辅助域控及dns设置详解

域网络构建教程（2 ）域控制器中DHCP、WINS、DNS的安装和基本设置（2003Server）域控制器中的服务三剑客的安装及设置当使用DCPROMO命令提升的域控制器完成首次启动进入系统后，我们先不要忙着安装和设置，我建议大家先打开事件查看器（我平时都是在桌面建个快捷方式），在这里系统把它的喜怒哀乐都记录在了里面，想让它少发脾气，我们就要时不时的看看这里。

一、首次浏览事件查看器1、应用程序打开管理工具——事件查看器，点击左侧的应用程序，你会看到一个必然出现的警告信息，是关于MSDTC（微软分布式传输协调程序）的。

我装了N次的系统了，每次都有。

截图如下：改正方法：选择管理工具——组件服务，在左侧窗口中打开组件服务——计算机，选择之下的我的电脑，打开属性对话框。

如图：选择MSDTC选项卡，点击最下方的安全配置按钮，在弹出的窗口中直接点击确定，关闭它（不用改变其中的任何选项，微软比较搞笑），再点击确定关闭属性窗口。

然后右击窗口左侧的我的电脑，在弹出的菜单中点击停止MSDTC。

如图：之后再次右击我的电脑，在弹出的菜单中点击启动MSDTC。

现在再看看事件查看器，警告变为信息了。

如图：2、浏览其他事件系统项中会有几个警告，其中只有来源是W32Time的这个警告会反复出现。

解决方法是停掉ntpclient服务。

方法如下：在运行中输入regedit回车，运行注册表编辑器，按照下面的路径逐步打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpC lient直到在窗口右侧看到Enabled。

把Enabled的值改成0。

如图：其他的警告和错误，如果你仔细观察的话会发现，他们都出现在域控制器第一次正式启动之前。

这主要是因为我们的DNS服务是在升级域控的同时安装的，所以才会有这些与DNS有关的警告，它们都是在升级时产生的。

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

DNS服务器配置1．DNS的安装开始-运行-sysocmgr /i:sysoc.inf,打开Windows组件安装向导选择网络服务-DNS，下一步，开始安装安装结束后，点开始-运行-dnsmgmt.msc，运行DNS，如上图2．新建区域打开DNS，鼠标右键正向查找区域-新建区域点下一步选主要区域，点下一步在区域名称里写，点下一步默认就好了，点下一步选允许非安装和安装动态更新（工作组环境没有第一项），点下一步点完成，完成区域的创建3．新建主机记录展开，鼠标右建，新建主机名称里写www，IP地址里写192.168.1.10，点添加主机，完成可看到区域已经创建成功4．配置客户端客户机验证成功4．新建委派环境：主DNS服务器192.168.1.1，受委派的DNS服务器192.168.1.10在主DNS服务器上，展开，新建主机这里名称写www，IP地址里写192.168.1.10（此地址是你要委派的DNS服务器的IP地址）添加主机，完成鼠标右键，选新建委派在委派的域中写sy,点下一步这里需要您添加一个受委派的DNS服务器，点添加，我们添加一个DNS服务器点确定，下一步，完成委派的创建新建一个正向查找区域为,新建一条A记录，我们到客户机验证一下委派是否成功客户机配置可看到委派成功了总结：委派是通过在区域中新建委派，可以将子域()委派到其他服务器进行维护这里，我们主DNS服务器里有区域，但是区域里没有记录，该记录在受委派的DNS服务器上，当客户机查找时，是受委派的域进行解析的。

5．辅助区域的创建环境：2台DNS服务器，分别为A 192.168.1.1和B 192.168.1.10在A DNS服务器上，创建一个正向查找区域，并添加一条A记录对应IP地址为192.168.1.1在B DNS服务器上，鼠标右键正向查找区域--新建区域，下一步选择辅助区域，下一步在区域名称里写，点下一步在IP地址里写192.168.1.1（A DNS服务器的IP地址），点添加，下一步，完成辅助区域的创建我们可以看到在B服务器上,区域前面有个大红叉，不要紧，我们在A服务器上做一些相应的配置就会复制过来了在A服务器上，鼠标右键区域，选择属性，选择区域复制选项卡配置如上图，允许区域复制，然后确定完成，回到B服务器上鼠标右键，选择“从主服务器复制”然后刷新一下，区域就复制过来了，如下图6．转发器配置环境:A服务器(192.168.1.1)为企业内部DNS服务器，现企业内部客户机想访问外网的WEB 网站，但是企业内部DNS没有外网WEB网站的A记录。

环境：[ENSP]环境：［ENSP］类型一：在设备中添加静态域名解析表，可以用于代替相应的ip地址执行一般网络命令：如：ping、telnet等命令：（系统视图）ip host 主机名对应的ip地址类型二：动态域名解析，在设备中开启域名解析功能并指定固定的DNS服务器。

第一步:（系统视图）开启动态域名解析功能：dns resolve第二步：（系统视图）指定域名服务器地址：dns server X。

X。

X。

X（服务器地址）第三步：(系统视图)（可选）配置域名后缀列表，配置完成后，路由器再发送DNS解析请求时会自动把域名加上所配置的后缀。

命令：(系统视图)：dns domain 域名后缀类型三:DNS代理DNS客户端有时候不能或则不必须直接配置成DNS服务器地址，这是就可以通过在路由器上设置后DNS代理后直接把客户端的DNS地址设置成DNS代理的地址即可。

第一步:(系统视图）开启动态域名解析功能：dns resolve第二步：（系统视图）使能DNS代理功能：dns proxy enable第三步：（系统视图)指定域名服务器:dns server 服务器ip地址配置实例：路由器R1配置:［R_Test］dis current-configuration ＃sysname R_Test＃dns resolvedns server 192。

168。

1。

2dns proxy enable#undo nap slave enableaaaauthentication-scheme defaultauthorization—scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal—user yyc password cipher 3=e，$)<cL=3@9_G-B0Y2wx5＃ local—user yyc privilege level 3local—user yyc service—type telnetlocal—user admin password cipher lWuAT'.fy83＠9_G-B0Y2wx5＃ local-user admin service—type http#firewall zone Localpriority 16＃interface Ethernet0/0/0ip address 192.168。

建立域名辅助域步骤
一、增加DNS服务（已有DNS服务器可跳过此步骤）
1.首先启动server，点“开始”—“程序”－“控制面板”－“添加删除程序”
中，左下方选择“添加／删除ｗｉｎｄｏｗｓ组件”
2.下拉组件栏的滚动条，选择“网络服务”点右下方“详细信息”在“网络服务
的子组件”中选中“域名系统（DNS）”这时候，要选中复选框
3.点击“确定”直接到完成
4.点击图标进入ｄｎｓ对话窗口，右键点击服务器选择属性（如图），选择“转
发器”选项卡，将转发器功能启用，并在下方填入本地运营商提供的ＤＮＳ服
务器地址。

二、新建辅助区域
1.打开DNS管理器，右击“正向搜索区域”，选择“新建区域”
2.选择“新建辅助区域”
3.填入区域名称“”
4.填写源地址“172.16.2.19”
5.点击新增加的区域名称，服务器会自动同步所需信息。

及的添加方式参照如上步骤，复制IP为：172.16.2.19
三、更改PC机首选DNS服务器
四、测试
在更改过首选DNS服务器的PC机上ping ，如能正确解析为“10.0.76.141”即域名复制成功。

华润雪花啤酒（中国）有限公司
信息化管理部。

linux下dns配置详解dns配置详解大全DNS简介在Linux中，域名服务（DNS）是由柏克莱网间名域（Berkeley Internet Name Domain——BIND）软件实现的。

BIND是一个客户/服务系统，它的客户方面称为转换程序（resolver），它产生域名信息的查询，将这类信息发送给服务器，DNS软件回答转换程序的查询。

BIND的服务方面是一个称为named （读作“name”“d”）的守护进程。

我们将讨论三种基本BIND配置任务：配置BIND转换程序。

配置BIND域名服务。

建立服务器数据库文件，称为“区文件（zone file）。

前面我们介绍过，术语“区（zone）”往往可以与单词“域（domain）”互换使用，但这里却有一些区别，“区”是指域数据库文件，而“域”则比较通用。

在本书中，域是用域名定义的域结构中的一部分，而区则是域数据库文件中包含域信息的集合，包含域信息的文件称为“区文件”。

DNS的作用是把IP地址转化为代表主机、网络和邮件别名的助记名。

它把整个Internet IP地址和名字空间分解为不同的逻辑组来做这项工作。

每个组对它所拥有的计算机和其他信息具有控制权。

DNS服务器的类型BIND可以配置成以几种不同的方法运行的DNS，常见的BIND配置是唯转换程序系统、唯高速缓存系统、主服务器和辅助服务器。

转换程序是一段要求域名服务器提供域信息的程序，在Linux系统中，它是作为一个库程序来实现的，不是一个单独的客户程序。

在唯转换程序系统中，仅使用转换程序，并不运行域名服务器。

这种系统是很容易配置的，最多只需要设置/etc/resolv.conf文件。

其它三个BIND配置选项都是用于named服务软件的。

唯高速缓存服务器唯高速缓存服务器（caching-only server）可运行域名服务器软件但是没有域名数据库软件。

它从某个远程服务器取得每次域名服务器查询的回答，一旦取得一个答案，就将它放在高速缓存中，以后查询相同的信息时就用它予以回答。

域控配置步骤范文域控配置是指在网络环境中建立和配置域控制器（Domain Controller），用于管理和认证域中的用户和计算机。

下面将详细介绍域控配置的主要步骤。

1.预备工作在开始域控配置之前，需要进行一些预备工作。

首先，需要确定好域名和域控制器的命名规则，包括域名后缀和域控制器的主机名。

其次，需要确保网络环境正常工作，包括IP地址和DNS设置的正确配置。

2.安装操作系统首先，需要在物理机或虚拟机上安装适合的操作系统，建议选择Windows Server系列操作系统，如Windows Server 2024或Windows Server 2024、操作系统的版本和硬件需求可以根据实际情况来选择。

3.添加角色和功能在操作系统安装完成后，需要通过“服务器管理器”添加域控制器角色和相关功能。

打开“服务器管理器”，点击“管理”->“添加角色和功能”，然后按照向导的指导完成添加。

4. 安装Active Directory域服务在添加角色和功能完成后，需要在“服务器管理器”中选择“添加角色和功能”的“选定服务角色”页面，勾选“Active Directory域服务”，安装Active Directory域服务。

5.创建新的林在Active Directory域服务安装完成后，需要配置新的林。

在“Active Directory域服务安装配置向导”中，选择“创建新的域”，并输入根域和域的名称。

然后，选择域功能级别和林功能级别，可以根据实际需求选择适合的级别。

6.设置域控制器选项在设置域控制器选项的页面上，可以选择是否安装DNS服务器和DHCP服务器。

如果网络环境中已经有现有的DNS服务器和DHCP服务器，可以选择不安装。

7.设置目录服务恢复密码在设置了域控制器选项后，需要设置目录服务恢复密码。

这个密码用于恢复目录服务的数据，需要妥善保管。

8.安装在确认配置的页面上，可以查看和确认所做的配置。

如果确认无误，点击“安装”按钮开始安装域控制器。

DNS服务器的配置一．DNS服务器概述DNS服务器又称名字服务器，它主要提供把域名解析为IP地址的服务。

由于IP地址是一组数字，不易记忆，也缺乏实际的含义，所以人们在访问网站时更习惯用域名去访问。

域名具有层次结构，比如：，其中cn表示中国，edu表示教育机构，bttc表示包头师范学院，www表示一个Web网站，所以用这个域名就可以打开包头师范学院的网站主页了。

域名容易记忆，但用域名是无法直接访问到网站的，必须把域名转换成IP地址才能访问到网站。

负责这个转换工作的就是DNS服务器。

DNS服务器主要有主要名字服务器和辅助名字服务器。

主要名字服务器的域名库是由管理员手工配置的，管理员可以把本区域的域名与IP地址的对应关系添加到主要名字服务器的域名库中。

辅助名字服务器的域名库来源于其它DNS服务器，不能进行手工配置，一个辅助名字服务器可与多个DNS服务器相关联，起到备份的作用，当主要名字服务器发生问题时，还可以接替它的工作。

Internet中有多台DNS服务器，它们构成树形的层次结构，每个DNS服务器负责管理一个域或几个域，当一个DNS服务器遇到它无法解析的域名时，会由其它的DNS服务器尝试进行解析。

Windows 2003中的“网络服务”组件中包含有DNS服务器，用它可以构建服务于本地的DNS服务器。

正向查找区域：该区域可把域名解析为IP地址。

反向查找区域：该区域可把IP地址解析为域名。

主要区域：负责区域中所有名字的解析工作。

主要区域中的域名数据库可以手工创建和维护。

辅助区域：这种区域的域名数据库是从其它域名服务器上获取的，主要用于减轻主要名字服务器的负担。

一个辅助名字服务器可以与多个其它域名服务器相关联。

辅助区域中的域名数据库是只读的，不能手工修改。

DNS缓存：每个DNS服务器都有缓存，它会将DNS服务器向其它DNS服务器查询的结果存放在缓存中，这样，当客户机再次查询该名字时，可加快查询速度。

DNS缓存中的数据都有一定的生存期，长时间不使用的数据，会自动丢弃。

继续上一小节的内容。

2、配置辅DNS区域安装DNS的过程和上述类似，这里不再重复。

下面开始创建辅助区域。

打开DNS管理器，具体操作如下图：选择【新建区域】后，如下图：直接【下一步】，如下图：我们要建立主区域的辅助区域，所以这里的区域类型选择【辅助区域】。

如下图：这里输入的名称要和主区域的一致，设置完成后点击【下一步】，如下图：此时向导提示我们输入主DNS服务器的IP，设置完成后点击【下一步】，如下图：最后一步显示了设置信息，点击【完成】结束此向导。

我们到DNS2上看看的区域信息是否已被复制。

如下图：可以看到在DNS2上也看到了和DNS1中一样的记录，双击SOA的记录，如下图：设置都是灰色的，无法修改，表明这些信息是来源于主DNS服务器，NS和A记录也是一样。

复制过程耗时长短取决于区域记录的多少以及所采取的复制类型，即全区域传输，或是增量区域传输。

默认是全区域传输，我这里也是采用的这种方式。

由于记录很少，所以整个过程复制的很快。

我们通过wireshark来看一下复制过程中，辅助区域和主区域间是如何通讯的。

如下图：经过这个过程，辅助区域就建立完成了，那记录是如何更新的呢？在SOA的属性里，有一个几个和时间有关的参数，那些参数就决定了主DNS区域会间隔多久来验证辅助区域内的数据有效性，我们也可以手工复制来进行数据同步。

在辅助区域的空白处，单击右键可以看到有两个加载选项，如下图：那这两个选项有什么不同呢，简单讲，从【主服务器复制】其实只是更新增量的部分，也就是IXFR更新，而【主服务器重新加载】则是重新更新所有的记录，也就是AXFR更新。

测试过程其实很简单，在DNS1任意添加一条记录，然后再DNS2上使用着脸个选项，就可以看到记录很快被同步过来。

具体实验不再演示了，我抓了两张协议分析图以供参考，如下图：【主服务器复制】：【主服务器重新加载】：至此，副本区域已经创建完毕。

为了测试方便，我同时也创建了反向查询区域和对应的副本区域。

把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

架设DNS服务器推荐2010-11-18 10:29:33标签：DNS概述工作原理DNS架设一、DNS技术概览1、DNS的简单概述、工作原理与分类2、DNS服务器的安装与配置文件3、架设一台主域名服务器，实现直接解析域名、添加别名记录、负载均衡、泛域名解析4、架设一台辅助域名服务器5、架设一台缓存域名服务器6、架设一台企业级域名服务器，实现多个域的正反向解析二、DNS的简单概述、工作原理与分类1、DNS（Domain Name System）域名系统，能够提供域名与IP地址的解析服务。

网络中为了区别各个主机，必须为每台主机分配一个惟一的地址，这个地址即称为“IP地址”。

但这些数字难以记忆，所以就采用“域名”的方式来取代这些数字了。

Internet域名空间结构可以分成：根域、顶级域、二级域、子域全球只有13台根域服务器，而且所有的dot DNS服务器都是bind软件架设的。

顶级域有3中类型，分别：·组织域：比如com为商业机构组织，edu为教育机构组织，gov为政府机构组织，mil为军事机构组织，net为网络机构组织，org为非营利机构组织，int为国际机构组织·地址域：采用两个字符的国家或地区代号。

如cn为中国，kr为韩国，us为美国·反向域：这是个特殊域，名字为in-addr.arpa，用于将IP地址映射到名字（反向查询）2、DNS域名解析工作原理（重中之重）1、客户机提交域名解析请求，并将该请求发送给本地的域名服务器2、当本地的域名服务器收到请求后，就先查询本地的缓存。

如果有查询的DNS信息记录，则直接返回查询的结果。

如果没有该记录，本地域名服务器就把请求发给根域名服务器3、根域名服务器再返回给本地域名服务器一个所查询域的顶级域名服务器的地址4、本地服务器再向返回的域名服务器发送请求5、接收到该查询请求的域名服务器查询其缓存和记录，如果有相关信息则返回本地域名服务器查询结果，否则通知本地域名服务器下级的域名服务器的地址。

server2008多台域控DNS设置（一台有双网卡）
公司有两台域控，其中一台装有双网卡，内网域，外网公网，配置过程中总是发现两台域控帐号不能同步。

查看AD日志，初步判定为DNS注册问题，
打开双网卡域控的Active Directory站点和服务，果然发现另一台域控是脱机状态。

做了以下操作：
1.双网卡域控鼠标右键“网上邻居”的“属性”----工具栏中点开“高级”----再点击“高级设置”---将内网卡调整到上面
2.双网卡域控在网上邻居的本地连接中，点开外网卡的属性，在tcp/ip的属性---高级中，将 DNS 中的“在DNS中注册此链接的地址”前面的勾取消掉。

3.两台域控的DNS服务器中删除外网卡的DNS主机记录。

主要是点开（与父文件夹相同），进行删除。

又按以下规则来配置了DNS。

1.DC与BDC上都安装DNS服务，而不是只在一台服务器上启用，防止DNS解析错误，为DNS解析提供冗余功能。

2.DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。

3.DC辅助DNS服务器地址要设置为BDC的地址，相应的BDC
上的辅助DNS服务器地址要设置为DC的IP地址。

重启双网卡域控，问题解决！
总结:配置域控制器是一件非常麻烦的事情，而且故障的发生没有规律可言，所以在升级网络为域时的初始化操作中一定要遵循相应规则，这样可以将故障发生几率降到最低。

主域控脱机后如何将辅助域控变成主域控2008年06月11日星期三上午08:50一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。