AD-integration of dns primary and secondary vs. stub zones (MS Windows Server)

Question

AD-integration of dns primary and secondary vs. stub zones (MS Windows Server)

Я прочитал несколько статей о зонах DNS, интегрированных в AD, в том числе отличные зоны-заглушки DNS в Windows Server 2003, но я все еще не уверен, что могу понять всю картину:

1)

Почему AD (Active Directory)-интеграция не обеспечивала возможность AD-интеграции вторичных зон для репликации через AD (по сравнению с тем, почему для зон-заглушек была предусмотрена возможность интеграции AD)?

2)

Почему MS не обеспечивает синхронизацию записей делегированной зоны?

Т.е. в зонах-заглушках нет детализации и конфигурируемости (зоны-заглушки содержат все записи NS для указанной зоны)

Добавлено позже: Зоны-заглушки по функциональности похожи на делегирование, но зоны-заглушки обязательно содержат ссылки на все DNS-серверы в указанном домене, а делегирование - нет. Является ли делегирование более детальным или оно неоправданно требует дополнительных усилий администрации?

3)

Зачем нам вообще нужны вторичные зоны?

если резервирование обеспечивается первичными зонами, интегрированными в AD с несколькими мастерами?

4)

Обеспечивает ли несколько контроллеров главного домена, интегрированных в AD, избыточность на случай отказа компьютера с одним из контроллеров домена, интегрированных в AD? Другими словами, содержит ли каждый из контроллеров домена реплику базы данных AD (и AD-интегрированных DNS)?

5)

Нельзя ли скопировать вторичную зону (в случае сбоя компьютера в основной зоне), а одну из копий перевести в первичную зону?

6)

"Кроме того, хотя большинство DNS-серверов можно настроить для предотвращения передачи зон во вторичные зоны, зоны-заглушки запрашивают только записи SOA, NS и A для серверов имен, которые предоставляются без ограничений любым сервером имен, поскольку эти записи необходимо для правильного разрешения имен

Означает ли это, что DNS-серверы не могут быть настроены для предотвращения передачи в зоны-заглушки?

2

windows domain-name-system zones

Источник

Gennady Vanin Геннадий Ванин 08 июл '10 в 06:01

1 ответ

Решение

Другие вопросы по тегам windows domain-name-system zones

ewall 08 июл '10 в 14:49 2010-07-08 14:49 · Accepted Answer · 2010-07-08 14:49

Способ множественной репликации Active Directory сильно отличается от модели первичной / вторичной репликации протокола DNS. Таким образом, вторичная копия записей действительно "вторична" в том смысле, что она всегда обновляется от мастера.
Не совсем уверен, что вы имеете в виду... Вы можете уточнить?
Нам нужны вторичные зоны, потому что так работают все остальные DNS-серверы в мире, включая отраслевой стандарт BIND. Во многих компаниях службы BIND работают на больших серверах UNIX, а на серверах Windows AD/DNS просто есть вторичная копия.
Да, каждый контроллер домена хранит полную копию всех данных AD и DNS (за некоторыми небольшими исключениями - читайте о глобальных каталогах и ролях FSMO).
Вроде... нет встроенной команды для этого, но вы можете использовать инструменты BIND и копию данных из вторичного устройства, чтобы заполнить новую первичную зону. Это не рекомендуется, хотя.
Нет, у вас все еще есть полный контроль над безопасностью передачи зоны. Строка в кавычках говорит, что SOA, NS и A-записи, которые указывают на первичные и вторичные серверы имен зоны, всегда доступны для чтения всем клиентам, что означает, что они могут использовать эту информацию для создания своей собственной зоны-заглушки, если они захотят к.