第二章 实现活动目录的名称空间

10 MCSE2000系列―第二章 实现活动目录的名称空间内容摘要因为活动目录和域名系统 (DNS) 公用一个名称空间，所以适当地规划名称空间对活动目录的顺利配置至关重要。本章详细讲述了域名系统DN

10 MCSE2000系列―第二章 实现活动目录的名称空间

内容摘要

因为活动目录和域名系统 (DNS) 公用一个名称空间，所以适当地规划名称空间对活动目录的顺利配置至关重要。

本章详细讲述了域名系统DNS ，活动目录和DNS 之间的关系以及如何规划和实现活动目录名称空间。通过本章学习，您将了解到以下一些内容：

域名系统DNS

活动目录和DNS 的关系

活动目录的域名组织

使用活动目录DNS 的好处

规划和实现活动目录名称空间

考点提示：

活动目录和DNS 名称空间的作用/区别 选择DNS 服务器 活动目录名称空间命名策略 在DNS 中委派子域

2.1 2.1.1 活动目录对象

打印机或应用程序等一些具体事物的一组不同的、活动目录会生成一些对象属标识符 (GUID)

2.1.2 /才能使用户访问到它们所代表的信息和

这些标准允许理解不同的访问协议，使得活

域名系统 (domain name system) DNS：一种工业标准名字解析服务，允许客户定位活

动目录服务。用户能够在组织内部和外部使用DNS 进行名字解析。

轻量级目录访问协议（LDAP ）：一种目录访问协议，用来引用，定位和检索活动目录信

息。

在登录到网络且搜索共享资源时，活动目录客户机必须和运行活动目录的计算机通信。用户使用轻量级目录访问协议 (LDAP) 访问域控制器和全局编录。

LDAP 是设计用于在 TCP/IP 网络上使用的通讯协议。LDAP 定义目录客户如何访问目录服务器以及客户如何能进行目录操作并共享目录数据。LDAP 标准由 Internet 工程任务组 (IETF)

上海南洋微电子公司版权所有

第二章 实现活动目录的名称空间 11

的工作组制定。活动目录实现了 LDAP 属性草案规范以及 LDAP 第二版和第三版的 IETF 标准。

2.1.3 对象命名规范

命名要求

WINDOWS 2000 活动目录目录服务包含网络上所有对象的信息。其目标是为客户提供对信息的访问。因此，必须满足：

▼ 活动目录中的每个对象有一个唯一的完全合法的名字，以使它不致于与活动目录中的其它任何对象相混淆。

▼ 有标识每个对象位于哪个域的方法。

▼ 每个唯一的名字能被解析为它所代表的对象。

▼ 客户能够查寻活动目录以获取有关对象信息。

▼ 客户能够检索关于对象的信息

命名规范

活动目录中的每个对象都可通过多种不同的名称引用。活动目录根据对象创建或修改时提供的信息，为每个对象创建相对可分辨名称和规范名称。每个对象也可通过其可分辨名称引用，可分辨名称是从该对象及其所有父容器对象的相对可分辨名称中获得的。

活动目录提供几种标准的命名规范，每种规范依赖于一个对象（在一个名字空间 namespace ）是如何被引用的。客户必须能够以一种被任何与他们相互作用的目录服务所识别的方式引用网络资源和信息，活动目录通过支持几种命名规范解决了这一问题。 完全识别名 (distinguished name) DN

活动目录中每个对象都有一个完全识别名。它确定了此对象所在的域和到达此对象的全路径，一个典型的完全识别名：/O=internet/DC=COM/DC/=Microsoft/CN=Users/CN=James smith ，它的名字空间的分层结构如下：

Organization=internet

Domain Component=COM

Domain Component=Microsoft

Common Name=users

Common Name=James smith

相对识别名 (relative distinguished name) RDN

相对识别名是完全识别名中对象属性的部分。在上例中，james smith 用户对象的相对识别名是james smith 。父对象的相对识别名是users 。

用户主名 (user principal name) UPN

DN ，RDN 可能非常长并且难记，在WINDOWS 2000中的用户和组具有更易于记忆的UPN 名。在创建对象时，用户对象的用户主名由用户的登录名和用户对象所在域（域树）的DNS 名组成。如在上例中，用户james smith 对象在microsoft ．com 域中的UPN 名为：james@microsoft.com。

NETBIOS 名字

提供向后兼容。客户运行早期版本的MICROSOFT WINDOWS 操作系统时，其登录名是NETBIOS 域名。WINNT 、WIN98 客户登录时使用这些名字。一个NETBIOS 登录名的例子是comtroso ＼jonm

注意：用户在规划活动目录中对象的名字时，应保证对象名字的唯一性：在活动目录中，

交大南洋远程教育系列教材

12 MCSE2000系列― 为每个对象自动生成标准名字。因此，DN 一定是唯一的；活动目录不允许在同一个父 容器下有重复的RDN ；UPN 在目录林内保证唯一；NETBIOS 名字在域内保证唯一。

2.2 域名系统DNS

2.2.1 DNS的概念和作用

活动目录（Active Directory） 和 DNS 都是名称空间。名称空间是任一有界区域，在程。例如，电话号码簿组成了一个名称空间，Windows NTFS 要理解 Windows 2000 处理活动目录和DNS 其与 Internet 和 TCP/IP 之间关系的一些基本知识。

Internet 是一种 TCP/IP 网络。TCP/IP 数据。Internet 或任何其他 TCP/IP 网络（如许多个 IP 地址。DNS 定位 TCP/IP 解析成计算机能读懂的 IP Internet 上的 IP 地址，也可以在本地实施 DNS

2.2.2 层次结构和管理

DNS 的域名基于 DNS 可以是父域和子域象这样的 Windows 2000 域名识别名为域的子域，"parent" 域本身又是根域DNS 域中的计 DNS 完全合格域名唯一标识。在域的计算机的完全合格域名为 。

DNS 成为一个名称空间。DNS 有几个顶级域，可进域名空间的根由 Internet 职权部门（目前是 Internet 网）管理，该部门负责代理对 DNS 名称空间顶级域名的管理职责， (.com)、教育组织 (.edu) (.gov) 等等。对于美国以外的国家和地区，则用两个字母的国家/ .uk 表示。第二级域名代表了以前在机构（和个体）中注册的 Internet 上的存在。下图显示了公司网络连接到 Internet DNS 名称空间的方式。

上海南洋微电子公司版权所有

第二章 实现活动目录的名称空间 13

2-1：DNS 名称空间

2.3 活动目录和DNS

2.3.1 活动目录和DNS 名称空间的集成

DNS 与活动目录的集成是 Windows 2000 Server 操作系统的核心功能。DNS 域和活动目录域对不同的名称空间使用相同的域名。因为两个名称空间共享一个相同的域结构，所以必须了解它们不是同一个名称空间。每个名称空间保存了不同的数据，因而管理不同的对象， DNS 保存区域以及资源记录，而活动目录保存域和域对象

每个 Windows 2000 域都有一个 DNS 名称（如 OrgName.com），并且每台基于 Windows 2000 的计算机都有一个 DNS 名称（如 AcctServer.OrgName.com）。因而，域和计算机都用活动目录对象和 DNS 节点来表示（DNS 分层结构中的一个节点代表一个域或一台计算机）。

2.3.2 作用和区别

DNS 和 活动目录均用数据库来解析名称。

DNS 是一种名称解析服务。 通过将 DNS 服务器接收的请求视为对 DNS 数据库的 DNS 查询，DNS 将域名和计算机名解析成 IP 地址。具体地说，DNS 客户机把 DNS 名称查询发送到已配置的 DNS 服务器。DNS 服务器先接收名称查询，然后通过本地保存的文件解析该名称查询，或咨询另一台 DNS 服务器进行解析。DNS 不需要系统启动活动目录。

活动目录是一种目录服务。通过将域控制器接收的请求视为轻型目录访问协议 (LDAP)搜索，或改成对活动目录数据库的请求，活动目录将域对象名称解析成对象记录。具体而言，活动目录客户机使用 LDAP 向活动目录服务器发送查询。活动目录客户机通过查询 DNS 来定位活动目录服务器。即，活动目录将 DNS 用作定位器服务，把活动目录域、站点及服务

交大南洋远程教育系列教材

14 MCSE2000系列―名称解析成 IP 地址。例如，要登录到活动目录域，活动目录客户机会查询已配置的 DNS 服务器，请求 LDAP 服务的 IP 地址（LDAP 服务在指定域的域控制器中运行）。活动目录需要系统启动 DNS。

实际上，理解 Windows 2000 环境中 DNS 与 活动目录名称空间之间的差异，就是理解： 代表 DNS 区域中指定计算机的 DNS 主机记录，与活动目录域中代表“同一台计算机”

的计算机帐户对象处于不同的名称空间中。

在windows 2000 操作系统中，DNS 用来定位网络上的资源和服务；活动目录名称空间

用来组织资源和服务。

总之，活动目录用以下两种方式与 DNS 集成：

活动目录域和 DNS 域有相同的分层结构。尽管因目的不同，和既是一个 DNS 域又是一个 活动目录域。

DNS 区域可保存在活动目录中。 如果使用

2.3.3 定位活动目录对象

活动目录客户机使用 DNS 户机会查询已配置的 DNS

通过下面的例子，是如何一起来定位活动目录中的对象的。

活动目录用DNS 在DNS 服务器中生成一条即SRV 资源记录。此方法允许DNS 解DSN IP DNS 服务器的SRV 资源IP 地址映射。

查询以解析哪台计算机拥有活动目录服务（特别是LDAP 服

务） LDAP 查询在域控制器中执行以找到被请求的对象。

另外，但可以提供此信息可能驻留的LDAP 引用（LDAP Refrral）。初始建立的域控制器必须注意其他客户能够继续收到来自随后的域控制器的引用，直到找到一个能可靠响应的域控制器。

例如，在nwtraders.com 域包含两个子域：south.nwtraders.com 和north.nwtraders.com ，现在在south.nwtraders.com 域的用户需要找到james smith(jsmith)，一个在north.nwtraders.com 域中的用户，将发生如下所述的对象定位过程：

上海南洋微电子公司版权所有

第二章 实现活动目录的名称空间 15

用户用ldap.tcp.south.nwtraders.com 查询DNS 服务器（在TCP/IP 属性中配置）中的LDAP 服务器（即活动目录服务器，也就是域控制器），DNS 服务器用该域的域控制器的SRV 纪录作出呼应，发送给用户一个south.nwtraders.com 域的域控制器列表。 用户和每个列表中的域控制器联系，试图获取用户jsmith 使用LDAP 的信息（即定位jsmith 对象），但由于该用户不在south.nwtraders.com 域中而不成功，因此用户收到对上层域nwtraders.com 的一个LDAP 引用。 用户重复步骤（1）和（2），所不同的是以nwtraders.com 代替south.nwtraders.com. ，基于同样原因，用户仍不能成功定位jsmith 对象，仅收到一个对north.nwtraders.com 的一个LDAP 参考。 用户再次重复步骤（1）和（2）所不同的是以north.nwtraders.com 代替

south.nwtraders.com., 这次，用户成功地从north.nwtraders.com 域中的一个域控制器定位jsmith 对象.

2.4 规划活动目录的域名系统

2.4.1 活动目录和全局DNS 名称空间

活动目录被设计成可处于Internet 全局DNS 名称空间的范围之内。如果组织使用 Windows 2000 Server 作为其网络操作系统，当该组织需要接入Internet 上时，活动目录名称空间会作为一个或多个分层的 Windows 2000 域，保留在已注册为 DNS 名称空间的根域名之下。（组织可选择不成为全局 Internet DNS 名称空间的一部分；但即使它这样做，仍要求 DNS 服务定位基于 Windows2000 的计算机。）

根据 DNS 命名规则，以英文句号 (.) 分隔的 DNS 名称的每部分都代表 DNS 分层树结构的一个节点，以及 Windows 2000 域分层树结构的一个可能的活动目录域名。如下图所示，DNS 分层结构的根是一个有空标签 (" ") 的节点。活动目录名称空间的根（目录林根）无父根，它提供了指向活动目录的 LDAP 进入点。

交大南洋远程教育系列教材

16 MCSE2000系列―

2-2：活动目录和全局DNS 2.4.2 活动目录中DNS 的要求

DNS 正常运行，用户在选择在Windows 2000DNS 支持SRV 资源纪录

DNS 服务器必须支持SRV SRV SRV IP 地址。

在Windows 2000SRV 资源记录，以帮注意：服务器必须升级到 Service Pack 4 或更新版本才能支持 SRV

SRV 资源纪录，它又分成: dc: gc: pdc:模拟器的资源纪录 _site:SRV 资源纪录 _tcp:所有使用tcp 协议的SRV 资源纪录 _udp:所有使用UDP 协议的SRV 资源纪录

上海南洋微电子公司版权所有

第二章 实现活动目录的名称空间 17

2-3：SRV 资源记录的分类

动态更新

除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外，Microsoft 还建议 DNS 服务器为 DNS 动态更新提供支持，以简化DNS 服务器管理。DNS 动态更新定义了一种协议，以便使用新值或变更值动态更新 DNS 服务器，Windows 2000 Serve 和Windows 2000 Professional 能够自动使用动态更新在DNS 服务器中注册一条主机纪录（A record）。如果没有 DNS 动态更新协议，管理员必须手动配置由域控制器创建、DNS 服务器保存的记录。

默认情况下，活动目录安装向导尝试从已配置的接受 SRV 资源记录动态更新的 DNS 服务器列表中定位域的授权 DNS 服务器。如果找到了，在重新启动域控制器时，所有域控制器的相应记录都自动在 DNS 服务器上注册。

如果没有找到接受动态更新的 DNS 服务器，则可能是由于 DNS 服务器不支持动态更新或者域没有启用动态更新，采取以下步骤确保安装过程完成所需的 SRV 资源记录注册：

▼ DNS 服务安装在域控制器上，根据活动目录域自动配置一个区域。

例如，如果为树林中的第一个域选择的活动目录域是 example.microsoft.com，则源于 DNS 域名 example.microsoft.com 上的区域将添加并配置成使用新域控制器上的 DNS 服务。

▼ 包含域控制器的相应 DNS 资源记录的文本文件将被创建。

称为 Netlogon.dns 的文件在 systemroot＼System32＼config 文件夹中创建，并且包含注册域控制器资源记录所需的全部记录。Netlogon.dns 由 Windows 2000 NetLogon 服务使用，为非 Windows 2000 DNS 服务器支持 Active Directory。

如果使用支持 SRV 记录但不支持动态更新的 DNS 服务器（如基于 UNIX 的服务器或 Windows NT Server 4.0 DNS 服务器），您可以将 Netlogon.dns 中的记录导入适当的主要区域文件，以便手动将服务器上的主要区域配置成支持活动目录。

增量区域传输（IXFR ）

除了要求 Windows 2000 网络的 DNS 服务器支持 SRV 资源记录外，Microsoft 还建议 DNS 服务器支持增量区域传输，代替以前版本的完全区域传输，以减少由DNS 区域复制产生的网络复制流量。

新的 Windows 2000 DNS 服务既支持 SRV 资源记录，又支持动态更新和增量区域传输。如果选用不是基于 Windows 2000 的 DNS 服务器，则必须保证该服务器支持 SRV 资源记录，否则应将其升级为支持这些记录的版本。BIND 8.1.2以上版本支持SRV 资源记录。

交大南洋远程教育系列教材

18 MCSE2000系列―2.4.3 使用WINDOWS 2000 DNS 的好处

下面的列表总结了使用WINDOWS 2000 DNS 的好处：

不依赖现有的DNS 服务器。

可以和其他类型的DNS 服务器（如 BIND）一起使用。

不需要进行DHCP 兼容性测试，如选择第三方DNS 服务，则应全面测试与DHCP 的兼容

性，因为DHCP 已被增强更新DNS 。

支持动态更新，减轻了管理负担；安全动态安全更新加强了安全性，只有被授权的主机

才能更新记录。

如果使用活动目录集成的区域，可以充分利用WINDOWS 2000把DNS

作为操作系统的一部分，而不再把DNS 的复制和管理单独列出。

支持扩展字符集。

支持纪录清理（scavenging ） 。

2.4.4 活动目录名称空间命名策略

确定活动目录的范围

当确定活动目录的范围时，应该同时考虑内部组织和外部环境，如。

DNS DNS 根域名字，用户应该选择一个能代表整个组织的名字，但有INTERNET 上已建立良好身份的公司。名字。

INTERNET DNS 根域名字。注册保证DNS 名字的全局唯一性，用户有权管理自身子域的层次结构，并成 反映了它们之间的相互关系。网络中每个域必须登录时，客户使用这些名字来标识和定位域控制器。活动目录名称层次结构对于客户是不可见的，应该按逻辑进行组织。单域模型因为更易于管理而优于多域模型。

从根域派生的域形成一个层次域目录树。

上海南洋微电子公司版权所有

第二章 实现活动目录的名称空间 19

如活动目录中有多个域 ，形成一个名称层次结构。如，只有一个单域的网络有一个单域名，contoso.com, ；如果需要把该网络分成两个域：nameraca,europe ，则域名可能是namerica.contoso.com,europe.contoso.com 。每个域名字是单独的，但维持在相同的活动目录域目录树中。

2-4：活动目录的层次结构

选择DNS 服务

使用哪种类型的DNS 服务器，WINDOWS 2000 DNS 、BIND 或其他。

在活动目录中使用一个DNS 服务时，该DNS 应该：

支持SRV 记录（必须）： 如果用户已有的DNS 服务器不支持SRV 记录，则必须转换到

支持SRV 的DNS 服务器，或委派被活动目录使用的子域作为DNS 服务。

支持动态更新协议（建议，但极力推荐）：它使得用户环境中的服务器和客户能自动添

加记录到DNS 数据库，这可以减少管理费用。如果DNS 服务器不支持动态更新协议，则每次添加或删除一个域的域控制器或改变活动目录服务的地址时，管理员需要手动更新DNS 资源记录。该信息存放在systemroot ＼system32＼config ＼netlogon.dns 中。 支持增量区域传输（建议）：只允许新的或修改过的资源记录在DNS 服务器间被复制，

而不复制整个区域的数据库文件。

如果使用Windows 2000 Server DNS Service，还应该规划是否使用活动目录集成的区域、是否启用动态/动态安全更新和是否启用DHCP 更新。

注意：在WINDOWS 2000 网络中，WIN98，WINNT4.0 不能自己更新在DNS 中的纪录，必须由DHCP 服务器代为更新。

用户可以选择以标准文本格式存储DNS 区域信息，或者也可以把DNS 区域信息存储在活动目录中。只有运行在域控制器上的DNS 服务器的DNS 区域可以实现与活动目录的集成。 下面分别解释并比较不同区域类型之间的区别。

存储在文本文件中的DNS 区域数据在DNS 服务安装后，如用户没有把现有的区域转换成“活动目录集成的区域”，则区域信息以文本文件的形式存储在DNS 服务器上；为了容错，用户可以指定附加的DNS 服务器，或者辅助服务器（secondary DNS name server），以存储区域数据库文件的只读拷贝；一个叫作“区域传输”的过程把区域数据库信息传输到辅助服务器，在区域传输中，发端服务器（originating server ）被指定为主控服务器。根据定

交大南洋远程教育系列教材