Active Directory 和域名系统(DNS)的相互关系

news/2024/7/17 4:00:21

什么是域名系统(DNS)

域名系统(DNS),从一般意义上讲是一种将主机名或域名解析为相应IP地址的手段。

在 AD 的中,DNS 服务维护 DNS 域和子域的工作命名空间,这些域和子域主要有助于查找过程,它有助于识别和查找任何私有 AD 环境中的各种资源。

DNS 服务器在 AD 域和站点中协同运行,以实现用户和计算机的名称解析以及其他功能,在大多数情况下,没有单个 DNS 服务器可以执行所有基本服务,因此 DNS 服务器在逻辑上组合在一个分层网络中,以便在 AD 网络中实现无缝的 DNS 服务。

AD如何使用DNS的服务

AD 对 DNS 的依赖可以通过以下几点来理解:

  • DC定位器流程
  • DNS 资源记录
  • DNS 区域和区域文件
  • DNS 和 LDAP

DC定位器流程

域控制器 (DC) 是 AD 环境中的主要身份验证和授权服务器,它是安装了 AD DS 服务器角色的服务器。

要使用 AD 的核心服务(即查找、验证和授权用户访问以及修改任何 AD 对象,例如用户、组或计算机),DNS 服务器用于“查找”相应 AD 站点中可用的 DC。

以下是 DC 如何定位的简要说明

  • DNS 协议是 TCP/IP 协议套件应用层的一部分,用于定位和联系最近的 DC。
  • 客户端计算机向 DNS 服务器发送 DNS 查询以进行 DNS 解析,DNS 服务器是使用客户端计算机上的 TCP/IP 配置设置来标识的。
  • DNS 服务器使用与请求匹配的 DNS 记录列表来响应此请求,它通常包含所请求域中所有可用 DC 的列表。
  • 客户端计算机验证此响应(称为 SRV 记录),并根据分配给该记录的优先级和权重选择一个 DC。
  • 客户端发出第二个 DNS 查询,请求 DNS 服务器提供所选 DC 的 IP 地址。
  • DNS 服务器检查 A 记录,并使用相应的 IP 地址响应客户端请求。
  • 有了这些信息,客户端就会联系 DC 并启动通信。

在这里插入图片描述

DNS 资源记录

DNS服务器负责维护DNS数据库中各种类型的数据记录。

在 DNS 数据库中保存的许多资源记录中,对于 DC 定位器进程,服务位置记录(SRV 记录)至关重要。

如上一节中有关 DC 定位器过程的部分中简要介绍的那样,客户端计算机对 DNS 服务器提供的多个 SRV 记录进行排序,作为对其第一个 DNS 查询的响应。每条记录都有一个关联的服务器主机名,可能提供客户端所需的服务。

在某些情况下,可能会向任何给定域中的客户端提供来自所有 AD 站点的多个 SRV 记录,以获取所需服务,在这种情况下,将检查与每个服务记录关联的权重和优先级信息,并选择分配给它的优先级较低的记录。

对于具有相同优先级的记录,将选择相对权重较低的记录,以允许管理员进行负载平衡。

客户端计算机使用与此选定 SRV 记录关联的主机服务器名称继续执行获取所选 DC 的 IP 地址的下一步。

选择合适的 DC 后,来自客户端计算机的第二个 DNS 查询将请求 DNS 服务器发送包含所选 DC 的 IP 信息的 A 记录(主机记录)。因此,A 记录是 DNS 为 DC 定位器进程维护的其他关键资源记录。

DNS 区域和区域文件

SRV 记录和 A 记录不是 DNS 服务器上维护的唯一资源记录,DNS 服务器数据库中存储了近 90 条官方资源记录,其中许多也对 AD 功能有益。在介绍任何其他资源记录之前,了解 DNS 区域和区域文件会派上用场,以便了解记录在服务器中的存储方式。

DNS 区域是 DNS 命名空间的管理派生,由 AD 管理员管理和控制,用于存储和复制可修改的 DNS 数据,Active Directory 集成的 DNS 区域是 AD 数据库目录分区的一部分,称为应用程序分区。

从物理意义上讲,这些区域以文本文件或“区域”文件的形式包含数据或 DNS 相关信息,DNS 区域所表示的域和子域的 DNS 数据记录存储在这些文本文件中。

在逻辑 AD 体系结构中,这些区域表示容器对象组,其中包含多个其他 AD 对象,存储在 AD 中的每个唯一名称都由唯一的 DNS 节点对象标识。DNS 记录是分配给这些对象的多值属性。

DNS 区域可分为以下几类

  • 存储区域数据主副本的主要区域。
  • 存储区域数据只读副本的辅助区域。
  • 仅包含有限资源记录的存根区域,用于标识权威服务器。
  • AD-DNS 集成区域,这些区域将 DNS 数据存储在 AD 数据库中,并使用 AD 的复制模型修改任何特定 DC 上的 DNS 数据,从而将其反映在 AD 林中的所有 DC 中。

DNS 和 LDAP

每个 AD 对象都由唯一的命名标准标识。

这些可分辨名称(DN)到 IP 地址的解析是在 LDAP 的帮助下进行的,此协议在 AD 环境中用于搜索每个 AD 对象并修改或管理与目录服务的通信,而无需知道资源的确切位置或 IP 地址。这是可能的,因为 AD 服务与 DNS 集成。

LDAP 身份验证过程使用存储在 LDAP 服务器数据库中的 DNS 条目,该数据库称为目录系统代理或 DSA,在身份验证的两个阶段中,解析和验证 DN 和密码。如果提供的凭据与 LDAP 数据库中存储的凭据匹配,则服务器将验证并授权用户访问各种网络资源。

可以看到 AD 对 DNS 的相互依赖性非常广泛,AD 的工作原理详尽地建立在 DNS 框架之上。

DNS 数据极易受到安全威胁,AD 集成的 DNS 区域容易受到各种安全渗透尝试的影响,拒绝服务攻击、DNS 欺骗和 DNS 劫持是网络攻击者破坏组织 DNS 服务器的众多方式中的一部分,应仔细监控 Active Directory,并有效执行AD-DNS集成以确保安全性。对 AD-DNS 体系结构的攻击如果不加以预防或至少得到有效管理,可能会严重损害组织的安全状况。


https://www.xjx100.cn/news/3091565.html

相关文章

Unreal引擎自带的有用的工具函数,持续更新中

Unreal引擎自带的有用的工具函数,持续更新中 1、计算三角形法线、面积等的函数 Epic Games\UE_x.x\Engine\Source\Runtime\GeometryCore\Public\VectorUtil.h 2、计算FMeshDescription的切线、法线和简单UV等的函数 Epic Games\UE_x.x\Engine\Source\Runtime\Static…

-bash: ./deploy.sh: /bin/bash^M: bad interpreter: No such file or directory

文章目录 场景解决 场景 jenkins 发布失败, 报错ERROR: Exception when publishing, exception message [Exec exit status not zero. Status [126]], 这说明远程服务器的deploy.sh执行失败, 首先检查权限,没有发现问题,然后手动执行一遍又报错"-ba…

帮助中心搭建指南:帮助中心所具备的三大要点,不能忽略!

在当今的数字化时代,用户体验已经成为企业成功的关键因素之一。帮助中心作为企业与客户沟通的重要渠道之一,其搭建过程中需要注意的三大要点不容忽视。接下来就详细介绍一下这三大要点,帮助你构建一个高效、便捷、完善的帮助中心,…

[java进阶]——泛型类、泛型方法、泛型接口、泛型的通配符

🌈键盘敲烂,年薪30万🌈 目录 泛型的基础知识: ♥A 泛型的好处: ♠A 泛型擦除: ♣A 泛型的小细节: 泛型的使用: ①泛型类: ②⭐泛型接口: ③泛型方法&…

「Verilog学习笔记」ROM的简单实现

专栏前言 本专栏的内容主要是记录本人学习Verilog过程中的一些知识点,刷题网站用的是牛客网 分析 要实现ROM,首先要声明数据的存储空间,例如:[3:0] rom [7:0];变量名称rom之前的[3:0]表示每个数据具有多少位&#xff0…

1. 基础语法

文章目录 一些基本的概念JDK 和JREJava语言的编译原理编译器和jdk的安装 编译器的基础介绍新建项目的规范src文件介绍src规范强调包 ModuleIJ的一些特殊的操作分屏写代码去掉代码提示的大小写限制注释设置文件编码设置 设置回车快捷键 Java语法基本概念关键字修饰符 与 非修饰符…

串口工作流程硬核解析,没有比这更简单的了!

串口通信,就是我们常说的串口通讯,是一种短距离、点对点的数据传输方式。它基于串行通信协议,通过串口线连接设备进行数据交互。串口在很多硬件系统中广泛使用,是工控机、单片机、外设设备之间信息交换的重要接口。 那串口是怎么工作的呢?我们举个形象的例子。假设A和B是两台…

C语言——深入理解指针——函数指针

一、函数指针变量 1.1 函数指针变量的创建 什么是函数指针变量呢&#xff1f; 函数指针变量应该是用来存放函数地址的&#xff0c;未来通过地址能够调⽤函数的。 那么函数是否有地址呢&#xff1f; 我们做个测试&#xff1a; #include <stdio.h> void test() {print…