A DNS névkiszolgálók

Az előbbiekben már említésre került, hogy az Active Directory működésé-hez elengedhetetlen egy DNS névkiszolgáló a hálózatban, mivel a címtár tarto-mány-hierarchiáját a DNS névtér-struktúrájában tárolja, amely teljesen megfe-leltethető neki. A DNS névkiszolgálónak tehát az internetes névfeloldáson túl feladata lesz az is, hogy tárolnia kell a hálózatban az adott tartományra vonat-kozó adatokat is.

A DNS névkiszolgálók a tartományokat ún. zónákban (Zone) tárolják, ame-lyek legalább egy, de akár több tartomány adatait is tartalmazhatják. (Ezek közé tartozhat egy tartomány akár összes altartománya is.) Az adott kiszolgáló ha-táskörébe ezek a tartományok tartoznak. Más szóval ezekért a tartományokért az adott névkiszolgáló felel.

Egy zónában kezelhetők például az alábbi DNS-tartományok: vall.ceg.tld, marketing.vall.ceg.tld, ertekesites.vall.ceg.tld. (ábra)

Összefoglalva a zóna egy összefüggő névhierarchiát, vagy annak egy össze-függő részét tartalmazza. Így akár egyetlen zónában is tárolható egy AD tarto-mányfa teljes névtere.

Abban az esetben, ha az AD tartománystruktúra egy erdő, azaz több gyö-kértartományt tartalmaz, akkor minden gyökértartományhoz külön zóna szük-séges.

65. ábra: Két tartományfából álló erdő, minden gyökértartományhoz, külön zóna szükséges

A DNS névkiszolgálókon minden zónának egy adatbázis felel meg, amelyet a kiszolgáló az ún. zónaállományban tárol. Ezekből több is lehet egy kiszolgálón.

Az adatbázisban a zónához tartozó számítógépek bejegyzései találhatók. Azaz pl. az IPv4 cím típusú rekord (IPv4 Address – A), amely az IPv4-es címet és a hozzátartozó nevet tárolja.

Minden zónának lehetnek elsődleges (Primary zone) és másodlagos (Secondary zone) példányai. Az elsődleges zóna az adatbázis eredeti példánya.

Az elsődleges zónát kezelő névkiszolgáló a zóna elsődleges, míg a másodlagos zónát kezelő a zóna másodlagos DNS névkiszolgálója. A zóna módosításai min-den esetben az elsődleges névkiszolgálón történnek, míg a másodlagos kiszol-gáló a zónafájl átmásolásával rendszeresen frissíti saját példányát.

Ugyan minden tartomány tartozhat külön zónába és minden zóna tárolha-tó külön DNS névkiszolgálón, azaz minden tartománynak lehet saját névkiszol-gálója, ez azonban a teljesítmény és a kihasználtság szempontjából vizsgálva nem feltétlenül a legjobb megoldás. Abban az esetben, ha pl. az AD tartomány-fa minden tartománya azonos telephelyen található és nagysebességű helyi hálózaton van összekapcsolva, akkor teljesen felesleges minden tartományhoz külön kiszolgáló.

Általános esetben az mondható el, hogy érdemes a lehető legkevesebb zó-nát használ. Ez azt jelenti, hogy minden tartományfát lehetőleg egy zónában kell tárolni. Ebből következik, hogy ha az erdő egy tartományfát tartalmaz, ak-kor akár az egész AD címtárat kiszolgálhatja egy DNS névkiszolgáló. Ez azonban megbízhatósági szempontokat figyelembe véve nem a legjobb választás, hiszen

az egyetlen névkiszolgáló bármilyen okból történő elérhetetlensége az egész címtár működésképtelenségét vonja maga után. Célszerű lehet a DNS azon tulajdonságát kihasználni, hogy az elsődleges névkiszolgáló mellett egy automa-tikusan frissülő másodlagos névkiszolgáló is működhet, azonban a Microsoft DNS névkiszolgálóját használva még ennél is jobb megoldás létezik. Az ajánlott konfiguráció ebben az esetben az, hogy mivel a gyártó tanácsai szerint úgyis legalább két tartományvezérlőre van szükség tartományonként, ezért az ezekre a tartományvezérlőkre az AD-ba integrálva telepített DNS névkiszolgálók elsőd-leges névkiszolgálóként fognak működni, elsődelsőd-leges zónáik szinkronban tartá-sáról pedig az AD replikációs folyamata gondoskodik. Összefoglalva: egy tarto-mányfa esetén két darab, AD-ba integrált, elsődleges DNS névkiszolgáló biztosítja a DNS megfelelő működését a fenti esetben említett hálózatban.

Amennyiben az AD tartományfa egy több olyan helyi hálózatból álló háló-zatot fed le, melyeket alacsony sávszélességű vonalak kapcsolnak össze, akkor érdemes lehet ezekre a telephelyekre másodlagos DNS névkiszolgáló kihelyezé-se, amely nagyban meggyorsítaná a DNS kérésekre történő válaszadást. A má-sodlagos DNS automatikus frissítése pedig jóval kevesebb sávszélességet fog le, mint a kliensek lekérdezései. Ha az adott helyi hálózat ráadásul egy nagyobb vállalat nagyobb telephelye, akkor a korábban ismertetett módszerrel telepí-tett, külön DNS kiszolgálóval felvértezett tartományvezérlő is kihelyezhető.

Sok esetben az vállalat már rendelkezik DNS névkiszolgálókkal, és ha ezek megfelelnek a korábban említett követelményeknek, akkor használhatók is. Az AD használata miatt azonban célszerű a Microsoft DNS névkiszolgálók használa-ta. A létező névkiszolgálók általában az internetről is láthatóak, hiszen a publi-kus internetes (pl. WWW, FTP) kiszolgálók máskülönben nem lennének elérhe-tőek az internet felől. Felvetődik a kérdés, hogy akár Microsoft DNS névkiszolgáló, akár más névkiszolgáló van használatban, az AD struktúra is olyan kiszolgálón legyen tárolva, amely kívülről is elérhető? Az is kérdés, hogy az AD struktúra gyökértartományának a neve, megegyezzen-e a vállalat inter-netes tartománynevével?

Ezen a szempontokat figyelembe véve a következő lehetőségekre kell oda-figyelni:

A külső (az internet felől is látható) és belső (csak a belső hálózatról látha-tó) névkiszolgálóknak különbözőknek kell lennie. Ha volt már létező DNS névki-szolgáló, amelynek feladata az internetes névfeloldás volt, akkor az maradjon is meg ebben a funkciójában. Ha nem volt ilyen, de szükség van rá, akkor telepí-teni kell. Az belső hálózatban található számítógépek kéréseit a belső névkiszol-gálók szolgálják ki, még akkor is, ha azok külső címekre irányulnak. Utóbbi eset

akkor működhet megfelelően, ha a belső kiszolgálók a külső címekre irányuló kéréseket továbbítják (Forward) a külső kiszolgálónak.

A belső tartományok zónáinak különböznie kell az internetes DNS tarto-mányok zónáitól. Feltehető, hogy az intézménynek van internet kapcsolata és internetes gyökértartomány neve is, amelyet használ internetes szolgáltatásai-nál. Ebben az esetben célszerű egy másik DNS gyökértartomány nevet is bere-gisztrálnia, amely különbözik a használttól (pl.: cegnev.tld az eredetileg hasz-nált, a belső használatra szánt pedig a rovidcegnev.tld), vagy megoldás lehet az eredeti gyökértartomány egy altartományát külön zónába tenni, és azt rendsze-resíteni belső használatra. Utóbbi esetben hiába összefüggő a névtér a külsőleg használt tartománnyal, mivel külön zónában (és az előző szempont szerint kü-lön kiszolgálón) van, nem keveredhet össze a két zóna. Nagyon fontos, hogy valóban ne legyenek átfedések a két zóna között.

Elképzelhető olyan helyzet is, hogy a hálózat nincs összekapcsolva az inter-nettel, de nem túl gyakori, és ha elő is fordul igen ritka, hogy azt a jövőben sem tervezik. Ilyen esetekben lehet használni olyan gyökértartományokat, mint a régebbi ajánlásokban szereplő .intra vagy a .local (ceg.intra vagy ceg.local).

Ilyen gyökértartományokkal gyakran lehet találkozni, mert évekkel (és Windows Server verziókkal) ezelőtt ez volt az ajánlás a tartománynévtér kialakítására.

A belső DNS névkiszolgálót célszerű tartományvezérlőre telepíteni, még-hozzá a korábban ismertetetteknek megfelelően címtárba integráltan. Az ezzel kapott plusz szolgáltatás segítségével, az AD replikáción keresztül történik a zóna példányok szinkronbantartása. Itt kell megjegyezni azonban azt is, hogy az integrált DNS zónák nem terjednek át az erdő más tartományainak tartomány-vezérlőire, ezért a zóna másodpéldánya miatt mindenképpen szükséges lesz a tartományban egy újabb tartományvezérlő és DNS kiszolgáló elhelyezése, amelynek használata amúgy is erősen ajánlott.