Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Зона DNS — это определенная часть пространства имен DNS, размещенного на DNS-сервере. Зона DNS содержит записи ресурсов, а DNS-сервер отвечает на запросы записей в этом пространстве имен. Например, DNS-сервер, заслуживающий доверия для разрешения www.contoso.com IP-адреса, будет размещать зону contoso.com.
Содержимое зоны DNS может храниться в файле или в доменных службах Active Directory (AD DS). Когда DNS-сервер хранит зону в файле:
- Этот файл находится в локальной папке на сервере.
- Только одна копия зоны доступна для записи.
- Другие копии, которые доступны только для чтения, называются вторичными зонами.
Зоны DNS, хранящиеся в AD DS, называются зонами, интегрированными с Active Directory. Зоны, интегрированные с Active Directory, доступны только на контроллерах домена с установленной ролью DNS-сервера.
Типы зон DNS
Служба DNS-сервера поддерживает следующие типы зон:
- Основная зона.
- Вторичная зона.
- Зона заглушки.
- Зона обратного просмотра.
Основные зоны
DNS-сервер, на котором размещена основная зона, является основным источником для получения сведений об этой зоне. Он сохраняет данные зоны в локальном файле или в AD DS. Чтобы создать, изменить или удалить записи ресурсов, необходимо использовать основную зону. Вторичные зоны представляют собой только для чтения копии первичных зон.
Вы можете хранить стандартную основную зону в локальном файле или хранить данные зоны в AD DS. При хранении данных зоны в AD DS доступны другие функции, такие как безопасные динамические обновления и возможность для каждого контроллера домена, на котором размещается зона, функционировать в качестве основной и иметь возможность обрабатывать обновления зоны. Если зона хранится в файле, по умолчанию основной файл зоны называется zone_name.dnsи находится в папке %windir%\System32\Dns на сервере.
При развертывании Active Directory автоматически создается зона DNS, связанная с доменным именем AD DS вашей организации. По умолчанию зона DNS AD DS реплицируется на любой другой контроллер домена, настроенный в качестве DNS-сервера в домене. Можно также настроить интегрированные зоны DNS Active Directory для репликации ко всем контроллерам домена в лесу AD DS или определенным контроллерам домена, зарегистрированным в определенной секции домена AD DS.
Вторичная зона
Вторичная зона — это копия только для чтения, первичной зоны. Если зона, на котором размещается этот DNS-сервер, является вторичной зоной, этот DNS-сервер является вторичным источником для получения сведений об этой зоне. Зона на этом сервере должна быть получена с другого удаленного компьютера DNS-сервера, на котором также размещена зона. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который предоставляет этому серверу обновленные сведения о зоне. Так как вторичная зона является только копией основной зоны, размещенной на другом сервере, она не может храниться в AD DS в качестве интегрированной зоны Active Directory.
В большинстве случаев вторичная зона периодически копирует записи ресурсов непосредственно из основной зоны. Но в некоторых сложных конфигурациях вторичная зона может копировать записи ресурсов из другой вторичной зоны.
Зона заглушки
Зона заглушки содержит только сведения о доверенных серверах имен для зоны. Зона, размещенная DNS-сервером, должна получить сведения от другого DNS-сервера, на котором размещена зона. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, чтобы скопировать достоверные сведения о зоне.
Вы можете использовать зоны заглушки для:
- Сохраняйте текущую информацию делегированной зоны. DNS-сервер регулярно обновляет записи заглушек для дочерних зон. DNS-сервер, на котором размещены как родительская зона, так и зона заглушка, поддерживает актуальный список авторитетных DNS-серверов для дочерней зоны.
- Улучшите разрешение имен. Stub-зоны позволяют DNS-серверу выполнять рекурсию с помощью списка серверов имен stub-зоны, не обращаясь к Интернету или внутреннему корневому серверу для пространства имен DNS.
- Упрощение администрирования DNS. Используя зоны заглушки во всей инфраструктуре DNS, вы можете распространять список авторитетных DNS-серверов для зоны без использования вторичных зон. Однако зоны заглушки не служат той же цели, что и вторичные зоны, и они не являются альтернативой для повышения отказоустойчивости и распределения нагрузки.
Существуют два списка DNS-серверов, участвующих в загрузке и обслуживании зоны заглушки.
- Список серверов имен, с которых DNS-сервер загружает и актуализирует зону заглушки. Сервер имен может быть основным или вторичным DNS-сервером для зоны. В обоих случаях он содержит полный список DNS-серверов для зоны.
- Список доверенных DNS-серверов для зоны. Этот список содержится в зоне заглушки с использованием записей ресурсов сервера имен (NS).
Когда DNS-сервер загружает зону заглушки, например widgets.tailspintoys.com, он запрашивает серверы имен, которые могут находиться в разных местах, для необходимых записей ресурсов авторитетных серверов для зоны widgets.tailspintoys.com. Список серверов имен может содержать один сервер или несколько серверов, и его можно изменить в любое время.
Зона-заглушка — это копия зоны, которая содержит только те записи ресурсов, которые необходимы для идентификации авторитетных серверов системы доменных имен (DNS) для этой зоны. Как правило, для разрешения имен между отдельными пространствами имен DNS используется зона заглушки.
При работе с вложенными зонами следует учитывать следующее:
- Зона заглушки не может размещаться на DNS-сервере, который является авторитетным для той же зоны.
- Если вы интегрируете зону заглушки в AD DS, можно указать, должен ли DNS-сервер, на котором размещена зона заглушки, использовать локальный список серверов имен или список, хранящийся в AD DS. Если вы хотите использовать список локальных серверов имен, у вас должны быть IP-адреса для каждого сервера имен.
Зоны обратного разрешения
В большинстве запросов в системе доменных имен (DNS) клиенты обычно выполняют прямой поиск, который является поиском на основе DNS-имени другого компьютера, как он записан в ресурсной записи хоста (A). Этот тип запроса ожидает IP-адрес в качестве данных ресурса для ответа.
DNS также предоставляет процесс обратного поиска, в котором клиенты используют известный IP-адрес и просматривают имя компьютера на основе его адреса. Обратный поиск принимает форму вопроса, например "Можете ли вы сказать мне DNS-имя компьютера, использующего IP-адрес 192.168.1.20?"
Домен in-addr.arpa был определен в стандартах DNS и зарезервирован в пространстве имен DNS в Интернете, чтобы обеспечить практический и надежный способ выполнения обратных запросов. Чтобы создать обратное пространство имен, поддомены в домене in-addr.arpa создаются с помощью обратного упорядочения чисел в десятичной точечной нотации IP-адресов.
Домен in-addr.arpa применяется ко всем сетям TCP/IP, основанным на адресации протокола Интернета 4 (IPv4). Мастер создания зоны автоматически предполагает, что вы будете использовать этот домен при создании новой зоны обратного просмотра.
Порядок октетов IP-адресов должен быть изменен при построении дерева домена in-addr.arpa. IP-адреса дерева DNS in-addr.arpa можно делегировать организациям по мере назначения определенного или ограниченного набора IP-адресов в классах, определенных в Интернете.
Репликация базы данных DNS
Может быть несколько зон, представляющих одну и ту же часть пространства имен. Среди этих зон есть три типа:
- Primary
- Secondary
- Stub
Основная зона — это зона, к которой выполняются все обновления записей, принадлежащих этой зоне. Вторичная зона — это копия первичной зоны с доступом только для чтения. Зона заглушки — это только для чтения копия первичной зоны, которая содержит только записи ресурсов, определяющие DNS-серверы, имеющие полномочия для DNS-доменного имени. Все изменения, внесенные в файл основной зоны, реплицируются в вторичный файл зоны. DNS-серверы, на которых размещена основная, вторичная или заглушная зона, являются авторитетными для DNS-имен в зоне.
Так как DNS-сервер может размещать несколько зон, он может размещать как основную зону (с возможностью записи копии файла зоны), так и отдельную вторичную зону (которая получает копию файла зоны только для чтения). DNS-сервер, на котором размещена основная зона, считается основным DNS-сервером для этой зоны, а DNS-сервер, на котором размещена вторичная зона, считается вторичным DNS-сервером для этой зоны.
Note
Вторичная или заглушная зона не может размещаться на DNS-сервере, где размещается основная зона для того же имени домена.
Передача между зонами
Процесс репликации файла зоны на несколько DNS-серверов называется передачей зоны. Передача зоны достигается путем копирования файла зоны с одного DNS-сервера на второй DNS-сервер. Передачу зоны можно выполнять как с первичных, так и на вторичных DNS-серверах.
Основной DNS-сервер — это любой доверенный сервер, настроенный как источник передачи зоны. Если DNS-сервер является основным DNS-сервером, передача зоны происходит непосредственно с DNS-сервера, на котором размещена основная зона. Если основной сервер размещает вторичную зону DNS, файл зоны, полученный от основного DNS-сервера с передачей зоны, является копией файла вторичной зоны только для чтения.
Передача зоны инициируется одним из следующих способов:
- Основной DNS-сервер отправляет уведомление (RFC 1996) на один или несколько вторичных DNS-серверов изменения в файле зоны.
- При запуске службы DNS-сервера на вторичном DNS-сервере или истечении интервала обновления зоны вторичный DNS-сервер запрашивает основной DNS-сервер для изменений. По умолчанию интервал обновления имеет значение 15 минут в SOA RR зоны.
Параметры передачи зоны
Передача зоны позволяет контролировать условия, при которых вторичная зона реплицируется из первичной зоны. Чтобы повысить безопасность инфраструктуры DNS, разрешите передачу зоны только для DNS-серверов в записях ресурсов сервера имен (NS) для зоны или для указанных DNS-серверов. Если вы разрешаете любому DNS-серверу выполнять передачу зоны, вы разрешаете передавать данные внутренней сети на любой узел, который может связаться с DNS-сервером.
Типы репликации файлов зоны
Существует два типа репликации файлов зоны. Во-первых, полная передача зоны (AXFR) реплицирует весь файл зоны. Во-вторых, инкрементная передача зоны (IXFR) передаёт только измененные записи.
BIND 4.9.3 и более раннее программное обеспечение DNS-сервера и Windows NT 4.0 DNS поддерживают только полную передачу зоны (AXFR). Существует два типа AXFR: для одного требуется одна запись для каждого пакета, другая — несколько записей на пакет. Служба DNS-сервера на серверах Windows поддерживает оба типа передачи зоны, но по умолчанию использует несколько записей для каждого пакета. Его можно настроить по-разному для совместимости с серверами, которые не разрешают несколько записей на пакет, например серверы BIND версии 4.9.4 и более ранних версий.
Делегирование зоны
Пространство имен системы доменных имен (DNS) можно разделить на одну или несколько зон. Вы можете делегировать управление частью пространства имен другому местоположению или отделу в вашей организации, передавая управление соответствующей зоной. Например, делегирование зоны australia.contoso.com из зоны contoso.com.
При делегировании зоны помните, что для каждой создаваемой зоны требуются записи делегирования в других зонах, указывающие на доверенные DNS-серверы для новой зоны. Записи делегирования необходимы как для передачи полномочий, так и для предоставления правильной ссылки на другие DNS-серверы и клиенты новых серверов, которые являются доверенными для новой зоны.
Доступ к зонам и именам
Доступ к зонам DNS и записям ресурсов, хранящимся в Active Directory, управляется списками управления доступом (ACL). Списки управления доступом можно указать для службы DNS-сервера, всей зоны или для определенных DNS-имен. По умолчанию любой прошедший проверку подлинности пользователь Active Directory может создавать RR A или PTR в любой зоне. Когда владелец создает запись A или PTR (независимо от типа записи ресурса), только пользователи или группы, указанные в списке ACL для этого имени, могут изменять записи, соответствующие этому имени. Хотя этот подход является желательным в большинстве случаев, некоторые ситуации необходимо рассматривать отдельно.
Группа DNSAdmins
По умолчанию группа DNSAdmins имеет полный контроль над всеми зонами и записями в домене Active Directory. Чтобы пользователь мог перечислять зоны в определенном домене, пользователь (или группа, к которой принадлежит пользователь), должен быть зачислен в группу DNSAdmin.
Администратор домена может не предоставить полный контроль всем пользователям, перечисленным в группе DNSAdmins. Вместо этого администратор домена может предоставить определенный набор пользователей с полным контролем для одной зоны и разрешений только для чтения для других зон. Чтобы настроить эти разрешения, администратор домена может создать отдельную группу для каждой зоны и добавить конкретных пользователей в каждую группу. Затем ACL для каждой зоны содержит группу с полным контролем только для этой зоны. Все группы добавляются в группу DNSAdmins, которая может быть настроена только с разрешениями на чтение. ACL зоны всегда содержит группу DNSAdmins, что означает, что все пользователи, зачисленные в специфические для зоны группы, могут читать все зоны в домене.
Резервирование имен
Средам, которым требуется высокий уровень безопасности, может потребоваться зарезервировать имена в зоне и запретить пользователям, прошедшим проверку подлинности, создавать новые имена в этой зоне, что является поведением по умолчанию. Чтобы защитить записи DNS, список ACL по умолчанию можно изменить, чтобы разрешить создание объектов только определенными группами или пользователями. Администрирование списков управления доступом по отдельным именам предоставляет другое решение этой проблемы. Администратор может зарезервировать имя в зоне, оставив остальную часть зоны открытой для создания любых новых объектов всеми прошедшими проверку подлинности пользователями. Администратор создает запись для зарезервированного имени и задает соответствующий список групп или пользователей в ACL. Это означает, что только пользователи, перечисленные в списке ACL, могут зарегистрировать другую запись под зарезервированным именем.
Дальнейшие шаги
- Управление зонами DNS с помощью DNS-сервера
- Общие сведения о политиках DNS
- Обзор Anycast DNS