Концепция зон-заглушек является уникальной и встречается только в DNS производства Microsoft. Под зоной-заглушкой (stub zone) подразумевается зона, в которой не содержится никакой информации о членах домена и которая служит просто для перенаправления запросов к списку назначенных серверов имен для различных доменов.
Если возникает необходимость получить возможности, предлагаемые зоной-заглушкой, в Windows Server 2008 R2 такую зону создать очень легко. Ниже перечислены соответствующие шаги.
Откройте консоль Server Manager (Диспетчер сервера).
Разверните последовательно узлы Roles (Роли), DNS Server (DNS-сервер), DNS и узел, название которого совпадает с именем нужного сервера.
Щелкните на узле Forward Lookup Zones (Зоны прямого просмотра).
Выберите в меню Action (Действие) пункт New Zone (Создать зону).
На экране приветствия щелкните на кнопке Next (Далее).
В списке возможных типов зон выберите вариант Stub Zone (Зона-заглушка). Поскольку эта зона не будет интегрироваться в AD, снимите отметку с флажка Store the Zone in Active Directory (Сохранить зону в Active Directory), если он отмечен, и для продолжения щелкните на кнопке Next.
Введите желаемое имя для новой зоны и щелкните на кнопке Next.
Выберите вариант Create a New File with This File Name (Создать новый файл с таким именем) и оставьте предлагаемые по умолчанию параметры, если только не требуется импортировать какой-то существующий файл зоны. Для продолжения щелкните на кнопке Next.
Введите IP-адрес сервера или серверов, с которых должны копироваться записи для этой зоны, нажимая после ввода адреса каждого сервера клавишу для проверки его правильности. Для продолжения щелкните на кнопке Next.
На странице Summary (Сводная информация) щелкните на кнопке Finish (Iotobo), чтобы создать зону.
В новой созданной зоне-заглушке будут содержаться записи SOA, записи NS и связанные записи только из того домена, на который она указывает.
Общее представление о типах зон
Служба DNS-сервера работает с тремя типами зон:
Примечание
Если DNS-сервер является контроллером домена доменных служб Active Directory, основные зоны и зоны-заглушки могут быть размещены в доменных службах Active Directory. Дополнительные сведения см. в разделе Общее представление об интеграции доменных служб Active Directory.
В следующих разделах описаны все типы зон.
Основная зона
Если зона, хранящаяся на DNS-сервере, является основной, DNS-сервер становится основным источником сведений об этой зоне — он хранит главную копию данных зоны в локальном файле или в доменных службах Active Directory. Если зона хранится в файле, файл основной зоны называется имя_зоны.dns и размещается в папке сервера %windir%\System32\Dns.
Дополнительная зона
Если зона, хранящаяся на DNS-сервере, является дополнительной, DNS-сервер становится дополнительным источником сведений о зоне. Зона на этом сервере должна быть получена от другого удаленного компьютера DNS-сервера, который также хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу, который будет обеспечивать этот сервер обновленными данными о зоне. Так как дополнительная зона является копией основной зоной, хранящейся на другом сервере, она не может быть размещена в доменных службах Active Directory.
Зона-заглушка
Если зона, хранящаяся на DNS-сервере, является зоной-заглушкой, DNS-сервер становится источником сведений только о полномочных серверах имен для этой зоны. Зона на этом сервере должна быть получена от другого DNS-сервера, который хранит зону. Этот DNS-сервер должен иметь сетевой доступ к удаленному DNS-серверу для копирования сведений о полномочных серверах имен для этой зоны.
Зоны-заглушки можно использовать в следующих целях:
Поддержка самых текущих сведений о зоне. С помощью регулярного обновления зоны-заглушки для одной из дочерних зон DNS-сервер, содержащий как родительскую зону, так и зону-заглушку, будет поддерживать текущий список полномочных DNS-серверов для дочерней зоны.
Улучшение разрешения имен. С помощью зон-заглушек DNS-сервер может выполнять рекурсию, используя список серверов имен из зоны-заглушки, без необходимости отправки запроса о пространстве имен DNS в Интернет или на внутренний корневой сервер.
Упрощение администрирования DNS. С помощью использования зон-заглушек в инфраструктуре DNS можно распределить список полномочных DNS-серверов для зоны без необходимости использования дополнительных зон. Однако назначение зон-заглушек отличается от назначения дополнительных зон, и зоны-заглушки не являются альтернативой увеличению избыточности и распределению нагрузки.
Существует два списка DNS-серверов, участвующих в загрузке и поддержке зоны-заглушки:
Список главных серверов, из которого DNS-сервер загружает и обновляет зону-заглушку. Главный сервер может быть главным или дополнительным DNS-сервером для зоны. В обоих случаях он будет располагать полным списком DNS-серверов для зоны.
Список полномочных DNS-серверов для зоны. Список содержится в зоне-заглушке с использованием записей ресурсов сервера имен (NS).
Добавление зоны-заглушки
Зона-заглушка — это копия зоны, которая содержит только те записи ресурсов, которые необходимы для идентификации полномочных DNS-серверов этой зоны. Как правило, зона-заглушка используется для разрешения имен между несвязанными пространствами имен DNS. Дополнительные сведения см. в разделе Общее представление о типах зон.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы или наличие эквивалентных прав. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице https://go.microsoft.com/fwlink/?LinkId=83477 .
Добавление зоны-заглушки
Чтобы добавить зону-заглушку с помощью интерфейса Windows
Откройте диспетчер DNS.
В дереве консоли щелкните правой кнопкой мыши DNS-сервер и выберите Новая зона для запуска мастера создания зоны.
Чтобы создать зону-заглушку, выполните все инструкции.
Дополнительные сведения
Чтобы открыть диспетчер DNS, нажмите кнопку Пуск, выберите Администрирование, затем щелкнете DNS.
Зона-заглушка не может размещаться на DNS-сервере, являющемся полномочным для этой же зоны.
Если зона-заглушка интегрирована в доменные службы Active Directory, имеется возможность указать, следует ли DNS-серверу, содержащему зону-заглушку, использовать локальный список главных серверов при обновлении записей ресурсов зоны-заглушки вместо использования списка главных серверов, хранящегося в доменных службах Active Directory. Если следует использовать локальный список главных серверов, необходимо знать IP-адреса локальных главных серверов.
Чтобы добавить зону-заглушку с помощью командной строки
Откройте окно командной строки.
Введите указанную ниже команду и нажмите клавишу ВВОД.
Параметр
Описание
Программа командной строки для управления DNS-серверами.
Обязательный компонент. DNS-имя узла, на котором содержится DNS-сервер. Также можно ввести IP-адрес DNS-сервера. Чтобы указать DNS-сервер на локальном компьютере, можно ввести точку (.).
Обязательный компонент. Добавление зоны.
Обязательный компонент. Полное доменное имя зоны.
Обязательный компонент. Определение типа зоны. Чтобы указать зону-заглушку, интегрированную в Active Directory, введите /DsStub.
Обязательный компонент. Указание одного или нескольких IP-адресов главных серверов для зоны-заглушки, с которых эта зона будет копировать данные.
Добавление файла для новой зоны.
Определяет имя файла зоны.
Загрузка существующего файла зоны. Если этот параметр не определен, записи зоны по умолчанию создаются автоматически.
Добавление зоны в раздел каталога приложений. Также можно использовать один из следующих параметров:
/DP /domain — для раздела каталога домена (репликация на все DNS-серверы домена).
/DP /forest — для раздела каталога леса (репликация на все DNS-серверы леса).
/DP /legacy — для устаревшего раздела каталога (репликация на все контроллеры домена в домене). С помощью этого параметра поддерживаются домены, контроллеры которого работают под управлением устаревшей операционной системы Windows 2000 Server.
Указание полного доменного имени каталога раздела.
Чтобы просмотреть полный синтаксис этой команды, введите следующий текст в командной строке, а затем нажмите клавишу ВВОД:
Дополнительная информация
Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.
Зона-заглушка не может размещаться на DNS-сервере, являющемся полномочным для этой же зоны.
Если зона-заглушка интегрирована в доменные службы Active Directory, имеется возможность указать, следует ли DNS-серверу, содержащему зону-заглушку, использовать локальный список главных серверов при обновлении записей ресурсов зоны-заглушки вместо использования списка главных серверов, хранящегося в доменных службах Active Directory. Если следует использовать локальный список главных серверов, необходимо знать IP-адреса локальных главных серверов.
Протокол TCP/IP, служба DNS
Служба DNS: домены и зоны
Как уже говорилось выше, каждый DNS-сервер отвечает за обслуживание определенной части пространства имен DNS. Информация о доменах, хранящаяся в БД сервера DNS, организуется в особые единицы, называемые зонами (zones). Зона — основная единица репликации данных между серверами DNS. Каждая зона содержит определенное количество ресурсных записей для соответствующего домена и, быть может, его поддоменов.
Системы семейства Windows Server поддерживают следующие типы зон:
Стандартная основная (standard primary) — главная копия стандартной зоны; только в данном экземпляре зоны допускается производить какие-либо изменения, которые затем реплицируются на серверы, хранящие дополнительные зоны;
Стандартная дополнительная (standard secondary) — копия основной зоны, доступная в режиме «только-чтение», предназначена для повышения отказоустойчивости и распределения нагрузки между серверами, отвечающими за определенную зону; процесс репликации изменений в записях зон называется «передачей зоны» ( zone transfer ) (информация в стандартных зонах хранится в текстовых файлах, файлы создаются в папке «%system root%\system32\dns», имя файла, как правило, образуется из имени зоны с добавлением расширения файла «.dns»; термин «стандартная» используется только в системах семейства Windows);
Интегрированная в Active Directory (Active Directory–integrated) — вся информация о зоне хранится в виде одной записи в базе данных Active Directory (такие типы зон могут существовать только на серверах Windows, являющихся контроллерами доменов Active Directory; в интегрированных зонах можно более жестко управлять правами доступа к записям зоны; изменения в записях зоны между разными экземплярами интегрированной зоны производятся не по технологии передачи зоны службой DNS, а механизмами репликации службы Active Directory);
Зона-заглушка ( stub ; только в Windows 2003) — особый тип зоны, которая для данной части пространства имен DNS содержит самый минимальный набор ресурсных записей (начальная запись зоны SOA, список серверов имен, отвечающих за данную зону, и несколько записей типа A для ссылок на серверы имен для данной зоны).
Рассмотрим на примере соотношение между понятиями домена и зоны. Проанализируем информацию, представленную на рис. 4.9.
В данном примере пространство имен DNS начинается с домена microsoft.com, который содержит 3 поддомена: sales.microsoft.com, it.microsoft.com и edu.microsoft.com (домены на рисунке обозначены маленькими горизонтальными овалами). Домен — понятие чисто логическое, относящееся только к распределению имен. Понятие домена никак не связано с технологией хранения информации о домене. Зона — это способ представления информации о домене и его поддоменах в хранилище тех серверов DNS, которые отвечают за данный домен и поддомены. В данной ситуации, если для хранения выбрана технология стандартных зон, то размещение информации о доменах может быть реализовано следующим образом:
записи, относящиеся к доменам microsoft.com и edu.microsoft.com, хранятся в одной зоне в файле «microsoft.com.dns» (на рисунке зона обозначена большим наклонным овалом);
управление доменами sales.microsoft.com и it.microsoft.com делегировано другим серверам DNS, для этих доменов на других серверах созданы соответствующие файлы «sales.microsoft.com.dns» и «it.microsoft.com.dns» (данные зоны обозначены большими вертикальными овалами).
Делегирование управления — передача ответственности за часть пространства имен другим серверам DNS.
Зоны прямого и обратного просмотра
Зоны, рассмотренные в предыдущем примере, являются зонами прямого просмотра (forward lookup zones). Данные зоны служат для разрешения имен узлов в IP-адреса. Наиболее часто используемые для этого типы записей: A , CNAME , SRV .
Для определения имени узла по его IP-адресу служат зоны обратного просмотра ( reverse lookup zones), основной тип записи в «обратных» зонах — PTR. Для решения данной задачи создан специальный домен с именем in-addr.arpa . Для каждой IP-сети в таком домене создаются соответствующие поддомены, образованные из идентификатора сети, записанного в обратном порядке. Записи в такой зоне будут сопоставлять идентификатору узла полное FQDN-имя данного узла. Например, для IP-сети 192.168.0.0/24 необходимо создать зону с именем «0.168.192.in-addr.arpa» . Для узла с IP-адресом 192.168.0.10 и именем host.company.ru в данной зоне должна быть создана запись «10 PTR host.company.ru» .
Алгоритмы работы итеративных и рекурсивных запросов DNS
Все запросы, отправляемые DNS-клиентом DNS-серверу для разрешения имен, делятся на два типа:
итеративные запросы (клиент посылает серверу DNS запрос, в котором требует дать наилучший ответ без обращений к другим DNS-серверам);
рекурсивные запросы (клиент посылает серверу DNS запрос, в котором требует дать окончательный ответ даже если DNS-серверу придется отправить запросы другим DNS-серверам; посылаемые в этом случае другим DNS-серверам запросы будут итеративными).
Обычные DNS-клиенты (например, рабочие станции пользователей), как правило, посылают рекурсивные запросы.
Рассмотрим на примерах, как происходит взаимодействие DNS-клиента и DNS-сервера при обработке итеративных и рекурсивных запросов.
Допустим, что пользователь запустил программу Обозреватель Интернета и ввел в адресной строке адрес http://www.microsoft.com. Прежде чем Обозреватель установит сеанс связи с веб-сайтом по протоколу HTTP, клиентский компьютер должен определить IP-адрес веб-сервера. Для этого клиентская часть протокола TCP/IP рабочей станции пользователя (так называемый resolver ) сначала просматривает свой локальный кэш разрешенных ранее имен в попытке найти там имя www.microsoft.com. Если имя не найдено, то клиент посылает запрос DNS-серверу, указанному в конфигурации TCP/IP данного компьютера (назовем данный DNS-сервер «локальным DNS-сервером» ), на разрешение имени www.microsoft.com в IP-адрес данного узла. Далее DNS-сервер обрабатывает запрос в зависимости от типа запроса.
Вариант 1 (итеративный запрос).
Если клиент отправил серверу итеративный запрос (напомним, что обычно клиенты посылают рекурсивные запросы), то обработка запроса происходит по следующей схеме:
сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com;
если такая зона найдена, то в ней ищется запись для узла www ; если запись найдена, то результат поиска сразу же возвращается клиенту;
в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов;
если искомое имя есть в кэше, то результат поиска возвращается клиенту; если локальный DNS-сервер не нашел в своей базе данных искомую запись, то клиенту посылается IP-адрес одного из корневых серверов DNS;
клиент получает IP-адрес корневого сервера и повторяет ему запрос на разрешение имени www.microsoft.com;
корневой сервер не содержит в своей БД зоны «microsoft.com», но ему известны DNS-серверы, отвечающие за зону «com», и корневой сервер посылает клиенту IP-адрес одного из серверов, отвечающих за эту зону;
клиент получает IP-адрес сервера, отвечающего за зону «com», и посылает ему запрос на разрешение имени www.microsoft.com;
сервер, отвечающий за зону com , не содержит в своей БД зоны microsoft.com, но ему известны DNS-серверы, отвечающие за зону microsoft.com, и данный DNS-сервер посылает клиенту IP-адрес одного из серверов, отвечающих уже за зону microsoft.com;
клиент получает IP-адрес сервера, отвечающего за зону microsoft.com, и посылает ему запрос на разрешение имени www.microsoft.com;
сервер, отвечающий за зону microsoft.com, получает данный запрос, находит в своей базе данных IP-адрес узла www , расположенного в зоне microsoft.com, и посылает результат клиенту;
клиент получает искомый IP-адрес, сохраняет разрешенный запрос в своем локальном кэше и передает IP-адрес веб-сайта программе Обозреватель Интернета (после чего Обозреватель устанавливает связь с веб-сайтом по протоколу HTTP).
Вариант 2 ( рекурсивный запрос ).
Если клиент отправил серверу рекурсивный запрос , то обработка запроса происходит по такой схеме:
сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com; если такая зона найдена, то в ней ищется запись для узла www ; если запись найдена, то результат поиска сразу же возвращается клиенту;
в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов; если искомое имя есть в кэше, то результат поиска возвращается клиенту;
если локальный DNS-сервер не нашел в своей базе данных искомую запись, то сам локальный DNS-сервер выполняет серию итеративных запросов на разрешение имени www.microsoft.com, и клиенту посылается либо найденный IP-адрес, либо сообщение об ошибке.
Реализация службы DNS в системах семейства Windows Server
Главная особенность службы DNS в системах семейства Windows Server заключается в том, что служба DNS разрабатывалась для поддержки службы каталогов Active Directory. Для выполнения этой функции требуются обеспечение двух условий:
поддержка службой DNS динамической регистрации (dynamic updates);
поддержка службой DNS записей типа SRV .
Служба DNS систем Windows Server удовлетворяет обоим условиям, и реализация служб каталогов Active Directory может быть обеспечена только серверами на базе систем Windows Server.
Рассмотрим несколько простых примеров управления службой DNS:
установка службы DNS;
создание основной и дополнительной зоны прямого просмотра;
создание зоны обратного просмотра;
выполнение динамической регистрации узлов в зоне.
Все рассматриваемые далее в пособии примеры были выполнены в следующей конфигурации:
сеть состоит из двух серверов Windows 2003 Server;
операционная система — ограниченная по времени 120-дневная русская версия Windows 2003 Server Enterprise Edition;
первый сервер установлен на ПК с процессором Intel Pentium-4 3Ггц и оперативной памятью 512 МБ, имя сервера — DC1, IP-адрес — 192.168.0.1/24 ;
второй сервер работает в качестве виртуальной системы с помощью Microsoft VirtualPC 2004, имя сервера -DC2, IP-адрес — 192.168.0.2/24 ;
имя домена в пространстве DNS и соответствующее имя в службе каталогов Active Directory — world.ru (сеть полностью изолирована от других сетей, поэтому в данном примере авторы были свободны в выборе имени домена; в реальной обстановке конкретного учебного заведения преподавателю нужно скорректировать данную информацию).
Подробные рекомендации по организации сети для изучения данного курса (как под руководством преподавателя в организованной группе, так и при самостоятельном изучении) изложены в указаниях к выполнению упражнений лабораторных работ в конце пособия.
