DNS zone su veoma važan koncept u DNS infrastrukturi, pošto omogućavaju DNS domenima da budu logički odvojeni i da njima može upravljati. Ova lekcija nudi osnovu za razumevanje načina na koje su zone povezane sa DNS domenima i informacije o različitim tipovima DNS zona koje su dostupne u Windows Server 2008 DNS ulozi.

 

Šta je DNS zona?

DNS zona hostuje sve ili samo jedan deo domena i njegove poddomene. Sledeći slajd ilustruje kako poddomeni mogu da pripadaju istoj zoni kao i njihovi roditelji ili kako mogu biti delegirani u drugoj zoni. Microsoft.com domen je podeljen na dve zone. Prva zona hostuje www.microsoft.com i ftp.microsoft.com. Example.microsoft.com je delegiran unutar nove zone koja hostuje example.microsoft.com i njegove poddomene ftp.example.microsoft.com i www.example.microsoft.com.

Slika 06.01

Važno: zona koja hostuje Root domen (Microsoft.com) mora da delegira example.microsoft.com na drugu zonu. Ako se ovo ne odradi, example.microsoft.com će biti tretiran kao deo prve zone.

Zonski podaci mogu da se repliciraju na više od jednog servera što dodaje redudantnost iz razloga što informacije koje su potrebne za pronalaženje resursa u zoni sada postoje na dva servera. Nivo redundantnosti koji nam je potreban je dovoljan razlog za kreiranje zona. Ako imamo zonu u kojoj su definisani kritični serveri, najverovatnije da će ta zona imati viši nivo redundantnosti od zone u kojoj kritični serveri nisu definisani.

Zona može da drži zapise za jedan domen ili može da drži zapise više domena. Zone mogu da hostuju više od jednog domena samo ako su domeni povezani sa direktnom Parent-Child (roditelj-dete) vezom.

Zona je takođe fizičko prikazivanje jednog ili više DNS domena. Na primer, ako imamo DNS domen adresni prostor prodaja.linkgroup.com, možemo da kreiramo zonu na DNS serveru prodaja.linkgroup.com i ova zona može da sadrži sve zapise (Resources Records) koji se nalaze u linkgroup domenu.

DNS dozvoljava da DNS adresni prostor bude podeljen u zone. Za svako DNS domensko ime koje je uključeno u zonu, zona postaje autoritativni izvor za informacije koje se odnose na taj domen.

Zonski fajlovi se održavaju na DNS serverima. Možemo da konfigurišemo jedan DNS server da hostuje nijednu, jednu ili više zona. Svaka zona može da bude autoritativna za jedan ili više od jednog DNS domena. Zone mogu da se smeštaju ili u tekstualnim fajlovima i u bazi aktivnog direktorijuma.

Karakteristike zona uključuju sledeće:

  • Zona je kolekcija prevoda (Host ime u IP adresu) za sve hostove u DNS adresnom prostoru.
  • Zonski podaci se održavaju na DNS serveru i smeštaju se na jedan od ova dva načina: kao zonski tekstualni fajl koji sadrži listu prevoda; u bazi aktivnog direktorijuma.
  • DNS server je autoritativan DNS server za zonu ako u zonskom fajlu hostuje zapise za imena i adrese koje zahtevaju klijenti.


DNS tipovi zona
 

Kada konfigurišemo DNS server, možemo da ga konfigurišemo sa nekoliko tipova zona ili sa samo jednim tipom, u zavisnosti od uloge tog DNS servera koju ima na mreži. 

Imamo nekoliko opcija za optimalno konfiguraciju DNS servera koje možemo da konfigurišemo na osnovu odluka koje donosimo o stvarima kao što su mrežna topologija i veličina adresnog prostora (Name Space). Normalne operacije DNS servera uključuju četri zone: 

  • Primarna zona
  • Sekundarna zona
  • Stub zona
  • AD integrisana zona



Koristeći različite zone, možemo da konfigurišemo našu DNS soluciju da na najbolji način ispunjava potrebe naše organizacije. Na primer, preporučuje se da konfigurišemo primarnu zonu i sekundarnu zonu na različitim serverima, da bismo imali otpornost na greške ako jedan od ta dva servera prestane sa normalnim radom. Možemo da konfigurišemo Stub zonu ako se zona održava na odvojenom DNS serveru.

Primarna zona: primarna zona je autoritativna kopija DNS zone, u kojoj se kreiraju i održavaju zapisi (Resouces Records). Kada podešavamo DNS servere da hostuju zonu za domen, primarni server normalno se nalazi na mreži i pristupačan je za administraciju zonskog fajla.

Sekundarna zona: sekundarna zona je kopija DNS zone koja sadrži kopiju zapisa, i na njoj se ne mogu vršiti izmene već samo čitanje. Zapisi u sekundarnoj zoni ne mogu da se menjaju i brišu; administratori mogu da menjaju i brišu zapise samo u primarnoj zoni. Barem jedna sekundarna zona se konfiguriše kada želimo da omogućimo toleranciju na greške (Fault Tolerance). Ipak, više sekundarnih servera mogu da budu konfigurisani na drugim lokacijama tako da zapisi iz zone mogu da budu razrešeni bez korišćenja skupih WAN linkova.

Stub zona: stub zone su kopije koje sadrže samo zapise koji su potrebni za identifikaciju autoritativnog DNS servera za tu zonu. Stub zona sadrži sledeće zonske podatke: SOA, NS & A zapise. Stub zona je kao pokazatelj koji jednostavno pokazuje koji DNS server je autoritativan za zonu. Stub zone mogu da se iskoriste kada Root Hintovi ukazuju na Interni DNS server, a ne na Root servere na internetu. Iz sigurnosnih razloga, DNS server je dizajniran da razrešava samo određene zone.

AD-integrisana zona: AD-Integrisane zone karakterišu dve osnovne prednosti: Multimaster zonska replikacija, kao i činjenica da se proces DDNS (dinamičkog DNS-a) registracije sada odlikuje kako izbalansiranim opterećenjem, tako i zadovoljavajućim stepenom bezbednosti. Ipak, ove zone imaju i svojih nedostataka: one se donekle udaljavaju od onoga što je propisano RFC dokumentima za DNS. Pored toga, sve kontrolere domena moramo da pretvorimo i u DNS servere. Kada konfigurišemo domenski kontroler, aktivni direktorijum zahteva instalaciju DNS servisa. Zone koje su kreirane na DNS serveru koji je i domenski kontroler u aktivnom direktorijumu mogu da budu AD-integrisane DNS zone.

AD-integrisane DNS zone imaju nekoliko prednosti u poređenju sa običnim zonama (primarnim, sekundarnim i stub). AD-integrisane zone mogu da koriste aktivni direktorijum:

  • da smeste zonske konfiguracione podatke u aktivnom direktorijumu, umesto da zonski konfiguracioni podaci budu smešteni u zonskom fajlu
  • koristi Active Directory Replication umesto zonskog transfera
  • dozvoljava samo sigurno dinamičko ažuriranje (umesto sigurnog i nesigurnog ažuriranja na običnoj primarnoj DNS zoni).

 

Šta su to Forward i Reverse Lookup zone

Šta su to Forward i Reverse Lookup zone: nakon što smo odlučili da li će naša zona biti primarna, sekundarna ili stub zona, moramo da odlučimo tip Lookup zone u koji će biti smešteni zapisi. Zapisi mogu da se smeste ili u Forward Lookup zonu ili u Reverse Lookup zonu. Forward Lookup zone razrešavaju host imena u IP adrese i hostuju najčešće sledeće zapise: A, CNAMES, SRV, MX, SOA, NS. Reverse Lookup zone razrešavaju IP adrese u domen imena i hostuju SOA, NS & PTR zapise.

Administratori mogu da smeštaju prevode (host ime u IP adresu) koji će prevoditi host ime u IP adresu ili IP adresu u host ime. Možemo da izaberemo tip prevođenja koji nam je potreban za zonu, u zavisnosti od toga kako želimo da naši klijenti i servisi šalju zahteve za zapisima u DNS zoni.

Forward Lookup zone: u DNS-u, forward lookup je upitni proces u kojem se Display ime za DNS Domen host kompjutera pretražuje da bi se pronašla odgovarajuća IP adresa. U DNS Manager-u, forward lookup zone se zasnivaju na DNS domenskim imenima i tipično sadrži Host Address (A) zapise.

Reverse Lookup zone: u DNS-u, reverse lookup je upitni proces  u kojem se IP adresa host kompjutera pretražuje da bi se pronašlo odgovarajuće Display ime za DNS domen. U DNS Manager-u, Reverse Lookup zone se zanivaju na in-addr.arpa domenskom imenu i tipično sadrže PTR zapise.

Na slici dole vidimo šta su to Reverse i Forward Lookup zone:

 

 Slika 06.02

Šta su to stub zone

Stub zona je kopija zone koja sadrži samo one zapise resursa koji su potrebni da bi mogli da se identifikuju autoritativni DNS serveri za tu zonu. Stub zona razrešava imena između odvojenih DNS adresnih prostora, što može da bude neophodno kada dve kompanije koje se integrišu (sjedinjuju) zahtevaju da DNS serveri za dva odvojena DNS adresna prostora razrešavaju imena za klijente u oba adresna prostora.

 

Delegiranje DNS zona (DNS Zone Delegation)

DNS je hijerarhijski sistem i delegiranje zona konektuje DNS slojeve zajedno. Zone Delegation (delegiranje zona) ukazuje na sledeći hijerarhijski nivo ispod i identifikuje Name servere (NS) koji su odgovorni za Lower-level domen. DNS nudi opciju kojom možemo da podelimo adresni prostor na jednu ili više zona, u koje nakon toga možemo da smestimo, distribuiramo i repliciramo na druge DNS servere.

Kada odlučujemo da li da podelimo DNS adresni prostor (Namespace) i napravimo dodatne zone, potrebno je da obratimo pažnju na sledeće razloge korišćenja dodanih zona:

  • Potreba za delegiranjem upravljanja dela DNS adresnog prostora na drugu lokaciju ili drugo odeljenje unutar organizacije.
  • Potreba za deljenjem jedne velike zone na manje zone za distribuiranje opterećenja saobraćaja između više servera što poboljšava performansu DNS razrešavanje imena (Name-resolution) i kreira DNS okruženje koje je otporno na greške (Fault Tolerance).
  • Potreba za proširenjem adresnog prostora dodavanjem mnogobrojnih poddona odjednom da bi podržali otvaranje nove manje kancelarije ili novog sajta.

Slika 06.03

Dodaj komentar Sviđa mi se - (4) Ne sviđa mi se - (3)    

  • Konfiguracija DNS zona 1
  • Konfiguracija DNS zona 2
  • Konfiguracija DNS zona 3
  • Konfiguracija DNS zona 4