在Windows2000网络中,公司的活动目录域名空间,反映了自己的DDNS名称空间 。在活动目录中的域在DDNS中也应有 。当组建公司的DDNS结构时,必须考虑域和子域在活动目录中的使用方式 。活动目录的设计对DDNS的设计有很大影响 。两者的设计应很好地结合起来!
当生成活动目录的域时,它既是活动目录的名称空间中的域又是DDNS的名称空间中的域 。它在活动目录中是一个物理的节点,在DDNS中是一个区域 。当解析网络上的客户机时,客户机需根据存储在活动目录中的帐户信息说明来确认它的登录,且客户机必须在DDNS的区域中动态的注册 。例如,一个客户机用一个易解析的名字登录活动目录如clIEnt@mycompany.com,将用其主机名和IP地址更新DDNS 。在DDNS完成动态更新后,一条A纪录就存在于DDNS中了,将用于解析查询 。让mycompany.com域的其他成员可以访问它 。这里要注意,活动目录的域成员在DDNS上存储的主机纪录,应该有相同的域名称 。活动目录的名称空间和DDNS的名称空间应该是相同的 。如果活动目录要求独立的域,DDNS应该反映出这种结构 。
在理想的情况下,设计DDNS和设计活动目录的目的是一样的常用的DNS设计标准如下:
最顶层的域应该保持不变,这个域通常是公司的名称,如mycompany.com;
由国内和国际业务的公司经常将DNS的名称空间分成子域,每个子域代表不同的管理任务;
当单个域很大时,应该把它分成几个子域 。这样会减少管理域的工作量,并减少DNS服务器的负荷量;
公司也可以根据公司的地理分布、管理机构及IT支持结构来建立相应的子域 。
有了这些可供选择的方法及充分认识DDNS的灵活性后,根据DNS的设计标准,就可以决定怎样划分名称空间 。但最重要的是DNS的子域和活动目录的域应匹配 。如果公司有因特网业务,在设计DNS时就应该有一个更远的打算,并且判断把名称空间提交到因特网是否与内部有所不同,下面我们具体分析一下:
为了一致性,一些公司对内部和外部的用户提供一个相同的DNS名称空间 。在这种方案中,代表一个目录的单个的DDNS域,如contoso.com,它内部的资源能在防火墙的内部和外部方便地转换为IP 地址 。当然,对内部和外部的用户使用单一的名称空间也有一些问题需要解决,例如,不想让因特网的每个用户都知道内部主机的纪录,不想把所有的内部IP地址在因特网上公开,以及需要提供一种方法给内部用户,实现把内部和外部资源转换为IP 地址 。最好的办法是将内部资源和外部资源纪录存储在不同的区域中,让内部资源的IP地址对外部用户是不可见的,在内部和外部的区域之间没有复制,即本质上它们共享相同的域名,但它们的操作是独立的:它们都是在的DDNS服务器上不同的基本的区域 。那么内部的用户怎样才能访问域外的资源呢?这有多种解决方案,较流行的方法是在防火墙的内部建立外部资源的副本,然后通过代理来访问,就好象访问内部名称一样 。这种内部和外部的资源使用相同的名称空间,要有很多附加的配置,集成工作较复杂!参见示例图一
示例1
一个有因特网业务的公司也可以有不同的内部和外部域名称 。例如在防火墙内部使用contoso.local,防火墙的外部使用contoso.com,通过用不同的内部和外部名称名称空间,公司为内部资源提供保密,同时简化名称解析过程 。不需要把外部服务器镜像到防火墙内部,或在外部服务器和镜像服务器之间配置代理 。这种方法配置起来非常简单,公司用户可以根据FQDN来区分内部和外部的资源 。这种DDNS建立的两个域名空间,都应该在因特网上单独注册 。尽管contoso.local只在内部使用,但也应该注册,以防止其他人使用 。否则如果被别人注册了,当内部用户把浏览器指向www. contoso.local,就有可能访问到其他的Web站点了 。参见示例2
推荐阅读
- Windows 2000 文件排列方式操作技巧
- Windows 2000 调整显示屏刷新频率
- Windows 2000 从网络访问共享目录的不同权限
- Windows 2000 双启动解疑
- 小米10怎么卸载软件
- Windows 2000 创建SMTP虚拟服务器
- 如何在Windows 2000中添加用户
- 在Windows 2000中停止硬件设备
- Windows 2000 中配置DNS服务器
- 失望中的失是什么意思