Bármely vállalati hálózat egyik kritikus eleme a DNS-kiszolgáló. Szinte minden hálózati alkalmazás a DNS-kiszolgálók és azok szolgáltatásai használatán alapul, és ha a DNS-kiszolgáló nem érhető el, szinte az összes hálózati tevékenység leállhat. A DNS-szolgáltatások hibatűrésének biztosítása érdekében, még a DNS-kiszolgáló meghibásodása esetén is, minden zónához konfigurálnia kell legalább egy másodlagos DNS-kiszolgálót.
A zóna replikáció a másodlagos DNS-kiszolgáló frissítésének folyamata, amelynek során az elsődleges DNS-kiszolgáló összes DNS-rekordját lemásolják és frissítik. Abban az esetben, ha a zónája nagyszámú rekordot tartalmaz, amelyeket gyakran frissít (például dinamikus DNS-ügyfelek által), akkor mérlegelnie kell a hálózat hatékony használatát a DNS-zóna replikációs forgalmához. Az optimális teljesítmény érdekében javasolt, hogy a DNS-kiszolgálót tárolja a tartományvezérlőkön, és használja az integrált Active Directory-zónákat. Az Active Directory integrált zónáit úgy tervezték, hogy a DNS-zónák automatikus, biztonságos replikációját biztosítsák. A Microsoft DNS a következő replikációs zónákat osztja ki:
■ Az erdő összes DNS-kiszolgálója számára (az erdő összes DNS-kiszolgálójához) a replikációt az Active Directory-erdő összes DNS-kiszolgálójához, a Microsoft Windows Server 2003 és a Windows Server 2008 tartományvezérlőkhöz kell végrehajtani. Ez a replikációs típus akkor használatos, ha az erdő számos tartományában sok DNS-kiszolgáló található..
■ Ahhoz, hogy minden DNS szerverek -ban ezt domain (a domain összes DNS-kiszolgálójához) replikáció az aktuális tartomány összes tartományvezérlőjéhez. Ezt az opciót alapértelmezés szerint használja az Active Directory integrált zónáihoz..
■ Ahhoz, hogy minden domain vezérlők -ban ezt domain (az összes tartományvezérlőre ezen a tartományon) - replikáció az összes vezérlőhöz, beleértve a Microsoft Windows 2000 Server rendszeren futókat is. Ezt az opciót csak akkor használjuk, ha a DNS-kiszolgálón a Windows 2000 Server fut a hálózaton. Ezzel a konfigurációval a replikációs forgalom növekszik, mert az összes DNS-rekordot lemásolják.
■ Ahhoz, hogy minden domain vezérlők -ban az terület az ezt telefonkönyv feloszt - Replikáció az összes tartományvezérlőre a megadott alkalmazás szakaszban, beleértve a Windows 2000 Server rendszert futtató kiszolgálókat is. Ebben a helyzetben a DNS-adatokat a Windows 2000 Server-en keresztül meghatározott DNS-kiszolgálókra replikálják, ezáltal csökkentve a replikációs területet. Ez az opció csökkenti a replikációs forgalmat, de további konfigurációt igényel..
Az Active Directory integrált zónái csak a tartományvezérlőkön helyezkedhetnek el; A tartomány tagszerverei, valamint az egyes számítógépek nem támogatják az Active Directory integrált zónáit. Abban az esetben, ha nem használja az Active Directoryba integrált zónákat, akkor a másodlagos DNS-kiszolgálókra történő replikációt a DNS-zónák szabványos átvitelével (zónaátvitel) kell végrehajtani, amely a DNS-kiszolgálók frissítésének standard módszere, és amelyet az RFC 1034 határoz meg (http: //www.ietf .org / rfc / rfc1034.txt) és RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). A Microsoft DNS-kiszolgálói az RFC 1995-ben (http://www.ietf.org/rfc/rfc1995.txt) leírt növekményes zónaátvitelt is támogatják, amelynek célja a forgalom csökkentése..
Hogyan működik a zónaátvitel
A szokásos DNS-lekérdezések az UDP 53-as portját használják, az 53-as port a TCP protokollt használja a zónák átviteléhez. Az UDP hatékonyabban továbbítja a DNS-lekérdezéseket, amelyek általában két összetevőből állnak: a DNS-kiszolgálóra küldött kérési csomagból és a kiszolgálók által az ügyfélnek küldött válaszcsomagból. A zónaátviteli forgalom meglehetősen nagy lehet (különösen az első zónaátvitelnél), ezért úgy döntöttek, hogy a TCP protokoll olyan előnyeit használják, mint az adatátvitel megbízhatósága és vezérlése. Érdemes megjegyezni, hogy a zónaátvitel a hálózati biztonság egyik potenciális sebezhetősége, mivel a zóna fogadója láthatja a szervezet szinte teljes szerkezetét. Szerencsére a Windows Server 2008 DNS-kiszolgálója nem teszi lehetővé a zóna átvitelét illetéktelen kiszolgálókra. További védelmi fokozat létrehozásához zárja be az 53 TCP portot a külső tűzfalakon (természetesen, ha ez nem zavarja a zónák normál átvitelét).
Abban az esetben, ha mind az elsődleges, mind a másodlagos DNS-kiszolgálók támogatják az inkrementális zónaátvitelt (ez a funkció megjelent a Windows 2000 Serverben, a BIND 8.2.1 és újabb verziókban), akkor csak a DNS-adatbázis módosításait továbbítják. Abban az esetben, ha az elsődleges vagy másodlagos DNS-kiszolgáló nem támogatja a növekményes replikációt, akkor a teljes adatbázist minden alkalommal továbbítják, és ha a zónában nagyszámú rekord van, ez az átvitel jelentősen kihasználhatja a hálózatot.
