区域的委派是针对子域DNS区域而言的，如果只有单一域，则也就无所谓委派了。所以在进行区域委派前，先需要创建好对应的子域，以及安装、配置好其对应的权威DNS服务器。

Active Directory子域DNS区域的创建过程与本系列初级教材《金牌网管师——中小型企业网络组建、配置与管理》一书中介绍的lycb.local区域的创建过程完全一样，不同的只是区域名称。如要创建BeiJing.lycb.local子域DNS区域，则指定的DNS区域名称就是BeiJing.lycb.local，如图2-6所示。

如图2-7所示的是集成在BeiJing-DC.Beijing.lycb.local域控制器上的DNS服务器上创建的Beijing.lycb.local DNS区域。ShangHai.lycb.local子域的DNS区域创建方法也一样。

图2-6 创建BeiJing.lycb.local子域DNS区域时指定的DNS区域名称

图2-7 新创建的Beijing.lycb.local DNS区域

创建了新的子域DNS区域后，为了使林中其他区域知道新创建的子域DNS区域的权威DNS服务器，就需要在其他区域中为该子域DNS区域创建委派，指向新的子域DNS区域的权威DNS服务器。区域委派就是一个完整的林，或者域树中的DNS名称空间的一部分单独划分出来，形成相对独立的新的DNS区域，然后再把这部分DNS区域的管理权交给对应区域的DNS服务器来。如在本实验中，在lycb.local林根域下创建了BeiJing.lycb.local和ShangHai.lycb.local子域后，并且在这两个子域中分别安装了自己的权威DNS服务器。为了使父域lycb.local识别这两个子域DNS区域的权威DNS服务器，则需要在lycb.local区域的DNS服务器上为这两个子域DNS区域创建区域委派，指向对应子域DNS区域的权威DNS服务器。这样一来，当lycb.local区域所在DNS服务器接到这两个子域的DNS名称解析请求时，会自动把请求转到所委派的对应DNS服务器上。这里的“委派”其实就是解析权力的委派，或者说权威解析资格的委派。

【经验之谈】这里的“DNS区域委派”与我们在初级教材中讲到的“转发器”（DNS服务器的转发器功能配置对话框如图2-8所示）有些类似，都是在转发DNS解析请求。但两者在实际应用于上还是存在明显的区别的。“区域委派”只能是在同一个林或者域树的DNS名称空间中一段区域对另一段区域（通常是上级区域对下级区域的委派）的DNS解析权力，或者权威解析资格的委派。这样一则可以使上级域的DNS服务器解析负担降低，再则可以使解析更权威，因为新的子域下有它自己的权威DNS服务器。而“转发器”既可以对完全不同林和完全不同域网络，也可以在同一林，或者同一域树中的名称解析能力的转发，因为接收到请求的DNS服务器没有对该请求的解析能力，只能把请求转发到有能力解析的对应域的DNS服务器上，如ISP提供的DNS服务器。区域委派通常只需在正向区域中创建。

图2-8 DNS服务器转发器配置对话框

现仅以在lycb.local区域DNS服务器为BeiJinglycb-DC上新建的BeiJing.lycb.local子域DNS区域创建区域委派为例进行介绍。

（1）在lycb.local的主要DNS服务器正向区域上单击右键，在弹出菜单中选择“新建委派”选项，打开如图2-9所示的委派向导首页对话框。

（2）单击“下一步”按钮，打开如图2-10所示对话框。在这里要指定受委派的的域名。只需要输入子域部分的名称即可，如本实验受委派的是子域BeiJing.lycb.local，所以只需要输入前面的BeiJing子域名。

图2-9  “欢迎使用新建委派向导”对话框  

图2-10  “受委派域名”对话框

（3）单击“下一步”按钮，打开如图2-11所示对话框。在这时要添加受委派区域的权威DNS服务器（也就是对应子域DNS区域中“名称服务器”选项卡中配置的DNS服务器）。

（4）单击“添加”按钮，打开如图2-12所示对话框。在“服务器完全合格的域名”文本框中输入受委派区域BeiJing.lycb.local子域DNS区域的权威DNS服务器的DNS名称（BeiJing-DC.BeiJing.lycb.local），在“IP地址”栏中输入对应DNS服务器的IP地址（172.16.101.1），然后单击“添加”按钮添加到下面的权威DNS服务器列表中。在这里可以添加多个权威DNS服务器，但不要超过对应子域DNS区域属性对话框“名称服务器”选项卡中所列的DNS服务器范围。

   图2-11  “名称服务器”对话框    

图2-12  “名称服务器”对话框

（5）单击“确定”按钮，即可完成向委派的新建子域DNS区域指定权威DNS服务器的任务，返回到如图2-11所法对话框。只是此时已添加了名称服务器，如图2-13所示。

（6）单击“下一步”按钮，打开如图2-14所示委派向导完成对话框。

  图2-13  添加了名称服务器后的“名称服务器”对话框    图2-14  “正在完成新委派向导”对话框

（7）单击“完成”按钮完成对BeiJing.lycb.local子域区域的委派。此时可在lycb.local正向区域中看到新创建的区域委派BeiJing。在其中已自动添加了指向BeiJinglycb-DC.BeiJing.lycb.local DNS服务器的NS（名称服务器）记录，如图2-15所示。

在创建委派区域后，会自动生成以下两个DNS记录：

l         一个使委派生效的NS资源记录。这个记录用于公布名为BeiJinglycb-DC.BeiJing.lycb.local的服务器是被委派子域BeiJing.lycb.local的权威服务器。

l         一个A资源记录，将NS记录中指定的权威DNS服务器名称解析为它的IP地址。

【经验之谈】正确配置了区域委派后，不要再配置指向同一DNS服务器的转发器，否则有时也可能会妨碍正常的区域委派功能应用。

图2-15 在lycb.local区域中新建的子域委派区域

创建了区域委派后，可使用nslookup命令在创建委派的区域上进行验证。验证步骤如下：

（1）键入nslookup 172.16.101.1（这是受委派区域BeiJing.lycb.local的权威DNS服务器）命令，按Enter键，结果会显示解析这个地址的是其父域lycb.local的当然DNS服务器172.16.0.1。证明当前域也可以解析子域下的DNS请求。

（2）在命令提示符下键入nslookup命令，按Enter键，显示当前所用的默认DNS服务器为lycb-dc1-lycb.local，IP地址为172.16.0.1。

（3）在命令提示符下键入set norecurse命令，按Enter键，禁止当前默认DNS服务器的解析功能。

（4）在命令提示符下键入set q=NS命令，按Enter键，将对应的DNS解析请求发送到第一步所指定的BeiJing.lycb.local区域的权威DNS服务器上。

（5）在命令提示符下键入beijinglycb-w02.beijing.lycb.local.（此为BeiJing.lycb.local子域DNS区域中的一个客户机DNS名称，注意最后面的小圆点不能少），按Enter键。

l         如果正确设置了区域委派，则在响应中应返回被委派的名称服务器(NS)资源记录的列表，包括被委派服务器的名称（BeiJinglycb-dc.Beijing.lycb.local）和IP地址（172.16.101.1）。

l         如果响应包含NS资源记录，但不包含主机(A)资源记录，请键入set recurse命令，并分别查询NS资源记录中列出的服务器的任何A资源记录。

对于区域中遇到的每个NS资源记录，如果在A资源记录中没有找到一个有效的IP地址，则说明您有已中断的委派关系。此时则需要修复中断的委派关系或使用不同的IP地址重试前一步骤所述的委派测试。

如果找到多个A资源记录或IP地址，则使用它来重复前一步骤所述的委派测试。为修复委派关系，请在带有正确DNS服务器的有效IP地址的父区域中为委派区域添加或更新A资源记录。

以上操作步骤如图2-16所示。

图2-16 区域委派验证步骤

本文摘自《（金牌网管师——大中型企业网络组建》第二章