Windows2000 DNS 技术指南 9
Windows2000 DNS 技术指南 9
第9章设计DNS服务器
本章内容包括:
• DNS服务器的能力。解释影响D N S服务器能力的若干因素。
• 决定域和域区的数目。帮助考虑在决定域的数目、如何将域分成域区、以及把它们放在
哪里时所面临的问题。
• 决定D N S服务器的数目。介绍D N S服务器在为单个域和多个域服务时所起的作用,以帮
助决定在具体应用中应该有多少D N S服务器。
• 设计实例。提供了若干D N S设计示例,这些例子可供在D N S安装中参考。
• Windows 2000和活动目录。提供了对使用Windows 2000域环境所带来问题的一个总的
看法。还提到了Windows 2000服务器的特征,这些特征可以作为设计元素而加以高效利
用。
本章提供的信息能帮你做出关键的决定,诸如需要多少D N S服务器和多少域。一旦使用
活动目录域环境,很多关于域的决定就不再是一个D N S管理问题了。但这些域在不同的服务
器上的放置或者通过将域划分成域区从而放在不同的位置仍然是D N S管理问题。“设计实例”
部分提供一些设计实例来帮助看清问题是什么,以及不同的设计选择怎样影响所做的决定。
由于Windows 2000 DNS的实现在活动目录支持的范围以外也很实用,并且对任何符合RFC 标
准的D N S服务器都是一个替代,所以它可使用在很多不同的环境下。它可用于NT 4.0的域中、
一个孤立的服务器上、Windows 2000域的任一个服务器上、也可以在域控制器上与活动目录
集成。这使得在没有设计所需要满足的特定目标时总体设计成了一个很复杂的问题。因此,
在下面一节,首先将看到有关服务器选择标准的一个讨论,然后,将发现很多小的办公室或
作为大公司的一部分在设计D N S时所常见的设计选项。这里说明的大部分是一些传统的网络,
即U N I X、NT 4.0或者其他标准的T C P / I P网络环境,不包括对混合环境的考虑。在本章中间
部分顺便给出了一些关于Windows 2000 DNS服务器或域环境的具体意见,但大多数意见直到
设计元素讲完后才提出。
9.1 DNS服务器的能力
服务器处理收到的查询(内部的或外部的)的能力取决于以下因素:
• 该服务器主管的域的数目。
• 与该服务器用虚拟I P或者用实际独立的网络接口直接连接的子网的数目和速度。
• 服务器实际服务的客户请求数。
• 动态更新活动的数量和激发的域传送的次数。
• 服务器使用的硬件。
决定服务器能力的最好办法是使用系统监视器(如果更喜欢用NT 4.0的名字,则叫性能
监视器)。系统监视器可以提供所使用的服务器的整体性能和许多特定方面的测量结果。需要
监视的最重要的性能有网络性能、磁盘性能、存储器分配和C P U利用率,这样有助于理解硬
件和它是如何被驱动的。对于D N S服务器,可以实时看到6 0多个测量结果(参考表11 - 3),一
些是速率,比如每秒更新或查询的数目,还有一些是累加值。系统监视器可以用于记录一段
时间的活动,可以在以后分析记录的数据,但这要占用一部分磁盘空间。周期性地作这项工
作以便跟踪与最初建立的基线相比的使用情况是一个好主意。
虽然D N S服务本身并不是很繁重的过程,但处理成为D N S服务器的负荷的大量请求是要
付出代价的。如果D N S服务器也用于其他服务,则应关心D N S服务响应的时间。一般说来,
单个D N S服务器也可以处理相当大量的D N S域和相应的请求。如果一个D N S服务器的响应时
间很长,那么发出请求的客户端或服务器递归的过程将会放弃,这样就降低了拥有一个D N S
服务器的价值。可以配置D N S服务器在适当的时候拒绝递归查询,这样可扩展它的能力。在
大的环境下,当动态更新和通告驱动的传送成为重要因素的时候,一种方案是把它作为主要
任务而把用户请求作为次要的。因此,当由D C服务的站点有很多客户而该D C是主机D N S的
集成活动目录时,最好为客户的使用提供本地的辅服务器。总之,低层的硬件系统不应只有
大量的磁盘活动而缺乏更新能力。
另一个问题是管理单个服务器上的域区信息。对于提供域主机的I S P来说,服务器的处理
器的性能十分重要。如果现有网络带宽在接口部分没有受到限制,那么Windows 2000对AT M
和千兆位以太网提供支持。D N S服务器的内存容量应该足够大,但只需要有一个适合的磁盘
空间,磁盘的容量只要能存放操作系统和各个域的域区文件就可以了。由于域区文件都是文
本文件,每个域的域区文件一般都不会太大。类似地,当使用活动目录存储时,为N T D S . D I T
提供的空间对磁盘子系统的影响并不大。很多时候有必要把多个I P地址放在一个接口卡上,
但有时实际并不需要这样做时却这样做了。如果并不是真正需要网络上的虚拟存在,那么所
有已实现的虚拟存在将使T C P / I P协议栈增加开销。
存储器容量是个重要因素,因为域名服务器的缓存操作占用系统内存。具有较多的内存
可以保证域名服务器的良好性能,也可以实现一些较大容量的缓存。对于一般的企业来说,
它只需要处理自己的域信息,所以对服务器的要求不是太高。在大多数情况下,有一个足够
大的内存可能是最大的问题,也是提高域名服务器性能的关键因素。
资源记录和域区限制如果使用NT 4.0 DNS服务器,应该意识到它有下列问题:在
1 0 0 0个域区的每一个中有65 553个资源记录的D N S服务器都可以支持6 5 0 0万个记录!
然而,还是有一些限制:如果一个域区中超过65 553个记录或超过1 0 0 0个域区,D N S
M a n a g e r会挂起。这些限制在微软知识库中的文章Q 1 7 2 4 7 7和Q 1 7 0 5 1 8中分别有说明。
其中后者包含在NT 4.0 服务补丁4中,前者是与NT 4.0 DNS 管理器一起发行的。
现在根据上面所推荐的DNS 服务器资源需求提出系统配置的建议。至少为你的Wi n d o w s
2 0 0 0服务器提供所需的最少硬件,然后为每6 4 K B的资源记录增加8 M B的R A M,这些记录包
括域和主机记录。这里假设没有其他服务在同一台计算机上运行,从而产生资源的竞争。然
而,从推荐的为C P U提供的最少硬件开始,在速度和服务上需增加多少要依赖于客户请求的
数量。如果系统还提供其他服务,则应增加系统资源来满足相应软件的需要。当然还要考虑
网络接口的速度和网络带宽。如果有足够的内存,硬盘的速度倒不是特别重要的。
9.2 决定域和域区的数目
在单个D N S服务器上可以建立的域的数目实际上只是个管理问题。理论上来说,域名服
94第二部分使用Windows 2000 DNS服务器
务器可以处理几乎无限多个域,但实际上这是不可能的。独自处理数千个域(或数万个域)不是
件轻松的事。需要记住的是一台D N S服务器可以处理许多域,而一个域也可以由许多D N S服
务器来管理。
一个企业如果只在一个地点或一个城域网中有上千台计算机,则它很容易只使用一个域。
如果一个企业在地理上是分散的,则它可以有一个域在域名树的顶点,并在每个城市或地区
有一个子域。
实际上,如果使用活动目录,活动目录的体系结构往往将决定D N S域的划分。这种情况
下,可以通过用不同的方式把域结构划分成域区,然后把这些域区放到不同的服务器来获得
D N S服务管理的灵活性。这些域区决定了D N S的数据传输单元,域区是分配到不同服务器上
的域空间的一部分。对于较小的环境,可以削减到一个单独的域区;对于大的公司,这种分
布是对大量需求的一种平衡,而不是地理的问题。随着Windows 2000逐步成熟,可以很容易
地把严格的D N S域一致性分成活动目录的域边界。大部分最初的实现将保持两个域边界的一
致,但也有许多时候由于以前存在的配置而没有这种自由。最初的经验表明,尽管这种分隔
是可能的,但还是有问题存在,而且确实需要一些灵活性和手工操作。
主持一个域的I S P对于它的依靠电子邮件和We b服务来经营的客户机具有重大的责任。即
使I S P只有一天不能提供良好的域名服务,对一个企业来说也是严重的,因为企业可能正等待
重要的电子邮件来清理帐户,或者是它的客户就不能通过We b节点来购买产品了。
对于D N S管理员或I S P经理来说,域的数目往往是由公司的政策或地理上的因素来决定的。
当使用Windows 2000域环境时,这种考虑就变得更加明确。对于一个技术型的公司,它的工
程技术部门通常各自都有自己的域,因为它们不希望其他无关人员随便访问它们的域并进行
修改。工程师通常对新产品的测试要比其他人快。维护这些域的责任也分散到各个部门,这
样可以避免因各自的任务不同面对系统提出一些互相冲突的要求。
从地理的角度来看,许多公司对各个办公室在地理位置上的安排都有全面的考虑。合理
的安排可以使本地的管理员在子域中对相应的部门进行管理,而不必通过电子邮件绕过半个
地球来修改主机记录。在Windows 2000中,除了与在本地相比分布在外的企业的客户访问数
量、连接的类型和速度之外,中心或者主要地区以外的主服务器也依赖于是否使用动态D N S,
依赖于是否使用活动目录存储,依赖于设计的活动目录放在域控制器的什么地方。这些安排
和决定多数都是基于提高效率作出的,同时也会影响电子邮件的传送。
当使用不影响活动目录的邮件系统时,必须考虑传送问题。因为电子邮件地址是和域名
有关的,邮件服务最好和域的结构相一致。D N S域常常因为政治的原因、企业本身的原因、
地理的原因而变化,通常这种变化是和I T支持的结构相一致的。当一个潜在的邮件接收者为
美国的某家公司工作,但生活和工作的地点却在世界的另一个地方,这时传送上就有些问题。
与其让所有的邮件都送到公司的一个大服务器,不如设置一些子域和邮件别名,并设置邮件
可以重定向到各地的邮件服务器,从而为邮件接收提供更好的服务,同时也可以减轻单台计
算机的负荷。
9.3 决定D N S服务器的数目
一个企业所需的域名服务器的数目可以由多种因素来进行判断。一般没有一种通用的规
则适合各种情况,提出的建议也不一定是最好的。当然,本章稍后还是会给出一些指导性的
第9章设计D N S服务器95
规则。
如果需要设置许多子域来和公司的层次结构相一致,那么将肯定需要一台主域名服务器,
每个子域也要一个辅服务器。这不是说只用两台机器就不能完成所有的工作,两台服务器应
该就可以,但总要考虑到可访问性、可靠性和冗余性。实际上,两台机器是不够的。
9.3.1 可访问性、可靠性和冗余性
可访问性是指是否能将客户所需要的服务传送到客户所在的地方。客户的访问实际上是
网络的连接性问题。可靠性是指提供的访问是稳定的,即永远可访问。一个用于处理域查询
的单独的服务器很容易因为较重的查询负载而达到饱和。这种饱和很容易导致拒绝服务。也
就是说在超时以前无法完成名字的解析。
对一个域安排多台机器至少意昧着有些查询可以由其他的主机来分担。可靠性和冗余性
的考虑是很重要的。如果只有一台域名服务器,则服务器的失效(硬盘损坏,或者存储器出错,
等等)将意味着什么?域若是失去了主机的支持本质上就是使域也丢失了,直到服务恢复。若
有多个主机服务于一个域,则管理员可以确保至少对域的一部分查询是可以回答的。你也许
考虑使用某种硬件负载平衡的方法来增加更新速度和可靠性。
安排多台机器也意味着负荷可以分布于各个机器,如果一台机器失效,带来的问题可能
是域名解析的延迟或超时。如果过时的缓存信息指向了一台失效的机器,也会引起短时间的
域名解析失败。但是在更低的水平上,操作仍可继续进行。而且有时确实可能需要把一个I P
地址临时转到失效的服务器以外的一个仍然能工作的服务器上,从而在修理失效的服务器时
减轻用户遇到的问题。冗余性是提高可靠性的最容易的方法。可靠性不只涉及机器运行被中
断的代价,例如还需避免可能影响所有的机器的管理上的失误。
另一个冗余问题是位置上的冗余。若所有的域名服务器都放在同一个地方,如果与I S P的
连接不通,则域就是不可接入的了。一般来说,提供域名服务的服务器的数目越多,服务器
的地理分布越合理,域名服务的可靠性就越高。每一个在完全不同的网络上有多重地址的服
务器从存在的角度可以看作是两台服务器,但不是在所有方面都能提供冗余。如果网络上的
一条路径失效了,则其他的仍可用。但如果机器失效了,那么两个系统都不可用了。
决定域名服务器体系结构时应考虑的问题包括:需要支持的地点的数目,每个地点中网
络通信的类型,每个地点客户机的数目,两个地点间互操作的特征,以及这个企业和I n t e r n e t
连接的方式和性质。
9.3.2 选择D N S服务器数目的一般规则
前面提到每个企业需要两台D N S服务器。但如果是由I S P为企业处理域名服务,则就不需
要设置和管理这样的服务器。一个小企业经常让I S P来处理所有的事情,而有的则只有一台服
务器:或者是主服务器,或者是辅服务器,而让I S P拥有另一台。由于以前讨论过的原因,这
样做是较好和较安全的。内部使用活动目录的小企业经常实现一个内部的,私有的名字空间,
而靠他们的I S P使用上述的一种办法可与公共域名空间联系起来。选择I S P服务时,用可访问
性、可靠性和冗余性来决定服务的质量。
中等规模的企业只需要两台D N S服务器,并且可以为不同地点配置一台节点服务器(可以
只是缓存服务器)以改善向外查询的性能。另一种做法是将这些地理上分散的服务器设置为辅
96第二部分使用Windows 2000 DNS服务器
服务器,以便增加对内查询的冗余性。如果使用动态更新机制,而本地服务器节点又是辅服
务器的活,它将把更新信息传给主服务器,有时可能不希望这样做;有时这种需求依赖于
Windows 2000 域控制器分布和其他一些因素。
一个大企业可以有很复杂的D N S设置,包含多个域和子域。下一节中将对建立大型复杂
系统的许多选项中的一部分进行说明。简单的规则对于设计大企业的D N S服务是没有什么用
处的,必须在容量、可用性、可靠性等诸方面做出折衷处理,才能解决问题。
9.4 设计实例
本节提供若干实例,希望能帮助决定哪一种设计最适合你的安装。
9.4.1 设置带有一个或几个子域的域
工程部是经常进行实验的处于动态环境的部门,机器的配置会有很多变化,因此最好将
这个部门从公司的主域中划分出来。所以设计的目标是使工程部能控制它自己的子域,并能
独立处理部门的变化而和公司的其他部门无关。图9 - 1是用于x y z . c o m域的这样一种配置。
公司的主域是x y z . c o m,工程部子域为e n g . x y z . c o m,它的D N S服务器被委托授权管理这
个子域。在这种情况下, e n g . x y z . c o m子域中所做的变化不会影响到x y z . c o m域,工程部对它所
有的主机随时可以修改而不必打扰公司的系统管理员。工程部需要与公司服务取得联系的唯
一情况是当他们的名字服务器的I P地址改变时。
图9-1 公司的域有主、辅D N S服务器,对子域委托授权
9.4.2 用I S P提供主D N S服务
对于很小的企业或者家庭,通常建议由I S P来提供主D N S服务,如图9 - 2所示。
第9章设计D N S服务器97
主DNS
主DNS
路由器
路由器
辅DNS
辅DNS
辅DNS
图9-2 ISP提供对这个域的主D N S服务
此时,还可以用缓存服务器来提高性能,或者用辅服务器来提供冗余。如果自己没有辅
服务器,I S P很容易提供一台。在这种情况, D N S由I S P来管理,而企业本身不需参与,除非
是要求I S P改变自己的某些信息。作为内部使用,如果使用了活动目录,配置一个单独的
D N S服务器就足够了。用这种设计方法,每次信息的变化都需要和I S P通信,而I S P必须为此
编辑域区文件。这种方法的一个缺点是信息的转变有时需要很长一段时间,有时延迟可达到
7 2小时或者更多,具体时间取决于是否是假期之类的时候。内部名字服务可以很容易地送到
I S P提供的D N S服务器中去解析。对于小公司,安装活动目录可以用本地名和I P地址来提供缺
省的模板D N S服务。在前向服务器已配置了一条访问I S P的路线时,可使用这种设计。
如果和I S P的连接是固定的,则有一台缓存服务器就很好。而如果连接是用拨号方式或某
种按需连接的方式,则安装一台辅D N S服务器可能更好,因为可以通过辅服务器进行本地查
找而不必为每个查询都与I S P建立连接。使用辅服务器也可以很容易地通过检查域区文件的本
地副本来验证文件的修改是否正确,域区文件是由I S P的主服务器周期地更新的。
9.4.3 用l S P提供辅D N S服务
在图9 - 3中,企业本身管理着主D N S服务器,但由I S P或其他企业来提供辅服务器。记住
98第二部分使用Windows 2000 DNS服务器
ISP
主DNS
路由器
本地DNS
缓存或辅
服务器
辅DNS XYZ
路由器
主DNS
辅DNS
图9-3 ISP提供对这个域的辅D N S服务
此时需要的两台服务器:一台主服务器和一台辅服务器,或者两台辅服务器,并且都必须向
I n t e r N I C注册。
这种情况有助于改善整个系统的性能,因为可以将D N S查询处理分布到不同地点的若干
机器来完成。此外,它也提供了冗余。例如,若x y z . c o m接通,但它的主机仍然可以由外部系
统来解析。重要的是总要有本域的D N S存在,这是不能把域的所有的主服务器和辅服务器都
安排在非专用链路(如拨号链路)的原因之一。
如果主服务器仅用于内部,公共辅服务器很有可能停止解析你的域名。在网络中断时将
发生这种情况,因为公共辅服务器不能收到来自主服务器的传输,最后只能作废这个域区,
因此,应该有一个很好的连接,而且可以有选择地调整域区的超时期限。
9.4.4 保护主服务器不接收非授权访问
为了提高安全性,可以向I n t e r N I C注册两台辅服务器而不是注册一台主服务器,如图9 - 4
所示。
图9-4 辅服务器为外部查询服务,主服务器被隐藏
这种配置隐藏了主管域区文件的主机,以防黑客入侵。主服务器仍然提供域的域区数据,
并通过域区传送将授权数据传递到辅服务器。虽然所有的服务器都能提供授权回答,但只有
辅服务器才响应从外部到来的查询。
此外,这种配置也可以只允许在通告列表上的辅服务器才能进行域区传送,以防止不道
德的使用者随意接触域区文件的内容。这种配置可以防止黑客进入带有域区资源的主机。路
由器也可以用来阻断从外部对主服务器的访问。
9.4.5 大型节点建立大容量查询缓存
如果希望减少必须由企业外部的服务器(如I S P的D N S服务器)来解析的查询,可以设置
一台节点范围内的缓存服务器,如图9 - 5所示。
第9章设计D N S服务器99
辅DNS
辅DNS
辅DNS
主DNS
路由器
路由器
图9-5 节点范围的缓存服务器相应可比单独向外查询更快
安装节点范围的缓存服务器需将所有域名服务器的查询都通过一台或几台缓存服务器。
这种方式使得所有的请求和回答都缓存在一台主机,再被公司的其他域名服务器来查询。这
样设置的结果可以使对于已经缓存的信息的查询不必再通过域名服务器到外部去获得回答。
9.4.6 设置内部专用主D N S和外部主D N S
这种设置有时称为拆分式D N S,它使用多台主服务器来提高域的安全性,如图9 - 6所示。
通常名字空间的一部分在防火墙之外,而另一部分在防火墙内,而在不设防域区( D M Z)中,
主服务器的公共名字空间通常放在外面。这种设置的实际价值对大型企业的意义是明显的。
100第二部分使用Windows 2000 DNS服务器
路由器
路由器
主DNS
公司西部
主DNS
公司东部
主DNS
工程部
主DNS 缓存DNS
路由器
路由器
外部主
DNS
内部主
路由器
内部辅路
由器INT
图9-6 拆分主D N S提高域区数据安全性
拆分式D N S为内部客户机提供查询内部地址的D N S服务器,这样就不必将所有的内部地址都
向外公布,使外部客户机都能知道。管理员可以很精确地设置哪些内部主机将列在对外的
D N S服务器,哪些主机则只列在内部的D N S服务器。
外部主服务器的域区文件中只包含打算让外部看到的主机记录,而内部主服务器则包含
域的所有主机的记录。内部主服务器将所有它不能直接回答的查询指向对外主服务器,并在
那里缓存。这台内部主服务器实际也是外部服务器的从属服务器,因此它不会单独来完成解
析。将内部服务器隐藏起来,也减少了外部黑客的目标。通常,内部网与外部网通过防火墙
连接起来,防火墙是一个有过滤作用的路由器,而不是这里显示的路由器。
对大公司来说,安全性是个大课题,而D N S服务器包含了极重要的数据:访问域中每一
台主机的信息!正因为如此,最好有适当的措施来防止对主D N S服务器的访问,因为主服务
器具有要传送到辅服务器的授权数据。黑客对此是很清楚的,而且他们知道如何探索这些数
据以达到目的。也可以通过I S P提供外部服务来达到这个目的,在第1 0章中有关防火墙的叙述
中将进一步讨论这种设计。
9.5 Windows 2000和活动目录考虑
Windows 2000给该表带来很多更多的设计需求和可选方案。这里,支持的特征是包含在
操作系统中而不是D N S自己的特点,可以有效地满足D N S的设计需求。
9.5.1 私有网络
对于运转良好的网络连接, Windows 2000服务器提供的服务是很广泛的。路由和远程访
问服务的特征可用来提供对多重地址机器首段连接的智能控制。而且, T C P / I P也可以通过I P
协议、T C P和U D P端口来过滤包,以限制对机器某个端口提供服务的访问。如图9 - 7所示,未
设置状态下允许所有的T C P / I P连接。
图9-7 Windows 2000 的T C P / I P属性对话框中的Security OPTION(安全选项)
如果看一下高级T C P / I P属性的O P T I O N选项卡,就会发现Windows 2000中含有一个I P s e c
第9章设计D N S服务器101
安全的实现。为使用该特性需要由域指定一个安全政策,而且为公共密钥还需要做大量的准
备工作。在涉及外部网络类型的连接性或高度安全性的应用时,你很可能想仔细考虑一下这
个可选方案。I P s e c可用软件解码方式使用,或者最好用接口卡上的硬件实现,从而减小C P U
的负担。这对D N S和其他服务器比对客户来说更重要。
9.5.2 名字空间的保护和共享
一旦使用了活动目录,从D N S查询S RV和其他的记录类型可以得到的信息的本质特征是
大多数系统管理员关心的问题。为此和习惯的原因,推荐把活动目录放在防火墙的后面,或
者放在I n t e r n e t上公共名字空间的外面。使用拆分设计的一个变种是通过转发和更新根提示记
录把两个名字空间连在一起。
公共域名和内部域名没有必要完全相同,内部域名可看作是正式注册名的一个子集,也
可以是一个独立的、私有的名字,甚至可以是并未注册过的名字。最后一种情况下假设所选
的名字从不公开,如果这种假设并不方便,那么就象控制公共域名一样对待内部域名。
有时,经过一段时间很可能会增加域名的数量,这就需要在公共网络上使用活动目录技
术。例如,通过可变目录为他们的客户提供服务的公司需要有一个公共的Windows 2000域结
构。这种情况下,该公司很可能把它的域作成一个“仅作为公共使用”的结构并象前面讨论
的一样另外保存一个内部活动目录。一段时间以后,元目录服务—给用户提供一个统一访
问多目录服务的方式,有时给管理员提供一个统一的管理方式—将使这种情况变得更加方
便和可操作。
Windows 2000支持的虚拟私人网络( V P N)的变种具有有效地支持企业内部网类型的能
力,并可以与远程访问服务一起使用I n t e r n e t支持位于远处的小办事处。尽管你的公司的企业
外部网与外部公司的交流的特征超出了D N S设计和服务的范围,但这样可以支持更多的域区。
你的公司有一个隔开的主要活动目录完全作为内部使用是很可能的,而且有另外一个用于商
业间交流,后一个很可能在D M Z中。当然,它有一个单独的域名空间,但对D N S支持的考虑
与前面相同。
9.5.3 DNS服务器的放置
当活动目录用于多节点时,或用于大一点的校园时,很多设计工作已涉及到域控制器的
放置问题。这种设计工作会影响D N S。在使用标准域区时这种影响是肯定存在的,而当使用
活动目录与D N S域区集成时,这种影响尤其明显。如果域区是标准的,域控制器的位置将表
明此处很可能需要本地D N S解析。域控制器的连接性、带宽、连续性等问题都与对D N S传送
的支持有关。客户数量的问题、通过网络断开而获得独立操作的需要等表明该处应该有域控
制器和D N S服务。
随着域区的集成,它们的数据将以域为单位自动传播到所有的域控制器上。无论数据是
否用过,这种传输都会发生。因此,通过安装另一个D N S服务器来使用域区数据主要是一个
D N S服务器的开销问题。可在本地主服务器上这样做。
因为在一个安全的内部网络上的节点更倾向于使用动态更新机制,使用微软提供的安全
动态更新能力,域控制器上的主要D N S域区将用注册更新记录。如果使用动态更新体制,而
不使用活动目录集成机制,注册和刷新将由一个单独的域区来管理。主要域区的放置问题将
102第二部分使用Windows 2000 DNS服务器
成为设计中应考虑的首要问题。
9.5.4 辅服务器的使用
活动目录集成的使用给域控制器和它们的备份机增加了一些额外的负载。对D N S数据库
的更新给备份机增加了负载。使用NoUpdate Internet清理参数(参见第7章)可抑制这种加载。
在节点的大小批准后,为了方便客户使用,最好考虑为节点提供本地辅服务器,而把处理更
新的权力保留给域控制器上的D N S服务器。
尽管在很多时候D N S辅服务器只需要本地节点和其他有高级用途的域的域区信息,但还
是有一些更进一步的问题需要考虑。如果这些辅服务器用它们的根线索为外部解析服务,对
防火墙的地址访问控制就更不好控制了。另一方面,如果把这些辅服务器配置成转发的,比
如在D M I或I S P上特别设计的D N S服务器,这些辅服务器应该包含所有的内部域区。当D N S服
务器不能提供一个权威的回答时,它将转发该查询请求。如果不包含所有的域区,辅服务器
将提供一个参考或者递归查询,但在它的数据中不可能有权威的回答。在递归查询以前,它
将转发查询请求,对于内部名字并不希望这样做,但所有节点都应记住这样使用转发并不是
一个用于安全机制的方便的检查点,而且它还是一个潜在的瓶颈和失败点。
9.6 小结
本章也说明,既使不考虑活动目录,也还有用于D N S服务的很多设计问题需要考虑。仔
细筹划需求和负载因素、连接特点、连接性需要和安全策略是进行一个大型设计的第一步,
然后,把大量符合要求的选项作为设计元素将有助于迅速减少适合设计的选项数目。仔细检
查一下它们的操作特点、路由方式、负载的放置可进一步精化设计。
本章提供了一些可帮助你设计自己的D N S系统的信息。第11章将引导你进入下一步:建
立D N S并运行它。
第9章设计D N S服务器103