3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf408 |
Интеграция DNS с AD DS |
Глава 9 |
состоящие из одних нулей, независимо от их длины . Благодаря этому упрощается запись 1Ру6-адресов, поскольку в противном случае нотация IPv6 стала бы очень сложной.
Аналогично IPv4 в пространстве IPv6 используется несколько типов адресов.
• |
Локальный адрес канала (Link - Local) |
Эти адреса позволяют соседним |
|||
|
компьютерам связываться друг с другом. С п о м о щ ь ю такого |
типа адреса |
|||
|
любой компьютер в этом сетевом сегменте может связаться с другим ком- |
||||
|
пьютером. Этот тип адреса назначается по умолчанию при включении IPv6 |
||||
|
без использования статического адреса и невозможности связаться с таким |
||||
|
провайдером динамических |
адресов, как |
D H C P v 6 - c e p B e p . Такие адреса |
||
|
аналогичны адресам 169.254.0.0/16, используемым процессом APIPA. |
||||
• |
Локальный адрес сайта ( S i t e - L o c a l ) |
Э т и адреса п о д д е р ж и в а ю т про- |
|||
|
странства частных адресов и используются внутренне без необходимости |
||||
|
в собственном выделении 1Ру6-адресов. Л о к а л ь н ы е адреса узла можно |
||||
|
маршрутизировать, однако к Интернету установить маршрутизируемое под- |
||||
|
ключение нельзя. Эти адреса аналогичны адресам 10.0.0.0/8, |
172.16.0.0/12 |
|||
|
и 192.168.0.0/16, которые используются внутри организаций с пространс- |
||||
|
твом IPv4. |
|
|
|
|
• |
Глобальный о д н о н а п р а в л е н н ы й а д р е с |
( G l o b a l U n i c a s t ) |
Абсолютно |
||
|
уникальные адреса, которые можно использовать в Интернете для иден- |
||||
|
тификации интерфейсов. Эти адреса м а р ш р у т и з и р у ю т с я |
в |
Интернете и |
||
|
обеспечивают прямую связь |
с л ю б ы м устройством . О н и |
аналогичны об- |
||
|
щедоступным 1Ру4-адресам, |
и с п о л ь з у е м ы м о р г а н и з а ц и я м и |
в Интернете |
||
|
на текущий день. |
|
|
|
|
Ценность пространства IPV6 состоит в том, что оно обеспечивает очень большое количество адресов. Поскольку п о п у л я ц и я пользователей Интернета растет, увеличивается количество служб и устройств, для которых необходимы IP-адреса, а доступных 1Ру4-адресов становится меньше . Поэтому настало время ввести новую инфраструктуру IP. Обеспечивая 2 1 2 8 (340 миллиардов миллиардов миллиардов миллиардов) адресов, структура IPv6 должна долгое время поддерживать следующую стадию развития Интернета . Сравните это число с 4 млрд 1Ру4-адресов, и вы увидите разницу.
В табл. 9-1 описаны распространенные т и п ы 1Ру6-адресов.
Табл. 9-1. Распространенные типы 1Ру6-адресов
Тип адреса |
|
Формат |
Описание |
Не назначен |
:: |
Указывает на отсутствие адреса. Аналогичен адресу |
|
(Unspecified) |
|
0.0.0.0 в IPv4 |
|
Замыкание |
::1 |
Определяет интерфейс замыкания и позволяет узлу |
|
(Loopback) |
|
посылать пакеты самому себе. Аналогичен адресу |
|
|
|
|
127.0.0.1 в IPv4 |
Локальный адрес |
FE80:: |
Адресация только в локальной сети. Аналогичен адресу |
|
канала (Link-Local) |
|
APIPA и IPv4-адресам в диапазоне 169.254.0.0/16. |
|
|
|
|
Не маршрутизируется 1Ру6-маршрутизаторами |
Г л а в а 9 |
|
|
|
|
|
|
Интеграция DNS с AD DS |
4 0 9 |
|
Табл. 9-1 |
(окончание) |
|
|
|
|
|
|||
Тип адреса |
|
Формат |
Описание |
|
|||||
Локальный адрес |
FEC0:: |
Внутреннее пространство адресов на уровне сайта, |
|
||||||
узла (Site-Local) |
|
Маршрутизируется, однако не используется в Интер- |
|||||||
|
|
|
|
|
|
нете. Аналогичен 1Ру4-адресам в диапазонах 10.0.0.0/8, |
|||
|
|
|
|
|
|
172.16.0.0/12 и 192.168.0.0/16 |
|
||
Глобальный однона- |
Осталь- |
Уникальные адреса, назначаемые конкретным интер- |
|||||||
правленный адрес |
ные |
фейсам |
|
||||||
|
|
|
|
||||||
|
Д л я |
с о б л ю д е н и я с т а н д а р т о в И н т е р н е т а и поддержки перехода к исполь- |
|||||||
зованию |
|
I P v 6 в W i n d o w s S e r v e r 2008 система D N S модернизирована с целыо |
|||||||
п о д д е р ж к и более д л и н н о г о ф о р м а т а адресов спецификации IPv6. Протокол IPv6 по у м о л ч а н и ю у с т а н а в л и в а е т с я и включается в Windows Vista и Windows
Server 2008. Это означает, |
что вы можете использовать эту технологию с не- |
||
б о л ь ш и м р и с к о м х о т я бы |
в н у т р и организации . Д л я обновления всех элемен- |
||
тов, к о т о р ы м |
н е о б х о д и м о |
п о д к л ю ч е н и е к |
Интернету (системы обнаружения |
вторжений, б р а н д м а у э р ы , |
ф и л ь т р ы против |
спама и т. д.) с целью поддержки |
|
безопасного о б м е н а д а н н ы м и IPv6, потребуется некоторое время. |
|||
К СВЕДЕНИЮ |
Спецификация IPv6 |
|
|
Более подробную информацию о формате IPv6 можно найти по адресу http://www. micrqsoft.com/tecknet/network/ipv6/ipv6rfc.mspx.
Протокол разрешения одноранговых имен
Б л а г о д а р я п о л н о й п о д д е р ж к е I P v 6 в W i n d o w s Server 2008 |
и Windows |
Vista |
также в к л ю ч е н а д о п о л н и т е л ь н а я система разрешения имен |
P N R P (Peer |
Name |
Resolution Protocol) . В о т л и ч и е от системы DNS, которая использует иерархическую структуру именования, протокол разрешения одноранговых имен PNRP для р а з р е ш е н и я и м е н с и с т е м ы задействует одноранговых участников сети. По сути, P N R P я в л я е т с я с с ы л о ч н о й системой, которая выполняет замыкания на основе и з в е с т н ы х д а н н ы х . Н а п р и м е р , когда вы пытаетесь найти компьютер А, располагаясь по соседству с к о м п ь ю т е р а м и Б и В, ваша система запросит у компьютера Б м е с т о п о л о ж е н и е к о м п ь ю т е р а А. Если компьютер Б указывает местоположение, вы получаете с с ы л к у на компьютер А. В противном случае ваша система запросит у компьютера В местоположение компьютера А, а затем использует точной т а к о й же процесс, как и в случае с компьютером Б. Если компьютерам Б и В не и з в е с т н о местоположение компьютера А, ваша система будет п о с ы л а т ь запрос д р у г и м компьютерам по соседству, пока не найдет систему, которой известно м е с т о п о л о ж е н и е компьютера А.
|
В P N R P в к л ю ч е н о несколько возможностей, которые отличаются от служ- |
бы |
DNS. |
• |
Д л я л о к а л и з а ц и и о б ъ е к т о в эта р а с п р е д е л е н н а я система именования не |
|
использует ц е н т р а л ь н ы й сервер. О н а практически не зависит от сервера, |
|
однако в н е к о т о р ы х с и т у а ц и я х серверы необходимы для разработки про- |
|
цесса разрешения имен. В W i n d o w s Server 2008 компоненты PNRP-сервера |
|
включены в качестве надстройки . |
410 |
Интеграция DNS с AD DS |
Глава 9 |
•Систему P N R P можно расширить до м и л л и а р д о в имен — в отличие от системы DNS, которая управляет лишь небольшим числом имен, а затем полагается на еще один DNS - сервер для л о к а л и з а ц и и имен, разрешать которые не имеет полномочий.
• |
Поскольку система P N R P является распределенной и полагается |
на та- |
|
ких клиентов, как серверы, она отказоустойчива . О д н и м именем |
могут |
|
управлять несколько компьютеров, обеспечивая множество путей к этому |
|
. |
имени. |
|
• Публикация имен выполняется мгновенно, бесплатно и не требует административного вмешательства, как в случае с DNS .
м Имена обновляются в реальном времени — в отличие от DNS, где для повышения производительности интенсивно используется кэширование. По этой причине PNRP не возвращает старые адреса, как в случае с DNS-сервером,
вчастности старым нединамическим DNS - сервером .
•Система P N R P также поддерживает и м е н о в а н и е служб и компьютеров,
поскольку PNRP - имя содержит адрес, порт и п о т е н ц и а л ь н у ю полезную нагрузку, такую, например, как ф у н к ц и я службы .
• Имена PNRP можно защищать с помощью ц и ф р о в ы х подписей. Защита имен таким способом гарантирует, что их нельзя подделать или заменить фальшивыми именами.
Для разрешения имен P N R P использует концепцию облака. Существуют два отдельных облака. Первым является глобальное облако, содержащее всю глобальную область адресов IPv6, которая полностью охватывает Интернет. Второе — локальное облако канала, которое основано на области локальных 1Ру6-адресов последнего. Локальные каналы обычно представляют отдельные подсети. Допускается существование нескольких локальных облаков каналов и только одного глобального облака.
Поскольку мировое сообщество еще не перешло к IPv6, переход к PNRP также пока не осуществлен и для разрешения имен используются системы DNS.
К СВЕДЕНИЮ |
Протокол PNRP |
Более подробную информацию о разрешении имен PNRP можно найти по адресу http://technet.microsoft.com/en-us/library/bb726971.aspx.
Структуры DNS
Система доменных имен DNS появилась в первых разработках Интернета и активно используется по сей день. По этой причине DNS-служба в Windows Server 2008 может обеспечить много ролей. Доступны три типа DNS-серверов.
• Динамические DNS - серверы Предназначены для регистрации имен множества различных устройств с помощью динамических обновлений, которые выполняются динамическими DNS-серверами (DDNS) . Серверы DDNS позволяют устройствам (клиентам и серверам) самостоятельно регистрироваться на DNS-сервере, чтобы другие устройства могли локализовать их. Когда DNS-'служба запускается на контроллере домена и интегрируется со
Глава 9 |
Интеграция DNS с AD DS |
411 |
службой каталогов, она переключается в режим DDNS, позволяя компьютерам, использующим DHCP, автоматически регистрировать свои имена. Таким образом службы AD DS могут локализовать клиента для пересылки данных управления, например объектов групповой политики GPO (Group Policy Object). Серверы D D N S обеспечивают запись и чтение, однако принимают регистрацию только от известных сущностей.
СОВЕТ К ЭКЗАМЕНУ
Отметим, что динамический DNS не включен в темы сертификационного экзамена 70-640. Однако динамические обновления также используются зонами DNS, интегрированными в Active Directory. Когда сервер DNS автоматически обновляется через авторизованных клиентов, он называется DDNS-сервером. Помните об этом при подготовке к экзамену.
м |
D N S - с е р в е р ы с правом чтения и записи Предыдущие версии DNS-серве- |
|
ров, которые не работают в динамическом режиме, однако принимают запи- |
|
си от известных источников, например авторизованных операторов. Самым |
|
распространенным типом DNS-серверов с правом чтения и записи являет- |
|
ся основной (или предпочитаемый) DNS-сервер. Основные DNS-серверы |
|
обычно развертываются в периметре сети и не интегрируются с AD DS. |
• |
D N S - с е р в е р ы только д л я чтения Содержат копию данных DNS только |
|
для чтения. В W i n d o w s Server 2008 существует два типа DNS-серверов |
|
только для чтения. Первым является дополнительный (или альтернатив- |
|
ный) DNS - сервер . Дополнительные DNS-серверы связаны с основными |
|
DNS-серверами. Они принимают и хранят данные DNS, поддерживаемые |
|
основным родительским сервером. Дополнительные DNS-серверы обеспе- |
|
чивают локальный доступ к данным, которые не могут модифицироваться, |
|
поскольку эти серверы поддерживают лишь одностороннюю репликацию |
|
от родительского сервера.. Вторым типом является DNS-сервер только |
|
для чтения на контроллерах домена только для чтения R O D C в Windows |
|
Server 2008. Эти серверы, интегрированные вместе с RODC, запускают |
|
основные зоны л и ш ь с правом чтения. |
С помощью этих трех типов DNS-серверов можно сконструировать стратегию разрешения имен, соответствующую всем требованиям именования (рис. 9-3). Например, вы можете установить в сети пару DDNS-серверов вместе с каждым контроллером домена, так как данные DNS обычно интегрируются с хранилищем каталогов. Поскольку эти данные помещаются в хранилище каталогов, данные DNS реплицируются па каждый контроллер домена, а иногда и в лесу с помощью того же механизма, который реплицирует трафик каталогов. Это означает, что каждый контроллер домена содержит локальную копию данных DNS. Установленная DNS-служба на контроллере домена автоматически получает доступ к его данным и может обеспечить локальные, а не удаленные службы разрешения имен без нагрузки трафика глобальной сети WAN (Wide Area Network). Кроме того, DNS-службу контроллера RODC в режиме только для чтения можно использовать в незащищенных местах сети, где необходимы локальные службы и нет административного персонала. Независимую основную службу DNS также можно использовать в периметре сети. Эти серверы
4 1 2 |
Интеграция DNS с AD DS Глава 9 |
содержат несколько записей, однако поддерживают доступ к любому приложению или службе в периметре сети. И наконец, дополнительные DNS-серве- ры лишь с правом чтения можно использовать в небезопасных размещениях с подключением к Интернету.
|
f Внутренняя сеть |
| |
|
|: Периметр сети | |
[^ВНутренн'яя^сехь;) |
||
( ® У - ^ r v ^ / |
|
К5а |
У \ |
|
|
||
\ N / |
\ С а й т А / / " — х |
|
/ — х |
|
|
||
Филиал |
|
/ |
М |
|
\ If yf |
|
— 0 |
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
\ |
^ ^ |
/ |
\ С а й т Г / |
|
|
|
|
V С а й т |
Б / |
|
|
|
|
|
|
|
|
|
|
|
|
|
Легенда
ОDDNS-сервер
ООсновной сервер с правом чтения-записи
0 Вторичный сервер лишь с правом чтения или контроллер RODC
Рис. 9-3. Размещение DNS-серверов в сети Windows Server 2008: серверы DDNS установлены вместе с контроллерами домена, основные серверы защищены; контроллеры RODC являются внутренними, а вторичные серверы — внешними
К СВЕДЕНИЮ |
Система доменных имен |
Более подробную информацию о DNS можно найти по адресу kttp://technet2.microsoft. com/windowsserver2008/en/seivermanager/dnsserver.mspx.
Синдром раздвоения личности
Одной из основных доктрин коммуникаций Интернета является сегрегация (отделение) внутренней сети от Интернета. Как небольшие, так и крупные организации с одинаковым усердием стараются защитить свои внутренние сети с помощью множества различных систем и технологий. Наиболее распространенным механизмом защиты является брандмауэр, который защищает сеть путем блокирования нежелательного трафика иа TCP/IP - портах . Разрешенные порты открыты, а неразрешенные закрыты.
Аналогичным образом в Windows Server 2008, в доменных службах Active Directory (AD DS), нужно работать с двумя пространствами имен. Поскольку каталоги AD DS основаны на системе иерархии имен DNS, для именования
Глава 9 |
Интеграция DNS с AD DS |
413 |
лесов каталогов и содержащихся в них доменов нужно использовать правильно сформированное DNS-имя, которое часто называют полным доменным именем F Q D N (Fully Qualified Domain Name). В Интернете организации довольно часто используют одно имя.
Например, в качестве потенциальных имен внутренних сетей в этой книге используются такие имена, как contoso.com и woodgrovebank.com. Это не означает, что нужно использовать именно их. Данные имена применяются в книге по причине того, что издательство разрешает использовать эти подлинные имена для представления фиктивных организаций. Однако для внутреннего использования в структуре каталогов AD DS того же имени, что и в Интернете, нужно реализовать разделенную службу DNS.
Два именных пространства необходимы для выполнения двух задач через брандмауэр. Ваши пользователи должны иметь возможность использовать внутренние и внешние ресурсы с одинаковым именем. Если компания Contoso, Ltd использует имя contoso.com во внутреннем и внешнем пространствах имен, ее администраторам DNS потребуется управлять разделением вручную, переключаясь между механизмами внутреннего и внешнего разрешения имен.
Однако если компания Contoso использует имя contoso.com исключительно во внешних целях, а во внутреннем пространстве имен применяет такое же имя с другим расширением, например .net, администраторам DNS не потребуется что-либо делать для сегрегации именных пространств. Сам факт использования различных инструментов означает автоматическую сегрегацию имен и двух DNS-серверов, которые использовались бы для их поддержки. Потребуется лишь передать в Интернет стандартные именные ссылки, которые используются для любого имени, локализованного вне внутренней сети.
Кроме того, компания Contoso может без труда купить и поддерживать любые возможные комбинации имени в Интернете, в том числе известные корни
.com, .net, .info, .ms, .ws и т. д. Таким образом, она может использовать все свои имена для реализации, производства, тестирования и разработки любого леса для любых целей в пределах своих именных пространств, не занимая чужие пространства.
Проблемы, часто возникающие в этой области, обычно связаны с владением службой DNS. По традиции сетевые операторы располагают ранними службами DNS, которые очень часто поддерживаются в средах, основанных не на Microsoft Windows. Однако Windows, и особенно службы AD DS, очень плотно интегрируются с DNS-службой Windows. Хотя Windows можно применять для работы и с другими серверами (не Windows), поступать таким образом не рекомендуется, поскольку при этом многократно возрастет объем работы. При использовании DNS-службы Windows и ее интеграции со службами AD DS среда автоматизируется. Без автоматики все приходится делать вручную, в результате чего конкретные компоненты не работают из-за некорректной или неполной конфигурации, назначаемой администраторами других систем (не Windows).
В ситуации, когда требуется использовать две технологии DNS, лучше всего применять метод без разделения и задействовать два различных пространства имен, интегрировав внутреннее пространство имен с DNS-сёрверами Windows
4 14 |
Интеграция DNS с AD DS Глава 9 |
на контроллерах домена и просто связав два пространства имен с помощью стандартных механизмов разрешения имен DNS. В результате будет получена реализация с минимальной административной нагрузкой и гарантией постоянной работы всех служб (рис. 9-4).
Более того, вам не нужно беспокоиться относительно пользователей. Если вы применяете другое внутреннее пространство имен, но хотите разрешить вход с помощью внешнего сетевого имени, такого, например, как contoso.com, достаточно добавить его в каталог в качестве UPN - суффикса (User Principal Name — основное имя пользователя). Системой DNS станет проще управлять, внутренняя сеть будет защищена от внешнего доступа, а пользователи не почувствуют разницы.
К СВЕДЕНИЮ |
Разделение DNS |
Более подробную информацию о разделении DNS можно найти по адресу http://www. microsoft.com/serviceproviders/resources/techresaiticlesdnssplit.inspx.
Темы экзамена:
•Настройка системы доменных имен (DNS) для Active Directory.
•Настройка зон.
•Конфигурирование параметров DNS-сервера.
•Настройка передач и репликации зон.
439 |
Интеграция DNS с AD DS Глава 9 |
Поскольку данные DNS для дочернего домена реально вносились в раздел корневого домена леса, а не в дочерний раздел, для коммуникаций с контроллерами корневого домена леса каждому клиенту приходилось выполнять поиск DNS через соединения WAN. Однако если данные DNS хранились в каталоге и были доступны для контроллеров домена, их следовало размещать на локальных, а не иа удаленном контроллере домена.
Мы обнаружили, что после развертывания службы каталогов можем изменить область репликации данных DNS дочернего домена, но такие методы не соответствовали рекомендациям. Это означало, что нам нужно было найти способ хранения данных DNS в корректном размещении во время установки, а не после нее.
Мы обратились к команде разработчиков Microsoft Active Directory и сообщили, что в поведении DNS есть ошибка. Они согласились, что эту ошибку следует исправлять при установке, а не после нее. Дальнейшие исследования показали, что поскольку пространство имен дочернего домена является расширением пространства имен корневого домена, имя дочернего домена корректно разрешалось при проверках, выполняемых мастером установки Active Directory. Это означало, что мастер хранит данные в корневом домене леса. Таким образом, мы не получили достаточно информации.
В ходе последующих исследований выяснилось, что при создании делегирования DNS вручную перед созданием дочернего домена мастер корректно локализует данные в разделе дочернего домена, то есть делегирование вручную указывало пока еще не существующий сервер, так как дочерний домен еще не создан. Например, если у вас есть корневой домен treyresearch.com и планируется дочерний домен intranet.treyresearch.com, вы укажете делегирование на сервер «j(«_cepaepa.intranet.treyresearch.com. Поскольку сервера с таким именем не существует до тех пор, пока не будет создан дочерний домен, делегирование будет содержать ложные данные и должно называться ложным делегированием DNS. При запуске мастер находит этот сервер в DNS и пытается использовать его для разрешения DNS-имени дочернего домена. Разрешение не будет выполнено, в результате чего мастер установит DNS во время создания домена и создаст соответствующий раздел данных DNS.
Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard) теперь корректно создает делегирование для дочерних доменов. Многие типы реализации Active Directory на основе Windows Server 2003 после установки не локализовали данные DNS в соответствующем разделе, и только администраторы, знающие о проблеме ложного делегирования, могли решить эту задачу. В Windows Server 2008 эта проблема устранена.
Занятие 1. Установка DNS
Разрешение доменных имен представляет собой сложный процесс, использующий иерархию имен для сопоставления IP-адресов IPv4 и IPv6 с системными именами. Разрешение имен DNS также поддерживает локализацию служб. С его помощью выполняется процесс входа в AD DS. Разрешение имен DNS играет важную роль в этом процессе, и по этой причине такие службы, как AD DS, просто не могут работать без службы DNS.
Занятие 1 |
Установка DNS |
4"| 7 |
Для выполнения своих задач служба DNS использует записи имен. Записи можно регистрировать вручную, в частности на основном DNS-сервере, обеспечивающем службы чтения и записи. Однако.запись может регистрироваться только администраторами или автоматически, например с помощью динамических DNS-серверов, которые принимают имена от устройств. Такие смарт-уст- ройства, как компьютеры с Windows 2000, Windows ХР, Windows 2003, Windows Vista и Windows Server 2008, могут регистрировать свои имена в DDNS, однако устройства с более ранними выпусками операционной системы, например Windows NT, не могут это делать. Старые устройства будут использовать D H C P для регистрации, однако такая реализация инфраструктуры DDNS менее безопасна.
Система DNS содержит типы записей, с помощью которых можно разрешать имена конкретных типов служб или компьютеров. Кроме того, эти записи хранятся в зонах DNS — особых папках, которые обеспечивают функциональность разрешения имен конкретного именного пространства.
Знание различных компонентов DNS-службы Windows Server 2008 играет важную роль в понимании принципов работы и использования DNS.
К СВЕДЕНИЮ |
Служба DNS в Windows Server 2008 |
Более подробную информацию о DNS в Windows Server 2008 можно найти по адресу http://tecknet2.microsoft.com/windowsseruer2008/en/seruermanager/dnsserver.mspx.
.Изучив материал этого занятия, вы сможете:
Понимать принципы использования DNS. Установить DNS.
Локализовать и просмотреть параметры установки DNS.
Продолжительность занятия — около 70 мин.
Концепция DNS
При работе с DNS в первую очередь нужно знать принцип разрешения имен. Мы уже говорили, что DNS использует иерархию серверов, поскольку DNSсервер сам не может хранить все возможные имена. По этой причине служба DNS использует для разрешения имен так называемые именные ссылки, как показано на рис. 9-5.
Далее описан принцип работы разрешения имен.
1.Вы должны найтн веб-страницу на сайте Microsoft TechNet. Для этого в адресную строку браузера введите адрес http://technet.microsoft.com и нажмите клавишу Enter. Начнется процесс разрешения имен.
2.Ваш компьютер посылает запрос на свой локальный DNS-сервер или хотя бы на один из серверов, перечисленных в параметрах конфигурации IP.
'3. Если этот сервер не содержит нужное имя в своей базе данных или кэше, он посылает запросы именной ссылки на сервер имен. Поскольку имя сайта Microsoft заканчивается на .com, сервер DNS перешлет запросы именной ссылки на сервер имен .com.