Jednou z kritických súčastí akejkoľvek podnikovej siete je server DNS. Takmer všetky sieťové aplikácie sú založené na používaní serverov DNS a ich službách, a ak server DNS nie je k dispozícii, môže sa zastaviť takmer všetka sieťová aktivita. Aby ste zabezpečili odolnosť voči chybám služieb DNS, dokonca aj v prípade zlyhania servera DNS, musíte pre každú zónu nakonfigurovať aspoň jeden sekundárny server DNS..
Replikácia zóny je postup aktualizácie sekundárneho servera DNS, v ktorom sa kopírujú a aktualizujú všetky záznamy DNS z primárneho servera DNS. V prípade, že vaša zóna obsahuje veľké množstvo záznamov, ktoré sa aktualizujú pomerne často (napríklad dynamickými klientmi DNS), musíte zvážiť problémy efektívneho využívania siete na prenos replikácie zóny DNS. Na dosiahnutie optimálneho výkonu sa odporúča hosťovať server DNS v radičoch domény a používať integrované zóny služby Active Directory. Integrované zóny Active Directory sú navrhnuté tak, aby poskytovali automatickú a bezpečnú replikáciu zón DNS. Microsoft DNS prideľuje nasledujúce zóny replikácie:
■ Na všetky servery DNS v tejto štruktúre (na všetky servery DNS v lese) sa replikácia vykonáva na všetky servery DNS v lese Active Directory, na radiče domén s Microsoft Windows Server 2003 a Windows Server 2008. Tento typ replikácie sa používa, ak existuje veľa serverov DNS v mnohých doménach v lese..
■ na všetko DNS servery v toto doména (na všetky servery DNS v tejto doméne) replikácia na všetky radiče domény v aktuálnej doméne. Táto voľba sa štandardne používa pre integrované zóny Active Directory..
■ na všetko doména radiče v toto doména (na všetky radiče domény v tejto doméne) - replikácia na všetky radiče vrátane tých, ktoré sú spustené na serveri Microsoft Windows 2000 Server. Táto voľba sa používa, iba ak máte vo vašej sieti server DNS so systémom Windows 2000 Server. S touto konfiguráciou sa zvyšuje objem replikačnej prevádzky, pretože všetky záznamy DNS sa replikujú.
■ na všetko doména radiče v rozsah z toto adresár prepážka - Replikácia na všetky radiče domény v špecifikovanej časti aplikácie vrátane serverov so systémom Windows 2000 Server. V tejto situácii sa údaje DNS replikujú na konkrétne servery DNS so systémom Windows 2000 Server, čím sa zmenšuje oblasť replikácie. Táto možnosť znižuje prenos replikácie, vyžaduje si však ďalšiu konfiguráciu..
Integrované zóny Active Directory môžu byť umiestnené iba na radičoch domény; Členské servery domény, ako aj jednotlivé počítače nepodporujú integrované zóny služby Active Directory. V prípade, že nepoužívate zóny integrované v službe Active Directory, replikácia na sekundárne servery DNS sa vykonáva štandardným prenosom zón DNS (prenos zóny), čo je štandardná metóda aktualizácie serverov DNS a je definovaná v RFC 1034 (http: //www.ietf). .org / rfc / rfc1034.txt) a RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Servery Microsoft DNS tiež podporujú prenosy inkrementálnymi zónami, opísané v dokumente RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), ktorý je určený na zníženie prenosu.
Ako funguje prenos zóny
Štandardné dotazy DNS používajú port 53 protokolu UDP a port 53 používa protokol TCP na prenos zón. UDP je efektívnejší na posielanie dotazov DNS, ktoré sa zvyčajne skladajú z dvoch komponentov: paket žiadosti odoslaný na server DNS a paket odpovede zaslaný klientovi servermi. Objem prenosu v zóne môže byť pomerne veľký (najmä pri prvom prenose v zóne), preto sa rozhodlo o využití výhod protokolu TCP ako spoľahlivosti a kontroly prenosu údajov. Je potrebné poznamenať, že prenos zóny je jednou z potenciálnych zraniteľností v oblasti zabezpečenia siete, pretože príjemca zóny vidí takmer celú štruktúru vašej organizácie. Server DNS našťastie v systéme Windows Server 2008 našťastie neumožňuje preniesť zónu na neautorizované servery. Ak chcete vytvoriť ďalší stupeň ochrany, mali by ste zatvoriť port 53 TCP na externých bránach firewall (samozrejme, ak to nebráni normálnemu prenosu zón)..
V prípade, že primárny aj sekundárny server DNS podporujú prenosy inkrementálnymi zónami (táto funkcia sa objavila v systéme Windows 2000 Server, v BIND 8.2.1 a novších verziách), prenesú sa iba zmeny v databáze DNS. V prípade, že primárny alebo sekundárny server DNS nepodporuje prírastkovú replikáciu, zakaždým sa prenesie celá databáza a pri veľkom počte záznamov v zóne môže tento prenos výrazne využiť sieť.
