将 AD DS 集成到现有的 DNS 基础结构
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
如果你的组织已有现有的域名系统 (DNS) 服务器服务,则 Active Directory 域服务 (AD DS) 的 DNS 的所有者必须与你的组织的 DNS 所有者合作,以将 AD DS 集成到现有基础结构中。 这涉及创建 DNS 服务器和 DNS 客户端配置。
创建 DNS 服务器配置
将 AD DS 与现有 DNS 命名空间集成时,建议执行以下操作:
在林中的每个域控制器上安装 DNS 服务器服务。 如果 DNS 服务器之一不可用,这可提供容错。 这样,域控制器就无需依赖其他 DNS 服务器进行名称解析。 这也简化了管理环境,因为所有域控制器都有统一的配置。
配置 Active Directory 林根域控制器以托管 Active Directory 林的 DNS 区域。
为每个区域域配置域控制器,以托管与其 Active Directory 域对应的 DNS 区域。
配置包含 Active Directory 林范围定位器记录的区域(即 _msdcs.forestname 区域),以使用林范围 DNS 应用程序目录分区将内容复制到林中的每个 DNS 服务器。
注意
当使用 Active Directory 域服务安装向导(我们推荐此选项)来安装 DNS 服务器服务时,所有先前的任务都会自动执行。 有关详细信息,请参阅部署 Windows Server 2008 林根域。
注意
AD DS 使用全林性定位器记录使复制伙伴能够找到彼此并使客户端能够找到全局编录服务器。 AD DS 将全林性定位器记录存储在 _msdcs.forestname 区域中。 由于区域中的信息必须广泛可用,因此通过林范围的 DNS 应用程序目录分区将此区域复制到林中的所有 DNS 服务器。
现有 DNS 结构保持不变。 无需移动任何服务器或区域。 只需从现有 DNS 层次结构创建对 Active Directory 集成 DNS 区域的委托即可。
创建 DNS 客户端配置
若要在客户端计算机上配置 DNS,AD DS 所有者的 DNS 必须指定计算机命名方案以及客户端查找 DNS 服务器的方式。 下表列出了针对这些设计元素的建议配置。
| 设计元素 | 配置 |
|---|---|
| 计算机命名 | 使用默认命名。 当使用 Windows 操作系统的计算机加入域时,计算机会为自己分配一个完全限定的域名 (FQDN),其中包含计算机的主机名和 Active Directory 域的名称。 |
| 客户端解析程序配置 | 将客户端计算机配置为指向网络上的任何 DNS 服务器。 |
注意
Active Directory 客户端和域控制器可以动态注册其 DNS 名称,即使它们未指向对其名称具有权威性的 DNS 服务器。
如果组织以前在 DNS 中静态注册了计算机,或者组织以前部署了集成的动态主机配置协议 (DHCP) 解决方案,则计算机可能具有不同的现有 DNS 名称。 如果客户端计算机已经注册了 DNS 名称,当它们加入的域升级到 Windows Server 2008 AD DS 时,它们将有两个不同的名称:
现有 DNS 名称
新的完全限定的域名 (FQDN)
仍可按任一名称对客户端进行定位。 任何现有的 DNS、DHCP 或集成的 DNS/DHCP 解决方案保持不变。 新的主要名称是自动创建的,并通过动态更新进行更新。 它们通过清理进行自动清理。
如果要在连接到运行 Windows 2000、Windows Server 2003 或 Windows Server 2008 的服务器时利用 Kerberos 身份验证,则必须确保客户端使用主要名称连接到服务器。