电大形考任务配置DNS服务.docx

电大形考任务配置DNS服务.docx

《电大形考任务配置DNS服务.docx》由会员分享，可在线阅读，更多相关《电大形考任务配置DNS服务.docx（33页珍藏版）》请在冰豆网上搜索。

电大形考任务配置DNS服务

实训目的：

理解DNS服务的工作原理，掌握配置DNS服务器和DNS客户机的方法与步骤。

实训环境：

3台服务器、若干台客户机。

实训内容：

假设你是一家公司的网络管理员，负责管理公司的网络。

你的公司希望为内部员工提供完全限定域名的解析服务，从而使员工可以利用完全限定域名访问公司网络中的计算机资源。

为此，请你完成以下工作：

①　安装三台DNS服务器：

DNS服务器1、DNS服务器2和DNS服务器3。

②　在DNS服务器1上针对公司的域名创建一个主要区域（假设公司的域名为：

）。

③　公司有三个部门：

销售部（域名为：

）、培训部（域名为：

）和技术支持部（域名为：

），现在需要在主要区域中为这三个部门分别建立子域。

④　每个部门有10台计算机，它们的主机名为：

server1－server10；它们的IP地址分别为：

192.168.1.11-192.168.1.20（销售部）、192.168.1.21-192.168.1.30（培训部）、192.168.1.31-192.168.1.40（技术支持部）。

现在需要在每个子域中分别为它们创建A记录并且启用动态更新。

⑤　为了容错，在DNS服务器2上创建辅助区域。

⑥　在DNS服务器1和DNS服务器2上创建无条件转发器，令DNS服务器3承担无条件转发器的角色。

一、安装DNS服务器

在一台Wind　owsServer2008R2计算机上安装DNS服务之前，应该保证该计算机具有静态的IP参数，也就是说，它的IP地址、子网掩码和默认网关等信息都是手工输入的，而不要向DHCP服务器获取。

这是因为从DHCP服务器租到的IP地址可能会发生变化，这会给DNS客户机的设置带来困难。

另外，还需要为DNS服务器自身设置一个完全限定域名。

管理员通过添加“DNS服务器”角色的方式在一台WindowsServer2008R2计算机上安装DNS服务，其安装步骤如下：

①　以管理员身份登录，打开服务器管理器。

②　单击【添加角色】按钮。

③　在“选择服务器角色”窗口中，选中“DNS服务器”复选框，然后单击【下一步】按钮，如图1所示。

图1选择角色

图2DNS管理控制台

④　在“DNS服务器”窗口中单击【下一步】按钮。

⑤　在“确认安装选择”窗口中单击【安装】按钮。

⑥　安装完毕后，可以单击【开始】→【管理工具】→【DNS】，打开DNS管理控制台来管理DNS服务器，如图2所示。

二、以Windows7计算机为例，安装DNS客户机

①　以管理员的身份登录这台计算机。

②　在桌面上右击“网络”图标，然后单击【属性】，打开“网络和共享中心”。

③　在如图3所示窗口中，单击【更改适配器设置】。

④　在如图4所示窗口中，右击“本地连接”，然后单击“属性”。

图3更改适配器设置

图4本地连接

⑤　在“本地连接属性”窗口中，选中“Internet协议版本4（TCP/IPv4）”，然后单击【属性】按钮。

图5“本地连接”的属性

图6添加DNS服务器

⑥　在如图5所示窗口的“常规”选项卡中，选中【使用下面的DNS服务器地址】，然后在【首选DNS服务器】处输入一台DNS服务器的IP地址，这表明此计算机将要向这台DNS服务器发出名称解析请求。

若还有其它DNS服务器可提供服务的话，则可以在【备用DNS服务器】处输入其它DNS服务器的IP地址。

这样，当DNS客户机无法联系到首选DNS服务器时，就会与备用DNS服务器通信。

如果希望指定两台以上的DNS服务器，则可单击图5中的【高级】按钮，然后通过图6中“DNS”选项卡下的【添加】按钮来输入更多DNS服务器的IP地址。

DNS客户机会按照顺序依次与这些DNS服务器通信，直至收到服务器响应为止。

三、创建主要区域

①　单击【开始】→【管理工具】→【DNS】，然后单击这台DNS服务器，接着右击【正向查找区域】，从快捷菜单中选择【新建区域】，如图7所示。

图7新建区域

②　出现“欢迎使用新建区域向导”画面时，单击【下一步】按钮。

③　在图8窗口中，选中“主要区域”单选框，然后单击【下一步】按钮。

此时，资源记录会被存储在区域文件中。

但是，如果该DNS服务器同时还是域控制器的话，则系统默认会选择图8中最下方的【在ActiveDirectory中存储区域】。

此时，资源记录会被存储在活动目录数据库中。

也就是说，它是一个ActiveDirectory集成区域。

管理员还可以进一步选择如何将其复制到其它也承担DNS服务器角色的域控制器上。

图8选择区域类型

图9输入区域名称

④　在图9所示窗口中，输入区域名称（如：

），然后单击【下一步】按钮。

⑤　在图10窗口中保留默认的区域文件名，单击【下一步】按钮。

如果希望使用一个已有的区域文件，则可先将该区域文件复制到“c:

\windows\system32\dns”文件夹中（假设WindowsServer2008R2操作系统被安装在“c:

\windows”文件夹中），然后再选中【使用此现存文件】，并输入文件名。

⑥　在图11窗口中直接单击【下一步】按钮。

在后续章节中会介绍动态更新。

⑦　在“正在完成新建区域向导”窗口中，单击【完成】按钮。

图10创建区域文件

图11设置动态更新

⑧　在图12窗口中即可看到刚刚创建的区域。

图12新创建的主要区域

四、创建资源记录

1、创建主机记录（A记录）

“主机记录”是指计算机的完全限定域名及其IP地址映射记录，又称为“A记录”（IPv4）或“AAAA记录”（IPv6）。

当DNS客户机向DNS服务器请求这个完全限定域名的IP地址时，DNS服务器就可以利用这条主机记录找到对应的IP地址，并且把这个IP地址提供给DNS客户机。

下面，以刚刚创建的域为例，介绍如何在主要区域中创建一条主机记录，具体的操作步骤为：

①　在如图12所示的窗口中的【正向查找区域】内，右击域，并选中【新建主机（A或AAAA记录）】。

②　在如图13所示的窗口中的【名称】内输入计算机的主机名“client1”，这意味着该计算机的完全限定域名为“”；在【IP地址】内输入计算机的IP地址“192.168.1.101”。

然后，单击【添加主机】按钮。

③　重复以上步骤，可以创建多个主机记录。

在图14窗口中，能够看到创建的所有主机记录。

图12新建主机记录

图13创建区域文件

图14查看主机记录

接下来，我们可以在DNS客户机上使用Ping命令进行测试。

如图15所示，DNS客户机能够通过DNS服务器得知目标计算机的IP地址是192.168.1.101。

图15使用Ping命令进行名称解析测试

2、创建别名记录（CNAME记录

通常，一台计算机会同时承担多种角色，例如：

既是DNS服务器又是Web服务器。

在这种情况下，可能希望用户使用一个名称（如：

）访问其DNS服务器角色而使用另一个名称（如：

）访问其Web服务器角色。

在这种情况下，可以通过创建别名记录（又称为“CNAME”记录）来达到目的。

假设在DNS服务器上已经创建了的主机记录，那么可以为该主机记录创建一个别名记录，具体操作步骤为：

1　在如图16所示的窗口中的【正向查找区域】内，右击域，并选中【新建别名（CNAME）】。

图16新建别名记录

2　在如图17所示窗口中的【别名】中输入一个别名，例如：

www。

然后，通过单击【浏览】，找到与之对应的主机记录。

最后，单击【确定】按钮。

我们可以在DNS管理控制台中看到所创建的这条别名记录，如图18所示。

以后，无论使用还是，都能够在DNS服务器处解析到相同的IP地址。

17设置别名

图18查看别名记录

3、创建邮件交换器记录（MX记录）

当用户发送电子邮件时，该邮件首先被送至自己的邮件交换器（即：

SMTP邮件服务器），然后再由此邮件交换器将邮件发送到目的地的邮件交换器。

但是，用户的邮件交换器如何得知目的地的邮件交换器的IP地址呢？

答案是：

向DNS服务器查询邮件交换器记录并由此得知邮件交换器的IP地址等信息。

以图19为例，查询邮件交换器记录的过程如下：

①　@发送一份电子邮件。

②　该邮件首先被送到负责域的邮件交换器，然后该邮件交换器以DNS客户机的身份向自己指向的DNS服务器查询负责域的邮件交换器的IP地址。

③　如果在该DNS服务器的数据库中存储着负责域的邮件交换器的MX记录和A记录，那么DNS服务器将通过MX记录寻找哪一台计算机承担着邮件交换器角色以及该计算机的完全限定域名是什么，然后再通过A记录找到这个完全限定域名所对应的IP地址。

这样，DNS服务器就能够找到承担邮件交换器角色的计算机IP地址了，然后再把该邮件交换器的IP地址信息发送给负责域的邮件交换器。

④　负责域的邮件交换器把邮件发送给负责域的邮件交换器。

图19查询邮件交换器记录

下面介绍如何在DNS服务器上创建MX记录。

假设负责域的邮件交换器的完全限定域名为，其IP地址为192.168.1.240。

首先，需要在DNS服务器上创建这条A记录，以便通过这个完全限定域名找到其IP地址。

然后，需要在DNS服务器上创建MX记录，以表明这个完全限定域名对应的计算机承担着邮件交换器角色。

创建MX记录的步骤为：

1　在如图20所示的窗口中的【正向查找区域】内，右击域，并选中【新建邮件交换器（MX）】。

2　在如图21所示窗口中的【主机或子域】处保留空白，这意味着该邮件交换器负责的域名与该域同名（即：

）；如果在此处输入training，则表示该邮件交换器负责的域名为：

。

然后，单击【浏览】，找到与之对应的主机记录。

最后，单击【确定】按钮。

图20新建邮件交换器记录

图21查看别名记录

3　在图22中，能够看到刚刚创建的MX记录。

图22查看MX记录

五、创建和委派子域

1．创建子域

为了管理域中的子域，管理员可以直接在区域内创建子域，然后把相关的资源记录存放到此子域内。

由此可见，这些子域及其资源记录仍然存储在管理域的DNS服务器内。

图23创建子域

图24在子域中创建资源记录

下面举例说明如何在域内创建一个子域sales。

如图23所示，右击正向查找区域→新建域→在【请输入新的DNS域名】中输入子域名称“sales”→单击【确定】按钮。

然后，可以继续在sales子域中创建A记录、CNAME记录和MX记录等，如图24所示。

在图中，由于主机名www创建在sales子域中而sales子域又创建在域中，因此其完全限定域名为。

当然，也可以在sales子域中继续创建子域。

2．委派子域

为了管理域中的子域，管理员除了可以直接在区域内创建子域外，还可以把子域委派给其它DNS服务器来管理，也就是说，此子域内的资源记录存储在被委派的DNS服务器内。

这样，可以有效提高DNS区域的管理效率。

如图25所示，假设DNS服务器1（FQDN：

）所管理的区域为，而且此区域内包含了多个子域（如：

、等）。

出于提高管理效率和减少所占磁盘空间等方面的原因，DNS服务器1的管理员希望把该主要区域内的子域委派给DNS服务器2（FQDN：

），然后由DNS服务器2的管理员在DNS服务器2上针对该子域创建主要区域并对其进行管理。

图25委派子域实例

当子域委派完成后，如果DNS客户机查询子域中的记录时，其步骤如下：

①　DNS客户机向自己的DNS服务器1发出查询的IP地址请求。

②　由于DNS服务器1已经把子域委派给了DNS服务器2，所以DNS服务器1的数据库中没有此资源记录。

但是，DNS服务器1从该完全限定域名的后缀“”得知这条资源记录应该在子域中，而该子域已经被自己委派给了DNS服务器2，所以它会把该记录的查询请求转发给DNS服务器2（此查询为迭代查询）。

③　DNS服务器2在自己的数据库中找到的IP地址，然后把该IP地址发送给DNS服务器1。

4　DNS服务器1把该IP地址发送给DNS客户机。

这样，DNS客户机就利用这种委派关系间接地从DNS服务器2处解析到了目标计算机的IP地址。

下面以图25为例来委派子域，具体步骤如下：

2　在DNS服务器1上创建主要区域。

3　在如图26所示窗口中的【正向查找区域】内，右击域，并选中【新建委派】。

图26新建委派

图27输入委派的域名

4　在“欢迎使用新建委派向导”窗口中，单击【下一步】按钮。

5　在如图27所示窗口中的【委派的域】中输入“hr”，然后单击【下一步】按钮。

这表明要把中的子域hr委派给其它DNS服务器。

6　在如图28所示窗口中，单击【添加】，然后在“新建名称服务器记录”窗口的【服务器完全限定的域名（FQDN）】中输入DNS服务器2的名称：

，在【IP地址】处输入器IP地址：

192.168.1.105。

这表明把子域委派给了DNS服务器2。

然后，单击【下一步】按钮。

图28新建名称服务器记录

图29查看被委派的子域

7　在“正在完成新建委派向导”窗口中，单击【完成】按钮。

8　在如图29所示窗口中，能够看到被委派的子域，其中只有一条类型为“名称服务器（NS）”的资源记录。

该记录表明管理子域的DNS服务器是。

当DNS服务器1收到查询内的记录的请求时，它会向DNS服务器查询。

9　在DNS服务器1上委派子域后，DNS服务器2的管理员需要在自己的计算机上创建名为“”的主要区域，接着可以在这个区域中继续建立资源记录。

显然，所有资源记录中的完全限定域名的后缀均为。

六、创建辅助区域

辅助区域用来存储一个区域（主要区域或辅助区域）的副本记录，这些记录只能通过区域传送的方式从其主DNS服务器那里复制过来，因而是只读的、不能修改。

下面以图8-37所示实例来介绍如何创建辅助区域。

我们将在DNS服务器2上创建一个辅助区域，该区域是从DNS服务器1那里通过区域传送而复制过来的。

请先在DNS服务器1的域中为DNS服务器2创建一条A记录（FQDN：

；IP地址：

192.168.1.102），以便于DNS服务器1能够找到DNS服务器2。

然后，安装DNS服务器2，将其FQDN设置为：

，IP地址设置为：

192.168.1.102。

图30辅助区域实例

创建辅助区域的操作步骤为：

2　在DNS服务器1上创建主要区域。

②　设置该区域允许被复制到其它DNS服务器上。

为此，在DNS服务器1上右击区域，然后选择【属性】→【区域传送】，在如图31所示的对话框中选择【到所有服务器】，或者选择【只允许到下列服务器】并输入DNS服务器2的IP地址。

③　在DNS服务器2的DNS控制台上，右击【正向查找区域】→选中【新建区域】。

3　在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。

4　如图32所示，在“区域类型”窗口中选中【辅助区域】，然后单击【下一步】按钮。

图31设置“允许区域复制”

图32新建辅助区域

5　如图33所示，在【区域名称】中输入，然后单击【下一步】按钮。

图33输入辅助区域名称

图34输入主DNS服务器的IP地址

⑦　在图34所示窗口中的【IP地址】处，输入DNS服务器1的IP地址：

192.168.1.101。

这表示要从DNS服务器1处复制区域，然后单击【下一步】按钮。

⑧　在“正在完成新建区域向导”窗口中，单击【完成】。

⑨　创建完毕后，可以在DNS控制台上看到该辅助区域，如图35所示。

从中能够看到与主要区域相同的资源记录。

图35查看辅助区域

七、动态更新设置

1．DNS服务器的动态更新设置

为了启用DNS服务的动态更新功能，首先需要在DNS服务器上进行动态更新的设置。

由于动态更新的对象是资源记录而资源记录存储在DNS区域中，所以管理员在DNS服务器上必须对特定的DNS区域启用动态更新功能。

例如：

如果需要对域启用动态更新功能，那么应该在DNS管理控制台上右击域→属性→在【动态更新】中选中“非安全”，如图36所示。

图36在DNS服务器上设置动态更新

2．DNS客户机的动态更新设置

在DNS服务器上启用动态更新后，还需要在DNS客户机上进行动态更新设置。

一旦在DNS客户机上启用了动态更新，那么它会在以下几种情况下向自己的DNS服务器发出动态更新请求：

●DNS客户机的IP地址更改、添加或删除。

●DHCP客户机更新租约，例如：

重新启动或运行ipconfig/renew命令。

●在DHCP客户机上运行ipconfig/registerdns命令。

●域成员服务器升级为域控制器（更新与域控制器有关的资源记录）。

以Windows7客户机为例，设置动态更新的步骤为：

在桌面上右击“网络”图标，单击【属性】→单击【更改适配器设置】，右击“本地连接”→单击【属性】→单击【Internet协议版本4（TCP/IPv4）】→单击【属性】→单击【高级】→在如图37所示窗口中，选中【DNS】选项卡。

图37在DNS客户机上设置动态更新

默认时，【在DNS中注册此连接的地址】选项被选中。

这意味着，DNS客户机已经启用了动态更新功能，它会将其完全限定域名与IP地址注册到DNS服务器内。

其中，DNS客户机的完全限定域名的设置步骤为：

在桌面上右击“计算机”，单击【属性】→单击【更改设置】→在“系统属性”窗口中单击【更改】，在如图38所示窗口中的【计算机名】处设置该计算机的主机名（例如，该计算机的主机名为“client1”），然后单击【其他】按钮，接着在【此计算机的主DNS后缀】处输入该计算机的主DNS后缀（例如，该计算机的主DNS后缀为“”）。

设置完毕后，该计算机的完全限定域名由“计算机名”与“主DNS后缀”两部分组成。

例如，图中计算机的完全限定域名为“”。

图38在DNS客户机上更改主DNS后缀

在图38中如果选中【在域成员身份变化时，更改主DNS后缀】，则表示若这台计算机加入活动目录域中，系统会自动用活动目录域的名称代替该计算机原有的主DNS后缀。

例如，若图中的计算机加入到名为“”的活动目录域，那么该计算机的完全限定域名就变为了“”。

在设置完动态更新后，我们可以在该DNS客户机所指向的DNS服务器上看到该客户机所注册的A记录，如图39所示。

如果该DNS客户机的IP地址发生了变动，那么在该窗口中能够看到它的A记录也会随之更新。

图39在DNS服务器上查看DNS客户机的动态更新记录

八、根提示

在Internet上，所有维护根域“.”的DNS服务器被称作“根DNS服务器”。

通常，在每一台DNS服务器上都有一个“根提示”，用于存放这些根DNS服务器的完全限定域名及其IP地址信息。

管理员可以在DNS控制台上右击该DNS服务器的名称→单击【属性】→单击“根提示”选项卡，在如图40所示窗口中查看和修改根提示信息。

图40查看根提示信息

那么，根提示有什么用呢？

我们知道，所有的完全限定域名都在根域中，所以根域中的所有主机记录理应存储在这个区域中。

但是，这是不现实的。

因此，Internet上维护根域的根DNS服务器会把根域中的某些子域委派给其它DNS服务器，例如：

如图41所示，维护根域的DNS服务器1会把子域“com”委派给DNS服务器2；接着，DNS服务器2会再把自己的子域（如：

）委派给DNS服务器3；然后，DNS服务器3会再把自己的子域（例如：

）委派给DNS服务器4，以此类推。

在Internet上，DNS服务器之间就是通过这种有层次的委派关系建立起联系的。

图41Internet上的区域委派关系

在这种情况下，当一台DNS客户机向自己的DNS服务器发出完全限定域名的解析请求（例如：

查询“”）时，如果这台DNS服务器在自己的数据库中找不到对应的主机记录，那么它可以把这个解析请求发送给Internet上的根DNS服务器（即：

图中的DNS服务器1）。

作为应答，根DNS服务器会把管理“com”域的DNS服务器（即：

图中的DNS服务器2）的IP地址交给这台DNS服务器，让它向DNS服务器2进行查询。

接着，这台DNS服务器会把这个解析请求发送给DNS服务器2。

作为应答，DNS服务器2会把管理“”域的DNS服务器（即：

图中的DNS服务器3）的IP地址交给这台DNS服务器，让它向DNS服务器3进行查询。

然后，这台DNS服务器继续把这个解析请求发送给DNS服务器3。

作为应答，DNS服务器3会把管理“”域的DNS服务器（即：

图中的DNS服务器4）的IP地址交给这台DNS服务器，让它向DNS服务器4进行查询。

最后，这台DNS服务器会把解析请求发送给DNS服务器4，从那里解析到了“”所对应的IP地址，并且把这个IP地址作为应答交给提出请求的DNS客户机。

从中可以看出，只要这台DNS服务器能够把解析请求发送给Internet上的根DNS服务器，便可以通过层层查询找到最终答案。

这就是在DNS服务器上设置根提示的原因。

在这种情况下，当这台DNS服务器自己无法解析完全限定域名时，会根据【根提示】中的信息把这个解析请求发送给Internet上的根DNS服务器，然后通过层层查询，最终找到正确答案。

九、转发器

如前所述，当DNS服务器收到DNS客户机的解析请求后，如果自己无法解析，那么会根据根提示信息把这个请求发送给Internet上的根DNS服务器。

不过从安全角度考虑，可能在公司的防火墙处设置仅允许一台DNS服务器与根DNS服务器通讯，而公司网络中的其它DNS服务器都必须通过这台DNS服务器向Internet查询所需要的信息。

为此，可以将这台DNS服务器设置为其它DNS服务器的“转发器”。

这样，当一台DNS服务器收到DNS客户机的查询请求时，如果自己无法解析，则会将该请求以递归查询的方式转发给承担转发器角色的另一台DNS服务器，然后再将转发器查询到的IP地址信息发送给提出请求的DNS客户机。

若要在一台DNS服务器上指定转发器，则在该DNS服务器的DNS管理控制台上右击该服务器的名称→单击【属性】→单击“转发器”选项卡，如图42所示。

然后，单击【编辑】按钮，输入承担转发器角色的另一台DN