Mundarija kirish Asosiy qism dns xizmati
Active bilan dns integratsiyasi katalog
Download 59.98 Kb.
|
DNS xizmati
- Bu sahifa navigatsiya:
- 2.2 Active Directory bilan integratsiyaning afzalliklari
|
2.1 Active bilan dns integratsiyasi katalog
DNS Server xizmati Active Directory katalog xizmatini loyihalash va amalga oshirish bilan birlashtirilgan. Active Directory katalog xizmati korporativ darajadagi tarmoqdagi resurslarni tashkil qilish, boshqarish va joylashtirish vositasidir. Serverga Active Directory-ni o'rnatganingizda, server belgilangan domen uchun domen boshqaruvchisi roliga ko'tariladi. Ushbu jarayon tugagach, foydalanuvchi qo'shilayotgan va ilgari surilayotgan Active Directory domeni uchun DNS domen nomini taqdim etishi so'raladi. Ushbu jarayon davomida, agar ko'rsatilgan domen uchun vakolatli DNS server tarmoqda topilmasa yoki DNS dinamik yangilash protokolini qo'llab-quvvatlamasa, sizdan DNS serverini o'rnatish so'raladi. Ushbu imkoniyat DNS serveri Active Directory domenidagi a'zo serverlar uchun ushbu server yoki boshqa domen kontrollerlarini qidirishi kerakligi sababli taqdim etilgan. Active Directory o'rnatilgandan so'ng, yangi domen boshqaruvchisida DNS-serverni ishga tushirishda zonalar barqarorligi va replikatsiya uchun ikkita variant mavjud: Matn formatidagi fayl yordamida zonani standart saqlash. Ushbu usulda saqlangan zonalar DNS serverida ishlaydigan har bir kompyuterda system_root\System32\Dns papkasida saqlanadigan DNS fayllarida joylashgan. Hudud fayli nomi yaratilganda foydalanuvchi zona uchun tanlagan nomga mos keladi, masalan, mintaqa nomi "example.microsoft.com" bo'lsa, example.microsoft.com.dns. Active Directory ma'lumotlar bazasidan foydalanib, katalog bilan birlashtirilgan zonalarni saqlang. Shu tarzda saqlangan zonalar domen yoki ilovalar katalogi bo'limi ostidagi Active Directory daraxtiga joylashtiriladi. Har bir katalog bilan birlashtirilgan zona dnsZone konteynerida saqlanadi, u yaratilganda foydalanuvchi tanlagan nom bilan aniqlanadi. 2.2 Active Directory bilan integratsiyaning afzalliklari Active Directory katalog xizmatini qo'llab-quvvatlash uchun DNS o'rnatilgan tarmoqlarda quyidagi afzalliklarni ta'minlaydigan katalog xizmati bilan birlashtirilgan asosiy zonalardan foydalanish tavsiya etiladi. Active Directory imkoniyatlariga asoslangan ko'p masterli yangilash va ilg'or xavfsizlik xususiyatlari. Zonaning barqarorligi standart modelida DNS yangilanishlari bitta asosiy model asosida amalga oshiriladi. Ushbu modelda zonaning yagona vakolatli DNS serveri zona uchun asosiy manba sifatida belgilangan. Ushbu server mahalliy diskdagi fayldagi zonaning asosiy nusxasini o'z ichiga oladi. Ushbu modelda birlamchi zona serveri bitta sobit nosozlik nuqtasini ifodalaydi. Agar ushbu server mavjud bo'lmasa, DNS mijozlaridan hududni yangilash so'rovlari qayta ishlanmaydi. Katalog bilan birlashtirilgan zonalarni saqlashda dinamik DNS yangilanishlari multi-master model yordamida amalga oshiriladi. Ushbu modelda har qanday nufuzli DNS-server, masalan, DNS Server xizmatini boshqaruvchi domen boshqaruvchisi zona uchun asosiy manba sifatida belgilangan. Zonaning asosiy nusxasi barcha domen kontrollerlari uchun to'liq takrorlanadigan Active Directory ma'lumotlar bazasida saqlanganligi sababli, zona har qanday domen kontrollerlarida ishlaydigan har qanday DNS serverlari tomonidan yangilanishi mumkin. Ko'p asosiy Active Directory modelidan foydalanilganda, katalogga integratsiyalangan zona uchun asosiy serverlarning har biri, domen boshqaruvchisi onlayn bo'lgan ekan, DNS mijozlarining hududni yangilash uchun so'rovlarini qayta ishlashi mumkin. Bunga qo'shimcha ravishda, kataloglar birlashtirilgan zonalaridan foydalanganda, katalog daraxtidagi dnsZone konteyner ob'ektini himoya qilish uchun ACL'lardan foydalanishingiz mumkin. Ushbu ob'ekt zonaga yoki zonadagi ma'lum bir manba yozuviga tabaqalashtirilgan kirishni ta'minlaydi. Masalan, zonadagi resurs yozuvi uchun ACL faqat ma'lum bir mijoz kompyuteriga yoki xavfsizlik guruhiga, masalan, Domain Admins guruhiga dinamik yangilanishlarga ruxsat berish uchun cheklanishi mumkin. Ushbu xavfsizlik xususiyati standart asosiy zonalar uchun mavjud emas. E'tibor bering, siz zonani katalog bilan birlashtirilgan turga aylantirganingizda, zona yangilanishlari uchun standart sozlamalar faqat xavfsiz yangilanishlarga ruxsat berish uchun o'zgartiriladi. Bundan tashqari, DNS bilan bog'liq Active Directory ob'ektlarida ACL'lardan foydalanilganda, ACL'lar faqat DNS Client xizmatiga qo'llanilishi mumkin. Har safar Active Directory domeniga yangi domen boshqaruvchisi qo'shilganda zonalar takrorlanadi va yangi domen kontrollerlari bilan sinxronlashtiriladi. DNS-ni domen kontrollerlaridan tanlab olib tashlash mumkin bo'lsa-da, katalog xizmati bilan birlashtirilgan zonalar har doim har bir domen kontrollerida saqlanadi. Natijada, zonalarni saqlash va boshqarish qo'shimcha manba emas. Bundan tashqari, katalog xizmatida saqlangan ma'lumotlarni sinxronlashtirish usullari zona yangilanishlarini saqlashning standart usullariga nisbatan ish faoliyatini yaxshilashni ta'minlaydi, bu esa potentsial ravishda butun zonani uzatishni talab qilishi mumkin. DNS zonasi ma'lumotlar bazalarini Active Directory-da saqlash orqali siz tarmoq bo'ylab ma'lumotlar bazasi replikatsiyasini soddalashtirishingiz mumkin. DNS nom maydoni va Active Directory domenlari mustaqil ravishda saqlangan va takrorlanganda, har birini alohida rejalashtirishingiz va boshqarishingizga ishonch hosil qilishingiz kerak. Misol uchun, agar siz bir vaqtning o'zida standart DNS zonasi barqarorligi va Active Directory katalog xizmatidan foydalansangiz, siz ikkita turli xil ma'lumotlar bazasi replikatsiyasi topologiyasini loyihalashingiz, amalga oshirishingiz, sinab ko'rishingiz va boshqarishingiz kerak. Domen kontrollerlari o'rtasida katalog ma'lumotlarini replikatsiya qilish uchun bitta topologiya talab qilinadi va DNS serverlari o'rtasida mintaqaviy ma'lumotlar bazasi replikatsiyasi uchun boshqa topologiya talab qilinishi mumkin. Bu tarmoqning tabiiy o'sishini hisobga olgan holda uning tuzilishini rejalashtirish va loyihalashda qo'shimcha qiyinchiliklarga olib keladi. DNS barqarorligini integratsiyalash orqali DNS va Active Directory uchun boshqaruv va replikatsiya masalalarini birlashtirish, ularni yagona ma'muriy ob'ektga birlashtirish mumkin. Katalog replikatsiyasi standart DNS replikatsiyasiga qaraganda tezroq va samaraliroq. Active Directory replikatsiyasi har bir xususiyat darajasida sodir bo'lganligi sababli, faqat kerakli o'zgarishlar tarqaladi. Biroq, katalog bilan birlashtirilgan zonalar kamroq ma'lumotdan foydalanadi va jo'natadi. Faol Katalog har qanday standart, to'liq DNS xizmatidan foydalanishi mumkin . Misol uchun, siz Windows 2000 Server tarkibiga kiritilgan DNS serveridan foydalanishingiz mumkin, chunki uning modullari bir-biriga mos keladi (saqlash va zonani replikatsiya qilish va h.k.), chunki tanlangan DNS serveri eng so'nggi standartlarga mos kelishi kerak . Masalan, Active uchun Katalogga SRV yozuvlarini qo'llab-quvvatlaydigan DNS server kerak . Ushbu turdagi yozuvlar ( SRV yozuvlar ), RFC 2052 ga muvofiq mijozlarga kerakli tarmoq xizmatlarini topishga imkon beradi. Faolda _ Katalog Har bir Windows 2000 domenining LDAP xizmati DNS xizmatidagi ba'zi SRV yozuvlari bilan ifodalanadi . Bunday yozuvda faol mijozlar bo'lgan domen boshqaruvchisining DNS nomi mavjud Katalog domen boshqaruvchisi kompyuterining IP manzilini topishi mumkin . Kerakli kontroller topilgandan so'ng, faol ma'lumotlarga kirish uchun Unda saqlangan katalog , mijoz LDAP protokolidan foydalanishi mumkin . Windows 2000 Server dinamik xost nomlash xizmatini ham qo'llab-quvvatlaydi, Dynamic DNS . RFC 2136 ga ko'ra , Dinamik DNS masofaviy tizimlarga DNS ma'lumotlar bazasini o'zgartirishga ruxsat berish uchun DNS protokolini kengaytiradi . Masalan, ulanishda ma'lum bir domen boshqaruvchisi o'zi uchun SRV yozuvini qo'shishi mumkin, bu esa administratorni bunday ehtiyojdan xalos qiladi. Shuni qo'shimcha qilish kerakki, DNS server Active bilan ishlatiladi Katalog , faqat SRV yozuvlarini qo'llab-quvvatlashi kerak va nomlardagi pastki chiziq, Dinamik mavjudligi DNS qat'iy talab qilinmaydi: bunday talab faqat tarmoq bilan ishlashni osonlashtiradi. Bu fakt Windows 2000 ni boshqa platformalarda DNS serverlari mavjud bo'lgan heterojen tarmoqlarda o'rnatishda juda muhimdir . Shunday qilib, biz Active Directory bilan birlashtirilgan DNS zonalaridan foydalanishning bir qancha afzalliklarini qayd etishimiz mumkin: Integratsiyalashgan zonalar xavfsiz yangilanishlarni amalga oshirish imkonini beradi. Ya'ni, agar DNS zonasi AD DS ga integratsiyalangan bo'lsa, siz uni faqat xavfsiz yangilanishlardan foydalanish uchun sozlashingiz mumkin va shu bilan tashkilotdagi foydalanuvchilar va kompyuterlarni Active Directory'dagi resurs yozuvlarini yangilashi mumkin bo'lgan boshqarish imkoniyatini ta'minlaysiz; Hududni uzatish jarayoni AD DS replikatsiyasi bilan almashtirilmoqda. Hudud ma'lumotlari matnli faylda emas, balki Active Directoryda saqlanganligi sababli, bunday ma'lumotlar standart AD DS replikatsiya jarayoni yordamida takrorlanadi. Ya'ni, replikatsiyaning o'zi atribut darajasida amalga oshiriladi va faqat zona ma'lumotlarining o'zgarishiga taalluqlidir, shu bilan o'tkazish qobiliyatini tejash va shunga mos ravishda trafikni siqish; Integratsiyalashgan zonalar qo'shimcha xavfsizlikni ta'minlaydi. DNS zonalari to'g'ridan-to'g'ri Active Directoryda saqlanganligi sababli, ACL-lar katalogdagi dnsZone ob'ektini himoya qilish uchun ishlatiladi, bu zonaga donador kirish imkonini beradi; Integratsiyalashgan zonalar DNS serverlarini Multi-Master konfiguratsiyasida sozlash imkonini beradi. AD bilan birlashtirilgan zonalar bilan har bir DNS serveri domen ma'lumotlarining yoziladigan nusxasini oladi, shuning uchun zona ma'lumotlariga o'zgartirishlar tashkilotlar bo'ylab amalga oshirilishi mumkin, bu esa AD DS bo'lmagan DNS serverlarida mumkin emas. Download 59.98 Kb. Do'stlaringiz bilan baham: 
|