活動目錄使用DNS作為定位來支援活動目錄提供的不同的活動目錄的服務。諸如全局編錄伺服器(GC),Kerberos,和輕量目錄負載協定。其他非微軟的服務可在DNS進行公告,包括,但是并不局限于非以微軟實作的輕量目錄負載協定和全局編錄伺服器。然而,有的時候用戶端需要聯系基于微軟的服務。由于此原因,每個域中的DNS都包含了注冊了基于微軟服務且包含了DNS的SRV紀錄的一個_msdcs子域。Netlogon程序會在每個域控制器動态注冊這些紀錄。_msdcs子域包含在森林中所有域和所有全局編錄伺服器的GUID.
如果你在一個新的森林中安裝一台運作windows server 2003的系統,并且使用Dcpromo配置他為DNS,Dcpromo會自動在DNS伺服器建立一個名稱為_msdcs.的區域。此區域配置為森林中複制到每個運作DNS的每一個域控制器上的應用目錄區域。此複制使區域在森林的任何地方保持高可用性。
------------
DNS服務中各檔案夾的含義:
_msdcs:
灰色的檔案夾,看到灰色檔案夾不要認為不正常,這裡是将_msdcs域委派給了test.com,我們點開_msdcs.test.com來看看是些什麼,msdcs下包含了四個子域dc,domain,gc和pdc。
dc和gc:
其中dc和gc是按照站點來劃分的,這也可以讓客戶機快速的找到想到找的Active Directory服務(kerberse,ldap等)我這個測試環境隻有一個site,名字為Default-first-site- name(DFSN)。那麼為什麼按照站點來劃分?我想應該和用戶端登陸過程有關,其登陸使用三種類型的資訊來嘗試找到域控制器,也就是kerberse 伺服器。這三種類型分别是域名,GUID,站點識别辨別。
按照上圖,來說明一下什麼是SRV記錄,看上圖中的_kerbers屬性。
域:DFSN._sites.dc.msdcs,這是一個子域,也就是test.com下的子域。
服務:kerberos服務
協定:使用了tcp協定
優先級:0~65535之間的數,數字越小,級别越高
權數(重):0~65535之間的數.設定附加的優先級,用于确定在應答SRV查詢中使用的目标主機的準确順序或選擇平衡
端口号:tcp使用的端口号
這個屬性面闆到底說的是什麼呢?在test.com的DFSN._sites.dc.msdcs子域中有一個使用tcp的kerberos伺服器(注意就是域可控制器)。當使用者通過tcp協定的88端口對kerberos做請求時,這台dc将做反應。
Domains:
domains下面的那些數字是domainguid,如下圖所示:_ldap._tcp.domainguid.domains._msdcs.test.com.這個屬性面闆說明,當使用者通過tcp協定的389端口對ldap進行請求時,test.com下的子域domainguid.domains._msdcs将做出反應。這個主要是用于複制。
看下圖:還剩下_sites,_tcp,_udp和其他兩個子域。 那兩個子域是存儲林資訊的,在這裡不做介紹。
_sites:
站點代表的是一個高速連接配接區域,根據DC的站點從屬關系來建立了DC索引之後,用戶端就可以檢查_SITES來尋找本地服務,而不必通過WAN來發送它們的LDAP查詢請求。标準LDAP查詢端口是389,全局編錄查詢則使用3268(如圖所示)。在site中提供三種服務,GC,Ldap,kerberos,其實Gc指的也是ldap,但是ms取了一個名字,叫Global Catalog,是與一個域的子集交流的服務。也就是site具備了除_kpasswd這外的其他所有服務。以下是其具體說明:
1,_gc._tcp.._sites.—允許客戶機找到與指定的使用活動目錄根域的站點最切合的全局目錄伺服器。
2,_kerberos._tcp.._sites.—允許客戶機找到最切合指定站點的域中的KDC。
3,_ldap._tcp.._sites.—允許客戶機在最切合指定站點的域中找到ldap伺服器
_tcp:
收集了DNS區域中的所有DC也就是提供kerberos驗證服務的伺服器。如果用戶端找不到它們特定的站點,或者具有本地SRV記錄的任何DC都沒有響應,需要尋找網絡中其他地方的DC,就應該将這些用戶端放到這個分組中。在這個子域中,可以得到AD得所有服務 gc,kerberos,kpasswd,ldap,以下是其具體說明:
1,_ldap._tcp.—允許客戶機在指定域中找到ldap伺服器
2,_gc._tcp.—允許客戶機找到使用活動目錄根域的全局目錄伺服器
3,_kerberos._tcp.—允許客戶機找到對本域的kerberosKDC服務
4,kpasswd._tcp.—允許客戶機找到域中的kerberos改變密碼服
_udp:
kerberos v5允許用戶端使用擷取票證并更改密碼。這是通過與相同服務的TCP端口對應的UDP端口來完成的,票證交換使用UDP的88端口,而密碼更改使用464。以下是其具體說明:
1,kerberos._udp。-允許客戶機找到對本域的kerberosKDC服務,使用udp
2,_kpasswd._udp.—允許客戶機找到域中的kerberos改變密碼服務,使用udp
附一份ms 工程師的解決方法
您可以按照以下步驟在2003域控制器上重建AD內建dns區域。請把domain.com替換成您的域名:
1. 控制台->管理工具,打開dns管理器,展開正向搜尋區域,右鍵單擊domain.com區域,選擇删除,在提示對話框中選擇“是”;如果存在 _msdcs.domain.com區域,右鍵單擊_msdcs.domain.com區域,選擇删除,在提示對話框中選擇“是”。
2. 在dns管理器中右鍵單擊伺服器,單擊“清除緩存”。
3. 打開AD使用者和計算機,單擊檢視菜單->進階功能,展開左邊system\MicrosoftDNS,如果存在domain.com或_msdcs.domain.com,删除它們。
4. 打開控制台->服務,停止netlogon服務。
5. 打開資料總管,删除%windir%\system32\config下netlogon.dnb, netlogon.dns。
删除%windir%\system32\dns下domain.com.dns和_msdcs.domain.com.dns(如果存在)。
6. 進入“本地連接配接“屬性,進入TCP/IP屬性,把首選dns server設為自己的ip,清除輔助dns server.
7. 打開dns管理器,右鍵單擊正向搜尋區域->建立區域,單擊主要區域,選擇“在Active Directory中存儲區域”,名稱為domain.com,其餘預設,完成。
8. 打開控制台->服務,啟動netlogon服務。
9. 進入指令行,輸入ipconfig /flushdns, 再輸入ipconfig /registerdns.
本文轉自q狼的誘惑 51CTO部落格,原文連結:http://blog.51cto.com/liangrui/346617,如需轉載請自行聯系原作者