玩轉(zhuǎn)“網(wǎng)上鄰居”之DNS 解析（一）我們已經(jīng)知道，自Windows 2000系統(tǒng)以后，微軟就不再用NETBIOS 來注冊(cè)計(jì)算機(jī)名，也不再靠WINS 對(duì)計(jì)算機(jī)名稱進(jìn)行解析，而是全部交付給了DNS 。下面

玩轉(zhuǎn)“網(wǎng)上鄰居”之DNS 解析（一）

我們已經(jīng)知道，自Windows 2000系統(tǒng)以后，微軟就不再用NETBIOS 來注冊(cè)計(jì)算機(jī)名，也不再靠WINS 對(duì)計(jì)算機(jī)名稱進(jìn)行解析，而是全部交付給了DNS 。下面我們先來看一下名稱解析服務(wù)是如何實(shí)現(xiàn)從WINS 向DNS 遷移的。

一、從 WINS 遷移到 DNS

對(duì)于純粹的Windows 2000 Server環(huán)境，不可能減少甚至清除網(wǎng)絡(luò)上的WINS 。從網(wǎng)絡(luò)刪除已安裝的WINS 服務(wù)器的過程叫做“退役”。在決定讓網(wǎng)絡(luò)上的WINS 退役之前，請(qǐng)考慮以下問題：

（1）. 網(wǎng)絡(luò)上是否有運(yùn)行較早版本的Windows 或Windows NT的計(jì)算機(jī)。

（2）. 企業(yè)中的客戶計(jì)算機(jī)是否運(yùn)行舊的MS-DOS 或仍需要使用Net BIOS 名稱服務(wù)的Windows 程序，如NET 命令行實(shí)用程序。

如果網(wǎng)絡(luò)存在以上情形中的任何一種，都必須在網(wǎng)絡(luò)上始終使用WINS 以便與舊的客戶及程序兼容。如果都沒有，則可以讓網(wǎng)絡(luò)上使用的WINS 服務(wù)器退役。例如，某些Back Office應(yīng)用程序仍然需要Net BIOS命名，如使用Microsoft Exchange Server的客戶/服務(wù)器消息配置。

重新設(shè)計(jì)網(wǎng)絡(luò)或者準(zhǔn)備讓W(xué)INS 最后退役時(shí)，必須首先完全實(shí)現(xiàn)將DNS 作為網(wǎng)絡(luò)上已安裝的和活動(dòng)的所有Windows 計(jì)算機(jī)的主命名服務(wù)。一旦實(shí)施DNS ，WINS 退役過程遵照以下常規(guī)次序：

（1）重新配置客戶計(jì)算機(jī)，讓其不再使用WINS

重新配置WINS 客戶，讓其停止向要?jiǎng)h除的WINS 服務(wù)器注冊(cè)和更新其名稱?？蛻羰褂肳INS 是根據(jù)其TCP/IP配置而配置的。通過下面兩個(gè)方法之一完成：

作者：江西新華電腦學(xué)院 2013-4-6

·對(duì)于被手動(dòng)配置為使用TCP/IP的客戶，從客戶計(jì)算機(jī)使用的每個(gè)網(wǎng)絡(luò)連接所配置的TCP/IP屬性中刪除主WINS 或輔WINS 服務(wù)器的IP 地址。 ·對(duì)于被動(dòng)態(tài)配置為根據(jù)DHCP 服務(wù)器使用TCP/IP的客戶，在DHCP 服務(wù)器上重新配置選項(xiàng)（包括所有的服務(wù)器、作用域或客戶配置選項(xiàng)），讓其不再向客戶提供選項(xiàng)代碼為44的分配。該選項(xiàng)類型用來向客戶提供WINS 服務(wù)器IP 地址列表。

還可以將WINS 客戶配置為禁用TCP/IP上的NetBIOS ，盡管這一步不是從WINS 遷移到DNS 的必需步驟。

（2）重新配置客戶機(jī)時(shí)，驗(yàn)證DNS 配置和功能

將WINS 客戶機(jī)重新配置為停止注冊(cè)其名稱以及停止使用WINS 服務(wù)器時(shí)，在從網(wǎng)絡(luò)刪除WINS 服務(wù)器之前，驗(yàn)證所有客戶機(jī)都配置了DNS ?？蛻魴C(jī)在DNS 中的注冊(cè)以TCP/IP配置為基礎(chǔ)。重新配置可以通過以下兩種方法之一完成：

·對(duì)于被手動(dòng)配置為使用TCP/IP的客戶，從客戶計(jì)算機(jī)使用的每個(gè)網(wǎng)絡(luò)連接所配置的TCP/IP屬性中添加主WINS 或輔WINS 服務(wù)器的IP 地址。 ·對(duì)于被動(dòng)態(tài)配置為根據(jù)DHCP 服務(wù)器使用TCP/IP的客戶，在DHCP 服務(wù)器上重新配置選項(xiàng)（包括所有的服務(wù)器、作用域或客戶配置選項(xiàng)），向客戶提供選項(xiàng)代碼為6的分配。該選項(xiàng)類型用來向客戶提供DNS 服務(wù)器的IP 地址列表。

（3）關(guān)閉WINS 服務(wù)器并將其從網(wǎng)絡(luò)上刪除。

在將客戶機(jī)重新配置為使用DNS 而停止將WINS 用作名稱服務(wù)之后，可以開始清除WINS 服務(wù)器。

二、DNS 定義

作者：江西新華電腦學(xué)院 2013-4-6

DNS 是域名系統(tǒng)(Domain Name System)的縮寫，是一種組織成域?qū)哟谓Y(jié)構(gòu)的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)命名系統(tǒng)。DNS 命名用于TCP/IP網(wǎng)絡(luò)（如Internet ），用來通過用戶友好的名稱定位計(jì)算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS 名稱時(shí)，DNS 服務(wù)可以將此名稱解析為與此名稱相關(guān)的其他信息，如IP 地址。

例如，多數(shù)用戶喜歡使用友好的名稱（例如example.microsoft.com ）來定位諸如網(wǎng)絡(luò)上的郵件服務(wù)器或Web 服務(wù)器這樣的計(jì)算機(jī)。友好的名稱更容易記住。但是，計(jì)算機(jī)使用數(shù)字地址在網(wǎng)絡(luò)上通訊。為了更方便地使用網(wǎng)絡(luò)資源，諸如DNS 的名稱服務(wù)提供了一種方法，將用戶友好的計(jì)算機(jī)或服務(wù)名稱映射為數(shù)字地址。如果您使用過Web 瀏覽器，則應(yīng)該也使用了DNS 。 圖1顯示了DNS 的基本使用方法，DNS 根據(jù)計(jì)算機(jī)名稱搜索其IP 地址。 本例中，客戶機(jī)查詢服務(wù)器，請(qǐng)求配置成使用host-a.example.microsoft.com 作為其DNS 域名的計(jì)算機(jī)的IP 地址。由于服務(wù)器能夠根據(jù)其本地?cái)?shù)據(jù)庫應(yīng)答查詢，因此服務(wù)器將以包含所請(qǐng)求信息的應(yīng)答回復(fù)客戶機(jī)，即包含host-a.example.microsoft.com 的IP 地址信息的主機(jī)(A)資源記錄。

此例顯示了單個(gè)客戶機(jī)和服務(wù)器之間的簡(jiǎn)單DNS 查詢。實(shí)際上，DNS 查詢比這更復(fù)雜，而且包含此處未顯示的其他步驟。下面詳細(xì)介紹。

三、DNS 查詢的工作原理

當(dāng)DNS 客戶機(jī)需要查詢程序中使用的名稱時(shí)，它會(huì)查詢DNS 服務(wù)器來解析該名稱。客戶機(jī)發(fā)送的每條查詢消息都包括三條信息，以指定服務(wù)器應(yīng)回答的問題：

·指定的DNS 域名，表示為完全合格的域名(FQDN)

·指定的查詢類型，它可根據(jù)類型指定資源記錄，或作為查詢操作的專作者：江西新華電腦學(xué)院 2013-4-6

門類型。

·DNS 域名的指定類別。

對(duì)于Windows DNS服務(wù)器，它始終應(yīng)指定為Internet(IN)類別。

DNS 查詢以各種不同的方式進(jìn)行解析。客戶機(jī)有時(shí)也可通過使用從以前查詢獲得的緩存信息就地應(yīng)答查詢。DNS 服務(wù)器可使用其自身的資源記錄信息緩存來應(yīng)答查詢。DNS 服務(wù)器也可代表請(qǐng)求客戶機(jī)來查詢或聯(lián)系其他DNS 服務(wù)器，以完全解析該名稱，并隨后將應(yīng)答返回至客戶機(jī)。這個(gè)過程稱為遞歸。

另外，客戶機(jī)自己也可嘗試聯(lián)系其他的DNS 服務(wù)器來解析名稱。如果客戶機(jī)這么做，它會(huì)使用基于服務(wù)器應(yīng)答的獨(dú)立和附加的查詢。該過程稱作迭代。

總之，DNS 查詢過程按兩部分進(jìn)行：

·名稱查詢從客戶機(jī)開始并傳送至解析程序（DNS 客戶服務(wù)）進(jìn)行解析。 ·不能就地解析查詢時(shí)，可根據(jù)需要查詢DNS 服務(wù)器來解析名稱。 下面的部分詳細(xì)解釋這兩個(gè)過程：

1. 本地解析程序

圖2顯示了完整的DNS 查詢過程。

如查詢過程的初始步驟所示，DNS 域名由本機(jī)的程序使用。該請(qǐng)求隨后傳送至DNS 客戶服務(wù)，以通過使用就地緩存的信息進(jìn)行解析。如果可以解析查詢的名稱，則查詢將被應(yīng)答并且此過程完成。

本地解析程序的緩存可包括從兩個(gè)可能的來源獲取的名稱信息：

· 如果主機(jī)文件就地配置，則來自該文件的任何主機(jī)名稱到地址的映射在DNS 客戶服務(wù)啟動(dòng)時(shí)預(yù)先加載到緩存中。

作者：江西新華電腦學(xué)院 2013-4-6

· 從以前的DNS 查詢應(yīng)答的響應(yīng)中獲取的資源記錄將被添加至緩存并保留一段時(shí)間。

如果此查詢不匹配緩存中的項(xiàng)目，則解析過程繼續(xù)進(jìn)行，客戶機(jī)查詢DNS 服務(wù)器來解析名稱。

2. 查詢DNS 服務(wù)器

如圖2所示，客戶機(jī)將查詢首選DNS 服務(wù)器。在此過程的初始客戶/服務(wù)器查詢部分中使用的實(shí)際服務(wù)器從全局列表中選擇。當(dāng)DNS 服務(wù)器接收到查詢時(shí)，首先檢查它能否根據(jù)在服務(wù)器的就地配置區(qū)域中獲取的資源記錄信息作出權(quán)威性的應(yīng)答。如果查詢的名稱與本地區(qū)域信息中的相應(yīng)資源記錄匹配，則服務(wù)器作出權(quán)威性的應(yīng)答，并且使用該信息來解析查詢的名稱。 如果查詢的名稱沒有區(qū)域信息，則服務(wù)器檢查它能否通過本地緩存的先前查詢信息來解析名稱。如果從中發(fā)現(xiàn)匹配的信息，則服務(wù)器使用它應(yīng)答查詢。接著，如果首選服務(wù)器可使用來自其緩存的肯定匹配響應(yīng)來應(yīng)答發(fā)出請(qǐng)求的客戶機(jī)，則此次查詢完成。

如果查詢名稱在首選服務(wù)器中未發(fā)現(xiàn)來自緩存或區(qū)域信息的匹配應(yīng)答，則查詢過程可繼續(xù)進(jìn)行，使用遞歸來完全解析名稱。包括來自其他DNS 服務(wù)器的支持，以幫助解析名稱。在默認(rèn)情況下，DNS 客戶服務(wù)要求服務(wù)器在返回應(yīng)答前使用遞歸過程來代表客戶機(jī)完全解析名稱。在大多數(shù)情況下，DNS 服務(wù)器的默認(rèn)配置支持遞歸過程，如圖3所示。

為了使DNS 服務(wù)器正確執(zhí)行遞歸過程，首先需要在DNS 域名空間內(nèi)有關(guān)于其他DNS 服務(wù)器的一些有用的聯(lián)系信息。該信息以根線索的形式提供，它是初步資源記錄的一個(gè)列表，該記錄可被DNS 服務(wù)用來定位對(duì)DNS 域名空間樹的根具有絕對(duì)控制權(quán)的其他DNS 服務(wù)器。根服務(wù)器對(duì)于DNS 域名空作者：江西新華電腦學(xué)院 2013-4-6

間樹中的根域和頂級(jí)域具有絕對(duì)控制權(quán)。

DNS 服務(wù)器可通過使用根線索搜索根服務(wù)器，來完成遞歸過程。理論上，該過程允許任何DNS 服務(wù)器定位那些對(duì)域名空間樹中在任何級(jí)別使用的任何其他DNS 域名具有絕對(duì)控制權(quán)的服務(wù)器。

例如，當(dāng)客戶機(jī)查詢單個(gè)DNS 服務(wù)器時(shí)，考慮使用遞歸過程來定位名稱host-b.example.microsoft.com 。此過程在DNS 服務(wù)器和客戶機(jī)首次啟動(dòng)并且沒有可幫助解析名稱查詢的當(dāng)?shù)鼐彺嫘畔r(shí)進(jìn)行。它假定由客戶機(jī)查詢的名稱用于服務(wù)器根據(jù)其配置的區(qū)域不了解的域名。

首先，首選服務(wù)器分析全名并確定對(duì)于頂級(jí)域“com ”具有絕對(duì)控制權(quán)的服務(wù)器的位置。隨后，對(duì)“com ”DNS 服務(wù)器使用迭代查詢，以獲取

“microsoft.com ”服務(wù)器的參考信息。隨后，參考性應(yīng)答從“microsoft.com ”服務(wù)器傳送到“example.microsoft.com ”的DNS 服務(wù)器。

最后，與服務(wù)器example.microsoft.com 聯(lián)系上。因?yàn)樵摲?wù)器包括作為其配置區(qū)域一部分的查詢名稱，所以它向啟動(dòng)遞歸的源服務(wù)器作出權(quán)威性地應(yīng)答。當(dāng)源服務(wù)器接收到表明已獲得對(duì)請(qǐng)求查詢的權(quán)威性應(yīng)答的響應(yīng)時(shí)，它將此應(yīng)答轉(zhuǎn)發(fā)給發(fā)出請(qǐng)求的客戶機(jī)，這樣遞歸查詢過程就完成了。

盡管執(zhí)行上述遞歸查詢過程可能需要占用大量資源，但對(duì)于DNS 服務(wù)器來說它仍然具有一些性能上的優(yōu)勢(shì)。例如，在遞歸過程中，執(zhí)行遞歸查詢的DNS 服務(wù)器可獲得有關(guān)DNS 域名稱空間的信息。該信息由服務(wù)器緩存起來并可再次使用，以提高使用此信息或與之匹配的后續(xù)查詢的應(yīng)答速度。隨著時(shí)間的推移，這些緩存信息會(huì)不斷增加并占據(jù)大量的服務(wù)器內(nèi)存資源，不過在DNS 服務(wù)關(guān)閉或它的一個(gè)工作周期結(jié)束時(shí)這些信息將被清除。

3. 候選的查詢響應(yīng)

作者：江西新華電腦學(xué)院 2013-4-6

以前對(duì)DNS 查詢的討論都假定此過程在結(jié)束時(shí)會(huì)向客戶機(jī)返回一個(gè)肯定的響應(yīng)。但實(shí)際上，查詢也可返回其他應(yīng)答。最常見的應(yīng)答有：

（1）權(quán)威性應(yīng)答

權(quán)威性應(yīng)答是返回至客戶機(jī)并隨DNS 消息中設(shè)置的“授權(quán)機(jī)構(gòu)”位一同發(fā)送的肯定應(yīng)答，“授權(quán)機(jī)構(gòu)”位表明根據(jù)查詢名稱此應(yīng)答是從帶直接授權(quán)機(jī)構(gòu)的服務(wù)器獲取的。

（2）肯定應(yīng)答

肯定應(yīng)答可由查詢的RR 或RR 列表（也稱作RRset ）組成，它與查詢的DNS 域名和查詢消息中指定的記錄類型相符。

（3）參考性應(yīng)答

參考性應(yīng)答包括查詢中名稱或類型未指定的其他資源記錄。如果不支持遞歸過程，則這類應(yīng)答返回至客戶機(jī)。這些記錄的作用是為提供一些有用的參考性答案，客戶機(jī)可使用這種應(yīng)答繼續(xù)進(jìn)行遞歸查詢。參考性應(yīng)答包含其他的數(shù)據(jù)，例如不屬于查詢類型的資源記錄(RR)。例如，如果查詢主機(jī)名稱為“www ”并且在這個(gè)區(qū)域未找到該名稱的ARR ，而是找到了“www ”的CNAMERR ，則DNS 服務(wù)器在響應(yīng)客戶機(jī)時(shí)可包含該信息。

如果客戶機(jī)能夠使用迭代過程，則它可使用這些參考信息為自己進(jìn)行其他查詢，以求完全解析此名稱。

（4）否定應(yīng)答

來自服務(wù)器的否定應(yīng)答可以表明：當(dāng)服務(wù)器試圖徹底而且權(quán)威性地處理查詢以及采用遞歸方式分析查詢時(shí)將遇到兩種可能的結(jié)果之一： ·權(quán)威性服務(wù)器報(bào)告：DNS 名稱空間沒有查詢的名稱。

·權(quán)威性服務(wù)器報(bào)告：查詢的名稱存在，但該名稱不存在指定類型的記作者：江西新華電腦學(xué)院 2013-4-6

錄。

解析程序以肯定或否定響應(yīng)的形式將查詢結(jié)果傳回請(qǐng)求程序并把響應(yīng)消息緩存起來。

4. 迭代的工作原理

迭代是在以下條件生效時(shí)DNS 客戶機(jī)和服務(wù)器之間使用的名稱解析類型：

·客戶機(jī)申請(qǐng)使用遞歸過程，但遞歸在DNS 服務(wù)器上被禁用。

·查詢DNS 服務(wù)器時(shí)客戶機(jī)不申請(qǐng)使用遞歸過程。

來自客戶機(jī)的迭代請(qǐng)求告知DNS 服務(wù)器：客戶機(jī)希望直接從DNS 服務(wù)器那里得到最好的應(yīng)答，而不需聯(lián)系其他DNS 服務(wù)器。

使用迭代時(shí)，DNS 服務(wù)器根據(jù)它對(duì)名稱空間的特定認(rèn)識(shí)來應(yīng)答客戶機(jī)，而這個(gè)名稱空間正與目前查詢的名稱數(shù)據(jù)有關(guān)。例如，如果您內(nèi)部網(wǎng)上的DNS 服務(wù)器接收到來自本地客戶機(jī)“[url]www.microsoft.com[/url]”的查詢，則它可能會(huì)返回來自其名稱緩存的應(yīng)答。如果查詢的名稱當(dāng)前未存儲(chǔ)在服務(wù)器的名稱緩存中，則服務(wù)器可能會(huì)通過提供一些參考信息對(duì)客戶機(jī)作出響應(yīng)，這些參考信息就是是接近客戶機(jī)所查詢名稱的其他DNS 服務(wù)器的NS 和A 資源記錄列表。

得到參考信息后，DNS 客戶機(jī)負(fù)責(zé)向其他配置的DNS 服務(wù)器繼續(xù)進(jìn)行遞歸查詢，以解析名稱。例如，在大多數(shù)情況下，DNS 客戶機(jī)可能會(huì)將其搜索擴(kuò)展到Internet 上的根域服務(wù)器，以定位對(duì)于“com ”域具有絕對(duì)控制權(quán)的DNS 服務(wù)器。一旦聯(lián)系上Internet 根服務(wù)器，它就會(huì)從指向“microsoft.com ”域的實(shí)際InternetDNS 服務(wù)器的這些DNS 服務(wù)器中獲得進(jìn)一步的遞歸響應(yīng)。當(dāng)客戶機(jī)收到這些DNS 服務(wù)器的記錄時(shí)，它可以向Internet 上的外部

作者：江西新華電腦學(xué)院 2013-4-6

MicrosoftDNS 服務(wù)器發(fā)送其他迭代查詢，這個(gè)DNS 服務(wù)器可通過肯定和權(quán)威性的應(yīng)答進(jìn)行響應(yīng)。

使用迭代時(shí)，除了向客戶機(jī)提供自己最好的應(yīng)答外，DNS 服務(wù)器還可在名稱查詢解析中提供進(jìn)一步的幫助。對(duì)于大部分迭代查詢，如果它的主DNS 不能辯識(shí)該查詢，則客戶機(jī)使用它在本地配置的DNS 服務(wù)器列表在整個(gè)DNS 名稱空間中聯(lián)系其他名稱服務(wù)器。

5. 緩存的工作原理

DNS 服務(wù)器采用遞歸或迭代來處理客戶機(jī)查詢時(shí)，它們將發(fā)現(xiàn)并獲得已存儲(chǔ)的有關(guān)DNS 名稱空間的重要信息，然后這些信息由服務(wù)器緩存。

緩存為流行名稱的后續(xù)查詢提供了加速DNS 解析性能的方法，同時(shí)充分減少了網(wǎng)絡(luò)上與DNS 相關(guān)的查詢通信量。

當(dāng)DNS 服務(wù)器代表客戶機(jī)進(jìn)行遞歸查詢時(shí)，會(huì)暫時(shí)緩存資源記錄(RR)。緩存的RR 包含從DNS 服務(wù)器獲得的信息，對(duì)于在進(jìn)行迭代查詢以搜索和充分應(yīng)答代表客戶機(jī)所執(zhí)行的遞歸查詢過程中所獲知的DNS 域名，此信息具有絕對(duì)的權(quán)威性。稍后，當(dāng)其他客戶機(jī)發(fā)出新的查詢，申請(qǐng)與緩存的RR 匹配的RR 信息時(shí)，DNS 服務(wù)器可以使用緩存的RR 信息來應(yīng)答它們。 當(dāng)信息緩存時(shí)，生存時(shí)間(TTL)值適用于所有緩存的RR 。只要緩存RR 的TTL 沒有到期，在通過與這些RR 相匹配的客戶機(jī)來應(yīng)答查詢時(shí)，DNS 服務(wù)器就可繼續(xù)緩存并再次使用RR 。在大部分區(qū)域配置中由RR 所使用的緩存TTL 值被分配了“最小的（默認(rèn)）TTL ”，它被設(shè)置用于區(qū)域的啟動(dòng)授權(quán)機(jī)構(gòu)(SOA)資源記錄。在默認(rèn)情況下，最小的TTL 為3600秒（1小時(shí)），但是可進(jìn)行調(diào)整，或者根據(jù)需要在每個(gè)RR 上分別設(shè)置緩存TTL 。 不是所有Windows 計(jì)算機(jī)或應(yīng)用程序均需要TCP/IP上的WINS 或

作者：江西新華電腦學(xué)院 2013-4-6

NetBIOS(NetBT)。例如，如果因?yàn)樵赪eb 瀏覽器或FTP 程序中輸入不完整的URL 或在Internet 電子郵件程序中輸入了不完整的地址而出現(xiàn)名稱解析失敗，這一問題通常與DNS 有關(guān)。

在純粹的Windows 2000環(huán)境下，DNS 可作為替換WINS 的命名服務(wù)，因此可不需要安裝、配置WINS 服務(wù)。純粹的Windows 2000環(huán)境是指客戶端和資源服務(wù)器（客戶端按照名稱定位的計(jì)算機(jī)）都運(yùn)行Windows 2000的環(huán)境。如果有其他客戶端或資源服務(wù)器運(yùn)行Windows 早期版本或MS-DOS ，則是混合環(huán)境。在混合環(huán)境中，任何客戶在訪問未通過Active Directory發(fā)布的共享資源時(shí)，名稱解析都將失敗。例如，遺留的文件和打印服務(wù)器，或用于完成登錄或?yàn)g覽Windows NT域的域控制器或成員服務(wù)器。用戶可能使用并需要WINS 輔助名稱解析的應(yīng)用程序示例包括“網(wǎng)上鄰居”，Windows 資源管理器中的“映射網(wǎng)絡(luò)驅(qū)動(dòng)器”功能、net 命令(Net.exe)及其支持選項(xiàng)，如netuse 或netview 。

作者：江西新華電腦學(xué)院 2013-4-6