Tjänsten DNS Server är integrerad i designen och installationen av Active Directory Domain Services (AD DS). AD DS är ett företagsomfattande verktyg för att ordna, hantera och hitta resurser i ett nätverk.

När du installerar DNS-servrar (Domain Name System) med AD DS bör du tänka på följande:

  • DNS krävs för att hitta domänkontrollanter.

    I tjänsten Net Logon används DNS-serverstöd för att registrera domänkontrollanter i DNS-domännamnområdet.

  • På DNS-servrar med Windows Server 2003 eller Windows Server 2008 kan AD DS användas för lagring och replikering av zoner.

    Genom att integrera zonerna med AD DS kan du dra nytta av DNS-funktioner, till exempel AD DS-replikering, säkra dynamiska uppdateringar och åldrande och rensning av poster.

Så här fungerar integrering av DNS med AD DS

När du installerar AD DS på en server befordrar du servern till domänkontrollant för en viss domän. Som en del i den här processen uppmanas du att ange ett DNS-domännamn för AD DS-domänen som du ansluter till och som du befordrar servern för, och du får möjlighet att installera DNS-serverrollen. Det här alternativet är tillgängligt eftersom det krävs en DNS-server för att hitta den här servern eller andra domänkontrollanter av medlemmar i en AD DS-domän.

Fördelar med AD DS-integrering

I nätverk där DNS distribueras som stöd för AD DS rekommenderas Directory-integrerade primära zoner starkt. De ger följande fördelar:

  • DNS ger möjlighet till datareplikering mellan flera huvudservrar och förbättrad säkerhet genom funktionerna i AD DS.

    Med en standardmodell för zonlagring utförs DNS-uppdateringar baserat på en uppdateringsmodell med en enda huvudserver. I den här modellen anges en enda auktoritär DNS-server för en zon som den primära källan för zonen. På den här servern är huvudkopian av zonen sparad i en lokal fil. Med den här modellen är den primära servern för zonen en enskild fast punkt som kan leda till fel. Om den här servern inte är tillgänglig bearbetas inte uppdateringsbegäranden från DNS-klienter för zonen.

    Med Directory-integrerad lagring skickas dynamiska uppdateringar till DNS till en AD DS-integrerad DNS-server och replikeras till alla andra AD DS-integrerade servrar genom AD DS-replikering. I den här modellen kan AD DS-integrerade DNS-servrar tillåta dynamiska uppdateringar för zonen. Eftersom huvudkopian av zonen finns i AD DS-databasen, som replikeras fullständigt till alla domänkontrollanter, kan zonen uppdateras av DNS-servrarna på alla domänkontrollanter för domänen. Med uppdateringsmodellen med flera huvudservrar i AD DS kan någon av de primära servrarna för den Directory-integrerade zonen bearbeta begäranden från DNS-klienten om att uppdatera zonen så länge det finns en tillgänglig och åtkomlig domänkontrollant i nätverket.

    När du använder Directory-integrerade zoner kan du använda redigering av ACL-listor (åtkomstkontrollista) när du vill säkra en dnsZone-objektbehållare i katalogträdet. Den här funktionen ger dig avancerad åtkomst till antingen zonen eller en viss resurspost i zonen. En åtkomstkontrollista för en resurspost i zonen kan till exempel begränsas så att dynamiska uppdateringar tillåts endast för en viss klientdator eller säker grupp, till exempel en grupp med domänadministratörer. Den här säkerhetsfunktionen är inte tillgänglig för primära standardzoner.

  • Zoner replikeras och synkroniseras automatiskt till nya domänkontrollanter när en ny zon läggs till i en AD DS-domän.

    Även om du kan välja att ta bort tjänsten DNS Server från en domänkontrollant har Directory-integrerade zoner redan lagrats på varje domänkontrollant. Lagring och hantering av zoner är därför inte ytterligare en resurs. Metoderna som används för att synkronisera Directory-lagrad information ger dessutom förbättringar i prestanda jämfört med standardmetoder för zonuppdateringar, som ibland kräver att hela zonen överförs.

  • Om du integrerar lagring av DNS-zondatabaserna i AD DS kan du effektivisera planeringen av databasreplikering för nätverket.

    När DNS-namnområdet och AD DS-domäner lagras och replikeras separat måste du planera och eventuellt administrera dem separat. Om du till exempel använder vanlig DNS-zonlagring och AD DS i kombination måste du designa, implementera, testa och underhålla två olika topologier för databasreplikering.

    En replikeringstopologi behövs till exempel för replikering av katalogdata mellan domänkontrollanter och en annan topologi för replikering av zondatabaser mellan DNS-servrar. Det här kan skapa extra administrativa komplikationer när du planerar och designar nätverket och för dess eventuella utökning. Genom att integrera DNS-lagring gör du hanteringen och replikeringen enhetlig för både DNS och AD DS, genom att slå samman dem och se dem som en enda administrativ enhet.

  • Directory-integrerad replikering är snabbare och effektivare än vanlig DNS-replikering.

    Eftersom AD DS-replikering utförs per egenskap görs endast relevanta ändringar. Mindre data används och skickas vid uppdateringar av Directory-lagrade zoner.

Endast primära zoner kan lagras i katalogen. Det går inte att lagra sekundära zoner i katalogen från en DNS-server. De måste lagras i standardtextfiler. Med replikeringsmodellen med flera huvudservrar i AD DS försvinner behovet av sekundära zoner eftersom alla zoner lagras i AD DS.

Mer information om hur du konfigurerar DNS för AD DS-integrering finns i Konfigurera en DNS-server för användning med Active Directory Domain Services och Checklista: Lägga till en domänkontrollant med tjänsten DNS Server.

Innehåll