什么是域名系统(DNS)
域名系统(DNS),从一般意义上讲是一种将主机名或域名解析为相应IP地址的手段。
在 AD 的中,DNS 服务维护 DNS 域和子域的工作命名空间,这些域和子域主要有助于查找过程,它有助于识别和查找任何私有 AD 环境中的各种资源。
DNS 服务器在 AD 域和站点中协同运行,以实现用户和计算机的名称解析以及其他功能,在大多数情况下,没有单个 DNS 服务器可以执行所有基本服务,因此 DNS 服务器在逻辑上组合在一个分层网络中,以便在 AD 网络中实现无缝的 DNS 服务。
AD如何使用DNS的服务
AD 对 DNS 的依赖可以通过以下几点来理解:
- DC定位器流程
- DNS 资源记录
- DNS 区域和区域文件
- DNS 和 LDAP
DC定位器流程
域控制器 (DC) 是 AD 环境中的主要身份验证和授权服务器,它是安装了 AD DS 服务器角色的服务器。
要使用 AD 的核心服务(即查找、验证和授权用户访问以及修改任何 AD 对象,例如用户、组或计算机),DNS 服务器用于“查找”相应 AD 站点中可用的 DC。
以下是 DC 如何定位的简要说明:
- DNS 协议是 TCP/IP 协议套件应用层的一部分,用于定位和联系最近的 DC。
- 客户端计算机向 DNS 服务器发送 DNS 查询以进行 DNS 解析,DNS 服务器是使用客户端计算机上的 TCP/IP 配置设置来标识的。
- DNS 服务器使用与请求匹配的 DNS 记录列表来响应此请求,它通常包含所请求域中所有可用 DC 的列表。
- 客户端计算机验证此响应(称为 SRV 记录),并根据分配给该记录的优先级和权重选择一个 DC。
- 客户端发出第二个 DNS 查询,请求 DNS 服务器提供所选 DC 的 IP 地址。
- DNS 服务器检查 A 记录,并使用相应的 IP 地址响应客户端请求。
- 有了这些信息,客户端就会联系 DC 并启动通信。
DNS 资源记录
DNS服务器负责维护DNS数据库中各种类型的数据记录。
在 DNS 数据库中保存的许多资源记录中,对于 DC 定位器进程,服务位置记录(SRV 记录)至关重要。
如上一节中有关 DC 定位器过程的部分中简要介绍的那样,客户端计算机对 DNS 服务器提供的多个 SRV 记录进行排序,作为对其第一个 DNS 查询的响应。每条记录都有一个关联的服务器主机名,可能提供客户端所需的服务。
在某些情况下,可能会向任何给定域中的客户端提供来自所有 AD 站点的多个 SRV 记录,以获取所需服务,在这种情况下,将检查与每个服务记录关联的权重和优先级信息,并选择分配给它的优先级较低的记录。
对于具有相同优先级的记录,将选择相对权重较低的记录,以允许管理员进行负载平衡。
客户端计算机使用与此选定 SRV 记录关联的主机服务器名称继续执行获取所选 DC 的 IP 地址的下一步。
选择合适的 DC 后,来自客户端计算机的第二个 DNS 查询将请求 DNS 服务器发送包含所选 DC 的 IP 信息的 A 记录(主机记录)。因此,A 记录是 DNS 为 DC 定位器进程维护的其他关键资源记录。
DNS 区域和区域文件
SRV 记录和 A 记录不是 DNS 服务器上维护的唯一资源记录,DNS 服务器数据库中存储了近 90 条官方资源记录,其中许多也对 AD 功能有益。在介绍任何其他资源记录之前,了解 DNS 区域和区域文件会派上用场,以便了解记录在服务器中的存储方式。
DNS 区域是 DNS 命名空间的管理派生,由 AD 管理员管理和控制,用于存储和复制可修改的 DNS 数据,Active Directory 集成的 DNS 区域是 AD 数据库目录分区的一部分,称为应用程序分区。
从物理意义上讲,这些区域以文本文件或“区域”文件的形式包含数据或 DNS 相关信息,DNS 区域所表示的域和子域的 DNS 数据记录存储在这些文本文件中。
在逻辑 AD 体系结构中,这些区域表示容器对象组,其中包含多个其他 AD 对象,存储在 AD 中的每个唯一名称都由唯一的 DNS 节点对象标识。DNS 记录是分配给这些对象的多值属性。
DNS 区域可分为以下几类:
- 存储区域数据主副本的主要区域。
- 存储区域数据只读副本的辅助区域。
- 仅包含有限资源记录的存根区域,用于标识权威服务器。
- AD-DNS 集成区域,这些区域将 DNS 数据存储在 AD 数据库中,并使用 AD 的复制模型修改任何特定 DC 上的 DNS 数据,从而将其反映在 AD 林中的所有 DC 中。
DNS 和 LDAP
每个 AD 对象都由唯一的命名标准标识。
这些可分辨名称(DN)到 IP 地址的解析是在 LDAP 的帮助下进行的,此协议在 AD 环境中用于搜索每个 AD 对象并修改或管理与目录服务的通信,而无需知道资源的确切位置或 IP 地址。这是可能的,因为 AD 服务与 DNS 集成。
LDAP 身份验证过程使用存储在 LDAP 服务器数据库中的 DNS 条目,该数据库称为目录系统代理或 DSA,在身份验证的两个阶段中,解析和验证 DN 和密码。如果提供的凭据与 LDAP 数据库中存储的凭据匹配,则服务器将验证并授权用户访问各种网络资源。
可以看到 AD 对 DNS 的相互依赖性非常广泛,AD 的工作原理详尽地建立在 DNS 框架之上。
DNS 数据极易受到安全威胁,AD 集成的 DNS 区域容易受到各种安全渗透尝试的影响,拒绝服务攻击、DNS 欺骗和 DNS 劫持是网络攻击者破坏组织 DNS 服务器的众多方式中的一部分,应仔细监控 Active Directory,并有效执行AD-DNS集成以确保安全性。对 AD-DNS 体系结构的攻击如果不加以预防或至少得到有效管理,可能会严重损害组织的安全状况。