202002.htm

探索Windows 2000发展策略以及中介层技术设计的基本概念

<html><body><span  id=Layer1><a name=202002><font color=#3e70d7 face=arial size=5><b>Windows 2000中的DNS</span><span  id=Layer2></b></font><p><font size=2 color=#3c3c3c face=arial>虽然Active Directory已问市，但DNS继续在Windows 2000 执行它惯常的工作。将DNS名称对应到IP位址，查询Internet邮件伺服器，以及许多的工作仍是由DNS负责，Active Directory并没改变这个部份。不过Windows 2000 仍对DNS带来了一些变动。了解这些变动则需要稍微了解DNS资料库的结构。</span><span  id=Layer3></font></p><p><font size=2 color=#3c3c3c face=arial>传统上DNS伺服器在一个格式简单的Zone档案中维护它的资料。每个Zone档案中包含某些资源的记录，每笔记录都有特定类型的资讯，如A（地址），或MX（邮件交换）。当一个DNS客户端需要找到 diana.qwickbank.com 这台机器的IP位址时，举例来说，客户端要求包含这个名称的A记录之值时。A记录同样也包含diana.qwickbank.com的IP位址，因此查询的结果就是这台机器的位址。同样的，若要找寻 smith@qwickbank.com 电子邮件位址时，需要找寻一台可以接收qwickbank.com邮件的机器。为了要达到这个目的，DNS客户端要求qwickbank.com的MX记录，而回传的值中指明了邮件该传送的位置。</span><span  id=Layer4></font></p><p><font size=2 color=#3c3c3c face=arial>DNS允许存取包含机器位址与其它资讯的记录</span><span  id=Layer5></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>DNS允许存取包含机器位址与其它资讯的记录</span><span  id=Layer6></font></p><hr><font color=#3e72d7 face=arial size=4><b>找寻网域控制主机</span><span  id=Layer7></b></font><p><font size=2 color=#3c3c3c face=arial>就如Active Directory客户端的行为一样，使用DNS来找寻网域控制主机需要利用增加到DNS的新功能，称为SRV记录。定义在RFC 2052，一个SRV记录允许一个客户端找寻一个特定的服务，而不仅仅只找寻一台机器而已。每个SRV记录中包含一个名称，以service.protocol.domain的型式存在，同样也包含服务所在位置的机器名称。</span><span  id=Layer8></font></p><p><font size=2 color=#3c3c3c face=arial>DNS的 SRV记录是用来找寻网路上可用的服务</span><span  id=Layer9></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>DNS的 SRV记录是用来找寻网路上可用的服务</span><span  id=Layer10></font></p><hr><p><font size=2 color=#3c3c3c face=arial>对於Active Directory来说，客户端需要找寻Windows 2000 网域中提供LDAP服务的机器。当然这台机器是一个网域的网域控制主机，运作的过程如图2-1。举例来说，若要找寻Windows 2000 网域qwickbank.com的网域控制主机，客户端需发行一个DNS查询，以找寻包含ldap.tcp.qwickbank.com 名称的SRV记录。这个要求欲找寻qwickbank.com网域中提供LDAP服务的机器，并使用TCP协定来存取（LDAP唯一的选择）。查询的结果便是qwickbank.com网域，网域控制主机的名称，在这个范例中为dc1.qwickbank.com。接下来客户端便存取这个网域控制主机的A记录以取得它的IP位址，在这个范例中为192.23.14.5，然後使用LDAP和网域控制主机取得连系。为了避免客户端机器每回要存取到Active Directory资料库时都要进行查询的动作，因此便将网域控制主机的位址放在快取中，以供未来使用。</span><span  id=Layer11></font></p><p><font size=2 color=#3c3c3c face=arial>客户端使用DNS 来找寻Active Directory伺服器</span><span  id=Layer12></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>客户端使用DNS 来找寻Active Directory伺服器</span><span  id=Layer13></font></p><hr><br><center><a target=_new href=imagesh/2-1.gif><img border=0 src='imagesl/2-1.gif'></a></center></span><span  id=Layer14><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图2-1</span><span  id=Layer15>&nbsp;</b></font>DNS SRV 记录可用来找寻网域控制主机。</span><span  id=Layer16></td></table></font></center><font color=#3e72d7 face=arial size=4><b>动态DNS</span><span  id=Layer17></b></font><p><font size=2 color=#3c3c3c face=arial>在Windows 2000 中的SRV记录并非保留最新的资讯。Windows 2000 的DNS实作时，同样也支援动态DNS。动态DNS定义在RFC 2136，延展DNS协定以允许客户端从远端的系统修改DNS资料库。在Windows 2000 之前，更改zone档案需要登入到档案所在的机器上，手动地编辑。使用动态DNS，远端客户端便可以使用DNS协定来更改储存在DNS中的资讯。</span><span  id=Layer18></font></p><p><font size=2 color=#3c3c3c face=arial>动态DNS允许客户端远端地更改资讯</span><span  id=Layer19></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>动态DNS允许客户端远端地更改资讯</span><span  id=Layer20></font></p><hr><p><font size=2 color=#3c3c3c face=arial>让客户端修改DNS资料是相当有用的。举例来说，当一个Windows 2000 网域控制主机开机时，它可以自动新增一笔描述自己SRV记录到适当的DNS伺服器。</span><span  id=Layer21></font></p><p><font size=2 color=#3c3c3c face=arial>同样的，透过Dynamic Host Configuration Protocol，DHCP）动态分配IP的客户端机器可以使用动态DNS从远端新增一笔包含这些位址的A记录。</span><span  id=Layer22></font></p><p><font size=2 color=#3c3c3c face=arial>灵活地从远端的系统更改DNS资料的能力带来一个令人烦恼的问题：安全性。一台DNS伺服器如何能控制哪些客户端能够修改它包含的资料呢？在Windows 2000 DNS的实作中，客户端与伺服器协商要使用哪一个协定来验证客户端。不用太讶异，预设是Kerberos，也是Windows 2000 分散式安全性的主要协定。</span><span  id=Layer23></font></p><font color=#3e72d7 face=arial size=4><b>储存DNS资料</span><span  id=Layer24></b></font><p><font size=2 color=#3c3c3c face=arial>当然，透过DNS存取的资讯是储存在DNS资料库中，不管你是如何存取到它  透过动态DNS或由某人手动地编辑。传统的DNS将它的记录储存在一般的档案，也就是之前提及的Zone档案。不过因为Windows 2000 包含一个更一般性的资料库让Active Directory使用，所以又何必为DNS维护另一个储存体的机制呢？在Windows 2000，所有DNS资料可以选择性地储存在Active Directory维护的资料库中，而非储存在Zone档案。虽然这不是强制性的，不过开启这个选项可以让目录管理者的生活更简单些，因为他们只须要关心单一的目录资料库。或许更重要的事情是DNS与Active Directory两者都需要复制资料，将DNS资料储存到Active Directory资料库中，如此便只要维护一个单一的复制拓  （replication topology）就行了。</span><span  id=Layer25></font></p><p><font size=2 color=#3c3c3c face=arial>DNS资料能够储存在Active Directory资料库中</span><span  id=Layer26></font></p><hr><font face=Arial Black color=#3e77d7 size=3><b></b></font><p><font size=2 color=#3c3c3c face=arial>DNS资料能够储存在Active Directory资料库中</span><span  id=Layer27></font></p><hr><p><font size=2 color=#3c3c3c face=arial>如图2-2所示，Windows 2000 DNS同样也支援标准的DNS复制协定。如此一来，允许Windows 2000 DNS伺服器来复制异质的DNS伺服器系统，如UNIX系统。</span><span  id=Layer28></font></p><br><center><a target=_new href=imagesh/2-2.gif><img border=0 src='imagesl/2-2.gif'></a></center></span><span  id=Layer29><center><table border=0 ><td align=center><font color=#3c3c3c face=arial size=2><font size=2 face=arial color=#3e80d7><b>&nbsp;图2-2</span><span  id=Layer30>&nbsp;</b></font>即使资料是储存在Active Directory资料库，Windows 2000还是支援标准的DNS复制。</span><span  id=Layer31></td></table></font></center><p><font size=2 color=#3c3c3c face=arial>值得强调的是Active Directory并不需要使用包含在Windows 2000 中的实作部份。它只需要支援SRV记录的DNS伺服器。虽然支援动态DNS是一件很好的事，不过Active Directory在没有动态DNS的状态下也可以运作良好。对於没有动态DNS的系统管理员来说，生活会较为痛苦，他们需要手动地维护网域控制主机的SRV记录，不过动态DNS并不是必要的。</span>
	</body></html>