Служба DNS-сервера інтегрована в проектування і впровадження доменних служб Active Directory. Ці служби надають засіб рівня підприємства для організації, управління і знаходження ресурсів в мережі.
При розгортанні DNS-серверів в доменних службах Active Directory врахуйте наступні фактори:
- Для виявлення контролерів домену необхідна служба DNS.
Служба мережевого входу в систему використовує підтримку DNS-сервера для надання реєстрації контролерів домену в доменному просторі імен DNS.
Інтеграція зон в доменні служби Active Directory дозволяє скористатися перевагами DNS, такими як реплікація доменних служб Active Directory, безпечні динамічні оновлення і очищення записів.
Спосіб інтеграції DNS в доменні служби Active Directory
При установці доменних служб на сервері, його роль підвищується до ролі контролера домену. Під час установки слід вказати DNS-ім'я домену для домену служб Active Directory, до якого необхідно приєднати сервер, підвищуючи його роль, потім буде запропоновано встановити роль DNS-сервера. Цей варіант пропонується тому, що DNS-сервер необхідний для знаходження цього сервера або інших контролерів домену членами домену доменних служб Active Directory.
Переваги інтеграції в доменні служби Active Directory
У мережах з розгорнутою службою DNS для підтримки доменних служб Active Directory настійно рекомендується використовувати основні зони, інтегровані в службу каталогів. Це надає наступні переваги:
- DNS підтримує реплікацію даних з декількома господарями і поліпшену безпеку, засновану на можливостях доменних служб Active Directory.
У моделі стандартного сховища зони DNS-поновлення грунтуються на моделі поновлення з одним головним сервером. У цій моделі окремий повноважний DNS-сервер призначається в якості основного джерела для зони. Сервер обслуговує головну копію зони в локальному файлі. При використанні цієї моделі основний сервер зони представляє собою єдину зафіксовану точку відмови. Якщо сервер недоступний, запити поновлення, що надходять від DNS-клієнтів, не обробляються для цієї зони.
Якщо використовується сховище, інтегроване в службу каталогів, динамічні оновлення DNS відправляються на будь-який DNS-сервер, інтегрований в доменні служби Active Directory, і реплікуються на будь-які інші інтегровані DNS-сервери за допомогою реплікації доменних служб Active Directory. У цій моделі будь DNS-сервер, інтегрований в доменні служби, може приймати динамічні оновлення, призначені для зони. Так як в базі даних доменних служб Active Directory підтримується головна копія зони, яка повністю реплицируется на всі контролери домену, зона може бути оновлена DNS-серверами, які працюють на будь-якому контролері домена. При використанні моделі поновлення доменних служб Active Directory з декількома господарями будь головний сервер зони, інтегрованої в службу каталогів, може обробляти запити DNS-клієнтів для оновлення зони, поки контролер домену доступний в мережі.
Також при використанні зон, інтегрованих в служби каталогів, можна змінювати списки управління доступом для забезпечення безпеки контейнера об'єкта dnsZone в дереві каталогу. За допомогою цієї функціональної можливості можна з точністю налаштувати доступ до зони або певного запису ресурсу в цій зоні. Наприклад, список управління доступом для запису ресурсу зони може бути обмежений таким чином, щоб динамічні оновлення були дозволені тільки для певного клієнтського комп'ютера або групи безпеки, наприклад групи адміністраторів домену. Ця функціональна можливість безпеки недоступна при використанні стандартних основних зон.
Незважаючи на те, що служба DNS-серверів може бути вибірково видалена з контролера домену, зони, інтегровані в службу каталогів, вже зберігаються на кожному контролері домену. Тому зберігання та управління зонами не є додатковим ресурсом. Крім того, методи, використовувані для синхронізації відомостей, що зберігаються в каталозі, забезпечують поліпшення продуктивності в порівнянні зі стандартними методами відновлення зони, при яких, як правило, потрібна передача всієї зони.
Якщо простір імен DNS і домени доменних служб Active Directory зберігаються і реплікуються окремо, необхідно роздільне планування і адміністрування цих елементів. Наприклад, якщо разом використовуються стандартне сховище зони і доменні служби Active Directory, необхідно розробити, впровадити, перевірити і почати обслуговувати дві різні топології реплікації баз даних.
Наприклад, одна топологія реплікації необхідна для реплікації даних каталогу між контролерами домену, а інша топологія необхідна для реплікації бази даних зони між DNS-серверами. Це може привести до додаткових адміністративних складнощів при плануванні і розробці мережі, а також при її подальшому збільшенні. За допомогою інтеграції сховища DNS управління сховищем і питання реплікації стають єдиними для DNS і доменних служб Active Directory, що призведе до їх злиття. Таким чином, з ними можна буде працювати, як з однієї адміністративною одиницею.
Так як обробка реплікації в доменних службах Active Directory виконується для кожного властивості, поширюються тільки відповідні зміни. При оновленні зон, що зберігаються в службі каталогів, використовується менша кількість даних.
В каталозі можуть зберігатися тільки основні зони. DNS-сервер не зможе зберегти в каталозі додаткові зони. Вони повинні зберігатися в стандартних текстових файлах. При використанні моделі реплікації з декількома господарями в доменних службах Active Directory, коли всі зони зберігаються в доменних службах Active Directory, усувається необхідність в додаткових зонах.