Jednou z kritických součástí jakékoli podnikové sítě je server DNS. Téměř všechny síťové aplikace jsou založeny na používání serverů DNS a jejich služeb, a pokud server DNS není k dispozici, může se zastavit téměř veškerá síťová aktivita. Aby byla zajištěna odolnost proti chybám služeb DNS, i v případě selhání serveru DNS, musíte pro každou zónu nakonfigurovat alespoň jeden sekundární server DNS..
Replikace zóny je postup aktualizace sekundárního serveru DNS, ve kterém se zkopírují a aktualizují všechny záznamy DNS z primárního serveru DNS. V případě, že vaše zóna obsahuje velké množství záznamů, které jsou aktualizovány poměrně často (například dynamickými klienty DNS), je třeba zvážit problémy efektivního využití sítě pro provoz replikace zóny DNS. Chcete-li dosáhnout optimálního výkonu, doporučujeme hostovat server DNS v řadičích domény a používat integrované zóny Active Directory. Integrované zóny Active Directory jsou navrženy tak, aby poskytovaly automatickou a bezpečnou replikaci zón DNS. Microsoft DNS přiděluje následující zóny replikace:
■ Na všechny servery DNS v této doménové struktuře (na všechny servery DNS v doménové struktuře) replikace se provádí na všechny servery DNS v doménové struktuře Active Directory, na řadiče domény se systémy Microsoft Windows Server 2003 a Windows Server 2008. Tento typ replikace se používá, pokud existuje mnoho serverů DNS v mnoha doménách v doménové struktuře..
■ Do Všechny DNS Servery V Tohle Doména (na všechny servery DNS v této doméně) replikace na všechny řadiče domény v aktuální doméně. Tato možnost je standardně používána pro integrované zóny Active Directory..
■ Do Všechny Doména Ovladače V Tohle Doména (na všechny řadiče domény v této doméně) - replikace na všechny řadiče, včetně těch, které běží na systému Microsoft Windows 2000 Server. Tato možnost se používá pouze v případě, že máte v síti server DNS se systémem Windows 2000 Server. S touto konfigurací se zvyšuje objem provozu replikace, protože všechny záznamy DNS se replikují.
■ Do Všechny Doména Ovladače V Oblast působnosti Z Tohle Adresář Rozdělení - Replikace na všechny řadiče domény v určené části aplikace, včetně serverů se systémem Windows 2000 Server. V této situaci jsou data DNS replikována na konkrétní servery DNS se systémem Windows 2000 Server, čímž se zmenší oblast replikace. Tato možnost snižuje přenos replikace, ale vyžaduje další konfiguraci..
Integrované zóny Active Directory mohou být umístěny pouze na řadičích domény; Členské servery domény i jednotlivé počítače nepodporují integrované zóny Active Directory. V případě, že nepoužíváte zóny integrované ve službě Active Directory, provádí se replikace na sekundární servery DNS standardním přenosem zón DNS (zónový přenos), což je standardní metoda pro aktualizaci serverů DNS a je definována v RFC 1034 (http: //www.ietf) .org / rfc / rfc1034.txt) a RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Servery Microsoft DNS také podporují přenosy inkrementální zóny, popsané v dokumentu RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), který je určen ke snížení provozu.
Jak funguje přenos zóny
Standardní dotazy DNS používají port 53 UDP a port 53 používá protokol TCP k přenosu zón. UDP je efektivnější pro předávání dotazů DNS, které obvykle sestávají ze dvou komponent: paket požadavku odeslaný na server DNS a paket odpovědí odeslaný klientům servery. Objem přenosu zóny může být poměrně velký (zejména pro první přenos zóny), proto bylo rozhodnuto využít takové výhody protokolu TCP jako spolehlivost a kontrolu přenosu dat. Stojí za zmínku, že přenos zóny je jednou z potenciálních zranitelností v zabezpečení sítě, protože příjemce zóny vidí téměř celou strukturu vaší organizace. Server DNS naštěstí v systému Windows Server 2008 naštěstí neumožňuje přenos zóny na neautorizované servery. Chcete-li vytvořit další úroveň ochrany, měli byste zavřít port 53 TCP na externích bránách firewall (přirozeně, pokud to nenarušuje normální přenos zón).
V případě, že primární i sekundární servery DNS podporují přenosy inkrementální zóny (tato funkce se objevila v systému Windows 2000 Server, v BIND 8.2.1 a novějších verzích), budou přeneseny pouze změny v databázi DNS. V případě, že primární nebo sekundární server DNS nepodporuje přírůstkovou replikaci, bude vždy přenesena celá databáze a při velkém počtu záznamů v zóně může tento přenos významně využít síť.
