本章内容包括:
DNS服务器的能力。解释影响DNS服务器能力的若干因素。
决定域和域区的数目。帮助考虑在决定域的数目、如何将域分成域区、以及把它们放在哪里时所面临的问题。
决定DNS服务器的数目。介绍DNS服务器在为单个域和多个域服务时所起的作用,以帮助决定在具体应用中应该有多少DNS服务器。
设计实例。提供了若干DNS设计示例,这些例子可供在DNS安装中参考。
windows 2000 和活动目录。提供了对使用windows 2000 域环境所带来问题的一个总的看法。还提到了windows 2000 服务器的特征,这些特征可以作为设计元素而加以高效利用。
本章提供的信息能帮你做出关键的决定,诸如需要多少DNS服务器和多少域。一旦使用活动目录域环境,很多关于域的决定就不再是一个DNS管理问题了。但这些域在不同的服务器上的放置或者通过将域划分成域区从而放在不同的位置仍然是DNS管理问题。“设计实例”部分提供一些设计实例来帮助看清问题是什么,以及不同的设计选择怎样影响所做的决定。由于windows 2000 DNS的实现在活动目录支持的范围以外也很实用,并且对任何符合RFC标准的DNS服务器都是一个替代,所以它可使用在很多不同的环境下。它可用于NT4.0的域中、一个孤立的服务器上、windows 2000 域的任一个服务器上、也可以在域控制器上与活动目录集成。这使得在没有设计所需要满足的特定目标时总体设计成了一个很复杂的问题。因此,在下面一节,首先将看到有关服务器选择标准的一个讨论,然后,将发现很多小的办公室或作为大公司的一部分在设计DNS时所常见的设计选项。这里说明的大部分是一些传统的网络,即UNIX、NT4.0或者其他标准的TCP/IP网络环境,不包括对混合环境的考虑。在本章中间部分顺便给出了一些关于windows 2000 DNS服务器或域环境的具体意见,但大多数意见直到设计元素讲完后才提出。
9.1DNS服务器的能力
服务器处理收到的查询(内部的或外部的)的能力取决于以下因素:
该服务器主管的域的数目。
与该服务器用虚拟IP或者用实际独立的网络接口直接连接的子网的数目和速度。
服务器实际服务的客户请求数。
动态更新活动的数量和激发的域传送的次数。
服务器使用的硬件。
决定服务器能力的最好办法是使用系统监视器(如果更喜欢用NT4.0的名字,则叫性能监视器)。系统监视器可以提供所使用的服务器的整体性能和许多特定方面的测量结果。需要监视的最重要的性能有网络性能、磁盘性能、存储器分配和CPU利用率,这样有助于理解硬件和它是如何被驱动的。对于DNS服务器,可以实时看到60多个测量结果(参考表11-3),一些是速率,比如每秒更新或查询的数目,还有一些是累加值。系统监视器可以用于记录一段时间的活动,可以在以后分析记录的数据,但这要占用一部分磁盘空间。周期性地作这项工作以便跟踪与最初建立的基线相比的使用情况是一个好主意。
虽然DNS服务本身并不是很繁重的过程,但处理成为DNS服务器的负荷的大量请求是要付出代价的。如果DNS服务器也用于其他服务,则应关心DNS服务响应的时间。一般说来,单个DNS服务器也可以处理相当大量的DNS域和相应的请求。如果一个DNS服务器的响应时间很长,那么发出请求的客户端或服务器递归的过程将会放弃,这样就降低了拥有一个DNS服务器的价值。可以配置DNS服务器在适当的时候拒绝递归查询,这样可扩展它的能力。在大的环境下,当动态更新和通告驱动的传送成为重要因素的时候,一种方案是把它作为主要任务而把用户请求作为次要的。因此,当由DC服务的站点有很多客户而该DC是主机DNS的集成活动目录时,最好为客户的使用提供本地的辅服务器。总之,低层的硬件系统不应只有大量的磁盘活动而缺乏更新能力。
另一个问题是管理单个服务器上的域区信息。对于提供域主机的ISP来说,服务器的处理器的性能十分重要。如果现有网络带宽在接口部分没有受到限制,那么windows 2000 对ATM和千兆位以太网提供支持。DNS服务器的内存容量应该足够大,但只需要有一个适合的磁盘空间,磁盘的容量只要能存放操作系统和各个域的域区文件就可以了。由于域区文件都是文本文件,每个域的域区文件一般都不会太大。类似地,当使用活动目录存储时,为NTDS.DIT提供的空间对磁盘子系统的影响并不大。很多时候有必要把多个IP地址放在一个接口卡上,但有时实际并不需要这样做时却这样做了。如果并不是真正需要网络上的虚拟存在,那么所有已实现的虚拟存在将使TCP/IP协议栈增加开销。
存储器容量是个重要因素,因为域名服务器的缓存操作占用系统内存。具有较多的内存可以保证域名服务器的良好性能,也可以实现一些较大容量的缓存。对于一般的企业来说,它只需要处理自己的域信息,所以对服务器的要求不是太高。在大多数情况下,有一个足够大的内存可能是最大的问题,也是提高域名服务器性能的关键因素。
资源记录和域区限制如果使用NT4.0DNS服务器,应该意识到它有下列问题:在1000个域区的每一个中有65553个资源记录的DNS服务器都可以支持6500万个记录!然而,还是有一些限制:如果一个域区中超过65553个记录或超过1000个域区,DNSManager会挂起。这些限制在微软知识库中的文章Q172477和Q170518中分别有说明。其中后者包含在NT4.0服务补丁4中,前者是与NT4.0DNS管理器一起发行的。
现在根据上面所推荐的DNS服务器资源需求提出系统配置的建议。至少为你的windows 2000 服务器提供所需的最少硬件,然后为每64KB的资源记录增加8MB的RAM,这些记录包括域和主机记录。这里假设没有其他服务在同一台计算机上运行,从而产生资源的竞争。然而,从推荐的为CPU提供的最少硬件开始,在速度和服务上需增加多少要依赖于客户请求的数量。如果系统还提供其他服务,则应增加系统资源来满足相应软件的需要。当然还要考虑网络接口的速度和网络带宽。如果有足够的内存,硬盘的速度倒不是特别重要的。
9.2决定域和域区的数目
在单个DNS服务器上可以建立的域的数目实际上只是个管理问题。理论上来说,域名服务器可以处理几乎无限多个域,但实际上这是不可能的。独自处理数千个域(或数万个域)不是件轻松的事。需要记住的是一台DNS服务器可以处理许多域,而一个域也可以由许多DNS服务器来管理。
一个企业如果只在一个地点或一个城域网中有上千台计算机,则它很容易只使用一个域。如果一个企业在地理上是分散的,则它可以有一个域在域名树的顶点,并在每个城市或地区有一个子域。
实际上,如果使用活动目录,活动目录的体系结构往往将决定DNS域的划分。这种情况下,可以通过用不同的方式把域结构划分成域区,然后把这些域区放到不同的服务器来获得DNS服务管理的灵活性。这些域区决定了DNS的数据传输单元,域区是分配到不同服务器上的域空间的一部分。对于较小的环境,可以削减到一个单独的域区;对于大的公司,这种分布是对大量需求的一种平衡,而不是地理的问题。随着windows 2000 逐步成熟,可以很容易地把严格的DNS域一致性分成活动目录的域边界。大部分最初的实现将保持两个域边界的一致,但也有许多时候由于以前存在的配置而没有这种自由。最初的经验表明,尽管这种分隔是可能的,但还是有问题存在,而且确实需要一些灵活性和手工操作。
主持一个域的ISP对于它的依靠电子邮件和Web服务来经营的客户机具有重大的责任。即使ISP只有一天不能提供良好的域名服务,对一个企业来说也是严重的,因为企业可能正等待重要的电子邮件来清理帐户,或者是它的客户就不能通过Web节点来购买产品了。
对于DNS管理员或ISP经理来说,域的数目往往是由公司的政策或地理上的因素来决定的。当使用windows 2000 域环境时,这种考虑就变得更加明确。对于一个技术型的公司,它的工程技术部门通常各自都有自己的域,因为它们不希望其他无关人员随便访问它们的域并进行修改。工程师通常对新产品的测试要比其他人快。维护这些域的责任也分散到各个部门,这样可以避免因各自的任务不同面对系统提出一些互相冲突的要求。
从地理的角度来看,许多公司对各个办公室在地理位置上的安排都有全面的考虑。合理的安排可以使本地的管理员在子域中对相应的部门进行管理,而不必通过电子邮件绕过半个地球来修改主机记录。在windows 2000 中,除了与在本地相比分布在外的企业的客户访问数量、连接的类型和速度之外,中心或者主要地区以外的主服务器也依赖于是否使用动态DNS,依赖于是否使用活动目录存储,依赖于设计的活动目录放在域控制器的什么地方。这些安排和决定多数都是基于提高效率作出的,同时也会影响电子邮件的传送。
当使用不影响活动目录的邮件系统时,必须考虑传送问题。因为电子邮件地址是和域名有关的,邮件服务最好和域的结构相一致。DNS域常常因为政治的原因、企业本身的原因、地理的原因而变化,通常这种变化是和IT支持的结构相一致的。当一个潜在的邮件接收者为美国的某家公司工作,但生活和工作的地点却在世界的另一个地方,这时传送上就有些问题。与其让所有的邮件都送到公司的一个大服务器,不如设置一些子域和邮件别名,并设置邮件可以重定向到各地的邮件服务器,从而为邮件接收提供更好的服务,同时也可以减轻单台计算机的负荷。
9.3决定DNS服务器的数目
一个企业所需的域名服务器的数目可以由多种因素来进行判断。一般没有一种通用的规则适合各种情况,提出的建议也不一定是最好的。当然,本章稍后还是会给出一些指导性的规则。
如果需要设置许多子域来和公司的层次结构相一致,那么将肯定需要一台主域名服务器,每个子域也要一个辅服务器。这不是说只用两台机器就不能完成所有的工作,两台服务器应该就可以,但总要考虑到可访问性、可靠性和冗余性。实际上,两台机器是不够的。
9.3.1可访问性、可靠性和冗余性
可访问性是指是否能将客户所需要的服务传送到客户所在的地方。客户的