На първо място, ако разбирате принципите на DNS. няма нищо обезсърчително описан няма. Както и няма да има Disassembler и други "неясни" парчета. Всичко в рамките на нормалното, човешки, разбиране.

Active Directory използва DNS като механизъм за търсене на домейн контролери, както и други обекти. Разпределяне на следните три компонента, на които работят АД в DNS:

• Домейн контролер локатор
• имена на домейни Active Directory в DNS
• Directory обекти Активни в DNS

Сега нека да погледнем по-отблизо:

Домейн контролер локатор

Представено услуга NET LOGON, което позволява на клиентите да намерят домейн контролерите.

имена на домейни Active Directory в DNS

Всеки домейн има име на DNS (например: inadmin.ru), като всеки компютър в този домейн има своя DNS име (например: Server01.inadmin.ru). В архитектурно отношение, всеки компонент се съхранява в обекта на Active Directory и в DNS възел. Има една основна разлика, въпреки че имената са едни и същи, но те изпълняват различни роли.

• DNS решава имена на домейни и компютър на записи за ресурси. За тази цел се изпраща заявка към DNS сървър, който съхранява база данни DNS
• Active Directory позволява обекти на домейни. Може да се получи чрез справка с домейн контролер, като заявки за LDAP.

Directory обекти Активни в DNS

Когато DNS се съхранява в Active Directory, а след това на контейнера (dnsZone клас) е създаден за всеки DNS зона. Вътре обект съхранява DNS обекти (dnsNode клас) за всяко уникално име. Тези уникални имена включват промени, свързани с хост машината. Всеки обект има атрибут dnsNode с няколко стойности DNSRECORD, който включва стойността на всеки ресурс рекорд, свързан с името на обекта.

имената на компютърни

Изборите Browser Service

име DNS се нарича пълно име или FQDN (пълно домейн име). FQDN се получава чрез добавяне на името на компютъра (първите 15 байта SAMAccountName, без характер "$") и първичен DNS наставка (името DNS домейн, в която се намира на компютъра) на. За Windows, можете да видите пътя WIN + Break. По подразбиране, основната DNS наставка към FQDN трябва да е същото като името на Active Directory домейн, в който се намира компютърът. Ако е необходимо, можете да добавите още суфикси на домейни, които са създадени като атрибути MSDS-AllowedDNSSuffixes.

Така че ние имаме, че за Server01.inadmin.ru

• Префикс - това е първата част от името. В моя пример: Server01
• Суфикс - втората част от името съдържа домейн, който е kompyuter.V моя пример: inadmin.ru

Освен това има и SPN (услуга главница име), е малко по-различно. SPN обикновено се получава от името на DNS хост. SPN се използва в процеса на взаимно удостоверяване между клиента и сървъра да има специфични услуги. Клиентски профил е компютърен акаунт, като използвате SPN услуга. И се опитва да се свърже с нея.

Active Directory в DNS

По време на инсталацията на записите на домейн контролер и SRV са динамично регистрирано в DNS. И двата вида записи, необходими за (Domain контролер локатор) механизъм за намиране на домейн контролери. След като инсталирате Directory изисква записи може да се намери на домейн контролера.
% SystemRoot% \ System32 \ Config \ Netlogon .dns.

• _msdcs- поддомейн се определя на Microsoft. Нейната задача е да се определи местоположението на DC, която изпълнява opredelnnye роля в гората и домейн. Тази зона се съхранява в горите се отнася за целия указател дял. Net услуга Logon регистрира SRV запис за идентифициране на общоизвестни ресурси като DC (Domain Controller), GC (Global каталог), PDC (основния домейн контролер), домейни (глобално уникален идентификатор, GUID), и двете представки за поддомейн _msdcs. Някои така определената поддомейни на домейн контролери, които са в домейн или горски и изпълнява определени роли. За да се определи местоположението на DC по вид или по GUID, Windows Server са регистрирани SRV на следния модел:

_Service._Protocol.DcType._msdcs.DnsDomainName

• SRV записи. Когато един домейн контролер е заредена, на Net услуга Logon с динамично актуализиране регистрира SRV и записи на DNS сървър. SRV записи се използват за осигуряване на името на услугата (например LDAP) за името на DNS на компютъра, на който работи услугата. Когато една работна станция се свързва към домейн, той запитва записите на DNS SRV за наличието на следния вид:

Тъй като Active Directory използва протокола TCP, клиентите намерят LDAP сървър в следния вид:

SRV записи, регистрирани от услугата Net Logon

В таблицата по-долу, ние ще видим как записите на SRV регистрирани от Net услуга Logon. Както и в обхвата на записите и кой я регистрира.

• име DnsDomainName DNS домейн, в който сървърът
• DnsForestName DNS име на горите, т.е. DNS име на горски основния домейн.

Тези, които са прочели първата статия, за тях през следващите няколко маси вече са известни.

Това позволява на клиента да намери сървър работи с услугата LDAP в DnsDomainName домейн. Например: _ldap._tcp.inadmin.ru

_ldap._tcp. ИмеНаСайт. _sites. DnsDomainName.

Това позволява на клиента да намери сървър работи с услугата LDAP в домейн в DnsDomainName ИмеНаСайт сайт. ИмеНаСайт относително име, която се съхранява в контейнера за конфигуриране в Active Directory. Например: _ldap._tcp.Moscow._Sites.inadmin.ru

Това позволява на клиента да се намери домейн контролер в DnsDomainName на домейна. Всички DC регистрирате този SRV запис.

_ldap._tcp. ИмеНаСайт. _sites.dc._msdcs. DnsDomainName.

Това позволява на клиента да се намери домейн контролер в областта на DnsDomainName ИмеНаСайт сайт. Всички DC регистрирате този SRV запис.

Това позволява на клиента да се намери PDC домейн PDC DnsDomainName.Tolko сървърни регистри този SRV запис.

Това позволява на клиента да открие PDC в горските DnsForestName.Tolko GC сървърни регистрите на този SRV запис.

_ldap._tcp. ИмеНаСайт. _sites.gc._msdcs. DnsForestName.

Това позволява на клиента да се намери GC в гора DnsForestName.Tolko GC сървър, собственост на гората се регистрирате този SRV запис. Например: _ldap._tcp.Moscow._Sites._gc._msdcs.inadmin.ru

Това позволява на клиента да се намери GC в даден домейн. Само GC сървър, собственост на DnsForestName горския регистрирате този SRV запис. Например: _gc._tcp.inadmin.ru

Това позволява на клиента да се намери GC в гора DnsForestName ИмеНаСайт сайт. Само GC сървър, собственост на DnsForestName горския регистрирате този SRV запис. Например: _gc._tcp._Moscow._Sites.inadmin.ru

_ldap._tcp. DomainGuid. domains._msdcs. DnsForestName.

Тя позволява на потребителите да намерят DC с GUID. GUID е 128-битово уникален идентификатор. Насочени в момент, когато DnsDomainName и DnsForestName променило. Например: _ldap._tcp.4f904480-7c78-11cf-b057-00aa006b4f8f.domains. _msdcs.inadmin.ru

Тя позволява на потребителите да намерят Kerberos KDC DnsDomainName в тази област. Всички DC регистрирате този SRV запис.

Същото като _kerberos._tcp. DnsDomainName само над UDP

_kerberos._tcp. ИмеНаСайт. _sites. DnsDomainName.

Тя позволява на потребителите да намерят Kerberos KDC DnsDomainName в тази област в сайта ИмеНаСайт. Всички DC регистрирате този SRV запис.

Тя позволява на потребителите да намерят DC работи ролята на Kerberos KDC в тази DnsDomainName домейн. Всички DC с ролята KDC регистрирате този SRV запис.

_kerberos.tcp. ИмеНаСайт. _sites.dc._msdcs. DnsDomainName.

Тя позволява на потребителите да намерят DC работи ролята на Kerberos KDC в тази област в DnsDomainName ИмеНаСайт сайт. Всички DC с ролята KDC регистрирате този SRV запис.

Тя ви позволява да намерите Kerberos за промяна на паролата за текущия домейн. Всички DC в ролята Kerberos KDC подаване тази SRV запис

Същото като _kpassword._tcp. DnsDomainName само над UDP

Просто Net услуга за влизане регистрира рекордно CNAME ресурс за репликация Active Directory.

DC Locator не използва записа. В действителност, този пост помага, когато се преименува домейн контролер.

Точно в записите на SRV има допълнителни полета:

приоритет на сървъра. Клиенти опитват да се свържат със сървърите с по-нисък приоритет.

Той се използва като балансиране на натоварването, сървъри с еднакъв приоритет. Клиенти на сървъра избран на случаен принцип с вероятност, пропорционална на теглото.

Net услуга Logon също регистрира ресурсни записи от тип А за клиентите LDAP, които не поддържат SRV записи. DC Locator използва за запис на данни.

Имената Пример регистър

Net Logon услуга. както казахме регистрира необходимо за записване на откриване. Прост пример за това, записите са актуализирани или създаден.

Бих искал да добавя, че не само регистрирани DNS имена, но NetBIOS.

• Име на DNS сървъра, регистрирано в DNS сървър (DC001.inadmin.ru)
• NetBIOS име е регистриран на сървър WINS (ако има такива) (DC001)

Когато клиент компютър потребител се опитва да влезете в областта, тя трябва да направите едно от следните две неща

• Ако името на домейна, към който принадлежи на клиента, име на DNS, компютърът трябва да задава въпроси, за да намерите DNS домейн контролери
• Ако името на домейна, който включва клиент, NetBIOS име, компютърът трябва да задава въпроси WINS (може да се използва за търсене на NetBIOS име излъчва съобщение), за да намерите домейн контролер

Клиентът кешира този запис. И я държи, че вече няма да се генерира допълнителен трафик и натоварване на сървъра.

зона Active Directory-интегрирана

Ако сте чели предишната статия, тя може да бъде пропуснато. Място съхранение обхват DNS зона репликация определя тази област. Няколко различни складови площи.

делегация

За повече подробности, аз отворих тази тема в първата част на статията. Сега искам да спомена само, че пространството от имена в цялата гора трябва да бъде уникален. Резолюция на име трябва да се проведе без никакви проблеми за цялата гора. Делегиране помага за поддържането на уместността на записи за ресурси, както и за разпространение на административни задачи във всяка област.

При нормални обстоятелства, детето делегира DNS пространство от имена, което съвпада с името на Active Directory дете домейн. Струва си да припомним, че когато делегацията на резолюция име трябва да се проведе не само в посока от основния домейн "надолу", но също така и обратното. Това е, DNS сървър, намиращ се в основния домейн трябва да бъде лесен за решаване на имената на всяко дете на Directory домейн Active.

Правилното функциониране DNS ще бъдат взети под внимание при потребителите на Sokolniki.moscow.inadmin.ru дете домейн може да разреши имена в основния домейн Inadmin.ru и всички поддомейни на. например SPB.inadmin.ru

Процес Domain Controller Locator

На първо място, алгоритъмът се състои от главното действие:

• Намирането на домейн контролери, регистрирани в DNS
• Изпращане на заявка DNS да се намери на домейн контролери в даден домейн
• Изпращането на LDAP заявки за потвърждаване на работоспособността на домейн контролера
• кеширане на заявката

Сега нека да разгледаме по-подробно.

1. На клиентски компютър, който искате да намерите на домейн контролер Locator да започне RPC Net Logon (DsGetDcName)
2. Клиентът събира необходимата информация, за да изберете домейн контролер и предава информация услуга Net Logon, използвайки DsGetDcName API
3. Net услуга Logon използва тази информация, за да изберете домейн контролер в домейн.
   • За име на DNS Net Logon използва запитвания DNS (DNS-съвместим Locator) DnsQuery за SRV и записи.
   • За краткото име на домейн контролера с помощта на търсене vypolnyaetsya NT 4.0-съвместим Locator, която се основава, например върху печели.

домейн контролера в най-близкото търсене в сайта

Когато DC Locator опитва да намери домейн контролер, той се опитва да намери най-близкия домейн контролера. За да направите това, тя използва информацията, съхранявана в Active Directory.

Когато един домейн контролер регистрира записите на DNS, тя го прави на няколко места. Едно от тези места е поддомейн _sites, който съхранява информация за обектите и сървърите в тези сайтове. Когато има търсене на домейн контролера, първото нещо е да се намери в сайта си, а след това и в други сайтове (например, ако домейн контролерите не са налични в сайта си, или по принцип няма).

Вероятно знаете, че можете да се свържете с всеки сайт подмрежа? Това е всичко за тази цел е необходимо да се направи.

Забележка: Когато компютърът не знае най-новия си уебсайт (от регистъра), тя ще се прилага за всеки домейн контролер. Има възможност да се създаде мрежова маска поръчка и след това на DNS ще се опитам да дам най-близкото домейн контролер ПР само от гледна точка на ПР маршрута.

сайт Active Directory и подмрежата

Съветвам prochitatdannuyu статия. Много добре е описано Иля сайтове и тяхното взаимодействие. Описан просто, така да се пренапише отново - няма смисъл

Сайтът е колекция от подмрежи, свързани с обмен канал бързо данни. Да не се използва за контрол на репликацията на трафика.

• В сайтовете на Active Directory се дефинират като обекти в КН = сайтове, CN = конфигурация, DC = ForestRootDomain контейнери.
  • DCs идентифицирани КН = сървъри, CN = SITE_NAME, CN = сайтове, CN = Конфигурация DC = ForestRootDomain
• Подмрежата тази част на обекта и сегмента, представено с CN = подмрежи, CN = Конфигурация DC = ForestRootDomain контейнер. Всеки обект има подмрежата siteObject атрибут, който го свързва с обекта на обекта; стойност siteObject - уникалното име на сайта.
• транспортни обекти, представени в КН Превоз = Inter-сайта, CN = сайтове, CN = Configuration, DC = ForestRootDomain

Забележка: Сайтовете може да се съдържат една или повече IP мрежи. Са разположени в мрежа / mask_bits формат. Администраторът трябва ръчно да се определят обектите, контролери на домейни и подмрежа.

Забележка: Тъй като обектите на площадката се съхраняват в конфигурация, те са разпространени в Directory гората Active. Това е, което позволява на всеки домейн контролер, за да се знае местоположението на всички домейн контролери в гората и да се изгради топология. Услугата Net Logon регистрира като са настъпили промени в сайта.

в ключов DynamicSiteName

Забележка: Можете да замените параметър DynamicSiteName до посочения ръчно, трябва да използвате опцията ИмеНаСайт (бъдат създадени), на DynamicSiteName няма да бъде използвана

По този начин, ако клиентът е свързан към същия домейн и сайта (не физически преместен), то веднага ще се прилага по отношение на домейн контролери в сайта, тъй като че тя съхранява тази информация, като у дома си. Ако сайтът е променило, клиентът ще се актуализира и следващата търсенето ще се търсят в нов сайт.

Покритие на сайта

Има възможност, че не всеки сайт ще бъде домейн контролер. По подразбиране, всеки домейн контролер проверява всички обекти в гората и изгражда репликация матрица. Всеки контролер себе си регистри домейни в места, в които не домейн контролери идентифицирани или най-ниската цена съединения. Това гарантира, че всеки обект ще има контролер на стандартния домейн за всеки домейн в гората, дори и ако няма домейн контролери в сайта.

Алгоритъм Покритие на сайта

В този алгоритъм, гледаме как домейн контролера е необходимо да се определи дали да се регистрират необходимите записи в сайтове, които не са на домейн контролери.

• Създайте списък с целеви сайтове - при което не са контролери за текущия домейн.
• Създайте списък с всички сайтове - това е, домейн контролерите за текущия домейн
• За всеки обект, който няма домейн контролер изпълнява:
  1. Създайте списък със сайтове, които имат домейн контролери
  2. От тях съставите списък със сайтове, които имат минимална стойност за обектите от списъка на претенция 1
  3. Ако повече от един, а след това се намали, за да е налице единствен кандидат, избор на сайт с голям брой контролери CMV домейни.
  4. Ако повече от един, след което се оставя един кандидат, подредени по азбучен ред.
  5. Регистрирайте SRV записи за домейн контролера в сайта.

Кеш и изчакване

Кеш се използват за това, което би било по-малко вероятно да се обърнат, за да търсите домейн контролери. Как да се запишете данните за текущата домейн контролер. Се намира в областта на системния регистър CloseSiteTimeout. Времето за неизпълнение, до 15 минути. (Минимална една минута, максимум 49 дни).

Ако кеш магазина на клиента информацията, не съответстват на текущото местоположение, например променен на сайта. Услугата Net Logon се опитва да се определи най-близкото домейн контролера за клиента.

заключение

След прочитане на двата члена трябва да има обща концепция за това как DNS, където се съхранява. За какви цели. За добро, може да разкрие темата по-нататък, но след това казах на основните неща. По-дълбоко може да се намери на TechNet Microsoft.