活动目录集成区域DNS服务

DNS是域名系统（Domain Name System）的简称。DNS的作用将域名解析为IP地址，从而便于用户记忆并访问相关的网络服务。事实上，正式由于有了DNS服务，计算机使用者才不必再死记硬背那些枯燥的IP地址。因此，无论在Internet还是局域网络，都能看到DNS服务器的身影。

 

DNS需要了解的知识

    在网络中唯一能够用来标识计算机身份和定位计算机位置的方法是IP地址，记忆这些纯数字的IP地址很容易出错。通过域名服务器，将IP地址与域名一一对应，使用户在访问服务器或网站时不是使用IP地址，而是使用简单易记的域名，通过DNS服务器将域名自动解析成IP地址并定位服务器，这样就可以解决易记与寻址不能兼顾的问题。

 

域中的计算机定位

    域内的计算机不再主要用网络基本输入/输出系统（NetBIOS）名称来定位位置，而是使用DNS完全合格的域名称（FQDN）来标识，例如“dc.book.com”。要登录并访问域中的资源，客户端计算机必须查找DNS服务器，后者帮助定位Acitve Directory域控制器。换句话说，DNS提供域控制器的定位器服务。DNS与活动目录的继承是Windows 2000 Server以上域操作系统的核心功能。

 

DNS和Active Directory的结合

    1.DNS的作用

    DNS是一种名字解析服务，通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址。DNS客户发送DNS名字查询到它们设定的DNS服务器，DNS服务器接受请求后或通过本地DNS数据库解析名字，或查询因特网上别的DNS数据库。DNS不需要活动目录就可以起作用。

    2.活动目录的作用

    活动目录是一种目录服务：活动目录通过域控制器接受查询请求，查询活动目录数据库把域对象名字解析为对象记录。活动目录用户通过LDAP协议（一种进入目录服务的协议）向活动目录服务器发送请求，为了定位提供查询服务的域控制器就需要借助于DNS，也就是说，活动目录使用DNS服务器作为定位服务器，把域控制器解析为IP地址。活动目录要发挥作用，离不开DNS。

    3.二者结合

    DNS可以独立于活动目录，但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常地工作，DNS服务器必须支持服务定位（SRV）资源记录，资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。同时，DNS所有数据存储在Active Directory数据库中，在域控制器之间随着数据库的复制而复制。

 

DNS服务器区域类型

    DNS服务器中提供2种搜索区域：“正向查找区域”（用来处理正向解析，即把主机名解析为IP地址）和“反向查找区域”（用来处理反向解析，即把IP地址解析为主机名），

    “正向查找区域”和“反向查找区域”都可以创建三种区域类型，分别为“标准主要区域”、“标准辅助区域”和“Acitve Directory集成的区域”。

    1.标准主要区域

    创建DNS区域时，首先创建一个“标准主要区域”，区域记录是自动生成且可读写的。该DNS服务器既可以接受新用户的注册，也可以给用户提供名称解析服务。“标准主要区域”以文件的形式存放在创建该区域的DNS服务器上，该DNS服务器称为该区域的“主DNS服务器”。

    “标准主要区域”的区域属性中可以设置“是否允许动态更新”。如果“允许动态更新”，当该区域的客户端计算机的IP地址或主机名发生变化时，这种改变可以动态地在DNS区域记录中进行更改，而无须管理员手工更改。

    2.标准辅助区域

    如果DNS区域的客户端计算机非常多，为了优化对用户DNS名称解析的服务，可以在另外一台DNS服务器上为该区域创建一个“标准辅助区域”。“标准辅助区域”中的叙记录从“标准主要区域”中复制且是只读的，该DNS服务器不能接受新用户的注册请求，只能为已经注册的用户提供名称解析服务。

    “主DNS服务器”又称为“辅助DNS服务器”的“主服务器”。“标准辅助区域”也是以文件的形式存放在该区域的DNS服务器上，该服务器称为该区域的“辅助DNS服务器”。

    3.Active Directory集成区域

    “Acitve Directory集成区域”只存在于域控制器上，而且该类型的数据存在于活动目录中，不是以文件形式存在。“Acitve Directory集成的区域”不会进行区域复制，只会随着活动目录的复制而复制，因此将避免普通DNS服务器单点失败的现象。“Active Directory集成区域”属性中除可以设置“是否允许动态更新”外，还可以设置“仅安全更新”。

    “仅安全更新”是在动态更新的基础上保证安全。“仅安全更新”的区域只接受已经加入域的计算机帐号的主机名和IP地址的变化，而当那些不属于该域的计算机帐号的主机名和IP地址发生变化时是不会在区域记录中动态改变的，但是这些计算机仍然可以利用该DNS服务器进行名称解析服务。

    DNS的区域类型是可以改变的，可以把一个“标准主要区域”类型更改为“标准辅助区域”，或者为了加强安全性把它更改为“Acitve Directory集成的区域”。不过一般来说，对于活动目录的DNS区域类型最好采用“Acitve Directory集成区域”，而且设置区域属性为“安全”，不要把它更改为“标准主要区域”类型。

 

DNS常用资源记录

    1.A记录

    A记录也称为主机记录，是使用最广泛的DNS记录。A记录的基本作用就是说明一个域名对应的IP地址是多少，是域名和IP地址的对应关系。A记录的表现形式为DC.book.com 192.168.0.1。

    A记录除了域名和IP地址对地址对应以外，还有一个高级用法，可以作为低成本的负载均衡解决方案。例如DC.book.com可以创建多个A记录，对应多台物理服务器的IP地址，提供DNS轮询功能实现基本的流量均衡。

    ·DC.book.com 192.168.0.1

    ·DC.book.com 192.168.0.2

    ·DC.book.com 192.168.0.3

 

    2.NS记录

    NS记录也叫名称服务器记录，用于说明这个区域有哪些DNS服务器负责解析。NS记录，说明在指定区域里有多少个DNS服务器承担解析任务。

 

    3.SOA记录

    NS记录说明有多台服务器在进行解析，但哪一个才是主服务器呢，NS并没有说明。SOA名叫起始授权机构记录，SOA记录说明了在众多NS记录里哪一台才是主要DNS服务器。注意：Acitve Directory集成区域DNS服务中，不需要指明哪一台是主服务器。

 

    4.SRV记录

    SRV记录是服务器资源记录的缩写。SRV记录的作用是说明一个服务器能够提供什么样的服务。SRV记录在微软的Acitve Directory中有重要地位，域内的计算机要依赖DNS的SRV记录来定位域控制器。

    服务位置（SRV）记录是Windows DNS实现的重要部分，如果没有SRV记录，客户端计算机和服务器就不能定位域控制器。SRV记录本身包含以下参数。

    ·服务名：这是一个标准值，通过前面加前缀下划线“_”，例如“_gc.”或者“_ldap.”，服务名称等价于主机名，服务名将附加到FQDN上。

    ·服务器FQDN：提供该服务的服务器。

    ·端口：服务可用的TCP或者UDP端口，协议使用注册名表示，例如“_tcp”、“_udp”。

    ·优先级：数值越低优先级越高，默认值100。

    ·权重：与优先级用途相同，如果不关心负载均衡，可以设置为0。

 

    5.PTR记录

    PTR记录也称为指针记录，PTR记录是A记录的逆向记录，作用是把IP地址解析为域名。DNS反向区域负责从IP地址到域名的解析，如果要创建PTR记录，必须在反向区域中创建。部署活动目录集成区域DNS服务后，默认没有创建反向查找区域，仅创建正向查找区域。

 

    6.MX记录

    MX记录全称是邮件交换记录，在使用邮件服务器时，MX记录是必需的，例如A用户向B用户发送一封邮件，首先需要向DNS查询B用户的MX记录，DNS成功定位B的MX记录后反馈给A用户，然后A用户把邮件投递到B用户的MX所记录邮件服务器。

 

nslookup验证加入域的SRV记录

    Nslookup

    set q-srv

    _ldap._tcp.dc._msdcs.book.com

 

动态更新

    DNS客户端计算机通过动态更新功能，在发生更改时随时向DNS服务器注册和动态更新资源记录，减少手动更改区域资源记录的需要，降低出错的风险。这个功能对DHCP环境中的客户端计算机尤为有效。DNS客户端计算机和服务器都支持动态更新功能。

    1.触发DNS动态更新

    何时发生动态更新：

    ·已安装的任一网络连接。当“TCP/IP”属性配置中添加、删除或修改“IP”地址时。

    ·IP地址租约通过“DHCP”服务器更改或续订任一已安装的网络连接。例如，当计算机启动时，或者使用ipconfig /renew命令时。

    ·使用“ipconfing /registerdns”命令手动强制在“DNS”中刷新客户端名称注册。

    ·启动时，即打开计算机时。

    ·成员服务器升级为域控制器。

    当以上事件之一触发动态更新时，DHCP客户端服务（而非DNS客户端服务）将发送更新。如果由于DHCP而导致IP地址信息发生更改，DNS中会执行对应的更新，以同步计算机名称到地址映射。

 

    2.配置DNS服务器动态更新

    Acitve Directory集成区域DNS服务部署成功后，默认已经启用“安全”动态更新功能，建议使用默认值即可。如果已经更改过默认设置，按照以下方法重置。

    第1步，打开DNS控制台，右击“book.com”——属性；

    第2步，如果“类型”显示值不是“Acitve Directory集成区域”，单击“更改”按钮。选择在“Active Directory中存储区域（只有DNS服务器是域控制器时才可用）”选项。单击“确定”，完成区域类型设置。

    第3步，如果“动态更新”值不现实“安全”，单击“动态更新”右侧的下拉框，选择“安全”选项。单击“确定”按钮，完成“动态更新”值设置。

 

部署活动目录集成DNS服务

    域环境中，如果部署多台域控制器，建议至少在2台域控制器中部署活动目录集成区域DNS服务，确保DNS服务的高可用性。

 

自动配置Acitve Directory集成区域DNS服务

    在部署第一台域控制器或者额外域控制器的过程中，管理员可以选择是否将当前服务器同时安装为活动目录集成区域DNS服务器。注意：Acitve Directory集成区域DNS服务必须部署在域控制器中。

 

安装结果

    活动目录集成区域DNS服务部署成功后，名称为“book.com”域将创建一下域。

    ·_msdcs.book.com

    ·book.com

 

_msdcs子域

    活动目录使用DNS定位域控制器，然后使用活动目录提供的服务：全局编录服务（GC）。Kerberos、轻量目录负载协议（LDAP）以及域控制器（DC）。所有SRV记录全部存储在“_msdcs”子域中，Netlogon进程会在每个域控制器动态注册需要记录。注意：所有域控制器通过复制机制同步“_msdcs”子域内容。

    部署第一台域控制器且安装DNS服务的情况下，自动在DNS服务器建立一个名称为“_msdcs.”的区域。此区域配置通过活动目录数据库的“多主机复制”机制，同步到每个运行DNS域控制器。

    “_msdcs”下包含了四个子域

    ·DC（域控制器）

    ·Domain（域）

    ·GC（全局编录服务器）

    ·PDC（PDC主机角色所在的域控制器）。

    这4个子域标注Acitve Directory服务中常用的4个服务所在的域控制器，以及定义域控制器的属性。