Теперь рассмотрим примеры с созданием новой зоны. К примеру это будет зона vk.com. Все пункты визарда по умолчанию, кроме некоторых. Зону можно хранить в AD, а можно и не хранить в AD. Если хранить, то это обеспечит резервное копирование данной зоны. Возможно, ещё какие плюшки )

 Зоны бывают трёх видов: праймари, секондари и заглушки. Праймари зона настраивается на одном сервере, и потом распространяется на другие ДНС сервера, где она настроена как сенокдари зона. Заглушка - это урезанная праймари зона. Например, если у вас заказана на www.nic.ru услуга Праймари-ДНС, то вы можете не покупать услугу Секондари - а просто указать в делегировании домена свой ДНС как второй и настроить на нём секондари зону. Если ваш ДНС сервер за NAT - 53 порт прокидываем! Интересно, что будет если внешний домен и AD домен имеют одно название? Надо будет попробовать...

 В данном моменте я запрещаю какие-либо автоматические изменения в новой зоне, чтобы только администратор ДНС сервера мог руками править зону.

 Краткое описание часто используемых типов записей в ДНС.

 - SOA указывает, грубо говоря, что "я есть зона". В ней есть некоторая информация, такая как "номер" зоны, время обновления зоны. Создаётся автоматически. Вот как выглядит SOA у YA.RU: 

C:\Users\user>nslookup -type=SOA ya.ru
Server:  dc1.domain.local
Address:  192.168.10.10
 
Non-authoritative answer:
ya.ru
        primary name server = ns1.yandex.ru
        responsible mail addr = sysadmin.yandex.ru
        serial  = 2013041600
        refresh = 10800 (3 hours)
        retry   = 900 (15 mins)
        expire  = 2592000 (30 days)
        default TTL = 900 (15 mins)
 
ns1.yandex.ru   internet address = 213.180.193.1

 - NS указывает какие ДНС сервера отвечают за эту зону. Создаётся автоматически, так же можно добавить в свойствах SOA. Вот как выглядит NS у YA.RU: 

C:\Users\user>nslookup -type=NS ya.ru
Server:  dc1.domain.local
Address:  192.168.10.10
 
Non-authoritative answer:
ya.ru   nameserver = ns2.yandex.ru
ya.ru   nameserver = ns1.yandex.ru
 
ns2.yandex.ru   internet address = 93.158.134.1
ns1.yandex.ru   internet address = 213.180.193.1

 - А запись (АААА для IPv6). Основная запись ДНС, указывающая на IP адрес узла. Nslookup по умолчанию выводит все А записи непосредственной запрашиваемой зоны. Домены третьего уровня и поддомены зоны не узнать, но об этом чуть позже. 

C:\Users\user>nslookup -type=A ya.ru
Server:  dc1.domain.local
Address:  192.168.10.10
Non-authoritative answer:
Name:    ya.ru
Addresses:  87.250.250.203
          87.250.251.3
          93.158.134.3
          93.158.134.203
          213.180.193.3
          213.180.204.3
          77.88.21.3
          87.250.250.3
 
C:\Users\user>nslookup -type=AAAA google.com
Server:  dc1.domain.local
Address:  192.168.10.10
 
Non-authoritative answer:
Name:    google.com
Address:  2a00:1450:4008:c01::8b
  - CNAME алиас или псевдоним, и этим всё сказано. Самый распространнёный алиас - WWW.
  - MX указывает на того, кто есть почтовый сервер для этого домена:
C:\Users\user>nslookup -type=MX ya.ru
Server:  dc1.domain.local
Address:  192.168.10.10
 
Non-authoritative answer:
ya.ru   MX preference = 10, mail exchanger = mx.yandex.ru
 
mx.yandex.ru    internet address = 213.180.204.89
mx.yandex.ru    internet address = 77.88.21.89
mx.yandex.ru    internet address = 87.250.250.89
mx.yandex.ru    internet address = 93.158.134.89
mx.yandex.ru    internet address = 213.180.193.89

 - SRV ресурсная запись, указывает на ресурсы в сети. Например, указывает кто в домене является ldap каталогом. В записи обязательно должен быть указан порт службы:

 Передача зоны. По умолчанию выключена, и именно по этому мы не можем узнать домены третьего уровня и поддомены. Если мы включим трансфер для всех серверов - то любой ДНС сервер может скопировать зону и настроить её у мебя как секондари. Можно разрешить трансфер зоны только доменным ДНС серверам или только определённому серверу. Передача зоны нужна, например, при настройке доверительных отношений.

  И так, что стало когда мы создали зону vk.com ? Во-первых для нас ДНС сервер стал авторитарным ДНС сервером. Вот чем опасны подмены ДНС серверов, где могут быть созданы доменные зоны указывающие на вредоносные веб-сайты. Для избежения этого был введён DNSSEC - зона подписывается доверенным сертификатом. Во-вторых мы теперь можем заблокировать vk.com на работе. На скрине nslookup без зоны, с новой зоной VK.COM и с записью типа А указывающей на сервер с установленным IIS 8. Так же видно, что будут получать пользователи при попытке зайти на страницу VK.COM. В IIS можно изменить содержимое (как и в любом веб-сервере) на что-нибудь более значимое для пользователя. Например - на работе работай. П.с. как правило админы не запрещают себе ничего ). Этот способ хорошо подходит для блокировки сайтов тем, у кого нет прокси сервера. Однако, локальные администраторы могут править файл hosts - и вконтакт доступен.

 Респект админам вконтакта - уже поддерживают IPv6! Для сравнения:

C:\Users\user>nslookup -type=AAAA gov.ru
Server:  dc1.domain.local
Address:  192.168.10.10
 
Name:    gov.ru
Ну, я думаю и там всё будет хорошо. На это всё. Спасибо за внимание.

30.04.2013