Назад | Перейти на главную страницу

AD-интеграция первичной и вторичной DNS по сравнению с заглушками (MS Windows Server)

Я прочитал несколько статей о зонах DNS, интегрированных в AD, включая отличную Зоны заглушки DNS в Windows Server 2003, но я все еще не могу понять всю картину:

Почему интеграция AD (Active Directory) не обеспечила возможность интеграции AD вторичных зон для репликации через AD (а почему были предусмотрены зоны-заглушки с возможностью интеграции AD)?

Почему MS не обеспечила синхронизацию для записей делегированных зон?

Т.е. в тупиковых зонах нет детализации и настраиваемости (тупиковая зона содержит все NS-записи для указанной зоны)

Добавлено позже: зоны-заглушки аналогичны по функциональности делегированию, но зоны-заглушки обязательно включают ссылки на все DNS-серверы в указанном домене, а делегирование - нет. Делегирование более детализировано или требует дополнительных административных усилий?

Зачем вообще нужны второстепенные зоны?

если резервирование обеспечивается первичными зонами, интегрированными в AD с несколькими ведущими?

Обеспечивают ли несколько интегрированных в AD главных контроллеров домена избыточность на случай отказа компьютера с одним из контроллеров домена, интегрированных в AD? Другими словами, содержит ли каждый из контроллеров домена реплику базы данных AD (и интегрированной в AD) базы данных?

Нельзя скопировать вторичную зону (в случае отказа компьютера первичной зоны) и перевести одну из копий в первичную зону?

"Кроме того, хотя большинство DNS-серверов можно настроить для предотвращения передачи зон во вторичные зоны, зоны-заглушки запрашивают только SOA, NS и A-записи для серверов имен, которые без ограничений предоставляются каким-либо сервером имен, поскольку эти записи являются необходим для правильной работы разрешения имен "

Означает ли это, что DNS-серверы нельзя настроить для предотвращения передачи в тупиковые зоны?

Принцип работы репликации с несколькими мастерами в Active Directory сильно отличается от модели первичной / вторичной репликации протокола DNS. Таким образом, вторичная копия записей действительно «вторична» в том смысле, что она всегда обновляется от мастера.
Не совсем понимаю, что вы имеете в виду ... Вы можете уточнить?
Нам нужны вторичные зоны, потому что так работает любой другой DNS-сервер в мире, в том числе стандартный для индустрии BIND. У многих компаний службы BIND работают на больших серверах UNIX, а серверы Windows AD / DNS имеют только вторичную копию.
Да, каждый контроллер домена хранит полную копию всех данных AD и DNS (за некоторыми небольшими исключениями - прочтите глобальные каталоги и роли FSMO).
Вроде ... встроенной команды для этого нет, но вы можете использовать инструменты BIND и копию данных из вторичной зоны, чтобы заполнить новую первичную зону. Однако это не рекомендуется.
Нет, вы по-прежнему полностью контролируете безопасность передачи зоны. В цитируемой строке говорится, что SOA, NS и A-записи, которые указывают на первичный и вторичный серверы имен зоны, всегда доступны для чтения всем клиентам, что означает, что они могут использовать эту информацию для создания своей собственной зоны-заглушки, если захотят. к.