下面是对其中遇到的几点问题的总结:
问题一:新建的子域区域(china.contoso.com)下没有_msdcs, _sites, _tcp, _udp和DomainDnszones这样的子文件夹。
原因:新的子域(china.contoso.com)的DNS信息在DNS服务上丢失,可能是由于出现过删除重建DNS区域的操作。
解决办法:重新注册DNS信息。登录到子域(chian.contoso.com)的DC上,运行命令'ipconfig /flushdns’和'ipconfig /registerdns’。
问题二:父域的DNS区域(contoso.com)没有出现在子域AD的DNS服务器上。
原因:父域的DNS区域(contoso.com)的复制范围设置错误。应该把复制区域设置为整个contoso.com森林里的所有DNS,而不是整个contoso.com域中的DNS服务器或者contoso.com域中的所有DC。
解决办法:在父域(contoso.com)的DNS服务器上右键点击父域的DNS区域(contoso.com),选择属性,修改复制选项。
问题三:在解决问题二的时候,可能会遇到如下错误提示:
原因:储存在林和域中的DNS区域信息有重复,需要手工删除重复的。
解决办法:首先安装support tools (Windows 2003光盘中有),然后按照需要进行修改。
如果需要删除存在于林中DNS区域信息:
单击 开始 ,单击 运行 ,键入 adsiedit.msc ,然后单击 确定 。
控制台树中右键单击 ADSI 编辑 ,然后单击 连接到 。
单击 选择 或键入一个可分辨名称或命名上下文,在列表中键入以下文本并单击 确定 :
DC = ForestDNSZones DC = contoso,DC = com
在此控制台树双击 DC = ForestDNSZones DC = contoso,DC = com。
双击 CN = MicrosoftDNS ,单击区域 (contoso.com)。 您现在能够在此 DNS 分区中查看存在的 DNS 记录。 如果您希望删除此分区,请右键单击 contoso.com,然后单击 删除 。
请注意 删除区域是破坏性操作。 在执行删除操作之前请确认重复区域存在。
重新启动DNS服务。
重新启动 Net Logon 服务。
运行'ipconfig/flushdns’和 ‘ipconfig/registerdns’。
如果需要删除存在于域中的DNS区域信息:
单击 开始 ,单击 运行 ,键入 adsiedit.msc ,然后单击 确定 。
控制台树中右键单击 ADSI 编辑 ,然后单击 连接到 。
单击 选择或键入一个可分辨名称或命名上下文 ,在列表中键入以下文本然后单击 确定 : DC = DomainDNSZones,DC = contoso,DC = com 。
在此控制台树双击 DC = DomainDNSZones,DC = contoso,DC = com
双击 CN = MicrosoftDNS ,单击区域 (contoso.com)。 您现在能够在此 DNS 分区中查看存在的 DNS 记录。 如果您希望删除此分区,请右键单击 contoso.com,然后单击 删除 。
请注意 删除区域是破坏性操作。 在执行删除操作之前请确认重复区域存在。
重新启动DNS服务。
重新启动 Net Logon 服务。
运行'ipconfig/flushdns’和 'ipconfig/registerdns’。
如果需要删除存在于DC中的DNS区域信息:
单击 开始 ,单击 运行 ,键入 adsiedit.msc ,然后单击 确定 。
控制台树中右键单击 ADSI 编辑 ,然后单击 连接到 。
单击 选择 或键入一个可分辨名称或命名上下文,在列表中键入以下文本并单击确定:
DC = contoso,DC = com
在此控制台树双击 DC = contoso,DC = com 双击 CN = System 。
双击 CN = MicrosoftDNS ,单击区域 (contoso.com)。 您现在能够在此 DNS 分区中查看存在的 DNS 记录。 如果您希望删除此分区,请右键单击 contoso.com,然后单击 删除 。
请注意 删除区域是破坏性操作。 在执行删除操作之前请确认重复区域存在。
重新启动DNS服务。
重新启动 Net Logon 服务。
运行'ipconfig/flushdns’和 ‘ipconfig/registerdns’。
如果您可希望创建一个子域,然后将域名系统 (DNS) 名称空间委派给位于此子域中的一个域控制器。请根据以下步骤操作:
1. 在父(根)DNS 服务器上为子域手动创建一个委派。
2. 在子域服务器上安装 DNS。
3. 在子域服务器上创建子区域。
4. 启用动态更新。
5. 提升子域服务器。
如果设计了委派,而不将子域dns转发到父域,那么默认状态下,子域中的计算机无法解析父域资源;如果森林中还存在其他林,则当前子域中的计算机无法解析其他子域的资源。(当然,您也可以做stub zone)
要在子域做转发,操作请参考 http://support.microsoft.com/kb/814591/zh-cn
是这样的域中dns或者其他的it架构设计,就像程序设计一下,要具有模块化,而不要随意跳转。
标准的dns架构应该是这样,有一个设备接驳internet,这通常是网关,它通常应该具备dns转发或者cache功能。那么root dns就将外部dns请求转发给它,其他企业内部的dns由自己来解析。子域的dns就将其他域或者internet dns请求转发给root dns,子域的dns解析自己来做。
那么当子域的dns client发起一个internet dns请求时,就是先查询子域dns,子域dns转发到root dns,root dns转发给网关。
如果网关或者相应的接驳设备,并没有dns解析或者转发功能,那么root dns就可以直接转发给isp dns。
这么做就比较规整了。
当然任何一台dns,无论是子域还是父域,都会缓存来自dns client的查询结果。在dnsmgmt.msc中勾选高级查看模式,就可以看到那些缓存的记录了。
创建子域时,子域第一DC的DNS都是指向根域第一DC,但我觉得这在实际环境中不太合理.
我们都知道创建子域很多情况是因为企业有分割两地的局域网络,即它们之间是穿越公网的,这时候就希望划分多域环境进行分散管理(当然这时候站点也需要做相应规划,在此就省略讨论站点了),在划分多域环境后,如果每个域的DNS都指向根域,那么根域DNS的负载会很大,而且由于域之间是低速链路,每次域内的DNS查询都要穿过低速链路,会造成DNS查询的严重滞后.(比如,登陆域时,定位DC会很慢),因此我觉得应该在子域上建立自己的DNS服务器,同时把DNS指向域内的DNS服务器.具体如下:
比如:根域是book.com,根域DC是beijing1.book.com;
子域是nj.book.com,子域DC是nanjing1.nj.book.com
在根域的DNS上设置子域委派,委派nj.book.com区域由子域DNS服务器负责
在子域中创建DNS服务器,并建立nj.book.com区域;然后设置转发器转发book.com;
把要安装子域DC的服务器的DNS指向刚才才创建的DNS服务器,即本域中的DNS服务器.然后安装 AD向导安装DC就可以了.安装完成后,DNS区域中的记录应该都会出现.这时候分别在根域和子域中 使用NSLOOKUP检测一下是否可以解析book.com和nj.book.com区域的记录.如果都成功,基本上就OK了.