Active Directory和DNS 的 SRV 記錄Naka 原創(chuàng)首先來(lái)看看默認(rèn)情況下AD 下的DNS:環(huán)境：win2k3ip:192.168.0.9dns:192.168.0.9域:test.

Active Directory和DNS 的 SRV 記錄

Naka 原創(chuàng)

首先來(lái)看看默認(rèn)情況下AD 下的DNS:

環(huán)境：

win2k3

ip:192.168.0.9

dns:192.168.0.9

域:test.com

完整的計(jì)算機(jī)名:cd1.test.com

DNS 建成AD

下圖可以看出，主要分兩個(gè)部分組成，名為test.com 的域在微軟的DNS 中并沒有簡(jiǎn)單的注冊(cè)成test.com ，DNS 實(shí)際上是建立tset.com 之后，在test.com 中建立了一個(gè)子域，也就是

_msdcs.test.com,然后將_msdcs區(qū)域委派給DNS Server自己(在win2k 中和win2k3有所不同) 。微軟這也做的原因有二個(gè)，我也只能猜想了（哪位知道，請(qǐng)補(bǔ)充一下）。其一是為了在多個(gè)服務(wù)器之間分配通信量負(fù)載，需要將一個(gè)大的區(qū)域分成若干小的區(qū)域，這提高了 DNS 名稱解析性能或創(chuàng)建了一個(gè)容錯(cuò)性更好的 DNS 環(huán)境。 其二，需要通過(guò)立刻添加許多子域來(lái)擴(kuò)展名稱空間，例如提供開放的新分支或站點(diǎn)。 簡(jiǎn)單來(lái)說(shuō)就是建立一個(gè)高可用性和可靠性的dns 服務(wù)系統(tǒng)。

test.com_msdcs：

灰色的文件夾，看到灰色文件夾不要認(rèn)為不正常，這里是將_msdcs域委派給了test.com ，我們點(diǎn)開_msdcs.test.com來(lái)看 看是些什么，msdcs 下包含了四個(gè)子域dc ，domain ，gc 和pdc

。

dc 和gc ：

其中dc 和gc 是按照站點(diǎn)來(lái)劃分的，這也可以讓客戶機(jī)快速的找到想到找的Active Directory服務(wù)（kerberse ，ldap 等）我這個(gè)測(cè)試環(huán)境只有一個(gè)site ，名字為Default-first-site-name(DFSN)。那么為什么按照站點(diǎn)來(lái)劃分？我想應(yīng)該和客戶端登陸過(guò)程有關(guān)，其登陸使用三種類型的信息來(lái)嘗試找到域控制器，也就是kerberse 服務(wù)器。這三種類型分別是域名，GUID ，站點(diǎn)識(shí)別標(biāo)識(shí)。 按照上圖，來(lái)說(shuō)明一下什么是SRV 記錄，看上圖中的_kerbers屬性。

域：DFSN._sites.dc.msdcs,這是一個(gè)子域，也就是test.com 下的子域。

服務(wù)：kerberos 服務(wù)

協(xié)議：使用了tcp 協(xié)議

優(yōu)先級(jí)：0～65535之間的數(shù)，數(shù)字越小，級(jí)別越高

權(quán)數(shù)（重）:0～65535之間的數(shù). 設(shè)置附加的優(yōu)先級(jí)，用于確定在應(yīng)答SRV 查詢中使用的目標(biāo)主機(jī)的準(zhǔn)確順序或選擇平衡

端口號(hào)：tcp 使用的端口號(hào)

以上詳細(xì)信息查看

這個(gè)屬性面板到底說(shuō)的是什么呢？在test.com 的DFSN._sites.dc.msdcs子域中有一個(gè)使用tcp 的kerberos 服務(wù)器（注意就是域可控制器）。當(dāng)用戶通過(guò)tcp 協(xié)議的88端口對(duì)kerberos 做請(qǐng)求時(shí)，這臺(tái)dc 將做反應(yīng)。

Domains ：

domains 下面的那些數(shù)字是domainguid ，如下圖所示：

_ldap._tcp.domainguid.domains._msdcs.test.com.這個(gè)屬性面板說(shuō)明，當(dāng)用戶通過(guò)tcp 協(xié)議的389端口對(duì)ldap 進(jìn)行請(qǐng)求時(shí)，test.com 下的子域domainguid.domains._msdcs將做出反應(yīng)。

這個(gè)主要是用于復(fù)制。

看下圖：還剩下_sites,_tcp,_udp和其他兩個(gè)子域。 那兩個(gè)子域是存儲(chǔ)林信息的，在這里不做介紹。 _sites:

站點(diǎn)代表的是一個(gè)高速連接區(qū)域，根據(jù)DC 的站點(diǎn)從屬關(guān)系來(lái)建立了DC 索引之后，客戶端就可以檢查_SITES來(lái)尋找本地服務(wù)，而不必通過(guò)WAN 來(lái)發(fā)送它們的LDAP 查詢請(qǐng)求。標(biāo)準(zhǔn)LDAP 查詢端口是389，全局編錄查詢則使用3268（如圖所示）。在site 中提供三種服務(wù)，GC ，Ldap ，kerberos ，其實(shí)Gc 指的也是ldap ，但是ms 取了一個(gè)名字，叫Global Catalog，是與一個(gè)域的子集交流的服務(wù)。也就是site 具備了除_kpasswd這外的其他所有服務(wù)。以下是其具體說(shuō)明：

1，_gc._tcp.._sites.—允許客戶機(jī)找到與指定的使用活動(dòng)目錄根域的站點(diǎn)最切合的全局目錄服務(wù)器。

2，_kerberos._tcp.._sites.—允許客戶機(jī)找到最切合指定站點(diǎn)的域中的KDC 。

3，_ldap._tcp.._sites.—允許客戶機(jī)在最切合指定站點(diǎn)的域中找到ldap 服務(wù)器

_tcp:

收集了DNS 區(qū)域中的所有DC 也就是提供kerberos 驗(yàn)證服務(wù)的服務(wù)器。如果客戶端找不到它們特定的站點(diǎn)，或者具有本地SRV 記錄的任何DC 都沒有響應(yīng)，需要尋找網(wǎng)絡(luò)中其他地方的DC ，就應(yīng)該將這些客戶端放到這個(gè)分組中。在這個(gè)子域中，可以得到AD 得所有服務(wù)

gc,kerberos,kpasswd,ldap ，以下是其具體說(shuō)明：

1，_ldap._tcp.—允許客戶機(jī)在指定域中找到ldap 服務(wù)器

2，_gc._tcp.—允許客戶機(jī)找到使用活動(dòng)目錄根域的全局目錄服務(wù)器

3，_kerberos._tcp.—允許客戶機(jī)找到對(duì)本域的kerberosKDC 服務(wù)

4，kpasswd._tcp.—允許客戶機(jī)找到域中的kerberos 改變密碼服

_udp:

kerberos v5允許客戶端使用獲取票證并更改密碼。這是通過(guò)與相同服務(wù)的TCP 端口對(duì)應(yīng)的UDP 端口來(lái)完成的, 票證交換使用UDP 的88端口，而密碼更改使用464。以下是其具體說(shuō)明： 1，kerberos._udp。－允許客戶機(jī)找到對(duì)本域的kerberosKDC 服務(wù)，使用udp

2，_kpasswd._udp.—允許客戶機(jī)找到域中的kerberos 改變密碼服務(wù)，使用udp

搞了一下午終于弄完了，這些概念和知識(shí)主要用于排錯(cuò)。

21:31 | 添加評(píng)論 | 發(fā)送消息 | 固定鏈接 | 查看引用通告 (0) | 寫入日志 | 深入了解活動(dòng)目錄 服務(wù)（SRV ）記錄

服務(wù)（SRV ）記錄

從技術(shù)上來(lái)說(shuō)，SRV 記錄是一個(gè)實(shí)驗(yàn)性的資源記錄，微軟構(gòu)造了一個(gè)服務(wù)基礎(chǔ)來(lái)消除傳統(tǒng)的NetBIOS 服務(wù)，這個(gè)基礎(chǔ)是依賴于定位提供查詢服務(wù)主機(jī)的SRV 記錄的。在舊的操作系統(tǒng)(NT4或更早) 下，主機(jī)提供什么樣的服務(wù)是通過(guò)NetBIOS 來(lái)廣播的。在新的操作系統(tǒng)即Windows2000下，則通過(guò)使用SRV 記錄來(lái)實(shí)現(xiàn)。客戶機(jī)必須認(rèn)識(shí)SRV 記錄從而通過(guò)SRV 記錄找到提供所需服務(wù)的主機(jī)，換句話說(shuō)，如果客戶機(jī)不知道該向DNS 詢問些什么，它就不會(huì)得到答案。當(dāng)客戶機(jī)能夠查詢一種類型的服務(wù)并且得到回答，它將得到一個(gè)IP 地址，以便和所請(qǐng)求的服務(wù)取得聯(lián)系。

一個(gè)實(shí)例是一個(gè)用戶通過(guò)客戶機(jī)請(qǐng)求登錄上網(wǎng)，要做到這一點(diǎn)，客戶機(jī)必須能夠確認(rèn)用戶使用了正確的域控制器。即客戶機(jī)必須知道向何處發(fā)送確認(rèn)請(qǐng)求?？蛻魴C(jī)應(yīng)向作為登錄域域控制器的服務(wù)器發(fā)送一個(gè)DNS 查詢。盡管實(shí)際的過(guò)程更為復(fù)雜，但是在域控制器被確認(rèn)后，用戶身份認(rèn)證過(guò)程會(huì)繼續(xù)。

當(dāng)DNS 能夠執(zhí)行動(dòng)態(tài)更新時(shí)，服務(wù)記錄由NETLOGON 進(jìn)程創(chuàng)建。用來(lái)保持活動(dòng)目錄結(jié)構(gòu)，否則，一些SRV 記錄必須手動(dòng)地創(chuàng)造，下面列出了一些需要SRV 記錄服務(wù)類型的例子。SRV 記錄能夠被用來(lái)廣播除了已能被查詢的服務(wù)外的其他服務(wù)。圖4-8顯示了創(chuàng)建廣播s1.example.net 主機(jī)上的HTTP 服務(wù)器的SRV 記錄的過(guò)程。

服務(wù)記錄的格式如下所示：

注意在“service”和“protocol”之間必須有一個(gè)點(diǎn)號(hào)。優(yōu)先級(jí)值(值) 很像MX 記錄的優(yōu)先級(jí)值，值越小，優(yōu)先權(quán)越高。取值的范圍從0到65535。權(quán)值(值) 用在對(duì)同一個(gè)服務(wù)有多個(gè)具有同等優(yōu)先權(quán)的記錄時(shí)，取值從1到65535，查詢被響應(yīng)的早晚與權(quán)值成正比。這樣做比用輪轉(zhuǎn)法對(duì)負(fù)載平衡的影響更先進(jìn)一些。當(dāng)不考慮負(fù)載平衡時(shí)權(quán)值被置為0。對(duì)于目標(biāo)(target)域而言，還有特殊值，即當(dāng)記錄中指示的服務(wù)在此域中被確認(rèn)為不可用時(shí)，便在目標(biāo)域中填入一個(gè)句點(diǎn)。

以下是一個(gè)SRV 記錄的例子。

一些活動(dòng)目錄所需的由SRV 記錄廣播的服務(wù)類型如下所示：

_ldap._tcp.—允許客戶機(jī)在指定域中找到ldap 服務(wù)器。

_ldap._tcp.._sites.—允許客戶機(jī)在最切合指定站點(diǎn)的域中找到ldap 服務(wù)器。

_gc._tcp.—允許客戶機(jī)找到使用活動(dòng)目錄根域的全局目錄服務(wù)器。

_gc._tcp.._sites.—允許客戶機(jī)找到與指定的使用活動(dòng)目錄根域的站點(diǎn)最切合的全局目錄服務(wù)器。

_kerberos._tcp.—允許客戶機(jī)找到對(duì)本域的kerberosKDC 服務(wù)。

_kerberos._udp.—除了使用UDP 而不是TCP 協(xié)議外同上。

_kerberos._tcp.._sites.—允許客戶機(jī)找到最切合指定站點(diǎn)的域中的KDC 。

_kpasswd._tcp.—允許客戶機(jī)找到域中的kerberos 改變密碼服務(wù)。

_kpasswd._udp.—除了使用UDP 而不是TCP 協(xié)議外同上。

注意一些用_mcdcs作為或的第一個(gè)限定詞的SRV 記錄是被用于構(gòu)造域控制器的分類和服務(wù)查詢樹的。這樣活動(dòng)目錄客戶機(jī)和服務(wù)器就能通過(guò)簡(jiǎn)單的查詢而不是一系列的鏈?zhǔn)讲樵儊?lái)定位。這與用_sites把活動(dòng)目錄中與指定名字站點(diǎn)最切合的服務(wù)定位收集在一起是很相似的。

18:59 | 添加評(píng)論 | 發(fā)送消息 | 固定鏈接 | 查看引用通告 (0) | 寫入日志 | 深入了解活動(dòng)目錄 服務(wù)位置（SRV ）資源記錄（SRVRR ）

服務(wù)位置（SRV ）資源記錄（SRVRR ）

SRVRR 是服務(wù)定位器（SRV ）資源記錄。允許使用單個(gè)DNS 查詢操作定位提供類似的基于TCP/IP服務(wù)的多個(gè)服務(wù)器。該記錄使您可為按照DNS 域名首選項(xiàng)排列的已知服務(wù)器端口和傳輸協(xié)議類型維護(hù)服務(wù)器的列表。例如，在Windows Server 2003 DNS中，它提供了通過(guò)389號(hào)TCP 端口定位使用輕型目錄訪問協(xié)議（LDAP ）服務(wù)的域控制器的方法。

在SRV 資源記錄中使用的每個(gè)專用字段的目的如下。

服務(wù)：所需服務(wù)的符號(hào)名。對(duì)于一些大家都知道的服務(wù)，保留的通用符號(hào)名（如“_telnet”或“_smtp”）在RFC 1700中定義。如果某個(gè)已知的服務(wù)名稱沒有在RFC 1700中定義，則可使用本地或用戶首選名稱。一些廣泛使用的TCP/IP服務(wù)，特別是郵局協(xié)議（POP ），沒有單獨(dú)的通用符號(hào)名稱。如果RFC 1700為本字段中指定的服務(wù)指派名稱，則RFC 定義的名稱是可合法使用的唯一名稱。只有本地定義的服務(wù)才能在本地命名。

協(xié)議：指明傳輸協(xié)議類型。盡管可使用在RFC 1700中命名的任何傳輸協(xié)議，但這一般為TCP 或UDP 。

名稱：該資源記錄所引用的DNS 域名。SRV 資源記錄在其他DNS 記錄類型中是唯一的，在DNS 記錄類型中，它不用于執(zhí)行搜索或查詢。

優(yōu)先權(quán)：為“目標(biāo)”字段中指定的主機(jī)設(shè)置首選項(xiàng)。查詢SRV 資源記錄的DNS 客戶端嘗試聯(lián)系在此列出的最低編號(hào)首選項(xiàng)的第一臺(tái)可訪問的主機(jī)。盡管目標(biāo)主機(jī)具有相同規(guī)定的首選項(xiàng)值，但它們?nèi)钥呻S機(jī)進(jìn)行嘗試。首選項(xiàng)值的范圍為0～65 535。

權(quán)重：除“首選項(xiàng)”外，它可用于提供負(fù)載平衡機(jī)制，在“目標(biāo)”字段中指定多個(gè)服務(wù)器并設(shè)為相同的優(yōu)先級(jí)。在這些相同優(yōu)先級(jí)中選擇目標(biāo)服務(wù)器主機(jī)時(shí)，這個(gè)值可用于設(shè)置附加的優(yōu)先級(jí)，用于確定在應(yīng)答SRV 查詢中使用的目標(biāo)主機(jī)的準(zhǔn)確順序或選擇平衡。使用非零值時(shí)，相同優(yōu)先級(jí)的服務(wù)器根據(jù)該值的權(quán)重按比例地進(jìn)行嘗試。值的范圍是1～65 535。如果不需要進(jìn)行加載平衡，則使用該字段中的0值以使該記錄更易于閱讀。

端口：位于提供“服務(wù)”字段中所指明服務(wù)的“目標(biāo)”主機(jī)上的服務(wù)器端口。盡管如RFC 1700中所指定的那樣，編號(hào)通常是公開指派的服務(wù)端口號(hào)，但端口編號(hào)的范圍還是0～65 535。未被指派的端口可根據(jù)需要使用。

目標(biāo)：為提供要申請(qǐng)的服務(wù)類型的主機(jī)指定DNS 域名。所使用的每個(gè)主機(jī)名都必須在DNS 名稱空間中有相應(yīng)的主機(jī)地址（A ）資源記錄?？稍谠撟侄沃惺褂脝蝹€(gè)句點(diǎn)（. ），以便權(quán)威性地指出該DNS 域名中沒有在SRV 資源記錄中所指定的待申請(qǐng)服務(wù)。

語(yǔ)法格式為：service.protocol.name ttl class SRV preference weight port target 例如：_ldap._tcp._msdcs SRV 0 0 389 dc1.example.microsoft.com。

要定位Active Directory域控制器，需要知道服務(wù)位置（SRV ）RR 。在默認(rèn)情況下，Active Directory安裝向?qū)Ц鶕?jù)首選或備用DNS 服務(wù)器列表嘗試定位DNS 服務(wù)器，這些服務(wù)器是在任何TCP/IP客戶端屬性中為任何活動(dòng)的網(wǎng)絡(luò)連接配置的。如果聯(lián)系了可以接受SRVRR （以及有關(guān)在DNS 中將Active Directory注冊(cè)為一項(xiàng)服務(wù)的其他RR ）動(dòng)態(tài)更新的DNS 服務(wù)器，則配置過(guò)程就完成了。 如果在安裝過(guò)程中無(wú)法找到可以接受用于命名Active Directory的DNS 域名更新的DNS 服務(wù)器，該向?qū)Э稍诒镜匕惭bDNS 服務(wù)器，并使用支持Active Directory域的區(qū)域自動(dòng)配置它。例如，如

果您為樹林中的第一個(gè)域選擇的Active Directory域是example.microsoft.com ，那么在DNS 域名example.microsoft.com 上確立的區(qū)域?qū)⒈惶砑硬⑴渲脼榕c運(yùn)行在新域控制器上的DNS 服務(wù)器一同使用。

不論是否在本地安裝DNS 服務(wù)器服務(wù)，在Active Directory安裝過(guò)程中將寫入和創(chuàng)建文件

（Netlogon.dns ），該過(guò)程包含支持Active Directory使用所需的SRVRR 和其他RR 。該文件在systemrootSystem32Config文件夾中創(chuàng)建。

如果您打算使用符合下列描述之一的DNS 服務(wù)器，則應(yīng)使用Netlogon.dns 中的記錄手動(dòng)配置該服務(wù)器上的主要區(qū)域以支持Active Directory。

操作DNS 服務(wù)器的計(jì)算機(jī)正在另一個(gè)平臺(tái)上（如UNIX ）運(yùn)行，并且不能接受或識(shí)別動(dòng)態(tài)更新。 該計(jì)算機(jī)上的DNS 服務(wù)器不是與Windows Server 2003家族一起提供的DNS 服務(wù)器服務(wù)，它對(duì)于Active Directory域的DNS 域名對(duì)應(yīng)的主要區(qū)域具有權(quán)威性。

如同Internet 草案“指定服務(wù)（DNSSRV ）位置的DNSRR”中所定義的那樣，DNS 服務(wù)器支持SRVRR ，但不支持動(dòng)態(tài)更新。例如，Windows NT Server 4.0提供的DNS 服務(wù)器服務(wù)在更新到Service Pack4或更高版本時(shí)符合該描述。