Windows 2000的DNS服務(wù)器中有兩種類(lèi)型的搜索區(qū)域：“正向搜索區(qū)域”和“反向搜索區(qū)域”。其中“正向搜索區(qū)域”用來(lái)處理正向解析，即把主機(jī)名解析為IP地址；而“反向搜索區(qū)域”用來(lái)處理反向解析，即把IP地址解析為主機(jī)名。無(wú)論是“正向搜索區(qū)域”還是“反向搜索區(qū)域”都有三種區(qū)域類(lèi)型，分別為：“標(biāo)準(zhǔn)主要區(qū)域”、“標(biāo)準(zhǔn)輔助區(qū)域”和“Active Directory集成的區(qū)域”。下面就來(lái)討論一下這幾種區(qū)域類(lèi)型的區(qū)別。

在創(chuàng)建DNS區(qū)域時(shí)可以先創(chuàng)建一個(gè)“標(biāo)準(zhǔn)主要區(qū)域”，“標(biāo)準(zhǔn)主要區(qū)域”中的區(qū)域記錄是自主生成的，是可讀可寫(xiě)的，也就是說(shuō)該DNS服務(wù)器既可以接受新用戶(hù)的注冊(cè)，也可以給用戶(hù)提供名稱(chēng)解析服務(wù)。“標(biāo)準(zhǔn)主要區(qū)域”是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)主要區(qū)域”的DNS服務(wù)器稱(chēng)為該區(qū)域的“主DNS服務(wù)器”。

如果一個(gè)DNS區(qū)域的客戶(hù)端計(jì)算機(jī)非常多，為了優(yōu)化對(duì)用戶(hù)DNS名稱(chēng)解析的服務(wù)，可以在另外一臺(tái)DNS服務(wù)器上為該區(qū)域創(chuàng)建一個(gè)“標(biāo)準(zhǔn)輔助區(qū)域”。“標(biāo)準(zhǔn)輔助區(qū)域”中的區(qū)域記錄是從“標(biāo)準(zhǔn)主要區(qū)域”復(fù)制而來(lái)的，是只讀的，也就是說(shuō)該DNS服務(wù)器不能接受新用戶(hù)的注冊(cè)請(qǐng)求，只能為已經(jīng)注冊(cè)的用戶(hù)提供名稱(chēng)解析服務(wù)。“標(biāo)準(zhǔn)輔助區(qū)域”也是以文件的形式存放在創(chuàng)建該區(qū)域的DNS服務(wù)器上。維護(hù)“標(biāo)準(zhǔn)輔助區(qū)域”的DNS服務(wù)器稱(chēng)為該區(qū)域的“輔助DNS服務(wù)器”。

由于“輔助DNS服務(wù)器”的區(qū)域記錄是從“主DNS服務(wù)器”復(fù)制而來(lái)，所以“主DNS服務(wù)器”又稱(chēng)為“輔助DNS服務(wù)器”的“Master服務(wù)器”。但并不是說(shuō)只有“主DNS服務(wù)器”才能充當(dāng)“Master服務(wù)器”。如果一臺(tái)“輔助DNS服務(wù)器”的區(qū)域記錄是從另外一臺(tái)“輔助DNS服務(wù)器”復(fù)制而來(lái)的，那么第一臺(tái)“輔助DNS服務(wù)器”稱(chēng)為該區(qū)域的“一級(jí)輔助”，而這臺(tái)DNS服務(wù)器稱(chēng)為該區(qū)域的“二級(jí)輔助”，則“一級(jí)輔助”就稱(chēng)為“二級(jí)輔助”的“Master服務(wù)器”。

在“標(biāo)準(zhǔn)主要區(qū)域”的區(qū)域?qū)傩灾锌梢栽O(shè)置“是否允許動(dòng)態(tài)更新”。“允許動(dòng)態(tài)更新”的含義是：當(dāng)該區(qū)域的客戶(hù)端計(jì)算機(jī)的IP地址或主機(jī)名發(fā)生變化時(shí)，這種改變可以動(dòng)態(tài)的在DNS區(qū)域記錄中進(jìn)行更改，而無(wú)需管理員手工更改。

“Active Directory集成的區(qū)域”只存在于域控制器（DC）上，而且該類(lèi)型的區(qū)域不是以文件的形式存在的，而是存在于活動(dòng)目錄中的。“Active Directory集成的區(qū)域”不會(huì)發(fā)生區(qū)域復(fù)制，而是隨著活動(dòng)目錄的復(fù)制而復(fù)制的，因此這種區(qū)域類(lèi)型避免了DNS服務(wù)器單點(diǎn)失敗的現(xiàn)象。在“Active Directory集成的區(qū)域”的區(qū)域?qū)傩灾谐丝梢栽O(shè)置“是否允許動(dòng)態(tài)更新”外，還可以設(shè)置“僅安全更新”。“僅安全更新”的含義是在動(dòng)態(tài)更新的基礎(chǔ)上保證安全。那么設(shè)置為“僅安全更新”的DNS區(qū)域是如何實(shí)現(xiàn)安全性的呢？我們經(jīng)常講的一句話就是“域是安全的最小邊界”，“僅安全更新”的區(qū)域?qū)⒅唤邮芤呀?jīng)加入到該域的計(jì)算機(jī)賬號(hào)的主機(jī)名和IP地址的變化，而當(dāng)那些不屬于該域的計(jì)算機(jī)賬號(hào)的主機(jī)名和IP地址發(fā)生變化時(shí)是不會(huì)在區(qū)域記錄中動(dòng)態(tài)改變的，但是這些計(jì)算機(jī)仍然可以利用該DNS服務(wù)器進(jìn)行名稱(chēng)解析服務(wù)。

DNS的區(qū)域類(lèi)型是可以改變的，可以把一個(gè)“標(biāo)準(zhǔn)主要區(qū)域”類(lèi)型更改為“標(biāo)準(zhǔn)輔助區(qū)域”，或者為了加強(qiáng)安全性把它更改為“Active Directory集成的區(qū)域”。不過(guò)一般來(lái)說(shuō)，對(duì)于活動(dòng)目錄的DNS區(qū)域類(lèi)型最好采用“Active Directory集成的區(qū)域”，而且設(shè)置區(qū)域?qū)傩詾椤皟H安全更新”，不要把它更改為“標(biāo)準(zhǔn)主要區(qū)域”類(lèi)型。