关于 DNS Suffix 的描述

声明：本文转载自gnaw0725.blogbus.com，更新网址：http://gnaw0725.blog.51cto.com。

      上 次在 Winmag diy朋友问到了一个问题：“XP 正常加入win2003的单域后，重起计算机，把从本机登录改成域登录的时候，显示“正在创建域列表”，等了N分钟都没有反应。”

分析：这样的问题在AD架构的客户端所遇到的故障中还是有一定的代表性，主要是由于DNS Suffix的设置错误，从而导致DNS Client定位困难。虽然不断的按 Ctrl+Alt+Del 反复调用GINA，进而进行LSA验证登陆的动作,可以试图中断这个查询的过程，但仍旧很麻烦。

下面我就DNS Suffix的问题做出如下描述：
大家都知道dns对于ad架构的重要性了，下面我描述一下dns client中关于dns suffix的设置以及作用。
1 所在的列表，为dns client中使用的dns server addresses list，当第一个dns server 没有响应的时候，系统依次尝试向列表中其他dns server提交查询。但要注意的是，如果有响应，即便返回的结果是否定的，系统也不会尝试查询其他dns server

2 中的勾选项为dns client的默认设置。client在没有加入域，没有手动设置dns suffix或者dhcp 上没有设置该选项的情况下，是没有dns suffix的。如果一旦网域身份发生了变化，dns client从第一个响应它的dns server所返回的结果中，获得当前网域的dns suffix，并以之结合本机的hostname，形成FQDN，从而唯一在网域中标示当前计算机对象。如果当前网域的dns层级架构与ad并不符合，或者说空间不连续，就可能需要取消该勾选，进行手动维护。

3 使用指定的主DNS后缀列表。类同上面的dns server addresses list。当第一个dns suffix不能匹配当前查询的时候，依次匹配其他dns suffix，直至返回肯定或否定的结果。但如果点选并设置了"Append these DNS suffixes"，那么仅使用该列表，主 DNS 后缀和任何连接的 DNS 后缀都不再有效。（活动目录seo 注： 这里的Append 可能容易让人误解，如果使用 Specify 可能会好一些。这里指定的主DNS后缀列表，在注册表中的键值如下 ：

Registry\Machine\System\CurrentControlSet\Services\TCPIP\Parameters
SearchList="1.com,2.gov,3.net" ）

4 设置当前连线的dns suffix。一般情况下，dns client所最终获得的dns suffix list 如下。
当前网域的主DNS后缀 （自动获取或者手动指定在“我的电脑”属性中当前计算机的主DNS后缀）
当前连线的dns suffix
dhcp 设置的dns suffix
父域的dns suffix
根域的dns suffix
如果不设置这里的当前连线的dns suffix，那么dns client所使用的首要dns suffix就依次下推，直至遇到有效设定。这个结果最终能够在ipconfig /all中看到。（活动目录seo注：DNS Client domain suffix search list 的执行优先级为 Append these DNS suffix -- Dns suffix for this connection -- Primary DNS suffix of this computer）
下面的两个勾选项：注册dns当前连接的地址。默认是勾选的，即dns client将会向指定的dns server注册自己的dns A resource record，以获得地址解析。如果勾选使用当前连接的DNS后缀注册，那么dns client除了使用计算机名称+主DNS后缀形成的FQDN注册A 和PTR资源纪录之外，还会使用计算机名称+当前连线的DNS后缀形成的FQDN注册。当然，上面的描述都是基于本地DNS CLient的设置，如果域中做出了同样的设定，那么最终CLient所获得的设置，将遵循GPO的套用原则 ： 本地-站点-域-OU-子OU （注：DNS Client的策略设定仅在Windows 2003 以及 Windows XP Pro以上系统有效）
那么client 在登陆的时候，需要查询dns server，进而获知当前登陆网域及信任域信息，当前计算机、登陆帐户在ad或者说ou中所处层级，以获取套用的GPO列表，进而查询GC以获取相关信息。
上面出现的状况，可能是由于dns suffix的设置错误，最终导致递归查询，进而可能遍历整个森林，这就导致了上面下拉列表的缓慢的情况。