目前在RFC2136標準中定義的DNS標準描述了允許DNS動態(tài)更新記錄的一系列規(guī)則，基于這種規(guī)則的DNS系統(tǒng)可以稱為DDNS。Windows2000包括的DNS系統(tǒng)支持DDNS標準。DDNS是對長期使用的名稱解析標準的革新，對網(wǎng)絡規(guī)劃和管理都會產(chǎn)生深遠的影響！ 我們知道DNS在大多數(shù)NT4的網(wǎng)絡中沒有什么用，在這些較低層次的網(wǎng)絡中，DNS主要用于支持Unix主機或INTERNET提供的服務。在NT4中首選的本地解析服務是WINS。在NT4網(wǎng)絡中，應用NETBIOS名稱來識別和定位資源、服務。雖然WINS在NETBIOS網(wǎng)絡中實現(xiàn)解析服務較方便快捷，但不幸的是，WINS和其他NETBIOS域名服務并未被廣泛接受。在不同種類的主流網(wǎng)絡中，域名系統(tǒng)是被認可的域名解析服務，而域名系統(tǒng)的基礎是DNS。微軟之所以選擇WINS而非DNS的主要原因就是因為它支持動態(tài)更新，動態(tài)更新在網(wǎng)絡中是很關鍵的。但是由于因特網(wǎng)將DNS作為首選的名稱解析標準，使用傳統(tǒng)的NETBIOS的微軟網(wǎng)同因特網(wǎng)的連接就較困難。所以在微軟網(wǎng)絡中使用DNS已經(jīng)是勢在必行。DDNS將在Windows2000中取代WINS，成為首選的名稱解析服務。 DNS 的主要的功能是主機名解析，即將主機名轉(zhuǎn)換為IP地址，實現(xiàn)TCP/IP網(wǎng)絡中的資源通訊。在靜態(tài)DNS系統(tǒng)中，所有的解析項都是由管理員手工填寫的，非常不方便。特別是現(xiàn)在的網(wǎng)絡規(guī)劃中都使用動態(tài)主機配置協(xié)議（DHCP）來分配客戶機的IP 地址，靜態(tài)DNS是無法支持DHCP的。DDNS比靜態(tài)DNS有很多優(yōu)點，它既支持動態(tài)更新，又可以兼容于NT4網(wǎng)絡，支持手工刷新；它結合WINS的動態(tài)能力和傳統(tǒng)DNS的穩(wěn)定性和健壯性。當然，在最近的幾年里，只要用戶需要WINS繼續(xù)支持低級客戶機和依賴NETBIOS系統(tǒng)的應用程序，WINS和DDNS會共存。但我們的最終目的是取消NETBIOS，統(tǒng)一于因特網(wǎng)的DNS系統(tǒng)實現(xiàn)解析。 在Windows2000網(wǎng)絡中，活動目錄（Active Directory）是實現(xiàn)網(wǎng)絡管理的先進的目錄服務技術。活動目錄是由OU、DOMAIN、TREE、FOREST所構成的層次化邏輯結構，網(wǎng)絡中的所有資源都以對象的形式組織到活動目錄中，便于用戶的資源訪問和管理員的集中管理。在活動目錄中集成了兩個重要的Internet工業(yè)標準：DNS和LDAP。DNS作為活動目錄的定位服務，是必須的；LDAP是Internet標準的目錄訪問協(xié)議，用于訪問、檢索活動目錄中的資源。LDAP是目錄存取協(xié)議（DAP）的簡便版，是一個X.500目錄存取協(xié)議。Windows2000中不僅兼容LDAP協(xié)議，微軟建立Windows2000作為LDAP服務器，用LDAP來讀寫活動目錄。為了定位能服務于LDAP請求的Windows2000服務器，客戶級必須首先向DNS服務器發(fā)送服務器定位解析請求。Windows2000的DDNS服務器包含每一個LDAP服務器的服務資源（SRV）記錄。通常可以在Windows2000的DDNS服務器中找到LDAP SRV記錄的列表，內(nèi)容如下： _ldap._tcp.DnsDomainName. _ldap._tcp.SiteName._sites.DnsDomainName. _ldap._tcp.dc._msdcs.DnsDomainName. _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName. _ldap._tcp.pdc._msdcs.DnsDomainName. _ldap._tcp.gc._msdcs.DnsForestName. _ldap._tcp.SiteName._sites.gc._msdcs.DnsForestName. _gc._tcp.DnsForestName. _gc._tcp.SiteName._sites.DnsForestName. _ldap._tcp.DomainGuid.domains._msdcs.DnsForestName. 以上SRV記錄標識LDAP服務器通過TCP協(xié)議定位特殊的資源。例如，為了找到mycompany.com域的域控制器，客戶需要查詢DDNS來解析ldap.tcp.mycompany.com到IP地址的轉(zhuǎn)換.這里要注意一個問題，雖然Windows2000中強烈建議支持DNS動態(tài)刷新，但并不嚴格要求，而支持SRV記錄是最小的要求。實際上，在Windows2000網(wǎng)絡中，無論大小，在不能動態(tài)更新的情況下執(zhí)行DNS是不實際的。如果不支持動態(tài)更新，就需要手工添加和更新DNS中的SRV記錄。 在Windows2000網(wǎng)絡中，公司的活動目錄域名空間，反映了自己的DDNS名稱空間。在活動目錄中的域在DDNS中也應有。當組建公司的DDNS結構時，必須考慮域和子域在活動目錄中的使用方式。活動目錄的設計對DDNS的設計有很大影響。兩者的設計應很好地結合起來！ 當生成活動目錄的域時，它既是活動目錄的名稱空間中的域又是DDNS的名稱空間中的域。它在活動目錄中是一個物理的節(jié)點，在DDNS中是一個區(qū)域。當解析網(wǎng)絡上的客戶機時，客戶機需根據(jù)存儲在活動目錄中的帳戶信息說明來確認它的登錄，且客戶機必須在DDNS的區(qū)域中動態(tài)的注冊。例如，一個客戶機用一個易解析的名字登錄活動目錄如clIEnt@mycompany.com，將用其主機名和IP地址更新DDNS。在DDNS完成動態(tài)更新后，一條A紀錄就存在于DDNS中了，將用于解析查詢。讓mycompany.com域的其他成員可以訪問它。這里要注意，活動目錄的域成員在DDNS上存儲的主機紀錄，應該有相同的域名稱?；顒幽夸浀拿Q空間和DDNS的名稱空間應該是相同的。如果活動目錄要求獨立的域，DDNS應該反映出這種結構。 在理想的情況下，設計DDNS和設計活動目錄的目的是一樣的常用的DNS設計標準如下： 最頂層的域應該保持不變，這個域通常是公司的名稱，如mycompany.com； 由國內(nèi)和國際業(yè)務的公司經(jīng)常將DNS的名稱空間分成子域，每個子域代表不同的管理任務； 當單個域很大時，應該把它分成幾個子域。這樣會減少管理域的工作量，并減少DNS服務器的負荷量； 公司也可以根據(jù)公司的地理分布、管理機構及IT支持結構來建立相應的子域。 有了這些可供選擇的方法及充分認識DDNS的靈活性后，根據(jù)DNS的設計標準，就可以決定怎樣劃分名稱空間。但最重要的是DNS的子域和活動目錄的域應匹配。如果公司有因特網(wǎng)業(yè)務，在設計DNS時就應該有一個更遠的打算，并且判斷把名稱空間提交到因特網(wǎng)是否與內(nèi)部有所不同，下面我們具體分析一下： 為了一致性，一些公司對內(nèi)部和外部的用戶提供一個相同的DNS名稱空間。在這種方案中，代表一個目錄的單個的DDNS域，如contoso.com，它內(nèi)部的資源能在防火墻的內(nèi)部和外部方便地轉(zhuǎn)換為IP 地址。當然，對內(nèi)部和外部的用戶使用單一的名稱空間也有一些問題需要解決，例如，不想讓因特網(wǎng)的每個用戶都知道內(nèi)部主機的紀錄，不想把所有的內(nèi)部IP地址在因特網(wǎng)上公開，以及需要提供一種方法給內(nèi)部用戶，實現(xiàn)把內(nèi)部和外部資源轉(zhuǎn)換為IP 地址。最好的辦法是將內(nèi)部資源和外部資源紀錄存儲在不同的區(qū)域中，讓內(nèi)部資源的IP地址對外部用戶是不可見的，在內(nèi)部和外部的區(qū)域之間沒有復制，即本質(zhì)上它們共享相同的域名，但它們的操作是獨立的：它們都是在的DDNS服務器上不同的基本的區(qū)域。那么內(nèi)部的用戶怎樣才能訪問域外的資源呢？這有多種解決方案，較流行的方法是在防火墻的內(nèi)部建立外部資源的副本，然后通過代理來訪問，就好象訪問內(nèi)部名稱一樣。這種內(nèi)部和外部的資源使用相同的名稱空間，要有很多附加的配置，集成工作較復雜！參見示例圖一

示例1 一個有因特網(wǎng)業(yè)務的公司也可以有不同的內(nèi)部和外部域名稱。例如在防火墻內(nèi)部使用contoso.local，防火墻的外部使用contoso.com，通過用不同的內(nèi)部和外部名稱名稱空間，公司為內(nèi)部資源提供保密，同時簡化名稱解析過程。不需要把外部服務器鏡像到防火墻內(nèi)部，或在外部服務器和鏡像服務器之間配置代理。這種方法配置起來非常簡單，公司用戶可以根據(jù)FQDN來區(qū)分內(nèi)部和外部的資源。這種DDNS建立的兩個域名空間，都應該在因特網(wǎng)上單獨注冊。盡管contoso.local只在內(nèi)部使用,但也應該注冊,以防止其他人使用。否則如果被別人注冊了，當內(nèi)部用戶把瀏覽器指向www. contoso.local，就有可能訪問到其他的Web站點了。 參見示例2 在Windows2000網(wǎng)絡中，由于活動目錄與DNS緊密集成在一起，意味著活動目錄更適合于Internet和Intranet環(huán)境?？蛻艨梢愿菀赘杆俚卣业侥夸浄掌鳎黄髽I(yè)可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴進行通訊和提供電子商務?；顒幽夸洶惭b后，它將自動通過DDNS進行發(fā)布。也就是說使用DDNS的Windows2000網(wǎng)絡，將方便可靠地同Internet連接起來！(中國科學院軟件研究所微軟認證高級技術培訓中心 申兵).