丁傳煒（揚(yáng)州商務(wù)高等職業(yè)學(xué)校，江蘇 揚(yáng)州 225127）

基于Active Directory和Bind的域控分離系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

丁傳煒
（揚(yáng)州商務(wù)高等職業(yè)學(xué)校，江蘇 揚(yáng)州 225127）

網(wǎng)絡(luò)操作系統(tǒng)課程是計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)的核心課程，DNS服務(wù)器和活動(dòng)目錄是學(xué)習(xí)其他服務(wù)器的基礎(chǔ)。文章以windows server服務(wù)器中的Active Directory和Linux中的BIND為例，利用Oracle VM Virtualbox虛擬機(jī)軟件搭建實(shí)驗(yàn)平臺(tái)，進(jìn)行域控分離系統(tǒng)的設(shè)計(jì)，以達(dá)到仿真實(shí)驗(yàn)教學(xué)的目的。

Active Directory；BIND；域控分離；SRV

0.引言

Active Directory（活動(dòng)目錄）是 Windows服務(wù)器操作系統(tǒng)中最有特色、最強(qiáng)大的一項(xiàng)服務(wù)，活動(dòng)目錄把網(wǎng)絡(luò)中的計(jì)算資源進(jìn)行整合，以目錄形式進(jìn)行分類管理，讓網(wǎng)絡(luò)管理員可以集中高效地進(jìn)行網(wǎng)絡(luò)計(jì)算資源的管理。在目前各大學(xué)校和企事業(yè)單位中，采用活動(dòng)目錄組織和管理網(wǎng)絡(luò)的情形越來越多。在使用活動(dòng)目錄管理的企業(yè)中，很多都是以Windows server系列平臺(tái)既作為活動(dòng)目錄的域控制器，同時(shí)也是活動(dòng)目錄的DNS定位服務(wù)的提供者。DNS服務(wù)是活動(dòng)目錄的重要基礎(chǔ)支撐系統(tǒng)，DNS服務(wù)器有時(shí)還要承擔(dān)對(duì)外的域名解析服務(wù)，因此很多企業(yè)考慮把DNS服務(wù)獨(dú)立出來，減輕域控制器的負(fù)擔(dān)。

Linux作為開源的操作系統(tǒng)，現(xiàn)在越來越受到企業(yè)用戶的關(guān)注，Linux系統(tǒng)中的 DNS服務(wù)是建立在 BIND這種最為流行的名稱服務(wù)器軟件基礎(chǔ)上的。本文利用VirtualBox虛擬機(jī)軟件，以 Linux BIND作為 DNS服務(wù)器，來為 Windows Server中的活動(dòng)目錄域控制器提供DNS定位服務(wù)，在此基礎(chǔ)上搭建域控分離的仿真實(shí)驗(yàn)平臺(tái)并進(jìn)行測(cè)試。

1.活動(dòng)目錄與BIND簡(jiǎn)介

活動(dòng)目錄（Active Directory，AD）是 Windows網(wǎng)絡(luò)中的目錄服務(wù)?；顒?dòng)目錄是一個(gè)分布式的目錄服務(wù)，信息可以分散在多臺(tái)不同的計(jì)算機(jī)上，保證用戶能夠快速訪問。因?yàn)槎嗯_(tái)計(jì)算機(jī)上有相同的信息，所以在信息容錯(cuò)方面具有很強(qiáng)的控制能力，活動(dòng)目錄既提高了管理效率，又使網(wǎng)絡(luò)應(yīng)用更加方便。

域是在Windows網(wǎng)絡(luò)環(huán)境中組建客戶機(jī)/服務(wù)器網(wǎng)絡(luò)的實(shí)現(xiàn)方式，是由網(wǎng)絡(luò)管理員定義的一組計(jì)算機(jī)集合。在域環(huán)境網(wǎng)絡(luò)中，至少有一臺(tái)被稱為域控制器（Domain Controller）的計(jì)算機(jī)充當(dāng)服務(wù)器角色，在域控制器中保存著整個(gè)網(wǎng)絡(luò)的用戶賬號(hào)及目錄數(shù)據(jù)庫，即活動(dòng)目錄（Active Directory）。管理員可以通過修改活動(dòng)目錄的配置來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的管理和控制，而域中的客戶計(jì)算機(jī)要訪問域的資源，還必須先加入域，并通過管理員為其創(chuàng)建的域用戶賬號(hào)登錄域才能訪問域資源，這樣管理員可以對(duì)整個(gè)網(wǎng)絡(luò)實(shí)施集中控制和管理。

Linux憑借其可靠性、穩(wěn)定性和低廉的價(jià)格，成為建立DNS服務(wù)器的優(yōu)秀平臺(tái)。在Linux上的DNS服務(wù)是用BIND軟件來實(shí)現(xiàn)的。BIND的全稱是伯克利因特網(wǎng)名稱域系統(tǒng)（Berkeley Internet Name Domain），它是目前最為流行的名稱服務(wù)器軟件。BIND作為一種DNS服務(wù)器軟件，它是最早將 DNS引入網(wǎng)絡(luò)的軟件，目前，BIND在全世界使用廣泛，與 Windows平臺(tái)的 DNS服務(wù)相比，BIND的可靠性、穩(wěn)定性、執(zhí)行效率和安全性更高，因此很多互聯(lián)網(wǎng)中的DNS服務(wù)都采用 BIND作為名稱服務(wù)的軟件平臺(tái)，目前全世界95%以上的 DNS服務(wù)器都是用BIND來搭建的。

2.域控分離系統(tǒng)的原理

所謂域控分離，是指將DNS服務(wù)和裝有活動(dòng)目錄的域控制器分開安裝在不同的服務(wù)器上，以實(shí)現(xiàn)功能獨(dú)立，分擔(dān)服務(wù)器負(fù)荷，從而實(shí)現(xiàn)靈活配置的目的。

安裝有活動(dòng)目錄的域控制器必須要有域的支撐才能正常工作，活動(dòng)目錄要發(fā)揮作用離不開DNS的支持，需要 DNS提供域名的正確解析和定位服務(wù)，DNS服務(wù)是活動(dòng)目錄和域控制器重要的基礎(chǔ)系統(tǒng)服務(wù)。DNS可以獨(dú)立于活動(dòng)目錄，但是活動(dòng)目錄必須要有DNS的幫助才能工作。為了活動(dòng)目錄能夠正常工作，DNS服務(wù)器必須支持服務(wù)定位（SRV）資源記錄，資源記錄把服務(wù)名字映射為提供服務(wù)的服務(wù)器名字?；顒?dòng)目錄客戶和域控制器使用SRV資源記錄決定域控制器的IP地址。

除了要求DNS服務(wù)器支持 SRV資源記錄外，微軟還建議DNS服務(wù)器提供對(duì)DNS的動(dòng)態(tài)升級(jí)。但是我們這次實(shí)驗(yàn)系統(tǒng)中選擇的是其他的非微軟的DNS服務(wù)器——BIND，BIND支持SRV資源記錄，但是不支持動(dòng)態(tài)升級(jí)，必須人工手動(dòng)升級(jí)DNS服務(wù)器的 SRV記錄。在Windows Server中安裝完活動(dòng)目錄后我們可以找到存在于文件夾%systemroot%System32config中的 netlogon.dns文件，這個(gè)文件中有活動(dòng)目錄所需要的DNS定位服務(wù)的SRV記錄，我們可以把這個(gè)文件中的 SRV記錄導(dǎo)入到BIND中的區(qū)域文件，從而讓BIND支持活動(dòng)目錄所需要的SRV記錄。

3.域控分離系統(tǒng)的設(shè)計(jì)

本次域控分離系統(tǒng)中的活動(dòng)目錄平臺(tái)是采用現(xiàn)在流行的 Windows服務(wù)器操作系統(tǒng)——Windows Server 2008 R2，而 BIND服務(wù)是采用 CentOS 6.4 Linux作為DNS服務(wù)平臺(tái)。全部實(shí)驗(yàn)環(huán)境選擇VirtualBox虛擬機(jī)作為實(shí)驗(yàn)的虛擬平臺(tái)。CentOS 6.4 Linux服務(wù)器的IP地址設(shè)置為：192.168.1.100，在上面創(chuàng)建域 qq.com，Windows Server 2008 R2服務(wù)器的IP地址設(shè)置為：192.168.1.101，其FQDN為dc.qq.com，為了測(cè)試的方便，我們還安裝了一臺(tái)Windows XP虛擬機(jī)作為測(cè)試用的客戶端。

3.1 檢查BIND服務(wù)器軟件

這表明 bind服務(wù)器已裝。如果出現(xiàn) bind is not installed，則需要安裝bind服務(wù)器軟件。

3.2 配置BIND服務(wù)器

Bind服務(wù)器一共有4個(gè)配置文件需要修改。

第一配置文件是 /etc/named.conf，需要修改三處內(nèi)容，

第二配置文件是 /etc/named.rfc1912.zones，需要?jiǎng)?chuàng)建域 qq.com和指定正向解析文件 qq.com.zone和反向解析文件1.168.192.rev：

第三和第四個(gè)配置文件在/var/named目錄中，需要把正向和反向解析模板文件復(fù)制成對(duì)應(yīng)的區(qū)域文件名。

#cp -p named.localhostqq.com.zone //復(fù)制正向解析文件

#vim qq.com.zone 編輯正向解析文件

全部配置完成后啟動(dòng) DNS服務(wù)器：#service named restart

3.3 在Windows Server 2008 R2上安裝活動(dòng)目錄

在服務(wù)器中單擊 “開始”-“運(yùn)行”輸入dcpromo進(jìn)入活動(dòng)目錄的安裝界面進(jìn)行向?qū)О惭b。等安裝完成后重啟系統(tǒng)，打開系統(tǒng)屬性，就可以看到計(jì)算機(jī)全名：dc. qq.com域：qq.com。這說明活動(dòng)目錄已經(jīng)正解安裝，并且BIND所提供的DNS服務(wù)已經(jīng)能夠?qū)τ?qq.com提供正確的解析了。

下面我們?cè)赪indows XP虛擬機(jī)上，登錄qq.com的域控制器，發(fā)現(xiàn)系統(tǒng)提示：不能聯(lián)系域 qq.com的域控制器。單擊“詳細(xì)信息”，我們發(fā)現(xiàn)錯(cuò)誤原因是當(dāng)查詢DNS時(shí)無法獲得服務(wù)位置（SRV）資源記錄，具體為 DNS中缺少“_ldap._tcp.dc._msdcs.qq.com”這一行 SRV查詢記錄。

我們根據(jù)之前介紹的原理得知，BIND不是Windows服務(wù)器系列的DNS服務(wù)，不能自動(dòng)升級(jí)SRV記錄，需要手動(dòng)更新SRV記錄。而安裝完活動(dòng)目錄的服務(wù)器有一個(gè)目錄%systemroot%System32config，在這個(gè)目錄中的netlogon.dns文件中保存有定位域控制器所需要的 SRV記錄。

用記事本打開 netlogon.dns文件，找到定位SRV記錄的一行文字 “_ldap._tcp.dc._msdcs.qq.com.600 IN SRV 0 100 389 dc.qq.com.”。

3.4 把SRV記錄寫入DNS區(qū)域文件中

下面我們?cè)俅位氐?Linux服務(wù)器，重新打開/var/ named/qq.com.zone配置文件進(jìn)行修改，把活動(dòng)目錄中的netlogon.dns文件中的SRV記錄寫進(jìn)去。

再一次重新啟動(dòng)DNS服務(wù)器：#service named restart

3.5 在windows XP客戶端測(cè)試

在“我的電腦”上單擊右鍵選擇“屬性”，選擇“計(jì)算機(jī)名”選項(xiàng)卡，再單擊“更改”按鈕，在隸屬于的域中輸入“qq.com”，單擊“確定”后出現(xiàn)如下圖所示，表示 XP已能夠登錄到域控制中。

圖1 XP成功登錄域qq.com

提示重啟計(jì)算機(jī)后，XP客戶端就可以登錄到域控制中了。

4.結(jié)束語

活動(dòng)目錄是 Windows系列網(wǎng)絡(luò)操作系統(tǒng)的精華之所在，而互聯(lián)網(wǎng)絕大部分DNS服務(wù)器都是由 BIND軟件來提供的。所以把BIND和活動(dòng)目錄結(jié)合起來實(shí)現(xiàn)域控分離，就很好地整合和打通了Windows和 Linux兩大主流網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)，也為以后更好地學(xué)習(xí)兩大網(wǎng)絡(luò)操作系統(tǒng)打好堅(jiān)實(shí)的基礎(chǔ)。另外，本文中所有的實(shí)驗(yàn)全部在VirtualBox虛擬機(jī)中完成，不需要占用更多的計(jì)算機(jī)資源，特別有利于學(xué)校模擬教學(xué)，提高學(xué)生的動(dòng)手能力，培養(yǎng)學(xué)生學(xué)習(xí)網(wǎng)絡(luò)與操作系統(tǒng)的興趣。

［1］陳濤，張強(qiáng)，韓羽.企業(yè)級(jí) Linux服務(wù)攻略［M］.北京：清華大學(xué)出版社，2008.

［2］姚越.Linux網(wǎng)絡(luò)管理與配置［M］.北京：機(jī)械工業(yè)出版社，2012.

［3］楊云，馬立新.網(wǎng)絡(luò)服務(wù)器搭建、配置與管理［M］.北京：人民郵電出版社，2011.

［4］周伯恒.CentOS 6.X系統(tǒng)管理實(shí)戰(zhàn)寶典［M］.北京：清華大學(xué)出版社，2013.

［5］包勁海，樊東紅.VirtualBox在高校EDA實(shí)驗(yàn)室的應(yīng)用研究［J］.牡丹江大學(xué)學(xué)報(bào)，2010，（5）.

（責(zé)任編輯 張 蓓）

TP39

A

1008-7257（2015）04-0080-03

2015-05-27

丁傳煒（1975-），男，江蘇揚(yáng)州人，江蘇省揚(yáng)州商務(wù)高等職業(yè)學(xué)校講師，碩士研究生，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)。