Jedna od kritičnih komponenti bilo koje korporativne mreže je DNS poslužitelj. Gotovo sve mrežne aplikacije temelje se na korištenju DNS poslužitelja i njihovih usluga, a ako je DNS poslužitelj nedostupan, gotovo sve mrežne aktivnosti mogu se zaustaviti. Da biste osigurali toleranciju pogrešaka DNS usluga, čak i u slučaju kvara DNS poslužitelja, morate konfigurirati barem jedan sekundarni DNS poslužitelj za svaku zonu.
Replikacija zona postupak je za ažuriranje sekundarnog DNS poslužitelja u kojem se kopiraju i ažuriraju svi DNS zapisi s primarnog DNS poslužitelja. U slučaju da vaša zona sadrži veliki broj zapisa koji se prilično često ažuriraju (na primjer, dinamični DNS klijenti), morate razmotriti pitanja učinkovite uporabe mreže za promet replikacije DNS zone. Za optimalne performanse, preporuča se da domaćinu DNS poslužite na kontrolerima domena i koristite integrirane zone Active Directory. Integrirane zone Active Directory dizajnirane su za automatsko i sigurno kopiranje DNS zona. Microsoft DNS raspoređuje sljedeće zone replikacije:
■ Svim DNS poslužiteljima u ovoj šumi (na sve DNS poslužitelje u šumi) replikacija se izvodi na sve DNS poslužitelje u šumi Active Directory, na kontrolere domena s Microsoft Windows Server 2003 i Windows Server 2008. Ova vrsta replikacije koristi se ako postoji mnogo DNS poslužitelja u mnogim domenama u šumi.
■ u sve DNS Poslužitelji u ovo domena (na sve DNS poslužitelje u ovoj domeni) replikaciju na sve kontrolere domene u trenutnoj domeni. Ova se opcija prema zadanim postavkama koristi za integrirane zone Active Directory-a..
■ u sve domena kontroleri u ovo domena (svim kontrolerima domena u ovoj domeni) - replikacija na sve kontrolere, uključujući i one koji se izvode na Microsoft Windows 2000 Serveru. Ova se opcija koristi samo ako na mreži imate DNS poslužitelj sa sustavom Windows 2000 Server. S ovom se konfiguracijom povećava količina prometa replikacije jer svi DNS zapisi se kopiraju.
■ u sve domena kontroleri u djelokrug od ovo imenik pregrada - Replikacija na sve kontrolere domena u navedenom odjeljku aplikacije, uključujući na poslužitelje koji pokreću Windows 2000 Server. U ovoj se situaciji DNS podaci repliciraju na određene DNS poslužitelje sa sustavom Windows 2000 Server, čime se smanjuje područje replikacije. Ova opcija smanjuje promet replike, ali zahtijeva dodatnu konfiguraciju..
Active Directory integrirane zone mogu se nalaziti samo na kontrolerima domena; Poslužitelji članova domena, kao i pojedinačna računala, ne podržavaju aktivne zone Active Directory-a. U slučaju da ne koristite zone integrirane u Active Directory, replikacija na sekundarne DNS poslužitelje provodi se standardnim prijenosom DNS zona (zonski prijenos), što je standardna metoda za ažuriranje DNS poslužitelja i definira se u RFC 1034 (http: //www.ietf .org / rfc / rfc1034.txt) i RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Microsoftovi DNS poslužitelji podržavaju i inkrementalne prijenose zona, opisane u RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), čiji je cilj smanjiti promet.
Kako djeluje prijenos zone
Standardni DNS upiti koriste ulaz 53 UDP-a, a priključak 53 koristi TCP protokol za prijenos zona. UDP je učinkovitiji za prosljeđivanje DNS upita koji se obično sastoje od dvije komponente: paket zahtjeva poslanog DNS poslužitelju i paket odgovora koji su klijentima poslali. Volumen prometa zonskog prijenosa može biti prilično velik (posebno za prvi zonski prijenos), pa je odlučeno da se iskoriste takve prednosti TCP protokola kao pouzdanost i kontrola prijenosa podataka. Vrijedno je napomenuti da je prijenos zone jedna od potencijalnih ranjivosti u mrežnoj sigurnosti, jer primatelj zone može vidjeti gotovo cjelokupnu strukturu vaše organizacije. Srećom, DNS poslužitelj u sustavu Windows Server 2008 ne dopušta vam prijenos zone na neovlaštene poslužitelje. Da biste stvorili dodatni ešalon zaštite, trebali biste zatvoriti 53 TCP priključka na vanjskim vatrozidima (naravno, ako to ne ometa normalan prijenos zona).
U slučaju da i primarni i sekundarni DNS poslužitelji podržavaju prijenos inkrementalnih zona (ova se funkcija pojavila u sustavu Windows 2000 Server, u BIND 8.2.1 i novijim verzijama), prenosit će se samo promjene u DNS bazi podataka. U slučaju da primarni ili sekundarni DNS poslužitelj ne podržava inkrementalnu replikaciju, cijela će se baza podataka prenijeti svaki put, a s velikim brojem zapisa u zoni, ovaj prijenos može značajno koristiti mrežu.
