DNS 服務(wù)的配置和管理本實(shí)驗使用2個學(xué)時一、實(shí)驗?zāi)康?、理解DNS 的工作原理；2、了解DNS 域名解析的過程；3、掌握DNS 服務(wù)的設(shè)置。二、實(shí)驗設(shè)備與環(huán)境Windows 2000 Server/

DNS 服務(wù)的配置和管理

本實(shí)驗使用2個學(xué)時

一、實(shí)驗?zāi)康?/p>

1、理解DNS 的工作原理；

2、了解DNS 域名解析的過程；

3、掌握DNS 服務(wù)的設(shè)置。

二、實(shí)驗設(shè)備與環(huán)境

Windows 2000 Server/Advance Server、Redhat Linux主機(jī)局域網(wǎng)及Internet 接入

三、預(yù)備知識和課前準(zhǔn)備

1、 DNS 基礎(chǔ)知識

在網(wǎng)絡(luò)中當(dāng)給每一臺計算機(jī)分配獨(dú)立的IP 地址后，可以通過IP 地址找到這臺計算機(jī)并與之進(jìn)行通信。但是，當(dāng)網(wǎng)絡(luò)的規(guī)模較大時，使用IP 地址就不太方便了，所以便出現(xiàn)了主機(jī)名（Host Name ）與IP 地址之間的一種對應(yīng)解決方案，通過使用形象易記的主機(jī)名而非IP 地址進(jìn)行網(wǎng)絡(luò)的訪問，這比單純使用IP 地址要方便得多。Internet NIC（Internet Network Information Center ）制定了一套稱為域名系統(tǒng)（Domain Name System,DNS ）的分層名字解析方案，在主機(jī)名與IP 地址之間建立映射關(guān)系。DNS 是一組協(xié)議和服務(wù)，它允許用戶在查找網(wǎng)絡(luò)資源時使用層次化的對用戶友好的名字取代IP 地址。當(dāng)DNS 客戶端向DNS 服務(wù)器發(fā)出IP 地址的查詢請求時，DNS 服務(wù)器可以從其數(shù)據(jù)庫內(nèi)尋找所需要的IP 地址給DNS 客戶端。這種由DNS 服務(wù)器在其數(shù)據(jù)庫中找出客戶端IP 地址的過程叫做“主機(jī)名稱解析”。該系統(tǒng)已廣泛地應(yīng)用到Internet 和Intranet 中，如果在Internet 或Intranet 中使用Web 瀏覽器、FTP 或Telnet 等基于TCP/IP協(xié)議的應(yīng)用程序時，就需要使用DNS 的功能。由于主機(jī)名便于記憶和數(shù)字形式的IP 地址可能由于各種原因而改變而主機(jī)名可以保持不變，幾乎所以的網(wǎng)絡(luò)資源訪問都是使用域名而非使用IP 地址來進(jìn)行訪問。

DNS 的模型相當(dāng)簡單：客戶端向DNS 服務(wù)器提出訪問請求，DNS 服務(wù)器收到請求后在數(shù)據(jù)庫中查找相對應(yīng)的IP 地址，并做出反應(yīng)，如果該DNS 服務(wù)器無法提供對應(yīng)的IP 地址（如數(shù)據(jù)庫中沒有該客戶端主機(jī)名對應(yīng)的IP 地址）時，它就轉(zhuǎn)給下一個它認(rèn)為更好的DNS 服務(wù)器去處理。

組成DNS 系統(tǒng)的核心是DNS 服務(wù)器，它是回答域名服務(wù)查詢的計算機(jī)，它允許私人TCP/IP網(wǎng)絡(luò)和連接公共Internet 的用戶提供并管理DNS 服務(wù)，維護(hù)DNS 名字?jǐn)?shù)據(jù)并處理DNS 客戶端主機(jī)名的查詢。DNS 服務(wù)器保存了包含主機(jī)名和相應(yīng)IP 地址的數(shù)據(jù)庫。DNS 使用一種與磁盤文件系統(tǒng)的目錄結(jié)構(gòu)類似的命名方案，域名通過句點(diǎn)". ”分隔每個分支來標(biāo)識一個域在邏輯DNS 層次中相對于其父域的位置。當(dāng)定位一個主機(jī)名時，是從最終位置到父域再到根域。例如pc.hi.cninfo.net 是一個主機(jī)，而hi.cninfo.net 是一個子域。

2、DNS 服務(wù)器的分類和作用

DNS 服務(wù)器（嚴(yán)格來講應(yīng)該是DNS 名稱服務(wù)器，DNS Name Server）是整個DNS 系統(tǒng)的核心，它保存著域名稱空間（Domain Name Space）中部分區(qū)域（Zone ，域名空間樹型結(jié)構(gòu)的一部分，它能將域名稱空間根據(jù)用戶需要劃分成為較小的區(qū)域，而非域，以便于管理）的數(shù)據(jù)。當(dāng)一個DNS 服務(wù)器中存放有域名稱空間內(nèi)的一個或多個區(qū)域的數(shù)據(jù)時，就將這臺服務(wù)器稱為授權(quán)名稱服務(wù)器（Authoritative Name Server ），負(fù)責(zé)維護(hù)和管理所管轄區(qū)域中的數(shù)據(jù)，為DNS 客戶端提供數(shù)據(jù)查詢。根據(jù)工作方式的不同，授權(quán)名稱服務(wù)器可以分為：主要名稱服務(wù)器、輔助名稱服務(wù)器、主控名稱服務(wù)器和Cache-Only 名稱服務(wù)器4種。

1）主要名稱服務(wù)器

主要名稱服務(wù)器（Primary Name Server）是用于存放該區(qū)域中相關(guān)設(shè)置的DNS 服務(wù)器。當(dāng)在一臺DNS 服務(wù)器上建立一個區(qū)域文件時，有關(guān)該新建區(qū)域內(nèi)的主機(jī)數(shù)據(jù)都直接存放到該DNS 服務(wù)器中。而且，當(dāng)某個區(qū)域的數(shù)據(jù)被修改后的數(shù)據(jù)同樣存放在這臺服務(wù)器內(nèi)，即由DNS 服務(wù)器完成對原有數(shù)據(jù)庫的更新。主要名稱服務(wù)器存放的是區(qū)域文件的正本數(shù)據(jù)。一個DNS 系統(tǒng)中可能有多個主要名稱服務(wù)器，這樣可以提供容錯能力，當(dāng)一臺主要名稱服務(wù)器發(fā)生故障時，由另外一臺主要名稱服務(wù)器提供服務(wù)，同時多個主要名稱服務(wù)器可以分擔(dān)查詢的任務(wù)，減輕了只有一個主要名稱服務(wù)器時的分擔(dān)。

2）輔助名稱服務(wù)器

輔助名稱服務(wù)器（Secondary Name Server）是用于從其他的服務(wù)器（即可以是主要名稱服務(wù)器，也可以是輔助名稱服務(wù)器）中復(fù)制數(shù)據(jù)，并進(jìn)行保存的服務(wù)器。服務(wù)器中的數(shù)據(jù)不是直接輸入的，而是從其他的服務(wù)器中復(fù)制過來的，只是一份副本。所以輔助名稱服務(wù)器中的數(shù)據(jù)是無法進(jìn)行修改的。

當(dāng)啟動輔助名稱服務(wù)器時，它會和與它建立聯(lián)系的所有主要名稱服務(wù)器建立聯(lián)系并從中復(fù)制數(shù)據(jù)。在工作時還會定期更新原有的數(shù)據(jù)，盡可能地保證副本與正本數(shù)據(jù)的一致性。在一個區(qū)域中設(shè)置多臺輔助名稱服務(wù)器能夠提供容錯能力、分擔(dān)主要名稱服務(wù)器的分擔(dān)和加快查詢的速度。

3）主控名稱服務(wù)器

主控名稱服務(wù)器（Master Name Server）是指提供區(qū)域數(shù)據(jù)復(fù)制的DNS 服務(wù)器，它既可以是該區(qū)域內(nèi)的主要名稱服務(wù)器，也可以是該區(qū)域內(nèi)的輔助名稱服務(wù)器。當(dāng)一臺輔助名稱服務(wù)器從另外一臺主要名稱服務(wù)器（也可以是輔助名稱服務(wù)器）中復(fù)制數(shù)據(jù)時，將提供數(shù)據(jù)復(fù)制服務(wù)的這臺主要名稱服務(wù)器（也可以是輔助名稱服務(wù)器）稱為主控名稱服務(wù)器。

4）Cache-Only 名稱服務(wù)器

Cache-Only 名稱服務(wù)器只負(fù)責(zé)查詢數(shù)據(jù)，并將曾經(jīng)查到的數(shù)據(jù)保存在高速緩存中，當(dāng)下一次DNS 客戶端查詢數(shù)據(jù)時，如果高速緩存內(nèi)存在該數(shù)據(jù)，則它可以將數(shù)據(jù)提供給客戶端。Cache-Only 名稱服務(wù)器不負(fù)責(zé)管轄名稱空間內(nèi)的任何DNS 服務(wù)器，不創(chuàng)建任何的區(qū)域，只幫助DNS 客戶端向其他的DNS 服務(wù)器進(jìn)行查詢，然后將查詢的數(shù)據(jù)保存在緩存中，并響應(yīng)DNS 客戶端的查詢請求，它可以分擔(dān)網(wǎng)絡(luò)的工作量，讓DNS 客戶端直接快速地進(jìn)行查詢。

3、轉(zhuǎn)發(fā)器的功能和應(yīng)用

轉(zhuǎn)發(fā)器（Forwarder ）是指具有特殊功能和應(yīng)用的DNS 服務(wù)器。一般情況下，當(dāng)DNS 服務(wù)器在收到DNS 客戶端的查詢請求后，將在所管轄的區(qū)域數(shù)據(jù)庫中尋找是否有該客戶端的數(shù)據(jù)，如果沒有，該服務(wù)器需轉(zhuǎn)向其他的DNS 服務(wù)器進(jìn)行查詢。為了安全，一般不希望內(nèi)部所有的DNS 服務(wù)器直接和外界聯(lián)系，網(wǎng)絡(luò)中的其他的DNS 服務(wù)器可以通過一臺DNS 服務(wù)器來與外界間接聯(lián)系，直接與外界聯(lián)系的DNS 服務(wù)器稱為轉(zhuǎn)發(fā)器。當(dāng)DNS 客戶端提出查詢請求（需要向外界查詢的請求）時，DNS 服務(wù)器將通過轉(zhuǎn)發(fā)器從外界的DNS 服務(wù)器中獲得數(shù)據(jù)并提供給客戶端。如果轉(zhuǎn)發(fā)器無法查詢到所需的數(shù)據(jù)時，DNS 服務(wù)器有兩種處理方式：直接向外界的DNS 服務(wù)器進(jìn)行查詢或不再向外界DNS 服務(wù)器進(jìn)行查詢而是告訴客戶端找不到所需數(shù)據(jù)。后一種方式中，該DNS 服務(wù)器將完全依賴于轉(zhuǎn)發(fā)器。出于安全考慮，最好將DNS 服務(wù)器設(shè)置為后一種方式，即完全依賴于轉(zhuǎn)發(fā)器的方式。這樣的服務(wù)器叫做從屬服務(wù)器（Slave Server）。

4、DNS 解析名字的方式

當(dāng)DNS 客戶端向DNS 服務(wù)器查詢數(shù)據(jù)或DNS 服務(wù)器向另一臺DNS 服務(wù)器查詢數(shù)據(jù)時，有3種查詢方式：遞歸型、循環(huán)型和反向型。

1）遞歸型

遞歸型查詢是指DNS 客戶端發(fā)出查詢請求后，如果DNS 服務(wù)器內(nèi)沒有所需數(shù)據(jù)，則DNS 服務(wù)器會代替客戶端向其他DNS 服務(wù)器進(jìn)行查詢。一般由DNS 客戶端提出的查詢都是遞歸型的查詢。

2）循環(huán)型

循環(huán)型查詢多用于DNS 服務(wù)器與DNS 服務(wù)器之間進(jìn)行的查詢方式。它的工作過程是：當(dāng)?shù)谝慌_DNS 服務(wù)器向第二臺服務(wù)器提出查詢請求后，如果第二臺服務(wù)器內(nèi)沒有所需數(shù)據(jù)時，第二臺服務(wù)器會提供第三臺服務(wù)器的IP 地址給第一臺服務(wù)器，讓第一臺服務(wù)器直接向第三臺服務(wù)器進(jìn)行查詢。依此類推，直到找到所需數(shù)據(jù)為止。如果在最后一臺服務(wù)器中還沒有找到所需數(shù)據(jù)，則通知第一臺服務(wù)器查詢失敗。

3）反向型

反向型查詢的方式與遞歸型和循環(huán)型兩種方式都不一樣，它是讓DNS 客戶端利用提供IP 地址來查詢主機(jī)名稱。由于DNS 名字空間中域名與IP 地址之間無法建立直接對應(yīng)關(guān)系，所以要使用此功能必須在DNS 服務(wù)器內(nèi)建立一個反向型查詢區(qū)域，該區(qū)域名稱的最后部分為in-addr-arpa 。一旦建立的區(qū)域進(jìn)入到DNS 數(shù)據(jù)庫中，就會增加一個指針記錄，將IP 地址于相應(yīng)的主機(jī)名相關(guān)聯(lián)。

5、DNS 服務(wù)器的設(shè)置

以Windows 2000服務(wù)器版自帶的DNS 服務(wù)為例。默認(rèn)安裝的Win2000，DNS 服務(wù)并沒有被添加進(jìn)去。打開“控制面板→添加/刪除程序→添加/刪除Windows 組件”，再在組件列表中雙擊“網(wǎng)絡(luò)服務(wù)”，然后勾選中其下的“DNS 服務(wù)器”一項，進(jìn)行安裝。

圖1 添加DNS 服務(wù)

添加成功后可從管理工具中打開DNS 管理控制臺

圖2 DNS 管理控制臺

創(chuàng)建區(qū)域（鼠標(biāo)右鍵或操作菜單中打開）

選擇正向搜索區(qū)域，然后單擊下一步。

輸入新建區(qū)域文件名稱，然后單擊下一步完成正向區(qū)域的創(chuàng)建。

創(chuàng)建反向搜索區(qū)域，輸入網(wǎng)絡(luò)ID 號及文件名稱（默認(rèn)已有），完成反向區(qū)域創(chuàng)建。

四、實(shí)驗內(nèi)容

1、配置一個DNS 服務(wù)器，創(chuàng)建一個xm.COM(xm為姓名的拼音) 的正向搜索區(qū)域。

2、 在剛才配置的正向搜索區(qū)域中，建立主機(jī)www.xm.com 、bbs.abc.com 和

ftp.abc.com 三個域名與IP “10.0.1.x ”地址相對應(yīng)起來。

3、 測試DNS 服務(wù)正向解析功能是否成功，將計算機(jī)網(wǎng)卡屬性中的DNS 服務(wù)器IP

地址設(shè)置為我們所配置DNS 服務(wù)器的IP 地址。在命令控制臺中使用nslookup 命令解析域名，命令格式Nslooup www.abc.com。一一測試，如果所建立的域名www.xm.com 、bbs.xm.com 和ftp.xm.com 均能顯示出所對應(yīng)的IP 地址，則表示成功。如下圖。

4、創(chuàng)建一個反向搜索區(qū)域。網(wǎng)絡(luò)ID 為服務(wù)器IP 地址的前三段，即子網(wǎng)號。并在反向搜

索區(qū)域中創(chuàng)建指針。通過nslookup 檢驗反向搜索的配置。如下圖等。

5、在實(shí)驗內(nèi)容3所創(chuàng)建的正向搜索區(qū)域中新建域，創(chuàng)建一個ziyu1子域，在子域中創(chuàng)建主機(jī)。創(chuàng)建一個委派，將ziyu2子域委派給另一個DNS 服務(wù)器進(jìn)行管理（需在被委派的服務(wù)器上建立相應(yīng)的ziyu2.xm.com 區(qū)域）。

本地DNS 服務(wù)器區(qū)域圖：

被委派DNS 服務(wù)器區(qū)域圖：

查詢委派區(qū)域中主機(jī)www.ziyu2.xm.com 的結(jié)果

6、設(shè)置服務(wù)器轉(zhuǎn)發(fā)器。當(dāng)DNS 服務(wù)器工作時，總會碰到服務(wù)器自己無法解析的域名信息，服務(wù)器需要將自己無法解析的域名解析請求轉(zhuǎn)發(fā)到其他的服務(wù)器進(jìn)行解析。將轉(zhuǎn)發(fā)器的IP 地址設(shè)置為其他同學(xué)所配置的DNS 服務(wù)器，并在解析其他DNS 服務(wù)器設(shè)置的域名，檢驗轉(zhuǎn)發(fā)器功能。

五、實(shí)驗報告要求

1、詳細(xì)記錄DNS 設(shè)置的各項參數(shù)及建立主機(jī)的名稱和IP 地址。

2、記錄測試服務(wù)器時產(chǎn)生的數(shù)據(jù)。