Зона-заглушка DNS, что это такое

Обновлено: 21.11.2024

Зоны-заглушки — это функция DNS, представленная в Windows Server 2003. Зоны-заглушки позволяют организации разрешать имена в частное пространство имен или ускорять преобразование имен в общедоступное пространство имен без использования условных серверов пересылки или вторичных зон.

Когда DNS-сервер получает запрос клиента на адрес хоста, который не является частью его авторитетного пространства имен, он запускает процесс разрешения, начиная с корневого сервера имен, и продолжает этот процесс до тех пор, пока имя не будет разрешено. Когда зона-заглушка настроена, локальный DNS-сервер перенаправит запрос полномочному DNS-серверу для пространства имен домена запроса. Теперь вы думаете про себя, звучит очень похоже на то, что делает условная переадресация. Ну, это своего рода, но разница в том, что когда настроена условная пересылка, для разрешения имен в удаленном домене используется один DNS-сервер. Это означает, что DNS-сервер недоступен при разрешении имен. Когда зона-заглушка настроена, она будет содержать полный список записей сервера имен (NS) из другого домена. Эти записи называются «записями Glue A». Одним из преимуществ использования зоны-заглушки по сравнению с вторичной является передача записей, включающая только связующую запись A (см. рис. 1), тогда как вторичная зона передает всю базу данных зоны (см. рис. 2). Чтобы настроить зону-заглушку и передачу зоны в записи клея A, исходный DNS-сервер должен разрешать передачу зоны. В этом блоге мы рассмотрим, как настроить зону-заглушку в DNS.

Сценарий.

Две организации, USSHQ и Dulce Base, должны иметь возможность совместно использовать ресурсы. Желательны доверительные отношения между двумя организациями доменными службами Active Directory, но ни одно из пространств имен организаций не может быть разрешено с помощью разрешения общедоступных имен. Для настройки разрешения имен доверительных отношений необходимо настроить. Одним из вариантов разрешения имен является использование зоны-заглушки DNS. Зоны-заглушки DNS в каждом домене будут настроены на перенаправление запроса пространства имен другой организации на полномочный DNS-сервер. Для всех других имен, требующих разрешения, будет использоваться метод разрешения имен по умолчанию.

Если компьютер из Dulce Base попытается связаться с компьютером в USSHQ, он не сможет разрешить имя. См. рисунок ниже, тот же результат будет получен в другом направлении.

Настройка исходного DNS-сервера для передачи зоны (действия будут выполняться на обоих DNS-серверах).

  1. Чтобы разрешить передачу зон, установите флажок Разрешить передачу зон. Затем выберите один из следующих вариантов:
    1. Чтобы разрешить перенос зоны на любой сервер, нажмите На любой сервер.
    2. Чтобы разрешить перенос зоны только на DNS-серверы, указанные на вкладке "Серверы имен", выберите "Только на серверы, указанные на вкладке "Серверы имен". Используйте этот параметр, если вы настроили авторитетные серверы имен для этой зоны на вкладке «Серверы имен».
    3. Чтобы разрешить передачу зоны только на определенные DNS-серверы, нажмите Только на следующие серверы, а затем добавьте IP-адрес одного или нескольких DNS-серверов. Используйте этот параметр, если вы не настроили авторитетные серверы имен для этой зоны на вкладке «Серверы имен» или хотите разрешить передачу зон с помощью серверов имен.

    Настройка зоны-заглушки (те же шаги будут выполнены на обоих DNS-серверах).

    Примечание. Если вы хотите, чтобы новая зона-заглушка была активной интегрированной, оставьте флажок «Сохранить зону в Active Directory» или снимите флажок.

    Примечание. Перенос зоны может занять несколько минут, продолжайте обновлять экран и наберитесь терпения.
    Примечание. При просмотре новой зоны-заглушки обратите внимание, что были переданы только записи Start of Authority и NS.

    Теперь разрешение имени будет выполняться с DulceBase.Local на USSHQ.Local.После того как администратор DNS завершит настройку DNS-сервера USSHQ.Local, разрешение имени DNS-сервера будет выполнено с USSHQ.Local на DulceBase.local.

    Как видите, настройка зоны-заглушки — это простое решение для разрешения имен в частной сети, когда не удается разрешить общедоступное имя. Но для этого требуется, чтобы администратор основной зоны разрешил передачу зоны вашей организации, прежде чем зона будет фактически передана.

    Командлет Add-DnsServerStubZone добавляет зону-заглушку. Зона-заглушка — это копия зоны системы доменных имен (DNS), которая содержит только записи ресурсов, идентифицирующие DNS-серверы для этой зоны.

    Вы можете добавить либо зону прямого просмотра, либо зону обратного просмотра. Вы можете добавить либо зону, интегрированную с Active Directory, либо зону с файловой поддержкой.

    Примеры

    Пример 1. Добавление зоны-заглушки с файловой поддержкой

    Пример 2. Добавление зоны-заглушки, интегрированной в Active Directory

    Пример 3. Добавление интегрированной в Active Directory зоны обратного просмотра

    Эта команда добавляет зону-заглушку для сети 2.1.10.in-addr.arpa, которая реплицируется на все DNS-серверы в лесу.

    Параметры

    Запускает командлет как фоновое задание. Используйте этот параметр для запуска команд, выполнение которых занимает много времени.

    Командлет немедленно возвращает объект, представляющий задание, а затем отображает командную строку. Вы можете продолжать работать в сеансе, пока задание завершается. Для управления заданием используйте командлеты *-Job. Чтобы получить результаты задания, используйте командлет Receive-Job.

    Дополнительную информацию о фоновых заданиях Windows PowerShell см. в разделе about_Jobs.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Запускает командлет в удаленном сеансе или на удаленном компьютере. Введите имя компьютера или объект сеанса, например выходные данные командлета New-CimSession или Get-CimSession. По умолчанию используется текущий сеанс на локальном компьютере.

    Тип: CimSession [ ]
    Псевдонимы:Сессия
    Позиция:Имя
    Значение по умолчанию:Нет
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False< /td>

    Указывает DNS-сервер. Если этот параметр не указан, команда выполняется в локальной системе. Вы можете указать IP-адрес или любое значение, которое преобразуется в IP-адрес, например полное доменное имя (FQDN), имя хоста или имя NETBIOS.

    < /tr>

    Запрашивает подтверждение перед запуском командлета.

    Тип: String
    Псевдонимы:Cn
    Позиция:Имя
    Значение по умолчанию:Нет
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False
    < /tr>

    Указывает раздел каталога, в котором будет храниться зона. Используйте этот параметр, если для параметра ReplicationScope задано значение Custom.

    Тип: SwitchParameter
    Псевдонимы:cf
    Позиция:Имя
    Значение по умолчанию:False
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False
    Тип: Строка
    Позиция:4
    Значение по умолчанию:Нет
    Принять ввод конвейера:Истина
    Допускать подстановочные знаки:False

    Указывает, что сервер загружает существующий файл для зоны. В противном случае командлет автоматически создает записи зоны по умолчанию. Этот переключатель актуален только для зон с файловой поддержкой.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:Истина
    Допускать подстановочные знаки:False

    Указывает массив IP-адресов главных серверов зоны. Вы можете использовать как IPv4, так и IPv6.

    Тип: IP-адрес [ ]
    Позиция:2
    Значение по умолчанию:Нет
    Принять ввод конвейера:True< /td>
    Допускать подстановочные знаки:False

    Указывает имя зоны.

    < /tr>

    Указывает идентификатор сети и длину префикса для зоны обратного просмотра. Используйте формат A.B.C.D/prefix для IPv4 или 1111:2222:3333:4444::/prefix для IPv6.

    Для IPv4 командлет создает зоны обратного просмотра только класса A, B, C или D. Если указать префикс между классами, командлет использует более длинный префикс, который делится на 8. Например, значение 10.2.10.0/23 добавляет зону обратного просмотра 10.2.10.0/24, а 10.2.11.0/ 24 зона обратного просмотра не создается. Если вы введете префикс IPv4 длиннее /24, командлет создаст зону обратного просмотра /32.

    Для IPv6 командлет создает зоны ip6.arpa для префиксов от /16 до /128, которые делятся на 4. Если вы укажете префикс, который находится между значениями, командлет использует более длинный префикс, который делится на 4. Для например, ввод значения AAAA::/58 добавляет зону AAAA::/60 ip6.arpa. Если вы не введете префикс, командлет использует значение префикса по умолчанию /128.

    Тип: String
    Псевдонимы:ZoneName
    Позиция:1
    Значение по умолчанию:Нет
    Принимать ввод конвейера:True
    Допускать подстановочные знаки:False
    Тип: Строка
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:Истина
    Допускать подстановочные знаки:False

    Возвращает объект, представляющий элемент, с которым вы работаете. По умолчанию этот командлет не создает никаких выходных данных.

    Тип: SwitchParameter
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    • Пользовательский. Любой настраиваемый раздел каталога, созданный пользователем. Укажите пользовательский раздел каталога с помощью параметра DirectoryPartitionName.
    • Домен. Раздел каталога домена.
    • Лес. Раздел каталога ForestDnsZone.
    • Наследие. Устаревший раздел каталога.

    Указывает максимальное количество одновременных операций, которое может быть установлено для запуска командлета. Если этот параметр опущен или введено значение 0, Windows PowerShell® вычисляет оптимальный предел регулирования для командлета на основе количества командлетов CIM, запущенных на компьютере. Предел регулирования применяется только к текущему командлету, а не к сеансу или компьютеру.

    Тип: Int32
    Позиция:Именованный
    Значение по умолчанию:Нет
    Принять ввод конвейера:False
    Допускать подстановочные знаки:False

    Показывает, что произойдет, если командлет запустится. Командлет не запущен.

    < /tr>

    Указывает имя файла зоны. Этот параметр имеет значение только для файловой системы DNS.

    Впервые появившиеся в Windows Server 2003 зоны-заглушки используются для хранения информации об авторитетных DNS-серверах для других доменов. В зонах-заглушках не могут храниться никакие ресурсные записи, кроме ссылок на авторитетные серверы, в виде записей SOA и NS (SOA для рассматриваемого домена, NS для рассматриваемого домена и его поддоменов). Зона-заглушка копирует, а затем обновляет все записи NS полномочных серверов для зоны с IP-адресов, указанных в зоне

    Вкладка Zone Transfers в свойствах зоны DNS

    конфигурация. Исходные серверы в терминах тупиковой зоны называются главными серверами. И вторичный, и первичный серверы могут играть роль главного сервера, когда дело доходит до настройки зоны-заглушки, но применяется один и тот же аргумент задержки распространения вторичной зоны.

    Как вы, наверное, догадались, тупиковые зоны повышают производительность системы DNS, добавляя в локальную зону список серверов имен часто используемых доменов. Это избавляет DNS-сервер от необходимости выходить в Интернет и опрашивать сначала корневые серверы, затем TLD, SLD и так далее. Зона-заглушка — это своего рода ярлык в системе DNS. Это работает в обоих направлениях: первичный DNS-сервер также может быть настроен с зоной-заглушкой для вложенных дочерних зон, которая будет поддерживать обновленный список NS-серверов, используемых в пространстве имен DNS организации.Это также потенциально экономит время запроса. Рисунок 2-14 иллюстрирует использование тупиковых зон. По сути, используя зоны-заглушки, вы можете настроить делегирование зон, которые не обязательно должны находиться в отношениях родитель-потомок, и поддерживать актуальность записей NS без необходимости вручную настраивать их IP-адреса.

    Использование зон-заглушек экономит время поиска

    Я знаю IP авторитетного NS-сервера, давайте срезать

    Я знаю IP авторитетного NS-сервера, давайте срезать

    И последнее, но не менее важное: зоны-заглушки можно использовать по любой другой причине, которая делает желательной передачу информации сервера имен и ее локальное хранение в других сегментах сети без фактической передачи целых зон.

    В этом руководстве я представлю краткий обзор различных типов зон DNS для Windows Server и Active Directory.

    Это поможет вам лучше понимать DNS и Active Directory и управлять ими.

    Зоны DNS хранят информацию о записи ресурсов DNS. Некоторые распространенные записи DNS включают:

    • Запись A: сопоставление имени с IP-адресом
    • CNAME: сопоставляет псевдоним с каноническим именем.
    • Запись MX: используется для идентификации почтовых серверов.
    • Запись NS: идентифицирует серверы имен для определенной зоны.
    • SOA: начало авторитетных записей
    • TXT: позволяет вставлять любой текст в запись DNS.

    Существует гораздо больше типов записей, и без этих записей ко всему был бы доступ по IP-адресу.

    Зоны DNS позволяют хранить эти записи на одном или нескольких серверах.

    Давайте рассмотрим различные типы зон.

    Интегрированные зоны Active Directory

    Интегрированные зоны Active Directory хранят данные своей зоны в Active Directory. Интегрированные зоны можно реплицировать на все контроллеры домена в домене и лесу. В интегрированных зонах Active Directory используется репликация с несколькими хозяевами. Это означает, что любой контроллер домена, на котором запущена служба DNS-сервера, может записывать обновления в зону, для которой он является полномочным.

    Преимущества интегрированных зон Active Directory

    • Репликация стала быстрее, безопаснее и эффективнее.
    • Улучшенная избыточность благодаря копированию данных зоны на все контроллеры домена.
    • Улучшенная безопасность при включенном безопасном динамическом обновлении
    • Нет необходимости планировать передачу зон или управлять ею.

    Основная зона

    Это основная зона, в которой есть копия данных зоны для чтения и записи. Все изменения зоны вносятся в основную зону и реплицируются в дополнительные зоны.

    Данные зоны хранятся в текстовом файле, расположенном в этой папке c:\windows\system32\DNS на сервере Windows, на котором работает DNS.

    Вторичная зона

    Дополнительная зона — это доступная только для чтения копия основной зоны. Эта зона не может обрабатывать обновления и может получать обновления только из основной зоны. Эта зона может отвечать на запросы разрешения DNS-имен от клиентских узлов, что помогает снизить нагрузку на основную зону. Дополнительные зоны не могут быть интегрированы с Active Directory.

    Заглушка

    Зоны-заглушки аналогичны дополнительным зонам, но в них хранятся только данные частичной зоны. Эти зоны помогают сократить количество передач зон за счет передачи запросов на полномочные серверы. Эти зоны содержат только записи SOA, NS и A.

    Зона прямого просмотра

    Зона прямого просмотра обеспечивает преобразование имени хоста в IP-адрес.

    Зона обратного просмотра

    Зоны обратного просмотра преобразуют IP-адреса в имена хостов.

    Зоны обратного просмотра не так распространены, как прямые запросы, и в большинстве случаев в них нет необходимости.

    Перенос зон

    Перенос зон происходит, если они не интегрированы с Active Directory. При передаче зоны главные DNS-серверы передают данные зоны с главного на дополнительный.

    Передача зоны может произойти в любой из следующих случаев

    • По истечении интервала обновления
    • Когда главный сервер уведомляет об изменении
    • При перезагрузке сервера или перезапуске службы DNS
    • Произошла ручная передача из консоли DNS.

    Рекомендуемый инструмент: отчет о разрешениях NTFS

    Современный графический интерфейс для отчетов о правах доступа к каталогам для ваших серверов Windows. Быстро узнать, какие пользователи и группы имеют права доступа к папкам на удаленных и локальных серверах.

    Читайте также:

    Тип: SwitchParameter
    Псевдонимы:wi
    Позиция:Имя
    Значение по умолчанию:False
    Принимать ввод конвейера:False
    Допускать подстановочные знаки:False