Active-Directory-和DNS-的-SRV記錄

1、Active Directory和DNS 的 SRV記錄Naka 原創(chuàng) 首先來(lái)看看默認(rèn)情況下AD下的DNS: 環(huán)境：win2k3ip:dns:域:完整的計(jì)算機(jī)名:DNS建成AD 下圖可以看出，主要分兩個(gè)部分組成，名為的域在微軟的DNS中并沒(méi)有簡(jiǎn)單的注冊(cè)成，DNS實(shí)際上是建立之后，在中建立了一個(gè)子域，也就是_,然后將_msdcs區(qū)域委派給DNS Server自己(在win2k中和win2k3有所不同)。微軟這也做的原因有二個(gè)，我也只能猜想了（哪位知道，請(qǐng)補(bǔ)充一下）。其一是為了在多個(gè)服務(wù)器之間分配通信量負(fù)載，需要將一個(gè)大的區(qū)域分成若干小的區(qū)域，這提高了

2、DNS 名稱解析性能或創(chuàng)建了一個(gè)容錯(cuò)性更好的 DNS 環(huán)境。 其二，需要通過(guò)立刻添加許多子域來(lái)擴(kuò)展名稱空間，例如提供開(kāi)放的新分支或站點(diǎn)。 簡(jiǎn)單來(lái)說(shuō)就是建立一個(gè)高可用性和可靠性的dns服務(wù)系統(tǒng)。 _msdcs： 灰色的文件夾，看到灰色文件夾不要認(rèn)為不正常，這里是將_msdcs域委派給了，我們點(diǎn)開(kāi)_來(lái)看 看是些什么，msdcs下包含了四個(gè)子域dc，domain，gc和pdc。 dc和gc： 其中dc和gc是按照站點(diǎn)來(lái)劃分的，這也可以讓客戶機(jī)快速的找到想到找的Active Directory服務(wù)（kerberse，ldap等）我這個(gè)測(cè)試環(huán)境只有一個(gè)site，名字為Default-first-site

3、-name(DFSN)。那么為什么按照站點(diǎn)來(lái)劃分？我想應(yīng)該和客戶端登陸過(guò)程有關(guān)，其登陸使用三種類(lèi)型的信息來(lái)嘗試找到域控制器，也就是kerberse服務(wù)器。這三種類(lèi)型分別是域名，GUID，站點(diǎn)識(shí)別標(biāo)識(shí)。 按照上圖，來(lái)說(shuō)明一下什么是SRV記錄，看上圖中的_kerbers屬性。域：DFSN._sites.dc.msdcs,這是一個(gè)子域，也就是下的子域。服務(wù)：kerberos服務(wù)協(xié)議：使用了tcp協(xié)議優(yōu)先級(jí)：065535之間的數(shù)，數(shù)字越小，級(jí)別越高權(quán)數(shù)（重）:065535之間的數(shù).設(shè)置附加的優(yōu)先級(jí)，用于確定在應(yīng)答SRV查詢中使用的目標(biāo)主機(jī)的準(zhǔn)確順序或選擇平衡端口號(hào)：tcp使用的端口號(hào)以上詳細(xì)信息查看

4、這個(gè)屬性面板到底說(shuō)的是什么呢？在的DFSN._sites.dc.msdcs子域中有一個(gè)使用tcp的kerberos服務(wù)器（注意就是域可控制器）。當(dāng)用戶通過(guò)tcp協(xié)議的88端口對(duì)kerberos做請(qǐng)求時(shí)，這臺(tái)dc將做反應(yīng)。 Domains： domains下面的那些數(shù)字是domainguid，如下圖所示：_ldap._tcp.domainguid.domains._.這個(gè)屬性面板說(shuō)明，當(dāng)用戶通過(guò)tcp協(xié)議的389端口對(duì)ldap進(jìn)行請(qǐng)求時(shí)，下的子域domainguid.domains._msdcs將做出反應(yīng)。這個(gè)主要是用于復(fù)制。 看下圖：還剩下_sites,_tcp,_udp和其他兩個(gè)子域。 那兩

5、個(gè)子域是存儲(chǔ)林信息的，在這里不做介紹。 _sites: 站點(diǎn)代表的是一個(gè)高速連接區(qū)域，根據(jù)DC的站點(diǎn)從屬關(guān)系來(lái)建立了DC索引之后，客戶端就可以檢查_(kāi)SITES來(lái)尋找本地服務(wù)，而不必通過(guò)WAN來(lái)發(fā)送它們的LDAP查詢請(qǐng)求。標(biāo)準(zhǔn)LDAP查詢端口是389，全局編錄查詢則使用3268（如圖所示）。在site中提供三種服務(wù)，GC，Ldap，kerberos，其實(shí)Gc指的也是ldap，但是ms取了一個(gè)名字，叫Global Catalog，是與一個(gè)域的子集交流的服務(wù)。也就是site具備了除_kpasswd這外的其他所有服務(wù)。以下是其具體說(shuō)明：1，_gc._tcp._sites.允許客戶機(jī)找到與指定的使用活動(dòng)

6、目錄根域的站點(diǎn)最切合的全局目錄服務(wù)器。2，_kerberos._tcp._sites.允許客戶機(jī)找到最切合指定站點(diǎn)的域中的KDC。3，_ldap._tcp._sites.允許客戶機(jī)在最切合指定站點(diǎn)的域中找到ldap服務(wù)器_tcp: 收集了DNS區(qū)域中的所有DC也就是提供kerberos驗(yàn)證服務(wù)的服務(wù)器。如果客戶端找不到它們特定的站點(diǎn)，或者具有本地SRV記錄的任何DC都沒(méi)有響應(yīng)，需要尋找網(wǎng)絡(luò)中其他地方的DC，就應(yīng)該將這些客戶端放到這個(gè)分組中。在這個(gè)子域中，可以得到AD得所有服務(wù)gc,kerberos,kpasswd,ldap，以下是其具體說(shuō)明：1，_ldap._tcp.允許客戶機(jī)在指定域中找到l

7、dap服務(wù)器2，_gc._tcp.允許客戶機(jī)找到使用活動(dòng)目錄根域的全局目錄服務(wù)器3，_kerberos._tcp.允許客戶機(jī)找到對(duì)本域的kerberosKDC服務(wù)4，kpasswd._tcp.允許客戶機(jī)找到域中的kerberos改變密碼服_udp: kerberos v5允許客戶端使用獲取票證并更改密碼。這是通過(guò)與相同服務(wù)的TCP端口對(duì)應(yīng)的UDP端口來(lái)完成的,票證交換使用UDP的88端口，而密碼更改使用464。以下是其具體說(shuō)明：1，kerberos._udp。允許客戶機(jī)找到對(duì)本域的kerberosKDC服務(wù)，使用udp2，_kpasswd._udp.允許客戶機(jī)找到域中的kerberos改變密碼

8、服務(wù)，使用udp 搞了一下午終于弄完了，這些概念和知識(shí)主要用于排錯(cuò)。21:31| 添加評(píng)論| 發(fā)送消息| 固定鏈接| 查看引用通告 (0)| 寫(xiě)入日志| 深入了解活動(dòng)目錄服務(wù)（SRV）記錄服務(wù)（SRV）記錄從技術(shù)上來(lái)說(shuō)，SRV記錄是一個(gè)實(shí)驗(yàn)性的資源記錄，微軟構(gòu)造了一個(gè)服務(wù)基礎(chǔ)來(lái)消除傳統(tǒng)的NetBIOS服務(wù)，這個(gè)基礎(chǔ)是依賴于定位提供查詢服務(wù)主機(jī)的SRV記錄的。在舊的操作系統(tǒng)(NT4或更早)下，主機(jī)提供什么樣的服務(wù)是通過(guò)NetBIOS來(lái)廣播的。在新的操作系統(tǒng)即Windows2000下，則通過(guò)使用SRV記錄來(lái)實(shí)現(xiàn)?？蛻魴C(jī)必須認(rèn)識(shí)SRV記錄從而通過(guò)SRV記錄找到提供所需服務(wù)的主機(jī)，換句話說(shuō)，如果客戶機(jī)

9、不知道該向DNS詢問(wèn)些什么，它就不會(huì)得到答案。當(dāng)客戶機(jī)能夠查詢一種類(lèi)型的服務(wù)并且得到回答，它將得到一個(gè)IP地址，以便和所請(qǐng)求的服務(wù)取得聯(lián)系。一個(gè)實(shí)例是一個(gè)用戶通過(guò)客戶機(jī)請(qǐng)求登錄上網(wǎng)，要做到這一點(diǎn)，客戶機(jī)必須能夠確認(rèn)用戶使用了正確的域控制器。即客戶機(jī)必須知道向何處發(fā)送確認(rèn)請(qǐng)求?？蛻魴C(jī)應(yīng)向作為登錄域域控制器的服務(wù)器發(fā)送一個(gè)DNS查詢。盡管實(shí)際的過(guò)程更為復(fù)雜，但是在域控制器被確認(rèn)后，用戶身份認(rèn)證過(guò)程會(huì)繼續(xù)。當(dāng)DNS能夠執(zhí)行動(dòng)態(tài)更新時(shí)，服務(wù)記錄由NETLOGON進(jìn)程創(chuàng)建。用來(lái)保持活動(dòng)目錄結(jié)構(gòu)，否則，一些SRV記錄必須手動(dòng)地創(chuàng)造，下面列出了一些需要SRV記錄服務(wù)類(lèi)型的例子。SRV記錄能夠被用來(lái)廣播除了已

10、能被查詢的服務(wù)外的其他服務(wù)。圖4-8顯示了創(chuàng)建廣播主機(jī)上的HTTP服務(wù)器的SRV記錄的過(guò)程。服務(wù)記錄的格式如下所示：注意在“service”和“protocol”之間必須有一個(gè)點(diǎn)號(hào)。優(yōu)先級(jí)值(值)很像MX記錄的優(yōu)先級(jí)值，值越小，優(yōu)先權(quán)越高。取值的范圍從0到65535。權(quán)值(值)用在對(duì)同一個(gè)服務(wù)有多個(gè)具有同等優(yōu)先權(quán)的記錄時(shí)，取值從1到65535，查詢被響應(yīng)的早晚與權(quán)值成正比。這樣做比用輪轉(zhuǎn)法對(duì)負(fù)載平衡的影響更先進(jìn)一些。當(dāng)不考慮負(fù)載平衡時(shí)權(quán)值被置為0。對(duì)于目標(biāo)(target)域而言，還有特殊值，即當(dāng)記錄中指示的服務(wù)在此域中被確認(rèn)為不可用時(shí)，便在目標(biāo)域中填入一個(gè)句點(diǎn)。以下是一個(gè)SRV記錄的例子。一些

11、活動(dòng)目錄所需的由SRV記錄廣播的服務(wù)類(lèi)型如下所示：_ldap._tcp.允許客戶機(jī)在指定域中找到ldap服務(wù)器。_ldap._tcp._sites.允許客戶機(jī)在最切合指定站點(diǎn)的域中找到ldap服務(wù)器。_gc._tcp.允許客戶機(jī)找到使用活動(dòng)目錄根域的全局目錄服務(wù)器。_gc._tcp._sites.允許客戶機(jī)找到與指定的使用活動(dòng)目錄根域的站點(diǎn)最切合的全局目錄服務(wù)器。_kerberos._tcp.允許客戶機(jī)找到對(duì)本域的kerberosKDC服務(wù)。_kerberos._udp.除了使用UDP而不是TCP協(xié)議外同上。_kerberos._tcp._sites.允許客戶機(jī)找到最切合指定站點(diǎn)的域中的KDC

12、。_kpasswd._tcp.允許客戶機(jī)找到域中的kerberos改變密碼服務(wù)。_kpasswd._udp.除了使用UDP而不是TCP協(xié)議外同上。注意一些用_mcdcs作為或的第一個(gè)限定詞的SRV記錄是被用于構(gòu)造域控制器的分類(lèi)和服務(wù)查詢樹(shù)的。這樣活動(dòng)目錄客戶機(jī)和服務(wù)器就能通過(guò)簡(jiǎn)單的查詢而不是一系列的鏈?zhǔn)讲樵儊?lái)定位。這與用_sites把活動(dòng)目錄中與指定名字站點(diǎn)最切合的服務(wù)定位收集在一起是很相似的。18:59| 添加評(píng)論| 發(fā)送消息| 固定鏈接| 查看引用通告 (0)| 寫(xiě)入日志| 深入了解活動(dòng)目錄服務(wù)位置（SRV）資源記錄（SRVRR）服務(wù)位置（SRV）資源記錄（SRVRR）SRVRR是服務(wù)定位

13、器（SRV）資源記錄。允許使用單個(gè)DNS查詢操作定位提供類(lèi)似的基于TCP/IP服務(wù)的多個(gè)服務(wù)器。該記錄使您可為按照DNS域名首選項(xiàng)排列的已知服務(wù)器端口和傳輸協(xié)議類(lèi)型維護(hù)服務(wù)器的列表。例如，在Windows Server 2003 DNS中，它提供了通過(guò)389號(hào)TCP端口定位使用輕型目錄訪問(wèn)協(xié)議（LDAP）服務(wù)的域控制器的方法。在SRV資源記錄中使用的每個(gè)專(zhuān)用字段的目的如下。服務(wù)：所需服務(wù)的符號(hào)名。對(duì)于一些大家都知道的服務(wù)，保留的通用符號(hào)名（如“_telnet”或“_smtp”）在RFC 1700中定義。如果某個(gè)已知的服務(wù)名稱沒(méi)有在RFC 1700中定義，則可使用本地或用戶首選名稱。一些廣泛使用

14、的TCP/IP服務(wù)，特別是郵局協(xié)議（POP），沒(méi)有單獨(dú)的通用符號(hào)名稱。如果RFC 1700為本字段中指定的服務(wù)指派名稱，則RFC定義的名稱是可合法使用的唯一名稱。只有本地定義的服務(wù)才能在本地命名。協(xié)議：指明傳輸協(xié)議類(lèi)型。盡管可使用在RFC 1700中命名的任何傳輸協(xié)議，但這一般為T(mén)CP或UDP。名稱：該資源記錄所引用的DNS域名。SRV資源記錄在其他DNS記錄類(lèi)型中是唯一的，在DNS記錄類(lèi)型中，它不用于執(zhí)行搜索或查詢。優(yōu)先權(quán)：為“目標(biāo)”字段中指定的主機(jī)設(shè)置首選項(xiàng)。查詢SRV資源記錄的DNS客戶端嘗試聯(lián)系在此列出的最低編號(hào)首選項(xiàng)的第一臺(tái)可訪問(wèn)的主機(jī)。盡管目標(biāo)主機(jī)具有相同規(guī)定的首選項(xiàng)值，但它們?nèi)钥?/p>

15、隨機(jī)進(jìn)行嘗試。首選項(xiàng)值的范圍為065 535。權(quán)重：除“首選項(xiàng)”外，它可用于提供負(fù)載平衡機(jī)制，在“目標(biāo)”字段中指定多個(gè)服務(wù)器并設(shè)為相同的優(yōu)先級(jí)。在這些相同優(yōu)先級(jí)中選擇目標(biāo)服務(wù)器主機(jī)時(shí)，這個(gè)值可用于設(shè)置附加的優(yōu)先級(jí)，用于確定在應(yīng)答SRV查詢中使用的目標(biāo)主機(jī)的準(zhǔn)確順序或選擇平衡。使用非零值時(shí)，相同優(yōu)先級(jí)的服務(wù)器根據(jù)該值的權(quán)重按比例地進(jìn)行嘗試。值的范圍是165 535。如果不需要進(jìn)行加載平衡，則使用該字段中的0值以使該記錄更易于閱讀。端口：位于提供“服務(wù)”字段中所指明服務(wù)的“目標(biāo)”主機(jī)上的服務(wù)器端口。盡管如RFC 1700中所指定的那樣，編號(hào)通常是公開(kāi)指派的服務(wù)端口號(hào)，但端口編號(hào)的范圍還是065 5

16、35。未被指派的端口可根據(jù)需要使用。目標(biāo)：為提供要申請(qǐng)的服務(wù)類(lèi)型的主機(jī)指定DNS域名。所使用的每個(gè)主機(jī)名都必須在DNS名稱空間中有相應(yīng)的主機(jī)地址（A）資源記錄。可在該字段中使用單個(gè)句點(diǎn)（.），以便權(quán)威性地指出該DNS域名中沒(méi)有在SRV資源記錄中所指定的待申請(qǐng)服務(wù)。語(yǔ)法格式為： ttl class SRV preference weight port target例如：_ldap._tcp._msdcs SRV 0 0 389 。要定位Active Directory域控制器，需要知道服務(wù)位置（SRV）RR。在默認(rèn)情況下，Active Directory

17、安裝向?qū)Ц鶕?jù)首選或備用DNS服務(wù)器列表嘗試定位DNS服務(wù)器，這些服務(wù)器是在任何TCP/IP客戶端屬性中為任何活動(dòng)的網(wǎng)絡(luò)連接配置的。如果聯(lián)系了可以接受SRVRR（以及有關(guān)在DNS中將Active Directory注冊(cè)為一項(xiàng)服務(wù)的其他RR）動(dòng)態(tài)更新的DNS服務(wù)器，則配置過(guò)程就完成了。如果在安裝過(guò)程中無(wú)法找到可以接受用于命名Active Directory的DNS域名更新的DNS服務(wù)器，該向?qū)Э稍诒镜匕惭bDNS服務(wù)器，并使用支持Active Directory域的區(qū)域自動(dòng)配置它。例如，如果您為樹(shù)林中的第一個(gè)域選擇的Active Directory域是，那么在DNS域名上確立的區(qū)域?qū)⒈惶砑硬⑴渲脼榕c運(yùn)行在新域控制器上的DNS服務(wù)器一同使用。不論是否在本地安裝DNS服務(wù)器服務(wù)，在Active Directory安裝過(guò)程中將寫(xiě)入和創(chuàng)建文件（Netlogon.dns），該過(guò)程包含支持Active Directory使用所需的SRVRR和其他RR。該文件在systemrootSystem32Config文件夾中創(chuàng)建。如果您打算使用符合下列描述之一的DNS服務(wù)器，則應(yīng)使用Netlogon.dns中的記錄手動(dòng)配置該服務(wù)器上的主要區(qū)域以支持