在NT 4.0計算機上的域與域之間的關系并不像人們想象的那樣自然,因為這些計算機域是通過在它們之間存在的一個又一個的安全界線來區(qū)分開的。這些域只要在經過了對域與域之間的信任關系過程設置之后就可以互相的看見對方了。但是,對于那些使用DNS(域名服務器)的計算機網絡來說,隨意的配置NT4的域與域之間的信任關系可能會引起管理權限上的一些問題。這是由于NT4的域并不能夠識別域名服務器設置的層次結構,并且域名服務器也并不能識別NT域的結構。
幸運的是,隨著微軟公司推出了活動目錄以及Windows 2000操作系統,微軟公司在配置域的結構方面已經取得了非常重大的突破。而且,支配著域名服務器領域(當然也包括國際互聯網)的標準(FQDN)現在也能夠運用到使用Windows 2000操作系統的計算機域中去了。
而在這個過程中當然也有不那么令人滿意的消息。這就是,在Win2K操作系統中的域名服務器必須被非常小心的進行配置,而且在你配置的不同域里面的計算機不應該能夠連結到別的域中的計算機上。當你在進行上邊那些配置的時候,要注意的為重要的一點就是,活動目錄是和域名服務器一樣,都是具有層次化結構的。下面,就讓我們來看一看當網絡中有多個Windows 2000域的時候,如何來正確的配置我們的域名服務器。
首先要建立名字空間
在我的Windows 2000實驗室拓撲結構中,我以一個具有三個域的活動目錄樹作為開始。我把主域名服務器置于父域中。我將會把這個域稱作TOP.LOCAL,這并不是一個合法的正式域名,但是它也并不需要成為一個合法的正式域名。我做實驗的這個實驗室并沒有直接的連接到國際互聯網上,所以我的命名結構并不一定要被注冊成為一個正式的域名。而我把子域命名為MIDDLE.TOP.LOCAL,并且這個子域的子域被我按照順序命名為BOTTOM.MIDDLE.TOP.LOCAL。這就是構成我們域樹結構的臨近名字空間。
由于在一些域名服務器中必須留有適當的位置來安裝活動目錄,所以我會從頂端的位置來開始我的實驗演示。在TOP.LOCAL域中的域名服務器,為了能夠留出一個被稱之為TOP.LOCAL的正向查找區(qū)域,我專門設置了一個主域名服務器來負責這些工作。我還得使用網絡地址來設置一個負責反向查找的主域名服務器。并且,我設置了一些綜合性的標準區(qū)域來代替活動目錄。設置這些綜合性標準區(qū)域的目的是為了出現故障的時候能夠快速的進行故障處理工作。我希望能夠確定的一點是,這些為了將來排除故障而專門預留的區(qū)域必須在活動目錄加入之前能夠正常的工作。而且大家同樣必須予以關注的一點是,我還沒有開始給子域設置地址。
十分重要的一點是,使用者必須要對域名服務器進行名字查找的工作過程和方式予以充分的了解。絕大多數的用戶并沒有意識到在查找一臺計算機的過程中,客戶所設置的域名服務器到底需要完成多少工作。這臺客戶計算機通常被設置成一個使用的主域名服務器,并且還需要另外設置一臺從域名服務器來在一些時候代替主域名服務器進行工作。這些配置活動都是在客戶計算機的TCP/IP屬性中進行的。
如果使用者無法連接到主域名服務器,那么就應該試著去使用起替代作用的從域名服務器了。如果這兩個域名服務器對于使用者來說都無法使用,那么用戶試圖連接到網絡的嘗試就失敗了。這是使用者必須要知道的一點,因為當用戶連結網絡失敗的時候,可能用戶接受到的提示信息中并沒有指明連結失敗是由于聯系不到域名服務器而造成的。
舉個例子來說,如果用戶試圖訪問一個資源,并且域名服務器并不能幫助你找到確認你有效用戶身份的那臺域控制器,那么,使用者可能會得到一條錯誤信息的提示,這條提示會告訴你所有的訪問都已經被拒絕,或者會告訴你并沒有找到此條網絡路徑。如果出現了上面那種內容的提示信息,對于問題的解決并沒有多少實際意義上的幫助。如果你能夠知道解決問題的關鍵是和域名服務器有關的話,你就會知道錯誤信息實際上是在提示你這是一個有關許可的問題。在知道了這一點以后,使用者必須能夠連接到域名服務器上,才能夠訪問Windows 2000網絡上的所需資源。一個網絡管理員應該知道在出現什么樣問題的情況下,才應當去檢查計算機與域名服務器的連接情況。
如果使用者能夠連接到域名服務器上,那么域名服務器就會給出它在相應區(qū)域中確認的主機名,而這個主機名就是你獲取資源所必不可少的。再舉一個例子來說明這種情況,如果使用者試圖ping出名字是computer2的計算機,并且使用者并沒有給出正式域名,那么,域名服務器就會假定你所要PING的這臺computer2計算機是在你所處的這個域中的。如果在這個域中沒有一臺名叫computer2的計算機,那么運行PING 指令后計算機就會提示你連接失敗的信息。如果使用者以 computer2.otherdomain.com 這樣的主機名進行ping操作的話,那么,域名服務器就會知道如何比較好的操作這個查找過程了。域名服務器通過使用向前以及根線索提示,就會確定主機名為computer2計算機并不在與用戶計算機相同的域中,并且會把查找這臺計算機的任務轉移給別的可能擁有此主機名的域名服務器來進行查找了。依照這樣的一個過程,用戶就能夠正確的連接到這臺計算機上面了。
建立和域名服務器的連接
一旦主域名服務器在域中正常的進行工作,你就可以用兩種不同的方法來將你的Win2000域連接到域名服務器上去。我在下面分別列除這兩種不同的連接方法。
方法一:
在每一個域的Win2000服務器計算機上都能夠配置一個針對子域的正向查找區(qū)域。而且,在這些子域中的域名服務器都應該能夠被配置成為標準的主域名服務器。而在子域的反向查找區(qū)域中,也能夠被配置成主域名服務器。但是,子域的服務器應該是次一級的服務器,因為用域反向查找區(qū)域的主服務器是在TOP.LOCAL這個域中的。千萬不要忘記的一點是:對于所有子網中的所有計算機來說,反向查找區(qū)域都是完全相同的。這是由于它們是通過IP地址而不是通過域名來進行定位的。所以,在TOP.LOCAL域中的號域名服務器都應該被設置成為子區(qū)域MIDDLE.TOP.LOCAL 域以及 BOTTOM.MIDDLE.TOP.LOCAL域中的第二號域名服務器。現在,所有的域名服務器都能夠通過區(qū)域轉換過程和別的域的域名服務器進行聯系了。
一旦這些正向以及反向查找區(qū)域都能夠正常的發(fā)揮作用以后,那么,所有的區(qū)域被轉換到活動目錄中。操作的時候只需點擊此區(qū)域屬性頁面的“轉換(change)”按鈕就完成了。如果想要測試每一個區(qū)域功能是否正常,你可以使用Nslookup這條指令。一個正確的回應應當包括域名服務器以及所要查找計算機的正式域名以及IP地址信息。如果輸入該指令后得到的回應提示信息中包含類似于“查找不到…….”的句子,那么,這就是在告訴你,服務器或者用戶計算機并沒有正確的被配置好。在客戶的TCP/IP工具中,有一個管理域名服務器的控制臺,并且還有你需要的各種命令提示。在這里,你能夠找到所有用來解決域名服務器問題有關的各種信息。多區(qū)域以及互動目錄綜合區(qū)域帶給你的挑戰(zhàn)是關于域數據庫從一個服務器到另一個服務器的調用方式的。互動目錄綜合區(qū)域并沒有使用標準的區(qū)域傳遞方式。這種標準的區(qū)域傳遞方式限定了每五至十分鐘,二級域名服務器就必須從主服務器中進行一次區(qū)域傳遞,而且,這個過程是以一種公告的方式進行的。
活動目錄綜合區(qū)域是通過活動目錄復制來進行共享的。對于大家來說,好消息是活動目錄復制過程并不對區(qū)域傳遞過程產生任何的影響,并且,對于帶寬的使用效率來說,只進行互動目錄復制與同時進行目錄復制和區(qū)域傳遞相比較,前者更有效率。
但是,事情都是具有兩面性的,所以我也不得不向大家說明這么做所帶來的不利之處。活動目錄只能針對某個域,這本身就是一種局限。這么想是合乎邏輯的,就是在相鄰的名字空間中,在層次域中的域名服務器終將會接到從子域通過復制以及集中而傳過來的消息。但是,由于活動目錄數據庫只在域控制器以及域中的計算機之間共享,所以,的域如何才能終找到它下面的區(qū)域呢?這個問題我們馬上就要在方法二中談及。
方法二:
另一種設置域名服務器的方法是通過區(qū)域委托來實現的。要創(chuàng)建一個子域,而且此子域的域名服務器身份確認能夠代表在每一個子域中的所有的Win2000服務器。和方法一不同之處在于在域中的號域名服務器,一個文件夾結構將會被創(chuàng)建出來,并且這個文件夾結構要和Win2000域結構的活動目錄層次完全一致。這個過程包含兩個部分。部分:New Delegation Wizard(新委托向導)首先創(chuàng)建一個代表服務器,并且為此子域創(chuàng)建一個文件夾。第二部分:這個部分是在子域中的域名服務器上創(chuàng)建一個完全相同的區(qū)域。這個過程生成了一種更為直接的讓每一個域的域名服務器彼此進行聯系的方式。當所有的步驟都已
經完成之后,號的域名服務器以及所有經過核準的域名服務器(這些域名服務器都被設置成為區(qū)域的名字服務器圖標)都擁有了一個層次化的文件夾結構。在這個文件夾結構中包含了多個子文件夾。這種結構映射出了邏輯網絡的活動目錄層次,并且讓所有的域名服務器都能夠和彼此之間進行聯系。對于任何一個花費時間在活動目錄網絡上的網絡管理員,讓所有的域名服務器都能夠在彼此之間進行聯系,無論對于網絡本身還是對于維護網絡功能的正常運轉來說,都是非常重要的。
總結
在具有多個Win2000域的網絡中管理域名服務器需要一份具有前瞻性并且足夠認真細致的工作計劃。
我在本篇文章中向大家展示了兩種能夠讓Win2000的域與域之間進行聯系的方法。這是讓我們能夠在網絡中獲取所需資源的基本保證。