基于Active Directory和Bind的域控分离系统的设计与实现

丁传炜（扬州商务高等职业学校，江苏 扬州 225127）

基于Active Directory和Bind的域控分离系统的设计与实现

丁传炜
（扬州商务高等职业学校，江苏 扬州 225127）

网络操作系统课程是计算机网络专业的核心课程，DNS服务器和活动目录是学习其他服务器的基础。文章以windows server服务器中的Active Directory和Linux中的BIND为例，利用Oracle VM Virtualbox虚拟机软件搭建实验平台，进行域控分离系统的设计，以达到仿真实验教学的目的。

Active Directory；BIND；域控分离；SRV

0.引言

Active Directory（活动目录）是 Windows服务器操作系统中最有特色、最强大的一项服务，活动目录把网络中的计算资源进行整合，以目录形式进行分类管理，让网络管理员可以集中高效地进行网络计算资源的管理。在目前各大学校和企事业单位中，采用活动目录组织和管理网络的情形越来越多。在使用活动目录管理的企业中，很多都是以Windows server系列平台既作为活动目录的域控制器，同时也是活动目录的DNS定位服务的提供者。DNS服务是活动目录的重要基础支撑系统，DNS服务器有时还要承担对外的域名解析服务，因此很多企业考虑把DNS服务独立出来，减轻域控制器的负担。

Linux作为开源的操作系统，现在越来越受到企业用户的关注，Linux系统中的 DNS服务是建立在 BIND这种最为流行的名称服务器软件基础上的。本文利用VirtualBox虚拟机软件，以 Linux BIND作为 DNS服务器，来为 Windows Server中的活动目录域控制器提供DNS定位服务，在此基础上搭建域控分离的仿真实验平台并进行测试。

1.活动目录与BIND简介

活动目录（Active Directory，AD）是 Windows网络中的目录服务。活动目录是一个分布式的目录服务，信息可以分散在多台不同的计算机上，保证用户能够快速访问。因为多台计算机上有相同的信息，所以在信息容错方面具有很强的控制能力，活动目录既提高了管理效率，又使网络应用更加方便。

域是在Windows网络环境中组建客户机/服务器网络的实现方式，是由网络管理员定义的一组计算机集合。在域环境网络中，至少有一台被称为域控制器（Domain Controller）的计算机充当服务器角色，在域控制器中保存着整个网络的用户账号及目录数据库，即活动目录（Active Directory）。管理员可以通过修改活动目录的配置来实现对网络的管理和控制，而域中的客户计算机要访问域的资源，还必须先加入域，并通过管理员为其创建的域用户账号登录域才能访问域资源，这样管理员可以对整个网络实施集中控制和管理。

Linux凭借其可靠性、稳定性和低廉的价格，成为建立DNS服务器的优秀平台。在Linux上的DNS服务是用BIND软件来实现的。BIND的全称是伯克利因特网名称域系统（Berkeley Internet Name Domain），它是目前最为流行的名称服务器软件。BIND作为一种DNS服务器软件，它是最早将 DNS引入网络的软件，目前，BIND在全世界使用广泛，与 Windows平台的 DNS服务相比，BIND的可靠性、稳定性、执行效率和安全性更高，因此很多互联网中的DNS服务都采用 BIND作为名称服务的软件平台，目前全世界95%以上的 DNS服务器都是用BIND来搭建的。

2.域控分离系统的原理

所谓域控分离，是指将DNS服务和装有活动目录的域控制器分开安装在不同的服务器上，以实现功能独立，分担服务器负荷，从而实现灵活配置的目的。

安装有活动目录的域控制器必须要有域的支撑才能正常工作，活动目录要发挥作用离不开DNS的支持，需要 DNS提供域名的正确解析和定位服务，DNS服务是活动目录和域控制器重要的基础系统服务。DNS可以独立于活动目录，但是活动目录必须要有DNS的帮助才能工作。为了活动目录能够正常工作，DNS服务器必须支持服务定位（SRV）资源记录，资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。

除了要求DNS服务器支持 SRV资源记录外，微软还建议DNS服务器提供对DNS的动态升级。但是我们这次实验系统中选择的是其他的非微软的DNS服务器——BIND，BIND支持SRV资源记录，但是不支持动态升级，必须人工手动升级DNS服务器的 SRV记录。在Windows Server中安装完活动目录后我们可以找到存在于文件夹%systemroot%System32config中的 netlogon.dns文件，这个文件中有活动目录所需要的DNS定位服务的SRV记录，我们可以把这个文件中的 SRV记录导入到BIND中的区域文件，从而让BIND支持活动目录所需要的SRV记录。

3.域控分离系统的设计

本次域控分离系统中的活动目录平台是采用现在流行的 Windows服务器操作系统——Windows Server 2008 R2，而 BIND服务是采用 CentOS 6.4 Linux作为DNS服务平台。全部实验环境选择VirtualBox虚拟机作为实验的虚拟平台。CentOS 6.4 Linux服务器的IP地址设置为：192.168.1.100，在上面创建域 qq.com，Windows Server 2008 R2服务器的IP地址设置为：192.168.1.101，其FQDN为dc.qq.com，为了测试的方便，我们还安装了一台Windows XP虚拟机作为测试用的客户端。

3.1 检查BIND服务器软件

这表明 bind服务器已装。如果出现 bind is not installed，则需要安装bind服务器软件。

3.2 配置BIND服务器

Bind服务器一共有4个配置文件需要修改。

第一配置文件是 /etc/named.conf，需要修改三处内容，

第二配置文件是 /etc/named.rfc1912.zones，需要创建域 qq.com和指定正向解析文件 qq.com.zone和反向解析文件1.168.192.rev：

第三和第四个配置文件在/var/named目录中，需要把正向和反向解析模板文件复制成对应的区域文件名。

#cp -p named.localhostqq.com.zone //复制正向解析文件

#vim qq.com.zone 编辑正向解析文件

全部配置完成后启动 DNS服务器：#service named restart

3.3 在Windows Server 2008 R2上安装活动目录

在服务器中单击 “开始”-“运行”输入dcpromo进入活动目录的安装界面进行向导安装。等安装完成后重启系统，打开系统属性，就可以看到计算机全名：dc. qq.com域：qq.com。这说明活动目录已经正解安装，并且BIND所提供的DNS服务已经能够对域 qq.com提供正确的解析了。

下面我们在Windows XP虚拟机上，登录qq.com的域控制器，发现系统提示：不能联系域 qq.com的域控制器。单击“详细信息”，我们发现错误原因是当查询DNS时无法获得服务位置（SRV）资源记录，具体为 DNS中缺少“_ldap._tcp.dc._msdcs.qq.com”这一行 SRV查询记录。

我们根据之前介绍的原理得知，BIND不是Windows服务器系列的DNS服务，不能自动升级SRV记录，需要手动更新SRV记录。而安装完活动目录的服务器有一个目录%systemroot%System32config，在这个目录中的netlogon.dns文件中保存有定位域控制器所需要的 SRV记录。

用记事本打开 netlogon.dns文件，找到定位SRV记录的一行文字 “_ldap._tcp.dc._msdcs.qq.com.600 IN SRV 0 100 389 dc.qq.com.”。

3.4 把SRV记录写入DNS区域文件中

下面我们再次回到 Linux服务器，重新打开/var/ named/qq.com.zone配置文件进行修改，把活动目录中的netlogon.dns文件中的SRV记录写进去。

再一次重新启动DNS服务器：#service named restart

3.5 在windows XP客户端测试

在“我的电脑”上单击右键选择“属性”，选择“计算机名”选项卡，再单击“更改”按钮，在隶属于的域中输入“qq.com”，单击“确定”后出现如下图所示，表示 XP已能够登录到域控制中。

图1 XP成功登录域qq.com

提示重启计算机后，XP客户端就可以登录到域控制中了。

4.结束语

活动目录是 Windows系列网络操作系统的精华之所在，而互联网绝大部分DNS服务器都是由 BIND软件来提供的。所以把BIND和活动目录结合起来实现域控分离，就很好地整合和打通了Windows和 Linux两大主流网络操作系统平台，也为以后更好地学习两大网络操作系统打好坚实的基础。另外，本文中所有的实验全部在VirtualBox虚拟机中完成，不需要占用更多的计算机资源，特别有利于学校模拟教学，提高学生的动手能力，培养学生学习网络与操作系统的兴趣。

［1］陈涛，张强，韩羽.企业级 Linux服务攻略［M］.北京：清华大学出版社，2008.

［2］姚越.Linux网络管理与配置［M］.北京：机械工业出版社，2012.

［3］杨云，马立新.网络服务器搭建、配置与管理［M］.北京：人民邮电出版社，2011.

［4］周伯恒.CentOS 6.X系统管理实战宝典［M］.北京：清华大学出版社，2013.

［5］包劲海，樊东红.VirtualBox在高校EDA实验室的应用研究［J］.牡丹江大学学报，2010，（5）.

（责任编辑 张 蓓）

TP39

A

1008-7257（2015）04-0080-03

2015-05-27

丁传炜（1975-），男，江苏扬州人，江苏省扬州商务高等职业学校讲师，硕士研究生，研究方向：计算机网络技术。