Il servizio Server DNS è integrato nella struttura e nell'implementazione di Servizi di dominio Active Directory. Quest'ultimo è uno strumento a livello aziendale che consente di organizzare, gestire e individuare le risorse di una rete.
Quando i server DNS (Domain Name System) vengono distribuiti con Servizi di dominio Active Directory, tenere presente quanto segue:
-
Il DNS è necessario per l'individuazione dei controller di dominio.
Il servizio Accesso rete utilizza il supporto dei server DNS per consentire la registrazione dei controller di dominio nello spazio dei nomi di dominio DNS.
-
I server DNS che eseguono Windows Server 2003 o Windows Server 2008 possono utilizzare Servizi di dominio Active Directory per l'archiviazione e la replica delle zone.
Mediante l'integrazione delle zone in Servizi di dominio Active Directory, è possibile sfruttare le funzionalità DNS, ad esempio la replica di Servizi di dominio Active Directory, gli aggiornamenti dinamici sicuri, nonché il conteggio del periodo di permanenza e lo scavenging per i record.
Integrazione del DNS in Servizi di dominio Active Directory
Quando si installa Servizi di dominio Active Directory in un server, il livello del server viene innalzato al ruolo di controller di dominio per il dominio specificato. Nell'ambito di questo processo, viene chiesto di specificare un nome di dominio DNS per il dominio di Servizi di dominio Active Directory che si sta aggiungendo e per il quale si sta innalzando il livello del server. Si ha quindi la possibilità di installare il ruolo Server DNS. Questa opzione viene offerta per consentire a un server DNS di individuare il server o altri controller di dominio per i membri di un dominio di Servizi di dominio Active Directory.
Vantaggi dell'integrazione in Servizi di dominio Active Directory
Per le reti che distribuiscono il DNS per supportare Servizi di dominio Active Directory, è consigliabile utilizzare zone primarie integrate in Active Directory. In questo modo è possibile usufruire dei vantaggi seguenti:
-
Nel DNS sono disponibili funzionalità di replica dei dati multimaster e di sicurezza avanzata basate sulle funzionalità di Servizi di dominio Active Directory.
In un modello di archiviazione di zone standard gli aggiornamenti DNS vengono eseguiti utilizzando un modello di aggiornamento a master singolo. In questo modello è designato come origine primaria di una zona un solo server DNS autorevole per la zona. Questo server mantiene la copia master della zona in un file locale. In base a questo modello, il server primario della zona rappresenta un singolo punto di errore fisso. Se il server non è disponibile, le richieste di aggiornamento provenienti dai client DNS non verranno elaborate per la zona.
Con l'archiviazione integrata in Active Directory, gli aggiornamenti dinamici del DNS vengono inviati a qualsiasi server DNS integrato in Servizi di dominio Active Directory e replicati in tutti gli altri server DNS integrati in Servizi di dominio Active Directory tramite la replica di Servizi di dominio Active Directory. In questo modello qualsiasi server DNS integrato in Servizi di dominio Active Directory può accettare aggiornamenti per la zona. Poiché la copia master della zona viene mantenuta nel database di Servizi di dominio Active Directory, che viene replicato per intero in tutti i controller di dominio, la zona può essere aggiornata dai server DNS utilizzati in qualsiasi controller del dominio. Con il modello di aggiornamento multimaster di Servizi di dominio Active Directory, qualsiasi server primario della zona integrata in Active Directory può elaborare le richieste di aggiornamento della zona provenienti dai client DNS, purché un controller di dominio sia disponibile e raggiungibile in rete.
Quando inoltre si utilizzano zone integrate in Active Directory, è possibile utilizzare la funzionalità di modifica dell'elenco di controllo di accesso (ACL, Access Control List) per proteggere un contenitore di oggetti dnsZone nell'albero della directory. Questa funzionalità consente un accesso dettagliato alla zona o a un record di risorse specifico nella zona. È ad esempio possibile applicare una restrizione all'ACL di un record di risorse della zona in modo da consentire gli aggiornamenti dinamici solo per un determinato computer client o un gruppo sicuro quale un gruppo di amministratori di dominio. Questa funzionalità di sicurezza non è disponibile con le zone primarie standard.
-
Le zone vengono replicate e sincronizzate automaticamente nei nuovi controller di dominio ogni volta che ne viene aggiunto uno in un dominio di Servizi di dominio Active Directory.
Benché sia possibile rimuovere in modo selettivo il servizio Server DNS da un controller di dominio, le zone integrate in Active Directory sono già archiviate in ogni controller di dominio. L'archiviazione e la gestione delle zone pertanto non è una risorsa aggiuntiva. I metodi utilizzati per la sincronizzazione delle informazioni archiviate in Active Directory inoltre garantiscono prestazioni migliori rispetto ai metodi di aggiornamento delle zone standard, che possono richiedere potenzialmente il trasferimento dell'intera zona.
-
Integrando l'archiviazione dei database delle zone DNS in Servizi di dominio Active Directory, è possibile semplificare la pianificazione della replica dei database nella rete.
Se lo spazio dei nomi DNS e i domini di Servizi di dominio Active Directory vengono archiviati e replicati separatamente, ognuno di questi elementi dovrà essere pianificato ed eventualmente amministrato separatamente. Se ad esempio l'archiviazione delle zone DNS standard e Servizi di dominio Active Directory vengono utilizzati insieme, sarà necessario progettare, implementare, testare e gestire due diverse topologie di replica di database.
Saranno ad esempio necessarie una topologia di replica per replicare i dati di directory tra controller di dominio e un'altra topologia per replicare i database delle zone tra server DNS. Questa situazione può rendere ancora più complesse da un punto di vista amministrativo le attività di pianificazione e progettazione della rete e di approntamento della stessa per eventuali espansioni future. Con l'integrazione dell'archiviazione DNS, le problematiche di gestione dell'archiviazione e di replica del DNS e Servizi di dominio Active Directory vengono accorpate e considerate come una singola entità amministrativa.
-
La replica integrata in Active Directory è più rapida ed efficiente rispetto alla replica DNS standard.
Poiché la replica di Servizi di dominio Active Directory viene eseguita in base alle singole proprietà, vengono propagate solo le modifiche pertinenti. Negli aggiornamenti per le zone archiviate in Active Directory pertanto verranno utilizzati e inviati meno dati.
In Active Directory possono essere archiviate solo le zone primarie. Un server DNS pertanto non potrà archiviare zone secondarie in Active Directory e dovrà archiviarle in file di testo standard. Il modello di replica multimaster di Servizi di dominio Active Directory elimina la necessità di utilizzare zone secondarie, in quanto tutte le zone vengono archiviate in Servizi di dominio Active Directory.
Per ulteriori informazioni sulla configurazione del DNS per l'integrazione in Servizi di dominio Active Directory, vedere Configurare un server DNS per l'utilizzo con Servizi di dominio Active Directory e Elenco di controllo: aggiungere un controller di dominio con il servizio Server DNS.