DNS și Active Directory
Utilizarea serverelor cache
Centralizată cache cu un releu de cereri
Dar dacă aplicați un releu de interogare, serverele pot împărți memoria cache. Principiul releei de interogare este după cum urmează: Mai întâi, mai multe servere locale de cache DNS sunt atribuite pentru a converti numele din cereri de la stații de lucru și alte servere. Apoi, un server separat este atribuit funcțiilor unui tip de server DNS pentru serverele DNS. În ceea ce privește DNS, acest server îndeplinește funcția solicitărilor de retransmitere.
Pentru a aloca un releu DNS-server la un alt DNS-server, doar deschide DNS snap-in Microsoft Management Console Management Console (MMC) și faceți clic dreapta pe pictograma care reprezintă DNS-server, care va acționa ca releu. Selectarea Properties, ar trebui să mergeți la fila Transportoare, prezentată în figura 1. În fila Transportoare, puteți atribui unul sau mai multe relee și specificați o limită de timp.
Ecranul 1. Tab-ul Forwarders al modulului snap-in DNS al consolei MMC.
De ce să introduceți o limită de timp? În cazul în care repeater se oprește de operare, DNS1 și DNS2 nu va fi capabil de a obține răspunsuri la noile cereri de rezolvare de nume. Această situație este rezolvată prin expirarea termenului. În cazul în care un cache DNS-server local (DNS1 și DNS2) trimite o solicitare unui repetor și nu primește un răspuns într-o perioadă predeterminată de timp, atunci serverul local accesează Internetul și efectuează în mod independent, rezoluția numele (după cum urmează, această operație poate duce la consecințe neplăcute).
O modalitate de a crește nivelul securității rețelei este crearea a două zone DNS: deschise către lumea exterioară și accesibile numai utilizatorilor corporativi. Unii experți numesc aceasta structură DNS divizată. Funcționează după cum urmează.
Folosind servere secundare pentru a proteja serverele intranet
Înainte de a termina descrierea exemplului cu Acme, vreau să spun câteva cuvinte despre amenințarea la adresa securității. După cum sa menționat deja, serverele DNS intranet utilizează servere DNS externe ca relee de interogare. Dar dacă releul nu răspunde suficient la cererea de rezoluție a numelui, atunci serverul DNS intranet încearcă să găsească răspunsul la serverele DNS Internet. Potrivit experților în securitate, această operațiune încalcă sistemul de securitate. Serverul DNS intranet poate stabili o conexiune cu un computer care prezintă serverul DNS. Conectarea serverului DNS al rețelei corporative cu un server DNS fals poate deveni o sursă de diverse probleme.
Pentru a evita contactele periculoase cu lumea exterioară, puteți împiedica serverele intranet să încerce să rezolva propriile nume dacă serverele DNS externe sunt silențioase. Pentru a configura serverul intern, accesați fila Forwarders a modulului snap-in DNS din MMC și bifați caseta de selectare Do not use recursion. Ca rezultat, administratorul va avea un server numit Ajutor Micro-Soft (Slave).
Corelarea cu structura DNS existentă
În general, este evident că o bună bază pentru DNS este necesară pentru funcționarea corectă a AD. Dar metodele de proiectare DNS nu sunt atât de complicate, sunt doar noi pentru majoritatea administratorilor. Utilizând recomandările din acest articol, puteți construi cu succes un domeniu AD de încredere.