Windows 2000的活动目录同DNS的紧密结合,为Windows 2000的广泛应用提供了很好的现实基础。通过在实际需求中的应用,可以更好地理解活动目录和DNS的关系。
下面将通过实例的分析较深入地了解上述的关系,并提供处理相关问题的一些思路。
1.网络环境
本应用是通过一个域控制器来集中管理整个网站系统、后台域服务用户和安全策略,采用的是“单主域控制器结构”。域控制器完成域用户认证与管理和安全策略的设定,以及运行的管理。域中各应用服务器的所有应用按照需求,向域控制器请求运行账户的认证。此域控制器提供了和活动目录结合的DNS,用于解析域中的各主机名。
域名为:CCFBJ.com。
原域控制器主机名:PDC.CCFBJ.com(安装活动目录,在下文中简称“原域控制器”)。
额外的域控制器主机名:PDCA.CCFBJ.com(安装活动目录,在下文中简称“新域控制器”)。
现象:在进行此域中的服务器设备调整时,在保证原有用户信息的完整迁移的前提下,更换域控制器;具体方法是:在域中添加“额外的域控制器” (即“新域控制器”)实现“多主控复制”,然后修改域中的“操作主机”角色,用新的域控制器代替原来的域控制器,实现服务器设备调整的不间断操作(即迁移)。问题出现在,向域中添加“额外的域控制器”(即“新域控制器”)时,进行相应添加的服务器的活动目录安装过程中,出现“CCFBJ.com域名不能解析,或不存在”提示。
2.分析
(1)确保“新域控制器”已加入CCF.com域,作为域中的独立服务器。
(2)网络配置:“新域控制器”必须设置DNS服务器,指向“原域控制器”。通过Ping检查域名和ns lookup命令检查DNS的SRV记录,得以确认。当前,存在问题的情况下,只能解析“原域控制器”的NETBIOS名称。
(3)由于域中不存在其他服务器提供DNS解析,因此不能使用“Windows 2000帮助”中提供的“域命名主机故障”处理方式,即“占用域命名主机角色”。
(4)检查DNS的配置,即相应的配置文件(Boot.dns且位于本机的WinntSystem32Dns文件夹中的文本文件)。在此配置文件中发现,CCF.com的DNS设置中,“名称服务器”的参数有误。
(5)在“原域控制器”上使用,Windows 2000 Resource Kit中提供的域控制器(DC)诊断工具DcDiag.exe,选择“Registry In DNS”项目测试。运行后得到的结果是:CCF.com在DNS中的设置异常,不能正确解析。
(6)如果条件容许的话,可以配置一个仿真环境,比较其中的配置差异。
3.解决及结论
由于此域中的运行服务账户数量较少,而且由于时间紧迫,故采用重新安装和配置“新域控制器”的方式实现域控制器的设备更换;作者认为这绝不是最佳的解决方式。但是,需要对造成上述问题的原因,得到准确的结论后,才能真正解决。作者在这里只是提出自己的分析结果,希望能得到更完整和更准确的结论。
问题的关键在于“原域控制器”DNS的配置数据有误,不能正确解析指定的域名;由于与活动目录的紧密结合,故相应配置数据的修改必须考虑活动目录和DNS两个方面。此
问题的产生,可以认为是在“原域控制器”活动目录的安装过程中的异常操作或手动添加、修改DNS区域中的静态资源记录时发生错误造成的。对于活动目录配置DNS,请注意新的
目录集成功能。如果DNS数据库是活动目录集成的(与那些用于传统的基于文件的存储不同),那么这些功能可能产生与Windows 2000 DNS服务器的默认配置不同的设置。
在Windows 2000的活动目录中,命名策略基本按照Internet标准来实现,遵照DNS和 LDAP3.0两种标准,活动目录中的“域”和DNS系统中的“域”采用完全相同的命名方式,即活动目录中的域名就是DNS域名。那么在活动目录中依赖于DNS作为定位服务,实现将名字解析为IP地址。所以当我们利用Windows 2000构建活动目录时,必须同时安装配置相应的DNS,无论用户实现IP地址解析还是登录验证,都利用DNS在活动目录中定位服务器。 Windows 2000的活动目录同DNS的紧密结合,意味着活动目录非常适合于企业的Internet和Intranet环境。
