Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Una zona DNS è la parte specifica di uno spazio dei nomi DNS ospitato in un server DNS. Una zona DNS contiene record di risorse e il server DNS risponde alle query per i record in tale spazio dei nomi. Ad esempio, il server DNS autorevole per la risoluzione dei www.contoso.com in un indirizzo IP ospiterebbe la zona contoso.com.
Il contenuto della zona DNS può essere archiviato in un file o in Active Directory Domain Services (AD DS). Quando il server DNS archivia la zona in un file:
- Il file si trova in una cartella locale nel server.
- Solo una copia della zona geografica è modificabile.
- Altre copie, che sono di sola lettura, vengono definite zone secondarie.
Le zone DNS archiviate in Servizi di dominio Active Directory sono note come zone integrate in Active Directory. Le zone integrate in Active Directory sono disponibili solo nei controller di dominio con il ruolo Server DNS installato.
Tipi di zona DNS
Il servizio server DNS supporta i tipi di zona seguenti:
- Zona primaria.
- Zona secondaria.
- Zona Stub.
- Zona di ricerca inversa.
Zone primarie
Un server DNS che ospita una zona primaria è l'origine primaria per informazioni su questa zona. Archivia i dati della zona in un file locale o in Servizi di dominio Active Directory. Per creare, modificare o eliminare record di risorse, è necessario usare la zona primaria. Le zone secondarie sono copie di sola lettura delle zone primarie.
È possibile archiviare una zona primaria standard in un file locale oppure archiviare i dati della zona in Servizi di dominio Active Directory. Quando si archiviano i dati della zona in Servizi di dominio Active Directory sono disponibili altre funzionalità, ad esempio aggiornamenti dinamici sicuri e la possibilità per ogni controller di dominio che ospita la zona di funzionare come primaria e poter elaborare gli aggiornamenti alla zona. Quando la zona viene archiviata in un file, per impostazione predefinita il file della zona primaria è denominato zone_name.dnse si trova nella cartella %windir%\System32\Dns nel server.
Quando si distribuisce Active Directory, viene creata automaticamente una zona DNS associata al nome di dominio di Active Directory Domain Services dell'organizzazione. Per impostazione predefinita, la zona DNS di Active Directory Domain Services viene replicata in qualsiasi altro controller di dominio configurato come server DNS nel dominio. È anche possibile configurare zone DNS integrate di Active Directory per la replica in tutti i controller di dominio all'interno di una foresta di Active Directory Domain Services o in controller di dominio specifici registrati in una particolare partizione di dominio di Active Directory Domain Services.
Zona secondaria
Una zona secondaria è una copia di sola lettura di una zona primaria. Quando una zona ospita questo server DNS è una zona secondaria, questo server DNS è un'origine secondaria per informazioni su questa zona. La zona in questo server deve essere ottenuta da un altro computer server DNS remoto che ospita anche la zona. Questo server DNS deve avere accesso di rete al server DNS remoto che fornisce a questo server informazioni aggiornate sulla zona. Poiché una zona secondaria è solo una copia di una zona primaria ospitata in un altro server, non può essere archiviata in Active Directory Domain Services come zona integrata di Active Directory.
Nella maggior parte dei casi, una zona secondaria copia periodicamente i record di risorse direttamente dalla zona primaria. In alcune configurazioni complesse, tuttavia, una zona secondaria può copiare i record di risorse da un'altra zona secondaria.
Zona Stub
Una zona stub contiene solo informazioni sui server dei nomi autorevoli per la zona. La zona ospitata dal server DNS deve ottenere le informazioni da un altro server DNS che ospita la zona. Questo server DNS deve avere accesso di rete al server DNS remoto per copiare le informazioni autorevoli del server dei nomi sulla zona.
È possibile usare le zone stub per:
- Mantenere aggiornate le informazioni sulla zona delegata. Il server DNS aggiorna regolarmente i record stub per le zone figlio, il server DNS che ospita sia la zona padre che la zona stub mantiene un elenco corrente di server DNS autorevoli per la zona figlio.
- Migliorare la risoluzione dei nomi. Le zone Stub consentono a un server DNS di eseguire la ricorsione usando l'elenco di server dei nomi della zona stub, senza dover eseguire query su Internet o su un server radice interno per lo spazio dei nomi DNS.
- Semplificare l'amministrazione DNS. Usando le zone stub nell'infrastruttura DNS, è possibile distribuire un elenco dei server DNS autorevoli per una zona senza usare zone secondarie. Tuttavia, le zone stub non servono allo stesso scopo delle zone secondarie e non rappresentano un'alternativa per migliorare la ridondanza e la condivisione del carico.
Esistono due elenchi di server DNS coinvolti nel caricamento e nella manutenzione di una zona stub:
- Elenco di server dei nomi da cui il server DNS carica e aggiorna una zona stub. Un server dei nomi potrebbe essere un server DNS primario o secondario per la zona. In entrambi i casi, include un elenco completo dei server DNS per la zona.
- Elenco dei server DNS autorevoli per una zona. Questo elenco è contenuto nella zona stub usando i record di risorse del server dei nomi (NS).
Quando un server DNS carica una zona stub, ad esempio widgets.tailspintoys.com, esegue una query sui server dei nomi, che possono trovarsi in posizioni diverse, per i record di risorse necessari dei server autorevoli per la zona widgets.tailspintoys.com. L'elenco dei server dei nomi potrebbe contenere un singolo server o più server e può essere modificato in qualsiasi momento.
Una zona stub è una copia di una zona che contiene solo i record di risorse necessari per identificare i server DNS (Domain Name System) autorevoli per tale zona. Di solito, si utilizza una zona di stub per risolvere i nomi tra spazi dei nomi DNS separati.
Quando si lavora con le sotto zone, è consigliabile prendere in considerazione:
- La zona stub non può essere ospitata in un server DNS autorevole per la stessa zona.
- Se si integra la zona stub in Servizi di dominio Active Directory, è possibile specificare se il server DNS che ospita la zona stub usa un elenco locale di server dei nomi o l'elenco archiviato in Active Directory Domain Services. Se si desidera utilizzare un elenco di server dei nomi locali, è necessario disporre degli indirizzi IP per ogni server dei nomi.
Zone di ricerca inversa
Nella maggior parte delle ricerche DNS (Domain Name System), i client in genere eseguono una ricerca diretta, ovvero una ricerca basata sul nome DNS di un altro computer archiviato in un record di risorse host (A). Questo tipo di query prevede un indirizzo IP come dati della risorsa per la risposta fornita.
DNS fornisce anche un processo di ricerca inverso, in cui i client usano un indirizzo IP noto e cercano un nome computer in base al relativo indirizzo. Una ricerca inversa ha la forma di una domanda, ad esempio "È possibile indicare il nome DNS del computer che usa l'indirizzo IP 192.168.1.20?"
Il dominio in-addr.arpa è stato definito negli standard DNS e riservato nello spazio dei nomi DNS Internet per offrire un modo pratico e affidabile per eseguire query inversi. Per creare lo spazio dei nomi inverso, vengono formati sottodomini all'interno del dominio in-addr.arpa, usando l'ordinamento inverso dei numeri nella notazione decimale punteggiata degli indirizzi IP.
Il dominio in-addr.arpa si applica a tutte le reti TCP/IP basate sull'indirizzamento IPv4 (Internet Protocol versione 4). Il Creazione guidata per una nuova zona presuppone automaticamente che si stia utilizzando questo dominio quando si crea una nuova zona di ricerca inversa.
L'ordine degli ottetti di indirizzi IP deve essere invertito quando viene compilato l'albero di dominio in-addr.arpa. Gli indirizzi IP dell'albero di in-addr.arpa DNS possono essere delegati alle organizzazioni quando vengono assegnati a un set specifico o limitato di indirizzi IP all'interno delle classi di indirizzi definiti da Internet.
Replicare il database DNS
Possono essere presenti più zone che rappresentano la stessa parte dello spazio dei nomi. Tra queste zone esistono tre tipi:
- Primary
- Secondary
- Stub
La zona primaria è quella dove vengono eseguiti tutti gli aggiornamenti per i record appartenenti a tale zona. Una zona secondaria è una copia di sola lettura della zona primaria. Una zona stub è una copia di sola lettura della zona primaria che contiene solo i record di risorse che identificano i server DNS autorevoli per un nome di dominio DNS. Tutte le modifiche apportate al file della zona primaria vengono replicate nel file di zona secondario. I server DNS che ospitano una zona primaria, secondaria o stub sono considerati autorevoli per i nomi DNS nella zona.
Poiché un server DNS può ospitare più zone, può quindi ospitare sia una zona primaria (con la copia scrivibile di un file di zona) che una zona secondaria separata (che ottiene una copia di sola lettura di un file di zona). Un server DNS che ospita una zona primaria è detto server DNS primario per tale zona e un server DNS che ospita una zona secondaria è detto server DNS secondario per tale zona.
Note
Una zona secondaria o stub non può essere ospitata in un server DNS che ospita una zona primaria per lo stesso nome di dominio.
Trasferimento di zona
Il processo di replica di un file di zona in più server DNS è denominato trasferimento di zona. Il trasferimento di zona viene ottenuto copiando il file di zona da un server DNS a un secondo server DNS. I trasferimenti di zona possono essere eseguiti da server DNS primari e secondari.
Un server DNS primario è qualsiasi server autorevole configurato per essere l'origine del trasferimento di zona. Se il server DNS è un server DNS primario, il trasferimento della zona proviene direttamente dal server DNS che ospita la zona primaria. Se il server primario ospita una zona DNS secondaria, il file di zona ricevuto dal server DNS primario con un trasferimento di zona è una copia del file di zona secondaria di sola lettura.
Il trasferimento di zona viene avviato in uno dei modi seguenti:
- Il server DNS primario invia una notifica (RFC 1996) a uno o più server DNS secondari di una modifica nel file di zona.
- Quando il servizio server DNS sul server DNS secondario viene avviato o l'intervallo di aggiornamento della zona scade, il server DNS secondario esegue una query sul server DNS primario per individuare le modifiche. Per impostazione predefinita, l'intervallo di aggiornamento è impostato su 15 minuti nell'RR SOA della zona.
Impostazioni di trasferimento di zona
I trasferimenti di zona consentono di controllare le circostanze in cui una zona secondaria deve essere replicata da una zona primaria. Per migliorare la sicurezza dell'infrastruttura DNS, consentire i trasferimenti di zona solo per i server DNS nei record di risorse del server dei nomi (NS) per una zona o per i server DNS specificati. Se si consente a qualsiasi server DNS di eseguire un trasferimento di zona, è possibile trasferire le informazioni di rete interne a qualsiasi host in grado di contattare il server DNS.
Tipi di replica di file di zona
Esistono due tipi di replica di file di zona. Il primo, un trasferimento di zona completo (AXFR), duplica l'intero file della zona. Il secondo, un trasferimento di zona incrementale (IXFR), replica solo i record modificati.
BIND 4.9.3 e versioni precedenti del software server DNS, e DNS di Windows NT 4.0 supportano solo il trasferimento completo della zona (AXFR). Esistono due tipi di AXFR: uno richiede un singolo record per pacchetto, l'altro consente più record per pacchetto. Il servizio Server DNS nei server Windows supporta entrambi i tipi di trasferimento di zona, ma per impostazione predefinita usa più record per pacchetto. Può essere configurato in modo diverso per la compatibilità con i server che non consentono più record per pacchetto, ad esempio BIND server versioni 4.9.4 e precedenti.
Delega della zona
È possibile dividere lo spazio dei nomi DNS (Domain Name System) in una o più zone. È possibile delegare la gestione di parte dello spazio dei nomi a un'altra posizione o reparto dell'organizzazione delegando la gestione della zona corrispondente. Ad esempio, delegando la zona australia.contoso.com dalla zona contoso.com.
Quando si delega una zona, tenere presente che per ogni nuova zona creata, sono necessari record di delega in altre zone che puntano ai server DNS autorevoli per la nuova zona. I record di delega sono necessari sia per trasferire l'autorità che per fornire una segnalazione corretta ad altri server DNS e client dei nuovi server resi autorevoli per la nuova zona.
Accesso a zone e nomi
L'accesso alle zone DNS e ai record di risorse archiviati in Active Directory è controllato con elenchi di controllo di accesso (ACL). Gli ACL possono essere specificati per il servizio server DNS, un'intera zona o per nomi DNS specifici. Per impostazione predefinita, qualsiasi utente di Active Directory autenticato può creare i record A o PTR in qualsiasi zona. Quando un proprietario crea un record A o PTR (indipendentemente dal tipo di record di risorse), solo gli utenti o i gruppi specificati nell'ACL per quel nome che dispongono dell'autorizzazione di scrittura sono abilitati per modificare i record corrispondenti a tale nome. Anche se questo approccio è auspicabile nella maggior parte degli scenari, alcune situazioni devono essere considerate separatamente.
Gruppo DNSAdmins
Per impostazione predefinita, il gruppo DNSAdmins ha il controllo completo di tutte le zone e i record nel dominio di Active Directory. Affinché un utente possa enumerare le zone in un dominio specifico, l'utente (o un gruppo a cui appartiene l'utente) deve essere inserito nel gruppo DNSAdmin.
Un amministratore di dominio potrebbe non voler concedere il controllo completo a tutti gli utenti elencati nel gruppo DNSAdmins. Un amministratore di dominio potrebbe invece voler concedere un set specifico di utenti controllo completo per una zona e autorizzazioni di sola lettura per altre zone. Per configurare queste autorizzazioni, l'amministratore di dominio può creare un gruppo separato per ognuna delle zone e aggiungere utenti specifici a ogni gruppo. L'ACL per ogni zona contiene un gruppo con controllo completo solo per quella zona. Tutti i gruppi vengono aggiunti al gruppo DNSAdmins, che può essere configurato solo con autorizzazioni di lettura. L'ACL di una zona contiene sempre il gruppo DNSAdmins, ovvero tutti gli utenti inclusi nei gruppi specifici della zona possono leggere tutte le zone nel dominio.
Prenotazione dei nomi
Gli ambienti che richiedono un livello elevato di sicurezza potrebbero dover riservare i nomi in una zona e impedire agli utenti autenticati di creare nuovi nomi in tale zona, ovvero il comportamento predefinito. Per proteggere i record DNS, è possibile modificare l'ACL predefinito per consentire la creazione di oggetti solo da determinati gruppi o utenti. L'amministrazione per nome degli elenchi di controllo di accesso offre un'altra soluzione a questo problema. Un amministratore può riservare un nome in una zona lasciando aperto il resto della zona per la creazione di nuovi oggetti da parte di tutti gli utenti autenticati. Un amministratore crea un record per il nome riservato e imposta l'elenco appropriato di gruppi o utenti nell'elenco di controllo di accesso. Ciò significa che solo gli utenti elencati nell'elenco di controllo di accesso sono in grado di registrare un altro record con il nome riservato.
Passaggi successivi
- Gestire le zone DNS usando del server DNS
- Panoramica dei criteri DNS
- Panoramica di DNS Anycast