二、区域

　　1．区域的类型

　　Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。

　　主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外，DNS数据库与其它数据库如WINS和DHCP保持独立，复制是从其它复制服务中独立设置。如果网络中有服务器运行低于

　　8.1.2的BIND版本，则必须使用主要/辅助区域，因为在早先的版本中不支持动态更新。

　　如果安装了活动目录，DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分，每条记录都是活动目录的对象，每个活动目录对象拥有它自己的ACL（访问控制列表）。

　　2．区域传输或复制的类型

　　Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输，是整个区域数据库文件的复制。IXFR或增量区域传输，仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域，那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。

　　当 DNS与活动目录集成时，所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。

　　多主机模型的好处之一是没有单点失败的问题。这是可能的，因为DNS是活动目录数据库的一部分，而活动目录数据库被复制到所有的域控制器。

　　多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分，因此DNS区域传输作为活动目录复制的一部分完成。

　　3．区域传输的安全

　　如果Windows 2000的DNS配置为主要/辅助区域，是不能使用加密和压缩的。为了与BIND兼容，Windows 2000支持AXFR，每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与 BIND8.2.1版本兼容Windows2000支持IXFR，为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。

　　当Windows 2000的DNS配置为与活动目录集成时，复制进程成为活动目录复制的一部分，因此它自动使用加密和压缩。

　　在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密，不需要管理员配置。

　　当活动目录更新在"桥头"服务器间传输时，自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的，当活动目录使用广域网链路进行更新时，每个局域网的桥头服务器会与其它桥头服务器通信，这将大大减少通过 WAN 链路的流量。在这种情况下，为了节省带宽会自动压缩。

　　三、活动目录集成DNS 区域

　　在 Windows 2000下活动目录与DDNS集成，因此实现活动目录安全第一步是实现 DDNS的安全。

　　1．文件系统

　　使用NTFS。Windows 2000 的版本是 NTFS v5，此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。

推荐文章