前几篇我们讲了活动目录的基本原理和安装配置,着重讲了一些活动目录的优越性,但它并不是一个独立的服务,它是在结合以前的一些协议和服务之后才得以成功实现,如DNS、LDAP协议与活动目录的完美结合、站点概念的应用等都是非常突出的明证。下面我们就分别介绍一下这几个应用技术。
一、DNS在活动目录中的应用
WIN2K作为一个崭新的操作系统,它的最大特点就是引入了活动目录,而活动目录的一个最大的特点就是把DNS和活动目录紧密结合在了一起。活动目录使用域名服务DNS 作为它的定位服务,同时对标准的DNS作了扩充。由于DNS 是使用最为广泛的定位服务,所以不仅在Internet 上, 甚至在许多企业内部网络中也使用DNS 作为定位服务。在利用WINNT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名,系统是利用WINS服务、信息广播方式及Lmhost文件等多种模式将NetBIOS名解析为相应IP地址,从而实现信息通讯。在内部网络系统中(也就是通常我们所说的局域网中),利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上对一台主机的唯一标识信息是它的FQDN格式的域名(如www.163.com),在Internet是利用DNS标准来实现将域名解析为相应IP地址。如果WINNT4.0 构建的网络系统同Internet连通,则NT网络中的每一台主机也都有相应域名,其域名的解析是通过WINNT4.0 所支持的DNS 服务来实现的。在WINNT4.0 中配置和实现DNS完全由人为手工来规划、设计和实现,由上述可见,在WINNT4.0 网络系统中,每一台主机既有NetBIOS名又由域名,而实际意义基本相同,这在一定程度上增加了网管人员的管理负担,同时出使整个网络管理显得更加混乱。
在WIN2K的活动目录中,最基本的单位是域(Domain),通过父域和子域的模式将域组织起来形成树,父域和子域之间是完全双向的信任关系,且信任关系传递,其组织结构同DNS系统类似。在活动目录中命名策略基本按照Internet标准来实现,遵照DNS和LDAP3.0两种标准,活动目录中的域和DNS系统中的域采用完全相同的命名方式,即活动目录中的域名就是DNS域名。那么在活动目录中依赖于DNS作为定位服务,实现将名字解析为IP地址。所以当我们利用WIN2K 构建活动目录时,必须同时安装配置相应的DNS,无论用户实现IP地址解析还是登录验证,都利用DNS在活动目录中定位服务器。活动目录与DNS系统的这种紧密集成,意味着活动目录同时非常适合于Internet和Intranet环境,这也是微软创建适用于Internet的网络操作系统的思想的一种体现。企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴之间的信息通讯。另外WIN2K中的DNS服务允许客户使用DNS动态更新协议(RFC 2136)来动态更新资源记录,通过缩短手工管理这些相同记录的时间,提高DNS管理的性能。运行WIN2K的计算机能动态地注册他们的DNS名称和IP地址。
由于活动目录与DNS已经集成在一起,因此在WIN2K中NetBIOS名已经逐渐失去意义,与此相对应的WINS服务也处于慢慢被淘汰的过程中。在WINNT中为了有效的发挥WINS的动态特性,我们通常将DNS与WINS 进行集成,这样能获得更准确的解析结果。但是,WINS并不是Internet标准协议,而DNS解决动态维护机器名与IP地址对照表的方案是动态DNS。动态DNS并不需要用到WINS,因为它允许动态分配IP地址的客户可以直接注册到DNS服务器上,即时更新DNS对照表。
WIN2K支持动态DNS,运行活动目录服务的机器可动态地更新DNS表。WIN2K网络中可以不再需要WINS服务,但是WIN2K仍然支持WINS,这是由于向后兼容的原因。那么如果网络系统不再使用WINS,用户登录到网络时,客户机如何找到域控制器呢?这是因为WIN2K在实现DNS时,对标准的DNS进行了扩展,在DNS表中增加了一种新的记录类型SRV记录,它指向活动目录的域控制器。所以如果网络系统已经全面升级到WIN2K,那么就可以不再使用WINS 服务 了。而在WIN2K中,由于支持动态更新协议(RFC 2136),这种集成也变得没有必要了。DNS这个由一系列解释请求(RFCs)标准组成的在Internet上广泛采用开放的协议,已经成为网络技术中的统一的标准化的规范。WIN2K的目标是在Internet和Intranet环境中得到广泛应用,那么它的名称解析模式就应该完全遵守单一的DNS标准。
上面主要讲了一下DNS在活动目录中的应用情况,但或许有人要问原来在WINNT4.0中没有用活动目录,只用DNS来解析域名,到底活动目录与DNS之间有什么区别,它们之间又是如何结合的呢?下面就来具体讲一下。
1、活动目录与DNS的区别
(1)、存储的对象不同
DNS和活动目录的结合是Windows2000服务器的最主要特点,DNS域和活动目录域对不同的名字空间使用同一样的域名。但它们各自存储不同的数据,因此管理不同的对象。DNS存储它的区域和资源记录,活动目录存储域和域中的对象。对DNS来说,域名是以DNS的层命名结构为基础的,是一种倒树型结构:一个根域,下面的域既是父域又是子域。每一个DNS域中的计算机可以通过完全合格域名(FQDN)进行识别。每一个与因特网连接的WIN2K域都有一个DNS名字,并且每一个WIN2K域中的计算机也都有一个DNS名字。因此,域和计算机即代表活动目录对象,又代表域节点。
(2)、解析所用的数据库不同
DNS是一种名字解析服务,DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的。DNS客户发送DNS名字查询到它们设定的DNS服务器,DNS服务器接受请求后或通过本地DNS数据库解析名字,或查询因特网上的DNS数据库,DNS不需要活动目录就可以起作用。
活动目录是一种目录服务,活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录。活动目录用户是通过LDAP协议(一种进入目录服务的协议)向活动目录服务器发送请求,为了定位活动目录数据库,需要借助于DNS,也就是说,活动目录把DNS作为定位服务,把活动目录服务器解析为IP地址,活动目录不能没有DNS的帮助。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。
除了要求WIN2K网络的DNS服务器支持SRV资源记录外,微软还建议DNS服务器提供对DNS的动态升级。DNS动态升级定义了一个DNS服务器在一定值内自动升级的协议,如果没有此协议,管理员不得不手动配置域控制器产生的新的记录。新的WIN2K的 DNS服务既支持SRV资源记录,又支持动态升级。如果你选择其它的非WIN2K为基础的DNS服务器,那么你必须证实它支持SRV资源记录。对于一个合法的支持SRV资源记录但是不支持动态升级的DNS服务器,在你把WIN2K服务器升级为域控制器时,必须使它的资源记录手动升级。这些可以用Netlogon.dns文件来完成,该文件是由活动目录智能安装向导创建的,存在于文件夹%systemroot%\System32\config中。