先解释一下什么是SRV资源记录(DNS大家都懂),SRV是一种DNS协议中的资源类型,其余的类型还包括A ,AAAA, TXT等等。那么SRV主要是记录了哪台计算机提供了何种的服务这样的一个信息,而且SRV 一般记录了存在于微软的活动目录设置时的应用。DNS可以不知道谁是活动目录,但是没有dns,活动目录恐怕根本没有活下去的意义。所以有了dns,加入活动目录的客户端就可以找到域控服务器,并且可以找到企业中的小伙伴...(虽然我也不知道找到有啥用,以后研究吧)
现在就介绍AD服务中DNS的SRV记录。图中vxx2728.com的 _msdcs委派给了_msdcs.vxx2728.com,msdcs包含了四个子域dc ,domain ,gc和pdc。
gc和dc:dc和gc其实并没有本质的区别,就是按照站点划分的,可以让客户端快速的找到AD服务(kerberse ,ldap 等),site负责对应活动目录中的物理结构,客户端一般都是寻找与自己同站点的服务器提供服务,相应的SRV记录也在此记录。基于域名查找域控服务器的SRV记录即为_kerberos的属性。
这个属性说明了在vxx2728.com的DFSN._sites.dc.msdcs子域中有一个使用tcp的kerberos服务器(注意就是域可控制器)。当用户通过tcp协议的88端口对kerbero 做请求时,这台DC将做反应。
Domains :domains 下面的那些数字是domainguid,_ldap._tcp.domainguid.domains._msdcs.vxx2728.com.这个属性面板说明,当用户通过tcp 协议的389端口对ldap 进行请求时,vxx2728.com下的子域domainguid.domains._msdcs将做出反应。
_sites:站点代表的是一个高速连接区域,根据DC的站点从属关系来建立了DC索引之后,客户端就可以检查_SITES来寻找本地服务,而不必通过WAN 来发送它们的LDAP查询请求。标准LDAP查询端口是389,全局编录查询则使用3268(如图所示)。在site 中提供三种服务,gc,Ldap,kerberos,其实gc指的也是ldap,但是ms取了一个名字,叫Global Catalog,是与一个域的子集交流的服务。也就是site具备了除_kpasswd这外的其他所有服务。以下是其具体说明:
1,_gc._tcp.._sites. 允许客户机找到与指定的使用活动目录根域的站点最切合的全局目录服务器。
2,_kerberos._tcp.._sites. 允许客户机找到最切合指定站点的域中的DC 。
3,_ldap._tcp.._sites. 允许客户机在最切合指定站点的域中找到ldap 服务器
_tcp:收集了DNS 区域中的所有DC 也就是提供kerberos 验证服务的服务器。如果客户端找不到它们特定的站点,或者具有本地SRV 记录的任何DC 都没有响应,需要寻找网络中其他地方的DC,就应该将这些客户端放到这个分组中。在这个子域中,可以得到AD得所有服务。
gc,kerberos,kpasswd,ldap,以下是其具体说明:
1,_ldap._tcp.—允许客户机在指定域中找到ldap 服务器
2,_gc._tcp.—允许客户机找到使用活动目录根域的全局目录服务器
3,_kerberos._tcp.—允许客户机找到对本域的kerberosKDC 服务
4,kpasswd._tcp.—允许客户机找到域中的kerberos 改变密码服务
_udp:kerberos v5允许客户端使用获取票证并更改密码。这是通过与相同服务的TCP 端口对应的UDP 端口来完成的, 票证交换使用UDP 的88端口,而密码更改使用464。以下是其具体说明:
1,kerberos._udp. 允许客户机找到对本域的kerberosKDC 服务,使用udp
2,_kpasswd._udp. 允许客户机找到域中的kerberos 改变密码服务,使用udp
_domaindnszone,_forestdnszone:对于客户端不支持查询SRV记录时,那么他要找相应的服务器,就到这里面去找了。
综上我们可以清楚地发现,这些域名对应的就是一些特定的服务......
网友评论