1. AD 集成区域概述
AD 集成区域将 DNS 区域数据存储在 Active Directory 数据库(ntds.dit)中,而不是传统的 .dns 文本文件。这带来了显著的优势:
核心优势
- 高可用性:数据自动复制到域林中所有 DC,任何一台 DC 故障不影响 DNS 服务
- 安全性:支持安全动态更新(仅限已加入域的授权计算机注册)
- 简化管理:无需单独备份区域文件,AD 备份即包含 DNS 数据
- 自动清理:天然支持 DNS 老化(scavenging)
- 一致性:所有 DC 上的区域数据保持同步
复制范围选项
| 范围 | 说明 | 适用场景 |
|---|---|---|
| 域 | 复制到同域的所有 DC | 一般内网区域 |
| 林 | 复制到整个林的所有 DC | 林中多个域共用区域 |
| 应用程序分区 | 自定义复制范围 | 特定服务(如 RODC) |
2. 创建 AD 集成区域
1
DNS 管理器 → 右键正向查找区域 → 新建区域
2
选择主要区域 → 下一步
3
输入区域名称(如 internal.iehang.cn)→ 下一步
4
勾选在 Active Directory 中存储区域(服务器必须已加入域)
5
选择复制范围(建议到此域中的所有 DNS 服务器)→ 下一步
6
选择只允许安全动态更新(推荐,仅限已加入 internal.iehang.cn 域的计算机)→ 下一步 → 完成
PowerShell - AD 集成区域
# 创建 AD 集成正向查找区域(安全动态更新,域级别复制)
Add-DnsServerPrimaryZone `
-Name "internal.iehang.cn" `
-DynamicUpdate "Secure" `
-ReplicationScope "Domain"
# 创建 AD 集成反向查找区域
Add-DnsServerPrimaryZone `
-NetworkId "192.168.20.0/24" `
-DynamicUpdate "Secure" `
-ReplicationScope "Domain"
# 创建林级别复制的区域(适用于林中所有域共用)
Add-DnsServerPrimaryZone `
-Name "shared.corp.cn" `
-DynamicUpdate "Secure" `
-ReplicationScope "Forest"3. 安全动态更新详解
动态更新允许客户端计算机自动在 DNS 服务器上注册和更新自己的记录,无需管理员手动干预。
| 模式 | 说明 | 安全性 |
|---|---|---|
| 不允许 | 禁止任何动态更新 | 高 |
| 非安全和安全 | 允许所有更新 | 低 |
| 只允许安全 | 仅限已加入域的计算机(Kerberos 认证) | 高 |
PowerShell - 动态更新配置
# 修改区域动态更新设置
Set-DnsServerZone -Name "iehang.cn" -DynamicUpdate "Secure"
# 查看区域动态更新配置
Get-DnsServerZone -Name "iehang.cn" | Select-Object ZoneName, DynamicUpdate
# 客户端手动触发 DNS 注册
Register-DnsClient4. 验证 AD 集成
PowerShell - 验证 AD 集成
# 查看区域信息,确认 IsAutoCreated=False 表示 AD 集成
Get-DnsServerZone | Format-Table ZoneName, IsAutoCreated, DynamicUpdate, IsDsIntegrated
# 验证 DNS 服务在 DC01 和 DC02 上都能响应同一查询
Resolve-DnsName -Name "DC01.iehang.cn" -Server "192.168.10.254"
Resolve-DnsName -Name "DC01.iehang.cn" -Server "192.168.10.253"
# 查看 AD 中的 DNS 节点
Get-ADObject -Filter "objectClass -eq 'dnsZone'" -Properties * | Select Name, objectClass5. 常见问题
Q1:无法创建 AD 集成区域
服务器必须先加入域。未加入域的独立服务器只能创建标准主要区域(非 AD 集成)。运行 Get-ADDomain 确认服务器是否在域中。
Q2:客户端无法自动注册 DNS 记录
检查:1)客户端是否已加入域;2)客户端 DNS 是否指向 DC;3)区域动态更新设置是否为"安全";4)客户端是否为该域的成员。可运行 ipconfig /registerdns 手动触发。
Q3:区域数据在 DC 间不同步
运行 repadmin /syncall /AdePq 强制 AD 复制。检查 DC 之间的复制状态:Get-ADReplicationConnection。确保所有 DC 都是同一域的成员且网络互通。