De DNS Server-service is geïntegreerd in het ontwerp en de implementatie van AD DS (Active Directory Domain Services). AD DS is een hulpmiddel op ondernemingsniveau voor het organiseren, beheren en opzoeken van bronnen in een netwerk.

Wanneer u DNS-servers (Domain Name System) met AD DS implementeert, dient u rekening te houden met de volgende punten:

  • Voor het opzoeken van domeincontrollers is DNS nodig.

    De Net Logon-service gebruikt DNS-serverondersteuning om te voorzien in de registratie van domeincontrollers in uw DNS-domeinnaamruimte.

  • DNS-servers met Windows Server 2003 of Windows Server 2008 kunnen AD DS gebruiken om uw zones op te slaan en te repliceren.

    Door uw zones te integreren met AD DS kunt u profijt trekken van DNS-functies zoals AD DS-replicatie, beveiligde dynamische updates en de veroudering en opruiming van records.

De manier waarop DNS in AD DS wordt geïntegreerd

Wanneer u AD DS op een server installeert, promoveert u de server tot domeincontroller voor een opgegeven domein. Tijdens dit proces wordt u gevraagd een DNS-domeinnaam op te geven voor het AD DS-domein waarvan u lid wordt en waarvoor u de server promoveert, en krijgt u de mogelijkheid de rol van DNS-server te installeren. Deze mogelijkheid wordt verschaft omdat een DNS-server nodig is om deze server of andere domeincontrollers voor leden van een AD DS-domein op te zoeken.

Voordelen van integratie in AD DS

Voor netwerken die DNS implementeren ter ondersteuning van AD DS, kunt u het best met AD DS geïntegreerde primaire zones gebruiken. Hieraan zijn de volgende voordelen verbonden:

  • DNS biedt multimaster-gegevensreplicatie en verbeterde beveiliging op basis van de mogelijkheden van AD DS.

    In een standaardmodel voor zoneopslag worden DNS-updates uitgevoerd op basis van een single-master-updatemodel. In dit model wordt één DNS-server die als autoriteit voor de zone optreedt, aangewezen als primaire bron voor de zone. Deze server onderhoudt de hoofdkopie van de zone in een lokaal bestand. In dit model vertegenwoordigt de primaire server voor de zone een potentieel risico. Als deze server niet beschikbaar is, worden updateaanvragen van DNS-clients voor de zone niet verwerkt.

    Wanneer opslag is geïntegreerd met AD DS, worden dynamische DNS-updates naar een willekeurige met AD DS geïntegreerde DNS-server verzonden en door middel van AD DS-replicatie gerepliceerd naar alle andere DNS-servers die met AD DS zijn geïntegreerd. In dit model kan elke met AD DS geïntegreerde DNS-server dynamische updates voor de zone accepteren. Aangezien de hoofdkopie van de zone wordt onderhouden in de AD DS-database, die volledig naar alle domeincontrollers wordt gerepliceerd, kan de zone worden bijgewerkt door de DNS-servers die actief zijn op domeincontrollers voor het domein. In het multimaster-updatemodel van AD DS kunnen aanvragen van DNS-clients om de met AD DS geïntegreerde zone bij te werken, door elke primaire server voor de zone worden verwerkt zolang een domeincontroller beschikbaar en bereikbaar is in het netwerk.

    Wanneer u met AD DS geïntegreerde zones gebruikt, kunt u bovendien een container voor dnsZone-objecten in de mapstructuur beveiligen door de toegangsbeheerlijst (ACL) te bewerken. Deze functie verschaft gedetailleerde toegang tot de zone of een opgegeven bronrecord in de zone. Een ACL voor een zonebronrecord kan bijvoorbeeld zodanig worden beperkt dat dynamische updates alleen zijn toegestaan voor een bepaalde clientcomputer of een beveiligde groep, bijvoorbeeld een groep van domeinadministrators. Deze beveiligingsfunctie is niet beschikbaar bij gebruik van gewone primaire zones.

  • Telkens wanneer een nieuwe domeincontroller aan een AD DS-domein wordt toegevoegd, worden zones automatisch naar deze controller gerepliceerd en ermee gesynchroniseerd.

    Hoewel u de DNS Server-service van specifieke domeincontrollers kunt verwijderen, zijn met AD DS-geïntegreerde zones reeds opgeslagen op alle domeincontrollers. Zoneopslag en -beheer zijn dus geen extra bronnen. Bovendien leveren de methoden voor het synchroniseren van gegevens die in AD DS zijn opgeslagen, betere prestaties dan standaardmethoden voor het bijwerken van zones, waarbij soms de gehele zone moet worden overgebracht.

  • Door de opslag van de DNS-zonedatabases te integreren in AD DS kunt u de planning van databasereplicatie voor het netwerk stroomlijnen.

    Wanneer uw DNS-naamruimte en AD DS-domeinen afzonderlijk worden opgeslagen en gerepliceerd, moet u elk van deze items apart plannen en mogelijk ook apart beheren. Wanneer u standaard-DNS-zoneopslag en AD DS bijvoorbeeld samen gebruikt, moet u twee verschillende topologieën voor databasereplicatie ontwerpen, implementeren, testen en onderhouden.

    Er is bijvoorbeeld één replicatietopologie nodig voor het repliceren van directorygegevens tussen domeincontrollers, en een andere topologie voor het repliceren van zonedatabases tussen DNS-servers. Dit kan de beheertaken voor het plannen en ontwerpen van het netwerk met het oog op latere uitbreiding extra moeilijk maken. Wanneer u DNS-opslag integreert, worden opslagbeheer- en replicatiekwesties voor DNS en AD DS samengevoegd, zodat u deze als één beheerentiteit kunt weergeven.

  • Met AD DS geïntegreerde replicatie is sneller en efficiënter dan standaard-DNS-replicatie.

    Aangezien de verwerking van AD DS-replicatie per eigenschap wordt uitgevoerd, worden alleen relevante wijzigingen doorgegeven. In updates voor zones die in AD DS zijn opgeslagen, worden minder gegevens gebruikt en verzonden.

Alleen primaire zones kunnen in AD DS worden opgeslagen. Een DNS-server kan geen secundaire zones in AD DS opslaan. Deze zones worden altijd in standaardtekstbestanden worden opgeslagen. In het multimaster-replicatiemodel van AD DS zijn secundaire zones overbodig wanneer alle zones in AD DS zijn opgeslagen.

Zie voor meer informatie over het configureren van DNS voor integratie in AD DS Een DNS-server configureren voor gebruik met Active Directory Domain Services en Controlelijst: Een domeincontroller toevoegen met de DNS Server-service.

Inhoudsopgave