The Cable GuyMiglioramenti di DNS in Windows Server 2008
Joseph Davies
Questo articolo si basa su una versione non definitiva di Windows Server 2008. Tutte le informazioni riportate sono soggette a modifica.
Microsoft ha inserito un servizio Server DNS (Domain Name System) nelle versioni di Windows Server a partire da Windows NT 4.0.DNS è un database gerarchico distribuito che contiene mapping di nomi di dominio DNS a diversi tipi di dati, ad esempio gli indirizzi IP.Con Windows Server 2008, il servizio Server DNS offre il nuovo
caricamento delle zone in background, alcuni miglioramenti del supporto IPv6, il supporto per i controller di dominio di sola lettura (RODC) e la possibilità di ospitare nomi globali con etichetta singola.
Caricamento delle zone in background
Il servizio Server DNS in Windows Server® 2008 velocizza l'operazione di recupero dei dati implementando il caricamento delle zone in background.In passato, le aziende con zone contenenti un elevato numero di record in Active Directory® si trovavano a dover affrontare ritardi di oltre un'ora quando il servizio Server DNS in Windows Server 2003 cercava di recuperare i dati DNS da Active Directory al riavvio.Nel periodo di tempo impiegato per questa operazione, il Server DNS non era in grado di rispondere alle richieste del client DNS per le zone che ospitava.
Per risolvere questo problema, il servizio Server DNS di Windows Server 2008 recupera i dati delle zone da Active Directory in background dopo essere stato avviato, in modo da poter rispondere alle richieste di dati provenienti da altre zone.Una volta avviato, il servizio crea uno o più thread di esecuzione per caricare le zone che si trovano in Active Directory.Poiché esistono thread separati per il caricamento delle zone basate su Active Directory, il servizio Server DNS può rispondere alle richieste durante il caricamento delle zone.Se un client DNS richiede dati che si trovano in una zona già caricata, il Server DNS risponde in modo appropriato.Se la richiesta riguarda dati che si trovano in una zona che non è stata ancora del tutto recuperata, il Server DNS recupera i dati specificati da Active Directory.
Questa capacità di recuperare determinati dati da Active Directory durante il caricamento delle zone costituisce un ulteriore vantaggio rispetto all'archiviazione delle informazioni sulle zone in file, vale a dire che il servizio Server DNS è in grado di rispondere immediatamente alle richieste.Quando la zona è archiviata in file, il servizio deve leggere i file in sequenza fino a trovare i dati.
Supporto migliorato per IPv6
IPv6, trattato nelle precedenti edizioni di questa rubrica, è una nuova suite di protocolli Internet standard.IPv6 è progettato per risolvere molti dei problemi riscontrati nella versione corrente, IPv4, come la mancanza di indirizzi, la protezione, l'autoconfigurazione e la necessità di estendibilità.
Una differenza rispetto alla versione precedente consiste negli indirizzi che in IPv6 hanno una dimensione di 128 bit, mentre in IPv4 sono solo di 32 bit.Gli indirizzi IPv6 sono espressi in notazioni esadecimali con due punti.Ogni cifra esadecimale rappresenta 4 bit dell'indirizzo IPv6.Un indirizzo IPv6 completo è composto da 32 cifre esadecimali in 8 blocchi, separati da due punti.Un esempio di indirizzo IPv6 completo è FD91:2ADD:715A:2111:DD48:AB34:D07C:3914.
La risoluzione dei nomi diretta per gli indirizzi IPv6 utilizza il record DNS dell'host IPv6, noto come record AAAA (pronunciato "quad-A").Per la risoluzione dei nomi inversa, IPv6 utilizza il dominio IP6.ARPA e ogni cifra esadecimale nell'indirizzo IPv6 a 32 cifre diventa un livello separato nella gerarchia di dominio inversa in ordine inverso.Ad esempio, il nome di dominio di ricerca inversa per l'indirizzo FD91:2ADD:715A:2111:DD48:AB34:D07C:3914 è 4.1.9.3.C.7.0.D.4.3.B.A.8.4.D.D.1.1.1.2.A.5.1.7.D.D.A.2.1.9.D.F.IP6.ARPA.
Il servizio Server DNS di Windows Server 2003 supporta la risoluzione dei nomi diretta e inversa per IPv6, tuttavia, il supporto non è completamente integrato.Ad esempio, per creare un record di indirizzi IPv6 (il record AAAA citato precedentemente) nello snap-in Gestore DNS di Windows Server 2003, è necessario fare clic con il pulsante destro del mouse sulla zona, scegliere Altri nuovi record e fare doppio clic su Host IPv6 (AAAA) come tipo di record delle risorse.Per aggiungere un record AAAA nello snap-in Gestore DNS per Windows Server 2008, fare clic con il pulsante destro del mouse sul nome della zona e quindi selezionare Nuovo host (A o AAAA).Nella finestra di dialogo Nuovo host, è possibile digitare un indirizzo IPv4 o IPv6.Nella Figura 1 viene riportato un esempio.
Figura 1** Finestra di dialogo Nuovo host **
Un altro esempio di supporto migliore per IPv6 riguarda le zone inverse IPv6.Per creare una zona di ricerca inversa nello snap-in Gestore DNS per Windows Server 2003, è necessario digitare manualmente il nome della zona inversa nella pagina Nome della zona di ricerca inversa della Creazione guidata nuova zona.Un esempio di nome di zona inversa DNS è 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa (per il prefisso di subnet IPv6 2001:db8:0:1::/64, completamente espresso come 2001:0db8:0000:0001::/64).
Le zone inverse IPv6 nello snap-in Gestore DNS per Windows Server 2008 adesso sono completamente integrate nella Creazione guidata nuova zona.Esiste una nuova pagina della creazione guidata che richiede di selezionare una zona di ricerca inversa IPv4 o IPv6.Per una zona di ricerca inversa IPv6, è sufficiente digitare il prefisso di subnet IPv6 perché la creazione guidata crei automaticamente la zona.Nella Figura 2 viene riportato un esempio.
Figura 2** Denominazione di una zona di ricerca inversa IPv6 **(Fare clic sull'immagine per ingrandirla)
Un altro miglioramento per le zone inverse consiste nel modo in cui lo snap-in Gestore DNS visualizza i record PTR (pointer) IPv6.Nella Figura 3 viene illustrato il modo in cui lo snap-in Gestore DNS per Windows Server 2003 visualizza un record PTR.
Figura 3** Record PTR per IPv6 in Windows Server 2003 **(Fare clic sull'immagine per ingrandirla)
Sebbene questa visualizzazione rifletta accuratamente la struttura dello spazio dei nomi DNS per i nomi di dominio inverso IPv6, complica la gestione dei record PTR per gli indirizzi IPv6.Nella Figura 4 viene illustrato il modo in cui lo snap-in Gestore DNS per Windows Server 2008 visualizza un record PTR.
Figura 4** Record PTR per IPv6 in Windows Server 2008 **(Fare clic sull'immagine per ingrandirla)
Il servizio Server DNS in Windows Server 2003 supporta l'operazione su IPv6, ma deve essere attivata manualmente con il comando dnscmd /config /EnableIPv6 1.Windows Server 2008, al contrario, supporta l'operazione su IPv6 per impostazione predefinita.Lo strumento della riga di comando Dnscmd.exe è stato aggiornato affinché accetti gli indirizzi IPv6 nelle opzioni della riga di comando.Inoltre, il servizio Server DNS adesso può inviare query ricorsive solo ai server IPv6 e l'elenco di server di inoltro può contenere sia indirizzi IPv4 che IPv6.
Per ulteriori informazioni su IPv6 e sul modo in cui viene supportato in Windows®, vedere microsoft.com/ipv6.
Supporto dei controller di dominio di sola lettura
Windows Server 2008 introduce anche RODC, un nuovo tipo di controller di dominio che contiene una copia di sola lettura delle informazioni su Active Directory e può eseguire le funzionalità di Active Directory sebbene non possa essere configurato direttamente.I RODC sono meno vulnerabili agli attacchi e possono essere posizionati dove la protezione fisica del controller di dominio non è garantita o dove la rete contiene host potenzialmente dannosi.
Per i RODC, il servizio Server DNS in Windows Server 2008 supporta il nuovo tipo di zona di sola lettura principale.Quando un computer diventa un RODC, replica una copia completa di sola lettura di tutte le partizioni delle directory di applicazioni utilizzate da DNS, incluse la partizione del dominio, ForestDNSZones e DomainDNSZones.Ciò garantisce che il servizio Server DNS in esecuzione sul RODC disponga di una copia completa di sola lettura di qualsiasi zona DNS archiviata nelle partizioni di directory di un controller di dominio che non sia un RODC.È possibile visualizzare il contenuto di una zona principale di sola lettura su un RODC, ma non è possibile modificarlose non su un controller di dominio che non sia un RODC.
Zona GlobalNames
Risoluzione dei nomi con la zona GlobalNames
Dopo aver distribuito la zona GlobalNames, quando un client DNS basato su Windows Vista tenta di risolvere un nome con etichetta singola, viene aggiunto il suffisso DNS principale al nome con etichetta singola e viene inoltrata la richiesta di query del nome al Server DNS.
Se il nome non viene trovato, il client DNS invia ulteriori richieste di query del nome per la combinazione del nome con etichetta singola con i suffissi nell'elenco di ricerca del suffisso DNS (se configurato).Se non viene risolto nessuno di questi nomi, il client richiede la risoluzione tramite il nome con etichetta singola.
Il Server DNS cerca il nome con etichetta singola nella zona GlobalNames.Se lo trova, il Server DNS invia l'indirizzo IPv4 risolto o il nome FQDN al client DNS.In caso contrario, il computer client DNS converte il nome in un nome NetBIOS e utilizza le tecniche di risoluzione dei nome NetBIOS, incluso WINS.Non è necessario apportare modifiche al servizio Client DNS per attivare la risoluzione dei nomi con etichetta singola nella zona GlobalNames.
Windows Server 2008 e Windows Vista® supportano NetBIOS su protocollo TCP/IP (NetBT).NetBT utilizza i nomi NetBIOS per identificare le applicazioni NetBIOS a livello di sessione.Sebbene la risoluzione dei nomi NetBIOS con WINS non sia necessaria per le versioni correnti di Windows che utilizzano applicazioni di rete basate su Windows Sockets e DNS per la risoluzione dei nomi, molti clienti di Microsoft distribuiscono WINS nelle proprie reti per supportare le precedenti applicazioni NetBT e per fornire la risoluzione dei nomi per i nomi con etichetta singola all'interno delle organizzazioni.I nomi con etichetta singola in genere fanno riferimento a server importanti, noti e ampiamente utilizzati per un'organizzazione, ad esempio i server di posta elettronica, i server Web centrali o i server per le applicazioni line-of-business.
Per consentire la risoluzione di questi nomi con etichetta singola all'interno di un'organizzazione che utilizza esclusivamente DNS, potrebbe essere necessario aggiungere record A ai vari domini DNS dell'organizzazione affinché un client DNS basato su Windows possa risolvere i nomi indipendentemente dall'elenco di ricerca del suffisso o dal suffisso del dominio DNS assegnato.
Supponiamo, ad esempio, che l'organizzazione contoso.com disponga di un server Web centrale denominato CWEB che sia membro del dominio central.contoso.com.Per implementare un nome con etichetta singola per il server CWEB quando i client DNS possono essere assegnati al suffisso del dominio DNS wcoast.contoso.com, central.contoso.com o ecoast.contoso.com, l'amministratore di rete deve creare due record A aggiuntivi sia per cweb.wcoast.contoso.com che per cweb.ecoast.contoso.com. Tuttavia, non bisogna dimenticare che i record A creati manualmente per i nomi con etichetta singola devono essere mantenuti per apportare eventuali modifiche nell'assegnazione degli indirizzi IPv4 o per i nuovi nomi.
Se contoso.com utilizza già WINS per le precedenti applicazioni NetBT, un amministratore di rete può implementare la risoluzione dei nomi per il nome con etichetta singola CWEB aggiungendo un unico record WINS statico all'infrastruttura WINS.Se l'indirizzo IPv4 viene modificato, è necessario modificare l'unico record WINS statico.Poiché i nomi con etichetta singola sono più semplici da gestire su WINS, molte reti basate su Windows utilizzano i record WINS statici per i nomi con etichetta singola.
Per fornire una soluzione di nomi con etichetta singola su DNS che sia semplice da gestire quanto i record WINS statici, il servizio Server DNS in Windows Server 2008 supporta una nuova zona denominata GlobalNames per archiviare i nomi con etichetta singola.L'ambito di replica di questa zona in genere è una foresta, che fornisce la risoluzione dei nomi con etichetta singola all'interno di un'intera foresta di Active Directory.Inoltre, la zona GlobalNames può supportare la risoluzione dei nomi con etichetta singola all'interno di un'organizzazione che contiene diverse foreste quando si utilizzano i record delle risorse Posizione servizio (SRV) per pubblicare la posizione della zona GlobalNames.
A differenza di WINS, la zona GlobalNames deve fornire la risoluzione dei nomi con etichetta singola per un numero limitato di nomi host, in genere i server centrali e critici di un'organizzazione gestiti dal reparto IT.La zona GlobalNames non può essere utilizzata per archiviare i nomi di computer desktop o altri server i cui indirizzi IPv4 possono cambiare e in nessuna circostanza supporta gli aggiornamenti dinamici DNS.Viene generalmente utilizzata per contenere record di risorse alias (CNAME) per associare un nome con etichetta singola a un nome dominio completo (FQDN).Per le reti che attualmente utilizzano WINS, la zona GlobalNames solitamente contiene record di risorse per i nomi gestiti dal reparto IT già configurati staticamente in WINS.
La zona GlobalNames fornisce la risoluzione dei nomi con etichetta singola solo quando su tutti i server DNS autorevoli è in esecuzione Windows Server 2008. Tuttavia, sugli altri server DNS che non sono autorevoli per alcuna zona possono essere in esecuzione le precedenti versioni di Windows o altri sistemi operativi.La zona GlobalNames deve essere unica nella foresta.
Per ottimizzare le prestazioni e la scalabilità, la zona GlobalNames deve essere integrata con Active Directory e ogni server DNS autorevole deve essere configurato con una relativa copia locale.Questa operazione è necessaria per supportare la distribuzione della zona GlobalNames in più foreste.
Per ulteriori informazioni sul supporto DNS in Windows e sulla distribuzione della zona GlobalNames, vedere la pagina Web di Microsoft DNS all'indirizzo microsoft.com/dns.
Joseph Davies è un autore tecnico che collabora con Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile The Cable Guy di TechNet.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.