ad活动目录域DNS架构设计

ad活动目录域DNS架构设计。我是看了子域DNS如何创建设置2级DNS server|委派及转发提到的这个概念，也是我一直在找的东东，我的环境：两台DC,OS都是win2k3，PDC上安装了AD集成的DNS，另外一台ISA2006，OS也是win2k3。那么根据标准DNS架构的概念，出于安全考虑，想对我们的DNS架构做一个完善。现在我们只有PDC上有AD集成的DNS，在DNS上设置了转发器，所以将PDC的地址NAT了出去。第一我觉得这会造成单点故障，每次PDC维护时，因为DNS服务不可用，网络会收到很大影响；第二，将PDC直接NAT出去，觉得相对不安全。所以我想着：1：在BDC上也安装DNS，避免单点故障。2：在ISA服务器上安装DNS，作为缓存DNS，因为ISA服务器本身就是可以访问外网的，这样PDC不直接面对外网，变得相对安全。我想问的是：
1：我的这个计划设计是否合理？
2：如果合理的话，BDC上的DNS类型是选择辅助区域DNS还是AD集成的DNS?
3:ISA服务器上的DNS是不是选择辅助区域DNS类型即可，也就是根据您上次回复中的操作说明，赋予其复制权限。
4：PDC,BDC，以及ISA服务器上的TCP/IP 中的首要和备用DNS应该如何设置比较合理？

回答：在您提到的这篇文章中是父域与子域的网络结构，而在您的网络环境中如果不是这样的话，并不需要在ISA服务器安装DNS，只需要在PDC上设置转发器就可以了。

另外，您可以在PDC上设置区域复制，选择复制到BDC上，这样BDC上也会复制AD集成的DNS区域。具体的操作步骤如下：

1. 使用管理员帐号登陆到PDC上。
2. 打开DNS管理工具界面。
3. 展开DNS服务器——点击“正向搜索区域”——右键点击domain.com（您的域名）——属性。
4. 点击“区域传输”——允许区域传输——选择“只允许到下列服务器”，输入BDC的IP地址，点击“添加”。
5. 点击“确定”。

更多信息请您参考以下文章：
HOW TO: Configure a Secondary Name Server in Windows Server 2003
http://support.microsoft.com/kb/816518/en-us

我们建议您在PDC和BDC上都配置AD集成的DNS区域，一般2台DNS服务器基本可以达到名称解析负载平衡的要求。

您并不需要在ISA上安装DNS，并且请在ISA上设置NAT，进行内外网地址的转换。
HOW TO: 在 Windows Server 2003 中配置 NAT 服务器
http://support.microsoft.com/kb/324264/zh-cn

您可以将局域网内客户端的DNS服务器地址都指向PDC，并且在PDC的DNS服务器上设置转发器。转发器是网络上的域名系统(DNS) 服务器，可以用来将外部 DNS 名称的 DNS 查询转发给该网络外的 DNS 服务器。