Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een DNS-zone is het specifieke gedeelte van een DNS-naamruimte die wordt gehost op een DNS-server. Een DNS-zone bevat bronrecords en de DNS-server reageert op query's voor records in die naamruimte. De DNS-server die gezaghebbend is voor het omzetten van www.contoso.com naar een IP-adres, host bijvoorbeeld de contoso.com zone.
Inhoud van de DNS-zone kan worden opgeslagen in een bestand of in Active Directory Domain Services (AD DS). Wanneer de DNS-server de zone opslaat in een bestand:
- Dat bestand bevindt zich in een lokale map op de server.
- Slechts één exemplaar van de zone is beschrijfbaar.
- Andere kopieën, die alleen kunnen worden gelezen, worden secundaire zones genoemd.
DNS-zones die zijn opgeslagen in AD DS worden ook wel active Directory-geïntegreerde zones genoemd. Active Directory-geïntegreerde zones zijn alleen beschikbaar op domeincontrollers waarop de DNS-serverfunctie is geïnstalleerd.
DNS-zone typen
De DNS Server-service ondersteunt de volgende typen zone:
- Primaire zone.
- Secundaire zone.
- Stubzone
- Zone voor omgekeerd lookup.
Primaire zones
Een DNS-server die als host fungeert voor een primaire zone, is de primaire bron voor informatie over deze zone. De zonegegevens worden opgeslagen in een lokaal bestand of in AD DS. Als u resourcerecords wilt maken, bewerken of verwijderen, moet u de primaire zone gebruiken. Secundaire zones zijn alleen-lezen kopieën van primaire zones.
U kunt een standaard primaire zone opslaan in een lokaal bestand of zonegegevens opslaan in AD DS. Wanneer u zonegegevens opslaat in AD DS, worden er extra functies beschikbaar, zoals beveiligde dynamische updates en de mogelijkheid voor elke domeincontroller die de zone host om als primaire functionerend te dienen en in staat te zijn updates voor de zone te verwerken. Wanneer de zone is opgeslagen in een bestand, krijgt het primaire zonebestand standaard de naam zone_name.dnsen bevindt zich in de map %windir%\System32\Dns op de server.
Wanneer u Active Directory implementeert, wordt automatisch een DNS-zone gemaakt die is gekoppeld aan de AD DS-domeinnaam van uw organisatie. De AD DS DNS-zone wordt standaard gerepliceerd naar een andere domeincontroller die is geconfigureerd als een DNS-server in het domein. U kunt ook geïntegreerde ACTIVE Directory DNS-zones configureren om te repliceren naar alle domeincontrollers binnen een AD DS-forest of specifieke domeincontrollers die zijn ingeschreven bij een bepaalde AD DS-domeinpartitie.
Secundaire zone
Een secundaire zone is een alleen-lezen kopie van een primaire zone. Wanneer een zone die door deze DNS-server wordt gehost een secundaire zone is, is deze DNS-server een secundaire bron voor informatie over deze zone. De zone op deze server moet worden verkregen van een andere externe DNS-servercomputer die ook als host fungeert voor de zone. Deze DNS-server moet netwerktoegang hebben tot de externe DNS-server die deze server levert met bijgewerkte informatie over de zone. Omdat een secundaire zone alleen een kopie is van een primaire zone die op een andere server wordt gehost, kan deze niet worden opgeslagen in AD DS als een geïntegreerde Active Directory-zone.
In de meeste gevallen kopieert een secundaire zone regelmatig bronrecords rechtstreeks vanuit de primaire zone. In sommige complexe configuraties kan een secundaire zone echter bronrecords uit een andere secundaire zone kopiëren.
Stubzone
Een stub-zone bevat alleen informatie over de gezaghebbende naamservers voor de zone. De zone die wordt gehost door de DNS-server moet de gegevens ophalen van een andere DNS-server die als host fungeert voor de zone. Deze DNS-server moet netwerktoegang hebben tot de externe DNS-server om de gezaghebbende naamserverinformatie over de zone te kopiëren.
U kunt stub-zones gebruiken om:
- Houd gedelegeerde zone-informatie actueel. De DNS-server werkt de stub-records voor de onderliggende zones regelmatig bij, de DNS-server die als host fungeert voor zowel de bovenliggende zone als de stubzone onderhoudt een huidige lijst met gezaghebbende DNS-servers voor de onderliggende zone.
- Naamresolutie verbeteren. Stub-zones stellen een DNS-server in staat om recursie uit te voeren met behulp van de lijst met naamservers van de stub-zone, zonder query's uit te voeren op internet of een interne hoofdserver voor de DNS-naamruimte.
- Vereenvoudig dns-beheer. Door stub-zones in uw DNS-infrastructuur te gebruiken, kunt u een lijst met de gezaghebbende DNS-servers voor een zone distribueren zonder secundaire zones te gebruiken. Stub-zones dienen echter niet hetzelfde doel als secundaire zones en zijn geen alternatief voor het verbeteren van redundantie en het delen van belasting.
Er zijn twee lijsten met DNS-servers die betrokken zijn bij het laden en onderhouden van een stub-zone:
- De lijst met naamservers van waaruit de DNS-server wordt geladen en een stub-zone wordt bijgewerkt. Een naamserver kan een primaire of secundaire DNS-server voor de zone zijn. In beide gevallen bevat het een volledige lijst met de DNS-servers voor de zone.
- De lijst met gezaghebbende DNS-servers voor een zone. Deze lijst bevindt zich in de stub-zone via NS-resource-records (naamserver).
Wanneer een DNS-server een stub-zone laadt, zoals widgets.tailspintoys.com, wordt er een query uitgevoerd op de naamservers, die zich op verschillende locaties kunnen bevinden, voor de benodigde bronrecords van de gezaghebbende servers voor de zone widgets.tailspintoys.com. De lijst met naamservers kan één server of meerdere servers bevatten en kan op elk gewenst moment worden gewijzigd.
Een stub-zone is een kopie van een zone die alleen de bronrecords bevat die nodig zijn om de gezaghebbende DNS-servers (Domain Name System) voor die zone te identificeren. Normaal gesproken gebruikt u een stub-zone om namen tussen afzonderlijke DNS-naamruimten om te zetten.
Wanneer u met subzones werkt, moet u het volgende overwegen:
- De stub-zone kan niet worden gehost op een DNS-server die gezaghebbend is voor dezelfde zone.
- Als u de stub-zone integreert in AD DS, kunt u opgeven of de DNS-server die als host fungeert voor de stub-zone een lokale lijst met naamservers of de lijst gebruikt die is opgeslagen in AD DS. Als u een lijst met lokale naamservers wilt gebruiken, moet u de IP-adressen voor elke naamserver hebben.
Zones voor omgekeerde opzoekingen
In de meeste DNS-zoekacties (Domain Name System) voeren clients meestal een forward lookup uit. Dit is een zoekopdracht die is gebaseerd op de DNS-naam van een andere computer, omdat deze is opgeslagen in een hostbronrecord (A). Dit type query verwacht een IP-adres als de resourcegegevens voor het beantwoorde antwoord.
DNS biedt ook een proces voor reverse lookup, waarbij clients een bekend IP-adres gebruiken en een computernaam opzoeken op basis van het adres. Een omgekeerde zoekactie heeft de vorm van een vraag, zoals 'Kunt u mij de DNS-naam vertellen van de computer die gebruikmaakt van het IP-adres 192.168.1.20?'
Het in-addr.arpa domein is gedefinieerd in de DNS-standaarden en gereserveerd in de Internet DNS-naamruimte om een praktische en betrouwbare manier te bieden om omgekeerde query's uit te voeren. Als u de omgekeerde naamruimte wilt maken, worden subdomeinen binnen het in-addr.arpa domein gevormd met behulp van de omgekeerde volgorde van de getallen in de gestippeldecimaal notatie van IP-adressen.
Het in-addr.arpa domein is van toepassing op alle TCP/IP-netwerken die zijn gebaseerd op IPv4-adressering (Internet Protocol versie 4). In de wizard Nieuwe zone wordt automatisch ervan uitgegaan dat u dit domein gebruikt wanneer u een nieuwe zone voor reverse lookup maakt.
De volgorde van octetten voor IP-adressen moet worden omgekeerd wanneer de in-addr.arpa domeinstructuur wordt gebouwd. De IP-adressen van de DNS-in-addr.arpa-structuur kunnen worden gedelegeerd aan organisaties omdat ze een specifieke of beperkte set IP-adressen binnen de door internet gedefinieerde adresklassen krijgen toegewezen.
De DNS-database repliceren
Er kunnen meerdere zones zijn die hetzelfde gedeelte van de naamruimte vertegenwoordigen. Onder deze zones zijn er drie typen:
- Primair
- Secundair
- Peuk
Een primaire zone is een zone waaraan alle updates voor de records die tot die zone behoren worden doorgevoerd. Een secundaire zone is een alleen lezen kopie van de primaire zone. Een stub-zone is een alleen-lezen kopie van de primaire zone die alleen de bronrecords bevat die de DNS-servers identificeren die gezaghebbend zijn voor een DNS-domeinnaam. Wijzigingen in het primaire zonebestand worden gerepliceerd naar het secundaire zonebestand. DNS-servers die als host fungeren voor een primaire, secundaire of stub-zone, worden geacht gezaghebbend te zijn voor de DNS-namen in de zone.
Omdat een DNS-server meerdere zones kan hosten, kan deze daarom zowel een primaire zone hosten (die de beschrijfbare kopie van een zonebestand heeft) als een afzonderlijke secundaire zone (die een alleen-lezen kopie van een zonebestand verkrijgt). Een DNS-server die als host fungeert voor een primaire zone, wordt gezegd dat deze de primaire DNS-server voor die zone is en dat een DNS-server die als host fungeert voor een secundaire zone, de secundaire DNS-server voor die zone is.
Notitie
Een secundaire of stub-zone kan niet worden gehost op een DNS-server die als host fungeert voor een primaire zone voor dezelfde domeinnaam.
Zoneoverdracht
Het proces van het repliceren van een zonebestand naar meerdere DNS-servers wordt zoneoverdracht genoemd. Zoneoverdracht wordt bereikt door het zonebestand van de ene DNS-server naar een tweede DNS-server te kopiëren. Zoneoverdrachten kunnen worden gemaakt van zowel primaire als secundaire DNS-servers.
Een primaire DNS-server is een gezaghebbende server die is geconfigureerd als de bron van de zoneoverdracht. Als de DNS-server een primaire DNS-server is, komt de zoneoverdracht rechtstreeks van de DNS-server die als host fungeert voor de primaire zone. Als de primaire server als host fungeert voor een secundaire DNS-zone, is het zonebestand dat is ontvangen van de primaire DNS-server met een zoneoverdracht een kopie van het alleen-lezen secundaire zonebestand.
De zoneoverdracht wordt op een van de volgende manieren gestart:
- De primaire DNS-server verzendt een melding (RFC 1996) naar een of meer secundaire DNS-servers van een wijziging in het zonebestand.
- Wanneer de DNS Server-service op de secundaire DNS-server wordt gestart of het vernieuwingsinterval van de zone verloopt, voert de secundaire DNS-server een query uit op de primaire DNS-server voor de wijzigingen. Het vernieuwingsinterval is standaard ingesteld op 15 minuten in de SOA RR van de zone.
Instellingen voor zoneoverdracht
Met zoneoverdrachten kunt u bepalen onder welke omstandigheden een secundaire zone moet worden gerepliceerd vanuit een primaire zone. Om de beveiliging van uw DNS-infrastructuur te verbeteren, staat u zoneoverdrachten alleen toe voor de DNS-servers in de bronrecords van de naamserver (NS) voor een zone of voor opgegeven DNS-servers. Als u een DNS-server toestaat om een zoneoverdracht uit te voeren, staat u toe dat interne netwerkgegevens worden overgedragen naar elke host die contact kan opnemen met uw DNS-server.
Typen zonebestandsreplicatie
Er zijn twee typen zonebestandsreplicatie. De eerste, een volledige zoneoverdracht (AXFR), repliceert het hele zonebestand. Met de tweede, een incrementele zoneoverdracht (IXFR), worden alleen records gerepliceerd die zijn gewijzigd.
BIND 4.9.3 en eerdere DNS-serversoftware, en Windows NT 4.0 DNS, bieden alleen ondersteuning voor volledige zoneoverdracht (AXFR). Er zijn twee soorten AXFR: één record per pakket is vereist, de andere staat meerdere records per pakket toe. De DNS Server-service in Windows-servers ondersteunt beide typen zoneoverdracht, maar maakt standaard gebruik van meerdere records per pakket. Het kan anders worden geconfigureerd voor compatibiliteit met servers die niet meerdere records per pakket toestaan, zoals BIND-servers versie 4.9.4 en eerder.
Zonedelegering
U kunt uw DNS-naamruimte (Domain Name System) verdelen in een of meer zones. U kunt het beheer van een deel van uw naamruimte delegeren aan een andere locatie of afdeling in uw organisatie door het beheer van de bijbehorende zone te delegeren. Bijvoorbeeld het delegeren van de australia.contoso.com zone vanuit de contoso.com zone.
Wanneer u een zone delegeert, moet u er rekening mee houden dat u voor elke nieuwe zone die u maakt, delegeringsrecords in andere zones nodig die verwijzen naar de gezaghebbende DNS-servers voor de nieuwe zone. Delegeringsrecords zijn nodig om zowel de instantie over te dragen als om een juiste verwijzing naar andere DNS-servers en -clients te bieden van de nieuwe servers die gezaghebbend worden gemaakt voor de nieuwe zone.
Toegang tot zones en namen
Toegang tot de DNS-zones en bronrecords die zijn opgeslagen in Active Directory, wordt beheerd met toegangsbeheerlijsten (ACL's). ACL's kunnen worden opgegeven voor de DNS Server-service, een volledige zone of voor specifieke DNS-namen. Standaard kan elke geverifieerde Active Directory-gebruiker de A- of PTR-RU's maken in elke zone. Wanneer een eigenaar een A- of PTR-record maakt (ongeacht het type resourcerecord), worden alleen de gebruikers of groepen die zijn opgegeven in de ACL voor die naam waarvoor schrijfmachtigingen zijn ingeschakeld om records te wijzigen die overeenkomen met die naam. Hoewel deze aanpak in de meeste scenario's wenselijk is, moeten sommige situaties afzonderlijk worden overwogen.
DNSAdmins-groep
De DNSAdmins-groep heeft standaard volledige controle over alle zones en records in het Active Directory-domein. Als een gebruiker zones in een specifiek domein kan inventariseren, moet de gebruiker (of een groep waartoe de gebruiker behoort) worden opgenomen in de DNSAdmin-groep.
Een domeinbeheerder wil mogelijk niet volledig beheer verlenen aan alle gebruikers die worden vermeld in de GROEP DNSAdmins. In plaats daarvan wil een domeinbeheerder mogelijk een specifieke set gebruikers volledig beheer verlenen voor één zone en alleen-lezen machtigingen voor andere zones. Als u deze machtigingen wilt configureren, kan de domeinbeheerder een afzonderlijke groep maken voor elk van de zones en specifieke gebruikers toevoegen aan elke groep. Vervolgens bevat de ACL voor elke zone alleen een groep met volledig beheer voor die zone. Alle groepen worden toegevoegd aan de DNSAdmins-groep, die alleen kan worden geconfigureerd met leesmachtigingen. De ACL van een zone bevat altijd de DNSAdmins-groep, wat betekent dat alle gebruikers die zijn opgenomen in de zonespecifieke groepen, alle zones in het domein kunnen lezen.
Namen reserveren
Omgevingen waarvoor een hoog beveiligingsniveau is vereist, moeten mogelijk namen reserveren in een zone en voorkomen dat geverifieerde gebruikers nieuwe namen maken in die zone. Dit is het standaardgedrag. Als u de DNS-records wilt beveiligen, kan de standaard-ACL worden gewijzigd om het maken van objecten door bepaalde groepen of gebruikers alleen mogelijk te maken. Beheer per naam van ACL's biedt een andere oplossing voor dit probleem. Een beheerder kan een naam reserveren in een zone die de rest van de zone open laat voor het maken van nieuwe objecten door alle geverifieerde gebruikers. Een beheerder maakt een record voor de gereserveerde naam en stelt de juiste lijst met groepen of gebruikers in de ACL in. Dit betekent dat alleen de gebruikers die in de ACL worden vermeld, een andere record kunnen registreren onder de gereserveerde naam.
Volgende stappen
- DNS-zones beheren met dns-server
- Overzicht van DNS-beleid
- Overzicht van Anycast DNS