asp项目怎么部署到服务器里面去？

1、Visual Studio 使用您在项目“属性”页的“打包/发布 Web”选项卡中创建的设置，确定放入部署包中的内容。 下图显示了“打包/发布 Web”选项卡。

在“打包/发布 SQL”选项卡上输入影响包创建的数据库相关设置，本主题后面将对此进行描述。

利用这两个选项卡，可以更新最常用的设置。 其他不常使用的设置存储在 Visual Studio 项目文件（csproj 或 vbproj）中，可以通过直接编辑该文件进行更改。

创建部署包

可以通过以下方式创建包：

使用 Visual Studio 中的工具。

直接从命令行使用 MSBuild 命令。

间接从 PowerShell 或 Team Build 使用 MSBuild 命令。

安装部署包

创建部署包之后，将其安装在目标计算机上。 Web 部署使用包中的信息来配置 IIS、设置数据库、创建文件夹结构并将文件复制到其中，以及执行部署应用程序所需的任何其他 *** 作。

2、可以通过以下方式安装包：

从命令行使用 Web 部署。

使用 Visual Studio 创建的 cmd 文件，该文件包含安装包的 Web 部署命令。 Web 部署命令可以长而复杂，提供此文件是为了便于从命令行安装包。

使用 IIS 管理器。

使用 PowerShell 执行 Web 部署命令。

可以在创建包时在其中包括参数。 这些是名称/值对，在创建包时将为其提供默认值，但在安装包时可以为其提供新值。 如果使用 IIS 管理器来安装包，则将使用文本框显示参数名称，以便您可以输入新值。 如果您通过从命令行使用 Web 部署进行安装，则可以在 XML 文件中指定参数值。

包文件夹的位置和内容

默认情况下，Visual Studio 将在由 MSBuild IntermediateOutputPath 属性标识的文件夹中生成部署包。IntermediateOutputPath 属性引用项目的 obj\配置 文件夹，如下图的“解决方案资源管理器”窗口中所示：

3、一键发布：

也可以使用 Visual Studio 的一键式发布功能，以远程方式进行部署。 在这种情况下，您将在发布配置文件中指定 Visual Studio 应如何在何处部署应用程序。 下图显示“发布配置文件”对话框。

终端服务在Windows网络环境中是一种很有用的服务。但如果使用不当会给用户带来很多麻烦。例如会导致用户数据丢失、给网络带来安全隐患等风险。终端服务在配置过程中，仍然有一些内容值得引起大家的注意。一、必要时让服务器在疏通模式下运作。虽然终端服务很早就在微软的 *** 作系统中存在。但是在2008R2中还是对其进行了一些改善。其中疏通模式就是一个很大的亮点。有时候管理员出于某种原因可能需要将终端服务器脱机。在以前的版本中，可能会导致用户数据的丢失。因为那时管理员只能够使用change logon /disable命令来断开用户的连接。但是使用这个命令，虽然可以防止新用户的登陆，但是这个命令同时也会阻止断开会话连接的用户重新连接到终端服务器。此时当终端服务器停机时，用户就会丢失他们的会话以及和这个会话相关的数据。为此在以前的版本中，管理员如果要让终端服务器脱机，需要非常的谨慎。如需要选择在用户下班的情况下才脱机等等。这会给日常的维护工作带来不必要的麻烦。但是在2008R2中这种情况有了很大的改善。因为在这个版本的终端服务中引入了疏通模式。将服务器设置为这个工作模式时，管理员将服务器脱机后，可以阻断新用户的连接。但是服务器会允许带有已有会话的用户重新连接到终端服务器。当然在用户重新连接后会有相关的提示，让用户及时提交相关的作业。显然疏通模式下的工作方式要人性化许多。要改变这个工作模式，也是非常简单的。一个命令就可以完成：change logon /drain。注意当运行了这个命令之后，没有任何其他新的用户可以登陆到这个终端服务器。如果要允许用户重新登陆时，稍微麻烦一点，需要两个步骤。首先是运行命令change logon /drainumtilrestart。其次这个终端服务就会重新启动。然后用户可以登陆。可见这个疏通模式对于管理员维护终端服务器有很大的帮助。二、通过WSRM来为终端服务的用户分配资源。当将终端服务作为一个服务器时，连接到上面的用户会有很多。随之而来的问题是如何分配这些资源如果没有采取任何的措施，系统默认情况下是平均分配的。此时当用户一多，终端服务的性能就会急剧下降。为此在2008的终端服务中，微软也借鉴了其他产品的相关经验，使用WSRM来为终端服务器的各个用户管理资源的使用。WSRM(系统资源管理器)也是win2008中新实现的一个内容。并且在R2补丁中还对其进行了一些修缮。这个组件允许系统管理员来分配服务器的资源。即将内存、CPU等关键资源如何在应用程序、服务、进程之间进行分配。如果将WSRM系统资源管理器与终端服务结合使用，管理员就可以比较精确的控制每个用户或者会话所允许使用的资源最高值。通过限制用户或者会话可以使用的资源，系统管理员就可以减少用户最大限度的使用终端服务器资源的机会。在实际工作中，我们往往会为一些特殊的帐户，设置比较高的资源使用量。而对于普通的用户则会进行限制。这主要是因为在终端服务维护时，如对终端服务进行升级，会消耗系统比较多的资源。否则的话，就可能会导致升级失败或者升级的时间延长。为此需要优先保证管理员帐户的需求。其次如果在同一个服务器上运行了多种服务。如除了终端服务外还有邮箱服务等等，就需要限制终端服务总的资源消耗量。以免终端服务占用了太多的资源，而给其他应用服务的运作产生了不利的影响。总之在2008的环境下，如果终端访问的用户数量比较多或者多个应用服务同时部署在一台服务器上，则笔者都会建议用户要使用WSRM系统资源管理器来合理分配各个用户、各个服务可以使用的最大资源量。同时对于不同的用户、不同的服务根据实际情况还需要有区别的对待。即关键用户、关键服务要放宽资源的使用限制。而对其他次要的、或者偶发性资源占用情况比较多的服务，需要加以限制。从而减少各个服务、各个用户资源争夺的情况。三、谨慎终端服务器的升级。如果要对终端服务器进行升级换代，笔者建议是采用全新安装的方式。但是如果服务器上除了终端服务还有其他应用服务，则采取这种方式并不是很合理。如果数据库服务于终端服务都在同一台服务器上，那么重新安装的话，还需要重新部署数据库服务。这个工作两就会很大。在这种情况下，只有对终端服务进行升级。不过在升级的时候，需要特别的谨慎。虽然微软在升级这块上做的已经非常的不错。但是在实际工作中还是经常会遇到升级后终端服务无法正常运行的情况。发生这种情况的原因有很多。如升级失败、升级后的兼容性问题等等。为此笔者建议，在终端服务器上应用任何 *** 作系或者应用程序更新(打补丁也是如此)之前，都需要在独立的服务器上进行测试。也就是说，先克隆一台终端服务器(与原有的终端服务器具有相同的服务与应用程序)，然后在这台克隆的终端服务器上先进行升级。以判断升级过后是否会与现有的应用程序与服务产生冲突。在这个过程中，管理员还可以发现一些相关资料上没有提到的内容。如升级之前需要的准备工作、升级之后相关的应用服务是否需要重新配置等等。如在服务升级之后，有时候可能需要重新安装打印机驱动程序等等。这些都是很难预测的。只有通过测试之后才能够发现问题。基于升级过程中可能发生的难以预测的原因，笔者建议在升级之前要谨慎，需要做好相关数据的备份。当然作为最佳的做法，笔者还是推荐使用带有最新的终端服务器代替原有的服务器。即现在一台服务器上部署好最新版本的终端服务，直接将原有的服务器替换下来。虽然这么做工作量会比较大，如需要重新创建每个文件共享和打印设备、需要重新安装最新的驱动程序来支持每个客户端。但是相对于升级后产生的问题来说，这么做还是值得的。在实际工作中，最大的问题并不是工作量增加的问题。而是需要增加一台额外的服务器作为备用。其次就是仍然需要进行数据的移植，如用户数据库等等。总之在Win2008R2中对于终端服务做了很多改善，添加了不少新的特性。系统管理员需要灵活使用这些特性来改善自己的工作。不过从低版本的终端服务升级到2008R2版本的终端服务时，仍然需要谨慎。在这里的建议是重新部署，而不是选择升级。

Windows Server 2012 R2域控制器部署Active Directory概述：活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。）Active Directory存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。 Windows Server 2012在部署DC方面有了一些改变，不再使用“dcpromo”命令来部署，而是使用服务器管理器来安装AD域服务，如果使用“dcpromo”会出现以下提示；首先我们先配置好IP地址、计算名，然后打开服务器管理器，点击添加角色和功能，d出添加角色和功能向导，点击下一步；在安装类型默认选择“基于角色或基于功能的安装”，点击下一步；在服务器选择页面保持默认“从服务器池中选择服务器”，点击下一步；在服务器角色页面，选择我们要安装的”Active Directory域服务“，点击下一步d出功能选择对话框，点击添加功能；在功能选择页面可以保持默认继续点击下一步，在这里我选择了安装NET 35；进入AD域服务安装向导，继续下一步；确认选择要安装的角色和功能，点击安装；开始安装界面；经过一会的等待，我们的角色和功能就已经安装完成，可以在服务器管理器界面的小旗处点击”将此服务器提升为域控制器“（PS：在这里我的上显示的是dc02服务器，有几张乱了，不要在意）转到AD域服务配置向导，由于我们是搭建林中的第一台域控制器，所以选择”添加新林“在根域名输入要创建的域名；由于我是测试环境，没有Windows 2012以下的服务器，所以保持默认林和域功能级别为2012 R2，实际生产中可根据环境来选择；输入目录还原密码，此密码是在还原域控状态时使用的密码，请谨记；出现关于DNS警告，是由于我们的服务器中还没有安装DNS服务，不用理会，在下面的安装过程中会自动安装；在NetBIOS界面中保持默认，点击下一步；在路径选择页面可以指定数据库文件、日志文件和SYSVOL文件的存放位置，由于是测试环境，我就直接保持默认；在摘要界面如果没有问题，我们可以选择下一步，否则，可以返回修改；同时在上一步中我们可以脚本，将配置导出为PowerShell 脚本；进行先决条件检查，检查通过后，点击安装；正在启动安装；正在安装DNS；安装完成后需要重启服务器；至此，我们的第一台DC就部署完成了。

本文介绍了如何在 Windows Server 2003 中配置 DNS 动态更新功能。利用 DNS 动态更新功能，DNS 客户端计算机能够注册到 DNS 服务器并在每次发生更改时动态更新其资源记录。使用此功能可以减少对区域记录进行手动管理的需要，尤其是对于经常移动并使用“动态主机配置协议”(DHCP) 获取“Internet 协议”(IP) 地址的客户端更是如此。
Windows Server 2003 提供了对动态更新功能的支持，如“请求注释”(RFC) 2136 中所述。对于 DNS 服务器，DNS 服务允许您在每个配置为加载标准主区域或目录集成区域的服务器上按区域启用或禁用 DNS 动态更新功能。
回到顶端
Windows Server 2003 DNS 动态更新功能
客户端计算机可通过 DNS 服务在 DNS 中动态更新其资源记录。使用此功能可以减少手动管理区域记录所需的时间，从而改进了 DNS 管理。您可以将 DNS 动态更新功能与 DHCP 结合使用，以便在计算机的 IP 地址更改时更新资源记录。运行 Windows Server 2003 的计算机可以发送动态更新。
Windows Server 2003 提供了下列与 DNS 动态更新协议相关的功能： • 支持将 Active Directory 目录服务用作域控制器的定位器服务。
• 与 Active Directory 集成。
可以将 DNS 区域集成到 Active Directory 中以提供增强的容错功能和安全性。每个 Active Directory 集成的区域都在 Active Directory 域中的所有域控制器中进行复制。在这些域控制器上运行的所有 DNS 服务器都可以充当该区域的主服务器并接受动态更新。Active Directory 复制以属性为基础进行，并只传播相关的更改。
• 支持老化和清理记录。
DNS 服务可以扫描并删除不再需要的记录。启用此功能可以防止在 DNS 中保留陈旧记录。
• 支持在 Active Directory 集成的区域中进行安全动态更新。
您可以为 Active Directory 集成的区域配置安全动态更新，以便只允许授权用户更改区域或记录。
• 在命令提示符下进行管理。
• 增强的名称解析。
• 增强的缓存和否定缓存。
• 可以与其他 DNS 服务器实现进行互 *** 作。
• 与其他网络服务集成。
• 增量区域复制。
回到顶端
基于 Windows Server 2003 的计算机如何更新其 DNS 名称
默认情况下，运行 Windows Server 2003 并以静态方式配置了 TCP/IP 的计算机尝试动态注册由其安装的网络连接配置和使用的 IP 地址的主机地址 (A) 和指针 (PTR) 资源记录。默认情况下，所有计算机注册记录均基于其完整的计算机名。
对于 Windows Server 2003 计算机，主要完整计算机名（一个完全合格的域名 [FQDN]）是附加到计算机名的计算机的主 DNS 后缀。要确定计算机的主 DNS 后缀和计算机名，请右键单击“我的电脑”，单击“属性”，然后单击“计算机名”。
动态更新可以根据以下任一原因或事件发送： • 在已安装的任一网络连接的 TCP/IP 属性配置中添加、删除或修改了 IP 地址。
• IP 地址租约通过 DHCP 服务器更改或续订了任一已安装的网络连接。例如，当计算机启动时，或者您使用 ipconfig /renew 命令时。
• 使用 ipconfig /registerdns 命令手动强制在 DNS 中刷新客户端名称注册。
• 启动时，即打开计算机时。
• 成员服务器升级为域控制器。
当以上事件之一触发动态更新时，DHCP 客户端服务（而非 DNS 客户端服务）将发送更新。如果由于 DHCP 而导致 IP 地址信息发生更改，DNS 中会执行对应的更新，以同步计算机的名称到地址映射。DHCP 客户端服务为系统中的所有网络连接（包括未配置为使用 DHCP 的连接）执行此功能。
注意：• 使用 DHCP 获取其 IP 地址的基于 Windows Server 2003 的计算机的动态更新过程与本部分介绍的过程有所不同。有关更多信息，请参阅本文的 将 DHCP 与 DNS 集成 部分和Windows DHCP 客户端和 DNS 动态更新协议 部分。
• 本部分介绍的更新过程假定 Windows Server 2003 安装默认值有效。如果将高级 TCP/IP 属性配置为使用非默认 DNS 设置，则可以调整特定名称和更新行为。
• 除计算机的完整计算机名（或主要名称）以外，您可以配置其他特定于连接的 DNS 名称，也可以在 DNS 中注册或更新它们。
动态更新工作原理的示例
对于 Windows Server 2003，当计算机的 DNS 名称或 IP 地址更改时，通常会请求动态更新。例如，名为“oldhost”的客户端最初在系统属性中配置为使用以下名称：
计算机名：oldhost
计算机的 DNS 域名：examplemicrosoftcom
完整计算机名：oldhostexamplemicrosoftcom
在本示例中，没有为计算机配置连接特定的 DNS 域名。如果将计算机从“oldhost”重命名为“newhost”，将发生以下名称更改：
计算机名：newhost
计算机的 DNS 域名：examplemicrosoftcom
完整计算机名：newhostexamplemicrosoftcom
在系统属性中应用名称更改后，Windows Server 2003 将提示您重新启动计算机。计算机重新启动 Windows 后，DHCP 客户端服务将按顺序执行以下步骤以更新 DNS： 1 DHCP 客户端服务使用计算机的 DNS 域名发送起始授权机构 (SOA) 类型查询。
客户端计算机使用计算机当前配置的 FQDN（如“newhostexamplemicrosoftcom”）作为此查询中指定的名称。
2 区域中包含此客户端 FQDN 的权威性 DNS 服务器响应此 SOA 类型查询。
对于标准的主要区域，在 SOA 查询中返回的主服务器（所有者）是固定和静态的。它始终与准确的 DNS 名称相匹配，因为该名称显示在区域中存储的 SOA 资源记录中。然而，如果正在更新的区域是目录集成的区域，则任何正在加载此区域的 DNS 服务器都可以响应此 SOA 查询并在 SOA 查询响应中插入它自己的名称作为此区域的主服务器（所有者）。
3 DHCP 客户端服务尝试联系主 DNS 服务器。
客户端处理对其名称的 SOA 查询的响应，以确定被授权作为接受其名称的主服务器的 DNS 服务器的 IP 地址。如有必要，客户端将继续执行以下过程，以联系并动态更新其主服务器： a 客户端向在 SOA 查询响应中确定的主服务器发送一个动态更新请求。
如果更新成功，则不执行其他 *** 作。
b 如果此更新失败，则客户端接下来针对在 SOA 记录中指定的区域名称发送一个 NS 类型查询。
c 客户端在收到此查询的响应时，将向此响应中列出的第一个 DNS 服务器发送 SOA 查询。
d 解析此 SOA 查询后，客户端将向在返回的 SOA 记录中指定的服务器发送动态更新。
如果更新成功，则不执行其他 *** 作。
e 如果此更新失败，则客户端将通过向在响应中列出的下一个 DNS 服务器发送动态更新来重复 SOA 查询过程。
4 联系到可以执行更新的主服务器后，客户端将发送更新请求，然后服务器处理该请求。
更新请求的内容包括指示添加“newhostexamplemicrosoftcom”的 A（以及可能的 PTR）资源记录并删除“oldhostexamplemicrosoftcom”（先前注册的名称）的这些相同的记录类型。
服务器还将进行检查以确保允许根据客户端请求进行更新。对于标准的主要区域，动态更新是不安全的并且任何客户端的更新尝试都会成功。对于 Active Directory 集成的区域，更新是安全的并且使用基于目录的安全设置执行更新。
动态更新定期发送或刷新。默认情况下，计算机每 7 天发送一次刷新。如果发生更新而区域数据未更改，则区域仍保持其当前版本并且不写入更改。仅当名称或地址实际更改时，才会传输导致实际区域更改或增大区域的更新。
注意：处于非活动状态或在刷新间隔（7 天）中未更新的名称将不从 DNS 区域中删除。DNS 不通过某种机制来释放或删除名称，尽管 DNS 客户端的确在应用新名称或地址更改后尝试删除或更新旧名称记录。
DHCP 客户端服务在注册 Windows Server 2003 计算机的 A 和 PTR 资源记录时，对主机记录使用默认的缓存生存期 (TTL) 值，即 15 分钟。该值决定其他 DNS 服务器和客户端对包含在查询响应中的计算机的记录进行缓存的时间长度。
将 DHCP 与 DNS 集成
使用 Windows Server 2003，DHCP 服务器可以在 DNS 名称空间中为支持动态更新的任何客户端启用动态更新。作用域客户端可以在 DHCP 为其分配的地址发生更改时，使用 DNS 动态更新协议更新其主机名到地址映射信息。（此映射信息存储在 DNS 服务器上的区域中。）Windows Server 2003 DHCP 服务器可以代表其 DHCP 客户端对任何 DNS 服务器执行更新。
DHCP/DNS 更新交互的工作原理
您可以使用 DHCP 服务器代表其启用了 DHCP 的客户端注册和更新 PTR 和 A 资源记录。执行此 *** 作时，您必须使用另一 DHCP 选项，即“客户端 FQDN”选项（选项 81）。此选项允许客户端提供其 FQDN 并指示 DHCP 服务器如何代表它处理 DNS 动态更新（如果有更新）。
当合格的 DHCP 客户端（如运行 Windows Server 2003、Microsoft Windows 2000 或 Microsoft Windows XP 并启用了 DHCP 的计算机）发出此选项后，Windows Server 2003 DHCP 服务器将处理并解释此选项，以确定如何代表该客户端初始化更新。
例如，您可以使用以下任一配置来处理客户端请求： • 根据客户端请求，DHCP 服务器通过其配置的 DNS 服务器注册和更新客户端信息。
这是 Windows Server 2003 DHCP 服务器和运行 Windows Server 2003、Windows 2000 或 Windows XP 的客户端的默认配置。在此模式下，任何 Windows DHCP 客户端都可以指定 DHCP 服务器更新其主机 A 和 PTR 资源记录的方式。如果可能，DHCP 服务器将接受客户端对其 DNS 中的名称和 IP 地址信息进行更新的处理请求。
要将 DHCP 服务器配置为根据客户端的请求注册客户端信息，请打开服务器或单个作用域的 DHCP 属性，单击“DNS”选项卡，单击“属性”，然后单击“只有在 DHCP 客户端请求时才动态更新 DNS A 和 PTR 记录”复选框，将其选中。
• DHCP 服务器始终通过其配置的 DNS 服务器注册和更新客户端信息。
这是修改后的配置，Windows Server 2003 DHCP 服务器和运行 Windows Server 2003、Windows 2000 或 Windows XP 的客户端均支持该配置。在此模式下，DHCP 服务器始终对客户端的 FQDN 和租用的 IP 地址信息（包括其主机 A 和 PTR 资源记录）执行更新，而不管客户端是否已请求执行它自身的更新。
要将 DHCP 服务器配置为通过其配置的 DNS 服务器注册和更新客户端信息，请打开服务器的 DHCP 属性，单击“DNS”，单击“属性”，单击“根据下面的设置启用 DNS 动态更新”复选框，然后单击“总是动态更新 DNS A 和 PTR 记录”。
• DHCP 服务器从不通过其配置的 DNS 服务器注册和更新客户端信息。
要使用此配置，必须将 DHCP 服务器配置为禁止执行 DHCP/DNS 代理更新。使用此配置时，将不更新 DHCP 客户端的 DNS 中的客户端主机 A 或 PTR 资源记录。
要将服务器配置为从不更新客户端信息，请打开 DHCP 服务器或它在 Windows Server 2003 DHCP 服务器上的某个作用域的 DHCP 属性，单击“DNS”，单击“属性”，然后清除“根据下面的设置启用 DNS 动态更新”复选框。默认情况下，始终对新安装的 Windows Server 2003 DHCP 服务器和为其创建的任何新作用域执行更新。
Windows DHCP 客户端和 DNS 动态更新协议
运行 Windows Server 2003、Windows 2000 或 Windows XP 的 DHCP 客户端与运行早期版本的 *** 作系统的 DHCP 客户端在执行 DHCP/DNS 交互方式时存在差别。以下示例说明了此过程在不同情况下的差别。
Windows Server 2003、Windows 2000 和 Windows XP DHCP 客户端的 DHCP/DNS 更新交互的示例
Windows Server 2003、Windows 2000 和 Windows XP DHCP 客户端按以下方式与 DNS 动态更新协议进行交互： 1 客户端向服务器初始化一个 DHCP 请求消息 (DHCPREQUEST)。该请求包含选项 81。
2 服务器向客户端返回 DHCP 确认消息 (DHCPACK)，该消息向客户端授予 IP 地址租约，并包含选项 81。如果 DHCP 服务器的配置为默认设置，则选项 81 告知客户端：DHCP 服务器将注册 DNS PTR 记录，客户端将注册 DNS A 记录。
3 客户端向 DNS 服务器异步发送一个 DNS 更新请求，请求更新它自身的正向查找记录（主机 A 资源记录）。
4 DHCP 服务器注册客户端的 PTR 记录。
使用 Windows Server 2003 以前的 Windows 版本的 Windows DHCP 客户端的 DHCP/DNS 更新交互的示例
早期版本的 Windows DHCP 客户端不直接支持 DNS 动态更新过程，并且无法与 DNS 服务器直接交互。对于这些 DHCP 客户端，通常按以下方式处理更新： 1 客户端向服务器初始化一个 DHCP 请求消息 (DHCPREQUEST)。该请求不包含选项 81。
2 服务器向客户端返回 DHCP 确认消息 (DHCPACK)，该消息向客户端授予 IP 地址租约，但不包含选项 81。
3 服务器向 DNS 服务器发送客户端的正向搜索记录（主机 A 资源记录）更新，服务器还发送客户端的 PTR 反向搜索记录更新。
安全动态更新
对于 Windows Server 2003，只有已集成到 Active Directory 的区域才可以获得 DNS 更新安全性。将区域集成到目录后，您可以使用 DNS 管理单元中提供的访问控制列表 (ACL) 编辑功能在特定区域或资源记录的 ACL 中添加或删除用户或组。
有关更多信息，请参阅 Windows Server 2003 帮助，并搜索 To modify security for a resource record（修改资源记录的安全性）或 To modify security for a directory integrated zone（修改目录集成区域的安全性）。
默认情况下，按以下方式处理 Windows Server 2003 DNS 服务器和客户端的动态更新安全性： 1 Windows Server 2003 DNS 客户端首先尝试使用不安全的动态更新。如果不安全的更新被拒绝，则客户端尝试使用安全更新。
此外，客户端还使用允许它们尝试覆盖先前注册的资源记录的默认更新策略，除非更新安全性明确禁止这些客户端。
2 当区域成为 Active Directory 集成区域后，Windows Server 2003 DNS 服务器在默认情况下只允许安全动态更新。
使用标准区域存储时，DNS 服务器服务在默认情况下不允许对其区域进行动态更新。对于目录集成的区域或使用基于标准文件的存储的区域，您可以将区域更改为允许所有动态更新。这样，即可通过使用安全更新来接受所有更新。
重要说明：“DHCP 服务器”服务可以为不支持动态更新的旧式客户端执行代理注册和 DNS 记录更新。有关更多信息，请参阅 Windows Server 2003 帮助，并搜索 Using DNS servers with DHCP（通过 DHCP 使用 DNS 服务器）。
如果在网络上使用多个 Windows Server 2003 DHCP 服务器，并将区域配置为只允许安全动态更新，请使用“Active Directory 用户和计算机”管理单元将 DHCP 服务器计算机添加到内置的 DnsUpdateProxy 组。这样，所有 DHCP 服务器都将拥有为任何 DHCP 客户端执行代理更新的安全权限。有关更多信息，请参阅 Windows Server 2003 帮助，并搜索 Using DNS servers with DHCP（通过 DHCP 使用 DNS 服务器）或 Manage groups（管理组）。
注意：在 Windows Server 2003 中，如果在域控制器上运行 DHCP 服务器，并将 Windows Server 2003 DHCP 服务器配置为代表其客户端执行 DNS 记录注册，则可能会对安全动态更新功能造成负面影响。要避免此问题，请将 DHCP 服务器和域控制器部署在不同的计算机上，或配置 DHCP 使用专用的用户帐户进行动态更新。有关更多信息，请参阅 Windows Server 2003 帮助，并搜索 Using DNS servers with DHCP（通过 DHCP 使用 DNS 服务器）。
有关更多信息，请参阅本文的 使用 DnsUpdateProxy 组时的安全注意事项 部分中列出的文件版本，则无需这些更新。
只允许安全动态更新
1 单击“开始”，指向“管理工具”，然后单击“DNS”。
2 在“DNS”下，双击相应的 DNS 服务器，双击“正向查找区域”或“反向查找区域”，然后右键单击相应的区域。
3 单击“属性”。
4 在“常规”选项卡上，确认区域类型为“Active Directory 集成的区域”。
5 在“动态更新”框中，单击“安全”。
6 单击“确定”。
注意：只有 Active Directory 集成的区域支持安全动态更新功能。如果配置其他区域类型，则必须更改区域类型并将其集成到目录中，然后才能对其进行安全的 DNS 动态更新。动态更新是对 DNS 标准的符合 RFC 的扩展。RFC 2136 的“域名系统中的动态更新 (DNS UpdateS)”部分定义了 DNS 更新过程。
使用 DnsUpdateProxy 安全组
您可以对 Windows Server 2003 DHCP 服务器进行配置，以便它能够代表 DHCP 客户端动态注册主机 A 和 PTR 资源记录。如果您对 Windows Server 2003 DNS 服务器使用此配置中的安全动态更新，则资源记录可能会变得陈旧。
例如，假设下面的情形： 1 Windows Server 2003 DHCP 服务器 (DHCP1) 代表它的某个客户端对特定的 DNS 域名执行安全动态更新。
2 由于 DHCP 服务器成功创建了此名称，因此它成为该名称的所有者。
3 当此 DHCP 服务器成为该客户端名称的所有者后，只有此 DHCP 服务器可以更新该名称。
在某些情况下，这可能会引起问题。例如，如果 DHCP1 出现故障，且另一个备份 DHCP 服务器变为联机状态，则由于此备份服务器不是该客户端名称的所有者，因此它无法更新此客户端名称。
在另一示例中，如果 DHCP 服务器为旧式客户端执行动态更新，然后您将这些客户端升级到 Windows Server 2003、Windows 2000 或 Windows XP，那么升级后的客户端无法拥有或更新其 DNS 记录。
为解决此问题，Windows 提供了名为 DnsUpdateProxy 的内置安全组。如果所有 DHCP 服务器都被添加为 DnsUpdateProxy 组的成员，那么在某个服务器出现故障时，可以由其他服务器更新该服务器的记录。另外，由于 DnsUpdateProxy 组成员创建的所有对象都不受安全保护，第一个修改与 DNS 名称相关的记录集的用户（不是 DnsUpdateProxy 组成员）就成为名称的拥有者。因此，当旧式客户端升级后，它们可以获得自己在 DNS 服务器上的名称记录的所有权。如果为旧式客户端注册资源记录的每个 DHCP 服务器都是 DnsUpdateProxy 组成员，则可避免本文前面讨论的问题。
向 DnsUpdateProxy 组添加成员
使用“Active Directory 用户和计算机”管理单元配置 DnsUpdateProxy 安全组。
注意：如果使用多个 DHCP 服务器提供容错功能，并使用安全动态更新，请将每个服务器添加到 DnsUpdateProxy 全局安全组。
使用 DnsUpdateProxy 组时的安全注意事项
如果 DHCP 服务器是 DnsUpdateProxy 组成员，那么由 DHCP 服务器注册的 DNS 域名是不安全的。例如，DHCP 服务器自身的主机 (A) 资源记录就是这样的记录。另外，由于 DnsUpdateProxy 组成员创建的对象是不安全的，因此您无法在只允许安全动态更新的 Active Directory 集成的域中有效地使用该组，除非采取其他步骤允许对 DnsUpdateProxy 组成员创建的记录进行安全保护。
要防范不安全的记录或允许 DnsUpdateProxy 组成员在只允许安全动态更新的区域注册记录，您可以创建专用的用户帐户，并配置 DHCP 服务器使用该用户帐户凭据（用户名、密码和域）执行 DNS 动态更新。一个专用用户帐户的凭据可以由多个 DHCP 服务器使用。
专用用户帐户的唯一用途是向 DHCP 服务器提供用于 DNS 动态更新注册的凭据。在创建了专用用户帐户并为 DHCP 服务器配置帐户凭据后，每个 DHCP 服务器都在使用 DNS 动态更新代表 DHCP 客户端注册名称时提供这些凭据。您应该在要更新的区域的主 DNS 服务器所在的林中创建专用用户帐户。专用用户帐户也可以位于其他林中，只要该帐户所在的林与要更新的区域的主 DNS 服务器所在的林之间建立了林信任。
如果“DHCP 服务器”服务安装在域控制器上，您可以为 DHCP 服务器配置专用用户帐户的凭据，以防止服务器继承（也可能滥用）域控制器的权限。“DHCP 服务器”服务安装在域控制器上时，会继承域控制器的安全权限，并且有权更新或删除在安全的 Active Directory 集成的区域中注册的任何 DNS 记录。（其中包括由运行 Windows 2000 或 Windows Server 2003 *** 作系统的其他计算机（包括域控制器）安全注册的记录。）

---