Implementare l'inoltro DNS

  • 7 minuti

Quando un server DNS non ospita una zona primaria o secondaria contenente record di risorse in una richiesta DNS, è necessario implementare un meccanismo per trovare le informazioni necessarie. Per impostazione predefinita, ogni server DNS è configurato con parametri radice che possono essere usati per risolvere le richieste DNS su Internet tramite la ricerca dei server DNS autorevoli. Questo processo è efficace se il server DNS ha accesso a Internet e il record di risorsa richiesto è disponibile su Internet. In alcuni casi queste due condizioni non si verificano ed è quindi possibile abilitare l'inoltro.

Screenshot della finestra di dialogo delle proprietà di SEA-DC1.Contoso.com. L'amministratore ha selezionato la scheda Server d'inoltro, in cui è elencato un server d'inoltro. Dietro questa finestra di dialogo è visualizzata la console Gestore DNS. Viene visualizzato il nodo Server d'inoltro condizionali, con un record di dominio per Adatum.com.

Server d'inoltro

È possibile configurare ogni server DNS con uno o più server d'inoltro. Se un server DNS riceve una richiesta per una zona per la quale non è autorevole e tale zona non è già memorizzata nella cache dal server, il server DNS inoltra la richiesta a un server d'inoltro. Un server DNS usa un server d'inoltro per tutte le zone sconosciute.

I server d'inoltro vengono comunemente usati per la risoluzione dei nomi Internet. I server DNS interni inviano richieste DNS di risoluzione dei nomi Internet a un server DNS che si trova all'esterno alla rete aziendale. L'organizzazione potrebbe configurare i server DNS esterni in una rete perimetrale oppure usare un server DNS fornito dal provider di servizi Internet. Questa configurazione limita la connettività esterna e aumenta la sicurezza.

Inoltro condizionale

È possibile configurare l'inoltro condizionale per singoli domini DNS. Questa operazione è simile alla configurazione di un server d'inoltro, con la differenza che si applica a un singolo dominio DNS. Le foreste di Active Directory Domain Services e le organizzazioni partner attendibili spesso usano questa funzionalità.

Quando si crea un server d'inoltro condizionale, è possibile scegliere se archiviarlo localmente in un singolo server DNS o in Active Directory Domain Services. Se viene archiviato in Active Directory Domain Services, può essere replicato in tutti i server DNS in esecuzione sui controller di dominio nel dominio o nella foresta, a seconda dell'opzione selezionata. È più semplice gestire i server d'inoltro condizionale tra più server DNS quando questi sono archiviati in Active Directory Domain Services.

Zone di stub

Lo scopo di una zona di stub è di fornire un elenco di server dei nomi utilizzabili per risolvere le informazioni relative a un dominio senza sincronizzare tutti i record in locale. Per abilitare questa zona, vengono sincronizzati gli elementi seguenti:

  • Record di server dei nomi
  • Record host corrispondenti per i server dei nomi
  • Record SOA

Suggerimento

Le zone di stub vengono in genere usate quando si esegue l'integrazione con sistemi autonomi come le organizzazioni partner.

Confronto tra zone di stub e server d'inoltro condizionale

Per risolvere le richieste DNS per le zone per cui il server DNS locale non è autorevole, è possibile usare le zone stub o i server d'inoltro condizionale. La differenza tra i due è data dalla modalità di selezione dei server remoti per l'esecuzione di query:

  • È possibile configurare un server d'inoltro condizionale con specifici server DNS remoti, autorevoli per il dominio.
  • Una zona di stub replica e usa tutti i record di server dei nomi configurati nella zona.

Se si prevede che i server DNS autorevoli cambino nel tempo, è consigliabile usare una zona di stub, che aggiorna automaticamente i record di server dei nomi e usa solo server dei nomi validi per la zona. Se tuttavia le comunicazioni sono controllate da firewall, i server dei nomi aggiornati potrebbero non essere raggiungibili.