Роль DNS-сервера

Обновлено: Январь 2008 г.

Назначение: Windows Server 2008

Служба доменных имен (DNS) – это система именования компьютеров и сетевых служб, организованных в иерархию доменов. Служба DNS используется в сетях TCP/IP (например в Интернете) для нахождения компьютеров и служб по понятным человеку именам.

Чтобы облегчить использование сетевых ресурсов, системы именования, такие как DNS, предоставляют способ сопоставления понятного имени компьютера или службы с другими сведениями, связанными с этим именем, такими как IP-адрес. Понятное имя легче запомнить, чем численные адреса, используемые компьютерами при взаимодействии через сеть. Большинство людей предпочитают использовать для нахождения почтового сервера или веб-сервера в сети понятные имена, например sales.fabrikam.com, а не IP-адрес, такой как 157.60.0.1. Когда пользователь вводит в приложении понятное DNS-имя, службы DNS разрешают имя в соответствующий ему численный адрес.

Предназначение DNS-сервера

DNS-сервер обеспечивает разрешение имен в сетях, основанных на протоколах TCP/IP. Иначе говоря, он позволяет пользователям клиентских компьютеров применять для идентификации удаленных узлов имена, а не численные IP-адреса. Клиентский компьютер при этом отправляет имя удаленного узла DNS-серверу, а тот возвращает компьютеру соответствующий IP-адрес. После этого клиентский компьютер может отправлять сообщения непосредственно на IP-адрес удаленного узла. Если в базе данных DNS-сервера нет записи, соответствующей удаленному узлу, он может возвратить клиенту адрес DNS-сервера, у которого, возможно, есть сведения об этом удаленном узле, или самостоятельно запросить эти сведения у другого DNS-сервера. Данный процесс может выполняться рекурсивно до тех пор, пока клиентский компьютер не получит необходимый ему IP-адрес или пока не выяснится, что указанное имя не относится к узлу в определенном пространстве имен DNS.

DNS-сервер в Windows Server® 2008 соответствует спецификациям RFC, которые определяют и стандартизируют протокол DNS. Так как служба DNS-сервера соответствует спецификациям RFC и может использовать стандартные форматы файлов данных DNS и записей ресурсов, она может работать с другими реализациями DNS-серверов, такими как серверы, использующие программное обеспечение BIND.

Кроме того, DNS-сервер в Windows Server 2008 обеспечивает в сетях Windows® преимущества, указанные ниже.

  • Поддержка доменных служб Active Directory

    Служба DNS необходима для поддержки доменных служб Active Directory. При установке роли доменных служб Active Directory на сервере можно автоматически установить и настроить DNS-сервер, если не удается найти DNS-сервер, соответствующий требованиям доменных служб Active Directory.

    Зоны DNS могут храниться в разделах каталога домена или приложений, принадлежащих доменным службам Active Directory. Раздел – это контейнер данных в доменных службах Active Directory, в котором данные разделяются в соответствии с различными целями репликации. Можно указать, в каком разделе Active Directory будет храниться зона и, соответственно, набор контроллеров домена, между которыми будут реплицироваться данные этой зоны.

    Службу DNS-сервера Windows Server 2008 настоятельно рекомендуется использовать в большинстве случаев для обеспечения наилучшей интеграции и поддержки доменных служб Active Directory и расширенных возможностей DNS-сервера. Однако можно использовать и другой тип DNS-сервера для поддержки развертывания доменных служб Active Directory.

  • Зона-заглушка

    Служба DNS под управлением Windows Server 2008 поддерживает тип зоны, которая называется зоной-заглушкой. Зона-заглушка – это копия зоны, которая содержит только те записи ресурсов, которые необходимы для идентификации полномочных DNS-серверов этой зоны. Зона-заглушка информирует DNS-сервер, на котором размещена родительская зона, о полномочных DNS-серверах для ее дочерней зоны. Это помогает поддерживать высокую эффективность разрешения имен DNS.

  • Интеграция с другими сетевыми службами корпорации Майкрософт

    Служба DNS-сервера предоставляет возможность интеграции с другими службами и обеспечивает более широкие возможности в сравнении с функциями, определенными в спецификациях RFC по DNS. Эти возможности включают интеграцию с другими службами, такими как доменные службы Active Directory, служба WINS и протокол DHCP.

  • Упрощенное администрирование

    Оснастка DNS в консоли управления (MMC) предоставляет улучшенный графический пользовательский интерфейс для управления службой DNS-сервера. Также имеется несколько мастеров настройки для выполнения обычных задач администрирования сервера. Кроме консоли DNS предоставляются другие средства, помогающие управлять DNS-серверами и клиентами в сети и поддерживать их.

  • Поддержка протокола динамического обновления, совместимого со стандартами RFC

    Клиенты могут использовать службу DNS-сервера для динамического обновления записей ресурсов на основе протокола динамического обновления (документ RFC 2136). Это способствует улучшению администрирования DNS за счет сокращения времени, необходимого для управления этими записями вручную. Компьютеры, на которых работает служба DNS-клиента, могут динамически регистрировать свои DNS-имена и IP-адреса. Кроме того, службу DNS-сервера и DNS-клиенты можно настроить для выполнения безопасных динамических обновлений, что позволяет обновлять записи ресурсов на сервере только пользователям, прошедшим проверку подлинности и имеющим необходимые для этого права. Безопасные динамические обновления доступны только для зон, интегрированных с доменными службами Active Directory.

  • Поддержка добавочных передач зоны между серверами

    При передаче зоны сведения о части пространства имен DNS реплицируются между DNS-серверами. При добавочной передаче зоны реплицируются только измененные части зоны, что обеспечивает экономию пропускной способности сети.

  • Серверы условной пересылки

    Служба DNS-сервера расширяет стандартную конфигурацию серверов пересылки серверами условной пересылки. Сервер условной пересылки – это DNS-сервер в сети, который пересылает DNS-запросы в соответствии с DNS-именем домена в запросе. Например, можно настроить DNS-сервер для пересылки всех получаемых им запросов, которые заканчиваются на sales.fabrikam.com, на IP-адрес определенного DNS-сервера или IP-адреса нескольких DNS-серверов.

Кого может заинтересовать эта роль сервера?

Для правильной работы всем сетям TCP/IP кроме самых простых необходим доступ к одному или нескольким DNS-серверам. Без службы разрешения имен и других служб, предоставляемых DNS-серверами, получать доступ к удаленным компьютерам клиентам было бы слишком сложно. Например, без доступа к DNS-серверу практически невозможным оказался бы просмотр веб-страниц: в подавляющем большинстве гиперссылок в Интернете используются не IP-адреса, а DNS-имена узлов Интернета. Это же относится к интрасетям, так как пользователи редко знают IP-адреса компьютеров в локальной сети.

Развертывание службы DNS-сервера в ОС Windows Server 2008 может оказаться полезным, если сеть содержит какие-либо из следующих элементов:

  • компьютеры, присоединенные к домену;

  • клиентские компьютеры DHCP с ОС Windows;

  • компьютеры, подключенные к Интернету;

  • филиалы или домены, расположенные в глобальной сети.

Некоторые дополнительные особенности

Если требуется интегрировать службу DNS-сервера с доменными службами Active Directory, можно установить ее одновременно с доменными службами Active Directory или установить ее после, а затем интегрировать с ними в ходе отдельной операции. DNS-серверы с файловой поддержкой (DNS-серверы, не интегрированные с доменными службами Active Directory) можно устанавливать на любых компьютерах в сети. Конечно, при принятии решения по поводу мест развертывания DNS-серверов необходимо принять во внимание топологию сети и распределение трафика.

Новые возможности данной роли сервера

Служба DNS-сервера в системе Windows Server 2008 включает ряд новых и улучшенных возможностей в сравнении со службой DNS-сервера, доступной в операционных системах Microsoft® Windows NT® Server, Windows 2000 Server и Windows Server® 2003. Эти возможности описаны в приведенных ниже подразделах.

Фоновая загрузка зон

В очень крупных организациях с крайне большими зонами, использующих для хранения данных DNS доменные службы Active Directory, перезапуск DNS-сервера может длиться час или более, пока данные DNS извлекаются из службы каталогов. При этом DNS-сервер недоступен для обслуживания клиентских запросов все время, пока длится загрузка зон доменных служб Active Directory.

DNS-сервер с ОС Windows Server 2008 теперь во время перезагрузки загружает данные зоны из доменных служб Active Directory в фоновом режиме, благодаря чему может при этом обрабатывать запросы данных из других зон. При запуске DNS-сервера выполняются следующие действия:

  • определяются все зоны, которые должны быть загружены;

  • из файлов или хранилища доменных служб Active Directory загружаются корневые ссылки;

  • загружаются все зоны с файловой поддержкой, то есть зоны, хранящиеся в файлах, а не в доменных службах Active Directory;

  • начинается обработка запросов и удаленных вызовов процедур (RPC);

  • создаются один или несколько потоков для загрузки зон, хранящихся в доменных службах Active Directory.

Поскольку задача загрузки зон выполняется отдельными потоками, DNS-сервер может обрабатывать запросы во время загрузки зоны. Если DNS-клиент запрашивает данные для узла в зоне, который уже загружен, DNS-сервер отправляет в ответ данные (или, если это уместно, отрицательный ответ). Если запрос выполняется для узла, который еще не загружен в память, DNS-сервер считывает данные узла из доменных служб Active Directory и обновляет соответствующим образом список записей узла.

Значение этой возможности

DNS-сервер может использовать загрузку зон в фоновом режиме, чтобы начать отвечать на запросы почти сразу же после запуска, не ожидая полной загрузки зон. DNS-сервер может отвечать на запросы для узлов, которые были загружены им или могут быть извлечены из доменных служб Active Directory. Эта возможность обеспечивает также другое преимущество, если данные зоны хранятся в доменных службах Active Directory, а не в файле: при получении запроса доступ к доменным службам Active Directory можно осуществить асинхронно и немедленно, тогда как доступ к данным зоны с файловой поддержкой возможен только путем последовательного чтения файла.

Поддержка IPv6-адресов

Протокол Интернета версии 6 (IPv6) определяет адреса, длина которых составляет 128 бит, в отличие от адресов IP версии 4 (IPv4), длина которых составляет 32 бита. Увеличенная длина позволяет создать гораздо больше глобальных уникальных адресов, необходимость в которых возникает из-за лавинообразного роста Интернета по всему миру.

DNS-серверы с ОС Windows Server 2008 теперь полностью поддерживают как IPv4-адреса, так и IPv6-адреса. Например, в оснастке DNS при вводе или отображении IP-адреса он может быть представлен в форме IPv4-адреса или IPv6-адреса. Средство командной строки dnscmd также принимает адреса в обоих форматах. Кроме того, DNS-серверы теперь могут отправлять рекурсивные запросы только серверам IPv6, а список серверов пересылки может содержать и IPv4-адреса, и IPv6-адреса. DHCP-клиенты также могут регистрировать IPv6-адреса наряду с IPv4-адресами (или вместо них). Наконец, DNS-серверы теперь поддерживают пространство имен домена ip6.arpa для обратного сопоставления.

Значение этой возможности

Усовершенствование протокола адресации IPv6 является важным фактором развития Интернета. Поддержка IPv6-адресов в системе Windows Server 2008 гарантирует, что DNS-серверы смогут обеспечить поддержку нынешних и будущих DNS-клиентов, использующих преимущества IPv6-адресов.

Подготовка к данному изменению

Так как DNS-серверы могут возвращать в ответ на запросы записи ресурсов узлов IPv4 (A) и записи ресурсов узлов IPv6 (AAAA), убедитесь в том, что клиентское программное обеспечение DNS в сети может правильно обрабатывать такие ответы. Возможно, для адаптации к этому изменению придется обновить или заменить старое клиентское программное обеспечение DNS.

Поддержка контроллеров домена только для чтения

В Windows Server 2008 предусмотрен новый тип контроллера домена – контроллер домена только для чтения. Контроллер домена только для чтения является по сути теневой копией контроллера домена, которую нельзя настраивать непосредственно. Это делает его менее уязвимым для атак. Контроллеры домена только для чтения можно установить там, где невозможно гарантировать физическую безопасность контроллера домена.

Для обеспечения поддержки контроллеров домена только для чтения DNS-сервер с ОС Windows Server 2008 поддерживает новый тип зоны – основную зону только для чтения (также иногда называемую зоной филиалов). Когда компьютер становится контроллером домена только для чтения, он реплицирует полную копию, поддерживающую только чтение, всех разделов каталога приложений, используемых службой DNS, включая раздел домена, а также разделы ForestDNSZones и DomainDNSZones. Это гарантирует, что на DNS-сервере, выполняемом на контроллере домена только для чтения, будет полная копия, поддерживающая только чтение, любых зон DNS, хранимых на центральном контроллере домена в этих разделах каталога. Администратор контроллера домена только для чтения может просматривать содержимое основной зоны только для чтения, однако он может изменить это содержимое, только изменив зону на центральном контроллере домена.

Значение этой возможности

Для предоставления служб разрешения имен сетевым клиентам в доменных службах Active Directory используется система DNS. Для обеспечения поддержки доменных служб Active Directory на контроллере домена только для чтения необходимо внести изменения в службу DNS-сервера.

Зона GlobalNames

Многие клиенты корпорации Майкрософт развертывают в своих сетях службу WINS. Служба WINS часто используется вместе с DNS как дополнительный протокол разрешения имен. WINS – более старая служба, которая использует NetBIOS через TCP/IP (NetBT). Вероятно, скоро она будет признана устаревшей. Однако организации продолжают использовать службу WINS, так как им необходимы предоставляемые ею статические глобальные записи с однокомпонентными именами.

Чтобы организации могли перейти на использование службы DNS во всей среде (или сделать преимущества глобальных однокомпонентных имен доступными в сетях DNS), в службе DNS-сервера в Windows Server 2008 реализована поддержка зоны GlobalNames для хранения однокомпонентных имен. В типичных сценариях областью репликации этой зоны является весь лес, что гарантирует предоставление уникальных однокомпонентных имен во всем лесу. Кроме того, зона GlobalNames может поддерживать разрешение однокомпонентных имен во всей организации с несколькими лесами при использовании записей ресурсов обнаружения службы (SRV) для публикации расположения зоны GlobalNames.

В отличие от WINS зона GlobalNames используется для разрешения только ограниченного набора однокомпонентных имен, как правило имен корпоративных серверов и веб-узлов, управление которыми осуществляется централизованно. Зона GlobalNames не предназначена для использования с целью однорангового разрешения имен, например разрешения имен рабочих станций. Динамические обновления в зоне GlobalNames не поддерживаются. Вместо этого зона GlobalNames чаще всего используется с целью хранения записей ресурсов CNAME для сопоставления однокомпонентного имени с полным доменным именем (FQDN). В сетях, в которых в настоящее время используется служба WINS, зона GlobalNames обычно содержит записи ресурсов для управляемых имен, которые уже статически настроены в WINS.

Если развернута зона GlobalNames, разрешение однокомпонентных имен выполняется клиентами следующим образом:

  1. к однокомпонентному имени присоединяется основной DNS-суффикс клиента, и запрос передается DNS-серверу;

  2. если полное доменное имя не удается разрешить, клиент запрашивает разрешение с использованием своих списков просмотра DNS-суффиксов (например тех, что указаны в групповой политике), если таковые имеются;

  3. если никакое из этих имен не удается разрешить, клиент запрашивает разрешение с использованием однокомпонентного имени;

  4. если однокомпонентное имя относится к зоне GlobalNames, DNS-сервер, на котором размещена эта зона, выполняет разрешение имени. В противном случае запрос передается службе WINS.

Для включения поддержки однокомпонентных имен с помощью этой функции вносить какие-либо изменения в программное обеспечение не требуется.

Зона GlobalNames обеспечивает разрешение однокомпонентных имен только в том случае, если все полномочные DNS-серверы работают под управлением системы Windows Server 2008. Однако другие DNS-серверы (то есть, серверы, не являющиеся полномочными ни для какой зоны) могут работать под управлением других операционных систем. Разумеется, зона GlobalNames должна быть единственной зоной с таким именем в лесу.

Для обеспечения максимальной производительности и масштабируемости рекомендуется, чтобы зона GlobalNames была интегрирована с доменными службами Active Directory, а каждый полномочный сервер DNS был настроен с локальной копией зоны GlobalNames. Интеграция зоны GlobalNames с доменными службами Active Directory необходима для поддержки развертывания зоны GlobalNames в нескольких лесах.

Изменения DNS-клиента

Дополнительные возможности DNS-клиентов, реализованные в системах Windows Vista® и Windows Server 2008, хотя и не являются непосредственным следствием изменений роли сервера DNS, описаны в приведенных ниже подразделах.

Разрешение имен LLMNR

Клиентские компьютеры DNS могут использовать разрешение имен LLMNR (Link-local Multicast Name Resolution), которое также называют многоадресной системой DNS или mDNS, для разрешения имен в сегменте локальной сети, где недоступен DNS-сервер. Например, при изоляции подсети от всех DNS-серверов в сети из-за сбоя в работе маршрутизатора клиенты в этой подсети, поддерживающие разрешение имен LLMNR, по-прежнему могут разрешать имена с помощью одноранговой схемы до восстановления соединения с сетью.

Кроме разрешения имен в случае сбоя в работе сети функция LLMNR может также оказаться полезной при развертывании одноранговых сетей, например, в залах ожидания аэропортов.

Изменения способов обнаружения контроллеров домена клиентами

В необычных обстоятельствах, описанных ниже, способ обнаружения контроллеров домена DNS-клиентами может сказаться на производительности сети.

  • Клиентский компьютер DNS с ОС Windows Vista или Windows Server 2008 периодически ищет контроллер домена в домене, к которому он относится. Это помогает предотвращать проблемы с производительностью, возможные в том случае, когда DNS-клиент ищет свой контроллер домена во время неработоспособности сети, в результате чего клиент сопоставляется с удаленным контроллером домена, доступным по медленному каналу. Ранее эта связь существовала до тех пор, пока на клиенте принудительно не инициировался поиск нового контроллера домена, например после отключения клиента от сети на длительное время. Периодически обновляя связь с контроллером домена, DNS-клиент теперь может уменьшить вероятность того, что он будет связан с неподходящим контроллером домена.

  • Клиентский компьютер DNS с ОС Windows Vista или Windows Server 2008 можно настроить (программно или с помощью реестра) для поиска ближайшего, а не случайного контроллера домена. Это может повысить производительность сети, содержащей домены, доступные по медленным каналам связи. Однако из-за того, что поиск ближайшего домена сам по себе может отрицательно влиять на производительность сети, эта возможность по умолчанию отключена.

Теги :


Page view tracker