DNS і Active Directory
Використання серверів кешування
Централізований кеш з ретранслятором запитів
Але якщо застосувати ретранслятор запитів, то сервери можуть розділяти кеш. Принцип роботи ретранслятора запитів наступний: спочатку призначається кілька локальних DNS-серверів кешування для перетворення імен за запитами від робочих станцій і інших серверів. Потім на окремий сервер покладаються функції свого роду DNS-сервера для DNS-серверів. У термінах DNS, цей сервер виконує функцію ретрансляції запитів.
Щоб призначити DNS-сервер ретранслятором для іншого DNS-сервера, досить відкрити оснастку DNS консолі управління Microsoft Mana-gement Console (MMC) і натиснути правою кнопкою миші на піктограмі, що представляє DNS-сервер, який буде виконувати ретрансляцію. Вибравши пункт Properties, слід перейти до закладки Forwarders, показаної на Екрані 1. На закладці Forwarders можна призначити один або кілька ретрансляторів і вказати ліміт часу.
Екран 1. Закладка Forwarders оснастки DNS консолі MMC.
Навіщо вводити ліміт часу? Якщо ретранслятор перестане працювати, то DNS1 і DNS2 не зможуть отримати відповіді на нові запити перетворення імен. Дана ситуація дозволяється за допомогою тайм-ауту. Якщо локальний DNS-сервер кешування (DNS1 або DNS2) надсилає запит ретранслятору і не отримує відповіді протягом заздалегідь визначеного проміжку часу, то локальний сервер звертається в Internet і самостійно виконує перетворення імені (як зазначено нижче, дана операція може призвести до неприємних наслідків).
Один із способів підвищити рівень захисту мережі - створити дві зони DNS: відкриту для зовнішнього світу і доступну тільки корпоративним користувачам. Деякі фахівці називають таку структуру розділеної (split-brain) DNS. Вона функціонує наступним чином.
Застосування допоміжних серверів для захисту серверів intranet
Перш ніж закінчити опис прикладу з Acme, я хочу сказати кілька слів про загрозу безпеці. Як уже згадувалося, DNS-сервери intranet використовують зовнішні DNS-сервери в якості ретрансляторів запитів. Але якщо ретранслятор не відповідає на запит про перетворення імені досить швидко, то DNS-сервер intranet намагається знайти відповідь на DNS-серверах Internet. На думку фахівців з безпеки, ця операція пробиває пролом в системі захисту. DNS-сервер intranet може просто встановити з'єднання з комп'ютером, що видає себе за DNS-сервер. Зв'язок DNS-сервера корпоративної мережі з помилковим DNS-сервером може стати джерелом найрізноманітніших неприємностей.
Щоб уникнути небезпечних контактів із зовнішнім світом, можна заборонити серверів intranet робити самостійні спроби перетворення імен в разі мовчання зовнішніх DNS-серверів. Для конфігурації внутрішнього сервера слід перейти до закладки Forwarders оснастки DNS в MMC і встановити прапорець Do not use recursion. В результаті в розпорядженні адміністратора виявиться сервер, іменований Micro-soft допоміжним (slave).
Узгодження з існуючою структурою DNS
В цілому очевидно, що для коректної роботи AD необхідний хороший фундамент DNS. Але методи проектування DNS не так вже й складні, вони просто в новинку більшості адміністраторів. Використовуючи рекомендації даної статті, можна з успіхом побудувати надійний AD-домен.