DNS與DHCP的安裝與配置課件

DNS和DHCP服務(wù)器的

安裝與配置

DNS和DHCP服務(wù)器的安

裝與配置DNS主要作用

DNS服務(wù)器用于解析網(wǎng)絡(luò)計(jì)算機(jī)名稱，它是進(jìn)行網(wǎng)絡(luò)訪問的前提，否則網(wǎng)絡(luò)的計(jì)算機(jī)相互之間不能正確識(shí)別DNS查詢?cè)?/p>

DNS分為Client和Server，Client扮演發(fā)問的角色，也就是問Server一個(gè)Domain

Name，而Server必須要回答此Domain

Name的真正IP地址。而當(dāng)?shù)氐腄NS先會(huì)查自己的資料庫。如果自己的資料庫沒有，則會(huì)往該DNS上所設(shè)的的DNS詢問，依此得到答案之后，將收到的答案存起來，并回答客戶。

DNS和DHCP服務(wù)器的安

裝與配置舉例

1.客戶端向服務(wù)器提出查詢項(xiàng)目﹔

2.當(dāng)被詢問到有關(guān)本域名之內(nèi)的主機(jī)名稱的時(shí)候﹐DNS服務(wù)器會(huì)直接做出回答﹔

3.如果所查詢的主機(jī)名稱屬于其它域名的話﹐會(huì)檢查快取Cache,看看有沒有相關(guān)資料﹔

DNS和DHCP服務(wù)器的安

裝與配置

4.如果沒有發(fā)現(xiàn)﹐則會(huì)轉(zhuǎn)向root服務(wù)器查詢﹔

5.然后root服務(wù)器會(huì)將該域名之下一層授權(quán)服務(wù)器的位址告知(可能會(huì)超過一臺(tái))﹔

6.本地服務(wù)器然后會(huì)向其中的一臺(tái)服務(wù)器查詢﹐并將這些服務(wù)器名單存到Cache中﹐以備將來之需(省卻再向root查詢的步驟)﹔

7.遠(yuǎn)方服務(wù)器回應(yīng)查詢﹔

DNS和DHCP服務(wù)器的安

裝與配置8.若該回應(yīng)并非最后一層的答案，則繼續(xù)往下一層查詢，直到獲的客戶端所查詢的結(jié)果為止﹔

9.將查詢結(jié)果回應(yīng)給客戶端﹐并同時(shí)將結(jié)果儲(chǔ)存一個(gè)備份在自己的快取Cache里面

10.如果在存放時(shí)間尚未過時(shí)之前再接到相同的查詢﹐則以存放于快取記憶里面的資料來做回應(yīng)。

從這個(gè)過程我們可以看出﹐沒有任何一臺(tái)DNS主機(jī)會(huì)包含所有域名的DNS資料﹐資料都是分散在全部的DNS服務(wù)器中﹐而NIC只需知道各DNS服務(wù)器位址就可以了。

DNS和DHCP服務(wù)器的安

裝與配置DNS安裝步驟第1步，依次單擊“開始/管理工具/配置您的服務(wù)器向?qū)А?，在打開的向?qū)ы撝幸来螁螕簟跋乱徊健卑粹o。配置向?qū)ё詣?dòng)檢測(cè)所有網(wǎng)絡(luò)連接的設(shè)置情況，若沒有發(fā)現(xiàn)問題則進(jìn)入“服務(wù)器角色”向?qū)ы摗?/p>

第2步，在“服務(wù)器角色”列表中單擊“DNS服務(wù)器”選項(xiàng)，并單擊“下一步”按鈕。第3步，打開“選擇總結(jié)”向?qū)ы?，如果列表中出現(xiàn)“安裝DNS服務(wù)器”和“運(yùn)行配置DNS服務(wù)器向?qū)砼渲肈NS”，則直接單擊“下一步”按鈕。否則單擊“上一步”按鈕重新配置。

DNS和DHCP服務(wù)器的安

裝與配置第4步，系統(tǒng)開始安裝、配置與DNS服務(wù)器有關(guān)的組件，出現(xiàn)“歡迎使用配置DNS服務(wù)器向?qū)А睂?duì)話框，點(diǎn)擊“DNS清單”按鈕可以查看配置DNS服務(wù)器的全部選項(xiàng)，單擊“下一步”。第5步，打開“選擇配置操作”對(duì)話框選擇要?jiǎng)?chuàng)建的DNS服務(wù)器的查找區(qū)域。一般小型網(wǎng)絡(luò)只需配置正向查找區(qū)域，而對(duì)較復(fù)雜的大中型網(wǎng)絡(luò)來說則需要同時(shí)創(chuàng)建正向查找與反向查找區(qū)域，以提高查找效率。最后一項(xiàng)“只配置根提示”，表示此時(shí)不配置查找區(qū)域，以后再創(chuàng)建，并且這項(xiàng)一般與域控制器一起安裝。選擇好后單擊“下一步”。

DNS和DHCP服務(wù)器的安

裝與配置第6步，打開“正向查找區(qū)域”向?qū)ы?。提示用戶選擇是否現(xiàn)在就要?jiǎng)?chuàng)建正向查找區(qū)域，選擇“是，創(chuàng)建正向查找區(qū)域”并單擊“下一步”按鈕

第7步，打開“區(qū)域類型”向?qū)ы?，“主要區(qū)域”是在本服務(wù)器中創(chuàng)建一個(gè)可以直接更新的區(qū)域，“輔助區(qū)域”是用于保存在另一個(gè)服務(wù)器上的區(qū)域副本，幫助住區(qū)域服務(wù)器平衡處理工作，提供容錯(cuò)。如果希望DNS服務(wù)器了解它委派給另一個(gè)DNS服務(wù)器子區(qū)域所添加的所有DNS服務(wù)器，則選擇“存根區(qū)域”。選擇好后單擊“下一步”按鈕。

DNS和DHCP服務(wù)器的安

裝與配置第8步，打開“區(qū)域名稱”向?qū)ы?，在“區(qū)域名稱”編輯框中鍵入一個(gè)能反映公司信息的區(qū)域名稱(如“”)，若要與域控制器的DNS服務(wù)器協(xié)同工作，則要輸入根域名稱，單擊“下一步”按鈕

DNS和DHCP服務(wù)器的安

裝與配置第9步，在打開的“區(qū)域文件”向?qū)ы撝幸呀?jīng)根據(jù)區(qū)域名稱默認(rèn)填入了一個(gè)文件名。該文件是一個(gè)ASCII文本文件，里面保存著該區(qū)域的信息，默認(rèn)情況下保存在“windowssystem32.dns”文件夾中。第10步，在打開的“動(dòng)態(tài)更新”向?qū)ы撝兄付ㄔ揇NS區(qū)域能夠接受的注冊(cè)信息更新類型。為了安全起見，因此點(diǎn)選“不允許動(dòng)態(tài)更新”單選框，單擊“下一步”按鈕

DNS和DHCP服務(wù)器的安

裝與配置第11步，此時(shí)打開“反向查找區(qū)域”，開始創(chuàng)建反向查找區(qū)域，當(dāng)然我們要?jiǎng)?chuàng)建了，因此選擇“是，創(chuàng)建反向查找區(qū)域”，單擊“下一步”。第12步，打開“區(qū)域類型”向?qū)ы?，與正向查找區(qū)域一樣，選擇好后單擊“下一步”按鈕。第13步，打開“反向查找區(qū)域名稱”向?qū)ы?，因?yàn)榉聪虿檎沂菑腎P地址來解析計(jì)算機(jī)名，所以要指定反向查找區(qū)域的網(wǎng)絡(luò)ID，將網(wǎng)絡(luò)ID填好后單擊“下一步”按鈕第14步，在打開的“動(dòng)態(tài)更新”向?qū)ы?，與正向查找區(qū)域一樣，單擊“下一步”按鈕

DNS和DHCP服務(wù)器的安

裝與配置第15步，打開“轉(zhuǎn)發(fā)器”向?qū)ы?，保持“是，?yīng)當(dāng)將查詢轉(zhuǎn)送到有下列IP地址的DNS服務(wù)器上”單選框的選中狀態(tài)。在IP地址編輯框中鍵入ISP(或上級(jí)DNS服務(wù)器)提供的DNS服務(wù)器IP地址，單擊“下一步”按鈕。第16步，單擊“完成”按鈕，完成DNS服務(wù)器的安裝。

DNS和DHCP服務(wù)器的安

裝與配置DNS的安全配置DNS服務(wù)器的安全問題DNS的安全隱患描述DNS名稱空間

將DNS安全性融入DNS名稱空間設(shè)計(jì)DNS服務(wù)器服務(wù)

當(dāng)DNS服務(wù)器服務(wù)在域控制器上運(yùn)行時(shí)，查看默認(rèn)DNS服務(wù)器服務(wù)安全設(shè)置，并應(yīng)用ActiveDirectory安全功能DNS區(qū)域

在域控制器上主持DNS區(qū)域時(shí)，查看默認(rèn)DNS區(qū)域安全設(shè)置，并應(yīng)用ActiveDirectory安全功能DNS資源記錄

在域控制器上主持DNS資源記錄時(shí)，查看默認(rèn)DNS資源記錄安全設(shè)置，并應(yīng)用ActiveDirectory安全功能DNS客戶端

控制DNS客戶端使用的DNS服務(wù)器IP地址

DNS和DHCP服務(wù)器的安

裝與配置安全配置方法1、保護(hù)DNS服務(wù)器服務(wù)（1）查看并配置影響安全性的默認(rèn)DNS服務(wù)器服務(wù)配置A、在DNS服務(wù)器上執(zhí)行開始管理工具DNS。打開DNS控制臺(tái)，在DNS服務(wù)器上右擊，選擇“屬性”選項(xiàng)。B、選擇“接口”選項(xiàng)卡，單擊“只在下列IP地址”，添加允許偵聽的IP地址。C、單擊“高級(jí)”選項(xiàng)卡，將“保護(hù)緩存防止污染”和“禁用遞歸”選中。

DNS和DHCP服務(wù)器的安

裝與配置D、選擇“根提示”標(biāo)簽，單擊“添加”按鈕，將指定要添加到該列表的服務(wù)器的名稱和IP地址輸入列表中，（2）在管理域控制器上運(yùn)行的DNS服務(wù)器上隨機(jī)訪問列表（DACL）組或用戶名權(quán)限Administrators讀取、寫入、創(chuàng)建所有子對(duì)象、特殊權(quán)限AuthenticatedUsers讀取、特殊權(quán)限CreatorOwner特殊權(quán)限D(zhuǎn)nsAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象、特殊權(quán)限D(zhuǎn)omainAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象EnterpriseAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象EnterpriseDomainControllers特殊權(quán)限Pre-Windows2000CompatibleAccess特殊權(quán)限System完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象

DNS和DHCP服務(wù)器的安

裝與配置A、在域控制器上以系統(tǒng)管理員身份登錄，執(zhí)行開始管理工具ActiveDirectory用戶和計(jì)算機(jī)，打開管理單元控制臺(tái)。B、執(zhí)行查看高級(jí)功能，然后在要對(duì)其指派、更改或刪除權(quán)限的對(duì)象上右擊，在彈出菜單中選擇“屬性”，在打開的對(duì)話框中選擇“安全”標(biāo)簽。C、在“組或用戶名稱”列表中選擇組名或用戶名，按照適合的權(quán)限設(shè)置組或用戶的權(quán)限。如果遇到因權(quán)限繼承而不能更改時(shí)，單擊“高級(jí)”按鈕，打開“Users的高級(jí)安全設(shè)置”對(duì)話框，在其中的“權(quán)限”選項(xiàng)卡中選擇對(duì)應(yīng)的用戶權(quán)限選項(xiàng)，然后單擊“編輯”按鈕重新配置用戶權(quán)限。

DNS和DHCP服務(wù)器的安

裝與配置D、如果想去掉從上級(jí)目錄繼承來的權(quán)限的權(quán)限設(shè)置，可取消“Users的高級(jí)安全設(shè)置”對(duì)話框中的“允許父域的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象，包括那些在此明確定義的項(xiàng)目（A）”復(fù)選框。E、如果想要添加配置新用戶對(duì)象的訪問權(quán)限，則可在“Users的高級(jí)安全設(shè)置”對(duì)話框中單擊“添加”按鈕，打開“選擇用戶、計(jì)算機(jī)或組”對(duì)話框，在其中的“輸入對(duì)象名稱來選擇”文本框中直接輸入要添加與DNS服務(wù)器服務(wù)有關(guān)的用戶或組名，然后單擊“確定”按鈕即可。

DNS和DHCP服務(wù)器的安

裝與配置2保護(hù)DNS區(qū)域（1）配置安全的動(dòng)態(tài)更新。A、在域控制器上的DNS服務(wù)器控制臺(tái)中的DNS名稱上右擊，彈出的快捷菜單中選擇“屬性”選項(xiàng)，然后選擇“常規(guī)”標(biāo)簽。B、在“動(dòng)態(tài)更新”下拉列表框中選擇“安全”選項(xiàng)即可。（2）管理ActiveDirectory中存儲(chǔ)的DNS區(qū)域上的DACL。配置方法與DNS服務(wù)器用戶權(quán)限配置一樣。

DNS和DHCP服務(wù)器的安

裝與配置（3）限制區(qū)域傳輸在域控制器上的DNS服務(wù)器控制臺(tái)的區(qū)域?qū)傩詫?duì)話框“區(qū)域復(fù)制”選項(xiàng)卡中配置，將允許的DNS服務(wù)器IP地址添加進(jìn)去。3保護(hù)DNS資源記錄保護(hù)DNS資源記錄也就是對(duì)DACL做好適當(dāng)?shù)脑O(shè)置，配置方法與“保護(hù)DNS區(qū)域”中的安全動(dòng)態(tài)更新權(quán)限配置類似。

DNS和DHCP服務(wù)器的安

裝與配置4保證DNS客戶端的安全（1）客戶端使用靜態(tài)的首選和備用DNS服務(wù)器IP地址。（2）控制那些DNS客戶端擁有DNS服務(wù)器訪問權(quán)限。

DNS和DHCP服務(wù)器的安

裝與配置二、配制成DHCP服務(wù)器

1.在“管理您的服務(wù)器”頁中，單擊“添加或刪除角色”。注意：如果關(guān)閉了“管理服務(wù)器”頁，則可以從“管理工具”中啟動(dòng)“配置您的服務(wù)器向?qū)А?。如果選擇該選項(xiàng)，以下步驟可能會(huì)略有不同。2.在出現(xiàn)“配置您的服務(wù)器向?qū)А焙?，單擊“下一步”?.單擊“自定義配置”，然后單擊“下一步”。4.在“服務(wù)器角色”下面，單擊“DHCP服務(wù)器”，然后單擊“下一步”。

DNS和DHCP服務(wù)器的安

裝與配置5.檢查“選擇總結(jié)”，然后單擊“下一步”開始安裝。6.在出現(xiàn)“新建作用域向?qū)А焙螅瑔螕簟跋乱徊健倍xDHCP作用域。7.對(duì)于“名稱”，鍵入“ContosoHQ”。將“描述”保留為空，然后單擊“下一步”。8.輸入“0”作為“起始IP地址”；輸入“54”作為“結(jié)束IP地址”。單擊“下一步”。9.此時(shí)不定義排除。單擊“下一步”繼續(xù)安裝。10.要接受默認(rèn)的“租約期限”，請(qǐng)單擊“下一步”。

DNS和DHCP服務(wù)器的安

裝與配置11.要設(shè)置“DHCP選項(xiàng)”，請(qǐng)單擊“下一步”。12.在“路由器（默認(rèn)網(wǎng)關(guān)）”屏幕上，鍵入“”作為“IP地址”，單擊“添加”，然后單擊“下一步”。13.對(duì)于“域名稱和DNS服務(wù)器”屏幕中的“父域”，鍵入“”。對(duì)于“IP地址”，鍵入“”，單擊“添加”，然后單擊“下一步”。14.如果該環(huán)境中不使用“WINS服務(wù)器”，請(qǐng)單擊“下一步”。15.在“激活作用域”中，單擊“下一步”。16.單擊“完成”兩次。17.關(guān)閉“管理您的服務(wù)器”屏幕。

DNS和DHCP服務(wù)器的安

裝與配置在DHCP服務(wù)器上創(chuàng)建超級(jí)作用域在一臺(tái)DHCP服務(wù)器上可以有多個(gè)作用域，在同一個(gè)物理網(wǎng)段中管理不同的邏輯IP網(wǎng)絡(luò)。此時(shí)，我們可以創(chuàng)建一個(gè)超級(jí)作用域，把這些作用域作為成員作用域進(jìn)行管理。同時(shí)，在一個(gè)DHCP服務(wù)器中可以創(chuàng)建多個(gè)超級(jí)作用域。

DNS和DHCP服務(wù)器的安

裝與配置創(chuàng)建步驟A、在DHCP服務(wù)器控制臺(tái)中右擊DHCP服務(wù)器名，在彈出菜單中選擇“新建超級(jí)作用域”，打開“歡迎使用創(chuàng)建超級(jí)作用域向?qū)А睂?duì)話框。B、單擊“下一步”，打開“超級(jí)作用域名”向?qū)ы摚斎胍粋€(gè)標(biāo)識(shí)名稱。C、單擊“下一步”，打開“選擇作用域”向?qū)ы?，選擇成員作用域。

D、單擊“下一步”，打開向?qū)瓿蓪?duì)話框，并按“完成”按鈕。注：超級(jí)作用域后想把作用域加入的方法：在DHCP服務(wù)器控制臺(tái)中選擇打算要加入超級(jí)作用域的作用域，執(zhí)行操作添加到超級(jí)作用域。

DNS和DHCP服務(wù)器的安

裝與配置實(shí)驗(yàn)五實(shí)驗(yàn)名稱：DNS服務(wù)器的安裝實(shí)驗(yàn)?zāi)康模?．了解DNS的查詢?cè)怼?/p>

2．掌握DNS服務(wù)器的安裝與配置。

3．了解DNS服務(wù)器的安全配置。

實(shí)驗(yàn)環(huán)境：1、兩臺(tái)裝windowsserver2003的server，其中一臺(tái)