第3章域名解析—DNS服务
尽管IP网络采用IP地址来标识每台计算机,但我们在Internet上访问网站时并没有去记忆服务器的IP地址,而是以更有意义的域名来访问。很显然,Internet上有一种将域名转换为IP地址的机制,这就是DNS服务器。在Intranet上建立DNS域名服务,也可以达到同样的效果。
当然,快捷访问服务器的方法还是使用IP地址。只不过对于大多数用户来讲,域名更容易理解和记忆罢了。由于要经过专门的DNS服务器来解析,所以DNS服务器中断的情况下将导致客户机无法访问服务器。
3.1 DNS服务的原理
3.1.1 什么是DNS服务
Internet/Intranet上的任何一台计算机都必须有一个IP地址。不同的是,服务器的IP地址必须是固定的,而绝大多数客户机的IP地址是动态分配的。如果知道这些服务器的IP地址,用户就可以使用这些服务器提供的服务。但是,这种通过服务器的IP地址访问服务器的方法(如http://192.168.100.89/、ftp://192.168.100.89/等),既枯燥又很难将这些服务器与其提供什么样的服务联系起来。用户已经很熟悉的一些访问网络服务器的方式,如访问新浪网站https://www.doczj.com/doc/6014846347.html,/、中央电视台网站https://www.doczj.com/doc/6014846347.html,/等,就是用一个容易记忆的域名来代替枯燥数字代表的网络服务器IP地址的。
很显然,必须有一种计算机来完成“计算机域名→IP地址”的转换工作,称为域名解析,而完成这种功能的计算机就称为DNS(Domain Name Service,域名服务)服务器。DNS域名系统采用的是客户机/服务器机制。在服务器端建立DNS数据库,记录主机名称与IP地址的对应关系,为客户机提供域名解析服务。整个域名系统包括3个部分,如图3.1所示。
DNS客户机
DNS服务器
DNS客户机
图3.1 DNS域名系统的结构
3.1.2 DNS 服务使用的域名空间
Internet 上的DNS 域名系统采用层次结构,如同一棵倒置的树,如图3.2所示。
顶级域
二级域
子域
主机
图3.2 Internet 上的域名结构
最顶层称为根域,一个名为InterNIC 的机构既负责划分全世界的IP 地址范围,又负责分配Internet 上的域名结构。根域DNS 服务器只负责处理一些顶级域名DNS 服务器的解析请求。
第2层称为顶级域,是由常见的com 、org 、gov 、net 和国家代码等组成的域名体系。
第3层是在顶级域下划分的二级域。
第4层是二级域下的子域,子域下面可以继续划分子域,或者挂接主机。
第5层是主机。常见的www 代表的是一个Web 服务器,ftp 代表的是FTP 服务器,smtp 代表的是电子邮件发送服务器,pop 代表的是电子邮件接收服务器等。
通过这样层次式结构的划分,Internet 上的服务器的含义就非常清楚了。例如https://www.doczj.com/doc/6014846347.html, 代表的就是中国的一个叫pku (北京大学的缩写)教育机构的WWW 服务器。
在Intranet 上,也可以参照Internet 的域名结构来建立自己的域名体系。如果不需
要在Internet 上提供服务,完全可以自己确定域名。但如果要加入Internet ,就必须向合法的域名代理结构申请合法的Internet 域名。
3.1.3 DNS 服务的原理
DNS 域名采用客户机/服务器模式进行解析。在Windows 系列操作系统中都集成了DNS 客户机软件。下面以Web 访问为例介绍DNS 的域名解析过程,如图3.3所示。
(1)在Web 浏览器中输入地址https://www.doczj.com/doc/6014846347.html, (为了说明原理而虚构的域名),Web 浏览器将域名解析请求提交给自己计算机上集成的DNS 客户机软件。
(2)DNS 客户机软件向指定IP 地址的DNS 服务器发出域名解析请求:“请问https://www.doczj.com/doc/6014846347.html, 代表的Web 服务器的IP 地址是什么”。
(3)DNS 服务器在自己建立的域名数据库中查找是否有与“https://www.doczj.com/doc/6014846347.html, ”相匹配的记录。域名数据库存储的是DNS 服务器自身能够解析的数据。
(4)域名数据库将查询结果反馈给DNS 服务器。如果在域名数据库中存在匹配的记录“https://www.doczj.com/doc/6014846347.html, 对应的是IP 地址为192.168.100.89的Web 服务器”,则转入第(9)步。
(5)如果在域名数据库中不存在匹配的记录,DNS服务器将访问域名缓存。域名缓存存储的是从其他DNS服务器转发的域名解析结果。
(6)域名缓存将查询结果反馈给DNS服务器,若域名缓存中查询到指定的记录,则转入第(9)步。
(7)若在域名缓存中也没有查询到指定的记录,则按照DNS服务器的设置转发域名解析请求到其他DNS服务器上进行查找。
(8)其他DNS服务器将查询结果反馈给DNS服务器。
(9)DNS服务器将查询结果反馈回DNS客户机。
(10)DNS客户机将域名解析结果反馈给浏览器。若反馈成功,Web浏览器就按照指定的IP地址访问Web服务器,否则将提示网站无法解析或不可访问的信息。
图3.3 DNS域名解析的过程
客户机由网络应用软件和DNS客户机软件构成。DNS服务器上有两部分数据,一部分是自己建立和维护的域名数据库,存储的是由本机解析的域名;一部分是为了节省转发域名解析请求的开销而设立的域名缓存,存储从其他DNS服务器解析的历史记录。
3.1.4 DNS缓存的TTL
TTL称为生存时间。因此,DNS缓存的TTL实际上指的就是DNS缓存的生存时间。
为了加快DNS域名解析的速度,在DNS服务器上都有Cache高速缓存。
DNS服务器总是将一部分解析结果缓存在Cache中,这样当客户机要解析相同的域名时,可以从该缓存中直接获得结果,不需要DNS服务器进行域名解析,如果缓存中的域名解析不成功,DNS服务器再进行解析操作。因此,引入Cache的目的就是为了加快解析速度。
很显然,我们也不能让Cache中的数据永远存在,因为网络中的服务器IP地址很可能在不停地变化,这样就需要为Cache中的缓存设置一个TTL。
当TTL为0时,缓存中的域名解析记录被清除。
TTL设置太小,DNS服务器的负载会加大。
TTL设置太大,又不利于Cache内容的及时更新。
因此,在实际管理工作中,一般会取一个折中的TTL时间。
3.2 DNS域名解析方法
域名解析过程中,DNS客户机和DNS服务器之间的交互查询方法称为递归查询。除此之外,DNS域名解析系统还支持另外两种域名解析方法。
3.2.1 递归查询
图3.3中的域名解析过程完毕后,无论是否解析到服务器的IP地址,都要求DNS服务器最后要给予DNS客户机一个明确的结果,要么成功要么失败。DNS服务器向其他DNS服务器转发域名解析请求的过程对DNS客户机来讲是不可见的,也就是说,DNS服务器自己完成域名的转发请求,与客户机无关。
递归查询的DNS服务器的工作量大,担负解析的任务重,因此域名缓存的作用就十分明显,只要域名缓存中已经存在解析的结果,DNS服务器就不必要向其他DNS服务器发出解析请求。但如果域名缓存的结果无法访问,将重新向DNS服务器发出请求。目前DNS客户机自身也支持域名结果缓存,其作用和原理与DNS服务器的域名缓存是一样的。
3.2.2 叠代查询(转寄查询)
为了克服递归查询中所有的域名解析任务都落在DNS服务器上的缺点,可以想办法让DNS客户机也承担一定的DNS域名解析工作,这就是叠代查询。具体的做法是:DNS服务器如果没有解析出DNS客户机的域名,就将可以查询的其他DNS服务器的IP地址告诉DNS 客户机,DNS客户机再向其他DNS服务器发出域名解析请求,直到有明确的解析结果。如果最后一台DNS服务器也无法解析,则返回失败信息。
叠代查询中DNS客户机也承担域名解析的部分任务,DNS服务器只负责本地解析和转发其他DNS服务器的IP地址,因此又称为转寄查询。域名解析的过程是由DNS服务器和DNS客户机配合自动完成的。
3.2.3 反向查询
递归查询和叠代查询都是正向域名解析,即从域名查找IP地址。DNS服务器还提供反向查询功能,即通过IP地址查询域名。一般而言,客户机向DNS服务器提出的查询请求为递归查询,DNS服务器之间的查询为叠代查询。当DNS一台服务器向另外一台DNS服务器提出查询请求时,该服务器本身也就是一台DNS客户机。
3.3 DNS区域
以上介绍了DNS服务的原理、域名空间的结构等,这些好比是建筑的图纸,接下来我们要考虑如何将这些图纸实现。很显然,在全世界范围内只设置一台DNS服务器来工作是
不现实的,Internet上有成千上万台DNS服务器在工作,这些DNS服务器共同构成了DNS 域名空间。这些DNS服务器各自承担了一定的DNS域名解析的任务,只有在自己无法解析的情况下,才转发到别的DNS服务器上。这实际上是一种“分治”的思想,将一个大的问题分解为若干个小问题,对每个小问题单独进行解决,然后再来解决大的问题。
DNS区域实际上就是一台DNS服务器上完成的那部分域名解析的工作。如图3.4所示。
顶级域
二级域
子域
主机
2
图3.4 DNS区域
以图3.4为例,在CCTV中设置一个DNS服务器,这个DNS服务器将完成域名空间“https://www.doczj.com/doc/6014846347.html,”下的域名解析工作,我们就称这是一个区域。
在pku中设置一个DNS服务器,这个服务器完成域名空间“https://www.doczj.com/doc/6014846347.html,”下的域名解析工作,我们就称这也是一个区域。
因此,区域(Zone)实际上就是DNS域名空间中连续的树。它将域名空间按照需要划分成了若干较小的管理单位。
存储区域数据的文件,称为区域文件。一台DNS服务器上可以存放多个区域文件,同一个区域文件也可以存放在多台DNS服务器上。
需要提醒的是,一个区域必须是域名空间中连续的部分,否则无法构成一个区域。
比如图3.4中,https://www.doczj.com/doc/6014846347.html,和https://www.doczj.com/doc/6014846347.html,是不能构成同一个区域的,因为这是两个并列的名字空间。DNS服务器以区域为单位管理DNS服务,区域实际上就是一个数据库,存储了DNS域名和相应的IP地址,在Internet环境中,一般以二级域名表示。如https://www.doczj.com/doc/6014846347.html, 就是一个区域。区域中可以存储多个域名信息。这样,DNS服务器上是按照“服务器→区域→域→子域→主机”的层次来进行管理的。
在Windows 2000的DNS服务器中,可以构建正向和反向搜索两种区域。正向搜索区域完成从域名到IP地址的解析。反向搜索区域完成从IP地址到域名的解析。
3.4 资源记录
区域是由各种资源记录(RR)构成的。资源记录的种类决定了该资源记录对应的计算机
的功能。也就是说,如果建立了主机记录,就表明计算机是主机(用于提供Web服务、FTP 服务等),如果建立的是邮件交换器记录,就表明计算机是邮件服务器。
资源记录在区域中是用规范的格式来描述的,如表3.1所示。
表3.1 资源记录的描述格式
描述字段字段含义
Owner 记录的所有者的 DNS 域名,与记录属性中的父类域名是一致的Time-To-Live(TTL)可选项,该记录在其他DNS服务器的缓存中保存的时间长度
Class 可选项,它利用标准的文本表示记录所属的类,如某个记录中的类子段中设置为
"IN" 表示记录属于 Internet 类
Type 标准的文本表示记录的类型
Record-specific data 必须具备的字段,根据不同的记录类型和类以不同长度的字段表示记录信息
3.4.1 主机记录〔A〕
作用:DNS域名与IP地址之间的映射关系,将DNS域名映射到一个单一的32bit地址。
语法:owner class TTL A IP_v4_address
举例:https://www.doczj.com/doc/6014846347.html,. IN A 127.0.0.1
3.4.2 别名记录〔CNAME〕
作用:表示在该区域中的其他资源记录类型中已指定的DNS域名的别名。
语法:owner TTL class AFSDB subtype server_host_name
举例:https://www.doczj.com/doc/6014846347.html,. AFSDB 1 https://www.doczj.com/doc/6014846347.html,.
3.4.3 主机信息记录(HINFO)
作用:DNS主机名的CPU类型和操作系统类型信息,可以被应用程序通信协议使用。
语法:owner TTL class HINFO cpu_type os_type
举例:https://www.doczj.com/doc/6014846347.html,. HINFO INTEL-386 WIN32
3.4.4 邮箱(MB)
作用:将指定的邮箱名映射到这个邮箱的主机的当前区域中的主机地址记录。
语法:owner ttl class MB mailbox_hostname
举例:https://www.doczj.com/doc/6014846347.html,. MB https://www.doczj.com/doc/6014846347.html,
3.4.5 邮箱或通信信息(MINFO)
作用:指定负责维护该记录中特定通信名单或邮箱的联系域邮箱名称。同时,还被用来指定接收与该记录中特定通信名单或邮箱有关的错误信息的邮箱。
语法:owner ttl class MINFO responsible_mailbox error_mailbox
举例:https://www.doczj.com/doc/6014846347.html,. MINFO https://www.doczj.com/doc/6014846347.html, https://www.doczj.com/doc/6014846347.html,
3.4.6 邮件交换器(MX)
作用:用来向特定邮件交换器提供消息路由,该主机作为指定 DNS 域名的邮件交换器。MX 记录需要一个16bit整数来表示消息路由中的主机优先级,多个邮件交换在消息一中被指定。对于这个记录类型中的每个邮件交换主机,需要一个相应的主机地址类型记录。
语法:owner ttl class MX preference mail_exchanger_host
举例:https://www.doczj.com/doc/6014846347.html,. MX 10 https://www.doczj.com/doc/6014846347.html,
3.4.7 指针记录(PTR)
作用:用来指向域名空间中的某个位置。PTR记录通常在特殊域中用来执行地址到名称镜像的反向搜索。每个记录提供要指向域名称空间的某个其他位置的简单数据。
语法:owner ttl class PTR targeted_domain_name
举例:1.0.0.10.in-addr.arpa. PTR https://www.doczj.com/doc/6014846347.html,
3.4.8 服务记录(SRV)
作用:SRV 资源记录允许管理员使用单一DNS域的多个服务器,将TCP/IP服务从一个主机移到另一个主机,并且将服务提供的程序主机分派为服务的主服务器,将其他的分派为辅助的服务器。
语法:https://www.doczj.com/doc/6014846347.html, ttl class SRV preference weight port target
举例:ldap.tcp.ms-dcs SRV 0 0 389 https://www.doczj.com/doc/6014846347.html, SRV 10 0 389 https://www.doczj.com/doc/6014846347.html,
3.4.9 已知服务记录(WKS)
作用:用来描述一个特定IP地址上特定通讯协议支持的 TCP/IP 服务,它提供 TCP 和UDP 可使用性信息。如果服务器同时支持TCP和UDP的已知服务,或者有多个支持服务的IP 地址,多个WKS记录会被使用。
语法:owner ttl class WKS address protocol service_list
举例:https://www.doczj.com/doc/6014846347.html,. WKS 10.0.0.1 TCP (telnet smtp ftp)
3.5 DNS服务器的类型
DNS服务器是DNS服务网络中的核心。严格来讲,DNS服务器应该称为DNS名称服
务器,它保存着DNS区域数据。根据工作方式的不同,DNS服务器又分为以下几种类型。
3.5.1 主DNS服务器
主DNS服务器就是创建了区域的DNS服务器。这里的区域数据是可读可修改的。主DNS服务器中的区域数据也称为正本区域数据。在一个DNS服务网络中,可以建立多个主DNS服务器,这样可以提供DNS服务的容错性。
3.5.2 辅助DNS服务器
辅助DNS服务器不创建区域,它的区域数据是从主DNS服务器复制来的,因此,区域数据只能读不能修改,也称为副本区域数据。
当启动辅助DNS服务器时,辅助DNS服务器会和建立联系的主DNS服务器联系,并从主DNS服务器中复制数据。
辅助DNS服务器在工作时,它会定期地更新副本区域数据,以尽可能地保证副本和正本区域数据的一致性。辅助DNS服务器除了可以从主DNS服务器复制数据外,还可以从其他辅助DNS服务器复制区域数据。
在一个区域中设置多个辅助DNS服务器可以提供容错,分担主DNS服务器的负担,同时可以加快DNS解析的速度。
3.5.3 主控DNS服务器
不论是主DNS服务器还是辅助DNS服务器,如果它向其他辅助DNS服务器提供区域数据的复制服务,就称该DNS服务器是主控DNS服务器。
如DNS服务器A向DNS服务器B提供数据复制服务,则A就称为主控DNS服务器。
3.5.4 Cache-Only服务器
Cache-Only服务器上不存在任何区域数据,它只帮助DNS客户机向其他DNS服务器进行查询,然后将查询到的数据存储在一份高速缓存Cache中,响应客户机的查询请求。
Cache-Only服务器只负责查询数据,当客户机查询数据时,如果Cache中存在数据,则Cache可以将结果快速反馈给客户机。
3.5.5 DNS转发服务器
DNS转发服务器是一种特殊类型的DNS服务器。在一个DNS网络中,如果客户机向指定的DNS服务器解析的域名不成功,DNS服务器就可以将客户机的解析请求发送给一台DNS转发服务器,DNS转发服务器就是将域名请求转发给其他DNS服务器。如图3.5所示。
区域:https://www.doczj.com/doc/6014846347.html,
DNS客户机DNS客户机
DNS客户机
DNS客户机
区域:https://www.doczj.com/doc/6014846347.html,
转发服务器
图3.5 DNS转发服务器
3.6 构建DNS服务器
3.6.1 案例环境
本案例介绍的构建DNS服务器的案例环境如图3.6所示。
DNS服务器:IP地址192.168.100.89,计算机名MYNETSERVER,Windows 2000 Advanced Server操作系统。
DNS客户机1:IP
地址192.168.100.5,计算机名MYCLIENT,Windows XP操作系
统,浏览器为IE 6.0。
DNS客户机2:IP地址192.168.100.89 ,计算机名MYNETSERVER,Windows 2000 Advanced Server操作系统,浏览器为IE 5.0。
DNS服务器客户机
IP:192.168.100.89 255.255.255.0
:192.168.100.5 255.255.255.0
DNS客户机
IP:192.168.100.89
255.255.255.0
图3.6 构建DNS服务器的案例环境
DNS服务器必须使用固定的IP地址。
3.6.2 构建DNS服务器的步骤
(1)在计算机MYNETSERVER的桌面上单击【开始】/【程序】/【管理工具】/【配置服务器】选项,如图3.7所示。
(2)出现如图3.8所示的【Windows 2000配置您的服务器】界面。在【配置目标区】选择【联网】/【DNS】选项。
【配置
目标区】
图3.7 选择配置服务器 图3.8 【Windows 2000配置您的服务器】界面
(3)出现如图3.9所示的配置DNS 向导的【DNS 】界面。单击【安装DNS 】选项。
(4)出现如图3.10所示的【所需文件】界面。在【文件复制来源】中指定Windows 2000
Advanced Server 的路径后,单击
按钮。
图3.9 配置DNS 向导的【DNS 】界面 图3.10 【所需文件】界面 (5)出现如图3.9所示界面,单击按钮。
(6)出现如图3.11所示的配置向导的【DNS 】界面。单击【管理】选项。
(7)出现如图3.12所示的【DNS 】界面。这实际就是Windows 2000中的
DNS 管理器界面,在这个界面中可以完成DNS
服务器的管理操作。
图3.11 配置DNS 向导的【DNS 】界面 图3.12 【DNS 】界面
DNS服务的安装实际上是通过【控制面板】/【添加/删除程序】/【添加/删除Windows 组件向导】来完成的。因此,也可以通过这种方法卸载DNS服务。
3.7 配置DNS服务器
在图3.12的【管理目标导航树】下选择【DNS】/【MYNETSERVER】选项用鼠标右键单击,在出现的快捷菜单中选择【属性】选项,在出现的选项卡中修改DNS服务器的配置。
3.7.1 配置【接口】选项卡
如图3.13所示为DNS服务器属性【接口】选项卡。
图3.13 DNS服务器属性的【接口】选项卡
因为种种需要,DNS服务器上可能会绑定多个IP地址,默认情况下,DNS服务器在所有的IP地址上都可以侦听客户机的域名解析请求,称为多宿主DNS服务器。
例如,DNS服务器上有两个IP地址:
192.168.100.89
192.168.100.99
这样,DNS客户机在设置TCP/IP参数时设置的DNS服务器的IP地址可以是上述两个地址的任意一个。
如果对多宿主DNS服务器要限定执行侦听域名解析任务的IP地址,就可以在该选项卡中进行设置。选中【只在下列IP地址】单选钮,在【IP地址】文本框中输入DNS服务器执行侦听的IP地址,单击按钮将其添加到列表框中。
【接口】选项卡中设置的是DNS服务器的IP地址,而不是DNS客户机的IP地址。
3.7.2 配置【转发器】选项卡
图3.14所示为DNS服务器属性的【转发器】选项卡。当DNS服务器不能解析用户的域名解析请求时,就按照该选项卡设置的转发器转发DNS域名解析请求。
图3.14 DNS服务器属性的【转发器】选项卡
设置转发DNS服务器的步骤如下。
(1)选择【启用转发器】复选框。
(2)在【IP地址】文本框中添加转发的DNS服务器的IP地址。单击按钮将其添加进来,可以设置多个转发的DNS服务器。以笔者的环境为例,当客户机向DNS服务器发出“https://www.doczj.com/doc/6014846347.html,”这个Internet域名的解析请求时,该请求将被转发到192.168.100.10这个DNS 服务器上。Intranet的DNS域名解析请求将由192.168.100.89来完成。
(3)默认情况下,DNS服务器将等待5秒钟,等待来自一个转发器 IP 地址的响应,然后尝试另一个转发器 IP 地址。在【在转发超时(秒)】文本框中可更改DNS服务器将等待的秒数。服务器用完所有转发器时,会尝试进行递归解析。
(4)如果希望DNS服务器只使用转发器,而在转发器失败时不尝试进一步递归,则选中【不使用递归】复选框。
当Intranet连接到Internet时,就需要在Intranet的DNS服务器上设置能够到达的Internet的DNS服务器,这样客户机不论提交的是Intranet或者Internet域名的解析请求都能够得到响应。
3.7.3 配置【高级】选项卡
(1)图3.15所示为DNS服务器属性【高级】选项卡。在【服务器版本号】文本框中显示了DNS服务器软件的版本号,不可编辑。
(2)【服务器选项】列表框中可以设置的参数包括。
【停用递归】复选框:如果选中不启用DNS服务器的递归查询功能,不向其他转发器转发。默认情况下,启用DNS服务器的服务以使用递归。
【绑定辅助区域】复选框:选中后表明将区域传输给运行传统Berkeley Internet名称域(BIND)系统的DNS服务器时,确定是否使用快速传送格式。在默认情况下,所有基于Windows的DNS服务器使用快速区域传输格式,该格式在连接的传送期间进行数据压缩并可以在每个TCP消息中包含多个记录。
【如果区域数据不正确,加载会失败】复选框:在默认情况下,当DNS服务器服务记录数据错误时,系统将忽略区域文件中任何错误的数据并继续加载区域。该选项可使用DNS控制台重新配置,当DNS服务器的服务记录错误,而且在明确区域文件中的记录数据有错误时使区域文件加载失败。
【启用循环】复选框:如果对于查询应答来说存在多个相同类型的重新排序资源记录RR,则确定DNS 服务器是否使用循环法交替和RR。
【启用netmask排序】复选框:netmask(网络掩码)。确定DNS服务器是否将同一资源记录集中的A资源记录重新排序,该记录集位于根据查询来源的IP地址进行的查询响应中。在默认情况下,DNS 服务器服务使用本地子网优先级。 A资源记录就是主机资源记录,是用于将 DNS 域名映射到计算机使用的IP地址的资源记录。
【保护缓存防止污染】复选框:确定服务器是否尝试清理响应以避免缓存被破坏。默认情况下,将启用该设置。在默认情况下,DNS服务器使用安全响应选项,该选项能防止包含在参考应答中的无关资源记录添加到它们的缓存中。在大多数情况下,在参考应答中加入的任何名称通常要进行缓存,并有助于提高解析后续DNS查询的速率。但是,通过使用这个功能,服务器可以确定引用的名称是否有潜在的破坏性或不安全性并由此废弃这些名称。服务器根据名称是否为生成原始查询名称的确切相关DNS域名树的一部分,决定是否缓存参考响应中所提供的名称。
BIND(Berkeley Internet名称域)是目前Internet上主流的名称服务(通过名字定位资源的服务,如电话号码查询服务就是典型的名字服务)支持的一种域名标准。采用这一标准的DNS域名系统的DNS服务器可以实现系统完全的互操作。也就是说,互相可以使用对方的DNS数据。
图3.15 DNS服务器属性的【高级】选项卡
(3)在【名称检查】下拉列表框中设置DNS服务器用来检查正常操作期间它接收和处
理的域名名称的方法,包括以下3种处理方法。
非RFC(ANSI):此方法允许不符合RFC规范的名称用于DNS服务器,例如使用ASCII字符但不符合RFC主机命名要求的名称。
多字节(UTF8):此方法允许在DNS服务器中使用采用Unicode 8位转换编码方案(提议的RFC草案)的名称,为默认情况选项。
所有名称:允许使用非RFC(ANSI)和多字节(UTF8)命名约定。
(4)在【启动时加载区域数据】下拉列表框中选择DNS服务器启动时区域数据的来源。有以下3种选择。
从Active Directory和注册表:默认选项。
从文件
从注册表
默认情况下,DNS服务器使用存储在注册表中的信息初始化服务并加载在服务器上使
用的任何区域数据。作为附加选项,管理员可以将DNS服务器配置数据保存在文件和Active Directory环境中,这样可以使用存储在Active Directory数据库中的区域数据补充本
地注册表数据。
如果使用文件方法,所用的文件必须是位于本机systemroot\System32\Dns文件夹中的名为Boot的文本文件。
(5)选中【启用陈旧记录自动清理】复选框将自动清除服务器上的老化资源记录。
(6)在【清理周期】文本框中设置清理的老化资源记录和清理日期之间最短的时间间隔。
(7)单击【重置为默认值】按钮将设置默认的服务器高级属性,如表3.2所示。
表3.2 默认的DNS服务器属性设置
属性设置
停用递归关
绑定辅助区域开
如果区域数据不正确,加载会失败关
启用循环开
启用netmask排序开
保护缓存防止污染开
(UTF8)
名称检查 Multibyte 启动时加载区域数据从Active Directory和注册表
启用陈旧记录自动清理关
3.7.4 配置【根目录提示】选项卡
图3.16所示为DNS服务器属性的【根目录提示】选项卡。
图3.16 DNS服务器属性的【根目录提示】选项卡
如果构建的Intranet网络连接着Internet,当DNS服务器无法解析Intranet上提交的域名解析请求时,DNS服务器可以向其他DNS服务器转发域名解析请求,如果DNS服务器不知道该转发到哪些DNS服务器,怎么办呢?
例如构建的DNS服务器(服务器A)拥有https://www.doczj.com/doc/6014846347.html, 区域。如果要解析更高级别的域(如https://www.doczj.com/doc/6014846347.html, 域,由服务器B解析)时,服务器A需要一些帮助来找到服务器B。为此,Internet上有一些特殊的DNS服务器,称为根目录服务器,这些服务器上就存储了很多DNS服务器的信息,根目录服务器就可以帮助DNS服务器完成转发。
【根目录提示】选项卡就用于配置根目录服务器,如果构建的Intranet不需要连接Internet,此处也可以不用设置。
3.7.5 配置【日志】选项卡
图3.17所示为DNS服务器属性的【日志】选项卡。
图3.17 DNS服务器属性的【日志】选项卡
调试日志是DNS服务器的日志文件。默认文件名为\Systemroot\System32\Dns\dns.log,
默认情况下调试日志没有启用。但如果管理员想通过对DNS服务器调试日志的分析来协助了解DNS服务器的性能就可以启用该日志。由于使用调试日志会降低DNS服务器性能,应该只用于临时使用的情况。
在【调试日志记录选项】列表框中选择日志记录的DNS服务器的参数。包括以下内容。
查询:标准查询(按照RFC 1034)的数据包记录在日志文件中。
通知:标准通知(按照 RFC 1996)的数据包记录在日志文件中。
更新:动态更新(按照 RFC 2136)的数据包记录在日志文件中。
问题:DNS服务器上的问题数据包记录在日志文件中。
应答:DNS服务器的应答数据包记录在日志文件中。
发送:DNS服务器发送的数据包记录在日志文件中。
接收:DNS服务器接收的数据包记录在日志文件中。
UDP:通过UDP协议发送和接收的数据包记录在日志文件中。
TCP:通过TCP协议发送和接收的数据包记录在日志文件中。
完整数据包:日志中记录完整的数据包信息。
写入:日志中记录写入的数据包信息。
单击按钮将自动设置为默认状态。
3.7.6 配置【监视】选项卡
图3.18所示为DNS服务器属性的【监视】选项卡。用于对DNS服务器的配置进行测试,可以测试简单查询、递归查询是否成功,测试结果可以表明DNS服务器是否配置成功。
图3.18 DNS服务器属性的【监视】选项卡
3.8 创建DNS正向搜索区域
DNS正向搜索区域完成域名→IP地址的解析,一般的小型DNS域名系统创建正向搜索
区域就足够了。本案例介绍如何创建一个
DNS 正向搜索区域。
(1)在图3.19中的【管理目标导航树】下选择【DNS 】/【正向搜索区域】选项,用鼠标右键单击,在出现的快捷菜单中选择【新建区域】选项。
图3.19 【选择新建正向搜索区域】界面
(2)出现如图3.20所示的【欢迎】界面,单击按钮。
(3)出现如图3.21所示的【区域类型】界面。有3个选项。
Active Directory 集成的区域:只有在运行DNS 服务的服务器已经是域控制器(安装了Active Directory 活动目录服务)时,该选项才被激活。如果选择该选项,DNS 服务器创建的区域数据库将成为活动目录数据库的组成部分并由活动目录进行管理。
标准主要区域:用于建立标准的区域数据库,该数据库实际上是一个文本文件。默认的文件名称为“区域名.dns ”,在Windows 2000中,该文件默
认存放在
\%Systemroot\System32\Dns 目录下。
标准辅助区域:创建一个现有区域数据库的副本。
选择【标准主要区域】单选钮,单击按钮。
标准主要区域存储的是区域数据库信息,标准辅助区域是标准主要区域的只读副
本,它提供对区域数据的冗余备份。
图3.20 【欢迎】界面 图3.21 【区域类型】界面
(4)出现如图3.22所示的【区域名】界面。用于为在DNS 服务器上运行的区域指定名
称。笔者建立的区域名称为“https://www.doczj.com/doc/6014846347.html, ”。在【区域名称】文本框中设置后单击按钮。
(5)出现如图3.23所示的【区域文件】界面。默认选择【创建新文件,文件名为】单
选钮,在文本框中自动出现“https://www.doczj.com/doc/6014846347.html,.dns
”的区域文件名。单击按钮。
图3.22 【区域名】界面
图3.23 【区域文件】界面 如果是在Intranet 上建立DNS 服务器,区域名称是任意起的。如果是在Internet 上
开展服务,则必须向InterNIC 的分支代理机构申请合法的DNS 服务器区域名称。
(6)出现如图3.24所示的【配置完成】界面。显示了本次的配置信息。
名称:https://www.doczj.com/doc/6014846347.html,
类型:主服务器
搜索类型:正向
文件名:https://www.doczj.com/doc/6014846347.html,.dns
单击按钮。
(7)出现如图3.25所示的【DNS
服务器管理】界面,在【管理目标导航树】下选择目标后可以对DNS 服务器和区域进行管理。
【管理目标
导航树】
图3.24 【配置完成】界面 图3.25 【DNS 服务器管理】界面
3.9 配置DNS区域
本案例以对创建好的正向搜索区域https://www.doczj.com/doc/6014846347.html,为例介绍如何配置DNS区域。
在【DNS管理器】界面的【管理目标导航树】下选择【DNS】/【MYNETSERVER】/【正向搜索区域】/【https://www.doczj.com/doc/6014846347.html,】选项,用鼠标右键单击,在出现的快捷菜单中选择【属性】选项,在出现的各种选项卡中可以完成区域的配置操作。
3.9.1 配置【常规】选项卡
(1)图3.26所示为区域属性的【常规】选项卡。
(2)单击按钮可以暂停区域的使用。
(3)单击按钮出现如图3.27所示的【更改区域类型】界面。可以更改该区域为【标准主要区域】(可读、可写的区域数据的副本)或【标准辅助区域】(只可读、不可写的区域数据的副本,主要用于减轻主要区域服务器处理的负担和提供区域数据的备份),完成设置后单击按钮。
(4)在图3.26所示界面的【区域文件名】文本框中可以更改区域使用的文件名。
(5)在图3.26所示界面的【允许动态更新】下拉列表框中可以选择该区域是否启用非安全的动态更新技术。
(6)在图3.26所示界面中单击按钮用于设置区域的资源记录数据老化属性和处理方法。
图3.26 区域属性的【常规】选项卡图3.27 【更改区域类型】界面
3.9.2 配置【起始授权机构】选项卡
(1)图3.28所示为区域属性的【起始授权机构】选项卡。
DNS服务器在加载区域时,使用起始授权机构(SOA)和名称服务器(NS)两种特殊的资源记录来确定区域的授权属性。这两种资源记录在区域的配置中有特殊的作用,是任何
区域都需要建立的资源记录。起始授权机构资源记录在任何标准的区域中都是第一个资源记录,它设置了该区域使用的DNS服务器的属性。
图3.28 区域属性的【起始授权机构】选项卡
(2)【序列号】文本框显示了区域文件的修订版本号。每次区域中的资源记录发生变化时,该数字就会增加。
(3)【主服务器】文本框显示了区域使用的主DNS服务器的计算机名。
(4)【负责人】文本框显示了管理该区域的负责人的电子邮件地址。注意该名称中,英文的“.”代替了我们属性的“@”分割符。
(5)【刷新间隔】文本框可以设置DNS服务器更新数据的频率。当刷新间隔到期时,辅助DNS服务器和主DNS服务器的【序列号】将进行比较,如果序列号相同,说明两者的DNS数据是一致的,因此无需从主DNS服务器向辅助的DNS服务器中传送DNS数据。否则表明数据不一致,需要从主DNS服务器向辅助DNS服务器传送更新的DNS数据以保持一致。
(6)【重试间隔】文本框用于设置辅助DNS服务器在重新尝试对失败的区域数据进行传送之前等待的时间。
(7)【过期时间】文本框用于设置该区域数据没有从其主DNS服务器刷新的最长的时间期限。超过该期限,DNS服务器认为数据已经失效,因此不再响应用户的DNS查询请求。
(8)【最小(默认)TTL】文本框用于设置区域中没有单独设置TTL的资源记录的最小生命周期,如果资源记录单独进行了TTL的设置,以单独设置值为准。该值用于设置其他DNS服务器在转发对资源记录的解析请求后,在缓存中保留该资源记录的时间。
(9)【此记录的TTL】文本框用于设置区域数据在客户机缓存中保留的时间。
3.9.3 配置【名称服务器】选项卡
图3.29所示为区域属性的【名称服务器】选项卡。
该选项卡用于指定区域的权威DNS服务器。其他DNS服务器认为它是该区域的权威,它的DNS数据来源是最可靠和最权威的,并且能肯定应答区域内所含DNS名称的查询。