Imena koja se koriste u DNS-u su predstavljena hijerarhijskom strukturom, počevši od "korena domenskog imena" kroz seriju adresnih prostora (namespace-a) pa do individualnih zapisa za određeni kompjuter (host) ili mrežni servis. Ime kao što je na primer podrska.link-group.com ljudi čitaju s leva na desno, počevši od specifičnog imena hosta podrska  ka generičkom delu imena com. Domenska imena se pak razrešavaju počevši od "korena" DNS prostora imena (namespace) tj. od opšteg imena top-level domain-a (com) preko specifičnijeg imena domena (link-group) pa sve do imena samog hosta (podrska) koji pruža određenu mrežnu uslugu.

Top-level domains (TLDs) kao što je .com su regulisana međunarodnim institucijama nadležnim za Internet (http://www.iana.org), što znači da postoji ograničeni broj mogućih Top Level Domena (TLDs), koja uključuju .com, .net, .org, .gov, .mil, ili .edu. Svaka država takođe ima zasebni TLD kao što je na primer .rs, .ro, .us, .ca, .uk. .au, ili .za.

Kako bi DNS server bio u mogućnosti da razreši upite klijenata, na primer da na upit klijenta odgovori IP adresom traženog kompjutera, DNS server mora da sadrži bazu podataka sa zapisima u kojima su IP adrese uparene sa domenskim imenima računara. Takva baza podataka se naziva zona (zone). Zona je dakle baza podataka koja podržava razrešenje posebnih delova DNS prostora imena, počevši od specifičnog domena kao što je link-group.com. DNS server koji sadrži zonu za domen se naziva autoritativni (authoritative) DNS server za taj domen.

Kao i sva tradicionalna rešenja DNS implementacije, tako i Windows DNS server smešta svoju zonsku bazu podataka u posebnu datoteku. U tom slučaju samo jedan DNS server može da upisuje podatke u tu zonu, tj. onaj DNS server koji hostuje primarnu DNS zonu  (primary zone). Drugi DNS serveri u domenu i/ili domenskoj šumi kopiraju tu zonu i kreiraju readonly tj. neizmenljivu kopiju koja se zove sekundarna zona (secondary zone). Proces kopiranja se naziva zonski transfer a DNS server koji prepisuje zonu zahteva dozvolu za tu operaciju od DNS servera sa kog kopira zonu.

Kada se DNS zona nalazi na domenskom kontroleru, postoji mogućnost da se DNS baza podataka integriše u bazu podataka Aktivnog Direktorijuma, čime se kreira AD integrisana DNS zona (Active Directory integrated zone) i u tom slučaju se podaci iz zone repliciraju na isti multimaster  način kao i ostali podaci Aktivnog direktorijuma. Ovo je naročito važno ukoliko je omogućeno dinamičko ažuriranje (dynamic updates) zato što će klijentski računari registrovati svoje DNS zapise  na primaarnom DNS serveru koji se nalazi na njihovom sajtu. DNS zona se takođe replicira inkrementalno, što znači da se repliciraju tj. kopiraju samo oni zapisi koji su bili promenjeni, što predstavlja mnogo efikasniji način replikacije u odnosu na tradicionalnu replikaciju u kojoj se prepisuje cela baza podataka tj. ceolokupni transfer zone.


Integracija DNS-a i aktivnog direktorijuma je centralna karakteristika Windows Server 2008. DNS domeni i domeni aktivnog direktorijuma koriste identična domenska imena za različite adresne prostore. Korišćenje identičnih domenskih imena omogućava kompjuterima u Windows Server 2008 mrežama da koriste DNS za lociranje i pronalaženje domenskih kontrolera i drugih kompjutera koji nude Active Directory-related servise.


DNS & Active Directory Namespaces (adresni prostori)

Adresni prostor (Namespace) je hijerarhijska struktura imenovanja u kojoj imena koja se u njoj nalaze mogu biti razrešena u objekte koje ta imena predstavljaju. U Windows Server 2008 DNS domeni i domeni aktivnog direktorijuma imaju istu hijerarhijsku strukturu imena, ali predstavljaju dva različita adresna prostora zato što smeštaju različite informacije koje se odnose na isti fizički objekat.

U DNS adresnom prostoru zone sadrže informacije o imenima jednog ili više DNS domena. DNS zona je deo domenskog adresnog prostora za koji DNS server ima autoritet koji mu omogućava da razrešava DNS upite. U zonama se smeštaju zapisi (Resources Records) za domene i kompjutere koji se nalaze u toj zoni. Zonski zapisi predstavljaju kompjutere i sadrže informacije koji su potrebne da bi DNS Server mogao da razreši DNS upite. DNS zone mogu da sadrže i smeste informacije koje se odnose na kompjutere koji su članovi različitih domena aktivnog direktorijuma.

U AD adresnom prostoru, objekti u aktivnom direktorijumu predstavljaju iste domene i kompjutere koji su predstavljani kao čvorovi (Nodes) u DNS adresnom prostoru (Namespace). Iz tog razloga, DNS domeni i domeni aktivnog direktorijuma dele identična imena.

Drugim rečima, DNS i AD adresni prostori koriste identičnu strukturu imena tako da domeni i kompjuteri mogu da budu predstavljeni i kao DNS čvorovi (Nodes) i kao AD objekti.

Windows Server 2008 podržava iste tipove DNS zona kao i prethodne verzije Microsoft Windows Servera, pored nekoliko novih karakteristika koje uključuju: podršku za IP version 6 (IPv6) i podršku za read-only domenske kontrolere (RODCs). Sledeća tabela pokazuje listu različitih tipova DNS zona koje mogu biti konfigurisane u  Windows Serveru 2008:

Tip zone

Opis 

Primary

 

Primary zone ili primarna DNS zona je osnovni izvor informacija za tu zonu, i ona sadrži master kopiju zonskih podataka u lokalnoj datoteci ili u AD DS. Kada je zona pohranjena u datoteci, ta datoteka je podrazumevano imenovana kao zone_name.dns i nalazi se na putanji
%windir%\System32\Dns folder on the server. 

Secondary

 

Secondary ili sekundarna DNS zona je ustvari sekundarni izvor podataka o toj DNS zoni. Ovakva zona na serveru mora da bude kopirana sa nekog drugog udaljeng DNS servera koji takođe hostuje tu DNS zonu. Server koji hostuje sekundarnu DNS zonu mora da ima mrežni pristup udaljenom računaru  na kome se nalazi primarna DNS zona i koji ga snabdeva ažuriranim informacijama o zoni. Budući da je sekundarna DNS zona samo kopija primarne zone koja se nalazi na drugom serveru, ona ne može da bude smeštena u bazi AD DS. 

Stub

 

Takozvana Stub (čita se Stab) zona je kopija DNS zone koja sadrži samo zapise koji su neophodni za identifikaciju autoritativnih DNS servera u toj zoni.

GlobalNames

 

DNS zona pod nazivom GlobalNames je novost u Windows Serveru 2008 i služi kao podrška za single-label
imena u organizacijama koje još uvek koriste WINS. Za razliku od WINS-a (Windows Internet Naming Service), namena DNS zone GlobalNames je da pruži razrešenje imena single-label za ograničeni broj host imena,  obično servera i Web sajtova kojima se upravlja na centralizovani način. Namena DNS zone GlobalNames nije da se koristi kao rezrešenje imena peer-to-peer  već se najčešće koristi za zapise CNAME kako bi mapirali single-label imena u fully qualified domain name imena (FQDN).

Forward
lookup

Forward lookup zona podržava primarnu funkciju DNS-a, tj. razrešavanje imena u IP adrese.

Reverse
lookup

Reverse lookup zona sadrži pointer (PTR) zapis koji mapira IP adresu imena hosta i njena funkcija je suprotna od Forward lookup zone tj. razrešavanje IP adresa u imena računara. Ova zona je neophodna za neke aplikacije a administratori kreiraju ovu zonu samo ako je neophodna na mreži za neke aplikacije.

 

Aktivni direktorijum i Internet

Integracija DNS-a i aktivnog direktorijuma takođe omogućava da AD domenska struktura egzistira unutar Scope-a Internet adresnog prostora. Ovo je moguće zbog toga što globalni DNS adresni prostor nudi hijerarhijsku strukturu imena na Internetu. Ako organizacija zahteva postojanje na Internetu, onda ona mora da registruje DNS ime koje će se koristiti kao ime Root domena u domenskoj strukturi aktivnog direktorijuma.

Kada Root domen naše strukture aktivnog direktorijuma ima DNS domensko ime koje je registrovano, tada zapisi u relevantnim Top-Level domenima u globalnom internet adresnom prostoru ukazuju (Point) na DNS servere koji su autoritativni za naš Root domen.


DNS Host imena i Windows kompjuterska imena: Iz razloga što Windows Server 2008 integriše DNS i aktivni direktorijum, domeni i kompjuteri su predstavljeni zapisima u DNS adresnom prostoru i kao objekti aktivnog direktorijuma u AD adresnom prostoru. Odatle, DNS Host ime za kompjuter je isto ime koje se koristi za kompjuterki nalog koji je smešten u aktivnom direktorijumu.

Drugim rečima, kompjuter je predstavljen u DNS adresnom prostoru i u AD adresnom prostoru istim imenom. Na primer, kompjuter koji se zove Kompjuter1 koji je član domena aktivnog direktorijuma koji se naziva prodaja.linkgroup.com ima sledeće FQDN (Fully Qualified Domain Name): kompjuter1.prodaja.linkgroup.com

Integracija DNS i aktivnog direktorijuma je suštinska iz razloga što klijentski kompjuter u Windows Server 2003 mreži mora da bude u mogućnosti da locira domenski kontroler da bi mogao da koristi servise koje mu pruža aktivni direktorijum. Da bi locirao domenski kontroler, klijentski kompjuter koristi DNS da bi dobio IP adresu kompjutera koji nudi potrebni servis unutar aktivnog direktorijuma.


DNS razrešavanje imena u aktivnom direktorijumu

Kao dodatak identifikovanju koristeći FQDN u DNS-u i koristeći Windows Server 2008 kompletno ime kompjutera, domenski kontroleri se takođe identifikuju pomoću specifičnih servisa koje nude. Windows Server 2008 koristi DNS da bi locirao domenski kontroler i za razrešavanje domenskog ili kompjuterskog imena u IP adresu. Ovaj proces se odrađuje pomoću SRV (Service) zapisa, koji mapira odgovarajući servis sa domenskim kontrolerom koji nudi taj servis. Format SRV zapisa sadrži informacije kao i TCP-IP specifične informacije.

Kada se startuje Domenski kontrolor, Net Logon servis koji radi na domenskom kontroleru koristi DNS karakteristiku dinamaičkog ažuriranja (Dynamic Update) da bi registrovao unutar DNS baze podataka SRV zapis za sve AD servise koje nudi domenski kontroler. Iz tog razloga kompjuter na kom radi neki od operativnih Windows sistema, postavlja upit DNS serveru kada mora da kontaktira domenski kontroler.


Service Location (SRV) Resource Records

AD DS ne može da funkcioniše bez pouzdane DNS konfiguracije. DNS je kritično važan u AD DS zato što DNS nudi informacije koje su potrebne kompjuterima na mreži koji moraju da lociraju AD DS domenske kontrolere. Ova lekcija nudi detaljan pogled na informacije koje su smeštene u DNS serveru i proces koji klijentski kompjuteri koriste da lociraju domenske kontrolere.

Da bi omogućio pronalaženje lokacije domenskih kontrolera, AD DS koristi Service Location ili SRV zapise. SRV zapis, koji je opisan u RFC 2728 „DNS RR for Specifying the Location of Service (DNS SRV) na adresi http://www.ietf.org/rfc/rfc2782.txt, koristi se za identifikovanje kompjutera koji nude servis na TCp-IP meži. U Windows Server 2008, svi domenski kontroleri registruju SRV zapise u DNS-u koji identifikuje kompjutere koji nude AD DS servis. Svaki SRV zapis koristi standardni format, koji je objašnjen u sledećoj tabeli:

Komponenta

Primer

Objašnjenje 

Service

 

_LDAP

 

Servis koji ovaj zapis identifikuje. Ovaj servis identifikuje server kao server koji odgovara na LDAP zahteve.

Protocol

_tcp

Protokol koji se koristi za ovaj servis. Može biti UDP ili TCP. 

Name

Adatum.com 

Ima domena na koji se zapis odnosi. 

TTL

600 Podrazumevano vreme trajanja zapisa u sekundama.
Class IN  Standardna DNS internet klasa.

Resource

Record SRV

Identifikuje zapis kao SRV zapis.

Priority

 
0

Identifikuje prioritet zapisa za klijenta. Ako postoji više SRV zapisa za isti servis, klijenti će izabrati zapise koji imaju najniži prioritet.

Weight  100

Load-Balancing mehanizam. Ako više SRV zapisa postoji za isti servis i prioritet je identičan za sve zapise, klijenti će izabrati zapise sa višim Weights-om.

Port

389

Port koji se koristi za ovaj servis.

Target

SEA-DC1.Adatum.com

Host koji nudi servis koji je identifikovan zapisom. 

 

Poenta je, dakle, da informacije u ovom zapisu kažu da ako klijent traži LDAP server u Adatum.com domenu, klijent bi trebalo da se konektuje na kompjuter pod imenom SEA-DC1.Adatum.com.


SRV Zapis registruje AD DS domenski kontroler

Domenski kontroleri u Windows Server 2008 domenu registruju mnogo SRV zapisa u DNS-u. Prvi deo jednog SRV zapisa identifikuje servis na koji se odnosi SRV zapis. Mogući servisi su:

  • _ldap: AD DS je LDAP kompatibilni direktorijumski servis i domenski kontroleri rade kao LDAP serveri. _ldap SRV zapisi identifikuju dostupan LDAP server na mreži. Ovi serveri mogu biti Windows Server 2008 domenski kontroleri, ranije verzije Windows domenskih kontrolera i drugi LDAP serveri.
  • _kerberos: Primarni autentifikacioni protokol za sve Windows 2000 i novije klijente i servere. Kerberos SRV zapisi identifikuju sve Key Distribution Centers (KDCs) na mreži. Ovo mogu biti Windows Server 2008 domenski kontroleri, ranije verzije Windows domenskih kontrolera i drugi KDC serveri.
  • _kpasswd: Ovaj SRV zapis identifikuje Kerberos Password-change servere na mreži.
  • _gc: Ovaj SRV zapis se odnosi na funkcije globalnog kataloga u AD DS. Samo Windows Server 2008 ili ranije verzije Windows domenskih kontrolera koji su konfigurisani kao globalni katalozi registuju ovaj zapis u DNS-u.


Mnogi SRV zapisi takođe poseduju i sajt identifikator kao dodatak komponentama koje su opisane u gornjoj tabeli. Jedan od razloga implementacije sajtova je osiguravanje da će mrežni klijenti uvek pokušati da se prijave na domenskom kontroleru koji se nalazi u istom sajtu kao i klijent. Sajt zapisi su jako važni da bi kompjuteri mogli da lociraju domenske kontrolere iz istog sajta u kom se i klijent nalazi.

Sledeća jako bitna komponenta SRV zapisa je _msdcs iznos koji se nalazi u mnogim zapisima. Neki od servisa koji su predstavljeni SRV zapisima su Non-Microsoft Specific. Na primer, možda će postojati Non-Microsoft implementirani LDAP ili Kerberos serveri na mreži. Ovi serveri takođe mogu da registruju svoje SRV zapise na DNS serveru. Windows Server 2008 domenski kontroleri registruju Generic zapise, ali domenski kontroleri takođe registruju zapise koji sadrže _msdcs referencu. Ovi zapisi se odnose samo na Non-Microsoft uloge.

Sledeći zapis koji je registrovan sadrži Domain Globally Unique Identifier (GUID). Ovaj zapis omogućava klijentu da locira domenski kontroler u domenu na osnovu njegovog GUID-a. Domenski GUID zapis se koristi za lociranje domenskih kontrolera u slučaju promene imena domena.

Windows Server 2008 Domenski kontroleri takođe registruju sledeće DNS Host (A-AAAA) zapise koji mogu da koriste LDAP klijenti koji ne podržavaju DNS SRV zapise:

  • DNSDomainname 600 IN A IPv4Address: Omogućava klijentima koji ne podržavaju SRV zapise lociranje domenskih kontrolera u domenu korišćenjem A zapisa.
  • DNSDomainname 600 IN AAAA IPv6Address: Omogućava klijentima koji ne podržavaju SRV zapise da lociraju domenski kontroler u domenu korišćenjem AAAA zapisa. Domenski kontroleri na kojima je konfigurisan IPv6 ne registruje Link-Local IPv6 adrese, ali će registrovati statički konfigurisane IPv6 adrese. Ovi Host zapisi su registrovani za AD DS ime domena.
  • Gc._msdcs.DnsForestName: Omogućava klijentima koji ne podržavaju SRV zapise da lociraju globalni katalog server u šumi korišćenjem njegovog A zapisa. Ime u ovoj formi se vraća LDAP klijentu preko LDAP Referral-a.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Integracija DNS i aktivnog direktorijuma 1
  • Integracija DNS i aktivnog direktorijuma 2
  • Integracija DNS i aktivnog direktorijuma 3