DNS 服務(wù)器的配置和管理一、DNS 概述在TCP/IP的網(wǎng)絡(luò)中，網(wǎng)絡(luò)通信的終點是套接字（Socket ），其由目標主機的IP 地址和要訪問的TCP/UDP端口組成，也就是說，不管是在局域網(wǎng)還是互聯(lián)網(wǎng)

DNS 服務(wù)器的配置和管理

一、DNS 概述

在TCP/IP的網(wǎng)絡(luò)中，網(wǎng)絡(luò)通信的終點是套接字（Socket ），其由目標主機的IP 地址和要訪問的TCP/UDP端口組成，也就是說，不管是在局域網(wǎng)還是互聯(lián)網(wǎng)上，計算機在網(wǎng)絡(luò)上通訊時是通過如“202.115.22.33”之類的數(shù)字形式的IP 地址來識別目標主機。但當訪問Internet 或Intranet 時，我們打開瀏覽器，在地址欄中輸入如“www.sina.com.cn”的域名后，就能看到需要的頁面。這給了人們一個困惑，難道計算機通訊時也能根據(jù)對方域名來直接找到目標主機么？

其實，當我們在瀏覽器的地址欄中輸入要訪問的網(wǎng)頁的域名時，計算機系統(tǒng)會為我們做一個“翻譯”工作，即將我們輸入域名解析為目標主機的IP 地址。而這種“翻譯”記錄的建立，在早期是通過一個hosts 文件來完成的，但隨著網(wǎng)絡(luò)規(guī)模的擴大，通過管理員手動建立并分發(fā)的hosts 文件已不適應(yīng)網(wǎng)絡(luò)中越來越多的名字解析的需求，此時，則需要一種能夠動態(tài)地為客戶機進行域名注冊，同時能動態(tài)的為用戶要訪問的域名進行名字解析的服務(wù)，而DNS （Domain Name System）服務(wù)為我們提供了這個解決方案。

域名系統(tǒng) (DNS) 是用于 TCP/IP 網(wǎng)絡(luò)（例如，Internet ）的名稱解析協(xié)議，在IP 的網(wǎng)絡(luò)里，它是客戶機/服務(wù)器通信的一個集成部分。

DNS 是一個分布式數(shù)據(jù)庫系統(tǒng)，它用來將用戶容易記住的友好的名稱FQDN （Full Qualified Domain Name：完全限定域名，其描述了主機到它域的精確關(guān)系，比如www.gocean.com.cn ）解析為難記的IP 地址（比如“202.186.250.41），并將這個映射存放在其數(shù)據(jù)庫系統(tǒng)中，以定位計算機和服務(wù)。

因此，不管是在局域網(wǎng)還是廣域網(wǎng)中，只要我們將要用到如“www.gocean.com.cn”之類域名的時候，我們都得首先確保已為此名字在DNS

服務(wù)器中作好了相應(yīng)的和IP 地址的映射工作。而在互聯(lián)網(wǎng)中，這個工作則由專門的服務(wù)器進行完成。

一、DNS 查詢的工作原理

當 DNS 客戶端需要查詢程序中使用的名稱時，它會查詢 DNS 服務(wù)器來解析該名稱?？蛻舳税l(fā)送的每條查詢消息都包括三條信息，指定服務(wù)器回答的問題：

1、指定的 DNS 域名，規(guī)定為完全合格的域名 (FQDN)

2、指定的查詢類型，可根據(jù)類型指定資源記錄，或者指定為查詢操作的專門類型。

3、DNS 域名的指定類別。對于 Windows DNS 服務(wù)器，它始終應(yīng)指定為 Internet (IN) 類別。

例如，指定的名稱可以是計算機的 FQDN ，例如，“host-a.example.microsoft.com”，而指定的查詢類型可以是通過該名稱搜索地址 (A) 資源記錄。將 DNS 查詢看作客戶端向服務(wù)器詢問由兩部分組成的問題，例如“您是否擁有名為 ?hostname.example.microsoft.com? 的計算機的 A 資源記錄？”當客戶端收到來自服務(wù)器的應(yīng)答時，它將讀取并解譯應(yīng)答的 A 資源記錄，獲取根據(jù)名稱詢問的計算機的 IP 地址。

二.1 DNS的查詢類型

在DNS 中，通?？蓤?zhí)行兩類的查詢。這兩種類型如下：

1、遞歸查詢（Recursive ）。DNS 服務(wù)器承擔全部的工作量和責任，為該查詢提供完全的答案。它可使用其自身的資源記錄信息緩存來應(yīng)答客戶查詢，也可代表請求客戶端查詢或聯(lián)系其他 DNS 服務(wù)器，以便完全解析該名稱，并隨后將應(yīng)答返回至客戶端。這個過程如上圖中的第1和第10步，稱為遞歸。

2、迭代查詢（Iterative ）。如果DNS 服務(wù)器的高速緩存內(nèi)或區(qū)域中沒有需要的數(shù)據(jù)記錄，則DNS 服務(wù)器會向客戶端提供去查詢其它DNS 服務(wù)器的指針讓client 去繼續(xù)查詢，直到出現(xiàn)了正確答案或超時、錯誤等為止?；虻谝慌_DNS 服務(wù)器在向第二臺DNS 服務(wù)器提出查詢要求后，如果第二個DNS 服務(wù)器內(nèi)沒有所需數(shù)據(jù)，則它會提供第三臺DNS 服務(wù)器的IP 地址給第一臺DNS 服務(wù)器讓第一臺DNS 服務(wù)器向第三臺DNS 服務(wù)器查詢。該過程這個過程如上圖中的第2至第9步，稱作迭代。

二.2 DNS的查找類型

區(qū)域查找類型確定DNS 服務(wù)器將執(zhí)行的任務(wù)。在我們創(chuàng)建區(qū)域時，我們要通過指定區(qū)域類型，來確定該區(qū)域?qū)⒈挥脕斫鉀Q正向查找查詢還是逆向查找查詢。而迭代查詢和遞歸查詢可以與下述查找類型相關(guān)聯(lián)：

1、正向查找（Forward Lookup）。這種請求將FQDN 映射為IP 地址，為最常用的查找類型。

2、逆向查找（Reverse Lookup ）。這種請求將IP 地址映射為FQDN ，當我們只知道目標的IP 地址，而不知其域名時，可以采用這種查找類型。

三、DNS 創(chuàng)建的區(qū)域類型

域名系統(tǒng) (DNS) 允許 DNS 名稱空間分成幾個區(qū)域（Zone ），這些區(qū)域存儲有關(guān)一個或多個 DNS 域的名稱信息。對于包括在區(qū)域中的每個 DNS 域名，該區(qū)域成為該域的有關(guān)信息的權(quán)威性信息源。

區(qū)域是域名稱空間中的一個連續(xù)部分，通過區(qū)域，可以讓我們在域中精確的定位某一臺主機。

為了創(chuàng)建區(qū)域，必須先要理解下面這些概念：

1、區(qū)域類型（Zone types）。DNS 服務(wù)器上可以駐留不同類型的區(qū)域，我們可

以配置單個DNS 服務(wù)器，使之支持或駐留多個區(qū)域。也可以配置多個服務(wù)器，讓它們駐留一個或多個區(qū)域，用于提供容錯和負載平衡的功能。

2、區(qū)域文件（Zone file ）。資源記錄存儲于區(qū)域文件中。區(qū)域文件中存儲的停息用于將FQDN 解析為IP ，或?qū)P 解析為FQDN 。每一個zone 都有一個區(qū)域文件，文件位于：systemrootsystem32dns中。（systemroot表示當前系統(tǒng)的安裝目錄）。

三.1 識別區(qū)域類型

在DNS 中，我們可以創(chuàng)建并配置以下四種類型的區(qū)域：即主要區(qū)域（Primary zone）、輔助區(qū)域（Secondary zone）、存根區(qū)域（Stub zone）、活動目錄集成區(qū)域（Active Directory interated zone）。

三.1.1 主要區(qū)域（Primary zone）

區(qū)域的主 DNS 服務(wù)器作為區(qū)域的更新點。新創(chuàng)建的區(qū)域通常是這種類型?？梢园匆韵铝袃煞N方法之一使用主要區(qū)域：作為標準的主要區(qū)域或集成 Active Directory 的主要區(qū)域。

對于標準主要類型區(qū)域，只有一個 DNS 服務(wù)器能主持和加載區(qū)域的主副本。如果創(chuàng)建了一個區(qū)域并將其作為標準主要區(qū)域，則不允許區(qū)域有其他主服務(wù)器。只允許一個服務(wù)器接受動態(tài)更新和處理區(qū)域更改。

標準主區(qū)域包含區(qū)域文件的一個讀/寫版本，該文件存儲為標準的文本文件，區(qū)域的任何變化都被記錄在該文件中。

三.1.2 輔助區(qū)域（Secondary zone）

標準主模式隱含了一個故障點。例如，如果因為某種原因區(qū)域的主服務(wù)器對于網(wǎng)絡(luò)不可用，則對區(qū)域無法做動態(tài)更新，無法為DNS 客戶進行正常的域名解析。這時候，如果我們?yōu)槭孪葹橹鲄^(qū)域創(chuàng)建了輔助區(qū)域服務(wù)器，則該服務(wù)器可用于應(yīng)答，則區(qū)域中名稱的查詢不受影響并能不受干擾地繼續(xù)進行。

輔助區(qū)域包含了主區(qū)域的的只讀副本，其通過區(qū)域復(fù)制得到主區(qū)域信息的變化。輔助區(qū)域能通過響應(yīng)client 查詢請求來減少主zone 的負擔，從而實現(xiàn)容錯和負載平衡。

輔助區(qū)域的區(qū)域文件被存儲為一個標準的只讀文本文件，該區(qū)域的任何的變化都被記錄在相應(yīng)主區(qū)域文件中，并被復(fù)制到輔助區(qū)域的區(qū)域文件中。

三.1.3 存根區(qū)域（Stub zone）

存根區(qū)域是一個區(qū)域副本，只包含標識該區(qū)域的權(quán)威域名系統(tǒng) (DNS) 服務(wù)器所需的那些資源記錄。存根區(qū)域用于使主持父區(qū)域的 DNS 服務(wù)器知道其子區(qū)域的權(quán)威 DNS 服務(wù)器，從而保持 DNS 名稱解析效率。

存根區(qū)域由以下部分組成：

1、委派區(qū)域的起始授權(quán)機構(gòu) (SOA) 資源記錄、名稱服務(wù)器 (NS) 資源記錄和粘附 A 資源記錄。

2、可用來更新存根區(qū)域的一個或多個主服務(wù)器的 IP 地址。

存根區(qū)域的主服務(wù)器是對于子區(qū)域具有權(quán)威性的一個或多個 DNS 服務(wù)器，通常 DNS 服務(wù)器主持委派域名的主要區(qū)域。

使用存根區(qū)域可執(zhí)行以下操作：

1、使委派的區(qū)域信息保持最新。 通過定期更新它的一個子區(qū)域的存根區(qū)域，主持父區(qū)域和存根區(qū)域的 DNS 服務(wù)器將維護該子區(qū)域的權(quán)威 DNS 服務(wù)器的當前列表。

2、改進名稱解析。 存根區(qū)域使 DNS 服務(wù)器能夠使用存根區(qū)域的名稱服務(wù)器列表執(zhí)行遞歸，而無需查詢 Internet 或 DNS 名稱空間的內(nèi)部根服務(wù)器。

3、簡化 DNS 管理。 在整個 DNS 結(jié)構(gòu)中使用存根區(qū)域可為區(qū)域分發(fā)權(quán)威 DNS 服務(wù)器的列表，而不用使用輔助區(qū)域。但是，存根區(qū)域與輔助區(qū)域的用途不同，考慮冗余和負載共享時，存根區(qū)域不是備用區(qū)域。

三.1.4 活動目錄集成區(qū)域（AD integrated zone）

可通過使用 DNS 服務(wù)器服務(wù)的目錄集成存儲和復(fù)制功能為區(qū)域添加更多的主服務(wù)器。為此，您需要更改區(qū)域并將它集成到 Active Directory。 與AD 集成的DNS 區(qū)域中只能創(chuàng)建于域控制器上，其區(qū)域數(shù)據(jù)庫也保存在活動目錄中，并隨AD 的復(fù)制而在整個域中復(fù)制。因為活動目錄維護區(qū)域信息，所以我們無需為了指定怎樣更新與何時更新而配置DNS 服務(wù)器。

四、安裝和配置DNS

上面詳細介紹了DNS 的概念及工作原理，下面將要說明如何在Windows 2003 Enterprise Edition服務(wù)器上配置DNS 服務(wù)。

四.1 配置步驟

1、安裝DNS

2、建立主區(qū)域和主機記錄

3、建立反向區(qū)域和指針記錄

4、實現(xiàn)DNS 的動態(tài)更新

5、建立標準輔助區(qū)域并配置區(qū)域傳輸

6、與WINS 集成

7、DNS 客戶端的配置

四.1.1 安裝 DNS

默認的，當我們安裝好Windows Server 2003之后，DNS 服務(wù)并沒有被添加進去。為了安裝DNS ，我們可以在“控制面板”或“配置我們的服務(wù)器向?qū)А敝羞M行安裝。這里以“控制面板”中的安裝方法為例。

1、以管理員身份登錄到一臺固定IP 地址為192.168.0.100服務(wù)器，在“控制面板”上雙擊“添加/刪除程序”，在其后出現(xiàn)的對話框中單擊“添加/刪除Windows 組件”。

2、在“Windows組件” 向?qū)е?，選擇單擊“網(wǎng)絡(luò)服務(wù)“，然后再單擊“詳細資料”，選擇“域名服務(wù)系統(tǒng)（DNS ）”前面的復(fù)選框，然后單擊“確定”按鈕進行安裝。

3、安裝完畢后，在“管理工具”中會出現(xiàn)“DNS”管理工具。

四.1.2 建立主區(qū)域和主機記錄

1、首先確保本機已安裝了DNS 服務(wù)，則可以通過選“開始→程序→管理工具→DNS”來打開DNS 控制臺管理器（以下簡稱“DNS管理器”）。

2、在DNS 管理器中，在“正向查找區(qū)域”上單擊右鍵，選“新建區(qū)域”以進入新建區(qū)域向?qū)е小?/p>

3、當向?qū)崾镜揭屵x擇“區(qū)域類型”時，此處應(yīng)選“主要區(qū)域”，并清除“在Acticve Directory中存儲區(qū)域”前面的復(fù)選框，單擊“下一步”按鈕繼續(xù)。

3、隨后系統(tǒng)會詢問“區(qū)域名”，在“名稱”后的文字框中輸入“nwtrade.com”；接著向?qū)нM入到“區(qū)域文件”提示窗口中，默認的，系統(tǒng)會自動選中“創(chuàng)建新文件，文件名為”一項，并在其后的文字框中自動填有“nwtrade.com.dns”（“nwtrade.com”部分即為上步所輸入的“區(qū)域名”）的名字。

4、再根據(jù)系統(tǒng)提示選擇其默認各項之后即可完成此區(qū)域的建立。此時在DNS 管理器左邊的“樹”欄中的“LG→正向搜索區(qū)域”里即可以看到新建立的“nwtrade.com”區(qū)域。

5、接著在“nwtrade.com”區(qū)域上單擊右鍵，選“新建主機”，在其后的對話框中的“名稱”處輸入主機名“www”，“IP地址”處輸入IP 地址“192.168.0.100”，再單擊“添加主機”按鈕，即成功地創(chuàng)建了主機地址記錄www.nwtrade.com 。

四.1.3 建立反向區(qū)域和指針記錄

1、在DNS 管理器中，在“反向查找區(qū)域”上單擊右鍵，選“新建區(qū)域”以進入

新建區(qū)域向?qū)е小?/p>

2、當向?qū)崾镜揭屵x擇“區(qū)域類型”時，此處應(yīng)選“主要區(qū)域”，并清除“在Acticve Directory中存儲區(qū)域”前面的復(fù)選框，單擊“下一步”按鈕繼續(xù)。

3、在“網(wǎng)絡(luò)ID”中輸入“192.169.0”,然后單擊“下一步”。

4、接著會出現(xiàn)區(qū)域文件名的選項，按默認設(shè)置即可。單擊“下一步”，完成反向查找區(qū)域的創(chuàng)建。

5、在“反向查找區(qū)域→192.168.0.x Subnet”上單擊右鍵，選擇“新建指針（PTR ）”，輸入主機的IP 號和主機名，點擊“確定”按鈕完成指針記錄的創(chuàng)建。

四.1.4 實現(xiàn)DNS 的動態(tài)更新

Windows 2000 Server 以上的版本支持DNS 的動態(tài)更新。通過動態(tài)更新協(xié)議，允許客戶計算機自動在DNS 服務(wù)器中更新記錄，而不需管理員的干涉。在進行動態(tài)更新的設(shè)置時，當區(qū)域為AD 集成區(qū)域時，可設(shè)置為安全的動態(tài)更新，而對非AD 集成區(qū)域，只能設(shè)置為非安全的動態(tài)更新。

對于Windows2000以前版本的系統(tǒng)，如Windows NT 和Windows98，它們是不支持動態(tài)更新的，在這種情況下，我們可以將它們配置DHCP 客戶，然后通過DHCP 服務(wù)的相關(guān)配置來幫助它們進行DNS 的動態(tài)更新。

1、根據(jù)以上的實驗步驟, 我們在DNS 服務(wù)器上再重建一個區(qū)域，取名為nt2000.com ，然后在其屬性的動態(tài)更新中設(shè)置為“非安全”。

2、為了對Windows2000以前版本作DNS 的動態(tài)更新，我們進入管理工具中的DHCP 服務(wù)，選擇 DHCP 服務(wù)器，在其屬性頁中單擊動態(tài)DNS ，選中" 啟用 DNS 客戶信息動態(tài)更新" 并選中選項中的" 當租約過期時取消正向搜索、對非動態(tài) DNS 客戶更新" 兩個選項。

四.1.5 建立標準輔助區(qū)域并實現(xiàn)區(qū)域傳輸

DNS 設(shè)計規(guī)范推薦對每個區(qū)域至少使用兩個 DNS 服務(wù)器以實現(xiàn)最不的容錯和負載平衡。對于標準主要類型區(qū)域，可以用輔助服務(wù)器來添加和配置該區(qū)域。對于目錄集成的主要區(qū)域，輔助服務(wù)器是被支持的但不是必需的。

輔助服務(wù)器能夠提供在區(qū)域被大量查詢和使用的網(wǎng)絡(luò)區(qū)減少 DNS 查詢通信量的方法。另外，如果主服務(wù)器關(guān)閉了，則輔助服務(wù)器可以在該區(qū)域提供一些名稱解析，直到主服務(wù)器可以使用為止。

因為主服務(wù)器總是保留區(qū)域更新和改動的主副本，所以輔助服務(wù)器依賴 DNS 區(qū)域傳輸機制來獲取信息并使其成為最新信息。在Windows2000和Windows2003中，區(qū)域信息的更新由增量式區(qū)域傳輸（IXFR —incremental zone transfer ）功能進行。這種功能只復(fù)制區(qū)域文件的變化，而不是復(fù)制整個區(qū)域文件。

為了完成輔助區(qū)域的建立和區(qū)域傳輸?shù)呐渲茫璋匆韵虏襟E進行：

1、以管理員身份登錄到一臺固定IP 地址為192.168.0.125的DNS 服務(wù)器，在上面新建一個區(qū)域，區(qū)域類型選擇為：輔助區(qū)域，區(qū)域名取為同標準主區(qū)域的名字一樣，這里取名為：nt2000.com ，主區(qū)域的IP 設(shè)為192.168.0.100，這樣就完成了輔助區(qū)域的創(chuàng)建。

2、以管理員身份登錄到主DNS 服務(wù)器（IP 地址為：192.168.0.100）上，進入DNS 管理器，右擊nt2000.com 區(qū)域，選擇“屬性”，在屬性對話框中：選擇起始授權(quán)機構(gòu)。在這里主要作輔助區(qū)域主動同主區(qū)域進行區(qū)域更新的配置，在這里，我們可以對序列號、刷新間隔、重試間隔及過期時間根據(jù)網(wǎng)絡(luò)的實際需要作要應(yīng)的修改。

3、點擊“區(qū)域復(fù)制”標簽，進入?yún)^(qū)域復(fù)制頁設(shè)置與那些服務(wù)器進行區(qū)域傳輸，默認情況下將與網(wǎng)絡(luò)中的所有DNS 服務(wù)器進行區(qū)域傳輸，也可以設(shè)置為只與

名稱服務(wù)器列表中的服務(wù)器進行區(qū)域傳輸或與指定的服務(wù)器進行區(qū)域傳輸。在這里我們按默認設(shè)置，點擊“通知”按鈕。

4、進入“通知”頁面，在這里的設(shè)置是當主區(qū)域的信息發(fā)生改變后會主動通知哪引起輔助區(qū)域服務(wù)器，從而使主區(qū)域和輔助區(qū)域的區(qū)域文件達到一致，以免對DNS 客戶提供正常的域名解析服務(wù)。這里我們選擇“下列服務(wù)器”單選框，在IP 地址中輸入輔助服務(wù)器的IP 地址“192.168.0.125”，點擊“確定”按鈕，完成區(qū)域傳輸?shù)脑O(shè)置。

四.1.6 集成DNS 和WINS

當 DNS 服務(wù)器與 WINS 服務(wù)結(jié)合使用后，在DNS 域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。

在一個區(qū)域中啟動 WINS 查詢功能具體步驟如下：

1、首先在 DNS 服務(wù)器中選擇一個區(qū)域（如nt2000.com ），在基屬性頁中單擊WINS 標簽。

2、選中使用“WINS正向查找”復(fù)選框，在下方的 WINS 服務(wù)器中添加 WINS 服務(wù)器的 IP 地址。如果在區(qū)域傳輸時用戶不想將這條記錄復(fù)制給其它 DNS 服務(wù)器，則用戶可以選中" 不復(fù)制此記錄。點擊“確定”按鈕，完成與WINS 集成的配置。

四.1.7 DNS客戶端的配置

在成功安裝 DNS 服務(wù)器后，就可以在 DNS 客戶機啟用 DNS 服務(wù)，下面具體說明如何在客戶機上設(shè)置并啟用 DNS 服務(wù)。

1、在一臺客戶機的工作桌面上右擊“網(wǎng)上鄰居”，進入“網(wǎng)絡(luò)連接”窗口。

2、在“網(wǎng)絡(luò)連接”窗口中選擇計算機所用的網(wǎng)卡（默認為本地連接），右擊“本地連接”，進入本地連接屬性頁。