dns服务器组建实例.docx
《dns服务器组建实例.docx》由会员分享,可在线阅读,更多相关《dns服务器组建实例.docx(31页珍藏版)》请在冰豆网上搜索。
dns服务器组建实例
1.各级域名的说明及范例
名称类型
说明
范例
根域
该名称位于域层次结构的最高层。
在DNS域名中使用时,它有尾部句点
如.
顶级域
由二三个字母组成的名称用于表示国家(地区)或使用名称的单位类型
.com,它表示在Internet上从事商业活动的公司的名称
二级域
为在Internet上使用而注册到个人或单位的长度可变名称。
这些名称始终基于相应的顶级域,这取决于单位的类型或使用的名称所在的地理位置
.,它是由InternetDNS域名注册人员注册到Microsoft的二级域名
子域
单位可创建的其他名称,这些名称从已注册的二级域名中派生
.是由contoso指派的虚拟子域,用于文档名称范例中
主机或资源名称
代表名称的DNS树中的末端结点而且标识特定资源的名称。
DNS域名最左边的标号一般标识为网络上的特定计算机
,其中第一个标号(www)是网络上特定计算机的DNS主机名
2.DNS的层次结构
Internet将所有联网主机的名字空间划分为许多不同的域。
树根(root)下是最高一级的域,再往下是二级、三级域,最高一级的域名叫做顶级(或称一级)域名。
例如:
域名中,com是一级域名,contoso是二级域名,south是三级域名,也叫子域域名,而www是主机名。
各级域名的说明及范例如下表所示,层次结构关系如下图所示。
DNS域名是按组织来划分的,Internet中最初规定的一级域名有7个,其中com代表商业机构,edu代表教育机构,mil代表军事机构,gov代表政府部门,net代表提供网络服务的部门,org代表非商业机构,xx代表国家或者地区。
此外,ICANN还在2000年新增了七个域名,这七个新增域名后缀分别是:
.info(提供信息服务的单位)、.biz(公司)、.name(个人)、.pro(专业人士)、.museum(博物馆)、.coop(商业合作机构)和.aero(航空业)。
一般情况下,域名可以向提供域名注册服务的网站进行在线申请。
例如,可以向中国互联网络信息中心(CNNIC)的网站查看并注册域名。
企业如果需要部署自己的DNS服务器、需要安装ActiveDirectory或希望Internet用户对企业内部计算机进行访问时,必须架设DNS服务器
3.DNS的工作过程
Internet各级域中,都有相应的DNS服务器记录着域中计算机的域名和IP地址。
如果要想通过域名访问某台计算机,则访问者的计算机必须通过查询域中的DNS服务器,得知被访问计算机的IP地址,这样才能实现。
这时候,对于DNS服务器而言,访问者的计算机称之为DNS客户端。
4.DNS域名的解析方式
DNS客户端向DNS服务器提出查询,DNS服务器作出响应的过程称为域名解析。
1.正向解析与反向解析
当DNS客户端向DNS服务器提交域名查询IP地址,或DNS服务器向另一台DNS服务器(提出查询的DNS服务器相对而言也是DNS客户端)提交域名查询IP地址,DNS服务器作出响应的过程称为正向解析。
反过来,如果DNS客户端向DNS服务器提交IP地址而查询域名,DNS服务器作出响应的过程则称为反向解析
2.1递归查询与迭代查询
根据DNS服务器对DNS客户端的不同响应方式,域名解析可分为有2种类型:
递归查询和迭代查询。
(1)递归查询
最简单的DNS查询类型是递归查询。
在一个递归查询中,服务器或者返回客户请求的信息或者返回一个指出该信息不存在的错误消息。
DNS服务器不会尝试联系别的服务器以获取信息。
例如,客户机需要查询所对应的IP地址,本地DNS服务器接到客户端的DNS请求后,返回所对应的IP地址172.16.1.1给客户端,查询过程如下图所示
2.2迭代查询
在迭代查询查询中,名字服务器返回它们具有的最好的信息。
虽然一个DNS服务器可能不知道某个友好的名字的IP地址,它可能知道可能具有要找的IP地址的名字服务器的IP地址,所以它将信息发回。
2.3迭代查询的步骤
①本地名字服务器(DNS服务器)从一个客户系统接收到一个要对一个友好的名字(比如说)进行域名解析的请求。
②本地名字服务器检查它自己的记录。
如果找到地址,就返回给客户;如果没有找到,本地名字服务器继续下面的步骤。
③本地名字服务器向根(.com中的“.”)名字服务器发送一个迭代请求。
④根名字服务器为本地服务器提供顶级名字服务器(.com、.net等)的地址。
⑤本地服务器向顶级名字服务器发送一个迭代查询。
⑥顶级名字服务器向本地域名服务器回答管理友好名字的域(比如)的域名服务器的IP地址。
⑦本地名字服务器向友好名字的域的名字服务器发送一个迭代查询。
⑧友好名字的名字服务器提供查找的友好名字()的IP地址。
本地名字服务器将这个IP地址传给客户。
看上去很复杂,但处理过程在瞬间完成。
或者如果地址没有找到,就会返回给客户一个404错误。
2.4DNS反向查询
反向查询是依据DNS客户端提供的IP地址,来查询该IP地址对应的主机域名。
实现反向查询必须在DNS服务器内创建一个反向型查询的区域,在Windowsserver2003的DNS服务器中,该区域名称的最后部分为in-addr.arpa。
一旦创建的区域进入到DNS数据库中,就会增加一个指针记录,将IP地址与相应的主机名相关联。
换句话说,当查询IP地址为192.168.1.1的主机名时,解析程序将向DNS服务器查询1.1.168.192.in-addr.arpa的指针记录。
如果该IP地址在本地域之外时,DNS服务器将从根开始顺序地解析结点,直到找到1.1.16.172.in-addr.arpa。
当创建反向型查询区域时,系统就会自动为其创建一个反向型查询区域文件。
3.1缓存与生存时间
在DNS服务器处理一个递归型查询的过程中,可能需要发出多个查询请求以找到所需的数据。
DNS服务器允许对此过程中接收到的所有信息进行缓存。
当DNS服务器向其他的DNS服务器查询到DNS客户端所需要的数据后,它除了将此数据提供给DNS客户端外,还将此数据保存一份到自己的缓存内,以便下一次有DNS客户端查询相同数据时直接从缓存中调用。
这样就加快了处理速度,并能减轻网络的负担。
保存在DNS服务器缓存中的数据能够存在一段时间,这段时间之为生存时间TTL。
另外,掉电后缓存中的数据当然也会丢失。
TTL时间的长短可能在保存该数据的主要名称服务器中进行设置。
当DNS服务器将数据保存到缓存后,TTL时间就会开始递减。
只要TTL时间变为0,DNS服务器就会将此数据从缓存中抹去。
在设置TTL的值时,如果数据变化很快,TTL的值可以设置得小一些,这样可以保证网络上数据更好的保持一致。
但是,当TTL的值太小时,DNS服务器的负载就会增加。
4DNS服务器的安装配置
在Windows2000Server中的DNS的所有功能全部包含在了WindowsServer2003中。
同时,WindowsServer2003增加了新的DNS特性。
主要表现在以下几个方面:
1.DNS根存区域。
2.条件转发。
.IPv6主机地址
当然,还有许多更新是WindowsNT不具备而从Windows2000延伸过来的。
这些更新主要包括:
1.服务定位器记录(ServiceLocator,SRV,它是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息)。
2.ActiveDirectory集成区域。
3.安全DNS更新
4.1DNS组件的安装
(1)选择『开始』|『设置』|『控制面板』|『添加/删除程序』,在出现的对话框中单击『添加/删除Windows组件』一项,出现『Windows组件向导』对话框,如图所示。
(2)选择『组件』列表中的『网络服务』选项,然后单击『详细信息』按钮,出现『网络服务』对话框,如图所示。
(3)在列表中选择『域名系统(DNS)』复选框,单击『确定』按钮,返回『Windows组件向导』对话框。
(4)单击『下一步』按钮后,系统将从安装盘复制所需的文件。
4.2正向搜索区域的创建
当DNS服务器安装后,还需要在其中创建区域与区域文件,以便将位于该区域内的主机数据添加到区域文件中。
1.WindowsServer2003的区域类型
WindowsServer2003支持的区域类型,分别是:
主要区域、辅助区域、根存区域和活动目录集成的区域。
(1)主要区域
(2)辅助区域
(3)ActiveDirectory集成区域
(4)根存区域
4.3主要区域的创建方法
在一个DNS服务器中可以通过以下的方法创建主要区域。
(1)选择『开始』|『程序』|『管理工具』|『DNS』,打开DNS窗口。
(2)在窗口中选取DNS服务器树中的『正向搜索区域』,单击鼠标右键,在出现的快捷菜单中选择『新建区域』一项,出现“新建区域向导”信息。
如图所示:
(3)单击『下一步』按钮,出现如图所示的对话框,分别显示了3种类型的区域的特点。
请选择『主要区域』一项,并单击『下一步』按钮。
(4)当出现如图所示的对话框时,在“名称”后面的文本框中输入需要创建区域的名称,如
(5)单击『下一步』按钮,当出现“区域文件”对话框。
DNS区域名称的信息及主机记录均保存在区域文件中,这样就可以在不同的DNS服务器之间复制区域的信息。
默认的文件名称是区域名称,扩展名为.dns。
如果要使用区域内已有的区域文件,可先选择『使用此现存文件』一项,然后将该现存的文件复制到%SystemRoot%\system32\dns文件夹中。
这里直接单击『下一步』按钮。
(6)出现“动态更新”对话框。
虽然DNS区域的动态更新可以让网络中的计算机将其资源记录自动在DNS服务器中更新,但是,不受信任的来源也可以自动更新,给安全带来了隐患。
如果企业内部网没有连接到其它的网络,在确保安全的前提下,可以运行非安全的及安全的自动更新,如果网络并不安全,则设置不允许动态更新。
这里选择『不允许动态更新』。
如图8-9所示
(7)单击『下一步』按钮,出现“正在完成新建区域向导”对话框,在该对话框中对刚才的设置进行确认,无误后单击『确定』完成设置,返回DNS窗口,新建的区域将显示在窗口中,如图所示。
4.4助正向查找区域
3.辅助正向查找区域创建步骤:
(1)在上述创建主要正向查找区域的操作步骤中的第三步中,选中【辅助区域】,再单击【下一步】便会出现【区域名称】界面。
在【名称】框中输入新区域的名称后再单击【下一步】,出现【主DNS服务器】界面。
(2)【主DNS服务器】界面用于设置该辅助区域数据的来源,【IP地址】列表为提供数据复制的DNS服务器地址。
添加IP地址后,单击【下一步】,在出现的新对话框中再单击【完成】即可。
4.5在主要区域内创建记录
区域文件包含了一系列“资源记录”(ResourceRecord,RR)。
每条记录都包含DNS域中的一个主机或服务的特定信息。
DNS客户端需要来自一个名称服务器的信息时,就会查询资源记录。
例如,假定用户需要服务器的IP地址,就会向DNS服务器发送一个请求,检索DNS服务器的“A记录”(又称主机记录)。
DNS在一个区域中查找A记录,然后将记录的内容复制到一个DNS应答中,并将这个应答发送给客户端,从而响应客户端的请求。
常见的资源记录如表所示
DNS服务器区域创建完成后,还需要添加主机记录才能真正实现DNS解析服务。
也就是必须为DNS服务添加与主机名和IP地址对应的数据库,从而将DNS主机名与其IP地址一一对应起来。
这样,当输入主机名时,才能解析成对应的IP地址并实现对相应服务器的访问。
主机记录,也叫A记录,用于静态地建立主机名与IP地址之间的对应关系,以便提供正向查询服务。
因此,需要为FTP、WWW、MAIL、BBS等服务分别创建一个A记录,才能使用主机名对这些服务进行访问
5.1创建www主机记录的方法
1)选择『开始』|『程序』|『管理工具』|『DNS』,打开相应窗口。
(2)在DNS窗口中选择已创建的主要区域,单击鼠标右键,在出现的快捷菜单中选择『新建主机』一项。
如图所示:
(3)在出现的对话框的“名称”下方文本框中输入网络中某主机的名称(如www),在“IP地址”下方的文本框中输入该主机对应的IP地址,本例为192.168.0.100。
那么,该计算机的域名就是,当用户在web浏览器中输入访问时,IP地址将被解析为192.168.0.100。
根据需要,可以添加多个主机记录。
4)当设置正确后,单击对话框中的『添加主机』按钮,出现“成功地创建了主机记录”的信息,表示已成功地创建了一条主机记录。
(5)单击『确定』按钮,如果需要,可重复以上步骤,继续创建其他的主机记录。
(6)当所有的主机记录创建结束后,单击『完成』按钮,返回DNS窗口,刚才所创建的主机记录将全部显示在窗口右边的列表框中,如图所示。
6.1反向查找区域的创建
通过主机名查询其IP地址的过程称为正向查询。
反过来,通过IP地址查询其主机名的过程称为反向查询。
反向查找区域可以实现DNS客户端利用IP地址来查询其主机名的功能。
反向查询并不是必须的,可以在需要的时候创建。
反向查找区域同样提供了三种类型:
主要区域、辅助区域及根存区域。
反向查找区域是用网络ID来定义区域的。
如192.168.0.100/24对应的网络ID为192.168.0.0,也即该IP地址对应的网络号。
反向查找区域信息及记录是保存在一个文件中,默认的文件名称是网络ID的倒叙形式,然后加上in-addr.arpa,扩展名为.dns。
该文件保存在%Systemroot%\system32\dns文件夹中。
1)在DNS控制台树中选取『反向查找区域』一项,单击鼠标右键,在出现的快捷菜单中选择『新建区域』菜单项。
出现“新建区域向导”欢迎对话框,直接单击『下一步』按钮。
(2)在“区域类型”的对话框中,请选择『主要区域』。
(3)单击『下一步』按扭后,在出现的对话框的“网络ID”下方输入网络地址(如192.168.0)这时它会自动显示在“反向查找区域名称”的下方(显示为0.168.192.in-addr.arpa),如图所示:
(4)单击『下一步』按钮,出现“区域文件”对话框,如果希望使用系统给定的默认文件名,这时只需要直接单击『下一步』。
如果要使用现有的区域文件,则必须先将该文件复制到%Systemroot%\systems32\dns文件夹中,然后通过对话框中的“使用此现存文件”进行设置。
(5)出现“动态更新”对话框,动态更新在前面8.3.2节已介绍过,这里选择『不允许动态更新』,单击『下一步』按钮。
(6)出现“正在完成新建区域向导”对话框,对所显示的设置的功能确认。
如果设置有错误,可以通过“上一步”按扭进行修改,确认没有错误后,单击『完成』按钮,返回DNS控制台窗口,这时反向查找区域将显示在DNS控制台窗口中(192.168.0.x.Subnet),如图所示。
7.1辅助反向查找区域
辅助反向查找区域创建步骤:
创建辅助反向查找区域的操作步骤与主要反向查找区域大致相类似,不同的是在第三步时,不是选【主要区域】,而是选择【辅助区域】;再就是会多出如图所示的【主DNS服务器】界面,该界面用于设置该辅助区域数据的来源,【IP地址】列表为提供数据复制的DNS服务器地址。
添加IP地址后,单击【下一步】,在出现的新对话框中再单击【完成】即可。
7.2在反向查找区域内创建记录
当创建了反向查找区域后,还必须在该区域内创建记录数据,只有这些记录数据在实际的查询中才是有用的,一般通过以下的方式来在反向查找区域创建记录数据。
(1)在DNS管理树窗口中,双击『反向查找区域』,扩展后出现具体的区域名称,如前面创建的192.168.0.xSubnet,选中区域后再单击鼠标右键,出现如图所示的对话框。
(2)选择『新建指针』菜单项。
本例假设把地址为192.168.0.1,域名为(先得在正向搜索区域添加此记录)的主机添加到反向查找区域,只需在对话框的“主机IP号”后的一段内输入主机IP地址的最后一个字节的值,为“1“(前3个段是网络ID),接着在“主机名”后输入该IP地址对应的主机名(注意此处的书写,是主机puma的完全合格域名)。
如图所示。
(3)单击『确定』按扭,一个记录创建成功。
还可以用同样的方式创建其他的记录数据
8.1创建DNS别名(CNAME)记录
(1)在DNS树形窗口控制台中选取已创建的主要区域,单击鼠标右键,在出现的快捷菜单中选择『新建别名』菜单项。
(2)在出现的对话框的“别名”下方的文本框中输入待创建的主机机别名“BBS”,在“目标主机的完全合格的名称”下方的文本框中输入指派该别名的主机名称“”,如图所示
(3)当确认输入的内容无误后,单击『确定』按钮,返回DNS控制台窗口。
新建的别名记录将显示在窗口中,如图所示。
8.2创建邮件交换记录
邮件交换(MailExchanger,MX)记录可以告诉用户,哪些服务器可以为该域接收邮件。
当局域网用户与其它Internet用户进行邮件的交换时,将由在该处指定的邮件服务器与其它Internet邮件服务器之间完成。
也就是说,如果不指定MX邮件交换记录,那么,网络用户将无法实现与Internet的邮件交换,就不能实现Internet电子邮件的收发。
(1)先添加一个名为“mail”的主机记录,并使该“mail”指定的计算机作为邮件服务器。
(2)在DNS控制台树的“正向搜索区域”中,右键单击欲添加MX邮件交换记录的域,在快捷菜单中选择『新建邮件交换器』,显示“新建资源记录”,出现如图8-20所示的对话框。
用户创建MX记录,实现对邮件服务器的域名解析。
这里需要提醒的是,“主机或子域”对话框保持为空,这样才能得到诸如***************之类的邮箱。
如果在“主机或子域”对话框中输入“mail”,那么,邮箱将会变成为****************.com。
(3)在“邮件服务器的完全合格的域名(FQDN)”文本框中直接输入邮件服务器的域名,如,也可以单击『浏览』按钮,在“浏览”对话框(如图所示)列表中选择作为邮件服务器的主机名称,如“mail”。
(4)指定“邮件服务器的优先级”。
当该区域内有多个MX记录(即有多个邮件服务器)时,则可以在此输入一个数字来确定其优先级。
数字越低的优先级越高(0最高)。
当一个区域中有多个邮件服务器时,如果其它的邮件服务器要传送邮件到此区域的邮件服务器中,它会选择优先级最高的邮件服务器。
如果传送失败,再选择优先级较低的邮件服务器。
如果两台以上的邮件服务器的优先级相同时,会从中随机选择一台邮件服务器。
(5)单击『确定』按钮,完成MX邮件交换记录的添加操作。
重复上述操作,可为该域添加多个MX记录,并在“邮件服务器优先级”文本框中分别设置其优先级值。
从而实现邮件服务器的冗余和容错。
9.1DNS客户端的设置
客户端要解析Internet或内部网的主机名称,必须设置使用哪些DNS服务器,如果企业有自己的DNS服务器,可以将其设置为企业内部客户端的首选DNS服务器,否则设置Internet上的DNS服务器为首选DNS服务器(例如,广州电信的首选dns服务器地址为61.144.56.100)。
Windows操作系统中DNS客户端的配置非常简单,只需在IP地址信息中添加DNS服务器的IP地址即可。
(1)打开『控制面板』,在控制面板中双击『网络连接』图标,打开网络连接窗口。
(2)选取窗口中的『本地连接』一项,单击鼠标右键,在出现的快捷菜单中选择『属性』一项,打开『本地连接属性』对话框。
如图所示。
(3)在对话框“此连接使用下列项目”中选取已安装的『Internet协议(TCP/IP)』项,然后单击『属性』按钮,出现如图所示的对话框。
(4)在“首选DNS服务器”后面输入DNS服务器的IP地址192.168.0.1,如果网络中还有其他的DNS服务器时,在“备用DNS服务器”后输入这台备用DNS服务器的IP地址。
也可以在备用DNS服务器中输入Internet上的DNS服务器IP地址。
通过以上的设置,DNS客户端会依次向这些DNS服务器进行查询。
如果首选DNS服务器没有某主机的记录,则客户端会依照DNS服务器地址的使用顺序查询其余的DNS服务器。
有时,一个网络中可能存在多台DNS服务器,这时可单击如前图中所示的『高级』按钮,在出现的对话框中选择『DNS』选项卡,出现如下图所示的对话框。
在“DNS服务器地址”下方列表中显示了已设置的首选DNS服务器和备用DNS服务器的IP地址。
如果还要添加其他DNS服务器的IP地址时,可单击『添加』按钮,在出现的对话框中依次输入其他DNS服务器的IP地址。
9.2测试DNS
DNS服务器和客户端配置完成后,可以使用各种命令测试DNS是否配置正确。
WindowsServer2003内置了用于测试DNS的相关命令,如:
ipconfig、ping及nslookup。
同时,Windows2000ResourceKits提供的netdiag命令也是很好的测试工具。
测试时,首选通过ipconfig命令,查看客户端计算机的DNS服务器设置,在命令提示符下输入ipconfig/all命令,执行结果如图所示
确定DNS服务器配置正确后,使用ping命令来确定DNS服务器是否在线,如果pingDNS服务器的主机名,将会返回对应的IP地址及响应的简单统计信息。
输入ping命令执行结果如下图所示。
反向查询的应用并不多,一般情况下,如果用户需要查询主机名对应的IP地址,可以使用正向查询。
反向查询一般是用户测试DNS服务器能否正确地提供名称解析功能,如运行nslookup的时候。
可以使用ping和nslookup命令测试反向查询功能。
要使用ping命令反向查询,只要在ping命令后面加上“-a”参数,就可以测试DNS服务器能否将IP地址解析成主机名称。
输入ping–a192.168.0.1命令的执行结果如下图所示。
10.1DNS服务器高级应用
1.DNS动态更新的启用
前面介绍过动态DNS的作用是,当被解析的主机IP地址变化时,DNS服务器数据库中的记录随之自动变更并始终与该主机域名相对应。
这一过程称为DNS的动态更新。
启用动态更新的操作步骤如下。
在DNS控制台目录树上,右键单击区域名,如:
。
在弹出的快捷菜单上选取『属性』,打开属性选项卡,如图8-29所示。
在“动态更新”后的下拉选项框中,选择『非安全』
10.2根提示和转发器
升级会员 