活动目录使用DNS作为定位来支持活动目录提供的不同的活动目录的服务。诸如全局编录服务器(GC),Kerberos,和轻量目录负载协议。其他非微软的服务可在DNS进行公告,包括,但是并不局限于非以微软实现的轻量目录负载协议和全局编录服务器。然而,有的时候客户端需要联系基于微软的服务。由于此原因,每个域中的DNS都包含了注册了基于微软服务且包含了DNS的SRV纪录的一个_msdcs子域。Netlogon进程会在每个域控制器动态注册这些纪录。_msdcs子域包含在森林中所有域和所有全局编录服务器的GUID.
如果你在一个新的森林中安装一台运行windows server 2003的系统,并且使用Dcpromo配置他为DNS,Dcpromo会自动在DNS服务器建立一个名称为_msdcs.的区域。此区域配置为森林中复制到每个运行DNS的每一个域控制器上的应用目录区域。此复制使区域在森林的任何地方保持高可用性。
------------
DNS服务中各文件夹的含义:
_msdcs:
灰色的文件夹,看到灰色文件夹不要认为不正常,这里是将_msdcs域委派给了test.com,我们点开_msdcs.test.com来看看是些什么,msdcs下包含了四个子域dc,domain,gc和pdc。
灰色的文件夹,看到灰色文件夹不要认为不正常,这里是将_msdcs域委派给了test.com,我们点开_msdcs.test.com来看看是些什么,msdcs下包含了四个子域dc,domain,gc和pdc。
dc和gc:
其中dc和gc是按照站点来划分的,这也可以让客户机快速的找到想到找的Active Directory服务(kerberse,ldap等)我这个测试环境只有一个site,名字为Default-first-site- name(DFSN)。那么为什么按照站点来划分?我想应该和客户端登陆过程有关,其登陆使用三种类型的信息来尝试找到域控制器,也就是kerberse 服务器。这三种类型分别是域名,GUID,站点识别标识。
按照上图,来说明一下什么是SRV记录,看上图中的_kerbers属性。
域:DFSN._sites.dc.msdcs,这是一个子域,也就是test.com下的子域。
服务:kerberos服务
协议:使用了tcp协议
优先级:0~65535之间的数,数字越小,级别越高
权数(重):0~65535之间的数.设置附加的优先级,用于确定在应答SRV查询中使用的目标主机的准确顺序或选择平衡
端口号:tcp使用的端口号
以上详细信息查看 http://yizh1977.spaces.live.com/blog/cns!2B3776EFF823A0D5!288.entry
域:DFSN._sites.dc.msdcs,这是一个子域,也就是test.com下的子域。
服务:kerberos服务
协议:使用了tcp协议
优先级:0~65535之间的数,数字越小,级别越高
权数(重):0~65535之间的数.设置附加的优先级,用于确定在应答SRV查询中使用的目标主机的准确顺序或选择平衡
端口号:tcp使用的端口号
以上详细信息查看 http://yizh1977.spaces.live.com/blog/cns!2B3776EFF823A0D5!288.entry
这个属性面板到底说的是什么呢?在test.com的DFSN._sites.dc.msdcs子域中有一个使用tcp的kerberos服务器(注意就是域可控制器)。当用户通过tcp协议的88端口对kerberos做请求时,这台dc将做反应。
Domains:
domains下面的那些数字是domainguid,如下图所示:_ldap._tcp.domainguid.domains._msdcs.test.com.这个属性面板说明,当用户通过tcp协议的389端口对ldap进行请求时,test.com下的子域domainguid.domains._msdcs将做出反应。这个主要是用于复制。
domains下面的那些数字是domainguid,如下图所示:_ldap._tcp.domainguid.domains._msdcs.test.com.这个属性面板说明,当用户通过tcp协议的389端口对ldap进行请求时,test.com下的子域domainguid.domains._msdcs将做出反应。这个主要是用于复制。
看下图:还剩下_sites,_tcp,_udp和其他两个子域。 那两个子域是存储林信息的,在这里不做介绍。
_sites:
站点代表的是一个高速连接区域,根据DC的站点从属关系来建立了DC索引之后,客户端就可以检查_SITES来寻找本地服务,而不必通过WAN来发送它们的LDAP查询请求。标准LDAP查询端口是389,全局编录查询则使用3268(如图所示)。在site中提供三种服务,GC,Ldap,kerberos,其实Gc指的也是ldap,但是ms取了一个名字,叫Global Catalog,是与一个域的子集交流的服务。也就是site具备了除_kpasswd这外的其他所有服务。以下是其具体说明:
1,_gc._tcp.._sites.—允许客户机找到与指定的使用活动目录根域的站点最切合的全局目录服务器。
2,_kerberos._tcp.._sites.—允许客户机找到最切合指定站点的域中的KDC。
3,_ldap._tcp.._sites.—允许客户机在最切合指定站点的域中找到ldap服务器
站点代表的是一个高速连接区域,根据DC的站点从属关系来建立了DC索引之后,客户端就可以检查_SITES来寻找本地服务,而不必通过WAN来发送它们的LDAP查询请求。标准LDAP查询端口是389,全局编录查询则使用3268(如图所示)。在site中提供三种服务,GC,Ldap,kerberos,其实Gc指的也是ldap,但是ms取了一个名字,叫Global Catalog,是与一个域的子集交流的服务。也就是site具备了除_kpasswd这外的其他所有服务。以下是其具体说明:
1,_gc._tcp.._sites.—允许客户机找到与指定的使用活动目录根域的站点最切合的全局目录服务器。
2,_kerberos._tcp.._sites.—允许客户机找到最切合指定站点的域中的KDC。
3,_ldap._tcp.._sites.—允许客户机在最切合指定站点的域中找到ldap服务器
_tcp:
收集了DNS区域中的所有DC也就是提供kerberos验证服务的服务器。如果客户端找不到它们特定的站点,或者具有本地SRV记录的任何DC都没有响应,需要寻找网络中其他地方的DC,就应该将这些客户端放到这个分组中。在这个子域中,可以得到AD得所有服务 gc,kerberos,kpasswd,ldap,以下是其具体说明:
1,_ldap._tcp.—允许客户机在指定域中找到ldap服务器
2,_gc._tcp.—允许客户机找到使用活动目录根域的全局目录服务器
3,_kerberos._tcp.—允许客户机找到对本域的kerberosKDC服务
4,kpasswd._tcp.—允许客户机找到域中的kerberos改变密码服
_udp:
kerberos v5允许客户端使用获取票证并更改密码。这是通过与相同服务的TCP端口对应的UDP端口来完成的,票证交换使用UDP的88端口,而密码更改使用464。以下是其具体说明:
1,kerberos._udp。-允许客户机找到对本域的kerberosKDC服务,使用udp
2,_kpasswd._udp.—允许客户机找到域中的kerberos改变密码服务,使用udp
附一份ms 工程师的解决方法
您可以按照以下步骤在2003域控制器上重建AD集成dns区域。请把domain.com替换成您的域名:
1. 控制面板->管理工具,打开dns管理器,展开正向搜索区域,右键单击domain.com区域,选择删除,在提示对话框中选择“是”;如果存在 _msdcs.domain.com区域,右键单击_msdcs.domain.com区域,选择删除,在提示对话框中选择“是”。
2. 在dns管理器中右键单击服务器,单击“清除缓存”。
3. 打开AD用户和计算机,单击查看菜单->高级功能,展开左边system\MicrosoftDNS,如果存在domain.com或_msdcs.domain.com,删除它们。
4. 打开控制面板->服务,停止netlogon服务。
5. 打开资源管理器,删除%windir%\system32\config下netlogon.dnb, netlogon.dns。
删除%windir%\system32\dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
删除%windir%\system32\dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 进入“本地连接“属性,进入TCP/IP属性,把首选dns server设为自己的ip,清除辅助dns server.
7. 打开dns管理器,右键单击正向搜索区域->新建区域,单击主要区域,选择“在Active Directory中存储区域”,名称为domain.com,其余默认,完成。
8. 打开控制面板->服务,启动netlogon服务。
9. 进入命令行,输入ipconfig /flushdns, 再输入ipconfig /registerdns.
本文转自q狼的诱惑 51CTO博客,原文链接:http://blog.51cto.com/liangrui/346617,如需转载请自行联系原作者
