone_name.dns, és a kiszolgáló %windir%\System32\Dns mappájában található.
Az Active Directory telepítésekor a rendszer automatikusan létrehoz egy DNS-zónát, amely a szervezet AD DS-tartománynevéhez van társítva. Alapértelmezés szerint az AD DS DNS-zóna replikálódik a tartomány dns-kiszolgálójaként konfigurált bármely más tartományvezérlőre. Az Active Directory integrált DNS-zónáit úgy is konfigurálhatja, hogy egy AD DS-erdőben lévő összes tartományvezérlőre replikáljanak, vagy egy adott AD DS-tartománypartícióban regisztrált tartományvezérlőkre.
Másodlagos zóna
A másodlagos zóna egy elsődleges zóna írásvédett másolata. Ha a DNS-kiszolgáló által üzemeltetett zóna másodlagos zóna, ez a DNS-kiszolgáló másodlagos forrás a zónával kapcsolatos információkhoz. A zónát ezen a kiszolgálón egy másik távoli DNS-kiszolgáló számítógépről kell beszerezni, amely szintén a zónát üzemelteti. Ennek a DNS-kiszolgálónak hálózati hozzáféréssel kell rendelkeznie ahhoz a távoli DNS-kiszolgálóhoz, amely a kiszolgálót a zónával kapcsolatos frissített információkkal látja el. Mivel a másodlagos zóna csak egy másik kiszolgálón üzemeltetett elsődleges zóna másolata, az Active Directory integrált zónaként nem tárolható az AD DS-ben.
A legtöbb esetben egy másodlagos zóna rendszeresen átmásolja az erőforrásrekordokat közvetlenül az elsődleges zónából. Bizonyos összetett konfigurációkban azonban a másodlagos zónák másolni tudják az erőforrásrekordokat egy másik másodlagos zónából.
Csonkzóna
A csonkzóna csak a zóna mérvadó névkiszolgálóiról tartalmaz információkat. A DNS-kiszolgáló által üzemeltetett zónának a zónát üzemeltető másik DNS-kiszolgálótól kell beszereznie az adatait. Ennek a DNS-kiszolgálónak hálózati hozzáféréssel kell rendelkeznie a távoli DNS-kiszolgálóhoz a zóna mérvadó névkiszolgálói adatainak másolásához.
A csonkzónák a következő célokra használhatók:
- A delegált zónainformációk naprakészen tartása. A DNS-kiszolgáló rendszeresen frissíti a gyermekzónák csonkrekordjait, a szülőzónát és a csonkzónát egyaránt üzemeltető DNS-kiszolgáló fenntartja a gyermekzóna mérvadó DNS-kiszolgálóinak aktuális listáját.
- Javítsa a névfeloldást. A csonkzónák lehetővé teszik a DNS-kiszolgáló számára a rekurziót a csonkzóna névkiszolgálóinak listájával anélkül, hogy le kellene kérdeznie az internetet vagy egy belső gyökérkiszolgálót a DNS-névtérhez.
- Egyszerűsítse a DNS-felügyeletet. Ha a DNS-infrastruktúrában csonkzónákat használ, a zóna mérvadó DNS-kiszolgálóinak listáját másodlagos zónák használata nélkül is eloszthatja. A csonkzónák azonban nem ugyanazt a célt szolgálják, mint a másodlagos zónák, és nem alternatívák a redundancia és a terhelésmegosztás javítására.
A csonkzózóna betöltésében és karbantartásában érintett DNS-kiszolgálók két listája van:
- Azon névkiszolgálók listája, amelyekből a DNS-kiszolgáló betölti és frissíti a csonkzónát. A névkiszolgáló lehet a zóna elsődleges vagy másodlagos DNS-kiszolgálója. Mindkét esetben tartalmazza a zóna DNS-kiszolgálóinak teljes listáját.
- A zóna mérvadó DNS-kiszolgálóinak listája. A lista a névkiszolgálói (NS) erőforrásrekordokat használó csonkzónában található.
Amikor egy DNS-kiszolgáló betölt egy csonkzónát, például widgets.tailspintoys.com, lekérdezi a névkiszolgálókat, amelyek különböző helyeken lehetnek a zóna mérvadó kiszolgálóinak szükséges erőforrásrekordjaihoz widgets.tailspintoys.com. A névkiszolgálók listája egyetlen vagy több kiszolgálót tartalmazhat, és bármikor módosítható.
A csonkzóna egy zóna másolata, amely csak azokat az erőforrásrekordokat tartalmazza, amelyek szükségesek a zóna mérvadó DNS-kiszolgálóinak azonosításához. Általában csonkzónát használ a nevek feloldására a különálló DNS-névterek között.
Az alzónák használatakor a következő szempontokat kell figyelembe vennie:
- A csonkzóna nem üzemeltethető olyan DNS-kiszolgálón, amely mérvadó ugyanahhoz a zónához.
- Ha integrálja a csonkzónát az AD DS-be, megadhatja, hogy a csonkzónát üzemeltető DNS-kiszolgáló a névkiszolgálók helyi listáját vagy az AD DS-ben tárolt listát használja-e. Ha helyi névkiszolgálók listáját szeretné használni, az egyes névkiszolgálók IP-címével kell rendelkeznie.
Keresési zónák megfordítása
A legtöbb Domain Name System (DNS) keresések esetén a kliensek általában előreirányuló keresést hajtanak végre, amely egy másik számítógép DNS-nevének alapján végzett művelet, mely a gazdagép (A) erőforrásrekordjában van tárolva. Ez a lekérdezéstípus egy IP-címet vár a válasz erőforrás-adataiként.
A DNS egy fordított keresési folyamatot is biztosít, amelyben az ügyfelek egy ismert IP-címet használnak, és a cím alapján keresnek egy számítógépnevet. A fordított keresés egy olyan kérdés formájában történik, mint a "Meg tudja mondani a 192.168.1.20 IP-címet használó számítógép DNS-nevét?"
A in-addr.arpa tartomány a DNS-szabványokban lett meghatározva, és az internetes DNS-névtérben van fenntartva, hogy gyakorlati és megbízható módot biztosítson a fordított lekérdezések végrehajtására. A fordított névtér létrehozásához a in-addr.arpa tartományon belüli altartományok jönnek létre az IP-címek pontozott-decimális jelölésében szereplő számok fordított sorrendjének használatával.
A in-addr.arpa tartomány az összes OLYAN TCP/IP-hálózatra vonatkozik, amely az IPv4(IPv4) ip-címzésen alapul. Az Új zóna varázsló automatikusan feltételezi, hogy ezt a tartományt használja egy új fordított keresési zóna létrehozásakor.
Az IP-cím oktettjeinek sorrendjét vissza kell fordítani a in-addr.arpa tartományfa létrehozásakor. A DNS-in-addr.arpa fa IP-címei delegálhatók a szervezeteknek, mivel az internet által meghatározott címosztályokon belül meghatározott vagy korlátozott IP-címeket rendelnek hozzájuk.
A DNS-adatbázis replikálása
A névtér ugyanazon részét több zóna is jelölheti. A zónák között három típus létezik:
- Elsődleges
- Másodlagos
- Csonk
Az elsődleges zóna az a zóna, amelyhez az adott zónához tartozó rekordok összes frissítését végzik. A másodlagos zóna az elsődleges zóna írásvédett másolata. A csonkzóna az elsődleges zóna csak olvasható másolata, amely csak azokat az erőforrásrekordokat tartalmazza, amelyek azonosítják a DNS-tartománynévhez mérvadó DNS-kiszolgálókat. Az elsődleges zónafájl módosításait a rendszer a másodlagos zónafájlba replikálja. Az elsődleges, másodlagos vagy csonkzónát üzemeltető DNS-kiszolgálók mérvadónak számítanak a zónában lévő DNS-nevek esetében.
Mivel egy DNS-kiszolgáló több zónát is üzemeltethet, ezért egy elsődleges zónát (amely rendelkezik egy zónafájl írható másolatával) és egy külön másodlagos zónát is üzemeltethet (amely egy zónafájl írásvédett példányát szerzi be). Az elsődleges zónát üzemeltető DNS-kiszolgáló a zóna elsődleges DNS-kiszolgálója, a másodlagos zónát üzemeltető DNS-kiszolgáló pedig az adott zóna másodlagos DNS-kiszolgálója.
Jegyzet
Másodlagos vagy csonkzózóna nem üzemeltethető olyan DNS-kiszolgálón, amely egy elsődleges zónát üzemeltet ugyanahhoz a tartománynévhez.
Zónaátvitel
A zónafájl több DNS-kiszolgálóra való replikálásának folyamatát zónaátvitelnek nevezzük. A zónaátvitel úgy érhető el, hogy a zónafájlt egy DNS-kiszolgálóról egy második DNS-kiszolgálóra másolja. A zónaátvitelek az elsődleges és a másodlagos DNS-kiszolgálókról is végezhetők.
Az elsődleges DNS-kiszolgáló bármely mérvadó kiszolgáló, amely úgy van konfigurálva, hogy a zónaátvitel forrása legyen. Ha a DNS-kiszolgáló elsődleges DNS-kiszolgáló, akkor a zónaátvitel közvetlenül az elsődleges zónát üzemeltető DNS-kiszolgálótól érkezik. Ha az elsődleges kiszolgáló másodlagos DNS-zónát üzemeltet, akkor az elsődleges DNS-kiszolgálótól zónaátvitellel kapott zónafájl az írásvédett másodlagos zónafájl másolata.
A zónaátvitel az alábbi módok egyikével indítható el:
- Az elsődleges DNS-kiszolgáló értesítést (RFC 1996) küld egy vagy több másodlagos DNS-kiszolgálónak a zónafájl változásáról.
- Amikor a másodlagos DNS-kiszolgálón elindul a DNS-kiszolgáló szolgáltatás, vagy a zóna frissítési időköze lejár, a másodlagos DNS-kiszolgáló lekérdezi az elsődleges DNS-kiszolgálót a módosításokhoz. Alapértelmezés szerint a frissítési időköz 15 percre van állítva a zóna SOA RR-jében.
Zónaátviteli beállítások
A zónaátvitelekkel szabályozhatja a másodlagos zónák elsődleges zónából való replikálása körülményeit. A DNS-infrastruktúra biztonságának javítása érdekében csak a névkiszolgáló (NS) erőforrásrekordjaiban lévő DNS-kiszolgálók számára engedélyezze a zónaátvitelt egy zónához vagy a megadott DNS-kiszolgálókhoz. Ha engedélyezi bármelyik DNS-kiszolgáló számára a zónaátvitelt, engedélyezi a belső hálózati adatok átvitelét bármely olyan gazdagépre, amely kapcsolatba léphet a DNS-kiszolgálóval.
Zónafájl-replikáció típusai
A zónafájl-replikációnak két típusa van. Az első teljes zónaátvitel (AXFR) replikálja a teljes zónafájlt. A második, növekményes zónaátvitel (IXFR) csak a módosított rekordokat replikálja.
A BIND 4.9.3 és korábbi DNS-kiszolgáló szoftvere, valamint a Windows NT 4.0 DNS csak a teljes zónaátvitelt (AXFR) támogatja. Az AXFR-nek két típusa van: az egyik csomagonként egyetlen rekordot, a másik csomagonként több rekordot engedélyez. A Windows-kiszolgálók DNS Server szolgáltatása mindkét zónaátviteli típust támogatja, de alapértelmezés szerint csomagonként több rekordot használ. Másképpen konfigurálható olyan kiszolgálókkal való kompatibilitás érdekében, amelyek nem engedélyezik csomagonként több rekordot, például a BIND-kiszolgálók 4.9.4-s és korábbi verzióit.
Zónadelegálás
A tartománynévrendszer (DNS) névterét egy vagy több zónára oszthatja. A névtér egy részének felügyeletét a szervezet egy másik helyére vagy részlegére delegálhatja a megfelelő zóna felügyeletének delegálásával. Például a australia.contoso.com zóna delegálása a contoso.com zónából.
Amikor delegál egy zónát, ne feledje, hogy minden létrehozott új zónához más zónák delegálási rekordjaira van szükség, amelyek az új zóna mérvadó DNS-kiszolgálóira mutatnak. A delegálási rekordokra mind az átviteli szolgáltató, mind az új zóna mérvadóvá tett új kiszolgálóinak más DNS-kiszolgálóira és ügyfeleire való megfelelő átirányítás érdekében van szükség.
Hozzáférés zónákhoz és nevekhez
Az Active Directoryban tárolt DNS-zónákhoz és erőforrásrekordokhoz való hozzáférést hozzáférés-vezérlési listák (ACL-ek) vezérlik. Az ACL-ek megadhatóak a DNS Server szolgáltatáshoz, egy teljes zónához vagy adott DNS-nevekhez. Alapértelmezés szerint bármely hitelesített Active Directory-felhasználó bármilyen zónában létrehozhatja az A vagy PTR RR-eket. Ha egy tulajdonos létrehoz egy A vagy PTR rekordot (az erőforrásrekord típusától függetlenül), csak az adott névhez megadott felhasználók vagy csoportok módosíthatják az adott névnek megfelelő rekordokat. Bár ez a megközelítés a legtöbb forgatókönyvben kívánatos, egyes helyzeteket külön kell figyelembe venni.
DNSAdmins-csoport
Alapértelmezés szerint a DNSAdmins csoport teljes mértékben szabályozza az Active Directory-tartományban lévő összes zónát és rekordot. Ahhoz, hogy a felhasználó számba tudja venni a zónákat egy adott tartományban, a felhasználót (vagy egy csoportot, amelyhez a felhasználó tartozik) fel kell venni a DNSAdmin csoportba.
Előfordulhat, hogy egy tartományi rendszergazda nem szeretné teljes körűen szabályozni a DNSAdmins csoportban felsorolt összes felhasználót. Ehelyett előfordulhat, hogy egy tartományi rendszergazda egy adott felhasználói csoportnak teljes körű hozzáférést szeretne adni egy zónához, míg olvasási jogosultságokat a többi zónához. Az engedélyek konfigurálásához a tartományi rendszergazda külön csoportot hozhat létre az egyes zónákhoz, és adott felhasználókat adhat hozzá az egyes csoportokhoz. Ezután az egyes zónák ACL-je tartalmaz egy csoportot, amely csak az adott zónára vonatkozó teljes körű vezérléssel rendelkezik. Az összes csoport hozzá lesz adva a DNSAdmins csoporthoz, amely csak olvasási engedélyekkel konfigurálható. A zóna ACL-je mindig tartalmazza a DNSAdmins csoportot, ami azt jelenti, hogy a zónaspecifikus csoportokba sorolt összes felhasználó képes beolvasni a tartomány összes zónáját.
Nevek megőrzése
A magas szintű biztonságot igénylő környezeteknek szükség lehet a zónákban lévő nevek lefoglalására, és megakadályozhatják, hogy a hitelesített felhasználók új neveket hozzanak létre az adott zónában, ami az alapértelmezett viselkedés. A DNS-rekordok védelme érdekében az alapértelmezett ACL módosítható, így csak bizonyos csoportok vagy felhasználók hozhatnak létre objektumokat. Az ACL-ek név szerinti felügyelete egy másik megoldást kínál erre a problémára. A rendszergazda fenntarthat egy nevet egy zónában, így a zóna többi része nyitva marad, hogy az összes hitelesített felhasználó új objektumokat hozzon létre. A rendszergazda létrehoz egy rekordot a fenntartott névhez, és beállítja a csoportok vagy felhasználók megfelelő listáját az ACL-ben. Ez azt jelenti, hogy csak az ACL-ben felsorolt felhasználók regisztrálhatnak egy másik rekordot a fenntartott név alatt.