在从 Windows 2000 升级到 Windows Server 2003 时，如何将 _msdcs 子域重新配置为全林性 DNS 应用程序目录分区

本文分步介绍了在将运行 DNS 服务器服务的域控制器从 Microsoft Windows 2000 升级到 Microsoft Windows Server 2003 时，如何在林中每台 DNS 服务器上的可用 _msdcs.ForestName DNS 区域下创建全林性定位器记录。

背景信息

Windows 2000 行为

当运行 Microsoft Windows 2000 的服务器被提升为新 Active Directory 目录服务林中的第一个域控制器时，Windows 2000 Active Directory 安装向导 (Dcpromo.exe) 会创建一个以林 (ForestName) 中第一个域命名的 DNS 正向查找区域，并创建一个名为 _msdcs.ForestName 的子域。例如，如果 Active Directory 林名称为 reskit.com，则安装向导会创建 reskit.com DNS 区域，并会创建 _msdcs.reskit.com 子域作为林根域区域的子集。

林域区域主持域中每个 Active Directory 域控制器的 DNS 资源记录。_msdcs.ForestName 子域主持 Active Directory 林中所有域控制器的域控制器定位器 DNS 资源记录。它还可用于在 Active Directory 域或 Active Directory 林中定位具有特定角色的域控制器，如果域已重命名，则可通过搜索域控制器的 GUID 来定位它。

Windows Server 2003 行为

在基于 Windows Server 2003 的域控制器上创建新 Active Directory 林的 DNS 根域时，会自动创建两个 DNS 区域。其中一个区域用于林根域；可在该域中的所有域控制器间复制该区域。创建的另一个区域用于 _msdcs.ForestName 子域；该区域存储在全林性 DNS 应用程序目录分区中。该分区可复制到林中运行 Windows Server 2003 DNS 服务器服务的基于 Windows Server 2003 的域控制器。

将域控制器从 Windows 2000 升级到 Windows Server 2003

从 Windows 2000 升级到 Windows Server 2003 时，不会修改 DNS 区域配置，并且 _msdcs.ForestName 区域以下列任一方式存储在基于 Windows Server 2003 的域控制器中：

• 案例 1：_msdcs.ForestName 区域是与 Active Directory 集成的林根 DNS 区域的一个子域，_msdcs.ForestName 辅助区域存储在子域中（如果子域存在）。
• 案例 2：_msdcs.ForestName 是与 Active Directory 集成的林根 DNS 区域的一个子域。

林根域中的所有 DNS 服务器运行 Windows Server 2003 DNS 服务器服务后，配置 ForestName 区域，使之存储到与 Active Directory 集成的全域性应用程序分区中。同样，配置 _msdcs.ForestName 域名的 DNS 记录，使之存储到单独的 _msdcs.ForestName 区域（该区域位于与 Active Directory 集成的全林性应用程序分区中）中。

案例 1：将全域性 _msdcs.ForestName 区域配置为全林性 DNS 应用程序目录分区

1. 在 DNS 控制台中，右键单击“_msdcs.ForestName”区域，然后单击“属性”。
2. 在“常规”选项卡上，记下当前区域复制类型，然后执行下列操作之一：
   • 如果该类型不在全林性复制作用域内，请单击“更改”，然后转至步骤 3。
   • 如果该类型在全林性复制作用域内，请跳过此步骤，转至步骤 4。
3. 选择该区域的全林性复制作用域。
4. 删除子域中存储的所有 _msdcs.ForestName 辅助区域。

注意：

• 要执行此过程，您必须是 Active Directory 中 DnsAdmins 或 Domain Admins 安全组的成员，或者已委派给您适当的授权。作为安全最佳做法，可考虑使用“Secondary Logon service”命令来执行此过程。可以通过内置的 Runas.exe 命令来访问此命令。
• 在将区域存储区从域分区更改为应用程序目录分区时（例如，在一个现有的 Windows 2000 域中提升新的基于 Windows Server 2003 的域控制器后），具有域命名主机角色的域控制器必须正在运行 Windows Server 2003，这样才能使用 DNS 应用程序目录分区。如果在将区域存储区从域分区更改为应用程序目录分区时收到错误，那么请将域命名主机角色转移到正在运行 Windows Server 2003 的域控制器，并创建默认的 DNS 应用程序目录分区，然后重试。
• 在新的全林性区域传播到林中所有 DNS 服务器的应用程序分区后，请删除以前的辅助区域。要删除该区域，请在 DNS 控制台中右键单击它，然后单击“删除”。
• 只能对每个林的区域复制类型更改一次；不过，必须从每个 DNS 服务器中分别删除辅助区域。

案例 2：将 Windows 2000 _msdcs 子域配置为存储在全林性 DNS 应用程序目录分区中的 Windows Server 2003 区域

以下步骤假定已在提升基于 Windows 2000 的域控制器时创建了 Active Directory 林根域的 DNS 区域，并且主持 DNS 服务器的林根域中的所有域控制器已升级到 Windows Server 2003。

下面简要介绍了用于配置子域的过程。简要说明后将详细介绍此过程。

1. 使用单个根域控制器的 IP 地址，在林中所有域控制器的网络连接中配置主 DNS 服务器设置。
2. 为 Active Directory 林名称创建 _msdcs 区域，然后将 _msdcs.ForestName 区域存储到 DNS 全林性应用程序目录分区中。
3. 强制进行复制。
4. 删除旧的 _msdcs 子域。
5. 将林中所有域控制器的网络连接中的主 DNS 服务器设置恢复为其以前的设置。

注意：

• 默认情况下，只有 Enterprise Admins 安全组的成员才能创建 DNS 应用程序目录分区。
• 在将区域存储区从域分区更改为应用程序目录分区时（例如，在一个现有的 Windows 2000 域中提升新的基于 Windows Server 2003 的域控制器后），具有域命名主机角色的域控制器必须正在运行 Windows Server 2003，这样才能使用 DNS 应用程序目录分区。如果在将区域存储区从域分区更改为应用程序目录分区时收到错误，那么请将域命名主机角色转移到正在运行 Windows Server 2003 的域控制器，并创建默认的 DNS 应用程序目录分区，然后重试。

要向单个根域控制器注册所需的记录，请在所有域控制器上重新启动 Net Logon 服务。如果复制时段不小于默认的 DNS 生存时间 (TTL) 项，则复制可以正常进行。要重新启动 Net Logon 服务，请按照下列步骤操作：

1. 单击“开始”，单击“运行”，在“打开”框中键入 cmd，然后按 Enter。
2. 在命令提示符处，键入以下命令，然后按 Enter：
   net stop netlogon
3. 键入 net start netlogon，然后按 Enter。

如果尚未安装 _msdcs 子域，或者 TTL 小于复制时段，请按照下列步骤操作以便将 _msdcs 子域配置为一个存储在全林性 DNS 应用程序分区中的区域：

1. 在林中的所有域控制器上，修改所有域控制器中的网络连接配置，以指向单个 DNS 服务器：
   1. 依次单击“开始”、“控制面板”、“网络和 Internet 连接”，然后单击“网络连接”。
   2. 右键单击要配置的网络连接，然后单击“属性”。
   3. 在“常规”选项卡上（用于局域网连接），单击“Internet 协议 (TCP/IP)”，然后单击“属性”。
   4. 确保启用了“使用下面的 DNS 服务器地址”。
   5. 记下“首选 DNS 服务器”框中显示的现有 IP 地址。（在此过程后面的步骤中将需要该地址。）
   6. 在“首选 DNS 服务器”框中，键入正在运行 DNS 服务器服务的单个根域控制器的 IP 地址。
   7. 单击“确定”。
   注意：对于大型部署，可能需要创建一个脚本，以便配置单个根域控制器的 IP 地址，使之成为所有域控制器上的“首选 DNS 服务器”设置。
   
   重要说明：对于林中的所有域控制器，必须使用相同的单个根域控制器 IP 地址。进行此配置旨在确保林中的所有域控制器均可将它们的 DNS 资源记录注册到同一 _msdcs.ForestName 区域副本中。
2. 使用 Enterprise Admins 安全组成员帐户登录到基于 Windows Server 2003 的根域控制器。
3. 确保基于 Windows Server 2003 的域控制器具有域命名主机角色。
4. 确保当前主持主要区域中 _msdcs.ForestName 子域的所有 DNS 服务器正在运行 Windows Server 2003。
5. 启动 DNS 控制台。为此，请单击“开始”，单击“运行”，键入 dnsmgmt.msc，然后单击“确定”。
6. 在 DNS 控制台中，右键单击“正向查找区域”，然后单击“新建区域”。单击“下一步”。
7. 在新建区域向导中的“区域类型”页中，单击“主要区域”，然后单击以选中“在 Active Directory 中存储区域”复选框。单击“下一步”。
8. 在“Active Directory 区域复制作用域”页中，单击“至 Active Directory 林 ForestName 中的所有 DNS 服务器”。
9. 在“区域名称”页上的“区域名称”框中，键入 _msdcs.ForestName。
10. 接受所有默认选项，以完成该向导。
    
    即创建了区域，Net Logon 服务使用本地域控制器的 _msdcs.ForestName 资源记录装入该区域。
11. 现在，即可通过在林中配置的复制计划和路径，将该区域复制到复制作用域内的所有其他 DNS 服务器中，也可强制进行复制。要强制进行复制，可使用 Active Directory 站点和服务，也可使用 Repadmin.exe 工具：
    • 要使用 Active Directory 站点和服务，请按照下列步骤操作：
      1. 打开“Active Directory 站点和服务”。
      2. 在控制台树中，单击要强制从其进行复制的服务器的“NTDS 设置”。
      3. 在详细信息窗格中，右键单击要通过其复制目录信息的连接，然后单击“立即复制”。
    • 要使用 Repadmin.exe 工具，请按照下列步骤操作：
      1. 使用安装的支持工具打开命令提示符。
      2. 在命令提示符处键入以下内容，然后按 Enter：
         repadmin /syncall
         这将同步所有目录分区。
12. 从升级前创建旧的 _msdcs 子域的区域中删除该子域。为此，请按照下列步骤操作：
    1. 打开 DNS 控制台。
    2. 在控制台树中，展开包含 _msdcs 子域的区域。
    3. 右键单击 _msdcs 子域文件夹，然后单击“删除”。
    注意：不强制执行此步骤，因为 DNS 服务器服务将使用新的 _msdcs 区域应答所有以 _msdcs 开头的名称查询。Microsoft 建议您删除旧的 _msdcs 子域，以使 DNS 数据库更有条理。
13. 确认对林中所有域控制器执行复制操作后，请在林中的所有域控制器上执行下面的网络连接配置：
    1. 依次单击“开始”、“控制面板”、“网络和 Internet 连接”，然后单击“网络连接”。
    2. 右键单击要配置的网络连接，然后单击“属性”。
    3. 在“常规”选项卡上（用于局域网连接），单击“Internet 协议 (TCP/IP)”，然后单击“属性”。
    4. 确保选中了“使用下面的 DNS 服务器地址”，然后在“首选 DNS 服务器”框中，键入前面使用的 IP 地址（即在步骤 1e 中记下的地址）。
    5. 单击“确定”。

注意：在 Windows Server 2003 SP1 中，当创建一个已位于现有区域下的新的正向查找区域时，向导会在该现有区域下自动创建一个新的委派。