在Win2000环境中管理域名服务器
在NT 4.0计算机上的域与域之间的关系并不像人们想象的那样自然,因为这些计算机域是通过在它们之间存在的一个又一个的安全界线来区分开的。这些域只要在经过了对域与域之间的信任关系过程设置之后就可以互相的看见对方了。但是,对于那些使用DNS(域名服务器)的计算机网络来说,随意的配置NT4的域与域之间的信任关系可能会引起管理权限上的一些问题。这是由于NT4的域并不能够识别域名服务器设置的层次结构,并且域名服务器也并不能识别NT域的结构。
幸运的是,随着微软公司推出了活动目录以及Windows 2000操作系统,微软公司在配置域的结构方面已经取得了非常重大的突破。而且,支配着域名服务器领域(当然也包括国际互联网)的标准(FQDN)现在也能够运用到使用Windows 2000操作系统的计算机域中去了。
而在这个过程中当然也有不那么令人满意的消息。这就是,在Win2K操作系统中的域名服务器必须被非常小心的进行配置,而且在你配置的不同域里面的计算机不应该能够连结到别的域中的计算机上。当你在进行上边那些配置的时候,要注意的最为重要的一点就是,活动目录是和域名服务器一样,都是具有层次化结构的。下面,就让我们来看一看当网络中有多个Windows 2000域的时候,如何来正确的配置我们的域名服务器。
首先要建立名字空间
在我的Windows 2000实验室拓扑结构中,我以一个具有三个域的活动目录树作为开始。我把主域名服务器置于父域中。我将会把这个域称作TOP.LOCAL,这并不是一个合法的正式域名,但是它也并不需要成为一个合法的正式域名。我做实验的这个实验室并没有直接的连接到国际互联网上,所以我的命名结构并不一定要被注册成为一个正式的域名。而我把子域命名为MIDDLE.TOP.LOCAL,并且这个子域的子域被我按照顺序命名为BOTTOM.MIDDLE.TOP.LOCAL。这就是构成我们域树结构的临近名字空间。
由于在一些域名服务器中必须留有适当的位置来安装活动目录,所以我会从最顶端的位置来开始我的实验演示。在TOP.LOCAL域中的域名服务器,为了能够留出一个被称之为TOP.LOCAL的正向查找区域,我专门设置了一个主域名服务器来负责这些工作。我还得使用网络地址来设置一个负责反向查找的主域名服务器。并且,我设置了一些综合性的标准区域来代替活动目录。设置这些综合性标准区域的目的是为了出现故障的时候能够快速的进行故障处理工作。我希望能够确定的一点是,这些为了将来排除故障而专门预留的区域必须在活动目录加入之前能够正常的工作。而且大家同样必须予以关注的一点是,我还没有开始给子域设置地址。
十分重要的一点是,使用者必须要对域名服务器进行名字查找的工作过程和方式予以充分的了解。绝大多数的用户并没有意识到在查找一台计算机的过程中,客户所设置的域名服务器到底需要完成多少工作。这台客户计算机通常被设置成一个首选使用的主域名服务器,并且还需要另外设置一台从域名服务器来在一些时候代替主域名服务器进行工作。这些配置活动都是在客户计算机的TCP/IP属性中进行的。
如果使用者无法连接到主域名服务器,那么就应该试着去使用起替代作用的从域名服务器了。如果这两个域名服务器对于使用者来说都无法使用,那么用户试图连接到网络的尝试就失败了。这是使用者必须要知道的一点,因为当用户连结网络失败的时候,可能用户接受到的提示信息中并没有指明连结失败是由于联系不到域名服务器而造成的。
举个例子来说,如果用户试图访问一个资源,并且域名服务器并不能帮助你找到确认你有效用户身份的那台域控制器,那么,使用者可能会得到一条错误信息的提示,这条提示会告诉你所有的访问都已经被拒绝,或者会告诉你并没有找到此条网络路径。如果出现了上面那种内容的提示信息,对于问题的解决并没有多少实际意义上的帮助。如果你能够知道解决问题的关键是和域名服务器有关的话,你就会知道错误信息实际上是在提示你这是一个有关许可的问题。在知道了这一点以后,使用者必须能够连接到域名服务器上,才能够访问Windows 2000网络上的所需资源。一个网络管理员应该知道在出现什么样问题的情况下,才应当去检查计算机与域名服务器的连接情况。
如果使用者能够连接到域名服务器上,那么域名服务器就会给出它在相应区域中确认的主机名,而这个主机名就是你获取资源所必不可少的。再举一个例子来说明这种情况,如果使用者试图ping出名字是computer2的计算机,并且使用者并没有给出正式域名,那么,域名服务器就会假定你所要PING的这台computer2计算机是在你所处的这个域中的。如果在这个域中没有一台名叫computer2的计算机,那么运行PING指令后计算机就会提示你连接失败的信息。如果使用者以 computer2.otherdomain.com 这样的主机名进行ping操作的话,那么,域名服务器就会知道如何比较好的操作这个查找过程了。域名服务器通过使用向前以及根线索提示,就会确定主机名为computer2计算机并不在与用户计算机相同的域中,并且会把查找这台计算机的任务转移给别的可能拥有此主机名的域名服务器来进行查找了。依照这样的一个过程,用户就能够正确的连接到这台计算机上面了。
建立和域名服务器的连接
一旦主域名服务器在顶级域中正常的进行工作,你就可以用两种不同的方法来将你的Win2000域连接到域名服务器上去。我在下面分别列除这两种不同的连接方法。
方法一:
在每一个域的Win2000服务器计算机上都能够配置一个针对子域的正向查找区域。而且,在这些子域中的域名服务器都应该能够被配置成为标准的主域名服务器。而在子域的反向查找区域中,也能够被配置成主域名服务器。但是,子域的服务器应该是次一级的服务器,因为用域反向查找区域的主服务器是在TOP.LOCAL这个域中的。千万不要忘记的一点是:对于所有子网中的所有计算机来说,反向查找区域都是完全相同的。这是由于它们是通过IP地址而不是通过域名来进行定位的。所以,在TOP.LOCAL域中的第一号域名服务器都应该被设置成为子区域MIDDLE.TOP.LOCAL 域以及 BOTTOM.MIDDLE.TOP.LOCAL域中的第二号域名服务器。现在,所有的域名服务器都能够通过区域转换过程和别的域的域名服务器进行联系了。
一旦这些正向以及反向查找区域都能够正常的发挥作用以后,那么,所有的区域被转换到活动目录中。操作的时候只需点击此区域属性页面的“转换(change)”按钮就完成了。如果想要测试每一个区域功能是否正常,你可以使用Nslookup这条指令。一个正确的回应应当包括域名服务器以及所要查找计算机的正式域名以及IP地址信息。如果输入该指令后得到的回应提示信息中包含类似于“查找不到…….”的句子,那么,这就是在告诉你,服务器或者用户计算机并没有正确的被配置好。在客户的TCP/IP工具中,有一个管理域名服务器的控制台,并且还有你需要的各种命令提示。在这里,你能够找到所有用来解决域名服务器问题有关的各种信息。多区域以及互动目录综合区域带给你的挑战是关于域数据库从一个服务器到另一个服务器的调用方式的。互动目录综合区域并没有使用标准的区域传递方式。这种标准的
区域传递方式限定了每五至十分钟,二级域名服务器就必须从主服务器中进行一次区域传递,而且,这个过程是以一种公告的方式进行的。
活动目录综合区域是通过活动目录复制来进行共享的。对于大家来说,好消息是活动目录复制过程并不对区域传递过程产生任何的影响,并且,对于带宽的使用效率来说,只进行互动目录复制与同时进行目录复制和区域传递相比较,前者更有效率。
但是,事情都是具有两面性的,所以我也不得不向大家说明这么做所带来的不利之处。活动目录只能针对某个域,这本身就是一种局限。这么想是合乎逻辑的,就是在相邻的名字空间中,在最高级层次域中的域名服务器最终将会接到从子域通过复制以及集中而传过来的消息。但是,由于活动目录数据库只在域控制器以及域中的计算机之间共享,所以,最高级的域如何才能最终找到它下面的区域呢?这个问题
我们马上就要在方法二中谈及。
方法二:
另一种设置域名服务器的方法是通过区域委托来实现的。要创建一个子域,而且此子域的域名服务器身份确认能够代表在每一个子域中的所有的Win2000服务器。和方法一不同之处在于在最高级域中的第一号域名服务器,一个文件夹结构将会被创建出来,并且这个文件夹结构要和Win2000域结构的活动目录层次完全一致。这个过程包含两个部分。第一部分:New Delegation Wizard(新委托向导)首先创建一个代表服务器,并且为此子域创建一个文件夹。第二部分:这个部分是在子域中的域名服务器上创建一个完全相同的区域。这个过程生成了一种更为直接的让每一个域的域名服务器彼此进行联系的方式。当所有的步骤都已
经完成之后,第一号的域名服务器以及所有经过核准的域名服务器(这些域名服务器都被设置成为区域的名字服务器图标)都拥有了一个层次化的文件夹结构。在这个文件夹结构中包含了多个子文件夹。这种结构映射出了逻辑网络的活动目录层次,并且让所有的域名服务器都能够和彼此之间进行联系。对于任何一个花费时间在活动目录网络上的网络管理员,让所有的域名服务器都能够在彼此之间进行联系,无论对于网络本身还是对于维护网络功能的正常运转来说,都是非常重要的。
总结
在具有多个Win2000域的网络中管理域名服务器需要一份具有前瞻性并且足够认真细致的工作计划。
我在本篇文章中向大家展示了两种能够让Win2000的域与域之间进行联系的方法。这是让我们能够在网络
中获取所需资源的基本保证。