Работа с зонами и записями DNS
Сотрудники ИТ-инфраструктуры компании Contoso должны развертывать DNS для поддержки своих приложений и служб, в том числе AD DS. Первым шагом в этом процессе является планирование и реализация зон DNS.
Что такое зона DNS?
Зона DNS — это конкретная часть пространства имен DNS (например contoso.com), размещенная на DNS-сервере. Зона DNS содержит записи ресурсов, а DNS-сервер отвечает на запросы записей в этом пространстве имен. Например, DNS-сервер, который является полномочным для преобразования IP-адреса www.contoso.com, будет содержать зону Contoso.com.
Сотрудники ИТ-инфраструктуры компании Contoso могут хранить содержимое зоны DNS Contoso.com в файле или в базе данных AD DS.
Примечание.
На DNS-сервере, который также является AD DS контроллером домена, можно выбрать сохранение зон только в базе данных AD DS.
Когда DNS-сервер сохраняет зону в файле:
- Этот файл находится в локальной папке на сервере.
- Доступна запись только для одной копии зоны.
- Другие копии, доступные только для чтения, называются вторичными зонами.
Зоны прямого просмотра
Зоны прямого просмотра могут содержать множество различных записей ресурсов, но наиболее распространенный тип записи — это запись узла (A). Запись узла используется для преобразования имени узла в IP-адрес.
При использовании AD DS внутренним DNS-серверам организации соответствует зона, соответствующая домену AD DS. Например, если доменное имя для AD DS — Contoso.com, также будет зона DNS Contoso.com. AD DS хранит записи ресурсов, используемые серверами и клиентами Windows для размещения сетевых служб.
Совет
Вам не нужно делать записи DNS, содержащие сведения о ресурсах AD DS, доступными в Интернете. На самом деле вам не нужно.
Если вы предоставляете разрешение имен для зоны для интернет-клиентов, зону можно разместить на сервере Windows Server, доступном через Интернет.
Совет
Другой вариант — разместить DNS-серверы с выходом в Интернет в сети периметра.
Вы также можете разместить зону на сторонней службе DNS, которая специализируется на предоставлении разрешения имен Интернета.
Зоны обратного просмотра DNS-сервера
Зоны обратного просмотра используются только для разрешения IP-адресов в имя. Некоторые приложения и порой администраторы используют эту функцию. Например, администратор может заметить конкретный IP-адрес в файле журнала и использовать обратный просмотр для идентификации имени компьютера, соответствующего IP-адресу.
Зоны обратного просмотра создаются только для диапазонов IP-адресов, за которые вы несете ответственность.
Совет
Рекомендуется создавать зоны обратного просмотра для всех диапазонов IP-адресов во внутренней сети и размещать их на внутренних DNS-серверах.
Имя зоны для зон обратного просмотра заканчивается на in-addr.arpa и основывается на диапазоне IPv4-адресов. Например, имя зоны для зоны обратного просмотра 172.16.35.0/24 будет иметь значение 35.16.172.in-addr.arpa.
Совет
Зоны обратного просмотра всегда основываются на полном октете IP-адреса.
Первичные и вторичные зоны
При создании зоны на DNS-сервере необходимо определить, является ли она основной (первичной) зоной или дополнительной (вторичной) зоной. Для создания, изменения и удаления записей ресурсов необходимо использовать основную зону. Так как дополнительная зона является копией основной зоны только для чтения, вы не можете управлять записями ресурсов в дополнительной зоне.
В большинстве случаев дополнительная зона периодически копирует записи ресурсов непосредственно из основной зоны. Но в некоторых сложных конфигурациях дополнительная зона может копировать записи ресурсов из другой дополнительной зоны.
Вы можете сохранить стандартную основную зону в локальном файле или сохранить данные зоны в AD DS. При хранении данных зоны в AD DS зона называется интегрированной с Active Directory и включает дополнительные функции, такие как безопасные динамические обновления.
Примечание.
Зоны, интегрированные с Active Directory, доступны только на контроллерах домена с установленной ролью DNS-сервера. Большинство DNS-серверов под управлением Windows используют зоны, интегрированные с Active Directory.
Что такое записи DNS?
Записи DNS — это записи ресурсов, хранящиеся в зонах DNS. Записи DNS содержат сведения, которые DNS-серверы отправляют в ответ на запросы DNS. Все зоны DNS прямого просмотра и обратного просмотра содержат следующие записи:
SOA — Start of authority (начальная запись полномочий). Содержит сведения о конфигурации для зоны, включая имя основного DNS-сервера и частоту синхронизации вторичных серверов. Для каждой зоны имеется одна запись SOA.
NS (сервер доменных имен). Определяет DNS-сервер для домена. Существует одна запись NS для каждого DNS-сервера с копией зоны.
Записи ресурсов в зонах прямого просмотра
В следующей таблице описаны некоторые записи ресурсов, доступные в зонах прямого просмотра.
| Типы записей DNS | Description |
|---|---|
| Узел (A) | Используется для преобразования имени в адрес IPv4. |
| Узел (AAAA) | Используется для разрешения имени в адрес IPv6. |
| Псевдоним (CNAME) | Используется для преобразования имени в другое имя. Например, псевдоним может разрешаться app.contoso.com в sea-svr1.contoso.com. |
| Размещение службы (SRV) | Используется приложениями для определения расположения серверов, на которых размещается это приложение. Например, AD DS использует записи SRV для определения расположения контроллеров домена и связанных с ними служб. |
| Почтовый обменник (MX) | Используется для распознавания почтовых серверов в домене. |
| Текст (TXT) | Используется для хранения произвольных строк информации в DNS. |
Записи ресурсов в зонах обратного просмотра
Наиболее распространенный тип записей, создаваемый в зонах обратного просмотра, — это запись указателя (PTR). Запись указателя используется для преобразования IP-адреса в имя. Например, можно использовать запись указателя для разрешения IP-адреса 172.16.35.100 в filesrv.contoso.com. Запись указателя будет называться 100 и находиться в зоне 35.16.172.inaddr.arpa.
Срок жизни
Для всех записей ресурсов настроен срок жизни (TTL). Срок жизни для записи ресурса определяет, как долго клиенты DNS и DNS-серверы могут кэшировать ответ DNS для записи. Например, если запись имеет TTL равный 60 минут, то когда клиент делает запрос DNS для записи, ответ кэшируется в течение 60 минут. Если клиент пытается использовать запрашиваемое и разрешенное имя в течение 60 минут, используется кэшированная запись.
Совет
При устранении неполадок в кэшированных записях DNS может потребоваться очистить кэш на DNS-клиенте и на DNS-сервере, используемом этим клиентом.