Windows 2000中的動態域名系統

目前在RFC2136標準中定義的DNS標準描述了允許DNS動態更新記錄的一系列規則，基于這種規則的DNS系統可以稱為DDNS。Windows2000包括的DNS系統支持DDNS標準。DDNS是對長期使用的名稱解析標準的革新，對網絡規劃和管理都會產生深遠的影響！ 我們知道DNS在大多數NT4的網絡中沒有什么用，在這些較低層次的網絡中，DNS主要用于支持Unix主機或INTERNET提供的服務。在NT4中首選的本地解析服務是WINS。在NT4網絡中，應用NETBIOS名稱來識別和定位資源、服務。雖然WINS在NETBIOS網絡中實現解析服務較方便快捷，但不幸的是，WINS和其他NETBIOS域名服務并未被廣泛接受。在不同種類的主流網絡中，域名系統是被認可的域名解析服務，而域名系統的基礎是DNS。微軟之所以選擇WINS而非DNS的主要原因就是因為它支持動態更新，動態更新在網絡中是很關鍵的。但是由于因特網將DNS作為首選的名稱解析標準，使用傳統的NETBIOS的微軟網同因特網的連接就較困難。所以在微軟網絡中使用DNS已經是勢在必行。DDNS將在Windows2000中取代WINS，成為首選的名稱解析服務。 DNS 的主要的功能是主機名解析，即將主機名轉換為IP地址，實現TCP/IP網絡中的資源通訊。在靜態DNS系統中，所有的解析項都是由管理員手工填寫的，非常不方便。特別是現在的網絡規劃中都使用動態主機配置協議（DHCP）來分配客戶機的IP 地址，靜態DNS是無法支持DHCP的。DDNS比靜態DNS有很多優點，它既支持動態更新，又可以兼容于NT4網絡，支持手工刷新；它結合WINS的動態能力和傳統DNS的穩定性和健壯性。當然，在最近的幾年里，只要用戶需要WINS繼續支持低級客戶機和依賴NETBIOS系統的應用程序，WINS和DDNS會共存。但我們的最終目的是取消NETBIOS，統一于因特網的DNS系統實現解析。 在Windows2000網絡中，活動目錄（Active Directory）是實現網絡管理的先進的目錄服務技術?；顒幽夸浭怯蒓U、DOMAIN、TREE、FOREST所構成的層次化邏輯結構，網絡中的所有資源都以對象的形式組織到活動目錄中，便于用戶的資源訪問和管理員的集中管理。在活動目錄中集成了兩個重要的Internet工業標準：DNS和LDAP。DNS作為活動目錄的定位服務，是必須的；LDAP是Internet標準的目錄訪問協議，用于訪問、檢索活動目錄中的資源。LDAP是目錄存取協議（DAP）的簡便版，是一個X.500目錄存取協議。Windows2000中不僅兼容LDAP協議，微軟建立Windows2000作為LDAP服務器，用LDAP來讀寫活動目錄。為了定位能服務于LDAP請求的Windows2000服務器，客戶級必須首先向DNS服務器發送服務器定位解析請求。Windows2000的DDNS服務器包含每一個LDAP服務器的服務資源（SRV）記錄。通?？梢栽赪indows2000的DDNS服務器中找到LDAP SRV記錄的列表，內容如下： _ldap._tcp.DnsDomainName. _ldap._tcp.SiteName._sites.DnsDomainName. _ldap._tcp.dc._msdcs.DnsDomainName. _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName. _ldap._tcp.pdc._msdcs.DnsDomainName. _ldap._tcp.gc._msdcs.DnsForestName. _ldap._tcp.SiteName._sites.gc._msdcs.DnsForestName. _gc._tcp.DnsForestName. _gc._tcp.SiteName._sites.DnsForestName. _ldap._tcp.DomainGuid.domains._msdcs.DnsForestName. 以上SRV記錄標識LDAP服務器通過TCP協議定位特殊的資源。例如，為了找到mycompany.com域的域控制器，客戶需要查詢DDNS來解析ldap.tcp.mycompany.com到IP地址的轉換.這里要注意一個問題，雖然Windows2000中強烈建議支持DNS動態刷新，但并不嚴格要求，而支持SRV記錄是最小的要求。實際上，在Windows2000網絡中，無論大小，在不能動態更新的情況下執行DNS是不實際的。如果不支持動態更新，就需要手工添加和更新DNS中的SRV記錄。 在Windows2000網絡中，公司的活動目錄域名空間，反映了自己的DDNS名稱空間。在活動目錄中的域在DDNS中也應有。當組建公司的DDNS結構時，必須考慮域和子域在活動目錄中的使用方式?；顒幽夸浀脑O計對DDNS的設計有很大影響。兩者的設計應很好地結合起來！ 當生成活動目錄的域時，它既是活動目錄的名稱空間中的域又是DDNS的名稱空間中的域。它在活動目錄中是一個物理的節點，在DDNS中是一個區域。當解析網絡上的客戶機時，客戶機需根據存儲在活動目錄中的帳戶信息說明來確認它的登錄，且客戶機必須在DDNS的區域中動態的注冊。例如，一個客戶機用一個易解析的名字登錄活動目錄如clIEnt@mycompany.com，將用其主機名和IP地址更新DDNS。在DDNS完成動態更新后，一條A紀錄就存在于DDNS中了，將用于解析查詢。讓mycompany.com域的其他成員可以訪問它。這里要注意，活動目錄的域成員在DDNS上存儲的主機紀錄，應該有相同的域名稱?；顒幽夸浀拿Q空間和DDNS的名稱空間應該是相同的。如果活動目錄要求獨立的域，DDNS應該反映出這種結構。 在理想的情況下，設計DDNS和設計活動目錄的目的是一樣的常用的DNS設計標準如下： 最頂層的域應該保持不變，這個域通常是公司的名稱，如mycompany.com； 由國內和國際業務的公司經常將DNS的名稱空間分成子域，每個子域代表不同的管理任務； 當單個域很大時，應該把它分成幾個子域。這樣會減少管理域的工作量，并減少DNS服務器的負荷量； 公司也可以根據公司的地理分布、管理機構及IT支持結構來建立相應的子域。 有了這些可供選擇的方法及充分認識DDNS的靈活性后，根據DNS的設計標準，就可以決定怎樣劃分名稱空間。但最重要的是DNS的子域和活動目錄的域應匹配。如果公司有因特網業務，在設計DNS時就應該有一個更遠的打算，并且判斷把名稱空間提交到因特網是否與內部有所不同，下面我們具體分析一下： 為了一致性，一些公司對內部和外部的用戶提供一個相同的DNS名稱空間。在這種方案中，代表一個目錄的單個的DDNS域，如contoso.com，它內部的資源能在防火墻的內部和外部方便地轉換為IP 地址。當然，對內部和外部的用戶使用單一的名稱空間也有一些問題需要解決，例如，不想讓因特網的每個用戶都知道內部主機的紀錄，不想把所有的內部IP地址在因特網上公開，以及需要提供一種方法給內部用戶，實現把內部和外部資源轉換為IP 地址。最好的辦法是將內部資源和外部資源紀錄存儲在不同的區域中，讓內部資源的IP地址對外部用戶是不可見的，在內部和外部的區域之間沒有復制，即本質上它們共享相同的域名，但它們的操作是獨立的：它們都是在的DDNS服務器上不同的基本的區域。那么內部的用戶怎樣才能訪問域外的資源呢？這有多種解決方案，較流行的方法是在防火墻的內部建立外部資源的副本，然后通過代理來訪問，就好象訪問內部名稱一樣。這種內部和外部的資源使用相同的名稱空間，要有很多附加的配置，集成工作較復雜！參見示例圖一

示例1 一個有因特網業務的公司也可以有不同的內部和外部域名稱。例如在防火墻內部使用contoso.local，防火墻的外部使用contoso.com，通過用不同的內部和外部名稱名稱空間，公司為內部資源提供保密，同時簡化名稱解析過程。不需要把外部服務器鏡像到防火墻內部，或在外部服務器和鏡像服務器之間配置代理。這種方法配置起來非常簡單，公司用戶可以根據FQDN來區分內部和外部的資源。這種DDNS建立的兩個域名空間，都應該在因特網上單獨注冊。盡管contoso.local只在內部使用,但也應該注冊,以防止其他人使用。否則如果被別人注冊了，當內部用戶把瀏覽器指向www. contoso.local，就有可能訪問到其他的Web站點了。 參見示例2 在Windows2000網絡中，由于活動目錄與DNS緊密集成在一起，意味著活動目錄更適合于Internet和Intranet環境?？蛻艨梢愿菀赘杆俚卣业侥夸浄掌?；企業可以把活動目錄直接連接到Internet以簡化與客戶和合作伙伴進行通訊和提供電子商務?；顒幽夸洶惭b后，它將自動通過DDNS進行發布。也就是說使用DDNS的Windows2000網絡，將方便可靠地同Internet連接起來！(中國科學院軟件研究所微軟認證高級技術培訓中心 申兵).