Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
En DNS-zon är den specifika delen av ett DNS-namnområde som finns på en DNS-server. En DNS-zon innehåller resursposter och DNS-servern svarar på frågor om poster i namnområdet. Den DNS-server som är auktoritativ för att matcha www.contoso.com till en IP-adress är till exempel värd för contoso.com-zonen.
DNS-zoninnehåll kan lagras i en fil eller i Active Directory Domain Services (AD DS). När DNS-servern lagrar zonen i en fil:
- Filen finns i en lokal mapp på servern.
- Endast en kopia av zonen är skrivbar.
- Andra kopior, som endast är skrivskyddade, kallas för sekundära zoner.
DNS-zoner som lagras i AD DS kallas Active Directory-integrerade zoner. Active Directory-integrerade zoner är endast tillgängliga på domänkontrollanter med DNS Server-rollen installerad.
DNS-zontyper
DNS Server-tjänsten stöder följande typer av zoner:
- Primär zon.
- Sekundär zon.
- Stub-zon.
- Omvänd uppslagszon.
Primära zoner
En DNS-server som är värd för en primär zon är den primära källan för information om den här zonen. Den lagrar zondata i en lokal fil eller i AD DS. Om du vill skapa, redigera eller ta bort resursposter måste du använda den primära zonen. Sekundärzoner är skrivskyddade kopior av primärzoner.
Du kan lagra en primär standardzon i en lokal fil eller lagra zondata i AD DS. När du lagrar zondata i AD DS är andra funktioner tillgängliga, till exempel säkra dynamiska uppdateringar och möjligheten för varje domänkontrollant som är värd för zonen att fungera som en primär och kunna bearbeta uppdateringar av zonen. När zonen lagras i en fil heter den primära zonfilen som standard zone_name.dnsoch finns i mappen %windir%\System32\Dns på servern.
När du distribuerar Active Directory skapas automatiskt en DNS-zon som är associerad med din organisations AD DS-domännamn. Som standard replikeras AD DS DNS-zonen till alla andra domänkontrollanter som konfigurerats som en DNS-server i domänen. Du kan också konfigurera Active Directory-integrerade DNS-zoner så att de replikeras till alla domänkontrollanter i en AD DS-skog eller specifika domänkontrollanter som registrerats i en viss AD DS-domänpartition.
Sekundär zon
En sekundär zon är en skrivskyddad kopia av en primär zon. När en zon som dns-servern är värd för är en sekundär zon är den här DNS-servern en sekundär källa för information om den här zonen. Zonen på den här servern måste hämtas från en annan fjärr-DNS-serverdator som också är värd för zonen. Den här DNS-servern måste ha nätverksåtkomst till den fjärr-DNS-server som förser servern med uppdaterad information om zonen. Eftersom en sekundär zon bara är en kopia av en primär zon som finns på en annan server kan den inte lagras i AD DS som en Active Directory-integrerad zon.
I de flesta fall kopierar en sekundär zon regelbundet resursposter direkt från den primära zonen. Men i vissa komplexa konfigurationer kan en sekundär zon kopiera resursposter från en annan sekundär zon.
Stub-zon
En stub-zon innehåller endast information om de auktoritativa namnservrarna för zonen. Zonen som hanteras av DNS-servern måste hämta sin information från en annan DNS-server som är värd för zonen. Den här DNS-servern måste ha nätverksåtkomst till den fjärranslutna DNS-servern för att kopiera den auktoritativa namnserverinformationen om zonen.
Du kan använda stub-zoner för att:
- Håll den delegerade zoninformationen aktuell. DNS-servern uppdaterar stub-posterna för sina underordnade zoner regelbundet, DNS-servern som är värd för både den överordnade zonen och stub-zonen har en aktuell lista över auktoritativa DNS-servrar för den underordnade zonen.
- Förbättra namnmatchningen. Med stub-zoner kan en DNS-server utföra rekursion med stub-zonens lista över namnservrar, utan att behöva fråga Internet eller en intern rotserver för DNS-namnområdet.
- Förenkla DNS-administration. Genom att använda stub-zoner i hela DNS-infrastrukturen kan du distribuera en lista över auktoritativa DNS-servrar för en zon utan att använda sekundära zoner. Men stub-zoner har inte samma syfte som sekundära zoner, och de är inte ett alternativ för att förbättra redundans och belastningsdelning.
Det finns två listor över DNS-servrar som är inblandade i inläsning och underhåll av en stub-zon:
- Listan över namnservrar som DNS-servern läser in och uppdaterar en stub-zon från. En namnserver kan vara en primär eller sekundär DNS-server för zonen. I båda fallen har den en fullständig lista över DNS-servrarna för zonen.
- Listan över auktoritativa DNS-servrar för en zon. Den här listan finns i stub-zonen med hjälp av namnserverresursposter (NS).
När en DNS-server läser in en stub-zon, till exempel widgets.tailspintoys.com, frågar den namnservrarna, som kan finnas på olika platser, efter de nödvändiga resursposterna för de auktoritativa servrarna för zonen widgets.tailspintoys.com. Listan över namnservrar kan innehålla en enskild server eller flera servrar, och den kan ändras när som helst.
En stub-zon är en kopia av en zon som endast innehåller de resursposter som krävs för att identifiera DNS-servrarna (Authoritative Domain Name System) för den zonen. Vanligtvis använder du en stub-zon för att matcha namn mellan separata DNS-namnområden.
När du arbetar med underzoner bör du överväga:
- Stub-zonen kan inte finnas på en DNS-server som är auktoritativ för samma zon.
- Om du integrerar stub-zonen i AD DS kan du ange om DNS-servern som är värd för stub-zonen använder en lokal lista över namnservrar eller listan som lagras i AD DS. Om du vill använda en lista med lokala namnservrar måste du ha IP-adresserna för varje namnserver.
Omvända uppslagszoner
I de flesta DNS-sökningar (Domain Name System) utför klienter vanligtvis en sökning framåt, vilket är en sökning som baseras på DNS-namnet på en annan dator eftersom den lagras i en värdresurspost (A). Den här typen av fråga förväntar sig en IP-adress som resursdata för det besvarade svaret.
DNS tillhandahåller också en omvänd sökningsprocess där klienter använder en känd IP-adress och letar upp ett datornamn baserat på dess adress. En omvänd sökning har formen av en fråga, till exempel "Kan du berätta DNS-namnet på datorn som använder IP-adressen 192.168.1.20?"
Domänen in-addr.arpa definierades i DNS-standarderna och reserverades i Internet DNS-namnområdet för att ge ett praktiskt och tillförlitligt sätt att utföra omvända uppslag. För att skapa det omvända namnområdet, skapas underdomäner inom domänen in-addr.arpa med hjälp av omvänd ordning av talen i den streckade-decimal notationen för IP-adresser.
Domänen in-addr.arpa gäller för alla TCP/IP-nätverk som baseras på IPv4-adressering (Internet Protocol version 4). Guiden Ny zon förutsätter automatiskt att du använder den här domänen när du skapar en ny zon för omvänd sökning.
Ordningen på IP-adressokteterna måste omvändas när in-addr.arpa domänträdet byggs. IP-adresserna för DNS-in-addr.arpa-trädet kan delegeras till organisationer eftersom de tilldelas en specifik eller begränsad uppsättning IP-adresser inom de Internetdefinierade adressklasserna.
Replikera DNS-databasen
Det kan finnas flera zoner som representerar samma del av namnområdet. Bland dessa zoner finns det tre typer:
- Primär
- Sekundär
- Stump
Primär är en zon som alla uppdateringar för de poster som tillhör den zonen görs till. En sekundär zon är en skrivskyddad kopia av den primära zonen. En stub-zon är en skrivskyddad kopia av den primära zonen som endast innehåller de resursposter som identifierar de DNS-servrar som är auktoritativa för ett DNS-domännamn. Alla ändringar som görs i den primära zonfilen replikeras till den sekundära zonfilen. DNS-servrar som är värdar för en primär, sekundär zon eller stub-zon sägs vara auktoritativa för DNS-namnen i zonen.
Eftersom en DNS-server kan vara värd för flera zoner kan den därför vara värd för både en primär zon (som har den skrivbara kopian av en zonfil) och en separat sekundär zon (som hämtar en skrivskyddad kopia av en zonfil). En DNS-server som är värd för en primär zon sägs vara den primära DNS-servern för den zonen, och en DNS-server som är värd för en sekundär zon sägs vara den sekundära DNS-servern för den zonen.
Anteckning
En sekundär zon eller stub-zon kan inte finnas på en DNS-server som är värd för en primär zon för samma domännamn.
Zonöverföring
Processen att replikera en zonfil till flera DNS-servrar kallas zonöverföring. Zonöverföring uppnås genom att zonfilen kopieras från en DNS-server till en andra DNS-server. Zonöverföringar kan göras från både primära och sekundära DNS-servrar.
En primär DNS-server är en auktoritativ server som har konfigurerats för att vara källan till zonöverföringen. Om DNS-servern är en primär DNS-server kommer zonöverföringen direkt från DNS-servern som är värd för den primära zonen. Om den primära servern är värd för en sekundär DNS-zon är zonfilen som tas emot från den primära DNS-servern med en zonöverföring en kopia av den skrivskyddade sekundära zonfilen.
Zonöverföringen initieras på något av följande sätt:
- Den primära DNS-servern skickar ett meddelande (RFC 1996) till en eller flera sekundära DNS-servrar om en ändring i zonfilen.
- När DNS Server-tjänsten på den sekundära DNS-servern startar eller uppdateringsintervallet för zonen upphör att gälla, frågar den sekundära DNS-servern den primära DNS-servern om ändringarna. Som standard är uppdateringsintervallet inställt på 15 minuter i SOA RR i zonen.
Inställningar för zonöverföring
Med zonöverföringar kan du styra under vilka omständigheter en sekundär zon ska replikeras från en primär zon. För att förbättra säkerheten för DNS-infrastrukturen tillåter du endast zonöverföringar för antingen DNS-servrarna i namnserverresursposterna (NS) för en zon eller för angivna DNS-servrar. Om du tillåter att en DNS-server utför en zonöverföring tillåter du att intern nätverksinformation överförs till alla värdar som kan kontakta DNS-servern.
Typer av zonfilreplikering
Det finns två typer av zonfilreplikering. Den första, en fullständig zonöverföring (AXFR), replikerar hela zonfilen. Den andra, en inkrementell zonöverföring (IXFR), replikerar endast registreringar som har modifierats.
BIND 4.9.3 och tidigare DNS-serverprogramvara och Windows NT 4.0 DNS stöder endast fullständig zonöverföring (AXFR). Det finns två typer av AXFR: den ena kräver en enda post per paket, medan den andra tillåter flera poster per paket. DNS Server-tjänsten i Windows-servrar stöder båda typerna av zonöverföring, men använder som standard flera poster per paket. Det kan konfigureras på olika sätt för kompatibilitet med servrar som inte tillåter flera poster per paket, till exempel BIND-servrar version 4.9.4 och tidigare.
Zondelegering
Du kan dela upp DNS-namnområdet (Domain Name System) i en eller flera zoner. Du kan delegera hanteringen av en del av namnområdet till en annan plats eller avdelning i organisationen genom att delegera hanteringen av motsvarande zon. Du kan till exempel delegera australia.contoso.com zon från contoso.com-zonen.
När du delegerar en zon ska du komma ihåg att för varje ny zon som du skapar behöver du delegeringsposter i andra zoner som pekar på de auktoritativa DNS-servrarna för den nya zonen. Delegeringsposter är nödvändiga både för att överföra auktoritet och för att ge korrekt hänvisning till andra DNS-servrar och klienter för att göra de nya servrarna auktoritativa för den nya zonen.
Åtkomst till zoner och namn
Åtkomst till DNS-zoner och resursposter som lagras i Active Directory styrs med åtkomstkontrollistor (ACL). ACL:er kan anges för DNS Server-tjänsten, en hel zon eller för specifika DNS-namn. Som standard kan alla autentiserade Active Directory-användare skapa A- eller PTR-RR i valfri zon. När en ägare skapar en A- eller PTR-post (oavsett typ av resurspost) aktiveras endast de användare eller grupper som anges i ACL för det namnet som har skrivbehörighet för att ändra poster som motsvarar det namnet. Även om den här metoden är önskvärd i de flesta scenarier måste vissa situationer övervägas separat.
DNSAdmins-grupp
Som standard har DNSAdmins-gruppen fullständig kontroll över alla zoner och poster i Active Directory-domänen. För att en användare ska kunna räkna upp zoner i en specifik domän måste användaren (eller en grupp som användaren tillhör) registreras i DNSAdmin-gruppen.
En domänadministratör kanske inte vill ge fullständig kontroll till alla användare som anges i DNSAdmins-gruppen. I stället kanske en domänadministratör vill ge en specifik uppsättning användare fullständig kontroll för en zon och skrivskyddade behörigheter för andra zoner. Om du vill konfigurera dessa behörigheter kan domänadministratören skapa en separat grupp för var och en av zonerna och lägga till specifika användare i varje grupp. Sedan innehåller ACL:en för varje zon en grupp med fullständig kontroll endast för den zonen. Alla grupper läggs till i gruppen DNSAdmins, som endast kan konfigureras med läsbehörighet. En zons ACL innehåller alltid gruppen DNSAdmins, vilket innebär att alla användare som är registrerade i de zonspecifika grupperna har kan läsa alla zoner i domänen.
Reservera namn
Miljöer som kräver en hög säkerhetsnivå kan behöva reservera namn i en zon och förhindra autentiserade användare från att skapa nya namn i den zonen, vilket är standardbeteendet. För att skydda DNS-posterna kan standard-ACL:en ändras så att objekt kan skapas av vissa grupper eller användare. Per namnadministration av ACL:er ger en annan lösning på det här problemet. En administratör kan reservera ett namn i en zon så att resten av zonen är öppen för att alla autentiserade användare ska kunna skapa nya objekt. En administratör skapar en post för det reserverade namnet och anger lämplig lista över grupper eller användare i ACL:en. Det innebär att endast de användare som anges i behörighetslistan (ACL) kan registrera en annan post under det reserverade namnet.
Nästa steg
- Hantera DNS-zoner med DNS-server
- översikt över DNS-policyer
- Anycast DNS-översikt