我已经阅读了关于AD集成DNS区域的一些文章,其中包括Windows Server 2003中优秀的DNS存根区域 ,但是我仍然不确定是否掌握了整个图像:
1)
为什么没有AD(活动目录)集成提供二级区域AD集成的可能性以便通过AD复制(为什么存根区域提供了AD集成可能性)呢?
2)
为什么MS没有为委派的区域logging提供同步?
即在存根区域中没有粒度和可configuration性(存根区域包含指定区域的所有NSlogging)
稍后添加:存根区域在function上类似于委派,但存根区域必须包含引用域中的所有dns服务器的引用,而不是委派。 代表团是否更加细化,或者不必要地需要更多的pipe理工作?
3)
为什么我们可能需要辅助区?
如果冗余由多主AD集成主要区域提供?
4)
多个AD集成的主域控制器是否提供冗余,以防止其中一个集成了AD的计算机发生故障? 换句话说,每个域控制器是否包含AD(和AD集成的dns)数据库的副本?
5)
是否可以复制辅助区域(在发生主要区域计算机故障的情况下)并将其中一个副本提升为主要区域?
6)
- “另外,虽然大多数DNS服务器可以configuration为防止区域转移到辅助区域发生,但存根区域只请求名称服务器的SOA,NS和Alogging,所有这些logging都不受任何名称服务器的限制,因为这些logging是名称parsingfunction必不可less“
–
这是否意味着DNS服务器不能configuration为阻止转移到存根区域?
- Active Directory的多主复制工作方式与DNS协议的主复制模式有很大不同。 所以logging的副本是真正的“次要的”,因为它总是从主人那里刷新。
- 不太清楚你的意思…你能澄清吗?
- 我们需要辅助区域,因为这是世界上其他所有DNS服务器的工作方式,包括行业标准的BIND。 许多公司的BIND服务都在大型UNIX服务器上运行,Windows AD / DNS服务器只有一个辅助副本。
- 是的,每个域控制器保留所有AD和DNS数据的完整副本(有一些小的例外情况 – 在全局目录和FSMOangular色上阅读)。
- sorting…没有内置的命令来执行此操作,但可以使用BIND工具和辅助数据副本填写新的主要区域。 不过这不是可取的。
- 不,您仍然完全控制区域转移安全。 引用的一句话是指SOA,NS和A-logging指向区域的主要和辅助名称服务器始终可供所有客户端阅读,这意味着他们可以使用信息创build自己的存根区域,如果他们想至。