盡管DNS服務(wù)非?；A(chǔ)也很簡(jiǎn)單，但也會(huì)經(jīng)常出現(xiàn)一些問(wèn)題。通常，各種Windows對(duì)話框中的不清晰字眼或沒有解釋說(shuō)明的選項(xiàng)可能會(huì)導(dǎo)致這些問(wèn)題。下面我們來(lái)看看一些常見的經(jīng)常困擾管理員的DNS問(wèn)題，以及如何解決它們。

動(dòng)態(tài)更新，并沒有更新
Windows允許客戶端通過(guò)DNS服務(wù)器動(dòng)態(tài)更新A和PTR記錄，以簡(jiǎn)化跨域的DNS管理。因此在集成的AD區(qū)域里，在組織中分配IP地址時(shí)，客戶端機(jī)器可以使用自己新的IP地址來(lái)動(dòng)態(tài)更新AD。不過(guò)有時(shí)你可能會(huì)留意到客戶端系統(tǒng)并沒有正確地使用新地址更新DNS記錄。要保證該更新能順利進(jìn)行，必須在DNS服務(wù)器上配置允許動(dòng)態(tài)更新。按照以下步驟操作，打開DNS區(qū)域的屬性設(shè)置，在“動(dòng)態(tài)更新”設(shè)置處選擇“Secure only”，如圖1所示。

圖1：在DNS服務(wù)器上配置允許動(dòng)態(tài)更新

下一步，在客戶端上，打開網(wǎng)絡(luò)適配器的高級(jí)TCP/IP設(shè)置對(duì)話框，切換到DNS選項(xiàng)卡，如圖2所示，選中“在DNS中注冊(cè)此連接的地址”。

圖2：在客戶端上配置“在DNS中注冊(cè)連接的地址”

最后，DHCP客戶端服務(wù)——它不僅僅是DNS客戶端服務(wù)——可以處理DNS注冊(cè)，該服務(wù)必須在每個(gè)系統(tǒng)上運(yùn)行。即使你沒有使用DHCP來(lái)分配IP地址，也需要在每臺(tái)機(jī)器上運(yùn)行DHCP客戶端服務(wù)，這樣才能動(dòng)態(tài)更新DNS記錄。
默認(rèn)設(shè)置下，客戶端會(huì)在以下幾個(gè)時(shí)間更新DNS記錄：機(jī)器啟動(dòng)時(shí)，IP地址或機(jī)器名更改后；使用ipconfig /registerdns命令行強(qiáng)制更新時(shí)。此外，客戶端每24小時(shí)會(huì)重新注冊(cè)IP地址。

DNS客戶端服務(wù)導(dǎo)致性能下降
在DNS客戶端服務(wù)啟動(dòng)時(shí)，它會(huì)將hosts文件中的所有入口加載到緩存中。如果hosts文件很大，例如用來(lái)阻止一些不希望訪問(wèn)的主機(jī)名，此時(shí)你會(huì)發(fā)現(xiàn)這個(gè)服務(wù)會(huì)顯著降低系統(tǒng)的性能。這種情況你可能想禁用該服務(wù)。
不過(guò)，通常禁用DNS客戶端服務(wù)對(duì)DNS查找并沒有影響。這時(shí)你可能會(huì)產(chǎn)生疑惑，為什么要最先運(yùn)行這個(gè)服務(wù)呢？
答案是DNS客戶端服務(wù)對(duì)于名稱解析來(lái)說(shuō)并不是必需的；它只是讓名稱解析更為智能和高效。DNS客戶端服務(wù)的主要目的是為DNS入口點(diǎn)提供本地緩存。實(shí)際上，這個(gè)服務(wù)本身就是一個(gè)DNS服務(wù)器。它只是簡(jiǎn)單地將之前解析過(guò)的DNS記錄緩存下來(lái)，以提高以后的查找效率，而不是使用DNS記錄數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)。除了緩存之外，該服務(wù)還能通過(guò)網(wǎng)絡(luò)位置、速度和可用性對(duì)資源記錄進(jìn)行先后排序，從而優(yōu)化網(wǎng)絡(luò)連接。
DNS客戶端服務(wù)還對(duì)系統(tǒng)中配置的DNS服務(wù)器列表進(jìn)行管理。和它對(duì)資源記錄的處理類似，它會(huì)根據(jù)網(wǎng)絡(luò)位置、速度和可用性，在DNS服務(wù)器列表中選擇最優(yōu)的服務(wù)器。

防火墻規(guī)則需要優(yōu)化
通過(guò)防火墻將DNS服務(wù)器發(fā)布到公眾網(wǎng)時(shí)，你需要建立一套規(guī)則來(lái)保護(hù)你的配置。DNS查詢通常由UDP 53端口進(jìn)入，源端口則通常大于1023。DNS服務(wù)器在53端口響應(yīng)，并回傳到客戶端之前使用的端口上。大多數(shù)的狀態(tài)防火墻可以處理DNS響應(yīng)，因此一個(gè)簡(jiǎn)單的規(guī)則就基本上可以管理所有請(qǐng)求。
如果查詢的響應(yīng)大于512字節(jié)，DNS服務(wù)器會(huì)告知客戶端，響應(yīng)被截?cái)?。然后客戶端可以通過(guò)擴(kuò)展DNS（Extended DNS）重新提交該請(qǐng)求，它允許大的UDP響應(yīng)；或客戶端可以通過(guò)TCP重新提交請(qǐng)求。如果要允許TCP查詢，還需要一個(gè)規(guī)則允許源端口大于1023的TCP 53端口的流入通信。如果你知道DNS服務(wù)器并不會(huì)返回超過(guò)512字節(jié)的查詢響應(yīng)，這個(gè)端口就可以關(guān)閉。一些DNS服務(wù)器使用UDP或TCP 53端口作為服務(wù)器間查詢的源和目標(biāo)端口，因此在防火墻上還要再加上這個(gè)配置。

Windows是如何查找多臺(tái)DNS服務(wù)器的
默認(rèn)設(shè)置下，Windows首先會(huì)在首選網(wǎng)絡(luò)適配器上查詢DNS服務(wù)器列表中的第一個(gè)。如果該服務(wù)器在1秒內(nèi)沒有響應(yīng)，Windows會(huì)將查詢發(fā)送給系統(tǒng)其它網(wǎng)絡(luò)適配器上的第一個(gè)DNS服務(wù)器。如果在兩秒內(nèi)沒有響應(yīng)，Windows會(huì)將查詢發(fā)送給系統(tǒng)中所有網(wǎng)絡(luò)適配器上配置的所有DNS服務(wù)器。如果兩秒內(nèi)仍然沒有一臺(tái)響應(yīng)，Windows會(huì)向所有服務(wù)器重發(fā)一次查詢，并等待4秒。如果有必要，它會(huì)再次重發(fā)并等待8秒。
Windows會(huì)根據(jù)網(wǎng)絡(luò)情況重新調(diào)整它查詢過(guò)的DNS服務(wù)器列表。如果沒有一臺(tái)DNS服務(wù)器有響應(yīng)，Windows會(huì)認(rèn)為網(wǎng)絡(luò)連接失敗，30秒內(nèi)不會(huì)再對(duì)任何服務(wù)器進(jìn)行請(qǐng)求。如果其中一臺(tái)DNS服務(wù)器返回了拒絕的響應(yīng)，Windows不會(huì)再請(qǐng)求該適配器上的任何其它服務(wù)器。此外，Windows可能會(huì)根據(jù)服務(wù)器響應(yīng)的速度來(lái)調(diào)整DNS服務(wù)器的順序。
如果要為客戶端系統(tǒng)配置很多DNS服務(wù)器，你很可能希望一個(gè)比Windows GUI界面更高效簡(jiǎn)單的辦法?？梢栽诿钚兄性囋囘@些命令。以下命令可以列出客戶端上配置的所有DNS服務(wù)器：
c:\>netsh interface ip show dns
要清除某個(gè)網(wǎng)絡(luò)適配器上的DNS服務(wù)器，輸入以下命令（假定網(wǎng)絡(luò)適配器名為“Local Area Connection”）：
c:\>netsh interface ip set DNS "Local Area Connection" static none
要向網(wǎng)絡(luò)適配器添加DNS服務(wù)器，輸入以下命令（假定網(wǎng)絡(luò)適配器名為“Local Area Connection”）：
c:\>netsh interface ip set DNS "Local Area Connection" static 192.168.0.1

域中的DNS問(wèn)題
在進(jìn)行DNS設(shè)置時(shí)可能會(huì)遺漏某個(gè)配置，這個(gè)問(wèn)題在Windows域中很常見。一種快速檢測(cè)設(shè)置的方法是執(zhí)行對(duì)域名的查詢，使用以下命令：
c:\>nslookup <yourdomain>
該命令應(yīng)該會(huì)返回一個(gè)IP地址列表，它們分別對(duì)應(yīng)到每臺(tái)DC。如果還返回了其它東西，那你就要檢查一下DNS的設(shè)置了。
另外一種檢測(cè)DNS配置的方法是，在任何一臺(tái)Windows XP或Windows Server 2003系統(tǒng)上執(zhí)行一個(gè)快速網(wǎng)絡(luò)配置測(cè)試。輸入以下命令：
c:\>netsh diag show test
該測(cè)試會(huì)對(duì)所有TCP/IP中配置的DNS服務(wù)器和網(wǎng)關(guān)進(jìn)行ping測(cè)試。如果你有Microsoft Windows Server 2003資源工具包，還可以使用netdiag或dnsdiag命令作為替代命令，如下所示：
C:\>netdiag /test:dns 
或
C:\>dnsdiag
如果想從外網(wǎng)測(cè)試公共的DNS服務(wù)器，可以使用以下URL：http://www.dnsreport.com或http://www.dnsstuff.com。要測(cè)試遠(yuǎn)程DNS服務(wù)器是否允許區(qū)域轉(zhuǎn)移（Zone Transfers），使用以下命令：
c:\> echo ls -d <targetdomain>
| nslookup - <nameserver>
如果名稱服務(wù)器允許在域中進(jìn)行區(qū)域轉(zhuǎn)移，它會(huì)返回該區(qū)域中的所有記錄。否則會(huì)返回錯(cuò)誤。

BIND是縮寫，而不是動(dòng)詞
在DNS服務(wù)器的屬性對(duì)話框中，可以找到BIND Secondaries設(shè)置。BIND并不是動(dòng)詞——而是Berkeley Internet Name Domain的縮寫，它是DNS的一種實(shí)現(xiàn)方法，用于在Internet上處理DNS請(qǐng)求。
在執(zhí)行區(qū)域轉(zhuǎn)移時(shí)，DNS服務(wù)器會(huì)使用一種更快的區(qū)域轉(zhuǎn)移方法，它可以利用壓縮在每條TCP消息中傳輸多條記錄。這種格式與舊版本的BIND并不兼容。如果使用4.9.4之前的BIND版本，你需要選擇BIND Secondaries選項(xiàng)。這一選項(xiàng)可以讓W(xué)indows DNS服務(wù)器不使用快速區(qū)域轉(zhuǎn)移方法。

何時(shí)禁用遞歸
遞歸是DNS在域中沿著授權(quán)服務(wù)器向下遍歷的過(guò)程。如果你向一臺(tái)DNS服務(wù)器查詢域中的某個(gè)主機(jī)名，而該服務(wù)器并不是該域的授權(quán)服務(wù)器，而且在緩存中也沒有該主機(jī)記錄，這臺(tái)服務(wù)器就會(huì)代你在Internet上遞歸查詢其它服務(wù)器，從而返回正確的響應(yīng)。如果服務(wù)器沒有執(zhí)行遞歸，它會(huì)告知客戶端未知記錄或應(yīng)該去哪里查詢?cè)撚涗洝?br>應(yīng)該在何時(shí)禁用遞歸呢？需要查看該DNS服務(wù)器上所存儲(chǔ)的記錄的類型。如果DNS服務(wù)器記錄了域中的所有記錄，那就不再需要遞歸。例如，DC上存儲(chǔ)了域中的所有主機(jī)，所以DC就沒有必要再向其它服務(wù)器發(fā)送請(qǐng)求。對(duì)于存儲(chǔ)了所有已知域名記錄的公共DNS服務(wù)器來(lái)說(shuō)也是一樣的。
在那些向本地用戶提供DNS查詢的服務(wù)器上，通常應(yīng)該開啟遞歸。也就是說(shuō)，如果要向用戶提供Internet訪問(wèn)，那就還需要提供遞歸DNS服務(wù)器，用于解析所有Internet主機(jī)名。
注意要保證遞歸服務(wù)器僅對(duì)內(nèi)部有效，對(duì)組織外部無(wú)效。否則服務(wù)器可能被攻擊，并可能被用來(lái)作為DDoS攻擊（Distributed Denial of Service，分布式拒絕服務(wù)）的放大器。

阻止Internet主機(jī)
下面描述的問(wèn)題其實(shí)并不一定要用DNS，但DNS可以起到一部分作用?？梢允褂梅阑饓虼矸?wù)器來(lái)阻止用戶訪問(wèn)一些不需要的Internet主機(jī)，但這些解決方案在有的場(chǎng)景并不適用。例如，某個(gè)ISP可能需要阻止某些主機(jī)名，同時(shí)不想要求客戶必須使用代理服務(wù)器或加重防火墻的負(fù)載。這時(shí)可以采用以下的替代方案，在DNS服務(wù)器上阻止主機(jī)名。
要使用這種方案，首先要準(zhǔn)備好要阻止的主機(jī)名列表。可以在惡意軟件阻止列表的網(wǎng)站上獲取到Microsoft DNS服務(wù)器格式的列表：http://www.malware.com.br/#blocklist。可以直接將這個(gè)阻止列表導(dǎo)入到DNS服務(wù)器。如果你想重新進(jìn)行格式調(diào)整，可以從hpHosts Online（http://www.hosts-file.net）或Spamassassin Blacklists（http://www.sa-blacklist.stearns.org/sa-blacklist）獲取阻止列表。
另外一種方法是OpenDNS（http://www.opendns.com），這是一個(gè)免費(fèi)的DNS服務(wù)，它能提供域名過(guò)濾，將已知的釣魚網(wǎng)站都阻止掉了。要使用OpenDNS，只需要將它的DNS服務(wù)器IP地址配置到網(wǎng)絡(luò)中即可。
注意使用DNS阻止訪問(wèn)的方法只能通過(guò)名稱來(lái)阻止這些列表。無(wú)法阻止用戶通過(guò)IP地址來(lái)訪問(wèn)，新增的主機(jī)名如果沒有在列表中，也不能被阻止掉。

同時(shí)使用Round-Robin循環(huán)和Netmask Ordering
在Windows DNS服務(wù)器上可以同時(shí)啟用round-robin循環(huán)和netmask ordering特性。通常像www.microsoft.com的域名會(huì)有很多個(gè)IP地址，以便提高負(fù)載均衡和性能。這些IP地址對(duì)同一臺(tái)服務(wù)器或某個(gè)點(diǎn)來(lái)說(shuō)，路徑可能不一樣，因?yàn)樗鼈儗?duì)應(yīng)的服務(wù)器在地理位置上都是分散的。
對(duì)于負(fù)載均衡的DNS請(qǐng)求，DNS服務(wù)器使用round-robin循環(huán)算法在IP地址列表中查找，有效地將通信分布到不同服務(wù)器上。利用netmask ordering技術(shù)，DNS服務(wù)器會(huì)試圖返回與客戶端最近的主機(jī)IP地址。DNS服務(wù)器通過(guò)對(duì)IP地址的前8個(gè)字節(jié)進(jìn)行判斷，并認(rèn)為相差最少的服務(wù)器IP和客戶端IP在物理位置上最近。默認(rèn)情況下，DNS服務(wù)器會(huì)為處于相同Class C網(wǎng)絡(luò)的所有主機(jī)地址標(biāo)上優(yōu)先級(jí)，與客戶端的處理類似。
盡管看上去好像round robin和netmask ordering無(wú)法同時(shí)應(yīng)用，但Windows仍然可以同時(shí)啟用這兩個(gè)特性，如圖3所示。同時(shí)啟用這兩個(gè)選項(xiàng)時(shí)，Windows會(huì)檢查主機(jī)的IP列表，找出與客戶端IP最相近的。如果Windows找到了匹配的IP，這個(gè)IP地址在round robin時(shí)的優(yōu)先級(jí)就會(huì)最高。這樣DNS服務(wù)器在為IP地址做round robin循環(huán)時(shí)，使用的算法是變種的round robin，因?yàn)樗鼤?huì)偏向于那些看上去離客戶端最近的IP地址。

圖3：同時(shí)啟用round robin和netmask ordering特性

在AD中集成DNS
在DC上安裝DNS時(shí)，可以選擇將區(qū)域文件存儲(chǔ)在AD數(shù)據(jù)庫(kù)中，而不是簡(jiǎn)單的文本文件中。這時(shí)你可能會(huì)問(wèn)，為什么要將區(qū)域集成到AD中呢？
在大多數(shù)情況下，在AD中集成DNS區(qū)域有很多優(yōu)點(diǎn)，最重要的一點(diǎn)是改進(jìn)復(fù)制。在集成到AD的區(qū)域中，AD可以自動(dòng)地在服務(wù)器間對(duì)DNS記錄進(jìn)行安全復(fù)制。AD復(fù)制是多主控的復(fù)制，也就是說(shuō)你可以在任何一臺(tái)DC上做修改，這些修改都會(huì)自動(dòng)在域中進(jìn)行復(fù)制和傳播。對(duì)于沒有集成到AD的DNS區(qū)域來(lái)說(shuō)，必須設(shè)置主從DNS服務(wù)器。在進(jìn)行更改時(shí)，通常必須在主服務(wù)器上做修改，這樣才能更新所有從服務(wù)器。
附文“DNS-AD大營(yíng)救”通過(guò)一個(gè)實(shí)例講述了如何排除由于DNS導(dǎo)致的AD故障。

學(xué)習(xí)基本原理
DNS問(wèn)題通常可以使用一些簡(jiǎn)單的辦法解決，但你還是需要對(duì)DNS的工作原理有一個(gè)清晰的認(rèn)識(shí)。對(duì)任何IT人員來(lái)說(shuō)，花一定的時(shí)間了解DNS知識(shí)是非常值得的。

附文：
DNS-AD大營(yíng)救
我是如何解決由于一位管理員無(wú)計(jì)劃的升級(jí)所導(dǎo)致的DNS-AD混亂的

在我上中學(xué)時(shí)，我拿到了潛水證書。在這個(gè)課程中學(xué)到的最重要的一點(diǎn)是：平靜，深思，在跳水前做好計(jì)劃。忽略這些細(xì)節(jié)可能會(huì)失敗，甚至可能死亡。我們的老師有一句話：計(jì)劃后再潛水，潛水時(shí)執(zhí)行計(jì)劃（Plan you dive,dive your plan）。
對(duì)于網(wǎng)絡(luò)管理員執(zhí)行大量的升級(jí)或者應(yīng)用可能影響現(xiàn)有產(chǎn)品的新技術(shù)時(shí)，同樣的道理也適用。而我經(jīng)?？吹较喾吹那樾危芰軓?qiáng)的技術(shù)工程師由于缺少一個(gè)明確定義好的執(zhí)行計(jì)劃，將自己逼入了死角。他們只是簡(jiǎn)單地放入升級(jí)光碟，雙擊安裝文件，然后按照安裝向?qū)?zhí)行操作。這種方法幾乎都會(huì)導(dǎo)致災(zāi)難。
這種情況最近在我認(rèn)識(shí)的一位管理員身上發(fā)生了，他試圖將Windows NT 4.0域升級(jí)到Windows Server 2003的AD。他從事網(wǎng)絡(luò)管理的經(jīng)驗(yàn)還比較少，并沒有意識(shí)到一個(gè)完善的計(jì)劃是非常重要的。最后，他向我求助，但那時(shí)已經(jīng)導(dǎo)致主機(jī)名無(wú)法正確解析，組策略無(wú)效，事件日志中滿是錯(cuò)誤。
開始我們通過(guò)網(wǎng)上論壇、郵件討論這些問(wèn)題，后來(lái)直接通過(guò)電話。從他所描述的情況來(lái)看，似乎是DNS和AD無(wú)法進(jìn)行相互通信。這里我會(huì)介紹我是如何解決這個(gè)問(wèn)題的（在一個(gè)周末解決的）。

AD-DNS的混亂
我發(fā)現(xiàn)了以下這些AD和DNS問(wèn)題（還有其它的，但那些是次要的）：
 DCs沒有指向一臺(tái)DNS服務(wù)器。
 AD DNS資源記錄（RRs）——_msdcs, _sites, _tcp，以及_udp——都丟失了。
 DNS沒有被設(shè)置為接受動(dòng)態(tài)更新。
 客戶端被指向到ISP的DNS服務(wù)器，而不是內(nèi)部DNS服務(wù)器。
這位管理員不清楚DNS在AD環(huán)境中的重要程度。沒有DNS就意味著沒有AD。AD和DNS入口都是空的，通過(guò)這一點(diǎn)我可以向管理員強(qiáng)調(diào)DNS的重要性，以及DNS的工作原理。在每臺(tái)DC上配置好所有正確的DNS設(shè)置后，我們開始著手解決下一個(gè)問(wèn)題：丟失的RRs。
在查看域中的DNS區(qū)域時(shí)，馬上就發(fā)現(xiàn)有問(wèn)題。我不能立即就解決這個(gè)問(wèn)題，因?yàn)槲乙然氐綔y(cè)試域中，將兩個(gè)環(huán)境的設(shè)置進(jìn)行對(duì)比。問(wèn)題馬上就顯露出來(lái)，就像手指的刺痛一樣尖銳，他的域中并沒有所需的RRs！這次歷險(xiǎn)更刺激了。我讓他將DC重啟，滿以為丟失的信息會(huì)重現(xiàn)。但是重啟并沒有恢復(fù)這些丟失的RRs，因此下一步是讓管理員重啟Netlogon服務(wù)，在命令行中輸入以下命令：
net stop netlogon
net start netlogon
仍然沒有RRs。之后我去尋找微軟的幫助和支持，找到這篇文檔“How to reinstall a dynamic DNS Active Directoryintegrated zone”（http://support.microsoft.com/?kbid=294328）。我們按照文中所描述的步驟，徹底將DNS刪除，并重新安裝。這個(gè)過(guò)程比較順利，問(wèn)題解決了。

更多的DNS問(wèn)題
我們發(fā)現(xiàn)的第三個(gè)問(wèn)題——DNS沒有被設(shè)置為接受動(dòng)態(tài)更新——這個(gè)問(wèn)題可能是某些PC無(wú)法正確獲取IP地址的原因之一。PC在DNS中有入口，而在PC的IP地址被DHCP修改后這些入口并沒有更新。解決的方法很簡(jiǎn)單，將客戶端配置為允許DNS動(dòng)態(tài)更新。
現(xiàn)在還有最后一個(gè)問(wèn)題，在從NT向AD升級(jí)時(shí)我見到過(guò)很多這種問(wèn)題。在NT中，通常沒有理由用DNS來(lái)解析主機(jī)名；我們只是使用WINS來(lái)解析NetBIOS名稱。DNS那時(shí)只是在用IE訪問(wèn)Internet時(shí)用于解析Internet名稱。這個(gè)過(guò)程在NT環(huán)境中能正常運(yùn)行，但升級(jí)到AD需要調(diào)整?？蛻舳擞?jì)算機(jī)需要DNS來(lái)指向一臺(tái)內(nèi)部DNS服務(wù)器，以便一些AD服務(wù)如組策略等可以正常工作。在Windows 200x中，一切都依賴于DNS。

環(huán)境正常了
花了好幾天我們才將網(wǎng)絡(luò)中所有的小問(wèn)題都解決掉，最后網(wǎng)絡(luò)運(yùn)行得非常流暢。盡管在執(zhí)行每個(gè)主要操作系統(tǒng)升級(jí)時(shí)，你無(wú)法預(yù)見到每個(gè)可能發(fā)生的網(wǎng)絡(luò)問(wèn)題，但以我的經(jīng)驗(yàn)來(lái)說(shuō)，定制一個(gè)詳細(xì)的升級(jí)計(jì)劃——并執(zhí)行該計(jì)劃——可以有效地避免各種煩惱管理員的問(wèn)題。

評(píng)論
安裝AD之后，對(duì)新的DC上運(yùn)行的DNS服務(wù)器操作時(shí)，可以使用兩種存儲(chǔ)和復(fù)制區(qū)域的選項(xiàng)：
使用基于文本文件的標(biāo)準(zhǔn)區(qū)域存儲(chǔ)。按這種方式存儲(chǔ)的區(qū)域位于.Dns文件中，這些文件存儲(chǔ)在運(yùn)行DNS服務(wù)器的每臺(tái)計(jì)算機(jī)上的systemroot\System32\Dns文件夾中。區(qū)域文件名稱與創(chuàng)建區(qū)域時(shí)為區(qū)域選擇的名稱相對(duì)應(yīng)，如區(qū)域名稱為example.microsoft.com時(shí)的Example.microsoft.com.dns。
使用AD數(shù)據(jù)庫(kù)的目錄集成區(qū)域存儲(chǔ)。按這種方式存儲(chǔ)的區(qū)域位于域或應(yīng)用程序目錄分區(qū)下的AD樹中。每個(gè)目錄集成區(qū)域都存儲(chǔ)在按照創(chuàng)建該區(qū)域時(shí)為它選擇的名稱標(biāo)識(shí)的dnsZone容器對(duì)象中。
一旦將DNS與AD進(jìn)行集成，DNS 控制臺(tái)便可提供訪問(wèn)控制列表（ACL）的編輯功能，這樣就可為指定的區(qū)域或資源記錄添加或刪除來(lái)自ACL的用戶或組。