07 DNS部署與安全
DNS部署與安全
1、作用
Domain Name Service 域名服務
作用:為客戶機提供域名解析伺服器
2、組成
樹形結構:
-根域 .
- 頂級域
- 一級域名
- 二級域名
如:www.baidu.com.
.為根域
.com為頂級域
baidu為一級域名
www為主機名
- 二級域名
- 一級域名
常見頂級域:
國家頂級域 cn jp hk uk
com 商業機構
gov 政府機構
mil 軍事機構
edu 教育機構
org 民間組織架構
net 網際網路
完整合格的域名FQDN:
FQDN=主機名.DNS字尾
一般管理員在命名其主機的時候會根據其主機的功能而命名。
如常見主機名:
網站 www
部落格 blog
論壇 bbs
只需要申請一個域名,就能通過加字首和主機名建立很多FQDN。
如:blog.baidu.com.,bbs.baidu.com. 和 blog.xiao.baidu.com.
就只需購買 baidu.com. 一個域名
域名購買:萬網
3、監聽埠
TCP 53
UDP 53
4、DNS解析種類
4.1、按照查詢方式分類:
1)遞迴查詢:客戶機與本地DNS伺服器之間
2)迭代查詢:本地DNS伺服器與根等其他DNS伺服器的解析過程
客戶機獲取域名解析順序:
DNS快取 - hosts 檔案 - DNS 伺服器
DNS伺服器域名解析順序:
DNS快取記憶體 - DNS區域配置檔案 - DNS轉發器 - 根
以上步驟為遞迴查詢
以下步驟為迭代查詢。
在本地DNS伺服器無法解析域名時,
訪問根域伺服器(.),得到頂級域伺服器地址(com.)。
訪問頂級域伺服器(com.),得到一級域伺服器地址(baidu.com)。
訪問一級域伺服器(baidu.com),得到域名IP地址(www.baidu.com)
儲存返回IP地址給客戶端。
全國根域伺服器目前只有13個。
4.2、按照查詢內容分類:
1)正向解析:已知域名, 查詢IP地址
2)反向解析:已知IP地址,查詢域名
5、DNS伺服器操作
5.1、DNS伺服器搭建過程
1)手動配置IP地址。
2)安裝DNS伺服器外掛(也就是安裝並開啟TCP及UDP53埠)
win2003上:安裝光碟 - 安裝可選的 Windows 元件 - 網路服務 - 域名系統(DNS) - 確定 - 下一步 - 修改碟符為安裝光碟碟符(如果有,會有兩次)
3)建立區域檔案(負責一個域名字尾的解析,如baidu.com為域名字尾,一臺DNS伺服器內可存放多個區域檔案)
開始 - 管理工具 - DNS - 右鍵“正向查詢區域” - 新建區域 - 主要區域 - 區域伺服器:baidu.com - 其他預設
4)新建A記錄
右鍵 “baidu.com” - 新建主機 - 名稱:www IP地址:1.1.1.1 - 確定
5)新建反向解析區域
右鍵“反向查詢區域”- 主要區域 - 輸入反向解析的IP - 預設到完成
6)新建反向解析記錄
右鍵 - 新建指標(ptr) - 輸入反向解析的IP - 輸入對應域名 - 確定
7)別名
右鍵區域(baidu.com) - 新建別名 - 輸入主機名(shifen) - 輸入原域名(www.baidu.com) - 確定
這條記錄將 shifen.baidu.com 解析為 www.baidu.com 的IP
5.2 域名解析記錄型別:
A: 正向解析記錄
CNAME:別名
PTR:反向解析記錄
MX:郵件交換記錄
NS:域名伺服器解析
5.3 DNS伺服器分類
主要名稱伺服器
輔助名稱伺服器
根名稱伺服器
快取記憶體名稱伺服器
5.4 轉發器
右鍵“伺服器”- 轉發器 - 輸入另一個DNS伺服器IP地址 - 新增 - 確定
這樣該伺服器便會把無法解析的域名交給轉發器指定的其他DNS伺服器
若不設定轉發器,則訪問根域(見根提示)
5.5 輔助名稱伺服器
作為DNS主伺服器的備份伺服器。
在另一臺 win2003 中安裝 DNS 伺服器。
新建區域 - 輔助區域 - 區域名稱:baidu.com - 填主伺服器的IP地址 - 下一步 - 完成
回到主伺服器:
右鍵要備份的區域 - 屬性 - 區域複製 - 只允許 - 填寫備份伺服器IP - 新增 - 確定
5.6 快取伺服器
沒有設定任何區域的DNS伺服器。安裝完成的DNS就是快取伺服器。
5.6 清除DNS快取:dns工具--檢視--高階,調出快取來,然後右鍵清除快取
6、DNS客戶機操作
1)設定 DNS
2)手工解析域名:nslookup 域名 或直接輸入 nslookup 後回車進入解析會話,直接輸入域名即可,輸入quit退出。
清除DNS快取 ipconfig /flushdns
檢視DNS快取 ipconfig /displaydns
End、練習
1.主要DNS伺服器: 員工要指向DNS,練習清空DNS快取,練習nslookup手工解析
2.反向解析
3、輔助DNS伺服器:成功更新區域解析記錄1
4、.轉發器/根
5、(選做)將xp與2003橋接能上網,部署2003位DNS伺服器,xp指向2003,並能實現XP正常上網
6、別名