AD参考知识
实现林间的选择性身份验证 . .....................................................................................
实现林间的选择性身份验证 . ..........................................................................................................2
了解存根区域 . ...............................................................................................................................2
关于DNS 客户端的“备用DNS 服务器”..........................................................................................5
,实现林间的选择性身份验证
在创建林信任时可以选择“全林性身份验证”和“选择性身份验证”两种身份验证级别。其中“全林性身份验证”是由系统自动对跨林的用户在访问本地林时进行身份验证,不须要管理员干预,一般用在两个林都属于同一个组织的情况下;但如果两个林分属不同的组织,那么最好不要选择“全林性身份验证”,而应使用“选择性身份验证”。
当使用了“选择性身份验证”的身份验证级别后,我们应手工指定被信任域的用户所能够访问信任域中的特定的资源。
要让被信任域的指定用户可以访问信任域的资源,要在信任域中的计算机属性里设置允许被信任域的用户可以得到验证。
具体做法:
◆ 设置“AD 用户与计算机”管理工具,使其显示高级属性;
◆ 在信任域中,找到允许被信任域的用户能够访问的计算机对象,右击,选择属性并找到安全
选项卡;
◆ 添加被信任域的指定用户,并勾选“允许身份验证”;
◆ 这时,被信任域的指定用户就可以访问信任域中的指定计算机了。
了解存根区域
存根区域是一个区域副本,只包含标识该区域的权威域名系统 (DNS) 服务器所需的那些资源记录。存根区域用于使主持父区域的 DNS 服务器知道其子区域的权威 DNS 服务器,从而保持 DNS 名称解析效率。
存根区域由以下部分组成:
委派区域的起始授权机构 (SOA) 资源记录、名称服务器 (NS) 资源记录和粘附 A 资源记录。
,可用来更新存根区域的一个或多个主服务器的 IP 地址。 存根区域的主服务器是对于子区域具有权威性的一个或多个 DNS 服务器,通常 DNS 服务器主持委派域名的主要区域。
详细信息,请参阅使用存根区域。
存根区域解析
DNS 客户端在宿主存根区域的 DNS 服务器上执行递归查询操作时,DNS 服务器会使用该存根区域中的资源记录来解析查询。DNS 服务器向存根区域的 NS 资源记录中指定的权威 DNS 服务器发送迭代查询,仿佛在使用其缓存中的 NS 资源记录一样。如果 DNS 服务器找不到其存根区域中的权威 DNS 服务器,那么主持该存根区域的 DNS 服务器会尝试使用根提示进行标准递归。
DNS 服务器将从存根区域中列出的权威 DNS 服务器接收的资源记录存储在它的缓存中,但不会将这些资源记录存储在存根区域本身,只有查询响应中返回的粘附 A 资源记录存储在存根区域中。存储在缓存中的资源记录按照每个资源记录中的生存时间 (TTL) 的值进行缓存。不写入缓存的 SOA、NS 和粘附 A 资源记录,按照在存根区域的 SOA 记录中指定的过期间隔过期,该过期间隔是在创建存根区域期间创建的,在从原始主要区域向存根区域传输期间更新。
如果查询是迭代查询,DNS 服务器会返回一个包含存根区域中指定的服务器的参考信息。
宿主父区域和子区域的 DNS 服务器之间的通信
仅当将这些新的 DNS 服务器的资源记录添加到 DNS 服务器主持的父区域时,已向另一个 DNS 服务器上的子区域委派域的 DNS 服务器,才可了解该子区域的新的权威 DNS 服务器。这是一个手动过程,要求不同的 DNS 服务器的管理员经常通信。使用存根区域,主持其委派域之一的存根区域的 DNS 服务器可在该存根区域更新时获取该子区域的权威 DNS 服务器的更新。更新是从主持该存根区域的 DNS 服务器执行的,不需要与主持该子区域的 DNS 服务器的管理员取得联系。下面的示例将对该功能加以说明。
存根区域方案
父区域 example.com 的权威 DNS 服务器已经向单独的 DNS 服务器委派了一个子域
widgets.example.com 。最初执行域 widgets.example.com 的委派时,父区域只包含
,
widgets.example.com 区域的权威 DNS 服务器的两个 NS 记录。随后,子区域的管理员将其他 DNS 服务器配置为该区域的权威服务器,但不通知主持父区域 example.com 的 DNS 服务器的管理员。结果,主持父区域 example.com 的 DNS 服务器不知道它的子区域的新的权威 DNS 服务器,并继续只查询它知道的两个权威 DNS 服务器。
为父区域 example.com 配置权威 DNS 服务器,使其为委派的域 widgets.example.com 主持一个存根区域,这样做使上面这种情况得到补救。example.com 的权威 DNS 服务器的管理员更新该存根区域时,它会查询该存根区域的主服务器,以获取 widgets.example.com 的权威 DNS 服务器资源记录。结果,父区域的权威 DNS 服务器将了解有关 widgets.example.com 子区域的新的权威 DNS 服务器的信息,并能够向该子区域的所有权威 DNS 服务器执行递归。
下图演示了与父区域使用同一 DNS 服务器主持的存根区域是如何更新该子区域的权威服务器的。
使用存根区域
使用存根区域可执行以下操作:
∙
∙
∙ 使委派的区域信息保持最新。 通过定期更新它的一个子区域的存根区域,主持父区域和存根区域的 DNS 服务器将维护该子区域的权威 DNS 服务器的当前列表。 改进名称解析。 存根区域使 DNS 服务器能够使用存根区域的名称服务器列表执行递归,而无需查询 Internet 或 DNS 名称空间的内部根服务器。 简化 DNS 管理。 在整个 DNS 结构中使用存根区域可为区域分发权威 DNS 服务器的列表,
而不用使用辅助区域。但是,存根区域与辅助区域的用途不同,考虑冗余和负载共享时,存根区域不是备用区域。
加载和维护存根区域涉及两个 DNS 服务器列表:
∙ DNS 服务器从其加载和更新存根区域的主服务器列表。主服务器可以是区域的主要或辅助
DNS 服务器。在两种情况下,它将拥有区域的 DNS 服务器的完整列表。
,∙ 区域的权威 DNS 服务器列表。该列表包含在使用名称服务器 (NS) 资源记录的存根区域中。 DNS 服务器加载存根区域(例如,widgets.example.com )时,它查询主服务器(它可位于不同的位置),寻找区域 widgets.example.com 的权威服务器的必要资源记录。主服务器列表可包含一个或多个服务器,可随时更改。详细信息,请参阅为本地主服务器配置存根区域。
存根区域更新
存根区域更新涉及下列条件: ∙
∙
∙
∙
∙ DNS 服务器加载存根区域时,它查询区域的主服务器寻找 SOA 资源记录、区域的根目录的 NS 资源记录和 A 资源记录。 存根区域更新期间,主持存根区域的 DNS 服务器查询主服务器,寻找存根区域加载期间请求的同一资源记录类型。 SOA 资源记录的刷新间隔确定主持存根区域的 DNS 服务器何时将尝试区域传输(更新)。 如果更新失败,SOA 资源记录的重试间隔将确定何时重试更新。 一旦重试间隔到期而未成功更新,在 SOA 资源记录的“截止期限”字段中指定的到期时间
将确定 DNS 服务器何时停止使用存根区域数据。
使用 Microsoft 管理控制台 (MMC) 中的 DNS 控制台可执行下列存根区域更新操作:
∙
∙
∙ 重新加载。 从主持存根区域的 DNS 服务器的本地存储器重新加载存根区域。 从主服务器传送。 让主持存根区域的 DNS 服务器确定存根区域的 SOA 资源记录中的序列号是否已到期,然后从存根区域的主服务器执行区域传输。 从主服务器重新加载。 从存根区域的主服务器执行区域传输,不管存根区域的 SOA 资源记
录中的序列号是多少。
验证“首选”和“备用DNS 服务器”的工作原理:
环境准备: ∙
∙
∙
∙
∙
∙ 客户端的DNS 设置指向两台DNS 服务器 DNS 服务器1添加两个主要区域,一个abc.com ,另一个是aa.com DNS 服务器2添加三个区域,一个是abc.com 的辅助区域,第二个是aa.com 主要区域,第三个是bb.com 主要区域 在第一台DNS 服务器的abc.com 区域内建立一条A 记录“www”,对应IP 是1.1.1.1 在第二台DNS 服务器的aa.com 区域新建一条A 记录“www”,对应IP 是2.2.2.2 在第二台DNS 服务器的bb.com 区域新建一条A 记录“www”,对应IP 是3.3.3.3 注:下面的验证过程每一次都要使用“ipconfig /flushdns”命令清空本机的DNS 缓存。 验证: 1. 当两台DNS 服务器工作正常并联机时,客户端通过ping 可以正确解释上面建立的三条主机
记录
2. 断开其中一台DNS 服务器(那一台都可以),客户端通过ping 可以正常解释“www.abc.com”
记录
o 默认情况下,客户机会找第一台DNS 进行域名解释
o 如果断开的是第一台,客户机将会寻找第二台DNS 服务器进行域名解释,并将第二
台DNS 服务器设置为主要的DNS 服务器。(也就是说下一次进行域名解释时,会
直接找第二台DNS 服务器而不是第一台。除非第二台脱机,或无法解释,才会找回
原来的第一台,在第一台正常的情况下把第一台DNS 服务器设置为主DNS 服务器) o 如果断开的是第二台,对该例子来说没有影响,第一台已经可以正常解释了
3. 假设现在第一台DNS 服务器是主DNS 服务器,客户端ping“www.aa.com”,可以发现并不
能正常解释该域名
o 由于现在第一台DNS 服务器是主服务器,客户端可以找到该服务器,并且该服务器
上有“aa.com”区域,但没有“www”这条主机记录,所以客户端收到错误信息,并且不
会去找第二台DNS 服务器,即使在第二台DNS 服务器上有该主机记录!
o 如果这时断开第一台服务器后,客户端再去重复上述过程,将能正确解释该域名,
并将第二台服务器设置为主DNS 服务器。
4. 假设现在还是第一台DNS 服务器是主服务器,客户端ping“www.bb.com”,可以发现能够正
常解释
o 由于第一台DNS 服务器并不维护bb.com 区域,所以客户端去找第二台DNS 服务
器,并把第二台DNS 服务器设置为主服务器
5. 如果两台DNS 服务器都脱机,客户端将不能正常解释,除非使用缓存。但客户机仍然会记
住上一次的主DNS 服务器,并在下一次请求域名解释时去找主DNS 服务器。
注:上述过程请不要使用nslookup 命令去验证,因为nslookup 命令仅用于验证DNS 服务器工作是否正常;而ping 命令是最方便的验证域名解释的工具;当然也可以使用其它方法,例如使用IE 浏览器,只不过这时还需要自己搭建web 服务。