Služba Server DNS je integrována do návrhu a implementace služby AD DS (Active Directory Domain Services). Služba AD DS představuje nástroj pro organizaci, správu a vyhledávání prostředků v síti na úrovni podniku.

Při nasazení serverů DNS (Domain Name System) se službou AD DS zvažte následující skutečnosti:

  • Server DNS je zapotřebí pro vyhledání řadičů domény.

    Služba Přihlašování k síti využívá podporu serveru DNS k registraci řadičů domény v oboru názvů domény DNS.

  • Servery DNS se systémem Windows Server 2003 nebo Windows Server 2008 mohou službu AD DS použít k ukládání a replikaci zón.

    Při integraci zón se službou AD DS lze využívat funkce DNS, jako jsou replikace služby AD DS, zabezpečené dynamické aktualizace a stárnutí a úklid záznamů.

Způsob integrace DNS se službou AD DS

Při instalaci služby AD DS na server povýšíte tento server na roli řadiče domény pro určitou doménu. Během tohoto procesu jste vyzváni k zadání názvu domény DNS pro doménu služby AD DS, ke které se připojujete a pro kterou server povyšujete, a je vám nabídnuta možnost nainstalovat roli Server DNS. Tato možnost se nabízí proto, že k vyhledání tohoto serveru nebo jiných řadičů domény pro členy domény AD DS je zapotřebí server DNS.

Výhody integrace služby AD DS

V sítích, kde je pro podporu služby AD DS nasazen systém DNS, jsou důrazně doporučeny primární zóny s integrovanou adresářovou službou. Tyto zóny poskytují následující výhody:

  • Systém DNS umožňuje replikaci dat s více hlavními servery a vylepšené zabezpečení založené na funkcích služby AD DS.

    Při standardním modelu úložiště zóny jsou aktualizace DNS prováděny na základě modelu aktualizace s jedním hlavním serverem. V tomto modelu je jako primární zdroj pro zónu jmenován jeden autoritativní server DNS. Tento server udržuje hlavní kopii zóny v místním souboru. V tomto modelu představuje primární server zóny jediné stálé místo selhání. Pokud tento server není dostupný, požadavky na aktualizaci od klientů DNS nejsou pro tuto zónu zpracovány.

    Při použití úložiště s integrovanou adresářovou službou jsou dynamické aktualizace DNS odesílány libovolnému serveru DNS s integrovanou službou AD DS a pomocí replikace služby AD DS jsou replikovány na všechny ostatní servery DNS s integrovanou službou AD DS. V tomto modelu může dynamické aktualizace pro zónu přijmout jakýkoli server DNS s integrovanou službou AD DS. Protože hlavní kopie zóny je udržována v databázi služby AD DS, která je plně replikována na všechny řadiče domény, může být zóna aktualizována servery DNS, které jsou provozovány na libovolném řadiči domény pro tuto doménu. Při použití tohoto modelu aktualizace s více hlavními servery, který poskytuje služba AD DS, může požadavky na aktualizaci zóny od klientů DNS zpracovat kterýkoli z primárních serverů pro zónu s integrovanou adresářovou službou, pokud je v síti dostupný některý řadič domény.

    Při použití zón s integrovanou adresářovou službou lze navíc úpravou seznamu řízení přístupu (ACL) zabezpečit kontejner objektu dnsZone v adresářovém stromu. Tato funkce umožňuje podrobně definovat přístup k zóně nebo k určenému záznamu prostředku v zóně. Seznam řízení přístupu pro záznam prostředku zóny může být například omezen tak, aby dynamické aktualizace byly povoleny pouze pro určený klientský počítač nebo skupinu zabezpečení, například pro skupinu Domain Administrators. Tato funkce zabezpečení není při použití standardních primárních zón dostupná.

  • Zóny jsou replikovány a synchronizovány s novými řadiči domény automaticky, kdykoli je nový řadič přidán do domény služby AD DS.

    Ačkoli službu Server DNS lze z řadiče domény selektivně odebrat, jsou zóny s integrovanou adresářovou službou již uloženy ve všech řadičích domény. Úložiště a správa zóny proto nepředstavují dodatečný prostředek. Metody použité k synchronizaci informací ukládaných do adresářové služby navíc nabízejí vyšší výkon oproti standardním metodám aktualizace zóny, které mohou v některých případech vyžadovat přenos celé zóny.

  • Integrace úložiště databází zóny DNS do služby AD DS umožňuje zjednodušit plánování replikace databází v síti.

    Pokud jsou domény služby AD DS a obor názvů DNS uloženy a replikovány samostatně, je nutné plánovat a případně spravovat každou z těchto položek zvlášť. Jestliže například používáte standardní úložiště zóny DNS ve spojení se službou AD DS, musíte navrhnout, implementovat, testovat a udržovat dvě odlišné topologie replikace databází.

    Jedna topologie replikace je zapotřebí pro replikaci adresářových dat mezi řadiči domény a další topologie pro replikaci databází zóny mezi servery DNS. To může zvyšovat nároky na správu při plánování a návrhu sítě a jejím případném rozšiřování. Integrací úložiště DNS lze sjednotit operace související se správou úložišť a replikací jak pro systém DNS, tak pro službu AD DS, takže se pak sloučí a zobrazují jako jedna entita správy.

  • Replikace s integrovanou adresářovou službou je rychlejší a účinnější než standardní replikace DNS.

    Protože se replikace služby AD DS provádí na základě jednotlivých vlastností, jsou rozšiřovány pouze relevantní změny. U zón uložených v adresářové službě se při aktualizacích používá a přenáší menší množství dat.

V adresářové službě mohou být uloženy pouze primární zóny. Server DNS nemůže do adresářové služby ukládat sekundární zóny. Tyto zóny musí být uloženy ve standardních textových souborech. Při použití modelu replikace s více hlavními servery, který poskytuje služba AD DS, nejsou zapotřebí sekundární zóny, pokud jsou všechny zóny uloženy ve službě AD DS.

Další informace o konfiguraci DNS pro integraci se službou AD DS naleznete v tématech Konfigurace serveru DNS pro spolupráci se službou AD DS (Active Directory Domain Services) a Kontrolní seznam: Přidání řadiče domény se službou Server DNS.

Obsah