电大形考任务配置DNS服务.docx

1、电大形考任务配置DNS服务实训目的：理解DNS服务的工作原理，掌握配置DNS服务器和DNS客户机的方法与步骤。实训环境：3台服务器、若干台客户机。实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。你的公司希望为内部员工提供完全限定域名的解析服务，从而使员工可以利用完全限定域名访问公司网络中的计算机资源。为此，请你完成以下工作：安装三台DNS服务器：DNS服务器1、DNS服务器2和DNS服务器3。在DNS服务器1上针对公司的域名创建一个主要区域（假设公司的域名为：）。公司有三个部门：销售部（域名为：）、培训部（域名为：）和技术支持部（域名为：），现在需要在主要区域中为这三个部门分别建立

2、子域。每个部门有10台计算机，它们的主机名为：server1server10；它们的IP地址分别为：（销售部）、（培训部）、（技术支持部）。现在需要在每个子域中分别为它们创建A记录并且启用动态更新。为了容错，在DNS服务器2上创建辅助区域。在DNS服务器1和DNS服务器2上创建无条件转发器，令DNS服务器3承担无条件转发器的角色。一、安装DNS服务器在一台Windows Server 2008 R2计算机上安装DNS服务之前，应该保证该计算机具有静态的IP参数，也就是说，它的IP地址、子网掩码和默认网关等信息都是手工输入的，而不要向DHCP服务器获取。这是因为从DHCP服务器租到的IP地址可能

3、会发生变化，这会给DNS客户机的设置带来困难。另外，还需要为DNS服务器自身设置一个完全限定域名。管理员通过添加“DNS服务器”角色的方式在一台Windows Server 2008 R2计算机上安装DNS服务，其安装步骤如下：以管理员身份登录，打开服务器管理器。单击【添加角色】按钮。在“选择服务器角色”窗口中，选中“DNS服务器”复选框，然后单击【下一步】按钮，如图1所示。图1 选择角色图2 DNS管理控制台在“DNS服务器”窗口中单击【下一步】按钮。在“确认安装选择”窗口中单击【安装】按钮。安装完毕后，可以单击【开始】【管理工具】【DNS】，打开DNS管理控制台来管理DNS服务器，如图2所

4、示。二、以Windows 7计算机为例，安装DNS客户机以管理员的身份登录这台计算机。在桌面上右击“网络”图标，然后单击【属性】，打开“网络和共享中心”。在如图3所示窗口中，单击【更改适配器设置】。在如图4所示窗口中，右击“本地连接”，然后单击“属性”。图3 更改适配器设置图4 本地连接在“本地连接属性”窗口中，选中“Internet协议版本4（TCP/IPv4）”，然后单击【属性】按钮。图5 “本地连接”的属性图6 添加DNS服务器在如图5所示窗口的“常规”选项卡中，选中【使用下面的DNS服务器地址】，然后在【首选DNS服务器】处输入一台DNS服务器的IP地址，这表明此计算机将要向这台DNS

5、服务器发出名称解析请求。若还有其它DNS服务器可提供服务的话，则可以在【备用DNS服务器】处输入其它DNS服务器的IP地址。这样，当DNS客户机无法联系到首选DNS服务器时，就会与备用DNS服务器通信。如果希望指定两台以上的DNS服务器，则可单击图5中的【高级】按钮，然后通过图6中“DNS”选项卡下的【添加】按钮来输入更多DNS服务器的IP地址。DNS客户机会按照顺序依次与这些DNS服务器通信，直至收到服务器响应为止。三、创建主要区域单击【开始】【管理工具】【DNS】，然后单击这台DNS服务器，接着右击【正向查找区域】，从快捷菜单中选择【新建区域】，如图7所示。图7 新建区域出现“欢迎使用新建

6、区域向导”画面时，单击【下一步】按钮。在图8窗口中，选中“主要区域”单选框，然后单击【下一步】按钮。此时，资源记录会被存储在区域文件中。但是，如果该DNS服务器同时还是域控制器的话，则系统默认会选择图8中最下方的【在Active Directory中存储区域】。此时，资源记录会被存储在活动目录数据库中。也就是说，它是一个Active Directory集成区域。管理员还可以进一步选择如何将其复制到其它也承担DNS服务器角色的域控制器上。图8选择区域类型图9 输入区域名称在图9所示窗口中，输入区域名称（如：），然后单击【下一步】按钮。在图10窗口中保留默认的区域文件名，单击【下一步】按钮。如果希

7、望使用一个已有的区域文件，则可先将该区域文件复制到“c:windowssystem32dns”文件夹中（假设Windows Server 2008 R2操作系统被安装在“c:windows”文件夹中），然后再选中【使用此现存文件】，并输入文件名。在图11窗口中直接单击【下一步】按钮。在后续章节中会介绍动态更新。在“正在完成新建区域向导”窗口中，单击【完成】按钮。图10 创建区域文件图11 设置动态更新在图12窗口中即可看到刚刚创建的区域。图12 新创建的主要区域四、创建资源记录1、创建主机记录（A记录）“主机记录”是指计算机的完全限定域名及其IP地址映射记录，又称为“A记录”（IPv4）或“A

8、AAA记录”（IPv6）。当DNS客户机向DNS服务器请求这个完全限定域名的IP地址时，DNS服务器就可以利用这条主机记录找到对应的IP地址，并且把这个IP地址提供给DNS客户机。下面，以刚刚创建的域为例，介绍如何在主要区域中创建一条主机记录，具体的操作步骤为：在如图12所示的窗口中的【正向查找区域】内，右击域，并选中【新建主机（A或AAAA记录）】。在如图13所示的窗口中的【名称】内输入计算机的主机名“client1”，这意味着该计算机的完全限定域名为“；在【IP地址】内输入计算机的IP地址“。然后，单击【添加主机】按钮。重复以上步骤，可以创建多个主机记录。在图14窗口中，能够看到创建的所有

9、主机记录。图12 新建主机记录图13创建区域文件图14 查看主机记录接下来，我们可以在DNS客户机上使用Ping命令进行测试。如图15所示，DNS客户机能够通过DNS服务器得知目标计算机的IP地址是。图15 使用Ping命令进行名称解析测试2、创建别名记录（CNAME记录通常，一台计算机会同时承担多种角色，例如：既是DNS服务器又是Web服务器。在这种情况下，可能希望用户使用一个名称（如：）访问其DNS服务器角色而使用另一个名称（如：）访问其Web服务器角色。在这种情况下，可以通过创建别名记录（又称为“CNAME”记录）来达到目的。假设在DNS服务器上已经创建了的主机记录，那么可以为该主机记录

10、创建一个别名记录，具体操作步骤为：1 在如图16所示的窗口中的【正向查找区域】内，右击域，并选中【新建别名（CNAME）】。图16 新建别名记录2 在如图17所示窗口中的【别名】中输入一个别名，例如：www。然后，通过单击【浏览】，找到与之对应的主机记录。最后，单击【确定】按钮。我们可以在DNS管理控制台中看到所创建的这条别名记录，如图18所示。以后，无论使用还是，都能够在DNS服务器处解析到相同的IP地址。17设置别名图18 查看别名记录3、创建邮件交换器记录（MX记录）当用户发送电子邮件时，该邮件首先被送至自己的邮件交换器（即：SMTP邮件服务器），然后再由此邮件交换器将邮件发送到目的地的

11、邮件交换器。但是，用户的邮件交换器如何得知目的地的邮件交换器的IP地址呢答案是：向DNS服务器查询邮件交换器记录并由此得知邮件交换器的IP地址等信息。以图19为例，查询邮件交换器记录的过程如下：用户1使用向用户2的发送一份电子邮件。该邮件首先被送到负责域的邮件交换器，然后该邮件交换器以DNS客户机的身份向自己指向的DNS服务器查询负责域的邮件交换器的IP地址。如果在该DNS服务器的数据库中存储着负责域的邮件交换器的MX记录和A记录，那么DNS服务器将通过MX记录寻找哪一台计算机承担着邮件交换器角色以及该计算机的完全限定域名是什么，然后再通过A记录找到这个完全限定域名所对应的IP地址。这样，DN

12、S服务器就能够找到承担邮件交换器角色的计算机IP地址了，然后再把该邮件交换器的IP地址信息发送给负责域的邮件交换器。负责域的邮件交换器把邮件发送给负责域的邮件交换器。图19 查询邮件交换器记录下面介绍如何在DNS服务器上创建MX记录。假设负责域的邮件交换器的完全限定域名为，其IP地址为。首先，需要在DNS服务器上创建这条A记录，以便通过这个完全限定域名找到其IP地址。然后，需要在DNS服务器上创建MX记录，以表明这个完全限定域名对应的计算机承担着邮件交换器角色。创建MX记录的步骤为：1 在如图20所示的窗口中的【正向查找区域】内，右击域，并选中【新建邮件交换器（MX）】。2 在如图21所示窗口

13、中的【主机或子域】处保留空白，这意味着该邮件交换器负责的域名与该域同名（即：）；如果在此处输入training，则表示该邮件交换器负责的域名为：。然后，单击【浏览】，找到与之对应的主机记录。最后，单击【确定】按钮。图20 新建邮件交换器记录图21 查看别名记录3 在图22中，能够看到刚刚创建的MX记录。图22 查看MX记录五、创建和委派子域1创建子域为了管理域中的子域，管理员可以直接在区域内创建子域，然后把相关的资源记录存放到此子域内。由此可见，这些子域及其资源记录仍然存储在管理域的DNS服务器内。图23 创建子域图24 在子域中创建资源记录下面举例说明如何在域内创建一个子域sales。如图2

14、3所示，右击正向查找区域新建域在【请输入新的DNS域名】中输入子域名称“sales”单击【确定】按钮。然后，可以继续在sales子域中创建A记录、CNAME记录和MX记录等，如图24所示。在图中，由于主机名www创建在sales子域中而sales子域又创建在域中，因此其完全限定域名为。当然，也可以在sales子域中继续创建子域。2委派子域为了管理域中的子域，管理员除了可以直接在区域内创建子域外，还可以把子域委派给其它DNS服务器来管理，也就是说，此子域内的资源记录存储在被委派的DNS服务器内。这样，可以有效提高DNS区域的管理效率。如图25所示，假设DNS服务器1（FQDN：）所管理的区域为，

15、而且此区域内包含了多个子域（如：、等）。出于提高管理效率和减少所占磁盘空间等方面的原因，DNS服务器1的管理员希望把该主要区域内的子域委派给DNS服务器2（FQDN：），然后由DNS服务器2的管理员在DNS服务器2上针对该子域创建主要区域并对其进行管理。图25委派子域实例当子域委派完成后，如果DNS客户机查询子域中的记录时，其步骤如下：DNS客户机向自己的DNS服务器1发出查询的IP地址请求。由于DNS服务器1已经把子域委派给了DNS服务器2，所以DNS服务器1的数据库中没有此资源记录。但是，DNS服务器1从该完全限定域名的后缀“得知这条资源记录应该在子域中，而该子域已经被自己委派给了DNS服

16、务器2，所以它会把该记录的查询请求转发给DNS服务器2（此查询为迭代查询）。DNS服务器2在自己的数据库中找到的IP地址，然后把该IP地址发送给DNS服务器1。4 DNS服务器1把该IP地址发送给DNS客户机。这样，DNS客户机就利用这种委派关系间接地从DNS服务器2处解析到了目标计算机的IP地址。下面以图25为例来委派子域，具体步骤如下：2 在DNS服务器1上创建主要区域。3 在如图26所示窗口中的【正向查找区域】内，右击域，并选中【新建委派】。图26 新建委派图27 输入委派的域名4 在“欢迎使用新建委派向导”窗口中，单击【下一步】按钮。5 在如图27所示窗口中的【委派的域】中输入“hr”

17、，然后单击【下一步】按钮。这表明要把中的子域hr委派给其它DNS服务器。6 在如图28所示窗口中，单击【添加】，然后在“新建名称服务器记录”窗口的【服务器完全限定的域名（FQDN）】中输入DNS服务器2的名称：，在【IP地址】处输入器IP地址：。这表明把子域委派给了DNS服务器2。然后，单击【下一步】按钮。图28 新建名称服务器记录图29 查看被委派的子域7 在“正在完成新建委派向导”窗口中，单击【完成】按钮。8 在如图29所示窗口中，能够看到被委派的子域，其中只有一条类型为“名称服务器（NS）”的资源记录。该记录表明管理子域的DNS服务器是。当DNS服务器1收到查询内的记录的请求时，它会向D

18、NS服务器查询。9 在DNS服务器1上委派子域后，DNS服务器2的管理员需要在自己的计算机上创建名为“的主要区域，接着可以在这个区域中继续建立资源记录。显然，所有资源记录中的完全限定域名的后缀均为。六、创建辅助区域辅助区域用来存储一个区域（主要区域或辅助区域）的副本记录，这些记录只能通过区域传送的方式从其主DNS服务器那里复制过来，因而是只读的、不能修改。下面以图8-37所示实例来介绍如何创建辅助区域。我们将在DNS服务器2上创建一个辅助区域，该区域是从DNS服务器1那里通过区域传送而复制过来的。请先在DNS服务器1的域中为DNS服务器2创建一条A记录（FQDN：；IP地址：），以便于DNS服

19、务器1能够找到DNS服务器2。然后，安装DNS服务器2，将其FQDN设置为：，IP地址设置为：。图30 辅助区域实例创建辅助区域的操作步骤为：2 在DNS服务器1上创建主要区域。设置该区域允许被复制到其它DNS服务器上。为此，在DNS服务器1上右击区域，然后选择【属性】【区域传送】，在如图31所示的对话框中选择【到所有服务器】，或者选择【只允许到下列服务器】并输入DNS服务器2的IP地址。在DNS服务器2的DNS控制台上，右击【正向查找区域】选中【新建区域】。3 在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。4 如图32所示，在“区域类型”窗口中选中【辅助区域】，然后单击【下一步】按钮

20、。图31设置“允许区域复制”图32新建辅助区域5 如图33所示，在【区域名称】中输入，然后单击【下一步】按钮。图33 输入辅助区域名称图34 输入主DNS服务器的IP地址在图34所示窗口中的【IP地址】处，输入DNS服务器1的IP地址：。这表示要从DNS服务器1处复制区域，然后单击【下一步】按钮。在“正在完成新建区域向导”窗口中，单击【完成】。创建完毕后，可以在DNS控制台上看到该辅助区域，如图35所示。从中能够看到与主要区域相同的资源记录。图35 查看辅助区域七、动态更新设置1DNS服务器的动态更新设置为了启用DNS服务的动态更新功能，首先需要在DNS服务器上进行动态更新的设置。由于动态更新

21、的对象是资源记录而资源记录存储在DNS区域中，所以管理员在DNS服务器上必须对特定的DNS区域启用动态更新功能。例如：如果需要对域启用动态更新功能，那么应该在DNS管理控制台上右击域属性在【动态更新】中选中“非安全”，如图36所示。图36 在DNS服务器上设置动态更新2DNS客户机的动态更新设置在DNS服务器上启用动态更新后，还需要在DNS客户机上进行动态更新设置。一旦在DNS客户机上启用了动态更新，那么它会在以下几种情况下向自己的DNS服务器发出动态更新请求： DNS客户机的IP地址更改、添加或删除。 DHCP客户机更新租约，例如：重新启动或运行ipconfig /renew命令。 在DHC

22、P客户机上运行ipconfig /registerdns命令。 域成员服务器升级为域控制器（更新与域控制器有关的资源记录）。以Windows7客户机为例，设置动态更新的步骤为：在桌面上右击“网络”图标，单击【属性】单击【更改适配器设置】，右击“本地连接”单击【属性】单击【Internet协议版本4（TCP/IPv4）】单击【属性】单击【高级】在如图37所示窗口中，选中【DNS】选项卡。图37 在DNS客户机上设置动态更新默认时，【在DNS中注册此连接的地址】选项被选中。这意味着，DNS客户机已经启用了动态更新功能，它会将其完全限定域名与IP地址注册到DNS服务器内。其中，DNS客户机的完全限定

23、域名的设置步骤为：在桌面上右击“计算机”，单击【属性】单击【更改设置】在“系统属性”窗口中单击【更改】，在如图38所示窗口中的【计算机名】处设置该计算机的主机名（例如，该计算机的主机名为“client1”），然后单击【其他】按钮，接着在【此计算机的主DNS后缀】处输入该计算机的主DNS后缀（例如，该计算机的主DNS后缀为“”）。设置完毕后，该计算机的完全限定域名由“计算机名”与“主DNS后缀”两部分组成。例如，图中计算机的完全限定域名为“。图38 在DNS客户机上更改主DNS后缀在图38中如果选中【在域成员身份变化时，更改主DNS后缀】，则表示若这台计算机加入活动目录域中，系统会自动用活动目录

24、域的名称代替该计算机原有的主DNS后缀。例如，若图中的计算机加入到名为“”的活动目录域，那么该计算机的完全限定域名就变为了“。在设置完动态更新后，我们可以在该DNS客户机所指向的DNS服务器上看到该客户机所注册的A记录，如图39所示。如果该DNS客户机的IP地址发生了变动，那么在该窗口中能够看到它的A记录也会随之更新。图39 在DNS服务器上查看DNS客户机的动态更新记录八、根提示在Internet上，所有维护根域“.”的DNS服务器被称作“根DNS服务器”。通常，在每一台DNS服务器上都有一个“根提示”，用于存放这些根DNS服务器的完全限定域名及其IP地址信息。管理员可以在DNS控制台上右击

25、该DNS服务器的名称单击【属性】单击“根提示”选项卡，在如图40所示窗口中查看和修改根提示信息。图40 查看根提示信息那么，根提示有什么用呢我们知道，所有的完全限定域名都在根域中，所以根域中的所有主机记录理应存储在这个区域中。但是，这是不现实的。因此，Internet上维护根域的根DNS服务器会把根域中的某些子域委派给其它DNS服务器，例如：如图41所示，维护根域的DNS服务器1会把子域“com”委派给DNS服务器2；接着，DNS服务器2会再把自己的子域（如：）委派给DNS服务器3；然后，DNS服务器3会再把自己的子域（例如：）委派给DNS服务器4，以此类推。在Internet上，DNS服务器

26、之间就是通过这种有层次的委派关系建立起联系的。图41 Internet上的区域委派关系在这种情况下，当一台DNS客户机向自己的DNS服务器发出完全限定域名的解析请求（例如：查询“）时，如果这台DNS服务器在自己的数据库中找不到对应的主机记录，那么它可以把这个解析请求发送给Internet上的根DNS服务器（即：图中的DNS服务器1）。作为应答，根DNS服务器会把管理“com”域的DNS服务器（即：图中的DNS服务器2）的IP地址交给这台DNS服务器，让它向DNS服务器2进行查询。接着，这台DNS服务器会把这个解析请求发送给DNS服务器2。作为应答，DNS服务器2会把管理“”域的DNS服务器（即

27、：图中的DNS服务器3）的IP地址交给这台DNS服务器，让它向DNS服务器3进行查询。然后，这台DNS服务器继续把这个解析请求发送给DNS服务器3。作为应答，DNS服务器3会把管理“域的DNS服务器（即：图中的DNS服务器4）的IP地址交给这台DNS服务器，让它向DNS服务器4进行查询。最后，这台DNS服务器会把解析请求发送给DNS服务器4，从那里解析到了“所对应的IP地址，并且把这个IP地址作为应答交给提出请求的DNS客户机。从中可以看出，只要这台DNS服务器能够把解析请求发送给Internet上的根DNS服务器，便可以通过层层查询找到最终答案。这就是在DNS服务器上设置根提示的原因。在这种

28、情况下，当这台DNS服务器自己无法解析完全限定域名时，会根据【根提示】中的信息把这个解析请求发送给Internet上的根DNS服务器，然后通过层层查询，最终找到正确答案。九、转发器如前所述，当DNS服务器收到DNS客户机的解析请求后，如果自己无法解析，那么会根据根提示信息把这个请求发送给Internet上的根DNS服务器。不过从安全角度考虑，可能在公司的防火墙处设置仅允许一台DNS服务器与根DNS服务器通讯，而公司网络中的其它DNS服务器都必须通过这台DNS服务器向Internet查询所需要的信息。为此，可以将这台DNS服务器设置为其它DNS服务器的“转发器”。这样，当一台DNS服务器收到DN

29、S客户机的查询请求时，如果自己无法解析，则会将该请求以递归查询的方式转发给承担转发器角色的另一台DNS服务器，然后再将转发器查询到的IP地址信息发送给提出请求的DNS客户机。若要在一台DNS服务器上指定转发器，则在该DNS服务器的DNS管理控制台上右击该服务器的名称单击【属性】单击“转发器”选项卡，如图42所示。然后，单击【编辑】按钮，输入承担转发器角色的另一台DNS服务器的IP地址（如：）。这表明，如果本DNS服务器无法解析DNS客户机的查询请求，那么会把此请求转发给IP地址为：的另一台DNS服务器，由它代为查询。如果同时选中【如果没有转发器可用，请使用根提示】，则表示该DNS服务器会优先使

30、用转发器，若不成功，再使用根提示。有时，为了安全考虑，不希望让DNS服务器直接到Internet上查询，那么可以取消选择此项。图42设置转发器以上介绍的转发器又被称为“无条件转发器”，因为只要DNS服务器无法解析DNS客户机的查询请求，它会不加区分地把所有这些无法解析的请求一并送给同一台转发器。在Windows Server 2008 R2的DNS服务器上，还支持“条件转发器”。它可以根据域名后缀有选择性地把属于不同域的完全限定域名送至不同的转发器，如图43所示。当DNS客户机A希望查询时，DNS服务器会把该请求发送给转发器1（IP地址：）；当DNS客户机B希望查询时，DNS服务器会把该请求发送给转发器2（IP地址：）。图43 条件转发设置条件转发的步骤为：在DNS管理控制台上右击“条件转发器”，选择【新建条件转发器】，如图44所示；然后，在【DNS域】处输入待转发的域名（如：），在【主服务器的IP地址】处输入管理此域的DNS服务器（即：转发器1）的IP地址：，如图45所示；最后，单击【确定】按钮。依次类推，还可以添加域，等等。设置完毕后，能够在DNS的管理控制台中看到这些条件转发器，如图46所示。图44 新建条件转发器图45 设置条件转发器图46 查看条件转发器至此；DNS服务器配置完成