ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Нові функції для роботи з багатодоменному лісами
Як простий приклад в статті розглядається ліс з двома доменами - один з них названий bigfirm.biz, а інший - bigfirm.com. В обох доменах використовується розділена (split-brain) DNS; вони повинні взаємно вирішувати імена і SRV-записи для пошуку контролерів домену (DC), щоб системи і користувачі кожного домена могли бути ідентифіковані в будь-якому з них. Компанія Bigfirm може вибрати один з двох підходів. Можна побудувати динамічні зони для кожного домена і не інтегрувати їх з AD. В цьому випадку адміністратори повинні перевірити всі DNS-сервери корпоративної мережі і переконатися, що кожен з них є первинним або вторинним сервером як для зони bigfirm.biz, так і для bigfirm.com.
Зони-заглушки
Чим може бути корисна зона, яка лише повідомляє, які сервери є серверами імен зони? Припустимо, що bigfirm.biz розпорядженні великою зоною, що містить тисячі записів, і розробникам домену потрібно безліч DNS-серверів. Вони створили первинний DNS-сервер і групу вторинних DNS-серверів. Але мережеві трасування показують, що DNS-сервери витрачають більше часу на отримання останньої інформації про зону від первинного DNS-сервера (і тим самим уповільнюють роботу первинного сервера і навантажують канали зв'язку), ніж на розсилку відповідей на запити. Розробники мереж повинні розмістити зону якогось типу для bigfirm.biz на кожному DNS-сервері мережі Bigfirm, але обмін даними між первинними і вторинними серверами призводить до додаткової витрати ресурсів. Вихід - в перетворенні деяких вторинних DNS-серверів в DNS-сервери зони-заглушки. Якщо ці DNS-сервери отримують запит щодо bigfirm.biz, то вони не дадуть відповіді, але їм відомо, на який сервер потрібно направити запит. Для цього не потрібно проходити по всій ієрархії DNS-серверів в пошуках джерела інформації про bigfirm.biz. Потім запитувач DNS-сервер задає DNS-сервера зони-заглушки питання щодо bigfirm.biz, і сервер зони-заглушки передає відповідь. Крім того, сервери зони-заглушки грають роль серверів кешування (як практично всі DNS-сервери), тому наступний комп'ютер, що запитав інформацію про bigfirm.biz, отримає відповідь негайно, так як сервер із зоною-заглушкою може надати відповідь на запит зі свого кеша .
Маленька зона-заглушка швидко оновлюється, тому не створює серйозного навантаження на оперативну пам'ять і процесор DNS-сервера. Часто прості сервери кешування (DNS-сервери без зон) розміщуються в мережі для перетворення імен клієнтів, але розділена DNS вимагає, щоб всі DNS-сервери містили екземпляр кожної AD-зони лісу. Застосування зон-заглушок - найпростіший спосіб виконати цю вимогу.
умовна ретрансляція
Для стандартної ретрансляції DNS слід налаштувати конфігурацію DNS-сервера таким чином, щоб під час вступу запиту, на який він не може відповісти, сервер не звертався за відповіддю в загальнодоступну мережу Internet. Замість цього DNS-сервер просить інший DNS-сервер знайти відповідь. Процедура, в ході якої один DNS-сервер просить інший DNS-сервер виконати пошук, називається ретрансляцією. Можна вказати два або кілька ретрансляторів, але я приведу простий приклад.
Для умовної ретрансляції DNS-сервер налаштовується таким чином, що при надходженні запиту про конкретний домені (наприклад, bigfirm.biz), на який у сервера немає відповіді, він просить інший DNS-сервер (ретранслятор) знайти відповідь. Слід звернути увагу на відмінність: стандартна ретрансляція - це передача безмовних запитів про будь-якому домені конкретному DNS-сервера, а умовна ретрансляція змушує передавати ретранслятору тільки запити про конкретний домені.
Звичайно, відмінності між зонами-заглушками і умовної ретрансляцією вельми тонкі, але ними не можна нехтувати. Наприклад, який з цих методів автоматично оновлює інформацію про зону? Припустимо, що в зону доданий DNS-сервер. Як інформувати сервер зони-заглушки або сервер з умовною ретрансляцією про цю подію? У випадку з сервером зони-заглушки робити нічого не потрібно - новий сервер з'явиться в зоні-заглушці після реплікації. Але якщо використовується умовна ретрансляція, то необхідно відвідати кожен DNS-сервер і змінити список серверів, до яких слід звертатися у пошуках записи bigfirm.com. Наскільки я розумію, скласти сценарій для такої процедури не можна.
Остання обставина, яку слід враховувати при порівнянні зон-заглушок з умовною ретрансляцією, полягає в тому, що, за даними Microsoft, DNS-сервер заново переглядає таблиці умовної ретрансляції при кожному дозволі імен. Тому таблиця умовної ретрансляції будь-якої довжини може істотно уповільнити процедуру розпізнавання імен DNS-сервером.
Зони, інтегровані з AD в масштабах всього лісу
Поділіться матеріалом з колегами і друзями