微軟的AD與非動態DNS
微軟的AD對DNS的要求可以總結為以下3點:a、在DNS名字空間中支持下劃線,因為在AD中有些重要的子域需要在其名字中使用下劃線。這一點在教程中沒提。 [color=#f5fafe][/color]
b、支持SRV記錄,不用說為什么了。
c、動態DNS(也可以使用不支持動態DNS,後面就有講解)
有的時候我們也可以採用一些其他公司的DNS產品來代替2000/2003的動態DNS服務。如支持SRV記錄(RFC2782)和動態更新(RFC2136)的Linux係統上運行的BIND,或者Lucent公司的QIP DNS/DHCP係統。(後者沒用過,不知道是個什么樣兒,只在其他書籍中提過)但有的時候動態的DNS在某中情況中會給我們帶來一些安全的隱患。AD與非動態DNS的結合實際上也是可行的。例如在以下文字中如果DNS支持SRV和下劃線,但不支持動態DNS,仍然可以使用一個名字為 Netlogon.dns的文件來實現AD。 [color=#f5fafe][/color]
每臺支持DDNS功能的計算機都會在DDNS中親自寫入一條自己的A記錄。但是AD實際上需要依靠所有這些SRV記錄,並且他們是由 Netlogon服務寫入區域文件的。每當重新啟動一臺DC或者重新啟動Netlogon服務、或者過了一段時間沒有更新的時候,Netlogon服務會與主DNS服務器聯係,並注冊自己的SRV記錄。但DC上的Netlogon服務還做了其他的事情,它可以把這些SRV記錄寫入一個名為 Netlogon.dns的ASCII文本文件。該文件存儲在\Windows\System32\Config\中———進入任何一臺DC,使用記事本可以查看該文件中有大量的SRV記錄。 [color=#f5fafe]中國[/color]
利用以上的說明就可以利用一臺不支持動態升級的DNS實現支持AD。
a、首先在DNS服務器上(不支持動態升級,如NT4.0)建立一個區域jzlld.vicp.net作為主要區域。將這個區域文件命名為jzlld.vicp.net.dns。
b、為jzlld.vicp.net域中的每臺DC輸入A記錄。
c、進入jzlld.vicp.net域中的每臺DC,然後啟動它的Netlogon服務。 [color=#f5fafe][/color]
d、把該DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一張軟盤或者網絡上。
e、取得所有DC的Netlogon.dns文件後,在jzlld.vicp.net的主DNS服務器上把它們合並成一個大ASCII文件。
f、在這臺DNS服務器上,停止DNS服務。
g、在\%SystemFiles%\System32\DNS中,用notepad打開文件jzlld.vicp.net.dns。 中國
h、在額外的行中添加你把所有的Netlogon.dsn記錄項合並成jzlld.vicp.net.dns這個文件時收集的SRV記錄。
i、保存這個文件。
j、重新啟動DNS服務。
這臺不支持動態工薪的DNS服務器以及它的任何輔助服務器現在可以支持AD了。
中國
缺點:
中國
a、收集所有DC的Netlogon.dns文件需要做大量的工作。
b、並不具有很好的動態性,如果刪除DC或DC脫機都需要手工刪除DNS上的的Netlogon.dns文件中的相應SRV記錄。
頁:
[1]