DNS服務(wù)器全攻略之一規(guī)劃和部署.docx

DNS服務(wù)器全攻略之一 ：規(guī)劃和部署 TCP/IP協(xié)議通信是基于IP地址的，但是，誰(shuí)會(huì)記住那一串單調(diào)的數(shù)字呢？因此，大家基本上都是通過(guò)訪問(wèn)計(jì)算機(jī)名字，然后通過(guò)某種機(jī)制將計(jì)算機(jī)名字解析為IP地址來(lái)實(shí)現(xiàn)。而DNS就是一種標(biāo)準(zhǔn)的名字解析機(jī)制，在Windows 2000及以后的Windows系統(tǒng)中，DNS名字解析是首選的名字解析方式。 DNS域名是以層次樹(shù)狀結(jié)構(gòu)進(jìn)行管理的，又稱(chēng)為DNS命名空間。DNS命名空間具有一個(gè)唯一的根域，并且每一個(gè)根域可以具有多個(gè)子域，而每一個(gè)子域又可以擁有多個(gè)子域。例如，Internet命名空間具有多個(gè)頂級(jí)域名（top-level domain names，簡(jiǎn)稱(chēng)TLD），例如ORG、COM。而ORG頂級(jí)域名可以具有多個(gè)子域，如winsvr、isacn等等，而winsvr子域又可以具有多個(gè)子域，例如tech、info等等，而tech又可以擁有多個(gè)子域。對(duì)于某一個(gè)組織而言，可以創(chuàng)建自己私有的DNS命名空間，不過(guò)對(duì)于Internet而言，這些私有的DNS命名空間是不可見(jiàn)的。 DNS命名空間中的每一個(gè)節(jié)點(diǎn)都可以通過(guò)完全限定域名（FQDN）來(lái)識(shí)別。FQDN是一種清楚的描述此節(jié)點(diǎn)和DNS命名空間中根域的關(guān)系的DNS名字。例如WinSVR.ORG的Web服務(wù)器為 ，它是通過(guò)使用英文句點(diǎn)“.”連接主機(jī)名www和域名后綴組成，其中英文句點(diǎn)“.”是用于連接FQDN中每一節(jié)的標(biāo)準(zhǔn)連接符，而winsvr代表組織名稱(chēng)，org代表頂級(jí)域。公司或組織名稱(chēng)可以具有多節(jié)，例如域名可以為，但是完全限定域名總長(zhǎng)度不能超過(guò)255字節(jié)。 Internet命名空間 Internet命名空間的頂級(jí)域由ICANN管理，除了為每個(gè)國(guó)家和部分地區(qū)保留的頂級(jí)域（例如中國(guó)是CN）外，ICANN還創(chuàng)建了以下頂級(jí)域（截止到2005年11月）： .aero .biz .com .coop .edu .gov .info .int .jobs .mil .museum .name .net .org .pro .travel 更詳細(xì)的信息請(qǐng)參見(jiàn)ICANN:Registry Listing /registries/listing.html. 和Internet命名空間相對(duì)應(yīng)，根據(jù)你的需要，你可以創(chuàng)建自己的私有根域和相應(yīng)的子域，它和Internet命名空間獨(dú)立，并且對(duì)于Internet而言不可見(jiàn)。例如，常見(jiàn)的私有域名如mycompany.local等等。DNS組件 完整的DNS系統(tǒng)由DNS服務(wù)器、區(qū)域、解析器（DNS客戶(hù)端）和資源記錄組成，并且你需要正確的進(jìn)行配置。DNS協(xié)議采用UDP/TCP 53端口進(jìn)行通訊：DNS服務(wù)器偵聽(tīng)UDP/TCP 53端口，DNS客戶(hù)端通過(guò)向服務(wù)器的這兩個(gè)端口發(fā)起連接進(jìn)行DNS協(xié)議通訊。其中UDP 53端口主要用于答復(fù)DNS客戶(hù)端的解析請(qǐng)求，而TCP 53端口用于區(qū)域復(fù)制。 DNS服務(wù)器 運(yùn)行DNS服務(wù)器軟件的計(jì)算機(jī)。常見(jiàn)的DNS服務(wù)器軟件有Windows的DNS服務(wù)器和Unix下的BIND。一個(gè)DNS服務(wù)器包含了部分DNS命名空間的數(shù)據(jù)信息，當(dāng)DNS客戶(hù)發(fā)起解析請(qǐng)求時(shí)，DNS服務(wù)器答復(fù)客戶(hù)的請(qǐng)求，或者提供另外一個(gè)可以幫助客戶(hù)進(jìn)行請(qǐng)求解析的服務(wù)器地址，或者回復(fù)客戶(hù)無(wú)對(duì)應(yīng)記錄。 當(dāng)DNS服務(wù)器管理某個(gè)區(qū)域時(shí)，它是此區(qū)域的權(quán)威DNS服務(wù)器，而無(wú)論它是主要區(qū)域還是輔助區(qū)域。DNS服務(wù)器可以是一級(jí)或者多級(jí)DNS命名空間的權(quán)威DNS服務(wù)器，例如，Internet根域的DNS服務(wù)器只是對(duì)于頂級(jí)域名例如“.org”具有權(quán)威，而頂級(jí)域名.org的權(quán)威DNS服務(wù)器只是對(duì)于二級(jí)域名具有權(quán)威，而對(duì)于三級(jí)域名，則只有域的DNS服務(wù)器才具有權(quán)威。 DNS區(qū)域 DNS區(qū)域是DNS服務(wù)器具有權(quán)威的連續(xù)的命名空間，一個(gè)DNS服務(wù)器可以對(duì)一個(gè)或多個(gè)區(qū)域具有權(quán)威，而一個(gè)區(qū)域可以包含一個(gè)或多個(gè)連續(xù)的域。例如，一個(gè)DNS服務(wù)器可以對(duì)區(qū)域和具有權(quán)威，而每個(gè)區(qū)域下又可以包含多個(gè)域。不過(guò)，你可以通過(guò)區(qū)域委派來(lái)將連續(xù)的域例如、存放在不同的區(qū)域中。 區(qū)域文件包含了DNS服務(wù)器具有權(quán)威的區(qū)域的所有資源記錄。通常情況下，區(qū)域數(shù)據(jù)存在在文本文件中，但是運(yùn)行在Windows 2000或者Windows Server 2003域控制器上的DNS服務(wù)器，可以把區(qū)域信息存放在活動(dòng)目錄中。 DNS解析器（DNS客戶(hù)端） DNS解析器是使用客戶(hù)端計(jì)算機(jī)用于通過(guò)DNS協(xié)議查詢(xún)DNS服務(wù)器的一個(gè)服務(wù)。在Windows 2000及其后的系統(tǒng)中，DNS解析器是通過(guò)DNS客戶(hù)端這個(gè)服務(wù)來(lái)實(shí)現(xiàn)，除此之外，DNS客戶(hù)端服務(wù)還可以對(duì)DNS解析結(jié)果進(jìn)行緩存。你必須在客戶(hù)端計(jì)算機(jī)的TCP/IP屬性中配置使用DNS服務(wù)器，此時(shí)客戶(hù)端計(jì)算機(jī)的DNS解析器才會(huì)將DNS解析請(qǐng)求發(fā)送到相應(yīng)的DNS服務(wù)器。 資源記錄 資源記錄是用于答復(fù)DNS客戶(hù)端請(qǐng)求的DNS數(shù)據(jù)庫(kù)記錄，每一個(gè)DNS服務(wù)器包含了它所管理的DNS命名空間的所有資源記錄。資源記錄包含和特定主機(jī)有關(guān)的信息，如IP地址、提供服務(wù)的類(lèi)型等等。常見(jiàn)的資源記錄類(lèi)型有：資源記錄類(lèi)型說(shuō)明解釋起始授權(quán)結(jié)構(gòu)（SOA）起始授權(quán)機(jī)構(gòu)此記錄指定區(qū)域的起點(diǎn)。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務(wù)器如何更新區(qū)域數(shù)據(jù)文件的設(shè)置等。主機(jī)（A）地址主機(jī)（A）記錄是名稱(chēng)解析的重要記錄，它用于將特定的主機(jī)名映射到對(duì)應(yīng)主機(jī)的IP地址 上。你可以在DNS服務(wù)器中手動(dòng)創(chuàng)建或通過(guò)DNS客戶(hù)端動(dòng)態(tài)更新來(lái)創(chuàng)建。別名（CNAME）標(biāo)準(zhǔn)名稱(chēng)此記錄用于將某個(gè)別名指向到某個(gè)主機(jī)（A）記錄上，從而無(wú)需為某個(gè)需要新名字解析的主機(jī)額外創(chuàng)建A記錄。郵件交換器（MX）郵件交換器此記錄列出了負(fù)責(zé)接收發(fā)到域中的電子郵件的主機(jī) ，通常用于郵件的收發(fā)。名稱(chēng)服務(wù)器（NS）名稱(chēng)服務(wù)器此記錄指定負(fù)責(zé)此DNS區(qū)域的權(quán)威名稱(chēng)服務(wù)器。理解DNS服務(wù)器的工作方式 當(dāng)DNS客戶(hù)端需要為某個(gè)應(yīng)用程序查詢(xún)名字時(shí)，它將聯(lián)系自己的DNS服務(wù)器來(lái)解析此名字。DNS客戶(hù)發(fā)送的解析請(qǐng)求包含以下三種信息： 需要查詢(xún)的域名。如果原應(yīng)用程序提交的不是一個(gè)完整的FQDN，則DNS客戶(hù)端加上域名后綴以構(gòu)成一個(gè)完整的FQDN； 指定的查詢(xún)類(lèi)型。指定查詢(xún)的資源記錄的類(lèi)型，如A記錄或者M(jìn)X記錄等等； 指定的DNS域名類(lèi)型。對(duì)于DNS客戶(hù)端服務(wù)，這個(gè)類(lèi)型總是指定為 Internet IN類(lèi)別。 DNS客戶(hù)端完整的DNS解析過(guò)程如下： 1、檢查自己的本地DNS名字緩存 當(dāng)DNS客戶(hù)端需要解析某個(gè)FQDN時(shí)，先檢查自己的本地DNS名字緩存。本地的DNS名字緩存由兩部分構(gòu)成： Hosts文件中的主機(jī)名到IP地址映射定義； 前一次DNS查詢(xún)得到的結(jié)果，并且此結(jié)果還處于有效期； 如果DNS客戶(hù)端從本地緩存中獲得相應(yīng)結(jié)果，則DNS解析完成。 2、聯(lián)系自己的DNS服務(wù)器 如果DNS客戶(hù)端沒(méi)有在自己的本地緩存中找到對(duì)應(yīng)的記錄，則聯(lián)系自己的DNS服務(wù)器，你必須預(yù)先配置DNS客戶(hù)端所使用的DNS服務(wù)器。 當(dāng)DNS服務(wù)器接收到DNS客戶(hù)端的解析請(qǐng)求后，它先檢查自己是否能夠權(quán)威的答復(fù)此解析請(qǐng)求，即它是否管理此請(qǐng)求記錄所對(duì)應(yīng)的DNS區(qū)域；如果DNS服務(wù)器管理對(duì)應(yīng)的DNS區(qū)域，則DNS服務(wù)器對(duì)此DNS區(qū)域具有權(quán)威。此時(shí)，如果本地區(qū)域中的相應(yīng)資源記錄匹配客戶(hù)的解析請(qǐng)求，則DNS服務(wù)器權(quán)威的使用此資源記錄答復(fù)客戶(hù)的解析請(qǐng)求（權(quán)威答復(fù)）；如果沒(méi)有相應(yīng)的資源記錄，則DNS服務(wù)器權(quán)威的答復(fù)客戶(hù)無(wú)對(duì)應(yīng)的資源記錄（否定答復(fù)）。 如果沒(méi)有區(qū)域匹配DNS客戶(hù)端發(fā)起的解析請(qǐng)求，則DNS服務(wù)器檢查自己的本地緩存。如果具有對(duì)應(yīng)的匹配結(jié)果，無(wú)論是正向答復(fù)還是否定答復(fù)，DNS服務(wù)器非權(quán)威的答復(fù)客戶(hù)的解析請(qǐng)求。此時(shí)，DNS解析完成。 如果DNS服務(wù)器在自己的本地緩存中還是沒(méi)有找到匹配的結(jié)果，此時(shí)，根據(jù)配置的不同，DNS服務(wù)器執(zhí)行請(qǐng)求查詢(xún)的方式也不同： 默認(rèn)情況下，DNS服務(wù)器使用遞歸方式來(lái)解析名字。遞歸方式的含義就是DNS服務(wù)器作為DNS客戶(hù)端向其他DNS服務(wù)器查詢(xún)此解析請(qǐng)求，直到獲得解析結(jié)果，在此過(guò)程中，原DNS客戶(hù)端則等待DNS服務(wù)器的回復(fù)。 如果你禁止DNS服務(wù)器使用遞歸方式，則DNS服務(wù)器工作在迭代方式，即向原DNS客戶(hù)端返回一個(gè)參考答復(fù)，其中包含有利于客戶(hù)端解析請(qǐng)求的信息（例如根提示信息等），而不再進(jìn)行其他操作；原DNS客戶(hù)端根據(jù)DNS服務(wù)器返回的參考信息再?zèng)Q定處理方式。但是在實(shí)際網(wǎng)絡(luò)環(huán)境中，禁用DNS服務(wù)器的遞歸查詢(xún)往往會(huì)讓DNS服務(wù)器對(duì)無(wú)法進(jìn)行本地解析的客戶(hù)端請(qǐng)求返回一個(gè)服務(wù)器失敗的參考答復(fù)，此時(shí)，客戶(hù)端則會(huì)認(rèn)為解析失敗。 遞歸方式和迭代方式的不同之處就是當(dāng)DNS服務(wù)器沒(méi)有在本地完成客戶(hù)端的請(qǐng)求解析時(shí)，由誰(shuí)扮演DNS客戶(hù)端的角色向其他DNS服務(wù)器發(fā)起解析請(qǐng)求。通常情況下應(yīng)使用遞歸方式，這樣有利于網(wǎng)絡(luò)管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS服務(wù)器的性能，不過(guò)在通常的情況下，這點(diǎn)性能的消耗無(wú)關(guān)緊要。 根提示信息是Internet命名空間中的根DNS服務(wù)器的IP地址。為了正常的執(zhí)行遞歸解析，DNS服務(wù)器必須知道從哪兒開(kāi)始搜索DNS域名，而根提示信息則用于實(shí)現(xiàn)這一需求。全世界范圍內(nèi)的根DNS服務(wù)器總共有13個(gè)，它們的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服務(wù)器啟動(dòng)時(shí)從cache.dns文件中讀取。一般情況下，不需要對(duì)此文件進(jìn)行修改；如果你的DNS服務(wù)器是在內(nèi)部網(wǎng)絡(luò)中部署并且不需要使用Internet的根DNS服務(wù)器，則可以根據(jù)需要進(jìn)行修改，將其指向到某個(gè)內(nèi)部根域DNS服務(wù)器。 例如，當(dāng)某個(gè)DNS客戶(hù)端請(qǐng)求解析域名并且DNS服務(wù)器工作在遞歸模式下時(shí)，完整的解析過(guò)程如下： DNS客戶(hù)端檢查自己的本地名字緩存，沒(méi)有找到對(duì)應(yīng)的記錄； DNS客戶(hù)端聯(lián)系自己的DNS服務(wù)器NameServer1，查詢(xún)域名 ； NameServer1檢查自己的權(quán)威區(qū)域和本地緩存，沒(méi)有找到對(duì)應(yīng)值。于是，聯(lián)系根提示中的某個(gè)根域服務(wù)器，查詢(xún)域名； 根域服務(wù)器也不知道的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1 .org頂級(jí)域的權(quán)威DNS服務(wù)器； NameServer1聯(lián)系.org頂級(jí)域的權(quán)威DNS服務(wù)器，查詢(xún)域名； .org頂級(jí)域服務(wù)器也不知道的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1 W域的權(quán)威DNS服務(wù)器； NameServer1聯(lián)系W域的權(quán)威DNS服務(wù)器，查詢(xún)域名； W域的權(quán)威DNS服務(wù)器知道對(duì)應(yīng)值，并且返回給NameServer1； NameServer1向原DNS客戶(hù)端返回的結(jié)果，此時(shí)，解析完成。查詢(xún)響應(yīng)類(lèi)型 DNS服務(wù)器對(duì)于客戶(hù)請(qǐng)求的答復(fù)具有多種類(lèi)型，常見(jiàn)的有以下四種： 權(quán)威答復(fù)：權(quán)威答復(fù)是返回給客戶(hù)的正向答復(fù)，并且設(shè)置了DNS消息中的權(quán)威位。此答復(fù)代表從具有權(quán)威的DNS服務(wù)器處發(fā)出； 正向答復(fù)：正向答復(fù)包含了匹配客戶(hù)端解析請(qǐng)求的資源記錄； 參考答復(fù)：參考答復(fù)只在DNS服務(wù)器工作在迭代模式下使用，包含了其他有助于客戶(hù)端解析請(qǐng)求的信息。例如，當(dāng)DNS服務(wù)器不能為客戶(hù)端發(fā)起的解析請(qǐng)求找到某個(gè)匹配值時(shí)，則向DNS客戶(hù)端發(fā)送參考回復(fù)，告訴它有助于解析請(qǐng)求的信息； 否定答復(fù)：否定答復(fù)指出權(quán)威服務(wù)器在解析客戶(hù)端的請(qǐng)求時(shí)可能遇到了以下兩種情況之一： 權(quán)威DNS服務(wù)器報(bào)告客戶(hù)端查詢(xún)的名字不存在； 權(quán)威DNS服務(wù)器報(bào)告存在對(duì)應(yīng)的名字但是不存在指定類(lèi)型的資源記錄。 無(wú)論正向答復(fù)還是否定答復(fù)，DNS客戶(hù)端都將結(jié)果保存在自己的本地緩存中。 理解緩存的工作方式 DNS客戶(hù)端和DNS服務(wù)器都會(huì)緩存獲得的解析結(jié)果，這樣可以提高DNS服務(wù)性能和減少DNS相關(guān)的網(wǎng)絡(luò)流量。 DNS客戶(hù)端緩存 當(dāng)DNS客戶(hù)端服務(wù)啟動(dòng)時(shí)，會(huì)讀取Hosts文件中的所有主機(jī)名和IP地址的映射，并且保存在緩存中。Hosts存放在%systemroot%system32driversetc目錄，當(dāng)你修改Hosts文件后，DNS客戶(hù)端會(huì)立即讀取Hosts文件并且對(duì)本地緩存進(jìn)行更新。 另外，DNS客戶(hù)端會(huì)緩存過(guò)去的查詢(xún)結(jié)果，當(dāng)DNS客戶(hù)端服務(wù)停止時(shí)，將清空本地緩存。 DNS服務(wù)器緩存 DNS服務(wù)器像DNS客戶(hù)端一樣緩存名字解析結(jié)果，并且可以使用緩存中的信息來(lái)答復(fù)其他客戶(hù)端的請(qǐng)求。你可以在DNS服務(wù)器管理控制臺(tái)或者使用DNSCMD命令行工具手動(dòng)清空緩存，另外當(dāng)DNS服務(wù)器停止時(shí)，同樣會(huì)清空DNS服務(wù)器緩存。 資源記錄的生存時(shí)間（TTL）指定了資源記錄可以緩存的時(shí)間的長(zhǎng)短，而無(wú)論是DNS客戶(hù)端緩存還是DNS服務(wù)器緩存；默認(rèn)情況下，TTL是3600秒（1小時(shí)）。需要注意的是，由于緩存的作用，DNS服務(wù)器上對(duì)于資源記錄的修改可能不能立即生效。并且對(duì)于Internet域名來(lái)說(shuō)，資源記錄的修改可能會(huì)需要超過(guò)24小時(shí)的時(shí)間才能在所有DNS服務(wù)器上完成更新。 動(dòng)態(tài)更新 當(dāng)DNS客戶(hù)端計(jì)算機(jī)上產(chǎn)生某個(gè)事件觸發(fā)更新時(shí)，DNS客戶(hù)端計(jì)算機(jī)上的DHCP客戶(hù)端服務(wù)將會(huì)為本地計(jì)算機(jī)中使用的所有網(wǎng)絡(luò)連接在相應(yīng)的DNS服務(wù)器中對(duì)自己的A記錄進(jìn)行更新，從而可以確保DNS域名記錄和IP地址記錄的對(duì)應(yīng)關(guān)系。而DNS服務(wù)器需要配置為允許動(dòng)態(tài)更新，才能讓DNS客戶(hù)端計(jì)算機(jī)成功完成更新。 當(dāng)DNS客戶(hù)端計(jì)算機(jī)上產(chǎn)生以下事件時(shí)，會(huì)觸發(fā)DHCP客戶(hù)端服務(wù)的動(dòng)態(tài)更新行為： 添加、刪除或修改了本地計(jì)算機(jī)任何網(wǎng)絡(luò)連接TCP/IP屬性中的IP地址； 本地計(jì)算機(jī)的任何網(wǎng)絡(luò)連接向DHCP服務(wù)器獲取IP地址租約或者續(xù)約； DNS客戶(hù)端上運(yùn)行了Ipconfig /registerdns命令； DNS客戶(hù)端計(jì)算機(jī)啟動(dòng)； 此DNS區(qū)域中的一臺(tái)成員服務(wù)器提升為域控制器； 對(duì)于標(biāo)準(zhǔn)主要區(qū)域，你可以選擇不允許動(dòng)態(tài)更新和允許非安全和安全動(dòng)態(tài)更新。但是允許非安全和安全動(dòng)態(tài)更新具有安全隱患，因?yàn)镈NS服務(wù)器不會(huì)對(duì)進(jìn)行動(dòng)態(tài)更新的客戶(hù)端計(jì)算機(jī)進(jìn)行驗(yàn)證，所以任何客戶(hù)端計(jì)算機(jī)都可以對(duì)任何A記錄進(jìn)行動(dòng)態(tài)更新，而不管它是否是此A記錄的擁有者。通常情況下，你不應(yīng)該使用此選項(xiàng)。 對(duì)于活動(dòng)目錄集成區(qū)域，除了上述的兩個(gè)選項(xiàng)外，你還可以使用安全動(dòng)態(tài)更新。當(dāng)使用此方式時(shí)，在客戶(hù)端計(jì)算機(jī)更新自己的記錄時(shí)，DNS服務(wù)器將要求客戶(hù)端計(jì)算機(jī)進(jìn)行身份驗(yàn)證來(lái)確保只有對(duì)應(yīng)資源記錄的擁有者才能更新此記錄。 只有Windows 2000及以后版本操作系統(tǒng)的客戶(hù)端計(jì)算機(jī)才能執(zhí)行動(dòng)態(tài)更新，低版本的Windows系統(tǒng)（NT4、9x/ME）不支持動(dòng)態(tài)更新。不過(guò)，你可以通過(guò)DHCP服務(wù)器為這些低版本客戶(hù)端計(jì)算機(jī)代理進(jìn)行動(dòng)態(tài)更新。當(dāng)DHCP服務(wù)器在代理低版本客戶(hù)端計(jì)算機(jī)注冊(cè)A記錄時(shí)，會(huì)將自己設(shè)置為此A記錄的所有者。而在安全動(dòng)態(tài)更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP服務(wù)器為此低版本客戶(hù)端計(jì)算機(jī)代理注冊(cè)時(shí)會(huì)出現(xiàn)拒絕訪問(wèn)的問(wèn)題。因此，你需要將此DHCP服務(wù)器加入到DnsUpdateProxy安全組中，這樣當(dāng)DHCP服務(wù)器更新A記錄時(shí)，不會(huì)記錄下此A記錄的所有者信息，從而允許其他DHCP服務(wù)器來(lái)修改此A記錄。區(qū)域委派 一個(gè)完整的DNS區(qū)域包含以自己的DNS域名為基礎(chǔ)命名空間的所有DNS命名空間的信息，當(dāng)基于此DNS命名空間新建一個(gè)DNS區(qū)域時(shí)，新建的區(qū)域稱(chēng)為子區(qū)域。例如，完整的區(qū)域包含了以為基礎(chǔ)命名空間的所有DNS命名空間的信息，而則稱(chēng)為的一個(gè)子區(qū)域。 默認(rèn)情況下，DNS區(qū)域管理自己的子區(qū)域，并且子區(qū)域伴隨DNS區(qū)域一起進(jìn)行復(fù)制和更新。不過(guò)，你可以將子區(qū)域委派給其他DNS服務(wù)器來(lái)進(jìn)行管理，此時(shí)，被委派的服務(wù)器將承擔(dān)此DNS子區(qū)域的管理，而父DNS區(qū)域中只是具有此子區(qū)域的委派記錄。 區(qū)域委派適用于許多環(huán)境，常見(jiàn)的場(chǎng)景有： 將某個(gè)子區(qū)域委派給某個(gè)對(duì)應(yīng)部門(mén)中的DNS服務(wù)器進(jìn)行管理； DNS服務(wù)器的負(fù)載均衡，將一個(gè)大區(qū)域劃分為若干小區(qū)域，委派給不同的DNS服務(wù)器進(jìn)行管理； 將子區(qū)域委派給某個(gè)分部或遠(yuǎn)程站點(diǎn)。 你只能在主要區(qū)域中執(zhí)行區(qū)域委派。對(duì)于任何一個(gè)被委派的子區(qū)域，父DNS區(qū)域中只是具有指向子區(qū)域中權(quán)威DNS服務(wù)器的A記錄和NS(名稱(chēng)服務(wù)器)記錄，而實(shí)際的解析過(guò)程必須由委派到的子區(qū)域中的權(quán)威DNS服務(wù)器完成，即被委派到的DNS服務(wù)器上必須具有以被委派的子區(qū)域?yàn)橛蛎闹饕獏^(qū)域。 在Windows Server 2003的DNS服務(wù)器管理控制臺(tái)中，提供了向?qū)Чぞ?，可以讓你輕松的完成DNS區(qū)域委派。 DNS區(qū)域類(lèi)型 在部署一臺(tái)DNS服務(wù)器時(shí)，你必須預(yù)先考慮DNS區(qū)域類(lèi)型，從而決定DNS服務(wù)器類(lèi)型。DNS區(qū)域分為兩大類(lèi)：正向查找區(qū)域和反向查找區(qū)域，其中 正向查找區(qū)域用于FQDN到IP地址的映射，當(dāng)DNS客戶(hù)端請(qǐng)求解析某個(gè)FQDN時(shí)，DNS服務(wù)器在正向查找區(qū)域中進(jìn)行查找，并返回給DNS客戶(hù)端對(duì)應(yīng)的IP地址； 反向查找區(qū)域用于IP地址到FQDN的映射，當(dāng)DNS客戶(hù)端請(qǐng)求解析某個(gè)IP地址時(shí)，DNS服務(wù)器在反向查找區(qū)域中進(jìn)行查找，并返回給DNS客戶(hù)端對(duì)應(yīng)的FQDN。 而每一類(lèi)區(qū)域又分為三種區(qū)域類(lèi)型：主要區(qū)域、輔助區(qū)域和存根區(qū)域，其中： 主要區(qū)域（Primary）：包含相應(yīng)DNS命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS域的權(quán)威DNS服務(wù)器。可以對(duì)區(qū)域中所有資源記錄進(jìn)行讀寫(xiě)，即DNS服務(wù)器可以修改此區(qū)域中的數(shù)據(jù)，默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放。你可以將主要區(qū)域的數(shù)據(jù)存放在活動(dòng)目錄中并且隨著活動(dòng)目錄數(shù)據(jù)的復(fù)制而復(fù)制，此時(shí)，此區(qū)域稱(chēng)為活動(dòng)目錄集成主要區(qū)域，在這種情況下，每一個(gè)運(yùn)行在域控制器上的DNS服務(wù)器都可以對(duì)此主要區(qū)域進(jìn)行讀寫(xiě)，這樣避免了標(biāo)準(zhǔn)主要區(qū)域時(shí)出現(xiàn)的單點(diǎn)故障。 輔助區(qū)域（Secondary）：主要區(qū)域的備份，從主要區(qū)域直接復(fù)制而來(lái)；同樣包含相應(yīng)DNS命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS域的權(quán)威DNS服務(wù)器；和主要區(qū)域不同之處是DNS服務(wù)器不能對(duì)輔助區(qū)域進(jìn)行任何修改，即輔助區(qū)域是只讀的。輔助區(qū)域數(shù)據(jù)只能以文本文件格式存放。 存根區(qū)域（Stub）：存根區(qū)域是Windows Server 2003新增加的功能。此區(qū)域只是包含了用于分辨主要區(qū)域權(quán)威DNS服務(wù)器的記錄，有三種記錄類(lèi)型： SOA（委派區(qū)域的起始授權(quán)機(jī)構(gòu)）：此記錄用于識(shí)別該區(qū)域的主要來(lái)源DNS服務(wù)器和其他區(qū)域?qū)傩裕?NS（名稱(chēng)服務(wù)器）：此記錄包含了此區(qū)域的權(quán)威DNS服務(wù)器列表； A glue（粘附A記錄）：此記錄包含了此區(qū)域的權(quán)威DNS服務(wù)器的IP地址。 默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放，不過(guò)你可以和主要區(qū)域一樣將存根區(qū)域的數(shù)據(jù)存放在活動(dòng)目錄中并且隨著活動(dòng)目錄數(shù)據(jù)的復(fù)制而復(fù)制。 當(dāng)DNS客戶(hù)端發(fā)起解析請(qǐng)求時(shí)，對(duì)于屬于所管理的主要區(qū)域和輔助區(qū)域的解析，DNS服務(wù)器向DNS客戶(hù)端執(zhí)行權(quán)威答復(fù)。而對(duì)于所管理的存根區(qū)域的解析，如果客戶(hù)端發(fā)起遞歸查詢(xún)，則DNS 服務(wù)器會(huì)使用該存根區(qū)域中的資源記錄來(lái)解析查詢(xún)。DNS服務(wù)器向存根區(qū)域的NS資源記錄中指定的權(quán)威DNS服務(wù)器發(fā)送迭代查詢(xún)，仿佛在使用其緩存中的NS資源記錄一樣；如果DNS服務(wù)器找不到其存根區(qū)域中的權(quán)威DNS服務(wù)器，那么DNS服務(wù)器會(huì)嘗試使用根提示信息進(jìn)行標(biāo)準(zhǔn)遞歸查詢(xún)。如果客戶(hù)端發(fā)起迭代查詢(xún)，DNS服務(wù)器會(huì)返回一個(gè)包含存根區(qū)域中指定服務(wù)器的參考信息，而不再進(jìn)行其他操作。 如果存根區(qū)域的權(quán)威DNS服務(wù)器對(duì)本地DNS服務(wù)器發(fā)起的解析請(qǐng)求進(jìn)行答復(fù)，本地DNS服務(wù)器會(huì)將接收到的資源記錄存儲(chǔ)在自己的緩存中，而不是將這些資源記錄存儲(chǔ)在存根區(qū)域中，唯一的例外是返回的粘附A記錄，它會(huì)存儲(chǔ)在存根區(qū)域中。存儲(chǔ)在緩存中的資源記錄按照每個(gè)資源記錄中的生存時(shí)間 (TTL) 的值進(jìn)行緩存；而存放在存根區(qū)域中的SOA、NS 和粘附A資源記錄按照SOA記錄中指定的過(guò)期間隔過(guò)期（該過(guò)期間隔是在創(chuàng)建存根區(qū)域期間創(chuàng)建的，在從原始主要區(qū)域復(fù)制時(shí)更新）。 當(dāng)某個(gè)DNS服務(wù)器（父DNS服務(wù)器）向另外一個(gè)DNS服務(wù)器做子區(qū)域委派時(shí)，如果子區(qū)域中添加了新的權(quán)威DNS服務(wù)器，父DNS服務(wù)器是不會(huì)知道的，除非你在父DNS服務(wù)器上手動(dòng)添加。存根區(qū)域主要是用于解決這個(gè)問(wèn)題，你可以在父DNS服務(wù)器上為委派的子區(qū)域做一個(gè)存根區(qū)域，從而可以從委派的子區(qū)域自動(dòng)獲取權(quán)威DNS服務(wù)器的更新而不需要額外的手動(dòng)