Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Zona DNS adalah bagian spesifik dari namespace DNS yang dihosting di server DNS. Zona DNS berisi rekaman sumber daya, dan server DNS merespons kueri untuk rekaman di namespace tersebut. Misalnya, server DNS yang berwenang untuk menyelesaikan www.contoso.com ke alamat IP akan menghosting zona contoso.com.
Konten zona DNS dapat disimpan dalam file atau di Active Directory Domain Services (AD DS). Saat server DNS menyimpan zona dalam file:
- File tersebut berada dalam folder lokal di server.
- Hanya satu salinan zona yang bisa ditulisi.
- Salinan lain, yang hanya bisa dibaca, disebut sebagai zona sekunder.
Zona DNS yang disimpan di AD DS dikenal sebagai zona terintegrasi Direktori Aktif. Zona terintegrasi Direktori Aktif hanya tersedia di pengontrol domain dengan peran Server DNS terinstal.
Jenis zona DNS
Layanan Server DNS mendukung jenis zona berikut:
- Zona utama.
- Wilayah sekunder.
- Zona penopang
- Zona pencarian balik.
Zona utama
Server DNS yang menghosting zona utama adalah sumber utama untuk informasi tentang zona ini. Ini menyimpan data zona dalam file lokal atau di AD DS. Untuk membuat, mengedit, atau menghapus rekaman sumber daya, Anda harus menggunakan zona utama. Zona sekunder adalah salinan baca-saja dari zona utama.
Anda dapat menyimpan zona utama standar dalam file lokal, atau Anda dapat menyimpan data zona di AD DS. Saat Anda menyimpan data zona di AD DS, fitur lain tersedia, seperti pembaruan dinamis yang aman dan kemampuan untuk setiap pengontrol domain yang menghosting zona untuk berfungsi sebagai primer dan dapat memproses pembaruan ke zona tersebut. Ketika zona disimpan dalam file, secara default file zona utama diberi nama zone_name.dns, dan terletak di folder %windir%\System32\Dns di server.
Saat Anda menyebarkan Direktori Aktif, zona DNS yang terkait dengan nama domain AD DS organisasi Anda dibuat secara otomatis. Secara default, zona DNS AD DS mereplikasi ke pengendali domain lain yang dikonfigurasi sebagai server DNS di domain. Anda juga dapat mengonfigurasi zona DNS Terintegrasi Direktori Aktif untuk mereplikasi ke semua pengontrol domain dalam hutan AD DS, atau pengontrol domain tertentu yang terkait dengan partisi domain AD DS tertentu.
Zona sekunder
Zona sekunder adalah salinan yang hanya dapat dibaca dari zona utama. Ketika zona yang dihosting server DNS ini adalah zona sekunder, server DNS ini adalah sumber sekunder untuk informasi tentang zona ini. Zona di server ini harus diperoleh dari komputer server DNS jarak jauh lain yang juga menghosting zona tersebut. Server DNS ini harus memiliki akses jaringan ke server DNS jarak jauh yang menyediakan server ini dengan informasi terbaru tentang zona tersebut. Karena zona sekunder hanya merupakan salinan zona utama yang dihosting di server lain, zona tersebut tidak dapat disimpan di AD DS sebagai zona Terintegrasi Direktori Aktif.
Dalam kebanyakan kasus, zona sekunder secara berkala menyalin rekaman sumber daya langsung dari zona utama. Tetapi dalam beberapa konfigurasi kompleks, zona sekunder dapat menyalin rekaman sumber daya dari zona sekunder lainnya.
Zona stub
Zona stub hanya berisi informasi tentang server nama otoritatif untuk zona tersebut. Zona yang dihosting oleh server DNS harus mendapatkan informasinya dari server DNS lain yang menghosting zona tersebut. Server DNS ini harus memiliki akses jaringan ke server DNS jarak jauh untuk menyalin informasi server nama otoritatif tentang zona tersebut.
Anda dapat menggunakan zona stub untuk:
- Menjaga informasi zona yang didelegasikan tetap terkini. Server DNS memperbarui catatan stub untuk zona anaknya secara teratur, server DNS yang menghosting zona induk dan zona stub mempertahankan daftar server DNS otoritatif saat ini untuk zona anak.
- Perbaiki resolusi nama. Zona stub memungkinkan server DNS untuk melakukan rekursi menggunakan daftar server nama zona stub, tanpa harus mengkueri Internet atau server akar internal untuk namespace DNS.
- Menyederhanakan administrasi DNS. Dengan menggunakan zona stub di seluruh infrastruktur DNS, Anda dapat mendistribusikan daftar server DNS otoritatif untuk zona tanpa menggunakan zona sekunder. Namun, zona stub tidak melayani tujuan yang sama dengan zona sekunder, dan mereka bukan alternatif untuk meningkatkan redundansi dan berbagi beban.
Ada dua daftar server DNS yang terlibat dalam pemuatan dan pemeliharaan zona stub:
- Daftar server nama tempat server DNS memuat dan memperbarui zona stub. Server nama mungkin merupakan server DNS primer atau sekunder untuk zona tersebut. Dalam kedua kasus, ia memiliki daftar lengkap server DNS untuk zona tersebut.
- Daftar server DNS otoritatif untuk zona. Daftar ini terkandung dalam zona stub menggunakan catatan sumber daya NS.
Ketika server DNS memuat zona stub, seperti widgets.tailspintoys.com, server DNS meminta nama server, yang dapat berada di lokasi yang berbeda, untuk catatan sumber daya yang diperlukan dari server otoritatif untuk zona widgets.tailspintoys.com. Daftar server nama mungkin berisi satu server atau beberapa server, dan dapat diubah kapan saja.
Zona stub adalah salinan zona yang hanya berisi rekaman sumber daya yang diperlukan untuk mengidentifikasi server Sistem Nama Domain (DNS) otoritatif untuk zona tersebut. Biasanya, Anda menggunakan zona stub untuk menyelesaikan nama antar namespace DNS terpisah.
Saat bekerja dengan sub zona, Anda harus mempertimbangkan:
- Zona stub tidak dapat dihosting di server DNS yang bersifat otoritatif untuk zona yang sama.
- Jika Mengintegrasikan zona stub ke AD DS, Anda dapat menentukan apakah server DNS yang menghosting zona stub menggunakan daftar lokal server nama atau daftar yang disimpan di AD DS. Jika Anda ingin menggunakan daftar server nama lokal, Anda harus memiliki alamat IP untuk setiap server nama.
Zona pencarian terbalik
Di sebagian besar pencarian Sistem Nama Domain (DNS), klien biasanya melakukan pencarian maju, yang merupakan pencarian yang didasarkan pada nama DNS komputer lain karena disimpan dalam rekaman sumber daya host (A). Jenis kueri ini mengharapkan alamat IP sebagai data sumber daya untuk respons yang dijawab.
DNS juga menyediakan proses pencarian terbalik, di mana klien menggunakan alamat IP yang diketahui dan mencari nama komputer berdasarkan alamatnya. Pencarian terbalik mengambil bentuk pertanyaan, seperti "Bisakah Anda memberi tahu saya nama DNS komputer yang menggunakan alamat IP 192.168.1.20?"
Domain in-addr.arpa didefinisikan dalam standar DNS dan dicadangkan di namespace DNS Internet untuk menyediakan cara yang praktis dan dapat diandalkan untuk melakukan kueri balik. Untuk membuat namespace terbalik, subdomain dalam domain in-addr.arpa dibentuk dengan menggunakan urutan terbalik dari angka dalam notasi desimal-bertitik dari alamat IP.
Domain in-addr.arpa berlaku untuk semua jaringan TCP/IP yang didasarkan pada alamat Protokol Internet versi 4 (IPv4). Panduan Zona Baru secara otomatis menganggap Anda menggunakan domain ini saat membuat zona pencarian balik baru.
Urutan oktet alamat IP harus dibalik ketika pohon domain in-addr.arpa dibangun. Alamat IP pohon DNS in-addr.arpa dapat didelegasikan ke organisasi, karena mereka dialokasikan sekumpulan alamat IP tertentu atau terbatas dalam kelas alamat yang ditentukan Internet.
Mereplikasi database DNS
Mungkin ada beberapa zona yang mewakili bagian namespace yang sama. Di antara zona-zona ini ada tiga jenis:
- Utama
- Menengah
- Rintisan
Primer adalah zona tempat semua pembaruan untuk catatan yang termasuk dalam zona tersebut dilakukan. Zona sekunder adalah salinan baca-saja dari zona utama. Zona stub adalah salinan baca-saja dari zona utama yang hanya berisi rekaman sumber daya yang mengidentifikasi server DNS yang otoritatif untuk nama domain DNS. Setiap perubahan yang dilakukan pada file zona utama direplikasi ke file zona sekunder. Server DNS yang menghosting zona utama, sekunder, atau stub dikatakan otoritatif untuk nama DNS di zona tersebut.
Karena server DNS dapat menghosting beberapa zona, oleh karena itu dapat menghosting kedua zona utama (yang memiliki salinan file zona yang dapat ditulis) dan zona sekunder terpisah (yang mendapatkan salinan baca-saja dari file zona). Server DNS yang menghosting zona utama dikatakan sebagai server DNS utama untuk zona tersebut, dan server DNS yang menghosting zona sekunder dikatakan sebagai server DNS sekunder untuk zona tersebut.
Nota
Zona sekunder atau stub tidak dapat dihosting di server DNS yang menghosting zona utama untuk nama domain yang sama.
Transfer zona
Proses replikasi file zona ke beberapa server DNS disebut transfer zona. Transfer zona dicapai dengan menyalin file zona dari satu server DNS ke server DNS kedua. Transfer zona dapat dilakukan dari server DNS primer dan sekunder.
Server DNS utama adalah server otoritatif apa pun yang dikonfigurasi untuk menjadi sumber transfer zona. Jika server DNS adalah server DNS utama, transfer zona berasal langsung dari server DNS yang menghosting zona utama. Jika server utama menghosting zona DNS sekunder, maka file zona yang diterima dari server DNS utama dengan transfer zona adalah salinan file zona sekunder baca-saja.
Transfer zona dimulai dengan salah satu cara berikut:
- Server DNS utama mengirimkan pemberitahuan (RFC 1996) ke satu atau beberapa server DNS sekunder dari perubahan dalam file zona.
- Saat layanan Server DNS di server DNS sekunder dimulai, atau interval refresh zona kedaluwarsa, server DNS sekunder meminta server DNS utama untuk perubahan tersebut. Secara default, interval refresh diatur ke 15 menit di SOA RR zona.
Pengaturan transfer zona
Transfer zona memungkinkan Anda mengontrol keadaan di mana zona sekunder akan direplikasi dari zona utama. Untuk meningkatkan keamanan infrastruktur DNS Anda, izinkan transfer zona hanya untuk server DNS di rekaman sumber daya server nama (NS) untuk zona atau untuk server DNS tertentu. Jika Anda mengizinkan server DNS melakukan transfer zona, Anda mengizinkan informasi jaringan internal ditransfer ke host apa pun yang dapat menghubungi server DNS Anda.
Jenis replikasi berkas zona
Terdapat dua jenis replikasi berkas zona. Yang pertama, transfer zona penuh (AXFR), mereplikasi seluruh file zona. Yang kedua, transfer zona bertahap (IXFR), hanya mereplikasi rekaman yang telah dimodifikasi.
BIND 4.9.3 dan perangkat lunak server DNS sebelumnya, dan DNS Windows NT 4.0, hanya mendukung transfer zona penuh (AXFR). Ada dua jenis AXFR: satu memerlukan satu rekaman per paket, yang lain memungkinkan beberapa rekaman per paket. Layanan SERVER DNS di server Windows mendukung kedua jenis transfer zona, tetapi secara default menggunakan beberapa rekaman per paket. Ini dapat dikonfigurasi secara berbeda untuk kompatibilitas dengan server yang tidak mengizinkan beberapa rekaman per paket, seperti server BIND versi 4.9.4 dan yang lebih lama.
Delegasi zona
Anda dapat membagi namespace Domain Name System (DNS) Anda menjadi satu atau beberapa zona. Anda dapat mendelegasikan manajemen bagian dari namespace layanan Anda ke lokasi atau departemen lain di organisasi Anda dengan mendelegasikan pengelolaan zona yang sesuai. Misalnya, mendelegasikan zona australia.contoso.com dari zona contoso.com.
Saat Anda mendelegasikan zona, ingatlah bahwa untuk setiap zona baru yang Anda buat, Anda memerlukan catatan delegasi di zona lain yang menunjuk ke server DNS otoritatif untuk zona baru. Catatan delegasi diperlukan baik untuk mentransfer otoritas maupun untuk memberikan rujukan yang benar ke server DNS lain dan klien server baru yang dibuat otoritatif untuk zona baru.
Akses ke zona dan nama
Akses ke zona DNS dan rekaman sumber daya yang disimpan di Direktori Aktif dikontrol dengan daftar kontrol akses (ACL). ACL dapat ditentukan untuk layanan Server DNS, seluruh zona, atau untuk nama DNS tertentu. Secara default, setiap pengguna Active Directory yang diautentikasi dapat membuat RR A atau PTR di zona mana pun. Saat pemilik membuat catatan A atau PTR (terlepas dari jenis catatan sumber daya), hanya pengguna atau grup yang ditentukan dalam ACL untuk nama tersebut yang memiliki izin tulis yang diaktifkan untuk memodifikasi rekaman yang sesuai dengan nama tersebut. Meskipun pendekatan ini diinginkan dalam sebagian besar skenario, beberapa situasi perlu dipertimbangkan secara terpisah.
Grup DNSAdmins
Secara default, grup DNSAdmins memiliki kontrol penuh atas semua zona dan rekaman di domain Direktori Aktif. Agar pengguna dapat menghitung zona di domain tertentu, pengguna (atau grup tempat pengguna berada) harus terdaftar di grup DNSAdmin.
Administrator domain mungkin tidak ingin memberikan kontrol penuh kepada semua pengguna yang tercantum dalam grup DNSAdmins. Sebagai gantinya, administrator domain mungkin ingin memberikan sekumpulan pengguna tertentu kontrol penuh untuk satu zona dan izin baca-saja untuk zona lain. Untuk mengonfigurasi izin ini, administrator domain dapat membuat grup terpisah untuk setiap zona, dan menambahkan pengguna tertentu ke setiap grup. Kemudian ACL untuk setiap zona berisi grup dengan kontrol penuh untuk zona tersebut saja. Semua grup ditambahkan ke grup DNSAdmins, yang hanya dapat dikonfigurasi dengan izin baca. ACL zona selalu berisi grup DNSAdmins, yang berarti semua pengguna yang terdaftar dalam grup yang spesifik untuk zona dapat membaca semua zona di domain.
Menservasi nama
Lingkungan yang memerlukan tingkat keamanan tinggi mungkin perlu mencadangkan nama di zona dan mencegah pengguna terautentikasi membuat nama baru di zona tersebut, yang merupakan perilaku default. Untuk mengamankan catatan DNS, ACL default dapat diubah untuk memungkinkan pembuatan objek oleh grup atau pengguna tertentu saja. Administrasi per nama ACL menyediakan solusi lain untuk masalah ini. Administrator dapat menyimpan nama di zona sehingga menyisakan zona lain terbuka untuk pembuatan objek baru apa pun oleh semua pengguna yang diautentikasi. Administrator membuat entri untuk nama yang dipesan dan mengatur daftar grup atau pengguna yang sesuai di ACL. Artinya, hanya pengguna yang tercantum dalam ACL yang dapat mendaftarkan catatan lain dengan nama yang dipesan.
Langkah berikutnya
- Mengelola zona DNS menggunakan server DNS
- Gambaran Umum Kebijakan DNS
- gambaran umum DNS Anycast