Udostępnij za pośrednictwem


Strefy DNS

Strefa DNS jest określoną częścią przestrzeni nazw DNS hostowanej na serwerze DNS. Strefa DNS zawiera rekordy zasobów, a serwer DNS odpowiada na zapytania dotyczące rekordów w tej przestrzeni nazw. Na przykład serwer DNS, który jest autorytatywny dla rozwiązywania www.contoso.com do adresu IP, hostuje strefę contoso.com.

Zawartość strefy DNS może być przechowywana w pliku lub w usługach Active Directory Domain Services (AD DS). Gdy serwer DNS przechowuje strefę w pliku:

  • Ten plik znajduje się w folderze lokalnym na serwerze.
  • Tylko jedna kopia strefy jest zapisywalna.
  • Inne kopie, które są tylko do odczytu, są nazywane strefami wtórnymi.

Strefy DNS przechowywane w usługach AD DS są nazywane strefami zintegrowanymi z usługą Active Directory. Strefy zintegrowane z usługą Active Directory są dostępne tylko na kontrolerach domeny z zainstalowaną rolą serwera DNS.

Typy stref DNS

Usługa serwera DNS obsługuje następujące typy stref:

  • Strefa podstawowa.
  • Strefa pomocnicza.
  • Strefa stubowa.
  • Strefa wyszukiwania wstecznego.

Strefy podstawowe

Serwer DNS hostująca strefę podstawową jest podstawowym źródłem informacji o tej strefie. Przechowuje dane strefy w pliku lokalnym lub w AD DS. Aby tworzyć, edytować lub usuwać rekordy zasobów, należy użyć strefy podstawowej. Strefy pomocnicze to kopie stref podstawowych tylko do odczytu.

Możesz przechowywać standardową strefę podstawową w pliku lokalnym lub przechowywać dane strefy w usługach AD DS. Podczas przechowywania danych strefy w AD DS dostępne są inne funkcje, takie jak bezpieczne aktualizacje dynamiczne oraz zdolność każdego kontrolera domeny, który hostuje strefę, do działania jako podstawowy oraz przetwarzania aktualizacji strefy. Gdy strefa jest przechowywana w pliku, domyślnie plik strefy podstawowej nosi nazwę zone_name.dnsi znajduje się w folderze %windir%\System32\Dns na serwerze.

Podczas wdrażania usługi Active Directory zostanie automatycznie utworzona strefa DNS skojarzona z nazwą domeny usług AD DS organizacji. Domyślnie strefa DNS usług AD DS replikuje się do dowolnego innego kontrolera domeny skonfigurowanego jako serwer DNS w domenie. Można również skonfigurować zintegrowane strefy DNS usługi Active Directory, aby replikować do wszystkich kontrolerów domeny w lesie usług AD DS lub określonych kontrolerów domeny zarejestrowanych w określonej partycji domeny usług AD DS.

Strefa pomocnicza

Strefa pomocnicza to kopia strefy podstawowej, która jest tylko do odczytu. Jeśli strefa hostów tego serwera DNS jest strefą pomocniczą, ten serwer DNS jest pomocniczym źródłem informacji o tej strefie. Strefę na tym serwerze należy uzyskać z innego zdalnego komputera serwera DNS, który również hostuje strefę. Ten serwer DNS musi mieć dostęp sieciowy do zdalnego serwera DNS, który dostarcza temu serwerowi zaktualizowane informacje o obszarze. Ponieważ strefa pomocnicza jest tylko kopią strefy podstawowej hostowanej na innym serwerze, nie można jej przechowywać w usługach AD DS jako strefy zintegrowanej usługi Active Directory.

W większości przypadków strefa pomocnicza okresowo kopiuje rekordy zasobów bezpośrednio ze strefy podstawowej. Jednak w niektórych złożonych konfiguracjach strefa pomocnicza może kopiować rekordy zasobów z innej strefy pomocniczej.

Strefa wycinkowa

Strefa wycinkowa zawiera tylko informacje o autorytatywnych serwerach nazw strefy. Strefa hostowana przez serwer DNS musi uzyskać informacje z innego serwera DNS, który hostuje strefę. Ten serwer DNS musi mieć dostęp sieciowy do zdalnego serwera DNS, aby skopiować autorytatywne informacje o serwerze nazw dotyczące strefy.

Możesz używać stref wycinkowych do:

  • Zachowaj bieżące informacje o strefie delegowanej. Serwer DNS regularnie aktualizuje rekordy stub dla swoich stref podrzędnych; serwer DNS, który hostuje zarówno strefę nadrzędną, jak i stub, utrzymuje bieżącą listę autorytatywnych serwerów DNS dla strefy podrzędnej.
  • Ulepszanie rozpoznawania nazw. Strefy wycinków umożliwiają serwerowi DNS przeprowadzanie rekursji, korzystając z listy serwerów nazw danej strefy wycinków, bez konieczności wysyłania zapytań do Internetu lub wewnętrznego serwera głównego dla przestrzeni nazw DNS.
  • Upraszczanie administrowania systemem DNS. Korzystając ze stref wycinkowych w całej infrastrukturze DNS, można dystrybuować listę autorytatywnych serwerów DNS dla strefy bez używania stref wtórnych. Jednak strefy wycinków nie spełniają tego samego celu co strefy pomocnicze i nie stanowią alternatywy dla zwiększenia nadmiarowości i równoważenia obciążenia.

Istnieją dwie listy serwerów DNS zaangażowanych w ładowanie i konserwację strefy wycinkowej.

  • Lista serwerów nazw, z których serwer DNS pobiera i aktualizuje strefę wycinkową. Serwer nazw może być podstawowym lub pomocniczym serwerem DNS dla strefy. W obu przypadkach ma pełną listę serwerów DNS dla strefy.
  • Lista autorytatywnych serwerów DNS dla strefy. Ta lista znajduje się w strefie stub za pomocą rekordów zasobów serwera nazw (NS).

Gdy serwer DNS ładuje strefę wycinkową, taką jak widgets.tailspintoys.com, wysyła zapytanie do serwerów nazw, które mogą znajdować się w różnych lokalizacjach, w celu uzyskania niezbędnych rekordów zasobów serwerów autorytatywnych dla strefy widgets.tailspintoys.com. Lista serwerów nazw może zawierać jeden serwer lub wiele serwerów i można ją zmienić w dowolnym momencie.

Strefa wycinkowa to kopia strefy, która zawiera tylko te rekordy zasobów, które są niezbędne do zidentyfikowania autorytatywnych serwerów systemu nazw domen (DNS) dla tej strefy. Zazwyczaj używasz strefy stub do rozpoznawania nazw między oddzielnymi przestrzeniami nazw DNS.

Podczas pracy ze strefami podrzędnymi należy wziąć pod uwagę następujące kwestie:

  • Strefa wycinkowa nie może być hostowana na serwerze DNS, który jest autorytatywny dla tej samej strefy.
  • W przypadku integracji strefy wycinkowej z usługami AD DS można określić, czy serwer DNS hostujące strefę wycinkową używa lokalnej listy serwerów nazw lub listy przechowywanej w usługach AD DS. Jeśli chcesz użyć listy serwerów nazw lokalnych, musisz mieć adresy IP dla każdego serwera nazw.

Strefy wyszukiwania wstecznego

W większości zapytań do systemu nazw domen (DNS) klienci zazwyczaj wykonują wyszukiwanie w przód, które polega na przeszukiwaniu opartego na nazwie DNS innego komputera tak, jak jest ona przechowywana w rekordzie zasobów hosta (A). Ten typ zapytania oczekuje adresu IP jako danych zasobów odpowiedzi.

System DNS udostępnia również proces wyszukiwania wstecznego, w którym klienci używają znanego adresu IP i wyszukują nazwę komputera na podstawie jego adresu. Wyszukiwanie wsteczne ma formę pytania, takiego jak "Czy można mi powiedzieć nazwę DNS komputera, który używa adresu IP 192.168.1.20?"

Domena in-addr.arpa została zdefiniowana w standardach DNS i zarezerwowana w przestrzeni nazw DNS w Internecie w celu zapewnienia praktycznego i niezawodnego sposobu wykonywania zapytań odwrotnych. Aby utworzyć przestrzeń nazw odwrotnych, poddomeny w domenie in-addr.arpa są tworzone przy użyciu odwrotnej kolejności liczb w notacji kropkowanej-dziesiętnej adresów IP.

Domena in-addr.arpa dotyczy wszystkich sieci TCP/IP opartych na adresowaniu protokołu internetowego w wersji 4 (IPv4). Kreator nowej strefy automatycznie zakłada, że używasz tej domeny podczas tworzenia nowej strefy wyszukiwania wstecznego.

Kolejność oktetów adresów IP musi zostać odwrócona podczas budowania drzewa domeny in-addr.arpa. Adresy IP drzewa in-addr.arpa DNS można delegować do organizacji, ponieważ są one przypisane do określonego lub ograniczonego zestawu adresów IP w klasach adresów zdefiniowanych przez Internet.

Replikowanie bazy danych DNS

Może istnieć wiele stref reprezentujących tę samą część przestrzeni nazw. Wśród tych stref istnieją trzy typy:

  • Podstawowy
  • Wtórny
  • Zalążek

Primary to strefa, do której są wprowadzane wszystkie aktualizacje rekordów należących do tej strefy. Strefa pomocnicza to kopia strefy podstawowej tylko do odczytu. Strefa wycinkowa to kopia strefy podstawowej tylko do odczytu, która zawiera tylko rekordy zasobów identyfikujące serwery DNS, które są autorytatywne dla nazwy domeny DNS. Wszelkie zmiany wprowadzone w pliku strefy podstawowej są replikowane do pliku strefy pomocniczej. Serwery DNS hostujące strefę podstawową, pomocniczą lub wycinkową są podobno autorytatywne dla nazw DNS w strefie.

Ponieważ serwer DNS może hostować wiele stref, może hostować zarówno strefę podstawową (która ma zapisywalną kopię pliku strefy) i oddzielną strefę pomocniczą (która uzyskuje kopię pliku strefy tylko do odczytu). Serwer DNS hostujący strefę podstawową jest podobno podstawowym serwerem DNS dla tej strefy, a serwer DNS hostujący strefę pomocniczą jest podobno pomocniczym serwerem DNS dla tej strefy.

Notatka

Na serwerze DNS, który hostuje strefę podstawową dla tej samej nazwy domeny, nie można hostować strefy pomocniczej ani strefy stub.

Transfer strefy

Proces replikowania pliku strefy do wielu serwerów DNS jest nazywany transferem strefy. Transfer strefy jest osiągany przez skopiowanie pliku strefy z jednego serwera DNS do drugiego serwera DNS. Transfery stref można przesyłać zarówno z serwerów DNS podstawowych, jak i pomocniczych.

Podstawowy serwer DNS to dowolny autorytatywny serwer skonfigurowany jako źródło transferu strefy. Jeśli serwer DNS jest podstawowym serwerem DNS, transfer strefy pochodzi bezpośrednio z serwera DNS obsługującego strefę podstawową. Jeśli serwer podstawowy hostuje pomocniczą strefę DNS, plik strefy odebrany z podstawowego serwera DNS z transferem strefy jest kopią pliku strefy pomocniczej tylko do odczytu.

Transfer strefy jest inicjowany w jeden z następujących sposobów:

  • Podstawowy serwer DNS wysyła powiadomienie (RFC 1996) do co najmniej jednego pomocniczego serwera DNS zmiany w pliku strefy.
  • Gdy usługa serwera DNS na pomocniczym serwerze DNS zostanie uruchomiona lub interwał odświeżania strefy wygaśnie, pomocniczy serwer DNS wysyła zapytanie do podstawowego serwera DNS pod kątem zmian. Domyślnie interwał odświeżania jest ustawiony na 15 minut w strefie SOA RR.

Ustawienia transferu strefy

Transfery stref umożliwiają kontrolowanie okoliczności, w których strefa pomocnicza ma być replikowana ze strefy podstawowej. Aby zwiększyć bezpieczeństwo infrastruktury DNS, zezwalaj na transfery stref tylko dla serwerów DNS w rekordach zasobów serwera nazw (NS) dla strefy lub dla określonych serwerów DNS. Jeśli zezwolisz dowolnemu serwerowi DNS na transfer strefy, zezwalasz na przesyłanie informacji o sieci wewnętrznej do dowolnego hosta, który może skontaktować się z serwerem DNS.

Typy replikacji plików strefy

Istnieją dwa typy replikacji plików strefy. Pierwszy, pełny transfer strefy (AXFR), kopiuje cały plik strefowy. Drugi, przyrostowy transfer strefy (IXFR), replikuje tylko rekordy, które zostały zmodyfikowane.

BIND 4.9.3 i starsze oprogramowanie serwera DNS oraz system Windows NT 4.0 DNS obsługują tylko pełny transfer strefy (AXFR). Istnieją dwa typy AXFR: jeden wymaga jednego rekordu na pakiet, a drugi zezwala na wiele rekordów na pakiet. Usługa serwera DNS na serwerach z systemem Windows obsługuje oba typy transferu strefy, ale domyślnie używa wielu rekordów na pakiet. Można go skonfigurować inaczej pod kątem zgodności z serwerami, które nie zezwalają na wiele rekordów na pakiet, takich jak serwery BIND w wersji 4.9.4 i starszych.

Delegowanie strefy

Przestrzeń nazw systemu nazw domen (DNS) można podzielić na jedną lub więcej stref. Zarządzanie częścią przestrzeni nazw można delegować do innej lokalizacji lub działu w organizacji, delegując zarządzanie odpowiednią strefą. Na przykład delegowanie strefy australia.contoso.com ze strefy contoso.com.

Podczas delegowania strefy pamiętaj, że dla każdej nowej strefy, którą tworzysz, potrzebujesz stworzyć rekordy delegowania w innych strefach, które będą wskazywać na autorytatywne serwery DNS dla nowej strefy. Rekordy delegowania są niezbędne zarówno do przeniesienia uprawnień, jak i do zapewnienia poprawnego odwołania do innych serwerów DNS oraz klientów korzystających z nowych serwerów, które stają się autorytatywne dla nowej strefy.

Dostęp do stref i nazw

Dostęp do stref DNS i rekordów zasobów przechowywanych w usłudze Active Directory jest kontrolowany za pomocą list kontroli dostępu (ACL). Listy ACL można określić dla usługi serwera DNS, całej strefy lub dla określonych nazw DNS. Domyślnie każdy uwierzytelniony użytkownik usługi Active Directory może utworzyć RRS A lub PTR w dowolnej strefie. Gdy właściciel tworzy rekord A lub PTR (niezależnie od typu rekordu zasobu), tylko użytkownicy lub grupy określone w liście ACL dla tej nazwy, które mają uprawnienia do zapisu, są włączone do modyfikowania rekordów odpowiadających tej nazwie. Chociaż takie podejście jest pożądane w większości scenariuszy, niektóre sytuacje muszą być brane pod uwagę oddzielnie.

Grupa DNSAdmins

Domyślnie grupa DNSAdmins ma pełną kontrolę nad wszystkimi strefami i rekordami w domenie usługi Active Directory. Aby użytkownik mógł wyliczać strefy w określonej domenie, użytkownik (lub grupa, do którego należy) musi być wymieniony w grupie DNSAdmin.

Administrator domeny może nie chcieć udzielić pełnej kontroli wszystkim użytkownikom wymienionym w grupie DNSAdmins. Zamiast tego administrator domeny może chcieć udzielić określonego zestawu użytkowników pełnej kontroli dla jednej strefy i uprawnień tylko do odczytu dla innych stref. Aby skonfigurować te uprawnienia, administrator domeny może utworzyć oddzielną grupę dla każdej strefy i dodać określonych użytkowników do każdej grupy. Następnie lista ACL dla każdej strefy zawiera grupę posiadającą pełną kontrolę wyłącznie dla tej strefy. Wszystkie grupy są dodawane do grupy DNSAdmins, którą można skonfigurować tylko z uprawnieniami do odczytu. Lista ACL strefy zawsze zawiera grupę DNSAdmins, co oznacza, że wszyscy użytkownicy wymienieni w grupach specyficznych dla strefy mają możliwość odczytu wszystkich stref w domenie.

Rezerwowanie nazw

Środowiska wymagające wysokiego poziomu zabezpieczeń mogą wymagać zarezerwowania nazw w strefie i uniemożliwić uwierzytelnieni użytkownikom tworzenie nowych nazw w tej strefie, co jest zachowaniem domyślnym. Aby zabezpieczyć rekordy DNS, można zmienić domyślną listę ACL, aby umożliwić tworzenie obiektów tylko przez niektóre grupy lub użytkowników. Administrowanie listami ACL na poziomie nazw zapewnia inne rozwiązanie tego problemu. Administrator może zarezerwować nazwę w strefie, pozostawiając pozostałą część strefy otwartą na potrzeby tworzenia nowych obiektów przez wszystkich uwierzytelnionych użytkowników. Administrator tworzy rekord dla nazwy zarezerwowanej i ustawia odpowiednią listę grup lub użytkowników na liście ACL. Oznacza to, że tylko użytkownicy wymienieni na liście ACL mogą zarejestrować inny rekord pod nazwą zarezerwowaną.

Następne kroki