DNS服務(wù)器的部署與配置

1、Windows 網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解（二）-DNS服務(wù)器的部署與配置 實驗背景：在Internet網(wǎng)絡(luò)發(fā)展的早期，由于IP地址不便于記憶，網(wǎng)絡(luò)互聯(lián)的方式主要通過購買hosts文件進(jìn)行域名的解析，當(dāng)時，進(jìn)行網(wǎng)絡(luò)互聯(lián)的計算機并不是很多。隨后，隨著計算機網(wǎng)絡(luò)的不斷發(fā)展和普及，越來越多的計算機使用了域名，然而強大的hosts文件再也不能滿足于現(xiàn)代的網(wǎng)絡(luò)需求，DNS（Domain Name System，域名系統(tǒng)）便應(yīng)運而生。DNS相對應(yīng)hosts文件而言，進(jìn)行了強大的改進(jìn)，主要采用分層結(jié)構(gòu)進(jìn)行部署，包括：根域、頂級域（包括組織域、國家域或地區(qū)域、反向域）、二級域和主機名稱。域名空間的層次結(jié)構(gòu)類似一

2、個倒置的樹，其中根為最高級別，大樹枝處于下一級別，樹葉則處于最低級別。這樣可以將巨大的信息量按層次結(jié)構(gòu)劃分成許多較小的部分，將每一部分存儲在不同的計算機上，形成層次性、分布式的特點。這樣一方面解決了信息的統(tǒng)一性，另一方面信息數(shù)據(jù)分布面廣，不會形成瓶頸，有利于提高訪問效率。實驗?zāi)康模簩W(xué)會安裝DNS服務(wù)器會在DNS服務(wù)器上新建正反查找區(qū)域新建資源記錄（包括主機、別名以及SRV記錄）會對轉(zhuǎn)發(fā)器和根提示進(jìn)行配置掌握DNS的區(qū)域傳輸掌握DNS子域和委派配置客戶機的DNS設(shè)置理解DNS服務(wù)器和AD之間的關(guān)系實驗網(wǎng)絡(luò)拓?fù)洌簩嶒灢襟E安裝DNS服務(wù)（通過管理您的服務(wù)器進(jìn)行安裝，也可以通過添加/刪除程序進(jìn)行安裝）

3、DNS服務(wù)器要為客戶機提供域名解析服務(wù)，必須具備以下條件：有固定的IP地址安裝并啟動DNS服務(wù)有區(qū)域文件，或者配置轉(zhuǎn)發(fā)器，或者配置根提示在Service 2（操作系統(tǒng)為windows server 2003）單擊“開始”菜單，選擇“管理工具”-“管理您的服務(wù)器”，然后選擇“添加或刪除角色”等服務(wù)器檢測完所有的網(wǎng)絡(luò)參數(shù)之后，選擇“DNS服務(wù)器”，系統(tǒng)開始安裝DNS服務(wù)。安裝過程中，需要windows server 2003系統(tǒng)安裝光盤里的兩個文件，都在I386下，可以通過物理光驅(qū)添加購買的光盤進(jìn)行安裝，也可以通過虛擬光驅(qū)，添加對應(yīng)的ISO鏡像文件進(jìn)行安裝，安裝過程中需要兩次添加DNSMGR.DL

4、_文件。安裝活動目錄的過程中，同樣也可以安裝DNS服務(wù)器，活動目錄的安裝過程就不做過多演示了，安裝過程中出現(xiàn)下面的界面，其中中間的哪項就是安裝活動目錄的過程中也安裝了DNS服務(wù)器，這樣安裝的DNS服務(wù)器有域的SRV記錄，當(dāng)客戶機加入域的時候就需要這些SRV記錄進(jìn)行定位。安裝完成之后，可以通過“管理您的服務(wù)器角色”中看到“DNS服務(wù)器”的選項。然后單擊右邊的“管理此DNS服務(wù)器”進(jìn)入DNS服務(wù)器的設(shè)置界面。新建區(qū)域（正向查找區(qū)域和反向查找區(qū)域）在大型的網(wǎng)絡(luò)中，可能有非常多的各級域，也會有很多DNS服務(wù)器。如果把整個網(wǎng)絡(luò)都設(shè)成一個區(qū)域，則DNS服務(wù)器之間的目錄可能非常困難，因為目錄信息非常大，而且

5、要復(fù)制的DNS服務(wù)器也非常多。為了解決這一矛盾，我們可以把整個網(wǎng)絡(luò)的DNS空間劃分成一個相對較小的區(qū)域，區(qū)域里再劃分一些子域，但是這些區(qū)域的劃分又不是隨意的。在安裝活動目錄的過程中，如果安裝了DNS，完成之后，便可以在DNS服務(wù)器上看到域的區(qū)域參數(shù)（主要是一些SRV資源記錄）創(chuàng)建正向查找區(qū)域（正向查詢由域名查找IP地址）右擊“正向查找區(qū)域”選擇“新建區(qū)域”此窗口的選項如下：“主要區(qū)域”是新區(qū)域的主副本，負(fù)責(zé)在新創(chuàng)建區(qū)域的計算機上管理和維護(hù)本區(qū)域的資源記錄。如果這是第一次配置DNS服務(wù)器，則選擇“主要區(qū)域”單選按鈕，就相當(dāng)于搭建域環(huán)境時，選擇“新域中的域控制器”一樣的道理。“輔助區(qū)域”是現(xiàn)有區(qū)域

6、的副本，也就相當(dāng)于BDC（副域控制器）一樣的道理，“主要區(qū)域”中的DNS服務(wù)器將把區(qū)域信息傳遞給輔助區(qū)域中的DNS服務(wù)器。使用輔助區(qū)域的目的是，提供冗余，減少包含主要區(qū)域數(shù)據(jù)庫文件的DNS服務(wù)器上的負(fù)載。輔助DNS服務(wù)器上的區(qū)域數(shù)據(jù)是無法進(jìn)行修改的。所有數(shù)據(jù)都是從主DNS服務(wù)器復(fù)制而來的。“存根區(qū)域”只包含用于標(biāo)示該區(qū)域的權(quán)威DNS服務(wù)器所需的資源記錄。含有存根區(qū)域的DNS服務(wù)器對該區(qū)域沒有管理權(quán)，它維護(hù)著該區(qū)域的權(quán)威DNS服務(wù)器列表，列表存放在NS資源記錄中。上面最后一項復(fù)選框是在DNS服務(wù)器是域控制器時才可用，有什么區(qū)別呢？當(dāng)勾選這個復(fù)選框之后，DNS服務(wù)器的所有區(qū)域數(shù)據(jù)都存放在活動目錄數(shù)

7、據(jù)庫中，也就是說，當(dāng)活動目錄復(fù)制的時候，它也伴隨著一起復(fù)制，可以減少管理員的負(fù)擔(dān)，在實際應(yīng)用中，活動目錄存放著大多數(shù)服務(wù)器的數(shù)據(jù)庫，便于集中管理，這同時也體現(xiàn)出了活動目錄的優(yōu)勢所在。當(dāng)然，如果不勾選最后一項復(fù)選框，那么DNS的所有數(shù)據(jù)都存放在DNS數(shù)據(jù)庫中，而且，DNS之間的復(fù)制需要手動指定才可以。下面的向?qū)?，只有在域的環(huán)境里才可以出現(xiàn)的，選擇如何復(fù)制區(qū)域數(shù)據(jù)給新建主要正向查找區(qū)域名一個名稱為（符合FQDN，完全合格域名標(biāo)準(zhǔn)，每個FQDN最多255個字節(jié)，254個字節(jié)用于FQDN，1個字節(jié)用于終止點。這就好比計算機的NetBIOS名，由16個字節(jié)組成，名字占15個字節(jié)，第16個字節(jié)代表某種服務(wù)

8、）此項動態(tài)更新是指當(dāng)DNS客戶端在發(fā)生更改時，可以使用DNS服務(wù)器注冊和動態(tài)更新其資源記錄。它減少了對區(qū)域記錄進(jìn)行手動管理的需要。這種功能給活動目錄中的DNS維護(hù)帶來了方便。當(dāng)計算機加入域時，可以在活動目錄中自動添加該計算機的主機資源記錄。創(chuàng)建反向查找區(qū)域（反向查詢由IP地址查找域名）右擊“反向查找區(qū)域”選擇“新建區(qū)域”反向搜索查詢要求對每個域名進(jìn)行詳細(xì)搜索，這需要花費很長時間。為解決問題，DNS標(biāo)準(zhǔn)定義了一個名為的特殊域。域遵循域名空間的層次命名方案，它是基于IP地址，而不是基于域名，其中，IP地址8位位組的順序是反向的。屬于反向查找區(qū)域的網(wǎng)絡(luò)ID：192.168.0.而區(qū)域名稱自動添上0.

9、168.192.in-addr.arp，兩邊是等效的。新建主要資源記錄（主機和別名）在完成DNS服務(wù)器查找區(qū)域的創(chuàng)建后，就可以新建資源記錄。在區(qū)域里有很多資源記錄，這里介紹一些重要的資源記錄SOA（起始授權(quán)機構(gòu)）：定義了該區(qū)域中個的哪個名稱服務(wù)器是權(quán)威名稱服務(wù)器，可以定義DNS區(qū)域的一些刷新時間等NS（名稱服務(wù)器）：表示某區(qū)域的權(quán)威服務(wù)器和SOA中制定的該區(qū)域的主服務(wù)器和輔助服務(wù)器A(主機)：列出了區(qū)域中FQDN（完全合格域名）到IP地址的映射RTP（指針）：當(dāng)對于A資源記錄，PTR記錄把IP地址映射到FQDNMX：郵件交換器記錄，向指定郵件交換主機提供消息路由SRV（服務(wù)）：列出了哪些服務(wù)器

10、正在提供特定的服務(wù)在正向查找區(qū)域里新建一個主機A記錄（PTR記錄的方法相同）輸入主機A記錄的名稱zhangsan，那么它形成的FQDN是.而下面的“創(chuàng)建相關(guān)的指針（PTR）記錄”如果勾選，就創(chuàng)建對應(yīng)的PTR記錄（前提是反向查找區(qū)域里必須有對應(yīng)的區(qū)域才行）新建別名記錄在正向查找區(qū)域里創(chuàng)建一臺主機A記錄lisi，對應(yīng)的FQDN為，假如它還有另一個名字叫，就需要在對應(yīng)的區(qū)域里新建一個別名記錄，右鍵單擊“”，選擇“新建別名（CNAME）”并創(chuàng)建創(chuàng)建好之后，可以通過nslookup進(jìn)行解析，下面是解析的結(jié)果?？梢钥闯鲎詈笠恍卸嗔艘粭laliases語句便是別名。配置轉(zhuǎn)發(fā)器和根提示當(dāng)本地DNS服務(wù)器沒有客戶

11、端要查找的域名請求的時候，就需要通過轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)到指定的DNS服務(wù)器上，或者通過根提示轉(zhuǎn)發(fā)到全球13臺根服務(wù)器上，通過迭代的方式進(jìn)行查找，最終返回到本地DNS服務(wù)器上然后通過遞歸的方式發(fā)送給客戶端。（也可以自己指定根服務(wù)器，最后不要這么做）首先配置DNS轉(zhuǎn)發(fā)器，在service 3 的DNS服務(wù)器上單擊右鍵選擇“屬性”然后現(xiàn)在“轉(zhuǎn)發(fā)器”窗口，在這個窗口可以為不同的區(qū)域配置不同個轉(zhuǎn)發(fā)DNS。配置客戶端的首選DNS服務(wù)器為轉(zhuǎn)發(fā)器DNS的IP地址：剛才在service 1上的DNS服務(wù)器上區(qū)域里新建了一個主機為lisi，IP地址是00（實際是不存在的，只做測試用）在客戶機上ping ，ping不通，但

12、可以看到已經(jīng)解析出了IP地址為00。配置根提示根提示使非根域的DNS服務(wù)器可以查找到根域DNS服務(wù)器。根域DNS服務(wù)器在互聯(lián)網(wǎng)上有13臺。默認(rèn)情況下，根提示是不需要配置的，搭建好DNS服務(wù)器之后會自動生成。但是在有的時候，卻看不到根提示里面的內(nèi)容，而且還不能配置。主要是因為在DNS服務(wù)器上有自己定義的“.”域，全球那13臺根DNS服務(wù)器上就沒有這些自動生成的根提示。下面手動建立一個區(qū)域為“.”然后，在區(qū)域里自動注明為根域，然后查看轉(zhuǎn)發(fā)器，可以看出，名稱服務(wù)器里的內(nèi)容為空，而且不可編輯。不光是根提示不可用，而且轉(zhuǎn)發(fā)器也不可用。DNS區(qū)域傳輸在較早的DNS實現(xiàn)中，更新區(qū)域數(shù)據(jù)的任何請求都需要通過使

13、用AXFR查詢來完全傳輸整個區(qū)域數(shù)據(jù)庫。進(jìn)行遞增傳輸時，相反卻可使用任選的查詢類型（IXFR，windows serve 2003以后才有）。它允許輔助DNS僅找一些區(qū)域的變化，這些變化將用于區(qū)域副本與源區(qū)域之間的同步。通過IXFR區(qū)域傳輸時，區(qū)域的復(fù)制版本和源區(qū)域之間的差異必須首先確定。如果該區(qū)域識別為與每個區(qū)域的啟動授權(quán)機構(gòu)（SOA）資源記錄中序列號字段所指示的版本相同，則不進(jìn)行任何傳送。如果源區(qū)域中的區(qū)域的序列號比申請輔助服務(wù)器的大，則傳輸?shù)膬?nèi)容僅由區(qū)域中每個遞增版本的資源記錄的改動組成。為了使IXFR查詢成功并發(fā)送更改的內(nèi)容，此區(qū)域的源DNS服務(wù)器必須保留遞增區(qū)域變化的歷史記錄，以便在

14、應(yīng)答這些查詢的使用。實際上，遞增傳輸過程在網(wǎng)絡(luò)上需要更少的通信量，而且區(qū)域傳輸完成的更快。區(qū)域傳輸始終在區(qū)域的輔助服務(wù)器上開始，并且發(fā)送到作為區(qū)域源配置的主服務(wù)器中。首先在DNS主區(qū)域（server 1）里單擊右鍵選擇“屬性”選擇“區(qū)域復(fù)制”，然后添加復(fù)制到指定的DNS服務(wù)器的IP地址，這樣可以避免列表以外的DNS服務(wù)器得到區(qū)域更新的通知，換句話說，未知的或未批準(zhǔn)的DNS服務(wù)器在提取、請求或區(qū)域更新方面作一些不希望進(jìn)行的嘗試。在server 2的DNS上新建一個輔助區(qū)域并命名為（輔助區(qū)域的FQDN名必須和主區(qū)域的FQDN名相同，這個好比DC和BDC的域名必須相同一樣），然后填寫主區(qū)域的DNS服

15、務(wù)器地址，確定之后，便可看到輔助區(qū)域里的資源記錄和主區(qū)域里的資源記錄一樣。主區(qū)域和輔助區(qū)域起始授權(quán)機構(gòu)（SOA）的比較，可以看出主區(qū)域的序列號為23，而且可以進(jìn)行編輯，而輔助區(qū)域的序列號為23，說明不需要進(jìn)行復(fù)制，但是是不能進(jìn)行任何編輯的，只能隨著主區(qū)域序列號的遞增進(jìn)行復(fù)制。新建子域和委派在區(qū)域中可以創(chuàng)建子域來擴展域名空間，同時也便于人性化管理和委派。在server 2的DNS上創(chuàng)建了一個域，然后，指向域單擊右鍵，選擇“新建域”創(chuàng)建子域域名為qinghua，beida，zheda，jiaoda假設(shè)這樣一個場景，清華大學(xué)在上申請了個域名叫，而現(xiàn)在，管理的機構(gòu)添加了這個子域，現(xiàn)在要做的是在子域中添

16、加一條主機A記錄指向清華大學(xué)的DNS服務(wù)器的IP地址上，而清華大學(xué)也同樣要在自己的本地DNS服務(wù)器上新建一個域并命名為，并添加一臺主機指向管理機構(gòu)的DNS服務(wù)器上，這樣才算正式注冊，在互聯(lián)網(wǎng)上算是一臺合法的DNS服務(wù)器。而且，管理域的機構(gòu)也減輕了服務(wù)器的負(fù)擔(dān)，只要是在網(wǎng)上瀏覽域名為的計算機，都被轉(zhuǎn)發(fā)到清華大學(xué)的DNS服務(wù)器上進(jìn)行查詢客戶機的配置配置DNS客戶端，主要是為客戶機指定DNS服務(wù)器的IP地址，從而使他們可以請求DNS服務(wù)。如果配置了DHCP服務(wù)器，也可以在上面添加DNS選項，讓客戶端自動獲得DNS服務(wù)器IP地址。選擇“本地連接”里的“Internet協(xié)議(TCP/IP)，查看其屬性，

17、輸入首選DNS和備用DNS，首選DNS一般設(shè)置為離你最近的DNS服務(wù)器，當(dāng)客戶機進(jìn)行域名解析時，如果首選DNS服務(wù)器一直存在，即使沒有查找到，也不會轉(zhuǎn)向備用DNS服務(wù)器，除非首選DNS服務(wù)器宕機了才會到備用DNS服務(wù)器進(jìn)行查找。在“高級”TCP/IP配置里還有一些DNS附加選項，可以添加多臺DNS服務(wù)器的IP地址，其中“在DNS中注冊此連接的地址”選項默認(rèn)是被勾選的，意思是客戶端會將自己的主機名和DNS對應(yīng)關(guān)系自動注冊到DNS中。而DNS服務(wù)器那邊也必須開啟“動態(tài)更新”而且不能選“無”選項。DNS服務(wù)器和AD之間的關(guān)系DNS服務(wù)器和AD之間的關(guān)系非常緊密，也就是說如果沒有DNS服務(wù)器的支持，AD是不能夠正常進(jìn)行工作的，AD中好多名稱都需要DNS服務(wù)器的解析。在配置客戶端加入域的時候