Windows 2003 DNS配置攻略.docx

Windows 2003 DNS配置攻略.1 DNS概述在TCP/IP的網(wǎng)絡中，網(wǎng)絡通信的終點是套接字（Socket），其由目標主機的IP地址和要訪問的TCP/UDP端口組成，也就是說，不管是在局域網(wǎng)還是互聯(lián)網(wǎng)上，計算機在網(wǎng)絡上通訊時是通過如“3”之類的數(shù)字形式的IP地址來識別目標主機。但當我們在訪問Internet或Intranet時，我們打開瀏覽器，在地址欄中輸入如“”的域名后，就能看到我們所需要的頁面。這給了人們一個困惑，難道計算機通訊時也能根據(jù)對方域名來直接找到目標主機么？其實，當我們在瀏覽器的地址欄中輸入要訪問的網(wǎng)頁的域名時，計算機系統(tǒng)會為我們做一個“翻譯”工作，即將我們輸入域名解析為目標主機的IP地址。而這種“翻譯”記錄的建立，在早期是通過一個hosts文件來完成的，但隨著網(wǎng)絡規(guī)模的擴大，通過管理員手動建立并分發(fā)的hosts文件已不適應網(wǎng)絡中越來越多的名字解析的需求，此時，則需要一種能夠動態(tài)地為客戶機進行域名注冊，同時能動態(tài)的為用戶要訪問的域名進行名字解析的服務，而DNS（Domain Name System）服務為我們提供了這個解決方案。域名系統(tǒng) (DNS) 是用于 TCP/IP 網(wǎng)絡（例如，Internet）的名稱解析協(xié)議，在IP的網(wǎng)絡里，它是客戶機/服務器通信的一個集成部分。DNS是一個分布式數(shù)據(jù)庫系統(tǒng)，它用來將用戶容易記住的友好的名稱FQDN（Full Qualified Domain Name：完全限定域名，其描述了主機到它域的精確關系，比如）解析為難記的IP地址（比如“1），并將這個映射存放在其數(shù)據(jù)庫系統(tǒng)中，以定位計算機和服務。因此，不管是在局域網(wǎng)還是廣域網(wǎng)中，只要你將要用到如“”之類域名的時候，你都得首先確保已為此名字在DNS服務器中作好了相應的和IP地址的映射工作。而在互聯(lián)網(wǎng)中，這個工作則由專門的服務器進行完成。3.2 DNS查詢的工作原理當 DNS 客戶端需要查詢程序中使用的名稱時，它會查詢 DNS 服務器來解析該名稱。客戶端發(fā)送的每條查詢消息都包括三條信息，指定服務器回答的問題：1、指定的 DNS 域名，規(guī)定為完全合格的域名 (FQDN)2、指定的查詢類型，可根據(jù)類型指定資源記錄，或者指定為查詢操作的專門類型。3、DNS 域名的指定類別。對于 Windows DNS 服務器，它始終應指定為 Internet (IN) 類別。例如，指定的名稱可以是計算機的 FQDN，例如，“”，而指定的查詢類型可以是通過該名稱搜索地址 (A) 資源記錄。將 DNS 查詢看作客戶端向服務器詢問由兩部分組成的問題，例如“您是否擁有名為 的計算機的 A 資源記錄？”當客戶端收到來自服務器的應答時，它將讀取并解譯應答的 A 資源記錄，獲取根據(jù)名稱詢問的計算機的 IP 地址。3.2.1 DNS的查詢類型在DNS中，通常可執(zhí)行兩類的查詢。這兩種類型如下：1、遞歸查詢（Recursive）。DNS 服務器承擔全部的工作量和責任，為該查詢提供完全的答案。它可使用其自身的資源記錄信息緩存來應答客戶查詢，也可代表請求客戶端查詢或聯(lián)系其他 DNS 服務器，以便完全解析該名稱，并隨后將應答返回至客戶端。這個過程如上圖中的第1和第10步，稱為遞歸。2、迭代查詢（Iterative）。如果DNS服務器的高速緩存內(nèi)或區(qū)域中沒有需要的數(shù)據(jù)記錄，則DNS服務器會向客戶端提供去查詢其它DNS服務器的指針讓client去繼續(xù)查詢，直到出現(xiàn)了正確答案或超時、錯誤等為止。或第一臺DNS服務器在向第二臺DNS服務器提出查詢要求后，如果第二個DNS服務器內(nèi)沒有所需數(shù)據(jù)，則它會提供第三臺DNS服務器的IP地址給第一臺DNS服務器讓第一臺DNS服務器向第三臺DNS服務器查詢。該過程這個過程如上圖中的第2至第9步，稱作迭代。3.2.2 DNS的查找類型區(qū)域查找類型確定DNS服務器將執(zhí)行的任務。在你創(chuàng)建區(qū)域時，你要通過指定區(qū)域類型，來確定該區(qū)域?qū)⒈挥脕斫鉀Q正向查找查詢還是逆向查找查詢。而迭代查詢和遞歸查詢可以與下述查找類型相關聯(lián)：1、正向查找（Forward Lookup）。這種請求將FQDN映射為IP地址，為最常用的查找類型。2、逆向查找（Reverse Lookup）。這種請求將IP地址映射為FQDN，當你只知道目標的IP地址，而不知其域名時，可以采用這種查找類型。3.3 DNS創(chuàng)建的區(qū)域類型域名系統(tǒng) (DNS) 允許 DNS 名稱空間分成幾個區(qū)域（Zone），這些區(qū)域存儲有關一個或多個 DNS 域的名稱信息。對于包括在區(qū)域中的每個 DNS 域名，該區(qū)域成為該域的有關信息的權威性信息源。區(qū)域是域名稱空間中的一個連續(xù)部分，通過區(qū)域，可以讓我們在域中精確的定位某一臺主機。為了創(chuàng)建區(qū)域，我們必須先要理解下面這些概念：1、區(qū)域類型（Zone types）。DNS服務器上可以駐留不同類型的區(qū)域，你可以配置單個DNS服務器，使之支持或駐留多個區(qū)域。也可以配置多個服務器，讓它們駐留一個或多個區(qū)域，用于提供容錯和負載平衡的功能。2、區(qū)域文件（Zone file）。資源記錄存儲于區(qū)域文件中。區(qū)域文件中存儲的停息用于將FQDN解析為IP，或?qū)P解析為FQDN。每一個zone都有一個區(qū)域文件，文件位于：%systemroot%system32dns中。（%systemroot%表示當前系統(tǒng)的安裝目錄）。3.3.1 識別區(qū)域類型在DNS中，你可以創(chuàng)建并配置以下四種類型的區(qū)域：即主要區(qū)域（Primary zone）、輔助區(qū)域（Secondary zone）、存根區(qū)域（Stub zone）、活動目錄集成區(qū)域（Active Directory interated zone）。 主要區(qū)域（Primary zone）區(qū)域的主 DNS 服務器作為區(qū)域的更新點。新創(chuàng)建的區(qū)域通常是這種類型?？梢园匆韵铝袃煞N方法之一使用主要區(qū)域：作為標準的主要區(qū)域或集成 Active Directory 的主要區(qū)域。對于標準主要類型區(qū)域，只有一個 DNS 服務器能主持和加載區(qū)域的主副本。如果創(chuàng)建了一個區(qū)域并將其作為標準主要區(qū)域，則不允許區(qū)域有其他主服務器。只允許一個服務器接受動態(tài)更新和處理區(qū)域更改。標準主區(qū)域包含區(qū)域文件的一個讀/寫版本，該文件存儲為標準的文本文件，區(qū)域的任何變化都被記錄在該文件中。 輔助區(qū)域（Secondary zone）標準主模式隱含了一個故障點。例如，如果因為某種原因區(qū)域的主服務器對于網(wǎng)絡不可用，則對區(qū)域無法做動態(tài)更新，無法為DNS客戶進行正常的域名解析。這時候，如果我們?yōu)槭孪葹橹鲄^(qū)域創(chuàng)建了輔助區(qū)域服務器，則該服務器可用于應答，則區(qū)域中名稱的查詢不受影響并能不受干擾地繼續(xù)進行。輔助區(qū)域包含了主區(qū)域的的只讀副本，其通過區(qū)域復制得到主區(qū)域信息的變化。輔助區(qū)域能通過響應client查詢請求來減少主zone的負擔，從而實現(xiàn)容錯和負載平衡。輔助區(qū)域的區(qū)域文件被存儲為一個標準的只讀文本文件，該區(qū)域的任何的變化都被記錄在相應主區(qū)域文件中，并被復制到輔助區(qū)域的區(qū)域文件中。 存根區(qū)域（Stub zone）存根區(qū)域是一個區(qū)域副本，只包含標識該區(qū)域的權威域名系統(tǒng) (DNS) 服務器所需的那些資源記錄。存根區(qū)域用于使主持父區(qū)域的 DNS 服務器知道其子區(qū)域的權威 DNS 服務器，從而保持 DNS 名稱解析效率。存根區(qū)域由以下部分組成：1、委派區(qū)域的起始授權機構(gòu) (SOA) 資源記錄、名稱服務器 (NS) 資源記錄和粘附 A 資源記錄。2、可用來更新存根區(qū)域的一個或多個主服務器的 IP 地址。存根區(qū)域的主服務器是對于子區(qū)域具有權威性的一個或多個 DNS 服務器，通常 DNS 服務器主持委派域名的主要區(qū)域。使用存根區(qū)域可執(zhí)行以下操作：1、使委派的區(qū)域信息保持最新。通過定期更新它的一個子區(qū)域的存根區(qū)域，主持父區(qū)域和存根區(qū)域的 DNS 服務器將維護該子區(qū)域的權威 DNS 服務器的當前列表。2、改進名稱解析。存根區(qū)域使 DNS 服務器能夠使用存根區(qū)域的名稱服務器列表執(zhí)行遞歸，而無需查詢 Internet 或 DNS 名稱空間的內(nèi)部根服務器。3、簡化 DNS 管理。在整個 DNS 結(jié)構(gòu)中使用存根區(qū)域可為區(qū)域分發(fā)權威 DNS 服務器的列表，而不用使用輔助區(qū)域。但是，存根區(qū)域與輔助區(qū)域的用途不同，考慮冗余和負載共享時，存根區(qū)域不是備用區(qū)域。 活動目錄集成區(qū)域（AD integrated zone）可通過使用 DNS 服務器服務的目錄集成存儲和復制功能為區(qū)域添加更多的主服務器。為此，您需要更改區(qū)域并將它集成到 Active Directory。與AD集成的DNS區(qū)域中只能創(chuàng)建于域控制器上，其區(qū)域數(shù)據(jù)庫也保存在活動目錄中，并隨AD的復制而在整個域中復制。因為活動目錄維護區(qū)域信息，所以你無需為了指定怎樣更新與何時更新而配置DNS服務器。3.4 安裝和配置DNS在上面我們詳細介紹了DNS的概念及工作原理，接下來，我們就向大家說明如何在Windows 2003 Enterprise Edition服務器上配置DNS服務。3.4.1 企業(yè)背景你的公司網(wǎng)絡正向Windows2003 轉(zhuǎn)移。在進行這種轉(zhuǎn)移時 ，部分工作涉及到配置DNS域的問題，要在全公司范圍內(nèi)使用這些域。你公司申請的域名有N和, 并且為你的公司內(nèi)的不同地理區(qū)域指派了子域。作為公司的網(wǎng)絡管理員,你需要在公司內(nèi)部建立DNS域名解析系統(tǒng)。為了進行容錯和負載均擔，你需要建立主區(qū)域和輔助區(qū)域。在系統(tǒng)建立完成后，你還需要確認這些服務器能否正常的工作，并能快速更正出現(xiàn)的問題。3.4.2 配置步驟1、安裝DNS2、建立主區(qū)域和主機記錄3、建立反向區(qū)域和指針記錄4、實現(xiàn)DNS的動態(tài)更新5、建立標準輔助區(qū)域并配置區(qū)域傳輸6、與WINS集成7、DNS客戶端的配置安裝DNS默認的，當你安裝好Windows Server 2003之后，DNS服務并沒有被添加進去。為了安裝DNS，你可以在“控制面板”或“配置你的服務器向?qū)А敝羞M行安裝。這里以“控制面板”中的安裝方法為例。1、以管理員身份登錄到一臺固定IP地址為00服務器，在“控制面板”上雙擊“添加/刪除程序”，在其后出現(xiàn)的對話框中單擊“添加/刪除Windows組件”。2、在“Windows組件” 向?qū)е?，選擇單擊“網(wǎng)絡服務“，然后再單擊“詳細資料”，選擇“域名服務系統(tǒng)（DNS）”前面的復選框，然后單擊“確定”按鈕進行安裝。3、安裝完畢后，在“管理工具”中會出現(xiàn)“DNS”管理工具。 建立主區(qū)域和主機記錄1、首先確保本機已安裝了DNS服務，則可以通過選“開始程序管理工具DNS”來打開DNS控制臺管理器（以下簡稱“DNS管理器”）。2、在DNS管理器中，在“正向查找區(qū)域”上單擊右鍵，選“新建區(qū)域”以進入新建區(qū)域向?qū)е小?、當向?qū)崾镜揭屵x擇“區(qū)域類型”時，此處應選“主要區(qū)域”，并清除“在Acticve Directory中存儲區(qū)域”前面的復選框，單擊“下一步”按鈕繼續(xù)。3、隨后系統(tǒng)會詢問“區(qū)域名”，在“名稱”后的文字框中輸入“”；接著向?qū)нM入到“區(qū)域文件”提示窗口中，默認的，系統(tǒng)會自動選中“創(chuàng)建新文件，文件名為”一項，并在其后的文字框中自動填有“.dns”（“”部分即為上步所輸入的“區(qū)域名”）的名字。4、再根據(jù)系統(tǒng)提示選擇其默認各項之后即可完成此區(qū)域的建立。此時在DNS管理器左邊的“樹”欄中的“LG正向搜索區(qū)域”里即可以看到新建立的“”區(qū)域。5、接著在“”區(qū)域上單擊右鍵，選“新建主機”，在其后的對話框中的“名稱”處輸入主機名“www”，“IP地址”處輸入IP地址“00”，再單擊“添加主機”按鈕，即成功地創(chuàng)建了主機地址記錄。 建立反向區(qū)域和指針記錄1、在DNS管理器中，在“反向查找區(qū)域”上單擊右鍵，選“新建區(qū)域”以進入新建區(qū)域向?qū)е小?、當向?qū)崾镜揭屵x擇“區(qū)域類型”時，此處應選“主要區(qū)域”，并清除“在Acticve Directory中存儲區(qū)域”前面的復選框，單擊“下一步”按鈕繼續(xù)。3、在“網(wǎng)絡ID”中輸入“192.169.0”,然后單擊“下一步”。4、接著會出現(xiàn)區(qū)域文件名的選項，按默認設置即可。單擊“下一步”，完成反向查找區(qū)域的創(chuàng)建。5、在“反向查找區(qū)域192.168.0.x Subnet”上單擊右鍵，選擇“新建指針（PTR）”，輸入主機的IP號和主機名，點擊“確定”按鈕完成指針記錄的創(chuàng)建。 實現(xiàn)DNS的動態(tài)更新Windows 2000 Server以上的版本支持DNS的動態(tài)更新。通過動態(tài)更新協(xié)議，允許客戶計算機自動在DNS服務器中更新記錄，而不需管理員的干涉。在進行動態(tài)更新的設置時，當區(qū)域為AD集成區(qū)域時，可設置為安全的動態(tài)更新，而對非AD集成區(qū)域，只能設置為非安全的動態(tài)更新。對于Windows2000以前版本的系統(tǒng)，如Windows NT和Windows98，它們是不支持動態(tài)更新的，在這種情況下，我們可以將它們配置DHCP客戶，然后通過DHCP服務的相關配置來幫助它們進行DNS的動態(tài)更新。1、根據(jù)以上的實驗步驟,我們在DNS服務器上再重建一個區(qū)域，取名為，然后在其屬性的動態(tài)更新中設置為“非安全”。2、為了對Windows2000以前版本作DNS的動態(tài)更新，我們進入管理工具中的DHCP服務，選擇 DHCP 服務器，在其屬性頁中單擊動態(tài)DNS，選中啟用 DNS 客戶信息動態(tài)更新并選中選項中的當租約過期時取消正向搜索、對非動態(tài) DNS 客戶更新兩個選項。 建立標準輔助區(qū)域并實現(xiàn)區(qū)域傳輸DNS 設計規(guī)范推薦對每個區(qū)域至少使用兩個 DNS 服務器以實現(xiàn)最不的容錯和負載平衡。對于標準主要類型區(qū)域，可以用輔助服務器來添加和配置該區(qū)域。對于目錄集成的主要區(qū)域，輔助服務器是被支持的但不是必需的。輔助服務器能夠提供在區(qū)域被大量查詢和使用的網(wǎng)絡區(qū)減少 DNS 查詢通信量的方法。另外，如果主服務器關閉了，則輔助服務器可以在該區(qū)域提供一些名稱解析，直到主服務器可以使用為止。因為主服務器總是保留區(qū)域更新和改動的主副本，所以輔助服務器依賴 DNS 區(qū)域傳輸機制來獲取信息并使其成為最新信息。在Windows2000和Windows2003中，區(qū)域信息的更新由增量式區(qū)域傳輸（IXFRincremental zone transfer）功能進行。這種功能只復制區(qū)域文件的變化，而不是復制整個區(qū)域文件。為了完成輔助區(qū)域的建立和區(qū)域傳輸?shù)呐渲?，需按以下步驟進行：1、以管理員身份登錄到一臺固定IP地址為25的DNS服務器，在上面新建一個區(qū)域，區(qū)域類型選擇為：輔助區(qū)域，區(qū)域名取為同標準主區(qū)域的名字一樣，這里取名為：，主區(qū)域的IP設為00，這樣就完成了輔助區(qū)域的創(chuàng)建。2、以管理員身份登錄到主DNS服務器（IP地址為：00）上，進入DNS管理器，右擊區(qū)域，選擇“屬性”，在屬性對話框中：選擇起始授權機構(gòu)。在這里主要作輔助區(qū)域主動同主區(qū)域進行區(qū)域更新的配置，在這里，我們可以對序列號、刷新間隔、重試間隔及過期時間根據(jù)網(wǎng)絡的實際需要作要應的修改。3、點擊“區(qū)域復制”標簽，進入?yún)^(qū)域復制頁設置與那些服務器進行區(qū)域傳輸，默認情況下將與網(wǎng)絡中的所有DNS服務器進行區(qū)域傳輸，也可以設置為只與名稱服務器列表中的服務器進行區(qū)域傳輸或與指定的服務器進行區(qū)域傳輸。在這里我們按默認設置，點擊“通知”按鈕。4、進入“通知”頁面，在這里的設置是當主區(qū)域的信息發(fā)生改變后會主動通知哪引起輔助區(qū)域服務器，從而使主區(qū)域和輔助區(qū)域的區(qū)域文件達到一致，以免對DNS客戶提供正常的域名解析服務。這里我們選擇“下列服務器”單選框，在IP地址中輸入輔助服務器的IP地址“25”，點擊“確定”按鈕，完成區(qū)域傳輸?shù)脑O置。 集成DNS和WINS當 DNS 服務器與 WINS 服務結(jié)合使用后，在DNS域名空間無法查詢的名稱可以利用 WINS 管理的 NetBIOS 名稱空間進行查詢。在一個區(qū)域中啟動 WINS 查詢功能具體步驟如下：1、首先在 DNS 服務器中選擇一個區(qū)域（如），在基屬性頁中單擊WINS標簽。2、選中使用“WINS正向查找”復選框，在下方的 WINS 服務器中添加 WINS 服務器的 IP 地址。如果在區(qū)域傳輸時用戶不想將這條記錄復制給其它 DNS 服務器，則用戶可以選中不復制此記錄。點擊“確定”按鈕，完成與WINS集成的配置。 DNS客戶端的配置在成功安裝 DNS