Windows 2003 DNS配置攻略
阿新 • • 發佈:2020-10-14
3.1 DNS概述
在TCP/IP的網路中,網路通訊的終點是套接字(Socket),其由目標主機的IP地址和要訪問的TCP/UDP埠組成,也就是說,不管是在區域網還是網際網路上,計算機在網路上通訊時是通過如“202.115.22.33”之類的數字形式的IP地址來識別目標主機。但當我們在訪問Internet或Intranet時,我們開啟瀏覽器,在位址列中輸入如“www.sina.com.cn”的域名後,就能看到我們所需要的頁面。這給了人們一個困惑,難道計算機通訊時也能根據對方域名來直接找到目標主機麼?
其實,當我們在瀏覽器的位址列中輸入要訪問的網頁的域名時,計算機系統會為我們做一個“翻譯”工作,即將我們輸入域名解析為目標主機的IP地址。而這種“翻譯”記錄的建立,在早期是通過一個hosts檔案來完成的,但隨著網路規模的擴大,通過管理員手動建立並分發的hosts檔案已不適應網路中越來越多的名字解析的需求,此時,則需要一種能夠動態地為客戶機進行域名註冊,同時能動態的為使用者要訪問的域名進行名字解析的服務,而DNS(Domain Name System)服務為我們提供了這個解決方案。
DNS是一個分散式資料庫系統,它用來將使用者容易記住的友好的名稱FQDN(Full Qualified Domain Name:完全限定域名,其描述了主機到它域的精確關係,比如www.gocean.com.cn)解析為難記的IP地址(比如“202.186.250.41),並將這個對映存放在其資料庫系統中,以定位計算機和服務。
因此,不管是在區域網還是廣域網中,只要你將要用到如“www.gocean.com.cn”之類域名的時候,你都得首先確保已為此名字在DNS伺服器中作好了相應的和IP地址的對映工作。而在網際網路中,這個工作則由專門的伺服器進行完成。
當 DNS 客戶端需要查詢程式中使用的名稱時,它會查詢 DNS 伺服器來解析該名稱。客戶端傳送的每條查詢訊息都包括三條資訊,指定伺服器回答的問題:
1、指定的 DNS 域名,規定為完全合格的域名 (FQDN) 2、指定的查詢型別,可根據型別指定資源記錄,或者指定為查詢操作的專門型別。 3、DNS 域名的指定類別。對於 Windows DNS 伺服器,它始終應指定為 Internet (IN) 類別。
例如,指定的名稱可以是計算機的 FQDN,例如,“host-a.example.microsoft.com”,而指定的查詢型別可以是通過該名稱搜尋地址 (A) 資源記錄。將 DNS 查詢看作客戶端向伺服器詢問由兩部分組成的問題,例如“您是否擁有名為 ‘hostname.example.microsoft.com’ 的計算機的 A 資源記錄?”當客戶端收到來自伺服器的應答時,它將讀取並解譯應答的 A 資源記錄,獲取根據名稱詢問的計算機的 IP 地址。
![clip_p_w_picpath004[1]](https://img.796t.com/res/2020/10-14/04/c8a9e0e05e375c2cc5c430107a735224.gif)
在DNS中,通常可執行兩類的查詢。這兩種型別如下:
1、遞迴查詢(Recursive)。DNS 伺服器承擔全部的工作量和責任,為該查詢提供完全的答案。它可使用其自身的資源記錄資訊快取來應答客戶查詢,也可代表請求客戶端查詢或聯絡其他 DNS 伺服器,以便完全解析該名稱,並隨後將應答返回至客戶端。這個過程如上圖中的第1和第10步,稱為遞迴。
2、迭代查詢(Iterative)。如果DNS伺服器的快取記憶體內或區域中沒有需要的資料記錄,則DNS伺服器會向客戶端提供去查詢其它DNS伺服器的指標讓client去繼續查詢,直到出現了正確答案或超時、錯誤等為止。或第一臺DNS伺服器在向第二臺DNS伺服器提出查詢要求後,如果第二個DNS伺服器內沒有所需資料,則它會提供第三臺DNS伺服器的IP地址給第一臺DNS伺服器讓第一臺DNS伺服器向第三臺DNS伺服器查詢。該過程這個過程如上圖中的第2至第9步,稱作迭代。
3.2.2 DNS的查詢型別
區域查詢型別確定DNS伺服器將執行的任務。在你建立區域時,你要通過指定區域型別,來確定該區域將被用來解決正向查詢查詢還是逆向查詢查詢。而迭代查詢和遞迴查詢可以與下述查詢型別相關聯:
1、正向查詢(Forward Lookup)。這種請求將FQDN對映為IP地址,為最常用的查詢型別。
2、逆向查詢(Reverse Lookup)。這種請求將IP地址對映為FQDN,當你只知道目標的IP地址,而不知其域名時,可以採用這種查詢型別。
3.3 DNS建立的區域型別
域名系統 (DNS) 允許 DNS 名稱空間分成幾個區域(Zone),這些區域儲存有關一個或多個 DNS 域的名稱資訊。對於包括在區域中的每個 DNS 域名,該區域成為該域的有關資訊的權威性資訊源。
區域是域名稱空間中的一個連續部分,通過區域,可以讓我們在域中精確的定位某一臺主機。
為了建立區域,我們必須先要理解下面這些概念:
1、區域型別(Zone types)。DNS伺服器上可以駐留不同型別的區域,你可以配置單個DNS伺服器,使之支援或駐留多個區域。也可以配置多個伺服器,讓它們駐留一個或多個區域,用於提供容錯和負載平衡的功能。
2、區域檔案(Zone file)。資源記錄儲存於區域檔案中。區域檔案中儲存的停息用於將FQDN解析為IP,或將IP解析為FQDN。每一個zone都有一個區域檔案,檔案位於:%systemroot%\system32\dns中。(%systemroot%表示當前系統的安裝目錄)。
3.3.1 識別區域型別
在DNS中,你可以建立並配置以下四種類型的區域:即主要區域(Primary zone)、輔助區域(Secondary zone)、存根區域(Stub zone)、活動目錄整合區域(Active Directory interated zone)。
3.3.1.1 主要區域(Primary zone)
區域的主 DNS 伺服器作為區域的更新點。新建立的區域通常是這種型別。可以按以下列兩種方法之一使用主要區域:作為標準的主要區域或整合 Active Directory 的主要區域。
對於標準主要型別區域,只有一個 DNS 伺服器能主持和載入區域的主副本。如果建立了一個區域並將其作為標準主要區域,則不允許區域有其他主伺服器。只允許一個伺服器接受動態更新和處理區域更改。
標準主區域包含區域檔案的一個讀/寫版本,該檔案儲存為標準的文字檔案,區域的任何變化都被記錄在該檔案中。
3.3.1.2 輔助區域(Secondary zone)
標準主模式隱含了一個故障點。例如,如果因為某種原因區域的主伺服器對於網路不可用,則對區域無法做動態更新,無法為DNS客戶進行正常的域名解析。這時候,如果我們為事先為主區域建立了輔助區域伺服器,則該伺服器可用於應答,則區域中名稱的查詢不受影響並能不受干擾地繼續進行。
輔助區域包含了主區域的的只讀副本,其通過區域複製得到主區域資訊的變化。輔助區域能通過響應client查詢請求來減少主zone的負擔,從而實現容錯和負載平衡。
輔助區域的區域檔案被儲存為一個標準的只讀文字檔案,該區域的任何的變化都被記錄在相應主區域檔案中,並被複制到輔助區域的區域檔案中。
3.3.1.3 存根區域(Stub zone)
存根區域是一個區域副本,只包含標識該區域的權威域名系統 (DNS) 伺服器所需的那些資源記錄。存根區域用於使主持父區域的 DNS 伺服器知道其子區域的權威 DNS 伺服器,從而保持 DNS 名稱解析效率。
存根區域由以下部分組成:
1、委派區域的起始授權機構 (SOA) 資源記錄、名稱伺服器 (NS) 資源記錄和粘附 A 資源記錄。
2、可用來更新存根區域的一個或多個主伺服器的 IP 地址。
存根區域的主伺服器是對於子區域具有權威性的一個或多個 DNS 伺服器,通常 DNS 伺服器主持委派域名的主要區域。
使用存根區域可執行以下操作:
1、使委派的區域資訊保持最新。 通過定期更新它的一個子區域的存根區域,主持父區域和存根區域的 DNS 伺服器將維護該子區域的權威 DNS 伺服器的當前列表。
2、改進名稱解析。 存根區域使 DNS 伺服器能夠使用存根區域的名稱伺服器列表執行遞迴,而無需查詢 Internet 或 DNS 名稱空間的內部根伺服器。
3、簡化 DNS 管理。 在整個 DNS 結構中使用存根區域可為區域分發權威 DNS 伺服器的列表,而不用使用輔助區域。但是,存根區域與輔助區域的用途不同,考慮冗餘和負載共享時,存根區域不是備用區域。
3.3.1.4 活動目錄整合區域(AD integrated zone)
可通過使用 DNS 伺服器服務的目錄整合儲存和複製功能為區域新增更多的主伺服器。為此,您需要更改區域並將它整合到 Active Directory。
與AD整合的DNS區域中只能創建於域控制器上,其區域資料庫也儲存在活動目錄中,並隨AD的複製而在整個域中複製。因為活動目錄維護區域資訊,所以你無需為了指定怎樣更新與何時更新而配置DNS伺服器。
3.4 安裝和配置DNS
在上面我們詳細介紹了DNS的概念及工作原理,接下來,我們就向大家說明如何在Windows 2003 Enterprise Edition伺服器上配置DNS服務。
3.4.1 企業背景
你的公司網路正向Windows2003 轉移。在進行這種轉移時 ,部分工作涉及到配置DNS域的問題,要在全公司範圍內使用這些域。你公司申請的域名有Nwtrade.com和nt2000.com, 並且為你的公司內的不同地理區域指派了子域。作為公司的網路管理員,你需要在公司內部建立DNS域名解析系統。為了進行容錯和負載均擔,你需要建立主區域和輔助區域。在系統建立完成後,你還需要確認這些伺服器能否正常的工作,並能快速更正出現的問題。
3.4.2 配置步驟
1、安裝DNS 2、建立主區域和主機記錄 3、建立反向區域和指標記錄 4、實現DNS的動態更新 5、建立標準輔助區域並配置區域傳輸 6、與WINS整合 7、DNS客戶端的配置
3.4.2.1 安裝 DNS
預設的,當你安裝好Windows Server 2003之後,DNS服務並沒有被新增進去。為了安裝DNS,你可以在“控制面板”或“配置你的伺服器嚮導”中進行安裝。這裡以“控制面板”中的安裝方法為例。
1、以管理員身份登入到一臺固定IP地址為192.168.0.100伺服器,在“控制面板”上雙擊“新增/刪除程式”,在其後出現的對話方塊中單擊“新增/刪除Windows元件”。 2、在“Windows元件” 嚮導中,選擇單擊“網路服務“,然後再單擊“詳細資料”,選擇“域名服務系統(DNS)”前面的複選框,然後單擊“確定”按鈕進行安裝。 3、安裝完畢後,在“管理工具”中會出現“DNS”管理工具。
3.4.2.2 建立主區域和主機記錄
1、首先確保本機已安裝了DNS服務,則可以通過選“開始→程式→管理工具→DNS”來開啟DNS控制檯管理器(以下簡稱“DNS管理器”)。 2、在DNS管理器中,在“正向查詢區域”上單擊右鍵,選“新建區域”以進入新建區域嚮導中。 3、當嚮導提示到要讓選擇“區域型別”時,此處應選“主要區域”,並清除“在Acticve Directory中儲存區域”前面的複選框,單擊“下一步”按鈕繼續。![clip_p_w_picpath006[1]](https://img.796t.com/res/2020/10-14/04/0528f311c37144fbd6d7403f3b5be2be.jpeg)
3、隨後系統會詢問“區域名”,在“名稱”後的文字框中輸入“nwtrade.com”;接著嚮導進入到“區域檔案”提示視窗中,預設的,系統會自動選中“建立新檔案,檔名為”一項,並在其後的文字框中自動填有“nwtrade.com.dns”(“nwtrade.com”部分即為上步所輸入的“區域名”)的名字。 ![clip_p_w_picpath008[1]](https://img.796t.com/res/2020/10-14/04/9994812ba8f439f2c7942dedac6015dc.jpeg)
4、再根據系統提示選擇其預設各項之後即可完成此區域的建立。此時在DNS管理器左邊的“樹”欄中的“LG→正向搜尋區域”裡即可以看到新建立的“nwtrade.com”區域。 5、接著在“nwtrade.com”區域上單擊右鍵,選“新建主機”,在其後的對話方塊中的“名稱”處輸入主機名“www”,“IP地址”處輸入IP地址“192.168.0.100”,再單擊“新增主機”按鈕,即成功地建立了主機地址記錄www.nwtrade.com。
3.4.2.3 建立反向區域和指標記錄
1、在DNS管理器中,在“反向查詢區域”上單擊右鍵,選“新建區域”以進入新建區域嚮導中。 2、當嚮導提示到要讓選擇“區域型別”時,此處應選“主要區域”,並清除“在Acticve Directory中儲存區域”前面的複選框,單擊“下一步”按鈕繼續。 3、在“網路ID”中輸入“192.169.0”,然後單擊“下一步”。![clip_p_w_picpath010[1]](https://img.796t.com/res/2020/10-14/04/c51f3d2b6bbcec83ff8180906b8c1eac.jpeg)
4、接著會出現區域檔名的選項,按預設設定即可。單擊“下一步”,完成反向查詢區域的建立。 ![clip_p_w_picpath012[1]](https://img.796t.com/res/2020/10-14/04/1f867c23d27033649a4b0709858fce48.jpeg)
5、在“反向查詢區域→192.168.0.x Subnet”上單擊右鍵,選擇“新建指標(PTR)”,輸入主機的IP號和主機名,點選“確定”按鈕完成指標記錄的建立。 ![clip_p_w_picpath014[1]](https://img.796t.com/res/2020/10-14/04/8e652c77d4025aec9102581e15b47f43.jpeg)
3.4.2.4 實現DNS的動態更新
Windows 2000 Server以上的版本支援DNS的動態更新。通過動態更新協議,允許客戶計算機自動在DNS伺服器中更新記錄,而不需管理員的干涉。在進行動態更新的設定時,當區域為AD整合區域時,可設定為安全的動態更新,而對非AD整合區域,只能設定為非安全的動態更新。
對於Windows2000以前版本的系統,如Windows NT和Windows98,它們是不支援動態更新的,在這種情況下,我們可以將它們配置DHCP客戶,然後通過DHCP服務的相關配置來幫助它們進行DNS的動態更新。
1、根據以上的實驗步驟,我們在DNS伺服器上再重建一個區域,取名為nt2000.com,然後在其屬性的動態更新中設定為“非安全”。![clip_p_w_picpath016[1]](https://img.796t.com/res/2020/10-14/04/69f0d1d24d14d42d5d3a5adfd9e0a7f9.jpeg)
2、為了對Windows2000以前版本作DNS的動態更新,我們進入管理工具中的DHCP服務,選擇 DHCP 伺服器,在其屬性頁中單擊動態DNS,選中"啟用 DNS 客戶資訊動態更新"並選中選項中的"當租約過期時取消正向搜尋、對非動態 DNS 客戶更新"兩個選項。 ![clip_p_w_picpath018[1]](https://img.796t.com/res/2020/10-14/04/fc5e76f782ecd0648d97229f3bac5004.jpeg)
3.4.2.5 建立標準輔助區域並實現區域傳輸
DNS 設計規範推薦對每個區域至少使用兩個 DNS 伺服器以實現最不的容錯和負載平衡。對於標準主要型別區域,可以用輔助伺服器來新增和配置該區域。對於目錄整合的主要區域,輔助伺服器是被支援的但不是必需的。
輔助伺服器能夠提供在區域被大量查詢和使用的網路區減少 DNS 查詢通訊量的方法。另外,如果主伺服器關閉了,則輔助伺服器可以在該區域提供一些名稱解析,直到主伺服器可以使用為止。
因為主伺服器總是保留區域更新和改動的主副本,所以輔助伺服器依賴 DNS 區域傳輸機制來獲取資訊並使其成為最新資訊。在Windows2000和Windows2003中,區域資訊的更新由增量式區域傳輸(IXFR—incremental zone transfer)功能進行。這種功能只複製區域檔案的變化,而不是複製整個區域檔案。
為了完成輔助區域的建立和區域傳輸的配置,需按以下步驟進行:
1、以管理員身份登入到一臺固定IP地址為192.168.0.125的DNS伺服器,在上面新建一個區域,區域型別選擇為:輔助區域,區域名取為同標準主區域的名字一樣,這裡取名為:nt2000.com,主區域的IP設為192.168.0.100,這樣就完成了輔助區域的建立。 2、以管理員身份登入到主DNS伺服器(IP地址為:192.168.0.100)上,進入DNS管理器,右擊nt2000.com區域,選擇“屬性”,在屬性對話方塊中:選擇起始授權機構。在這裡主要作輔助區域主動同主區域進行區域更新的配置,在這裡,我們可以對序列號、重新整理間隔、重試間隔及過期時間根據網路的實際需要作要應的修改。![clip_p_w_picpath020[1]](https://img.796t.com/res/2020/10-14/04/398c181e545eeaaaa117653fcd3af5f2.jpeg)
3、點選“區域複製”標籤,進入區域複製頁設定與那些伺服器進行區域傳輸,預設情況下將與網路中的所有DNS伺服器進行區域傳輸,也可以設定為只與名稱伺服器列表中的伺服器進行區域傳輸或與指定的伺服器進行區域傳輸。在這裡我們按預設設定,點選“通知”按鈕。 ![clip_p_w_picpath022[1]](https://img.796t.com/res/2020/10-14/04/79313652118ea5c0961f8f136669aca5.jpeg)
4、進入“通知”頁面,在這裡的設定是當主區域的資訊發生改變後會主動通知哪引起輔助區域伺服器,從而使主區域和輔助區域的區域檔案達到一致,以免對DNS客戶提供正常的域名解析服務。這裡我們選擇“下列伺服器”單選框,在IP地址中輸入輔助伺服器的IP地址“192.168.0.125”,點選“確定”按鈕,完成區域傳輸的設定。 ![clip_p_w_picpath024[1]](https://img.796t.com/res/2020/10-14/04/df7ff66ecbac36cf086dfd4a5f528428.jpeg)
3.4.2.6 整合DNS和WINS
當 DNS 伺服器與 WINS 服務結合使用後,在DNS域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。
在一個區域中啟動 WINS 查詢功能具體步驟如下:
1、首先在 DNS 伺服器中選擇一個區域(如nt2000.com),在基屬性頁中單擊WINS標籤。![clip_p_w_picpath026[1]](https://img.796t.com/res/2020/10-14/04/1bd9e66bcf06ddfa59708e2e8597eb08.jpeg)
2、選中使用“WINS正向查詢”複選框,在下方的 WINS 伺服器中新增 WINS 伺服器的 IP 地址。如果在區域傳輸時使用者不想將這條記錄複製給其它 DNS 伺服器,則使用者可以選中"不復制此記錄。點選“確定”按鈕,完成與WINS整合的配置。
3.4.2.7 DNS客戶端的配置
在成功安裝 DNS 伺服器後,就可以在 DNS 客戶機啟用 DNS 服務,下面具體說明如何在客戶機上設定並啟用 DNS 服務。
1、在一臺客戶機的工作桌面上右擊“網路上的芳鄰”,進入“網路連線”視窗。 2、在“網路連線”視窗中選擇計算機所用的網絡卡(預設為本地連線),右擊“本地連線”,進入本地連線屬性頁。 3、在“此連線所使用的下列專案”中,選擇“Internet協議(TCP/IP)”,然後點選“屬性”按鈕。 4、在彈出的的“Internet協議(TCP/IP)屬性”頁中,選擇“使用下列DNS服務”單選框,在“首選DNS伺服器”中可輸入主DNS伺服器的IP或輔助DNS伺服器的IP,或在“首選DNS伺服器”和“備用DNS伺服器”中分別輸入二者的IP地址,單擊“確定”,完成客戶機配置。
3.4.3 練習思考
1、 DNS的ZONE有哪些型別,有什麼特點? 2、 DNS的區域傳輸是怎樣進行的? 3、 快取DNS是怎樣工作的,用在什麼場合? 4、 如何驗證DNS是否能正常工作? 5、 如何利用Nslookup 排除“域名系統伺服器”(DNS Server)伺服器中的問題。
3.5 本章複習
本章節詳細介紹了DNS的概念、工作原理及配置方法。 DNS是一個分散式資料庫系統,它用來將使用者容易記住的友好的名稱FQDN解析為難記的IP地址。
DNS的查詢型別分為遞迴和迭代兩類,其查詢型別分為正向查詢和反向查詢。 在DNS中可以建立四種類型的區域:主區域、輔助區域、存根區域以及AD整合區域,其中AD整合區域可以實現安全的動態更新,其它區域只能實現非安全的動態更新。 為了保護主區域與輔助區域DNS資訊的一致性,可以配置區域傳輸機制。Windows2000/2003採用的是增量的區域傳輸機制。 當 DNS 伺服器與 WINS 服務結合使用後,在DNS域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。
在TCP/IP的網路中,網路通訊的終點是套接字(Socket),其由目標主機的IP地址和要訪問的TCP/UDP埠組成,也就是說,不管是在區域網還是網際網路上,計算機在網路上通訊時是通過如“202.115.22.33”之類的數字形式的IP地址來識別目標主機。但當我們在訪問Internet或Intranet時,我們開啟瀏覽器,在位址列中輸入如“www.sina.com.cn”的域名後,就能看到我們所需要的頁面。這給了人們一個困惑,難道計算機通訊時也能根據對方域名來直接找到目標主機麼?
其實,當我們在瀏覽器的位址列中輸入要訪問的網頁的域名時,計算機系統會為我們做一個“翻譯”工作,即將我們輸入域名解析為目標主機的IP地址。而這種“翻譯”記錄的建立,在早期是通過一個hosts檔案來完成的,但隨著網路規模的擴大,通過管理員手動建立並分發的hosts檔案已不適應網路中越來越多的名字解析的需求,此時,則需要一種能夠動態地為客戶機進行域名註冊,同時能動態的為使用者要訪問的域名進行名字解析的服務,而DNS(Domain Name System)服務為我們提供了這個解決方案。
DNS是一個分散式資料庫系統,它用來將使用者容易記住的友好的名稱FQDN(Full Qualified Domain Name:完全限定域名,其描述了主機到它域的精確關係,比如www.gocean.com.cn)解析為難記的IP地址(比如“202.186.250.41),並將這個對映存放在其資料庫系統中,以定位計算機和服務。
因此,不管是在區域網還是廣域網中,只要你將要用到如“www.gocean.com.cn”之類域名的時候,你都得首先確保已為此名字在DNS伺服器中作好了相應的和IP地址的對映工作。而在網際網路中,這個工作則由專門的伺服器進行完成。
當 DNS 客戶端需要查詢程式中使用的名稱時,它會查詢 DNS 伺服器來解析該名稱。客戶端傳送的每條查詢訊息都包括三條資訊,指定伺服器回答的問題:
1、指定的 DNS 域名,規定為完全合格的域名 (FQDN) 2、指定的查詢型別,可根據型別指定資源記錄,或者指定為查詢操作的專門型別。 3、DNS 域名的指定類別。對於 Windows DNS 伺服器,它始終應指定為 Internet (IN) 類別。
例如,指定的名稱可以是計算機的 FQDN,例如,“host-a.example.microsoft.com”,而指定的查詢型別可以是通過該名稱搜尋地址 (A) 資源記錄。將 DNS 查詢看作客戶端向伺服器詢問由兩部分組成的問題,例如“您是否擁有名為 ‘hostname.example.microsoft.com’ 的計算機的 A 資源記錄?”當客戶端收到來自伺服器的應答時,它將讀取並解譯應答的 A 資源記錄,獲取根據名稱詢問的計算機的 IP 地址。
![clip_p_w_picpath004[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767005BpKm.gif)
在DNS中,通常可執行兩類的查詢。這兩種型別如下: 1、遞迴查詢(Recursive)。DNS 伺服器承擔全部的工作量和責任,為該查詢提供完全的答案。它可使用其自身的資源記錄資訊快取來應答客戶查詢,也可代表請求客戶端查詢或聯絡其他 DNS 伺服器,以便完全解析該名稱,並隨後將應答返回至客戶端。這個過程如上圖中的第1和第10步,稱為遞迴。
2、迭代查詢(Iterative)。如果DNS伺服器的快取記憶體內或區域中沒有需要的資料記錄,則DNS伺服器會向客戶端提供去查詢其它DNS伺服器的指標讓client去繼續查詢,直到出現了正確答案或超時、錯誤等為止。或第一臺DNS伺服器在向第二臺DNS伺服器提出查詢要求後,如果第二個DNS伺服器內沒有所需資料,則它會提供第三臺DNS伺服器的IP地址給第一臺DNS伺服器讓第一臺DNS伺服器向第三臺DNS伺服器查詢。該過程這個過程如上圖中的第2至第9步,稱作迭代。
3.2.2 DNS的查詢型別
區域查詢型別確定DNS伺服器將執行的任務。在你建立區域時,你要通過指定區域型別,來確定該區域將被用來解決正向查詢查詢還是逆向查詢查詢。而迭代查詢和遞迴查詢可以與下述查詢型別相關聯:
1、正向查詢(Forward Lookup)。這種請求將FQDN對映為IP地址,為最常用的查詢型別。
2、逆向查詢(Reverse Lookup)。這種請求將IP地址對映為FQDN,當你只知道目標的IP地址,而不知其域名時,可以採用這種查詢型別。
3.3 DNS建立的區域型別
域名系統 (DNS) 允許 DNS 名稱空間分成幾個區域(Zone),這些區域儲存有關一個或多個 DNS 域的名稱資訊。對於包括在區域中的每個 DNS 域名,該區域成為該域的有關資訊的權威性資訊源。
區域是域名稱空間中的一個連續部分,通過區域,可以讓我們在域中精確的定位某一臺主機。
為了建立區域,我們必須先要理解下面這些概念:
1、區域型別(Zone types)。DNS伺服器上可以駐留不同型別的區域,你可以配置單個DNS伺服器,使之支援或駐留多個區域。也可以配置多個伺服器,讓它們駐留一個或多個區域,用於提供容錯和負載平衡的功能。
2、區域檔案(Zone file)。資源記錄儲存於區域檔案中。區域檔案中儲存的停息用於將FQDN解析為IP,或將IP解析為FQDN。每一個zone都有一個區域檔案,檔案位於:%systemroot%\system32\dns中。(%systemroot%表示當前系統的安裝目錄)。
3.3.1 識別區域型別
在DNS中,你可以建立並配置以下四種類型的區域:即主要區域(Primary zone)、輔助區域(Secondary zone)、存根區域(Stub zone)、活動目錄整合區域(Active Directory interated zone)。
3.3.1.1 主要區域(Primary zone)
區域的主 DNS 伺服器作為區域的更新點。新建立的區域通常是這種型別。可以按以下列兩種方法之一使用主要區域:作為標準的主要區域或整合 Active Directory 的主要區域。
對於標準主要型別區域,只有一個 DNS 伺服器能主持和載入區域的主副本。如果建立了一個區域並將其作為標準主要區域,則不允許區域有其他主伺服器。只允許一個伺服器接受動態更新和處理區域更改。
標準主區域包含區域檔案的一個讀/寫版本,該檔案儲存為標準的文字檔案,區域的任何變化都被記錄在該檔案中。
3.3.1.2 輔助區域(Secondary zone)
標準主模式隱含了一個故障點。例如,如果因為某種原因區域的主伺服器對於網路不可用,則對區域無法做動態更新,無法為DNS客戶進行正常的域名解析。這時候,如果我們為事先為主區域建立了輔助區域伺服器,則該伺服器可用於應答,則區域中名稱的查詢不受影響並能不受干擾地繼續進行。
輔助區域包含了主區域的的只讀副本,其通過區域複製得到主區域資訊的變化。輔助區域能通過響應client查詢請求來減少主zone的負擔,從而實現容錯和負載平衡。
輔助區域的區域檔案被儲存為一個標準的只讀文字檔案,該區域的任何的變化都被記錄在相應主區域檔案中,並被複制到輔助區域的區域檔案中。
3.3.1.3 存根區域(Stub zone)
存根區域是一個區域副本,只包含標識該區域的權威域名系統 (DNS) 伺服器所需的那些資源記錄。存根區域用於使主持父區域的 DNS 伺服器知道其子區域的權威 DNS 伺服器,從而保持 DNS 名稱解析效率。
存根區域由以下部分組成:
1、委派區域的起始授權機構 (SOA) 資源記錄、名稱伺服器 (NS) 資源記錄和粘附 A 資源記錄。
2、可用來更新存根區域的一個或多個主伺服器的 IP 地址。
存根區域的主伺服器是對於子區域具有權威性的一個或多個 DNS 伺服器,通常 DNS 伺服器主持委派域名的主要區域。
使用存根區域可執行以下操作:
1、使委派的區域資訊保持最新。 通過定期更新它的一個子區域的存根區域,主持父區域和存根區域的 DNS 伺服器將維護該子區域的權威 DNS 伺服器的當前列表。
2、改進名稱解析。 存根區域使 DNS 伺服器能夠使用存根區域的名稱伺服器列表執行遞迴,而無需查詢 Internet 或 DNS 名稱空間的內部根伺服器。
3、簡化 DNS 管理。 在整個 DNS 結構中使用存根區域可為區域分發權威 DNS 伺服器的列表,而不用使用輔助區域。但是,存根區域與輔助區域的用途不同,考慮冗餘和負載共享時,存根區域不是備用區域。
3.3.1.4 活動目錄整合區域(AD integrated zone)
可通過使用 DNS 伺服器服務的目錄整合儲存和複製功能為區域新增更多的主伺服器。為此,您需要更改區域並將它整合到 Active Directory。
與AD整合的DNS區域中只能創建於域控制器上,其區域資料庫也儲存在活動目錄中,並隨AD的複製而在整個域中複製。因為活動目錄維護區域資訊,所以你無需為了指定怎樣更新與何時更新而配置DNS伺服器。
3.4 安裝和配置DNS
在上面我們詳細介紹了DNS的概念及工作原理,接下來,我們就向大家說明如何在Windows 2003 Enterprise Edition伺服器上配置DNS服務。
3.4.1 企業背景
你的公司網路正向Windows2003 轉移。在進行這種轉移時 ,部分工作涉及到配置DNS域的問題,要在全公司範圍內使用這些域。你公司申請的域名有Nwtrade.com和nt2000.com, 並且為你的公司內的不同地理區域指派了子域。作為公司的網路管理員,你需要在公司內部建立DNS域名解析系統。為了進行容錯和負載均擔,你需要建立主區域和輔助區域。在系統建立完成後,你還需要確認這些伺服器能否正常的工作,並能快速更正出現的問題。
3.4.2 配置步驟
1、安裝DNS 2、建立主區域和主機記錄 3、建立反向區域和指標記錄 4、實現DNS的動態更新 5、建立標準輔助區域並配置區域傳輸 6、與WINS整合 7、DNS客戶端的配置
3.4.2.1 安裝 DNS
預設的,當你安裝好Windows Server 2003之後,DNS服務並沒有被新增進去。為了安裝DNS,你可以在“控制面板”或“配置你的伺服器嚮導”中進行安裝。這裡以“控制面板”中的安裝方法為例。
1、以管理員身份登入到一臺固定IP地址為192.168.0.100伺服器,在“控制面板”上雙擊“新增/刪除程式”,在其後出現的對話方塊中單擊“新增/刪除Windows元件”。 2、在“Windows元件” 嚮導中,選擇單擊“網路服務“,然後再單擊“詳細資料”,選擇“域名服務系統(DNS)”前面的複選框,然後單擊“確定”按鈕進行安裝。 3、安裝完畢後,在“管理工具”中會出現“DNS”管理工具。
3.4.2.2 建立主區域和主機記錄
1、首先確保本機已安裝了DNS服務,則可以通過選“開始→程式→管理工具→DNS”來開啟DNS控制檯管理器(以下簡稱“DNS管理器”)。 2、在DNS管理器中,在“正向查詢區域”上單擊右鍵,選“新建區域”以進入新建區域嚮導中。 3、當嚮導提示到要讓選擇“區域型別”時,此處應選“主要區域”,並清除“在Acticve Directory中儲存區域”前面的複選框,單擊“下一步”按鈕繼續。
![clip_p_w_picpath006[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767011JycM.jpg)
3、隨後系統會詢問“區域名”,在“名稱”後的文字框中輸入“nwtrade.com”;接著嚮導進入到“區域檔案”提示視窗中,預設的,系統會自動選中“建立新檔案,檔名為”一項,並在其後的文字框中自動填有“nwtrade.com.dns”(“nwtrade.com”部分即為上步所輸入的“區域名”)的名字。 ![clip_p_w_picpath008[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767019ARW6.jpg)
4、再根據系統提示選擇其預設各項之後即可完成此區域的建立。此時在DNS管理器左邊的“樹”欄中的“LG→正向搜尋區域”裡即可以看到新建立的“nwtrade.com”區域。 5、接著在“nwtrade.com”區域上單擊右鍵,選“新建主機”,在其後的對話方塊中的“名稱”處輸入主機名“www”,“IP地址”處輸入IP地址“192.168.0.100”,再單擊“新增主機”按鈕,即成功地建立了主機地址記錄www.nwtrade.com。 3.4.2.3 建立反向區域和指標記錄
1、在DNS管理器中,在“反向查詢區域”上單擊右鍵,選“新建區域”以進入新建區域嚮導中。 2、當嚮導提示到要讓選擇“區域型別”時,此處應選“主要區域”,並清除“在Acticve Directory中儲存區域”前面的複選框,單擊“下一步”按鈕繼續。 3、在“網路ID”中輸入“192.169.0”,然後單擊“下一步”。
![clip_p_w_picpath010[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767026Dv2z.jpg)
4、接著會出現區域檔名的選項,按預設設定即可。單擊“下一步”,完成反向查詢區域的建立。 ![clip_p_w_picpath012[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767035gzte.jpg)
5、在“反向查詢區域→192.168.0.x Subnet”上單擊右鍵,選擇“新建指標(PTR)”,輸入主機的IP號和主機名,點選“確定”按鈕完成指標記錄的建立。 ![clip_p_w_picpath014[1]](https://s1.51cto.com/attachment/200905/31/275998_12437670429Ah7.jpg)
3.4.2.4 實現DNS的動態更新
Windows 2000 Server以上的版本支援DNS的動態更新。通過動態更新協議,允許客戶計算機自動在DNS伺服器中更新記錄,而不需管理員的干涉。在進行動態更新的設定時,當區域為AD整合區域時,可設定為安全的動態更新,而對非AD整合區域,只能設定為非安全的動態更新。
對於Windows2000以前版本的系統,如Windows NT和Windows98,它們是不支援動態更新的,在這種情況下,我們可以將它們配置DHCP客戶,然後通過DHCP服務的相關配置來幫助它們進行DNS的動態更新。
1、根據以上的實驗步驟,我們在DNS伺服器上再重建一個區域,取名為nt2000.com,然後在其屬性的動態更新中設定為“非安全”。
![clip_p_w_picpath016[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767049fA6c.jpg)
2、為了對Windows2000以前版本作DNS的動態更新,我們進入管理工具中的DHCP服務,選擇 DHCP 伺服器,在其屬性頁中單擊動態DNS,選中"啟用 DNS 客戶資訊動態更新"並選中選項中的"當租約過期時取消正向搜尋、對非動態 DNS 客戶更新"兩個選項。 ![clip_p_w_picpath018[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767056bhBQ.jpg)
3.4.2.5 建立標準輔助區域並實現區域傳輸
DNS 設計規範推薦對每個區域至少使用兩個 DNS 伺服器以實現最不的容錯和負載平衡。對於標準主要型別區域,可以用輔助伺服器來新增和配置該區域。對於目錄整合的主要區域,輔助伺服器是被支援的但不是必需的。
輔助伺服器能夠提供在區域被大量查詢和使用的網路區減少 DNS 查詢通訊量的方法。另外,如果主伺服器關閉了,則輔助伺服器可以在該區域提供一些名稱解析,直到主伺服器可以使用為止。
因為主伺服器總是保留區域更新和改動的主副本,所以輔助伺服器依賴 DNS 區域傳輸機制來獲取資訊並使其成為最新資訊。在Windows2000和Windows2003中,區域資訊的更新由增量式區域傳輸(IXFR—incremental zone transfer)功能進行。這種功能只複製區域檔案的變化,而不是複製整個區域檔案。
為了完成輔助區域的建立和區域傳輸的配置,需按以下步驟進行:
1、以管理員身份登入到一臺固定IP地址為192.168.0.125的DNS伺服器,在上面新建一個區域,區域型別選擇為:輔助區域,區域名取為同標準主區域的名字一樣,這裡取名為:nt2000.com,主區域的IP設為192.168.0.100,這樣就完成了輔助區域的建立。 2、以管理員身份登入到主DNS伺服器(IP地址為:192.168.0.100)上,進入DNS管理器,右擊nt2000.com區域,選擇“屬性”,在屬性對話方塊中:選擇起始授權機構。在這裡主要作輔助區域主動同主區域進行區域更新的配置,在這裡,我們可以對序列號、重新整理間隔、重試間隔及過期時間根據網路的實際需要作要應的修改。
![clip_p_w_picpath020[1]](https://s1.51cto.com/attachment/200905/31/275998_12437670639V8z.jpg)
3、點選“區域複製”標籤,進入區域複製頁設定與那些伺服器進行區域傳輸,預設情況下將與網路中的所有DNS伺服器進行區域傳輸,也可以設定為只與名稱伺服器列表中的伺服器進行區域傳輸或與指定的伺服器進行區域傳輸。在這裡我們按預設設定,點選“通知”按鈕。 ![clip_p_w_picpath022[1]](https://s1.51cto.com/attachment/200905/31/275998_12437670712BWK.jpg)
4、進入“通知”頁面,在這裡的設定是當主區域的資訊發生改變後會主動通知哪引起輔助區域伺服器,從而使主區域和輔助區域的區域檔案達到一致,以免對DNS客戶提供正常的域名解析服務。這裡我們選擇“下列伺服器”單選框,在IP地址中輸入輔助伺服器的IP地址“192.168.0.125”,點選“確定”按鈕,完成區域傳輸的設定。 ![clip_p_w_picpath024[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767078j4PK.jpg)
3.4.2.6 整合DNS和WINS
當 DNS 伺服器與 WINS 服務結合使用後,在DNS域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。
在一個區域中啟動 WINS 查詢功能具體步驟如下:
1、首先在 DNS 伺服器中選擇一個區域(如nt2000.com),在基屬性頁中單擊WINS標籤。
![clip_p_w_picpath026[1]](https://s1.51cto.com/attachment/200905/31/275998_1243767085njea.jpg)
2、選中使用“WINS正向查詢”複選框,在下方的 WINS 伺服器中新增 WINS 伺服器的 IP 地址。如果在區域傳輸時使用者不想將這條記錄複製給其它 DNS 伺服器,則使用者可以選中"不復制此記錄。點選“確定”按鈕,完成與WINS整合的配置。 3.4.2.7 DNS客戶端的配置
在成功安裝 DNS 伺服器後,就可以在 DNS 客戶機啟用 DNS 服務,下面具體說明如何在客戶機上設定並啟用 DNS 服務。
1、在一臺客戶機的工作桌面上右擊“網路上的芳鄰”,進入“網路連線”視窗。 2、在“網路連線”視窗中選擇計算機所用的網絡卡(預設為本地連線),右擊“本地連線”,進入本地連線屬性頁。 3、在“此連線所使用的下列專案”中,選擇“Internet協議(TCP/IP)”,然後點選“屬性”按鈕。 4、在彈出的的“Internet協議(TCP/IP)屬性”頁中,選擇“使用下列DNS服務”單選框,在“首選DNS伺服器”中可輸入主DNS伺服器的IP或輔助DNS伺服器的IP,或在“首選DNS伺服器”和“備用DNS伺服器”中分別輸入二者的IP地址,單擊“確定”,完成客戶機配置。
3.4.3 練習思考
1、 DNS的ZONE有哪些型別,有什麼特點? 2、 DNS的區域傳輸是怎樣進行的? 3、 快取DNS是怎樣工作的,用在什麼場合? 4、 如何驗證DNS是否能正常工作? 5、 如何利用Nslookup 排除“域名系統伺服器”(DNS Server)伺服器中的問題。
3.5 本章複習
本章節詳細介紹了DNS的概念、工作原理及配置方法。 DNS是一個分散式資料庫系統,它用來將使用者容易記住的友好的名稱FQDN解析為難記的IP地址。
DNS的查詢型別分為遞迴和迭代兩類,其查詢型別分為正向查詢和反向查詢。 在DNS中可以建立四種類型的區域:主區域、輔助區域、存根區域以及AD整合區域,其中AD整合區域可以實現安全的動態更新,其它區域只能實現非安全的動態更新。 為了保護主區域與輔助區域DNS資訊的一致性,可以配置區域傳輸機制。Windows2000/2003採用的是增量的區域傳輸機制。 當 DNS 伺服器與 WINS 服務結合使用後,在DNS域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。