DNS专题(7)---动态DNS和活动目录⑥

时间：2015-01-18 来源：互联网作者：佚名

　　7.4活动目录对SRV记录的依赖
　　对活动目录高效的操作部分地依赖于客户机的能力和服务器在组成活动目录的域中快速定位关键服务的能力。DNS是完成上述大部分工作的一种方式。
　　举个例子来说，当一个域成员机器启动时，它必须和本域的域服务器通信，并且在第一台域控制器不能包括全局目录时，它还得跟另一个域控制器通信。或者再举个例子，当一台机器上的客户在枝繁叶茂的活动目录里提出一个对不同域的资源的请求时，那个域的域控制器在决定是接受还是拒绝客户请求中起作用。
　　当需要域中已经定位的资源时，例如客户机在自身的域中打开一个共享文件夹时，就不需要用到DNS服务。然而经常第一步就需要这种定位服务，在windows 2000 体系结构中，正是用DNS来实现这种定位的。
　　为了使这些过程尽可能地高效，windows 2000 维护着一个相当复杂的SRV记录和CNANE记录集，域控制器上的Netlogon过程对它负责，使用动态更新建立它，并且在记录被认为是不合法时进行删除。
　　7.4.1域定位器服务
　　一个windows 2000 客户机可以使用关于域的三种类型的信息来尝试找到一个域控制器：域名（即最初版本中的DNS域）；一个全局唯一的标识号ID（GUID），即一个域内部的唯一的名字；一个站点识别标识符。在试图定位DC时（因为大多数关键服务都在DC上），客户机将这些信息传递给域定位器服务。
　　活动目录能够依据被用来代表网络拓朴结构的站点来划分。单个域可以存在于多个站点，一个站点又可能包含于多个域，也就是说，一个站点里可能有来自多个域的机器。当有可能进行一个查询服务时，站点被用来加速“本地”机器间的网络通信。
　　windows 2000 域定位器可以全部使用客户机能够提供的这三种类型的信息全部使用，来对一个查询尽量高效地获取IP地址。如果客户机知道自己位于哪个站点，并且在一个指定的域里请求一个诸如LDAP服务的特殊服务，第一步可能就是查询指定给被请求域和站点的_ldap._tcpSRV记录，如果定位器已经知道域的一个DC的话，它也能向DC发送LDAP查询来验证那时已返回给客户机的信息。
　　定位器服务使用期望存在于DNS数据库里的有关域名的知识。如上所述，DC上的Netlogon服务建立和维护了这些使用动态更新的注册。当动态更新被禁止时，就变得不可能了，而且这种查找过程的有效操作变成了某些倒霉的人的责任。不过，当DC和站点的拓扑是静态的和可利用的，这并不是一项如它看起来那样令人恐惧的任务。
　　7.4.2SRV的结构
　　Netlogon注册了记录的许多不同的层次。图7-8给出了只有一个DC时，对一个单个的小的域活动目录的这种结构的一个扩展部分。换句话说，这是一个能说明问题的最简单的一个图示。
　　首先要记住的是在一个大一些的环境里，将有不同的IP地址的多个记录，或者一些注册有相同的IP地址。当客户机查询一个特别的名字时，所有的匹配记录都用来决定返回的IP地址。在这样的环境里，也能看到对每个域的更多的条目，以及建立在位于活动目录根部（域森林的根域）域之下的一个更大的条目集。图7-8所示的内容是DNS服务器管理控制台里的，给出了一个子域结构的印象。实际上，这种结构逻辑上是在SRV记录的名字字段而不是域字段中创建的（见图7-1）
　　　

　　接下来要注意到有对LDAP、GC、Kerberos和kpasswd服务的记录。LDAP用于LDAP服务，在windows 2000 中总是位于DC上。GC用于全局目录服务，也是总位于DC上，但不是全部位于，在windows 2000 中，kerberos服务器和kerberos密码改变服务器也总是在域控制器上。
　　所有的记录使用TCP协议，除了两个与kerberos相关的服务同时也能使用UDP协议。这可见于SRV记录协议部分的_TCP和_UDP。
　　在名字里有站点的限定词的条目被用来依据它们在活动目录拓扑中的位置来划分服务，因为用于指定站点的特别的DC不一定意味着这个机器物理上在这个站点里，或者说只是在逻辑上作为站点成员而定义在活动目录站点拓扑里。当一个站点对一个特殊服务没有本地提供者时，Netlogon注册了它认为最合适的域控制器，这个站点里的成员应该首先尝试它的服务，Netlogon如何基于站点拓扑作出决定不是DNS的问题，所以本书中不涉及到这一点。重要的是要记住当Netlogon能使用动态DNS更新来调节SRV记录时，活动目录的功能更为优化。
　　这个结构通过一个记录有_msdcs的限定进一步地详细拟定了可利用的服务。在这些服务里有一定的特殊广播，借如一个限定为pdc的广播代表域中的一个DC，像NT4中对低级客户机的PDC仿真程序一样工作。条目集被每个域复制。另外，在只有活动目录的根域为人所知的情况下，用于在活动目录内定位的条目才会在活动目录的顶层DNS域下被详细描述。
　　如果需要手动地维护这个结构，建议你找出所有可用的当前信息。你的整个操作将从这个精确反映活动目录的结构里获益。
　　7.4.3没有动态DNS的SRV条目
　　当禁止使用动态DNS更新时，必须用手工方法进行域区数据管理。这不仅包括预期的记录类型－A、PTR、CNAME、NS等等，还包括Netlogon提供的SRV和CNAME记录。如同已描述的那样，SRV记录处于活动目录体系结构中域定位器服务的核心部分，是必需的
　　当运行dcpromo来形成一个域控制器时，创建一个SRV记录的最小列表NETLOGON.DNS（程序清单7-1）并存储在％windir%\system32\config。尽管如此，只看到这个非层次的列表并不能表达手工维护SRV记录的全部影响。
　　程序清单7-1一个NETLOGON.DNS文件举例
　　　

　　首先，如果研究一下这个文件例子，就会注意到它建立了一个需要被正确创建的逻辑结构。这个部分是次要的，因为这些记录提供了完全的说明并且能直接粘贴到域区文件里去。
　　还没有提到的是允许Netlogon服务在DNS里维护SRV结构时带来的对整体性能的影响。这个结构用来帮助客户机，由此也帮助位于设计核心位置的服务，快速和有效地定位关键服务。这种SRV结构更支持直接查询而不是一系列的查询。这个结构也用来提供对不同的服务的最“好”的或“最本地”的提供者的指针，该判断是基于对客户机所处的域，特别是所在的站点的知识作出的。
　　不允许动态更新时，此结构需要经常随环境的改变作相应的调整，否则，它不能达到最优性能。这一点有可能特别应用于对域名有GUID（长达128位的不可译标号）并且用于时服务进行优化和直接定位查询的记录。条件允许的话，建议在允许动态更新的windows 2000 DNS里使用委托授权域区来维护这些结构，如同使用更新安全一样。当整个DNS域不能被授权列出主机和客户机，也不能列出这些与SRV相关的结构时，如果已存在的DNS被配置为能接受下划线的话，考虑一下授权_msdcs,_sites,_tcp和_udp.
　　(未完待续)

来顶一下