我读过几篇关于 AD 集成 DNS 区域的文章,其中包括一篇出色的 Windows Server 2003 中的 DNS 存根区域但我仍然不确定是否能掌握全貌:
1)
为什么 AD(Active Directory)集成不提供辅助区域 AD 集成的可能性以便通过 AD 进行复制(相对于为什么为存根区域提供了 AD 集成的可能性)?
2)
为什么 MS 没有提供委派区域记录的同步?
即存根区域中没有粒度和可配置性(存根区域包含指定区域的所有 NS 记录)
后来补充:存根区域在功能上与委派类似,但存根区域必须包含对引用域中所有 DNS 服务器的引用,而委派则不包含。委派是否更细粒度,还是不必要地需要更多管理工作?
3)
我们为什么可能需要次要区域?
多主 AD 集成主区域是否提供冗余?
4)
多个 AD 集成主域控制器是否提供冗余,以防一台具有 AD 集成 DC 的计算机发生故障?换句话说,每个域控制器是否都包含 AD(和 AD 集成 DNS)数据库的副本?
5)
是否无法复制辅助区域(以防主区域计算机出现故障)并将其中一个副本提升为主区域?
6)
- “此外,虽然大多数 DNS 服务器都可以配置为阻止发生区域转移到辅助区域,但存根区域仅请求名称服务器的 SOA、NS 和 A 记录,所有这些记录都不受任何名称服务器的限制,因为这些记录对于名称解析正常运行至关重要” -
这是否意味着无法配置 DNS 服务器来阻止传输到存根区域?
答案1
- Active Directory 的多主复制的工作方式与 DNS 协议的主/从复制模型截然不同。因此,记录的从副本才是真正的“从属”,因为它始终从主副本刷新。
- 不太清楚你的意思...你能澄清一下吗?
- 我们需要辅助区域,因为这是世界上所有其他 DNS 服务器的工作方式,包括行业标准 BIND。许多公司的 BIND 服务都在大型 UNIX 服务器上运行,而 Windows AD/DNS 服务器只有一个辅助副本。
- 是的,每个域控制器都保留所有 AD 和 DNS 数据的完整副本(有一些小例外——请阅读全局目录和 FSMO 角色)。
- 有点……没有内置命令可以执行此操作,但您可以使用 BIND 工具和来自辅助区域的数据副本来填充新的主区域。不过,这并不可取。
- 不,您仍然可以完全控制区域传输安全性。引用的这句话表示指向区域主名称服务器和辅助名称服务器的 SOA、NS 和 A 记录始终可供所有客户端读取,这意味着,如果他们愿意,他们可以使用这些信息来创建自己的存根区域。