Изучение архитектуры DNS
Для поддержки приложений и служб крайне важно, чтобы группа ИТ инфраструктуры Contoso спланировала и реализовала разрешение имен (name resolution). Помимо организационных приложений и служб, для AD DS и общего сетевого взаимодействия также требуется служба DNS в качестве критически важной сетевой службы.
Разрешение имен — это процесс преобразования имен компьютеров в IP-адреса. Разрешение имен является важнейшей частью компьютерной сети, поскольку пользователям проще запомнить имена, чем абстрактные числа, например адрес IPv4 или IPv6. Windows поддерживает ряд различных методов для разрешения имен компьютеров, основным из которых является DNS.
Что это такое DNS?
DNS — это стандартная служба разрешения имен. Серверы, на которых работает роль DNS-сервера, отвечают на запросы от узлов и других сетевых устройств для разрешения имен компьютеров и узлов в IP-адреса. DNS-серверы также могут разрешать IP-адреса в имена. DNS-серверы используют записи ресурсов DNS, хранящиеся в зонах DNS. Если DNS-сервер не может разрешить запрос к сетевому устройству, он может ссылаться на другие DNS-серверы с помощью корневых ссылок или перенаправления.
Примечание.
Точный формат зоны зависит от типа зоны.
Вы можете создавать записи ресурсов DNS вручную, или узлы IP и сетевые устройства могут автоматически регистрировать свои записи DNS на DNS-сервере.
Наиболее распространенный способ использования DNS — разрешение полных доменных имен (FQDN), таких как sea-dc1.contoso.com, в IP-адреса. Пользователи нуждаются в этой функции для доступа к сетевым ресурсам и веб-сайтам.
Администраторы используют разрешение имен в DNS при настройке приложений и управлении ими, отчасти потому, что людям легче запоминать имена, чем IP-адреса. Присоединенные к домену клиенты и серверы Windows также используют DNS для нахождение контроллеров домена в домене AD DS.
Доменные имена DNS
Структура именования, используемая службой DNS, — это пространство имен DNS. Оно является иерархическим. Это означает, что оно начинается с корневого домена. Этот корневой домен может иметь любое количество поддоменов. Каждый поддомен может, в свою очередь, иметь любое количество собственных поддоменов.
Доменные имена могут быть общедоступными (с выходом в Интернет) или частными. Если они являются частными, определите, как определить пространство имен вашей организации. Если они общедоступны, необходимо обратиться в интернет-корпорацию присвоенных имен и цифр (ICANN) или другие центры регистрации имен в Интернете, которые могут делегировать (продать) вам уникальные имена. Из этих имен можно создать соответствующие имена поддоменов.
Совет
Для получения доверенных сертификатов для приложений и проверки подлинности обычно используется общедоступное доменное имя, зарегистрированное в Интернете.
Серверы DNS
DNS-сервер отвечает на запросы записей DNS, выполненных с помощью арбитров DNS. Например, клиент Windows 10 может отправить запрос DNS для разрешения sea-dc1.contoso.com на DNS-сервер, а ответ DNS-сервера включает IP-адрес sea-dc1.contoso.com.
DNS-сервер извлекает эти сведения из локальной базы данных, содержащей записи ресурсов. Кроме того, если у DNS-сервера нет запрошенной информации, он может пересылать запросы DNS на другой DNS-сервер. DNS-сервер также кэширует ранее запрошенную информацию с других DNS-серверов.
Хотя любой сервер Windows Server можно настроить как DNS-сервер, также обычно устанавливается роль DNS-сервера на любом компьютере Windows Server, который повышается до контроллера домена AD DS.
Примечание.
При установке роли DNS-сервера Windows Server настраивается как DNS-сервер.
Защита зон и записей DNS
Когда DNS-сервер отвечает за разрешение запросов к определенному пространству имен, на DNS-сервере создается зона, соответствующая пространству имен. Например, если у вас есть ответственность за создание DNS-сервера contoso.com, вы создадите contoso.com зону. Внутри зоны создаются записи ресурсов, содержащие сведения, которые используются для реагирования на запросы.
Арбитры (сопоставители) DNS
Сопоставитель DNS — это клиент (например, клиент Windows), который должен разрешать записи DNS. В Windows служба DNS-клиента отправляет запросы DNS на DNS-сервер, настроенный в свойствах IP. После получения ответа на запрос DNS Windows кэширует ответ для будущего использования. Это кэш сопоставителя DNS.
Примечание.
Компьютер Windows 10 проверяет свой кэш DNS перед тем, как он помещает DNS-сервер на случай, если он недавно разрешил требуемую запись.
Совет
Доступ к содержимому кэша сопоставителя DNS можно получить с помощью командлета Get-DnsClientCache или выполнив команду ipconfig /displaydns. Очистить содержимое кэша сопоставителя DNS можно с помощью командлета Clear-DnsClientCache или с помощью команды ipconfig /flushdns.
Стоит отметить, что DNS — не единственный способ, которым компьютеры с Windows могут преобразовывать имена. Компьютер с Windows 10 может использовать следующие методы в зависимости от конфигурации:
Проверка кэша сопоставителя DNS.
Проверка файла узлов, расположенного в папке \Windows\System32\Drivers\итд.
Запрос настроенного DNS-сервера.
Передача запроса имени NetBIOS.
Проверка файла Lmhosts, расположенного в C:\Windows\System32\Drivers\итд.
Использование настроенной службы разрешения имен NetBIOS, например Windows Internet Name Service (WINS).
Совет
Вы можете установить компонент WINS-сервера в Windows Server, если вашей организации требуется разрешение имен NetBIOS для поддержки определенного приложения.
Имена компьютеров и имена узлов
Имя узла является понятным именем, связанным с IP-адресом узла и идентифицирующем его как узел TCP/IP. Имя узла не может превышать 255 символов и должно содержать только алфавитно-цифровые символы, точки и дефисы. Имя узла — это псевдоним или полное доменное имя (FQDN). Элементы имени включают точки в качестве разделителей. Приложения используют структурированное полное доменное имя в Интернете. Пример полного доменного имени: payroll.contoso.com.
Имя NetBIOS — это неиерархическое имя, используемое некоторыми старыми приложениями. 16-символьное имя NetBIOS идентифицирует сетевой ресурс NetBIOS. Имя NetBIOS представляет собой отдельный компьютер или группу компьютеров. NetBIOS использует первые 15 символов для имени определенного компьютера и последний шестнадцатый символ для обнаружения ресурса или службы на этом компьютере. Пример имени NetBIOS — SEA-SVR2[20h].