Одним з критично важливих компонентів будь-якої корпоративної мережі, є сервер DNS. Практично всі мережеві додатки засновані на використанні серверів DNS і їхніх послугах, і в тому випадку якщо сервер DNS недоступний, практично вся мережева активність може зупинитися. Для того, щоб забезпечити відмовостійкість служб DNS, навіть в разі виходу з ладу сервера DNS, необхідно налаштувати як мінімум один вторинний DNS сервер для кожної зони.
Реплікація зони - це процедура поновлення втраченого (secondary) сервера DNS, при якій копіюються і оновлюються всі DNS записи з первинного (primary) сервера DNS. У тому випадку, якщо у вашій зоні міститься велика кількість записів, який оновлюються досить часто (наприклад, динамічними клієнтами DNS), необхідно продумати питання ефективного використання мережі для трафіку реплікації зон DNS. Для оптимальної продуктивності рекомендується розміщувати DNS сервера на контролерах домену, і використовувати інтегровані зони Active Directory. Інтегровані зони Active Directory розроблені для здійснення автоматичної, безпечної реплікації зон DNS. У службі Microsoft DNS виділяють наступні зони реплікації:
■ To All DNS Servers In This Forest (На всі DNS сервера в лісі) реплікація виконується на всі сервера DNS в лісі Active Directory, на контролери домену з ОС Microsoft Windows Server 2003 і Windows Server 2008. Даний тип реплікації використовується, якщо є безліч серверів DNS в безлічі доменах в лісі.
■ To All DNS Servers In This Domain (На всі DNS сервера в цьому домені) реплікація на всі контролери домену в поточному домені. Дана опція використовується за умовчанням для інтегрованих зон Active Directory.
■ To All Domain Controllers In This Domain (На всі контролери домену в цьому домені) - реплікація на всі контролери, в тому числі, запущені на ОС Microsoft Windows 2000 Server. Дана опція використовується тільки в тому випадку, якщо у вас в мережі є сервера DNS на Windows 2000 Server. При такій конфігурації обсяг трафіку реплікації збільшується, тому що виконується реплікація всіх записів DNS.
■ To All Domain Controllers In The Scope Of This Directory Partition - реплікація на всі контролери домену в зазначеному розділі додатків, в тому числі і на сервера з Windows 2000 Server. У такій ситуації дані DNS реплікуються на певні сервера DNS з Windows 2000 Server, тим самим, зменшуючи область реплікації. Така опція дозволяє зменшити обсяг трафіку реплікації, однак вимагає додаткової настройки.
Інтегровані зони Active Directory можуть знаходиться тільки на контролерах домену; рядові сервера домена, а також окремі комп'ютери не підтримують інтегровані зони Active Directory. У тому випадку, якщо ви не використовуєте інтегровані в Active Directory зони, реплікація на вторинні сервера DNS здійснюється шляхом стандартної передачі зон DNS (zone transfer), яка є стандартним методом поновлення DNS серверів і визначена в RFC тисячі тридцять чотири (http: //www.ietf .org / rfc / rfc1034.txt) і RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Сервера Microsoft DNS також підтримують Інкрементальний передачу зон, описану в RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), яка призначена для зменшення трафіку.
Як працює передача зон
Стандартні запити DNS використовують 53 порт UDP, а для передачі зон використовується 53 порт протоколу TCP. Протокол UDP більш ефективний для пересилання запитів DNS, які зазвичай складаються з двох складових: пакет із запитом, що посилається на сервер DNS, і пакет з відповіддю, що відправляється серверів клієнту. Обсяг трафіку передачі зон може бути досить великим (особливо для першої передачі зони), тому вирішено використовувати такі переваги протоколу TCP, як надійність і контроль передачі даних. Варто зазначити, що передача зони є одним з потенційно уразливих місць в безпеці мережі, адже одержувач зони може побачити практично всю структуру вашої організації. На щастя, DNS сервер в Windows Server 2008 не дозволяє передати зону на неавторизовані сервера. Для створення додаткового ешелону захисту, на зовнішніх міжмережевих екранах слід закрити 53 TCP порт (природно, якщо це не буде перешкоджати нормальній передачі зон).
У тому випадку, якщо і первинний і вторинний DNS-сервера підтримують Інкрементальний передачу зон (ця функція з'явилася в Windows 2000 Server, в BIND 8.2.1 і пізніших версіях), будуть передаватися тільки зміни в базі DNS. У тому випадку, якщо первинний або вторинний DNS сервер не підтримує Інкрементальний реплікацію, кожен раз буде передаватися вся база даних цілком, а при великій кількості записів в зоні, ця передача може істотно утилізувати мережу.
