實(shí)現(xiàn)林間的選擇性身份驗(yàn)證 . .....................................................................................

實(shí)現(xiàn)林間的選擇性身份驗(yàn)證 . ..........................................................................................................2

了解存根區(qū)域 . ...............................................................................................................................2

關(guān)于DNS 客戶端的“備用DNS 服務(wù)器”..........................................................................................5

實(shí)現(xiàn)林間的選擇性身份驗(yàn)證

在創(chuàng)建林信任時可以選擇“全林性身份驗(yàn)證”和“選擇性身份驗(yàn)證”兩種身份驗(yàn)證級別。其中“全林性身份驗(yàn)證”是由系統(tǒng)自動對跨林的用戶在訪問本地林時進(jìn)行身份驗(yàn)證，不須要管理員干預(yù)，一般用在兩個林都屬于同一個組織的情況下；但如果兩個林分屬不同的組織，那么最好不要選擇“全林性身份驗(yàn)證”，而應(yīng)使用“選擇性身份驗(yàn)證”。

當(dāng)使用了“選擇性身份驗(yàn)證”的身份驗(yàn)證級別后，我們應(yīng)手工指定被信任域的用戶所能夠訪問信任域中的特定的資源。

要讓被信任域的指定用戶可以訪問信任域的資源，要在信任域中的計(jì)算機(jī)屬性里設(shè)置允許被信任域的用戶可以得到驗(yàn)證。

具體做法：

◆ 設(shè)置“AD 用戶與計(jì)算機(jī)”管理工具，使其顯示高級屬性；

◆ 在信任域中，找到允許被信任域的用戶能夠訪問的計(jì)算機(jī)對象，右擊，選擇屬性并找到安全

選項(xiàng)卡；

◆ 添加被信任域的指定用戶，并勾選“允許身份驗(yàn)證”；

◆ 這時，被信任域的指定用戶就可以訪問信任域中的指定計(jì)算機(jī)了。

了解存根區(qū)域

存根區(qū)域是一個區(qū)域副本，只包含標(biāo)識該區(qū)域的權(quán)威域名系統(tǒng) (DNS) 服務(wù)器所需的那些資源記錄。存根區(qū)域用于使主持父區(qū)域的 DNS 服務(wù)器知道其子區(qū)域的權(quán)威 DNS 服務(wù)器，從而保持 DNS 名稱解析效率。

存根區(qū)域由以下部分組成：

委派區(qū)域的起始授權(quán)機(jī)構(gòu) (SOA) 資源記錄、名稱服務(wù)器 (NS) 資源記錄和粘附 A 資源記錄。

可用來更新存根區(qū)域的一個或多個主服務(wù)器的 IP 地址。 存根區(qū)域的主服務(wù)器是對于子區(qū)域具有權(quán)威性的一個或多個 DNS 服務(wù)器，通常 DNS 服務(wù)器主持委派域名的主要區(qū)域。

詳細(xì)信息，請參閱使用存根區(qū)域。

存根區(qū)域解析

DNS 客戶端在宿主存根區(qū)域的 DNS 服務(wù)器上執(zhí)行遞歸查詢操作時，DNS 服務(wù)器會使用該存根區(qū)域中的資源記錄來解析查詢。DNS 服務(wù)器向存根區(qū)域的 NS 資源記錄中指定的權(quán)威 DNS 服務(wù)器發(fā)送迭代查詢，仿佛在使用其緩存中的 NS 資源記錄一樣。如果 DNS 服務(wù)器找不到其存根區(qū)域中的權(quán)威 DNS 服務(wù)器，那么主持該存根區(qū)域的 DNS 服務(wù)器會嘗試使用根提示進(jìn)行標(biāo)準(zhǔn)遞歸。

DNS 服務(wù)器將從存根區(qū)域中列出的權(quán)威 DNS 服務(wù)器接收的資源記錄存儲在它的緩存中，但不會將這些資源記錄存儲在存根區(qū)域本身，只有查詢響應(yīng)中返回的粘附 A 資源記錄存儲在存根區(qū)域中。存儲在緩存中的資源記錄按照每個資源記錄中的生存時間 (TTL) 的值進(jìn)行緩存。不寫入緩存的 SOA、NS 和粘附 A 資源記錄，按照在存根區(qū)域的 SOA 記錄中指定的過期間隔過期，該過期間隔是在創(chuàng)建存根區(qū)域期間創(chuàng)建的，在從原始主要區(qū)域向存根區(qū)域傳輸期間更新。

如果查詢是迭代查詢，DNS 服務(wù)器會返回一個包含存根區(qū)域中指定的服務(wù)器的參考信息。

宿主父區(qū)域和子區(qū)域的 DNS 服務(wù)器之間的通信

僅當(dāng)將這些新的 DNS 服務(wù)器的資源記錄添加到 DNS 服務(wù)器主持的父區(qū)域時，已向另一個 DNS 服務(wù)器上的子區(qū)域委派域的 DNS 服務(wù)器，才可了解該子區(qū)域的新的權(quán)威 DNS 服務(wù)器。這是一個手動過程，要求不同的 DNS 服務(wù)器的管理員經(jīng)常通信。使用存根區(qū)域，主持其委派域之一的存根區(qū)域的 DNS 服務(wù)器可在該存根區(qū)域更新時獲取該子區(qū)域的權(quán)威 DNS 服務(wù)器的更新。更新是從主持該存根區(qū)域的 DNS 服務(wù)器執(zhí)行的，不需要與主持該子區(qū)域的 DNS 服務(wù)器的管理員取得聯(lián)系。下面的示例將對該功能加以說明。

存根區(qū)域方案

父區(qū)域 example.com 的權(quán)威 DNS 服務(wù)器已經(jīng)向單獨(dú)的 DNS 服務(wù)器委派了一個子域

widgets.example.com 。最初執(zhí)行域 widgets.example.com 的委派時，父區(qū)域只包含

widgets.example.com 區(qū)域的權(quán)威 DNS 服務(wù)器的兩個 NS 記錄。隨后，子區(qū)域的管理員將其他 DNS 服務(wù)器配置為該區(qū)域的權(quán)威服務(wù)器，但不通知主持父區(qū)域 example.com 的 DNS 服務(wù)器的管理員。結(jié)果，主持父區(qū)域 example.com 的 DNS 服務(wù)器不知道它的子區(qū)域的新的權(quán)威 DNS 服務(wù)器，并繼續(xù)只查詢它知道的兩個權(quán)威 DNS 服務(wù)器。

為父區(qū)域 example.com 配置權(quán)威 DNS 服務(wù)器，使其為委派的域 widgets.example.com 主持一個存根區(qū)域，這樣做使上面這種情況得到補(bǔ)救。example.com 的權(quán)威 DNS 服務(wù)器的管理員更新該存根區(qū)域時，它會查詢該存根區(qū)域的主服務(wù)器，以獲取 widgets.example.com 的權(quán)威 DNS 服務(wù)器資源記錄。結(jié)果，父區(qū)域的權(quán)威 DNS 服務(wù)器將了解有關(guān) widgets.example.com 子區(qū)域的新的權(quán)威 DNS 服務(wù)器的信息，并能夠向該子區(qū)域的所有權(quán)威 DNS 服務(wù)器執(zhí)行遞歸。

下圖演示了與父區(qū)域使用同一 DNS 服務(wù)器主持的存根區(qū)域是如何更新該子區(qū)域的權(quán)威服務(wù)器的。

使用存根區(qū)域

使用存根區(qū)域可執(zhí)行以下操作：

?

?

? 使委派的區(qū)域信息保持最新。 通過定期更新它的一個子區(qū)域的存根區(qū)域，主持父區(qū)域和存根區(qū)域的 DNS 服務(wù)器將維護(hù)該子區(qū)域的權(quán)威 DNS 服務(wù)器的當(dāng)前列表。 改進(jìn)名稱解析。 存根區(qū)域使 DNS 服務(wù)器能夠使用存根區(qū)域的名稱服務(wù)器列表執(zhí)行遞歸，而無需查詢 Internet 或 DNS 名稱空間的內(nèi)部根服務(wù)器。 簡化 DNS 管理。 在整個 DNS 結(jié)構(gòu)中使用存根區(qū)域可為區(qū)域分發(fā)權(quán)威 DNS 服務(wù)器的列表，

而不用使用輔助區(qū)域。但是，存根區(qū)域與輔助區(qū)域的用途不同，考慮冗余和負(fù)載共享時，存根區(qū)域不是備用區(qū)域。

加載和維護(hù)存根區(qū)域涉及兩個 DNS 服務(wù)器列表：

? DNS 服務(wù)器從其加載和更新存根區(qū)域的主服務(wù)器列表。主服務(wù)器可以是區(qū)域的主要或輔助

DNS 服務(wù)器。在兩種情況下，它將擁有區(qū)域的 DNS 服務(wù)器的完整列表。

? 區(qū)域的權(quán)威 DNS 服務(wù)器列表。該列表包含在使用名稱服務(wù)器 (NS) 資源記錄的存根區(qū)域中。 DNS 服務(wù)器加載存根區(qū)域（例如，widgets.example.com ）時，它查詢主服務(wù)器（它可位于不同的位置），尋找區(qū)域 widgets.example.com 的權(quán)威服務(wù)器的必要資源記錄。主服務(wù)器列表可包含一個或多個服務(wù)器，可隨時更改。詳細(xì)信息，請參閱為本地主服務(wù)器配置存根區(qū)域。

存根區(qū)域更新

存根區(qū)域更新涉及下列條件： ?

?

?

?

? DNS 服務(wù)器加載存根區(qū)域時，它查詢區(qū)域的主服務(wù)器尋找 SOA 資源記錄、區(qū)域的根目錄的 NS 資源記錄和 A 資源記錄。 存根區(qū)域更新期間，主持存根區(qū)域的 DNS 服務(wù)器查詢主服務(wù)器，尋找存根區(qū)域加載期間請求的同一資源記錄類型。 SOA 資源記錄的刷新間隔確定主持存根區(qū)域的 DNS 服務(wù)器何時將嘗試區(qū)域傳輸（更新）。 如果更新失敗，SOA 資源記錄的重試間隔將確定何時重試更新。 一旦重試間隔到期而未成功更新，在 SOA 資源記錄的“截止期限”字段中指定的到期時間

將確定 DNS 服務(wù)器何時停止使用存根區(qū)域數(shù)據(jù)。

使用 Microsoft 管理控制臺 (MMC) 中的 DNS 控制臺可執(zhí)行下列存根區(qū)域更新操作：

?

?

? 重新加載。 從主持存根區(qū)域的 DNS 服務(wù)器的本地存儲器重新加載存根區(qū)域。 從主服務(wù)器傳送。 讓主持存根區(qū)域的 DNS 服務(wù)器確定存根區(qū)域的 SOA 資源記錄中的序列號是否已到期，然后從存根區(qū)域的主服務(wù)器執(zhí)行區(qū)域傳輸。 從主服務(wù)器重新加載。 從存根區(qū)域的主服務(wù)器執(zhí)行區(qū)域傳輸，不管存根區(qū)域的 SOA 資源記

錄中的序列號是多少。

驗(yàn)證“首選”和“備用DNS 服務(wù)器”的工作原理：

環(huán)境準(zhǔn)備： ?

?

?

?

?

? 客戶端的DNS 設(shè)置指向兩臺DNS 服務(wù)器 DNS 服務(wù)器1添加兩個主要區(qū)域，一個abc.com ，另一個是aa.com DNS 服務(wù)器2添加三個區(qū)域，一個是abc.com 的輔助區(qū)域，第二個是aa.com 主要區(qū)域，第三個是bb.com 主要區(qū)域 在第一臺DNS 服務(wù)器的abc.com 區(qū)域內(nèi)建立一條A 記錄“www”，對應(yīng)IP 是1.1.1.1 在第二臺DNS 服務(wù)器的aa.com 區(qū)域新建一條A 記錄“www”，對應(yīng)IP 是2.2.2.2 在第二臺DNS 服務(wù)器的bb.com 區(qū)域新建一條A 記錄“www”，對應(yīng)IP 是3.3.3.3 注：下面的驗(yàn)證過程每一次都要使用“ipconfig /flushdns”命令清空本機(jī)的DNS 緩存。 驗(yàn)證： 1. 當(dāng)兩臺DNS 服務(wù)器工作正常并聯(lián)機(jī)時，客戶端通過ping 可以正確解釋上面建立的三條主機(jī)

記錄

2. 斷開其中一臺DNS 服務(wù)器（那一臺都可以），客戶端通過ping 可以正常解釋“www.abc.com”

記錄

o 默認(rèn)情況下，客戶機(jī)會找第一臺DNS 進(jìn)行域名解釋

o 如果斷開的是第一臺，客戶機(jī)將會尋找第二臺DNS 服務(wù)器進(jìn)行域名解釋，并將第二

臺DNS 服務(wù)器設(shè)置為主要的DNS 服務(wù)器。（也就是說下一次進(jìn)行域名解釋時，會

直接找第二臺DNS 服務(wù)器而不是第一臺。除非第二臺脫機(jī)，或無法解釋，才會找回

原來的第一臺，在第一臺正常的情況下把第一臺DNS 服務(wù)器設(shè)置為主DNS 服務(wù)器） o 如果斷開的是第二臺，對該例子來說沒有影響，第一臺已經(jīng)可以正常解釋了

3. 假設(shè)現(xiàn)在第一臺DNS 服務(wù)器是主DNS 服務(wù)器，客戶端ping“www.aa.com”，可以發(fā)現(xiàn)并不

能正常解釋該域名

o 由于現(xiàn)在第一臺DNS 服務(wù)器是主服務(wù)器，客戶端可以找到該服務(wù)器，并且該服務(wù)器

上有“aa.com”區(qū)域，但沒有“www”這條主機(jī)記錄，所以客戶端收到錯誤信息，并且不

會去找第二臺DNS 服務(wù)器，即使在第二臺DNS 服務(wù)器上有該主機(jī)記錄！

o 如果這時斷開第一臺服務(wù)器后，客戶端再去重復(fù)上述過程，將能正確解釋該域名，

并將第二臺服務(wù)器設(shè)置為主DNS 服務(wù)器。

4. 假設(shè)現(xiàn)在還是第一臺DNS 服務(wù)器是主服務(wù)器，客戶端ping“www.bb.com”，可以發(fā)現(xiàn)能夠正

常解釋

o 由于第一臺DNS 服務(wù)器并不維護(hù)bb.com 區(qū)域，所以客戶端去找第二臺DNS 服務(wù)

器，并把第二臺DNS 服務(wù)器設(shè)置為主服務(wù)器

5. 如果兩臺DNS 服務(wù)器都脫機(jī)，客戶端將不能正常解釋，除非使用緩存。但客戶機(jī)仍然會記

住上一次的主DNS 服務(wù)器，并在下一次請求域名解釋時去找主DNS 服務(wù)器。

注：上述過程請不要使用nslookup 命令去驗(yàn)證，因?yàn)閚slookup 命令僅用于驗(yàn)證DNS 服務(wù)器工作是否正常；而ping 命令是最方便的驗(yàn)證域名解釋的工具；當(dāng)然也可以使用其它方法，例如使用IE 瀏覽器，只不過這時還需要自己搭建web 服務(wù)。