Един от критичните компоненти на всяка корпоративна мрежа е DNS сървърът. Почти всички мрежови приложения са базирани на използването на DNS сървъри и техните услуги и ако DNS сървърът е недостъпен, почти цялата мрежова активност може да спре. За да осигурите толерантност на грешките на DNS услугите, дори в случай на повреда на DNS сървър, трябва да конфигурирате поне един вторичен DNS сървър за всяка зона.
Репликация на зоната е процедурата за актуализиране на вторичен DNS сървър, при която всички DNS записи от основния DNS сървър се копират и актуализират. В случай, че вашата зона съдържа голям брой записи, които се актуализират доста често (например от динамични DNS клиенти), трябва да вземете предвид въпросите за ефективното използване на мрежата за трафик на репликация на DNS зона. За оптимална производителност се препоръчва да хоствате DNS сървъра на контролерите на домейни и да използвате интегрираните зони на Active Directory. Интегрираните зони на Active Directory са проектирани да осигуряват автоматична и сигурна репликация на DNS зони. Microsoft DNS разпределя следните зони на репликация:
■ За всички DNS сървъри в тази гора (към всички DNS сървъри в гората) репликацията се извършва на всички DNS сървъри в гората Active Directory, към контролери на домейни с Microsoft Windows Server 2003 и Windows Server 2008. Този тип репликация се използва, ако има много DNS сървъри в много домейни в гората.
■ за всички DNS Сървъри в това домейн (към всички DNS сървъри в този домейн) репликация към всички контролери на домейни в текущия домейн. Тази опция се използва по подразбиране за интегрирани зони в Active Directory..
■ за всички домейн Контрольори в това домейн (към всички контролери на домейни в този домейн) - репликация към всички контролери, включително тези, работещи на Microsoft Windows 2000 Server. Тази опция се използва само ако имате DNS сървър, работещ под Windows 2000 Server във вашата мрежа. С тази конфигурация количеството трафик на репликацията се увеличава, защото всички DNS записи се репликират.
■ за всички домейн Контрольори в Най- обхват от това указател дял - Репликация към всички контролери на домейни в посочения раздел за приложение, включително към сървъри, работещи под Windows 2000 Server. В тази ситуация данните от DNS се репликират на конкретни DNS сървъри с Windows 2000 Server, като по този начин се намалява областта на репликация. Тази опция намалява трафика на репликация, но изисква допълнителна конфигурация..
Интегрираните зони на Active Directory могат да бъдат разположени само на контролери на домейни; Сървърите за членове на домейна, както и отделните компютри не поддържат интегрирани зони в Active Directory. В случай, че не използвате зони, интегрирани в Active Directory, репликацията към вторични DNS сървъри се извършва чрез стандартното прехвърляне на DNS зони (пренос на зони), което е стандартният метод за актуализиране на DNS сървъри и е дефинирано в RFC 1034 (http: //www.ietf .org / rfc / rfc1034.txt) и RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Microsoft DNS сървърите също поддържат инкрементални прехвърляне на зони, описани в RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), който е предназначен да намали трафика.
Как работи трансферът на зони
Стандартните DNS заявки използват порт 53 на UDP, а порт 53 използва TCP протокол за прехвърляне на зони. UDP е по-ефективен за препращане на DNS заявки, които обикновено се състоят от два компонента: пакет от заявки, изпратен до DNS сървъра, и пакет от отговори, изпратен до клиента от сървърите. Обемът на трафик на зонен трансфер може да бъде доста голям (особено за първото прехвърляне на зона), затова беше решено да се използват такива предимства на TCP протокола като надеждност и контрол на прехвърлянето на данни. Струва си да се отбележи, че преносът на зона е една от потенциалните уязвими места в мрежовата сигурност, тъй като получателят на зоната може да види почти цялата структура на вашата организация. За щастие, DNS сървърът в Windows Server 2008 не ви позволява да прехвърляте зона на неоторизирани сървъри. За да създадете допълнителен ешелон на защита, трябва да затворите 53 TCP порта на външните защитни стени (естествено, ако това не пречи на нормалното прехвърляне на зони).
В случай, че и първичният, и вторичният DNS сървъри поддържат прехвърляне на инкрементални зони (тази функция се появи в Windows 2000 Server, в BIND 8.2.1 и по-нови версии), ще бъдат предавани само промени в DNS базата данни. В случай че първичният или вторичният DNS сървър не поддържа инкрементална репликация, цялата база данни ще се предава всеки път и при голям брой записи в зоната, този трансфер може значително да използва мрежата.
