在NT 4.0计算机上的域与域之间的关系并不像人们想象的那样自然,因为这些计算机域是通过在它们之间存在的一个又一个的安全界线来区分开的。这些域只要在经过了对域与域之间的信任关系过程设置之后就可以互相的看见对方了。但是,对于那些使用DNS(域名服务器)的计算机网络来说,随意的配置NT4的域与域之间的信任关系可能会引起管理权限上的一些问题。这是由于NT4的域并不能够识别域名服务器设置的层次结构,并且域名服务器也并不能识别NT域的结构。
幸运的是,随着微软公司推出了活动目录以及Windows 2000操作系统,微软公司在配置域的结构方面已经取得了非常重大的突破。而且,支配着域名服务器领域(当然也包括国际互联网)的标准(FQDN)现在也能够运用到使用Windows 2000操作系统的计算机域中去了。
而在这个过程中当然也有不那么令人满意的消息。这就是,在Win2K操作系统中的域名服务器必须被非常小心的进行配置,而且在你配置的不同域里面的计算机不应该能够连结到别的域中的计算机上。当你在进行上边那些配置的时候,要注意的最为重要的一点就是,活动目录是和域名服务器一样,都是具有层次化结构的。下面,就让我们来看一看当网络中有多个Windows 2000域的时候,如何来正确的配置我们的域名服务器。
在我的Windows 2000实验室拓扑结构中,我以一个具有三个域的活动目录树作为开始。我把主域名服务器置于父域中。我将会把这个域称作TOP.LOCAL,这并不是一个合法的正式域名,但是它也并不需要成为一个合法的正式域名。我做实验的这个实验室并没有直接的连接到国际互联网上,所以我的命名结构并不一定要被注册成为一个正式的域名。而我把子域命名为MIDDLE.TOP.LOCAL,并且这个子域的子域被我按照顺序命名为BOTTOM.MIDDLE.TOP.LOCAL。这就是构成我们域树结构的临近名字空间。
图示一:
Windows 2000 的域结构
由于在一些域名服务器中必须留有适当的位置来安装活动目录,所以我会从最顶端的位置来开始我的实验演示。在TOP.LOCAL域中的域名服务器,为了能够留出一个被称之为TOP.LOCAL的正向查找区域,我专门设置了一个主域名服务器来负责这些工作。我还得使用网络地址来设置一个负责反向查找的主域名服务器。并且,我设置了一些综合性的标准区域来代替活动目录。设置这些综合性标准区域的目的是为了出现故障的时候能够快速的进行故障处理工作。我希望能够确定的一点是,这些为了将来排除故障而专门预留的区域必须在活动目录加入之前能够正常的工作。而且大家同样必须予以关注的一点是,我还没有开始给子域设置地址。