搭建微软网络域管理环境前的准备工作
第一项工作:为域设计一个好名字
若要访问WINDOWS的域,一般是通过域名进行访问,而不是通过域控制器的IP地址。所以,在部署微软的域环境之前,则必须给这个域提个名字。这个名字可不能随便取,必须符合微软的域命名规则。
微软的域名是采用DNS的架构于命名方式,如A.COM,所以在给这个域取名的时候,需要符合这个规则。同时,也要符合“容易书写、容易叫”的原则,即我们所取的名字,要简单、不要含有特殊字母,否则的话,后续在访问域的时候,就会比较麻烦。
笔者经验之谈
虽然在域建立好之后,仍然可以改变这个名字。但是,这就好像人成年后更改名字一样,需要很多手续与证明资料,修改起来会非常的麻烦。所以,笔者建议,还是在部署域管理环境之前,就先为这个即将出生的“宝宝”取个好名字。
第二项工作:部署DNS服务器
在部署域管理环境的时候,域控制器会将自己登记到DNS服务器中去。如此做的目的,就是让其他客户端可以通过我们上面所取的名字访问到这台域控制器。所以,在企业的网络中必须有一台DNS服务器,否则的话,域控制器在安装的过程中就会以失败告终。
一是在安装域控制器的时候,可以同时安装DNS服务器。在将某台服务器升级为域控制器的时候,如果这台服务器没有安装DSN服务器的时候,则会自动在这台服务器上安装微软的DNS服务器,同时,也会自动在DSN服务器内建立一个以我们上面设计的域名一样的空间,如A.COM。而且,会自动能启用安全更新功能,当然,其安全等级选项是“只有安全的”。若采用这种方式部署DNS服务器的,必须先将这台机器的中DNS服务器地址改过来。在TCP/IP属性设置框中,除了设置IP地址、默认网关、子网掩码之外,还可以设置DSN服务器地址。若想在这台服务器上安装DNS服务器的话,则必须把这个DNS地址清空,或者指定为本机的IP地址,否则,会出现一些故障。
二是使用独立的DNS服务器。在部署域管理环境的时候,我们也可以采用,而且也是积极建议的,使用独立的DNS服务器。这可以使企业正在使用的,也可以新建一台DNS服务器。然后,再DNS服务器为这个域建立一个区域,并启动自动更新功能。然后在安装域控制器的时候,把域控制器的DNS地址指向这台DNS服务器。
笔者经验之谈
1、如果需要建立微软的域管理环境,则在部署DNS服务器的时候,最好选择“动态更新”功能,虽然这不是 安装域控制器所必需的条件。我们都知道,在安装域控制器的时候,他必须将其所扮演的角色登记到DNS服务器的SRM纪录之下。若DNS服务器不支持这个功能的话,则域控制器将无法自动的将自己登记到DNS服务器的SRV纪录之下。必须由网络管理人员手工的进行输入。无疑,这会增加域管理的负责性。若我们启用了这个动态更新的功能的话,则在安装域控制器的时候,会自动完成这项作业,不需要我们过多的干预。不过,在选中动态更新功能的时候,最好把其安全级别色设置为“只有安全的”,以防止DNS地址欺骗攻击,提高域管理环境的安全性。
2、若在企业大型网络中,有不只一台的DNS服务器,则需要考虑启用“增量区域传送”功能。如笔者企业中,客户端数量比较多,一是为了提高DNS服务器的使用性能,二是为了提供一种冗余,提高网络的灵活性,在企业局域网内,部署了三台DNS服务器。若在没有启用“增量区域传送”功能的话,DNS服务器在相互之间执行区域传送功能的时候,会复制全部的DNS纪录,这显然会占用比较大的带宽,造成不必要的带宽浪费。而若我们采用这个“增量区域传送”功能的话,则DNS服务器在同步纪录的时候,只会复制更新过多纪录,这么做主要就是为了提高复制效率。现在大部分版本的DNS服务器基本上都支持了这个“区域增量传送”功能。在有必要的情况下,也可以同时采用“快速区域传送”功能。这可以为DNS服务器纪录传送再加一把油,通过对数据进行压缩,进一步提高DNS服务器之间纪录的复制效率。
3、必须要启用本机服务器资源纪录功能。若上面两个功能在部署域管理环境之前,是可选的。但是,这个本机服务器资源纪录功能,则是一个必须启用的功能。因为在安装域控制器的时候,需要在DNS服务器中的本机服务器资源纪录中进行登记,以表示自己的合法性。若DNS服务器不支持这个功能的话,则域控制器将不能证明自己存在的合法性。现在微软2000以上的服务器系统,都支持“本机服务器资源纪录”功能。