DNS服务器配置.docx

DNS服务器配置.docx

《DNS服务器配置.docx》由会员分享，可在线阅读，更多相关《DNS服务器配置.docx（25页珍藏版）》请在冰豆网上搜索。

DNS服务器配置

配置DNS服务器

   根据图17.1所示，配置Windows2003Server下DNS服务管理如图17.1所示的阴影部分。

   任务要求如下：

（1）服务器端：

在一台计算机上安装Windows2003Server，设置IP地址为211.81.192.200，子网掩码为255.255.255.0，设置主机域名与IP地址的对应关系，对应211.81.192.250/24，邮件服务器对应211.81.192.250，文件传输服务器对应211.81.192.250，对应211.81.192.252，设置别名为，设置别名为。

设置转发器为202..99.160.68。

（2）客户端：

设置DNS服务器为211.81.192.200，启用客户端计算机的IE，访问、、，并访问Internet。

   （3）在DOS环境下，通过“Ping域名”命令可与将域名解析为IP地址。

试用Ping解析、、、、、、www.S等主机对应的IP地址。

任务分解：

为了配置DNS服务器，就需要首先了解如下内容：

   ●        什么是域名？

什么是域名系统？

   ●        在Internet上域名的结构是什么样的？

   ●        域名解析是如何进行的？

   下面首先从介绍域名及域名系统开始。

17.1.1什么是域名及域名系统

   任何TCP/IP应用在网络层都是基于IP协议实现的，因此必然要涉及到IP地址。

但是32位二进制长度的IP地址和4组十进制的IP地址难以记忆。

所以应用程序很少直接使用IP地址来访问主机。

一般采用更容易记忆的ASCII串符号来指代IP地址，这种特殊用途的ASCII串被称为域名。

例如，人们很容易记住代表新浪网的域名“”，但是恐怕极少有人知道或者记得新浪网站的IP地址。

使用域名访问主机虽然方便，但却带来了一个新的问题，即所有的应用程序在使用这种方式访问网络时，首先需要将这种以ASCII串表示的域名转换为IP地址，因为网络本身只识别IP地址。

   在为主机标识域名时要解决3个问题：

首先是全局惟一性，即一个特定的域名在整个互联网上是惟一的，它能在整个互联网中通用，不管用户在哪里，只要指定这个名字，就可以惟一地找到这台主机；二是域名要便于管理，即能够方便地分配域名、确认域名以及回收域名；三是高效地的完成IP地址和域名之间的映射。

   域名与IP地址的映射在20世纪70年代由网络信息中心（NIC）负责完成，NIC记录所有的域名地址和IP地址的映射关系，并负责将记录的地址映射信息分发给接入因特网的所有最低级域名服务器（仅管辖域内的主机和用户）。

每台服务器上维护一个称之为“hosts.txt”的文件，记录其他各域的域名服务器及其对应的IP地址。

NIC负责所有域名服务器上“hosts.txt”文件的一致性。

主机之间的通信直接查阅域名服务器上的hosts.txt文件。

但是，随着网络规模的扩大，接入网络的主机也不断增加，从而要求每台域名服务器都可以容纳所有的域名地址信息就变得极不现实，同时对不断增大的hosts.txt文件一致性的维护也浪费了大量的网络系统资源。

   为了解决这些问题，1983年，因特网开始采用层次结构的命名树作为主机的名字，并使用分布式的域名系统DNS（domainnamesystem）。

因特网的域名系统DNS被设计成一个联机分布式数据库系统，并采用客户／服务器模式。

DNS使大多数名字都在本地解析，仅少量解析需要在因特网上通信，因此系统效率很高。

由于DNS是分布式系统，即使单个计算机出了故障，也不会妨碍整个系统的正常运行。

人们常把运行主机域名解析为IP地址程序的机器称为域名服务器。

17.1.2域名结构

   在因特网上采用了层次树状结构的命名方法，任何连接在因特网上的主机或路由器，都有一个惟一的层次结构的名字，即域名（DomainName）。

   域名的结构由若干个分量组成，各分量之间用点隔开，其格式为：

   ∙∙∙.三级域名.二级域名.顶级域名

   各分量分别代表不同级别的域名。

每一级的域名都由英文字母和数字组成（不超过63个字符，并且不区分大小写子母），级别最低的域名写在最左边，而级别最高的顶级域名则写在最右边。

完整的域名不超过255个字符。

域名系统既不规定一个域名需要包含多少个下级域名，也不规定每一级的域名代表什么意思。

各级域名由其上一级的域名管理机构管理，而最高的顶级域名则由因特网的有关机构管理。

用这种方法可使每一个名字都是惟一的，并且也容易设计出一种查找域名的机制。

需要注意，域名只是个逻辑概念，并不代表计算机所在的物理结点。

如图17.2所示为因特网名字空间的结构，它实际上是一个倒过来的树，树根在最上面而没有名字。

树根下面一级的结点就是最高一级的顶级域结点。

在顶级域结点下面的是二级域结点。

最下面的叶结点就是单台计算机。

图17.2列举了一些域名作为例子。

凡是在顶级域名.com下注册的单位都获得了一个二级域名。

例如，图17.2中的有cctv（中央电视台），ibm，hp（惠普），mot（摩托罗拉）等公司。

在顶级域名.cn下的二级域名的例子是：

3个行政区域名hk（香港）、bj（北京）、he（河北）以及我国规定的6个类别域名。

这些二级域名是我国规定的，凡在其中的某一个二级域名下注册的单位就可以获得一个三级域名。

图17.2中给出的.edu下面的三级域名有：

tsinghua（清华大学）、pku（北京大学）、fudan（复旦大学）、xtvtc（邢台职业技术学院）等。

一旦某个单位拥有了一个域名，它就可以自己决定是否要进一步划分其下属的子域，并且不必将这些子域的划分情况报告给上级机构。

图17.2画出了在二级域名下的中央电视台自己划分的三级域名mail（域名为）。

在邢台职业技术学院下的四级域名mail（域名为）等。

在图17.1中列出了邢台职业技术学院下的域名有：

，，。

域名树的树叶就是单台计算机的名字，它不能再继续往下划分子域了。

   在1998年以后，非赢利组织ICANN成为因特网的域名管理机构。

现在顶级域名TLD（TopLevelDomain）有三大类：

   1.国家顶级域名nTLD：

国家顶级域名又常记为ccTLD（cc表示国家代码country-code）,现在使用的国家顶级域名约有200个左右。

采用ISO3166的规定。

如.cn表示中国，.us表示美国,.uk表示英国，等等。

   2.国际顶级域名iTLD:

采用.int。

国际性的组织可在.int下注册。

   3.国际通用顶级域名gTLD：

最早的顶级域名共有六个，即:

.com表示公司企业，.net表示网络服务机构，.org表示非赢利性组织，.edu表示教育机构（美国专用），.gov表示政府部门（美国专用），.mil表示军事部门（美国专用）。

随着Internet用户的激增，域名资源越发紧张，为了缓解这种状况，加强域名管理，Internet国际特别委员会在原来基础上增加以下国际通用顶级域名。

即:

.aero用于航空运输企业，.biz用于公司和企业，.coop用于合作团体，.info适用于各种情况，.museum用于博物馆，.name用于个人，.pro用于会计、律师和医师等自由职业者，.firm适用于公司、企业，.store适用于商店、销售公司和企业，.web适用于突出WWW活动的单位，.art适用于突出文化、娱乐活动的单位，.rec适用于突出消遣、娱乐活动的单位等。

   在国家顶级域名下注册的二级域名均由该国家自行确定。

例如，荷兰就不再设二级域名，其所有机构均注册在顶级域名.nl之下。

又如日本，将其教育和企业机构的二级域名定为.ac和.co（而不用.edu和.com）。

   在我国将二级域名划分为“类别域名”和“行政区域名”两大类。

其中“类别域名”有6个，分别为：

.ac表示科研机构，.com表示工、商、金融等企业，.edu表示教育机构，.gov表示政府部门，.net表示互联网络、接入网络的信息中心和运行中心，.org表示各种非赢利性的组织。

“行政区域名”有34个，适用于我国的各省、自治区、直辖市。

例如：

.bj表示北京市，.he表示河北省，等等。

在我国，在二级域名.edu下申请注册三级域名则由中国教育和科研计算机网网络中心负责。

在二级域名.edu之外的其它二级域名下申请三级域名的，则应向中国互联网网络信息中心CNNIC申请。

17.1.3域名服务器

   域名服务器是整个域名系统的核心。

域名服务器，严格地讲应该是域名名称服务器（DNSNameServer），它保存着域名称空间中部分区域的数据。

   因特网上的域名服务器按照域名的层次来安排的，每一个域名服务器都只对域名体系中的一部分进行管辖。

域名服务器有三种类型：

   1.本地域名服务器

   本地域名服务器（localnameserver）也称默认域名服务器，当一个主机发出DNS查询报文时，这个报文就首先被送往该主机的本地域名服务器。

在用户的计算机中设置网卡的“Internet协议（TCP/IP）属性”对话框中设置的首选DNS服务器即为本地域名服务器。

如图17.3所示。

本地域名服务器离用户较近，一般不超过几个路由器的距离。

当所要查询的主机也属于同一本地ISP时，该本地域名服务器立即就将能所查询的主机名转换为它的IP地址，而不需要再去询问其他的域名服务器。

   2.根域名服务器

   目前因特网上有十几个根域名服务器（rootnameserver），大部分都在北美。

当一个本地域名服务器不能立即回答某个主机的查询时，该本地域名服务器就以DNS客户的身份向某一根域名服务器查询。

   若根域名服务器有被查询主机的信息，就发送DNS回答报文给本地域名服务器，然后本地域名服务器再回答给发起查询的主机。

但当根域名服务器没有被查询主机的信息时，它一定知道某个保存有被查询主机名字映射的授权域名服务器的IP地址。

通常根域名服务器用来管辖顶级域（如.com）。

根域名服务器并不直接对顶级域下面所属的域名进行转换，但它一定能够找到下面的所有二级域名的域名服务器。

   3.授权域名服务器

   每一个主机都必须在授权域名服务器处注册登记。

通常，一个主机的授权域名服务器就是它的本地ISP的一个域名服务器。

实际上，为了更加可靠地工作，一个主机最好有至少两个授权域名服务器。

许多域名服务器同时充当本地域名服务器和授权域名服务器。

授权域名服务器总是能够将其管辖的主机名转换为该主机的IP地址。

   每个域名服务器都维护一个高速缓存，存放最近用过的名字以及从何处获得名字映射信息的记录。

当客户请求域名服务器转换名字时，服务器首先按标准过程检查它是否被授权管理该名字。

若未被授权，则查看自己的高速缓存，检查该名字是否最近被转换过。

域名服务器向客户报告缓存中有关名字和地址的绑定（binding）信息，并标志为非授权绑定，以及给出获得此绑定的服务器S的域名。

本地服务器同时也将服务器S与IP地址的绑定告知客户。

因此，客户可很快收到回答，但有可能信息已是过时的了。

如果强调高效，客户可选择接受非授权的回答信息并继续进行查询。

如果强调准确性，客户可与授权服务器联系，并检验名字与地址间的绑定是否仍有效。

因特网允许各个单位根据本单位的具体情况将本单位的域名划分为若干个域名服务器管辖区（Zone），一般就在各管辖区中设置相应的授权域名服务器。

如图17.4所示，abc公司有下属部门x和y，而部门x下面又分为三个分部门u，v和w，而y下面还有其下属的部门t。

17.1.4 域名的解析过程

   1.DNS解析流程

   当使用浏览器阅读网页时，在地址栏输入一个网站的域名后，操作系统会呼叫解析程序（Resolver，即客户端负责DNS查询的TCP/IP软件），开始解析此域名对应的IP地址，其运作过程如图17.5所示。

   ①首先解析程序会去检查本机的高速缓存记录，如果从高速缓存内即可得知该域名所对应的IP地址，就将此IP地址传给应用程序。

   ②若在本机高速缓存中找不到答案，接着解析程序会去检查本机文件hosts.txt，看是否能找到相对应的数据。

   ③若还是无法找到对应的IP地址，则向本机指定的的域名服务器请求查询。

域名服务器在收到请求后，会先去检查此域名是否为管辖区域内的域名。

当然会检查区域文件，看是否有相符的数据，反之则进行下一步。

   ④如果在区域文件内若找不到对应的IP地址，则域名服务器会去检查本身所存放的高速缓存，看是否能找到相符合的数据。

   ⑤如果还是无法找到相对应的数据，就需要借助外部的域名服务器，这时就会开始进行域名服务器与域名服务器之间的查询操作。

   上述5个步骤，可分为两种查询模式，即客户端对域名服务器的查询（第③、④步）及域名服务器和域名服务器之间的查询（第⑤步）。

（1）递归查询

   DNS客户端要求域名服务器解析DNS名称时，采用的多是递归查询（RecursiveQuery）。

当DNS客户端向DNS服务器提出递归查询时，DNS服务器会按照下列步骤来解析名称：

   ①域名服务器本身的信息足以解析该项查询，则直接响应客户端其查询的名称所对应的IP地址。

   ②若域名服务器无法解析该项查询时，会尝试向其他域名服务器查询。

   ③若其他域名服务器也无法解析该项查询时，则告知客户端找不到数据

从上述过程可得知，当域名服务器收到递归查询时，必然会响应客户端其查询的名称所对应的IP地址，或者是通知客户端找不到数据。

（2）循环查询

   循环查询多用于域名服务器与域名服务器之间的查询方式。

它的工作过程是：

当第1台域名服务器向第2台域名服务器（一般为根域服务器）提出查询请求后，如果在第2台域名服务器内没有所需要的数据，则它会提供第3台域名服务器的IP地址给第1台域名服务器，让第1台域名服务器直接向第3台域名服务器进行查询。

依此类推，直到找到所需的数据为止。

如果到最后一台域名服务器中还没有找到所需的数据时，则通知第1台域名服务器查询失败。

   （3）反向型

   反向型查询的方式与递归型和循环型两种方式都不同，它是让DNS客户端利用自己的IP地址查询它的主机名称。

   反向型查询是依据DNS客户端提供的IP地址，来查询它的主机名。

由于DNS域名与IP地址之间无法建立直接对应关系，所以必须在域名服务器内创建一个反向型查询的区域，该区域名称最后部分为in-addr.arpa。

   一旦创建的区域进入到DNS数据库中，就会增加一个指针记录，将IP地址与相应的主机名相关联。

换句说，当查询IP地址为211.81.192.250的主机名时，解析程序将向DNS服务器查询250.192.81.211.in-addr.arpa的指针记录。

如果该IP地址在本地域之外时，DNS服务器将从根开始，顺序解析域节点，直到找到250.192.81.211.in-addr.arpa。

   当创建反向型查询区域时，系统就会自动为其创建一个反向型查询区域文件。

   2.域名解析的效率

   为了提高解析速度，域名解析服务提供了两方面的优化：

复制和高速缓存。

   复制是指在每个主机上保留一个本地域名服务器数据库的副本。

由于不需要任何网络交互就能进行转换，复制使得本地主机上的域名转换非常快。

同时，它也减轻了域名服务器的计算机负担，使服务器能为更多的计算机提供域名服务。

   高速缓存是比复制更重要的优化技术，它可使非本地域名解析的开销大大降低。

网络中每个域名服务器都维护一个高速缓存器，由高速缓存器来存放用过的域名和从何处获得域名映射信息的记录。

当客户机请求服务器转换一个域名时，服务器首先查找本地域名到IP地址映射数据库，若无匹配地址则检查高速缓存中是否有该域名最近被解析过的记录，如果有就返回给客户机，如果没有才应用某种解析方式或算法解析该域名。

为保证解析的有效性和正确性，高速缓存中保存的域名信息记录设置有生存时间，这个时间由响应域名询问的服务器给出，超时的记录就将从缓存区中删除。

   3. DNS完整的查询过程

   图17.6显示了一个包含递归型和循环型两种类型的查询方式，DNS客户端向域名服务器Serverl查询的IP地址的过程。

查询的具体解析过程如下：

   域名解析使用UDP协议，其UDP端口号为53。

提出DNS解析请求的主机与域名服务器之间采用客户机／服务器（C／S）模式工作。

当某个应用程序需要将一个名字映射为一个IP地址时，应用程序调用一种名为解析器（resolver，参数为要解析的域名地址）的程序，由解析器将UDP分组传送给本地DNS服务器上，由本地DNS服务器负责查找名字并将IP地址返回给解析器。

解析器再把它返回给调用程序。

本地DNS服务器以数据库查询方式完成域名解析过程，并且采用了递归查询。

17.1.5知识扩展：

动态DNS（域名解析）服务

   动态DNS（域名解析）服务，也就是可以将固定的互联网域名和动态（非固定）IP地址实时对应（解析）的服务。

这就是说相对于传统的静态DNS而言，它可以将一个固定的域名解析到一个动态的IP地址，简单的说，不管用户何时上网、以何种方式上网、得到一个什么样的IP地址、IP地址是否会变化，他都能保证通过一个固定的域名就能访问到用户的计算机。

   动态域名的功能，就是实现固定域名到动态IP地址之间的解析。

用户每次上网得到新的IP地址之后，安装在用户计算机里的动态域名软件就会把这个IP地址发送到动态域名解析服务器，更新域名解析数据库。

Internet上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP地址给他。

17.1.6实现步骤：

配置Windows2003ServerDNS服务器

   根据图17.1所示，配置DNS服务器管理图17.1中阴影部分。

   17.1.6.1安装DNS服务器

   如果在“开始→程序→管理工具”选项中找不到“DNS”选项，就需要自行安装DNS服务器。

通过“添加和删除应用程序”来安装，在这里不再详细介绍。

   安装完毕后在管理工具中多了一个“DNS”控制台。

在安装ActiveDirectory的同时也安装和配置了DNS服务器。

   17.1.6.2 DNS服务器的设置

在安装有DNS服务的Windows2003Server服务器中，配置满足任务1要求的DNS服务器，步骤如下：

   1.启动Windows2003Server服务器，执行“开始→程序→管理工具→DNS”选项。

进行DNS管理与配置界面。

   2.在DNS管理与配置窗口中加入需要管理和配置的域名服务器。

用鼠标右击“树”区域的“DNS”选项，在弹出的菜单中选择“连接到DNS服务器”选项，弹出“连接到DNS服务器”对话框，如图17.7所示。

Windows2003Server中的DNS管理程序既可以管理和配置本地的域名服务，也可以管理和配置网络中其他主机的DNS。

选择“这台计算机”，单击“确定”按钮，系统将把这台计算机（计算机名为xxzx-chujl）加入到DNS树中，如图17.8所示。

这是就在该计算机上建立一个数据库，用于存储授权区域的域名信息。

   3.在“xxzx-chujl”下包括“事件查看器”、“正向查找区域”、“反向查找区域”等三个选项。

   4.建立正向查找区域

（1）创建正向主要区域

   ①右击“正向查找区域”选项，在弹出的菜单中选择“新建区域”选项，启动“欢迎使用新建区域”向导。

单击“下一步”，弹出“区域类型”对话框，如图17.9所示。

   ②选择“主要区域”选项，单击“下一步”，弹出“区域名称”对话框，如图17.10所示。

在“区域名称”文本框中输入区域名“”。

注意只输入到次阶域，而不是连同子域和主机名称都一起输入。

   ③单击“下一步”，弹出“区域文件”对话框，如图17.11所示。

在“创建新文件，文件名为”文本框中自动输入了以域名为文件名的DNS文件。

该文件的默认文件名为.dns（区域名+.dns），它被保存在文件夹\winnt\system32\dns中。

如果要使用区域内已有的区域文件，可先选择“使用此现存文件”一项，然后将该现存的文件复制到\winnt\system32\dns文件夹中。

   ④单击“下一步”按钮，弹出“动态更新”对话框，如图17.12所示。

选择“允许非安全和安全动态更新”选项表示任何客户端接受资源记录的动态更新，该设置存在安全隐患。

选择“不允许动态更新”选项，表示不接受资源记录的动态更新，更新记录必须手动。

   ⑤单击“下一步”，单击“完成”按钮。

新区域“”添加到DNS管理窗口。

   ⑥为了管理图17.1中的dzx节点，需要在“”之下再建立一个域。

为此，右击DNS树中“”，在弹出的菜单中执行“新建域”命令，弹出“新建域”对话框，如图17.13所示，在“键入新域名”文本框中输入“dzx”，单击“确定”按钮，dzx将显示在区域“”之下，如图17.14所示。

（2）删除区域

   用鼠标右键点击欲删除的区域名称，在弹出的菜单中选择“删除”选项，按“确定”按钮会将该区域从DNS服务器中删除。

   5.建立反向查找区域

   建立反向查找区域后可以让DNS客户端使用IP地址来查询主机名称。

反向区域并不是必须的，可以在需要时创建。

在Windows2003Server中DNS分布式数据库是以名称为索引而非以IP地址为索引。

反向区域的前半部分是网络ID（networkID）的反向书写，而后半部分必须是.inaddr.arpa。

例如，要查询网络ID为211.81.192.250的主机，则其反向区域前半部分的网络ID为211.81.192.，后半部分是.in-addr.arpa，区域文件为192.81.211.in-addr.arpa.dns。

（1）建立一个反向查找区域与建立正向查找区域一样，用鼠标右键点击“反向查找区域”选项，在弹出的菜单中选择“新建区域”选项，弹出“新建区域向导”对话框，单击“下一步”，弹出“区域类型”对话框，选择“主要区域”选项，单击“下一步”，弹出“反向查找区域名称”对话框，如图17.15所示，在“网络ID”文本框中输入正常的地址（如211.81.192.），这时会自动在反向查找区域名称中显