DNS 服务器服务集成到了 Active Directory 域服务 (AD DS) 的设计和实现中。AD DS 为组织、管理和查找网络中的资源提供了一个企业级的工具。

当您将域名系统 (DNS) 服务器与 AD DS 一起部署时,请考虑以下各项:

  • 查找域控制器必需有 DNS。

    Net Logon 服务使用 DNS 服务器支持,以实现域控制器在 DNS 域命名空间中的注册。

  • 运行 Windows Server 2003 或 Windows Server 2008 的 DNS 服务器可以将 AD DS 用于存储和复制区域。

    通过将区域与 AD DS 集成,您可以利用 DNS 功能,例如 AD DS 复制、安全动态更新和记录老化与清理。

DNS 如何与 AD DS 集成

当在服务器上安装 AD DS 时,将服务器的角色提升为指定域的域控制器。在这个过程中,将提示您为正加入并为其提升服务器的 AD DS 域指定 DNS 域名,并向您提供安装 DNS 服务器角色的选项。提供该选项的原因是对于查找该服务器或 AD DS 域成员的其他域控制器,DNS 服务器是必需的。

AD DS 集成的好处

对于部署 DNS 以支持 AD DS 的网络,强烈推荐采用集成了目录的主区域。它们提供了以下好处:

  • DNS 具有基于 AD DS 功能的多主机数据复制和增强安全性的功能。

    在标准区域存储模型中,DNS 更新根据单主机更新模型进行。在该模型中,将区域的单个权威 DNS 服务器指定为区域的主源。该服务器将区域的主副本保留在一个本地文件中。对于该模型,区域的主服务器就成了单一固定故障点。如果该服务器不可用,将不为该区域处理来自 DNS 客户端的更新请求。

    使用集成了目录的存储,对 DNS 的动态更新发送到任何集成了 AD DS 的 DNS 服务器,并通过 AD DS 复制,复制到所有其他集成了 AD DS 的 DNS 服务器。在该模型中,任何集成了 AD DS 的 DNS 服务器都可以接受区域的动态更新。因为区域的主机副本保留在 AD DS 数据库中,而该数据库又完全复制到所有域控制器,因此在域的任何域控制器处运行的 DNS 服务器都可以更新区域。使用 AD DS 的多主机更新模型,只要网络上的域控制器可用和可以访问,集成了目录的区域的任何主服务器都可以处理 DNS 客户端的区域更新请求。

    此外,当您使用集成了目录的区域时,您可以使用访问控制表 (ACL) 编辑以保护目录树中的 dnsZone 对象容器。该功能提供对区域或区域的指定资源记录的详细的访问。例如,可以限制区域资源记录的 ACL,以便仅允许对指定客户端计算机或安全组(例如域管理员组)进行动态更新。使用标准主区域时,该安全功能不可用。

  • 只要将新的区域添加到 AD DS 域,区域将自动复制并同步到新的域控制器。

    尽管可以有选择地从域控制器删除 DNS 服务器服务,集成了目录的区域已经存储到每个域控制器中。因此,区域存储与管理不是附加资源。此外,与可能要求复制整个区域的标准区域更新方法相比,用于同步存储在目录中的信息的方法可以带来性能改进。

  • 通过在 AD DS 中集成 DNS 区域数据库的存储,您可以简化网络的数据库复制规划。

    当 DNS 命名空间和 AD DS 域进行单独存储和复制时,您必须单独规划并可能管理这些项目中的每一项。例如,当您将标准 DNS 区域存储和 AD DS 一起使用时,您必须设计、实施、测试并维护两个不同的数据库复制拓扑。

    例如,在域控制器之间复制目录数据需要一个复制拓扑,在 DNS 服务器之间复制区域数据库需要另外一个拓扑。这将增加网络规划与设计及实现其最终增长的管理复杂性。通过集成 DNS 存储,您可以将 DNS 和 AD DS 的存储管理和复制问题统一起来,从而将它们合并为和视为单一管理实体。

  • 集成了目录的复制比标准 DNS 复制更快、效率更高。

    因为 AD DS 复制处理是逐个属性执行的,因此只有相关更改会传播。目录存储区域更新中使用和提交的数据更少。

只有主区域可以存储在目录中。DNS 服务器无法在目录中存储辅助区域。必须以标准文本文件格式存储它们。当所有区域都存储在 AD DS 中时,AD DS 的多主机复制模型就不再需要辅助区域。

有关配置 DNS 以进行 AD DS 集成的详细信息,请参阅配置要与 Active Directory 域服务一同使用的 DNS 服务器清单:使用 DNS 服务器服务添加域控制器


目录