微软的AD对DNS的要求可以总结为以下3点:
a、在DNS名字空间中支持下划线,因为在AD中有些重要的子域需要在其名字中使用下划线。
b、支持SRV记录。
c、动态DNS(也可以使用不支持动态DNS)
有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录(RFC2782)和动态更新(RFC2136)的Linux系统上运行的BIND,或者Lucent公司的QIP DNS/DHCP系统。
但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线,但不支持动态DNS,仍然可以使用一个名字为Netlogon.dns的文件来实现AD。
每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录,并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候,Netlogon服务会与主DNS服务器联系,并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情,它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在\Windows\System32\Config\中———进入任何一台DC,使用记事本可以查看该文件中有大量的SRV记录。
如下图所示:
利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。
a、首先在DNS服务器上(不支持动态升级,如NT4.0)建立一个区域jzlld.vicp.net作为主要区域。将这个区域文件命名为jzlld.vicp.net.dns。
b、为jzlld.vicp.net域中的每台DC输入A记录。
c、进入jzlld.vicp.net域中的每台DC,然后启动它的Netlogon服务。
d、把该DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一张软盘或者网络上。
e、取得所有DC的Netlogon.dns文件后,在jzlld.vicp.net的主DNS服务器上把它们合并成一个大ASCII文件。
f、在这台DNS服务器上,停止DNS服务。
g、在\%SystemFiles%\System32\DNS中,用notepad打开文件jzlld.vicp.net.dns。、
h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzlld.vicp.net.dns这个文件时收集的SRV记录。
i、保存这个文件。
j、重新启动DNS服务。
这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了:)
缺点:
a、收集所有DC的Netlogon.dns文件需要做大量的工作。
b、并不具有很好的动态性,如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。
