DNS和活动目录的关系-阿里云开发者社区

开发者社区> 技术小甜> 正文

DNS和活动目录的关系

简介:
+关注继续查看
DNS(Domain Name System – 域名解析系统)是一个 Internet 的标准服务,它可以将域名如 www.microsoft.com 翻译成计算机能够识别的二进制的 TCP/IP 地址。

Windows 2000/2003 的域名是以 DNS 分层命名结构为基础的,这是一个颠倒的目录树结构:单个根域,以下可以是父域和子域(枝和叶)。例如,诸如 child.parent.microsoft.com 的 Windows 2000/2003 域名识别名为 “child” 的域,此域是名为 “parent” 域的一个子域,而 “parent” 域自身又是根域 microsoft.com 的一个子域。

域中的每台计算机依靠其完整的合格域名识别。位于 child.parent.microsoft.com 域中计算机的完整合格域名应是 computername.child.parent.microsoft.com 。

2.1.1 DNS和活动目录的关系

活动目录使用域名服务DNS作为它的定位服务,同时也对标准的DNS作了扩充。在活动目录中使用DNS的最大好处在于,我们可以使Windows 2000域与Internet上的域统一起来,即Windows域名也是DNS域名。

DNS为活动目录网络提供了下列主要功能:

1.名称解析。 DNS通过将计算机的全称域名(FQDN)转化为IP地址来提供名称解析,以便计算机之间的相互定位、查询和访问。。

2.域命名约定。 AD使用DNS的命名管理约定来命名Windows的域名。在Windows2000的网络中,DNS域和活动目录域共享一个公共的分层命名结构。

3.定位活动目录的物理组件。 DNS通过SRV(服务资源记录)来标识域控制器。当有验证登录请求或执行一个活动目录查询时,客户机可以通过询问DNS以查询提供服务的域控制器。

DNS与活动目录的关系

DNS和活动目录集成目录服务是微软Windows 2000/2003的一个关键特性。DNS和活动目录的关系如下:

1.AD和DNS使用相同的命名层次结构,共享相同的域名,故域和计算机可以使用DNS的节点和AD的对象来表示。

2.AD和DNS存储了同一物理对象的不同信息,从而代表了两 个不同的域名空间。DNS存放资源记录(如域名和IP的映射);AD存放资源对象(如计算机、用用户、组以及其相应的属性等)。

3.AD使用DNS来帮助搜索资源,AD必须要依靠DNS,用户用DNS来查询DC以使AD提供服务;DNS可以不依靠AD,它只是AD中的一个必须的工具而已。

2.1.2 服务资源记录

Active Directory 将 DNS 用作域控制器定位机制,使计算机能找到域控制器的 IP 地址。为查找特定域或目录林中的域控制器,客户端向 DNS 查询相应的服务位置 (service location , SRV) 和地址 (address , A) 资源记录。这些 DNS 资源记录提供域控制器的名称和 IP 地址。

因此,用于支持 Active Directory 部署的 DNS 服务器必须支持 SRV 记录。而且,Microsoft 极力推荐这些 DNS 服务器也支持动态更新。域控制器动态注册域控制器定位机制成功运行所必需的 DNS 记录。

服务资源记录的功能

当DC启动后,Netlogon service会自动在DNS Server中注册SRV记录。SRV记录有以下功能:

1.服务记录的信息将服务名和DNS的提供该服务的域控制器的计算机名连接起来。

2.服务记录允许允许客户机通过DNS查找提供特定活动目录服务的服务器。

SRV资源记录可以标识:

1.在特定的域和森林中的域控制器。

2.在同一个站点作为客户机的域控制器。

3.注册成为全局目录服务器的域控制器。

4.注册成为Kerberos KDC服务器的域控制器。

服务资源记录使用的格式

所有服务资源记录使用下列格式:

_service-Protocol.name ttk class SRV priority weight port target

例:_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft.

下表给出了服务记录中每个字段的描述

定位域控制器

当域控制器开始启动以及在运行过程中是周期性的,该域控制器的Netlogon服务会使用动态DNS(DDNS)公布它的DNS SRV记录。此SRV记录描述了该域控制器提供的服务。例如:Kerberos 认证、轻量级目录访问协议以及AD 全局编录(Global Catalog,GC)查找。由于域控制器使用分层次结构的SRV记录,所以这就为工作站定位所属站点或者所属域提供了便利

图 2-1 SRV记录的命名层次结构

如图2-1显示了SRV记录的命名层次结构。从其结构图中我们发现它的结构与Windows 2000/2003的DNS层次结构十分相似。这种结构的好处之一就是,工作站可以在不需要了解所需服务具体参数的情况下快速搜索。例如:要在域森林中查 找全局编录的服务器,只需要在搜索条件中指定域森林的名称和协议类型(可以使用forestname._tcp来搜索_gc SRV记录),这个搜索将返回指定域内所有全局编录服务器的SRV记录。如果工作站已经知道AD站点的名称,可以使用 forestname._sites.sitename._tcp来搜索_gc SRV记录,这个搜索将返回指定站点内的全局编录服务器的SRV记录。

在 DNS中周期性地公布SRV记录对于工作站快速定位域控制器有很大帮助。当工作站被认证属于某一个域后,工作站就需要在该AD站点中选择一个域控制器。工 作站上运行的Netlogon进程将控制整个认证过程。作为Netlogon组件之一的DC Locator负责为工作站定位域控制器。早期版本Windows中的DC Locator使用WINS来定位域控制器,在Windows 2000以及其他AD工作站中都使用搜索SRV记录的方法定位域控制器。

在工作站第一次被认证之前,它不知道自身所在的站点。所以此时工作站的第一个任务就是查找域内的所有域控制器。工作站首先向本机TCP/IP设置中 的主DNS服务器发出搜索请求,在 _tcp.dcs._msdcs.domainname内搜索_ldap SRV记录。如果该DNS服务器没有响应,工作站将会向辅DNS服务器发出请求。

DNS服务器在收到查询请求后,会向工作站返回域内所有域控制器的列表。收到列表后工作站对所有记录初始化低优先级的值,之后依次AD Ping(一个基于UDP的LDAP查询命令)每个域控制器。如果域控制器没有在十分之一秒内响应,工作站会继续测试下一个,依次类推,直到有一个域控制 器响应。

当域控制器收到来自工作站的AD Ping,域控制器在返回之前需要对两个重要信息进行判断。首先,域控制器需要判断与工作站最近的站点。如何判断?域控制器使用内存中保留的站点和子网的 IP地址与AD Ping的源IP地址相比较。然后,域控制器判断自身是否处于该站点(同样从IP地址对比的角度)。最后将这些信息和该域控制器所处站点的名称以一个 UDP数据报返回给工作站。

工作站在接收到响应后,检查回应的域控制器是否位于最近站点中。如果是,就将该工作站所属的站点信息保存到注册表 “HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services\Netlogon\Parameters”下的“DynamicSiteName”子键中,并且将该域控制器作为将来提供认证服务的 提供者。如果域控制器返回的信息表明它不在最近的站点中,工作站就使用所提供的站点名称向DNS服务器请求此站点内域控制器的列表。向 _tcp.sitename.sites.dc._msdcs.domainname区域查找_ldap SRV记录。DNS服务器根据指定的站点名称返回域控制器列表。之后工作站将再次重复,在收到列表之后对所有记录设置低优先级值,依次AD Ping域控制器,直到有域控制器在十分之一秒内响应。

如果在工作站所处站点中没有一个域控制器响应,那会怎样?在这种情况下(当然我们希望这种情况最好永远别发生),工作站将尝试与任何能够通讯的域控制器联系。

2.1.3 AD集成区域

当在Windows 2000/2003中实现了DNS,就可以把活动目录中的服务当作数据存储和复制的引擎来使用,也即将DNS和AD集成在一起,将DNS的区域类型更改为“活动目录集成区域”。

图 2-2 活动目录集成区域

DNS和活动目录集成区域的好处之一就是能够将DNS的域和活动目录数据结合起来。主DNS区域也将作为对象存储在活动目录数据库。而且当DNS进行区域文件数据库的复制时,也将随着AD的复制而进行。

活动目录集成区域也须在一台域控制器上才能创建,它具有有以下的优点:

1. 消除了主DNS服务器作为单个失败点而带来的不足。DNS复制是单个主控,它依靠主DNS服务器来更新所有其它辅助服务器。而活动目录复制是多主控复制, 因此可以对任何服务器进行更新,更改将复制给其它的域控制器。因此如将DNS区域和活动目录进行集成,活动目录复制将总会同步DNS信息。

2.能够进行安全可靠的动态更新。因为DNS区域在活动目录集成区域中是活动目录对象,在那些区域的记录中可以设置权限来控制哪台计算机可以动态的更新。因此使用安全的动态更新协议的更新将仅来自那些授权的计算机,如域中的计算机。

3.对那些没有注册为域控制器的DNS服务器执行标准区域传送。必须使用标准区域传输来把区域复制到其它域中的DNS服务器。
















本文转自legendfu51CTO博客,原文链接: http://blog.51cto.com/legendfu/1072713如需转载请自行联系原作者


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
2261 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
3976 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9341 0
【对讲机的那点事】不了解对讲机没关系,这类对讲机适合你
对讲机作为无线电通讯设备来说,对讲机看着不起眼,但是在应急通讯领域来说绝对是大放异彩的产品。而国家对于无线电台有着严格的法律要求。如果影响到航空导航、公安指挥、防火防汛等应急通信的调度指挥是要负法律责任,不论是专业的无线电业余爱好者也好,单位使用也罢,从小编的从业经历来说建议考取《中华人民共和国业余无线电台操作证书》或办理《中华人民共和国无线电台执照》。
1032 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
87 0
笑谈字符串与字符、字节数组的关系 | 带你学《Java面向对象编程》之三十一
本节主要为读者介绍了Java为开发者提供的一些用于进行字符串与字符、字节数组之间相互转换的基本方法。
812 0
如何设置阿里云服务器安全组?阿里云安全组规则详细解说
阿里云安全组设置详细图文教程(收藏起来) 阿里云服务器安全组设置规则分享,阿里云服务器安全组如何放行端口设置教程。阿里云会要求客户设置安全组,如果不设置,阿里云会指定默认的安全组。那么,这个安全组是什么呢?顾名思义,就是为了服务器安全设置的。安全组其实就是一个虚拟的防火墙,可以让用户从端口、IP的维度来筛选对应服务器的访问者,从而形成一个云上的安全域。
3821 0
+关注
6323
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载