将Windows 2000 DNS集成到现有的BIND或基于Windows NT 4.0的DNS命名空间中

概要

Windows 2000 域名系统 (DNS) 的一个功能是它对动态主机更新（RFC 2136 中对其作了说明）的支持。要利用该功能，可以将 Windows 2000 DNS 部署在没有其他 DNS 服务器的环境中，也可以将其部署在已经实现了非动态 DNS 服务器（Microsoft Windows NT 4.0 DNS 服务器和 BIND 4.9.7 服务器或更低版本，等等）的环境中。在已经实施了 BIND 或 Windows NT 4.0 DNS 服务器的环境中部署 Windows 2000 DNS 时，有以下几种集成方法供您选择：

•	将 Windows NT 4.0 DNS 服务器升级到 Windows 2000。
•	将区域从非动态授权 DNS 服务器迁移到运行 Windows 2000 DNS 的服务器上。
•	在父 DNS 域下委派子 DNS 域。对于与区域的根名称不同的 Active Directory 域名，可将此子域委派到 Windows 2000 DNS。例如，如果 Active Directory 域名是 dev.reskit.com，而包含该域名的区域是 reskit.com，则您可以将 dev.reskit.com 委派到运行 DNS 的基于 Windows 2000 的服务器。
•	将域控制器 (DC) 定位器记录（SRV 记录）使用的各个子域委派到一台基于 Windows 2000 的服务器。这些子域是 _msdcs.reskit.com、_sites.reskit.com、_tcp.reskit.com 和 _udp.reskit.com。当与区域的根名称（如 reskit.com）相同的 Active Directory 域名（如 reskit.com）不能被直接委派到运行 DNS 的基于 Windows 2000 的服务器时，应当使用此方法。或者，客户端也可以是名为 reskit.com 的 Active Directory 域的成员，但可在名为 dynamic.reskit.com 的 DNS 区域中进行注册。

本文介绍了上面列出的第四种方法，即如何将 Windows 2000 DNS 并入已经实施了下面这样的一个 DNS 命名空间的组织：在该命名空间中，对与 Active Directory 域同名的区域具有管理权的 DNS 服务器不支持 RFC 2136（动态更新）。本文还讨论了这样一种情形：域成员使用一个不同于 Active Directory 域名的主 DNS 后缀，以便当对与 Active Directory 域同名的区域具有管理权的 DNS 服务器不支持动态 DNS 更新时允许基于 Windows 2000 的计算机动态注册 DNS 记录。

更多信息

要将 Windows 2000 DNS 集成到基于非动态 DNS 服务器的现有命名空间，您可以委派定位器记录（SRV 记录）所使用的子域，以便能够使用动态更新（根据 RFC 2136）。按照下列步骤操作：

1.	在对与 Active Directory 域同名的区域具有管理权的非动态 DNS 服务器上，将下列区域委派到运行 DNS 的基于 Windows 2000 的服务器。 _udp.DNSDomainName _tcp.DNSDomainName _sites.DNSDomainName _msdcs.DNSDomainName 例如，如果根区域的名称为 eskit.com，请将 _udp.reskit.com、_tcp.reskit.com、_sites.reskit.com 和 _msdcs.reskit.com 委派到基于 Windows 2000 的服务器。
2.	在基于 Windows 2000 的服务器上，创建第 1 步中要委派的正向区域，并为动态更新启用这些区域。 创建新区域： a. 在 Windows 2000 服务器上，启动 DNS 管理器。 b. 在 DNS 管理器中展开相应的 DNS 服务器。 c. 右键单击正向搜索区域文件夹，然后单击新建区域。 d. 当“新建区域向导”启动时，单击下一步，单击 Active Directory 集成的区域复选框（推荐使用）或单击标准主要区域复选框（取决于网络结构），然后单击下一步。 e. 在名称框中键入区域的名称。例如，键入 _msdcs.reskit.com。 f. 单击下一步。查看完向导摘要后，单击完成。 要使区域接受动态更新，请执行以下操作： a. 在运行 DNS 的 Windows 2000 服务器上使用 DNS 管理器，右键单击该新区域，单击属性，然后单击常规选项卡。 b. 在允许动态更新框中，单击仅安全更新（推荐使用）或是。请注意，仅安全更新选项仅在服务器提升到域控制器后才可用。 重复此过程，直到创建完第 1 步中介绍的所有四个区域，并且已允许动态更新。这将允许在 DNS 中动态地注册和取消注册域控制器定位器记录。
3.	另外，还可以创建单个区域或多个区域，然后将它们配置为允许客户端和服务器动态地向 Windows 2000 服务器注册它们自己。例如，可以使用名为 dynamic.reskit.com 的区域通过动态更新来注册网络上所有的客户端和服务器。要配置一个这样的区域，请执行以下操作： a. 在对父区域（例如，reskit.com）具有管理权的非动态 DNS 服务器上，将一个新区域委派到运行 DNS 的基于 Windows 2000 的服务器。例如，将 dynamic.reskit.com 区域委派到 Windows 2000 服务器。 b. 在 Windows 2000 服务器上，为上面委派的区域 (dynamic.reskit.com) 创建一个正向搜索区域。 c. 在 Windows 2000 服务器上，为动态更新启用区域。
4.	必须相应地配置客户端和服务器，以使它们能够在正确的区域中注册它们自己。默认情况下，客户端会向与它们所属的 Windows 2000 域同名的 DNS 区域进行注册。要将 Windows 2000 客户端配置为能够向一个与该客户端所属的 Windows NT 或 Windows 2000 域不同名的区域进行注册，请执行下列步骤： 请注意，这一更改要求在完成更改后重新启动客户端。 a. 右键单击我的电脑，单击属性，然后单击网络标识选项卡。 b. 单击属性，然后单击其它。 c. 单击清除“在域成员身份变化时，更改主 DNS 后缀”复选框。 d. 在“此计算机的主 DNS 后缀”框中，键入适当的区域名。例如，键入 dynamic.reskit.com。 e. 单击确定。 计算机重新启动后，它会动态地在新区域中注册自己。通过使用组策略，也可以将客户端配置为能够在新区域中注册自己。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章： 240942 (http://support.microsoft.com/kb/240942/) Active Directory DNSHostName Property Does Not Include Subdomain 还可以将较低版本的客户端配置为在此区域中进行注册。
5.	当 Windows 2000 域控制器启动时，Netlogon 服务试图在授权区域注册几条 SRV 记录。因为要在其中注册 SRV 记录的区域已经被委派到了一台能够对它们进行动态更新的 Windows 2000 服务器（在第 1 步和第 2 步中），所以这些注册会成功。另外，DC 将会试图在根区域（如 reskit.com）注册其 Netlogon.dns 文件中列出的 A 记录。在这种情况下，由于根区域位于一台非动态 DNS 服务器上，因此这些更新不会成功。DC 上的系统日志中将生成下面的事件： Event Type:Warning Event Source:NETLOGON Event Category:None Event ID: 5773 Date: 3/29/2000 Time:3:16:14 PM User:N/A Computer:DC Description: The DNS server for this DC does not support dynamic DNS.Add the DNS records from the file '%SystemRoot%\System32\Config\netlogon.dns' to the DNS server serving the domain referenced in that file. 此问题的解决方法： a. 每个 Windows 2000 DC 都有 Netlogon.dns 文件，该文件位于它的 %SystemRoot%\System32\Config 文件夹中。该文件包含一个 DNS 记录列表，当 Netlogon 服务启动时，DC 将试图注册这些记录。在进行下面的这些更改之前，最好为该文件创建一个副本，这样您将拥有 DC 试图向 DNS 服务器注册的原始记录的列表。请注意，各个 DC 的记录是不相同的，因为这些记录是特定于各个 DC 上的各个网络适配器的。请检查 Netlogon.dns 文件来识别文件中的所有 A 记录。您可以根据“IN”类别描述符之后的记录类型来识别 A 记录。例如，下面的两项就是 A 记录： reskit.com. 600 IN A 10.10.10.10 gc._msdcs.reskit.com. 600 IN A 10.10.10.10 Netlogon.dns 文件中 A 记录的数量取决于 DC 拥有的适配器的个数、为每个适配器配置的 IP 地址的数量以及 DC 的角色。DC 注册： • 该域名的每个 IP 地址对应于一条 A 记录。 • 如果 DC 也是一个全局编录 (GC) 服务器，则它将为其每个 IP 地址注册 gc._msdcs.DnsForestName。 b. Netlogon.dns 文件中 A 记录的数量取决于 DC 拥有的适配器的个数、为每个适配器配置的 IP 地址的数量以及 DC 的角色。DC 注册：由于非动态 DNS 服务器不会接受域控制器动态注册 A 记录的尝试，因此必须在 DNS 授权服务器（在本文的示例中，就是 reskit.com 区域的授权 DNS 服务器）上手动配置 A 记录。Windows 2000 部署不要求添加与域名（如 reskit.com）相对应的 A 记录；只有当不支持 SRV DNS 记录的第三方 LDAP 客户端查找 Windows 2000 DC 时才需要予以添加。 在 Windows 2000 服务器上的相应区域中，创建步骤 A 中识别出的特定于 GC 服务器的 A 记录。例如，在 _msdcs.reskit.com 区域中为 GC 服务器创建一条 A 记录。 在对区域的根具有管理权的非动态 DNS 服务器上，在根区域（例如 reskit.com）中为步骤 A 中识别出的特定于非 GC 服务器的 A 记录创建 A 记录。例如，在 reskit.com 区域中为 reskit.com 创建一条 A 记录。 c. Netlogon.dns 文件中 A 记录的数量取决于 DC 拥有的适配器的个数、为每个适配器配置的 IP 地址的数量以及 DC 的角色。DC 注册：应使用下面的注册表项来禁止 DC 尝试注册 Netlogon.dns 文件中的 A 记录。在下面的注册表项下，将 REG_DWORD 类型的 RegisterDnsARecords 值设置为 0： HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
6.	此问题的解决方法：一旦您有了适当的 Active Directory 林和域，就应当将 Active Directory 与运行 DNS 的 Windows 2000 服务器所负责的 DNS 域集成起来。此外，您应当重新配置已配置为接受动态更新的区域，使其只接受安全的动态更新。