解析DNS对Windows 2008域环境的影响

    从功能上来看，活动目录与DNS八杆子打不到一起。但是DSN与活动目录是不可分割的。或者说，如果离开了DNS，那么Windows2008域环境将无法工作。这主要是因为活动目录需要利用DNS进行资源的查找，从客户登陆到全局目录查找，都离不开DNS。所以对于需要部署或者升级AD的系统管理员来说，必须要深入了解DNS与活动目录这种息息相关的特性。在这篇文章中对此做一番分析。不过师傅领进门，修行还靠自身。

　　一、冗余DSN确保域环境的安全

　　有域管理经验的用户一定知道，如果DSN出现问题，那么就可能会给活动目录环境带来毁灭性的灾难。2008的域环境也是如此。因为域环境中所有服务器和客户端都需要经常性的彼此进行相互查找。如客户端要使用打印机或者登陆到某个文件服务器，都需要进行查找。在这个过程中，如果DNS出现问题，导致名称解析服务中断，那么就会严重影响到活动目录的功能。

　　为此为了提高域环境的安全，推荐在任何活动目录域环境中都必须安装冗余的DSN设备(这不是强制的，但是笔者强烈建议这么处理)。如果不具备这个条件的话，也需要考虑复制DSN主区域，并借像重视保护全局目录AD索引一样来保护DNS。也就是说，DNS就是域环境的生命线。另外，建立对AD集成的区域进行安全更新，并且设计网络时让DHCP服务器与域控制器向分离。这些措施都有利于提高DNS服务器的安全。

　　二、非微软DNS与2008域环境的集成

　　在实际工作中可能由于种种原因，没有将DNS服务器部署在Windows2008系统上，甚至没有部署在微软的操作系统中。如DNS服务器可能采用的是Unix系统等等。在这种情况下，非微软的DNS能够对2008域环境提供支持吗?答案是肯定的。

　　在2008域环境中，特定编写的活动目录域服务器能够与非微软的DNS实现共存。不过这有一个前提。这个DNS服务必须支持活动更新和SRV纪录。换句话说，DNS服务可以运行在各种其所能够支持的操作系统上。但是如果要跟2008域环境集成的话，必须支持更新和SRV纪录。否则的话，2008活动目录不能够通过这个DNS来实现查找功能。

　　不过微软的专家并不建议这么做。他们强烈推荐在2008域环境中，最好将DNS服务部署在Windows2008操作系统上。因为采用相同的操作系统环境，在功能、稳定、安全等层面上会有额外的收货。如操作系统版本不同或者品牌不同，则有些功能会受到一定的限制。

　　其次如果用户所采用的DNS版本比较低或者说不原意将活动目录客户程序直接驻留在企数据库中(有时候出于硬件的限制会采取这种措施)时，系统管理员可以简单的将活动目录DNS授权给可以在其中充当权威服务器的分离的区域。然后再由Windows2008操作系统摄之道外部DNS实现的转发器。此时就可以提供对原始区域中资源的解析。在实际工作中，这是经常采用的一种方法。对于企业中没有独立的DNS服务器或者非微软的DNS服务器中组建活动目录环境具有很大的帮助。