Реализация пересылки DNS

  • 7 мин

Если на DNS-сервере не размещена первичная или вторичная зона, содержащая записи ресурсов в DNS-запросе, то ему нужен механизм поиска необходимой информации. По умолчанию для каждого DNS-сервера настроены корневые ссылки, которые можно использовать для преобразования DNS-запросов в Интернете путем поиска полномочных DNS-серверов. Это работает, если у DNS-сервера есть доступ к Интернету, а запрашиваемая запись ресурса доступна в Интернете. Иногда оба условия не выполняются. В таких случаях можно включить пересылку.

A screenshot of the SEA-DC1.Contoso.com Properties dialog. The administrator has selected the Forwarders tab. One forwarder is listed. Displayed behind this dialog box, the DNS Manager console. Displayed is the Conditional Forwarders node, with one domain record for Adatum.com.

Серверы пересылки

Каждый DNS-сервер можно настроить с помощью одного или нескольких серверов пересылки. Если DNS-сервер получает запрос на зону, для которой он не является полномочным, и он еще не кэширован сервером, DNS-сервер перенаправляет этот запрос серверу пересылки. DNS-сервер использует пересылку для всех неизвестных зон.

Серверы пересылки обычно используются для разрешения имен в Интернете. Внутренние DNS-серверы перенаправляют запросы на разрешение имен Интернета на DNS-сервер, находящийся за пределами корпоративной сети. Ваша организация может настроить внешние DNS-серверы в сети периметра или использовать DNS-сервер, предоставленный поставщиком услуг Интернета. Эта конфигурация ограничивает внешние подключения и повышает безопасность.

Условная пересылка

Условную пересылку можно настроить для отдельных доменов DNS. Это похоже на настройку сервера пересылки, за исключением того, что применяется только к одному домену DNS. Доверенные леса AD DS и партнерские организации часто используют эту функцию.

При создании условного сервера пересылки можно выбрать, следует ли хранить его локально на одном DNS-сервере или в AD DS. Если вы храните его в AD DS, его можно реплицировать на все DNS-серверы, работающие на контроллерах домена в домене или лесу, в зависимости от выбранного варианта. Проще управлять серверами условной пересылки на нескольких DNS-серверах при их хранении в AD DS.

Зона-заглушка

Назначение зоны-заглушки заключается в предоставлении списка серверов имен, которые можно использовать для преобразования сведений для домена без синхронизации всех записей локально. Чтобы включить эту функцию, синхронизируются следующие:

  • Записи сервера имен
  • Соответствующие записи узла для серверов имен
  • Запись SOA

Совет

Как правило, зоны-заглушки используются при интеграции с автономными системами, такими как партнерские организации.

Сравнение зон-заглушек и условных серверов пересылки

Для разрешения DNS-запросов к зонам, для которых локальный DNS-сервер не является полномочным, можно использовать либо зоны-заглушки, либо условные серверы пересылки. Различие между ними заключается в том, как удаленные серверы выбираются для выполнения запросов:

  • Вы настраиваете условный сервер пересылки с конкретными удаленными DNS-серверами, которые являются полномочными для домена.
  • Зона-заглушка реплицирует и использует все записи сервера имен, настроенные в зоне.

Если полномочные DNS-серверы с высокой вероятностью меняются со временем, может потребоваться использовать зону-заглушку, которая автоматически обновляет записи сервера имен и использует только допустимые серверы имен для зоны. Однако если брандмауэры управляют взаимодействием, обновленные серверы имен могут оказаться недоступными.