Реализация службы DNS-сервера Windows 2000 базируется не только на утвержденных, но и на еще разрабатываемых стандартах RFC. Поэтому есть ряд проблем, которые могут возникнуть при совместном использовании DNS-серверов Windows 2000 с их другими реализациями. Кроме того, существует ряд ограничений, накладываемых на DNS-серверы службой каталогов Active Directory. В любом случае можно сказать, что максимальной эффективности можно достичь при эксплуатации в сети только DNS-серверов Windows 2000.
Служба DNS-сервера Windows 2000 обеспечивает:
полную совместимость с другими реализациями DNS-серверов, обеспечивающими RFC-совместимые характеристики службы имен DNS;
использование DNS-серверов Windows 2000 для обеспечения службы DNS в Интернете.
Для проверки совместимости группа разработчиков Windows 2000 тестировала службу DNS-сервера Windows 2000 со следующими версиями реализации BIND (Berkeley Internet Name Domain) DNS-сервера:
BIND 4.9.7;
BIND 8.1.2;
BIND 8.2.
Вопросы совместимости и конфигурации, относящиеся к использованию службы DNS-сервера Windows 2000 в других средах или к применению DNS-серверов в Интернете, рассматриваются ниже.
DNS и служба каталогов Active Directory
Служба DNS является обязательной для установки и работы службы каталогов Active Directory. Windows 2000 позволяет установить и настроить службу DNS-сервера в процессе установки Active Directory. Все необходимые зоны добавляются и настраиваются в этом случае автоматически.
Отдельная установка DNS-сервера на компьютере необходима только в том случае, если компьютер не является в данный момент контроллером домена. Этот компьютер может быть повышен до роли контроллера домена в будущем либо может продолжать выполнять функции отдельного DNS-сервера.
Если служба DNS развертывается для поддержки службы каталогов Active Directory, простой способ обеспечения избыточности и отказоустойчивости заключается в установке службы DNS-сервера на каждом контроллере домена. Для каждой подсети хорошим тоном является использование не менее двух серверов - контроллеров домена, которые также работают как DNS-серверы, загружающие и сохраняющие только зоны, интегрированные с Active Directory.
Следуя этим правилам для упрощения конфигурации DNS и Active Directory, можно обеспечить использование DNS-серверами всех преимуществ DNS-серверов Active Directory и Windows 2000, таких как интегрированное сохранение, совместная репликация данных Active Directory и DNS, а также безопасная проверка подлинности при возможности динамических обновлений.
Зонная передача с BIND и другими реализациями DNS-серверов
При передаче зоны между двумя DNS-серверами Windows 2000 служба DNS-сервера всегда использует способ быстрой передачи со сжатием. Он включает передачу в каждом сообщении множественных записей ресурсов для быстрого завершения передачи зоны между серверами. Для DNS-серверов Windows 2000 этот способ по умолчанию используется и при инициализации передачи с другими реализациями DNS-серверов.
При необходимости можно настроить DNS-серверы Windows 2000 на медленную передачу зон с форматом передачи без сжатия. Это позволяет успешно выполнять зонные передачи с DNS-серверами, которые не поддерживают способ быстрой передачи, такими как серверы BIND с версиями, предшествующими 4.9.4.
Поддержка Active Directory другими реализациями DNS-серверов
Во многих больших организациях DNS уже реализуется с помощью других средств, таких как DNS-серверы UNIX, на которых выполняются старые версии ПО BIND. В некоторых случаях эти DNS-серверы не поддерживают требования к DNS для развертывания Active Directory. Эту проблему можно разрешить двумя способами:
обновить все DNS-серверы BIND до версии 8.1.2 или более поздней версии ПО BIND, которое удовлетворяет требованиям DNS для поддержки службы каталогов Active Directory;
по возможности использовать службу DNS-сервера Windows 2000, перенеся все текущие зоны DNS на серверы Windows 2000.
Хотя рекомендуется использовать службу DNS, поддерживающую Active Directory, но можно использовать и другие реализации DNS-серверов. Тогда они должны удовлетворять следующим стандартным спецификациям:
поддержка записей SRV в зоне согласно RFC 2052;
динамические обновления в DNS согласно RFC 2136.
Поддержка динамических обновлений рекомендуется, но не является особо важной. Поддержка записей ресурсов SRV обязательна, т. к. она необходима для базовой поддержки службой DNS службы каталогов Active Directory. Например, DNS-сервер Windows NT 4.0 с пакетом обновления 4, который не поддерживает динамические обновления, удовлетворяет требованиям к DNS службы каталогов Active Directory, поскольку поддержка записей SRV была добавлена в пакете обновления 4 для Windows NT 4.0.
Дополнительное администрирование вручную записей ресурсов SRV необходимо для поддержки в конфигурации DNS правильной работы службы каталогов Active Directory на DNS-сервере, не поддерживающем динамические обновления.
Совместная работа DNS-серверов Windows 2000 с другими реализациями DNS-серверов
Если решено использовать службу DNS-сервера Windows 2000 и управлять ей в конфигурации, где:
существующие DNS-серверы для корневых зон не обновлены или не являются результатом миграции других реализаций DNS;
служба DNS и Windows 2000 Server будут развернуты для управления любыми доменными именами DNS, которые нужно зарегистрировать, обновить и поддерживать для использования со службой каталогов Active Directory,
можно изменить структуру пространства имен DNS одним из следующих способов.
Создать один новый поддомен в текущем домене пространства имен DNS, который будет корнем первого домена Active Directory. Например, если организация зарегистрирована и использует доменное имя второго уровня, такое как fio.ru, можно создать один поддомен, такой как net.fio.ru, и использовать его как корень пространства имен доменов DNS для использования службой каталогов Active Directory. Перед созданием зоны для нового поддомена на компьютере, выполняющем службу DNS-сервера, нужно делегировать эти поддомены в основной зоне для домена второго уровня. В большинстве случаев достаточно уведомить администратора домена второго уровня, чтобы он выполнил для вас делегирование.
Создать нескольких поддоменов на основе домена DNS второго уровня для поддержки регистрации службы каталогов Active Directory в DNS. Например, если организация имеет и использует зарегистрированное доменное имя DNS второго уровня, такое как fio.ru, можно создать дополнительные поддомены, которые делегируются на DNS-серверы Windows 2000 и используются только для регистрации имен DNS, относящихся к Active Directory. Этот способ сложнее реализовать, но он позволяет меньше изменять текущую развернутую инфраструктуру DNS, которая не базируется на Windows. С такой структурой пространства имен можно ограничиться созданием только дополнительных поддоменов и соответствующих зон, необходимых для поддержки структуры службы каталогов Active Directory. Например, в такой конфигурации доменное имя fio.ru представляет доменное имя корня структуры DNS и корня Active Directory вашей организации. В этой конфигурации необходимо сначала создать зоны _msdcs.fio.ru и _ldap._tcp.fio.ru с помощью оснастки DNS на компьютере, выполняющем службу DNS-сервера Windows 2000. Перед созданием этих зон нужно делегировать их в основной зоне для домена второго уровня. В большинстве случаев достаточно уведомить администратора домена второго уровня, чтобы он выполнил для вас делегирование.
Использование DNS в Интернете
Чтобы "обозначить себя" в Интернете, отдельному пользователю или организации необходимо сначала запросить и зарегистрировать доменное имя второго (или третьего) уровня в полномочной службе регистрации имен доменов DNS. Часто эту функцию берет на себя поставщик услуг Интернета, который за дополнительную плату выполняет все работы, связанные с регистрацией.
Чтобы зарегистрировать доменное имя, выполните следующее.
Задача Выбрать еще не зарегистрированное и не используемое доменное имя. Если имеется доступ к Интернету, это просто сделать с помощью службы WHOIS, поддерживаемой на web-узле регистратора доменных имен. Будьте готовы выбрать другое имя, если WHOIS-запрос показал, что выбранное имя уже зарегистрировано и используется. Получить по крайней мере один IP-адрес, действительный для использования в Интернет. Этот адрес требуется для DNS-сервера в Интернете, который требуется назначить узлом основной копии зоны, созданной на базе выбранного доменного имени. Во многих случаях, когда требуемое доменное имя для пользователей регистрируют поставщики услуг Интернета, они могут использовать IP-адреса своих собственных DNS-серверов, разместив зону на них. Предоставить для регистрации IP-адреса по крайней мере двух DNS-серверов (основной и дополнительный), которые будут обслуживать новый домен. Это требование является обязательным для обеспечения правильной конфигурации корневого сервера Интернета и возможности ссылок для всех, запрашивающих зарегистрированное доменное имя в Интернете. После получения одного IP-адреса иногда можно договориться (или поручить это поставщику услуг Интернета) об использовании DNS-сервера другой организации или поставщика услуг Интернета в качестве дополнительного сервера зоны. Кроме того, многие регистраторы доменных имен предоставляют услугу по размещению дополнительной копии зоны на своих серверах. Заполнить регистрационную форму и отправить ее в службу регистрации доменных имен в вашем регионе. Оплата услуг по регистрации доменного имени обычно осуществляется после технического тестирования новой зоны. Регистрация доменного имени действуют в течение ограниченного периода времени и должна периодически обновляться.
Примечание В России вопросами регистрации доменных имен занимается АНО "Региональный Сетевой Информационный Центр" (RU-CENTER) (http://www.nic.ru).
