我有一个森林,我们称之为 contoso.com。我还有 3 个子域,a.contoso.com、b.contoso.com 和 c.contoso.com。原始森林 contoso.com 是在 Server 2003 之前创建的,可能曾经是 Windows NT 域,但我在这里待的时间并不长。无论如何,因为它是在 Server 2003 之前创建的,所以我在 DNS 中没有 _msdcs.contoso.com 区域。
在我工作过的其他使用 Server 2003 创建的林中,_msdcs 有一个单独的区域。我遵循知识库文章 817470手动为 contoso.com 创建 _msdcs 区域,一旦我执行了 repadmin /syncall,它就会被填充。如果您查看此 KB 下的案例 2(我相信这描述了我),步骤 4 是“删除旧的 _msdcs 子域”。这是否意味着我现在有一个名为 _msdcs.contoso.com 的区域,我应该删除 caontoso.com 下的文件夹 _msdcs?此外,我使用 Server 2008 创建的 3 个子域也没有 _msdcs 区域。我是否应该对每个子域重复此过程?
答案1
如果您在域区域下看到的“文件夹”是灰色的,并且看起来与其他文件夹不一样,那么它的不是_msdcs 区域的单独实例。它是区域委派,意思是“该子域下的所有内容都作为区域本身进行管理”。
不要删除任何东西。
如果您按照操作方法文章一直到这一步,那么一切都会如其预期的那样,因为“_msdcs.contoso.com”以前并不存在。
当区域复制到所有 DC 时,请务必重新启动 Netlogon 服务。这将强制 DC 在 _msdcs 区域中注册其 SRV 记录
答案2
首先,我想确保你明白自己在做什么以及为什么这么做。你不知道需要拥有专用的 _msdcs.contoso.com 区域以使 AD 正常工作。如果您有一个名为 contoso.com 的区域,并且它有一个包含所有必需记录的 _msdcs 子域,那么这就是您所需要的。重要的是确保当 DNS 客户端发出记录查询时,它们会得到正确的答复。
专用的 _msdcs.contoso.com 区域及其托管的应用程序分区使管理员能够确保有一个区域包含 AD 特定的 DNS 记录,并且该记录被复制到管理员选择的位置(例如,森林范围或域范围或任何其他自定义选择的 DC 列表)。因此,在 forestdnszones 应用程序分区中为您的 contoso.com 设置 _msdcs.contoso.com 区域将确保所有运行 DNS 的 DC 除了托管域特定的 DNS 记录外,还托管森林特定的 DNS 记录。在森林中运行 DNS 的所有 DC 都对该区域具有权威性,并且可以从该区域提供查询,而无需转发到其他地方。
在由多个域组成的林中,您将拥有一些在林域相关 _msdcs 中注册的记录,以及其他特定于域的记录。例如,每个 DC 都会在林特定的 _msdcs 中注册其自己域的 _msdcs 记录和其他一些记录。例如,GC 特定的 SRV 记录(无论 DC 是在根域还是子域中)都在林特定的 _msdcs 中注册。另一个示例是,对于 contoso.com 林中的所有 DC,无论它们是在根域还是子域中,都以 {guid}._msdcs.contoso.com 格式使用唯一的基于 CNAME 的 DC 标识符。
是的,您应该“删除旧的 _msdcs 子域...”(但不是具有 NS 记录的委派),因为这可以确保 DNS 知道有一个专用区域用于 _msdcs.contoso.com 的所有记录,并且不再使用它以前的子域。
至于其他子域特定区域,它们将有一个 _msdcs 子域用于域特定记录。因此,那里不需要做任何事情。
表示林中域的 DNS 区域的默认设置是将每个域特定区域(例如,contoso.com、b.contoso.com、contoso.com 等)放在 domaindnszones 分区中,并在 forestdnszones 应用程序分区中为林特定记录设置 _msdcs.contoso.com 区域。如果您愿意,可以转到该模型。但您不必这样做。