[ Pobierz całość w formacie PDF ]
.Spróbujmy bli¿ej przyjrzeæ siê tej procedurze.W jaki sposób klienci LDAPlokalizuj¹ us³ugi Active DirectoryKlienci Active Directory lokalizuj¹ kontrolery domeny Windows 2000 iodpowiadaj¹ce im us³ugi katalogowe za pomoc¹ DNS.W tym celu klienci wysy³aj¹¿¹dania rekordów SRV (Service Locator — Lokalizator us³ugi), które wskazuj¹ naus³ugi katalogowe, us³ugi Kerberos oraz us³ugi globalnego katalogu.Rekordy SRVs¹ rekordami zasobów typu 33.Wiêcej informacji na temat rekordów SRVznajdziesz w rozdziale 5.„Zarz¹dzanie us³ugami DNS i DHCP” oraz RFC 2052 „ADNS RR for specifying the location of services (DNS SRV)”.Przegl¹d funkcji rekordu SRVRekord SRV jest ostatnim „nabytkiem” systemu DNS i pochodzi od rekordu MX (MailExchange).Rekordy SRV udostêpniaj¹ klientom sposób lokalizacji serwerówprzechowuj¹cych dane us³ugi.Przyk³adowo za³Ã³¿my, ¿e istnieje rekord SRV dlahipotetycznego protoko³u RAD, wykorzystuj¹cego port 999 TCP.Gdy klient DNS wstrefie Company.com chce dowiedzieæ siê, jaka jest nazwa serwera RAD, wysy³a¿¹danie rekordów SRV zwi¹zanych z tcp.RAD.Serwer DNS zwraca wówczas wszystkieposiadane rekordy SRV.Nie u¿ywa przy tym algorytmu cyklicznego, tak jak wprzypadku ¿¹dania rekordu A.Klient mo¿e wybraæ dowolny rekord listy, tak samojak ksiê¿niczka mo¿e wybraæ do tañca dowolnego partnera.Poni¿ej przedstawionyzosta³ przyk³ad rekordów SRV dla protoko³u RAD:RAD.tcp SRV 1 0 999 primary-RAD-serverRAD.tcp SRV 2 1 999 sec-RAD-server-1RAD.tcp SRV 2 2 999 sec-RAD-server-2RAD.tcp SRV 2 1 999 sec-RAD-server-3Wpis SRV okreœla typ rekordu zasobów oraz nazwê hosta, na którym pracujeprotokó³ RAD.Serwer DNS zwraca równie¿ rekordy A dla wszystkich hostów, dziêkiczemu klient nie musi wysy³aæ kolejnego zapytania o adres IP.Trzy liczby widoczne w rekordzie zasobów okreœlaj¹ priorytet, wagê i port.Poni¿ej przedstawione zosta³y wyjaœnienia wszystkich trzech wartoœci:Priorytet.Gdy kilka serwerów oferuje te same us³ugi, powinny one mieæprzypisane ró¿ne priorytety.Klient wybiera tê us³ugê, która posiada najwy¿szypriorytet (najni¿szy numer oznacza najwy¿szy priorytet).Je¿eli jej host jestniedostêpny, wybierany jest host o nastêpnym, najwy¿szym priorytecie.Naprzedstawionym przyk³adzie, najwy¿szy priorytet posiada primary-RAD-server.Waga.Gdy kilka hostów posiada ten sam priorytet, klient wybiera jeden z nichna podstawie wspó³czynników wagi.Im wspó³czynnik wagi jest wiêkszy, tymwiêksza jest szansa wyboru danego hosta.Wspó³czynnik jest obliczany jakostosunek wartoœci wagi hosta do sumy wag innych hostów o tym samym priorytecie.Na przyk³ad dziêki wspó³czynnikom wagi klient mo¿e stwierdziæ, ¿e dany hostjest dwukrotnie szybszy od innych hostów.Port.Protokó³ u¿ywa portu UDP albo TCP.W naszym przyk³adzie protokó³ RADu¿ywa portu 999 TCP.Dla standardowych zapytañ protokó³ LDAP u¿ywa portu 389TCP, natomiast dla zapytañ kierowanych do serwera katalogu globalnego u¿ywanyjest port 3268.Kerberos u¿ywa portu 88 TCP do uwierzytelniania i portu 464 TCPdla us³ugi kpasswd.System Kerberos w Windows 2000 akceptuje równie¿bezpo³¹czeniowe ¿¹dania poprzez porty 88 i 464 UDP dla klientów, którzy mog¹pakowaæ ¿¹dania uwierzytelniania w 1500 bajtach.Rekordy SRV w Active DirectoryGdy serwer Windows 2000 jest promowany do kontrolera domeny, rejestruje onrekordy SRV zwi¹zane ze swoimi serwerem DNS.Na rysunku 7.30 przedstawiona jesttablica strefy dla domeny Company.com.Tablica zawiera rekordy SRV dla us³ugLDAP, us³ug Kerberos KDC i us³ug globalnego katalogu — rekordy SRV wskazuj¹g³Ã³wny kontroler domeny PDC, port has³a Kerberos oraz bezpo³¹czeniowe opcjeKerberos korzystaj¹ce z UDP.Funkcja kpasswdRekordy SRV kpasswd zwi¹zane z portem 464 UDP i TCP s¹ u¿ywane do wspomaganiaprotoko³u KCPP (Kerberos Change Password Protocol — Protokó³ zmiany has³asystemu Kerberos).Rysunek 7.30.Przystawka DNS Management przedstawia tablice strefowe dla domeny Company.comFormat nazwy rekordu SRVPocz¹tkowe podkreœlenia nazw rekordów SRV s¹ czêœci¹ pozosta³oœci ze starszegoformatu SRV — RFC 2052 „SRV Record Format and Use”.Z pewnoœci¹ w nied³ugimczasie podkreœlenia te zostan¹ usuniête z nazw rekordów.Sk³adnia rekordów SRV u¿ywa notacji little-endian.Server DNS Windows 2000odwraca porz¹dek wyœwietlania rekordów SRV, tak jak w przypadku hierarchiifolderów.Poni¿ej przedstawiona jest czêœæ tablicy strefy Company.comprzedstawiaj¹ca strukturê rekordów SRV:kerberos._tcp.phoenix._sites._dc._msdcs 600 SRV 0 100 88phx-dc-01.company.com._kerberos._tcp.phoenix._sites 600 SRV 0 100 88 phx-dc-01.company.com.kerberos._tcp.dc._msdcs 600 SRV 0 100 88 phx-dc-01.company.com.kerberos._tcp 600 SRV 0 100 88 phx-dc-01.company.com.kerberos._udp 600 SRV 0 100 88 phx-dc-01.company.com.kpasswd._tcp 600 SRV 0 100 464 phx-dc-01.company.com.kpasswd._udp 600 SRV 0 100 464 phx-dc-01.company.com.ldap._tcp.phoenix._sites._dc._msdcs 600 SRV 0 100 3268 phx-dc-01.company.com.gc._tcp.phoenix._sites 600 SRV 0 100 3268 phx-dc-01.company.com.ldap._tcp.phoenix._sites._dc._msdcs 600 SRV 0 100 3268 phx-dc-01.company.com.gc._tcp 600 SRV 0 100 3268 phx-dc-01.company.com.ldap._tcp.phoenix._sites._dc._msdcs 600 SRV 0 100 389 phx-dc-01.company.com._ldap._tcp.phoenix._sites 600 SRV 0 100 389 phx-dc-01.company.com._ldap._tcp.dc._msdcs 600 SRV 0 100 389 phx-dc-01.company.com.ldap._tcp.{guid of domain}.domains._msdcs 600 SRV 0 100 389phx-dc-01.company.com.ldap._tcp 600 SRV 0 100 389 phx-dc-01.company.com.kerberos._tcp.pdc._msdcs 600 SRV 0 100 389 phx-dc-01.company.com
[ Pobierz całość w formacie PDF ]