AD-integração do DNS primário e secundário vs. zonas de stub (MS Windows Server)

2

Li alguns artigos sobre zonas de DNS integradas no AD, incluindo excelentes zonas de stub de DNS no Windows Server 2003 , mas ainda não tenho certeza de compreender o quadro todo:

1)

Por que a integração do AD (Active Directory) não oferece a possibilidade de integração de AD de zonas secundárias para ser replicada por meio do AD (por que as zonas de stub foram fornecidas com possibilidade de integração de AD?)

2)

Por que o MS não ofereceu sincronização para registros de zona delegada?

Ou seja, não há granularidade e configurabilidade em zonas de stub (a zona de stub contém todos os registros NS para uma zona especificada)

Adicionado mais tarde: As zonas de stub são semelhantes em funcionalidade para delegação, mas as zonas de stub incluem necessariamente referências a todos os servidores de DNS no domínio referenciado, enquanto a delegação não. A delegação é mais granular ou requer desnecessariamente mais esforços de administração?

3)

Por que precisamos de zonas secundárias?

se a redundância for fornecida por zonas primárias integradas AD multi-master?

4)

Vários controladores de domínio mestre integrados ao AD fornecem redundância contra falhas de um computador com um dos DCs integrados ao AD? Em outras palavras, cada um dos controladores de domínio contém uma réplica do databse do AD (e do dns integrado ao AD)?

5)

Não é possível copiar uma zona secundária (em caso de falha do computador na zona primária) e uma cópia é promovida para a zona primária?

6)

  • "Além disso, embora a maioria dos servidores DNS possa ser configurado para impedir transferências de zona para zonas secundárias ocorra, as zonas de stub solicitam apenas SOA, NS e Registros para servidores de nomes, todos que são fornecidos sem restrição por qualquer servidor de nomes desde esses registros são essenciais para o nome resolução para funcionar corretamente "
  •  -

Isso significa que os servidores DNS não podem ser configurados para impedir transferências para zonas de stub?

    

1 resposta

4
  1. A maneira como a replicação de vários mestres do Active Directory funciona é bem diferente do modelo de replicação primário / secundário do protocolo DNS. Portanto, uma cópia secundária dos registros é realmente "secundária", pois é sempre atualizada do mestre.
  2. Não tenho certeza do que você quer dizer ... Você pode esclarecer?
  3. Precisamos de zonas secundárias porque é assim que todos os outros servidores DNS no mundo funcionam, incluindo o padrão da indústria, o BIND. Muitas empresas têm seus serviços BIND executados em grandes servidores UNIX, e os servidores AD / DNS do Windows têm apenas uma cópia secundária.
  4. Sim, cada controlador de domínio mantém uma cópia completa de todos os AD & Dados de DNS (com algumas pequenas exceções - leia-se em Catálogos Globais e funções de FSMO).
  5. Mais ou menos ... não há comando interno para fazer isso, mas você pode usar as ferramentas BIND e uma cópia dos dados do secundário para preencher uma nova zona primária. Não é aconselhável, no entanto.
  6. Não, você ainda tem controle total sobre a segurança da transferência de zona. A linha citada está dizendo que os registros SOA, NS e A, que apontam para os principais & servidores de nomes secundários estão sempre disponíveis para leitura de todos os clientes, o que significa que eles poderiam usar as informações para criar sua própria zona de stub, se quisessem.
por 08.07.2010 / 16:49