Active Directory和DNS 的 SRV 記錄Naka 原創(chuàng)首先來看看默認情況下AD 下的DNS:環(huán)境：win2k3ip:192.168.0.9dns:192.168.0.9域:test.

Active Directory和DNS 的 SRV 記錄

Naka 原創(chuàng)

首先來看看默認情況下AD 下的DNS:

環(huán)境：

win2k3

ip:192.168.0.9

dns:192.168.0.9

域:test.com

完整的計算機名:cd1.test.com

DNS 建成AD

下圖可以看出，主要分兩個部分組成，名為test.com 的域在微軟的DNS 中并沒有簡單的注冊成test.com ，DNS 實際上是建立tset.com 之后，在test.com 中建立了一個子域，也就是

_msdcs.test.com,然后將_msdcs區(qū)域委派給DNS Server自己(在win2k 中和win2k3有所不同) 。微軟這也做的原因有二個，我也只能猜想了（哪位知道，請補充一下）。其一是為了在多個服務(wù)器之間分配通信量負載，需要將一個大的區(qū)域分成若干小的區(qū)域，這提高了 DNS 名稱解析性能或創(chuàng)建了一個容錯性更好的 DNS 環(huán)境。 其二，需要通過立刻添加許多子域來擴展名稱空間，例如提供開放的新分支或站點。 簡單來說就是建立一個高可用性和可靠性的dns 服務(wù)系統(tǒng)。

test.com_msdcs：

灰色的文件夾，看到灰色文件夾不要認為不正常，這里是將_msdcs域委派給了test.com ，我們點開_msdcs.test.com來看 看是些什么，msdcs 下包含了四個子域dc ，domain ，gc 和pdc

。

dc 和gc ：

其中dc 和gc 是按照站點來劃分的，這也可以讓客戶機快速的找到想到找的Active Directory服務(wù)（kerberse ，ldap 等）我這個測試環(huán)境只有一個site ，名字為Default-first-site-name(DFSN)。那么為什么按照站點來劃分？我想應(yīng)該和客戶端登陸過程有關(guān)，其登陸使用三種類型的信息來嘗試找到域控制器，也就是kerberse 服務(wù)器。這三種類型分別是域名，GUID ，站點識別標識。 按照上圖，來說明一下什么是SRV 記錄，看上圖中的_kerbers屬性。

域：DFSN._sites.dc.msdcs,這是一個子域，也就是test.com 下的子域。

服務(wù)：kerberos 服務(wù)

協(xié)議：使用了tcp 協(xié)議

優(yōu)先級：0～65535之間的數(shù)，數(shù)字越小，級別越高

權(quán)數(shù)（重）:0～65535之間的數(shù). 設(shè)置附加的優(yōu)先級，用于確定在應(yīng)答SRV 查詢中使用的目標主機的準確順序或選擇平衡

端口號：tcp 使用的端口號

以上詳細信息查看

這個屬性面板到底說的是什么呢？在test.com 的DFSN._sites.dc.msdcs子域中有一個使用tcp 的kerberos 服務(wù)器（注意就是域可控制器）。當用戶通過tcp 協(xié)議的88端口對kerberos 做請求時，這臺dc 將做反應(yīng)。

Domains ：

domains 下面的那些數(shù)字是domainguid ，如下圖所示：

_ldap._tcp.domainguid.domains._msdcs.test.com.這個屬性面板說明，當用戶通過tcp 協(xié)議的389端口對ldap 進行請求時，test.com 下的子域domainguid.domains._msdcs將做出反應(yīng)。

這個主要是用于復(fù)制。

看下圖：還剩下_sites,_tcp,_udp和其他兩個子域。 那兩個子域是存儲林信息的，在這里不做介紹。 _sites:

站點代表的是一個高速連接區(qū)域，根據(jù)DC 的站點從屬關(guān)系來建立了DC 索引之后，客戶端就可以檢查_SITES來尋找本地服務(wù)，而不必通過WAN 來發(fā)送它們的LDAP 查詢請求。標準LDAP 查詢端口是389，全局編錄查詢則使用3268（如圖所示）。在site 中提供三種服務(wù)，GC ，Ldap ，kerberos ，其實Gc 指的也是ldap ，但是ms 取了一個名字，叫Global Catalog，是與一個域的子集交流的服務(wù)。也就是site 具備了除_kpasswd這外的其他所有服務(wù)。以下是其具體說明：

1，_gc._tcp.._sites.—允許客戶機找到與指定的使用活動目錄根域的站點最切合的全局目錄服務(wù)器。

2，_kerberos._tcp.._sites.—允許客戶機找到最切合指定站點的域中的KDC 。

3，_ldap._tcp.._sites.—允許客戶機在最切合指定站點的域中找到ldap 服務(wù)器

_tcp:

收集了DNS 區(qū)域中的所有DC 也就是提供kerberos 驗證服務(wù)的服務(wù)器。如果客戶端找不到它們特定的站點，或者具有本地SRV 記錄的任何DC 都沒有響應(yīng)，需要尋找網(wǎng)絡(luò)中其他地方的DC ，就應(yīng)該將這些客戶端放到這個分組中。在這個子域中，可以得到AD 得所有服務(wù)

gc,kerberos,kpasswd,ldap ，以下是其具體說明：

1，_ldap._tcp.—允許客戶機在指定域中找到ldap 服務(wù)器

2，_gc._tcp.—允許客戶機找到使用活動目錄根域的全局目錄服務(wù)器

3，_kerberos._tcp.—允許客戶機找到對本域的kerberosKDC 服務(wù)

4，kpasswd._tcp.—允許客戶機找到域中的kerberos 改變密碼服

_udp:

kerberos v5允許客戶端使用獲取票證并更改密碼。這是通過與相同服務(wù)的TCP 端口對應(yīng)的UDP 端口來完成的, 票證交換使用UDP 的88端口，而密碼更改使用464。以下是其具體說明： 1，kerberos._udp。－允許客戶機找到對本域的kerberosKDC 服務(wù)，使用udp

2，_kpasswd._udp.—允許客戶機找到域中的kerberos 改變密碼服務(wù)，使用udp

搞了一下午終于弄完了，這些概念和知識主要用于排錯。

21:31 | 添加評論 | 發(fā)送消息 | 固定鏈接 | 查看引用通告 (0) | 寫入日志 | 深入了解活動目錄 服務(wù)（SRV ）記錄

服務(wù)（SRV ）記錄

從技術(shù)上來說，SRV 記錄是一個實驗性的資源記錄，微軟構(gòu)造了一個服務(wù)基礎(chǔ)來消除傳統(tǒng)的NetBIOS 服務(wù)，這個基礎(chǔ)是依賴于定位提供查詢服務(wù)主機的SRV 記錄的。在舊的操作系統(tǒng)(NT4或更早) 下，主機提供什么樣的服務(wù)是通過NetBIOS 來廣播的。在新的操作系統(tǒng)即Windows2000下，則通過使用SRV 記錄來實現(xiàn)?？蛻魴C必須認識SRV 記錄從而通過SRV 記錄找到提供所需服務(wù)的主機，換句話說，如果客戶機不知道該向DNS 詢問些什么，它就不會得到答案。當客戶機能夠查詢一種類型的服務(wù)并且得到回答，它將得到一個IP 地址，以便和所請求的服務(wù)取得聯(lián)系。

一個實例是一個用戶通過客戶機請求登錄上網(wǎng)，要做到這一點，客戶機必須能夠確認用戶使用了正確的域控制器。即客戶機必須知道向何處發(fā)送確認請求。客戶機應(yīng)向作為登錄域域控制器的服務(wù)器發(fā)送一個DNS 查詢。盡管實際的過程更為復(fù)雜，但是在域控制器被確認后，用戶身份認證過程會繼續(xù)。

當DNS 能夠執(zhí)行動態(tài)更新時，服務(wù)記錄由NETLOGON 進程創(chuàng)建。用來保持活動目錄結(jié)構(gòu)，否則，一些SRV 記錄必須手動地創(chuàng)造，下面列出了一些需要SRV 記錄服務(wù)類型的例子。SRV 記錄能夠被用來廣播除了已能被查詢的服務(wù)外的其他服務(wù)。圖4-8顯示了創(chuàng)建廣播s1.example.net 主機上的HTTP 服務(wù)器的SRV 記錄的過程。

服務(wù)記錄的格式如下所示：

注意在“service”和“protocol”之間必須有一個點號。優(yōu)先級值(值) 很像MX 記錄的優(yōu)先級值，值越小，優(yōu)先權(quán)越高。取值的范圍從0到65535。權(quán)值(值) 用在對同一個服務(wù)有多個具有同等優(yōu)先權(quán)的記錄時，取值從1到65535，查詢被響應(yīng)的早晚與權(quán)值成正比。這樣做比用輪轉(zhuǎn)法對負載平衡的影響更先進一些。當不考慮負載平衡時權(quán)值被置為0。對于目標(target)域而言，還有特殊值，即當記錄中指示的服務(wù)在此域中被確認為不可用時，便在目標域中填入一個句點。

以下是一個SRV 記錄的例子。

一些活動目錄所需的由SRV 記錄廣播的服務(wù)類型如下所示：

_ldap._tcp.—允許客戶機在指定域中找到ldap 服務(wù)器。

_ldap._tcp.._sites.—允許客戶機在最切合指定站點的域中找到ldap 服務(wù)器。

_gc._tcp.—允許客戶機找到使用活動目錄根域的全局目錄服務(wù)器。

_gc._tcp.._sites.—允許客戶機找到與指定的使用活動目錄根域的站點最切合的全局目錄服務(wù)器。

_kerberos._tcp.—允許客戶機找到對本域的kerberosKDC 服務(wù)。

_kerberos._udp.—除了使用UDP 而不是TCP 協(xié)議外同上。

_kerberos._tcp.._sites.—允許客戶機找到最切合指定站點的域中的KDC 。

_kpasswd._tcp.—允許客戶機找到域中的kerberos 改變密碼服務(wù)。

_kpasswd._udp.—除了使用UDP 而不是TCP 協(xié)議外同上。

注意一些用_mcdcs作為或的第一個限定詞的SRV 記錄是被用于構(gòu)造域控制器的分類和服務(wù)查詢樹的。這樣活動目錄客戶機和服務(wù)器就能通過簡單的查詢而不是一系列的鏈式查詢來定位。這與用_sites把活動目錄中與指定名字站點最切合的服務(wù)定位收集在一起是很相似的。

18:59 | 添加評論 | 發(fā)送消息 | 固定鏈接 | 查看引用通告 (0) | 寫入日志 | 深入了解活動目錄 服務(wù)位置（SRV ）資源記錄（SRVRR ）

服務(wù)位置（SRV ）資源記錄（SRVRR ）

SRVRR 是服務(wù)定位器（SRV ）資源記錄。允許使用單個DNS 查詢操作定位提供類似的基于TCP/IP服務(wù)的多個服務(wù)器。該記錄使您可為按照DNS 域名首選項排列的已知服務(wù)器端口和傳輸協(xié)議類型維護服務(wù)器的列表。例如，在Windows Server 2003 DNS中，它提供了通過389號TCP 端口定位使用輕型目錄訪問協(xié)議（LDAP ）服務(wù)的域控制器的方法。

在SRV 資源記錄中使用的每個專用字段的目的如下。

服務(wù)：所需服務(wù)的符號名。對于一些大家都知道的服務(wù)，保留的通用符號名（如“_telnet”或“_smtp”）在RFC 1700中定義。如果某個已知的服務(wù)名稱沒有在RFC 1700中定義，則可使用本地或用戶首選名稱。一些廣泛使用的TCP/IP服務(wù)，特別是郵局協(xié)議（POP ），沒有單獨的通用符號名稱。如果RFC 1700為本字段中指定的服務(wù)指派名稱，則RFC 定義的名稱是可合法使用的唯一名稱。只有本地定義的服務(wù)才能在本地命名。

協(xié)議：指明傳輸協(xié)議類型。盡管可使用在RFC 1700中命名的任何傳輸協(xié)議，但這一般為TCP 或UDP 。

名稱：該資源記錄所引用的DNS 域名。SRV 資源記錄在其他DNS 記錄類型中是唯一的，在DNS 記錄類型中，它不用于執(zhí)行搜索或查詢。

優(yōu)先權(quán)：為“目標”字段中指定的主機設(shè)置首選項。查詢SRV 資源記錄的DNS 客戶端嘗試聯(lián)系在此列出的最低編號首選項的第一臺可訪問的主機。盡管目標主機具有相同規(guī)定的首選項值，但它們?nèi)钥呻S機進行嘗試。首選項值的范圍為0～65 535。

權(quán)重：除“首選項”外，它可用于提供負載平衡機制，在“目標”字段中指定多個服務(wù)器并設(shè)為相同的優(yōu)先級。在這些相同優(yōu)先級中選擇目標服務(wù)器主機時，這個值可用于設(shè)置附加的優(yōu)先級，用于確定在應(yīng)答SRV 查詢中使用的目標主機的準確順序或選擇平衡。使用非零值時，相同優(yōu)先級的服務(wù)器根據(jù)該值的權(quán)重按比例地進行嘗試。值的范圍是1～65 535。如果不需要進行加載平衡，則使用該字段中的0值以使該記錄更易于閱讀。

端口：位于提供“服務(wù)”字段中所指明服務(wù)的“目標”主機上的服務(wù)器端口。盡管如RFC 1700中所指定的那樣，編號通常是公開指派的服務(wù)端口號，但端口編號的范圍還是0～65 535。未被指派的端口可根據(jù)需要使用。

目標：為提供要申請的服務(wù)類型的主機指定DNS 域名。所使用的每個主機名都必須在DNS 名稱空間中有相應(yīng)的主機地址（A ）資源記錄?？稍谠撟侄沃惺褂脝蝹€句點（. ），以便權(quán)威性地指出該DNS 域名中沒有在SRV 資源記錄中所指定的待申請服務(wù)。

語法格式為：service.protocol.name ttl class SRV preference weight port target 例如：_ldap._tcp._msdcs SRV 0 0 389 dc1.example.microsoft.com。

要定位Active Directory域控制器，需要知道服務(wù)位置（SRV ）RR 。在默認情況下，Active Directory安裝向?qū)Ц鶕?jù)首選或備用DNS 服務(wù)器列表嘗試定位DNS 服務(wù)器，這些服務(wù)器是在任何TCP/IP客戶端屬性中為任何活動的網(wǎng)絡(luò)連接配置的。如果聯(lián)系了可以接受SRVRR （以及有關(guān)在DNS 中將Active Directory注冊為一項服務(wù)的其他RR ）動態(tài)更新的DNS 服務(wù)器，則配置過程就完成了。 如果在安裝過程中無法找到可以接受用于命名Active Directory的DNS 域名更新的DNS 服務(wù)器，該向?qū)Э稍诒镜匕惭bDNS 服務(wù)器，并使用支持Active Directory域的區(qū)域自動配置它。例如，如

果您為樹林中的第一個域選擇的Active Directory域是example.microsoft.com ，那么在DNS 域名example.microsoft.com 上確立的區(qū)域?qū)⒈惶砑硬⑴渲脼榕c運行在新域控制器上的DNS 服務(wù)器一同使用。

不論是否在本地安裝DNS 服務(wù)器服務(wù)，在Active Directory安裝過程中將寫入和創(chuàng)建文件

（Netlogon.dns ），該過程包含支持Active Directory使用所需的SRVRR 和其他RR 。該文件在systemrootSystem32Config文件夾中創(chuàng)建。

如果您打算使用符合下列描述之一的DNS 服務(wù)器，則應(yīng)使用Netlogon.dns 中的記錄手動配置該服務(wù)器上的主要區(qū)域以支持Active Directory。

操作DNS 服務(wù)器的計算機正在另一個平臺上（如UNIX ）運行，并且不能接受或識別動態(tài)更新。 該計算機上的DNS 服務(wù)器不是與Windows Server 2003家族一起提供的DNS 服務(wù)器服務(wù)，它對于Active Directory域的DNS 域名對應(yīng)的主要區(qū)域具有權(quán)威性。

如同Internet 草案“指定服務(wù)（DNSSRV ）位置的DNSRR”中所定義的那樣，DNS 服務(wù)器支持SRVRR ，但不支持動態(tài)更新。例如，Windows NT Server 4.0提供的DNS 服務(wù)器服務(wù)在更新到Service Pack4或更高版本時符合該描述。