# DNS Zone DNS Primary Zone、Secondary Zone Stub Zone、Active Directory-Integrated Zone 區別 * DNS 伺服器有多種類型(type)，它們的功能和用途各有不同。 * 區域(Zone)是DNS重要元件，當解析名稱時，區域要可以在網路上一台以上的DNS伺服器可用，已達提供可靠性與容錯性。 ## DNS 區域(DNS Zones) * 是DNS命名空間(Name space)的特定部分，儲存著DNS資源紀錄(Resource record)，DNS Zone是放在 DNS 伺服器上，負責對特定的網域回應紀錄的查詢。 * EX：某一個 DNS 伺服器負責針對 contoso.com 區域，將www.contoso.com 解析出IP位址的工作。 * 每一個區域是被分配給一台DNS伺服器所擁有，或可能是一個權威(authoritative)伺服器來處理部分區域的要求。在此區域可以複寫(replication)一個以上的伺服器外，也增加了備援(redundancy)功能。可以將DNS Zone中的內容儲存在一個檔案或 AD DS 資料庫中。另外該區還有兩大主要區域： * 正向對應區域(Forward lookup zones)：將主機名稱解析並查詢到IP位址，與擁有一些常用的資源紀錄。 * 起始授權紀錄(Start of authority，SOA)：識別一個區域的主要DNS伺服器。 * 還指定其他詳細資料：存留時間(Time to Live)、重新整理間隔(refresh)。 * 主機位址(Host)(A)：主機名稱解析為IPv4位址的主要紀錄。 * 主機位址(Host)(AAAA)：主機名稱解析為IPv4位址的主要紀錄。 * 別名(Canonial Name，CNAME)(Alias)：一個額外的名稱和一個或多個FQDNs的對應，是一種別名(Alias)紀錄型態。EX：www.microsoft.com 是 microsoft.com 這個 A 紀錄的別名。 * 服務紀錄(Service)(SRV)：識別出網域中提供特定服務的服務器，如：網域控制站(AD DC)，通常在企業中搭配Active Directory的網域使用，儲存著一個服務在輕量級目錄存取通訊協定(Lightweight Directory Access Protocol，LDAP)。也就是包含網域控制站 DC 的 FQDN 和提供的服務名稱。 * 郵件交換程式紀錄(Mail excharger)(MX)：識別簡單郵件傳輸服務(Simple Mail Transport Service)(SMTP)伺服器，可為特定網域指定郵件伺服器。記錄多台郵件主機並存時的找修先權，優先權的數字小代表優先權越高。當公司有多部主機時，適當的優先權順序可以為郵件主機提高容錯度，也就是萬一優先權高的郵件主機掛了，還可以使用優先權次高德郵件主機，來提高郵件主機服務的時間。 * 名稱伺服器紀錄(Name server)(NS)：識別一個區域中所有DNS伺服器。 * 反向對應區域(Reverse lookup zones)：將IP位址解析回應出主機名稱，此區域會包含SOA、NS和PTR資源紀錄。該區域不是經常有被組態，但系統管理人員應該組態他們用以減少錯誤與警告訊息。 * 指標(Pointer，PTR)：用在反向對應區域中，將IP位址解析出完整格式主機名稱(Fully qualified host names)用。也就是用來查詢及對應IP Address到一個網域名稱，所儲存的資源紀錄。 * 該資源紀錄的格式是：IP Address、記錄型態(PTR)、主機名稱。 * 許多郵件伺服器會利用反向對應來當成減少垃圾郵件的一種方法，讓郵件伺服器去偵測開放的SMTP(Simple Mail Transfer Protocol)伺服器(open relays)。 * 許多郵件安全性閘道器(email security gateways)會使用反向對應來驗證傳送訊息的IP位址和其所關聯的網域。 * 假如有賴IP位址去尋找主機的應用程式(APP)，反向對應就很重要，許多應用程式會記錄這個資訊在安全性或事件紀錄中。可從特定的IP位址看到可疑活動，就利用反向對應區域資訊去尋找主機名稱。 --- ### 以下依型態(type)來區分DNS Zone --- ## 主要 Primary Zone * 握有該區資訊的主要來源，也是儲存 DNS 區域檔案的主要複本。通常會儲存在本機檔案或AD DS中，伺服器資料夾會在此路徑 `%windir%\system\Dns`。 * 負責該區域資料的創建和維護，可以讀取&寫入 DNS 資料庫複本。 * 所有的區域資料變更都在 Primary DNS 伺服器上進行，然後通過區域傳送將變更發佈給 Secondary DNS 伺服器。 ## 次要 Secondary Zone * 握有該區資訊但屬次要來源，儲存 DNS 區域檔案的只能讀取複本(唯讀)；這台伺服器的區域資訊必須從另外一台也握有區域的DNS伺服器取得，也必須和另外一台DNS伺服器有網路存取，以便接收更新的區域資訊，因此該區域不可儲存在AD DS中。 * 從 Primary DNS 伺服器接收並儲存區域資料的副本，通過區域傳送機制來保持同步。 * 提供容錯和負載平衡功能，確保當 Primary DNS 伺服器不可用時，DNS 查詢仍能得到回答。 ## Stub Zone 虛設式區域 * 用在同一個父層區域(parent zone)的網域中的伺服器，去保持感知它的子層區域(child zone)的權威 DNS 伺服器的所在位址。 * 用於優化查詢過程，使得 DNS 伺服器能快速找到區域的權威伺服器。 * 通常用於縮短查詢時間，而不儲存完整的區域資料。 * 儲存區域的一部分資訊，區域複本，通常是僅包含區域： * 起始授權資源紀錄(SOA)。 * DNS 伺服器列表（NS）。 * 主機名稱(A)。 * 可用於更新區域(zone)的一個或多個主要(master)伺服器的IP位址。 ### Stub zones 虛設式區域和 Conditional forwarders 條件式轉寄站比較 * 這2者功能都允許 DNS 伺服器使用轉介(referral)或轉寄(forwarding)給不同的 DNS 伺服器來作回應。 * 條件轉寄站(Conditional forwarders)： * 組態DNS伺服器根據查詢中包含和 DNS 網域名稱，將查詢轉寄到另一台 DNS 伺服器。 * 適應情境：想在不同網路的 DNS 用戶端，不需要查詢網際網路 DNS 伺服器的情況下，解析彼此的名稱。EX：公司合併時，組態每一個網路的 DNS 伺服器去轉寄給對另一個網路的名稱之查詢。 * 虛設式區域(Stub zones)： * 適用於要讓擁有父層區域 DNS 伺服器去保持感知它的子層區域(child zone)權威 DNS 伺服器的所在位址。EX：公司有多元化產品，且AD DS 網域架構已擴充，總公司網路底下有3個子網路，要替內部用戶端盡可能快速的名稱解析路徑。 ## Active Directory 整合的 DNS：Active Directory-Integrated DNS Zone * 將 DNS 區域資料儲存在 Active Directory (AD) 中，而不是傳統的文字檔案。 * 提供更高的安全性，因為 AD 整合的區域資料使用 AD 的安全機制來進行存取控制。 * 資料將儲存在AD DS，而不是區域檔案(zone files)中，DNS可使用多重主要複製（Multi-Master Replication）模式來複寫主要區域資料，允許在多個 DNS 伺服器上同時進行資料變更並保持自動同步。 * 簡化管理，因為 DNS 資料和 AD 資料可以一起管理和複製。 ### Active Directory 整合區域（AD-integrated Zone）與傳統 DNS 區域（Standard DNS Zone）比較 * Active Directory 整合區域（AD-integrated Zone）使用區域複寫(Zone Replication)的技術，提供了更高的安全性、可靠性和管理便利性，特別適用於需要在多個地點進行 DNS 伺服器部署的企業環境。 * 區域複寫(Zone Replication)：在AD DS 複寫，該網域的所有網域控制站都可以修改區域資料並且將改變複寫到其他網域控制站中，該程序也稱為多重主要複製（Multi-Master Replication）。 * 而傳統 DNS 區域（Standard DNS Zone）使用區域轉送(Zone transfers)的技術，較適合小型部署或不依賴 Active Directory 的環境。 * 區域轉送(Zone transfers)：被用在從一台主要(master)伺服器轉送區域紀錄到一台次要(secondary)伺服器。 * 表格比較：  ## 概念影片補充 * 概念講解 {%youtube 833Qnc-7-ug %} * 實際操作 {%youtube WYCPTuGNj7U %} ## 總結 1. Primary DNS Server 是主要的資料來源，負責區域資料的創建和管理。 2. Secondary DNS Server 是備份資料來源，提供容錯和負載平衡。 3. Stub DNS Server 儲存區域的權威伺服器列表，用於加速查詢。 4. Active Directory-Integrated DNS Server 將 DNS 與 AD 整合，提供更高的安全性和管理便利性。 ### 專有名詞補充 1. 資源紀錄(Resource records)： * 是指定資源型態和它的IP位址，以便找到這個資源。 * A紀錄找到主機名稱。 * 還能幫助我們去尋找特定網域的資源， * 查MX紀錄，可找出是哪一台執行SMTP郵件服務的伺服器主機紀錄(A)。 * 可自訂屬性。 * MX有紀錄優先順序屬性。 * 服務定位(Service Locator)(SRV)紀錄會包含有關服務正在傾聽哪一個port及應該使用哪一種通訊協定與服務溝通的資訊。