Esporta (0) Stampa
Espandi tutto
2 di 3 hanno valutato il contenuto utile: - Valuta questo argomento

Ruolo Server DNS

Aggiornamento: gennaio 2008

Si applica a: Windows Server 2008

Il DNS (Domain Name System) è un sistema per la denominazione di computer e servizi di rete organizzato in una gerarchia di domini. Le reti TCP/IP, ad esempio Internet, utilizzano DNS per individuare computer e servizi tramite nomi descrittivi.

Per semplificare l'utilizzo delle risorse di rete, i sistemi di gestione dei nomi come DNS offrono un modo per mappare il nome descrittivo di un computer o servizio ad altre informazioni ad esso associate, ad esempio un indirizzo IP. I nomi descrittivi sono più semplici da imparare e ricordare rispetto agli indirizzi numerici utilizzati dai computer per comunicare in rete. La maggior parte degli utenti preferisce utilizzare un nome descrittivo, ad esempio, vendite.fabrikam.com, per individuare un server Web o di posta elettronica in una rete piuttosto che un indirizzo IP, ad esempio 157.60.0.1. Quando un utente immette un nome DNS descrittivo in un'applicazione, i servizi DNS lo risolvono nel corrispondente indirizzo numerico.

Finalità del server DNS

I server DNS forniscono la funzionalità di risoluzione dei nomi per le reti basate su TCP/IP. In altre parole consentono agli utenti di computer client di utilizzare nomi invece di indirizzi IP numerici per identificare host remoti. Il computer client invia il nome di un host remoto a un server DNS, il quale risponde con l'indirizzo IP corrispondente. Il computer client può quindi inviare messaggi direttamente all'indirizzo IP dell'host remoto. Se il server DNS non include una voce nel database per l'host remoto desiderato, può rispondere al client con l'indirizzo di un server DNS in cui è più probabile che siano presenti le informazioni sull'host remoto oppure può interrogare direttamente un altro server DNS. Questo processo può ripetersi finché il computer client non riceve l'indirizzo IP o non viene stabilito che il nome richiesto non appartiene ad alcun host all'interno dello spazio dei nomi DNS specifico.

Il server DNS in Windows Server® 2008 è conforme alle specifiche RFC (Requests for Comments) che definiscono e stabiliscono gli standard del protocollo DNS. Poiché il servizio Server DNS è conforme alle specifiche RFC e può utilizzare i formati di record di risorse e file di dati DNS standard, può interagire correttamente con la maggior parte delle altre implementazioni server DNS, ad esempio quelle in cui viene utilizzato il software BIND (Berkeley Internet Name Domain).

Il server DNS in Windows Server 2008 offre inoltre i vantaggi speciali seguenti nelle reti basate su Windows®:

  • Supporto di Servizi di dominio Active Directory®

    DNS è necessario per supportare Servizi di dominio Active Directory. Se si installa il ruolo Servizi di dominio Active Directory in un server, è possibile installare e configurare automaticamente un server DNS se non è possibile individuare un server DNS che soddisfa i requisiti di Servizi di dominio Active Directory.

    Le zone DNS possono essere archiviate nelle partizioni di directory dominio o applicative di Servizi di dominio Active Directory. Una partizione è un container di dati di Servizi di dominio Active Directory che distingue i dati in base allo scopo della replica. È possibile specificare in quale partizione di Active Directory deve essere archiviata una zona e di conseguenza l'insieme di controller di dominio tra cui verranno replicati i dati di tale zona.

    In generale, l'utilizzo del servizio Server DNS di Windows Server 2008 è consigliato per ottenere il massimo supporto e integrazione ottimale di Servizi di dominio Active Directory e delle funzionalità avanzate del server DNS. È comunque possibile utilizzare un altro tipo di server DNS per supportare la distribuzione di Servizi di dominio Active Directory.

  • Zona di stub

    I DNS in esecuzione su Windows Server 2008 supportano un tipo di zona denominato zona di stub. Si tratta di una copia di una zona contenente solo i record di risorse necessari per identificare i server DNS autorevoli per tale zona. Una zona di stub consente di mantenere aggiornato un server DNS che ospita una zona padre di server DNS autorevoli della relativa zona figlio, garantendo così una risoluzione efficiente dei nomi DNS.

  • Integrazione con altri servizi di rete Microsoft

    Il servizio Server DNS garantisce l'integrazione con altri servizi e offre ulteriori funzionalità oltre a quelle indicate nelle specifiche RFC per DNS. Tra queste funzionalità è inclusa l'integrazione con altri servizi, quali Servizi di dominio Active Directory, WINS (Windows Internet Name Service) e DHCP (Dynamic Host Configuration Protocol).

  • Semplificazione dell'amministrazione

    Lo snap-in MMC (Microsoft Management Console) DNS offre un'interfaccia utente grafica migliorata per la gestione del servizio Server DNS. Sono inoltre disponibili diverse configurazioni guidate per eseguire le attività più comuni di amministrazione dei server. Oltre alla console DNS, sono disponibili altri strumenti che contribuiscono a migliorare la gestione e il supporto dei server e client DNS nella rete.

  • Supporto del protocollo di aggiornamento dinamico conforme alle specifiche RFC

    I client possono utilizzare il servizio Server DNS per aggiornare in modo dinamico i record di risorse in base al protocollo di aggiornamento dinamico (RFC 2136). In questo modo è possibile ottimizzare l'amministrazione DNS, riducendo il tempo necessario per la gestione manuale di tali record. I computer che eseguono il servizio Client DNS possono registrare i relativi nomi DNS e indirizzi IP in modo dinamico. Il servizio Server DNS e i client DNS possono inoltre essere configurati per eseguire aggiornamenti dinamici protetti, una funzionalità che consente solo agli utenti autenticati che dispongono dei diritti appropriati di aggiornare i record delle risorse nel server. Gli aggiornamenti dinamici protetti sono disponibili solo per le zone integrate con Servizi di dominio Active Directory.

  • Supporto del trasferimento di zona incrementale tra server

    I trasferimenti di zona consentono di replicare informazioni su una parte dello spazio dei nomi DNS tra server DNS. I trasferimenti di zona incrementali consentono di replicare solo le parti modificate di una zona in modo da limitare l'utilizzo della larghezza di banda.

  • Server d'inoltro condizionali

    Il servizio Server DNS consente di estendere la configurazione di server di inoltro standard con server di inoltro condizionali. Un server d'inoltro condizionale è un server DNS di una rete che inoltra query DNS in base al nome di dominio DNS contenuto nella query. È ad esempio possibile configurare un server DNS per inoltrare tutte le query ricevute per i nomi che terminano con vendite.fabrikam.com all'indirizzo IP di un determinato server DNS o agli indirizzi IP di più server DNS.

Utenti interessati a questo ruolo server

Per il corretto funzionamento di qualsiasi rete TCP/IP è necessario l'accesso a uno o più server DNS. Senza la risoluzione dei nomi e gli altri servizi forniti dai server DNS; l'accesso a computer host remoti da parte dei client risulterebbe estremamente difficile. Senza accesso a un server DNS, ad esempio, l'esplorazione del Web risulterebbe praticamente impossibile: la maggior parte dei collegamenti ipertestuali pubblicati sul Web utilizza il nome DNS degli host Web e non i corrispondenti indirizzi IP. Lo stesso principio si applica alle reti Intranet in quanto gli utenti raramente conoscono gli indirizzi IP dei computer presenti nella rete locale LAN.

Prendere in considerazione la distribuzione del servizio Server DNS in Windows Server 2008 se la rete contiene uno o più degli elementi indicati di seguito:

  • Computer membri di dominio

  • Computer client DHCP basati su Windows

  • Computer connessi a Internet

  • Succursali o domini in una rete WAN

Note speciali

Se si desidera integrare il servizio Server DNS con Servizi di dominio Active Directory, è possibile installare DNS contemporaneamente a Servizi di dominio Active Directory oppure dopo l'installazione di quest'ultimo ed eseguire l'integrazione in una procedura separata. È possibile installare server DNS con file di backup, ovvero server DNS non integrati con Servizi di dominio Active Directory, in qualsiasi computer della rete. È ovviamente necessario tenere presente la topologia della rete e la distribuzione del traffico quando si decide in quali computer distribuire i server DNS.

Nuova funzionalità introdotta da questo ruolo server

Il servizio Server DNS in Windows Server 2008 include numerose funzionalità nuove e migliorate rispetto al corrispondente servizio disponibile nei sistemi operativi Microsoft® Windows NT® Server, Windows 2000 Server e Windows Server® 2003. Tali funzionalità sono descritte nelle sezioni seguenti.

Caricamento delle zone in background

Le organizzazioni con zone di dimensioni particolarmente grandi che archiviano i dati DNS in Servizi di dominio Active Directory rilevano talvolta che l'avvio di un server DNS può richiedere un'ora o più affinché i dati vengano recuperati dal servizio directory. Ne consegue che il server DNS non è disponibile per servire le richieste dei client per tutto il tempo necessario a caricare le zone basate su Servizi di dominio Active Directory.

I server DNS che eseguono Windows Server 2008 consentono ora il caricamento dei dati delle zone da Servizi di dominio Active Directory in background durante il riavvio, in modo che possano rispondere alla richieste di dati di altre zone. All'avvio del server DNS avviene quanto segue:

  • Vengono enumerate tutte le zone da caricare.

  • Vengono caricati i parametri radice dei file o dell'archivio di Servizi di dominio Active Directory.

  • Vengono caricate tutte le zone con file di backup, le zone archiviate in file diversi da quelli di Servizi di dominio Active Directory.

  • Vengono inviate risposte alle query e alle chiamate RPC.

  • Vengono creati uno o più thread di caricamento delle zone archiviate in Servizi di dominio Active Directory.

Poiché l'attività di caricamento delle zone viene eseguita da thread separati, il server DNS è in grado di rispondere a query mentre il processo di caricamento è in corso. Se un client DNS richiede dati relativi a un host di una zona non ancora caricata, il server DNS risponde con i dati, oppure con una risposta negativa, come previsto. Se la richiesta è relativa a un nodo non ancora caricato in memoria, il server DNS legge i dati del nodo da Servizi di dominio Active Directory e aggiorna l'elenco di record del nodo di conseguenza.

Perché questa funzionalità è importante

Il server DNS può utilizzare il caricamento in background delle zone per iniziare a rispondere alle query quasi immediatamente dopo il riavvio, invece di attendere il completamento del caricamento. Il server DNS può rispondere alle query relative a nodi caricati o recuperabili da Servizi di dominio Active Directory. Questa funzionalità offre inoltre un altro vantaggio quando i dati della zona vengono archiviati in Servizi di dominio Active Directory invece che in un file: è infatti possibile accedere a Servizi di dominio Active Directory in modo asincrono e immediatamente alla ricezione di una query, mentre è possibile accedere ai dati delle zone basati su file solo tramite una lettura sequenziale del file.

Supporto degli indirizzi IPv6

Il protocollo Internet versione 6 (IPv6) specifica indirizzi con una lunghezza di 128 bit, diversamente dagli indirizzi IPv4 che hanno una lunghezza di 32 bit. Questa maggiore lunghezza consente un numero molto più elevato di indirizzi globalmente univoci, necessari per supportare l'enorme crescita di Internet a livello mondiale.

I server DNS che eseguono Windows Server 2008 offrono ora supporto completo per gli indirizzi IPv6 come per quelli IPv4. Nello snap-in DNS ad esempio gli indirizzi digitati o visualizzati possono essere sia IPv4 sia IPv6. Lo strumento da riga di comando dnscmd accetta inoltre indirizzi in entrambi i formati. I server DNS possono ora inviare query ricorsive su server solo IPv6 e l'elenco dei server di inoltro può contenere sia indirizzi IPv4 che IPv6. I client DHCP possono inoltre registrare indirizzi IPv6 oltre a, o invece di indirizzi IPv4. Infine, i server DNS supportano ora lo spazio dei nomi del dominio ip6.arpa per il mapping inverso.

Perché questa funzionalità è importante

Il protocollo per la gestione degli indirizzi IPv6 è una tecnologia emergente come importante fattore di crescita di Internet. Il supporto di IPv6 in Windows Server 2008 garantisce che i server DNS saranno in grado di supportare i client DNS attuali e futuri progettati per sfruttare i vantaggi degli indirizzi IPv6.

Come preparare il cambiamento

Poiché i server DNS possono ora restituire record di risorse di host IPv4 (A) e di host IPv6 (AAA) in risposta alle query, accertarsi che il software dei client DNS nella rete sia in grado di gestire tali risposte in modo appropriato. Potrebbe essere necessario aggiornare o sostituire il software client DNS meno recente per garantire la compatibilità con questa modifica.

Supporto di controller di dominio di sola lettura

In Windows Server 2008 viene introdotto un nuovo tipo di controller di dominio, ovvero i controller di dominio di sola lettura. I controller di dominio di sola lettura rappresentano in pratica una copia shadow di un controller di dominio, la quale non può essere configurata direttamente, risultando quindi meno vulnerabile a eventuali attacchi. È possibile installare i controller di dominio di sola lettura laddove non è possibile garantire protezione fisica adeguata per il controller di dominio.

Per supportare i controller di dominio di sola lettura, il server DNS in Windows Server 2008 supporta un nuovo tipo di zona, ovvero la zona di sola lettura primaria, a volte indicata anche come zona succursale. Quando un computer viene designato come controller di dominio di sola lettura, esso replica una copia completa di sola lettura di tutte le partizioni di directory applicative utilizzate da DNS; incluse la partizione di dominio e le zone ForestDNSZones e DomainDNSZones. Ciò garantisce che il server DNS in esecuzione nel controller di dominio di sola lettura disponga di una copia di sola lettura di tutte le zone DNS archiviate in un controller di dominio centralizzato in tali partizioni di directory. L'amministratore di un controller di dominio di sola lettura può visualizzare i contenuti di una zona di sola lettura primaria. Tali contenuti possono essere modificati dall'amministratore solo modificando la zona nel controller di dominio centralizzato.

Perché questa funzionalità è importante

Servizi di dominio Active Directory si basa su DNS per offrire servizi di risoluzione dei nomi ai client di rete. Le modifiche apportate al server Server DNS sono necessarie per supportare Servizi di dominio Active Directory in un controller di dominio di sola lettura.

Zona GlobalNames

La maggior parte dei clienti Microsoft distribuisce nelle proprie reti WINS. In quanto protocollo per la risoluzione dei nomi, WINS viene spesso utilizzato come protocollo secondario insieme a DNS. WINS è un protocollo meno recente che utilizza NetBIOS su TCP/IP (NetBT). Risulta pertanto obsoleto in molte situazioni. Tuttavia esso continua a essere utilizzato dalle organizzazioni poiché ne apprezzano i record globali statici con nomi con etichetta singola.

Per consentire alle organizzazioni di passare a un ambiente che utilizza solo DNS (o allo scopo di offrire i vantaggi dei nomi globali con etichetta singola alle reti che dispongono solo di DNS), il servizio Server DNS in Windows Server 2008 supporta ora una zona denominata GlobalNames contenente nomi con etichetta singola. In genere, l'ambito di replica di questa zona corrisponde all'intera foresta, il che garantisce l'estensione dei vantaggi dei nomi univoci con etichetta singola in tutta la foresta. La zona GlobalNames è inoltre in grado di supportare la risoluzione dei nomi con etichetta singola all'interno di un'organizzazione contenente più foreste se si utilizzano i record di risorse Posizione servizio (SRV) per pubblicare l'indirizzo della zona GlobalNames.

A differenza di WINS, la zona GlobalNames è progettata per offrire risoluzione dei nomi con etichetta singola per un insieme limitato di nomi host, in genere i server aziendali e i siti Web gestiti in modo centralizzato. La zona GlobalNames non è destinata all'utilizzo per la risoluzione dei nomi peer-to-peer, ad esempio la risoluzione dei nomi per workstation e aggiornamenti dinamici nella zona GlobalNames non è supportata. Al contrario, la zona GlobalNames viene in genere utilizzata per contenere i record di risorse CNAME per il mapping di un nome con etichetta singola a un nome di dominio completo (FQDN). Nelle reti che attualmente utilizzano WINS; la zona GlobalNames contiene in genere record di risorse per nomi gestiti IT già configurati in modo statico in WINS.

Quando si distribuisce la zona GlobalNames, la risoluzione dei nomi con etichetta singola da parte dei client funziona nel modo seguente:

  1. Il suffisso DNS primario del client viene aggiunto al nome con etichetta singola e la query viene inviata al server DNS.

  2. Se il nome FQDN non viene risolto, il client richiede la risoluzione mediante i propri elenchi di ricerca dei suffissi DNS, ad esempio quelli specificati mediante Criteri di gruppo, se disponibili.

  3. Se nessuno dei nomi viene risolto, il client richiede la risoluzione mediante il nome con etichetta singola.

  4. Se il nome con etichetta singola è presente nella zona GlobalNames, il server DNS che ospita la zona risolve il nome. In caso contrario, la query passa a WINS.

Non è necessario apportare alcuna modifica al software dei client per consentire i nomi con etichetta singola con questa funzionalità.

La zona GlobalNames offre risoluzione dei nomi con etichetta singola solo se tutti i server DNS autorevoli eseguono Windows Server 2008. Tuttavia, altri server DNS; ovvero server non autorevoli per qualsiasi zona, possono eseguire altri sistemi operativi. La zona GlobalNames deve ovviamente essere l'unica zona con tale nome nella foresta.

Per offrire prestazioni e scalabilità ottimali, è consigliabile integrare la zona GlobalNames con Servizi di dominio Active Directory e accertarsi che ogni server DNS autorevole sia configurato con una copia locale di tale zona. L'integrazione della zona GlobalNames con Servizi di dominio Active Directory è necessaria per supportare la distribuzione della zona tra più foreste.

Elenco globale delle query da bloccare

La maggior parte delle reti TCP/IP supporta la funzionalità di aggiornamento dinamico del DNS poiché questa funzionalità è pratica sia per gli amministratori di rete che per gli utenti. L'aggiornamento dinamico consente ai computer client DNS di registrarsi e aggiornare in modo dinamico i record di risorse con un server DNS ogni volta che l'indirizzo di rete o il nome host di un client viene modificato. In questo modo, si riduce la necessità di gestione manuale dei record di zona, specialmente per i client che cambiano posizione spesso o la cui sede viene trasferita di frequente e che utilizzano DHCP per ottenere un indirizzo IP. Tale praticità, tuttavia, comporta un costo. Un client autorizzato, infatti, può registrare qualsiasi nome host, anche un nome host particolarmente significativo per alcune applicazioni. Per tale motivo un utente malintenzionato può essere in grado di assumere il controllo di un nome speciale, dirottando alcuni tipi di traffico di rete verso il proprio computer.

A questo tipo di controllo sono particolarmente vulnerabili due protocolli comunemente distribuiti: WPAD (Web Proxy Auto-Discovery Protocol) e ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Anche se questi protocolli non sono distribuiti in una rete, i client configurati per l'utilizzo di questi sono vulnerabili al dirottamento, poiché questo è reso possibile dall'aggiornamento dinamico del DNS. Per evitare questo inconveniente, il ruolo server DNS in Windows Server 2008 include un elenco globale delle query da bloccare che consente di evitare il dirottamento dei nomi DNS con un significato speciale da parte di utenti malintenzionati.

Nella configurazione predefinita, il servizio Server DNS di Windows Server 2008 esegue la gestione di un elenco di nomi da ignorare in caso di ricezione di una query per la risoluzione di uno di tali nomi in una zona per la quale il server è autorevole. A tale scopo, il servizio Server DNS controlla innanzitutto le query nell'elenco. Se la parte più a sinistra del nome corrisponde a una voce dell'elenco, il servizio Server DNS risponde alla query che non esiste alcun record di risorse, anche se per quel nome esiste un host (A) o un host (AAAA) all'interno della zona. In tale modo, anche se un host (A) o un host (AAAA) esiste all'interno della zona a causa della registrazione mediante aggiornamento dinamico di un host con un nome bloccato, il nome non viene risolto dal servizio Server DNS. Il contenuto iniziale dell'elenco delle query da bloccare è diverso se i protocolli WPAD o ISATAP sono già distribuiti al momento dell'aggiunta del ruolo Server DNS a una distribuzione di Windows Server 2008 esistente o dell'aggiornamento di una versione precedente di Windows Server che esegue il servizio Server DNS. Utilizzando lo strumento da riga di comando dnscmd, inoltre, è possibile aggiungere o rimuovere una o più voci dall'elenco o disattivare l'imposizione dell'elenco stesso. In tutti i server DNS autorevoli per una zona deve essere in esecuzione Windows Server 2008. Per garantire risposte coerenti ai client che richiedono la risoluzione di nomi presenti nell'elenco dei nomi bloccati, è necessario che in tutti i server DNS autorevoli per una zona sia presente lo stesso elenco.

Modifiche ai client DNS

Sebbene non si tratti di una conseguenza diretta delle modifiche apportate al DNS per il ruolo Server DNS, in Windows Vista® e Windows Server 2008 sono state introdotte funzionalità aggiuntive al software client DNS. Queste modifiche sono descritte nelle sezioni seguenti.

LLMNR

I computer client DNS possono utilizzare la risoluzione LLMNR, nota anche come DNS multicast o mDNS; per risolvere nomi in un segmento della rete locale quando non è disponibile un server DNS. Se ad esempio un router non funziona e quindi disconnette una subnet da tutti i server DNS della rete, i client della subnet che supportano LLMNR possono continuare a risolvere i nomi su base peer-to-peer finché non viene ripristinata la connessione di rete.

Oltre a offrire risoluzione dei nomi in caso di errore di rete, LLMNR può inoltre risultare utile per stabilire reti ad hoc peer-to-peer, ad esempio nella sala d'attesa di un aeroporto.

Modifiche apportate alle modalità di individuazione dei controller di dominio da parte dei client

In rare circostanze, la modalità di individuazione dei controller di dominio da parte dei client DNS può influire negativamente sulle prestazioni della rete:

  • Il componente DC Locator di un computer client che esegue Microsoft Windows Vista o Windows Server 2008 esegue periodicamente la ricerca dei controller di dominio nel dominio a cui appartiene. Questa funzionalità consente di evitare problemi di prestazioni che potrebbero verificarsi quando un client individua il controller di dominio durante un periodo di guasto della rete, causando l'associazione del client con un controller di dominio distante in un collegamento lento. Nelle versioni precedenti, tale associazione viene mantenuta finché non viene imposto al client di cercare un nuovo controller di dominio, ad esempio quando il computer client viene disconnesso dalla rete per un periodo di tempo prolungato. Rinnovando periodicamente la propria associazione a un controller di dominio, un client può ora ridurre la probabilità di essere associato a un controller di dominio inappropriato.

  • I computer client che eseguono Microsoft Windows Vista o Windows Server 2008 possono essere configurati (a livello di programmazione, con un'impostazione del Registro di sistema o mediante Criteri di gruppo) in modo da individuare il controller di dominio più vicino anziché eseguire una ricerca casuale. Questa funzionalità consente di migliorare le prestazioni in reti contenenti domini su collegamenti lenti. Poiché l'individuazione del controller di dominio più vicino può essa stessa influire negativamente sulle prestazioni di rete, tale funzionalità non è tuttavia attivata per impostazione predefinita.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft. Tutti i diritti riservati.