[ Pobierz całość w formacie PDF ]
.Jeœli to mo¿liwe, serwer DNS powinien równie¿ obs³ugiwaæ:Dynamiczny DNS (RFC 2136)Przyrostowe transfery stref (RFC 1995)Chocia¿ wdro¿enie i praca Windows 2000 Serwer bez dynamicznego DNS-u jestmo¿liwa, nak³ady pracy administratora sieciowego rosn¹ znacz¹co z powodu pracyzwi¹zanej z rêczn¹ aktualizacj¹ informacji w DNS-ie.Nie dysponuj¹c DDNS-em,trzeba dokonywaæ aktualizacji gdy zachodzi jedno z poni¿szych:Instalacja kontrolera domeny Active Directory (informacje o potrzebnychrekordach zasobów s¹ wymienione w pliku NETLOGON.DNS w kontrolerze domeny)Zmiany nazw DCZmiany ról DC (GC, DC i inne)Zmiany w konfiguracji lokacjiZmiany adresu IP DCDegradacja DCW koñcu trzeba równie¿ wpisywaæ rêcznie wszystkich klientów i ich adresy IP(³¹cznie z modyfikacjami) lub zastosowaæ us³ugê WINS (co oznacza, ¿e nie bêdziemo¿na wykorzystaæ Active Directory w pe³ni).Obs³uga przyrostowych transferówstref oznacza „jedynie” trzymanie w ryzach obci¹¿enia sieci ruchem replikacji.Trzeba zauwa¿yæ, ¿e obci¹¿enie sieci mo¿e byæ ca³kiem wysokie w œrodowiskudynamicznego DNS-u, zawieraj¹cym wiele klientów korzystaj¹cych z DHCP (i wefekcie wiele zmian adresów IP).Robienie rzeczy niemo¿liwych: implementacja Active Directory w przestarza³ymserwerze DNSChocia¿ jest to zdecydowanie odradzane, w istocie mo¿na zaimplementowaæ ActiveDirectory w strefie utrzymywanej przez serwer DNS, który nie obs³uguje RFC 2136ani rekordów SRV.Aby zaimplementowaæ Active Directory w takim ustawieniu,trzeba dodaæ kolejny serwer DNS zgodny z RFC 2136 oraz obs³uguj¹cy rekordy SRVi oddelegowaæ do niego nastêpuj¹ce strefy:_tcp._udp._msdcs._sites.Pozwoli to kontrolerom domen Active Directory utworzyæ odpowiednie rekordy.Nastêpnie trzeba dodaæ pusty rekord A podaj¹cy adres IP dla ka¿dego DC wdomenie, oraz rekord A okreœlaj¹cy nazwê hosta i adres IP ka¿dego DC w domenie.Aby zapobiec próbom dynamicznej rejestracji rekordów przez us³ugê Netlogon wka¿dym DC, nale¿y dodaæ do podklucza RejestruHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters wpisDnsRegisterARecords typu DWORD o wartoœci 0 w ka¿dym DC Active Directory.Kiedy nale¿y u¿ywaæ DNS-u zintegrowanego z Active Directory?Decyduj¹c siê na u¿ycie wbudowanego Microsoft DNS Server, wci¹¿ mamy dodokonania jeden wybór: zastosowaæ „macierzyst¹” implementacjê Microsoft DNSServer sk³aduj¹c dane w tekstowych plikach stref (patrz rysunek 7.8), czy te¿skorzystaæ z opcji strefy DNS zintegrowanej z Active Directory, w której ActiveDirectory s³u¿y do sk³adowania danych strefy DNS (patrz rysunek 7.9)Rysunek 7.8Standardowy transfer strefy1.Receive update1.Odbierz aktualizacjê2.Write to (.)2.Zapisz do pliku strefy3.Send NOTIFY3.Wyœlij powiadomienie (NOTIFY)4.Pull AXFR4.Pobierz transfer (AXFR)5.Write to (.)5.Zapisz do pliku strefyPrimaryPodstawowySecondaryWtórnyZone filesPliki strefRysunek 7.9Opcja zastosowania bazy danych Active Directory w roli kontenera do sk³adowaniadanych strefy DNS1.Receive update1.Odbierz aktualizacjê2.Write to AD2.Zapisz do AD3.AD replicates3.Zachodzi replikacja AD4.Change, (.)4.Zmiana, powiadomienie, odczyt z AD„Primary” zonesStrefy „podstawowe”Decyduj¹c siê zaprz¹c bazê danych Active Directory do roli konteneraprzechowuj¹cego dane stref DNS kwalifikujemy siê do poni¿szych zysków:Zarz¹dzanie odrêbn¹ topologi¹ replikacji dla DNS-u nie jest potrzebne, poniewa¿bêdzie obs³ugiwana przez replikacjê Active Directory.Wystarczy raz utworzyæ potrzebne strefy DNS w ka¿dej domenie Active Directory,aby byæ w stanie w ka¿dym DC nale¿¹cym do tej domeny zaimplementowaæ serwerDNS.Wyeliminowany zostaje pojedynczy punkt awarii, typowy dla standardowejreplikacji DNS z powodu stosowania replikacji single-master gdzie aktualizacjebazy danych DNS mog¹ byæ przeprowadzane tylko w podstawowym serwerze strefy,podczas gdy wszystkie DC z uruchomion¹ us³ug¹ DNS s¹ w stanie przyjmowaæaktualizacje DDNS, poniewa¿ graj¹ rolê pe³nomocnictwa DNS z pe³nymi prawami doodczytu i zapisu (ka¿dy obiekt strefy DNS sk³adowany w bazie danych ActiveDirectory gra rolê kopii podstawowej dla ka¿dego DC w ka¿dej domenie).Wszystkie serwery DNS dzia³aj¹ce z kontrolerów domen Active Directory uznawanes¹ za podstawowe serwery nazw — wobec czego nadaj¹ siê do przyjmowaniaaktualizacji DDNS-u.Tak wiêc, zamiast koniecznoœci kontaktowania siê zpodstawowym serwerem nazw, lokalny DNS stanowi cel aktualizacji DDNS-u, costanowi nader porêczn¹ funkcjonalnoœæ, bior¹c pod uwagê, i¿ wszystkie serwery iklienci Windows 2000 dokonuj¹ obecnie domyœlnie rejestracji w DDNS-ie.Mo¿na zaimplementowaæ bezpieczne aktualizacje w strefie, korzystaj¹c z takichsamych w³aœciwoœci zabezpieczeñ jak u¿ywane w ca³ym pozosta³ym Windows 2000.Mo¿e okazaæ siê to rozwi¹zaniem doœæ prze³omowym gdy idzie o unikanienieuczciwych klientów nadpisuj¹cych wszelkie wpisy rejestrowane przez serwery.Otrzymuje siê pe³n¹ zgodnoœæ wstecz z implementacjami DNS opartymi o RFC,dziêki czemu mo¿na dostosowaæ siê do potrzeb posiadania innych typów (iproducentów) serwerów DNS, graj¹cych rolê serwerów wtórnych dla strefy
[ Pobierz całość w formacie PDF ]