TSM02文档格式.docx
《TSM02文档格式.docx》由会员分享,可在线阅读,更多相关《TSM02文档格式.docx(15页珍藏版)》请在冰点文库上搜索。
课堂教学(2课时)+实验教学(2课时)
教学提示:
本部分主要达到以下目的:
∙掌握ADDS和DNS的关系和集成方法
教学内容和方法
2.1.1ADDS和DNS命名空间集成
使用嵌套幻灯片比较将内部域名系统(DNS)命名空间与外部命名空间集成的各种选项。
强调对内部和外部名称解析保留不同的DNS服务器的重要性。
内部DNS区域不得在Internet上暴露,因为内容区域将包含所有域控制器记录。
提及ActiveDirectory需要DNS,但并不是必需某一特定类型的DNS服务器。
内部服务器和DNS服务器可以是不同的类型。
参考资料
∙HowDNSSupportforActiveDirectoryWorks:
2.1.2SRV资源记录
强调SRV资源记录在WindowsServer2008环境中的重要性。
自Windows2000发布以来,所有客户端计算机都使用DNS作为查找域控制器的主要过程。
如果DNS中没有SRV资源记录,那么客户端登录将极其缓慢,甚至失败。
描述SRV资源记录的组成部分,然后使用幻灯片中的示例描述该记录如何提供客户端计算机查找域控制器所需要的所有信息。
∙DNS管理员帮助:
添加资源记录
“服务位置(SRV)资源记录”对话框
2.1.3演示:
ADDS域控制器注册的SRV资源记录
演示步骤
为了完成本演示,必须运行10078A-NYC-DC1虚拟机。
打开DNS管理器控制台,并显示列在_msdcs.WoodgroveB中以及WoodgroveB域中的SRV资源记录。
详细描述某条记录,然后显示包含记录的子文件夹:
∙删除DNS中的某条SRV资源记录。
∙先停止再启动NetLogon服务,然后确认该记录在DNS中已恢复。
提及使用支持DNS更新的DNS服务器的重要性,以使NetLogon服务可注册记录。
∙打开%systemroot%\system32\config\netlogon.dns,然后讨论记录如何添加到不支持动态更新的DNS服务器。
2.1.4SRV资源记录的使用
描述客户端用来查找域控制器的过程。
提及所有计算机,包括WindowsXP和WindowsVista之类的工作站,以及WindowsServer2003和WindowsServer2008之类的服务器,都使用同样的过程。
∙HowDomainControllersAreLocatedinWindowsXP:
2.1.5集成SRV记录和ADDS站点
使用嵌套幻灯片描述,客户端计算机如何查找同站点中的域控制器。
提及客户端计算机的站点配置是动态的,并且基于该计算机的IP地址以及ActiveDirectory中的站点配置。
一方面,客户端计算机要在启动并收到来自DNS和ActiveDirectory的站点信息之后,才会知道自己的站点位置。
另一方面,域控制器配置的是静态站点配置。
在嵌套幻灯片中,步骤1和步骤2显示客户端计算机启动,并请求DNS服务器提供域控制器。
步骤3和步骤4显示客户端连接到其他站点的域控制器。
注意:
客户端尚不知道站点。
域控制器检查客户端配置,然后重定向客户端,以使其与客户端本地站点中的域控制器进行通信。
步骤5和步骤6中显示了该过程。
∙FindingaDomainControllerintheClosestSite:
2.2配置ADDS集成区域
∙配置ADDS集成DNS区域
2.2.1ADDS集成区域
询问学生,域名系统(DNS)区域在ActiveDirectory域服务(ADDS)之外是如何存储和复制的。
如果学生不熟悉DNS区域如何存储在文本文件中,那么应简要描述该文件以及标准DNS复制的工作方式。
接着解释,ADDS如何也能存储DNS区域信息,并描述使用该选项的益处。
询问学生,他们能否想到在ADDS中存储DNS信息的缺点。
一种可能的回答是,如果为企业中的所有计算机都启用了动态更新,那么ActiveDirectory数据库可能非常庞大。
∙DNS帮助:
理解ActiveDirectory域服务集成
2.2.2ADDS中的应用程序分区
如果学生不熟悉ADDS分区的概念,那么应简要描述3个分区(也称为命名上下文)。
接下来描述这些分区是如何存储DNS信息的。
重点介绍,在默认情况下,DNS信息和其他ADDS信息是分别存储在不同的分区中的。
提及用于在ADDS中存储DNS信息的默认应用程序分区是在安装ADDS期间,在安装和配置DNS时自动创建的。
若要在安装ADDS之后创建分区,则可使用DNS管理工具或DNSCMD命令行工具。
理解ActiveDirectory域服务中的DNS区域复制
创建默认DNS应用程序目录分区
2.2.3配置DNS应用程序分区的选项
列出可用于在ADDS中存储DNS信息的不同分区。
提及选择每种不同区域的主要原因是每种分区有不同的复制作用域。
考虑使用图示来描绘每种分区的复制作用域。
包括不是DNS服务器的域控制器,以及位于其他域中的域控制器,然后演示在每个区域中存储ActiveDirectoryDNS信息的效果。
针对每种选项和每种分区,提供公司选择不同选项在不同分区中存储DNS信息的相应场景。
总结如何创建用于存储DNS信息的自定义应用程序分区。
创建DNS应用程序目录分区
在DNS应用程序目录分区中登记DNS服务器
2.2.4动态更新的工作方式
描述动态更新的工作方式。
提及SOA代表“起始授权机构”(StartofAuthority,SOA)资源记录。
询问学生,如果动态更新未启用,那么会发生什么情况。
最大的问题是,域控制器将无法在DNS中注册其记录,因此将不得不手动添加域控制器记录。
提及客户端计算机资源记录可由动态主机配置协议(DHCP)服务器在DNS中动态更新。
请参阅课程6852以获得更多信息。
了解动态更新
∙HowDNSSupportForActiveDirectoryWorks:
–查看“动态更新”部分
2.2.5安全动态DNS更新的工作方式
描述启用安全动态DNS更新的根本原因,然后使用嵌套幻灯片描述客户端和DNS服务器用来执行安全动态更新的过程。
提及默认情况下,WindowsServer2008DNS服务器配置为支持对ActiveDirectory集成区域的安全更新。
∙HowDNSSupportForActiveDirectoryWorks
–查看“安全动态更新”部分
2.2.6演示:
配置ADDS集成区域
演示如何:
∙将DNS区域配置为集成ADDS。
∙配置DNS区域的动态更新。
∙配置网络连接上的动态更新设置。
∙安全动态更新。
了解动态更新
2.2.7后台区域加载的工作方式
回顾前面有关使用动态更新的缺点。
WindowsServer2008解决包含DNS记录的ActiveDirectory数据库过大问题的方法之一是使用后台区域加载。
如果DNS客户端请求获得的数据是属于已经加载的某个区域中的主机,那么DNS服务器将按预期作出响应,并提供这些数据(或者,若没有数据,则发出否定响应)。
如果请求所需要的节点尚未载入内存,那么DNS服务器将从ADDS读取该节点的数据,然后相应更新该节点的记录列表。
让学生了解RPC代表”远程过程调用”(RemoteProcedureCall,RPC)。
∙DNSServerRole:
2.3配置只读DNS区域
∙配置只读DNS区域
2.3.1只读DNS区域
将只读DNS区域与标准DNS中的辅助名称服务器进行比较。
在两种情况下,区域信息都是只读的。
但是,对于RODC上的只读DNS,信息仍存储在ADDS中。
2.3.2只读DNS的工作方式
提及将记录添加到DNS区域的唯一方法是更新区域的可写副本,然后等待复制过程更新该区域的只读副本。
实验目标
在本实验中,学生将配置ADDS和DNS集成。
•查看SRV资源记录。
•配置ADDS和DNS集成。
•配置只读DNS区域。
场景
WoodgroveBank是一家在全球多个城市都设有办事处的企业。
WoodgroveBank与另外两家公司FabrikamInc.和ContosoInc.有业务关系。
WoodgroveBank获得了这两家公司的DNS区域文件的副本。
WoodgroveBank林中的所有员工都需要访问ContosoInc.的DNS记录。
只有WoodgroveBank域中的员工需要访问FabrikamInc.的DNS文件。
WoodgroveBank的分支机构有只读域控制器,该域控制器将配置为既支持DNS服务器服务,又支持所有林范围和域范围的DNS区域。
企业管理员已经创建了DNS配置的设计文档。
该设计中包括配置ADDS集成区域、配置DNS动态更新,以及配置只读DNS区域。
学生将配置WoodgroveBank环境的DNS区域,以符合设计要求。
学生将验证每个域控制器注册的SRV资源记录,并创建新的SRV资源记录以支持Telnet协议。
此外,学生还将修改DNS区域,以查看ActiveDirectory集成区域和标准区域之间的差别,并且配置动态更新以及复制范围。
然后,使用ADSIEdit管理控制台来查看存储在域分区中的DNS记录。
学生将在RODC上配置只读DNS区域,并且将测试动态更新和管理更新。
实验复习题与解答
问题:
在自定义应用程序分区,而不是在默认分区中存储ActiveDirectory集成DNS区域,这有什么优点?
答案:
运行DNS的选定域控制器可接受DNS区域的副本。
这对于确保内部记录和公共记录只复制到正确的DNS域控制器可能非常有用。
如果SRV资源记录被删除或损坏,那么为了恢复该记录,可以采取什么步骤?
重新启动Netlogon服务。
谁可以创建ActiveDirectory集成区域?
有管理权限的用户。
习题答案
简答题
客户端计算机如何确定自己位于哪个站点?
客户端通过将其IP地址传给域控制器来查询域控制器。
域控制器在其子网对站点映射中查找客户端的IP地址,然后将站点信息返回给客户端。
客户端最后将这些信息存储在其注册表中。
列出ActiveDirectory集成区域的至少三项益处。
∙目录复制比标准DNS复制更快、更高效。
∙支持多主机更新。
∙通过安全的动态更新增强安全性。
∙支持记录老化和清理。
在下面两个SRV资源记录示例中,哪条记录将由客户端用于查询会话启动协议(SIP)服务?
∙_sip._.86400INSRV10605060L
∙_sip._.86400INSRV50205060L
如果Lcs1的SRV资源记录可用,那么将总是选择该记录,因为其优先级字段的值较低。
只有在优先级字段相等的情况下,才会使用权重字段。
创建DNS应用程序目录分区需要哪些权限?
EnterpriseAdmins的权限。
哪些实用工具可用于创建应用程序分区?
Dnscmd、NTDSutil、ADSIedit和LDAP命令。
ActiveDirectory集成区域动态更新的默认状态是什么?
“安全”。
标准主要区域动态更新的默认状态是什么?
无。
哪些组有权执行安全动态更新?
AuthenticatedUsers。
实战题
1.你有一个ActiveDirectory域。
所有域控制器都运行WindowsServer2008,并且配置为DNS服务器。
该域包含一个ActiveDirectory集成的DNS区域。
你需要确保系统从DNS区域中自动删除过期的DNS记录。
你该怎么做?
A.从区域的属性中,启用清理。
B.从区域的属性中,禁用动态更新。
C.从区域的属性中,修改SOA记录的TTL。
D.从命令提示符下,运行ipconfig/flushdns。
A
2.你有一台运行WindowsServer2008的域控制器,并且该域控制器已配置为DNS服务器。
你需要记录发给该服务器的所有入站DNS查询。
应该在“DNS管理器”控制台中进行什么配置?
A.启用调试日志。
B.启用自动测试简单查询。
C.启用自动测试递归查询。
D.配置事件日志以记录错误和警告。
3.公司有一台DNS服务器,该服务器有10个ActiveDirectory集成区域。
你需要将该DNS服务器的区域文件的副本提供给安全部门。
A.运行dnscmd/Zonelnfo命令。
B.运行ipconfig/registerdns命令。
C.运行dnscmd/ZoneExport命令。
D.运行ntdsutil>
PartitionManagement>
List命令。
C
4.有一台运行WindowsServer2008的域控制器,名为DC1。
DC1被配置为的DNS服务器。
你在名为Server1的成员服务器上安装了DNS服务器角色,然后你创建了的标准辅助区域。
你将DC1配置为该区域的主服务器。
你需要确保Server1收到来自DC1的区域复制。
A.在Server1上,添加条件转发器。
B.在DC1上,修改区域的权限。
C.在DC1上,修改区域的区域传送设置。
D.将Server1计算机账户添加到DNSUpdateProxy组。
5.网络由一个ActiveDirectory林组成,并且该林包含一个域。
你有一个ActiveDirectory集成区域。
还有两个ActiveDirectory站点。
每个站点包含五个域控制器。
你将一个新的NS记录添加到区域。
你需要确保所有域控制器都立即收到这条新的NS记录。
A.从“DNS管理器”控制台中,重新加载区域。
B.从“服务”管理单元中,重新启动“DNS服务器”服务。
C.从命令提示符下,运行repadmin/syncall。
D.从“DNS管理器”控制台中,提高SOA记录的版本号。
6.网络由一个ActiveDirectory林组成,该林包含一个名为的域。
你有两个ActiveDirectory集成区域:
和。
你需要确保用户能够修改区域中的记录。
你必须防止用户修改区域中的SOA记录。
A.从“DNS管理器”控制台中,修改区域的权限。
B.从“DNS管理器”控制台中,修改区域的权限。
C.从“ActiveDirectory用户和计算机”控制台中,运行“控制委派向导”。
D.从“ActiveDirectory用户和计算机”控制台中,修改DomainControllers组织单位(OU)的权限。
7.公司有一个名为的ActiveDirectory域。
该域有两个域控制器,分别名为DC1和DC2。
两个域控制器都安装了DNS服务器角色。
你在外围网络上安装了一台新的DNS服务器,名为DNS。
你将DC1配置为将所有未解决的名称请求转发给DNS。
你发现DNS转发选项在DC2上不可用。
你需要在DC2服务器上将DNS转发配置为指向DNS服务器。
你应该执行哪两个操作?
(每个正确答案表示解决方法的一部分。
请选择两个正确答案。
)
A.清除DC2上的DNS缓存。
B.删除DC2上的根区域。
C.在DC2上配置条件转发。
D.在DC2上配置侦听地址。
BC
8.公司有一个ActiveDirectory域,名为。
公司网络有两台DNS服务器,分别名为DNS1和DNS2。
这两台DNS服务器的配置如图2-11所示。
图211两台DNS服务器配置
域用户被配置为使用DNS2作为首选DNS服务器,但他们无法连接到Internet网站。
你需要为所有客户端计算机启用Internet名称解析。
A.在DNS1上创建.(root)区域的副本。
B.更新DNS2上的根提示服务器的列表。
C.在DNS2上更新Cache.dns文件。
在DNS1上配置条件转发。
D.从DNS2中删除.(root)区域。
在DNS2上配置条件转发。
D
9.网络包含一个ActiveDirectory林。
所有域控制器都运行WindowsServer2008,并且都配置为DNS服务器。
你有一个的ActiveDirectory集成区域。
你有一台基于Unix的DNS服务器。
你需要配置WindowsServer2008环境,以允许区域传送到基于Unix的DNS服务器。
应在“DNS管理器”控制台中执行什么操作?
A.禁用递归。
B.创建存根区域。
C.创建辅助区域。
D.启用BIND辅助区域。
10.你正在解除承载所有全林性操作主机角色的域控制器。
你需要将所有全林性操作主机角色转移到另一个域控制器。
你应该转移哪两个角色?
A.RID主机
B.PDC仿真器
C.架构主机
D.基础结构主机
E.域命名主机
CE
11.公司有一个ActiveDirectory域。
公司有两台域控制器,分别名为DC1和DC2。
DC1承载着架构主机角色。
DC1出现故障。
你使用管理员账户登录到ActiveDirectory。
你无法传送“架构主机”操作角色。
你需要确保DC2承载“架构主机”角色。
该怎么做?
A.注