Active Directory 和域名系统(DNS)的相互关系

news2024/11/19 2:46:37

什么是域名系统(DNS)

域名系统(DNS),从一般意义上讲是一种将主机名或域名解析为相应IP地址的手段。

在 AD 的中,DNS 服务维护 DNS 域和子域的工作命名空间,这些域和子域主要有助于查找过程,它有助于识别和查找任何私有 AD 环境中的各种资源。

DNS 服务器在 AD 域和站点中协同运行,以实现用户和计算机的名称解析以及其他功能,在大多数情况下,没有单个 DNS 服务器可以执行所有基本服务,因此 DNS 服务器在逻辑上组合在一个分层网络中,以便在 AD 网络中实现无缝的 DNS 服务。

AD如何使用DNS的服务

AD 对 DNS 的依赖可以通过以下几点来理解:

  • DC定位器流程
  • DNS 资源记录
  • DNS 区域和区域文件
  • DNS 和 LDAP

DC定位器流程

域控制器 (DC) 是 AD 环境中的主要身份验证和授权服务器,它是安装了 AD DS 服务器角色的服务器。

要使用 AD 的核心服务(即查找、验证和授权用户访问以及修改任何 AD 对象,例如用户、组或计算机),DNS 服务器用于“查找”相应 AD 站点中可用的 DC。

以下是 DC 如何定位的简要说明

  • DNS 协议是 TCP/IP 协议套件应用层的一部分,用于定位和联系最近的 DC。
  • 客户端计算机向 DNS 服务器发送 DNS 查询以进行 DNS 解析,DNS 服务器是使用客户端计算机上的 TCP/IP 配置设置来标识的。
  • DNS 服务器使用与请求匹配的 DNS 记录列表来响应此请求,它通常包含所请求域中所有可用 DC 的列表。
  • 客户端计算机验证此响应(称为 SRV 记录),并根据分配给该记录的优先级和权重选择一个 DC。
  • 客户端发出第二个 DNS 查询,请求 DNS 服务器提供所选 DC 的 IP 地址。
  • DNS 服务器检查 A 记录,并使用相应的 IP 地址响应客户端请求。
  • 有了这些信息,客户端就会联系 DC 并启动通信。

在这里插入图片描述

DNS 资源记录

DNS服务器负责维护DNS数据库中各种类型的数据记录。

在 DNS 数据库中保存的许多资源记录中,对于 DC 定位器进程,服务位置记录(SRV 记录)至关重要。

如上一节中有关 DC 定位器过程的部分中简要介绍的那样,客户端计算机对 DNS 服务器提供的多个 SRV 记录进行排序,作为对其第一个 DNS 查询的响应。每条记录都有一个关联的服务器主机名,可能提供客户端所需的服务。

在某些情况下,可能会向任何给定域中的客户端提供来自所有 AD 站点的多个 SRV 记录,以获取所需服务,在这种情况下,将检查与每个服务记录关联的权重和优先级信息,并选择分配给它的优先级较低的记录。

对于具有相同优先级的记录,将选择相对权重较低的记录,以允许管理员进行负载平衡。

客户端计算机使用与此选定 SRV 记录关联的主机服务器名称继续执行获取所选 DC 的 IP 地址的下一步。

选择合适的 DC 后,来自客户端计算机的第二个 DNS 查询将请求 DNS 服务器发送包含所选 DC 的 IP 信息的 A 记录(主机记录)。因此,A 记录是 DNS 为 DC 定位器进程维护的其他关键资源记录。

DNS 区域和区域文件

SRV 记录和 A 记录不是 DNS 服务器上维护的唯一资源记录,DNS 服务器数据库中存储了近 90 条官方资源记录,其中许多也对 AD 功能有益。在介绍任何其他资源记录之前,了解 DNS 区域和区域文件会派上用场,以便了解记录在服务器中的存储方式。

DNS 区域是 DNS 命名空间的管理派生,由 AD 管理员管理和控制,用于存储和复制可修改的 DNS 数据,Active Directory 集成的 DNS 区域是 AD 数据库目录分区的一部分,称为应用程序分区。

从物理意义上讲,这些区域以文本文件或“区域”文件的形式包含数据或 DNS 相关信息,DNS 区域所表示的域和子域的 DNS 数据记录存储在这些文本文件中。

在逻辑 AD 体系结构中,这些区域表示容器对象组,其中包含多个其他 AD 对象,存储在 AD 中的每个唯一名称都由唯一的 DNS 节点对象标识。DNS 记录是分配给这些对象的多值属性。

DNS 区域可分为以下几类

  • 存储区域数据主副本的主要区域。
  • 存储区域数据只读副本的辅助区域。
  • 仅包含有限资源记录的存根区域,用于标识权威服务器。
  • AD-DNS 集成区域,这些区域将 DNS 数据存储在 AD 数据库中,并使用 AD 的复制模型修改任何特定 DC 上的 DNS 数据,从而将其反映在 AD 林中的所有 DC 中。

DNS 和 LDAP

每个 AD 对象都由唯一的命名标准标识。

这些可分辨名称(DN)到 IP 地址的解析是在 LDAP 的帮助下进行的,此协议在 AD 环境中用于搜索每个 AD 对象并修改或管理与目录服务的通信,而无需知道资源的确切位置或 IP 地址。这是可能的,因为 AD 服务与 DNS 集成。

LDAP 身份验证过程使用存储在 LDAP 服务器数据库中的 DNS 条目,该数据库称为目录系统代理或 DSA,在身份验证的两个阶段中,解析和验证 DN 和密码。如果提供的凭据与 LDAP 数据库中存储的凭据匹配,则服务器将验证并授权用户访问各种网络资源。

可以看到 AD 对 DNS 的相互依赖性非常广泛,AD 的工作原理详尽地建立在 DNS 框架之上。

DNS 数据极易受到安全威胁,AD 集成的 DNS 区域容易受到各种安全渗透尝试的影响,拒绝服务攻击、DNS 欺骗和 DNS 劫持是网络攻击者破坏组织 DNS 服务器的众多方式中的一部分,应仔细监控 Active Directory,并有效执行AD-DNS集成以确保安全性。对 AD-DNS 体系结构的攻击如果不加以预防或至少得到有效管理,可能会严重损害组织的安全状况。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1233410.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

最新绿豆APP源码苹果CMS影视插件版本/原生JAVA源码+反编译开源+免授权

源码简介: 最新绿豆APP源码苹果CMS影视插件版本,它是原生JAVA源码反编译开源免授权,绿豆影视对接苹果CMS,它可以支持多功能自定义DIY页面布局。 1、新版绿豆视频APP视频6.1插件版反编译指南及教程 2、后端插件开源,可…

archery修改为不能自提自审核上线SQL

目录 背景修改代码效果参考 背景 我和同事都可以提交上线SQL,但是不能自己提交的SQL自己去审核通过。目前的情况是可以自提自审。 修改代码 找到/opt/archery/sql/utils/workflow_audit.py文件 ...省略...# 判断用户当前是否是可审核staticmethoddef can_revie…

windows如何查看自己的ip地址

windows如何查看自己的ip地址 1.打开控制面板 2.进入网络和internet 3.进入网络共享中心 4.点击以太网进入网络详情页,或邮件已连接的网络,点击属性 5.查看ipv4地址就是当前机器ip

prometheus基本介绍 prometheus和zabbix的区别 grafana可视化工具

一、 promethues概念prometheus介绍promethues的特点prometheus的工作原理prometheus的架构 二、promethues和zabbix的区别三、prometheus安装部署prometheus下载安装prometheus启动浏览器访问查看暴露指标将Prometheus配置为systemd管理 配置node_exporter监控项node_promethe…

深入探讨软件测试技术:方法、工具与最佳实践

💂 个人网站:【 海拥】【神级代码资源网站】【办公神器】🤟 基于Web端打造的:👉轻量化工具创作平台💅 想寻找共同学习交流的小伙伴,请点击【全栈技术交流群】 引言 软件测试是软件开发生命周期中至关重要的…

微信小程序会议OA-登录获取手机号流程登录-小程序导入微信小程序SDK(从微信小程序和会议OA登录获取手机号到登录小程序导入微信小程序SDK)

目录 获取用户昵称头像和昵称 wx.getUserProfile bindgetuserinfo 登录过程 登录-小程序 wx.checkSession wx.login wx.request 后台 准备数据表 反向生成工具生成 准备封装前端传过来的数据 小程序服器配置 导入微信小程序SDK application.yml WxProperties …

对OpenAI CEO奥特曼突然被解雇事件的一些分析

今天也来凑个热闹,说说OpenAI的事。本来不想写的,但是看到自媒体又开始胡说八道,所以根据我自己得到的消息和理解说一说我的看法,这篇文章要是有个小姐姐解说录成视频,那肯定火了,但是我现在没资源&#xf…

OpenAI政变背后是科学家创始人的悲歌

OpenAI政变背后是科学家创始人的悲歌 去年11月突然推出ChatGPT震惊世界的OpenAI,在整整一年后以闪电解职CEO再次震惊世界。 有不少人以为这拿的是乔布斯的剧本,错了,这其实是天才科学家奋力一击的故事。 OpenAI的灵魂人物不是CEO Sam Al…

Vue3入门(与Vue2进行对比)

1. Vue2 选项式 API vs Vue3 组合式API 特点: 代码量变少分散式维护变成集中式维护 2. Vue3的优势 使用create-vue搭建Vue3项目 1. 认识create-vue create-vue是Vue官方新的脚手架工具,底层切换到了 vite (下一代前端工具链)&…

2023APMCM亚太杯/小美赛数学建模竞赛优秀论文模板分享

一、模板介绍 二、注意事项 将论文划分小节时,应避免在小节中出现大段的文字叙述,这样的叙述会妨碍评委在浏览论文时掌握论文的要点。重要的句子,包括首次定义的概念,用黑体书写。 重要的数学公式应另起新行单独列出。建模所用的…

使用activiti部署提示不是 ‘NCName‘ 的有效值

排查发现是整个流程图的,流程名称没有填写 修改之后就可以了

Redis篇---第十二篇

系列文章目录 文章目录 系列文章目录前言一、Memcache与Redis的区别都有哪些?二、单线程的redis为什么这么快三、redis的数据类型,以及每种数据类型的使用场景前言 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇…

大数据基础设施搭建 - Kafka(with ZooKeeper)

文章目录 一、简介二、单机部署2.1 上传压缩包2.2 解压压缩包2.3 修改配置文件(1)配置zookeeper地址(2)修改kafka运行日志(数据)存储路径 2.4 配置环境变量2.5 启动/关闭2.6 测试(1)查看当前服务器中的所有…

Wireshark的数据包它来啦!

通过Wireshark工具,可以轻松的看到网卡的数据信息。通过Wireshark显示的数据包内容信息,通常分七栏,介绍一下: 1No.: 数据包编号。 2.Time Time显示时间,以1号数据包发生开始计时。 3.Source Source显示内容…

零基础想系统地学习金融学、量化投资、数据分析、python,需要哪些课程、书籍?有哪些证书可以考?

曾经我也是零基础小白,题主想走的路,我已经走过啦~作为一名CFA持证人和管理因子投资的量化策略的投资组合经理,我把这些年积累的干货跟大家分享。 量化投资是金融学的一部分,量化投资(跟量化交易的概念有部…

从入门到精通,mac电脑录屏软件使用教程!

“mac电脑怎么录屏呀,刚买了一台mac电脑,用了几个月感觉挺流畅的,最近因为工作原因,需要用到录屏功能,但是我不会操作,想问问大家有没有简单易懂的录屏教程,谢谢啦。” 在日常生活中&#xff0…

使用遗传算法优化的BP神经网络实现自变量降维

大家好,我是带我去滑雪! 在现实生活中,实际问题很难用线性模型进行描述。神经网络的出现大大降低了模型建立的难度和工作量。只需要将神经网络当作一个黑箱子,根据输入和输出数据,神经网络依据相关的学习规则&#xff…

腾讯云轻量应用服务器三年租用价格表_免去续费困扰

腾讯云服务器续费贵所以一次性买3年或5年,腾讯云轻量应用服务器3年价格有优惠,CVM云服务器5年有特价,腾讯云3年轻量和5年云服务器CVM优惠活动入口,3年轻量应用服务器配置可选2核2G4M和2核4G5M带宽,5年CVM云服务器可以选…

米诺地尔行业分析:预计2029年将达到14亿美元

米诺地尔市场规模庞大,不仅包括消费品市场和服务行业,还涵盖了创新科技领域。随着经济的发展和市场需求的不断增长,米诺地尔市场的规模将继续扩大,各行各业都将面临更多机遇和挑战。 随着社会经济发展和城市化进程的推进&#xff…

无服务器开发实例|微服务向无服务器架构演进的探索

在当今的技术环境中,许多组织已经从构建单一的应用程序转变为采用微服务架构。微服务架构是将服务分解成多个较小的应用程序,这些应用程序可以独立开发、设计和运行。这些被拆分的小的应用程序相互协作和通信,为用户提供全面的服务。在设计和…