實(shí)現(xiàn)林間的選擇性身份驗(yàn)證 . .....................................................................................

實(shí)現(xiàn)林間的選擇性身份驗(yàn)證 . ..........................................................................................................2

了解存根區(qū)域 . ...............................................................................................................................2

關(guān)于DNS 客戶端的“備用DNS 服務(wù)器”..........................................................................................5

實(shí)現(xiàn)林間的選擇性身份驗(yàn)證

在創(chuàng)建林信任時(shí)可以選擇“全林性身份驗(yàn)證”和“選擇性身份驗(yàn)證”兩種身份驗(yàn)證級(jí)別。其中“全林性身份驗(yàn)證”是由系統(tǒng)自動(dòng)對(duì)跨林的用戶在訪問本地林時(shí)進(jìn)行身份驗(yàn)證，不須要管理員干預(yù)，一般用在兩個(gè)林都屬于同一個(gè)組織的情況下；但如果兩個(gè)林分屬不同的組織，那么最好不要選擇“全林性身份驗(yàn)證”，而應(yīng)使用“選擇性身份驗(yàn)證”。

當(dāng)使用了“選擇性身份驗(yàn)證”的身份驗(yàn)證級(jí)別后，我們應(yīng)手工指定被信任域的用戶所能夠訪問信任域中的特定的資源。

要讓被信任域的指定用戶可以訪問信任域的資源，要在信任域中的計(jì)算機(jī)屬性里設(shè)置允許被信任域的用戶可以得到驗(yàn)證。

具體做法：

◆ 設(shè)置“AD 用戶與計(jì)算機(jī)”管理工具，使其顯示高級(jí)屬性；

◆ 在信任域中，找到允許被信任域的用戶能夠訪問的計(jì)算機(jī)對(duì)象，右擊，選擇屬性并找到安全

選項(xiàng)卡；

◆ 添加被信任域的指定用戶，并勾選“允許身份驗(yàn)證”；

◆ 這時(shí)，被信任域的指定用戶就可以訪問信任域中的指定計(jì)算機(jī)了。

了解存根區(qū)域

存根區(qū)域是一個(gè)區(qū)域副本，只包含標(biāo)識(shí)該區(qū)域的權(quán)威域名系統(tǒng) (DNS) 服務(wù)器所需的那些資源記錄。存根區(qū)域用于使主持父區(qū)域的 DNS 服務(wù)器知道其子區(qū)域的權(quán)威 DNS 服務(wù)器，從而保持 DNS 名稱解析效率。

存根區(qū)域由以下部分組成：

委派區(qū)域的起始授權(quán)機(jī)構(gòu) (SOA) 資源記錄、名稱服務(wù)器 (NS) 資源記錄和粘附 A 資源記錄。

可用來更新存根區(qū)域的一個(gè)或多個(gè)主服務(wù)器的 IP 地址。 存根區(qū)域的主服務(wù)器是對(duì)于子區(qū)域具有權(quán)威性的一個(gè)或多個(gè) DNS 服務(wù)器，通常 DNS 服務(wù)器主持委派域名的主要區(qū)域。

詳細(xì)信息，請(qǐng)參閱使用存根區(qū)域。

存根區(qū)域解析

DNS 客戶端在宿主存根區(qū)域的 DNS 服務(wù)器上執(zhí)行遞歸查詢操作時(shí)，DNS 服務(wù)器會(huì)使用該存根區(qū)域中的資源記錄來解析查詢。DNS 服務(wù)器向存根區(qū)域的 NS 資源記錄中指定的權(quán)威 DNS 服務(wù)器發(fā)送迭代查詢，仿佛在使用其緩存中的 NS 資源記錄一樣。如果 DNS 服務(wù)器找不到其存根區(qū)域中的權(quán)威 DNS 服務(wù)器，那么主持該存根區(qū)域的 DNS 服務(wù)器會(huì)嘗試使用根提示進(jìn)行標(biāo)準(zhǔn)遞歸。

DNS 服務(wù)器將從存根區(qū)域中列出的權(quán)威 DNS 服務(wù)器接收的資源記錄存儲(chǔ)在它的緩存中，但不會(huì)將這些資源記錄存儲(chǔ)在存根區(qū)域本身，只有查詢響應(yīng)中返回的粘附 A 資源記錄存儲(chǔ)在存根區(qū)域中。存儲(chǔ)在緩存中的資源記錄按照每個(gè)資源記錄中的生存時(shí)間 (TTL) 的值進(jìn)行緩存。不寫入緩存的 SOA、NS 和粘附 A 資源記錄，按照在存根區(qū)域的 SOA 記錄中指定的過期間隔過期，該過期間隔是在創(chuàng)建存根區(qū)域期間創(chuàng)建的，在從原始主要區(qū)域向存根區(qū)域傳輸期間更新。

如果查詢是迭代查詢，DNS 服務(wù)器會(huì)返回一個(gè)包含存根區(qū)域中指定的服務(wù)器的參考信息。

宿主父區(qū)域和子區(qū)域的 DNS 服務(wù)器之間的通信

僅當(dāng)將這些新的 DNS 服務(wù)器的資源記錄添加到 DNS 服務(wù)器主持的父區(qū)域時(shí)，已向另一個(gè) DNS 服務(wù)器上的子區(qū)域委派域的 DNS 服務(wù)器，才可了解該子區(qū)域的新的權(quán)威 DNS 服務(wù)器。這是一個(gè)手動(dòng)過程，要求不同的 DNS 服務(wù)器的管理員經(jīng)常通信。使用存根區(qū)域，主持其委派域之一的存根區(qū)域的 DNS 服務(wù)器可在該存根區(qū)域更新時(shí)獲取該子區(qū)域的權(quán)威 DNS 服務(wù)器的更新。更新是從主持該存根區(qū)域的 DNS 服務(wù)器執(zhí)行的，不需要與主持該子區(qū)域的 DNS 服務(wù)器的管理員取得聯(lián)系。下面的示例將對(duì)該功能加以說明。

存根區(qū)域方案

父區(qū)域 example.com 的權(quán)威 DNS 服務(wù)器已經(jīng)向單獨(dú)的 DNS 服務(wù)器委派了一個(gè)子域

widgets.example.com 。最初執(zhí)行域 widgets.example.com 的委派時(shí)，父區(qū)域只包含

widgets.example.com 區(qū)域的權(quán)威 DNS 服務(wù)器的兩個(gè) NS 記錄。隨后，子區(qū)域的管理員將其他 DNS 服務(wù)器配置為該區(qū)域的權(quán)威服務(wù)器，但不通知主持父區(qū)域 example.com 的 DNS 服務(wù)器的管理員。結(jié)果，主持父區(qū)域 example.com 的 DNS 服務(wù)器不知道它的子區(qū)域的新的權(quán)威 DNS 服務(wù)器，并繼續(xù)只查詢它知道的兩個(gè)權(quán)威 DNS 服務(wù)器。

為父區(qū)域 example.com 配置權(quán)威 DNS 服務(wù)器，使其為委派的域 widgets.example.com 主持一個(gè)存根區(qū)域，這樣做使上面這種情況得到補(bǔ)救。example.com 的權(quán)威 DNS 服務(wù)器的管理員更新該存根區(qū)域時(shí)，它會(huì)查詢?cè)摯娓鶇^(qū)域的主服務(wù)器，以獲取 widgets.example.com 的權(quán)威 DNS 服務(wù)器資源記錄。結(jié)果，父區(qū)域的權(quán)威 DNS 服務(wù)器將了解有關(guān) widgets.example.com 子區(qū)域的新的權(quán)威 DNS 服務(wù)器的信息，并能夠向該子區(qū)域的所有權(quán)威 DNS 服務(wù)器執(zhí)行遞歸。

下圖演示了與父區(qū)域使用同一 DNS 服務(wù)器主持的存根區(qū)域是如何更新該子區(qū)域的權(quán)威服務(wù)器的。

使用存根區(qū)域

使用存根區(qū)域可執(zhí)行以下操作：

?

?

? 使委派的區(qū)域信息保持最新。 通過定期更新它的一個(gè)子區(qū)域的存根區(qū)域，主持父區(qū)域和存根區(qū)域的 DNS 服務(wù)器將維護(hù)該子區(qū)域的權(quán)威 DNS 服務(wù)器的當(dāng)前列表。 改進(jìn)名稱解析。 存根區(qū)域使 DNS 服務(wù)器能夠使用存根區(qū)域的名稱服務(wù)器列表執(zhí)行遞歸，而無需查詢 Internet 或 DNS 名稱空間的內(nèi)部根服務(wù)器。 簡化 DNS 管理。 在整個(gè) DNS 結(jié)構(gòu)中使用存根區(qū)域可為區(qū)域分發(fā)權(quán)威 DNS 服務(wù)器的列表，

而不用使用輔助區(qū)域。但是，存根區(qū)域與輔助區(qū)域的用途不同，考慮冗余和負(fù)載共享時(shí)，存根區(qū)域不是備用區(qū)域。

加載和維護(hù)存根區(qū)域涉及兩個(gè) DNS 服務(wù)器列表：

? DNS 服務(wù)器從其加載和更新存根區(qū)域的主服務(wù)器列表。主服務(wù)器可以是區(qū)域的主要或輔助

DNS 服務(wù)器。在兩種情況下，它將擁有區(qū)域的 DNS 服務(wù)器的完整列表。

? 區(qū)域的權(quán)威 DNS 服務(wù)器列表。該列表包含在使用名稱服務(wù)器 (NS) 資源記錄的存根區(qū)域中。 DNS 服務(wù)器加載存根區(qū)域（例如，widgets.example.com ）時(shí)，它查詢主服務(wù)器（它可位于不同的位置），尋找區(qū)域 widgets.example.com 的權(quán)威服務(wù)器的必要資源記錄。主服務(wù)器列表可包含一個(gè)或多個(gè)服務(wù)器，可隨時(shí)更改。詳細(xì)信息，請(qǐng)參閱為本地主服務(wù)器配置存根區(qū)域。

存根區(qū)域更新

存根區(qū)域更新涉及下列條件： ?

?

?

?

? DNS 服務(wù)器加載存根區(qū)域時(shí)，它查詢區(qū)域的主服務(wù)器尋找 SOA 資源記錄、區(qū)域的根目錄的 NS 資源記錄和 A 資源記錄。 存根區(qū)域更新期間，主持存根區(qū)域的 DNS 服務(wù)器查詢主服務(wù)器，尋找存根區(qū)域加載期間請(qǐng)求的同一資源記錄類型。 SOA 資源記錄的刷新間隔確定主持存根區(qū)域的 DNS 服務(wù)器何時(shí)將嘗試區(qū)域傳輸（更新）。 如果更新失敗，SOA 資源記錄的重試間隔將確定何時(shí)重試更新。 一旦重試間隔到期而未成功更新，在 SOA 資源記錄的“截止期限”字段中指定的到期時(shí)間

將確定 DNS 服務(wù)器何時(shí)停止使用存根區(qū)域數(shù)據(jù)。

使用 Microsoft 管理控制臺(tái) (MMC) 中的 DNS 控制臺(tái)可執(zhí)行下列存根區(qū)域更新操作：

?

?

? 重新加載。 從主持存根區(qū)域的 DNS 服務(wù)器的本地存儲(chǔ)器重新加載存根區(qū)域。 從主服務(wù)器傳送。 讓主持存根區(qū)域的 DNS 服務(wù)器確定存根區(qū)域的 SOA 資源記錄中的序列號(hào)是否已到期，然后從存根區(qū)域的主服務(wù)器執(zhí)行區(qū)域傳輸。 從主服務(wù)器重新加載。 從存根區(qū)域的主服務(wù)器執(zhí)行區(qū)域傳輸，不管存根區(qū)域的 SOA 資源記

錄中的序列號(hào)是多少。

驗(yàn)證“首選”和“備用DNS 服務(wù)器”的工作原理：

環(huán)境準(zhǔn)備： ?

?

?

?

?

? 客戶端的DNS 設(shè)置指向兩臺(tái)DNS 服務(wù)器 DNS 服務(wù)器1添加兩個(gè)主要區(qū)域，一個(gè)abc.com ，另一個(gè)是aa.com DNS 服務(wù)器2添加三個(gè)區(qū)域，一個(gè)是abc.com 的輔助區(qū)域，第二個(gè)是aa.com 主要區(qū)域，第三個(gè)是bb.com 主要區(qū)域 在第一臺(tái)DNS 服務(wù)器的abc.com 區(qū)域內(nèi)建立一條A 記錄“www”，對(duì)應(yīng)IP 是1.1.1.1 在第二臺(tái)DNS 服務(wù)器的aa.com 區(qū)域新建一條A 記錄“www”，對(duì)應(yīng)IP 是2.2.2.2 在第二臺(tái)DNS 服務(wù)器的bb.com 區(qū)域新建一條A 記錄“www”，對(duì)應(yīng)IP 是3.3.3.3 注：下面的驗(yàn)證過程每一次都要使用“ipconfig /flushdns”命令清空本機(jī)的DNS 緩存。 驗(yàn)證： 1. 當(dāng)兩臺(tái)DNS 服務(wù)器工作正常并聯(lián)機(jī)時(shí)，客戶端通過ping 可以正確解釋上面建立的三條主機(jī)

記錄

2. 斷開其中一臺(tái)DNS 服務(wù)器（那一臺(tái)都可以），客戶端通過ping 可以正常解釋“www.abc.com”

記錄

o 默認(rèn)情況下，客戶機(jī)會(huì)找第一臺(tái)DNS 進(jìn)行域名解釋

o 如果斷開的是第一臺(tái)，客戶機(jī)將會(huì)尋找第二臺(tái)DNS 服務(wù)器進(jìn)行域名解釋，并將第二

臺(tái)DNS 服務(wù)器設(shè)置為主要的DNS 服務(wù)器。（也就是說下一次進(jìn)行域名解釋時(shí)，會(huì)

直接找第二臺(tái)DNS 服務(wù)器而不是第一臺(tái)。除非第二臺(tái)脫機(jī)，或無法解釋，才會(huì)找回

原來的第一臺(tái)，在第一臺(tái)正常的情況下把第一臺(tái)DNS 服務(wù)器設(shè)置為主DNS 服務(wù)器） o 如果斷開的是第二臺(tái)，對(duì)該例子來說沒有影響，第一臺(tái)已經(jīng)可以正常解釋了

3. 假設(shè)現(xiàn)在第一臺(tái)DNS 服務(wù)器是主DNS 服務(wù)器，客戶端ping“www.aa.com”，可以發(fā)現(xiàn)并不

能正常解釋該域名

o 由于現(xiàn)在第一臺(tái)DNS 服務(wù)器是主服務(wù)器，客戶端可以找到該服務(wù)器，并且該服務(wù)器

上有“aa.com”區(qū)域，但沒有“www”這條主機(jī)記錄，所以客戶端收到錯(cuò)誤信息，并且不

會(huì)去找第二臺(tái)DNS 服務(wù)器，即使在第二臺(tái)DNS 服務(wù)器上有該主機(jī)記錄！

o 如果這時(shí)斷開第一臺(tái)服務(wù)器后，客戶端再去重復(fù)上述過程，將能正確解釋該域名，

并將第二臺(tái)服務(wù)器設(shè)置為主DNS 服務(wù)器。

4. 假設(shè)現(xiàn)在還是第一臺(tái)DNS 服務(wù)器是主服務(wù)器，客戶端ping“www.bb.com”，可以發(fā)現(xiàn)能夠正

常解釋

o 由于第一臺(tái)DNS 服務(wù)器并不維護(hù)bb.com 區(qū)域，所以客戶端去找第二臺(tái)DNS 服務(wù)

器，并把第二臺(tái)DNS 服務(wù)器設(shè)置為主服務(wù)器

5. 如果兩臺(tái)DNS 服務(wù)器都脫機(jī)，客戶端將不能正常解釋，除非使用緩存。但客戶機(jī)仍然會(huì)記

住上一次的主DNS 服務(wù)器，并在下一次請(qǐng)求域名解釋時(shí)去找主DNS 服務(wù)器。

注：上述過程請(qǐng)不要使用nslookup 命令去驗(yàn)證，因?yàn)閚slookup 命令僅用于驗(yàn)證DNS 服務(wù)器工作是否正常；而ping 命令是最方便的驗(yàn)證域名解釋的工具；當(dāng)然也可以使用其它方法，例如使用IE 瀏覽器，只不過這時(shí)還需要自己搭建web 服務(wù)。