网络工程技术10.ppt

1、第10章 DNS服务的配置和管理 DNS是一项功能强大的域名解析服务，正因为其功能强大，所以设置和管理比较繁琐。本章以Windows 2000 Server为网络平台，系统介绍了DSN的基本概念、功能、设置和管理方法。通过本章的学习和实践，读者可以掌握DNS的各种相关知识，为熟练管理网络奠定坚实的基础。重点：DNS的功能及工作方式DNS服务器的分类和创建区域记录的创建和管理难点：DNS的功能及工作方式DNS服务器的分类和创建 DNS服务是TCPIP的重要组成部分，是Internet上一个非常重要的服务，也是网络管理中一项非常重要的组成部分。使用DNS的另一个原因是随着TCPIP网络规模的扩大，

2、名字解析的方式从Hosts文件变成了DNS服务，并且DNS服务的功能在不断地增加。本章将系统介绍DNS的相关知识以及它的配置和管理。通过本章的学习，读者应能根据自己的网络特点利用DNS进行域名解析服务。10.1 DNS基础知识 在网络中当给每一台计算机(主机)分配了独立的IP地址后，可以通过IP地址找到这台计算机并与之进行通信。但是，当网络的规模较大时，使用IP地址就不太方便了，所以，便出现了主机名(hostname)与IP地址之间的一种对应解决方案，可以通过使用形象易记的主机名而非IP地址进行网络的访问，这比单纯使用IP地址显然要方便得多。其实，在这种解决方案中使用了解析的概念和原理，单独通

3、过主机名是无法建立网络连接的，只有通过解析的过程，在主机名与IP地址之间建立了映射关系后，才可以通过主机名间接地通过IP地址建立网络连接。主机名与IP地址之间的映射关系，在小型网络中多使用Hosts文件来完成。后来，随着网络规模的增大，为了满足不同组织的要求，以实现一个可伸缩、可自定义的命名方案的需要，InterNIC(InternetNetworklnformationCenter)制定了一套称为域名系统(DomainNameSystem，DNS)的分层名字解析方案，当DNS用户提出IP地址查询请求时，就可以由DNS服务器中的数据库提供所需的数据。DNS技术目前已广泛地应用于Intemet中

4、。10.1.1 使用Hosts文件的主机名解析 20世纪70年代末，当只有少数几台计算机进行连网时，所有的主机名和IP地址的映射关系都保存在一个名为Hosts的数据库文件中。通过这个数据库文件，可以将一个主机名解析到一个IP地址上。在Windows 2000中，Hosts文件存放在WINNTSystem32driversetc文件夹下，打开此文件，就可以发现主机名与IP地址之间的对应关系。使用Hosts文件进行IP地址解析的优点是它对用户来说是可定制的。每个用户都可以根据自己的实际需要在Hosts文件中添加对应的项。而Hosts的缺点是不能存储大量的主机名与IP地址之间的映射关系(映射表)。早

5、期的广域网(包括最早的Internet)的主机名与IP地址之间的映射大都使用Hosts文件方式，当时需要远程互连的主机都要使用Hosts数据库文件，该文件保存在斯坦福研究所的网络信息中心(SRI-NIC)的主机中。任何人要更新他们的Hosts文件都要到SRI-NIC的主机中下载最新的Hosts文件。这种方式持续了很长一段时间，直到参与互连的计算机规模急剧增加时，管理Hosts文件变得越来越困难。10.1.2 DNS的功能 DNS的基础是Hosts，DNS最初的设计目标是“用具有层次名字空间、分布式管理、扩展的数据类型、无限制的数据库容量和具有可以接受的性能的轻型、快捷、分布的数据库取代笨重的集

6、中管理的Hosts文件系统”。DNS是一组协议和服务，它允许用户在查找网络资源时使用层次化的对用户友好的名字取代IP地址。当DNS客户端向DNS服务器发出IP地址的查询请求时，DNS服务器可以从其数据库内寻找所需要的IP地址给DNS客户端。这种由DNS服务器在其数据库中找出客户端IP地址的过程叫做“主机名称解析”。该系统已广泛地应用到Internet和Intranet中，如果在Intemet或Intranet中使用Web浏览器、FTP或Telnet等基于TCPIP协议的应用程序时，就需要使用DNS的功能。简单地讲，DNS协议的最基本功能是在主机名与对应的IP地址之间建立映射关系。例如，新浪网站

7、的IP地址是202.106.184.200，几乎所有浏览该网站的用户都是使用，而并非使用IP地址来访问。使用主机名(域名)比直接使用IP地址具有以下两点好处。(1)主机名便于记忆，如。(2)数字形式的IP地址可能会由于各种原因而改变，而主机名可以保持不变。DNS的工作任务是在计算机主机名与IP地址之间进行映射。DNS处在OSI参考模型的应用层，使用TCP和UDP作为传输协议。DNS模型相当简单：客户端向DNS服务器提出访问请求(如：)，DNS服务器在收到客户端的请求后在数据库中查找相对的IP地址(202.106.184.200)，并作出反应。如果该DNS服务器无法提供对应的IP地址(如数据库中

8、没有该客户端主机名对应的IP地址)时，它就转给下一个它认为更好的DNS服务器去处理。当需要给某人打电话时，你可能知道这个人的姓名，而不知道他的电话号码。这时，可以通过查看电话号簿查得他的电话号码，从而与他进行通话。由此可以看出，电话号码簿的功能便是建立姓名与电话号码之间的映射关系。而DNS的功能与电话号码薄很类似。10.1.3 DNS的组成 域名系统(DNS)是为传输控制协议网际协议(TCPIP)网络提供的一套协议和服务，是巾名字分布数据库组成的。它建立了叫做域名空间的逻辑树结构，是负责分配、改写、查询域名的综合性服务系统。该空间中的每个节点或域都有一个唯一的名字。组成DNS系统的核心是DNS

9、服务器，它是回答域名服务查询的计算机，它允许为私人TCPIP网络和连接公共Intemet的用户提供并管理DNS服务，维护DNS名字数据并处理DNS客户端主机名的查询。DNS服务器保存了包含主机名和相应IP地址的数据库。例如，如果提供了名字，DNS服务器将返回新浪网站的IP地址202.106.184.200。DNS是一种看起来与磁盘文件系统的目录结构类似的命名方案，域名也通过使用句点“.”分隔每个分支来标识一个域在逻辑DNS层次中相对于其父域的位置。但是，当定位一个文件位置时，是从根目录到子目录再到文件名，如c：winntwin.exe；而当定位一个主机名时，是从最终位置到父域再到根域，如M。图

10、10.1显示了顶级域的名字空间及下一级子域之间的树型结构关系，图中的每一个结点以及其下的所有节点叫做一个域。域可以有主机(计算机)和其他域(子域)。例如，在图10.1中，P就是一个主机，而则是一个子域。一般在子域中含有多台主机，例如，在图10.1的子域下，就含有P和两台主机。图10.1 域名空间的组成 域名和主机名只能用字母，az(在Windows NT2000中大小写等效，而在UNIX中则不同)、数字09和连线“”组成。其他公共字符如连接符“&”、斜杠“”、句点“.”、和下划线“”都不能用于表示域名和主机名。(1)根域：代表域名命名空间的根，这里为空。(2)顶级域：直接处于根域下面的域，代表

11、一种类型的组织和一些国家。在Intemet中，由InterNIC进亍管理和维护。表10.1和表10.2分别列出了Intemet中常用到的部分顶级域名和国家的代码。表10.1 部分Intemet顶级域名及含义表10.2 部分Intemet国家或地区代码及含义 (3)二级域：在顶级域下面，用来标明顶级域以内的一个特定的组织。在Internet中，也是巾InterNIC负责对二级域名进行管理和维护，以保证二级域名的唯一性。(4)子域：在二级域的下面所仓建的域，它一般由各个组织根据自己的要求自行创建和维护。(5)主机：是域名命名空间中的最下面层，它被称之为完全合格的域名(FullyQualifiedD

12、omainName，FQDN)，在WindowsNT2000下可以利用Hostname命令查看该主机的主机名。10.1.4 DNS的区域 所谓DNS的区域(zone)，就是指域名空间(domainnamespace)树型结构的一部分，它能够将域名称空间根据用户需要划分为较小的区域，而非域(domain)，以便于管理。一个区域内的主机数据(包括主机名和对应IP地址)必须存放在DNS服务器内，而用来存放这些数据的文件就称之为区域文件。一台DNS服务器内可以存放多个区域文件，同一个区域文件也可以存放到多台DNs服务器中。为了将网络管理的工作分散开来，可以将一个DNS域划分为多个区域。如图10.2所示

13、，将域划分为区域1与区域2，其中区域1包含了子域，区域2包含了域禾口子域address.abc.cOm。每个区域都存在一个区域文件，区域1的文件中包含着域内所有主机(depldep30)的数据；而区域2的文件中包含着域内所有主机(depldep20和depldep40)的数据。两个区域文件可以存放在同一个DNS服务器中，也可以分别存放在不同的DNS服务器中。当用户数较多时，可以由两个网络管理员分别管理不同的两个区域，不但便于工作上的分工，而且减轻了管理上的负担。一个区域所包含的范围在一个域名称空间中是连续的，否则无法构成一个区域。例如图10.2中，不能创建包含和 两个子域的区域，因为这两个子域

14、位于不连续的名称空间。现在Windows 2000在网络协议方面已经开始完全转向TCPIP，所以DNS也成了Windows 2000网络环境中一个非常重要的服务。没有DNS，Active Directory将无法正常工作，也更谈不上Windows 2000的网络了。图10.2 将DNS域划分为多个区域的情况 Windows2000DNS服务新增加了动态更新和AD集成的功能，进一步提高了DNS的可用性。每个区域的数据都是保存在DNS服务器的区域文件内。当利用“DNS控制台”创建一个区域时，其区域文件就会被自动创建，默认的文件名为zonename.dns，其中在Windows 2000中存放在WI

15、NNTSystem32DNS文件夹内。例如，区域名为abc.toni时，则区域文件就是.dns。10.2 DNS服务器的分类和作用 DNS服务器是整个DNS系统的核心。DNS服务器，严格地讲应该是DNS名称服务器(DNSNameServer)，它保存着域名称空间(domainnamespace)中部分区域(zone)的数据。当一个DNS服务器中存放有域名称空间内的一个或多个区域的数据时，就将这台DNS服务器称为授权名称服务器(authoritativenameserver)。授权名称服务器负责维护和管理所辖区域中的数据，为DNS客户端提供数据查询。根据工作方式的不同，授权名称服务器可以分为：主

16、要名称服务器、辅助名称服务器、主控各称服务器和Cache-Only名称服务器4种，以下分别进行介绍。10.2.1 主要名称服务器 主要名称服务器(primary name server)是用于存放该区域中相关设置的DNS服务器。当在一台DNS服务器上建立一个区域文件时，有关该新建区域内的主机数据都直接存放到该DNS服务器中。而且，当某个区域的内的数据被修改后(例如添加了主机)，这些变更后的数据同样存放在这台DNS服务器内，即由DNS服务器完成对原有数据库的更新。主要名称服务器存放的是区域文件的正本数据。在一个DNS系统中，可能存在多个主要名称服务器。这样，可以提供容错能力，当一台主要名称服务器发生故障时，由另一台主要名称服务器提供服务。另外，多个主要名称服务器可以分担查询的任务，减轻了只有一个主要名称服务器时的负担。10.2.2 辅助名称服务器 辅助名称服务器(secondarynameserver)是用于从其他的服务器(即可以足主要名称服务器，也可以是辅助名称服务器)中复制数据，并进行保存的服务器。辅助名称服务器中的数据不是直接输入的，而是从其他的服务器中复制过来的，只是份副本。所以