实现安全稳固的AD和DNS架构（2）

    当client想要登录到域中,他不并是直接找到DC,因为他并不知道谁是DC,那它会首先去查看DNS服务器,通过DNS解析SRV资源记录,他会向SRV记录去查询,谁是当前网络的DC,如果有SRV记录,client就会得到一个DC的地址,然后去访问DC.如果DNS里没SRV记录或SRV记录不正确,那么我们的client是无法联系到我们的DC的.

    SRV叫服务资源记录,这种格式记录的意义在于,将我们计算机服务和主机名之间做一个解析.在DNS中的SRV记录是当每台DC在启动时,他会去注册自己的SRV记录.就是说:当管理员打开每台DC时,DC就会向他的DNS服务器去宣布我这台计算机究竟会做什么.他就会把他会做的写到DNS里去了.这样一个过程了.

    4、如果想实现两台DC的冗余,那么两台DC都必须安装DNS服务,需要注意的是,DC1是AD的集成区域,那么在DC2上也建个AD的集成区域就可以了.

    DNS的几个区域

    主要区域:可以读可以写

    辅助区域:为了实现冗余都会建好多辅助区域,辅助区域所有的信息都是从主要区域里复制过来的,如果主要区域坏了,辅助区域仍然可以提供查询,但不能再向区域里写任何信息了.所以微软在AD的布置当中,DNS即不用主要区域也不用辅助区域,用AD的集成区域,好处就是两台DC以后都同时是DNS,并且如果有某一台DNS发生了修改,DNS会去互相同步,也就是说,DNS从原来的主从关系,变成了现在这种平行的关系.到现在才可以说,我们的DNS是带有冗余的,还可以说不管现在的DC任何一台关掉,不会影响我的一个DNS应用.

    5、我们再了解一下活动目录的维护
    （1）AD数据库的修改过程(读写过程)
    例：我们到AD上去添加个用户,修改等事件
    它首先会把这个事件做一个初始化,并且把它写到内存里的一个缓冲区里,然后呢它并不是直接来写数据库(Ntds.dit),而是内存写好后它会去写EDB.log(每天发生的事,所做的事都会被EDB.log记住),写完EDB.log才会把事件写到AD数据库(Ntds.dit)里面去,之后这个事件会被写到另外一个文件也就是最后一个文件Edb.chk,当Edb.chk写完后,就认为这此的修改过程就完成了.

    EDB.log and Ntds.dit那个文件会更大一些?
    EDB.log会更大一些,例如,新添加一个用户XY,它会写到EDB.log里面,也会写到Ntds.dit中,但如果删除了XY这个用户,那么EDB.log里面还会写进XY这个用户被删除了,是一直增加的,而Ntds.dit在XY删除的时候,这条信息将被删除,数据库会减小.

    EDB.log这个文件不会一直变大,只要写满了10M就会自动改名为EDB000001.log（正常的做法是，我们把这个文件永久保存，但也可以把这个文件删掉）并释放一个空文件.

    跟EDB.log一起还有两个文件res1.log和res2.log,是为了避免用户磁盘空间不够,倒至AD读写不完整,如果磁盘空间不够的话,AD首先会想到,把这两个文件删掉.删掉后又有了20M空间,用这20M空间去读写.