Корпорация Майкрософт помещала сервер службы доменных имен (DNS) во все версии Windows Server со времен Windows NT 4.0. DNS – это иерархическая, распределенная база данных, содержащая сопоставления доменных имен DNS с различными типами данных, например IP-адресами. В Windows Server 2008 в состав службы сервера DNS входят новая фоновая загрузка зон, улучшенная поддержка IPv6, поддержка контроллера домена «только для чтения» (RODC) и возможность размещать глобальные однокомпонентные имена.
Фоновая загрузка зон
Служба сервера DNS в Windows Server® 2008 ускоряет получение данных, применяя фоновую загрузку зоны. Ранее предприятия с зонами, содержащими большое число записей в Active Directory®, испытывали задержки длиной до часа, когда служба сервера DNS в Windows Server 2003 при перезапуске пыталась получить данные DNS из Active Directory. В течение этих задержек сервер DNS не мог выполнять запросы клиентов DNS для всех своих размещенных зон.
Чтобы решить эту проблему, служба сервера DNS в Windows Server 2008 получает данные о зоне из Active Directory в фоновом режиме после своего запуска, что дает возможность отвечать на запросы данных из других зон. При запуске службы она создает один или несколько потоков исполнения для загрузки зон, сохраненных в Active Directory. Благодаря наличию отдельных потоков для загрузки основанных на Active Directory зон служба сервера DNS может отвечать на запросы по ходу загрузки зон. Если клиент DNS запрашивает данные из уже загруженной зоны, сервер DNS отвечает соответственно. Если запрос относится к данным из зоны, которая еще не получена полностью, сервер DNS вместо этого извлекает конкретные данные из Active Directory.
Возможность получения конкретных данных из Active Directory в ходе загрузки зоны предоставляет дополнительное преимущество перед хранением информации о зонах в файлах – а именно возможность службы сервера DNS отвечать на запросы немедленно. Когда зона сохранена в файлах, службе приходится последовательно читать файл, пока данные не будут найдены.
Улучшенная поддержка IPv6
IPv6, о котором было рассказано в предыдущих выпусках данной рубрики – это новый набор стандартных протоколов Интернета. IPv6 разработан для решения ряда проблем текущей версии (IPv4), включая истощение запаса адресов, необходимость расширяемости, а также проблемы безопасности и автоматической настройки.
Одно из преимуществ IPv6 заключается в 128-разрядной длине адресов, адреса же в IPv4 имеют длину всего 32 бита. Адреса в IPv6 записываются в виде шестнадцатеричных чисел, разделенных двоеточиями. Каждая цифра в шестнадцатеричном числе – это 4 бита адреса в IPv6. Полный адрес в IPv6 состоит из 32 шестнадцатеричных цифр в 8 блоках, разделенных двоеточиями. Вот пример полного адреса в IPv6 – FD91:2ADD:715A:2111:DD48:AB34:D07C:3914.
Прямое разрешение имен для адресов в IPv6 использует запись DNS узла IPv6, известную как запись AAAA. Для обратного разрешения имен IPv6 использует домен IP6.ARPA, и каждая шестнадцатеричная цифра из 32, составляющих адрес IPv6, становится отдельным уровнем в обратной иерархии домена в обратном порядке. Например, при обратном просмотре имя домена для адреса FD91:2ADD:715A:2111:DD48:AB34:D07C:3914 будет таким – 4.1.9.3.C.7.0.D.4.3.B.A.8.4.D.D.1.1.1.2.A.5.1.7.D.D.A.2.1.9.D.F.IP6.ARPA.
Служба сервера DNS в Windows Server 2003 поддерживает прямое и обратное разрешение имен для IPv6; однако поддержка интегрирована не полностью. Например, для создания адресной записи IPv6 (записи AAAA, о которой я только что рассказал) в оснастке диспетчера DNS для Windows Server 2003 необходимо щелкнуть правой кнопкой мыши зону, щелкнуть Other New Records («Прочие новые записи») и затем дважды щелкнуть узел IPv6 (AAAA) как тип записи ресурса. Чтобы добавить запись AAAA в оснастку диспетчера DNS для Windows Server 2008, щелкните правой кнопкой мыши имя зоны, а затем щелкните New Host («Новый узел») (A или AAAA). В диалоговом окне New Host («Новый узел») можно ввести адрес IPv4 или IPv6. Рис 1 показывает пример этого.
Рис. 1 Диалоговое окно «Новый узел»
Другим примером улучшенной поддержки IPv6 является поддержка обратных зон IPv6. Чтобы создать обратную зону просмотра в оснастке диспетчера DNS для Windows Server 2003, необходимо вручную ввести ее имя на странице Reverse Zone Lookup Name («Имя просмотра обратной зоны») мастера создания новых зон. Вот пример имени обратной зоны DNS – 1.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa (для подсети IPv6, префикс 2001:db8:0:1::/64, полностью выражается как 2001:0db8:0000:0001::/64).
Обратные зоны IPv6 в оснастке диспетчера DNS для Windows Server 2008 теперь полностью интегрированы в мастер создания новых зон. В мастере теперь имеется новая страница, предлагающая выбрать зону обратного просмотра IPv4 или IPv6. Для зоны обратного просмотра IPv6 достаточно ввести префикс подсети IPv6 и мастер автоматически создаст такую зону. На рис. 2 приведен соответствующий пример.
Рис. 2 Именование зоны обратного просмотра IPv6
Дополнительным усовершенствованием для обратных зон является способ, которым оснастка DNS Manager отображает записи указателя (PTR) IPv6. На рис. 3 показано, как запись PTR отображается в оснастке диспетчера DNS для Windows Server 2003.
Рис. 3 Запись указателя PTR для IPv6 в Windows Server 2003
При этом верно отражается структура пространства имен DNS для обратных имен доменов IPv6, но управление записями PTR для адресов IPv6 усложняется. На рис. 4 показано, как запись PTR отображается в оснастке диспетчера DNS для Windows Server 2008.
Рис. 4 Запись указателя PTR для IPv6 в Windows Server 2003
Служба сервера DNS в Windows Server 2003 поддерживает работу IPv6, но ее необходимо включить вручную посредством команды dnscmd /config /EnableIPv6 1. Напротив, Windows Server 2008 поддерживает работу через IPv6 по умолчанию. Средство командной строки Dnscmd.exe в нем обновлено, чтобы принимать адреса IPv6 в параметрах командной строки. Вдобавок, служба сервера DNS теперь может отправлять рекурсивные запросы серверам, работающим только на IPv6, а список сервера пересылки может содержать как адреса IPv4, так и IPv6.
Поддержка контроллера домена «только для чтения»
Windows Server 2008 также предлагает пользователям RODC, новый тип контроллера домена, который содержит копию информации Active Directory, предназначенную только для чтения, и может выполнять функции Active Directory, но не может быть настроен напрямую. Контроллеры RODC менее уязвимы для атак и могут быть размещены там, где физическую безопасность контроллера домена нельзя гарантировать, или там, где сеть может содержать потенциально вредоносные узлы.
Для контроллеров RODC служба сервера DNS в Windows Server 2008 поддерживает новый основной тип зоны «только для чтения». Когда компьютер становится контроллером RODC, он реплицирует полную копию «только для чтения» всех разделов каталога приложений, используемых DNS, включая раздел домена, ForestDNSZones и DomainDNSZones. Это гарантирует, что служба сервера DNS, работающая на контроллере RODC, будет располагать полной и предназначенной только для чтения копией всех зон DNS, сохраненных в разделах каталога контроллера домена, не являющегося контроллером RODC. Содержимое основной зоны «только для чтения» можно просматривать на контроллере RODC, но нельзя на нем изменять. Изменения необходимо производить на контроллере домена, не являющемся контроллером RODC.
Зона GlobalNames
Windows Server 2008 и Windows Vista® поддерживают протокол NetBIOS через TCP/IP (NetBT). NetBT использует имена NetBIOS для определения приложений NetBIOS уровня сеанса. Хотя разрешение имен NetBIOS с помощью WINS необязательно для текущих версий Windows, которые используют DNS и сетевые приложения на основе сокетов Windows для разрешения имен, многие клиенты Майкрософт развертывают WINS в своих сетях для поддержки старых приложений NetBT и разрешения однокомпонентных имен в своих организациях. Однокомпонентные имена обычно обозначают важные, хорошо известные и широко используемые организацией серверы, такие как серверы электронной почты, центральные веб-серверы или серверы бизнес-приложений.
Чтобы позволить этим однокомпонентным именам разрешаться в организации, использующей только DNS, может понадобиться добавление записей типа A к нескольким доменам DNS, принадлежащим организации, что позволит работающим на Windows клиентам DNS разрешать имена вне зависимости от назначенного им суффикса или списка суффиксов домена DNS.
Предположим для примера, что у организации contoso.com есть центральный веб-сервер, именуемый CWEB и являющийся членом домена central.contoso.com. Чтобы реализовать однокомпонентное имя для сервера CWEB, тогда как клиенты DNS могут получить суффиксы домена DNS wcoast.contoso.com, central.contoso.com или ecoast.contoso.com, сетевой администратор должен создать две дополнительные записи типа A: для cweb.wcoast.contoso.com и для cweb.ecoast.contoso.com. Однако не забудьте, что вручную созданные записи для однокомпонентных имен необходимо сохранять на случай изменений в распределении адресов IPv4 или появления новых имен.
Если contoso.com уже использует WINS для старых приложений NetBT, сетевой администратор может применить разрешение имен для однокомпонентного имени CWEB, добавив одну статическую запись WINS к своей инфраструктуре WINS. Если адрес IPv4 изменяется, достаточно изменить единственную статическую запись WINS. Поскольку в WINS проще управлять однокомпонентными именами, многие сети, основанные на Windows, используют статические записи WINS для однокомпонентных имен.
Чтобы предоставить разрешение однокомпонентных имен в DNS, с которым так же просто работать, как и со статическими записями WINS, служба сервера DNS в Windows Server 2008 поддерживает новую зону для хранения однокомпонентных имен под названием GlobalNames. Областью репликации этой зоны обычно является лес, что обеспечивает разрешение однокомпонентных имен в целом лесе Active Directory. Кроме того, зона GlobalNames может поддерживать разрешение однокомпонентных имен в организации, содержащей несколько лесов, при использовании записей расположения служб (SRV) для публикации местонахождения зоны GlobalNames.
В отличие от WINS, зона GlobalNames предназначена для предоставления разрешения однокомпонентных имен ограниченному набору узлов, обычно центральным и особо важным серверам организации, управляемых ее отделом ИТ. Зона GlobalNames не предназначена для хранения имен настольных компьютеров или других серверов, адреса IPv4 которых могут меняться, и она ни в коем случае не поддерживает динамические обновления DNS. Она обычно используется для хранения псевдонимов (CNAME) записей ресурсов с целью сопоставления однокомпонентного имени с нужным полным доменным именем (FQDN). В сетях, которые используют WINS, зона GlobalNames обычно содержит записи ресурсов для имен, управляемых отделом ИТ, которые уже статически настроены в WINS.
Зона GlobalNames предоставляет разрешение однокомпонентных имен только в случае, если все полномочные серверы DNS используют Windows Server 2008. Однако прочие серверы DNS, не являющиеся полномочными для какой-либо зоны, могут использовать предыдущие версии Windows или другие операционные системы. В лесе должна быть только одна зона GlobalNames.
Для обеспечения максимальной производительности и масштабируемости зону GlobalNames следует интегрировать с Active Directory, а каждый из полномочных серверов DNS настроить с помощью ее локальной копии. Это необходимо для поддержки развертывания зоны GlobalNames в нескольких лесах.
Автор: Джозеф Дэвис
Источник: январь 2008 Technet Magazine