DNS 伺服器服務與 Active Directory 網域服務 (AD DS) 的設計及實作整合。AD DS 提供企業層級的工具,用於組織、管理和尋找網路中的資源。
當您部署搭配 AD DS 的網域名稱系統 (DNS) 伺服器時,請考慮下列各項:
-
需要 DNS,才能找到網域控制站。
Net Logon 服務使用 DNS 伺服器支援,在您的 DNS 網域命名空間中提供網域控制站登錄功能。
-
執行 Windows Server 2003 或 Windows Server 2008 的 DNS 伺服器可以使用 AD DS,來儲存和複寫您的區域。
將區域與 AD DS 整合,您就可以利用 DNS 功能 (例如 AD DS 複寫功能),保護動態更新以及記錄過時和清除。
DNS 如何與 AD DS 整合
當您在伺服器上安裝 AD DS 時,伺服器的角色會升級為指定網域的網域控制站。進行這個程序時,會提示您指定要加入及升級伺服器的 AD DS 網域 DNS 網域名稱,且提供您安裝 DNS 伺服器角色的選項。因為需要 DNS 伺服器才能尋找此台伺服器或 AD DS 網域成員的其他網域控制站,所以提供這個選項。
AD DS 整合的好處
針對部署 DNS 以支援 AD DS 的網域,強烈建議您採用目錄整合主要區域。它們提供下列好處:
-
DNS 提供多重主機資料複寫功能,並根據 AD DS 功能來增強安全性。
在標準區域儲存模型中,會根據單一主機更新模型執行 DNS 更新。在此模型中,會指定區域的單一授權 DNS 伺服器做為區域的主要來源。此伺服器會在本機檔案中維護區域的主要複本。區域的主要伺服器在此模型中,代表固定的單點失敗。如果這台伺服器無法使用,便無法為該區域處理來自 DNS 用戶端的更新要求。
使用目錄整合存放裝置,DNS 的動態更新便會傳送到任何 AD DS 整合 DNS 伺服器,並利用 AD DS 複寫功能複寫至所有其他 AD DS 整合 DNS 伺服器。在此模型中,任何 AD DS 整合 DNS 伺服器都能接受對區域的動態更新。因為是在 AD DS 資料庫中維護區域的主要複本,而且會完整複寫至所有網域控制站,所以在該網域的任何網域控制站運作的 DNS 伺服器,都可以更新該區域。在 AD DS 的多重主機更新模型中,只要有可用的網域控制站且可與網站連線,則任何目錄整合區域的主要伺服器都可處理來自 DNS 用戶端的要求來更新區域。
此外,在使用目錄整合區域時,您可以使用存取控制清單 (ACL) 編輯,來保護樹狀目錄中的 dnsZone 物件容器。這個功能可對區域或區域中指定的資源記錄提供詳細的存取。例如,可以限制區域資源記錄的 ACL,只對指定的用戶端電腦或安全的群組 (例如 Domain Administrators 群組) 進行動態更新。標準主要區域無法使用這個安全性功能。
-
每當有新的區域加入 AD DS 網域時,就會自動將該區域複寫至新的網域控制站並同步處理。
雖然可從網域控制站選擇性移除 DNS 伺服器服務,但是已在每個網域控制站儲存目錄整合區域。因此,區域存放和管理並非額外的資源。此外,相對於可能需要轉送整個區域的標準區域更新方法,用以同步處理目錄儲存資訊的方法可提供更佳的效能。
-
藉由整合 AD DS 的 DNS 區域資料庫存放裝置,您便可以簡化網路的資料庫複寫計劃。
已儲存並分別複寫 DNS 命名空間及 AD DS 網域時,您必須計劃並可能要分別管理這些項目。例如,同時使用標準 DNS 區域存放及 AD DS 時,您必須設計、執行、測試和維護兩種不同的資料庫複寫拓撲。
例如,某個複寫拓撲需要用於複寫網域控制站間的目錄資料,而另一個拓撲則需要用於複寫 DNS 伺服器間的區域資料庫。這樣會提高計劃和設計網路以及允許網路未來成長的管理複雜度。透過整合 DNS 存放裝置,可結合 DNS 與 AD DS 兩者的存放裝置管理及複寫問題,將兩者合併並視為單一系統管理項目。
-
目錄整合複寫比標準 DNS 複寫方法更迅速且更有效率。
因為 AD DS 複寫程序是對每個內容分別執行,所以只會傳播相關的變更。可在目錄儲存區域更新中使用和提交較少的資料。
只有主要區域可以儲存在目錄中。DNS 伺服器無法將次要區域儲存在目錄中。次要區域必須以標準文字檔的形式儲存。當所有的區域都儲存在 AD DS 中時,AD DS 的多重主機複寫模型就不再需要次要區域。
如需為 AD DS 整合設定 DNS 的相關資訊,請參閱設定與 Active Directory 網域服務一起使用的 DNS 伺服器和檢查清單:利用 DNS 伺服器服務新增網域控制站。