DNS配置区域与转发器(windows server 2008 DNS服务器搭建)董俊dongjunseo系列

DNS服务器的部署与配置实验背景：在Internet网络发展的早期，由于IP地址不便于记忆，网络互联的方式主要通过购买hosts 文件进行域名的解析，当时，进行网络互联的计算机并不是很多。

随后，随着计算机网络的不断发展和普及，越来越多的计算机使用了域名，然而强大的hosts文件再也不能满足于现代的网络需求，DNS（Domain Name System，域名系统）便应运而生。

DNS相对应hosts文件而言，进行了强大的改进，主要采用分层结构进行部署，包括：根域、顶级域（包括组织域、国家域或地区域、反向域）、二级域和主机名称。

域名空间的层次结构类似一个倒置的树，其中根为最高级别，大树枝处于下一级别，树叶则处于最低级别。

这样可以将巨大的信息量按层次结构划分成许多较小的部分，将每一部分存储在不同的计算机上，形成层次性、分布式的特点。

这样一方面解决了信息的统一性，另一方面信息数据分布面广，不会形成瓶颈，有利于提高访问效率。

实验目的：1、学会安装DNS服务器2、会在DNS服务器上新建正反查找区域3、新建资源记录（包括主机、别名以及SRV记录）4、会对转发器和根提示进行配置5、掌握DNS的区域传输6、配置客户机的DNS设置7、理解DNS服务器和AD之间的关系实验网络拓扑：实验步骤1. 安装DNS服务（通过管理您的服务器进行安装，也可以通过添加/删除程序进行安装）DNS服务器要为客户机提供域名解析服务，必须具备以下条件：a、有固定的IP地址b、安装并启动DNS服务c、有区域文件，或者配置转发器，或者配置根提示1.1、在Service 2（操作系统为windows server 2003）单击“开始”菜单，选择“管理工具”---“管理您的服务器”，然后选择“添加或删除角色”等服务器检测完所有的网络参数之后，选择“DNS 服务器”，系统开始安装DNS服务。

安装过程中，需要windows server 2003系统安装光盘里的两个文件，都在I386下，可以通过物理光驱添加购买的光盘进行安装，也可以通过虚拟光驱，添加对应的ISO镜像文件进行安装，安装过程中需要两次添加DNSMGR.DL_文件。

实训目的：理解DNS服务的工作原理，掌握配置DNS服务器和DNS客户机的方法与步骤。

实训环境：3台服务器、若干台客户机。

实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。

你的公司希望为内部员工提供完全限定域名的解析服务，从而使员工可以利用完全限定域名访问公司网络中的计算机资源。

为此，请你完成以下工作：①安装三台DNS服务器：DNS服务器1、DNS服务器2和DNS服务器3。

②在DNS服务器1上针对公司的域名创建一个主要区域（假设公司的域名为：）。

③④⑤为了容错，在DNS服务器2上创建辅助区域。

⑥在DNS服务器1和DNS服务器2上创建无条件转发器，令DNS服务器3承担无条件转发器的角色。

一、安装DNS服务器在一台Wind ows Server 2008 R2计算机上安装DNS服务之前，应该保证该计算机具有静态的IP参数，也就是说，它的IP地址、子网掩码和默认网关等信息都是手工输入的，而不要向DHCP服务器获取。

这是因为从DHCP服务器租到的IP地址可能会发生变化，这会给DNS客户机的设置带来困难。

另外，还需要为DNS服务器自身设置一个完全限定域名。

管理员通过添加“DNS服务器”角色的方式在一台Windows Server 2008 R2计算机上安装DNS 服务，其安装步骤如下：①以管理员身份登录，打开服务器管理器。

②单击【添加角色】按钮。

③在“选择服务器角色”窗口中，选中“DNS服务器”复选框，然后单击【下一步】按钮，如图1所示。

图1 选择角色图2 DNS管理控制台④在“DNS服务器”窗口中单击【下一步】按钮。

⑤在“确认安装选择”窗口中单击【安装】按钮。

⑥安装完毕后，可以单击【开始】→【管理工具】→【DNS】，打开DNS管理控制台来管理DNS服务器，如图2所示。

二、以Windows 7计算机为例，安装DNS客户机①以管理员的身份登录这台计算机。

②在桌面上右击“网络”图标，然后单击【属性】，打开“网络和共享中心”。

如何将DNS信息迁移到Win Server 2008 Windows 2000 Server和Active Directory出现之前，DNS一直都属于选择性Windows 组件。

在IP领域，DNS可能从某种程度上说是必需品，而运行Active Directory的纯Windows 环境要求使用这一服务以便产生能效。

技术角度来讲，即便Active Directory可以使用其他DNS服务进行操作，但是使用Windows Server中内置的DNS服务来提供最佳的综合功能却不多见。

如果你使用的是旧版的Windows DNS服务或其他DNS服务，而且还想部署Active Directory，迁移Windows Server 2008的DNS服务应该是第一步就要做的事情，这也是本文要与大家分享的内容。

DNS迁移选项有两种方法可用来将DNS服务迁移到Windows Server 2008上——不过两个方法也有高低之分。

可选的方法有：手动复制区域数据文件。

手动执行区域转换。

推荐大家手动进行区域转换的初始化操作，将区域数据从旧的服务器上转移到新的Windows Server 2008 DNS服务器上，因为这样可以减少错误发生的几率，而且过程更完整。

如果你打算直接操作，手动复制区域数据文件，就需要手动验证区域的完整性。

而且，当你手动复制区域数据文件的时候，不能直接迁移到综合了Active Directory的区域;综合了Active Directory的区域不使用那些可被复制的标准区域数据文件。

如果你当前使用的是标准区域，且长期目标是迁移到综合了AD的区域，那么可以用上述的方法迁移完区域数据后，再进行迁移。

区域转换迁移DNS数据最简单的方法是将一个区域转换从原来的DNS服务器上复制到新的Windows Server 2008 DNS服务器上。

但是具体如何操作呢?首先，要确定原有的DNS系统是什么类型。

它是基于Windows的DNS，还是一个仅使用标准DNS区域服务器的UNIX BIND系统?又或者是一个当前正运行AD区域的基于Windows 2000/2003的系统?迁移AD区域的任务很简单——只要把新的服务器添加到区域属性的Name Server标签，并确保新的服务器有权利执行区域复制。

转发器、条件转发器、缓存DNS、子域委派制作人：丁琪QQ：854804038实验一：转发器【实验名称】：window2008DNS服务器上的转发器【实验拓扑】：【实验步骤】：1、window Server2008A上的配置2、关闭Server上的防火墙3、配置window Server静态ip参数（也可以通过DHCP获取ip地址，这要在DHCP服务器上做地址保留）4、安装DNS服务（根据向导安装就行）5、打开DNS服务管理器6、新建DNS正向查找区域7、新建主区域8、键入区域名称（）9、新建一个指向本身DNS服务器的主机记录10、在window2008Server B中新建区域（）11、新建一条本机DNS的主机记录12、右击WINA中的属性（在window2008Server A）13、点击转发器14、添加window2008Server B的IP地址15、在客户端通过nslookup解析可以解析，同时也可以解析，因为通过转发器可以把自身没有的主机记录转发到其他DNS上，来进行解析实验二：条件转发器【实验名称】：DNS服务器中的条件转发器【实验拓扑】：【实验环境】：当在当前DNS数据库中没有用户所要访问的主机记录时，这时就得用到条件转发器，通过条件转发器就能把用户的请求发送到其它指定的DNS服务器来解析域名【实验步骤】：1、新建条件转发器2、键入将要转发的DNS服务器的域名，也就是转发给window2008Server B （）3、客户端通过nslookup测试，能解析实验三：DNS缓存【实验名称】：DNS缓存【实验拓扑】：【实验环境】：当条件转发器不能转发时，用户又要解析其他域中的域名，这是本地DNS就会调出刚才解析过的缓存文件来给用户解析，但这是的解析是不得准确的，因为其他DNS服务器上的数据可能发生改变，但是本地缓存里的数据还是以前的。

1、删除上一步的条件转发新建区域—父域（正向和反向）新建主机首先创建指向自己的新建子域的主机Windows server2008B配置新建子域区域（正向和反向）新建主机首先是指向自己的新建web主机随便指向地址我只是举例Windows server2008A配置新建委派首先新建一个主机指向子域然后新建委派Client配置委派成功。

《Windows Server 2008网络组建项目化教程》习题参考答案项目1 Windows Server 2008安装与基本设置二、简答题1.什么是网络操作系统？目前有哪些网络操作系统？答：网络操作系统(Network Operation System,NOS)是使网络上各种计算机能方便有效地共享网络资源,为网络用户提供所需的各种服务的软件和通信协议的集合。

目前应用较为广泛的网络操作系统有UNIX、Windows Serve、Linux和NetWare等2.Windows Server 2008的版本有哪些？答：Windows Server 2008 发行了多种版本，以支持各种规模的企业对服务器不断变化的需求。

Windows Server 2008 有Web版、标准版、企业版、数据中心版和安腾版、下一代高性能计算（HPC）平台不同版本，另外还有三个不支持 Windows Server Hyper-V 技术的版本。

3.使用MMS控制台有哪些好处？答：MMC(Microsoft Management Console,微软管理控制台)是一个可以集成各种管理工具的工作平台,它通过提供在不同工具间通用的导航栏、菜单、工具栏和工作流,来统一管理和维护网络、计算机、服务、应用程序和其他系统组件。

4.什么是远程登录？远程登录Windows Server 2008系统有哪些方式？答：所谓远程登录就是允许用户通过网络中的另一台计算机登录进入到Windows Server 2008服务器。

一旦进入服务器,用户就像在现场操作一样,可以操作服务器允许的任何事情,比如:读文件、编辑文件或删除文件等。

实现远程登录的方式有远程桌面连接、终端服务和远程协助等。

项目2 工作组及共享资源的管理一、选择题1.简述工作组的特点。

答：(1)资源和帐户的管理是分散的。

每台计算机上的管理员能够完全实现对自己计算机上的资源与帐户的管理。

(2)工作组中每台计算机的地位都是平等的,没有主从之分,“工作组”网络也称为“对等网”。

windows server 2008 DNS ,DHCP(支持IPv6) 配置说明服务器主机准备工作：1.为本机设置好静态IP，包括ipv4 和ipv6 还有相应的网关。

a)网上邻居右键属性->网络适配器设置->本地连接右键属性b)选择TCP\Ipv6 属性->设置静态ipv6地址和网关->确定c)选择TCP\Ipv4 属性->设置静态ipv4地址和网管->确定配置DNS服务器：1.打开开始->管理工具->服务器管理器,单击角色在右边会出现角色窗口。

2.选择添加角色。

然后依照服务器安装向导依次添加相关的信息。

3.创建正向查找区域（主要负责解析本地资源的DNS名称）-〉选择“这台服务器维护该区域”-〉输入本地域名或者一个域的一部分（如）-〉创建该域名对应的文件(.dns)-〉选择是否动态更新-〉选择是否转发查询-〉完成。

4.首先在正向查找域内添加本机的ipv4的和ipv6的记录。

打开要添加主机的域，在域内右键单击，选择下拉菜单的新建主机（A或AAAA）（需要输入主机名和主机对应的IP地址，A代表ipv4的主机，AAAA代表ipv6的主机）。

此外还可以添加别名，就是为已经存在的主机另起一个名字去指向它。

如果服务器不能动态更新，需要自己手动为DNS服务器添加相应的记录，添加主机到相应域。

5.（可选）添加反向查找区域(如果是小型网络可以不添加)，这样的区域一般都是对应已经存在的正向查找区域的，反向查找区域包括ipv4区域和ipv6区域。

注意的是反向查找区域ipv4 的文件名会自动出现，但是ipv6的需要自己添加应该是网段的反写后面加上ip6.arpa.dns(例如网段是2001:da8:207::0/64 文件名为0.0.0.0.7.0.2.0.8.a.d.0.1.0.0.2.ip6.arpa.dns).在区域内右键选择新建指针（PTR）然后再新出现的窗口上浏览选择要指向的主机则主机地址会自动出现。

DNS 服务器角色更新日期：2007 年00 月21 日域名系统(DNS) 是用于命名计算机和网络服务并被组织到域的层次结构中的系统。

TCP/IP 网络（如Internet）使用DNS 通过用户友好名称找到计算机和服务。

为了更便于使用网络资源，名称系统（如DNS）提供一种方法，可将计算机或服务的用户友好名称映射到与该名称关联的其他信息，如IP 地址。

与计算机在网络上通信所使用的数字地址相比，用户友好名称更便于了解和记忆。

大多数人更愿意使用用户友好名称（例如）来查找网络上的电子邮件服务器或Web 服务器，而不愿意使用IP 地址（如157.60.0.1）。

用户在应用程序中输入用户友好DNS 名称时，DNS 服务会将名称解析为其数字地址。

DNS 服务器有何作用？DNS 服务器为基于TCP/IP 的网络提供名称解析。

这使得客户端计算机的用户能够使用名称（而不是数字IP 地址）来识别远程主机。

客户端计算机会将远程主机的名称发送到DNS 服务器，该服务器以相应的IP 地址进行响应。

然后，客户端计算机可以将消息直接发送到远程主机的IP 地址。

如果DNS 服务器的数据库中没有与远程主机相对应的条目，则可以使用很可能具有该远程主机相关信息的DNS 服务器的地址对客户端进行响应，或者可以亲自查询其他DNS 服务器。

此过程可采用递归方式执行，直到客户端计算机收到IP 地址或已确定查询的名称不属于特定DNS 命名空间中的主机为止。

Windows Server® 2008 中的DNS 服务器符合用于定义和标准化DNS 协议的征求意见文档(RFC) 集。

由于DNS 服务器服务符合RFC，并且它可以使用标准的DNS 数据文件和资源记录格式，因此它可以成功地与大多数其他DNS 服务器实现（如使用Berkeley Internet 名称域(BIND) 软件的DNS 实现）一起工作。

此外，Windows Server 2008 中的DNS 服务器还在基于Windows(R) 的网络中具有以下特殊优势：•支持 Active Directory(R) 域服务 (AD DS)DNS 是支持 AD DS 的必要条件。

DNS服务器的配置一．DNS服务器概述DNS服务器又称名字服务器，它主要提供把域名解析为IP地址的服务。

由于IP地址是一组数字，不易记忆，也缺乏实际的含义，所以人们在访问网站时更习惯用域名去访问。

域名具有层次结构，比如：，其中cn表示中国，edu表示教育机构，bttc表示包头师范学院，www表示一个Web网站，所以用这个域名就可以打开包头师范学院的网站主页了。

域名容易记忆，但用域名是无法直接访问到网站的，必须把域名转换成IP地址才能访问到网站。

负责这个转换工作的就是DNS服务器。

DNS服务器主要有主要名字服务器和辅助名字服务器。

主要名字服务器的域名库是由管理员手工配置的，管理员可以把本区域的域名与IP地址的对应关系添加到主要名字服务器的域名库中。

辅助名字服务器的域名库来源于其它DNS服务器，不能进行手工配置，一个辅助名字服务器可与多个DNS服务器相关联，起到备份的作用，当主要名字服务器发生问题时，还可以接替它的工作。

Internet中有多台DNS服务器，它们构成树形的层次结构，每个DNS服务器负责管理一个域或几个域，当一个DNS服务器遇到它无法解析的域名时，会由其它的DNS服务器尝试进行解析。

Windows 2003中的“网络服务”组件中包含有DNS服务器，用它可以构建服务于本地的DNS服务器。

正向查找区域：该区域可把域名解析为IP地址。

反向查找区域：该区域可把IP地址解析为域名。

主要区域：负责区域中所有名字的解析工作。

主要区域中的域名数据库可以手工创建和维护。

辅助区域：这种区域的域名数据库是从其它域名服务器上获取的，主要用于减轻主要名字服务器的负担。

一个辅助名字服务器可以与多个其它域名服务器相关联。

辅助区域中的域名数据库是只读的，不能手工修改。

DNS缓存：每个DNS服务器都有缓存，它会将DNS服务器向其它DNS服务器查询的结果存放在缓存中，这样，当客户机再次查询该名字时，可加快查询速度。

DNS缓存中的数据都有一定的生存期，长时间不使用的数据，会自动丢弃。

外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。

域和林的级别均为windows 2003，或者以上。

两个林，一个林根域为，一个林根域为int.internal。

域的DNS服务器FQDN为：，IP为：192.168.1.10，DNS指向自己127.0.0.1。

int.internal域的DNS服务器FQDN为：WINDC.int.internal。

IP 为：192.168.1.100，DNS指向自己127.0.0.1或者192.168.1.100建立域信任int.internal域，即中的资源可以共享给int.interanl域成员查看，即在域的文件夹属性——安全选项中可以添加int.intnal域的成员，而Int.internal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Int.internal是被信任域建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。

在这里我们使用条件转发器。

在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。

一、建立DNS条件转发器在这里DNS区域和AD目录集成在一起。

打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100，点击确定，条件转发器建立成功。

真实环境中解析对方时间要长一些。

如下图：在int.internal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:192.168.1.10，这里不再贴图。

二、建立信任在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：上图点击下一步，在出现对话框中输入要信任的域即被信任域int.internal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。