Interacțiunea director activ și dns

Mai întâi de toate, dacă înțelegeți principiile de DNS, nu este nimic descurajantă descris nu va. Precum și nu va fi nici dezasamblor și alte piese „absconse“. Tot în cadrul normale, umane, înțelegerea.

Active Directory utilizează DNS ca un mecanism de căutare pentru controlerele de domeniu, precum și alte obiecte. Alocați următoarele trei componente, pe care activitatea AD în DNS:

  • Domain Controller Locator
  • nume de domeniu Active Directory în DNS
  • obiecte Active Directory în DNS

Acum, haideți să aruncăm o privire mai atentă:

Domain Controller Locator

Prezentat de serviciu Net Logon, care permite clienților să găsească controlerele de domeniu.

nume de domeniu Active Directory în DNS

Fiecare domeniu are un nume DNS (de exemplu: inadmin.ru), ca în fiecare computer din acel domeniu are numele său DNS (de exemplu: Server01.inadmin.ru). Arhitectural, fiecare componentă este stocată în obiectul Active Directory și în nodul DNS. Există o diferență fundamentală, deși numele sunt aceleași, dar ele îndeplinesc roluri diferite.

  • DNS rezolvă numele de domeniu și de calculator de înregistrări de resurse. În acest scop, este trimisă o solicitare către serverul DNS care stochează baza de date DNS
  • Active Directory permite obiecte de domeniu. Obținut de interogând un controler de domeniu, cum ar fi interogări LDAP.

obiecte Active Directory în DNS

Când DNS este stocată în Active Directory, apoi recipientul (clasa dnsZone) este creat pentru fiecare zonă DNS. În interiorul obiectului stocate obiectele DNS (clasa dnsNode) pentru fiecare nume unic. Aceste nume unice includ modificări legate de mașina gazdă. Fiecare obiect are un dnsNode atribut cu valori multiple DNSRECORD, care cuprinde o valoare pentru fiecare înregistrare resursă asociată cu numele obiectului.

numele de computere

Alegeri serviciu browser

Numele DNS este numit numele complet sau FQDN (nume de domeniu complet calificat). FQDN se obține prin adăugarea numele computerului (primele 15 bytes sAMAccountName, fără caracterul „$“) și sufixul DNS primar (nume de domeniu DNS în care se află calculatorul). Pentru Windows, puteți vedea calea WIN + Break. În mod implicit, sufixul DNS primar la FQDN trebuie să fie identic cu numele de domeniu Active Directory, în care se află computerul. Dacă este necesar, puteți adăuga mai multe sufixe de domenii care sunt create ca atribute FDS AllowedDNSSuffixes.

Deci avem că pentru Server01.inadmin.ru

  • Prefixul - aceasta este prima parte a numelui. În exemplul meu: a Server01
  • Sufixul - a doua parte a numelui conține un domeniu, care este kompyuter.V exemplul meu: inadmin.ru

Există, de asemenea, un SPN (serviciu de nume principal), este un pic diferit. SPN se obține de obicei din numele de gazdă DNS. SPN este utilizat în procesul de autentificare reciprocă între client și server au servicii specifice. Contul de client este un cont de computer utilizând serviciul SPN. Și încearcă să se conecteze cu ea.

Active Directory în DNS

În timpul instalării înregistrărilor controlerului de domeniu A și SRV sunt înregistrate în mod dinamic în DNS. Ambele tipuri de înregistrări necesare (Domain Controller Locator) mecanism pentru a găsi controlere de domeniu. După instalarea Directory necesare înregistrări active pot fi găsite pe controlerul de domeniu.
% Systemroot% \ System32 \ Config \ Netlogon.dns.

  • subdomeniu _msdcs- este definit Microsoft. Sarcina sa este de a determina locația DC, care îndeplinește rolul opredelnnye în pădure și domeniu. Această zonă este stocată în partiția director de aplicație la nivel de pădure. Serviciul Net Logon înregistrează înregistrare SRV pentru identificarea resurselor bine-cunoscute, cum ar fi DC (Domain Controller), GC (catalog global), PDC (Primary Domain Controller), Domenii (Unique Identifier La nivel global, GUID), ambele prefixe un subdomeniu în _msdcs. Anumite subdomeniile, astfel determinate de controlere de domeniu, care sunt într-un domeniu sau pădure și îndeplinește anumite roluri. Pentru a determina locația DC în funcție de tipul sau de GUID, Windows Server sunt înregistrate SRV la următorul model:

_Service._Protocol.DcType._msdcs.DnsDomainName

  • înregistrări SRV. Atunci când este încărcat un controler de domeniu, serviciul Logon Net cu actualizări dinamice înregistrează SRV și înregistrări de pe serverul DNS. înregistrările SRV sunt folosite pentru a fixa numele serviciului (de exemplu, LDAP) pentru numele DNS al computerului pe care se execută serviciul. Atunci când o stație de lucru se conectează la un domeniu, interogări înregistrările DNS SRV pentru prezența formularul de mai jos:

Deoarece Active Directory utilizează protocolul TCP, clienții găsi un server LDAP sub forma:

înregistrări SRV înregistrate de către serviciul Net Logon

În tabelul de mai jos, vom vedea modul în care înregistrările SRV înregistrate de către serviciul Net Logon. Precum și domeniul de aplicare al înregistrărilor și care o înregistrează.

  • nume de domeniu dnsdomainname DNS în care serverul
  • nume de pădure DnsForestName DNS, și anume numele DNS al domeniului rădăcină de pădure.

Cei care au citit primul articol, pentru ei următoarele două tabele deja cunoscute.

Acesta permite unui client să găsească un server care se execută serviciul LDAP în domeniul dnsdomainname. De exemplu: _ldap._tcp.inadmin.ru

_ldap._tcp. NumeSite. _sites. Dnsdomainname.

Acesta permite unui client să găsească un server care se execută serviciul LDAP într-un domeniu în site-ul dnsdomainname NumeSite. SITENAME nume relativ, care este stocată în containerul de configurare în Active Directory. De exemplu: _ldap._tcp.Moscow._Sites.inadmin.ru

Acesta permite unui client pentru a găsi un controler de domeniu în dnsdomainname domeniu. Toate DC înregistra această înregistrare SRV.

_ldap._tcp. NumeSite. _sites.dc._msdcs. Dnsdomainname.

Acesta permite unui client pentru a găsi un controler de domeniu în domeniu în site-ul dnsdomainname NumeSite. Toate DC înregistra această înregistrare SRV.

Acesta permite unui client pentru a găsi registre de server de domeniu PDC PDC DnsDomainName.Tolko această înregistrare SRV.

Acesta permite unui client să găsească PDC în pădure registrele de server DnsForestName.Tolko GC această înregistrare SRV.

_ldap._tcp. NumeSite. _sites.gc._msdcs. DnsForestName.

Acesta permite unui client să găsească o GC în pădure serverul DnsForestName.Tolko GC deținut de pădure înregistra această înregistrare SRV. De exemplu: _ldap._tcp.Moscow._Sites._gc._msdcs.inadmin.ru

Acesta permite unui client să găsească un GC într-un domeniu dat. Numai serverul GC deținut de DnsForestName de pădure înregistra această înregistrare SRV. De exemplu: _gc._tcp.inadmin.ru

Acesta permite unui client să găsească o GC în pădure site-ul DnsForestName NumeSite. Numai serverul GC deținut de DnsForestName de pădure înregistra această înregistrare SRV. De exemplu: _gc._tcp._Moscow._Sites.inadmin.ru

_ldap._tcp. DomainGuid. domains._msdcs. DnsForestName.

Acesta permite clienților să găsească DC de GUID. GUID este un identificator unic de 128 de biți. Targetata la un moment în care dnsdomainname și DnsForestName schimbat. De exemplu: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains. _msdcs.inadmin.ru

Acesta permite clienților să găsească Kerberos KDC dnsdomainname în acest domeniu. Toate DC înregistra această înregistrare SRV.

La fel ca și _kerberos._tcp. Dnsdomainname numai peste UDP

_kerberos._tcp. NumeSite. _sites. Dnsdomainname.

Acesta permite clienților să găsească Kerberos KDC dnsdomainname în acest domeniu în site-ul NumeSite. Toate DC înregistra această înregistrare SRV.

Acesta permite clienților să găsească DC rulează rolul Kerberos KDC în acest domeniu dnsdomainname. Toate DC cu rolul KDC înregistra această înregistrare SRV.

_kerberos.tcp. NumeSite. _sites.dc._msdcs. Dnsdomainname.

Acesta permite clienților să găsească DC rulează rolul Kerberos KDC în acest domeniu în site-ul dnsdomainname NumeSite. Toate DC cu rolul KDC înregistra această înregistrare SRV.

Acesta vă permite să găsiți Kerberos schimbarea parolei pentru domeniul curent. Toate rolul DC c kerberos KDC depozit această înregistrare SRV

La fel ca și _kpassword._tcp. Dnsdomainname numai peste UDP

Doar serviciul Net Logon înregistrează un record de resurse CNAME pentru replicare Active Directory.

DC Locator nu utilizează înregistrarea. De fapt, acest post vă ajută atunci când redenumiți un controler de domeniu.

Doar la înregistrările SRV au câmpuri suplimentare:

prioritate server. Clienții încerca să se conecteze la servere cu prioritate mai mică.

Acesta este utilizat ca sarcină echilibrat servere cu aceeași prioritate. server de clienti selectate aleatoriu cu o probabilitate proporțională cu greutatea.

Serviciul de Net Logon înregistrează, de asemenea, înregistrările de resurse de tip A pentru clienții LDAP care nu acceptă înregistrări SRV. DC Locator utilizează datele de înregistrare.

nume de registru EXEMPLU

Serviciul Logon Net. așa cum am spus: registrele necesare pentru înregistrarea de detectare. Un exemplu simplu de ce înregistrări sunt actualizate sau create.

Aș dori să adaug că nu a înregistrat numai numele DNS, dar NetBIOS.

  • nume de server DNS înregistrat în serverul DNS (DC001.inadmin.ru)
  • Numele NetBIOS este înregistrat pe serverul WINS (dacă este cazul) (DC001)

Atunci când un utilizator de computer client încearcă să se conecteze la domeniu, trebuie să facă una din cele două lucruri

  • În cazul în care numele de domeniu căruia îi aparține clientului, numele DNS, computerul trebuie să interogare DNS pentru a găsi controlere de domeniu
  • În cazul în care numele de domeniu, care include client, numele NetBIOS, computerul trebuie să interogare WINS (poate fi folosit pentru a căuta numele NetBIOS mesaj difuzat) pentru a localiza un controler de domeniu

Clientul cache această înregistrare. Și păstrați-l la care nu ar mai genera trafic suplimentar și încărcarea serverului.

Zona active integrate Directory

Dacă ați citit articolul precedent, acesta poate fi omisă. Locul de stocare domeniu replicare zona DNS defineste acest domeniu. Mai multe zone de depozitare distincte.

delegare

Pentru mai multe detalii, am deschis acest subiect în prima parte a articolului. Acum, vreau să menționez doar că spațiul de nume din întreaga pădure trebuie să fie unic. Rezoluția nume ar trebui să aibă loc fără nici o problemă pentru întreaga pădure. Delegă ajută la menținerea relevanței înregistrărilor de resurse, precum și de a distribui sarcini administrative în fiecare domeniu.

În condiții normale, copilul delega spațiul de nume DNS, care coincide cu numele de domeniu Active Directory pentru copii. Este demn de amintit că, atunci când delegarea de rezolvare de nume ar trebui să aibă loc nu numai în direcția din domeniul rădăcină „în jos“, dar, de asemenea, vice-versa. Aceasta este, serverul DNS localizat în domeniul rădăcină ar trebui să fie ușor pentru a rezolva numele oricărui copil un domeniu Active Directory.

Funcționarea corectă DNS vor fi luate în considerare atunci când utilizatorii domeniului copilului Sokolniki.moscow.inadmin.ru poate rezolva nume din domeniu rădăcină Inadmin.ru și orice copil domenii. de exemplu SPB.inadmin.ru

Procesul Domain Controller Locator

În primul rând, algoritmul constă din acțiunea principală:

  • Găsirea controlere de domeniu înregistrate în DNS
  • Trimiterea unei interogări DNS pentru a găsi controlere de domeniu într-un anumit domeniu
  • Trimiterea de interogare LDAP pentru a confirma operabilitatea controlerului de domeniu
  • interogare cache

Acum, să ne uităm mai în detaliu.

  1. Pe un computer client pe care doriți să găsiți un controler de domeniu Locator pentru a iniția RPC Net Logon (DsGetDcName)
  2. Clientul colectează informațiile necesare pentru a selecta un controler de domeniu și transmite informații de serviciu Net Logon, folosind API-ul DsGetDcName
  3. Serviciul Net Logon utilizează aceste informații pentru a selecta un controler de domeniu într-un domeniu.
    • Pentru un nume DNS Net Logon utilizează interogări DNS (Locator compatibile DNS) DnsQuery pentru SRV și înregistrări A.
    • Pentru numele scurt al controlerului de domeniu cu ajutorul căutării vypolnyaetsya NT Locator 4.0 compatibil, care se bazează, de exemplu, pe WINS.

controlerul de domeniu în cel mai apropiat de căutare pe site

Când DC Locator încearcă să găsească un controler de domeniu, încearcă să găsească cel mai apropiat controler de domeniu. Pentru a face acest lucru, se utilizează informațiile stocate în Active Directory.

Atunci când un controler de domeniu înregistrează înregistrările DNS, face în mai multe locuri. Unul dintre aceste locuri este un _sites subdomeniilor, care stochează informații despre site-urile și serverele din acele site-uri. Atunci când există o căutare pentru controlerul de domeniu, primul lucru este de a găsi site-ul dvs., și apoi în alte site-uri (de exemplu, în cazul în care controlerele de domeniu nu sunt disponibile pe site-ul dvs., sau nu este, în general, nu).

Probabil știți că puteți conecta la fiecare site o subrețea? Asta este, în acest scop, este necesar să se facă.

Notă: În cazul în care computerul nu știe mai recent site-ul său (din registru), se va aplica la orice controler de domeniu. Există o opțiune pentru a seta masca de rețea de comanda si apoi DNS va încerca să dea cel mai apropiat IP controler de domeniu numai din punctul de vedere al rutare IP.

site-ul Active Directory, și subnet

Va sfatuiesc articol prochitatdannuyu. Foarte bine descris site-uri Ilya și interacțiunea lor. Descris pur și simplu, astfel încât să rescrie din nou - nu are sens

Site-ul este o colecție de subrețele conectate prin canalul de schimb rapid de date. Sunt utilizate pentru a controla traficul de replicare.

  • În site-urile Active Directory sunt definite ca obiecte în NC = Site-uri, cn = configurare, DC = ForestRootDomain container.
    • DCs identificat cn = servere, cn = SITE_NAME, cn = uri, cn = configurare, dc = ForestRootDomain
  • Subrețea această parte a site-ului și a segmentului reprezentat de cn = Subrețele, cn = configurare, dc = container ForestRootDomain. Fiecare obiect are un atribut Subnet siteObject care asociază cu obiectul site-ului; Valoarea siteObject - nume distinctiv al site-ului.
  • obiecte de transport prezentate în CN Transports = Inter-Site, cn = uri, cn = configurare, dc = ForestRootDomain

Notă: Site-urile pot conțin ele însele unul sau mai multe rețele IP. Sunt stabilite în formatul de rețea / mask_bits. Administratorul trebuie să definească manual site-uri, controlere de domeniu și subrețea.

Notă: Deoarece site-ul obiectele sunt stocate în configurație, ele sunt reproduse în întreaga pădure Active Directory. Aceasta este ceea ce permite fiecărui controler de domeniu pentru a ști locația tuturor controlerele de domeniu din pădure și de a construi topologie. Serviciul de Net Logon înregistrează ca au avut loc schimbări la site-ul.

în DynamicSiteName cheie

Notă: Puteți suprascrie parametrul DynamicSiteName la specificat manual, trebuie să utilizați opțiunea NumeSite (create), The DynamicSiteName nu va fi folosit

Astfel, în cazul în care clientul este conectat la același domeniu și site-ul (nu sunt mutate fizic), se va aplica imediat la controlerele de domeniu în site-ul, ca că stochează aceste informații la domiciliu. Dacă site-ul sa schimbat, clientul va actualiza și căutarea următoare va căuta într-un site nou.

Acoperire site-ului

Există posibilitatea ca nu toate site va fi un controler de domeniu. Implicit, fiecare controler de domeniu verifică toate site-urile din pădure și construiește o matrice de replicare. Fiecare domeniu controler registre în site-uri in care nu exista controlere de domeniu identificat sau compuși cele mai mici costuri. Acest lucru asigură că fiecare site va avea controlerul de domeniu implicit pentru fiecare domeniu în pădure, chiar dacă nu există controlere de domeniu în site-ul.

Algoritmul site-ului Acoperire

În acest algoritm, ne uităm la modul în care este necesar, controlerul de domeniu pentru a determina dacă este sau nu să înregistreze înregistrările necesare în site-urile care nu sunt controlere de domeniu.

  • Construiți o listă de site-uri vizate - în care niciun controler de domeniu pentru domeniul actual.
  • Construiți o listă a tuturor site-urilor - adică, controlerele de domeniu pentru domeniul actual
  • Pentru fiecare site care nu are controler de domeniu realizează:
    1. Construiți o listă de site-uri care au controlere de domeniu
    2. Dintre acestea, a construi o listă de site-uri care au o valoare minimă pentru site-urile din lista din revendicarea 1
    3. Dacă există mai multe, apoi se reduce la un singur candidat, alegerea unui site cu un număr mare de controlere de domeniu CMV.
    4. În cazul în care mai mult de unul, apoi lăsați un candidat, sortate în ordine alfabetică.
    5. Înregistrează-te înregistrări SRV pentru controlerul de domeniu în site-ul.

Caches și timeout

Caches sunt utilizate pentru ceea ce ar fi mai puțin probabil să se întoarcă pentru a căuta controlere de domeniu. Cum se păstrează datele actuale controler de domeniu. Este setat în câmpul de registru CloseSiteTimeout. Timpul implicit setat la 15 minute. (Minim 1 minut, maxim 49 zile).

Dacă Memoria cache stochează clientului informația nu corespunde locația curentă, de exemplu, a schimbat site-ul. Serviciul de Net Logon încearcă să determine cel mai apropiat controlerul de domeniu pentru client.

concluzie

Dupa ce a citit cele două articole ar trebui să aibă un concept general al modului în care DNS, în cazul în care acesta este stocat. În ce scop. De bine, puteți dezvălui subiectul în continuare, dar apoi i-am spus de bază. Mai profund pot fi găsite pe TechNet Microsoft.