Jednym z kluczowych elementów każdej sieci korporacyjnej jest serwer DNS. Prawie wszystkie aplikacje sieciowe są oparte na wykorzystaniu serwerów DNS i ich usług, a jeśli serwer DNS jest niedostępny, prawie cała aktywność sieciowa może zostać zatrzymana. Aby zapewnić odporność na uszkodzenia usług DNS, nawet w przypadku awarii serwera DNS, należy skonfigurować co najmniej jeden dodatkowy serwer DNS dla każdej strefy.
Replikacja strefy to procedura aktualizowania dodatkowego serwera DNS, w której wszystkie rekordy DNS z podstawowego serwera DNS są kopiowane i aktualizowane. W przypadku, gdy twoja strefa zawiera dużą liczbę rekordów, które są dość często aktualizowane (na przykład przez dynamicznych klientów DNS), musisz wziąć pod uwagę kwestie efektywnego wykorzystania sieci do ruchu replikacji stref DNS. Aby uzyskać optymalną wydajność, zaleca się hostowanie serwera DNS na kontrolerach domeny i korzystanie ze zintegrowanych stref Active Directory. Zintegrowane strefy usługi Active Directory zostały zaprojektowane w celu zapewnienia automatycznej i bezpiecznej replikacji stref DNS. Microsoft DNS przydziela następujące strefy replikacji:
■ Do wszystkich serwerów DNS w tym lesie (do wszystkich serwerów DNS w lesie) replikacja jest przeprowadzana na wszystkich serwerach DNS w lesie Active Directory, na kontrolerach domen z Microsoft Windows Server 2003 i Windows Server 2008. Ten typ replikacji jest używany, jeśli w lesie jest wiele serwerów DNS w wielu domenach.
■ To Wszyscy DNS Serwery W To Domena (do wszystkich serwerów DNS w tej domenie) replikacja do wszystkich kontrolerów domeny w bieżącej domenie. Ta opcja jest domyślnie używana w strefach zintegrowanych z Active Directory..
■ To Wszyscy Domena Kontrolery W To Domena (do wszystkich kontrolerów domeny w tej domenie) - replikacja do wszystkich kontrolerów, w tym kontrolerów działających w systemie Microsoft Windows 2000 Server. Ta opcja jest używana tylko wtedy, gdy w sieci znajduje się serwer DNS z systemem Windows 2000 Server. Dzięki tej konfiguracji zwiększa się ruch replikacyjny, ponieważ wszystkie rekordy DNS są replikowane.
■ To Wszyscy Domena Kontrolery W The Zakres Of To Katalog Partycja - Replikacja do wszystkich kontrolerów domeny w określonej sekcji aplikacji, w tym do serwerów z systemem Windows 2000 Server. W tej sytuacji dane DNS są replikowane do określonych serwerów DNS w systemie Windows 2000 Server, zmniejszając w ten sposób obszar replikacji. Ta opcja zmniejsza ruch związany z replikacją, ale wymaga dodatkowej konfiguracji..
Strefy zintegrowane z Active Directory można zlokalizować tylko na kontrolerach domeny; Serwery członkowskie domeny, a także pojedyncze komputery nie obsługują stref zintegrowanych z Active Directory. W przypadku, gdy nie korzystasz ze stref zintegrowanych z Active Directory, replikacja na pomocnicze serwery DNS odbywa się przez standardowy transfer stref DNS (transfer stref), który jest standardową metodą aktualizacji serwerów DNS i jest zdefiniowany w RFC 1034 (http: //www.ietf .org / rfc / rfc1034.txt) i RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Serwery DNS firmy Microsoft obsługują także przyrostowe transfery stref, opisane w RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), który ma na celu zmniejszenie ruchu.
Jak działa transfer strefowy
Standardowe zapytania DNS używają portu 53 UDP, a port 53 używa protokołu TCP do przesyłania stref. UDP jest bardziej wydajny do przekazywania zapytań DNS, które zwykle składają się z dwóch komponentów: pakietu żądania wysłanego do serwera DNS oraz pakietu odpowiedzi wysłanego do klienta przez serwery. Objętość ruchu transferu strefy może być dość duża (szczególnie w przypadku pierwszego transferu strefy), dlatego zdecydowano się wykorzystać takie zalety protokołu TCP, jak niezawodność i kontrola transferu danych. Warto zauważyć, że transfer strefy jest jedną z potencjalnych luk w zabezpieczeniach sieci, ponieważ odbiorca strefy może zobaczyć prawie całą strukturę organizacji. Na szczęście serwer DNS w systemie Windows Server 2008 nie pozwala na przeniesienie strefy na nieautoryzowane serwery. Aby stworzyć dodatkowy poziom ochrony, należy zamknąć port 53 TCP na zewnętrznych zaporach ogniowych (oczywiście, jeśli nie zakłóca to normalnego transferu stref).
W przypadku, gdy zarówno pierwotny, jak i pomocniczy serwer DNS obsługują przyrostowe transfery stref (ta funkcja pojawiła się w Windows 2000 Server, w BIND 8.2.1 i późniejszych wersjach), przesyłane będą tylko zmiany w bazie danych DNS. W przypadku, gdy podstawowy lub pomocniczy serwer DNS nie obsługuje przyrostowej replikacji, za każdym razem przesyłana jest cała baza danych, a przy dużej liczbie rekordów w strefie, transfer ten może znacznie wykorzystać sieć.
