Windows系統中佈建網域控制器時別忽視DNS設定

網域控制站是公司網路管理的核心，它出現故障往往會導致全網使用者電腦的登入失敗。不過，大家在建立網域控制站時往往忽視了對DNS的設定，致使域中的DNS頻頻引發故障。你是否知道DNS的重要性呢?如果DNS設定出問題會帶來什麼樣的後果呢?筆者負責公司伺服器的維護工作，最近在實際工作中就遇到了一起突發的與DNS相關的伺服器故障。

故障現象

公司規模不是很大，大概有50多台電腦，購買了兩台IBM伺服器。由於內部使用的某個應用軟體需要Windows域的支援，所以在這兩台IBM伺服器上啟用了windows 2000 Server的域。一台作為網域控制站DC，另一台設定為備份網域控制站BDC。

由於備份網域控制站在管理域上主要起輔助作用，所以配置完畢後基本沒有做任何修改和操作。然而最近卻出現了主網域控制站DC那台伺服器無法登入系統案頭的故障，每次啟動該網域控制站都停留在登入介面(即要求輸入管理員帳號和密碼操作之前的介面)，下方登入資訊顯示的是“正在串連網路”，等待近一個小時仍然沒有任何進展。重新啟動該伺服器按F8鍵可以正常進入安全模式，然而只要一進入正常模式就會出現上述問題。

故障排查

由於系統登入總是停留在“正在串連網路”處，所以筆者懷疑是網路出現了問題，例如主網域控制站無法通過DNS解析自己。筆者嘗試進入安全模式將網卡禁用，這樣系統就不會搜尋網路，也不會嘗試串連網路了。果然通過禁用網卡後系統可以正常進入案頭。

不過禁用網卡並不能治本，雖然伺服器可以登入案頭但是所提供的服務其他客戶機也無法使用了。為什麼沒有了網卡就可以登入呢?筆者再次將排除故障的思路集中到網域名稱解析上。眾所周知在啟用了域的網路中，DNS解析的網域名稱與電腦是一一對應的，任何一台電腦沒有在主網域控制站上保留正確的DNS對應名稱的話都將無法使用網路。

筆者在主網域控制站上查看DNS服務的配置，發現主網域控制站的DNS地址被設定為備份網域控制站的IP地址。看來是備份網域控制站上的DNS解析出現了問題。筆者馬上到備份網域控制站進行檢查，原來是備份網域控制站上的網線與網卡介面串連處鬆動了，也就是說備份網域控制站實際上脫離了整個網路。將備份網域控制站上的網線插緊後，啟動主網域控制站上的網卡就可正常進入系統了，故障得到排除。

進階思考

本次故障看起來似乎是因為備份網域控制站上的網線鬆動造成的，實際上是我們在建立域時的配置出現問題的結果，因為我們忽視了對DNS的配置。在建立域時，最好按照以下規則來配置DNS。

1.DC與BDC上都安裝DNS服務，而不是只在一台伺服器上啟用，防止DNS解析錯誤，為DNS解析提供冗餘功能。

2.DC本機DNS伺服器設定為自己的IP地址，BDC本機DNS伺服器也設定為自己的IP地址。

3.DC輔助DNS伺服器位址要設定為BDC的地址，相應的BDC上的輔助DNS伺服器位址要設定為DC的IP地址。

這樣我們在進行DNS解析時就不會輕易出問題。因為登入主網域控制站進行DNS解析並串連網路時會自動查詢原生DNS設定，即使BDC網線鬆動或關機也不會影響DC的登入。

總結:在Windows系統中佈建網域控制器是一件非常麻煩的事情，而且故障的發生沒有規律可言，所以在升級網路為域時的初始化操作中一定要遵循相應規則，這樣可以將故障發生幾率降到最低。