DNS是域名系統(Domain Name System)的簡稱。DNS的作用將域名解析為IP地址,從而便於用戶記憶並訪問相關的網絡服務。事實上,正式由於有了DNS服務,計算機使用者才不必再死記硬背那些枯燥的IP地址。因此,無論在Internet還是局域網絡,都能看到DNS服務器的身影。
DNS需要了解的知識
在網絡中唯一能夠用來標識計算機身份和定位計算機位置的方法是IP地址,記憶這些純數字的IP地址很容易出錯。通過域名服務器,將IP地址與域名一一對應,使用戶在訪問服務器或網站時不是使用IP地址,而是使用簡單易記的域名,通過DNS服務器將域名自動解析成IP地址並定位服務器,這樣就可以解決易記與尋址不能兼顧的問題。
域中的計算機定位
域內的計算機不再主要用網絡基本輸入/輸出系統(NetBIOS)名稱來定位位置,而是使用DNS完全合格的域名稱(FQDN)來標識,例如“dc.book.com”。要登錄並訪問域中的資源,客戶端計算機必須查找DNS服務器,后者幫助定位Acitve Directory域控制器。換句話說,DNS提供域控制器的定位器服務。DNS與活動目錄的繼承是Windows 2000 Server以上域操作系統的核心功能。
DNS和Active Directory的結合
1.DNS的作用
DNS是一種名字解析服務,通過DNS服務器接受請求查詢DNS數據庫來把域或計算機解析為IP地址。DNS客戶發送DNS名字查詢到它們設定的DNS服務器,DNS服務器接受請求后或通過本地DNS數據庫解析名字,或查詢因特網上別的DNS數據庫。DNS不需要活動目錄就可以起作用。
2.活動目錄的作用
活動目錄是一種目錄服務:活動目錄通過域控制器接受查詢請求,查詢活動目錄數據庫把域對象名字解析為對象記錄。活動目錄用戶通過LDAP協議(一種進入目錄服務的協議)向活動目錄服務器發送請求,為了定位提供查詢服務的域控制器就需要借助於DNS,也就是說,活動目錄使用DNS服務器作為定位服務器,把域控制器解析為IP地址。活動目錄要發揮作用,離不開DNS。
3.二者結合
DNS可以獨立於活動目錄,但是活動目錄必須有DNS的幫助才能工作。為了活動目錄能夠正常地工作,DNS服務器必須支持服務定位(SRV)資源記錄,資源記錄把服務名字映射為提供服務的服務器名字。活動目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。同時,DNS所有數據存儲在Active Directory數據庫中,在域控制器之間隨着數據庫的復制而復制。
DNS服務器區域類型
DNS服務器中提供2種搜索區域:“正向查找區域”(用來處理正向解析,即把主機名解析為IP地址)和“反向查找區域”(用來處理反向解析,即把IP地址解析為主機名),
“正向查找區域”和“反向查找區域”都可以創建三種區域類型,分別為“標准主要區域”、“標准輔助區域”和“Acitve Directory集成的區域”。
1.標准主要區域
創建DNS區域時,首先創建一個“標准主要區域”,區域記錄是自動生成且可讀寫的。該DNS服務器既可以接受新用戶的注冊,也可以給用戶提供名稱解析服務。“標准主要區域”以文件的形式存放在創建該區域的DNS服務器上,該DNS服務器稱為該區域的“主DNS服務器”。
“標准主要區域”的區域屬性中可以設置“是否允許動態更新”。如果“允許動態更新”,當該區域的客戶端計算機的IP地址或主機名發生變化時,這種改變可以動態地在DNS區域記錄中進行更改,而無須管理員手工更改。
2.標准輔助區域
如果DNS區域的客戶端計算機非常多,為了優化對用戶DNS名稱解析的服務,可以在另外一台DNS服務器上為該區域創建一個“標准輔助區域”。“標准輔助區域”中的敘記錄從“標准主要區域”中復制且是只讀的,該DNS服務器不能接受新用戶的注冊請求,只能為已經注冊的用戶提供名稱解析服務。
“主DNS服務器”又稱為“輔助DNS服務器”的“主服務器”。“標准輔助區域”也是以文件的形式存放在該區域的DNS服務器上,該服務器稱為該區域的“輔助DNS服務器”。
3.Active Directory集成區域
“Acitve Directory集成區域”只存在於域控制器上,而且該類型的數據存在於活動目錄中,不是以文件形式存在。“Acitve Directory集成的區域”不會進行區域復制,只會隨着活動目錄的復制而復制,因此將避免普通DNS服務器單點失敗的現象。“Active Directory集成區域”屬性中除可以設置“是否允許動態更新”外,還可以設置“僅安全更新”。
“僅安全更新”是在動態更新的基礎上保證安全。“僅安全更新”的區域只接受已經加入域的計算機帳號的主機名和IP地址的變化,而當那些不屬於該域的計算機帳號的主機名和IP地址發生變化時是不會在區域記錄中動態改變的,但是這些計算機仍然可以利用該DNS服務器進行名稱解析服務。
DNS的區域類型是可以改變的,可以把一個“標准主要區域”類型更改為“標准輔助區域”,或者為了加強安全性把它更改為“Acitve Directory集成的區域”。不過一般來說,對於活動目錄的DNS區域類型最好采用“Acitve Directory集成區域”,而且設置區域屬性為“安全”,不要把它更改為“標准主要區域”類型。
DNS常用資源記錄
1.A記錄
A記錄也稱為主機記錄,是使用最廣泛的DNS記錄。A記錄的基本作用就是說明一個域名對應的IP地址是多少,是域名和IP地址的對應關系。A記錄的表現形式為DC.book.com 192.168.0.1。
A記錄除了域名和IP地址對地址對應以外,還有一個高級用法,可以作為低成本的負載均衡解決方案。例如DC.book.com可以創建多個A記錄,對應多台物理服務器的IP地址,提供DNS輪詢功能實現基本的流量均衡。
·DC.book.com 192.168.0.1
·DC.book.com 192.168.0.2
·DC.book.com 192.168.0.3
2.NS記錄
NS記錄也叫名稱服務器記錄,用於說明這個區域有哪些DNS服務器負責解析。NS記錄,說明在指定區域里有多少個DNS服務器承擔解析任務。
3.SOA記錄
NS記錄說明有多台服務器在進行解析,但哪一個才是主服務器呢,NS並沒有說明。SOA名叫起始授權機構記錄,SOA記錄說明了在眾多NS記錄里哪一台才是主要DNS服務器。注意:Acitve Directory集成區域DNS服務中,不需要指明哪一台是主服務器。
4.SRV記錄
SRV記錄是服務器資源記錄的縮寫。SRV記錄的作用是說明一個服務器能夠提供什么樣的服務。SRV記錄在微軟的Acitve Directory中有重要地位,域內的計算機要依賴DNS的SRV記錄來定位域控制器。
服務位置(SRV)記錄是Windows DNS實現的重要部分,如果沒有SRV記錄,客戶端計算機和服務器就不能定位域控制器。SRV記錄本身包含以下參數。
·服務名:這是一個標准值,通過前面加前綴下划線“_”,例如“_gc.”或者“_ldap.”,服務名稱等價於主機名,服務名將附加到FQDN上。
·服務器FQDN:提供該服務的服務器。
·端口:服務可用的TCP或者UDP端口,協議使用注冊名表示,例如“_tcp”、“_udp”。
·優先級:數值越低優先級越高,默認值100。
·權重:與優先級用途相同,如果不關心負載均衡,可以設置為0。
5.PTR記錄
PTR記錄也稱為指針記錄,PTR記錄是A記錄的逆向記錄,作用是把IP地址解析為域名。DNS反向區域負責從IP地址到域名的解析,如果要創建PTR記錄,必須在反向區域中創建。部署活動目錄集成區域DNS服務后,默認沒有創建反向查找區域,僅創建正向查找區域。
6.MX記錄
MX記錄全稱是郵件交換記錄,在使用郵件服務器時,MX記錄是必需的,例如A用戶向B用戶發送一封郵件,首先需要向DNS查詢B用戶的MX記錄,DNS成功定位B的MX記錄后反饋給A用戶,然后A用戶把郵件投遞到B用戶的MX所記錄郵件服務器。
nslookup驗證加入域的SRV記錄
Nslookup
set q-srv
_ldap._tcp.dc._msdcs.book.com
動態更新
DNS客戶端計算機通過動態更新功能,在發生更改時隨時向DNS服務器注冊和動態更新資源記錄,減少手動更改區域資源記錄的需要,降低出錯的風險。這個功能對DHCP環境中的客戶端計算機尤為有效。DNS客戶端計算機和服務器都支持動態更新功能。
1.觸發DNS動態更新
何時發生動態更新:
·已安裝的任一網絡連接。當“TCP/IP”屬性配置中添加、刪除或修改“IP”地址時。
·IP地址租約通過“DHCP”服務器更改或續訂任一已安裝的網絡連接。例如,當計算機啟動時,或者使用ipconfig /renew命令時。
·使用“ipconfing /registerdns”命令手動強制在“DNS”中刷新客戶端名稱注冊。
·啟動時,即打開計算機時。
·成員服務器升級為域控制器。
當以上事件之一觸發動態更新時,DHCP客戶端服務(而非DNS客戶端服務)將發送更新。如果由於DHCP而導致IP地址信息發生更改,DNS中會執行對應的更新,以同步計算機名稱到地址映射。
2.配置DNS服務器動態更新
Acitve Directory集成區域DNS服務部署成功后,默認已經啟用“安全”動態更新功能,建議使用默認值即可。如果已經更改過默認設置,按照以下方法重置。
第1步,打開DNS控制台,右擊“book.com”——屬性;
第2步,如果“類型”顯示值不是“Acitve Directory集成區域”,單擊“更改”按鈕。選擇在“Active Directory中存儲區域(只有DNS服務器是域控制器時才可用)”選項。單擊“確定”,完成區域類型設置。
第3步,如果“動態更新”值不現實“安全”,單擊“動態更新”右側的下拉框,選擇“安全”選項。單擊“確定”按鈕,完成“動態更新”值設置。
部署活動目錄集成DNS服務
域環境中,如果部署多台域控制器,建議至少在2台域控制器中部署活動目錄集成區域DNS服務,確保DNS服務的高可用性。
自動配置Acitve Directory集成區域DNS服務
在部署第一台域控制器或者額外域控制器的過程中,管理員可以選擇是否將當前服務器同時安裝為活動目錄集成區域DNS服務器。注意:Acitve Directory集成區域DNS服務必須部署在域控制器中。
安裝結果
活動目錄集成區域DNS服務部署成功后,名稱為“book.com”域將創建一下域。
·_msdcs.book.com
·book.com
_msdcs子域
活動目錄使用DNS定位域控制器,然后使用活動目錄提供的服務:全局編錄服務(GC)。Kerberos、輕量目錄負載協議(LDAP)以及域控制器(DC)。所有SRV記錄全部存儲在“_msdcs”子域中,Netlogon進程會在每個域控制器動態注冊需要記錄。注意:所有域控制器通過復制機制同步“_msdcs”子域內容。
部署第一台域控制器且安裝DNS服務的情況下,自動在DNS服務器建立一個名稱為“_msdcs.”的區域。此區域配置通過活動目錄數據庫的“多主機復制”機制,同步到每個運行DNS域控制器。
“_msdcs”下包含了四個子域
·DC(域控制器)
·Domain(域)
·GC(全局編錄服務器)
·PDC(PDC主機角色所在的域控制器)。
這4個子域標注Acitve Directory服務中常用的4個服務所在的域控制器,以及定義域控制器的屬性。