童话

Windows 2000 Server DNS维护一点通
　　在设置使用Windows 2000 Server服务的时候，维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
　　
　　一、使用Dnscmd方便维护DNS系统
　　
　　与UNIX或脚本命令类似，Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序，它用来管理DNS服务器。
　　
　　该工具可用于不同任务：
　　
　　1.创建脚本或批处理文件，使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
　　
　　2.更新资源记录。
　　
　　3. 建立并配置新的DNS服务器。
　　
　　Dnscmd的安装很简单：
　　
　　1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意，Win 2000 Professional光盘中不存在这个程序。
　　
　　2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
　　
　　二、用好Ping命令
　　
　　相信大家对Ping命令都比较熟悉，它使用ICMP协议检查网络上特定IP地址的存在，一个DNS域名也是对应一个IP地址的，因此下面的命令可以检查一个DNS域名的连通性：
　　
　　Ping
www.kwsoffice.com
　　
　　假如一客户端不能解析DNS域名，使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通，说明该客户端有问题，如果后者可以Ping通，则说明DNS配置错误或DNS服务器错误。
　　
　　三、用Ipconfig设置DNS
　　
　　直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
　　
　

　　该命令还可以手工更新一个客户的DNS注册，排除DNS名称注册失败的故障，或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障，因为该命令将刷新DHCP的租约并注册计算机的主机名。
　　
　　四、使用Nslookup诊断
　　
　　Nslookup是诊断DNS的实用程序，它允许与DNS以对话方式工作并让用户检查资源记录，它也在命令行上运行，语法如下：
　　
　　Nslookup ?-option??hostname? server?
　　
　　-option?指定一个或多个命令行选项。例如要列出命令清单。
　　
　　Hostname：使用用户指定的主机名，缺省使用用户指定的服务器。
　　
　　Server：使用用户指定的DNS服务器，缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
　　
　　例如，命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外，Nslookup还有其它功能，如检查一个区域内的资源记录、检查是否回应请求。例如，执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
　　
　

　　当然，它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等，这些在命令的帮助信息中都有，好好看看能有不少新的发现。
　　
　　注意： 执行Nslookup后，系统提示符将变成“>”形式，表示已经进入对话方式，直接键入HELP可以看到所有可用命令，键入EXIT可以退出返回到DOS命令提示符下。
　　
　

　　五、查看Logging日志了解DNS工作状况
　　
　　DNS管理器允许用户配置附加的日志选项，内容包括：查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录，在DNS服务器上单击右键，选择“属性”、“日志”即可，你可以看到下面提示的日志文件的名称和位置。
　　
　

　　使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力，以此来帮助排除解析故障
　　
　　六、通过DNS管理器监视
　　
　　采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键，选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容：
　　
　　简单查询：查询测试DNS服务器正向搜索（映射一个IP地址的名称）的能力。
　　
　　递进查询：查询测试DNS服务器反向搜索（映射一个名称的IP地址）的能力。
　　
　　测试结果就在窗口中，以“通过”或“失败”“论英雄”。
　　

　　你还可以设置一定的时间间隔内的自动DNS查询测试，这在建立DNS初期很有实际意义。注释掉的------>Windows 2000 Server DNS维护一点通
　　在设置使用Windows 2000 Server服务的时候，维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
　　
　　一、使用Dnscmd方便维护DNS系统
　　
　　与UNIX或脚本命令类似，Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序，它用来管理DNS服务器。
　　
　　该工具可用于不同任务：
　　
　　1.创建脚本或批处理文件，使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
　　
　　2.更新资源记录。
　　
　　3. 建立并配置新的DNS服务器。
　　
　　Dnscmd的安装很简单：
　　
　　1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意，Win 2000 Professional光盘中不存在这个程序。
　　
　　2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
　　
　　二、用好Ping命令
　　
　　相信大家对Ping命令都比较熟悉，它使用ICMP协议检查网络上特定IP地址的存在，一个DNS域名也是对应一个IP地址的，因此下面的命令可以检查一个DNS域名的连通性：
　　
　　Ping

www.kwsoffice.com

　　
　　假如一客户端不能解析DNS域名，使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通，说明该客户端有问题，如果后者可以Ping通，则说明DNS配置错误或DNS服务器错误。
　　
　　三、用Ipconfig设置DNS
　　
　　直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
　　
　

　　该命令还可以手工更新一个客户的DNS注册，排除DNS名称注册失败的故障，或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障，因为该命令将刷新DHCP的租约并注册计算机的主机名。
　　
　　四、使用Nslookup诊断
　　
　　Nslookup是诊断DNS的实用程序，它允许与DNS以对话方式工作并让用户检查资源记录，它也在命令行上运行，语法如下：
　　
　　Nslookup ?-option??hostname? server?
　　
　　-option?指定一个或多个命令行选项。例如要列出命令清单。
　　
　　Hostname：使用用户指定的主机名，缺省使用用户指定的服务器。
　　
　　Server：使用用户指定的DNS服务器，缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
　　
　　例如，命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外，Nslookup还有其它功能，如检查一个区域内的资源记录、检查是否回应请求。例如，执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
　　
　

　　当然，它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等，这些在命令的帮助信息中都有，好好看看能有不少新的发现。
　　
　　注意： 执行Nslookup后，系统提示符将变成“>”形式，表示已经进入对话方式，直接键入HELP可以看到所有可用命令，键入EXIT可以退出返回到DOS命令提示符下。
　　
　

　　五、查看Logging日志了解DNS工作状况
　　
　　DNS管理器允许用户配置附加的日志选项，内容包括：查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录，在DNS服务器上单击右键，选择“属性”、“日志”即可，你可以看到下面提示的日志文件的名称和位置。
　　
　

　　使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力，以此来帮助排除解析故障
　　
　　六、通过DNS管理器监视
　　
　　采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键，选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容：
　　
　　简单查询：查询测试DNS服务器正向搜索（映射一个IP地址的名称）的能力。
　　
　　递进查询：查询测试DNS服务器反向搜索（映射一个名称的IP地址）的能力。
　　
　　测试结果就在窗口中，以“通过”或“失败”“论英雄”。
　　

　　你还可以设置一定的时间间隔内的自动DNS查询测试，这在建立DNS初期很有实际意义。

童话

Win2000动态DNS的安全应用策略
　　Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
　　
　　一、安全动态更新
　　
　　在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
　　
　　与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。
　　
　　在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。
　　
　　下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
　　
　　1．Windows2000本机模式
　　
　　在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。
　　
　　当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。
　　
　　第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。
　　
　　第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。
　　
　　2．Windows2000混杂模式
　　
　　在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
　　
　　先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。
　　
　　3．安全动态更新
　　
　　在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。
　　
　　Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义.
　　
　　二、区域
　　
　　1．区域的类型
　　
　　Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
　　
　　主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
　　8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。
　　
　　如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。
　　
　　2．区域传输或复制的类型
　　
　　Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
　　
　　当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
　　
　　多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。
　　
　　多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。
　　
　　3．区域传输的安全
　　
　　如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
　　
　　当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。
　　
　　在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。
　　
　　当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。
　　
　　三、活动目录集成DNS 区域
　　
　　在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。
　　
　　1．文件系统
　　
　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
　　前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
　　
　　NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
　　
　　NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
　　
　　2．注册表
　　
　　使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
　　
　　3．Enterprise管理员和Schema管理员组
　　
　　在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。
　　
　　4．加密文件系统
　　
　　Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
　　
　　5．活动目录中的DNS
　　
　　DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。
　　
　　DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。
　　
　　如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。
　　
　　6．资源记录的所有权
　　
　　DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。
　　
　　7．WINS查找
　　
　　作为Windows2000最终的告诫，我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢？对所有非Windows2000客户，NetBios解析仍是必需的。同样，所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中：WINS和WINS-R。这分别为WINS做正向和反向记录查找。
　　
　　四、结论
　　
　　总之，理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。注释掉的------>Win2000动态DNS的安全应用策略
　　Windows2000 域名解析是基于动态DNS，动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下，动态DNS是与DHCP、WINS及活动目录（AD）集成在一起的。在Windows 2000的域下有三种实现DNS的方法：与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后，我们可以利用Windows2000网络中的三个重要安全特性：安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
　　
　　一、安全动态更新
　　
　　在动态DNS（DDNS）中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
　　
　　与客户端相关的有两种DNS记录：A记录和PTR记录，A记录解析名字到地址，而PTR记录解析地址到名字。地址是指一个客户端的IP地址，名字是指一个客户的完全合格域名，应该是计算机名加上网络的域名。
　　
　　在Windows 2000环境中，当客户端通过DHCP请求一个IP时，客户端DNS记录就被注册。根据设置，客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录，谁注册了这个记录，谁就对记录拥有所有权。
　　
　　下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
　　
　　1．Windows2000本机模式
　　
　　在Windows2000环境下，DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时，这种Windows2000环境被定义为"本机模式"。
　　
　　当客户端是一个Windows2000客户时，默认配置是当客户在网络上注册时动态更新它自己的A记录，与此同时，DHCP服务器更新客户的PTR记录。因此，A记录的所有权属于客户端，PTR记录的所有权属于DHCP服务器。
　　
　　第二种可能的配置是DHCP服务器更新正向和反向查找，在这种情况下，DHCP服务器同时拥有A记录和PTR记录的所有。
　　
　　第三种可能的配置是DHCP服务器被配置为不执行动态更新，在这种情况下，客户端将更新A记录和PTR记录，同时也就拥有记录的所有权。
　　
　　2．Windows2000混杂模式
　　
　　在一个混杂模式的环境下，DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
　　
　　先前的客户端，如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录，在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录，在这种情况下，服务器拥有正向和反向查找记录的所有权。
　　
　　3．安全动态更新
　　
　　在Windows2000网络中，只有当活动目录与DNS区域集成时，安全动态更新才可用。安全动态更新意味着什么呢？在Windows2000中，它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录，除ACL外，动态更新也使用安全通道和认证。
　　
　　Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "（GSS-TSIG）算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议，GSS-API在RFC2078中有定义.
　　
　　二、区域
　　
　　1．区域的类型
　　
　　Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
　　
　　主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
　　8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。
　　
　　如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。
　　
　　2．区域传输或复制的类型
　　
　　Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
　　
　　当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
　　
　　多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。
　　
　　多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。
　　
　　3．区域传输的安全
　　
　　如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
　　
　　当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。
　　
　　在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。
　　
　　当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。
　　
　　三、活动目录集成DNS 区域
　　
　　在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。
　　
　　1．文件系统
　　
　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
　　前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
　　
　　NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
　　
　　NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
　　
　　2．注册表
　　
　　使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
　　
　　3．Enterprise管理员和Schema管理员组
　　
　　在Windows2000网络建立之后，限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构，管理可以被委派到域结构，因此管理可以被限制到单个域。
　　
　　4．加密文件系统
　　
　　Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
　　
　　5．活动目录中的DNS
　　
　　DNS的安装将扩展活动目录的架构，包含了DNSUpdateProxy组。这是一个非常强大的组，它允许创建对象，这是不安全的，当这种情况发生时，任何授权用户可以获得这些对象的所有权。
　　
　　DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新，这在上面有详细地叙述。当客户和服务器都是Windows2000时，安全动态更新可以通过默认安装来完成，当有其它的用户需要支持时，安全动态更新不能完成，除非DHCP服务器被加入到了DNSUpdateProxy组，加入DNSUpdateProxy组后，允许DHCP服务器为早期的客户端执行动态更新。
　　
　　如果DHCP服务运行在一个域控制器时，需要特别考虑的是，添加DHCP服务器到DNSUpdateProxy组，将允许所有用户或计算机完全控制相应域控制器的DNS记录。
　　
　　6．资源记录的所有权
　　
　　DHCP服务器不能在早期的客户端上执行安全动态更新，这在Windows2000网络中是非常重要的。如果这种情况发生，会出现不能完全更新活动记录的情况。例如，一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字，当这台机器被升级到Windows2000时，这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权，所以Windows 2000客户不能更新它自己的名字。
　　
　　7．WINS查找
　　
　　作为Windows2000最终的告诫，我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢？对所有非Windows2000客户，NetBios解析仍是必需的。同样，所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中：WINS和WINS-R。这分别为WINS做正向和反向记录查找。
　　
　　四、结论
　　
　　总之，理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。

童话

Windows 2003上网配置DNS的技巧
　　本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
　　
　　如何从运行 Windows Server 2003 的独立服务器开始
　　
　　运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。
　　
　　第1步：配置TCP/IP
　　
　　打开网络连接，然后使用右键查看本地连接的属性。
　　
　　选择Internet 协议 (TCP/IP)。查看其属性。
　　
　　单击常规选项卡。
　　
　　选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
　　
　　选中高级选项中的DNS选项卡。
　　
　　单击附加主要的和连接特定的DNS 后缀。
　　
　　单击以选中附加主DNS 后缀的父后缀复选框。
　　
　　单击以选中在DNS中注册此连接的地址复选框。
　　
　　注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
　　
　　如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
　　
　　单击确定三次。
　　
　　备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置
　　
　　第2步：安装 Microsoft DNS 服务器
　　
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　
　　单击“添加或删除Windows组件”。
　　
　　在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　
　　单击下一步。
　　
　　得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　
　　安装完成时，在完成 Windows 组件向导页上单击完成。
　　
　　单击关闭关闭添加或删除程序窗口。
　　
　　第3步：配置 DNS 服务器
　　
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　
　　右击正向搜索区域，然后单击新建区域。
　　
　　当“新建区域向导”启动后，单击下一步。
　　
　　接着将提示您选择区域类型。区域类型包括：
　　
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
　　
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。
　　
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　
　　接受新区域文件的默认名称，单击下一步。
　　
　　备注：有经验的DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　
　　如何移除根DNS 区域
　　
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　
　　右击"." 区域，然后单击删除.
　　
　　如何配置转发器
　　
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。
　　
　　单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。
　　
　　在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。
　　
　　重复步骤 4，添加希望转发到的DNS服务器。
　　
　　单击确定。
　　
　　如何配置根提示
　　
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　
　　如何在防火墙后配置DNS
　　
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生注释掉的------>Windows 2003上网配置DNS的技巧
　　本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
　　
　　如何从运行 Windows Server 2003 的独立服务器开始
　　
　　运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。
　　
　　第1步：配置TCP/IP
　　
　　打开网络连接，然后使用右键查看本地连接的属性。
　　
　　选择Internet 协议 (TCP/IP)。查看其属性。
　　
　　单击常规选项卡。
　　
　　选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
　　
　　选中高级选项中的DNS选项卡。
　　
　　单击附加主要的和连接特定的DNS 后缀。
　　
　　单击以选中附加主DNS 后缀的父后缀复选框。
　　
　　单击以选中在DNS中注册此连接的地址复选框。
　　
　　注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
　　
　　如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
　　
　　单击确定三次。
　　
　　备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置
　　
　　第2步：安装 Microsoft DNS 服务器
　　
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　
　　单击“添加或删除Windows组件”。
　　
　　在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　
　　单击下一步。
　　
　　得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　
　　安装完成时，在完成 Windows 组件向导页上单击完成。
　　
　　单击关闭关闭添加或删除程序窗口。
　　
　　第3步：配置 DNS 服务器
　　
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　
　　右击正向搜索区域，然后单击新建区域。
　　
　　当“新建区域向导”启动后，单击下一步。
　　
　　接着将提示您选择区域类型。区域类型包括：
　　
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
　　
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。
　　
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　
　　接受新区域文件的默认名称，单击下一步。
　　
　　备注：有经验的DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　
　　如何移除根DNS 区域
　　
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　
　　右击"." 区域，然后单击删除.
　　
　　如何配置转发器
　　
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。
　　
　　单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。
　　
　　在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。
　　
　　重复步骤 4，添加希望转发到的DNS服务器。
　　
　　单击确定。
　　
　　如何配置根提示
　　
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　
　　单击开始，指向管理工具，然后单击DNS。
　　
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　
　　如何在防火墙后配置DNS
　　
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生

童话

Win 2k“秘密武器”之DNS工具(一) 　　在网络环境下应用的工具：对从事维护人的员来说用处较大。并需要注意：有些工具需要另一个工具作为基础才好用，即某个工具在工作时，作为基础的另一个工具必须先被执行。这些工具有：
　　
　　远程文件储存诊断
　　远程文件储存分析
　　分布式文件系统实用工具
　　
　　由于网络越来越普及，分布式文件系统应用越来越多，其应用也越来越广，基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友，这部分不可不看。
　　
　　基于网络的工具，也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个，分别是：
　　
　　工具名称 　　　　　　　　　　　对应的可执行文件名称
　　ADSI Edit 　　　　　　　　　　　　　操作控制台
　　DNS Server Troubleshooting Tool 　　(Dnscmd.exe)
　　DsAcls　　　　　　　　　　　　　　　(Dsacls.exe)
　　DsaStat　　　　　　　　　　　　　　 (Dsastat.exe)
　　Kerberos Setup　　　　　　　　　　　(Ksetup.exe)
　　Kerberos Keytab Setup　　　　　　　 (Ktpass.exe)
　　Active Directory Administration Tool (Ldp.exe)
　　Active Directory Object Manager 　　(Movetree.exe)
　　Windows 2000 Domain Manager　　　　 (Netdom.exe)
　　NlTest　　　　　　　　　　　　　　　(Nltest.exe)
　　Remote Command Line　　　　　　　　 (Remote.exe)
　　Replication Diagnostics Tool　　　　(Repadmin.exe)
　　Active Directory Replication Monitor (Replmon.exe)
　　Security Descriptor Check Utility 　(Sdcheck.exe)
　　Active Directory Search Tool　　　　(Search.vbs)
　　Winsock Remote Console　　　　　　　(Wsremote.exe)
　　
　　正因这些工具都是基于网络的、或是应用于网络环境之下的，所以真正有机会动手实践的人，与个人计算机环境相比，是少之又少了。但任何一项技术能发展与否，都取决于其生命力。现在网络之普及，给网络技术的普及带来了巨大的生命力，保持于这种普及同步的技术优势，是将来决胜之策。
　　
　　我所以整理出来这些资料，一为学习，二为与诸位共勉。话都说到这样诚恳的地步了，所以，尤其希望各位发现有不当之处，一定要批评指正，方不负我一片诚意。
　　
　　DNS服务器故障排除工具
　　
　　这个工具的英文全名是：DNS Server Troubleshooting Tool，作用是排除域名服务系统的故障，缩写为：DNScmd。这是供系统管理员在域名服务系统（DNS）中使用的一个工具，工具运行的形式是基于命令行的。利用该工具，系统管理员可以观察域名服务系统的属性、范围、资源记录。此外，这个工具也允许以手工形式修改上述的属性，也就是可以建立、删除资源记录，或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
　　
　　在Windows NT中，原有与此相关的一个工具，称为：Dnsstat.exe（可以在Windows NT Resource Kit中找到），而DNScmd.exe，就是前者的强化版本。
　　
　　前面已经述及：这是一个命令行的工具，凡是命令行程序，都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法，所以，此处不再多加解释。以下的部分，假设你已经打开了命令控制台。
　　
　　DNScmd.exe的用法
　　
　　如果想获得DNScmd.exe的帮助，可以使用DNScmd/?的命令形式来取得帮助的详细信息；DNScmd.exe包含有很多条命令，如果想得到一个指定的命令的应用帮助，可以采用这种形式：Dnscmd command /?，其中，command是所指定的一条命令的名称（具体参看下面介绍），command前面的空格不能省去。
　　
　　我在自己的机器上进行了验证，运行CMD之后，在系统提示符之后键入dnscmd/?，然后回车，其显示如下，考虑到篇幅限制，中间有省略号的地方，是被省略了的项目：
　　
　　Microsoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-1998 Microsoft Corp.
　　
　　C:\>dnscmd/?
　　
　　USAGE: DnsCmd []
　　
　　:
　　. 　　　　　　　　　-- local machine using LPC
　　IP address　　　　　-- RPC over TCP/IP
　　DNS name　　　　　　-- RPC over TCP/IP
　　other server name　 -- RPC over named pipes
　　:
　　/Info 　　　　　　　-- Get server information
　　……
　　/ResetForwarders　-- Set DNS servers to forward recursive queries to
　　
　　/ZoneInfo　　　　　 -- View zone information
　　……
　　/ZoneResetMasters　 -- Reset secondary zone's master servers
　　/EnumRecords 　　　 -- Enumerate records at a name
　　/RecordAdd　　　　　-- Create a record in zone or RootHints
　　/RecordDelete 　　　-- Delete a record from zone, RootHints or Cache d
　　ata
　　/NodeDelete 　　　　-- Delete all records at a name
　　/AgeAllRecords　　　-- Force aging on node(s) in zone
　　:
　　-- parameters specific to each Command
　　dnscmd /? -- For help info on specific Command
　　
　　C:\>
　　
　　与正式的帮助文档相比，这里的帮助提示很简略。但最重要的发现，还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同，在介绍相关命令的时候，会给各位提醒的。
　　
　　由于Windows2000很重视安全问题，所以，像这类涉及修改重要属性的工具，也必须对工具的使用者进行权限验证，没有通过正确登录系统的使用者，也不可能使用这个工具。也就是说，这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂，其实，你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
　　
　　命令使用形式：
　　
　　所有Dnscmd.exe的命令使用都有统一的形式，请看下一行：
　　
　　dnscmd ServerName Command [Command Parameters]
　　
　　完整的命令语法共分四个部分：dnscmd是工具名称，不能省略。
　　
　　ServerName是服务器名称，不能省略。
　　Command所指定的命令，不能省略。
　　Command Parameters命令参数，是可选的项目。
　　
　　这四个部分中：
　　
　　A ：工具（程序）名称没有可多说的，直接使用就是了；
　　
　　B：服务器名称是由系统管理员规划设计的一个用于管理的机器名称，在此处，服务器名称是作为一个变量来使用的，既然是变量，当真正执行的时候，肯定要被具体的“值”所取代。取代服务器名称的是以下各项目：
　　1. 指定的本地计算机，利用本地连接访问来工作。本地连接访问在英文中被缩写为：LPC
　　2. 使用IP地址，IP地址的格式是：xx.xx.xx.xx。指定DNS服务器，工作时需要经由TCP/IP，利用远程连接访问方式。远程连接访问在英文中被缩写为：RPC。
　　3. 指定的DNS名称：这个名称必须是完整的、有资格的（经过身份验证的）DNS服务器名称（即FQDN），工作也需要经由TCP/IP，利用远程连接访问方式。
　　4. NetBIOS 名称：类似于上一个，只是依据的是NetBIOS而不是经由TCP/IP，工作也需要利用远程连接访问方式。
　　
　　C ：命令 command
　　Command是命令的名字，本工具有很多个命令，不同的命令功能不同。具体可以参看以下的介绍。
　　
　　D：命令参数
　　这时可选项目，有些命令可能并没有参数。
　　
　　到此，我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始，将介绍每个命令的语法、使用方法和例子分析。注释掉的------>Win 2k“秘密武器”之DNS工具(一) 　　在网络环境下应用的工具：对从事维护人的员来说用处较大。并需要注意：有些工具需要另一个工具作为基础才好用，即某个工具在工作时，作为基础的另一个工具必须先被执行。这些工具有：
　　
　　远程文件储存诊断
　　远程文件储存分析
　　分布式文件系统实用工具
　　
　　由于网络越来越普及，分布式文件系统应用越来越多，其应用也越来越广，基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友，这部分不可不看。
　　
　　基于网络的工具，也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个，分别是：
　　
　　工具名称 　　　　　　　　　　　对应的可执行文件名称
　　ADSI Edit 　　　　　　　　　　　　　操作控制台
　　DNS Server Troubleshooting Tool 　　(Dnscmd.exe)
　　DsAcls　　　　　　　　　　　　　　　(Dsacls.exe)
　　DsaStat　　　　　　　　　　　　　　 (Dsastat.exe)
　　Kerberos Setup　　　　　　　　　　　(Ksetup.exe)
　　Kerberos Keytab Setup　　　　　　　 (Ktpass.exe)
　　Active Directory Administration Tool (Ldp.exe)
　　Active Directory Object Manager 　　(Movetree.exe)
　　Windows 2000 Domain Manager　　　　 (Netdom.exe)
　　NlTest　　　　　　　　　　　　　　　(Nltest.exe)
　　Remote Command Line　　　　　　　　 (Remote.exe)
　　Replication Diagnostics Tool　　　　(Repadmin.exe)
　　Active Directory Replication Monitor (Replmon.exe)
　　Security Descriptor Check Utility 　(Sdcheck.exe)
　　Active Directory Search Tool　　　　(Search.vbs)
　　Winsock Remote Console　　　　　　　(Wsremote.exe)
　　
　　正因这些工具都是基于网络的、或是应用于网络环境之下的，所以真正有机会动手实践的人，与个人计算机环境相比，是少之又少了。但任何一项技术能发展与否，都取决于其生命力。现在网络之普及，给网络技术的普及带来了巨大的生命力，保持于这种普及同步的技术优势，是将来决胜之策。
　　
　　我所以整理出来这些资料，一为学习，二为与诸位共勉。话都说到这样诚恳的地步了，所以，尤其希望各位发现有不当之处，一定要批评指正，方不负我一片诚意。
　　
　　DNS服务器故障排除工具
　　
　　这个工具的英文全名是：DNS Server Troubleshooting Tool，作用是排除域名服务系统的故障，缩写为：DNScmd。这是供系统管理员在域名服务系统（DNS）中使用的一个工具，工具运行的形式是基于命令行的。利用该工具，系统管理员可以观察域名服务系统的属性、范围、资源记录。此外，这个工具也允许以手工形式修改上述的属性，也就是可以建立、删除资源记录，或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
　　
　　在Windows NT中，原有与此相关的一个工具，称为：Dnsstat.exe（可以在Windows NT Resource Kit中找到），而DNScmd.exe，就是前者的强化版本。
　　
　　前面已经述及：这是一个命令行的工具，凡是命令行程序，都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法，所以，此处不再多加解释。以下的部分，假设你已经打开了命令控制台。
　　
　　DNScmd.exe的用法
　　
　　如果想获得DNScmd.exe的帮助，可以使用DNScmd/?的命令形式来取得帮助的详细信息；DNScmd.exe包含有很多条命令，如果想得到一个指定的命令的应用帮助，可以采用这种形式：Dnscmd command /?，其中，command是所指定的一条命令的名称（具体参看下面介绍），command前面的空格不能省去。
　　
　　我在自己的机器上进行了验证，运行CMD之后，在系统提示符之后键入dnscmd/?，然后回车，其显示如下，考虑到篇幅限制，中间有省略号的地方，是被省略了的项目：
　　
　　Microsoft Windows 2000 [Version 5.00.2195]
　　(C) 版权所有 1985-1998 Microsoft Corp.
　　
　　C:\>dnscmd/?
　　
　　USAGE: DnsCmd []
　　
　　:
　　. 　　　　　　　　　-- local machine using LPC
　　IP address　　　　　-- RPC over TCP/IP
　　DNS name　　　　　　-- RPC over TCP/IP
　　other server name　 -- RPC over named pipes
　　:
　　/Info 　　　　　　　-- Get server information
　　……
　　/ResetForwarders　-- Set DNS servers to forward recursive queries to
　　
　　/ZoneInfo　　　　　 -- View zone information
　　……
　　/ZoneResetMasters　 -- Reset secondary zone's master servers
　　/EnumRecords 　　　 -- Enumerate records at a name
　　/RecordAdd　　　　　-- Create a record in zone or RootHints
　　/RecordDelete 　　　-- Delete a record from zone, RootHints or Cache d
　　ata
　　/NodeDelete 　　　　-- Delete all records at a name
　　/AgeAllRecords　　　-- Force aging on node(s) in zone
　　:
　　-- parameters specific to each Command
　　dnscmd /? -- For help info on specific Command
　　
　　C:\>
　　
　　与正式的帮助文档相比，这里的帮助提示很简略。但最重要的发现，还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同，在介绍相关命令的时候，会给各位提醒的。
　　
　　由于Windows2000很重视安全问题，所以，像这类涉及修改重要属性的工具，也必须对工具的使用者进行权限验证，没有通过正确登录系统的使用者，也不可能使用这个工具。也就是说，这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂，其实，你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
　　
　　命令使用形式：
　　
　　所有Dnscmd.exe的命令使用都有统一的形式，请看下一行：
　　
　　dnscmd ServerName Command [Command Parameters]
　　
　　完整的命令语法共分四个部分：dnscmd是工具名称，不能省略。
　　
　　ServerName是服务器名称，不能省略。
　　Command所指定的命令，不能省略。
　　Command Parameters命令参数，是可选的项目。
　　
　　这四个部分中：
　　
　　A ：工具（程序）名称没有可多说的，直接使用就是了；
　　
　　B：服务器名称是由系统管理员规划设计的一个用于管理的机器名称，在此处，服务器名称是作为一个变量来使用的，既然是变量，当真正执行的时候，肯定要被具体的“值”所取代。取代服务器名称的是以下各项目：
　　1. 指定的本地计算机，利用本地连接访问来工作。本地连接访问在英文中被缩写为：LPC
　　2. 使用IP地址，IP地址的格式是：xx.xx.xx.xx。指定DNS服务器，工作时需要经由TCP/IP，利用远程连接访问方式。远程连接访问在英文中被缩写为：RPC。
　　3. 指定的DNS名称：这个名称必须是完整的、有资格的（经过身份验证的）DNS服务器名称（即FQDN），工作也需要经由TCP/IP，利用远程连接访问方式。
　　4. NetBIOS 名称：类似于上一个，只是依据的是NetBIOS而不是经由TCP/IP，工作也需要利用远程连接访问方式。
　　
　　C ：命令 command
　　Command是命令的名字，本工具有很多个命令，不同的命令功能不同。具体可以参看以下的介绍。
　　
　　D：命令参数
　　这时可选项目，有些命令可能并没有参数。
　　
　　到此，我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始，将介绍每个命令的语法、使用方法和例子分析。

童话

一步步从Win2k DNS 移植到 Linux 下 　　一、准备工作：
　　首先进入win2k, DNS 服务管理器，选 查看--列表；
　　然后导出列表到一个文件： mydomain.txt
　　
　　进入 \winnt\system32\dns 将所有文件打包，和mydomain.txt 一起复制到linux下。
　　
　　二、开始迁移：
　　1、生成配置文件：
　　
　　主域配置文件：
　　执行如下脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type master;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　生成备份域配置文件： 执行这个脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　$masterns = "1.1.1.";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type slave;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE " masters { $masterns; };\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　2、复制DNS记录：将从windows下复制过来到dns文件复制到 /var/named 下；
　　
　　主备域此操作相同。
　　
　　3、在/var/named下执行：
　　
　　mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
　　chown named:named * #更改所有者
　　chmod 644 * #更改权限
　　
　　4、编辑 /etc/resolv.conf 如下：
　　
　　search mydomain.com.cn
　　domain mydomain.com.cn
　　nameserver 1.1.1.1
　　nameserver 202.96.199.133
　　nameserver 202.96.209.5
　　
　　5、启动named服务。 /etc/init.d/named start
　　6、关闭原来的NS服务器。
　　7、将linux服务器的IP改成win2k的IP。
　　
　　现在你可以把原来的NS服务器格式化，装个XP打CS啦。。。注释掉的------>一步步从Win2k DNS 移植到 Linux 下 　　一、准备工作：
　　首先进入win2k, DNS 服务管理器，选 查看--列表；
　　然后导出列表到一个文件： mydomain.txt
　　
　　进入 \winnt\system32\dns 将所有文件打包，和mydomain.txt 一起复制到linux下。
　　
　　二、开始迁移：
　　1、生成配置文件：
　　
　　主域配置文件：
　　执行如下脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type master;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　生成备份域配置文件： 执行这个脚本：
　　
　　#!/usr/bin/perl
　　##################################################################
　　$configfile = "/etc/named.conf";
　　$dnsfile = "/var/named";
　　$importfile = "mydomain.txt";
　　$masterns = "1.1.1.";
　　
　　system("/bin/echo > $configfile");
　　
　　open(OUTFILE,">>$configfile");
　　flock (OUTFILE,2);
　　print OUTFILE "options {\n";
　　print OUTFILE " directory \"$dnsfile\";\n";
　　print OUTFILE " forwarders {\n";
　　print OUTFILE " 202.96.199.133;\n";
　　print OUTFILE " 202.96.209.5;\n";
　　print OUTFILE " };\n";
　　print OUTFILE "};\n";
　　print OUTFILE "zone \".\" {\n";
　　print OUTFILE " type hint;\n";
　　print OUTFILE " file \"named.ca\";\n";
　　print OUTFILE "};\n";
　　
　　open(INFILE,$importfile);
　　@lines = ;
　　
　　$num=0;
　　foreach $line (@lines) {
　　
　　chop ($line);
　　print OUTFILE "zone \"$line\" {\n";
　　print OUTFILE " type slave;\n";
　　print OUTFILE " file \"$line.dns\";\n";
　　print OUTFILE " masters { $masterns; };\n";
　　print OUTFILE "};\n";
　　
　　$num ++;
　　}
　　close(INFILE);
　　close (OUTILE);
　　print "$num Record convert!!\n";
　　
　　exit;
　　
　　2、复制DNS记录：将从windows下复制过来到dns文件复制到 /var/named 下；
　　
　　主备域此操作相同。
　　
　　3、在/var/named下执行：
　　
　　mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
　　chown named:named * #更改所有者
　　chmod 644 * #更改权限
　　
　　4、编辑 /etc/resolv.conf 如下：
　　
　　search mydomain.com.cn
　　domain mydomain.com.cn
　　nameserver 1.1.1.1
　　nameserver 202.96.199.133
　　nameserver 202.96.209.5
　　
　　5、启动named服务。 /etc/init.d/named start
　　6、关闭原来的NS服务器。
　　7、将linux服务器的IP改成win2k的IP。
　　
　　现在你可以把原来的NS服务器格式化，装个XP打CS啦。。。

童话

在Win 2003中为Web站点配置DNS记录
　　概要
　　本文介绍了如何配置“域名系统”(DNS) 服务器，使其承载可从外部访问（即从Internet 访问）的 Web 站点。
　　如何获取 IP 地址若要承载可从外部访问的 Web 站点，必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
　　
　　如何注册域名
　　通过 Internet 域名注册管理机构（这样的管理机构被称为注册机构）为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表，请访问下面的
　　Internet Corporation for Assigned Names and Numbers (ICANN) 网站：
　　Internet Corporation for Assigned Names and Numbers
　　

[color="#003366"]http://www.icann.org


　　
　　各注册机构的注册过程可能会有所不同，但您还是可以按以下步骤来注册域名：进行搜索，确认要注册的名称是否可用。提供该帐户的联系信息和交费信息（包括电子邮件地址）。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
　　
　　备注：这些是 ISP 提供的公用 IP 地址。
　　支付年费或作好支付年费的准备。
　　
　　如何配置 Web 服务器
　　安装和配置 Microsoft Internet 信息服务 (IIS)（如果尚未安装）。
　　
　　如何为 Web 服务器创建 DNS 项
　　请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是：
　　打开 DNS 管理单元。方法是：单击开始，指向管理工具，然后单击 DNS。
　　在 DNS 下，展开“主机名”（其中主机名 是 DNS 服务器的主机名）。
　　展开正向搜索区域。
　　在正向搜索区域下，右键单击所需区域（例如，域名.com。），然后单击新建别名(CNAME)。
　　在“别名”框中，键入 www。
　　在“目标主机的完全合格的名称”框中，键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如，键入 dns.域名.com，然后单击确定。注释掉的------>在Win 2003中为Web站点配置DNS记录
　　概要
　　本文介绍了如何配置“域名系统”(DNS) 服务器，使其承载可从外部访问（即从Internet 访问）的 Web 站点。
　　如何获取 IP 地址若要承载可从外部访问的 Web 站点，必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
　　
　　如何注册域名
　　通过 Internet 域名注册管理机构（这样的管理机构被称为注册机构）为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表，请访问下面的
　　Internet Corporation for Assigned Names and Numbers (ICANN) 网站：
　　Internet Corporation for Assigned Names and Numbers
　　

http://www.icann.org


　　
　　各注册机构的注册过程可能会有所不同，但您还是可以按以下步骤来注册域名：进行搜索，确认要注册的名称是否可用。提供该帐户的联系信息和交费信息（包括电子邮件地址）。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
　　
　　备注：这些是 ISP 提供的公用 IP 地址。
　　支付年费或作好支付年费的准备。
　　
　　如何配置 Web 服务器
　　安装和配置 Microsoft Internet 信息服务 (IIS)（如果尚未安装）。
　　
　　如何为 Web 服务器创建 DNS 项
　　请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是：
　　打开 DNS 管理单元。方法是：单击开始，指向管理工具，然后单击 DNS。
　　在 DNS 下，展开“主机名”（其中主机名 是 DNS 服务器的主机名）。
　　展开正向搜索区域。
　　在正向搜索区域下，右键单击所需区域（例如，域名.com。），然后单击新建别名(CNAME)。
　　在“别名”框中，键入 www。
　　在“目标主机的完全合格的名称”框中，键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如，键入 dns.域名.com，然后单击确定。

童话

在Win 2003中为DNS配置Internet访问
　　概要
　　本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
　　如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步，为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址，因为地址的动态更改会使客户端与 DNS 服务器失去联系。
　　第 1 步：配置 TCP/IP
　　单击开始，指向控制面板，指向网络连接，然后单击本地连接。
　　单击属性.
　　单击 Internet 协议 (TCP/IP)。，然后单击属性.
　　单击常规 选项卡。
　　单击使用下面的 IP 地址，然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
　　单击高级，然后单击 DNS 选项卡。
　　单击附加主要的和连接特定的 DNS 后缀。
　　单击以选中附加主 DNS 后缀的父后缀复选框。
　　单击以选中在 DNS 中注册此连接的地址复选框。
　　注意，运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
　　备注: 如果收到一个来自 DNS 缓存解析器服务的警告，单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系，但您尚未完成该服务器的配置。
　　第 2 步：安装 Microsoft DNS 服务器
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　单击添加或删除 Windows 组件。
　　在组件 列表中，单击网络服务 （但不要选中或清除该复选框），然后单击详细信息.
　　单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　单击下一步.
　　得到提示后，将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　安装完成时，在完成 Windows 组件向导页上单击完成 。
　　单击关闭 关闭添加或删除程序窗口。
　　第 3 步：配置 DNS 服务器
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　右击正向搜索区域，然后单击新建 区域。
　　当“新建区域向导”启动后，单击下一步.
　　接着将提示您选择区域类型。区域类型包括：
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步.
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　接受新区域文件的默认名称。单击下一步.
　　备注: 有经验的 DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　如何移除根 DNS 区域
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时，域控制器需要 DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　单击开始，指向管理工具，然后单击DNS。
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　右击"." 区域，然后单击删除.
　　如何配置转发器
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击转发器 选项卡。
　　单击DNS 域 列表中的一个 DNS 域。或者单击新建，在DNS 域 框中键入希望转发查询的DNS 域的名称，然后单击确定.
　　在所选域的转发器 IP 地址框中，键入希望转发到的第一个 DNS 服务器的 IP 地址，然后单击添加.
　　重复步骤 4，添加希望转发到的 DNS 服务器。
　　单击确定.
　　如何配置根提示
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.
　　单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　如何在防火墙后配置 DNS
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时，这些问题都有可能发生。注释掉的------>在Win 2003中为DNS配置Internet访问
　　概要
　　本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
　　如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步，为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址，因为地址的动态更改会使客户端与 DNS 服务器失去联系。
　　第 1 步：配置 TCP/IP
　　单击开始，指向控制面板，指向网络连接，然后单击本地连接。
　　单击属性.
　　单击 Internet 协议 (TCP/IP)。，然后单击属性.
　　单击常规 选项卡。
　　单击使用下面的 IP 地址，然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
　　单击高级，然后单击 DNS 选项卡。
　　单击附加主要的和连接特定的 DNS 后缀。
　　单击以选中附加主 DNS 后缀的父后缀复选框。
　　单击以选中在 DNS 中注册此连接的地址复选框。
　　注意，运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
　　备注: 如果收到一个来自 DNS 缓存解析器服务的警告，单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系，但您尚未完成该服务器的配置。
　　第 2 步：安装 Microsoft DNS 服务器
　　单击开始，指向控制面板，然后单击添加或删除程序。
　　单击添加或删除 Windows 组件。
　　在组件 列表中，单击网络服务 （但不要选中或清除该复选框），然后单击详细信息.
　　单击以选中域名系统 (DNS) 复选框，然后单击确定。
　　单击下一步.
　　得到提示后，将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
　　安装完成时，在完成 Windows 组件向导页上单击完成 。
　　单击关闭 关闭添加或删除程序窗口。
　　第 3 步：配置 DNS 服务器
　　要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：
　　单击开始，指向程序，指向管理工具，然后单击DNS。
　　右击正向搜索区域，然后单击新建 区域。
　　当“新建区域向导”启动后，单击下一步.
　　接着将提示您选择区域类型。区域类型包括：
　　主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
　　辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
　　存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
　　Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
　　新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步.
　　新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“support.microsoft.com”，那么有效的区域名称只能是“support.microsoft.com”。
　　接受新区域文件的默认名称。单击下一步.
　　备注: 有经验的 DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。
　　如何移除根 DNS 区域
　　运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。
　　默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时，域控制器需要 DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
　　单击开始，指向管理工具，然后单击DNS。
　　展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。
　　右击"." 区域，然后单击删除.
　　如何配置转发器
　　Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击转发器 选项卡。
　　单击DNS 域 列表中的一个 DNS 域。或者单击新建，在DNS 域 框中键入希望转发查询的DNS 域的名称，然后单击确定.
　　在所选域的转发器 IP 地址框中，键入希望转发到的第一个 DNS 服务器的 IP 地址，然后单击添加.
　　重复步骤 4，添加希望转发到的 DNS 服务器。
　　单击确定.
　　如何配置根提示
　　Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。
　　单击开始，指向管理工具，然后单击DNS。
　　右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性.
　　单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
　　如何在防火墙后配置 DNS
　　代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时，这些问题都有可能发生。

童话

网管经验之Windows服务器DNS故障问题
　　在开始讨论如何排除DNS问题之前，我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上，判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多：如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务。首先，你需要考虑是哪一类程序出了问题，如果是TCP/IP客户端，如telnet或ftp，那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序，如net（与在net use中一样）中，那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端（如ping）也会使用这些命名服务中的任意一种。接下来，再考虑Windows使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助，至少可帮你排除一个怀疑对象。
　　
　　如果要检查一个服务器的缓存区，请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录，你可能会注意到有一个删除记录选项。
　　
　　DNS的一些常见的错误
　　
　　1. 忘记增加序列号
　　
　　在你未使用 DNS 控制台而是用手动方式更改区域数据文件时，就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以你不必为此操心。不过，这也意味着你可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，你可能会忘记增加序列号。此问题的主要症状是，从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果你不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。在启动主服务器时，不管你是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明你可能忘了增加序列号。如果你能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 以手动方式更改DNS服务器
　　
　　要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后，你必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 microsoft.com 区域数据文件，你的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.（DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。）如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在你作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　3. 从属服务器无法加载区域数据
　　
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给你发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，你将在事件查看器中看到与下文类似的一条消息：在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了，该区域已经被关闭。区域过期后，当你向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　C:> nslookup robocop wormhole.microsoft.com.
　　Server: wormhole.microsoft.com
　　Addresses: 207.46.230.219, 192.253.253.1
　　wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：C:> ping 207.46.230.219
　　Pinging 207.46.230.219 with 32 bytes of data:
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机是否真的在运行（例如，已通电），或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的，则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应，命令格式如下：
　　C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
　　
　　此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询，以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询，这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确，则对此查询的响应就应是权威性的。（记住，除非 nslookup 返回了“非权威性”响应，否则响应就是权威性的。）非权威性的响应可能表明主控服务器在加载该区域时发生问题，通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系，让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况，但旧的 BIND 名称服务器确实会表现出这种现象。所以，如果你的名称服务器是某一区域的从属服务器，而此区域的主要主名称服务器是 BIND 名称服务器，该服务器现在对该区域不具有权威性，那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域，那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息，则很可能是主控服务器限制区域复制：
　　C:> nslookup - 152.104.1.6
　　Default Server: terminator.microsoft.com
　　Address: 152.104.1.6
　　> ls microsoft.com
　　[terminator.microsoft.com]
　　*** Can‘t list domain microsoft.com: Query refused
　　
　　请与该主控服务器的管理员联系，问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项（如果他在运行 Microsoft DNS 服务器）。如果该远程服务器在运行着 BIND，则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后，你会在事件查看器中看到下面的消息：A more recent version, version 212 of zone microsoft.com was
　　found at DNS server at 207.46.230.219. Zone transfer is in progress.
　　The DNS server wrote version 212 of zone microsoft.com to
　　
　　file microsoft.com.dns.（在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。）
　　
　　DNS故障还有几种情况，我们将在下期继续讨论。
　　

[color="#003366"]http://www.netadmin.com.cn/experience/20040609/2888.asp

　　
　　4. 网络连接断开注释掉的------>网管经验之Windows服务器DNS故障问题
　　在开始讨论如何排除DNS问题之前，我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上，判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多：如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器，而有问题的服务却可能在使用另一种不同的命名服务。首先，你需要考虑是哪一类程序出了问题，如果是TCP/IP客户端，如telnet或ftp，那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序，如net（与在net use中一样）中，那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端（如ping）也会使用这些命名服务中的任意一种。接下来，再考虑Windows使用这些命名服务的顺序。在查找问题时，应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助，至少可帮你排除一个怀疑对象。
　　
　　如果要检查一个服务器的缓存区，请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开，直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL，请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式（选择查看 > 高级），则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前，一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台，否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录，你可能会注意到有一个删除记录选项。
　　
　　DNS的一些常见的错误
　　
　　1. 忘记增加序列号
　　
　　在你未使用 DNS 控制台而是用手动方式更改区域数据文件时，就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号，所以你不必为此操心。不过，这也意味着你可能不会养成更新序列号的习惯，所以在进行一次性手动修改时，你可能会忘记增加序列号。此问题的主要症状是，从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改，因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢？不幸的是，这就不是那么容易了。如果你不记得原序列号是什么，而现在的序列号不能表明它是什么时候更新的，则没有直接的方法判断它是否已更改。在启动主服务器时，不管你是否更改了序列号，它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据，则表明你可能忘了增加序列号。如果你能想起最近作的一次更改，则可以查看此数据。如果记不起最近一次作的更改，则可以从一个主服务器和一个从属服务器复制该区域，将结果排序并使用文件比较工具将它们加以比较。还有一个好消息，即，尽管确定该区域此前是否已复制比较难，但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段，增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据，如果它们用了 NOTIFY，则会更快。
　　
　　2. 以手动方式更改DNS服务器
　　
　　要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时，就有一个写操作挂起：在 DNS 服务器退出之前，它必须重写该区域的数据文件，否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页：操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改，则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后，你必须将服务器停下并再次启动，以让它再次读取该区域数据。但是在服务器退出时，它将重写 microsoft.com 区域数据文件，你的委派于是就会丢掉。如果仔细观察（平时就需要这样）事件查看器，会在服务器停止事件之前看到这样一条消息：The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.（DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。）如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件，则服务器就会与区域数据文件同步，而不必在退出时重写。所以，如果要对区域数据文件作手动更改，那么要么首先停止服务器（但这意味着在你作更改期间服务器将不响应任何查询），要么使用 DNS 控制台将服务器与区域数据文件同步，然后再进行更改。
　　
　　3. 从属服务器无法加载区域数据
　　
　　如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号，那么最初它是不会给你发警告消息的。然而，如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的，那么该区域就会过期。在一个 Microsoft DNS 服务器上，你将在事件查看器中看到与下文类似的一条消息：在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了，该区域已经被关闭。区域过期后，当你向名称服务器查询该区域中的数据时，就会收到 SERVFAIL 错误消息：
　　C:> nslookup robocop wormhole.microsoft.com.
　　Server: wormhole.microsoft.com
　　Addresses: 207.46.230.219, 192.253.253.1
　　wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
　　
　　出现此问题的原因主要有三个：由于网络故障与主控服务器的连接断开，为主控服务器配置的 IP 地址不正确，主控服务器上的区域数据文件中有语法错误。首先，应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一（些）主控服务器的地址。右键单击左窗格中该区域的域名，选择属性，然后查看常规选项卡，确认它是否真是主名称服务器的 IP 地址。如果是，请检查到此 IP 地址的连接：C:> ping 207.46.230.219
　　Pinging 207.46.230.219 with 32 bytes of data:
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　Request timed out.
　　
　　如果无法连接到主控服务器，请确定该服务器的主机是否真的在运行（例如，已通电），或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的，则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应，命令格式如下：
　　C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
　　
　　此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询，以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询，这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确，则对此查询的响应就应是权威性的。（记住，除非 nslookup 返回了“非权威性”响应，否则响应就是权威性的。）非权威性的响应可能表明主控服务器在加载该区域时发生问题，通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系，让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况，但旧的 BIND 名称服务器确实会表现出这种现象。所以，如果你的名称服务器是某一区域的从属服务器，而此区域的主要主名称服务器是 BIND 名称服务器，该服务器现在对该区域不具有权威性，那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域，那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息，则很可能是主控服务器限制区域复制：
　　C:> nslookup - 152.104.1.6
　　Default Server: terminator.microsoft.com
　　Address: 152.104.1.6
　　> ls microsoft.com
　　[terminator.microsoft.com]
　　*** Can‘t list domain microsoft.com: Query refused
　　
　　请与该主控服务器的管理员联系，问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项（如果他在运行 Microsoft DNS 服务器）。如果该远程服务器在运行着 BIND，则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后，你会在事件查看器中看到下面的消息：A more recent version, version 212 of zone microsoft.com was
　　found at DNS server at 207.46.230.219. Zone transfer is in progress.
　　The DNS server wrote version 212 of zone microsoft.com to
　　
　　file microsoft.com.dns.（在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。）
　　
　　DNS故障还有几种情况，我们将在下期继续讨论。
　　

http://www.netadmin.com.cn/experience/20040609/2888.asp

　　
　　4. 网络连接断开

童话

[服务器维护经验谈]DNS巧解网络故障
　　服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的，我们只能通过经验去解决。笔者负责公司服务器的维护工作，在一次实际工作中遇到了服务器无法登录的故障，排查起来比较奇特，写出来和各位读者分享。
　　
　　一、故障现象：
　　
　　笔者公司规模不是很大，有大概50多台计算机，购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。
　　
　　由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障，每次启动该域控制器都停留在2000的登录界面，即在要求输入管理员帐号和密码操作之前的界面，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展，始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式，然而只要一进入正常模式就出现上面提到的问题。
　　
　　二、排查故障：
　　
　　由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现问题，例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
　　
　　不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢？笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
　　
　　笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了，故障得到排除。
　　
　　三、进阶思考：
　　
　　本次故障看似是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，为什么这么说呢？因为在建立域时我们最好按照以下规则来配置DNS。
　　
　　（1）DC与BDC上都安装DNS服务，而不是仅仅一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。
　　
　　（2）DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。
　　
　　（3）同时在DC上辅助DNS服务器地址还要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
　　
　　这样我们在进行DNS解析时就不会轻易出问题了，象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。
　　
　　总结：
　　
　　在Windows系统中配置域控制器是件非常麻烦的事情，而且故障的发生更没有规律可言，所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则，这样可以将故障发生机率降到最低。注释掉的------>[服务器维护经验谈]DNS巧解网络故障
　　服务器不仅仅是企业网络设备的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的，我们只能通过经验去解决。笔者负责公司服务器的维护工作，在一次实际工作中遇到了服务器无法登录的故障，排查起来比较奇特，写出来和各位读者分享。
　　
　　一、故障现象：
　　
　　笔者公司规模不是很大，有大概50多台计算机，购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC，另一台设置为备份域控制器BDC。
　　
　　由于备份域控制器在管理域上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障，每次启动该域控制器都停留在2000的登录界面，即在要求输入管理员帐号和密码操作之前的界面，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展，始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式，然而只要一进入正常模式就出现上面提到的问题。
　　
　　二、排查故障：
　　
　　由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现问题，例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
　　
　　不过禁用网卡并不能治本，虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢？笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
　　
　　笔者在主域控制器上查看DNS服务的配置，发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了，故障得到排除。
　　
　　三、进阶思考：
　　
　　本次故障看似是因为备份域控制器上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，为什么这么说呢？因为在建立域时我们最好按照以下规则来配置DNS。
　　
　　（1）DC与BDC上都安装DNS服务，而不是仅仅一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。
　　
　　（2）DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。
　　
　　（3）同时在DC上辅助DNS服务器地址还要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
　　
　　这样我们在进行DNS解析时就不会轻易出问题了，象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。
　　
　　总结：
　　
　　在Windows系统中配置域控制器是件非常麻烦的事情，而且故障的发生更没有规律可言，所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则，这样可以将故障发生机率降到最低。

童话

怎样减少丢包对DNS服务器的影响？
　　DNS使用UDP协议而不是TCP协议，如果数据包丢失，系统没有自动修复功能，这样是否会带来什么问题呢?
　　
　　是的，当DNS的数据包丢失，或者是DNS的服务器无法回复的时候，这就会对用户产生不便。DNS通常会显示检验器的IP地址，否则用户就很难重新建立相应的连接。比如说，您在浏览器中输入
www.yahoo.com
，之后DNS就会把其转换成为66.94.230.38，浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候，浏览器的状态就是在等待回复，或者在Windows资源管理器中，系统会显示出无法找到指定的域的回复。
　　
　　不过，有两个方法可以把DNS问题的影响降到最小。第一，建议使用多台DNS服务器，在这种情况下，如果最先的DNS服务器失效，备份的DNS服务器就会用来处理数据。在一台Windows机器上，可以通过TCP协议实现，建立可靠的连接。具体示例如下:
　　

　　第二种方法(并不推荐)是直接通过IP地址定位，而不通过主服务器转换。但是，这种方法在IP地址更改的时候，就会失效。注释掉的------>怎样减少丢包对DNS服务器的影响？
　　DNS使用UDP协议而不是TCP协议，如果数据包丢失，系统没有自动修复功能，这样是否会带来什么问题呢?
　　
　　是的，当DNS的数据包丢失，或者是DNS的服务器无法回复的时候，这就会对用户产生不便。DNS通常会显示检验器的IP地址，否则用户就很难重新建立相应的连接。比如说，您在浏览器中输入

www.yahoo.com

，之后DNS就会把其转换成为66.94.230.38，浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候，浏览器的状态就是在等待回复，或者在Windows资源管理器中，系统会显示出无法找到指定的域的回复。
　　
　　不过，有两个方法可以把DNS问题的影响降到最小。第一，建议使用多台DNS服务器，在这种情况下，如果最先的DNS服务器失效，备份的DNS服务器就会用来处理数据。在一台Windows机器上，可以通过TCP协议实现，建立可靠的连接。具体示例如下:
　　

　　第二种方法(并不推荐)是直接通过IP地址定位，而不通过主服务器转换。但是，这种方法在IP地址更改的时候，就会失效。