Перед началом использования службы DNS в сети следует выработать план, согласно которому она будет развертываться и расширяться в дальнейшем. Выполните следующее:
Спланировать пространство имен DNS
Спланировать DNS-зоны
Спланировать DNS-серверы
Определить порядок взаимодействия с другими DNS-серверами
Планирование пространства имен.
Перед началом использования службы DNS в сети нужно определить пространство доменных имен DNS. На данном этапе необходимо решить, как предполагается использовать DNS-имена и какие цели достигаются при использовании DNS.
Выберите первое доменное имя DNS
Определите, будут ли различаться пространства имен внутренней и внешней сети
Определите, будет ли служба DNS использоваться для поддержки службы каталогов Active Directory
Разработайте требования к именам, которые будут применяться при выборе доменных имен DNS для компьютеров
Каждый из этих вопросов обсуждается ниже.
Типовые конфигурации пространств имен.
При планировании пространства имен учитывайте следующее:
будет ли сеть соединена с Интернетом;
будет ли использоваться служба каталогов Active Directory;
потребуется ли доступ к внутренним ресурсам сети из Интернета.
В зависимости от ответов на эти вопросы возможны различные конфигурации внутреннего и внешнего пространств имен DNS. Наиболее типичные конфигурации приведены ниже.
Конфигурация сети
Общее пространство имен
Раздельное пространство имен
Сеть не соединена с Интернетом. Используется служба каталогов Active Directory
Используется произвольное доменное имя DNS, например school123.int
Организация раздельного пространства имен не имеет смысла
Выход в Интернет осуществляется через модем с выделением одного IP-адреса. Никакие внутренние ресурсы сети не должны быть доступны из глобальной сети
Организация общего пространства имен не имеет смысла, т. к. в этом случае DNS-сервер должен быть расположен на компьютере, доступном из локальной сети и через Интернет, что невозможно из-за низкой пропускной способности канала связи
Для внутреннего и внешнего пространства имен используются зарегистрированные доменные имена. Например, внешнее пространство имен - school123.edu.ru , внутреннее - school123.msk.ru
Выход в Интернет осуществляется через выделенный канал с пропускной способностью не ниже 64 Кбит/с. Ряд внутренних ресурсов должен быть доступен из глобальной сети
Используется зарегистрированное доменное имя, например school123.edu.ru . DNS-сервер должен располагаться на компьютере, доступном из локальной сети и через Интернет
Для внутреннего и внешнего пространства имен используются зарегистрированные доменные имена. Например, внешнее пространство имен - school123.edu.ru , внутреннее - school123.msk.ru
Выбор первого доменного имени DNS.
При установке DNS-серверов рекомендуется сначала выбрать и зарегистрировать уникальное имя родительского домена DNS для вашей организации в Интернете, например fio.ru.
После этого можно на основе используемых в организации имен или названий физического расположения сформировать имена поддоменов. Например, если в дерево доменов добавлен поддомен, такой как study.fio.ru (для ресурсов, используемых в процессе обучения), с помощью этого имени можно формировать дополнительные имена поддоменов. Например, можно создать отдельные поддомены для ресурсов, расположенных в разных учебных аудиториях. Так поддомен одного из классов может называться class10.study.fio.ru или physics.study.fio.ru, а поддомен лаборатории в этом классе - lab.physics.study.fio.ru.
Прежде чем выбрать для организации имя родительского домена DNS в Интернете, следует провести поиск и убедиться, что это имя уникально. Пространством имен DNS Интернета в настоящее время управляет Центр сетевой информации Интернета (Internet Network Information Center, InterNIC). В России вопросами регистрации доменных имен занимается АНО "Региональный Сетевой Информационный Центр" (RU-CENTER).
Планирование пространства имен DNS для Active Directory.
Если вы планируете использовать службу каталогов Active Directory, необходимо сначала спланировать пространство имен. Для правильного развертывания пространства имен доменов DNS в Windows Server 2003 должна быть доступна структура Active Directory. Таким образом, начать следует с разработки структуры Active Directory, а затем поддержать ее с помощью соответствующего пространства имен DNS. Затем при проверке, если будут обнаружены непредвиденные или нежелательные результаты в любом из планов, по мере необходимости можно вносить изменения.
В Windows домены Active Directory получают DNS-имена. Начинается имя с зарегистрированного суффикса имени домена DNS, зарезервированного вашей организацией для использования в Интернете, такого как fio.ru, и на основе используемых в организации имен или названий физического расположения формируются полные имена доменов службы каталогов Active Directory.
Например, группа разработчиков может назвать собственный домен dev.fio.ru. Такой способ именования обеспечивает глобальную уникальность имени домена Active Directory. Кроме того, это облегчает использование существующих имен как родительских при создании дополнительных поддоменов и дальнейшее расширение пространства имен при добавлении новых подразделений.
Для небольшой организации, использующей единственный домен или модель с небольшим числом доменов, планирование может быть непосредственным, соответственно подходу, продемонстрированному в предыдущих примерах.
При планировании пространства имен DNS и службы каталогов Active Directory рекомендуется использовать отдельные наборы несовпадающих имен в качестве основы для внутреннего и внешнего использования DNS. Например, можно использовать домен internal.fio.ru для внутренних имен и external.fio.ru для внешних. Явное разделение пространств внутренних и внешних имен позволяет упростить обработку конфигураций, например, применение фильтров доменных имен или списков исключений.
Выбор имен.
Настоятельно рекомендуется использовать только входящие в стандартный набор разрешенных для использования в именах DNS-узлов символы. В RFC 1123 определены следующие разрешенные символы: все прописные латинские буквы (A-Z), строчные буквы (a-z), цифры (0-9) и дефис (-).
Если в вашей организации ранее использовались NetBIOS-имена компьютеров, то может оказаться, что не все они соответствуют требованиям стандартов DNS. В этом случае рекомендуется все имена компьютеров привести к требованиям DNS-стандарта, как более строгого.
Переход к другим правилам именования может занять много времени. Чтобы облегчить этот процесс, служба DNS включает поддержку расширенного набора символов ASCII и символов Unicode. Однако такая поддержка доступна только в сетевой среде Windows 2000, Windows XP, Windows Server 2003, потому что большая часть DNS-серверов и DNS-клиентов базируется на правилах именования, определенных в RFC 1123. Windows контролирует правильность вводимых доменных имен и рекомендует использовать только стандартные DNS-имена. Так, при установке Windows Server 2003 осуществляется проверка введенного имени на соответствие правилам именования и DNS, и NetBIOS.
В Windows NT 4.0, 9x и более ранних версиях для идентификации компьютера использовалось NetBIOS-имя. В Windows 2000 и более поздних версиях для идентификации компьютера может использоваться любое из следующих имен:
NetBIOS-имя компьютера, которое является необязательным и используется для возможности совместной работы с компьютерами под управлением предыдущих версий Windows;
полное имя компьютера, которое представляет собой полное DNS-имя и является основным (стандартным) в Windows 2000 и более поздних версиях Windows.
Дополнительно для идентификации компьютера может использоваться полное доменное имя, состоящее из имени компьютера и DNS-суффикса одного из его подключений. Компьютеры - члены домена автоматически используют доменное имя DNS в качестве DNS-суффикса. Если компьютер не является членом домена, DNS-суффикс можно указать вручную.
Сравнительные характеристики NetBIOS- и DNS-имен представлены в таблице.
Аналогично NetBIOS. Запрещено использование пробела и точки.
Максимальная длина
15 символов
63 символа в имени компьютера, 255 символов в полном доменном имени компьютера.
Служба имен
Служба WINS Широковещание NetBIOS
Служба DNS
Для взаимозаменяемости NetBIOS- и DNS-имен в Windows 2000, Windows XP и Windows Server 2003 был введен новый параметр - NetBIOS-имя компьютера. Его значение (которое не требуется в чистой среде Windows 2000 и более поздних версий) - это первые 15 символов из полного DNS-имени компьютера.
Если длина имен компьютеров не превышает 15 символов, и используются только символы, разрешенные RFC-1123, то переход от пространства имен NetBIOS к пространству имен DNS практически незаметен - используются короткие имена компьютеров, идентичные именам NetBIOS.
Поддержка нескольких пространств имен.
В дополнение к поддержке внутреннего пространства имен DNS, используемого Windows Server 2003 и службой каталогов Active Directory, для многих сетей требуется поддержка разрешения внешних имен DNS. Служба DNS обеспечивает возможность интеграции и использования раздельных пространств имен, позволяющую сопоставлять и внешние, и внутренние DNS-имена.
При выборе способа интеграции пространств имен следует определить, какой из вариантов ближе к вашей ситуации и предполагаемому использованию DNS:
внутреннее пространство имен DNS используется только в вашей сети;
внутреннее пространство имен DNS со ссылками и доступом к внешнему пространству имен, например, со ссылками и отправкой сообщений на DNS-сервер в Интернете;
внешнее пространство имен DNS, используемое только в общей сети, например, в Интернете.
Если DNS будет использоваться только как служба имен в частном пространстве имен, ограничений на планирование и реализацию структуры имен нет. Например, можно выбрать любой стандарт именования DNS, задать конфигурацию DNS-серверов как действительных корневых серверов сетевой структуры DNS, а также сформировать полностью замкнутую структуру и иерархию дерева доменов DNS.
Если вы начнете эксплуатацию внешнего пространства имен DNS или вам понадобится использовать разрешение внешних DNS-имен, придется рассмотреть вопрос совместимости частного и внешнего пространства имен.
Планирование зон DNS.
При первом разделении пространства имен на зоны следует изучить или спрогнозировать структуру трафика в текущей или планируемой сети. Хотя система DNS предназначена для уменьшения широковещательного трафика между локальными подсетями, она также пересылает некоторый дополнительный объем информации между серверами и клиентами, который тоже необходимо принимать во внимание, особенно когда DNS используется в маршрутизируемых сетях.
Чтобы просмотреть трафик DNS, можно использовать статистику DNS-сервера или счетчики производительности DNS в системном мониторе.
Кроме маршрутизации трафика необходимо учесть влияние следующих факторов, специфических для DNS, в особенности, при работе в глобальной сети с медленными линиями связи:
обмен сообщениями между серверами, вызываемый как передачей зон, так и взаимодействием с другими DNS-серверами (например, при включении просмотра WINS);
обмен сообщениями между клиентами и серверами, вызываемый запросами и динамическими обновлениями, которые отправляются DNS-клиентами или DHCP-серверами Windows Server 2003.
На основании полученной информации вы можете определить:
каким образом используемые пространства имен будут разбиты на отдельные зоны DNS;
каким образом зоны DNS будут распределены между DNS-серверами;
где будут размещены дополнительные зоны DNS.
Если при развертывании зон DNS будут использоваться серверы Windows 2000 или Windows Server 2003, необходимо учесть следующие рекомендуемые ограничения, установленные для текущих реализаций DNS Windows 2000, при добавлении новых или расширении текущих зон:
не пытайтесь добавить в зону более 65 553 записей ресурсов;
не пытайтесь добавить или загрузить на любой DNS-сервер более 1000 зон.
При совместном использовании нескольких различных DNS-серверов необходимо помнить, что передачи зон между DNS-серверами Windows Server 2003 и другими DNS-серверами (особенно стандарта BIND) могут выполняться медленнее, чем между одинаковыми серверами.
Служба DNS Windows 2000 и Windows Server 2003 поддерживает добавочные зонные передачи между серверами, реплицирующими стандартную зону. Это средство, позволяющее уменьшить трафик при репликации DNS, должно учитываться при планировании зон.
Планирование серверов для DNS.
При планировании DNS-серверов важно следующее:
Планирование мощности и определение аппаратных требований серверов
Определение числа требуемых DNS-серверов и их роли в сети. При рассмотрении вопроса о числе используемых DNS-серверов необходимо решить, на каких серверах будут находиться основные и дополнительные копии зон. Кроме того, если используется служба каталогов Active Directory, следует определить, будет ли компьютер DNS-сервера выполнять роль контроллера домена
Необходимо решить, где в сети следует расположить DNS-серверы для оптимизации трафика и обеспечения репликации и отказоустойчивости
Необходимо решить, будут ли использоваться только DNS-серверы Windows 2000 / Windows Server 2003 или предполагается их совместное использование с другими реализациями DNS-серверов
Планирование аппаратной конфигурации серверов.
Планирование и развертывание DNS-серверов в сети включает анализ ряда аспектов работы сети и требований к мощности DNS-серверов, которые предполагается в ней использовать. При этом необходимо рассмотреть следующие вопросы:
сколько зон должны загружаться и управляться DNS-сервером;
для каждой зоны, которую сервер загружает для обслуживания, необходимо определить размер (на основании размера файла зоны или числа записей ресурсов, используемых в ней);
сколько интерфейсов должно быть включено на DNS-сервере для прослушивания и обслуживания DNS-клиентов в каждой из подключенных к серверу подсетей;
сколько всего DNS-запросов от клиентов должен обрабатывать DNS-сервер.
В большинстве случаев, когда сервер обрабатывает и загружает большое число зон и приходится часто выполнять динамические обновления для клиентов зоны, наиболее заметное повышение быстродействия сервера дает увеличение объема ОЗУ, т. к. служба DNS-сервера полностью загружает в память все заданные в конфигурации зоны.
Необходимо помнить, что обычно DNS-сервер расходует системную память следующим образом:
около 4 Мб ОЗУ используется при запуске DNS-сервера без загрузки зон;
при создании новой зоны на сервере или добавлении новой записи в существующую зону DNS-сервер расходует дополнительную память;
согласно оценке, при добавлении каждой записи в зону, обслуживаемую сервером, используется примерно 100 байт памяти сервера (например, если на сервере создается зона, содержащая 1000 записей ресурсов, для нее потребуется примерно 100 Кб памяти сервера).
При планировании серверов полезно сначала произвести ряд тестов производительности DNS-сервера, для чего можно использовать относящиеся к DNS-серверу счетчики в средствах наблюдения Windows. Измерения производительности следует проводить на уже развернутых и работающих в вашей сети DNS-серверах Windows 2000 / Windows Server 2003.
Приведенные выше рекомендации гарантируют повышение производительности службы DNS-сервера, но не максимальную производительность. Объем памяти, используемой службой DNS-сервера в каждом конкретном случае, указан приблизительно и зависит от типа записи, длины имени записи, количества записей с одинаковыми именами и т. п. Наряду с планированием DNS-серверов, обслуживающих зоны, имеет смысл рассмотреть возможность использования кэширующих DNS-серверов, которые не содержат зоны DNS. Кэширующие серверы удобны для небольших удаленных сетей, использование DNS в которых сведено к минимуму. Также они позволяют минимизировать накладные расходы на передачу зон.
Где расположить DNS-серверы.
В общем случае DNS-серверы следует размещать в узлах сети, доступных всем клиентам. Наиболее практично использование отдельного DNS-сервера в каждой подсети. При выборе мест для размещения DNS-серверов следует учитывать ряд факторов:
если структура DNS развертывается для поддержки службы каталогов Active Directory, уточните, является ли компьютер DNS-сервера одновременно контроллером домена или будет использован в этой роли в будущем;
могут ли локальные клиенты получить доступ к дополнительному DNS-серверу, если основной не отвечает;
если DNS-сервер расположен в удаленной для некоторых клиентов подсети, то какие другие DNS-серверы будут доступны в случае, когда связь с сетью прервется.
Для всех DNS-серверов, в том числе для тех, в которых нет проблемы использования службы каталогов Active Directory , полезно применять следующие правила планирования и размещения серверов:
Например, если имеется маршрутизированная локальная сеть с надежным высокоскоростным подключением, можно использовать один DNS-сервер для более широкой сетевой области, разбитой на несколько подсетей. Если имеется большое число клиентских узлов в одной подсети, может потребоваться добавление в нее нескольких DNS-серверов для обеспечения резервирования и восстановления при сбое, если основной DNS-сервер перестает отвечать.
При определении числа требуемых DNS-серверов следует оценить эффект зонных передач и трафика запросов DNS на самых медленных подключениях в сети. Хотя DNS разработана для снижения широковещательного трафика между локальными подсетями, при ее использовании возникает специфический трафик между серверами и клиентами, который необходимо учитывать (особенно в глобальных сетях или в локальных сетях со сложной маршрутизацией).
Необходимо рассмотреть эффекты зонных передач по самым медленным подключениям, таким, какие обычно используются в глобальных сетях. Хотя служба DNS поддерживает добавочные зонные передачи, а клиенты и серверы DNS Windows 2000 / Windows Server 2003 могут кэшировать недавно полученные имена, проблемы трафика могут оказаться существенными (особенно при совместном использовании с DHCP), что приводит к необходимости часто выполнять динамические обновления DNS. Одним из вариантов работы с удаленными частями глобальной сети является установка в таких местах DNS-серверов, обеспечивающих службу кэширования DNS.
В большинстве установок для обеспечения отказоустойчивости необходимо иметь не менее двух серверов, управляющих каждой зоной DNS. В структуре DNS предусмотрены два сервера для каждой зоны, один из которых является основным, а второй - резервным или дополнительным. Когда принято решение о количестве используемых серверов, следует оценить требуемую для сети степень отказоустойчивости.
Для улучшения результатов и упрощения администрирования DNS рекомендуется рассмотреть возможность использования службы DNS-сервера Windows Server 2003 ( или Windows 2000) на всех DNS-серверах локальной сети.
При администрировании файлов зон, созданных службой DNS, рекомендуется вносить изменения с помощью консоли DNS. Вне зависимости от способа редактирования - вручную или через консоль DNS - следует выбрать один метод и постоянно использовать его для всех файлов. Это позволит избежать ошибок, связанных с перезаписыванием или потерей изменений, что может случиться при одновременном использовании двух способов.
Вопросы взаимодействия.
Реализация службы DNS-сервера Windows Server 2003 базируется не только на утвержденных, но и на еще разрабатываемых стандартах RFC. Поэтому есть ряд проблем, которые могут возникнуть при совместном использовании DNS-серверов Windows Server 2003 (или Windows 2000) с их другими реализациями. Кроме того, существует ряд ограничений, накладываемых на DNS-серверы службой каталогов Active Directory. В любом случае можно сказать, что максимальной эффективности можно достичь при эксплуатации в сети только DNS-серверов Windows Server 2003 / Windows 2000.
Служба DNS-сервера Windows Server 2003 / Windows 2000 обеспечивает:
полную совместимость с другими реализациями DNS-серверов, обеспечивающими RFC-совместимые характеристики службы имен DNS;
использование DNS-серверов для обеспечения службы DNS в Интернете.
DNS-сервер работающий в среде Windows Server 2003 или Windows 2000 полностью совместим со следующими версиями реализации BIND (Berkeley Internet Name Domain) DNS-сервера:
BIND 4.9.4; BIND 8.1.2; BIND 8.2.
Установка службы DNS.
Установка службы DNS может быть произведена во время или после установки сервера. Чтобы установить службу DNS, необходимо соблюдать следующие условия:
протокол TCP/IP должен быть установлен и связан хотя бы с одним сетевым соединением сервера;
протокол TCP/IP должен быть сконфигурирован на использование статического IP-адреса хотя бы для одного сетевого соединения;
в параметрах настройки TCP/IP в качестве DNS-сервера должен быть указан IP-адрес локального компьютера.
Установка службы DNS осуществляется при помощи Мастера установки компонентов Windows. При установке DNS, помимо службы, устанавливается соответствующая оснастка Консоли управления.
После завершения установки можно сразу переходить к начальной настройке DNS.
