在NT 4.0计算机上的域与域之间的关系并不像人们想象的那样自然,因为这些计算机域是通过在它们之间存在的一个又一个的安全界线来区分开的。
举个例子来说,如果用户试图访问一个资源,并且域名服务器并不能帮助你找到确认你有效用户身份的那台域控制器,那么,使用者可能会得到一条错误信息的提示,这条提示会告诉你所有的访问都已经被拒绝,或者会告诉你并没有找到此条网络路径。如果出现了上面那种内容的提示信息,对于问题的解决并没有多少实际意义上的帮助。如果你能够知道解决问题的关键是和域名服务器有关的话,你就会知道错误信息实际上是在提示你这是一个有关许可的问题。在知道了这一点以后,使用者必须能够连接到域名服务器上,才能够访问Windows 2000网络上的所需资源。一个网络管理员应该知道在出现什么样问题的情况下,才应当去检查计算机与域名服务器的连接情况。
如果使用者能够连接到域名服务器上,那么域名服务器就会给出它在相应区域中确认的主机名,而这个主机名就是你获取资源所必不可少的。再举一个例子来说明这种情况,如果使用者试图ping出名字是computer2的计算机,并且使用者并没有给出正式域名,那么,域名服务器就会假定你所要PING的这台computer2计算机是在你所处的这个域中的。如果在这个域中没有一台名叫computer2的计算机,那么运行PING 指令后计算机就会提示你连接失败的信息。如果使用者以 computer2.otherdomain.com 这样的主机名进行ping操作的话,那么,域名服务器就会知道如何比较好的操作这个查找过程了。域名服务器通过使用向前以及根线索提示,就会确定主机名为computer2计算机并不在与用户计算机相同的域中,并且会把查找这台计算机的任务转移给别的可能拥有此主机名的域名服务器来进行查找了。依照这样的一个过程,用户就能够正确的连接到这台计算机上面了。
建立和域名服务器的连接
一旦主域名服务器在顶级域中正常的进行工作,你就可以用两种不同的方法来将你的Win2000域连接到域名服务器上去。我在下面分别列除这两种不同的连接方法。
方法一:
在每一个域的Win2000服务器计算机上都能够配置一个针对子域的正向查找区域。而且,在这些子域中的域名服务器都应该能够被配置成为标准的主域名服务器。而在子域的反向查找区域中,也能够被配置成主域名服务器。但是,子域的服务器应该是次一级的服务器,因为用域反向查找区域的主服务器是在TOP.LOCAL这个域中的。千万不要忘记的一点是:对于所有子网中的所有计算机来说,反向查找区域都是完全相同的。这是由于它们是通过IP地址而不是通过域名来进行定位的。所以,在TOP.LOCAL域中的第一号域名服务器都应该被设置成为子区域MIDDLE.TOP.LOCAL 域以及 BOTTOM.MIDDLE.TOP.LOCAL域中的第二号域名服务器。现在,所有的域名服务器都能够通过区域转换过程和别的域的域名服务器进行联系了。
一旦这些正向以及反向查找区域都能够正常的发挥作用以后,那么,所有的区域被转换到活动目录中。操作的时候只需点击此区域属性页面的“转换(change)”按钮就完成了。如果想要测试每一个区域功能是否正常,你可以使用Nslookup这条指令。一个正确的回应应当包括域名服务器以及所要查找计算机的正式域名以及IP地址信息。如果输入该指令后得到的回应提示信息中包含类似于“查找不到…….”的句子,那么,这就是在告诉你,服务器或者用户计算机并没有正确的被配置好。在客户的TCP/IP工具中,有一个管理域名服务器的控制台,并且还有你需要的各种命令提示。在这里,你能够找到所有用来解决域名服务器问题有关的各种信息。多区域以及互动目录综合区域带给你的挑战是关于域数据库从一个服务器到另一个服务器的调用方式的。互动目录综合区域并没有使用标准的区域传递方式。这种标准的区域传递方式限定了每五至十分钟,二级域名服务器就必须从主服务器中进行一次区域传递,而且,这个过程是以一种公告的方式进行的。
活动目录综合区域是通过活动目录复制来进行共享的。对于大家来说,好消息是活动目录复制过程并不对区域传递过程产生任何的影响,并且,对于带宽的使用效率来说,只进行互动目录复制与同时进行目录复制和区域传递相比较,前者更有效率。
但是,事情都是具有两面性的,所以我也不得不向大家说明这么做所带来的不利之处。活动目录只能针对某个域,这本身就是一种局限。这么想是合乎逻辑的,就是在相邻的名字空间中,在最高级层次域中的域名服务器最终将会接到从子域通过复制以及集中而传过来的消息。但是,由于活动目录数据库只在域控制器以及域中的计算机之间共享,所以,最高级的域如何才能最终找到它下面的区域呢?这个问题我们马上就要在方法二中谈及。
方法二:
另一种设置域名服务器的方法是通过区域委托来实现的。要创建一个子域,而且此子域的域名服务器身份确认能够代表在每一个子域中的所有的Win2000服务器。和方法一不同之处在于在最高级域中的第一号域名服务器,一个文件夹结构将会被创建出来,并且这个文件夹结构要和Win2000域结构的活动目录层次完全一致。这个过程包含两个部分。第一部分:New Delegation Wizard(新委托向导)首先创建一个代表服务器,并且为此子域创建一个文件夹。第二部分:这个部分是在子域中的域名服务器上创建一个完全相同的区域。这个过程生成了一种更为直接的让每一个域的域名服务器彼此进行联系的方式。当所有的步骤都已
经完成之后,第一号的域名服务器以及所有经过核准的域名服务器(这些域名服务器都被设置成为区域的名字服务器图标)都拥有了一个层次化的文件夹结构。在这个文件夹结构中包含了多个子文件夹。这种结构映射出了逻辑网络的活动目录层次,并且让所有的域名服务器都能够和彼此之间进行联系。对于任何一个花费时间在活动目录网络上的网络管理员,让所有的域名服务器都能够在彼此之间进行联系,无论对于网络本身还是对于维护网络功能的正常运转来说,都是非常重要的。
总结
在具有多个Win2000域的网络中管理域名服务器需要一份具有前瞻性并且足够认真细致的工作计划。
我在本篇文章中向大家展示了两种能够让Win2000的域与域之间进行联系的方法。这是让我们能够在网络中获取所需资源的基本保证。