У меня есть 3 лабораторных сервера, которые называются lab1, lab2, lab3,

Моя Lab2 - это мой Windows AD, Windows DNS Server

В последнее время я не поддерживаю все свои серверы, так как они мне не нужны постоянно, поэтому я установил роль DNS-сервера на Lab1 и Lab3, а затем перевел зону из Lab2 в Lab1 и Lab3.

Вызов

  1. Я не могу добавлять / редактировать записи в Lab1 и Lab3.
  2. Я открыт для альтернативы иметь DNS-сервер, который я могу держать все время.

С уважением

1 ответ1

1

Зоны DNS - это базы данных информации об именах в одном или нескольких доменах. Для обеспечения отказоустойчивости, балансировки нагрузки и производительности по разрешению зона часто размещается на нескольких серверах, но это имеет существенный недостаток: как поддерживать зону согласованно на каждом сервере, который ее держит, обеспечивая ее всегда полную, согласованную и правильно?

Экосистема DNS решает эту проблему с идеей Authority. Исходный сервер для хранения зоны - это зона Start Of Authority [SOA] и содержит его запись SOA. Это "основная" копия Зоны.

В сетях доменов Microsoft любые DNS-серверы, кроме контроллеров домена, автоматически устанавливаются как вторичные серверы, и при правильной настройке автоматически запрашивают перенос зоны, но с учетом поведения MS любой DNS-сервер, запрашивающий перенос зоны DNS с другого сервера не будет полномочием для этого домена и распознает полномочия сервера SOA в этой зоне.

Когда все работает должным образом, вторичный (или третичный, или n-арный) сервер будет периодически проверять запись SOA главных серверов, чтобы увидеть, был ли увеличен номер версии, указывая на изменение в зоне, и затем запросит другую зону. передача (полная или частичная в зависимости от конфигурации и возможностей сервера) для получения изменений. Тем не менее, важно отметить, что эти изменения происходят исключительно от родителя к потомку и не могут быть отменены при обычных условиях выполнения.

Таким образом, все это вместе означает, что вы не можете редактировать зону на сервере, который не является ее SOA. Я уверен, вы понимаете, насколько это важно для безопасности в Интернете. Фишинг был бы тривиальным вопросом, если локальный DNS-сервер можно было бы обмануть, например, для выдачи неправильного IP-адреса для банковского сайта. DNS в общедоступном Интернете должен распространяться по всему миру, а зоны хранятся на серверах под контролем тысяч разных людей.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .