Forma organizativa del sistema de archivos de Windows 2000

Servicios avanzados de red Win2000 (1): sistema dinámico de nombres de dominio

El estándar DNS actualmente definido en el estándar RFC2136 describe una serie de reglas que permiten que DNS actualice registros dinámicamente. Este sistema DNS normal se puede llamar DDNS. El sistema DNS incluido en Windows 2000 es compatible con el estándar DDNS. ¡DDNS es una innovación del estándar de resolución de nombres utilizado desde hace mucho tiempo y tendrá un profundo impacto en la planificación y gestión de la red!

Sabemos que DNS es de poca utilidad en la mayoría de redes NT4. En estas redes de nivel inferior, DNS se utiliza principalmente para soportar servicios proporcionados por hosts UNIX o INTERNET. El servicio de resolución local preferido en NT4 es WINS. En la red NT4, los nombres NETBIOS se utilizan para identificar y localizar recursos y servicios. Aunque WINS es más conveniente y rápido para implementar servicios de resolución en redes NETBIOS, desafortunadamente, WINS y otros servicios de nombres de dominio NETBIOS no son ampliamente aceptados. En diferentes tipos de redes convencionales, el sistema de nombres de dominio es un servicio de resolución de nombres de dominio reconocido y la base del sistema de nombres de dominio es DNS. La razón principal por la que Microsoft eligió WINS en lugar de DNS es porque admite actualizaciones dinámicas, lo cual es fundamental en la red. Sin embargo, dado que Internet utiliza DNS como estándar de resolución de nombres preferido, es más difícil conectar la red de Microsoft a Internet utilizando NETBIOS tradicional. Por tanto, es imperativo utilizar DNS en las redes de Microsoft. DDNS reemplazará a WINS en Windows 2000 y se convertirá en el servicio de resolución de nombres preferido.

La función principal de DNS es la resolución de nombres de host, es decir, convertir nombres de host en direcciones IP para realizar la comunicación de recursos en redes TCP/IP. En un sistema DNS estático, el administrador completa manualmente todos los elementos de resolución, lo cual es muy inconveniente. Especialmente en la planificación de redes actual, el Protocolo de configuración dinámica de host (DHCP) se utiliza para asignar direcciones IP de clientes. El DNS estático no puede admitir DHCP. DDNS tiene muchas ventajas sobre el DNS estático. Admite actualizaciones dinámicas, es compatible con redes NT4 y admite actualización manual. Combina las capacidades dinámicas de WINS con la estabilidad y solidez del DNS tradicional. Por supuesto, en los últimos años, WINS y DDNS seguirán existiendo mientras los usuarios necesiten WINS para seguir admitiendo clientes y aplicaciones de bajo nivel que dependen de los sistemas NETBIOS. Pero nuestro objetivo final es cancelar NETBIOS y unificarlo con el sistema DNS de Internet para lograr resolución.

En una red Windows 2000, Active Directory es una tecnología avanzada de servicio de directorio que implementa la gestión de red. Active Directory es una estructura lógica jerárquica compuesta por OU, DOMINIO, ÁRBOL y BOSQUE. Todos los recursos de la red están organizados en Active Directory en forma de objetos, lo que facilita el acceso a los recursos de los usuarios y la gestión centralizada de los administradores. En Active Directory se integran dos estándares importantes de la industria de Internet: DNS y LDAP. DNS es necesario como servicio de ubicación de Active Directory; LDAP es el protocolo de acceso al directorio estándar de Internet, utilizado para acceder y recuperar recursos en Active Directory. LDAP es una versión simplificada del Protocolo de acceso a directorios (DAP), un protocolo de acceso a directorios X.500. Windows 2000 no sólo es compatible con el protocolo LDAP. Microsoft estableció Windows 2000 como servidor LDAP y utilizó LDAP para leer y escribir en Active Directory. Para ubicar un servidor Windows 2000 que pueda atender solicitudes LDAP, el cliente primero debe enviar una solicitud de resolución de ubicación del servidor al servidor DNS. El servidor DDNS de Windows 2000 contiene registros de recursos de servicio (SRV) para cada servidor LDAP.

La lista de registros LDAP SRV normalmente se puede encontrar en el servidor DDNS de Windows 2000, con el siguiente contenido:

_ldap._tcp.DnsDomainName

_ldap._tcp.SiteName._sites. .DnsDomainName

p>

_ldap._tcp.dc._msdcs.DnsDomainName

_ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName

.

_ldap._tcp.pdc._msdcs .DnsDomainName

_ldap._tcp.gc._msdcs.DnsForestName

_ldap._tcp.SiteName._sites.gc._msdcs.DnsForestName.

_gc._tcp.DnsForestName

_gc._tcp.SiteName._sites.DnsForestName

_ldap._tcp.DomainGuid.domains._msdcs.DnsForestName.

Registros SRV anteriores Identifica el servidor LDAP para localizar recursos especiales a través del protocolo TCP. Por ejemplo, para encontrar el controlador de dominio del dominio mycompany.com, los clientes deben consultar DDNS para resolver la conversión de ldap.tcp.mycompany.com a la dirección IP. Aunque es muy importante, hay un problema a tener en cuenta aquí. Se recomienda admitir la actualización dinámica de DNS en Windows 2000. No es estrictamente necesario, pero admitir registros SRV es un requisito mínimo. De hecho, en redes Windows 2000, independientemente de su tamaño, no resulta práctico realizar DNS sin una actualización dinámica. Si no se admiten actualizaciones dinámicas, deberá agregar y actualizar manualmente los registros SRV en DNS.

En una red Windows 2000, el espacio de nombres de dominio Active Directory de la empresa refleja su propio espacio de nombres DDNS. Los dominios en Active Directory también deben estar en DDNS. Al crear la estructura DDNS de su empresa, debe considerar cómo se utilizan los dominios y subdominios en Active Directory. El diseño de Active Directory tiene una gran influencia en el diseño de DDNS. ¡El diseño de ambos debería funcionar bien juntos!

Cuando se genera un dominio de Active Directory, es tanto un dominio en el espacio de nombres de Active Directory como un dominio en el espacio de nombres de DDNS. Es un nodo físico en Active Directory y una zona en DDNS. Al resolver un cliente en la red, el cliente debe confirmar su inicio de sesión de acuerdo con la información de la cuenta almacenada en Active Directory, y el cliente debe estar registrado dinámicamente en la zona DDNS. Por ejemplo, un cliente que inicia sesión en Active Directory con un nombre que se puede resolver, como cliente@miempresa.com, actualizará DDNS con su nombre de host y dirección IP. Una vez que DDNS completa la actualización dinámica, existe un registro A en DDNS que se utilizará para analizar consultas. Hágalo accesible a otros miembros del dominio miempresa.com. Cabe señalar aquí que los registros de host almacenados en DDNS para los miembros del dominio del directorio activo deben tener el mismo nombre de dominio. El espacio de nombres de Active Directory y el espacio de nombres DDNS deben ser el mismo. Si Active Directory requiere dominios separados, DDNS debe reflejar esta estructura.

En un mundo ideal, diseñar DDNS con el mismo propósito que diseñar Active Directory es el mismo. Los criterios de diseño de DNS comunes son los siguientes:

El dominio de nivel superior debe permanecer sin cambios. Este dominio suele ser el nombre de la empresa, como miempresa.com;

Las empresas nacionales e internacionales a menudo dividen el espacio de nombres DNS en subdominios, cada subdominio representa una tarea de administración diferente

<; p>Cuando un solo dominio es grande, se debe dividir en varios subdominios. Esto reducirá la carga de trabajo del dominio de administración y reducirá la carga en el servidor DNS;

Las empresas también pueden establecer subdominios correspondientes según la distribución geográfica, la organización de administración y la estructura de soporte de TI de la empresa.

Con estos métodos alternativos y una comprensión completa de la flexibilidad de DDNS, puede decidir cómo dividir el espacio de nombres de acuerdo con los estándares de diseño de DNS. Pero lo más importante es que el subdominio DNS y el dominio de Active Directory deben coincidir. Si la empresa tiene negocios en Internet, debería tener un plan adicional al diseñar DNS y juzgar si enviar el espacio de nombres a Internet es diferente del interno, analicémoslo en detalle a continuación:

Por el bien. Por motivos de coherencia, algunas empresas proporcionan un espacio de nombres DNS idéntico a usuarios internos y externos. En este escenario, un único dominio DDNS representa un directorio, como contoso.com, y sus recursos internos se pueden traducir fácilmente a direcciones IP tanto dentro como fuera del firewall. Por supuesto, hay algunos problemas que deben resolverse al utilizar un único espacio de nombres para usuarios internos y externos. Por ejemplo, no desea que todos los usuarios de Internet conozcan el registro del host interno, no desea hacerlo. todas las direcciones IP internas son públicas en Internet y debe proporcionar un método para que los usuarios internos implementen la traducción de recursos internos y externos a direcciones IP. El mejor enfoque es almacenar registros de recursos internos y externos en diferentes zonas, de modo que las direcciones IP de los recursos internos sean invisibles para los usuarios externos y no haya replicación entre las zonas internas y externas, es decir, esencialmente** * comparten el mismo nombre de dominio, pero su funcionamiento es independiente: todos están en diferentes zonas básicas del servidor DDNS. Entonces, ¿cómo pueden los usuarios internos acceder a recursos fuera del dominio? Hay varias soluciones para esto, el método más popular es crear una copia del recurso externo dentro del firewall y luego acceder a él a través de un proxy como si estuviera accediendo al nombre interno. Este tipo de recursos internos y externos utilizan el mismo espacio de nombres, lo que requiere mucha configuración adicional y el trabajo de integración es complicado.

Una empresa con presencia en Internet también puede tener diferentes nombres de dominio internos y externos. Por ejemplo, al usar contoso.local dentro del firewall y contoso.com fuera del firewall, al usar diferentes espacios de nombres internos y externos, la empresa proporciona confidencialidad para los recursos internos y al mismo tiempo simplifica el proceso de resolución de nombres. No es necesario reflejar el servidor externo dentro del firewall ni configurar un proxy entre el servidor externo y el servidor reflejado. Este método es muy sencillo de configurar y los usuarios de la empresa pueden distinguir los recursos internos y externos según el FQDN. Los dos espacios de nombres de dominio establecidos por DDNS deben registrarse por separado en Internet. Aunque contoso.local solo se usa internamente, se debe registrar para evitar que otros lo utilicen. De lo contrario, si está registrado por otros, cuando los usuarios internos dirigen el navegador a www.contoso.local, pueden acceder a otros sitios web.

Sopese todos los factores al diseñar DDNS. Diseñar DDNS es más complicado si la organización decide utilizar un único espacio de nombres; es más fácil de implementar si utiliza diferentes espacios internos y externos. ¡Debes analizar y medir múltiples aspectos para encontrar la solución que mejor se adapte a las necesidades de tu empresa!

En una red Windows 2000, Active Directory está estrechamente integrado con DNS, lo que significa que Active Directory es más adecuado para entornos de Internet e Intranet. Los clientes pueden encontrar servidores de directorio más fácil y rápidamente; las empresas pueden conectar Active Directory directamente a Internet para simplificar las comunicaciones con clientes y socios y ofrecer comercio electrónico. Una vez instalado Active Directory, se publicará automáticamente a través de DDNS. En otras palabras, una red Windows 2000 que utilice DDNS se conectará a Internet de forma cómoda y fiable.