我有一个森林,让我们叫它contoso.com。 我也有3个子域名,a.contoso.com,b.contoso.com和c.contoso.com。 原始森林contoso.com是在2003年之前创build的,可能在某个时候已经是Windows NT域名了,但是我还没有到这里。 无论如何,因为它是在服务器2003之前创build的,所以我没有DNS中的_msdcs.contoso.com区域。
在我曾经工作过的其他森林是用server 2003创build的,_msdcs有一个单独的区域。 我遵循知识库文章817470为contoso.com手动创build_msdcs区域,一旦我做了一个repadmin / syncall,它被填充。 如果你在案例2(我相信描述我)看这个知识库步骤4是“删除旧的_msdcs子域”。 这是否意味着我应该删除目前在caontoso.com下的文件夹_msdcs,我有一个名为_msdcs.contoso.com的区域? 此外,我使用Server 2008创build的3个子域也没有_msdcs区域。 我是否应该为每个子域重复这个过程?
如果在域区域下看到的“文件夹”是灰色的,而且看起来不像其他的,那么它不是 _msdcs区域的单独实例。 这是一个区域代表团 ,意思是“这个子域下的所有东西都是作为一个区域来pipe理的”。
不要删除任何东西。
如果你已经按照How-to文章一直到这个步骤,所有东西都是一样的,因为“_msdcs.contoso.com”以前不存在。
当区域被复制到它们时,确保在所有DC上重新启动Netlogon服务。 这迫使DC在_msdcs区域中注册他们的SRVlogging
首先,我想确定你明白你在做什么,为什么。 您不需要有一个专用的_msdcs.contoso.com区域AD正常工作。 如果您有一个名为contoso.com的区域,并且它具有包含所有必需logging的_msdcs子域,那么这就是您所需要的。 重要的是确保DNS客户端何时发出查询以正确回答他们的logging。
专用的_msdcs.contoso.com区域及其托pipe的应用程序分区为pipe理员提供了确保一个区域包含AD特定DNSlogging的能力,并且可以在任何地方复制它们(例如,在全州范围或全域范围内或任何其他自定义select的DC列表)。 因此在forestdnszones应用程序分区中为您的contoso.com设置一个_msdcs.contoso.com区域,可以确保所有运行DNS的DC除了托pipe自己的域特定DNSlogging外,还托pipe特定于林的特定DNSlogging。 在森林中运行DNS的所有DC对于该区域都是权威的,并且将服务于该区域的查询,而不需要在其他地方转发。
在由多个域组成的森林中,您将拥有一些logging,这些logging是在森林域相关的_msdcs和其他特定于域的域中注册的。 因此,例如,每个DC在其特定的_msdcs中注册其自己域的_msdcs的logging。 例如GC特定的SRVlogging(不pipeDC是在根域还是子域中)在森林特定的_msdcs中注册。 另一个示例是contoso.com目录林中所有DC的{guid} ._ msdcs.contoso.com格式的独一无二的基于CNAME的DC标识符,无论它们是否位于根域或子域中。
是的,你应该“删除旧的_msdcs子域…”(但不是一个与NSlogging委托),因为这可以确保DNS知道有一个专门的区域_msdcs.contoso.com的所有logging,不再使用子域它习惯了。
而对于其他子域特定区域,它们将有一个_msdcs子域用于特定于域的logging。 所以没有什么要求在那里做。
代表森林中的域的DNS区域的默认设置是使domaindnszones中的每个域特定区域(egacontoso.com,b.contoso.com,contoso.com等)与_msdcs.contoso.com区域分区,以用于森林特定logging在forestdnszones应用程序分区中。 如果你愿意,你可以转移到那个模型。 但是你不需要。