DNS 服務(wù)器詳解 DNS 組件完整的DNS 系統(tǒng)由DNS 服務(wù)器、區(qū)域、解析器（DNS 客戶端）和資源記錄組成，并且你需要正確的進(jìn)行配置。DNS 協(xié)議采用UDP/TCP 53端口進(jìn)行通訊：DNS 服

DNS 服務(wù)器詳解 DNS 組件

完整的DNS 系統(tǒng)由DNS 服務(wù)器、區(qū)域、解析器（DNS 客戶端）和資源記錄組成，并且你需要正確的進(jìn)行配置。DNS 協(xié)議采用UDP/TCP 53端口進(jìn)行通訊：DNS 服務(wù)器偵聽UDP/TCP 53端口，DNS 客戶端通過向服務(wù)器的這兩個端口發(fā)起連接進(jìn)行DNS 協(xié)議通訊。其中UDP 53端口主要用于答復(fù)DNS 客戶端的解析請求，而TCP 53端口用于區(qū)域復(fù)制。

DNS 服務(wù)器

運行DNS 服務(wù)器軟件的計算機。常見的DNS 服務(wù)器軟件有Windows 的DNS 服務(wù)器和Unix 下的BIND 。一個DNS 服務(wù)器包含了部分DNS 命名空間的數(shù)據(jù)信息，當(dāng)DNS 客戶發(fā)起解析請求時，DNS 服務(wù)器答復(fù)客戶的請求，或者提供另外一個可以幫助客戶進(jìn)行請求解析的服務(wù)器地址，或者回復(fù)客戶無對應(yīng)記錄。

當(dāng)DNS 服務(wù)器管理某個區(qū)域時，它是此區(qū)域的權(quán)威DNS 服務(wù)器，而無論它是主要區(qū)域還是輔助區(qū)域。DNS 服務(wù)器可以是一級或者多級DNS 命名空間的權(quán)威DNS 服務(wù)器，例如，Internet 根域的DNS 服務(wù)器只是對于頂級域名例如“.org ”具有權(quán)威，而頂級域名.org 的權(quán)威DNS 服務(wù)器只是對于winsvr.org 二級域名具有權(quán)威，而對于三級域名www.winsvr.org ，則只有winsvr.org 域的DNS 服務(wù)器才具有權(quán)威。

DNS 區(qū)域

DNS 區(qū)域是DNS 服務(wù)器具有權(quán)威的連續(xù)的命名空間，一個DNS 服務(wù)器可以對一個或多個區(qū)域具有權(quán)威，而一個區(qū)域可以包含一個或多個連續(xù)的域。例如，一個DNS 服務(wù)器可以對區(qū)域winsvr.org 和isacn.org 具有權(quán)威，而每個區(qū)域下又可以包含多個域。不過，你可以通過區(qū)域委派來將連續(xù)的域例如winsvr.org 、tech.winsvr.org 存放在不同的區(qū)域中。

區(qū)域文件包含了DNS 服務(wù)器具有權(quán)威的區(qū)域的所有資源記錄。通常情況下，區(qū)域數(shù)據(jù)存在在文本文件中，但是運行在Windows 2000或者Windows Server 2003域控制器上的DNS 服務(wù)器，可以把區(qū)域信息存放在活動目錄中。

DNS 解析器（DNS 客戶端）

DNS 解析器是使用客戶端計算機用于通過DNS 協(xié)議查詢DNS 服務(wù)器的一個服務(wù)。在Windows 2000及其后的系統(tǒng)中，DNS 解析器是通過DNS 客戶端這個服務(wù)來實現(xiàn)，

除此之外，DNS 客戶端服務(wù)還可以對DNS 解析結(jié)果進(jìn)行緩存。你必須在客戶端計算機的TCP/IP屬性中配置使用DNS 服務(wù)器，此時客戶端計算機的DNS 解析器才會將DNS 解析請求發(fā)送到相應(yīng)的DNS 服務(wù)器。

資源記錄

資源記錄是用于答復(fù)DNS 客戶端請求的DNS 數(shù)據(jù)庫記錄，每一個DNS 服務(wù)器包含了它所管理的DNS 命名空間的所有資源記錄。資源記錄包含和特定主機有關(guān)的信息，如IP 地址、提供服務(wù)的類型等等。常見的資源記錄類型有：

資源記錄類型

說明

解釋

起始授權(quán)結(jié)構(gòu)（SOA ）

起始授權(quán)機構(gòu)

此記錄指定區(qū)域的起點。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務(wù)器如何更新區(qū)域數(shù)據(jù)文件的設(shè)置等。

主機（A ）

主機（A ）記錄是名稱解析的重要記錄，它用于將特定的主機名映射到對應(yīng)主機的IP 地址 上。你可以在DNS 服務(wù)器中手動創(chuàng)建或通過DNS 客戶端動態(tài)更新來創(chuàng)建。

別名（CNAME ）

標(biāo)準(zhǔn)名稱

此記錄用于將某個別名指向到某個主機（A ）記錄上，從而無需為某個需要新名字解析的主機額外創(chuàng)建A 記錄。

郵件交換器（MX ）

郵件交換器

此記錄列出了負(fù)責(zé)接收發(fā)到域中的電子郵件的主機 ，通常用于郵件的收發(fā)。

名稱服務(wù)器（NS ）

名稱服務(wù)器

此記錄指定負(fù)責(zé)此DNS 區(qū)域的權(quán)威名稱服務(wù)器。

理解DNS 服務(wù)器的工作方式

當(dāng)DNS 客戶端需要為某個應(yīng)用程序查詢名字時，它將聯(lián)系自己的DNS 服務(wù)器來解析此名字。DNS 客戶發(fā)送的解析請求包含以下三種信息：

1. 需要查詢的域名。如果原應(yīng)用程序提交的不是一個完整的FQDN ，則DNS 客戶端加上域名后綴以構(gòu)成一個完整的FQDN ；

2. 指定的查詢類型。指定查詢的資源記錄的類型，如A 記錄或者M(jìn)X 記錄等等；

3. 指定的DNS 域名類型。對于DNS 客戶端服務(wù)，這個類型總是指定Internet [IN]類別。

DNS 客戶端完整的DNS 解析過程如下：

1、檢查自己的本地DNS 名字緩存

當(dāng)DNS 客戶端需要解析某個FQDN 時，先檢查自己的本地DNS 名字緩存。本地的DNS 名字緩存由兩部分構(gòu)成：

Hosts 文件中的主機名到IP 地址映射定義

前一次DNS 查詢得到的結(jié)果，并且此結(jié)果還處于有效期；如果DNS 客戶端從本地緩存中獲得相應(yīng)結(jié)果，則DNS 解析完成。

2、聯(lián)系自己的DNS 服務(wù)器

如果DNS 客戶端沒有在自己的本地緩存中找到對應(yīng)的記錄，則聯(lián)系自己的DNS 服務(wù)器，你必須預(yù)先配置DNS 客戶端所使用的DNS 服務(wù)器。

當(dāng)DNS 服務(wù)器接收到DNS 客戶端的解析請求后，它先檢查自己是否能夠權(quán)威的答復(fù)此解析請求，即它是否管理此請求記錄所對應(yīng)的DNS 區(qū)域；如果DNS 服務(wù)器管理對應(yīng)的DNS 區(qū)域，則DNS 服務(wù)器對此DNS 區(qū)域具有權(quán)威。此時，如果本地區(qū)域中的相應(yīng)資源記錄匹配客戶的解析請求，則DNS 服務(wù)器權(quán)威的使用此資源記錄答復(fù)客戶的解析請求（權(quán)威答復(fù)）；如果沒有相應(yīng)的資源記錄，則DNS 服務(wù)器權(quán)威的答復(fù)客戶無對應(yīng)的資源記錄（否定答復(fù)）。

如果沒有區(qū)域匹配DNS 客戶端發(fā)起的解析請求，則DNS 服務(wù)器檢查自己的本地緩存。如果具有對應(yīng)的匹配結(jié)果，無論是正向答復(fù)還是否定答復(fù)，DNS 服務(wù)器非權(quán)威的答復(fù)客戶的解析請求。此時，DNS 解析完成。

如果DNS 服務(wù)器在自己的本地緩存中還是沒有找到匹配的結(jié)果，此時，根據(jù)配置的不同，DNS 服務(wù)器執(zhí)行請求查詢的方式也不同：

默認(rèn)情況下，DNS 服務(wù)器使用遞歸方式來解析名字。遞歸方式的含義就是DNS 服務(wù)器作為DNS 客戶端向其他DNS 服務(wù)器查詢此解析請求，直到獲得解析結(jié)果，在此過程中，原DNS 客戶端則等待DNS 服務(wù)器的回復(fù)。

如果你禁止DNS 服務(wù)器使用遞歸方式，則DNS 服務(wù)器工作在迭代方式，即向原DNS 客戶端返回一個參考答復(fù)，其中包含有利于客戶端解析請求的信息（例如根提示信息等），而不再進(jìn)行其他操作；原DNS 客戶端根據(jù)DNS 服務(wù)器返回的參考信息

再決定處理方式。但是在實際網(wǎng)絡(luò)環(huán)境中，禁用DNS 服務(wù)器的遞歸查詢往往會讓DNS 服務(wù)器對無法進(jìn)行本地解析的客戶端請求返回一個服務(wù)器失敗的參考答復(fù)，此時，客戶端則會認(rèn)為解析失敗。

遞歸方式和迭代方式的不同之處就是當(dāng)DNS 服務(wù)器沒有在本地完成客戶端的請求解析時，由誰扮演DNS 客戶端的角色向其他DNS 服務(wù)器發(fā)起解析請求。通常情況下應(yīng)使用遞歸方式，這樣有利于網(wǎng)絡(luò)管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS 服務(wù)器的性能，不過在通常的情況下，這點性能的消耗無關(guān)緊要。

根提示信息是Internet 命名空間中的根DNS 服務(wù)器的IP 地址。為了正常的執(zhí)行遞歸解析，DNS 服務(wù)器必須知道從哪兒開始搜索DNS 域名，而根提示信息則用于實現(xiàn)這一需求。全世界范圍內(nèi)的根DNS 服務(wù)器總共有13個，它們的名字和IP 地址信息保存在systemrootsystem32dnscache.dns文件中，每次DNS 服務(wù)器啟動時從cache.dns 文件中讀取。一般情況下，不需要對此文件進(jìn)行修改；如果你的DNS 服務(wù)器是在內(nèi)部網(wǎng)絡(luò)中部署并且不需要使用Internet 的根DNS 服務(wù)器，則可以根據(jù)需要進(jìn)行修改，將其指向到某個內(nèi)部根域DNS 服務(wù)器。

例如，當(dāng)某個DNS 客戶端請求解析域名www.winsvr.org 并且DNS 服務(wù)器工作在遞歸模式下時，完整的解析過程如下：

DNS 客戶端檢查自己的本地名字緩存，沒有找到對應(yīng)的記錄；

DNS 客戶端聯(lián)系自己的DNS 服務(wù)器NameServer1，查詢域名 www.winsvr.org；

NameServer1檢查自己的權(quán)威區(qū)域和本地緩存，沒有找到對應(yīng)值。于是，聯(lián)系根提示中的某個根域服務(wù)器，查詢域名www.winsvr.org ；

根域服務(wù)器也不知道www.winsvr.org 的對應(yīng)值，于是，向NameServer1返回一個參考答復(fù)，告訴NameServer1 .org頂級域的權(quán)威DNS 服務(wù)器；

NameServer1聯(lián)系.org 頂級域的權(quán)威DNS 服務(wù)器，查詢域名www.winsvr.org ；

.org 頂級域服務(wù)器也不知道www.winsvr.org 的對應(yīng)值，于是，向NameServer1返回一個參考答復(fù)，告訴NameServer1 Winsvr.org域的權(quán)威DNS 服務(wù)器；

NameServer1聯(lián)系Winsvr.org 域的權(quán)威DNS 服務(wù)器，查詢域名www.winsvr.org ；

Winsvr.org 域的權(quán)威DNS 服務(wù)器知道對應(yīng)值，并且返回給NameServer1；

NameServer1向原DNS 客戶端返回www.winsvr.org 的結(jié)果，此時，解析完成

查詢響應(yīng)類型

DNS 服務(wù)器對于客戶請求的答復(fù)具有多種類型，常見的有以下四種：

權(quán)威答復(fù)：權(quán)威答復(fù)是返回給客戶的正向答復(fù)，并且設(shè)置了DNS 消息中的權(quán)威位。此答復(fù)代表從具有權(quán)威的DNS 服務(wù)器處發(fā)出；

正向答復(fù)：正向答復(fù)包含了匹配客戶端解析請求的資源記錄；

參考答復(fù)：參考答復(fù)只在DNS 服務(wù)器工作在迭代模式下使用，包含了其他有助于客戶端解析請求的信息。例如，當(dāng)DNS 服務(wù)器不能為客戶端發(fā)起的解析請求找到某個匹配值時，則向DNS 客戶端發(fā)送參考回復(fù)，告訴它有助于解析請求的信息；

否定答復(fù)：否定答復(fù)指出權(quán)威服務(wù)器在解析客戶端的請求時可能遇到了以下兩種情況之一：

權(quán)威DNS 服務(wù)器報告客戶端查詢的名字不存在；

權(quán)威DNS 服務(wù)器報告存在對應(yīng)的名字但是不存在指定類型的資源記錄。

無論正向答復(fù)還是否定答復(fù)，DNS 客戶端都將結(jié)果保存在自己的本地緩存中。

理解緩存的工作方式

DNS 客戶端和DNS 服務(wù)器都會緩存獲得的解析結(jié)果，這樣可以提高DNS 服務(wù)性能和減少DNS 相關(guān)的網(wǎng)絡(luò)流量。

DNS 客戶端緩存

當(dāng)DNS 客戶端服務(wù)啟動時，會讀取Hosts 文件中的所有主機名和IP 地址的映射，并且保存在緩存中。Hosts 存放在systemrootsystem32driversetc目錄，當(dāng)你修改Hosts 文件后，DNS 客戶端會立即讀取Hosts 文件并且對本地緩存進(jìn)行更新。

另外，DNS 客戶端會緩存過去的查詢結(jié)果，當(dāng)DNS 客戶端服務(wù)停止時，將清空本地緩存。

DNS 服務(wù)器緩存

DNS 服務(wù)器像DNS 客戶端一樣緩存名字解析結(jié)果，并且可以使用緩存中的信息來答復(fù)其他客戶端的請求。你可以在DNS 服務(wù)器管理控制臺或者使用DNSCMD 命令行工具手動清空緩存，另外當(dāng)DNS 服務(wù)器停止時，同樣會清空DNS 服務(wù)器緩存。

資源記錄的生存時間（TTL ）指定了資源記錄可以緩存的時間的長短，而無論是DNS 客戶端緩存還是DNS 服務(wù)器緩存；默認(rèn)情況下，TTL 是3600秒（1小時）。需要注意的是，由于緩存的作用，DNS 服務(wù)器上對于資源記錄的修改可能不能立即生效。并且對于Internet 域名來說，資源記錄的修改可能會需要超過24小時

的時間才能在所有DNS 服務(wù)器上完成更新。

動態(tài)更新

當(dāng)DNS 客戶端計算機上產(chǎn)生某個事件觸發(fā)更新時，DNS 客戶端計算機上的DHCP 客戶端服務(wù)將會為本地計算機中使用的所有網(wǎng)絡(luò)連接在相應(yīng)的DNS 服務(wù)器中對自己的A 記錄進(jìn)行更新，從而可以確保DNS 域名記錄和IP 地址記錄的對應(yīng)關(guān)系。而DNS 服務(wù)器需要配置為允許動態(tài)更新，才能讓DNS 客戶端計算機成功完成更新。

當(dāng)DNS 客戶端計算機上產(chǎn)生以下事件時，會觸發(fā)DHCP 客戶端服務(wù)的動態(tài)更新行為：

添加、刪除或修改了本地計算機任何網(wǎng)絡(luò)連接TCP/IP屬性中的IP 地址；

本地計算機的任何網(wǎng)絡(luò)連接向DHCP 服務(wù)器獲取IP 地址租約或者續(xù)約；

DNS 客戶端上運行了Ipconfig /registerdns命令；

DNS 客戶端計算機啟動；

此DNS 區(qū)域中的一臺成員服務(wù)器提升為域控制器；

對于標(biāo)準(zhǔn)主要區(qū)域，你可以選擇不允許動態(tài)更新和允許非安全和安全動態(tài)更新。但是允許非安全和安全動態(tài)更新具有安全隱患，因為DNS 服務(wù)器不會對進(jìn)行動態(tài)更新的客戶端計算機進(jìn)行驗證，所以任何客戶端計算機都可以對任何A 記錄進(jìn)行動態(tài)更新，而不管它是否是此A 記錄的擁有者。通常情況下，你不應(yīng)該使用此選項。

對于活動目錄集成區(qū)域，除了上述的兩個選項外，你還可以使用安全動態(tài)更新。當(dāng)使用此方式時，在客戶端計算機更新自己的記錄時，DNS 服務(wù)器將要求客戶端計算機進(jìn)行身份驗證來確保只有對應(yīng)資源記錄的擁有者才能更新此記錄。

只有Windows 2000及以后版本操作系統(tǒng)的客戶端計算機才能執(zhí)行動態(tài)更新，低版本的Windows 系統(tǒng)（NT4、9x/ME）不支持動態(tài)更新。不過，你可以通過DHCP 服務(wù)器為這些低版本客戶端計算機代理進(jìn)行動態(tài)更新。當(dāng)DHCP 服務(wù)器在代理低版本客戶端計算機注冊A 記錄時，會將自己設(shè)置為此A 記錄的所有者。而在安全動態(tài)更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP 服務(wù)器為此低版本客戶端計算機代理注冊時會出現(xiàn)拒絕訪問的問題。因此，你需要將此DHCP 服務(wù)器加入到DnsUpdateProxy 安全組中，這樣當(dāng)DHCP 服務(wù)器更新A 記錄時，不會記錄下此A 記錄的所有者信息，從而允許其他DHCP 服務(wù)器來修改此A 記錄。 區(qū)域委派

一個完整的DNS 區(qū)域包含以自己的DNS 域名為基礎(chǔ)命名空間的所有DNS 命名空間

的信息，當(dāng)基于此DNS 命名空間新建一個DNS 區(qū)域時，新建的區(qū)域稱為子區(qū)域。例如，完整的winsvr.org 區(qū)域包含了以winsvr.org 為基礎(chǔ)命名空間的所有DNS 命名空間的信息，而tech.winsvr.org 則稱為winsvr.org 的一個子區(qū)域。

默認(rèn)情況下，DNS 區(qū)域管理自己的子區(qū)域，并且子區(qū)域伴隨DNS 區(qū)域一起進(jìn)行復(fù)制和更新。不過，你可以將子區(qū)域委派給其他DNS 服務(wù)器來進(jìn)行管理，此時，被委派的服務(wù)器將承擔(dān)此DNS 子區(qū)域的管理，而父DNS 區(qū)域中只是具有此子區(qū)域的委派記錄。

區(qū)域委派適用于許多環(huán)境，常見的場景有：

將某個子區(qū)域委派給某個對應(yīng)部門中的DNS 服務(wù)器進(jìn)行管理；

DNS 服務(wù)器的負(fù)載均衡，將一個大區(qū)域劃分為若干小區(qū)域，委派給不同的DNS 服務(wù)器進(jìn)行管理；

將子區(qū)域委派給某個分部或遠(yuǎn)程站點。

你只能在主要區(qū)域中執(zhí)行區(qū)域委派。對于任何一個被委派的子區(qū)域，父DNS 區(qū)域中只是具有指向子區(qū)域中權(quán)威DNS 服務(wù)器的A 記錄和NS 記錄，而實際的解析過程必須由委派到的子區(qū)域中的權(quán)威DNS 服務(wù)器完成，即被委派到的DNS 服務(wù)器上必須具有以被委派的子區(qū)域為域名的主要區(qū)域。

在Windows Server 2003的DNS 服務(wù)器管理控制臺中，提供了向?qū)Чぞ?，可以讓你輕松的完成DNS 區(qū)域委派。

DNS 區(qū)域類型

在部署一臺DNS 服務(wù)器時，你必須預(yù)先考慮DNS 區(qū)域類型，從而決定DNS 服務(wù)器類型。DNS 區(qū)域分為兩大類：正向查找區(qū)域和反向查找區(qū)域，其中

正向查找區(qū)域用于FQDN 到IP 地址的映射，當(dāng)DNS 客戶端請求解析某個FQDN 時，DNS 服務(wù)器在正向查找區(qū)域中進(jìn)行查找，并返回給DNS 客戶端對應(yīng)的IP 地址；

反向查找區(qū)域用于IP 地址到FQDN 的映射，當(dāng)DNS 客戶端請求解析某個IP 地址時，DNS 服務(wù)器在反向查找區(qū)域中進(jìn)行查找，并返回給DNS 客戶端對應(yīng)的FQDN 。

而每一類區(qū)域又分為三種區(qū)域類型：主要區(qū)域、輔助區(qū)域和存根區(qū)域，其中：

主要區(qū)域（Primary ）：包含相應(yīng)DNS 命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS 域的權(quán)威DNS 服務(wù)器?？梢詫^(qū)域中所有資源記錄進(jìn)行讀寫，即DNS 服務(wù)器可以修改此區(qū)域中的數(shù)據(jù)，默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放。你可以將主要區(qū)域的數(shù)據(jù)存放在活動目錄中并且隨著活動目錄數(shù)據(jù)的復(fù)制而復(fù)制，此時，此區(qū)域稱為活動目錄集成主要區(qū)域，在這種情況下，每一個運行在域控制

器上的DNS 服務(wù)器都可以對此主要區(qū)域進(jìn)行讀寫，這樣避免了標(biāo)準(zhǔn)主要區(qū)域時出現(xiàn)的單點故障。

輔助區(qū)域（Secondary ）：主要區(qū)域的備份，從主要區(qū)域直接復(fù)制而來；同樣包含相應(yīng)DNS 命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS 域的權(quán)威DNS 服務(wù)器；和主要區(qū)域不同之處是DNS 服務(wù)器不能對輔助區(qū)域進(jìn)行任何修改，即輔助區(qū)域是只讀的。輔助區(qū)域數(shù)據(jù)只能以文本文件格式存放。

存根區(qū)域（Stub ）：存根區(qū)域是Windows Server 2003新增加的功能。此區(qū)域只是包含了用于分辨主要區(qū)域權(quán)威DNS 服務(wù)器的記錄，有三種記錄類型：

SOA （委派區(qū)域的起始授權(quán)機構(gòu)）：此記錄用于識別該區(qū)域的主要來源DNS 服務(wù)器和其他區(qū)域?qū)傩裕?/p>

NS （名稱服務(wù)器）：此記錄包含了此區(qū)域的權(quán)威DNS 服務(wù)器列表；

A glue（粘附A 記錄）：此記錄包含了此區(qū)域的權(quán)威DNS 服務(wù)器的IP 地址。

默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放，不過你可以和主要區(qū)域一樣將存根區(qū)域的數(shù)據(jù)存放在活動目錄中并且隨著活動目錄數(shù)據(jù)的復(fù)制而復(fù)制。

當(dāng)DNS 客戶端發(fā)起解析請求時，對于屬于所管理的主要區(qū)域和輔助區(qū)域的解析，DNS 服務(wù)器向DNS 客戶端執(zhí)行權(quán)威答復(fù)。而對于所管理的存根區(qū)域的解析，如果客戶端發(fā)起遞歸查詢，則DNS 服務(wù)器會使用該存根區(qū)域中的資源記錄來解析查詢。DNS 服務(wù)器向存根區(qū)域的NS 資源記錄中指定的權(quán)威DNS 服務(wù)器發(fā)送迭代查詢，仿佛在使用其緩存中的NS 資源記錄一樣；如果DNS 服務(wù)器找不到其存根區(qū)域中的權(quán)威DNS 服務(wù)器，那么DNS 服務(wù)器會嘗試使用根提示信息進(jìn)行標(biāo)準(zhǔn)遞歸查詢。如果客戶端發(fā)起迭代查詢，DNS 服務(wù)器會返回一個包含存根區(qū)域中指定服務(wù)器的參考信息，而不再進(jìn)行其他操作。

如果存根區(qū)域的權(quán)威DNS 服務(wù)器對本地DNS 服務(wù)器發(fā)起的解析請求進(jìn)行答復(fù)，本地DNS 服務(wù)器會將接收到的資源記錄存儲在自己的緩存中，而不是將這些資源記錄存儲在存根區(qū)域中，唯一的例外是返回的粘附A 記錄，它會存儲在存根區(qū)域中。存儲在緩存中的資源記錄按照每個資源記錄中的生存時間 (TTL) 的值進(jìn)行緩存；而存放在存根區(qū)域中的SOA 、NS 和粘附A 資源記錄按照SOA 記錄中指定的過期間隔過期（該過期間隔是在創(chuàng)建存根區(qū)域期間創(chuàng)建的，在從原始主要區(qū)域復(fù)制時更新）。

當(dāng)某個DNS 服務(wù)器（父DNS 服務(wù)器）向另外一個DNS 服務(wù)器做子區(qū)域委派時，如果子區(qū)域中添加了新的權(quán)威DNS 服務(wù)器，父DNS 服務(wù)器是不會知道的，除非你在父DNS 服務(wù)器上手動添加。存根區(qū)域主要是用于解決這個問題，你可以在父DNS 服務(wù)器上為委派的子區(qū)域做一個存根區(qū)域，從而可以從委派的子區(qū)域自動獲取權(quán)威DNS 服務(wù)器的更新而不需要額外的手動操作。

DNS 服務(wù)器類型

根據(jù)管理的DNS 區(qū)域的不同，DNS 服務(wù)器也具有不同的類型。一臺DNS 服務(wù)器可以同時管理多個區(qū)域，因此也可以同時屬于多種DNS 服務(wù)器類型。

主要DNS 服務(wù)器

當(dāng)DNS 服務(wù)器管理主要區(qū)域時，它被稱為主要DNS 服務(wù)器。主要DNS 服務(wù)器是主要區(qū)域的集中更新源，你可以部署兩種模式的主要區(qū)域：

標(biāo)準(zhǔn)主要區(qū)域：標(biāo)準(zhǔn)主要區(qū)域的區(qū)域數(shù)據(jù)存放在本地文件中，只有主要DNS 服務(wù)器可以進(jìn)行管理此DNS 區(qū)域（單點更新）。這意味如果當(dāng)主要DNS 服務(wù)器出現(xiàn)故障時，此主要區(qū)域不能再進(jìn)行修改；但是，位于輔助服務(wù)器上的輔助服務(wù)器還可以答復(fù)DNS 客戶端的解析請求。標(biāo)準(zhǔn)主要區(qū)域只支持非安全的動態(tài)更新。

活動目錄集成主要區(qū)域：活動目錄集成主要區(qū)域僅當(dāng)在域控制器上 部署DNS 服務(wù)器時有效，此時，區(qū)域數(shù)據(jù)存放在活動目錄中并且隨著活動目錄數(shù)據(jù)的復(fù)制而復(fù)制。在默認(rèn)情況下，每一個運行在域控制器上的DNS 服務(wù)器都將成為主要DNS 服務(wù)器，并且可以修改DNS 區(qū)域中的數(shù)據(jù)（多點更新），這樣避免了標(biāo)準(zhǔn)主要區(qū)域時出現(xiàn)的單點故障?；顒幽夸浖芍饕獏^(qū)域支持安全的動態(tài)更新。

輔助DNS 服務(wù)器

在DNS 服務(wù)設(shè)計中，針對每一個區(qū)域，總是建議你至少使用兩臺DNS 服務(wù)器來進(jìn)行管理。其中一臺作為主要DNS 服務(wù)器，而另外一臺作為輔助DNS 服務(wù)器。

當(dāng)DNS 服務(wù)器管理輔助區(qū)域時，它將成為輔助DNS 服務(wù)器。使用輔助DNS 服務(wù)器的好處在于實現(xiàn)負(fù)載均衡和避免單點故障。輔助DNS 服務(wù)器用于獲取區(qū)域數(shù)據(jù)的源DNS 服務(wù)器稱為主服務(wù)器，主服務(wù)器可以由主要DNS 服務(wù)器或者其他輔助DNS 服務(wù)器來擔(dān)任；當(dāng)創(chuàng)建輔助區(qū)域時，將要求你指定主服務(wù)器。在輔助DNS 服務(wù)器和主服務(wù)器之間存在著區(qū)域復(fù)制，用于從主服務(wù)器更新區(qū)域數(shù)據(jù)。

注意：這個地方輔助DNS 服務(wù)器是根據(jù)區(qū)域類型的不同而得出的概念，而在配置DNS 客戶端使用的DNS 服務(wù)器時，管理輔助區(qū)域的DNS 服務(wù)器可以配置為DNS 客戶端的主要DNS 服務(wù)器，而管理主要區(qū)域的DNS 服務(wù)器也可以配置為DNS 客戶端的輔助DNS 服務(wù)器。

存根DNS 服務(wù)器

管理存根區(qū)域的DNS 服務(wù)器稱為存根DNS 服務(wù)器。一般情況下，不需要單獨部署存根DNS 服務(wù)器，而是和其他DNS 服務(wù)器類型合用。在存根DNS 服務(wù)器和主服務(wù)

器之間同樣存在著區(qū)域復(fù)制。

緩存DNS 服務(wù)器

緩存DNS 服務(wù)器即沒有管理任何區(qū)域的DNS 服務(wù)器，也不會產(chǎn)生區(qū)域復(fù)制，它只能緩存DNS 名字并且使用緩存的信息來答復(fù)DNS 客戶端的解析請求。當(dāng)剛安裝好DNS 服務(wù)器時，它就是一個緩存DNS 服務(wù)器。緩存DNS 服務(wù)器可以通過緩存減少DNS 客戶端訪問外部DNS 服務(wù)器的網(wǎng)絡(luò)流量，并且可以降低DNS 客戶端解析域名的時間，因此在網(wǎng)絡(luò)的廣泛的使用。例如一個常見的中小型企業(yè)網(wǎng)絡(luò)接入到

Internet 的環(huán)境，并沒有在內(nèi)部網(wǎng)絡(luò)中使用域名，所以沒有架設(shè)DNS 服務(wù)器，客戶通過配置使用ISP 的DNS 服務(wù)器來解析Internet 域名。此時就可以部署一臺緩存DNS 服務(wù)器，配置將所有其他DNS 域轉(zhuǎn)發(fā)到ISP 的DNS 服務(wù)器，然后配置客戶使用此緩存DNS 服務(wù)器，從而減少解析客戶端請求所需要的時間和客戶訪問外部DNS 服務(wù)的網(wǎng)絡(luò)流量。