windows 2000活動目錄之應用篇

前幾篇我們講了活動目錄的基本原理和安裝配置，著重講了一些活動目錄的優越性，但它並不是一個獨立的服務，它是在結合以前的一些協議和服務之後才得以成功實現，如DNS、LDAP協議與活動目錄的完美結合、網站概念的應用等都是非常突出的明證。下面我們就分別介紹一下這幾個應用技術。

一、DNS在活動目錄中的應用

WIN2K作為一個嶄新的作業系統，它的最大特點就是引入了活動目錄，而活動目錄的一個最大的特點就是把DNS和活動目錄緊密結合在了一起。活動目錄使用網域名稱服務 (DNS)DNS 作為它的定位服務，同時對標準的DNS作了擴充。由於DNS 是使用最為廣泛的定位服務，所以不僅在Internet 上， 甚至在許多企業內部網路中也使用DNS 作為定位服務。在利用WINNT4.0 構建的網路系統中，對每一台主機的唯一標識資訊是它的NetBIOS名，系統是利用WINS服務、資訊廣播方式及Lmhost檔案等多種模式將NetBIOS名解析為相應IP地址，從而實現資訊通訊。在內部網路系統中（也就是通常我們所說的區域網路中），利用NetBIOS名實現資訊通訊是非常方便、快捷的。但是在Internet上對一台主機的唯一標識資訊是它的FQDN格式的網域名稱（如www.163.com），在Internet是利用DNS標準來實現將網域名稱解析為相應IP地址。如果WINNT4.0 構建的網路系統同Internet連通，則NT網路中的每一台主機也都有相應網域名稱，其網域名稱的解析是通過WINNT4.0 所支援的DNS 服務來實現的。在WINNT4.0 中配置和實現DNS完全由人為手工來規劃、設計和實現，由上述可見，在WINNT4.0 網路系統中，每一台主機既有NetBIOS名又由網域名稱，而實際意義基本相同，這在一定程度上增加了網管人員的管理負擔，同時出使整個網路管理顯得更加混亂。

在WIN2K的活動目錄中，最基本的單位是域（Domain），通過父域和子域的模式將域組織起來形成樹，父域和子域之間是完全雙向的信任關係，且信任關係傳遞，其組織圖同DNS系統類別似。在活動目錄中命名策略基本按照Internet標準來實現，遵照DNS和LDAP3.0兩種標準，活動目錄中的域和DNS系統中的域採用完全相同的命名方式，即活動目錄中的網域名稱就是DNS網域名稱。那麼在活動目錄中依賴於DNS作為定位服務，實現將名字解析為IP地址。所以當我們利用WIN2K 構建活動目錄時，必須同時安裝配置相應的DNS，無論使用者實現IP位址解析還是登入驗證，都利用DNS在活動目錄中定位服務器。活動目錄與DNS系統的這種緊密整合，意味著活動目錄同時非常適合於Internet和Intranet環境，這也是微軟建立適用於Internet的網路作業系統的思想的一種體現。企業可以把活動目錄直接連接到Internet以簡化與客戶和夥伴之間的資訊通訊。另外WIN2K中的DNS服務允許客戶使用DNS動態更新協議（RFC 2136）來動態更新資源記錄，通過縮短手工管理這些相同記錄的時間，提高DNS管理的效能。運行WIN2K的電腦能動態地註冊他們的DNS名稱和IP地址。

由於活動目錄與DNS已經整合在一起，因此在WIN2K中NetBIOS名已經逐漸失去意義，與此相對應的WINS服務也處於慢慢被淘汰的過程中。在WINNT中為了有效發揮WINS的動態特性，我們通常將DNS與WINS 進行整合，這樣能獲得更準確的解析結果。但是，WINS並不是Internet標準協議，而DNS解決動態維護機器名與IP地址對照表的方案是動態DNS。動態DNS並不需要用到WINS，因為它允許動態分配IP地址的客戶可以直接註冊到DNS伺服器上，即時更新DNS對照表。

WIN2K支援動態DNS，運行活動目錄服務的機器可動態地更新DNS表。WIN2K網路中可以不再需要WINS服務，但是WIN2K仍然支援WINS，這是由於向後相容的原因。那麼如果網路系統不再使用WINS，使用者登入到網路時，客戶機如何找到網域控制站呢？這是因為WIN2K在實現DNS時，對標準的DNS進行了擴充，在DNS表中增加了一種新的記錄類型SRV記錄，它指向活動目錄的網域控制站。所以如果網路系統已經全面升級到WIN2K，那麼就可以不再使用WINS 服務 了。而在WIN2K中，由於支援動態更新協議（RFC 2136），這種整合也變得沒有必要了。DNS這個由一系列解釋請求（RFCs）標準組成的在Internet上廣泛採用開放的協議，已經成為網路技術中的統一的標準化的規範。WIN2K的目標是在Internet和Intranet環境中得到廣泛應用，那麼它的名稱解析模式就應該完全遵守單一的DNS標準。

上面主要講了一下DNS在活動目錄中的應用情況，但或許有人要問原來在WINNT4.0中沒有用活動目錄，只用DNS來解析網域名稱，到底活動目錄與DNS之間有什麼區別，它們之間又是如何結合的呢？下面就來具體講一下。

1、活動目錄與DNS的區別

(1)、儲存的對象不同

DNS和活動目錄的結合是Windows2000伺服器的最主要特點，DNS域和活動目錄域對不同的名字空間使用同一樣的網域名稱。但它們各自儲存不同的資料，因此管理不同的對象。DNS儲存它的地區和資源記錄，活動目錄存放域和域中的對象。對DNS來說，網域名稱是以DNS的層命名結構為基礎的，是一種倒樹型結構：一個根域，下面的域既是父域又是子域。每一個DNS域中的電腦可以通過完全合格網域名稱（FQDN）進行識別。每一個與網際網路串連的WIN2K域都有一個DNS名字，並且每一個WIN2K域中的電腦也都有一個DNS名字。因此，域和電腦即代表活動目錄對象，又代表域節點。

(2)、解析所用的資料庫不同

DNS是一種名字解析服務，DNS是通過DNS伺服器接受請求查詢DNS資料庫來把域或電腦解析為IP地址的。DNS客戶發送DNS名字查詢到它們設定的DNS伺服器，DNS伺服器接受請求後或通過本地DNS資料庫解析名字，或查詢網際網路上的DNS資料庫，DNS不需要活動目錄就可以起作用。

活動目錄是一種目錄服務，活動目錄通過網域控制站接受請求查詢活動目錄資料庫來把域對象名字解析為對象記錄。活動目錄使用者是通過LDAP協議（一種進入目錄服務的協議）向活動目錄伺服器發送請求，為了定位活動目錄資料庫，需要藉助於DNS，也就是說，活動目錄把DNS作為定位服務，把活動目錄伺服器解析為IP地址，活動目錄不能沒有DNS的協助。DNS可以獨立於活動目錄，但是活動目錄必須有DNS的協助才能工作。為了活動目錄能夠正常的工作，DNS伺服器必須支援服務定位（SRV）資源記錄，資源記錄把服務名字映射為提供服務的伺服器名字。活動目錄客戶和網域控制站使用SRV資源記錄決定網域控制站的IP地址。

除了要求WIN2K網路的DNS伺服器支援SRV資源記錄外，微軟還建議DNS伺服器提供對DNS的動態升級。DNS動態升級定義了一個DNS伺服器在一定值內自動升級的協議，如果沒有此協議，管理員不得不手動設定網域控制站產生的新的記錄。新的WIN2K的 DNS服務既支援SRV資源記錄，又支援動態升級。如果你選擇其它的非WIN2K為基礎的DNS伺服器，那麼你必須證實它支援SRV資源記錄。對於一個合法的支援SRV資源記錄但是不支援動態升級的DNS伺服器，在你把WIN2K伺服器升級為網域控制站時，必須使它的資源記錄手動升級。這些可以用Netlogon.dns檔案來完成，該檔案是由活動目錄Aactive Setup嚮導建立的，存在於檔案夾％systemroot%\System32\config中。