AD与DNS的关系
2006-04-12   网络

Active Directory 和 DNS 的关系
　　Active Directory 是 Windows 2000 中新增的目录服务。该服务存储所有网络资源的信息，如计算机、共享文件夹、用户等等。它还通过标准的 Internet 协议（轻量目录访问协议，LDAP）将此类信息提供给用户和应用程序。有关 Active Directory 的详细信息，请参阅 Technet 文章设置 Active Directory 域 。
　　与 Microsoft Windows NT® 4.0 中的域控制器相比，Active Directory 与 DNS 的关系更加密切。实际上，DNS 是支持 Active Directory 所必需的。通常，安装 Active Directory 服务器时，如果网络上找不到 DNS 服务器，就会在安装过程中安装 DNS 服务器。

支持域控制器的定位器服务
　　Windows 2000 中最重要的新概念之一就是：计算机不再主要用网络基本输入/输出系统 (NetBIOS) 名称来标识，而是使用 DNS 完全合格的域名称 (FQDN) 来标识，如“server1.duwamishonline.com”。
　　因此，要登录并访问 Windows NT 域中的资源，Windows 2000 计算机必须查找 DNS 服务器，后者帮助定位 Active Directory 域控制器。换句话说，DNS 用作域控制器的定位器服务。

与 Active Directory 集成
　　Windows 2000 DNS 服务器的另一个重要功能是：DNS 区域可以集成到 Active Directory 中，以提供增强的容错和安全功能。每个与 Active Directory 集成的区域将自动复制到 Active Directory 域的所有域控制器中。
　　不过，仍可以将 Windows 2000 DNS 服务器配置为基于传统文件的 DNS 服务器。但是，要提供 DNS 服务容错功能，除主 DNS 服务器外，还必须手动安装辅 DNS 服务器。

配置 Duwamish Online 的 DNS 服务
　　Duwamish Online 要求使用外部和内部域名称解析。
　　在外部，DNS 服务将“www.DuwamishOnline.com”解析为 Web 服务器的 IP 地址。Duwamish Online 应用程序使用内部名称解析来解析服务器的名称。要从 COM+ 列队组件 (QC) 访问消息队列 (MSMQ) 公共队列，必须使用 Active Directory，而后者又要求使用 DNS。有关 MSMQ 和网络体系结构的详细信息，请参阅 Duwamish Online Message Queuing Configuration 上的文章 。
　　在 Windows 2000 中安装 DNS 服务相对比较简单。但是，外部和内部 DNS 信息的安全要求是不同的。在本节中，我们将讨论这些安全问题和可能的解决方案。我们将讨论（消息队列配置使用的）Active Directory 服务与 Duwamish Online Web 群中 DNS 之间的关系。还要告诉您如何注册域名，如何安装带有 Windows 2000 的 DNS 服务器。

公用和专用 DNS 信息的安全问题
　　最初，我们安装了两台 DNS 服务器：一台主 DNS 服务器和一台用于冗余的辅 DNS 服务器。在这些 DNS 服务器中设置了两个区域：一个用于外部 Internet 域“DuwamishOnline.com”，另一个用于内部域“InternalDomain.com”。
　　如前所述，安装用于内部域的 DNS 服务器是 Windows 2000 Active Directory 域的新要求。使用该原始配置，将 DNS 服务器同时设置为内部域和外部域的“多主”，例如，外部网络接口卡 (NIC) 的 IP 地址为 192.168.100.1，内部 NIC 的 IP 地址为 10.10.10.1。
　　允许 Internet 用户向服务器查询外部区域。但是，因为同一 DNS 服务器同时管理外部和内部区域，所以外部用户也可以向服务器查询内部区域。Internet 用户可以使用基本网络工具（如名称服务搜索，NSLookup）访问所有内部域 DNS 信息。
　　理论上，无法将任何网络数据包路由到内部域，直接攻击内部服务器。但是，向外界泄露的内部信息越少，操作的安全性越高。这可防止他人利用后端服务器（此处存储重要业务信息）的潜在漏洞，进一步窃取机密信息。

DNS 部署的解决方案
　　下面列出了一些解决原始配置安全问题的方案：?
　　两个域/区域使用各自的 DNS 服务器。
　　由 Internet 服务提供商 (ISP) 托管外部 DNS。
　　将两个区域放在一台服务器中，并用正确的访问控制配置 Active Directory。
　　使用各自的 DNS 服务器
　　解决安全问题的一种方法是使用两台单独的 DNS 服务器将两个区域的 DNS 操作分开，一个放在公共网段，另一个仅用于内部 DNS 查询。
　　但是，对于小型 Web 操作，并不希望再多管理一台服务器。实际上，根据一般建议所述，每个区域至少配置两台权威名称服务器，那么我们需要安装四台 DNS 服务器为两个域（带有主 DNS 服务器