簡介DNS 是域名系統(tǒng) (Domain Name System) 的縮寫，它是由解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP 地址，并具有將域名轉(zhuǎn)換為IP 地址功能的

簡介

DNS 是域名系統(tǒng) (Domain Name System) 的縮寫，它是由解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP 地址，并具有將域名轉(zhuǎn)換為IP 地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP 地址，而IP 地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級(jí)結(jié)構(gòu)。域名服務(wù)器為客戶機(jī)/服務(wù)器模式中的服務(wù)器方，它主要有兩種形式：主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP 地址的過程就稱為“域名解析”。在Internet 上域名與IP 地址之間是一對(duì)一（或者多對(duì)一）的，域名雖然便于人們記憶，但機(jī)器之間只能互相認(rèn)識(shí)IP 地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS 就是進(jìn)行域名解析的服務(wù)器。 DNS 命名用于 Internet 等 TCP/IP 網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入 DNS 名稱時(shí)，DNS 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如 IP 地址。因?yàn)椋阍谏暇W(wǎng)時(shí)輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對(duì)應(yīng)的

查詢頭位。

解析通常需要遍歷多個(gè)名稱服務(wù)器，找到所需要的信息。然而，一些解析器的功能更簡單地只用一個(gè)名稱服務(wù)器進(jìn)行通信。這些簡單的解析器依賴于一個(gè)遞歸名稱服務(wù)器（稱為“存根解析器”），為他們尋找信息的執(zhí)行工作。

服務(wù)器

提供DNS 服務(wù)的是安裝了DNS 服務(wù)器端軟件的計(jì)算機(jī)。服務(wù)器端軟件既可以是基于類linux 操作系統(tǒng)，也可以是基于Windows 操作系統(tǒng)的。裝好DNS 服務(wù)器軟件后，您就可以在您指定的位置創(chuàng)建區(qū)域文件了，所謂區(qū)域文件就是包含了此域中名字到IP 地址解析記錄的一個(gè)文件，如文件的內(nèi)容可能是這樣的：primary name server = dns2（主服務(wù)器的主機(jī)名是 ） serial = 2913 （當(dāng)前序列號(hào)是2913。這個(gè)序列號(hào)的作用是當(dāng)輔域名服務(wù)器來copy 這個(gè)文件的時(shí)候，如果號(hào)碼增加了就copy ）

refresh = 10800 (3 hours) （輔域名服務(wù)器每隔3小時(shí)查詢一個(gè)主服務(wù)器）

retry = 3600 (1 hour) （當(dāng)輔域名服務(wù)試圖在主服務(wù)器上查詢更新時(shí)，而連接失敗了，輔域名服務(wù)器每隔1小時(shí)訪問主域名服務(wù)器）

expire = 604800 (7 days) （輔域名服務(wù)器在向主服務(wù)更新失敗后，7天后刪除中的記錄。） default TTL = 3600 (1 hour) （緩存服務(wù)器保存記錄的時(shí)間是1小時(shí)。也就是告訴緩存服務(wù)器保存域的解析記錄為1小時(shí)）

3服務(wù)器搭建

設(shè)置類別

您可以把DNS 服務(wù)器配置成以下3類之一：

1．主DNS 服務(wù)器。

2．輔DNS 服務(wù)器。

3．緩存DNS 服務(wù)器。

注冊(cè)

現(xiàn)在只要在域名注冊(cè)商或服務(wù)商注冊(cè)域名，DNS 都是免費(fèi)。

（1）條件：要更改為合法的DNS 。

如果要查詢DNS 是否為合法的DNS ，請(qǐng)點(diǎn)擊：DNS 查詢界面

輸入DNS 服務(wù)器的名稱或者IP 地址，選中第三個(gè)選項(xiàng)Nameserver ，查詢?nèi)绻樵兂鲇蠨NS 注冊(cè)的信息，如注冊(cè)商，名稱對(duì)應(yīng)的IP 地址，則這個(gè)DNS 是合法的。

（2）修改方法：通過具有條件的公司注冊(cè)的國際域名變更DNS ：用戶可通過和提供服務(wù)的該公司進(jìn)行協(xié)商(大致步驟為:提出申請(qǐng)并提交相關(guān)材料后該業(yè)務(wù)公司會(huì)在48小時(shí)左右完成變更) 。

國際英文域名、國內(nèi)英文域名可以修改DNS ，這項(xiàng)服務(wù)是免費(fèi)的。

使用免費(fèi)的DNS

國內(nèi)外有不少提供免費(fèi)DNS 服務(wù)的提供商，其中國內(nèi)著名的有IIDNS ，DNSPod 和OpenDns 等。

DNS 解析故障

簡介

一般來說像我們?cè)L問的地址都叫做域名，而眾所周知網(wǎng)絡(luò)中的任何一個(gè)主機(jī)都是IP 地址來標(biāo)識(shí)的，也就是說只有知道了這個(gè)站點(diǎn)的IP 地址才能夠成功實(shí)現(xiàn)訪問操作。

不過由于IP 地址信息不太好記憶，所以網(wǎng)絡(luò)中出現(xiàn)了域名這個(gè)名字，在訪問時(shí)我們只需要輸入這個(gè)好記憶的域名即可，網(wǎng)絡(luò)中會(huì)存在著自動(dòng)將相應(yīng)的域名解析成IP 地址的服務(wù)器，這就是DNS 服務(wù)器。能夠?qū)崿F(xiàn)DNS 解析功能的機(jī)器可以是自己的計(jì)算機(jī)也可以是網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)，不過當(dāng)DNS 解析出現(xiàn)錯(cuò)誤，例如把一個(gè)域名解析成一個(gè)錯(cuò)誤的IP 地址，或者根本不知道某個(gè)域名對(duì)應(yīng)的IP 地址是什么時(shí)，我們就無法通過域名訪問相應(yīng)的站點(diǎn)了，這就是DNS 解析故障。

出現(xiàn)DNS 解析故障最大的癥狀就是訪問站點(diǎn)對(duì)應(yīng)的IP 地址沒有問題，然而訪問他的域名就會(huì)出現(xiàn)錯(cuò)誤。

解決步驟

（1）用nslookup(網(wǎng)路查詢) 來判斷是否真的是DNS 解析故障：

要想百分之百判斷是否為DNS 解析故障就需要通過系統(tǒng)自帶的NSLOOKUP 來解決了。 第一步：確認(rèn)自己的系統(tǒng)是windows 2000和windows xp 以上操作系統(tǒng)，然后通過“開始->運(yùn)行->輸入CMD”后回車進(jìn)入命令行模式。

第二步：輸入nslookup 命令后回車，將進(jìn)入DNS 解析查詢界面。

第三步：命令行窗口中會(huì)顯示出當(dāng)前系統(tǒng)所使用的DNS 服務(wù)器地址，例如筆者的DNS 服務(wù)器IP 為202.106.0.20。

第四步：接下來輸入你無法訪問的站點(diǎn)對(duì)應(yīng)的域名。假如不能訪問的話，那么DNS 解析應(yīng)該是不能夠正常進(jìn)行的。我們會(huì)收到DNS request timed out，timeout was 2 seconds的提示信息。這說明我們的計(jì)算機(jī)確實(shí)出現(xiàn)了DNS 解析故障。

小提示：如果DNS 解析正常的話，會(huì)反饋回正確的IP 地址。

（2）查詢DNS 服務(wù)器工作是否正常：

這時(shí)候我們就要看看自己計(jì)算機(jī)使用的DNS 地址是多少了，并且查詢他的運(yùn)行情況。 第一步：通過“開始->運(yùn)行->輸入CMD”后回車進(jìn)入命令行模式。

第二步：輸入ipconfig /all命令來查詢網(wǎng)絡(luò)參數(shù)。

第三步：在ipconfig /all顯示信息中我們能夠看到一個(gè)地方寫著DNS SERVERS ，這個(gè)就是我們的DNS 服務(wù)器地址。例如筆者的是202.106.0.20和202.106.46.151。從這個(gè)地址可以看出是個(gè)外網(wǎng)地址，如果使用外網(wǎng)DNS 出現(xiàn)解析錯(cuò)誤時(shí)，我們可以更換一個(gè)其他的DNS 服務(wù)器地址即可解決問題。

第四步：如果在DNS 服務(wù)器處顯示的是自己公司的內(nèi)部網(wǎng)絡(luò)地址，那么說明你們公司的DNS 解析工作是交給公司內(nèi)部的DNS 服務(wù)器來完成的，這時(shí)我們需要檢查這個(gè)DNS 服務(wù)器，在DNS 服務(wù)器上進(jìn)行nslookup 操作看是否可以正常解析。解決DNS 服務(wù)器上的DNS 服務(wù)故障，一般來說問題也能夠解決。

（3）清除DNS 緩存信息法：

第一步：通過“開始->運(yùn)行->輸入CMD ”進(jìn)入命令行模式。

第二步：在命令行模式中我們可以看到在ipconfig /?中有一個(gè)名為/flushdns的參數(shù)，這個(gè)就是清除DNS 緩存信息的命令。

第三步：執(zhí)行ipconfig /flushdns命令，當(dāng)出現(xiàn)“successfully flushed the dns resolver cache”的提示時(shí)就說明當(dāng)前計(jì)算機(jī)的緩存信息已經(jīng)被成功清除。

第四步：接下來我們?cè)僭L問域名時(shí)，就會(huì)到DNS 服務(wù)器上獲取最新解析地址，再也不會(huì)出現(xiàn)因?yàn)橐郧暗木彺嬖斐山馕鲥e(cuò)誤故障了。

（4）修改HOSTS （主機(jī)）文件法：

第一步：通過“開始->搜索”，然后查找名叫hosts 的文件。

第二步：當(dāng)然對(duì)于已經(jīng)知道他的路徑的讀者可以直接進(jìn)入c:windowssystem32driversetc目錄中找到HOSTS 文件。如果你的系統(tǒng)是windows 2000，那么應(yīng)該到c:winntsystem32driversetc目錄中尋找。

第三步：雙擊HOSTS 文件，然后選擇用“記事本”程序?qū)⑵浯蜷_。

第四步：之后我們就會(huì)看到HOSTS 文件的所有內(nèi)容了，默認(rèn)情況下只有一行內(nèi)容“127.0.0.1 l ocalhost”。（其他前面帶有#的行都不是真正的內(nèi)容，只是幫助信息而已）

第五步：將你希望進(jìn)行DNS 解析的條目添加到HOSTS 文件中。具體格式是先寫該域名對(duì)應(yīng)的IP 地址，然后空格接域名信息。

第六步：設(shè)置完畢后我們?cè)L問網(wǎng)址時(shí)就會(huì)自動(dòng)根據(jù)是在內(nèi)網(wǎng)還是外網(wǎng)來解析了。[2] DNS 查詢

查詢方法

DNS 查詢可以有兩種解釋，一種是指客戶端查詢指定DNS 服務(wù)器上的資源記錄（如A 記錄），另一種是指查詢FQDN 名的解析過程。

一、查詢DNS 服務(wù)器上的資源記錄

您可以在Windows 平臺(tái)下，使用命令行工具，輸入nslookup ，返回的結(jié)果包括域名對(duì)應(yīng)的IP 地址（A 記錄）、別名（CNAME 記錄）等。除了以上方法外，還可以通過一些DNS 查詢站點(diǎn)如國外的國內(nèi)的 查詢域名的DNS 信息。

二、FQDN 名的解析過程查詢

若想跟蹤一個(gè)FQDN 名的解析過程，在Linux Shell 下輸入dig www trace，返回的結(jié)果包括從跟域開始的遞歸或迭代過程，一直到權(quán)威域名服務(wù)器。

GeniePro DNS 應(yīng)對(duì)DNS 劫持和DNS 緩存中毒攻擊

的關(guān)鍵性機(jī)制：一致性檢查

每個(gè)Geniepro 節(jié)點(diǎn)將自身的DNS 記錄發(fā)送給工作組內(nèi)其他節(jié)點(diǎn)請(qǐng)求一致性檢查； 每個(gè)Geniepro 節(jié)點(diǎn)將自身的記錄與收到的記錄進(jìn)行比較；

每個(gè)Geniepro 工作組的通信協(xié)調(diào)節(jié)點(diǎn)將獲得的DNS 記錄更新發(fā)送給其他組的通信協(xié)調(diào)節(jié)點(diǎn)請(qǐng)求一致性檢查；

每個(gè)Genipro 工作組的通信協(xié)調(diào)節(jié)點(diǎn)向上一級(jí)DNS 服務(wù)器請(qǐng)求更新記錄并與收到的其他通信協(xié)調(diào)節(jié)點(diǎn)的記錄進(jìn)行比較。

一致性仲裁

如果一致性檢查發(fā)現(xiàn)記錄不一致情況，則根據(jù)策略（少數(shù)服從多數(shù)、一票否決等）決定是否接受記錄的變化 根據(jù)結(jié)果，各Geniepro 節(jié)點(diǎn)將自身記錄進(jìn)行統(tǒng)一 通信協(xié)調(diào)節(jié)點(diǎn)選舉 選舉出的通信協(xié)調(diào)節(jié)點(diǎn)在任期內(nèi)具有更新組內(nèi)節(jié)點(diǎn)的權(quán)限 選舉過程滿足不可預(yù)測(cè)性和不可重復(fù)性DNS 資源記錄 如前所述，每個(gè) DNS 數(shù)據(jù)庫都由資源記錄構(gòu)成。一般來說，資源記錄包含與特定主機(jī)有關(guān)的信息，如 IP 地址、主機(jī)的所有者或者提供服務(wù)的類型。 資源記錄類型

dns

說明

解釋

SOA

起始授權(quán)機(jī)構(gòu)

此記錄指定區(qū)域的起點(diǎn)。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務(wù)器如何更新區(qū)域數(shù)據(jù)文件的設(shè)置等。

常用的資源記錄類型[3]

A 地址 此記錄列出特定主機(jī)名的 IP 地址。這是名稱解析的重要記錄。

CNAME 標(biāo)準(zhǔn)名稱 此記錄指定標(biāo)準(zhǔn)主機(jī)名的別名。

MX 郵件交換器此記錄列出了負(fù)責(zé)接收發(fā)到域中的電子郵件的主機(jī)。

NS 名稱服務(wù)器此記錄指定負(fù)責(zé)給定區(qū)域的名稱服務(wù)器。

安全問題

1、針對(duì)域名系統(tǒng)的惡意攻擊：DDOS 攻擊造成域名解析癱瘓。

2、域名劫持：修改注冊(cè)信息、劫持解析結(jié)果。

3、國家性質(zhì)的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權(quán)變更。

4、系統(tǒng)上運(yùn)行的DNS 服務(wù)存在漏洞，導(dǎo)致被黑客獲取權(quán)限，從而篡改DNS 信息。

5、DNS 設(shè)置不當(dāng)，導(dǎo)致泄漏一些敏感信息。提供給黑客進(jìn)一步攻擊提供有力信息。 5DNS 作用

重要性

1、技術(shù)角度看

DNS 解析是互聯(lián)網(wǎng)絕大多數(shù)應(yīng)用的實(shí)際尋址方式； 域名技術(shù)的再發(fā)展、以及基于域名技術(shù)的多種應(yīng)用，豐富了互聯(lián)網(wǎng)應(yīng)用和協(xié)議。

2、資源角度看

域名是互聯(lián)網(wǎng)上的身份標(biāo)識(shí)，是不可重復(fù)的唯一標(biāo)識(shí)資源； 互聯(lián)網(wǎng)的全球化使得域名成為標(biāo)識(shí)一國主權(quán)的國家戰(zhàn)略資源。

概念分辨

通常，DNS 數(shù)據(jù)庫可分成不同的相關(guān)資源記錄集。其中的每個(gè)記錄集稱為區(qū)域。區(qū)域可以包含整個(gè)域、部分域或只是一個(gè)或幾個(gè)子域的資源記錄。

管理某個(gè)區(qū)域（或記錄集）的 DNS 服務(wù)器稱為該區(qū)域的權(quán)威名稱服務(wù)器。每個(gè)名稱服務(wù)器可以是一個(gè)或多個(gè)區(qū)域的權(quán)威名稱服務(wù)器。

在域中劃分多個(gè)區(qū)域的主要目的是為了簡化 DNS 的管理任務(wù)，即委派一組權(quán)威名稱服務(wù)器來管理每個(gè)區(qū)域。采用這樣的分布式結(jié)構(gòu)，當(dāng)域名稱空間不斷擴(kuò)展時(shí)，各個(gè)域的管理員可以有效地管理各自的子域。

dns 漏洞

有時(shí)，區(qū)域和域是很難分辨的。

區(qū)域是域的子集?？梢詫⑺醋饔蛎Q空間的某個(gè)分支（或子樹）。例如，Microsoft 名稱服務(wù)器可以同時(shí)是區(qū)域、區(qū)域和區(qū)域的權(quán)威名稱服務(wù)器。但是，可以將子域的區(qū)域委派給其它專用名稱服務(wù)器管理。如果設(shè)置的區(qū)域包含整個(gè)域的資源記錄，那么該區(qū)域與該域的范圍是相同的。

對(duì)于Windows 2000，區(qū)域信息或者以傳統(tǒng)文本文件格式存儲(chǔ)，或者集成到 Active Directory 數(shù)據(jù)庫中。稍后，我們將詳細(xì)闡述 DNS 與 Active Directory 如何協(xié)作。

作用及調(diào)試

DNS ，域名解析系統(tǒng)，并不是一項(xiàng)單純的服務(wù)，而且廣泛意義上的全球的域名解析系統(tǒng)，由若干臺(tái)DNS 服務(wù)器以及DNS 成員機(jī)組成的這么一個(gè)計(jì)算機(jī)組織。

在域環(huán)境中DNS 的作用：

1．以DNS 標(biāo)準(zhǔn)命名（域的命名）；

2．支持DC （創(chuàng)建DC 時(shí)，要有相應(yīng)的DNS 的支持）；

3．定位DC （加入域時(shí)，幫助地球人找到DC ）。

有了以上的知識(shí)準(zhǔn)備，我們來看看加入域需要注意的幾點(diǎn)：

1．聯(lián)系問題：a.ping 通DC 、DNS 服務(wù)器（確?？梢院虳C 、DNS 服務(wù)器通信，要加入對(duì)方的國際你就必須和對(duì)方的政府“DC”以及大使館“最近的DNS 服務(wù)器”聯(lián)系） b.DNS 解析DC （通過dns 得知DC 的所在“大使館告訴你如何找到相關(guān)的人事部門，當(dāng)然就會(huì)告訴你DC 的地址了”）。【可以使用nslookup 命令 域名 來檢測(cè)客戶機(jī)DNS 是否正確設(shè)置】

2．權(quán)限問題：加入域的時(shí)候，會(huì)提示輸入相應(yīng)有加入域權(quán)限的用戶名密碼。這里有很多人

有誤區(qū)，認(rèn)為只有administrator 才能通過加入域的驗(yàn)證，所以一直用administrator 來驗(yàn)證加入域。其實(shí)用一個(gè)普通的domain user 也是可以的，新建的域用戶可以為非域成員機(jī)驗(yàn)證加入域。域，就象一個(gè)國家，是需要發(fā)展的，能夠吸納的有識(shí)之士越多，這個(gè)國家就越壯大，所以每一位國民，都有權(quán)利一傳十十傳百的。

3．登陸問題：加入域后不是萬事大吉了，很多朋友直接拿administrator 登陸了。殊不知，此舉還是登陸了本地計(jì)算機(jī)。需要大家在登錄時(shí)點(diǎn)擊選項(xiàng)，在登錄到中選擇所加入的域。 *特殊問題：

a.sid 問題，如果加入域的計(jì)算機(jī)中系統(tǒng)是GHOST 安裝并沒有重新封裝過的話，就需要重新封裝了

b. dns 服務(wù)器故障，如果客戶端dns 填寫正確（當(dāng)前網(wǎng)絡(luò)環(huán)境中的DNS 【內(nèi)網(wǎng)DNS 】） ，但是同樣無法聯(lián)系到DC ，并且可以ping 通DNS 和DC 的話，那么十有八九是你的DNS 服務(wù)器出故障了，定位信息記錄在dns 服務(wù)的srv 資源記錄中?？赡苁窍嚓P(guān)的SRV 資源記錄沒有生效或者不存在，那么如何是好呢？記住這個(gè)辦法：在服務(wù)管理器（運(yùn)行中輸入：services.msc ）中重啟net logon服務(wù)，當(dāng)然這項(xiàng)操作要去DNS 服務(wù)器上解決哦。別找錯(cuò)了 地方。

總結(jié)：今天跟大家分享了加入域的幾個(gè)問題。并拓展出幾個(gè)系統(tǒng)概念。在這里總結(jié)一下。

1．DNS （概念、作用、故障排除、檢測(cè)工具）；

2、sid （加入域時(shí)兩臺(tái)系統(tǒng)sid 相同的計(jì)算機(jī)沒辦法同時(shí)加入域，產(chǎn)生現(xiàn)象的原因時(shí)GHOST 克隆系統(tǒng)）；

3．權(quán)限問題（驗(yàn)證計(jì)算機(jī)加入域的用戶不一定非要administrator ）。

DNS 架構(gòu)的冗余

dns

為保證服務(wù)的高可用性，DNS 要求使用多臺(tái)名稱服務(wù)器冗余支持每個(gè)區(qū)域。

某個(gè)區(qū)域的資源記錄通過手動(dòng)或自動(dòng)方式更新到單個(gè)主名稱服務(wù)器（稱為主 DNS 服務(wù)器）上。主 DNS 服務(wù)器可以是一個(gè)或幾個(gè)區(qū)域的權(quán)威名稱服務(wù)器。

其它冗余名稱服務(wù)器（稱為輔 DNS 服務(wù)器）用作同一區(qū)域中主服務(wù)器的備份服務(wù)器，以防主服務(wù)器無法訪問或宕機(jī)。輔 DNS 服務(wù)器定期與主 DNS 服務(wù)器通訊，確保它的區(qū)域信息保持最新。如果不是最新信息，輔 DNS 服務(wù)器就會(huì)從主服務(wù)器獲取最新區(qū)域數(shù)據(jù)文件的副本。這種將區(qū)域文件復(fù)制到多臺(tái)名稱服務(wù)器的過程稱為區(qū)域復(fù)制。

Active Directory 和 DNS 的關(guān)系

Active Directory 是 Windows 2000 中新增的目錄服務(wù)。該服務(wù)存儲(chǔ)所有網(wǎng)絡(luò)資源的信息，如計(jì)算機(jī)、共享文件夾、用戶等等。它還通過標(biāo)準(zhǔn)的 Internet 協(xié)議（輕量目錄訪問協(xié)議，LDAP ）將此類信息提供給用戶和應(yīng)用程序。有關(guān) Active Directory 的詳細(xì)信息，請(qǐng)參閱

Technet 文章設(shè)置 Active Directory 域。