Az egyik kéz melegíti az aktív könyvtár és a DNS

Először is, ha megérteni az elveket a DNS-t. nincs semmi ijesztő leírtak nem. Valamint nem lesz bontó és más „homályos” darab. Minden a normális, emberi, megértést.

Active Directory DNS egy keresési mechanizmus tartományvezérlő és egyéb tárgyak. Osztja a következő három elemből, amelyen a hirdetés munka DNS:

  • Tartományvezérlő lokátor
  • Active Directory domain nevek a DNS
  • Active Directory-objektumok a DNS

Most vessünk egy közelebbi pillantást:

Tartományvezérlő lokátor

Bemutatta szolgáltatás Hálózati bejelentkezés, amely lehetővé teszi az ügyfeleknek, hogy megtalálják a tartományvezérlőknek.

Active Directory domain nevek a DNS

Minden domain DNS nevét (például: inadmin.ru), mint minden számítógépet, hogy a domain van a DNS-nevét (például: Server01.inadmin.ru). Építészetileg egyes komponensek tárolja az Active Directory objektumot, és a DNS-csomópont. Van egy alapvető különbség, bár a nevek azonosak, de elvégzi a különböző szerepeket.
  • DNS megoldja domain nevek és számítógépes erőforrás rekordokat. Ebből a célból a kérelmet küld a DNS-kiszolgáló, amely tárolja a DNS-adatbázisban
  • Active Directory lehetővé teszi a domain tárgyakat. Beszerezhető lekérdezésével tartományvezérlő például LDAP lekérdezések.

Active Directory-objektumok a DNS

Ha a DNS tárolja az Active Directory, akkor a tartály (dnsZone osztály) jön létre minden DNS-zóna. Bent a tárgy tárolt DNS-objektumok (dnsNode osztály) minden egyedi nevet. Ezek az egyedi nevek közé változtatásokat tesz a géphez. Minden objektum attribútummal dnsNode több érték DNSRECORD, amely tartalmaz egy értéket az egyes erőforrás rekord társított objektum nevét.

számítógép nevek

Böngésző Service Választások

DNS neve az úgynevezett teljes nevét vagy FQDN (domain név). FQDN úgy érjük el, a számítógép nevét (az első 15 byte sAMAccountName nélkül „$” jel), valamint az elsődleges DNS-utótag (DNS-tartománynév, amelyben a számítógép található). Windows, láthatjuk az utat WIN + szünet. Alapértelmezésben az elsődleges DNS utótagot az FQDN meg kell egyeznie az Active Directory domain név, amelyben a számítógép található. Ha szükséges, akkor még több tartományutótagok hogy jönnek létre msDS-AllowedDNSSuffixes attribútumokat.

Tehát van, hogy Server01.inadmin.ru

  • Prefix - ez az első része a nevét. Az én például: a kiszolgáló01
  • Utótag - a második része a neve tartalmazza a domain, ami kompyuter.V példámat: inadmin.ru

Van még egy SPN (szolgáltatás fő név), egy kicsit más. SPN általában nyert DNS host nevét. SPN használják a folyamat közötti kölcsönös hitelesítés az ügyfél és a kiszolgáló speciális szolgáltatásokat. Ügyfél számla egy számítógép fiókot SPN szolgáltatást. És megpróbál csatlakozni vele.

Az Active Directory DNS

A telepítés során a tartományvezérlő A és SRV rekordok dinamikusan regisztrált DNS. Mindkét típusú rekordok szükséges (Domain kontroller lokátor) mechanizmus találni tartományvezérlőkön. A telepítés után az Active Directory szükséges nyilvántartások megtalálható a tartományvezérlő.
% Systemroot% \ System32 \ Config \ Netlogon .dns.

  • _msdcs- aldomain határozza Microsoft. Feladata, hogy meghatározza a helyét a DC, amely végrehajtja opredelnnye szerepe az erdő és a tartomány. Ez a zóna tárolja az erdészeti széles körű alkalmazását címtárpartíción. Hálózati bejelentkezés szolgáltatást regisztrál SRV rekord azonosítására jól ismert források, mint a DC (Domain Controller), GC (Global katalógus), PDC (Primary Domain Controller), Domain (globálisan egyedi azonosító, GUID), mind előtagokat aldomainre _msdcs. Bizonyos így meghatározott aldomain tartományvezérlők vannak tartomány vagy erdő és végrehajtja bizonyos szerepeket. Annak megállapításához, a helyét a DC típus vagy GUID, a Windows Server bejegyzett SRV az alábbi minta:

_Service._Protocol.DcType._msdcs.DnsDomainName

  • SRV-rekordok. Amikor egy tartományvezérlő van betöltve, a Hálózati bejelentkezés szolgáltatást dinamikus frissítéseket regisztrálja SRV és A rekordok a DNS szerveren. SRV rekordokat használnak, hogy biztosítsák a szolgáltatás nevét (például LDAP) a DNS-nevét számítógépen fut a szolgáltatás. Ha a munkaállomás csatlakozik domain lekérdezi a DNS SRV rekordok jelenlétét a következő formában:

Mivel az Active Directory a TCP protokollt, a kliensek egy LDAP szerver formájában:

SRV-rekordok által regisztrált Net Logon szolgáltatás

Az alábbi táblázatban, látni fogjuk, hogy az SRV rekordok által regisztrált Hálózati bejelentkezés szolgáltatást. Csakúgy, mint a hatálya a rekordok, és aki regisztrál rá.

  • Dnsdomainname DNS-tartománynevet, ahol a szerver
  • DnsForestName DNS erdő nevét, azaz DNS-nevét az erdő gyökér domain.

Aki elolvasta az első cikket, számukra a következő pár asztal már ismert.

Ez lehetővé teszi az ügyfél, hogy megtalálják a szerveren futó LDAP szolgáltatás dnsdomainname tartományban. Például: _ldap._tcp.inadmin.ru

_ldap._tcp. Webhely_neve. _sites. Dnsdomainname.

Ez lehetővé teszi az ügyfél, hogy megtalálják a szerveren futó LDAP szolgáltatást egy domaint dnsdomainname webhely_neve oldalon. SiteName relatív név, amely tárolja konfigurációtárolóján Active Directory. Például: _ldap._tcp.Moscow._Sites.inadmin.ru

Ez lehetővé teszi az ügyfél, hogy megtalálják a domain a tartományban dnsdomainname. Minden DC regisztrálni a SRV rekordot.

_ldap._tcp. Webhely_neve. _sites.dc._msdcs. Dnsdomainname.

Ez lehetővé teszi az ügyfél, hogy megtalálja a tartományvezérlő a tartomány dnsdomainname webhely_neve oldalon. Minden DC regisztrálni a SRV rekordot.

Ez lehetővé teszi az ügyfél, hogy megtalálják PDC domain PDC DnsDomainName.Tolko szerver nyilvántartások ezt SRV rekordot.

Ez lehetővé teszi az ügyfél, hogy megtalálják a PDC az erdőben DnsForestName.Tolko GC szerver nyilvántartások ezt SRV rekordot.

_ldap._tcp. Webhely_neve. _sites.gc._msdcs. DnsForestName.

Ez lehetővé teszi az ügyfél, hogy megtalálja a GC az erdőben DnsForestName.Tolko GC szerver tulajdonosa az erdő terül ez SRV rekordot. Például: _ldap._tcp.Moscow._Sites._gc._msdcs.inadmin.ru

Ez lehetővé teszi az ügyfél, hogy megtalálja a GC egy adott területen. Csak GC szerver tulajdonosa az erdő DnsForestName regisztrálja a SRV rekordot. Például: _gc._tcp.inadmin.ru

Ez lehetővé teszi az ügyfél, hogy megtalálja a GC az erdőben DnsForestName webhely_neve oldalon. Csak GC szerver tulajdonosa az erdő DnsForestName regisztrálja a SRV rekordot. Például: _gc._tcp._Moscow._Sites.inadmin.ru

_ldap._tcp. DomainGuid. domains._msdcs. DnsForestName.

Ez lehetővé teszi az ügyfeleknek, hogy megtalálják a DC által GUID. GUID egy 128 bites egyedi azonosító. Célzott amikor dnsdomainname és DnsForestName megváltozott. Például: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains. _msdcs.inadmin.ru

Ez lehetővé teszi az ügyfeleknek, hogy megtalálják a Kerberos dnsdomainname ezen a területen. Minden DC regisztrálni a SRV rekordot.

Ugyanaz, mint a _kerberos._tcp. Dnsdomainname csak az UDP

_kerberos._tcp. Webhely_neve. _sites. Dnsdomainname.

Ez lehetővé teszi az ügyfeleknek, hogy megtalálják a Kerberos dnsdomainname ezen a területen az oldalon webhely_neve. Minden DC regisztrálni a SRV rekordot.

Ez lehetővé teszi az ügyfeleknek, hogy megtalálják a DC fut a Kerberos szerepe ebben dnsdomainname tartományban. Minden DC a KDC szerepét regisztrálja a SRV rekordot.

_kerberos.tcp. Webhely_neve. _sites.dc._msdcs. Dnsdomainname.

Ez lehetővé teszi az ügyfeleknek, hogy megtalálják a DC fut a Kerberos szerepét ezen a területen a dnsdomainname webhely_neve oldalon. Minden DC a KDC szerepét regisztrálja a SRV rekordot.

Ez lehetővé teszi, hogy megtalálja a Kerberos jelszó módosítása az aktuális tartományban. Minden DC c szerepet Kerberos bejelentés ezen SRV rekord

Ugyanaz, mint a _kpassword._tcp. Dnsdomainname csak az UDP

Csak Hálózati bejelentkezés szolgáltatást regisztrál egy CNAME-rekord az Active Directory replikáció.

DC Locator nem használja a felvételt. Tény, hogy ez a poszt segít, ha átnevezni tartományvezérlő.

Csak abban az SRV rekordok további területeken:

prioritását. Kliens próbál csatlakozni a szerverekhez, alacsonyabb prioritású.

Ezt használják a terheléselosztó szerverek ugyanolyan elsőbbséggel. Kliensek szerver véletlenszerűen kiválasztott valószínűséggel arányos súlya.

A Hálózati bejelentkezés szolgáltatást is rögzíti, erőforrás rekordok A-típusú LDAP ügyfeleknek, amelyek nem támogatják SRV rekordokat. DC Locator használja az adatok rögzítése.

Példa regiszter nevek

A Hálózati bejelentkezés szolgáltatást. mint mondtuk regisztrál szükséges rögzítés. Egy egyszerű példa arra, milyen rekordok frissülnek vagy létre.

Szeretném hozzátenni, hogy nem csak a regisztrált DNS-nevek, de NetBIOS.

  • DNS-kiszolgáló neve regisztrálva a DNS-kiszolgáló (DC001.inadmin.ru)
  • NetBIOS név regisztrálva a WINS szerver (ha van ilyen) (DC001)

Amikor egy kliens számítógép felhasználó megpróbál bejelentkezni a tartományba, azt kell egy két dolgot

  • Ha a domain név, amely az ügyfél tartozik, a DNS-név a számítógépnek meg kell kérdezni a DNS találni tartományvezérlők
  • Amennyiben a domain név, amely tartalmazza az ügyfél a NetBIOS név a számítógépnek meg kell kérdezni a WINS (lehet keresni NetBIOS broadcast üzenet neve), hogy keresse meg a tartományvezérlő

Az ügyfél gyorsítótáraz ezt a rekordot. És azt, hogy már nem generál nagyobb forgalmat és a szerver terhelését.

Active Directory integrált zóna

Ha elolvasta a korábbi cikkben, ki lehet hagyni. Hely tároló DNS-zóna replikáció körét határozza meg ezen a területen. Számos különböző tároló területeken.

felhatalmazás

További részletekért, kinyitottam ezt a témát az első része a cikket. Most szeretném megemlíteni, csak hogy a névtér az egész erdő egyedinek kell lennie. névfeloldás kell történnie, minden gond nélkül az egész erdő. Felhatalmazó segít fenntartani a jelentősége erőforrás rekordok, valamint az adminisztrációs feladatok megosztására minden területen.

Normális körülmények között a gyermek átruházhatja a DNS-névtér, amely egybeesik a neve Active Directory gyerek tartomány. Érdemes megjegyezni, hogy amikor a delegáció névfeloldás kell történnie nem csak az irányt a gyökér domain „lefelé”, hanem fordítva. Ez azt jelenti, a DNS-kiszolgáló található a gyökér domain legyen könnyű megoldani a nevét minden gyermek egy Active Directory tartományba.

Helyes DNS működése akkor tekinthető, ha a felhasználó a Sokolniki.moscow.inadmin.ru gyerek tartomány lehet feloldani a neveket a gyökér domain Inadmin.ru és minden gyerek tartomány. pl SPB.inadmin.ru

Process tartományvezérlő Locator

Először is, az algoritmus áll az alapeljárás:

  • Megtalálása tartományvezérlők regisztrált DNS
  • Küldés egy DNS-lekérdezés megtalálni tartományvezérlőinek egy adott területen
  • Küldés LDAP lekérdezés megerősíteni a működőképességét a tartományvezérlő
  • caching lekérdezés

Most nézzük meg részletesebben.

  1. Egy kliens számítógépen, hogy szeretné megtalálni a tartományvezérlő Locator kezdeményezni RPC Net Logon (DsGetDcName)
  2. Az ügyfél összegyűjti a szükséges információkat, hogy kiválassza a tartományvezérlő és információt szolgáltató Net Logon segítségével DsGetDcName API
  3. Hálózati bejelentkezés szolgáltatást használja ezt az információt, hogy kiválasszon egy tartományvezérlő a tartományban.
    • Egy DNS-név Net Logon használ DNS-lekérdezések (DNS-kompatibilis Locator) DnsQuery SRV és A rekordokat.
    • A rövid neve tartományvezérlő segítségével keresés vypolnyaetsya NT 4.0-kompatibilis Locator, amelynek alapja, például a WINS.

A tartományvezérlő a legközelebbi hely keresése

Amikor a DC Locator megpróbálja megtalálni a tartományvezérlő, megpróbálja megtalálni a legközelebbi tartományvezérlő. Ehhez használja a tárolt információk Active Directory.

Amikor egy tartományvezérlő regisztrálja a DNS-rekordok, ez teszi több helyen. Az egyik ilyen hely egy aldomain _sites, amely tárolja a helyszínek és a szerverek ilyen oldalakon. Ha van egy keresést a tartományvezérlő, az első dolog az, hogy megtaláljuk a helyén, majd más területeken (például, ha a domain-vezérlők nem érhető el az oldalon, vagy általában nincs).

Ön valószínűleg tudja, hogy összekapcsolhatja az egyes helyszínek alhálózati? Ennyi az erre a célra szükséges tenni.

Megjegyzés: Ha a számítógép nem tudja, hogy legújabb honlapon (a registry), akkor alkalmazni bármely tartományvezérlő. Van egy lehetőség, hogy hozzanak létre Netmask rendelési majd a DNS megpróbál adni a legközelebb tartományvezérlő IP csak abból a szempontból IP routing.

Active Directory helyén, és az alhálózati

Azt tanácsolom prochitatdannuyu cikket. Nagyon jól leírható Ilya helyszínek és azok kölcsönhatása. Meghatározza egyszerűen, így átírni újra -, nincs értelme

Az oldalon van egy gyűjtemény alhálózatok összekötött gyors adatcserét csatornát. Ellen használt replikációs forgalmat.

  • Az Active Directory helyek meghatározása a tárgyak a cn = Sites, CN = Configuration, dc = ForestRootDomain tartályba.
    • DC-k azonosított cn = szerverek, cn = hely_nev, cn = Sites, cn = Configuration, DC = ForestRootDomain
  • Alhálózati ez a része a helyszínen, és a szegmens által képviselt cn = alhálózatok, cn = Configuration, DC = ForestRootDomain tartályba. Minden objektumnak alhálózati siteObject attribútum társítja a tárgy a helyszínen; érték siteObject - megkülönböztető nevét az oldalon.
  • szállítási objektumok bemutatott CN = Inter-Site közlekedés, cn = Sites, CN = Configuration, dc = ForestRootDomain

Megjegyzés: Sites maguk is tartalmazhatnak egy vagy több IP-hálózatok. Van beállítva a hálózat / mask_bits formátumban. A rendszergazdának manuálisan kell határozni a helyszínek, domain vezérlők és az alhálózati.

Megjegyzés: Mivel a helyszínen tárgyakat tárolja a Configuration, ők szerte másutt az Active Directory erdő. Ez az, ami lehetővé teszi, hogy az egyes tartományokat, hogy tudja a helyét az összes tartományvezérlő az erdő és épít topológia. A Hálózati bejelentkezés szolgáltatást regisztrál változások történtek a helyszínen.

A kulcs DynamicSiteName

Megjegyzés: felülírhatja DynamicSiteName paraméter a megadott kézzel, akkor kell használni a lehetőséget webhely_neve (létrehozandó), a DynamicSiteName nem fogja használni

Így, ha a kliens csatlakozik ugyanabban a tartományban, és a helyszínen (fizikailag nem mozgott), akkor azonnal alkalmazni tartományvezérlőinek a helyszínen, mint hogy tárolja az információkat otthon. Ha a helyszín változott, a kliens frissíti, és a következő keresési fog keresni egy új helyszínen.

Oldal lefedettség

Fennáll annak a lehetősége, hogy nem minden oldalon lesz tartományvezérlő. Alapértelmezésben minden tartományvezérlő ellenőrzi az összes helyek az erdőben, és épít egy replikációs mátrixban. Mindegyik tartományvezérlő regisztrálja magát a helyek, amelyben rendelkezésre tartományvezérlő azonosított vagy legalacsonyabb költségű vegyületek. Ez biztosítja, hogy minden helyszínen lesz az alapértelmezett tartományvezérlő egyes erdőkben az erdő, akkor is, ha nincsenek tartományvezérlőinek az oldalon.

Algoritmus Oldal lefedettség

Ebben az algoritmusban, nézzük meg, hogy a tartományvezérlő van szükség annak megállapításához, hogy nem regisztrálja a szükséges rekordokat a webhelyeket, amelyek nem tartományvezérlőkön.

  • Épít egy listát a célzott helyek - ahol rendelkezésre tartományvezérlő az aktuális tartományban.
  • Épít egy listát az összes oldalak - azaz a domain-szabályozó az aktuális domain
  • Minden helyszínen, hogy nincs tartományvezérlő végzi:
    1. Épít egy listát azokról a webhelyekről, amelyek tartományvezérlők
    2. Ezek építeni egy listát azokról a webhelyekről, amelyek egy minimális értéke a helyszínek listájáról az 1. igénypont
    3. Ha egynél több, akkor csökkenteni kell egyetlen jelölt kiválasztásakor helyszínen nagyszámú CMV tartományvezérlőkön.
    4. Ha egynél több, akkor hagyja egyik jelölt, ABC sorrendben.
    5. Regisztráció SRV rekordokat a tartományvezérlő az oldalon.

Cache és időtúllépés

Gyorsítótárazza használják, hogy mi lenne kisebb valószínűséggel keresni tartományvezérlőkön. Hogyan kell tárolni az aktuális tartományvezérlő adatokat. Be van állítva a regisztrációs CloseSiteTimeout területen. Az alapértelmezett beállított idő 15 perc. (Minimum 1 perc, maximum 49 nap).

Ha az ügyfél gyorsítótár az információ nem felel meg a jelenlegi helyéről, például megváltozott az oldalon. A Net Logon szolgáltatás megpróbálja meghatározni a legközelebb tartományvezérlő az ügyfél számára.

következtetés

Miután elolvasta a két cikket kell egy általános fogalom, hogy a DNS-t, ahol tárolják. Milyen célra. Mert jó, akkor mutatják a téma további, de aztán mondtam az alapokat. Mélyebben találhatók TechNet Microsoft.