Windows 2000 ADS.

book Page 109 Monday, January 29, 2001 2:17 PM

109

P O G L AV L J E 5

Integracija DNS-a i servisa Active Directory

Lekcija 1: Osnove razreavanja DNS imena Lekcija 3: Replikacija i transfer zona 124

110 114

Lekcija 2: Objanjenje zona i naina njihovog konfigurisanja

Lekcija 4: Nadgledanje i reavanje problema DNS-a za servis Active Directory 129

O ovom poglavlju
U Microsoft Windows 2000 Serveru, servis sistema imena domena (engl. Domain Name System, DNS) integrisan je u servis Active Directory i u njegovu implementaciju. U sluaju da Active Directory i Windows 2000 Server instalirate zajedno:

I I

DNS razreavanje imena je neophodno da bi se mogli locirati Windows 2000 kontroleri domena. Servis Netlogon koristi podrku DNS servera za zapis resursa za servise (SRV) da bi omoguio registraciju kontrolera domena u DNS prostoru imena domena. Servis Active Directory moe da se koristi za smetaj, integrisanje i replikaciju zona.

Ovo poglavlje upoznaje vas sa zonama i postupkom razreavanja DNS imena. U njemu se takoe razmatraju prednosti korienja zona integrisanih u servis Active Directory, a obaviete i praktini rad koji se odnosi na postupak konfigurisanja zona. Na kraju, u ovom poglavlju razmatraju se replikacija i transfer zona, a saznaete i kako se reavaju problemi vezani za konfigurisanje DNS-a u servisu Active Directory.

Pre nego to ponete

Da biste uradili lekcije iz ovog poglavlja, morate da:

I I I

Obavite instalaciju opisanu u odeljku Uvodne napomene o knjizi. Instalirate servis Active Directory prema uputstvima iz poglavlja 4. Imate iskustvo u korienju Microsoftovih upravljakih konzola (MMC).

Windows 2000 ADS.book Page 110 Monday, January 29, 2001 2:17 PM

110

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Lekcija 1: Osnove razreavanja DNS imena

Servis DNS omoguava razreavanje imena klijentima koji imaju sistem Windows 2000. Postupkom razreavanja imena korisnici mogu da pristupe serverima na osnovu njihovih imena, umesto da koriste IP adrese koje se po pravilu teko pamte. Ova lekcija upoznaje vas sa postupkom razreavanja imena.

Kada preete ovu lekciju, moi ete da: I Objasnite postupak razreavanja imena. Predvieno vreme za ovu lekciju je 10 minuta.

Razreavanje imena
Razreavanje imena (engl. name resolution) je postupak kojim se DNS imena prevode u IP adrese. To je slino traenju imena u telefonskom imeniku, u kome je ime pretplatnika povezano sa telefonskim brojem. Na primer, kada se poveete na sajt Microsofta, koristite ime www.microsoft.com. DNS razreava www.microsoft.com u njegovu IP adresu: 207.46.130.149. Korelacija imena i IP adresa uva se u DNS distribuiranoj bazi podataka.

Nain IP adresiranja
IP adresa je identifikator svakog host raunara koji komunicira koristei TCP/IP protokol. Svaka 32-bitna IP adresa interno se deli na dva dela mreni identifikator i matini identifikator.

Mreni identifikator, poznat i kao mrena adresa, definie jedinstveni segment mree u okviru ire TCP/IP Internet-mree (mree sastavljene od vie mrea). Svi sistemi koji se prikljue na mreu i dele pristup toj istoj mrei, u svojoj kompletnoj IP adresi imaju zajedniki mreni identifikator. Njega svaka mrea takoe koristi kao svoj jedinstveni identifikator unutar ireg Internet umreenja. Matinim identifikatorom, koji je poznat i kao host adresa, definisan je TCP/IP vor (radna stanica, server, usmeriva, ili neki drugi TCP/IP ureaj). Matini identifikator svakog ureaja jedinstveno definie pojedine sisteme unutar njihove mree.

Primer 32-bitne IP adrese:

10000011 01101011 00010000 11001000

Da bi se IP adresiranje uprostilo, IP adrese se iskazuju u decimalnim brojevima razdvojenim takama. 32-bitna IP adresa je izdeljena na etiri 1-bitna okteta od po osam elemenata. Ovi okteti se prevode u decimalne brojeve (brojani sistem sa bazom 10) koji su razdvojeni takama. U skladu sa tim, prethodni primer IP adrese preveden u decimalne brojeve razdvojene takama izgleda ovako: 131.107.16.200. U primeru ove IP adrese (131.107.16.200), ukoliko prva dva broja (131.107) IP adrese oznaavaju onaj deo adrese koji je mreni identifikator, onda zadnja dva broja (16.200) IP adrese oznaavaju onaj deo adrese koji je matini identifikator.

Upiti za traenje
Serveri DNS imena reavaju upite za traenje unapred i upite za traenje unazad. Upit za traenje unapred (engl. forward lookup) razreava ime u IP adresu. Upit za traenje unazad (engl. backward lookup) prevodi IP adresu u ime. Server imena moe da raz-

Windows 2000 ADS.book Page 111 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

111

reava upite u zoni za koju ima ovlaenje. Ukoliko server imena ne moe da razrei upit, prosleuje ga ostalim serverima imena koji mogu da ga razree. Server imena keira rezultate upita da bi smanjio DNS saobraaj na mrei.

Traenje unapred
Pri razreavanju imena, DNS servis radi na principu klijent/server. Da bi razreio upit za traenje unapred, klijent dostavlja upit lokalnom serveru imena. On reava upit ili ga prosleuje drugom serveru imena na reavanje. Na slici 5.1 predstavljen je klijent izvan zone microsoft.com, koji zadaje upit serveru imena za IP adresu www.microsoft.com.
2 Osnovni server imena Lokalni server imena

3 Server Com imena 1 5 4 Server imena Microsoft 6

Klijent

Web

Slika 5.1

Razreavanje upita za traenje unapred

Brojevi na slici oznaavaju sledee aktivnosti: 1. Klijent zadaje svom lokalnom serveru imena upit za traenje unapred za ime www.microsoft.com. 2. Na osnovu tog upita, lokalni server imena proverava bazu podataka svoje zone da bi utvrdio da li sadri korelaciju ime IP adresa. Lokalni server imena nema ovlaenje za domen microsoft.com, tako da on upit prosleuje jednom od osnovnih DNS servera zahtevajui razreavanje host imena. Osnovni server imena odgovara upuivanjem imena com na server. 3. Lokalni server imena alje zahtev serveru imena com, koji odgovara upuivanjem imena Microsoft na servere. 4. Lokalni server imena upuuje zahtev serveru imena Microsoft. Server imena Microsoft prima zahtev. Poto server imena Microsoft ima ovlaenje za taj deo prostora imena domena, on vraa IP adresu za www.microsoft.com lokalnom serveru imena. 5. Server imena upuuje klijentu IP adresu za www.microsoft.com. 6. Razreavanje imena je zavreno i klijent moe da pristupi www.microsoft.com.

Windows 2000 ADS.book Page 112 Monday, January 29, 2001 2:17 PM

112

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Keiranje servera imena

Kada server imena obrauje upit, ponekad je potrebno da zada nekoliko upita dok ne dobije odgovor. Sa svakim upitom, server imena otkriva druge servere imena koji imaju ovlaenje za neki deo prostora imena domena. Server imena keira te rezultate upita da bi smanjio mreni saobraaj (slika 5.2).

Upit

TTL

Rezultat Server imena Rezultat Ke Server imena TTL

Slika 5.2

Keiranje rezultata upita

Kada server imena dobije rezultat upita, dolazi do sledeih postupaka: 1. Server imena keira rezultat upita za odreeni period vremena, koji se naziva rok trajanja (engl. Time to Live, TTL).

Napomena Zona koja alje rezultat upita definie TTL, koji moete da konfiguriete
koristei DNS konzolu. Podrazumevana vrednost za TTL je 60 minuta. 2. Kada je server imena keirao rezultat upita, poinje odbrojavanje TTL-a. 3. Kada istekne TTL, server imena brie rezultat upita iz svoje ke memorije. Keiranje rezultata omoguava serveru imena da brzo rei druge upite upuene istom delu prostora imena domena.

Napomena Manje vrednosti TTL-a koristite ukoliko elite da podaci o prostoru imena
domena na mrei budu to aktuelniji. Krai TTL, meutim, poveava optereenje servera imena. Dui TTL smanjuje vreme razreavanja. Meutim, ukoliko doe do promene (na primer, promena u podmrei), klijent nee dobiti aurirane podatke sve dok ne istekne TTL i novi upit bude upuen tom delu prostora imena domena.

Upit za traenje unazad

Upitom za traenje unazad za datu IP adresu pronalazite odgovarajue ime. Alatke za reavanje problema, na primer, program NSLOOKUP koji se aktivira sa komandne linije, koriste upite za traenje unazad da bi kao rezultat vratile imena glavnih raunara. Pored toga, u nekim aplikacijama primenjuju se takve mere bezbednost koje se baziraju na mogunosti povezivanja na imena, a ne na IP adrese.

Windows 2000 ADS.book Page 113 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

113

Poto je distribuirana DNS baza podataka indeksirana na osnovu imena a ne na osnovu IP adresa, upit za traenje unazad zahtevao bi iscrpno pretraivanje svakog imena domena. Da bi se ovaj problem prevaziao, kreiran je specijalni domen drugog nivoa nazvan in-addr.arpa. Domen in-addr.arpa dri se istog hijerarhijskog principa imenovanja kao i ostali prostori imena domena; meutim, on se zasniva na IP adresama, a ne na imenima domena:

I I I

Poddomeni dobijaju imena po brojevima iz IP adrese iskazane decimalnim brojevima koji su razdvojeni takama. Redosled okteta IP adrese je obrnut. Kompanije administriraju poddomene domena in-addr.arpa na osnovu dodeljene IP adrese i maske podmree.

Na primeru na slici 5.3 vidi se kako je u domenu in-addr.arpa prikazana IP adresa 169.254.16.200. Kompanija kojoj je dodeljen adresni opseg od 169.254.16.0 do 169.254.16.255 sa maskom podmree 255.255.255.0 imae ovlaenje za 16.254.169 inaddr.arpa domen.
. Arpa in-addr

169

255

169

254 255

16

169

255

169

200

255

Slika 5.3

Domen in-addr.arpa

Rezime lekcije
U ovoj lekciji nauili ste da je razreavanje imena postupak kojim se imena prevode u IP adrese i da su podaci o vezivanju imena za odgovarajue IP adrese smeteni u distribuiranoj DNS bazi podataka. Saznalii ste da DNS serveri imena reavaju upite za traenje unapred, kao i ta se deava kada klijent zada upit serveru imena za neku IP adresu. Nauili ste, takoe, o keiranju servera imena, kao i to da server imena keira rezultate upita da bi se smanjio saobraaj na mrei. Pored upita za traenje unapred, DNS serveri imena reavaju i upite za traenje unazad. Ova vrsta upita razreava IP adresu i kao rezultat daje ime. Poto je distribuirana DNS baza podataka indeksirana na osnovu imena a ne na osnovu IP adrese, kreiran je specijalni domen drugog nivoa pod nazivom in-addr.arpa. Ovaj domen se pridrava iste eme hijerarhijskog imenovanja kao ostali prostor imena domena; on se, meutim, zasniva na IP adresama umesto na imenima domena.

Windows 2000 ADS.book Page 114 Monday, January 29, 2001 2:17 PM

114

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Lekcija 2: Objanjenje zona i naina njihovog konfigurisanja

DNS servis omoguava da DNS prostor imena bude podeljen u zone koje uvaju podatke o imenima za jedan ili vie DNS domena. Zona postaje ovlaeni izvor podataka o svakom DNS imenu domena koji je obuhvaen zonom. Ova lekcija upoznaje vas sa DNS zonama i nainom njihovog konfigurisanja.

Kada preete ovu lekciju, moi ete da: I Prepoznate tipove zona. I Navedete prednosti zona integrisanih sa servisom Active Directory. I Objasnite delegiranje zona. I Konfiguriete zone. I Konfiguriete dinamiki DNS (DDNS) za zonu. Predvieno vreme za ovu lekciju je 30 minuta.

Zone
U DNS servisu postoji opcija kojom prostor imena moete podeliti u jednu ili vie zona, koje se onda mogu smetati, distribuirati i replicirati na druge DNS servere. DNS prostor imena predstavlja logiku strukturu vaih mrenih resursa, a DNS zone omoguavaju fiziko smetanje tih resursa.

Planiranje zona
Prilikom odluivanja o tome da li da DNS prostor imena podelite u dodatne zone ili ne, uzmite u obzir sledee razloge za korienje dodatnih zona:

I I I

Da li je potrebno da upravljanje delom vaeg DNS prostora imena delegirate na drugu lokaciju ili na drugo odeljenje unutar vae organizacije? Da li je potrebno da jednu veu zonu podelite na manje zone, kako biste time optereenje raspodelili na vie servera, poboljali efikasnost razreavanja DNS imena, ili kreirali DNS okruenje koje je otpornije na greke? Da li je potrebno da prostor imena proirite jednovremenim dodavanjem brojnih poddomena, kao u sluaju otvaranja nove filijale firme ili sajta?

Ukoliko na jedno od ovih pitanja odgovorite potvrdno, verovatno bi trebalo da prostoru imena dodate novu zonu ili da prestruktuirate postojee. Strukturu zona planirajte u skladu sa potrebama vae firme. Postoje dve vrste zona u pogledu naina pretraivanja: zone za traenje unapred i zone za traenje unazad.

Zone za traenje unapred

Zona za traenje unapred (engl. forward lookup zone) omoguava izvravanje upita za traenje unapred. Na serverima imena morate da konfiguriete bar jednu zonu za traenje unapred, da bi DNS servis funkcionisao. Kada instalirate servis Active

Windows 2000 ADS.book Page 115 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

115

Directory koristei Active Directory Installation Wizard i dopustite da arobnjak instalira i konfigurie va DNS server, automatski se kreira zona za traenje unapred na bazi DNS imena koje ste dali serveru.
Da biste napravili novu zonu za traenje unapred:

1. Pritisnite dugme Start, pokaite najpre na Programs, zatim na Administrative Tools, a nakon toga izaberite DNS. 2. Proirite prikaz DNS servera. 3. Pritiskom na desni taster mia najpre izaberite omotnicu Forward Lookup Zone, a zatim New Zone. Otvorie se arobnjak New Zone Wizard koji vas vodi kroz postupke kreiranja zone za traenje unapred. arobnjak vam omoguava sledee opcije konfigurisanja: Zone Type (tip zone), Zone Name (ime zone), Zone File (datoteka zone) i Master DNS Server (glavni DNS server).

Zone Type
Moete da konfiguriete tri tipa zona:

I I I

Active Directory-integrated. Zona integrisana u servis Active Directory je glavna kopija nove zone. Ta zona koristi servis Active Directory za skladitenje i repliciranje datoteka zone. Standard primary. Standardna primarna zona je glavna kopija nove zone koja se uva u obliku tekstualne datoteke. Primarnu zonu administrirate i odravate na raunaru na kome ste zonu kreirali. Standard secondary. Standardna sekundarna zona je duplikat postojee zone. Sekundarne zone slue samo za itanje i uvaju se u obliku standardnih tekstualnih datoteka. Primarna zona mora biti konfigurisana tako da sama kreira sekundarnu zonu. Kada stvarate sekundarnu zonu, morate da odredite DNS server, koji se naziva glavni server (engl. master server), koji e podatke zone preneti serveru imena na kome se nalazi sekundarna zona. Sekundarnu zonu pravite da biste obezbedili redundantnost i da biste smanjili optereenje servera imena na kome se nalazi datoteka baze podataka primarne zone.

Prednosti zona integrisanih u servis Active Directory

Zone integrisane u servis Active Directory preporuuju se za mree koje koriste DNS za podrku servisa Active Directory, jer vam pruaju sledee prednosti:

Auriranje sa vie glavnih primeraka (engl. multimaster update) i poveana bezbednost na bazi mogunosti koje poseduje servis Active Directory.

U standardnom modelu zonskog skladitenja, DNS auriranja se obavljaju na bazi modela sa jednim glavnim primerkom (engl. single master update model). U takvom modelu, samo jedan ovlaeni DNS server u zoni je odreen da bude primarni izvor za tu zonu. Taj server odrava glavni primerak zone u obliku lokalne datoteke. Kod ovog modela, primarni server zone predstavlja fiksnu taku mogueg kvara. Ako taj server postane nedostupan, zahtevi DNS klijenata za auriranjem u toj zoni ne mogu se izvriti. Kod naina skladitenja koji je integrisan sa direktorijumom, DNS se dinamiki aurira na bazi modela sa vie glavnih primeraka. Kod tog modela, svaki ovlaeni DNS server (na primer, kontroler domena sa DNS servisom) moe da bude primarni izvor za tu zonu. Poto se glavni primerak zone odrava u bazi podataka servisa Active Directory, koja se u potpunosti replicira na sve kontrolere domena, zonu moe da aurira DNS ser-

Windows 2000 ADS.book Page 116 Monday, January 29, 2001 2:17 PM

116

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services
vis na bilo kom kontroleru domena u domenu. Kod modela auriranja sa vie glavnih primeraka, svaki primarni server u zoni koja je integrisana sa direktorijumom moe da izvrava zahteve DNS klijenata za auriranjem zone, sve dok je kontroler domena na raspolaganju i pristupaan na mrei. Takoe, u sluaju zone koja je integrisana sa direktorijumom, moete da koristite mogunost ureivanja liste za kontrolu pristupa (ACL), da biste kontrolisali pristup zoni ili odreenim zapisima resursa u zoni. Na primer, ACL za odreeno ime domena u zoni moe da se ogranii tako da je dinamiko auriranje dozvoljeno odreenim DNS klijentima, ili da se ovlasti neka bezbedna grupa, kao to su administratori domena, koji imaju dozvole da auriraju zonu ili da zapisuju svojstva. Ova bezbednosna opcija nije vam na raspolaganju u sluaju standardnih primarnih zona.

Zone se automatski repliciraju i sinhronizuju na nove kontrolere domena, kada se nova zona doda u Active Directory domen.

Iako je DNS servis mogue selektivno uklanjati sa kontrolera domena, zone koje su integrisane sa direktorijumom ve su smetene na sve kontrolere domena, tako da skladitenje zone i upravljanje njome ne predstavlja dodatno optereenje za resurse. Pored toga, metodi sinhronizovanja informacija koje su smetene u direktorijumu omoguavaju bolje performanse od onih koje se dobijaju standardnim metodama auriranja zone koji u nekim sluajevima zahtevaju transfer celokupne zone.

Integrisanjem smetaja DNS prostora imena u servis Active Directory, pojednostavljujete planiranje i administriranje DNS-a i servisa Active Directory.

Kada su prostori imena smeteni odvojeno i repliciraju se takoe odvojeno (na primer, DNS smetaj i replikacija zasebno, a Active Directory zasebno), uvodi se dodatna administrativna sloenost u planiranje mree i osmiljavanje njenog eventualnog daljeg irenja. Integrisanjem DNS smetaja, u jednu administrativnu celinu moete da objedinite upravljanje smetajem i replikacijom podatka DNS-a i servisa Active Directory.

Replikacija direktorijuma bra je i efikasnija od standardne DNS replikacije.

Poto se postupak replikacije servisa Active Directory odvija na bazi svojstava, obrauju se samo relevantne promene. Zbog toga se pri auriranju zona koje su smetene u direktorijumu manipulie manjom koliinom podataka.

Ime zone
U tipinom sluaju, zona dobija ime po domenu koji je na vrhu hijerarhije obuhvaene tom zonom. Na primer, ime zone koja obuhvata microsoft.com i sales.microsoft.com bilo bi microsoft.com. O imenovanju zona detaljnije se moete informisati u poglavlju 2, Upoznavanje servisa Active Directory.

Datoteka zone
U sluaju standardne primarne zone za traenje unapred, morate da odredite datoteku zone. To je ime datoteke baze podataka za zonu, koje je formirano od imena zone i nastavka .dns. Na primer, ukoliko je ime zone microsoft.com, podrazumevano ime datoteke baze podataka za zonu je MICROSOFT.COM.DNS. Kada zonu premetate sa drugog servera, moete da uvezete i postojeu datoteku zone. Pre nego to kreirate novu zonu, postojeu datoteku morate da smestite u direktorijum systemroot\sytem32\DNS na ciljnom raunaru, pri emu systemroot oznaava omotnicu u koju je instaliran Windows 2000, to u tipinom sluaju predstavlja omotnicu C:\Winnt.

Windows 2000 ADS.book Page 117 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

117

Glavni DNS serveri

U sluaju standardne sekundarne zone za traenje unapred, morate da odredite DNS servere sa kojih elite da kopirate zonu. Morate da unesete IP adresu jednog ili vie DNS servera.

Zona za traenje unazad

Zona za traenje unazad (engl. reverse lookup zone) omoguava upite za traenje unazad. Postojanje ove vrste zone nije obavezno. Meutim, zona za traenje unazad je neophodna za finkcionisanje nekih alatki za reavanje problema, na primer NSLOOKUP, i da bi se u dnevnikim datotekama Internet Information Services (IIS) zapisivalo ime, a ne IP adresa.
Da biste kreirali zonu za traenje unazad:

1. Pritisnite dugme Start, pokaite najpre na Programs, zatim na Administrative Tools, a nakon toga izaberite DNS. 2. Proirite prikaz DNS servera. 3. Pritiskom na desni taster mia najpre izaberite omotnicu Reverse Lookup Zone, a zatim New Zone. Otvorie se arobnjak New Zone Wizard koji vas vodi kroz postupke kreiranja zone za traenje unazad. arobnjak vam omoguava sledee opcije konfigurisanja: Zone Type, Zone Name, Zone File i Master DNS Servers.

Tip zone
Kao to smo objasnili ranije, za tip zone odaberite jednu od opcija: zona integrisana u servis Active Directory, standardna primarna zona ili standardna sekundarna zona.

Zona za traenje unazad

Da biste identifikovali zonu za traenje unazad, upiite mreni identifikator ili ime zone. Na primer, mreni identifakor sa IP adresom 169.254.16.200 dae kao rezultat mreni identifikator 169.254. Svi upiti za traenje unazad unutar umreenja 169.254 bie reavani u novoj zoni.

Datoteka zone
Za standardnu primarnu zonu za traenje unazad morate da odredite datoteku zone. Podrazumevano ime datoteke zone odreeno je mrenim identifikatorom i maskom podmree. DNS okree redosled IP okteta i dodaje sufiks in-addr.arpa. na primer, zona za traenje unazad za umreenje 169.254 je 254.169.in-addr.arpa.dns. Kada zonu premetate sa drugog servera, moete da uvezete i postojeu datoteku zone. Pre nego to kreirate novu zonu, postojeu datoteku morate da smestite u direktorijum systemroot\sytem32\DNS na ciljnom raunaru.

Glavni DNS serveri

Za standardnu primarnu zonu za traenje unazad, morate da odredite DNS servere sa kojih elite da kopirate zonu. Treba da unesete IP adresu jednog ili vie DNS servera.

Windows 2000 ADS.book Page 118 Monday, January 29, 2001 2:17 PM

118

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Zapisi resursa
Zapisi resursa su zapisi u datoteci baze podataka za zonu koji povezuju imena DNS domena sa relevantnim podacima odreenih mrenih resursa, na primer nekom IP adresom. Postoji mnogo raznih tipova zapisa resursa. Kada se kreira zona, DNS automatski dodaje dva zapisa resursa. To su zapisi Start of Authority (SOA) i Name Server (NS). U tabeli 5.1 opisani su ovi tipovi zapisa, kao i ostali esto korieni zapisi resursa.
Tabela 5.1

esto korieni tipovi zapisa resursa Opis Daje listu korelacija: ime matinog raunara IP adresa, za zonu za traenje unapred. Kreira alijas, ili alternativno ime, za odreeno ime matinog raunara. Zapis Canonical Name (CNAME) moete koristiti da biste postigli da vie imena ukazuju na istu IP adresu. Isti raunar moe biti matini za FTP server, na primer za ftp.microsift.com i za Web server, na primer za www.microsoft.com. Prepoznaje CPU i operativni sistem na matinom raunaru. Ovaj zapis moete da koristite kao jednostavnu alatku za praenje resursa. Odreuje server koji e sluiti za razmenu elektronske pote za odreeni domen, kao i redosled korienja servera ukoliko ih ima vie. Prikazuje listu servera imena koji su dodeljeni odreenom domenu. Ukazuje na drugi deo prostora imena domena. Na primer, u zoni za traenje unazad, daje listu korelacija IP adresa ime. Pokazuje na kom serveru se nalaze odreeni servisi. Na primer, ako klijent eli da pronae server koji ocenjuje validnost zahteva za prijavljivanje, on moe da zada upit DNS serveru kako bi dobio spisak kontrolera domena i njihovih IP adresa. Ukazuje na server imena koji predstavlja ovlaeni izvor podataka unutar domena. Prvi zapis u datoteci baze podataka za zonu mora biti SOA zapis.

Vrsta zapisa resursa Host (A) Alias (CNAME)

Host Information (HINFO) Mail Exchanger (MX) Name Server (NS) Pointer (PTR) Service (SRV)

Start of Authority (SOA)

Napomena Da biste se detaljnije informisali o zapisima resursa, potraite RFC 1035,

RFC 1183, RFC 1886, RFC 2052 pomou vaeg Web pretraivaa, kako biste preuzeli sadraj ovih Request for Comment (RFC).
Da biste pregledali zapis resursa:

1. 2. 3. 4. 5.

U stablu DNS konzole, izaberite zonu za koju elite da pregledate zapise resursa. U oknu sa detaljima, izaberite zapis koji elite da pregledate. Sa menija Action izaberite Properties. U okviru za dijalog Properties pregledajte osobine koje se odnose na izabrani zapis. Kada zavrite pregledanje zapisa, pritisnite dugme OK.

Da biste dodali zapis resursa:

1. Pritiskom na desni taster mia najpre izaberite zonu kojoj elite da dodate zapis, a zatim tip zapisa koji elite da dodate, na primer New Host ili New Mail Exchanger.

Windows 2000 ADS.book Page 119 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

119

Delegiranje zona
Zona zapoinje kao baza za skladitenje podataka za jedno DNS ime domena. Ukoliko dodajete druge domene koji se nalaze ispod domena na osnovu kojeg je zona kreirana, ti domeni mogu biti deo iste zone ili deo druge zone. Kada dodate poddomen, moete da:

I I

Upravljate njime i ukljuite ga da bude deo originalnih zapisa zone. Delegirate ga u drugu zonu koja je kreirana da podri poddomen.

Na primeru sa slike 5.4 prikazan je domen microsoft.com koji sadri imena domena za kompaniju Microsoft. Kada je domen microsoft.com prvi put kreiran na samostalnom serveru, bio je konfigurisan kao jedna zona za ceo Microsoft DNS prostor imena. Meutim, ukoliko se u domenu microsoft.com ukae potreba za poddomenima, oni se moraju ukljuiti u zonu ili se moraju delegirati u drugu zonu. U primeru na slici 5.4, poddomen example dodat je domenu microsoft.com. Zona example.microsoft.com kreirana je da bi podrala poddomen example.microsoft.com.

microsoft www dev example ... ftp Zona: example.microsoft.com

com edu org

...

Zona: microsoft.com

Slika 5.4

Delegiranje novog poddomena u novu zonu

Kada zone delegirate unutar prostora imena, morate takoe da kreirate SOA zapise resursa da biste ukazali na ovlaeni DNS server nove zone. To je neophodno da bi se nadlenost prenela i da bi se drugim DNS serverima i klijentima preneli tani podaci o tome koji su novi serveri dobili ovlaenje za novu zonu. U postupku delegiranja zona moe vam pomoi arobnjak New Delegation Wizard.
Da biste delegirali zonu:

1. Na stablu DNS konzole izaberite poddomen za koji elite da kreirate delegiranje zone. 2. Sa menija Action izaberite New Delegation. 3. Na pozdravnoj stranici arobnjaka New Delegation Wizard pritisnite dugme Next. 4. Na stranici Delegated Domain Name definiite ime domena kojeg elite da kreirate, a zatim pritisnite dugme Next. 5. Na stranici Name Servers definiite servere koji e biti matini za delegiranu zonu, a zatim pritisnite dugme Next. 6. Na stranici Completing The New Delegation Wizard pregledajte definisane stavke, a zatim pritisnite dugme Finish.

Windows 2000 ADS.book Page 120 Monday, January 29, 2001 2:17 PM

120

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Napomena Svi domeni (ili poddomeni) koji se prikazuju kao podobni za delegiranje
zone, moraju biti kreirani u tekuoj zoni pre nego to izvrite delegiranje.

Konfigurisanje dinamikog DNS-a

DNS servis poseduje mogunost dinamikog auriranja koja se naziva dinamiki DNS (Dynamic DNS, DDNS). Kad je DNS servis u pitanju, ukoliko doe do promena u domenu za koji ovlaenje ima server imena, na primarnom serveru imena morate runo da aurirate datoteku baze podataka za zonu. U sluaju DDNS-a, serveri imena i klijenti unutar mree automatski auriraju datoteku baze podataka za zonu (slika 5.5).
Zahtev za IP adresu Dodeljuje IP adresu 192.168.120.133 Raunar 1

= r1 una 20.133 a R 68.1 .1 192

DHCP server

Raunar 1 192.168.120.133 DNS server imena baza podataka za zonu

Slika 5.5

DDNS aurira datoteku baze podataka za zonu kada doe do promene IP adrese

Dinamiko auriranje
Moete da konfiguriete listu servera ovlaenih da iniciraju dinamiko auriranje. Lista moe da obuhvati sekundarne servere imena, kontrolere domena i druge servere koji obavljaju mrenu registraciju za klijente kao to su serveri sa servisima Dynamic Host Configuration Protocol (DHCP) ili Windows Internet Naming Service (WINS).

DDNS i DHCP
DDNS je u interakciji sa DHCP-om da bi za matine raunare u mrei odrao sinhronizovanost preslikavanja imena u IP adrese. Podrazumevano je da DHCP servis doputa klijentima da zoni dodaju svoje zapise tipa A (Host), a DHCP servis dodaje zoni zapise resursa tipa PTR. Kada zakup istekne, DHCP servis brie zapise tipa A i PTR.

Vano Da bi dinamika auriranja mogla da se vre, DHCP server morate da konfiguriete tako da ukazuje na odgovarajue DNS servere. Konfigurisanje DHCP-a prevazilazi opseg ovog kursa, pa vas radi detaljnijeg informisanja na ovu temu upuujemo na MCSE Training Kit Microsoft Windows 2000 Network Infrastructure Administration.

Windows 2000 ADS.book Page 121 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

Da biste konfigurisali zonu za DDNS:

121

1. Na DNS konzoli pritiskom na desni taster mia izaberite zonu za traenje unapred, odnosno unazad, koju elite da konfiguriete, a zatim izaberite Properties. 2. Na kartici General, izaberite jednu od sledeih opcija u listi Allow Dynamic Updates?: I No. Za ovu zonu nisu dozvoljena dinamika auriranja.

I I

Yes. Dozvoljeni su svi zahtevi za dinamika auriranja DNS-a za ovu zonu. Only Secure Updates. Dozvoljena su samo ona dinamika auriranja DNS-a koja koriste bezbedni DNS za tu zonu. Ovo je opcija koja se preporuuje.

Opcija Only Secure Updates je na raspolaganju samo kod tipa zone integrisane u servis Active Directory. Ukoliko izaberete opciju Only Secure Updates, dozvola molioca da moe aurirati zapise u bazi podataka za zonu testira se korienjem mehanizama koji se navode u protokolu bezbednog auriranja DNS koji sledi.

Napomena Da biste se detaljnije informisali o DDNS-u, pomou svog Web pretraivaa potraite RFC 2136 i RFC 2137.

Praktini rad: Konfigurisanje zona

U ovoj vebi kreiraete zonu za traenje unapred i zonu za traenje unazad.
Da biste kreirali zonu za traenje unapred:

1. Pritisnite dugme Start, pokaite najpre na Programs, zatim na Administrative Tools, a nakon toga izaberite DNS. Prikazae se prozor DNS konzole. 2. Dvostrukim pritiskom na taster mia izaberite SERVER1 (ili ime vaeg raunara). Prikazae se omotnica Forward Lookup Zones and Reverse Lookup Zones. 3. Pritiskom na desni taster mia najpre izaberite SERVER1, a zatim New Zone. Pojavljuje se arobnjak New Zone Wizard. 4. Da biste nastavili, pritisnite dugme Next. Prikazuje se stranica Zone Type. 5. Uverite se da je izabrana opcija Standard Primary, a zatim pritisnite dugme Next. Prikazuje se strana Forward or Reverse Lookup Zone. 6. Uverite se da je izabrana opcija Forward Lookup Zone, a zatim pritisnite dugme Next. Prikazae se stranica Zone Name. 7. Upiite training.microsoft.com, a zatim pritisnite dugme Next. (Ukoliko ste umreeni, posavetujte se sa administratorom mree da li je u redu da ovo ime koristite kao DNS ime domena.) Prikazae se stranica Zone File. 8. Uverite se da je izabrana opcija Create a New File With this File Name i da je TRAINING.MICROSOFT.COM.DNS ime datoteke koja e biti kreirana. (Ukoliko niste koristili training.microsoft.com kao ime domena u koraku 7, prikazae se ime koje ste upisali u koraku 7, sa nastavkom .dns.) 9. Pritisnite dugme Next. 10. Pritisnite dugme Finish.

Windows 2000 ADS.book Page 122 Monday, January 29, 2001 2:17 PM

122

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Da biste kreirali zonu za traenje unazad:

1. Pritiskom na desni taster mia najpre izaberite SERVER1, a zatim New Zone. Pojavljuje se arobnjak New Zone Wizard. 2. Da biste nastavili, pritisnite dugme Next. Prikazuje se stranica Zone Type. 3. Uverite se da je izabrana opcija Standard Primary, a zatim pritisnite dugme Next. Prikazuje se strana Forward or Reverse Lookup Zone. 4. Uverite se da je izabrana opcija Reverse Lookup Zone, a zatim pritisnite dugme Next. Prikazae se stranica Reverse Lookup Zone. 5. Uverite se da je izabran Network ID, a zatim u polje Network ID upiite 10.10.1. (Ukoliko ste umreeni i niste koristili 10.10.1.1 kao svoju statiku IP adresu, upiite oktete koji predstavljaju va mreni identifikator).

Napomena Primetiete da je u polju Name na dnu prozora upisano in-addr.arpa ime i

da ono glasi 1.10.10.in-addr.arpa. Ukoliko niste koristili 10.10.1.1, ime e odgovarati onoj IP adresi koju koristite. 6. Pritisnite dugme Next. Prikazuje se stranica Zone File. 7. Uverite se da je izabrana opcija Create a New File With this File Name i da je 1.10.10.in-addr.arpa.dns ime datoteke koja e biti kreirana. (Ukoliko niste koristili 10.10.1 kao mreni identifikator u koraku 5, ime datoteke e odgovarati IP adresi koju ste koristili.) 8. Pritisnite dugme Next. Prikazuje se stranica Completing the New Zone Wizard. 9. Pregledajte podatke na stranici Completing the New Zone Wizard, a zatim pritisnite dugme Finish.

Veba 2:Konfigurisanje DDNS servisa

U ovoj vebi konfigurisaete DDNS servis, da biste omoguili dinamiko auriranje zona za traenje unapred i zona za traenje unazad.
Da biste konfigurisali DDNS:

1. Na stablu DNS konzole, dvostrukim pritiskom na taster mia izaberite SERVER1 (ili ime vaeg servera). 2. Dvostrukim pritiskom na taster mia izaberite Forward Lookup Zone, a zatim na isti nain izaberite training.microsoft.com. (Ukoliko kao DNS ime domena niste upotrebili training.microsoft.com, dvostrukim pritiskom na taster mia izaberite ime koje ste dali DNS domenu.) 3. Pritiskom na desni taster mia izaberite training.microsoft.com (ili vae DNS ime domena), a zatim izaberite Properties. Otvara se okvir za dijalog training.microsoft.com Propeties. (Ukoliko kao DNS ime domena niste upotrebili training.microsoft.com, ime u naslovu okvira za dijalog odrazie ime koje ste dali DNS domenu.) 4. Sa liste Allow Dynamic Updates? na kartici General, izaberite Yes, a zatim pritisnite dugme OK. Ovim konfiguriete DDNS za zonu za traenje unapred.

Windows 2000 ADS.book Page 123 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

123

5. Dvostrukim pritiskom na taster mia izaberite Reverse Lookup Zones, a zatim izaberite 10.10.1.x Subnet, odnosno zonu za traenje unazad koju ste kreirali u vebi broj 1. 6. Pritiskom na desni taster mia izaberite 10.10.1.x Subnet, a zatim izaberite Properties. Otvara se okvir za dijalog 10.10.1.x Subnet Properties. 7. Sa liste Allow Dynamic Updates? na kartici General, izaberite Yes, a zatim pritisnite dugme OK. Ovim ste konfigurisali DDNS za zonu za traenje unazad.

Veba 3: Dodavanje zapisa resursa

U ovoj praktinoj vebi dodaete zoni zapis tipa PTR.
Da biste zoni dodali PTR zapis resursa:

1. Na stablu konzole dvostrukim pritiskom na taster mia izaberite Reverse Lookup Zones. 2. Izaberite 10.10.1.x Subnet. (Ukoliko za ime vaeg servera niste upotrebili statiku IP adresu 10.10.1.1, izaberite odgovarajuu podmreu.) Koji tipovi zapisa resursa postoje u zoni za traenje unazad? 3. Na stablu konzole, pritiskom na desni taster mia izaberite 10.10.1.x Subnet (ukoliko za ime vaeg servera niste upotrebili statiku IP adresu 10.10.1.1, izaberite odgovarajuu podmreu), a zatim izaberite New Pointer. 4. U polje Host IP Number, u oktet koji je istaknut u vaoj IP adresi upiite 1. U polje Host Name najpre upiite potpuno kvalifikovano ime domena vaeg raunara, a zatim taku. Moete takoe da pretraujete kroz postojee DNS zapise koristei opciju Browse. Na primer, ako je ime vaeg raunara SERVER1, upiite server.microsoft.com. Nemojte zaboraviti da upiete taku na kraju. 5. Pritisnite dugme OK. Zapis tipa Pointer pojavie se u oknu sa detaljima. 6. Zatvorite DNS konzolu.

Rezime lekcije
U ovoj lekciji nauili ste da u DNS servisu postoji opcija za podelu prostora imena na jednu ili vie zona, koje mogu biti smetene, distribuirane i replicirane na druge DNS servere. DNS prostor imena predstavlja logiku strukturu mrenih resursa, a DNS zone predstavljaju mesto za fiziko skladitenje tih resursa. Nauili ste, takoe, da konfiguriete zone za traenje unapred odnosno unazad i saznali ste da se primarne zone integrisane u direktorijum preporuuju zbog toga to imaju sledee prednosti: auriranje na principu vie glavnih primeraka, poveanu bezbednost, automatsko repliciranje zone u sluaju dodavanja novih kontrolera domena, jednostavnije administranje sa integrisanim skladitenjem prostora imena i bre repliciranje. Nauili ste da dodajete zapise resursa i da delegirate zone prilikom dodavanja novih poddomena. Saznali ste, takoe, da DNS servis obuhvata mogunost dinamikog auriranja pod nazivom DDNS, kojim serveri imena i klijenti na mrei automatski auriraju datoteke baze podataka za zonu. U praktinom delu ove lekcije, kreirali ste za DNS servis zone za traenje unapred, odnosno unazad, konfigurisali ste zone za DDNS i dodali ste PTR zapis resursa u zonu za traenje unazad.

Windows 2000 ADS.book Page 124 Monday, January 29, 2001 2:17 PM

124

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Lekcija 3: Replikacija i transfer zona

Ova lekcija vas upoznaje sa replikacijom i transferom zona. Transfer zone (engl. zone transfer) je postupak u kome DNS serveri meusobno sarauju u cilju odravanja i sinhronizacije pouzdanih podataka o imenima.

Kada preete ovu lekciju, moi ete da: I Objasnite svrhu transfera zona. I Konfiguriete transfer zona. Predvieno vreme za ovu lekciju je 10 minuta.

Replikacija i transfer zona

Zbog velikog znaaja koji zone imaju u DNS-u, one treba da budu dostupne sa vie DNS servera u mrei, ime se obezbeuje pristupanost i otpornost na kvarove pri razreavanju upita imena. U suprotnom, ukoliko bismo koristili samo jedan server i on prestane da reaguje, upiti za traenje imena u toj zoni ne bi uspeli. Kada vie servera odrava zonu, transferi zone su potrebni da bi se replicirale i sinhronizovale sve kopije zone koje se koriste na svim serverima konfigurisanim da budu serveri zone. Kada definiete strukturu zone, postoji nekoliko vanih razloga zbog kojih treba da koristite dodatne DNS servere za repliciranje zone:

I I I

Dodatni DNS serveri obezbeuju redundantnost zone, omoguavajui da se klijentima razreavaju DNS imena u zoni iako je primarni server zone prestao da reaguje. Dodatni DNS serveri mogu se koristiti u svrhu smanjenja intenziteta DNS mrenog saobraaja. Na primer, dodavanje DNS servera na suprotnoj strani neke spore veze u regionalnoj mrei (WAN), moe biti korisno za upravljanje mrenim saobraajem i smanjenje njegovog intenziteta. Dodatni sekundarni serveri mogu da se upotrebe u svrhu smanjenja optereenja primarnog servera zone.

Kada se u mreu doda novi DNS server konfigurisan kao novi sekundarni server u postojeoj zoni, on sprovodi transfer cele zone (engl. full zone transfer, AXFR) kako bi dobio i replicirao kompletnu kopiju zapisa resursa te zone. U starijim verzijama instalacije DNS servera, takoe se koristi isti metod transfera cele zone kada se zahteva njeno auriranje zbog nastalih izmena. DNS servis kod Windows 2000 Servera podrava inkrementalni transfer zone (engl. incremental zone transfer, IXFR), koji predstavlja obnavljanje postupka transfera onih promena DNS zone koje su u meuvremenu nastale.

Inkrementalni transferi zone

RFC 1995 opisuje IXFR kao dodatni DNS standard za replikaciju DNS zona. IXFR omoguava efikasniji nain propagiranja promena u zoni i njenog auriranja. U starijim verzijama DNS-a, uvek kada se zahtevalo auriranje zone, bio je neophodan transfer cele datoteke zonske baze podataka, primenom AXFR upita. Umesto te vrste upita, kod inkrementalnog transfera zone koristi se upit IXFR. On omoguava da sekundarni server preuzme samo one promene zone koje su mu potrebne da bi svoju kopiju zone sinhronizovao sa njenim izvorom, odnosno primarnom ili sekundarnom kopijom zone koju odrava drugi DNS server.

Windows 2000 ADS.book Page 125 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

125

Kod IXFR transfera zone, prvo se ustanovi razlika izmeu izvorne i replicirane verzije zone. Ukoliko se ustanovi da su obe verzije identine to je oznaeno u polju za serijski broj (engl. serial number field) u SOA zapisu resursa svake zone do transfera ne dolazi. Ukoliko je serijski broj zone na izvoru vei nego to je na sekundarnom serveru koji postavlja zahtev za auriranje, transfer se vri za promene u zapisima resursa samo za svaku inkrementalnu verziju zone. Da bi jedan IXFR upit uspeo i da bi se promene prosledile, izvorni DNS server zone mora da odrava podatke o istoriji inkrementalnih promena zone koje e da koristi pri odgovaranju na upite. Inkrementalni transfer zahteva manje mrenog saobraaja i obavlja se mnogo bre.

Primer: transfer zone

Pored toga to se moe inicirati runo, do transfera zone dolazi u sledeim situacijama:

I I I

Kada pokreete DNS servis na sekundarnom serveru zone. Po isteku vremenskog intervala za osveavanje zone. Kada nastanu promene u primarnoj zoni a konfigurisana je lista za obavetavanje.

Sekundarni server zone uvek inicira transfer zone i zahtev za transfer dostavlja DNS serveru koji je konfigurisan kao izvorni za tu zonu. Taj DNS server moe biti bilo koji drugi DNS server, bilo primarni bilo sekundarni, na kome je uitana zona. Kada izvorni server primi zahtev za zonu, on moe da odgovori deliminim transferom ili transferom cele zone. Kao to je prikazano na slici 5.6, transferi zone izmeu servera odvijaju se po utvrenom postupku. On se razlikuje u zavisnosti od toga da li je zona prethodno bila replicirana ili se vri inicijalna replikacija nove zone.
Odredini server
SOA upit za zonu Odgovor na SOA upit IXFR ili AXFR upit za zonu Odgovor na IXFR ili AXFR upit (transfer zone)

Izvorni server

Slika 5.6

Postupak transfera zone

U ovom primeru, dolazi do sledeeg redosleda postupaka izmeu servera koji zahteva transfer zone ciljnog servera i izvornog servera, drugog DNS servera koji skladiti zonu. 1. Tokom novog konfigurisanja odredini server alje inicijalni (AXFR) zahtev za transfer zone DNS serveru koji je konfigurisan kao izvorni za zonu. 2. Izvorni server odgovara i vri transfer cele zone na odredini server. 3. Kada istekne interval osveavanja, odredini server upuuje izvornom serveru SOA upit, zahtevajui obnavljanje zone. 4. Izvorni server odgovara na upit svojim SOA zapisom. Taj odgovor sadri serijski broj aktuelnog stanja zone na izvornom serveru.

Windows 2000 ADS.book Page 126 Monday, January 29, 2001 2:17 PM

126

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services
5. Odredini server proverava serijski broj u SOA zapisu odgovora i donosi odluku o nainu osveavanja zone. Ukoliko je vrednost serijskog broja u odgovoru jednaka aktuelnom lokalnom serijski broju, zakljuak je da su zone identine na oba servera i da transfer zone nije potreban. Odredini server obnavlja zonu tako to interval osveavanja vraa na poetak, a veliinu intervala odreuje vrednost u odgovarajuem polju SOA zapisa u odgovoru izvornog servera. Ukoliko je vrednost serijskog broja u odgovoru vea od aktuelnog lokalnog serijskog broja, zakljuak je da postoji nova verzija zone i da je transfer neophodan. 6. Ukoliko odredini server zakljui da je zona pretrpela promene, on izvornom serveru alje IXFR upit koji u SOA zapisu zone sadri vrednost lokalnog serijskog broja. 7. Izvorni server odgovara inkrementalnim ili kompletnim transferom zone. Ukoliko izvorni server podrava inkrementalni transfer i uva podatke o istoriji inkrementalnih promena zone zbog modifikovanja zapisa resursa, on moe odgovoriti inkrementalnim (IXFR) transferom zone. Ukoliko izvorni server ne podrava inkrementalni transfer ili ne uva podatke o istoriji promena zone, on moe, kao alternativno reenje, da odgovori transferom cele zone (AXFR).

Napomena Windows 2000 Server podrava upite tipa IXFR i inkrementalni transfer
zone. Starije verzije DNS servisa u sistemu Windows NT Server 4.0 i mnoge druge instalacije DNS servera ne podravaju inkrementalni transfer zone, tako da se za replikaciju koriste samo upiti tipa AXFR i transferi cele zone.

Bezbednost transfera zone

DNS konzola vam omoguava da odredite servere kojima je dozvoljeno da uestvuju u transferu zone. Time moete da spreite neeljene pokuaje nepoznatih ili neovlaenih DNS servera da preuzmu podatke zone ili da zahtevaju njeno auriranje.
Da biste odredili servere kojima je dozvoljeno da uestvuju u transferima zone:

1. Pritisnite dugme Start, pokaite najpre na Programs, zatim na Administrative Tools, a nakon toga izaberite DNS. 2. Na stablu DNS konzole pritiskom na desni taster mia izaberite zonu za koju elite da ureujete transfer zone, a zatim izaberite Properties. 3. Otvorite karticu Zone Transfer (slika 5.7).

Windows 2000 ADS.book Page 127 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

127

Slika 5.7

Kartica Zone Transfer

4. Odredite servere kojima elite da dozvolite transfere zone, a zatim pritisnite dugme OK.

DNS obavetavanje
DNS servis podrava DNS obavetavanje (engl. DNS notification) koje predstavlja savremenu reviziju standardne DNS specifikacije (RFC 1996). DNS obavetavanje je mehanizam kojim se izabranoj grupi servera u zoni dojavljuje im doe do promena u zoni. Obaveteni serveri mogu zatim inicirati postupak transfera zone i od servera koji ih obavetava preuzeti nastale promene da bi zonu aurirali. DNS obavetavanje koristite samo za dojavu DNS serverima koji rade kao sekundarni serveri zone. Za replikaciju zona integrisanih u direktorijum nije potrebno DNS obavetavanje, jer svaki server koji uita zonu od servisa Active Directory automatski proziva direktorijum otprilike svakih 15 minuta (to zavisi od intervala osveavanja zadatog u SOA zapisu) da bi aurirao i osveio zonu. U ovakvim sluajevima, konfigurisanje liste obavetavanja moe u praksi da oslabi performanse sistema, jer prouzrokuje nepotrebne dodatne zahteve za transfer aurirane zone.
Da biste odredili servere koji e biti obavetavani:

1. Pritisnite dugme Start, pokaite najpre na Programs, zatim na Administrative Tools, a nakon toga izaberite DNS. 2. Na stablu DNS konzole pritiskom na desni taster mia najpre izaberite zonu za koju elite da ureujete transfer zone, a zatim Properties. 3. Otvorite karticu Zone Transfer, a zatim izaberite Notify. 4. U okviru za dijalog Notify (slika 5.8) odredite sekundarne servere koji e biti obavetavani kada doe do promene u zoni, a zatim pritisnite dugme OK.

Windows 2000 ADS.book Page 128 Monday, January 29, 2001 2:17 PM

128

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services

Slika 5.8

Okvir za dijalog Notify

Postupak DNS obavetavanja

Dajemo vam kratki pregled tipinog postupka DNS obavetavanja: 1. Na DNS serveru dolo je do promena u lokalnoj zoni koja za druge servere predstavlja izvor. Kada doe do promena izvorne zone, takoe se promeni i vrednost u polju za serijski broj SOA zapisa, ime se oznaava postojanje nove verzije lokalne zone. 2. Izvorni server alje obavetenje ostalim serverima koji su navedeni u prozoru Notify. 3. Svi sekundarni serveri koji prime obavetenje mogu serveru koji je uputio obavetenje odgovoriti iniciranjem zahteva za transfer zone. Tada se moe nastaviti normalan postupak transfera zone opisan u prethodnom odeljku.

Rezime lekcije
U ovoj lekciji nauili ste da su transferi zone neophodni da bi se replicirale i sinhronizovale sve kopije zone na svakom serveru koji je konfigurisan da odrava zonu. Kada se novi DNS server doda u mreu i konfigurie kao novi sekundarni server u postojeoj zoni, u sluaju starijih verzija DNS servera obavlja se inicijalni transfer cele zone da bi se dobila i replicirala kompletna kopija zapisa resursa za zonu. U sluaju Windows 2000 Servera, DNS servis podrava inkrementalni transfer zone, koji predstavlja revidirani, efikasniji postupak transfera onih promena DNS zone koje nastanu u meuvremenu. Nauili ste, takoe, da DNS konzola omoguava da definiete servere kojima je dozvoljeno da uestvuju u transferu zone. Na kraju, nauili ste da DNS obavetavanje koristi mehanizam kojim obavetava odabranu grupu sekundarnih servera u zoni da je u njoj dolo do promena. Obaveteni serveri zatim mogu da iniciraju postupak transfera zone kojim od servera koji ih je obavestio preuzimaju nastale promene da bi aurirali zonu. DNS konzola omoguava vam da odredite sekundarne servere koji e biti obavetavani, dok za replikaciju zona integrisanih sa direktorijumom, DNS obavetavanje nije potrebno.

Windows 2000 ADS.book Page 129 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

129

Lekcija 4: Nadgledanje i reavanje problema DNS-a za servis Active Directory

U ovoj lekciji objasniemo opcije nadgledanja koje postoje za DNS servere. Opisaemo takoe probleme na koje moete naii pri konfigurisanju DNS-a za servis Active Directory, kao i njihova mogua reenja.

Kada preete ovu lekciju, moi ete da: I Nadgledate DNS server. I Reavate probleme konfigurisanja probleme vezane za konfigurisanje DNS-a u okviru
servisa Active Directory.

Predvieno vreme za ovu lekciju je 10 minuta.

Nadgledanje DNS servera

U Windows 2000 Server postoje dve opcije za nadgledanje DNS servera:

I I

Podrazumevana opcija zapisivanja poruka dogaaja DNS servera u dnevnik DNS servera. Opciono otkrivanje i otklanjanje greaka u dnevniku praenja koji se evidentira u obliku tekstualne datoteke na raunaru DNS servera.

Dnevniko praenje dogaaja na DNS serveru

U sistemu Windows 2000 Server, poruke dogaaja DNS servera uvaju se u dnevniku DNS servera odvojeno od dogaaja izazvanih drugim aplikacijama i servisima. Dnevnik DNS servera moete pregledati korienjem alatke Event Viewer. Dnevnik sadri osnovne, unapred odreene dogaaje koje evidentira DNS servis servera, na primer pokretanje i zaustavljanje DNS servera. Event Viewer takoe moete da koristite da biste pregledali i nadgledali DNS dogaaje koji se odnose na klijente. Ti dogaaji pojavljuju se u sistemskom dnevniku i upisuje ih DNS klijentski servis na svakom raunaru sa sistemom Windows 2000 svih verzija.

Napomena Nain korienja alatke Event Viewer moete detaljnije upoznati u poglavlju 14, Upravljanje performansama servisa Active Directory.

Opcije otkrivanja i otklanjanja greaka

DNS konzola omoguava vam da podesite dodatne opcije evidentiranja, da biste napravili privremeni dnevnik praenja u obliku tekstualne datoteke o aktivnostima DNS servera. Datoteka koja se formira i koristi u tu svrhu, DNS.LOG, smetena je u omotnici systemroot\System32\Dns. Kod Windows 2000 DNS servera podrane su opcije za dnevniko evidentiranje otkrivanja i otklanjanja greaka navedene u tabeli 5.2.
Tabela 5.2

Opcije za dnevniko evidentiranje otkrivanja i otklanjanja greaka kod DNS servera Opis Evidentira upite klijenata koje DNS server prima. Evidentira poruke obavetenja koje od drugih servera prima servis DNS servera.

Opcija evidentiranja Query Notify

Windows 2000 ADS.book Page 130 Monday, January 29, 2001 2:17 PM

130

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services
Tabela 5.2

Opcije za dnevniko evidentiranje otkrivanja i otklanjanja greaka kod DNS servera Opis (nastavak) Evidentira dinamika auriranja koja od drugih raunara prima servis DNS servera. Evidentira sadraj odeljka sa pitanjima svake poruke DNS upita koje obradi servis DNS servera. Evidentira sadraj odeljka sa odgovorima svake poruke DNS upita koje obradi servis DNS servera. Evidentira broj poruka DNS upita koje je poslao servis DNS servera. Evidentira broj poruka DNS upita koje je primio servis DNS servera. Evidentira broj DNS zahteva koje primi servis DNS servera preko UDP prikljuka. Evidentira broj DNS zahteva koje primi servis DNS servera preko TCP prikljuka. Evidentira broj celih paketa napisanih i upuenih od strane servisa DNS servera. Evidentira broj paketa upuenih servisu DNS servera i nazad u zonu.

Opcija evidentiranja Update Questions Answers Send Receive UDP TCP Full Packets Write Through

Podrazumevano je da su sve opcije za dnevniko evidentiranje otkrivanja i otklanjanja greaka (engl. debug logging) onemoguene. Kada ih selektivno omoguite, servis DNS servera moe da vri dodatno evidentiranje praenja odabranih tipova dogaaja ili poruka u cilju reavanja problema i otkrivanja i otklanjanja greaka servera. Dnevniko evidentiranje otkrivanja i otklanjanja greaka moe opteretiti resurse, zauzeti veliki prostor na disku i negativno uticati na ukupne performanse servera. Zbog toga ga treba koristiti samo privremeno, u sluajevima kada su vam potrebne detaljne informacije o radu servera.
Da biste podesili opcije za dnevniko evidentiranje otkrivanja i otklanjanja greaka DNS

servera: 1. Na stablu DNS konzole, pritiskom na desni taster mia najpre izaberite server imena, a zatim Properties. 2. Na kartici Logging izaberite opcije otkrivanja i otklanjanja greaka koje elite da evidentirate, a zatim pritisnite dugme OK.

Scenarija za reavanje problema koji se odnose na DNS

U tabeli 5.3 dat je opis nekih problema na koje moete naii u vezi sa zonama, kao i njihovih moguih reenja.
Tabela 5.3

Scenarija za reavanje problema koji se odnose na zonu

Simptom: problemi koji se odnose na transfer zone Uzrok Prekid rada servisa DNS servera ili pauza u radu zone Reenje Proverite da li su pokrenuta oba DNS servera koja uestvuju u transferu zone: glavni (izvor) i sekundarni (odredite), kao i da li je na jednom od servera zona stavljena u stanje pauze.

Windows 2000 ADS.book Page 131 Monday, January 29, 2001 2:17 PM

Poglavlje 5 Integracija DNS-a i servisa Active Directory

Tabela 5.3

131

Scenarija za reavanje problema koji se odnose na zonu(nastavak) Eliminiite mogunost baznih problema u povezivanju na mreu ovih servera. Proverite da li svaki server ima vezu sa mreom, tako to ete korienjem komande PING sa udaljenog partnera tog servera dobiti njegovu IP adresu. Testiranje povezanosti treba da uspe u oba smera. Ukoliko ne uspe, ispitajte problem meusobne mrene povezanosti i reite ga. Koristei DNS konzolu uradite sledee: na kartici Start of Authority (SOA), vrednost serijskog broja zone na glavnom serveru (izvoru) poveajte tako da bude vei od vrednosti na upotrebljivom sekundarnom serveru (odreditu). Inicirajte transfer zone na sekundarnom serveru. Ispitajte mogue uzroke problema interoperabilnosti izmeu Windows 2000 DNS servera i drugih DNS servera sa razliitim softverom, na primer starijim verzijama programa Berkeley Internet Name Domain (BIND). Proverite da li zona sadri nekompatibilne podatke, na primer nepodrane vrste zapisa resursa ili neispravne podatke. Proverite takoe da li je server konfigurisan tako da spreava uitavanje zone ukoliko otkrije neispravne podatke i proverite nain na koji proverava imena. Ovi parametri se mogu konfigurisati pomou DNS konzole. Ukoliko transfer zone i dalje ne uspeva, proverite da li zona sadri nestandardne podatke. Da biste odredili da li su pogreni podaci zone mogui uzrok njenog neuspelog transfera, pregledajte poruke u dnevniku dogaaja DNS servera.

DNS serveri koji uestvuju u transferu nemaju meusobnu mrenu vezu

Serijski broj je isti na izvornom i odredinom serveru. Poto je vrednost na oba servera ista, izmeu njih nee doi do transfera zone. Izmeu glavnog servera (izvora) i ciljnog sekundarnog servera (odredita) postoje problemi interoperabilnosti U zoni postoje zapisi resursa ili neki drugi podaci koje DNS server ne moe da proita

Podaci od autoriteta u zoni su netani

Simptom: delegiranje zone ne funkcionie Uzrok Delegiranje zone nije ispravno konfigurisano Reenje Pregledajte kako se koriste delegiranja zone i ukoliko je potrebno revidirajte konfigurisanje zone.

U tabeli 5.4 opisano je nekoliko problema na koje moete naii pri dinamikom auriranju i njihova mogua reenja.
Tabela 5.4

Reavanje problema scenarija dinamikog auriranja

Simptom: klijent ne vri dinamika auriranja Uzrok Klijent (ili njegov DHCP server) ne podrava korienje protokola za DNS dinamiko auriranje Klijent nije mogao da se registruje i izvri auriranje kod DNS servera zbog nedostajueg ili pogrenog DNS konfigurisanja Reenje Proverite da li klijent (ili server) podrava DNS dinamiki protokol za auriranje koristei opcije podrke dinamikom auriranju u Windowsu 2000. Da bi DNS server registrovao raunare klijenata i da bi ih dinamiki aurirao, instalirajte Windows 2000 na raunare klijenata ili ih unapredite u taj sistem, ili na mreu instalirajte i koristite Windows 2000 DHCP server da biste iznajmljivali klijentske raunare. Proverite da li je klijent u potpunosti i tano konfigurisan za DNS i ukoliko je potrebno, aurirajte konfiguraciju. Da biste aurirali DNS konfiguraciju klijenta, uradite sledee: konfiguriite primarni DNS sufiks na raunaru klijenta za statike TCP/IP klijente, ili konfiguriite DNS sufiks za tano odreenu vezu za korienje na jednoj od instaliranih mrenih veza na raunaru klijenta.

Windows 2000 ADS.book Page 132 Monday, January 29, 2001 2:17 PM

132

MCSE Udbenik za pripremu ispita Microsoft Windows 2000 Active Directory Services
Tabela 5.4

Reavanje problema scenarija dinamikog auriranja(nastavak) Proverite da li klijentov DNS server moe da podrava protokol za dinamiko auriranje, kao to je opisano u RFC 2136. Za Windows DNS servere, samo Windows 2000 DNS serveri podravaju dinamiko auriranje, dok ga DNS server iz sistema Windows NT Server 4.0 ne podrava. Proverite da li je primarna zona u kojoj klijenti zahtevaju auriranje konfigurisana tako da omoguava dinamiko auriranje. Kod Windows 2000 DNS servera podrazumevana opcija za novu primarnu zonu je da ne dozvoljava dinamiko auriranje. Na DNS serveru koji sadri upotrebljivu primarnu zonu modifikujte osobine zone tako da omoguava auriranje. Proverite da li postoji zona, i da li je ona dostupna za auriranje. U sluaju standarne primarne zone, proverite da li na serveru postoji datoteka zone i da li je zona u stanju pauze. Sekundarne zone ne podravaju dinamiko auriranje. U sluaju zone integrisane u servis Active Directory, proverite da li DNS server funkcionie kao kontroler domena i da li ima pristup bazi podataka servisa Active Directory u kojoj su smeteni podaci o zoni.

DNS server ne podrava dinamiko auriranje

DNS server podrava dinamiko auriranje, ali nije konfigurisan da ga prima

Baza podataka za zonu nije dostupna

Rezime lekcije
U ovoj lekciji uili ste o raspoloivim opcijama za nadgledanje DNS servera. Sagledali ste takoe i neke eventualne probleme vezane za konfigurisanje DNS-a i njihova mogua reenja.

Pregled
Svrha sledeih pitanja je da utvrdite kljune informacije koje su iznete u ovom poglavlju. Ukoliko ne budete u stanju da odgovorite na neko od njih, proitajte ponovo lekciju na koju se pitanje odnosi i pokuajte ponovo da odgovorite. Odgovore na ova pitanja moete nai u dodatku A, Pitanja i odgovori. 1. Koja je svrha upita za traenje unapred, a koja upita za traenje unazad?

2. Koje su prednosti korienja zone integrisane u servis Active Directory?

3. emu slui SOA zapis resursa?

4. ta je potrebno da uradite kada delegirate zonu unutar prostora imena?

5. Zbog ega je upit tipa IXFR efikasniji od AXFR upita?