Служба DNS-сервера интегрирована в проектирование и внедрение доменных служб Active Directory. Эти службы предоставляют средство уровня предприятия для организации, управления и нахождения ресурсов в сети.
При развертывании DNS-серверов в доменных службах Active Directory учтите следующие факторы:
-
Для обнаружения контроллеров домена необходима служба DNS.
Служба сетевого входа в систему использует поддержку DNS-сервера для предоставления регистрации контроллеров домена в доменном пространстве имен DNS.
-
DNS-серверы, работающие под управлением операционных систем Windows Server 2003 или Windows Server 2008, могут использовать доменные службы для хранения и репликации зон.
Интеграция зон в доменные службы Active Directory позволяет воспользоваться преимуществами DNS, такими как репликация доменных служб Active Directory, безопасные динамические обновления и очистка записей.
Способ интеграции DNS в доменные службы Active Directory
При установке доменных служб на сервере, его роль повышается до роли контроллера домена. Во время установки следует указать DNS-имя домена для домена служб Active Directory, к которому необходимо присоединить сервер, повышая его роль, затем будет предложено установить роль DNS-сервера. Этот вариант предлагается потому, что DNS-сервер необходим для нахождения этого сервера или других контроллеров домена членами домена доменных служб Active Directory.
Преимущества интеграции в доменные службы Active Directory
В сетях с развернутой службой DNS для поддержки доменных служб Active Directory настоятельно рекомендуется использовать основные зоны, интегрированные в службу каталогов. Это предоставляет следующие преимущества:
-
DNS поддерживает репликацию данных с несколькими хозяевами и улучшенную безопасность, основанную на возможностях доменных служб Active Directory.
В модели стандартного хранилища зоны DNS-обновления основываются на модели обновления с одним главным сервером. В этой модели отдельный полномочный DNS-сервер назначается в качестве основного источника для зоны. Сервер обслуживает главную копию зоны в локальном файле. При использовании этой модели основной сервер зоны представляет собой единственную зафиксированную точку отказа. Если сервер недоступен, запросы обновления, поступающие от DNS-клиентов, не обрабатываются для этой зоны.
Если используется хранилище, интегрированное в службу каталогов, динамические обновления DNS отправляются на любой DNS-сервер, интегрированный в доменные службы Active Directory, и реплицируются на любые другие интегрированные DNS-серверы с помощью репликации доменных служб Active Directory. В этой модели любой DNS-сервер, интегрированный в доменные службы, может принимать динамические обновления, предназначенные для зоны. Так как в базе данных доменных служб Active Directory поддерживается главная копия зоны, которая полностью реплицируется на все контроллеры домена, зона может быть обновлена DNS-серверами, работающими на любом контроллере домена. При использовании модели обновления доменных служб Active Directory с несколькими хозяевами любой главный сервер зоны, интегрированной в службу каталогов, может обрабатывать запросы DNS-клиентов для обновления зоны, пока контроллер домена доступен в сети.
Также при использовании зон, интегрированных в службы каталогов, можно изменять списки управления доступом для обеспечения безопасности контейнера объекта dnsZone в дереве каталога. С помощью этой функциональной возможности можно с точностью настроить доступ к зоне или определенной записи ресурса в этой зоне. Например, список управления доступом для записи ресурса зоны может быть ограничен таким образом, чтобы динамические обновления были разрешены только для определенного клиентского компьютера или группы безопасности, например группы администраторов домена. Эта функциональная возможность безопасности недоступна при использовании стандартных основных зон.
-
Зоны реплицируются на новые контроллеры домена и синхронизируются с ними автоматически при добавлении этих контроллеров в домен доменных служб Active Directory.
Несмотря на то, что служба DNS-серверов может быть выборочно удалена с контроллера домена, зоны, интегрированные в службу каталогов, уже хранятся на каждом контроллере домена. Поэтому хранение и управление зонами не является дополнительным ресурсом. Кроме того, методы, используемые для синхронизации сведений, хранящихся в каталоге, обеспечивают улучшение производительности по сравнению со стандартными методами обновления зоны, при которых, как правило, требуется передача всей зоны.
-
С помощью интеграции хранилища баз данных зоны DNS в доменные службы Active Directory можно упростить планирование репликации баз данных в сети.
Если пространство имен DNS и домены доменных служб Active Directory хранятся и реплицируются раздельно, необходимо раздельное планирование и администрирование этих элементов. Например, если вместе используются стандартное хранилище зоны и доменные службы Active Directory, необходимо разработать, внедрить, проверить и начать обслуживать две различные топологии репликации баз данных.
Например, одна топология репликации необходима для репликации данных каталога между контроллерами домена, а другая топология необходима для репликации базы данных зоны между DNS-серверами. Это может привести к дополнительным административным сложностям при планировании и разработке сети, а также при ее дальнейшем увеличении. Посредством интеграции хранилища DNS управление хранилищем и вопросы репликации становятся едиными для DNS и доменных служб Active Directory, что приведет к их слиянию. Таким образом, с ними можно будет работать, как с одной административной единицей.
-
Репликация, интегрированная в службу каталогов, является более быстрой и эффективной по сравнению со стандартной репликацией DNS.
Так как обработка репликации в доменных службах Active Directory выполняется для каждого свойства, распространяются только соответствующие изменения. При обновлении зон, хранящихся в службе каталогов, используется меньшее количество данных.
В каталоге могут храниться только основные зоны. DNS-сервер не сможет сохранить в каталоге дополнительные зоны. Они должны храниться в стандартных текстовых файлах. При использовании модели репликации с несколькими хозяевами в доменных службах Active Directory, когда все зоны хранятся в доменных службах Active Directory, устраняется необходимость в дополнительных зонах.
Дополнительные сведения о настройке DNS для интеграции в доменные службы Active Directory см. в разделах Настройка DNS-сервера для использования совместно с доменными службами Active Directory и Контрольный список: Добавление контроллера домена с встроенной службой DNS-сервера.