TSM02.docx

1、TSM02第2章 为Active Directory域服务配置域名服务本章概述 本章旨在帮助学生为 Active Directory 域服务配置域名服务。教学目标 描述 Active Directory 域服务和域名系统（DNS）DNS 集成 配置 Active Directory 集成区域 配置只读 DNS教学重点1. 描述 Active Directory 域服务和域名系统（DNS）DNS 集成2. 配置 Active Directory 集成区域 3. 配置只读 DNS教学难点1. 描述 Active Directory 域服务和域名系统（DNS）DNS 集成2. 配置 Active D

2、irectory 集成区域 教学资源课本知识点2.1 Active Directory域服务和DNS集成概述2.2配置 AD DS 集成区域2.3配置只读DNS区域实验实验 2-1：配置Active Directory集成区域实验 2-2：配置只读DNS区域教师光盘幻灯片教师光盘:Powerpnt 1007810079_01.ppt教学详案教师光盘: InstructorCDtPrepTSM_02.doc建议学时数 课堂教学（2课时）+实验教学（2课时）2.1 Active Directory域服务和DNS集成概述教学提示 ：本部分主要达到以下目的： 掌握AD DS和DNS的关系和集成方法教学

3、内容和方法2.1.1 AD DS和DNS命名空间集成使用嵌套幻灯片比较将内部域名系统（DNS）命名空间与外部命名空间集成的各种选项。强调对内部和外部名称解析保留不同的 DNS 服务器的重要性。内部 DNS 区域不得在 Internet 上暴露，因为内容区域将包含所有域控制器记录。提及 Active Directory 需要 DNS，但并不是必需某一特定类型的 DNS 服务器。内部服务器和 DNS 服务器可以是不同的类型。参考资料 How DNS Support for Active Directory Works：2.1.2 SRV 资源记录强调 SRV 资源记录在 Windows Serve

4、r 2008 环境中的重要性。自 Windows 2000 发布以来，所有客户端计算机都使用 DNS 作为查找域控制器的主要过程。如果 DNS 中没有 SRV 资源记录，那么客户端登录将极其缓慢，甚至失败。描述 SRV 资源记录的组成部分，然后使用幻灯片中的示例描述该记录如何提供客户端计算机查找域控制器所需要的所有信息。参考资料 DNS 管理员帮助：添加资源记录 DNS 管理员帮助：“服务位置（SRV）资源记录”对话框 2.1.3 演示：AD DS域控制器注册的SRV资源记录演示步骤为了完成本演示，必须运行10078A-NYC-DC1 虚拟机。打开 DNS 管理器控制台，并显示列在_msdcs

5、.WoodgroveB 中以及 WoodgroveB 域中的 SRV 资源记录。详细描述某条记录，然后显示包含记录的子文件夹： 删除 DNS 中的某条 SRV 资源记录。 先停止再启动 NetLogon 服务，然后确认该记录在 DNS 中已恢复。提及使用支持 DNS 更新的 DNS 服务器的重要性，以使 NetLogon 服务可注册记录。 打开 %systemroot%system32confignetlogon.dns，然后讨论记录如何添加到不支持动态更新的 DNS 服务器。参考资料 How DNS Support for Active Directory Works：2.1.4 SRV资源

6、记录的使用描述客户端用来查找域控制器的过程。提及所有计算机，包括 Windows XP 和 Windows Vista 之类的工作站，以及 Windows Server 2003 和 Windows Server 2008 之类的服务器，都使用同样的过程。参考资料 How Domain Controllers Are Located in Windows XP：2.1.5 集成SRV记录和AD DS站点使用嵌套幻灯片描述，客户端计算机如何查找同站点中的域控制器。提及客户端计算机的站点配置是动态的，并且基于该计算机的 IP 地址以及 Active Directory 中的站点配置。一方面，客户端

7、计算机要在启动并收到来自 DNS 和 Active Directory 的站点信息之后，才会知道自己的站点位置。另一方面，域控制器配置的是静态站点配置。在嵌套幻灯片中，步骤 1 和步骤 2 显示客户端计算机启动，并请求 DNS 服务器提供域控制器。步骤 3 和步骤 4 显示客户端连接到其他站点的域控制器。注意：客户端尚不知道站点。域控制器检查客户端配置，然后重定向客户端，以使其与客户端本地站点中的域控制器进行通信。步骤 5 和步骤 6 中显示了该过程。参考资料 Finding a Domain Controller in the Closest Site：2.2 配置 AD DS 集成区域教学

8、提示 ：本部分主要达到以下目的： 配置AD DS 集成DNS区域教学内容和方法2.2.1 AD DS 集成区域询问学生，域名系统（DNS）区域在 Active Directory 域服务（AD DS）之外是如何存储和复制的。如果学生不熟悉 DNS 区域如何存储在文本文件中，那么应简要描述该文件以及标准 DNS 复制的工作方式。 接着解释，AD DS 如何也能存储 DNS 区域信息，并描述使用该选项的益处。询问学生，他们能否想到在 AD DS 中存储 DNS 信息的缺点。一种可能的回答是，如果为企业中的所有计算机都启用了动态更新，那么 Active Directory 数据库可能非常庞大。参考资

9、料 DNS 帮助：理解 Active Directory 域服务集成 How DNS Support for Active Directory Works：2.2.2 AD DS中的应用程序分区如果学生不熟悉 AD DS 分区的概念，那么应简要描述3个分区（也称为命名上下文）。接下来描述这些分区是如何存储 DNS 信息的。重点介绍，在默认情况下，DNS 信息和其他 AD DS 信息是分别存储在不同的分区中的。提及用于在 AD DS 中存储 DNS 信息的默认应用程序分区是在安装 AD DS 期间，在安装和配置 DNS 时自动创建的。若要在安装 AD DS 之后创建分区，则可使用 DNS 管理工

10、具或 DNSCMD 命令行工具。参考资料 DNS 帮助：理解 Active Directory 域服务中的 DNS 区域复制 DNS 帮助：创建默认 DNS 应用程序目录分区2.2.3 配置DNS应用程序分区的选项列出可用于在 AD DS 中存储 DNS 信息的不同分区。提及选择每种不同区域的主要原因是每种分区有不同的复制作用域。考虑使用图示来描绘每种分区的复制作用域。包括不是 DNS 服务器的域控制器，以及位于其他域中的域控制器，然后演示在每个区域中存储 Active Directory DNS 信息的效果。针对每种选项和每种分区，提供公司选择不同选项在不同分区中存储 DNS 信息的相应场景

11、。 总结如何创建用于存储 DNS 信息的自定义应用程序分区。参考资料 How DNS Support for Active Directory Works： DNS 帮助：创建 DNS 应用程序目录分区 DNS 帮助：在 DNS 应用程序目录分区中登记 DNS 服务器2.2.4 动态更新的工作方式描述动态更新的工作方式。提及 SOA 代表“起始授权机构”（Start of Authority, SOA）资源记录。询问学生，如果动态更新未启用，那么会发生什么情况。最大的问题是，域控制器将无法在 DNS 中注册其记录，因此将不得不手动添加域控制器记录。提及客户端计算机资源记录可由动态主机配置协议（

12、DHCP）服务器在 DNS 中动态更新。请参阅课程 6852 以获得更多信息。参考资料 DNS 帮助：了解动态更新 How DNS Support For Active Directory Works： 查看“动态更新”部分2.2.5 安全动态DNS更新的工作方式描述启用安全动态DNS更新的根本原因，然后使用嵌套幻灯片描述客户端和 DNS 服务器用来执行安全动态更新的过程。提及默认情况下，Windows Server 2008 DNS 服务器配置为支持对 Active Directory 集成区域的安全更新。参考资料 DNS 帮助：了解动态更新 How DNS Support For Acti

13、ve Directory Works 查看“安全动态更新”部分2.2.6 演示：配置AD DS集成区域演示步骤为了完成本演示，必须运行10078A-NYC-DC1 虚拟机。演示如何： 将 DNS 区域配置为集成 AD DS。 配置 DNS 区域的动态更新。 配置网络连接上的动态更新设置。 安全动态更新。参考资料 DNS 帮助：创建默认 DNS 应用程序目录分区 DNS 帮助：了解动态更新2.2.7 后台区域加载的工作方式回顾前面有关使用动态更新的缺点。Windows Server 2008 解决包含 DNS 记录的 Active Directory 数据库过大问题的方法之一是使用后台区域加载。

14、 如果 DNS 客户端请求获得的数据是属于已经加载的某个区域中的主机，那么 DNS 服务器将按预期作出响应，并提供这些数据（或者，若没有数据，则发出否定响应）。如果请求所需要的节点尚未载入内存，那么 DNS 服务器将从 AD DS 读取该节点的数据，然后相应更新该节点的记录列表。让学生了解 RPC 代表”远程过程调用”（Remote Procedure Call, RPC）。参考资料 DNS Server Role：2.3 配置只读DNS区域教学提示 ：本部分主要达到以下目的： 配置只读DNS区域教学内容和方法2.3.1 只读 DNS 区域将只读 DNS 区域与标准 DNS 中的辅助名称服务器

15、进行比较。在两种情况下，区域信息都是只读的。但是，对于 RODC 上的只读 DNS，信息仍存储在 AD DS 中。参考资料 DNS Server Role：2.3.2 只读DNS的工作方式提及将记录添加到 DNS 区域的唯一方法是更新区域的可写副本，然后等待复制过程更新该区域的只读副本。实验实验目标在本实验中，学生将配置 AD DS 和 DNS 集成。 查看 SRV 资源记录。 配置 AD DS 和 DNS 集成。 配置只读 DNS 区域。场景Woodgrove Bank是一家在全球多个城市都设有办事处的企业。Woodgrove Bank 与另外两家公司 Fabrikam Inc. 和 Con

16、toso Inc. 有业务关系。 Woodgrove Bank 获得了这两家公司的 DNS 区域文件的副本。Woodgrove Bank 林中的所有员工都需要访问 Contoso Inc. 的 DNS 记录。只有 Woodgrove Bank 域中的员工需要访问 Fabrikam Inc. 的 DNS 文件。Woodgrove Bank 的分支机构有只读域控制器，该域控制器将配置为既支持 DNS 服务器服务，又支持所有林范围和域范围的 DNS 区域。企业管理员已经创建了 DNS 配置的设计文档。该设计中包括配置 AD DS 集成区域、配置 DNS 动态更新，以及配置只读 DNS 区域。实验 2

17、-1：配置Active Directory集成区域学生将配置 Woodgrove Bank 环境的 DNS 区域，以符合设计要求。学生将验证每个域控制器注册的 SRV 资源记录，并创建新的 SRV 资源记录以支持 Telnet 协议。此外，学生还将修改DNS区域，以查看 Active Directory 集成区域和标准区域之间的差别，并且配置动态更新以及复制范围。然后，使用 ADSI Edit 管理控制台来查看存储在域分区中的 DNS 记录。 实验 2-2：配置只读DNS区域学生将在 RODC 上配置只读 DNS 区域，并且将测试动态更新和管理更新。实验复习题与解答问题：在自定义应用程序分区，

18、而不是在默认分区中存储 Active Directory 集成 DNS 区域，这有什么优点？ 答案：运行 DNS 的选定域控制器可接受 DNS 区域的副本。 这对于确保内部记录和公共记录只复制到正确的 DNS 域控制器可能非常有用。问题：如果 SRV 资源记录被删除或损坏，那么为了恢复该记录，可以采取什么步骤？答案：重新启动 Netlogon 服务。问题：谁可以创建 Active Directory 集成区域？答案：有管理权限的用户。习题答案简答题问题：客户端计算机如何确定自己位于哪个站点？答案：客户端通过将其 IP 地址传给域控制器来查询域控制器。域控制器在其子网对站点映射中查找客户端的 I

19、P 地址，然后将站点信息返回给客户端。客户端最后将这些信息存储在其注册表中。问题：列出 Active Directory 集成区域的至少三项益处。答案： 目录复制比标准 DNS 复制更快、更高效。 支持多主机更新。 通过安全的动态更新增强安全性。 支持记录老化和清理。问题：在下面两个 SRV 资源记录示例中，哪条记录将由客户端用于查询会话启动协议（SIP）服务？ _sip._. 86400 IN SRV 10 60 5060 L _sip._. 86400 IN SRV 50 20 5060 L答案：如果 Lcs1 的 SRV 资源记录可用，那么将总是选择该记录，因为其优先级字段的值较低。只有

20、在优先级字段相等的情况下，才会使用权重字段。问题：创建 DNS 应用程序目录分区需要哪些权限？答案：Enterprise Admins 的权限。问题：哪些实用工具可用于创建应用程序分区？答案：Dnscmd、NTDSutil、ADSI edit 和 LDAP 命令。问题：Active Directory 集成区域动态更新的默认状态是什么？答案：“安全”。问题：标准主要区域动态更新的默认状态是什么？答案：无。问题：哪些组有权执行安全动态更新？答案：Authenticated Users。实战题1. 你有一个 Active Directory 域。所有域控制器都运行 Windows Server 2

21、008，并且配置为 DNS 服务器。该域包含一个 Active Directory 集成的 DNS 区域。你需要确保系统从 DNS 区域中自动删除过期的 DNS 记录。你该怎么做？A. 从区域的属性中，启用清理。B. 从区域的属性中，禁用动态更新。C. 从区域的属性中，修改 SOA 记录的 TTL。D. 从命令提示符下，运行 ipconfig /flushdns。答案：A2. 你有一台运行 Windows Server 2008 的域控制器，并且该域控制器已配置为 DNS 服务器。你需要记录发给该服务器的所有入站 DNS 查询。应该在“DNS 管理器”控制台中进行什么配置？ A. 启用调试日志

22、。B. 启用自动测试简单查询。C. 启用自动测试递归查询。D. 配置事件日志以记录错误和警告。答案：A3. 公司有一台 DNS 服务器，该服务器有 10 个 Active Directory 集成区域。你需要将该 DNS 服务器的区域文件的副本提供给安全部门。你该怎么做？A. 运行 dnscmd /Zonelnfo 命令。B. 运行 ipconfig /registerdns 命令。C. 运行 dnscmd /ZoneExport 命令。D. 运行 ntdsutil Partition Management List 命令。答案：C4. 有一台运行 Windows Server 2008 的域

23、控制器，名为 DC1。DC1 被配置为 的 DNS 服务器。你在名为 Server1 的成员服务器上安装了 DNS 服务器角色，然后你创建了 的标准辅助区域。你将 DC1 配置为该区域的主服务器。你需要确保 Server1 收到来自 DC1 的区域复制。你该怎么做？A. 在 Server1 上，添加条件转发器。B. 在 DC1 上，修改 区域的权限。C. 在 DC1 上，修改 区域的区域传送设置。D. 将 Server1 计算机账户添加到 DNSUpdateProxy 组。答案：C5. 网络由一个 Active Directory 林组成，并且该林包含一个域。所有域控制器都运行 Windows

24、 Server 2008，并且配置为 DNS 服务器。你有一个 Active Directory 集成区域。还有两个 Active Directory 站点。每个站点包含五个域控制器。你将一个新的 NS 记录添加到区域。你需要确保所有域控制器都立即收到这条新的 NS 记录。你该怎么做？A. 从“DNS 管理器”控制台中，重新加载区域。B. 从“服务”管理单元中，重新启动“DNS 服务器”服务。C. 从命令提示符下，运行 repadmin /syncall。D. 从“DNS 管理器”控制台中，提高 SOA 记录的版本号。答案：C6. 网络由一个 Active Directory 林组成，该林包含

25、一个名为 的域。所有域控制器都运行 Windows Server 2008，并且配置为 DNS 服务器。你有两个 Active Directory 集成区域： 和 。你需要确保用户能够修改 区域中的记录。你必须防止用户修改 区域中的 SOA 记录。你该怎么做？A. 从“DNS 管理器”控制台中，修改 区域的权限。B. 从“DNS 管理器”控制台中，修改 区域的权限。C. 从“Active Directory 用户和计算机”控制台中，运行“控制委派向导”。D. 从“Active Directory 用户和计算机”控制台中，修改 Domain Controllers 组织单位 (OU) 的权限。答

26、案：A7. 公司有一个名为 的 Active Directory 域。该域有两个域控制器，分别名为 DC1 和 DC2。两个域控制器都安装了 DNS 服务器角色。你在外围网络上安装了一台新的 DNS 服务器，名为 DNS。你将 DC1 配置为将所有未解决的名称请求转发给 DNS。你发现 DNS 转发选项在 DC2 上不可用。你需要在 DC2 服务器上将 DNS 转发配置为指向 DNS 服务器。你应该执行哪两个操作？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）A. 清除 DC2 上的 DNS 缓存。B. 删除 DC2 上的根区域。C. 在 DC2 上配置条件转发。D. 在 DC2

27、上配置侦听地址。答案：BC8. 公司有一个 Active Directory 域，名为 。公司网络有两台 DNS 服务器，分别名为 DNS1 和 DNS2。这两台 DNS 服务器的配置如图2-11所示。 图 211 两台DNS服务器配置域用户被配置为使用 DNS2 作为首选 DNS 服务器，但他们无法连接到 Internet 网站。你需要为所有客户端计算机启用 Internet 名称解析。你该怎么做？A. 在 DNS1 上创建 .(root) 区域的副本。B. 更新 DNS2 上的根提示服务器的列表。C. 在 DNS2 上更新 Cache.dns 文件。在 DNS1 上配置条件转发。D. 从

28、DNS2 中删除 .(root) 区域。在 DNS2 上配置条件转发。答案：D9. 网络包含一个 Active Directory 林。所有域控制器都运行 Windows Server 2008，并且都配置为 DNS 服务器。你有一个 的 Active Directory 集成区域。你有一台基于 Unix 的 DNS 服务器。你需要配置 Windows Server 2008 环境，以允许 区域传送到基于 Unix 的 DNS 服务器。应在“DNS 管理器”控制台中执行什么操作？A. 禁用递归。B. 创建存根区域。C. 创建辅助区域。D. 启用 BIND 辅助区域。答案：D10. 你正在解除承载所有全林性操作主机角色的域控制器。你需要将所有全林性操作主机角色转移到另一个域控制器。你应该转移哪两个角色？（每个正确答案表示解决方法的一部分。请选择两个正确答案。）A. RID 主机B. PDC 仿真器C. 架构主机D. 基础结构主机E. 域命名主机答案：CE11. 公司有一个 Active Directory 域。公司有两台域控制器，分别名为 DC1 和 DC2。DC1 承载着架构主机角色。DC1 出现故障。你使用管理员账户登录到 Active Directory。你无法传送“架构主机”操作角色。你需要确保 DC2 承载“架构主机”角色。该怎么做？A. 注