Windows2000 DNS服务器的区域类型.pdf

Windows2000 DNS 服务器的区域类型 新闻浏览数: 30 新闻来源: Windows 2000 的DNS 服务器中有两种类型的搜索区域：“正向搜索区域”和“反向搜索区域”。其中“正 向搜索区域”用来处理正向解析，即把主机名解析为IP 地址；而“反向搜索区域”用来处理反向解析， 即把 IP 地址解析为主机名。无论是“正向搜索区域”还是“反向搜索区域”都有三种区域类型，分别 为：“标准主要区域”、“标准辅助区域”和“ActiveDirectory 集成的区域”。下面就来讨论一下这 几种区域类型的区别。 在创建 DNS 区域时可以先创建一个“标准主要区域”， “标准主要区域”中的区域记录是自主生成 的，是可读可写的，也就是说该 DNS 服务器既可以接受新用户的注册，也可以给用户提供名称解析服务。 “标准主要区域”是以文件的形式存放在创建该区域的DNS 服务器上。维护“标准主要区域”的 DNS 服 务器称为该区域的“主 DNS 服务器”。 如果一个 DNS 区域的客户端计算机非常多，为了优化对用户DNS 名称解析的服务，可以在另外一台 DNS 服务器上为该区域创建一个“标准辅助区域”。“标准辅助区域”中的区域记录是从“标准主要区 域”复制而来的，是只读的，也就是说该DNS 服务器不能接受新用户的注册请求，只能为已经注册的用 户提供名称解析服务。“标准辅助区域”也是以文件的形式存放在创建该区域的DNS 服务器上。维护“标 准辅助区域”的 DNS 服务器称为该区域的“辅助 DNS 服务器”。 由于“辅助DNS 服务器”的区域记录是从“主 DNS 服务器”复制而来，所以“主 DNS 服务器”又称 为“辅助 DNS 服务器”的“Master 服务器”。但并不是说只有“主 DNS 服务器”才能充当“Master 服 务器”。如果一台“辅助DNS 服务器”的区域记录是从另外一台“辅助 DNS 服务器”复制而来的，那 第一台“辅助 DNS 服务器”称为该区域的“一级辅助”，而这台 DNS 服务器称为该区域的“二级辅助”， 则“一级辅助”就称为“二级辅助”的“Master 服务器”。 在“标准主要区域”的区域属性中可以设置“是否允许动态更新”。“允许动态更新”的含义是： 当该区域的客户端计算机的 IP 地址或主机名发生变化时，这种改变可以动态的在 DNS 区域记录中进行 更改，而无需管理员手工更改。 “ActiveDirectory 集成的区域”只存在于域控制器（DC）上，而且该类型的区域不是以文件的形 式存在的，而是存在于活动目录中的。“ActiveDirectory 集成的区域”不会发生区域复制，而是随着 活动目录的复制而复制的，因此这种区域类型避免了DNS 服务器单点失败的现象。在“Active Directory 集成的区域”的区域属性中除了可以设置“是否允许动态更新”外，还可以设置“仅安全更新”。 “仅安全更新”的含义是在动态更新的基础上保证安全。那么设置为“仅安全更新”的 DNS 区域是 如何实现安全性的呢？我们经常讲的一句话就是“域是安全的最小边界”， “仅安全更新”的区域将只 接受已经加入到该域的计算机账号的主机名和 IP 地址的变化，而当那些不属于该域的计算机账号的主 机名和 IP 地址发生变化时是不会在区域记录中动态改变的，但是这些计算机仍然可以利用该 DNS 服务 器进行名称解析服务。 DNS 的区域类型是可以改变的，可以把一个“标准主要区域”类型更改为“标准辅助区域”，或者 为了加强安全性把它更改为“Active Directory 集成的区域”。不过一般来说，对于活动目录的 DNS 区域类型最好采用“Active Directory 集成的区域”，而且设置区域属性为“仅安全更新”，不要把它 更改为“标准主要区域”类型。