声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

  在多子域的环境下,DNS应该如何设计与配置?即,如何配置子域的DNS?子域控制器的DNS应该如何指向?子域之前的信用关系?子域\子域的客户端\根域之前的时间同步是如何运作的?

回答:根据您的描述,我对这个问题的理解是:您想知道以下几个问题:
1. 一个森林中多个子域之间的DNS应该如何配置;
2. 子域之间的信任关系是怎么样的;
3. 森林中的时间是如何同步的。
下面是对于您的问题的回答。
========
1. 一个森林中多个子域之间的DNS应该如何配置:

对于森林中的根域和子域的配置,根据您的需求可以有不同的配置。具体如下:
1)将根域的区域设置为复制到森林中所有的DNS服务器。由于一般根域的DNS记录都比较少,所以对流量的影响应该不会很大。如果一个区域设置为复制到森林中所有的DNS服务器,那么这个区域的信息就保存在了AD数据库的DC=ForestDNSZones,DC=root,DC=local中。
2)如果是集中式的管理,您可以使用区域委派。您可以在您的根域上的区域设置区域委派。这样由于根域已经设置为复制到森林中的所有DNS服务器,所以区域委派也会被复制。这样的话所有的子域就会有到其它域DNS服务器的信息。区域委派的缺点是当一个子域的DNS服务器更改的时候,您必须在根域的区域委派上做出相应的修改。
3)如果是分散型的管理,您可以在每个子域中建立存根区域。您需要将每个子域都加入存根区域。
4)如果您只有数个子域,您也可以使用条件转发器。在子域的DNS服务器上配置到不同子域的条件转发器就可以将域之间的DNS查询转发到相应的DNS服务器。
5)在每个子域中,您至少需要一个本域的DNS服务器。该DNS服务器应该设置为复制到域中的任何DNS服务器。
6)在客户端,应该设置为使用本域的DNS服务器。不建议使用外部的DNS服务器。这包含子域中的所有机器,包括子域控制器的DNS设置。

7)对于互联网方面,如果您的子域有单独的连接,您可以在子域DNS服务器上直接配置转发器,将外部DNS请求直接转发到外部DNS服务器。如果您的子域没有单独的连接,也就是说需要根域来连接,那么您的子域的转发器应该设置为根域DNS服务器,然后在根域DNS服务器上配置转发器将外部DNS请求转发到外部DNS服务器。
===============
2. 子域之间的信任关系:
子域之间缺省就是有双向的可传递关系。对于一个森林来将,也就是说林中的所有域默认都是互相信任的。
3. 森林中的时间是如何同步的:
默认情况下,我们使用的是域层次结构来同步时间的。
1)根域的PDC是权威的时间源。
2)根域的域控和子域的PDC与根域PDC来同步时间。
3)根域的服务器及客户端与根域的域控同步时间。
4)子域的域控与子域的PDC来同步时间,或者与根域的域控来同步时间。
5)子域的服务器及客户端与子域的域控同步时间。
您建立了森林或者域后,默认的时间同步就是按照以上的设置。您可以更改根域的PDC来使用外部的时间源。但是对于其它的机器,您可以使用默认设置。

下面是您问道的一些相关问题的解答:
一、我将根域设置为复制到林中所有的DNS服务器,那么子域是否需要做此操作?
子域是不需要做此操作的。您只需在根域设置。
二、您所说的集中式管理中,如果我在根域上的正向查找区域中设置了区域委派,那么我的反向查找区域是否做相应的操作?
反向查找区域是没有区域委派的设置的。所以我们不需要做相应的操作。
三、我不是很明白您所说的分散型管理模式和集中式管理模式,能否给我一下具体化的解析?
集中式管理模式就是说子域DNS的配置是在根域进行的,就像我给您的例子一样,使用区域代理。分散型管理模式就是说子域DNS的配置主要是在各个子域进行的。比如说您可以使用存根区域来设置。这样的话您需要在每个子域的DNS服务器上都进行类似的操作。
四、我目前的设想是:在我的根域上设置区域委派,在我的子域的DC上安装DNS服务器并集成在AD中,同时在子域的上设置DNS转发器,转发器地址指向我的根域DNS服务器地址或在转发器中对其它的子域转门指定地址。这种方式是不是您所说的集中式管理?

您说的没错。如果您的互联网是通过某个子域出去的,那么我们确实需要对该子域进行转发,但是如果不是这种情况的话,没有必要对该子域进行转发。因为根域DNS已经将所有子域的DNS服务器信息复制到了每个子域DNS服务器上。

如果你不是将根域DNS复制到森林中的每个DNS服务器,那么您可以使用转发功能。并且您需要对每个子域的域名进行转发(如果子域多的话配置会比较多一点)。因为是在每个子域DNS服务器上进行的设置,所以也是分散型管理模式。

另外对于您的子域DNS服务器,您需要先配置转发器到根域DNS服务器。这样根域的DNS区域才会被复制到该子域。复制完成后,您可以将转发器移除或者保留。
五、在我的每个子域的DNS上,本地子域为主要区域,是否还需要将其它的子域的DNS添加为辅助区域?
不需要将其它DNS添加为辅助DNS服务器。一般建议您在每个域中至少设置2个DNS服务器,这样当某个DNS服务器有问题时,另一个可以作为辅助服务器。如果只有一台DNS并且其出现问题时,域内的DNS名称解析会失败。
以下文章供您参考:
“DNS如何工作”(英文)
http://technet.microsoft.com/en-us/library/cc772774.aspx
“Windows时间服务如何工作”(英文)
http://technet.microsoft.com/en-us/library/cc773013.aspx
邵宏 微软全球技术支持中心