当前位置: 首页 > 服务器 > 服务器知识 > 正文

实战域树部署,Active Directory系列之十九

时间:2010-01-13 51cto 岳雷

域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。这会在企业管理方面造成诸多不利因素,首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。

域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。域树在信任关系上也有很好的改进,域树内的各个域之间会自动建立起双向可传递的信任关系,显然这是一个效率上的重大改进。

既然域树如此重要,那我们将通过一个实例为大家介绍如何部署一个包括父域和子域的两层域树。拓扑如下图所示,父域为itet.com,域控制器和DNS都是Florence。子域是shanghai.itet.com,域控制器和DNS都是Firenze。父域已经创建完毕,我们将为大家介绍如何部署子域。如果父域和子域都使用同一个DNS服务器,部署起来会更容易。但我们考虑到有可能子域希望能拥有独立的域名解析权,这样很多工作会更容易开展,因此我们决定在子域也设置一个独立的DNS服务器。

一 DNS委派

首先我们要考虑DNS的委派问题。目前,itet.com的解析权归Florence,也就是说Florence可以解析所有以itet.com结尾的域名。如果我们希望Firenze能够解析shanghai.itet.com,那么我们必须在Florence上对Firenze进行委派,授权Firenze可以解析shanghai.itet.com。我们在Florence上打开DNS管理器,如下图所示,右键点击itet.com,选择“新建委派”。