Планирование инфраструктуры DNS для домена Active Directory вашей организации

4 января, 2011 IT Pro, Windows Server Нет комментарев

Введение

plandns-01После того как для каждой модели леса будут выбраны домены Active Directory, вам необходимо спроектировать инфраструктуру DNS, так как каждое доменное имя является частью именного пространства DNS. Полагаю, что вам не нужно объяснять, что для локализации ресурсов в сети доменных служб Active Directory используется система доменных имен (Domain Name System, DNS), так как службы Active Directory не могут функционировать без стабильной конфигурации DNS. По сути, DNS является распределенной базой данных, которая предоставляет пространство имен и которая хранит все сведения, необходимые для того, чтобы любой пользователь вашей организации мог свободно подключаться к компьютерам и другим IP-сетям, используя понятные и легко запоминающиеся имена. Без ее стабильной инфраструктуры у доменных служб не будет возможности выполнять репликацию среди контроллеров домена в сети, а такие серверы, как Microsoft Exchange Server не смогут отправлять электронную почту. Поэтому можно сделать такой вывод, что проектирование инфраструктуры DNS является не менее важным этапом эффективного построения доменных служб в организации, причем, ключевым моментом является определение, где нужно локализовать домены Active Directory в текущем именном пространстве.

Именно благодаря службе разрешения имен DNS, доменные службы Active Directory предоставляют для пользователей возможность без проблем находить все контроллеры доменов, а также контроллерам доменов обмениваться друг с другом сведениями. В большинстве случаев проект пространство имен для Active Directory разрабатывается проектировщиком службы каталогов совместно с хозяевами лесов и хозяином DNS. Сразу хотелось бы отметить, что большинство организаций имеют одно именное пространство как внутри организации Active Directory, так и в Интернете, и в итоге, в Интернете регистрируется лишь одно DNS-имя. Желательно, чтобы такие имена существовали отдельно от зарегистрированного доменного имени организации.

Проектирование инфраструктуры доменных имен в Active Directory, прежде всего, стоит начинать с анализа текущей инфраструктуры предприятия. То есть, если в организации уже имеется инфраструктура DNS, то вам нужно в нее интегрировать пространство Active Directory. Если же в организации не развернута инфраструктура DNS, то вам предстоит тщательно спроектировать и развернуть новую инфраструктуру доменных имен специально для поддержки доменных служб Active Directory. Обо всех этих нюансах, и не только, вы узнаете из данной статьи.

Некоторые нюансы, связанные с одним и с разными именными пространствами

Как я уже упомянул немного ранее, многие организации считают приемлемым оставлять одно доменное имя для сети организации Active Directory и в Интернете. В любом случае, в целях безопасности, независимо от того, какие именные пространства используются в вашей организации, ваш внутренний DNS сервер не должен быть доступным для внешних клиентов, так как он будет хранить записи всех ваших контроллеров доменов и записи всех клиентских компьютеров в сети. А в Интернете должны быть доступны только те записи ресурсов, к которым действительно необходим доступ из Интернета, например, ваши почтовые серверы или веб-серверы.

Скорее всего, единственным преимуществом использования одного именного пространства состоит в обеспечении комфортной работы для конечных пользователей вашей организации. Другими словами, любой пользователь для всех подключений в корпоративной сети вашей организации применяет только одно доменное имя и если такому пользователю нужно, скажем, получить доступ к вашему веб-сайту организации извне, он сможет это сделать, используя свое корпоративное UPN имя при подключении. Вполне очевидно, что основные недостатки использования одного именного пространства связаны с безопасностью и административной нагрузкой. При использовании одного имени пространства внутри и вне организации, вам как администратору приходится управлять двумя различными зонами с одним доменным именем, что крайне неудобно.

Важно понимать, что любое отличие доменных имен означает, что внутри организации используется другое именное пространство. Пример использования разных именных пространств внутри и вне организации обычно выглядит следующим образом: компанія Biopharmaceutics Ltd может использовать как внешнее и
менное пространство имя Biopharmaceutics.com, а такое имя как Biopharmaceutics.corp для внутреннего пространства имен. Чаще всего внутреннее именное пространство принято выбирать из соображений безопасности для предотвращения публикации внутреннего именного пространства в сети Интернет. Помимо всех преимуществ, у разных именных пространств есть один недостаток – вашей организации придётся регистрировать дополнительные DNS имена, что, правда, не обязательно, но крайне желательно, так как если другая организация зарегистрирует незанятое вами именное пространство, ваши пользователи больше не смогут локализовать ресурсы вашей интрасети в Интернете.

Проектирование нового именного пространства

Если в организации, где проектируются доменные службы Active Directory не существует ни одного именного пространства, то в какой-то степени вам сильно повезло. То есть, если в вашей организации нет текущей инфраструктуры DNS, а всего-навсего зарегистрировано несколько имен доменов второго уровня, то для вас не составит никакого труда спроектировать именное пространство DNS. В такой ситуации, первым делом вам нужно выбрать зарегистрированное имя домена второго уровня как корневое имя вашего домена. Новые домены, которые вы будете добавлять в свой лес по умолчанию, будут наследовать именное пространство своего родителя. Таким образом, делегированные дочерние доменные имена для дополнительных доменов в том же дереве создают иерархическое пространство имен, создавая доверительные отношения доменов в Active Directory.

Всем давно известно, что после того как компьютер с операционной системой Windows присоединяется к домену, он сам себе присваивает имя. Такое имя состоит из имени компьютера и DNS-имени домена Active Directory, которое называется полным доменным именем (FQDN). Но не все знают, что если у компьютера уже есть другое доменное имя DNS, которое было либо зарегистрировано службой DHCP-сервера или было статически введенное в DNS-зону, то полное доменное имя будет отличаться от зарегистрированного ранее имени и к такому имени далее можно будет подключаться по любому из этих двух имен.

Помимо использования DNS для локализации контроллеров доменов, систему Windows Server 2008 и Windows Server 2008 R2 вы можете интегрировать с DNS, тем самым разместив информацию зон DNS в хранилище данных доменных служб Active Directory. Другими словами, серверы DNS на контроллерах доменов могут хранить сведения о зонах не в текстовых файлах, а в доменных службах Active Directory. Интеграция зоны также значительно упрощает работу системного администратора тем, что вам не нужно отдельно настраивать топологию репликации DNS с использованием обычных передач зон, так как репликация всех сведений выполняется автоматически. Рассмотрим простой пример: если система Active Directory развертывается для корневого домена леса, то система DNS создает заполнители для зон прямого просмотра, зон обратного поиска, а также серверов условной пересылки. После этого DNS генерирует внутри зоны прямого просмотра две новые зоны, где первая такая зона служит контейнером для всего леса пространства имен, которое создается во время установки служб Active Directory, а вторая зона является зоной самого корневого домена. После этого, при создании доменного дерева в существующем лесу требуется процесс проведения делегирования в ручном режиме. Во время создания доменного дерева, мастеру не удается самостоятельно создать делегирование. По завершении процесса создания дочернего домена в существующем лесу, он автоматически создает делегирование в корневом домене высшего уровня, после чего сохраняет данные DNS дочернего раздела в разделе дочернего домена. Другими словами, от вас не требуется проводить каких-либо действий.

Таким образом, мы можем отметить для себя несколько преимуществ использования зон DNS, которые интегрированы с Active Directory:

  • Интегрированные зоны позволяют выполнять безопасные обновления. То есть, если зона DNS интегрирована в AD DS, то в ней вы можете настроить только использование безопасных обновлений, тем самым обеспечив возможность управления пользователями и компьютерами организации, которые могут обновлять записи ресурсов в Active Directory;
  • Процесс передачи зон заменяется репликацией доменных служб Active Directory. В связи с тем, что информация зон сохраняется не в текстовый файл, а в Active Directory, репликация таких данных выполняется посредствам стандартного процесса репликации доменных служб Active Directory. То есть, сама репликация выполняется на уровне атрибутов и касается лишь изменений данных зо

Об авторе: Dmitriy Bulanov

Avatar photo
Pin It

Related Posts

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.