如果没有正确的 DNS 信息,客户端将无法发现要联系哪个服务器进行身份验证。每个 DC 注册并维护自己的 AD DNS 集成记录,包括多个 A(主机)、CNAME(别名)和 SRV(服务)记录。这些记录最初由 DC 的 NetLogon 服务注册。
检查 Microsoft DNS 服务器中的各种 DNS 资源记录时,可能会认为由于数据的结构方式,此数据必须位于父域的子区域中。情况不一定如此,因为 DDNS 更新无法创建其他区域。只需将记录作为带有标签分隔符 (".") 的资源记录添加到父域的区域文件中。请注意,某些记录名称包含下划线 ("_") 字符。这是 Microsoft 开发工具中的常见做法,并借用了 AD 的 DNS 命名技术。下表列出了记录中使用的命名约定:
DNS 标签 | 描述 |
---|---|
_ldap | LDAP 服务 |
_tcp | 服务使用 TCP 连接 |
udp | 服务使用 UDP 连接 |
_kerberos | 记录包含有关 Kerberos 密钥分发中心 (KDC) 的信息 |
_msdcs | 服务正在域控制器上运行 |
_kpasswd | Kerberos 密码更改服务 |
_gc | 全局编录服务 |
_sites | 记录包含特定站点的信息 |
dc | 域控制器 (DC) |
gc | 全局编录 (GC) |
已注册的 DNS 记录可以包含一个或多个上述名称,以描述可以查询的服务。例如,以下记录在 bluecatnetworks.com 上的 server1.bluecatnetworks.com 上查找 LDAP 服务:
_ldap._tcp.bluecatnetworks.com SRV 0 0 389 server1.bluecatnetworks.com
这是此记录的另一种形式,显示 LDAP 服务位于 DC 上:
_ldap._tcp.dc._msdcs.bluecatnetworks.com SRV 0 0 389 server1.bluecatnetworks.com
有关这些记录的详细列表,请参阅活动目录 DNS 记录。