DNS服務是一個很重要的基礎服務，很多應用是基於DNS服務的，例如 最常用的HTTP瀏覽。很多朋友在論壇裡面說不能上網，其實只是不能解析FQDN名字，就是訪問DNS服務有問題，如果只是使用IP訪問，如QQ就是使用 IP進行訪問，還是可以的。所以在不能瀏覽Web頁面的時候，你得先區分，是連線有問題還是DNS有問題，通過這篇文章中，你可以學習到如何建立內部的 DNS伺服器。

很多使用NAT軟體的情況，往往是閘道器的外部網絡卡上獲得了ISP的 DNS伺服器地址，並且可以進行解析，但是內部的客戶想要解析DNS名字的話，方法只有兩種：1、在內部客戶機上設定DNS地址為外部ISP的dns服務 器；2、在內部建立一個DNS伺服器，內部客戶使用這個內部的DNS伺服器，然後內部的DNS伺服器轉發到外部ISP的DNS伺服器上。從客戶機的效率上 來說，第一種方式要好；但是從可控性和擴充套件性，還有網路的效率來說，第二種方式要好，特別是對於採用了域的環境，必須採用第二種方式進行DNS的轉發。

KWF自帶有個DNS轉發器，而且效率比Windows的DNS伺服器要高，只是功能太過於單一，只能進行DNS的轉發。ISA不帶有DNS轉發器，不過，利用Windows伺服器版本中的全功能DNS伺服器，可以很完美的實現內部的DNS伺服器。

需要注意的是，Web代理客戶瀏覽Web是不需要配置DNS伺服器的。因為Web代理客戶在瀏覽Web 時是通過ISA 的Web 代理服務中轉，不會直接訪問DNS 服務的，只要ISA 伺服器可以解析DNS 名字就行了。但是Web 代理客戶其他的訪問（非Web 瀏覽的訪問）如果是需要DNS解析的，不配置DNS伺服器時就會導致失敗。

而防火牆客戶雖然預設也會配置為Web代理客戶，但是防火牆客戶端（FWC）會直接把所有非本地的 TCP/UDP 資料發往ISA Server，所以，不管你是否在本地配置了預設閘道器和DNS 伺服器，FWC 總是會把資料傳送給它所連線的ISA Server，所以，只要ISAServer 能夠正確的解析DNS，那麼防火牆客戶就可以正常的解析DNS。

下面，我以例項給大家來講解，由於結構很簡單，我沒有就網路結構畫圖，客戶機IP為192.168.0.41，閘道器(ISA Server 2004英文版）的IP為192.168.0.1。此次試驗的步驟如下：

1、客戶機上沒有設定DNS伺服器，但是通過設定為Web代理客戶，可以上網；

2、在ISA Server上建立一個內部的DNS伺服器並進行配置；

3、客戶機設定DNS伺服器地址為新建的內部DNS伺服器，此時，可以正常上網；

現在進入試驗：

1、客戶不能解析DNS，但是通過Web代理，可以瀏覽網頁

如圖，客戶機上沒有設定DNS伺服器，

此時，使用ipconfig/all，沒有顯示出DNS伺服器，ping

www.isaservercn.org顯示無法解析；

Web瀏覽自然是不行的了

但是可以ping通我的DNS伺服器，這表明，網路連線是通的，只是DNS不能解析；

但是通過我在連線裡面設定代理伺服器，如下圖，又可以正常訪問了；

2、建立內部的DNS伺服器

在ISA Server上開啟控制面板下的新增/刪除程式，點選新增/刪除Windows元件，在Windows元件嚮導中雙擊網路服務，勾選域名系統（DNS），點選確定，再點選“下一步”，安裝過程中可能需要你插入Windows的安裝光碟。

安裝好後，在管理工具中可以看見“DNS”管理控制檯，點選後彈出介面如下，右擊伺服器，選擇屬性；

DNS伺服器的設定很簡單，主要的幾個地方：

（1)介面：由於只是給內部使用，可以只繫結在內部介面上；

（2)轉發器：這個地方的設定比較重要，先選擇上面的“所有其他DNS域”，然後在下面的轉發器IP地址列表中，新增你從ISP獲得的DNS伺服器的IP。

內部的DNS伺服器就設定完了，當然，你自己也可以建立名字解析和DNS名字域來使用。另外還需要說明的一點，DNS可以獨立使用的，不是一定要和活動目錄結合的。

3、配置內部客戶使用內部的DNS伺服器

如下圖，對客戶進行配置，設定DNS伺服器地址為新建的內部DNS伺服器地址；

進行瀏覽，成功。

至此，內部DNS伺服器的應用就已經成功完成了。

需要注意的是，Web代理客戶瀏覽Web是不需要配置DNS伺服器的。因為Web代理客戶在瀏覽Web 時是通過ISA 的Web 代理服務中轉，不會直接訪問DNS 服務的，只要ISA 伺服器可以解析DNS 名字就行了。但是Web 代理客戶其他的訪問（非Web 瀏覽的訪問）如果是需要DNS解析的，不配置DNS伺服器時就會導致失敗。

而防火牆客戶雖然預設也會配置為Web代理客戶，但是防火牆客戶端（FWC）會直接把所有非本地的 TCP/UDP 資料發往ISA Server，所以，不管你是否在本地配置了預設閘道器和DNS 伺服器，FWC 總是會把資料傳送給它所連線的ISA Server，所以，只要ISAServer 能夠正確的解析DNS，那麼防火牆客戶就可以正常的解析DNS。
===========================================================================

執行 Dcpromo 架設Active Directory （活動目錄 ）時，出現" 無法建立 GPO " 錯誤資訊
今天在執行 Dcpromo 架設Active Directory （活動目錄 ）時，建立到一半，就報錯，錯誤資訊如下： 由於以下原因，操作失敗：
未能為域 domain _ name  建立GPO。
“出現了擴充套件錯誤。” 鬱悶至極啊，在網上狂搜也沒搜到解決方法，後來在MSDN上看到，原來是Secedit.sdb 資料庫損壞造成的，修復一下就好了，步驟如下：

1、開啟 開始--》執行--》輸入CMD命令；
2、"cd/">"CD c:/windows/security/database/"
3、"esentutl / p secedit.sdb"
4、"cd..">"cd windows/security"
5、"del Edb.log">"del Edb0000x.log"

注：">"表示下一步

我的部落格：http://xwg999.blog.51cto.com/
__________________________________________
歡迎大家到Linux聯盟：14725421