博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
DNS和活动目录的关系
阅读量:5880 次
发布时间:2019-06-19

本文共 4122 字,大约阅读时间需要 13 分钟。

DNS(Domain Name System – 域名解析系统)是一个 Internet 的标准服务,它可以将域名如 www.microsoft.com 翻译成计算机能够识别的二进制的 TCP/IP 地址。

Windows 2000/2003 的域名是以 DNS 分层命名结构为基础的,这是一个颠倒的目录树结构:单个根域,以下可以是父域和子域(枝和叶)。例如,诸如 child.parent.microsoft.com 的 Windows 2000/2003 域名识别名为 “child” 的域,此域是名为 “parent” 域的一个子域,而 “parent” 域自身又是根域 microsoft.com 的一个子域。

域中的每台计算机依靠其完整的合格域名识别。位于 child.parent.microsoft.com 域中计算机的完整合格域名应是 computername.child.parent.microsoft.com 。

2.1.1 DNS和活动目录的关系

活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于,我们可以使Windows 2000域与Internet上的域统一起来,即Windows域名也是DNS域名。

DNS为活动目录网络提供了下列主要功能:

1.名称解析。 DNS通过将计算机的全称域名(FQDN)转化为IP地址来提供名称解析,以便计算机之间的相互定位、查询和访问。。

2.域命名约定。 AD使用DNS的命名管理约定来命名Windows的域名。在Windows2000的网络中,DNS域和活动目录域共享一个公共的分层命名结构。

3.定位活动目录的物理组件。 DNS通过SRV(服务资源记录)来标识域控制器。当有验证登录请求或执行一个活动目录查询时,客户机可以通过询问DNS以查询提供服务的域控制器。

DNS与活动目录的关系

DNS和活动目录集成目录服务是微软Windows 2000/2003的一个关键特性。DNS和活动目录的关系如下:

1.AD和DNS使用相同的命名层次结构,共享相同的域名,故域和计算机可以使用DNS的节点和AD的对象来表示。

2.AD和DNS存储了同一物理对象的不同信息,从而代表了两 个不同的域名空间。DNS存放资源记录(如域名和IP的映射);AD存放资源对象(如计算机、用用户、组以及其相应的属性等)。

3.AD使用DNS来帮助搜索资源,AD必须要依靠DNS,用户用DNS来查询DC以使AD提供服务;DNS可以不依靠AD,它只是AD中的一个必须的工具而已。

2.1.2 服务资源记录

Active Directory 将 DNS 用作域控制器定位机制,使计算机能找到域控制器的 IP 地址。为查找特定域或目录林中的域控制器,客户端向 DNS 查询相应的服务位置 (service location , SRV) 和地址 (address , A) 资源记录。这些 DNS 资源记录提供域控制器的名称和 IP 地址。

因此,用于支持 Active Directory 部署的 DNS 服务器必须支持 SRV 记录。而且,Microsoft 极力推荐这些 DNS 服务器也支持动态更新。域控制器动态注册域控制器定位机制成功运行所必需的 DNS 记录。

服务资源记录的功能

当DC启动后,Netlogon service会自动在DNS Server中注册SRV记录。SRV记录有以下功能:

1.服务记录的信息将服务名和DNS的提供该服务的域控制器的计算机名连接起来。

2.服务记录允许允许客户机通过DNS查找提供特定活动目录服务的服务器。

SRV资源记录可以标识:

1.在特定的域和森林中的域控制器。

2.在同一个站点作为客户机的域控制器。

3.注册成为全局目录服务器的域控制器。

4.注册成为Kerberos KDC服务器的域控制器。

服务资源记录使用的格式

所有服务资源记录使用下列格式:

_service-Protocol.name ttk class SRV priority weight port target

例:_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

下表给出了服务记录中每个字段的描述

定位域控制器

当域控制器开始启动以及在运行过程中是周期性的,该域控制器的Netlogon服务会使用动态DNS(DDNS)公布它的DNS SRV记录。此SRV记录描述了该域控制器提供的服务。例如:Kerberos 认证、轻量级目录访问协议以及AD 全局编录(Global Catalog,GC)查找。由于域控制器使用分层次结构的SRV记录,所以这就为工作站定位所属站点或者所属域提供了便利

图 2-1 SRV记录的命名层次结构

如图2-1显示了SRV记录的命名层次结构。从其结构图中我们发现它的结构与Windows 2000/2003的DNS层次结构十分相似。这种结构的好处之一就是,工作站可以在不需要了解所需服务具体参数的情况下快速搜索。例如:要在域森林中查 找全局编录的服务器,只需要在搜索条件中指定域森林的名称和协议类型(可以使用forestname._tcp来搜索_gc SRV记录),这个搜索将返回指定域内所有全局编录服务器的SRV记录。如果工作站已经知道AD站点的名称,可以使用 forestname._sites.sitename._tcp来搜索_gc SRV记录,这个搜索将返回指定站点内的全局编录服务器的SRV记录。

在 DNS中周期性地公布SRV记录对于工作站快速定位域控制器有很大帮助。当工作站被认证属于某一个域后,工作站就需要在该AD站点中选择一个域控制器。工 作站上运行的Netlogon进程将控制整个认证过程。作为Netlogon组件之一的DC Locator负责为工作站定位域控制器。早期版本Windows中的DC Locator使用WINS来定位域控制器,在Windows 2000以及其他AD工作站中都使用搜索SRV记录的方法定位域控制器。

在工作站第一次被认证之前,它不知道自身所在的站点。所以此时工作站的第一个任务就是查找域内的所有域控制器。工作站首先向本机TCP/IP设置中 的主DNS服务器发出搜索请求,在 _tcp.dcs._msdcs.domainname内搜索_ldap SRV记录。如果该DNS服务器没有响应,工作站将会向辅DNS服务器发出请求。

DNS服务器在收到查询请求后,会向工作站返回域内所有域控制器的列表。收到列表后工作站对所有记录初始化低优先级的值,之后依次AD Ping(一个基于UDP的LDAP查询命令)每个域控制器。如果域控制器没有在十分之一秒内响应,工作站会继续测试下一个,依次类推,直到有一个域控制 器响应。

当域控制器收到来自工作站的AD Ping,域控制器在返回之前需要对两个重要信息进行判断。首先,域控制器需要判断与工作站最近的站点。如何判断?域控制器使用内存中保留的站点和子网的 IP地址与AD Ping的源IP地址相比较。然后,域控制器判断自身是否处于该站点(同样从IP地址对比的角度)。最后将这些信息和该域控制器所处站点的名称以一个 UDP数据报返回给工作站。

工作站在接收到响应后,检查回应的域控制器是否位于最近站点中。如果是,就将该工作站所属的站点信息保存到注册表 “HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services\Netlogon\Parameters”下的“DynamicSiteName”子键中,并且将该域控制器作为将来提供认证服务的 提供者。如果域控制器返回的信息表明它不在最近的站点中,工作站就使用所提供的站点名称向DNS服务器请求此站点内域控制器的列表。向 _tcp.sitename.sites.dc._msdcs.domainname区域查找_ldap SRV记录。DNS服务器根据指定的站点名称返回域控制器列表。之后工作站将再次重复,在收到列表之后对所有记录设置低优先级值,依次AD Ping域控制器,直到有域控制器在十分之一秒内响应。

如果在工作站所处站点中没有一个域控制器响应,那会怎样?在这种情况下(当然我们希望这种情况最好永远别发生),工作站将尝试与任何能够通讯的域控制器联系。

2.1.3 AD集成区域

当在Windows 2000/2003中实现了DNS,就可以把活动目录中的服务当作数据存储和复制的引擎来使用,也即将DNS和AD集成在一起,将DNS的区域类型更改为“活动目录集成区域”。

图 2-2 活动目录集成区域

DNS和活动目录集成区域的好处之一就是能够将DNS的域和活动目录数据结合起来。主DNS区域也将作为对象存储在活动目录数据库。而且当DNS进行区域文件数据库的复制时,也将随着AD的复制而进行。

活动目录集成区域也须在一台域控制器上才能创建,它具有有以下的优点:

1. 消除了主DNS服务器作为单个失败点而带来的不足。DNS复制是单个主控,它依靠主DNS服务器来更新所有其它辅助服务器。而活动目录复制是多主控复制, 因此可以对任何服务器进行更新,更改将复制给其它的域控制器。因此如将DNS区域和活动目录进行集成,活动目录复制将总会同步DNS信息。

2.能够进行安全可靠的动态更新。因为DNS区域在活动目录集成区域中是活动目录对象,在那些区域的记录中可以设置权限来控制哪台计算机可以动态的更新。因此使用安全的动态更新协议的更新将仅来自那些授权的计算机,如域中的计算机。

3.对那些没有注册为域控制器的DNS服务器执行标准区域传送。必须使用标准区域传输来把区域复制到其它域中的DNS服务器。

本文转自legendfu51CTO博客,原文链接: http://blog.51cto.com/legendfu/1072713如需转载请自行联系原作者

你可能感兴趣的文章
RedHat 5.4下安装Apache+MySQL+PHP经验
查看>>
C语言判断1000—2000年之间的闰年
查看>>
我的友情链接
查看>>
Java数组排序Arrays.sort
查看>>
mysql多实例配置
查看>>
libvlc设置
查看>>
我的友情链接
查看>>
学生机房虚拟化(九)系统操作设计思路
查看>>
JQ笔记之选择器
查看>>
从自动化测试到持续部署,你需要了解这些
查看>>
linux文件系统
查看>>
处理不同jQuery版本的兼容性问题
查看>>
UITabbarViewController
查看>>
nginx 报错 upstream timed out (110: Connection timed out)解决方案
查看>>
hashMap的代码
查看>>
[iOS] iOS调用系统通知(二)
查看>>
Python教程:[30]写入Excel
查看>>
android帧切换播放动画
查看>>
ssh锁定(chroot)普通账号的活动目录
查看>>
Crontab
查看>>