DNS için Ad Alanı Planlama

Ağınızda DNS kullanmaya başlamadan önce, DNS etki alanı ad alanınız için bir plan üzerinde karar verin.Bir ad alanı planı yapmak, DNS adlandırmasını nasıl kullanacağınızla ve DNS kullanarak hangi amaçları gerçekleştireceğinizle ilgili bazı kararlar vermenizi gerektirir. Bu aşamada sorabileceğiniz bazı sorular şunlardır:

• Internet’te kullanmak üzere daha önce bir etki alanı adı seçtiniz ve kaydettirdiniz mi?
• DNS sunucularını özel bir ağda mı, Internet’te mi kuracaksınız?
• Active Directory kullanımınızı desteklemek için DNS kullanacak mısınız?
• Bilgisayarlar için DNS etki alanı adları seçerken hangi adlandırma gereksinimlerine uymanız gerekecek?

Bu sorulardan her biri aşağıdaki bölümlerde ele alınmıştır.

İlk DNS etki alanı adınızı seçme
DNS sunucuları kurarken, ilk önce sitenizi Internet’e yerleştirmek için kullanılabilecek, örneğin “microsoft.com” gibi benzersiz bir ana DNS etki alanı adı seçmeniz ve kaydettirmeniz önerilir. Bu ad, Internet’te kullanılan üst düzey etki alanı adları içindeki ikinci düzey etki alanıdır. Internet’te en yaygın olarak kullanılan üst düzey etki alanlarının listesi ve açıklamaları için, bkz: Üst düzey etki alanları.
Ana etki alanı adınızı seçtikten sonra, bu adı diğer alt etki alanı adlarını oluşturmak üzere şirketiniz içinde kullanılan bir yer ya da kuruluş adıyla birleştirebilirsiniz. Örneğin, itg.example.microsoft.com etki alanı ağacı (kuruluşunuzdaki bilgi teknolojileri grubu tarafından kullanılan kaynaklar gibi) gibi bir alt etki alanı eklendiyse, bu ad kullanlarak başka alt etki alanı adları oluşturulabilir. Örneğin, bu bölümde elektronik veri alışverişinde (EDI) çalışan bir grup programcının edi.itg.example.microsoft.com adında bir alt etki alanı olabilir. Benzer şekilde, bu bölüme destek sağlayan başka bir grup da destek.itg.example.microsoft.com’u kullanabilir.
Şirketiniz için Internet’te kullanmak üzere bir ana DNS etki alanı adı üzerinde karar vermeden önce, adın başka bir şirkete ya da kişiye kaydedilmediğini görmek için bir arama yapın. Internet DNS ad boşlukları Internet Network Information Center (InterNIC) tarafından yönetilmektedir. Gelecekte, başka etki alanı kaydedicileri de olabilir.

Active Directory için DNS ad alanı planlaması
Active Directory kullanıyorsanız, ilk önce bir ad alanı planı yapmanız gerekir. Bir DNS etki alanı ad alanının doğru şekilde uygulanması için, Active Directory yapısının kullanılabilir olması gerekir. Bu nedenle, Active Directory tasarımıyla başlayın ve bu tasarımı uygun DNS ad alanıyla destekleyin. İncelemeniz sonucunda, planlarınızla ilgili öngörülemeyen ya da istenmeyen sonuçlarla karşılaşırsanız, gerekli düzeltmeleri yapın.
Active Directory etki alanları DNS adlarıyla adlandırılır. Active Directory etki alanlarınız için DNS adları seçerken, kuruluşunuzun Internet’te kullanmak üzere seçtiği microsoft.com gibi bir kayıtlı DNS etki alanı sonekiyle başlayın ve Active Directory etki alanlarınıza ilişkin tam adları oluşturmak için, bu adı kuruluşunuzda kullanılan yer adlarıyla ya da bölüm adlarıyla birleştirin.
Örneğin, Microsoft’daki sınama grubunun etki alanının adı sınama.example.microsoft.com olabilir. Bu adlandırma yöntemi sayesinde her Active Directory etki alanı adı benzersiz olur. Ve, bir kere kullanıldığında, bu adlandırma yöntemi ek alt etki alanları oluşturmak için varolan adları ana etki alanı adları olarak kullanmayı ve şirketinize eklenecek yeni bölümler için ad alanını büyütmeyi kolaylaştırır.
Yalnızca tek bir etki alanı ya da küçük bir çok etki alanlı model kullanan küçük boy işletme için, planlama daha az karmaşık ve önceki örneklere benzeyen bir yaklaşıma benzer olabilir. Daha karmaşık bir etki alanı modeli kullanan büyük kuruluşlar için, ek Microsoft kaynaklarına başvurun.

Dikkat
• DNS ve Active Directory ad alanınızı planlarken, iç ve dış DNS kullanımınız için temel olarak, birbirleriyle çakışmayan farklı bir ad kümesi kullanmanız önerilir. Örnek olarak, şirketinizin ana etki alanının “example.microsoft.com” olduğunu varsayarsak
İç DNS adları kullanımı için “iç.example.microsoft.com” gibi bir ad kullanabilirsiniz
Dış DNS adları kullanımı için “dış.example.microsoft.com” gibi bir ad kullanabilirsiniz
İç ve dış ad boşluklarınızı bu şekilde birbirinden ayrı ve farklı kılarak, etki alanı adı süzgeci ya da dışarıda bırakma listeleri gibi yapılandırmaların basitleştirilmiş bakımı olanağını sağlarsınız.

Adları seçme
Etki alanı adlarında, yalnızca DNS ana bilgisayar adlandırması için kullanılmasına izin verilen Internet standart karakter kümesinde yer alan karakterler kullanmanız önerilir. İzin verilen karakterler Açıklama İsteği (RFC 1123)’te aşağıdaki şekilde tanımlanmıştır: tüm büyük harfler (A-Z), küçük harfler (a-z), rakamlar (0-9) ve kısa çizgi (-).
Microsoft NetBIOS teknolojisine daha önceden yatırım yapmış olan şirketler için, varolan bilgisayar adları NetBIOS adlandırma standardına uygun olabilir. Bu durumda, bilgisayarlarınızın adlarını Internet DNS standardına göre değiştirmeyi deneyin.
Adlandırma kurallarınızı ayarlama işlemi çok fazla zaman alabilir. NetBIOS adlarından DNS etki alanı adlarına geçişi kolaylaştırmak için, DNS Sunucusu hizmeti genişletilmiş ASCII ve Unicode karakterleri için destek bulundurur. Ancak, bu ek karakter desteği yalnızca Windows 2000 veya Windows Server 2003 ailesinden bir ürünü çalıştıran bilgisayarlardan oluşan ağ ortamında kullanılabilir. Bunun nedeni, diğer DNS çözücü istemci yazılımlarının çoğunun, Internet ana bilgisayar adlandırma gereksinimlerini standartlaştıran bir belirtim olan RFC 1123’e dayanmasıdır. Kuruluş sırasında standart olmayan bir DNS etki alanı adı girilirse, standart bir DNS adının kullanılmasını öneren bir uyarı iletisi görüntülenir.
Windows NT 4.0 ve önceki sürümleri çalıştıran ağlarda, Windows işletim sistemi yüklü bir bilgisayarı tanımlamak için NetBIOS adı kullanılır. Windows 2000 veya Windows Server 2003 ailesinden bir ürünü çalıştıran bilgisayarlardan oluşan ağlarda, bir bilgisayar aşağıdaki yollardan biri ile tanımlanabilir:
İsteğe bağlı olan ve daha önceki Windoes sistemleriyle birlikte çalışabilirliği sağlamak için kullanılan bir NetBIOS bilgisayarı adı.
Tam bilgisayar adı. Bu, bilgisayarın varsayılan adıdır.
Bunlara ek olarak, bilgisayarda belirli bir ağ bağlantısı için yapılandırıldıysa ve uygulandıysa, bir bilgisayar, bilgisayar (ana bilgisayar) adından ve bağlantıya özgü etki alanı adından oluşan FQDN ile de tanıtılabilir.
Tam bilgisayar adında, hem bilgisayar adı, hem de bilgisayara ilişkin birincil DNS soneki birleştirilmiştir. Bilgisayara ilişkin DNS etki alanı adı, bilgisayara ilişkin Sistem özelliklerinin bir parçasıdır ve özel olarak kurulmuş herhangi bir ağ bileşeniyle ilişkili değildir. Ancak, ağ veya TCP/IP kullanmayan bilgisayarların DNS etki alanı adı yoktur.
Aşağıdaki tabloda, NetBIOS ve DNS bilgisayar adları karşılaştırılmıştır.

Windows’da NetBIOS ve DNS adlandırmalarının birlikte çalışabilirliğini sağlamak için, NetBIOS bilgisayar adı olarak adlandırılan yeni bir adlandırma değişkeni kullanıma sunulmuştur. Windows 2000 veya Windows Server 2003 ortamında gerekmeyen bu parametrenin değeri, DNS tam bilgisayar adının ilk 15 karakterinden türetilmiştir.

Tam bilgisayar adı, bilgisayar adı ile bilgisayara ilişkin birincil DNS sonekinin bir birleşimi olduğunda, yeniden adlandırma yapmanın ve bir NetBIOS ad alanından bir DNS ad alanına geçişin etkisi en alt düzeyde olabilir. Kullanıcılar kısa bilgisayar adına odaklanmaya devam ederler. Bu ad 15 karakter ya da daha kısaysa, NetBIOS bilgisayar adıyla özdeşleştirilebilir. Böylece yönetici her bilgisayara bir DNS etki alanı adı da atayabilir. Bu işlem, uzak yönetim araçları kullanılarak yapılabilir.

Bu yolla, Sistem özellikleri sayfasındaki Bilgisayar Adı sekmesinde (ya da ilişkili iletişim kutularında) aşağıdaki ayarlar olabilir:

Önemli

  • Varsayılan olarak bir bilgisayarın tam etki alanı adı (FQDN) birincil DNS son eki bölümü, bilgisayarın bulunduğu Active Directory etki alanının adıyla aynı olmalıdır. Farklı birincil DNS son eklerine izin vermek için etki alanı yöneticisi, etki alanı nesnesi kapsayıcısında msDS-AllowedDNSSuffixes özniteliği oluşturarak, izin verilen son ekler kısıtlı listesi oluşturabilir. Bu öznitelik, etki alanı yöneticisi tarafından Active Directory Hizmet Arabirimleri veya Basit Dizin Erişimi Protokolü kullanılarak oluşturulur ve yönetilir.
    Daha fazla bilgi için bkz: Programlama arabirimleri ve Dizin erişim protokolü.

Not

  • Bilgisayara ilişkin birincil DNS etki alanı adına ek olarak, bağlantıya özgü DNS adları da yapılandırılabilir. Daha fazla bilgi için, bkz: Birden çok ad yapılandırma.
    DNS ana bilgisayar adları UTF-8 biçiminde kodlandığından, karakter başına yalnızca 1 bayta sahip olmaları gerekmez. Her ASCII karakteri 1 bayttır, ancak dile özgü karakterlerin boyutu 1 bayttan fazladır.
    Bazı Microsoft dışı çözümleyici yazılımları, yalnızca RFC 1123’de listelenen karakterleri destekler. Microsoft dışı çözümleyici yazılımınız varsa, büyük bir olasılıkla adlarında standart olmayan karakterler bulunan bilgisayarları arayamaz.
    UTF-8 kodlamasını desteklemeyen bir DNS sunucusu, UTF-8 adları içeren bölgenin bölge aktarımını kabul edebilir; ancak, bu adları bir bölge dosyasına geri yazamaz veya bu adları bir bölge dosyasından yeniden yükleyemez. Bu nedenle, UTF-8 karakterleri içeren bir bölgeyi bunları desteklemeyen bir DNS sunucusuna aktarmamalısınız.

Bütünleştirme planlaması: Birden çok ad alanını destekleme

İç DNS ad alanını desteklemenin yanı sıra, birçok ağda, Internet’te kullanılanlar gibi dış DNS adlarını çözmek için destek gerekir. DNS Sunucusu hizmeti, hem dış, hem de iç DNS adlarının ağınızda çözüldüğü durumlarda, ayrılan ad boşluklarını bütünleştirmek ve yönetmek için çeşitli yollar sağlar.

Ad boşluklarını nasıl bütünleştireceğinize karar verirken aşağıdaki senaryolardan hangisinin sizin durumunuza ve önerilen DNS kullanımına daha çok benzediğini belirleyin:

  • Yalnızca sizin ağınızda kullanılan bir iç DNS ad alanı.
  • Internet üzerindeki bir DNS sunucusuna başvuru ya da yönlendirme gibi, bir dış ad alanına başvuru ve erişim içeren bir iç DNS ad alanı.
  • Yalnızca Internet gibi herkese açık bir ağda kullanılan bir dış DNS ad alanı.

Özel ad alanınızda ad hizmeti olarak DNS kullanımını sınırlamaya karar verirseniz, tasarımı ve uygulamasıyla ilgili kısıtlama yoktur. Örneğin, herhangi bir DNS adlandırma standardını seçebilirsiniz, DNS sunucularını ağınızın dağıtılmış DNS tasarımı için geçerli kök sunucular olarak şekilde yapılandırabilirsiniz ya da tümüyle kendi başına bir DNS etki alanı ağaç yapısı ve sıradüzeni yapılandırabilirsiniz.

Internet üzerinde bir dış DNS ad alanına başvurduğunuzda ya da tam DNS hizmeti sağlamaya başladığınızda, özel ve dış ad alanlarınız arasında uyumluluk olmasına dikkat etmeniz gerekir. Ek olarak, Internet hizmeti şirketiniz için ana etki alanı adlarının kaydedilmesini gerektirir.

Güvenli özel ağınız üzerinden Internet DNS adları başvurusunun güvenli bir şekilde tümleştirilmesini planlama ile ilgili daha fazla bilgi için, Microsoft Windows Resource Kits Web sitesine bakın.

Notlar

  • DNS konsolunu kullanarak bir DNS sunucusu ekleyip ilk kez bağlandığınızda, kök ipucu dosyası (Cache.dns) otomatik olarak ağınızda kullanıma hazırlanır. Bu işlem anlaşılır bir şekilde yapılır ve başka işlem yapmanızı gerektirmez.
    DNS’yi nasıl kullandığınıza bağlı olarak, bu dosyayı aşağıdaki yollardan birini kullanarak güncelleştirebilirsiniz: 

    • Internet’e bağlıysanız, Internet kök ipuçları dosyası (Named.root) Internet kök bölgesinin sahipleri tarafından güncelleştirilip yayımlandığında, yerel kök ipuçları dosyasını düzenleyebilir veya güncelleştirebilirsiniz. Bu dosyanın geçerli bir kopyasını almak için, InterNIC Web sitesine FTP ile anonim kullanıcı olarak erişebilirsiniz.
    • Internet’e bağlı değilseniz, bu dosyada bulunan varsayılan kaynak kayıtlarını kaldırabilir ve bu kayıtların yerine sitenizin kök etki alanındaki DNS yetkili sunucularına ilişkin NS ve A kaynak kayıtlarını koyabilirsiniz. Özel ağınızdaki kök etki alanı sunucularından bu dosyayı güvenli bir şekilde tamamen kaldırabilirsiniz çünkü bu etki alanı düzeyinde çalışan sunucular kök ipuçları önbelleği gerektirmez ya da kullanmaz.

2 thoughts on “DNS için Ad Alanı Planlama

Bir yanıt yazın

Başa Dön