刷新DNS首选DNS以及DNS区域委派
动态更新
当DNS客户端计算机上产生某个事件触发更新时,DNS客户端计算机上的DHCP客户端服务将会为本地计算机中使用的所有网络连接在相应的DNS服务器中对自己的A记录进行更新,从而确保DNS域名记录和IP地址记录的对应关系。而DNS服务器需要配置为允许动态更新,才能让DNS客户端计算机成功完成更新。
当DNS客户端计算机上产生以下事件时,会触发DHCP客户端服务的动态更新行为: (1)添加、删除或修改了本地计算机任何网络连接TCP/IP属性中的IP地址。
(2)本地计算机的任何网络连接向DHCP服务器获取IP地址租约或者续约。
(3) DNS客户端上运行了Ipconfig/registerdns命令。
(4) DNS客户端计算机启动。此DNS区域中的一台成员服务器提升为域控制器。
对于标准主要区域,可以选择不允许动态更新和允许非安全和安全动态更新。但是允许非安全和安全动态更新具有安全隐患,因为DNS服务器不会对进行动态更新的客户端计算机进行验证,所以任何客户端计算机都可以对任何A记录进行动态更新,而不管它是否是此A记录的拥有者。通常情况下,您不应该使用此选项。
对于活动目录集成区域,除了上述的两个选项外,您还可以使用安全动态更新。当使用此方式时,在客户端计算机更新自己的记录时,DNS服务器将要求客户端计算机进行身份验证,来确保只有对应资源记录的拥有者才能更新此记录。
只有Windows 2000及以后版本操作系统的客户端计算机才能执行动态更新,低版本的Windows系统(NT4、9x/ME)不支持动态更新。不过,您可以通过DHCP服务器为这些低版本客户端计算机代理进行动态更新。当DHCP服务器在代理低版本客户端计算机注册A记录时,会将自己设置为此A记录的所有者。
而在安全动态更新方式中,只有资源记录的所有者才能修改此记录,这样在其他DHCP服务器为此低版本客户端计算机代理注册时会出现拒绝访问的问题。因此,您需要将此DHCP服务器加入到DnsUpdateProxy安全组中,这样当DHCP服务器更新A记录时,不会记录下此A记录的所有者信息,从而允许其他DHCP服务器来修改此A记录。
区域委派
一个完整的DNS区域包含以自己的DNS域名为基础命名空间的所有DNS命名空间的信息。当基于此DNS命名空间新建一个DNS区域时,新建的区域称为子区域。例如,完 整的winsvr.org区域包含了 以winsvr.org为基础命名空 间的所有DNS命名空间的信 息,而tech.winsvr.org则称 为winsvr.org的一个子区域。
默认情况下,DNS区域管理 自己的子区域,并且子区域伴随 DNS区域一起进行复制和更新。
不过,您可以将子区域委派给其 他DNS服务器来进行管理,此时, 被委派的服务器将承担此DNS子 区域的管理,而父DNS区域中只 是具有此子区域的委派记录。
区域委派适用于许多环境,常见的场景有:
(l)将某个子区域委派给 某个对应部门中的DNS服务 器进行管理。
(2) DNS服务器的负载均衡,将一个大区域划分为若干小区域,委派给不同的DNS服务器进行管理。
(3)将子区域委派给某个分部或远程站点。
您只能在主要区域中执行区域委派。对于任何一个被委派的子区域,父DNS区域中只是具有指向子区域中权威DNS服务器的A记录和NS记录,而实际的解析过程必须由委派到的子区域中的权威DNS服务器完成,即被委派到的DNS服务器上必须具有以被委派的子区域为域名的主要区域。
在Windows Server 2003 的DNS服务器管理控制台中, 提供了向导工具,可以让您轻 松地完成DNS区域委派。
加入收藏
设为首页
