Active Directory 中的 DNS 是什么？

自从 Windows 2000 Server 中引入 Active Directory 技术以来，IT 管理员就一直在使用和围绕 Active Directory 进行工作。 Windows 2000 Server 于 2000 年 2 月 17 日发布，但许多管理员在 1999 年末开始使用 Active Directory，当时 Active Directory 于 1999 年 12 月 15 日发布到生产环境 (RTM)。

什么是活动目录 DNS？

AD DS 提供了一种通过使用 Active Directory 集成的 DNS 区域来存储和复制 DNS 记录的内置方法。

区域内存储的所有记录和区域数据都通过使用本机 AD DS 复制服务复制到其他 DNS 服务器。每个 DC 都存储其权威命名空间的 DNS 区域数据的可写副本。 Active Directory 集成区域还提供使用安全动态更新的功能，该更新支持控制哪些计算机可以进行更新并防止进行未经授权的更改。

DNS 区域数据存储在应用程序目录分区中。名为 ForestDnsZones 的林范围分区用于区域数据。对于每个 AD DS 域，都会创建一个名为 DomainDnsZones 的域分区。

通常，DNS 实现与连续命名空间一起使用。

例如，AD DS 域的完全限定域名 (FQDN) 可能是 corp.contoso.com，而该域中客户端的 FQDN 可能是client.corp.contoso.com。但是，AD DS 和 Active Directory 集成的 DNS 区域支持不相交的命名空间。在这种情况下，AD DS 域的 FQDN 可能是 na.corp.contoso.com，而客户端 FQDN 可能是 client.corp.contoso.com。请注意，FQDN 的“na”部分不存在于客户端 FQDN 中。使用不相交命名空间时有几个要求和注意事项。

有关详细信息，请参阅 https://technet.microsoft.com/en-us/library/cc731125%28v=ws.10%29.aspx。

三个特定的 DNS 组件

AD DS 需要 DNS 才能运行，并为 AD DS 基础结构使用三个特定组件：

• 域控制器定位器。

定位器在 Net Logon 服务中实现，并提供 AD DS 环境中 DC 的名称。定位器使用地址 (A) 和服务 (SRV) DNS 资源记录来识别 AD DS 环境中的 DC。

• DNS 中的 Active Directory 域名。

DNS 中的 AD DS 域名是我们之前讨论的 FQDN。

• Active Directory DNS 对象。

虽然 DNS 域和 AD DS 域通常具有相同的名称，但它们是具有不同角色的两个独立对象。 DNS 存储 AD DS 所需的区域和区域数据，并响应来自客户端的 DNS 查询。 AD DS 存储对象名称和对象记录，并使用 LDAP 查询来检索或修改数据。存储在 AD DS 中的 DNS 区域有一个位于 dnsZone 类中的容器对象。 dnsZone 对象有一个 DNS 节点，它使用 dnsNode 类。 DNS 区域中的每个唯一名称都有一个唯一的 dnsNode 对象。对于 AD DS，这还包括单独的功能。因此，一个DC可能具有多种角色，例如作为全局编录服务器，这在dnsNode对象中指示。

Active Directory 中的 DNS 记录

如前所述，DC 由 DNS 区域 中的 SRV 记录标识。 AD DS 的组件在 _msdcs 子域中使用以下格式存储在 DNS 中：_Service.Protocol.DcType._msdsc.DnsDomainName。

例如，contoso.com AD DS 域中主域控制器 (PDC) 的轻型目录访问协议 (LDAP) 服务将为 _ldap._tcp.pdc.contoso.com。服务和协议字符串使用下划线 (_) 作为前缀，以避免与命名空间中的现有资源或记录发生潜在冲突。

Net Logon 服务需要17 条不同的 SRV 记录来执行查找。 SRV 记录的完整列表可以在 https://technet.microsoft.com/en-us/library/cc759550%28v=ws.10%29.aspx 中找到。

除了 SRV 记录之外，对于可能不了解 SRV 的客户端，Net Logon 服务还需要两条 A 记录。其中包括 DnsDomainName 记录和 gc._msdsc.DnsForestName 记录。这使得非 SRV 感知的客户端能够使用 A 记录查找域控制器或全局编录服务器。

最佳实践

DNS 容易受到安全威胁，例如足迹、拒绝服务攻击、数据修改和重定向。

为了减轻这些威胁，可以通过使用安全动态更新、限制区域传输以及实施区域委派和DNS 安全扩展 (DNSSEC) 来保护 DNS 区域。通过使用安全动态更新，计算机将通过 Active Directory 进行身份验证，并且在执行区域传输时将应用安全设置。

此外，区域传输还可以限制到网络内的特定 IP 地址。可以使用两种方法来实现区域委派。

首先，限制 DNS 更改仅限于单个团队或实体，并跟踪和批准所有更改。此方法限制了进行更改的人员数量，但允许出现单点故障。

其次，区域可以委托给将管理网络或域的每个组件的个人。虽然更改可能仍需要获得批准和跟踪，但这会将风险分散到多人之间，并且如果只有一个组件受到损害，则可能会限制损失。

DNSSEC

DNSSEC 通过提供原始授权、数据完整性和经过身份验证的拒绝存在来验证 DNS 响应。 Windows Server 2012 的 DNSSEC 实现符合 RFC 4033、4034 和 4035 标准。

有六种资源记录类型专门用于 DNSSEC：

• 资源记录签名 (RRSIG)

• 下一个安全 (NSEC)

• 下一个安全 3 (NSEC3)

• 下一个安全 3 参数 (NSEC3PARAM)

• DNS 密钥 (DNSKEY)

• 委托签署人 (DS)

有关每种记录类型及其用途的详细信息，请参阅 https://technet.microsoft.com/en-us/library/jj200221.aspx。

有关 Active Directory 基础的更多信息，您可以在我们的 AD 初学者教程中找到。