10 MCSE2000系列―第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間內(nèi)容摘要因?yàn)榛顒?dòng)目錄和域名系統(tǒng) (DNS) 公用一個(gè)名稱空間，所以適當(dāng)?shù)匾?guī)劃名稱空間對(duì)活動(dòng)目錄的順利配置至關(guān)重要。本章詳細(xì)講述了域名系統(tǒng)DN

10 MCSE2000系列―第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間

內(nèi)容摘要

因?yàn)榛顒?dòng)目錄和域名系統(tǒng) (DNS) 公用一個(gè)名稱空間，所以適當(dāng)?shù)匾?guī)劃名稱空間對(duì)活動(dòng)目錄的順利配置至關(guān)重要。

本章詳細(xì)講述了域名系統(tǒng)DNS ，活動(dòng)目錄和DNS 之間的關(guān)系以及如何規(guī)劃和實(shí)現(xiàn)活動(dòng)目錄名稱空間。通過(guò)本章學(xué)習(xí)，您將了解到以下一些內(nèi)容：

域名系統(tǒng)DNS

活動(dòng)目錄和DNS 的關(guān)系

活動(dòng)目錄的域名組織

使用活動(dòng)目錄DNS 的好處

規(guī)劃和實(shí)現(xiàn)活動(dòng)目錄名稱空間

考點(diǎn)提示：

活動(dòng)目錄和DNS 名稱空間的作用/區(qū)別 選擇DNS 服務(wù)器 活動(dòng)目錄名稱空間命名策略 在DNS 中委派子域

2.1 2.1.1 活動(dòng)目錄對(duì)象

打印機(jī)或應(yīng)用程序等一些具體事物的一組不同的、活動(dòng)目錄會(huì)生成一些對(duì)象屬標(biāo)識(shí)符 (GUID)

2.1.2 /才能使用戶訪問(wèn)到它們所代表的信息和

這些標(biāo)準(zhǔn)允許理解不同的訪問(wèn)協(xié)議，使得活

域名系統(tǒng) (domain name system) DNS：一種工業(yè)標(biāo)準(zhǔn)名字解析服務(wù)，允許客戶定位活

動(dòng)目錄服務(wù)。用戶能夠在組織內(nèi)部和外部使用DNS 進(jìn)行名字解析。

輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP ）：一種目錄訪問(wèn)協(xié)議，用來(lái)引用，定位和檢索活動(dòng)目錄信

息。

在登錄到網(wǎng)絡(luò)且搜索共享資源時(shí)，活動(dòng)目錄客戶機(jī)必須和運(yùn)行活動(dòng)目錄的計(jì)算機(jī)通信。用戶使用輕量級(jí)目錄訪問(wèn)協(xié)議 (LDAP) 訪問(wèn)域控制器和全局編錄。

LDAP 是設(shè)計(jì)用于在 TCP/IP 網(wǎng)絡(luò)上使用的通訊協(xié)議。LDAP 定義目錄客戶如何訪問(wèn)目錄服務(wù)器以及客戶如何能進(jìn)行目錄操作并共享目錄數(shù)據(jù)。LDAP 標(biāo)準(zhǔn)由 Internet 工程任務(wù)組 (IETF)

上海南洋微電子公司版權(quán)所有

第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間 11

的工作組制定?；顒?dòng)目錄實(shí)現(xiàn)了 LDAP 屬性草案規(guī)范以及 LDAP 第二版和第三版的 IETF 標(biāo)準(zhǔn)。

2.1.3 對(duì)象命名規(guī)范

命名要求

WINDOWS 2000 活動(dòng)目錄目錄服務(wù)包含網(wǎng)絡(luò)上所有對(duì)象的信息。其目標(biāo)是為客戶提供對(duì)信息的訪問(wèn)。因此，必須滿足：

▼ 活動(dòng)目錄中的每個(gè)對(duì)象有一個(gè)唯一的完全合法的名字，以使它不致于與活動(dòng)目錄中的其它任何對(duì)象相混淆。

▼ 有標(biāo)識(shí)每個(gè)對(duì)象位于哪個(gè)域的方法。

▼ 每個(gè)唯一的名字能被解析為它所代表的對(duì)象。

▼ 客戶能夠查尋活動(dòng)目錄以獲取有關(guān)對(duì)象信息。

▼ 客戶能夠檢索關(guān)于對(duì)象的信息

命名規(guī)范

活動(dòng)目錄中的每個(gè)對(duì)象都可通過(guò)多種不同的名稱引用?；顒?dòng)目錄根據(jù)對(duì)象創(chuàng)建或修改時(shí)提供的信息，為每個(gè)對(duì)象創(chuàng)建相對(duì)可分辨名稱和規(guī)范名稱。每個(gè)對(duì)象也可通過(guò)其可分辨名稱引用，可分辨名稱是從該對(duì)象及其所有父容器對(duì)象的相對(duì)可分辨名稱中獲得的。

活動(dòng)目錄提供幾種標(biāo)準(zhǔn)的命名規(guī)范，每種規(guī)范依賴于一個(gè)對(duì)象（在一個(gè)名字空間 namespace ）是如何被引用的?？蛻舯仨毮軌蛞砸环N被任何與他們相互作用的目錄服務(wù)所識(shí)別的方式引用網(wǎng)絡(luò)資源和信息，活動(dòng)目錄通過(guò)支持幾種命名規(guī)范解決了這一問(wèn)題。 完全識(shí)別名 (distinguished name) DN

活動(dòng)目錄中每個(gè)對(duì)象都有一個(gè)完全識(shí)別名。它確定了此對(duì)象所在的域和到達(dá)此對(duì)象的全路徑，一個(gè)典型的完全識(shí)別名：/O=internet/DC=COM/DC/=Microsoft/CN=Users/CN=James smith ，它的名字空間的分層結(jié)構(gòu)如下：

Organization=internet

Domain Component=COM

Domain Component=Microsoft

Common Name=users

Common Name=James smith

相對(duì)識(shí)別名 (relative distinguished name) RDN

相對(duì)識(shí)別名是完全識(shí)別名中對(duì)象屬性的部分。在上例中，james smith 用戶對(duì)象的相對(duì)識(shí)別名是james smith 。父對(duì)象的相對(duì)識(shí)別名是users 。

用戶主名 (user principal name) UPN

DN ，RDN 可能非常長(zhǎng)并且難記，在WINDOWS 2000中的用戶和組具有更易于記憶的UPN 名。在創(chuàng)建對(duì)象時(shí)，用戶對(duì)象的用戶主名由用戶的登錄名和用戶對(duì)象所在域（域樹(shù)）的DNS 名組成。如在上例中，用戶james smith 對(duì)象在microsoft ．com 域中的UPN 名為：james@microsoft.com。

NETBIOS 名字

提供向后兼容?？蛻暨\(yùn)行早期版本的MICROSOFT WINDOWS 操作系統(tǒng)時(shí)，其登錄名是NETBIOS 域名。WINNT 、WIN98 客戶登錄時(shí)使用這些名字。一個(gè)NETBIOS 登錄名的例子是comtroso ＼jonm

注意：用戶在規(guī)劃活動(dòng)目錄中對(duì)象的名字時(shí)，應(yīng)保證對(duì)象名字的唯一性：在活動(dòng)目錄中，

交大南洋遠(yuǎn)程教育系列教材

12 MCSE2000系列― 為每個(gè)對(duì)象自動(dòng)生成標(biāo)準(zhǔn)名字。因此，DN 一定是唯一的；活動(dòng)目錄不允許在同一個(gè)父 容器下有重復(fù)的RDN ；UPN 在目錄林內(nèi)保證唯一；NETBIOS 名字在域內(nèi)保證唯一。

2.2 域名系統(tǒng)DNS

2.2.1 DNS的概念和作用

活動(dòng)目錄（Active Directory） 和 DNS 都是名稱空間。名稱空間是任一有界區(qū)域，在程。例如，電話號(hào)碼簿組成了一個(gè)名稱空間，Windows NTFS 要理解 Windows 2000 處理活動(dòng)目錄和DNS 其與 Internet 和 TCP/IP 之間關(guān)系的一些基本知識(shí)。

Internet 是一種 TCP/IP 網(wǎng)絡(luò)。TCP/IP 數(shù)據(jù)。Internet 或任何其他 TCP/IP 網(wǎng)絡(luò)（如許多個(gè) IP 地址。DNS 定位 TCP/IP 解析成計(jì)算機(jī)能讀懂的 IP Internet 上的 IP 地址，也可以在本地實(shí)施 DNS

2.2.2 層次結(jié)構(gòu)和管理

DNS 的域名基于 DNS 可以是父域和子域象這樣的 Windows 2000 域名識(shí)別名為域的子域，"parent" 域本身又是根域DNS 域中的計(jì) DNS 完全合格域名唯一標(biāo)識(shí)。在域的計(jì)算機(jī)的完全合格域名為 。

DNS 成為一個(gè)名稱空間。DNS 有幾個(gè)頂級(jí)域，可進(jìn)域名空間的根由 Internet 職權(quán)部門（目前是 Internet 網(wǎng)）管理，該部門負(fù)責(zé)代理對(duì) DNS 名稱空間頂級(jí)域名的管理職責(zé)， (.com)、教育組織 (.edu) (.gov) 等等。對(duì)于美國(guó)以外的國(guó)家和地區(qū)，則用兩個(gè)字母的國(guó)家/ .uk 表示。第二級(jí)域名代表了以前在機(jī)構(gòu)（和個(gè)體）中注冊(cè)的 Internet 上的存在。下圖顯示了公司網(wǎng)絡(luò)連接到 Internet DNS 名稱空間的方式。

上海南洋微電子公司版權(quán)所有

第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間 13

2-1：DNS 名稱空間

2.3 活動(dòng)目錄和DNS

2.3.1 活動(dòng)目錄和DNS 名稱空間的集成

DNS 與活動(dòng)目錄的集成是 Windows 2000 Server 操作系統(tǒng)的核心功能。DNS 域和活動(dòng)目錄域?qū)Σ煌拿Q空間使用相同的域名。因?yàn)閮蓚€(gè)名稱空間共享一個(gè)相同的域結(jié)構(gòu)，所以必須了解它們不是同一個(gè)名稱空間。每個(gè)名稱空間保存了不同的數(shù)據(jù)，因而管理不同的對(duì)象， DNS 保存區(qū)域以及資源記錄，而活動(dòng)目錄保存域和域?qū)ο?/p>

每個(gè) Windows 2000 域都有一個(gè) DNS 名稱（如 OrgName.com），并且每臺(tái)基于 Windows 2000 的計(jì)算機(jī)都有一個(gè) DNS 名稱（如 AcctServer.OrgName.com）。因而，域和計(jì)算機(jī)都用活動(dòng)目錄對(duì)象和 DNS 節(jié)點(diǎn)來(lái)表示（DNS 分層結(jié)構(gòu)中的一個(gè)節(jié)點(diǎn)代表一個(gè)域或一臺(tái)計(jì)算機(jī)）。

2.3.2 作用和區(qū)別

DNS 和 活動(dòng)目錄均用數(shù)據(jù)庫(kù)來(lái)解析名稱。

DNS 是一種名稱解析服務(wù)。 通過(guò)將 DNS 服務(wù)器接收的請(qǐng)求視為對(duì) DNS 數(shù)據(jù)庫(kù)的 DNS 查詢，DNS 將域名和計(jì)算機(jī)名解析成 IP 地址。具體地說(shuō)，DNS 客戶機(jī)把 DNS 名稱查詢發(fā)送到已配置的 DNS 服務(wù)器。DNS 服務(wù)器先接收名稱查詢，然后通過(guò)本地保存的文件解析該名稱查詢，或咨詢另一臺(tái) DNS 服務(wù)器進(jìn)行解析。DNS 不需要系統(tǒng)啟動(dòng)活動(dòng)目錄。

活動(dòng)目錄是一種目錄服務(wù)。通過(guò)將域控制器接收的請(qǐng)求視為輕型目錄訪問(wèn)協(xié)議 (LDAP)搜索，或改成對(duì)活動(dòng)目錄數(shù)據(jù)庫(kù)的請(qǐng)求，活動(dòng)目錄將域?qū)ο竺Q解析成對(duì)象記錄。具體而言，活動(dòng)目錄客戶機(jī)使用 LDAP 向活動(dòng)目錄服務(wù)器發(fā)送查詢?；顒?dòng)目錄客戶機(jī)通過(guò)查詢 DNS 來(lái)定位活動(dòng)目錄服務(wù)器。即，活動(dòng)目錄將 DNS 用作定位器服務(wù)，把活動(dòng)目錄域、站點(diǎn)及服務(wù)

交大南洋遠(yuǎn)程教育系列教材

14 MCSE2000系列―名稱解析成 IP 地址。例如，要登錄到活動(dòng)目錄域，活動(dòng)目錄客戶機(jī)會(huì)查詢已配置的 DNS 服務(wù)器，請(qǐng)求 LDAP 服務(wù)的 IP 地址（LDAP 服務(wù)在指定域的域控制器中運(yùn)行）。活動(dòng)目錄需要系統(tǒng)啟動(dòng) DNS。

實(shí)際上，理解 Windows 2000 環(huán)境中 DNS 與 活動(dòng)目錄名稱空間之間的差異，就是理解： 代表 DNS 區(qū)域中指定計(jì)算機(jī)的 DNS 主機(jī)記錄，與活動(dòng)目錄域中代表“同一臺(tái)計(jì)算機(jī)”

的計(jì)算機(jī)帳戶對(duì)象處于不同的名稱空間中。

在windows 2000 操作系統(tǒng)中，DNS 用來(lái)定位網(wǎng)絡(luò)上的資源和服務(wù)；活動(dòng)目錄名稱空間

用來(lái)組織資源和服務(wù)。

總之，活動(dòng)目錄用以下兩種方式與 DNS 集成：

活動(dòng)目錄域和 DNS 域有相同的分層結(jié)構(gòu)。盡管因目的不同，和既是一個(gè) DNS 域又是一個(gè) 活動(dòng)目錄域。

DNS 區(qū)域可保存在活動(dòng)目錄中。 如果使用

2.3.3 定位活動(dòng)目錄對(duì)象

活動(dòng)目錄客戶機(jī)使用 DNS 戶機(jī)會(huì)查詢已配置的 DNS

通過(guò)下面的例子，是如何一起來(lái)定位活動(dòng)目錄中的對(duì)象的。

活動(dòng)目錄用DNS 在DNS 服務(wù)器中生成一條即SRV 資源記錄。此方法允許DNS 解DSN IP DNS 服務(wù)器的SRV 資源IP 地址映射。

查詢以解析哪臺(tái)計(jì)算機(jī)擁有活動(dòng)目錄服務(wù)（特別是LDAP 服

務(wù)） LDAP 查詢?cè)谟蚩刂破髦袌?zhí)行以找到被請(qǐng)求的對(duì)象。

另外，但可以提供此信息可能駐留的LDAP 引用（LDAP Refrral）。初始建立的域控制器必須注意其他客戶能夠繼續(xù)收到來(lái)自隨后的域控制器的引用，直到找到一個(gè)能可靠響應(yīng)的域控制器。

例如，在nwtraders.com 域包含兩個(gè)子域：south.nwtraders.com 和north.nwtraders.com ，現(xiàn)在在south.nwtraders.com 域的用戶需要找到j(luò)ames smith(jsmith)，一個(gè)在north.nwtraders.com 域中的用戶，將發(fā)生如下所述的對(duì)象定位過(guò)程：

上海南洋微電子公司版權(quán)所有

第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間 15

用戶用ldap.tcp.south.nwtraders.com 查詢DNS 服務(wù)器（在TCP/IP 屬性中配置）中的LDAP 服務(wù)器（即活動(dòng)目錄服務(wù)器，也就是域控制器），DNS 服務(wù)器用該域的域控制器的SRV 紀(jì)錄作出呼應(yīng)，發(fā)送給用戶一個(gè)south.nwtraders.com 域的域控制器列表。 用戶和每個(gè)列表中的域控制器聯(lián)系，試圖獲取用戶jsmith 使用LDAP 的信息（即定位jsmith 對(duì)象），但由于該用戶不在south.nwtraders.com 域中而不成功，因此用戶收到對(duì)上層域nwtraders.com 的一個(gè)LDAP 引用。 用戶重復(fù)步驟（1）和（2），所不同的是以nwtraders.com 代替south.nwtraders.com. ，基于同樣原因，用戶仍不能成功定位jsmith 對(duì)象，僅收到一個(gè)對(duì)north.nwtraders.com 的一個(gè)LDAP 參考。 用戶再次重復(fù)步驟（1）和（2）所不同的是以north.nwtraders.com 代替

south.nwtraders.com., 這次，用戶成功地從north.nwtraders.com 域中的一個(gè)域控制器定位jsmith 對(duì)象.

2.4 規(guī)劃活動(dòng)目錄的域名系統(tǒng)

2.4.1 活動(dòng)目錄和全局DNS 名稱空間

活動(dòng)目錄被設(shè)計(jì)成可處于Internet 全局DNS 名稱空間的范圍之內(nèi)。如果組織使用 Windows 2000 Server 作為其網(wǎng)絡(luò)操作系統(tǒng)，當(dāng)該組織需要接入Internet 上時(shí)，活動(dòng)目錄名稱空間會(huì)作為一個(gè)或多個(gè)分層的 Windows 2000 域，保留在已注冊(cè)為 DNS 名稱空間的根域名之下。（組織可選擇不成為全局 Internet DNS 名稱空間的一部分；但即使它這樣做，仍要求 DNS 服務(wù)定位基于 Windows2000 的計(jì)算機(jī)。）

根據(jù) DNS 命名規(guī)則，以英文句號(hào) (.) 分隔的 DNS 名稱的每部分都代表 DNS 分層樹(shù)結(jié)構(gòu)的一個(gè)節(jié)點(diǎn)，以及 Windows 2000 域分層樹(shù)結(jié)構(gòu)的一個(gè)可能的活動(dòng)目錄域名。如下圖所示，DNS 分層結(jié)構(gòu)的根是一個(gè)有空標(biāo)簽 (" ") 的節(jié)點(diǎn)。活動(dòng)目錄名稱空間的根（目錄林根）無(wú)父根，它提供了指向活動(dòng)目錄的 LDAP 進(jìn)入點(diǎn)。

交大南洋遠(yuǎn)程教育系列教材

16 MCSE2000系列―

2-2：活動(dòng)目錄和全局DNS 2.4.2 活動(dòng)目錄中DNS 的要求

DNS 正常運(yùn)行，用戶在選擇在Windows 2000DNS 支持SRV 資源紀(jì)錄

DNS 服務(wù)器必須支持SRV SRV SRV IP 地址。

在Windows 2000SRV 資源記錄，以幫注意：服務(wù)器必須升級(jí)到 Service Pack 4 或更新版本才能支持 SRV

SRV 資源紀(jì)錄，它又分成: dc: gc: pdc:模擬器的資源紀(jì)錄 _site:SRV 資源紀(jì)錄 _tcp:所有使用tcp 協(xié)議的SRV 資源紀(jì)錄 _udp:所有使用UDP 協(xié)議的SRV 資源紀(jì)錄

上海南洋微電子公司版權(quán)所有

第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間 17

2-3：SRV 資源記錄的分類

動(dòng)態(tài)更新

除了要求 Windows 2000 網(wǎng)絡(luò)的 DNS 服務(wù)器支持 SRV 資源記錄外，Microsoft 還建議 DNS 服務(wù)器為 DNS 動(dòng)態(tài)更新提供支持，以簡(jiǎn)化DNS 服務(wù)器管理。DNS 動(dòng)態(tài)更新定義了一種協(xié)議，以便使用新值或變更值動(dòng)態(tài)更新 DNS 服務(wù)器，Windows 2000 Serve 和Windows 2000 Professional 能夠自動(dòng)使用動(dòng)態(tài)更新在DNS 服務(wù)器中注冊(cè)一條主機(jī)紀(jì)錄（A record）。如果沒(méi)有 DNS 動(dòng)態(tài)更新協(xié)議，管理員必須手動(dòng)配置由域控制器創(chuàng)建、DNS 服務(wù)器保存的記錄。

默認(rèn)情況下，活動(dòng)目錄安裝向?qū)L試從已配置的接受 SRV 資源記錄動(dòng)態(tài)更新的 DNS 服務(wù)器列表中定位域的授權(quán) DNS 服務(wù)器。如果找到了，在重新啟動(dòng)域控制器時(shí)，所有域控制器的相應(yīng)記錄都自動(dòng)在 DNS 服務(wù)器上注冊(cè)。

如果沒(méi)有找到接受動(dòng)態(tài)更新的 DNS 服務(wù)器，則可能是由于 DNS 服務(wù)器不支持動(dòng)態(tài)更新或者域沒(méi)有啟用動(dòng)態(tài)更新，采取以下步驟確保安裝過(guò)程完成所需的 SRV 資源記錄注冊(cè)：

▼ DNS 服務(wù)安裝在域控制器上，根據(jù)活動(dòng)目錄域自動(dòng)配置一個(gè)區(qū)域。

例如，如果為樹(shù)林中的第一個(gè)域選擇的活動(dòng)目錄域是 example.microsoft.com，則源于 DNS 域名 example.microsoft.com 上的區(qū)域?qū)⑻砑硬⑴渲贸墒褂眯掠蚩刂破魃系?DNS 服務(wù)。

▼ 包含域控制器的相應(yīng) DNS 資源記錄的文本文件將被創(chuàng)建。

稱為 Netlogon.dns 的文件在 systemroot＼System32＼config 文件夾中創(chuàng)建，并且包含注冊(cè)域控制器資源記錄所需的全部記錄。Netlogon.dns 由 Windows 2000 NetLogon 服務(wù)使用，為非 Windows 2000 DNS 服務(wù)器支持 Active Directory。

如果使用支持 SRV 記錄但不支持動(dòng)態(tài)更新的 DNS 服務(wù)器（如基于 UNIX 的服務(wù)器或 Windows NT Server 4.0 DNS 服務(wù)器），您可以將 Netlogon.dns 中的記錄導(dǎo)入適當(dāng)?shù)闹饕獏^(qū)域文件，以便手動(dòng)將服務(wù)器上的主要區(qū)域配置成支持活動(dòng)目錄。

增量區(qū)域傳輸（IXFR ）

除了要求 Windows 2000 網(wǎng)絡(luò)的 DNS 服務(wù)器支持 SRV 資源記錄外，Microsoft 還建議 DNS 服務(wù)器支持增量區(qū)域傳輸，代替以前版本的完全區(qū)域傳輸，以減少由DNS 區(qū)域復(fù)制產(chǎn)生的網(wǎng)絡(luò)復(fù)制流量。

新的 Windows 2000 DNS 服務(wù)既支持 SRV 資源記錄，又支持動(dòng)態(tài)更新和增量區(qū)域傳輸。如果選用不是基于 Windows 2000 的 DNS 服務(wù)器，則必須保證該服務(wù)器支持 SRV 資源記錄，否則應(yīng)將其升級(jí)為支持這些記錄的版本。BIND 8.1.2以上版本支持SRV 資源記錄。

交大南洋遠(yuǎn)程教育系列教材

18 MCSE2000系列―2.4.3 使用WINDOWS 2000 DNS 的好處

下面的列表總結(jié)了使用WINDOWS 2000 DNS 的好處：

不依賴現(xiàn)有的DNS 服務(wù)器。

可以和其他類型的DNS 服務(wù)器（如 BIND）一起使用。

不需要進(jìn)行DHCP 兼容性測(cè)試，如選擇第三方DNS 服務(wù)，則應(yīng)全面測(cè)試與DHCP 的兼容

性，因?yàn)镈HCP 已被增強(qiáng)更新DNS 。

支持動(dòng)態(tài)更新，減輕了管理負(fù)擔(dān)；安全動(dòng)態(tài)安全更新加強(qiáng)了安全性，只有被授權(quán)的主機(jī)

才能更新記錄。

如果使用活動(dòng)目錄集成的區(qū)域，可以充分利用WINDOWS 2000把DNS

作為操作系統(tǒng)的一部分，而不再把DNS 的復(fù)制和管理單獨(dú)列出。

支持?jǐn)U展字符集。

支持紀(jì)錄清理（scavenging ） 。

2.4.4 活動(dòng)目錄名稱空間命名策略

確定活動(dòng)目錄的范圍

當(dāng)確定活動(dòng)目錄的范圍時(shí)，應(yīng)該同時(shí)考慮內(nèi)部組織和外部環(huán)境，如。

DNS DNS 根域名字，用戶應(yīng)該選擇一個(gè)能代表整個(gè)組織的名字，但有INTERNET 上已建立良好身份的公司。名字。

INTERNET DNS 根域名字。注冊(cè)保證DNS 名字的全局唯一性，用戶有權(quán)管理自身子域的層次結(jié)構(gòu)，并成 反映了它們之間的相互關(guān)系。網(wǎng)絡(luò)中每個(gè)域必須登錄時(shí)，客戶使用這些名字來(lái)標(biāo)識(shí)和定位域控制器?；顒?dòng)目錄名稱層次結(jié)構(gòu)對(duì)于客戶是不可見(jiàn)的，應(yīng)該按邏輯進(jìn)行組織。單域模型因?yàn)楦子诠芾矶鴥?yōu)于多域模型。

從根域派生的域形成一個(gè)層次域目錄樹(shù)。

上海南洋微電子公司版權(quán)所有

第二章 實(shí)現(xiàn)活動(dòng)目錄的名稱空間 19

如活動(dòng)目錄中有多個(gè)域 ，形成一個(gè)名稱層次結(jié)構(gòu)。如，只有一個(gè)單域的網(wǎng)絡(luò)有一個(gè)單域名，contoso.com, ；如果需要把該網(wǎng)絡(luò)分成兩個(gè)域：nameraca,europe ，則域名可能是namerica.contoso.com,europe.contoso.com 。每個(gè)域名字是單獨(dú)的，但維持在相同的活動(dòng)目錄域目錄樹(shù)中。

2-4：活動(dòng)目錄的層次結(jié)構(gòu)

選擇DNS 服務(wù)

使用哪種類型的DNS 服務(wù)器，WINDOWS 2000 DNS 、BIND 或其他。

在活動(dòng)目錄中使用一個(gè)DNS 服務(wù)時(shí)，該DNS 應(yīng)該：

支持SRV 記錄（必須）： 如果用戶已有的DNS 服務(wù)器不支持SRV 記錄，則必須轉(zhuǎn)換到

支持SRV 的DNS 服務(wù)器，或委派被活動(dòng)目錄使用的子域作為DNS 服務(wù)。

支持動(dòng)態(tài)更新協(xié)議（建議，但極力推薦）：它使得用戶環(huán)境中的服務(wù)器和客戶能自動(dòng)添

加記錄到DNS 數(shù)據(jù)庫(kù)，這可以減少管理費(fèi)用。如果DNS 服務(wù)器不支持動(dòng)態(tài)更新協(xié)議，則每次添加或刪除一個(gè)域的域控制器或改變活動(dòng)目錄服務(wù)的地址時(shí)，管理員需要手動(dòng)更新DNS 資源記錄。該信息存放在systemroot ＼system32＼config ＼netlogon.dns 中。 支持增量區(qū)域傳輸（建議）：只允許新的或修改過(guò)的資源記錄在DNS 服務(wù)器間被復(fù)制，

而不復(fù)制整個(gè)區(qū)域的數(shù)據(jù)庫(kù)文件。

如果使用Windows 2000 Server DNS Service，還應(yīng)該規(guī)劃是否使用活動(dòng)目錄集成的區(qū)域、是否啟用動(dòng)態(tài)/動(dòng)態(tài)安全更新和是否啟用DHCP 更新。

注意：在WINDOWS 2000 網(wǎng)絡(luò)中，WIN98，WINNT4.0 不能自己更新在DNS 中的紀(jì)錄，必須由DHCP 服務(wù)器代為更新。

用戶可以選擇以標(biāo)準(zhǔn)文本格式存儲(chǔ)DNS 區(qū)域信息，或者也可以把DNS 區(qū)域信息存儲(chǔ)在活動(dòng)目錄中。只有運(yùn)行在域控制器上的DNS 服務(wù)器的DNS 區(qū)域可以實(shí)現(xiàn)與活動(dòng)目錄的集成。 下面分別解釋并比較不同區(qū)域類型之間的區(qū)別。

存儲(chǔ)在文本文件中的DNS 區(qū)域數(shù)據(jù)在DNS 服務(wù)安裝后，如用戶沒(méi)有把現(xiàn)有的區(qū)域轉(zhuǎn)換成“活動(dòng)目錄集成的區(qū)域”，則區(qū)域信息以文本文件的形式存儲(chǔ)在DNS 服務(wù)器上；為了容錯(cuò)，用戶可以指定附加的DNS 服務(wù)器，或者輔助服務(wù)器（secondary DNS name server），以存儲(chǔ)區(qū)域數(shù)據(jù)庫(kù)文件的只讀拷貝；一個(gè)叫作“區(qū)域傳輸”的過(guò)程把區(qū)域數(shù)據(jù)庫(kù)信息傳輸?shù)捷o助服務(wù)器，在區(qū)域傳輸中，發(fā)端服務(wù)器（originating server ）被指定為主控服務(wù)器。根據(jù)定

交大南洋遠(yuǎn)程教育系列教材