Безопасные обновления DNS доступны только для зон, интегрированных в службу каталогов Active Directory. После преобразования зоны в интегрированную становится возможным использование с консоли DNS списков управления доступом. Можно добавлять пользователей и группы в списки или удалять их для указанной зоны или записи ресурса. Параметры безопасного динамического обновления для DNS-серверов и клиентов по умолчанию обрабатываются следующим образом.
DNS-клиенты сначала предпринимают попытки выполнить небезопасные динамические обновления. При отказе на небезопасные обновления клиенты пытаются выполнить безопасные обновления. Кроме того, клиенты используют политику обновления по умолчанию, которая позволяет им пытаться переписывать ранее зарегистрированную запись ресурса, если она специально не заблокирована условиями безопасности обновления.
После интегрирования зоны в службу каталогов Active Directory DNS-серверам Windows Server 2003 по умолчанию разрешаются только безопасные динамические обновления. При использовании стандартного сохранения зон настройки по умолчанию службы DNS-сервер не разрешают динамические обновления зон. И для зон, интегрированных в каталоги, и для использующих стандартное сохранение в файлах можно изменить параметры зоны и разрешить динамические обновления. Это позволяет принимать любые обновления.
При развертывании DNS-серверов совместно с Active Directory необходимо иметь в виду следующее:
Служба DNS требуется для обнаружения контроллеров доменов Windows Server 2003. Служба сетевого входа в систему использует новые средства поддержки DNS-серверов для обеспечения регистрации контроллеров доменов в пространстве доменных имен DNS.
DNS-серверы Windows Server 2003 могут использовать службу каталогов Active Directory для сохранения и репликации зон. При интегрировании зон в службу каталогов пользователи получают возможность использовать дополнительные средства DNS, такие как безопасные динамические обновления и средства устаревания и очистки записей.
Способы интеграции DNS со службой каталогов Active Directory:
При установке Active Directory на сервер выполняется повышение сервера до роли контроллера указанного домена. Когда данный процесс завершается, пользователю выводится приглашение указать доменное имя DNS для домена Active Directory, для которого выполняется присоединение и повышение сервера.
Если в этом процессе удостоверяющий DNS-сервер для указанного домена либо не обнаруживается в сети, либо не поддерживает протокол динамического обновления DNS, выводится приглашение установить DNS-сервер. Такая возможность предоставляется, поскольку DNS-серверу необходимо отыскать этот сервер или другие контроллеры домена для рядовых серверов домена Active Directory.
После установки Active Directory имеются две возможности сохранения и репликации зон при работе с DNS-сервером на новом контроллере домена.
Стандартное сохранение зоны с помощью файла в текстовом формате. Зоны, сохраняемые в этом способе, размещаются в файлах с раширением DNS, которые сохраняется в папке systemroot\System32\Dns на каждом компьютере, на котором выполняется DNS-сервер. Имя файла зоны соответствует имени, которое пользователь выбрал для зоны при ее создании, например, mspu.edu.ru.dns, если именем зоны является «mspu.edu.ru.dns».
Сохранение зон, интегрированных в службу каталогов, с помощью базы данных Active Directory. Зоны, сохраняемые таким образом, размещаются в дереве Active Directory под разделом каталога домена или приложения. Каждая зона, интегрированная в службу каталогов, сохраняется в контейнере dnsZone, который идентифицируется по имени, выбранному пользователем при ее создании.
Преимущества интеграции с Active Directory
В сетях с развертыванием DNS для поддержки службы каталогов Active Directory настоятельно рекомендуется использовать основные зоны, интегрированные в службу каталогов, которые предоставляют следующие преимущества.
Обновление с несколькими главными серверами и расширенные средства безопасности, базирующиеся на возможностях Active Directory.
В модели стандартного сохранения зон обновления DNS выполняются на основе модели с единственным главным сервером. В такой модели единственный удостоверяющий DNS-сервер зоны обозначается как основной источник для зоны. Это сервер содержит главную копию зоны в файле на локальном диске. В этой модели основной сервер зоны представляет единственную фиксированную точку отказа. Если этот сервер недоступен, запросы на обновление зоны от DNS-клиентов не обрабатываются. При сохранении зон, интегрированных в службу каталогов, динамические обновления DNS выполняются с использованием модели с несколькими главными серверами. В этой модели любой удостоверяющий DNS-сервер, например, контроллер домена, выполняющий службу DNS-сервер, обозначается как основной источник для зоны. Поскольку главная копия зоны поддерживается в базе данных Active Directory, которая полностью реплицируется на все контроллеры домена, зона может обновляться любыми DNS-серверами, выполняющимися на любом контроллере домена.
При использовании модели Active Directory с несколькими главными серверами любой из основных серверов для зоны, интегрированной в каталоги, может обрабатывать запросы от DNS-клиентов на обновление зоны, пока контроллер домена является доступным по сети. Кроме того, при использовании зон, интегрированных в службу каталогов, можно с помощью списков управления доступом защитить объект-контейнер dnsZone в дереве каталогов. Это средство обеспечивает дифференцированный доступ к зоне или к конкретной записи ресурса в зоне. Например, список управления доступом для записи ресурса в зоне можно ограничить так, чтобы разрешить динамические обновления только указанному компьютеру клиента или группе безопасности, например, группе администраторов домена. Это средство безопасности недоступно для стандартных основных зон. Необходимо отметить, что при преобразовании зоны к типу интегрированной в службу каталогов настройка по умолчанию для обновлений зоны изменяется и разрешаются только безопасные обновления. Кроме того, при использовании списков управления доступом на объектах Active Directory, относящихся к DNS , списки управления доступом могут применяться только к службе DNS-клиент.
Репликация и синхронизация зон с новыми контроллерами домена выполняется автоматически при каждом добавлении нового контроллера в домен Active Directory.
Хотя службу DNS можно выборочно удалять с контроллеров домена, зоны, интегрированные в службу каталогов, всегда сохраняются на каждом контроллере домена. В результате сохранение и управление зонами не является дополнительным ресурсом. Кроме того, способы синхронизации информации, сохраняемой в службе каталогов, обеспечивают повышение быстродействия по сравнению со стандартными способами сохранения обновлений зон, которые могут потенциально потребовать передачи зоны целиком.
За счет сохранения баз данных зон DNS в Active Directory имеется возможность рационализировать репликацию баз данных в сети.
Когда пространство имен DNS и домены Active Directory сохраняются и реплицируются независимо, необходимо обеспечить планирование и администрирование каждого из них в отдельности. Например, при одновременном использовании стандартного сохранения зон DNS и службы каталогов Active Directory необходимо обеспечить структуру, реализацию, тестирование и управление для двух различных топологий репликации баз данных. Одна топология требуется для репликации данных из каталогов между контроллерами домена, а другая топология может потребоваться для репликации баз данных зон между DNS-серверами.
Это приведет к дополнительным трудност+ям при планировании и разработке структуры сети с учетом ее естественного роста. За счет интеграции сохранения информации DNS появляется возможность унифицировать вопросы управления и репликации для DNS и Active Directory, объединяя их в единое административное целое.
Репликация каталогов выполняется быстрее и эффективнее, чем стандартная репликация DNS.
Поскольку репликация Active Directory выполняется на уровне отдельных свойств, распространяются только необходимые изменения. При этом для зон, интегрированных в службу каталогов, используется и отправляется меньший объем данных.
