DNS讲述.docx
《DNS讲述.docx》由会员分享,可在线阅读,更多相关《DNS讲述.docx(16页珍藏版)》请在冰豆网上搜索。
DNS讲述
我们知道,在Internet上有千百万台主机,为了区分这些主机,人们给每台主机都分配了一个专门的地址,称为IP地址。
通过IP地址就可以访问到每一台主机。
IP地址由4部分数字组成,每部分都不大于256,各部分之间用小数点分开。
例如"陕西理工学院"网主机的IP地址就是"218.195.96.2",在您的浏览器上打入这个IP地址,就可以访问到我们学校的主页。
什么是域名解析服务(DNS)?
人们习惯记忆域名,但机器间互相只认IP地址,域名与IP地址之间是一一对应的,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,整个过程是自动进行的。
一、DNS概述
计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址,那为什么当我们打开浏览器,在地址栏中输入如“”的域名后,就能看到我们所需要的页面呢?
这是在我们输入域名后,有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出那个IP地址所对应的网页,最后再传回给我们的浏览器,我们才能得到结果。
DNS是域名系统(DomainNameSystem)的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。
DNS命名用于TCP/IP网络,如Internet,用来通过用户友好的名称定位计算机和服务。
当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与此名称相关的其他信息,如IP地址。
所以,我们想要我们自己内部网上的域名能成功地被解析(即翻译成IP地址),就需要将我们自己的2K机建立成一个DNS服务器,里面包含有我们的域名和IP地址之间的映射表。
这通常需要建立一种A记录,A是Address的简写,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。
以下是最常见的顶级域名:
com,用于商业组织。
edu,用于教育机构。
org,用于非赢利组织。
net,用于计算机网络组织。
gov,用于美国政府组织。
两字母或三字母国家/地区代码,如jp是日本的代码。
不同组织的域名在每个顶级域下面相应地分支展开。
可以进一步沿树状结构细分出组织内各部门的更多域名(称为子域)。
最后,将主机名加在名称结构的前面构成FQDN,如“”。
事实上,“”也是一个FQDN,它指的是中的某个Web服务器群集。
DNS工作原理
DNS是一个分布式数据库系统,它提供将域名转换成对应IP地址的信息。
这种将名称转换成IP地址的方法称为名称解析。
一般来说,每个组织有其自己的DNS服务器,并维护域的名称映射数据库记录或资源记录。
当请求名称解析时,DNS服务器先在自己的记录中检查是否有对应的IP地址。
如果未找到,它就会向其它DNS服务器询问该信息。
例如,当要求Web浏览器访问“”站点时,它就会通过以下步骤来解析该域名的IP地址:
Web浏览器调用DNS客户端(称为解析器),并使用上次查询缓存的信息在本地解析该查询。
如果在本地无法解析查询,客户端就会向已知的DNS服务器询问答案。
如果该DNS服务器曾经在特定的时间段内处理过相同的域名(““)请求,它就会在缓存中检索相应的IP地址,并将它返回给客户端。
如果该DNS服务器找不到相应的地址,客户端就会向某个全局根DNS服务器询问,后者返回顶级域权威DNS服务器的指针。
在这种情况下,“com”域权威服务器的IP地址将返回给客户端。
类似地,客户端向“com”服务器询问“”服务器的地址。
然后,客户端将原始查询传到“”服务器。
因为“”服务器在本地维护“”域的权威记录,所以它将最终结果返回给客户端,并完成特定IP地址的查询。
注意,可以将DNS资源记录缓存到网络上任意数量的DNS服务器中。
第2步中提到的DNS服务器可能不包含“”缓存记录。
但是,它可能有“”的记录,更可能有“com”域的记录。
这可省去客户端获得最终结果所需的一次或几次查询,从而加快了整个搜索过程。
为了维护DNS缓存中的最新信息,缓存记录有一个与信息关联的“生存时间”设置(类似于牛奶的保鲜期)。
当记录到期时,必须对它们再次进行搜索。
DNS资源记录
如前所述,每个DNS数据库都由资源记录构成。
一般来说,资源记录包含与特定主机有关的信息,如IP地址、主机的所有者或者提供服务的类型。
资源记录类型
说明
解释
SOA
起始授权机构
此记录指定区域的起点。
它所包含的信息有区域名、区域管理员电子邮件地址,以及指示辅DNS服务器如何更新区域数据文件的设置等。
常用的资源记录类型
A地址此记录列出特定主机名的IP地址。
这是名称解析的重要记录。
CNAME标准名称此记录指定标准主机名的别名。
MX邮件交换器此记录列出了负责接收发到域中的电子邮件的主机。
NS名称服务器此记录指定负责给定区域的名称服务器。
DNS区域
通常,DNS数据库可分成不同的相关资源记录集。
其中的每个记录集称为区域。
区域可以包含整个域、部分域或只是一个或几个子域的资源记录。
管理某个区域(或记录集)的DNS服务器称为该区域的权威名称服务器。
每个名称服务器可以是一个或多个区域的权威名称服务器。
在域中划分多个区域的主要目的是为了简化DNS的管理任务,即委派一组权威名称服务器来管理每个区域。
采用这样的分布式结构,当域名称空间不断扩展时,各个域的管理员可以有效地管理各自的子域。
有时,区域和域是很难分辨的。
区域是域的子集。
可以将它看作域名称空间的某个分支(或子树)。
例如,Microsoft名称服务器可以同时是“”区域、“”区域和“”区域的权威名称服务器。
但是,可以将子域的区域(如“”)委派给其它专用名称服务器管理。
如果设置的区域包含整个域的资源记录,那么该区域与该域的范围是相同的。
对于Windows2000,区域信息或者以传统文本文件格式存储,或者集成到ActiveDirectory数据库中。
稍后,我们将详细阐述DNS与ActiveDirectory如何协作。
主DNS服务器和辅DNS服务器
为保证服务的高可用性,DNS要求使用多台名称服务器冗余支持每个区域。
某个区域的资源记录通过手动或自动方式更新到单个主名称服务器(称为主DNS服务器)上。
主DNS服务器可以是一个或几个区域的权威名称服务器。
其它冗余名称服务器(称为辅DNS服务器)用作同一区域中主服务器的备份服务器,以防主服务器无法访问或宕机。
辅DNS服务器定期与主DNS服务器通讯,确保它的区域信息保持最新。
如果不是最新信息,辅DNS服务器就会从主服务器获取最新区域数据文件的副本。
这种将区域文件复制到多台名称服务器的过程称为区域复制。
ActiveDirectory和DNS的关系
ActiveDirectory是Windows2000中新增的目录服务。
该服务存储所有网络资源的信息,如计算机、共享文件夹、用户等等。
它还通过标准的Internet协议(轻量目录访问协议,LDAP)将此类信息提供给用户和应用程序。
有关ActiveDirectory的详细信息,请参阅Technet文章设置ActiveDirectory域。
与MicrosoftWindowsNT®4.0中的域控制器相比,ActiveDirectory与DNS的关系更加密切。
实际上,DNS是支持ActiveDirectory所必需的。
通常,安装ActiveDirectory服务器时,如果网络上找不到DNS服务器,就会在安装过程中安装DNS服务器。
支持域控制器的定位器服务
Windows2000中最重要的新概念之一就是:
计算机不再主要用网络基本输入/输出系统(NetBIOS)名称来标识,而是使用DNS完全合格的域名称(FQDN)来标识,如“”。
因此,要登录并访问WindowsNT域中的资源,Windows2000计算机必须查找DNS服务器,后者帮助定位ActiveDirectory域控制器。
换句话说,DNS用作域控制器的定位器服务。
与ActiveDirectory集成
Windows2000DNS服务器的另一个重要功能是:
DNS区域可以集成到ActiveDirectory中,以提供增强的容错和安全功能。
每个与ActiveDirectory集成的区域将自动复制到ActiveDirectory域的所有域控制器中。
不过,仍可以将Windows2000DNS服务器配置为基于传统文件的DNS服务器。
但是,要提供DNS服务容错功能,除主DNS服务器外,还必须手动安装辅DNS服务器。
配置DuwamishOnline的DNS服务
DuwamishOnline要求使用外部和内部域名称解析。
在外部,DNS服务将“Web服务器的IP地址。
DuwamishOnline应用程序使用内部名称解析来解析服务器的名称。
要从COM+列队组件(QC)访问消息队列(MSMQ)公共队列,必须使用ActiveDirectory,而后者又要求使用DNS。
有关MSMQ和网络体系结构的详细信息,请参阅DuwamishOnlineMessageQueuingConfiguration上的文章。
在Windows2000中安装DNS服务相对比较简单。
但是,外部和内部DNS信息的安全要求是不同的。
在本节中,我们将讨论这些安全问题和可能的解决方案。
我们将讨论(消息队列配置使用的)ActiveDirectory服务与DuwamishOnlineWeb群中DNS之间的关系。
还要告诉您如何注册域名,如何安装带有Windows2000的DNS服务器。
公用和专用DNS信息的安全问题
最初,我们安装了两台DNS服务器:
一台主DNS服务器和一台用于冗余的辅DNS服务器。
在这些DNS服务器中设置了两个区域:
一个用于外部Internet域“DuwamishO”,另一个用于内部域“InternalD”。
如前所述,安装用于内部域的DNS服务器是Windows2000ActiveDirectory域的新要求。
使用该原始配置,将DNS服务器同时设置为内部域和外部域的“多主”,例如,外部网络接口卡(NIC)的IP地址为192.168.100.1,内部NIC的IP地址为10.10.10.1。
允许Internet用户向服务器查询外部区域。
但是,因为同一DNS服务器同时管理外部和内部区域,所以外部用户也可以向服务器查询内部区域。
Internet用户可以使用基本网络工具(如名称服务搜索,NSLookup)访问所有内部域DNS信息。
理论上,无法将任何网络数据包路由到内部域,直接攻击内部服务器。
但是,向外界泄露的内部信息越少,操作的安全性越高。
这可防止他人利用后端服务器(此处存储重要业务信息)的潜在漏洞,进一步窃取机密信息。
DNS部署的解决方案
下面列出了一些解决原始配置安全问题的方案:
两个域/区域使用各自的DNS服务器。
由Internet服务提供商(ISP)托管外部DNS。
将两个区域放在一台服务器中,并用正确的访问控制配置ActiveDirectory。
使用各自的DNS服务器
解决安全问题的一种方法是使用两台单独的DNS服务器将两个区域的DNS操作分开,一个放在公共网段,另一个仅用于内部DNS查询。
但是,对于小型Web操作,并不希望再多管理一台服务器。
实际上,根据一般建议所述,每个区域至少配置两台权威名称服务器,那么我们需要安装四台DNS服务器为两个域(带有主DNS服务器和辅DNS服务器)提供足够的容错功能。
这样,如果其中一台服务器出现故障,站点仍可正常工作。
在较大的Web群中,这可能是首选设置,因为它可以绝对控制整个操作环境,并将对第三方系统的依赖性降到最低。
由ISP托管外部DNS
另一个常用的方法是由Internet服务提供商维护外部域,而我们自己继续管理内部域的DNS服务器。
对于此类配置,DNS服务器仅连接到内部网络,不能通过Internet访问它。
这可能是隔离两个域并最大限度降低管理其它DNS服务器额外开销的最简单方法。
同时,ISP为其DNS服务器提供了更好的网络和系统冗余。
然后,我们可以在内部网络上安装辅DNS服务器,为内部名称搜索提供容错功能。
配置ActiveDirectory访问控制
可以将两个区域放在一个服务器中,并将该区域与ActiveDirectory安全功能集成起来。
通过正确控制对ActiveDirectory中DNS文件的访问,可将内部DNS查询仅限于经过身份验证的用户。
但是,我们还没有验证该解决方案。
由于该方案非常复杂,所以必须进行大量的试验,确保设置正确并且没有误将内部信息输出到Internet。
注册域名
要避免与其它组织的名称空间冲突,外部域的指定名称“DuwamishO”必须由相应的域名颁发机构(称为“注册机构”)注册。
对于整个域名空间,过去只有一个注册机构。
但是,随着美国政府对整个Internet基础结构的不断私有化和全球化,现在出现了许多注册机构。
在Internet名称和号码分配社团(ICANN)的Web站点(http:
//www.icann.org/)上,可以找到世界各地的可信注册机构的列表,该社团是由美国政府唯一缔约的非赢利组织,监督IP地址的分配和DNS基础结构的管理。
尽管不同注册机构的注册过程有所差异,但是,它们大致还是相同的。
您可以先登录到其中的某个Web站点,搜索想要使用的域名,看看是否已经存在。
如果此域名还未使用,就会要求您提供合同和记帐信息。
另外,您需要提供两个IP地址和FQDN,用于主DNS服务器和辅DNS服务器。
如果您的ISP正在管理Internet域的DNS服务器,请在开始注册过程之前,先向他们询问此类信息。
事实上,现在大多数提供商除了给您的域提供DNS服务外,还替您提交注册请求。
因为内部域的DNS服务器安装是由ActiveDirectory安装向导自动完成的,所以本文不再讨论这个简单的过程。
详细信息,请参阅文章设置ActiveDirectory域。
外部域的DNS服务器配置
如果选择为外部域管理一组单独的DNS服务器,则可通过以下步骤获得一组基本外部DNS服务器配置。
在Windows2000中安装DNS
在Windows2000Server、AdvancedServer和DatacenterServer中,DNS是作为操作系统软件的一部分提供的。
但是,它并不是默认安装的一部分,必须在安装DNS服务器之前进行安装。
要安装DNS
从开始菜单,指向设置\控制面板。
双击添加/删除程序,单击添加/删除Windows组件,然后单击组件按钮。
在“Windows组件向导”中,选择网络服务,然后单击详细信息。
选择域名系统组件,并单击确定。
安装主DNS服务器
主DNS服务器包含外部区域DuwamishO的资源记录。
辅DNS服务器用作该服务器的备份服务器。
要安装主DNS服务器
从开始菜单,指向程序\管理工具。
单击DNS启用DNS控制台程序。
在左侧窗格中,选择正在配置的服务器。
如果还没有配置DNS服务器,请从操作菜单单击配置服务器,启动“配置DNS向导”。
此向导将引导您完成“正向搜索区域”和“反向搜索区域”的设置。
注意如果已经给其它区域配置了该DNS服务器,则无法从菜单上使用该选项。
需要分别右键单击“正向搜索区域”和“反向搜索区域”文件夹,指向新建区域,启动“新建区域向导”。
设置过程与下面的步骤类似。
按照向导的指示设置正向搜索区域。
“正向搜索区域”是将域名转换成IP地址的资源记录集。
无疑,这是DNS服务器最重要的数据文件。
在新建区域向导对话框中,单击选项按钮将区域类型指定为标准主要区域,后者以传统文本文件格式存储区域数据。
注意如果网络上使用ActiveDirectory服务器,您可以选择ActiveDirectory集成的区域选项按钮。
该选项允许将区域数据存储在ActiveDirectory数据库中,并自动复制到其它ActiveDirectory服务器中。
输入完全合格的域名称(本例中为“DuwamishO”)。
接受新区域文件的默认文件名。
如果需要,请创建一个反向搜索区域。
“反向搜索区域”是将IP地址转换回相应域名的资源记录集。
许多Internet服务经常需要使用此信息进行安全验证。
要设置“反向搜索区域”的名称,系统将要求您输入外部网络的网络ID。
例如,如果DNS服务器位于一个完全C类网络中,则输入该服务器IP地址的前三段。
不过,您应该从ISP那里获得此类信息。
(有关IP地址类别的详细信息,请参阅。
)
将区域名用作“反向搜索区域”的数据文件名。
此时,您已完成了主DNS服务器的安装,并已准备好配置该区域的其它资源记录。
配置主DNS服务器
在Windows2000DNS服务器中有很多有用的功能。
下面讲述了为DuwamishO这样的Web群配置主DNS服务器的最小需求。
假定您已如上所述成功创建了一个新的正向和反向搜索区域。
要修改SOA和名称服务器记录
从DNS控制台左侧窗格中,展开选定计算机名称下面的树状结构。
指向正向搜索区域文件夹中的FQDN(本例中,FQDN就是“”);右键单击并选择属性。
在属性对话框中,单击起始授权机构(SOA)选项卡。
根据需要修改主服务器字段。
该字段应包含主DNS服务器的FQDN。
根据需要修改负责人字段。
该字段应包含DNS管理员的电子邮件地址。
但是按照DNS标准,应该用“.”来替代“@”。
例如,如果管理员的电子邮件地址是“admin@”,则该字段应包含“”。
单击名称服务器选项卡。
如果已修改了SOA选项卡上的主服务器字段,则修改第一个服务器项。
添加第二项,指定辅DNS服务器的FQDN和IP地址。
单击区域复制选项卡。
单击选项按钮,以便允许对只有在“名称服务器”选项卡中列出的服务器进行区域复制。
单击确定。
将看到一个带有辅DNS服务器信息的新“名称服务器”记录。
注意您可以按下F5键刷新屏幕并查看所作的修改。
要创建新的主机地址记录
从DNS控制台左侧窗格中,展开选定计算机名称下面的树状结构。
指向正向搜索区域文件夹中的FQDN(本例中,FQDN就是“”);右键单击并选择新建主机。
在名称字段中,输入Web服务器的主机名,例如,本例中为“www”。
在IP地址字段中,输入Web服务器的IP地址。
选择该复选框以创建相关的指针(PTR)记录。
这样,在“反向搜索区域”中就会自动创建相应主机的新指针记录。
单击添加主机按钮,然后单击完成以应用更改。
就会在“正向搜索区域”中看见一个新的资源记录。
注意您可以按下F5键刷新屏幕并查看所作的修改。
安装辅DNS服务器
安装辅DNS服务器与安装主服务器一样容易。
注意,不能将辅DNS服务器与主DNS服务器安装在同一台计算机上。
这样,将导致DNS服务没有冗余。
安装辅DNS服务器
请执行“安装DNS”一节中的第1步和第2步。
然后,完成与安装主DNS服务器相同的步骤,此时将区域类型指定为标准辅助区域。
并要求您将主DNS服务器的IP地址添加到主DNS服务器列表中。
问:
什么是“DNS”?
其中文为何?
答:
DNS,简单地说,就是Domain Name System,翻成中文就是“域名系统”。
问:
DNS有什么用途?
答:
在一个TCP/IP架构的网络(例如Internet)环境中,DNS是一个非常重要而且常用的系统。
主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。
而上面执行DNS服务的这台网络主机,就可以称之为DNS Server。
基本上,通常我们都认为DNS只是将Domain Name转换成IP Address,然后再使用所查到的IP Address去连接(俗称“正向解析”)。
事实上,将IP Address转换成Domain Name的功能也是相当常使用到的,当login到一台Unix工作站时,工作站就会去做反查,找出你是从哪个地方连线进来的(俗称“逆向解析”)。
问:
DNS是怎么运作的?
答:
DNS是使用层的方式来运作的。
例如:
哈工大紫丁香站的Domain Name为,这个Domain Name当然不是凭空而来的,是从所分配下来的。
又是从.cn授予(delegation)的。
.cn是从哪里来的呢?
答案是从“.”,也就是所谓的“根域”(root domain)来的。
根领域已经是Domain Name的最上层。
而“.”这层是由InterNIC(Internet Network Information Center,互联网信息中心)所管理。
全世界的Domain Name就是这样,一层一层的授予下来。
问:
当我查一个Domain Name时,DNS是怎么查出它的IP的呢?
答:
举个例子,假设今天我们查的Domain Name(作一个dns query)为时,DNS Server会这么处理:
(1) 你所用的电脑(可能是PC,也可能是工作站)送出一个问题给这
升级会员 