Salah satu komponen penting dari jaringan perusahaan adalah server DNS. Hampir semua aplikasi jaringan didasarkan pada penggunaan server DNS dan layanannya, dan jika server DNS tidak tersedia, hampir semua aktivitas jaringan dapat berhenti. Untuk memastikan toleransi kesalahan layanan DNS, bahkan jika terjadi kegagalan server DNS, Anda harus mengkonfigurasi setidaknya satu server DNS sekunder untuk setiap zona.
Replikasi zona adalah prosedur untuk memperbarui server DNS sekunder, di mana semua catatan DNS dari server DNS primer disalin dan diperbarui. Jika zona Anda berisi sejumlah besar catatan yang diperbarui cukup sering (misalnya, oleh klien DNS dinamis), Anda perlu mempertimbangkan masalah penggunaan jaringan yang efisien untuk lalu lintas replikasi zona DNS. Untuk kinerja optimal, Anda disarankan meng-host server DNS pada pengontrol domain, dan menggunakan zona Active Directory terintegrasi. Active Directory Integrated Zone dirancang untuk menyediakan replikasi zona DNS yang otomatis dan aman. Microsoft DNS mengalokasikan zona replikasi berikut:
■ Ke Semua Server DNS Di Hutan Ini (untuk semua server DNS di hutan) replikasi dilakukan untuk semua server DNS di hutan Direktori Aktif, ke pengontrol domain dengan Microsoft Windows Server 2003 dan Windows Server 2008. Jenis replikasi ini digunakan jika ada banyak server DNS di banyak domain di dalam hutan.
■ Untuk Semua DNS Server Masuk Ini Domain (untuk semua server DNS di domain ini) replikasi ke semua pengontrol domain di domain saat ini. Opsi ini digunakan secara default untuk zona terintegrasi Direktori Aktif..
■ Untuk Semua Domain Pengontrol Masuk Ini Domain (untuk semua pengontrol domain di domain ini) - replikasi ke semua pengontrol, termasuk yang berjalan di Microsoft Windows 2000 Server. Opsi ini hanya digunakan jika Anda memiliki server DNS yang menjalankan Windows 2000 Server di jaringan Anda. Dengan konfigurasi ini, jumlah lalu lintas replikasi meningkat karena semua catatan DNS direplikasi.
■ Untuk Semua Domain Pengontrol Masuk itu Lingkup Dari Ini Direktori Partisi - Replikasi ke semua pengontrol domain di bagian aplikasi yang ditentukan, termasuk ke server yang menjalankan Windows 2000 Server. Dalam situasi ini, data DNS direplikasi ke server DNS tertentu dengan Windows 2000 Server, sehingga mengurangi area replikasi. Opsi ini mengurangi lalu lintas replikasi, tetapi memerlukan konfigurasi tambahan..
Zona terintegrasi Direktori Aktif hanya dapat ditemukan di pengontrol domain; Server anggota domain, serta komputer individual tidak mendukung zona terintegrasi Direktori Aktif. Jika Anda tidak menggunakan zona yang terintegrasi dalam Active Directory, replikasi ke server DNS sekunder dilakukan dengan transfer standar zona DNS (transfer zona), yang merupakan metode standar untuk memperbarui server DNS dan didefinisikan dalam RFC 1034 (http: //www.ietf .org / rfc / rfc1034.txt) dan RFC 1035 (http://www.ietf.org/rfc/rfc1035.txt). Server Microsoft DNS juga mendukung transfer zona tambahan, yang dijelaskan dalam RFC 1995 (http://www.ietf.org/rfc/rfc1995.txt), yang dirancang untuk mengurangi lalu lintas.
Cara kerja transfer zona
Kueri DNS standar menggunakan port 53 dari UDP, dan port 53 menggunakan protokol TCP untuk mentransfer zona. UDP lebih efisien untuk meneruskan permintaan DNS, yang biasanya terdiri dari dua komponen: paket permintaan yang dikirim ke server DNS, dan paket respons yang dikirim ke klien oleh server. Volume lalu lintas transfer zona bisa sangat besar (terutama untuk transfer zona pertama), oleh karena itu, diputuskan untuk menggunakan keunggulan protokol TCP seperti keandalan dan kontrol transfer data. Perlu dicatat bahwa transfer zona adalah salah satu kerentanan potensial dalam keamanan jaringan, karena penerima zona dapat melihat hampir seluruh struktur organisasi Anda. Untungnya, server DNS di Windows Server 2008 tidak memungkinkan Anda untuk mentransfer zona ke server yang tidak sah. Untuk membuat eselon perlindungan tambahan, Anda harus menutup port TCP 53 pada firewall eksternal (tentu saja, jika ini tidak mengganggu transfer zona normal).
Jika server DNS primer dan sekunder mendukung transfer zona tambahan (fungsi ini muncul di Windows 2000 Server, dalam BIND 8.2.1 dan versi yang lebih baru), hanya perubahan pada basis data DNS yang akan ditransmisikan. Jika server DNS primer atau sekunder tidak mendukung replikasi tambahan, seluruh database akan dikirimkan setiap kali, dan dengan sejumlah besar catatan di zona, transfer ini dapat secara signifikan memanfaatkan jaringan.