Windows2000下DNS和活动目录关系浅析
Windows2000作为一个崭新的操作系统,它的最大特点就是引入了活动目录,而活动目录的一个最大的特点就是把DNS和活动目录紧密结合在了一起。那么两者是如何结合的,各自起什么作用呢?这往往成为困扰初学者的一个难题。在本文中,将就两者的关系作一下简要的论述,希望对大家有所帮助。
一.两者的区别
DNS和活动目录的结合是Windows2000服务器版的最主要特点。DNS域和活动目录域对不同的名字空间使用同一样的域名。因为两个名字空间使用同一个域结构,所以很轻易混淆。因此,理解它们之间的区别是很重要的。它们各自存储不同的数据,因此治理不同的对象。DNS存储它的区域和资源记录;活动目录存储域和域中的对象。
对DNS来说,域名是以DNS的层命名结构为基础的,是一种倒树型结构:一个根域,下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名(FQDN)进行识别。例如,域enet.com.cn中的名为zzz的计算机的完整域名就是zzz.bjpeu.edu.cn。
每一个与因特网连接的Windows2000域都有一个DNS名字,并且每一个Windows2000域中的计算机也都有一个DNS名字。因此,域和计算机即代表活动目录对象,又代表域节点。
但是DNS和活动目录使用各自不同的数据库解析名字:
·DNS是一种名字解析服务:DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的。DNS客户发送DNS名字查询到它们设定的DNS服务器,DNS服务器接受请求后或通过本地DNS数据库解析名字,或查询因特网上别的DNS数据库。DNS不需要活动目录就可以起作用。
·活动目录是一种目录服务:活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户通过LDAP协议(一种进入目录服务的协议)向活动目录服务器发送请求,为了定位活动目录数据库,需要借助于DNS,也就是说,活动目录把DNS作为定位服务,把活动目录服务器解析为IP地址。活动目录要发挥作用,离不开DNS。
DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。
除了要求Win2000网络的DNS服务器支持SRV资源记录外,微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议,假如没有此协议,治理员不得不手动配置域控制器产生的新的记录。新的Win2000 DNS服务即支持SRV资源记录,又支持动态升级。假如你选择其它的非Win2000 为基础的DNS服务器,那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器,在你把Win2000服务器升级为域控制器时,必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成,该文件是由活动目录智能安装向导创建的,存在于文件夹%systemroot%System32config中。
二.两者的结合方法
既然DNS和活动目录有如此大的区别,那么它们是怎样结合在一起的呢?一般来说,它们是通过以下方法实现结合的:
·活动目录域和DNS域使用一样的层次结构:虽然功能和目的不一样,一个组织的DNS名字空间和活动目录空间有着一样的结构。
·DNS区可以存储在活动目录中:假如你使用Win2000 DNS服务,那么主域可以存储在活动目录中为其它活动目录域控制器提供复制服务,并且为DNS服务提供增强的安全措施。
·活动目录客户使用DNS定位域控制器:对于一个特定的域,为了定位域控制器,活动目录客户向它们设定的DNS服务器请求资源记录。
当一个公司使用Win2000服务器版作为它们的网络操作系统时,活动目录被认为是注册的法定DNS名字根域下的一个或多个层次结构的Win2000域。
根据DNS的命名规则,DNS名字的被句点(.)分开的每一部分代表DNS树型层次结构的一个节点,并且代表Win2000域树型层次结构的一个潜在的活动目录域。DNS的根节点以空白表示(“”),活动目录名字空间的根节点没有父域,它提供活动目录的LDAP进入点。