Windows Server 2003 DNS 新功能應用
本頁內容
前言
條件轉寄站
虛設常式區域
Active Directory 中的 DNS 區域複寫
前言
DNS「網域名稱系統 (Domain Name System)」是在 1984 年所發表的Internet標準。DNS 命名是在 TCP/IP 網路中使用,提供使用者使用好記的名稱來記憶網路資源,以符合人性化需求。例如當使用者在應用程式中輸入 DNS 名稱時,DNS 服務便可以將此名稱解析到與此名稱相關的 IP 位址或其他資訊。
Active Directory 服務的運作需要使用 DNS 作為一種定位程式服務,以提供 Active Directory 網域、網站及服務名稱解析成 IP 位址。例如使用者若要登入 Active Directory 網域時,Active Directory 用戶端會向它們設定的 DNS 伺服器,查詢在指定網域的網域控制站上執行之 LDAP 服務的 IP 位址。另外 Active Directory 與 DNS 的整合還包括:Active Directory 與 DNS 具有相同的階層式結構,並可將 DNS 區域存放在 Active Directory 中。
Microsoft Windows Server 2003 DNS 服務,提供許多新功能以改善名稱解析的效率,分別如下說明。
條件轉寄站
在預設的情況下,當 DNS 伺服器接受 DNS 用戶端遞迴查詢要求時,會先查詢本機快取與區域資料庫。當本機無法解析查詢時,接下來會依據根提示使用反覆查詢以進一步解析該查詢要求。如果 DNS 伺服器有設定轉寄站時,當 DNS 伺服器接受 DNS 用戶端遞迴查詢要求,而在本機區域與快取無法解析時,可直接向指定的轉寄站要求使用遞迴查詢。
.gif "設定轉寄站名稱解析程序")
圖 1:設定轉寄站名稱解析程序
例如在圖1中,HB 公司的 Intranet 分佈在台北總公司與台中、高雄分公司,並藉由台北總公司連線到 Internet。在台中有 DNS 伺服器 NS5,高雄有 NS10,這二部 DNS 伺服器皆設定轉寄站到台北總公司的 DNS 伺服器 NS1。此時當台中的使用者存取 Internet 的 www.taipei.gov.tw 資源時,這個存取名稱解析過程如下說明:
當 NS5 本機無法解析查詢時,會使用遞迴查詢轉寄詢問到指定轉寄站 NS1。
NS1 接收來自 NS5 遞迴查詢要求,會先查詢本機區域與快取,若無法解析查詢時,會依據根提示從根伺服器開始使用反覆查詢。
最後由 taipei.gov.tw 授權伺服器,回答此名稱所對應 IP 位址是 211.23.74.59 給 NS1。
NS1 會將此查詢結果記錄在快取資料中,並回應給 NS5。
當高雄的使用者也須存取相同資源時,NS10 依據指定的轉寄站轉寄到 NS1。
此時因 NS1 有上一次相同的查詢結果,所以可藉由快取資料快速地回應給 NS10。
因為條件轉寄站是 Windows Server 2003 的新功能,與傳統轉寄站的差別是傳統的轉寄是將所有查詢全部轉寄到某一個轉寄站上,而條件轉寄站可依據不同的 DNS 網域條件,轉寄到不同的 DNS 伺服器,提供不同的 DNS 網域名稱查詢的捷徑參考,如此可改善特定網域名稱解析的效率與網路流量。
例如圖2,在 DNS 伺服器 HB-NS 如果要查詢 hx.com.tw 的網域名稱,且快取中尚未有資料時,在預設的情況下須經由 ".gif "Dd180734.dns02(zh-tw,TechNet.10).gif")
" → " tw." → "com.tw." → "hx.com.tw."等反覆查詢路徑。但如果在 HB-NS 設定 hx.com.tw 條件轉寄站到 131.107.1.10,當需要查詢該網域名稱時,既可藉由條件轉寄站的設定直接查詢該網域授權伺服器,相反的如果在 HX-NS 也經常需要查詢 hb.com.tw 的網域名稱,可以在 HX-NS 設定條件轉寄站到 200.1.1.10。
.gif "條件轉寄站")
圖 2:條件轉寄站
條件轉寄站可用來改善內部網路或網際網路名稱解析,不需要查詢它們的內部根伺服器或 Internet 根伺服器,這就好比在特定網域設定查詢捷徑一般。
虛設常式區域
在 Windows Server 2003 DNS 支援一種新區域,稱為虛設常式區域。此區域僅提供區域授權伺服器資訊(NS 與 A 資源記錄),而此資訊來源是藉由指定的 Master Server 經由區域轉送複寫而來,複寫資料僅包含區域 SOA、NS 與對應 A 資源記錄。
提供虛設常式區域的 DNS 名稱伺服器,並不是屬於區域授權伺服器,一般可應用在新增虛設常式區域取代新增委派,如此可減少上層區域手動維護子區域授權伺服器 NS 與 A 資源記錄的困擾,如圖3。
因大部份的情況下,上層區域與子區域是由不同的管理者負責,若是使用新增委派的方式,需在上層區域內手動維護負責子區域所有授權伺服器 NS 與 A 記錄。如果在上層區域使用新增虛設常式區域的方式,可藉由區域轉送自動的更新維護子區域授權伺服器 NS 與 A 資源記錄。
.gif "虛設常式區域")
圖 3:虛設常式區域
Active Directory 中的 DNS 區域複寫
DNS 可將 DNS 網域名稱區 ﹙Domain Namespace﹚ 分割成區域 ﹙Zone﹚,每個區域都會存放 DNS 網域的相關資訊。對包含在區域中的每個 DNS 網域名稱來說,該區域會變成網域資訊的授權來源。
如果當 DNS 伺服器同時也是 Active Directory 網域控制站操作時,可有 2 個選項可用來存放及複寫區域:
標準區域存放,使用文字檔案。
目錄整合區域存放,使用 Active Directory 資料庫。
目錄整合區域存放提供許多優點,包括﹕
可依據多重主﹙Multimaster﹚更新模式來執行 DNS 的動態更新。
只允許指定的用戶端電腦或安全性群組的動態更新,並可編輯存取控制清單 (ACL) 來保護區域資源記錄 (RR)。
藉由網域控制站之間的 Active Directory 複寫可取代標準區域的區域轉送 (Zone Transfer)。
在 Windows Server 2003 的 Active Directory 整合 DNS 區域資料,可進一步選擇存放在網域或 Active Directory 的應用程式目錄磁碟分割中,提供彈性複寫領域的選擇,可選擇的複寫領域如下︰
Active Directory 樹系中所有的 DNS 伺服器:
將區域資料複寫到 Active Directory 樹系中,所有的網域控制站上正在執行中的 DNS 伺服器上。Active Directory 網域中所有的 DNS 伺服器:
將區域資料複寫到 Active Directory 網域中,所有的網域控制站上正在執行中的 DNS 伺服器上。Active Directory 網域中所有的網域控制站:
將區域資料複寫到 Active Directory 網域中所有的網域控制站上。指定應用程式目錄磁碟分割中所有的網域控制站:
可根據指定的應用程式目錄磁碟分割來決定複寫區域資料的領域。
選擇 Active Directory 整合 DNS 區域資料的複寫選項﹙如圖4﹚複寫的領域以及造成的網路流量的影響,當複寫的領域愈廣時,所造成的網路流量就會更大。
.gif "虛設常式區域")
圖 4:虛設常式區域