Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa
Modul: Konfiguracija DNS-a za aktivni direktorijum
Autor: Test Instruktor
Naziv jedinice: Dizajniranje DNS infrastrukture
Materijali vezani uz ovu lekciju:
-
Test dizajniranje dns infrastrukture -
Dizajniranje DNS infrastrukture (PDF dokument)
Nakon što smo odlučili koliko domena ćemo morati da izgradimo i nakon određivanja hijerarhije domena, sledeći korak je dizajniranje DNS infrastrukture za našu mrežu. AD DS u Windows Server 2008 zahteva DNS i svako ime domena je deo DNS adresnog prostora (Namespace). Ključ u dizajniranju je određivanje gde treba postaviti domene unutar adresnog prostora. Kao dodatak dizajniranju adresnog prostora (Namespace), takođe moramo da dizajniramo DNS serversku konfiguraciju. Ako kompanija već poseduje DNS infrastrukturu, možda ćemo morati da dizajniramo naš adresni prostor tako da može da se uklopi u trenutni adresni prostor. Takođe ćemo morati da konfigurišemo Windows Server 2008 DNS servere da rade zajedno sa postojećim DNS serverima.
Prvi korak u dizajniranju DNS infrastrukture je ekspertiza postojeće DNS infrastrukture. Možemo da koristimo DNS Zone Configuration & DNS Server Configuration Worksheets u CurrentNetworkEnvironment.xslx da dokumentujemo DNS konfiguraciju zona.
Dizajn adresnog prostora (DNS Namespace)
Nakon što smo sakupili informacije o trenutnoj DNS infrastrukturi, možemo da počnemo da dizajniramo AD DS adresni prostor.
Interni i eksterni adresni prostor: Jedno od prvih pitanja na koje moramo da odgovorimo pre početka dizajniranja adresnog prostora je da li želimo da koristimo isti interni i eksterni DNS adresni prostor.
Korišćenje istog adresnog prostora interno i eksterno: Neke kompanije će možda izabrati da koriste isto DNS ime i interno i eksterno. U tom slučaju, kompanija bi trebalo da ima samo jedno registrovano DNS ime na Internetu.
Važno: Bez obzira na to da li koristimo interni ili eksterni adresni prostor, naši interni DNS serveri nikada ne bi trebali da budu dostupni eksternim klijentima. Interni DNS serveri Host-uju sve zapise domenskih kontrolera kao i zapise svih ostalih kompjutera na mreži. Samo zapisi koji bi trebalo da budu dostupni sa Interneta su zapisi i resursi koji bi trebalo da budu dostupni na Internetu. Za većinu kompanija, u listi eksterno dostupnih resursa bi trebalo da budu adrese SMTP servera, Web servera i eventualno adrese još nekoliko mogućih servera. Korišćenje istog adresnog prostora ne znači da bi trebalo da koristimo jedan DNS server ili jedan eksterni ii interni zonski File.
Primarna prednost korišćenja istog adresnog prostora i interno i eksterno je da ovo može da ponudi konzistentno iskustvo za krajnje korisnike. Korisnik uvek koristi isto ime domena za sve konekcije ka mreži organizacije. Korisnikova SMTP adresa u korisnikovom UPN-u (User Principal Name) će koristiti isto ime domena kao i na javnom Web sajtu. Kada korisnik mora da pristupi Web-based resursima, korisnik će moći da koristi isto ime i eksterno i interno. Još jedna prednost korišćenja istog adresnog prostora je činjenica da je potrebno registrovati samo jedno DNS ime.
Najveća mana korišćenja istog adresnog prostora odnosi se na sigurnost i opterećenje administratora koji održava DNS servere. Mnoge kompanije su zabrinute za izlaganje internih imena na Internetu i ovo vide kao potencijalni sigurnosni rizik. Korišćenje istog adresnog prostora interno i eksterno može da iskomplikuje DNS administraciju zato što će DNS administratori morati da administriraju dve različite DNS zone unutar jednog domena. Korišćenje istog imena i eksterno i interno može dodatno da iskomplikuje i klijentsku konfiguraciju.
Korišćenje različitog adresnog prostora interno i eksterno: Većina kompanija koristi različiti adresni prostor interno i eksterno. Na primer, kompanija će možda odlučiti da koristi Link-group.rs kao eksterni adresni prostor ili ime Link-group.com ili Link-group.net za interni adresni prostor.
Često se jednistveni adresni prostor bira zbog sigurnosnih razloga - da bi se sprečilo da interni adresni prostor bude dostupan sa Interneta. Takođe, DNS & Proxy konfiguracijama je lakše upravljati ako koristimo jednistveni adresni prostor. Primarna mana ili nedostatak korišćenja jedinstvenog adresnog prostora je to da kompanija mora da registruje dodatna DNS imena. Registracija Internih DNS imena od Internet Naming Authorities nije neophodna, ali se preporučuje. Ako ne izvršimo registraciju imena, a druga kompanija registruje to ime, naši korisnici neće biti u mogućnosti da lociraju resurse na Internetu koji imaju isto ime domena kao interni adresni prostor.
Opcije za dizajniranje adresnog prostora
Imena koja biramo za DNS adresni prostor su fleksibilna i biće određena trenutnom DNS infrastrukturom. Ako nemamo postojeću DNS infrastrukturu i imamo registrovano jedno ime ili više Second-level domenskih imena za našu kompaniju, naš dizajn DNS adresnog prostora će biti veoma jednostavan. U ovom slučaju, možemo da registrujemo Second-level domensko ime kao Root domen i nakon toga da delegiramo imena domena za Child domene u istom drvetu ili dodatna Second-level domen imena za dodatna drveća u šumi domena.
DNS dizajn može da bude dodatno iskomplikovan ako imamo postojeću DNS infrastrukturu. U ovom slučaju, imamo najmanje tri opcije za integraciju sa postojećom infrastrukturom. Prva opcija je korišćenje samo trenutne DNS infrastrukture, uključujući ime domena za AD DS. Alternativno, kompanija može da odluči da koristi isto ime domena, ali želi da pomeri DNS servis na server koji radi pod operativnim sistemom Windows Server 2008. U ovom slučaju, potrebna je veoma mala rekonfiguracija DNS servera. DNS serveri mogu da nastave da koriste iste prosleđivače (Forwarders) ili Root Hint-ove (Root Hints) za razrešavanje DNS imena na Internetu.
Kada konfigurišemo DNS servere za razrešavanje internet imena, imamo dve opcije: možemo da koristimo prosleđivače ili možemo da konfigurišemo DNS server sa Root Hint-ovima. Korišćenje prosleđivača je generalno sigurnije jer možemo da konfigurišemo naše interne DNS servere da prosleđuju zahteve za razrešavanjem internet DNS imena ka jednom ili dva eksterna DNS servera. Ovo može da uprosti konfiguraciju Firewall-a. Korišćenje Root Hint-ova može da rezultuje boljom redundantnošću, to jest većim izborom DNS servera sa istim podacima, jer u slučaju da jedan Root Hint DNS server ne odgovori na zahtev, naš DNS server će jednostavno kontaktirati neki drugi Root Hint DNS server.
Druga opcija u postojećoj DNS infrastrukturi je biranje drugačijeg imena za AD DS domene. Na primer, Linkgroup možda koristi Link-group.com kao trenutni interni DNS adresni prostor i odlučio je da izgradi AD DS domene koristeći ADLink-group.com kao ime domena. U ovom slučaju, DNS server može da se izgradi kao primani Name server za ADLinkgroup.com za delegiranje zapisa (Delegation Records) za NA.ADLinkgroup.com & EME.ADLinkgroup.com. Ovaj DNS server može da bude isti DNS server kao autoritativni server za ADLInkgroup.com ili ćemo možda odlučiti da implementiramo dodatni DNS server. Ako implementiramo dodatni DNS server, za AD DS domen, moramo da konfigurišemo prosleđivače i Root Hint-ove za ovaj DNS server.
Treći DNS dizajn koji možemo da koristimo u postojećoj DNS infrastrukturi je onaj u kom su AD DS domeni deca domeni (Child Domains) u postojećem internom adresnom prostoru. Na primer, Linkgroup će možda odlučiti da kreira poddomen, AD.Linkgroup.com kao domen aktivnog direktorijuma (AD DS). U ovom slučaju, na DNS serveru za Linkgroup.com bi trebalo da se ubaci zapis delegiranja (Delegation Record) za AD.Linkgroup.com domen. DNS server u AD.Linkgroup.com bi trebalo da bude konfigurisan da zahteve za razrešavanjem imena koje ne može sam da razreši, šalje ka DNS serveru u Linkgroup.com domenu.
Integracija sa trenutnom ili već postojećom DNS infrastrukturom
Skoro sve velike kompanije već poseduju DNS infrastrukturu. Ako je kompanija već izgradila aktivni direktorijum, DNS infrastruktura mora da bude prisutna da bi podržala aktivni direktorijum. Kao dodatak, mnoge velike kompanije koriste DNS kako bi ponudile DNS servise koji su potrebni korisnicima za pristup Internetu. U mnogim slučajevima, DNS servisi su ponuđeni korišćenjem BIND DNS servera koji rade na UNIX serverima. Mnoge kompanije sa postojećom BIND DNS infrastrukturom ne razmišljaju o tome da uklone postojeću infrastrukturu i pomere sve na Windows Server 2008. Ovo znači da DNS zahtevi za AD DS moraju da se uklope u postojeću DNS infrastrukturu.
Postoje dve opcije za integraciju trenutne BIND DNS infrastrukture koje moraju da se održavaju. Prva opcija je korišćenje non-Microsoft DNS servera i Host-ovanje potrebnih DNS zonskih informacija za AD DS na tim non-Microsoft DNS serverima. Jedini apsolutni zahtev za integraciju DNS i AD DS je da server mora da podržava SRV zapise. Kao dodatak, verovatno ćemo hteti da osiguramo da DNS serveri takođe podržavaju dinamičko ažuriranje (Dynamic Updates) pogotovo ako planiramo da registrujemo sve klijentske IP adrese u DNS-u i da primenimo inkrementalni zonski transfer. Trenutna infrastruktura koristi BIND DNS servere, BIND 8.1.2 serveri podržavaju SRV zapise i dinamičko ažuriranje. Kao dodatak podršci koja je ponuđena u BIND 8.1.2, BIND 8.2.1 podržava inkrementalne zonske transfere. U slučaju da koristimo ove verzije BIND servera, moći ćemo da nastavimo sa korišćenjem BIND DNS servera.
Druga opcija za integraciju Windows Server 2008 DNS-a sa BIND serverima je izgradnja oba tipa DNS-a. Mnoge kompanije koriste BIND DNS server kao primarni DNS server za interni adresni prostor. Na primer, kompanija Link-group možda koristi BIND DNS server za razrešavanje imena u domenu Linkgroup.com. Ako Link-group odluči da primeni AD DS i da koristi DNS servere koji rade na operativnim sistemima Windows Server 2008, kompanija će na raspolaganju imati brojne opcije. Ako Linkgroup želi da koristi Link-group.com kao AD DS DNS ime, može da pomeri primarnu zonu na DNS server koji radi pod operativnim sistemom Windows Server 2008 i da nastavi da održava BIND DNS server kao sekundarni Name server. Ili DNS server pod OS Windows Server 2008 može da bude sekundarni Name server za BIND DNS server. Linkgroup takođe može da izabere implementaciju AD DS-a koristeći drugo ime domena od onog koje se trenutno koristi na BIND DNS serverima. Na primer, kompanija je možda odlučila da koristi Link-group.net kao AD DS DNS ime. U ovom slučaju, DNS serveri koji rade na Windows Server 2008 mogu se konfigurisati kao autoritativni server za Link-group.net, a BIND serveri kao autoritativni serveri za Link-group.com.