在设置使用Windows 2000 Server服务的时候,维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
[b]一、使用Dnscmd方便维护DNS系统[/b]
与UNIX或脚本命令类似,Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序,它用来管理DNS服务器。
该工具可用于不同任务:
1.创建脚本或批处理文件,使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
2.更新资源记录。
3. 建立并配置新的DNS服务器。
Dnscmd的安装很简单:
1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意,Win 2000 Professional光盘中不存在这个程序。
2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
[b]二、用好Ping命令[/b]
相信大家对Ping命令都比较熟悉,它使用ICMP协议检查网络上特定IP地址的存在,一个DNS域名也是对应一个IP地址的,因此下面的命令可以检查一个DNS域名的连通性:
Ping
[url=http://www.kwsoffice.com]www.kwsoffice.com[/url]
假如一客户端不能解析DNS域名,使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通,说明该客户端有问题,如果后者可以Ping通,则说明DNS配置错误或DNS服务器错误。
[b]三、用Ipconfig设置DNS[/b]
直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.49.51.1.gif[/img]
该命令还可以手工更新一个客户的DNS注册,排除DNS名称注册失败的故障,或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障,因为该命令将刷新DHCP的租约并注册计算机的主机名。
[b]四、使用Nslookup诊断[/b]
Nslookup是诊断DNS的实用程序,它允许与DNS以对话方式工作并让用户检查资源记录,它也在命令行上运行,语法如下:
Nslookup ?-option??hostname? server?
-option?指定一个或多个命令行选项。例如要列出命令清单。
Hostname:使用用户指定的主机名,缺省使用用户指定的服务器。
Server:使用用户指定的DNS服务器,缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
例如,命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外,Nslookup还有其它功能,如检查一个区域内的资源记录、检查是否回应请求。例如,执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.5.2.gif[/img]
当然,它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等,这些在命令的帮助信息中都有,好好看看能有不少新的发现。
注意: 执行Nslookup后,系统提示符将变成“>”形式,表示已经进入对话方式,直接键入HELP可以看到所有可用命令,键入EXIT可以退出返回到DOS命令提示符下。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.34.3.gif[/img]
[b]五、查看Logging日志了解DNS工作状况[/b]
DNS管理器允许用户配置附加的日志选项,内容包括:查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录,在DNS服务器上单击右键,选择“属性”、“日志”即可,你可以看到下面提示的日志文件的名称和位置。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.42.4.jpg[/img]
使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力,以此来帮助排除解析故障
[b]六、通过DNS管理器监视[/b]
采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键,选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容:
简单查询:查询测试DNS服务器正向搜索(映射一个IP地址的名称)的能力。
递进查询:查询测试DNS服务器反向搜索(映射一个名称的IP地址)的能力。
测试结果就在窗口中,以“通过”或“失败”“论英雄”。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.52.5.jpg[/img]
你还可以设置一定的时间间隔内的自动DNS查询测试,这在建立DNS初期很有实际意义。注释掉的------>[b]Windows 2000 Server DNS维护一点通[/b]
在设置使用Windows 2000 Server服务的时候,维护工作是非常重要的。下面就和大家交流一下维护和排除DNS故障的方法。
[b]一、使用Dnscmd方便维护DNS系统[/b]
与UNIX或脚本命令类似,Windows 2000的资源工具包提供了一个叫做Dnscmd的命令行程序,它用来管理DNS服务器。
该工具可用于不同任务:
1.创建脚本或批处理文件,使DNS中每日的管理进程自动化。它特别适合设置使用文本文件的标准DNS主要区域的情况。
2.更新资源记录。
3. 建立并配置新的DNS服务器。
Dnscmd的安装很简单:
1.将Dnscmd文件从Win 2000 Server CD-ROM光盘的\support\enterprise\reskit文件夹复制到DNS服务器中你选择的文件夹中即可。如c?\winnt\system32\dns文件夹下。注意,Win 2000 Professional光盘中不存在这个程序。
2.在“运行”菜单或命令行提示符上键入DNSCMD或加上不同参数进行维护工作。
[b]二、用好Ping命令[/b]
相信大家对Ping命令都比较熟悉,它使用ICMP协议检查网络上特定IP地址的存在,一个DNS域名也是对应一个IP地址的,因此下面的命令可以检查一个DNS域名的连通性:
Ping
[url=http://www.kwsoffice.com/]
[color=#003366]www.kwsoffice.com[/color]
[/url]
假如一客户端不能解析DNS域名,使用上述命令可以判断该客户端与DNS服务器的连通性。然后可以再Ping网络中的其它客户端。如果都Ping不通,说明该客户端有问题,如果后者可以Ping通,则说明DNS配置错误或DNS服务器错误。
[b]三、用Ipconfig设置DNS[/b]
直接在命令提示符下执行Ipconfig命令可以查看DNS服务器的配置情况。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.49.51.1.gif[/img]
该命令还可以手工更新一个客户的DNS注册,排除DNS名称注册失败的故障,或对DNS服务器动态更新故障。使用命令Ipconfig registerdns可以更新或排除一个客户的DNS注册故障,因为该命令将刷新DHCP的租约并注册计算机的主机名。
[b]四、使用Nslookup诊断[/b]
Nslookup是诊断DNS的实用程序,它允许与DNS以对话方式工作并让用户检查资源记录,它也在命令行上运行,语法如下:
Nslookup ?-option??hostname? server?
-option?指定一个或多个命令行选项。例如要列出命令清单。
Hostname:使用用户指定的主机名,缺省使用用户指定的服务器。
Server:使用用户指定的DNS服务器,缺省指定使用在TCP/IP网络配置中指定的DNS服务器。
例如,命令Nslookup -querytype=mx kwsoffice.com可以显示kwsoffice.com的邮件交换信息。此外,Nslookup还有其它功能,如检查一个区域内的资源记录、检查是否回应请求。例如,执行Nslookup 192.168.12.1 127.0.0.1?该命令第一个IP地址是DNS服务器。如果服务器回应就显示“localhost”。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.5.2.gif[/img]
当然,它还能检查DC是否使用SVR资源记录添加一个区域、测试来自Wins的回应等,这些在命令的帮助信息中都有,好好看看能有不少新的发现。
注意: 执行Nslookup后,系统提示符将变成“>”形式,表示已经进入对话方式,直接键入HELP可以看到所有可用命令,键入EXIT可以退出返回到DOS命令提示符下。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.34.3.gif[/img]
[b]五、查看Logging日志了解DNS工作状况[/b]
DNS管理器允许用户配置附加的日志选项,内容包括:查询、通知、应答、UDP、TCP、完整数据包、写入等。要建立DNS记录,在DNS服务器上单击右键,选择“属性”、“日志”即可,你可以看到下面提示的日志文件的名称和位置。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.42.4.jpg[/img]
使用Logging可以调试注册、查询并提供DNS的统计信息和计划DNS服务器的利用能力,以此来帮助排除解析故障
[b]六、通过DNS管理器监视[/b]
采用DNS管理器可以监视和测试DNS服务。在DNS服务器上单击右键,选择“属性”、“监视”、“立即测试”即可测试DNS。测试包括两方面的内容:
简单查询:查询测试DNS服务器正向搜索(映射一个IP地址的名称)的能力。
递进查询:查询测试DNS服务器反向搜索(映射一个名称的IP地址)的能力。
测试结果就在窗口中,以“通过”或“失败”“论英雄”。
[img]http://windows.chinaitlab.com/imgfiles/2005.5.16.17.50.52.5.jpg[/img]
你还可以设置一定的时间间隔内的自动DNS查询测试,这在建立DNS初期很有实际意义。 [b]Win2000动态DNS的安全应用策略[/b]
Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
[b]一、安全动态更新[/b]
在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权。
下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
1.Windows2000本机模式
在Windows2000环境下,DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时,这种Windows2000环境被定义为"本机模式"。
当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录。因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器。
第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有。
第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权。
2.Windows2000混杂模式
在一个混杂模式的环境下,DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录,在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权。
3.安全动态更新
在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用。安全动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证。
Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "(GSS-TSIG)算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议,GSS-API在RFC2078中有定义.
[b]二、区域[/b]
1.区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。
2.区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。
多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。
3.区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。
在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。
当活动目录更新在"桥头"服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它桥头服务器通信,这将大大减少通过 WAN 链路的流量。在这种情况下,为了节省带宽会自动压缩。
[b]三、活动目录集成DNS 区域[/b]
在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全。
1.文件系统
使用NTFS。Windows 2000 的版本是 NTFS v5,此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
2.注册表
使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
3.Enterprise管理员和Schema管理员组
在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。
4.加密文件系统
Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
5.活动目录中的DNS
DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。
DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。
如果DHCP服务运行在一个域控制器时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录。
6.资源记录的所有权
DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字。
7.WINS查找
作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢?对所有非Windows2000客户,NetBios解析仍是必需的。同样,所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R。这分别为WINS做正向和反向记录查找。
[b]四、结论[/b]
总之,理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。注释掉的------>[b]Win2000动态DNS的安全应用策略[/b]
Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在Windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。当DNS完成集成到活动目录中后,我们可以利用Windows2000网络中的三个重要安全特性:安全动态更新、安全区域传输、对区域和资源记录的访问控制列表。
[b]一、安全动态更新[/b]
在动态DNS(DDNS)中一个最重要的安全特性就是安全更新。在实现安全更新时一个主要的考虑是DNS项组成的记录的所有权。所有权是由DHCP的配置及对客户端的支持来决定的。
与客户端相关的有两种DNS记录:A记录和PTR记录,A记录解析名字到地址,而PTR记录解析地址到名字。地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名,应该是计算机名加上网络的域名。
在Windows 2000环境中,当客户端通过DHCP请求一个IP时,客户端DNS记录就被注册。根据设置,客户端、DHCP服务器或者两者都可以更新客户的A记录和PTR记录,谁注册了这个记录,谁就对记录拥有所有权。
下面是在Windows2000网络中定义客户的A记录和PTR记录所有权的可选项。
1.Windows2000本机模式
在Windows2000环境下,DHCP服务器和DHCP客户端都可以通过DNS注册记录。当网络仅由Windows2000的服务器和客户端组成时,这种Windows2000环境被定义为"本机模式"。
当客户端是一个Windows2000客户时,默认配置是当客户在网络上注册时动态更新它自己的A记录,与此同时,DHCP服务器更新客户的PTR记录。因此,A记录的所有权属于客户端,PTR记录的所有权属于DHCP服务器。
第二种可能的配置是DHCP服务器更新正向和反向查找,在这种情况下,DHCP服务器同时拥有A记录和PTR记录的所有。
第三种可能的配置是DHCP服务器被配置为不执行动态更新,在这种情况下,客户端将更新A记录和PTR记录,同时也就拥有记录的所有权。
2.Windows2000混杂模式
在一个混杂模式的环境下,DHCP客户端不能在DNS下注册。所谓混杂模式即网络除Windows2000服务器、客户端外同时存在有WindowsNT4.0或Windows98客户。
先前的客户端,如WindowsNT4.0和Windows9x不能直接通过DNS注册。因为只有DHCP服务器可以通过DNS注册记录,在混杂环境中唯一的选择是让DHCP服务器注册A记录和PTR记录,在这种情况下,服务器拥有正向和反向查找记录的所有权。
3.安全动态更新
在Windows2000网络中,只有当活动目录与DNS区域集成时,安全动态更新才可用。安全动态更新意味着什么呢?在Windows2000中,它意味着用活动目录的ACL制定用户和组的权限来修改DNS区域和/或它的资源记录。为允许更新DNS区域和/或它的资源记录,除ACL外,动态更新也使用安全通道和认证。
Windows2000支持使用IETF草拟的"GSS Algorithm for TSIG "(GSS-TSIG)算法进行安全动态更新。这个算法使用 Kerberos v5 作为优先的认证协议,GSS-API在RFC2078中有定义.
[b]二、区域[/b]
1.区域的类型
Windows 2000 可以配置 DNS 区域为主要区域、辅助区域或活动目录集成。
主要和辅助区域的功能与在Unix和NT4.0环境下一样。另外,DNS数据库与其它数据库如WINS和DHCP保持独立,复制是从其它复制服务中独立设置。如果网络中有服务器运行低于
8.1.2的BIND版本,则必须使用主要/辅助区域,因为在早先的版本中不支持动态更新。
如果安装了活动目录,DNS区域可以成为活动目录集成区域。这意味着DNS区域数据库成为活动目录数据库的一部分,每条记录都是活动目录的对象,每个活动目录对象拥有它自己的ACL(访问控制列表)。
2.区域传输或复制的类型
Windows 2000下的DNS可以支持 AXFR 或 IXFR。AXFR或所有的区域传输,是整个区域数据库文件的复制。IXFR或增量区域传输,仅仅复制区域数据库的变化。如果区域类型设置为主要/辅助区域,那么可以应用这些区域复制方法。IXFR支持在BIND 8.2.1及以上版本。
当 DNS与活动目录集成时,所有的区域和资源记录将成为活动目录数据库中的对象。活动目录的复制是基于多主机模型。
多主机模型的好处之一是没有单点失败的问题。这是可能的,因为DNS是活动目录数据库的一部分,而活动目录数据库被复制到所有的域控制器。
多主机模型的第二个好处是仅需要设置一个复制拓扑。DNS区域数据库变成活动目录数据的一部分,因此DNS区域传输作为活动目录复制的一部分完成。
3.区域传输的安全
如果Windows 2000的DNS配置为主要/辅助区域,是不能使用加密和压缩的。为了与BIND兼容,Windows 2000支持AXFR,每个消息发送/接受一个或多个资源记录。在BIND4.9.4以前的版本不支持多条资源记录由一个消息传输。为与BIND8.2.1版本兼容Windows2000支持IXFR,为与BIND8.1.2版本兼容Windows 2000 支持DNS通告。
当Windows 2000的DNS配置为与活动目录集成时,复制进程成为活动目录复制的一部分,因此它自动使用加密和压缩。
在Windows 2000下使用Kerberos v5进行加密。控制器之间的通信通道自动加密,不需要管理员配置。
当活动目录更新在"桥头"服务器间传输时,自动进行压缩。桥头服务器是在本地局域网服务器自动选择产生的,当活动目录使用广域网链路进行更新时,每个局域网的桥头服务器会与其它桥头服务器通信,这将大大减少通过 WAN 链路的流量。在这种情况下,为了节省带宽会自动压缩。
[b]三、活动目录集成DNS 区域[/b]
在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全。
1.文件系统
使用NTFS。Windows 2000 的版本是 NTFS v5,此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先
前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
2.注册表
使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
3.Enterprise管理员和Schema管理员组
在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。
4.加密文件系统
Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
5.活动目录中的DNS
DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。
DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。
如果DHCP服务运行在一个域控制器时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录。
6.资源记录的所有权
DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字。
7.WINS查找
作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢?对所有非Windows2000客户,NetBios解析仍是必需的。同样,所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R。这分别为WINS做正向和反向记录查找。
[b]四、结论[/b]
总之,理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。 [b]Windows 2003上网配置DNS的技巧[/b]
本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
如何从运行 Windows Server 2003 的独立服务器开始
运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步,为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址,因为地址的动态更改会使客户端与DNS服务器失去联系。
第1步:配置TCP/IP
打开网络连接,然后使用右键查看本地连接的属性。
选择Internet 协议 (TCP/IP)。查看其属性。
单击常规选项卡。
选择“使用下面的IP地址”,然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
选中高级选项中的DNS选项卡。
单击附加主要的和连接特定的DNS 后缀。
单击以选中附加主DNS 后缀的父后缀复选框。
单击以选中在DNS中注册此连接的地址复选框。
注意,运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
单击确定三次。
备注: 如果收到一个来自DNS 缓存解析器服务的警告,单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系,但您尚未完成该服务器的配置
第2步:安装 Microsoft DNS 服务器
单击开始,指向控制面板,然后单击添加或删除程序。
单击“添加或删除Windows组件”。
在组件列表中,单击网络服务(但不要选中或清除该复选框),然后单击详细信息。单击以选中域名系统 (DNS) 复选框,然后单击确定。
单击下一步。
得到提示后,将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
安装完成时,在完成 Windows 组件向导页上单击完成。
单击关闭关闭添加或删除程序窗口。
第3步:配置 DNS 服务器
要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS,请按照下列步骤操作:
单击开始,指向程序,指向管理工具,然后单击DNS。
右击正向搜索区域,然后单击新建区域。
当“新建区域向导”启动后,单击下一步。
接着将提示您选择区域类型。区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
辅助区域:标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意,您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
存根区域:存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或 Active Directory 集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步。
新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同,或者是该名称的逻辑 DNS 容器。例如,如果基于Active Directory 的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”。
接受新区域文件的默认名称,单击下一步。
备注:有经验的DNS 管理员可能希望创建反向搜索区域,因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求:正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域,您可以在创建原始正向记录时自动创建关联的反向记录。
如何移除根DNS 区域
运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时,域控制器需要DNS。如果在提升过程中安装 DNS,会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此,您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
单击开始,指向管理工具,然后单击DNS。
展开 ServerName,其中 ServerName 是服务器的名称,单击属性 ,然后展开正向搜索区域。
右击"." 区域,然后单击删除.
如何配置转发器
Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录,可以将请求发送给另一台 DNS 服务器,以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
单击开始,指向管理工具,然后单击DNS。
右击ServerName,其中ServerName是服务器的名称,然后单击转发器 选项卡。
单击DNS域列表中的一个DNS域。或者单击新建,在DNS“域框”中键入希望转发查询的DNS域的名称,然后单击确定。
在所选域的转发器IP地址框中,键入希望转发到的第一个DNS服务器的IP地址,然后单击添加。
重复步骤 4,添加希望转发到的DNS服务器。
单击确定。
如何配置根提示
Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外,当运行 Windows Server 2003 的服务器查询根服务器时,它将用最新的根服务器列表更新自身。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
如何在防火墙后配置DNS
代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时,这些问题都有可能发生注释掉的------>[b]Windows 2003上网配置DNS的技巧[/b]
本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。
如何从运行 Windows Server 2003 的独立服务器开始
运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步,为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址,因为地址的动态更改会使客户端与DNS服务器失去联系。
第1步:配置TCP/IP
打开网络连接,然后使用右键查看本地连接的属性。
选择Internet 协议 (TCP/IP)。查看其属性。
单击常规选项卡。
选择“使用下面的IP地址”,然后在相应的框中键入IP 地址、子网掩码和默认网关地址。
选中高级选项中的DNS选项卡。
单击附加主要的和连接特定的DNS 后缀。
单击以选中附加主DNS 后缀的父后缀复选框。
单击以选中在DNS中注册此连接的地址复选框。
注意,运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。
如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。
单击确定三次。
备注: 如果收到一个来自DNS 缓存解析器服务的警告,单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系,但您尚未完成该服务器的配置
第2步:安装 Microsoft DNS 服务器
单击开始,指向控制面板,然后单击添加或删除程序。
单击“添加或删除Windows组件”。
在组件列表中,单击网络服务(但不要选中或清除该复选框),然后单击详细信息。单击以选中域名系统 (DNS) 复选框,然后单击确定。
单击下一步。
得到提示后,将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
安装完成时,在完成 Windows 组件向导页上单击完成。
单击关闭关闭添加或删除程序窗口。
第3步:配置 DNS 服务器
要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS,请按照下列步骤操作:
单击开始,指向程序,指向管理工具,然后单击DNS。
右击正向搜索区域,然后单击新建区域。
当“新建区域向导”启动后,单击下一步。
接着将提示您选择区域类型。区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
辅助区域:标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意,您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
存根区域:存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。
Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或 Active Directory 集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步。
新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同,或者是该名称的逻辑 DNS 容器。例如,如果基于Active Directory 的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”。
接受新区域文件的默认名称,单击下一步。
备注:有经验的DNS 管理员可能希望创建反向搜索区域,因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求:正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域,您可以在创建原始正向记录时自动创建关联的反向记录。
如何移除根DNS 区域
运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时,域控制器需要DNS。如果在提升过程中安装 DNS,会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此,您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
单击开始,指向管理工具,然后单击DNS。
展开 ServerName,其中 ServerName 是服务器的名称,单击属性 ,然后展开正向搜索区域。
右击"." 区域,然后单击删除.
如何配置转发器
Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录,可以将请求发送给另一台 DNS 服务器,以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
单击开始,指向管理工具,然后单击DNS。
右击ServerName,其中ServerName是服务器的名称,然后单击转发器 选项卡。
单击DNS域列表中的一个DNS域。或者单击新建,在DNS“域框”中键入希望转发查询的DNS域的名称,然后单击确定。
在所选域的转发器IP地址框中,键入希望转发到的第一个DNS服务器的IP地址,然后单击添加。
重复步骤 4,添加希望转发到的DNS服务器。
单击确定。
如何配置根提示
Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外,当运行 Windows Server 2003 的服务器查询根服务器时,它将用最新的根服务器列表更新自身。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击属性.单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
如何在防火墙后配置DNS
代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时,这些问题都有可能发生 [b]Win 2k“秘密武器”之DNS工具(一)[/b] 在网络环境下应用的工具:对从事维护人的员来说用处较大。并需要注意:有些工具需要另一个工具作为基础才好用,即某个工具在工作时,作为基础的另一个工具必须先被执行。这些工具有:
远程文件储存诊断
远程文件储存分析
分布式文件系统实用工具
由于网络越来越普及,分布式文件系统应用越来越多,其应用也越来越广,基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友,这部分不可不看。
基于网络的工具,也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个,分别是:
工具名称 对应的可执行文件名称
ADSI Edit 操作控制台
DNS Server Troubleshooting Tool (Dnscmd.exe)
DsAcls (Dsacls.exe)
DsaStat (Dsastat.exe)
Kerberos Setup (Ksetup.exe)
Kerberos Keytab Setup (Ktpass.exe)
Active Directory Administration Tool (Ldp.exe)
Active Directory Object Manager (Movetree.exe)
Windows 2000 Domain Manager (Netdom.exe)
NlTest (Nltest.exe)
Remote Command Line (Remote.exe)
Replication Diagnostics Tool (Repadmin.exe)
Active Directory Replication Monitor (Replmon.exe)
Security Descriptor Check Utility (Sdcheck.exe)
Active Directory Search Tool (Search.vbs)
Winsock Remote Console (Wsremote.exe)
正因这些工具都是基于网络的、或是应用于网络环境之下的,所以真正有机会动手实践的人,与个人计算机环境相比,是少之又少了。但任何一项技术能发展与否,都取决于其生命力。现在网络之普及,给网络技术的普及带来了巨大的生命力,保持于这种普及同步的技术优势,是将来决胜之策。
我所以整理出来这些资料,一为学习,二为与诸位共勉。话都说到这样诚恳的地步了,所以,尤其希望各位发现有不当之处,一定要批评指正,方不负我一片诚意。
DNS服务器故障排除工具
这个工具的英文全名是:DNS Server Troubleshooting Tool,作用是排除域名服务系统的故障,缩写为:DNScmd。这是供系统管理员在域名服务系统(DNS)中使用的一个工具,工具运行的形式是基于命令行的。利用该工具,系统管理员可以观察域名服务系统的属性、范围、资源记录。此外,这个工具也允许以手工形式修改上述的属性,也就是可以建立、删除资源记录,或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
在Windows NT中,原有与此相关的一个工具,称为:Dnsstat.exe(可以在Windows NT Resource Kit中找到),而DNScmd.exe,就是前者的强化版本。
前面已经述及:这是一个命令行的工具,凡是命令行程序,都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法,所以,此处不再多加解释。以下的部分,假设你已经打开了命令控制台。
DNScmd.exe的用法
如果想获得DNScmd.exe的帮助,可以使用DNScmd/?的命令形式来取得帮助的详细信息;DNScmd.exe包含有很多条命令,如果想得到一个指定的命令的应用帮助,可以采用这种形式:Dnscmd command /?,其中,command是所指定的一条命令的名称(具体参看下面介绍),command前面的空格不能省去。
我在自己的机器上进行了验证,运行CMD之后,在系统提示符之后键入dnscmd/?,然后回车,其显示如下,考虑到篇幅限制,中间有省略号的地方,是被省略了的项目:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
C:\>dnscmd/?
USAGE: DnsCmd []
:
. -- local machine using LPC
IP address -- RPC over TCP/IP
DNS name -- RPC over TCP/IP
other server name -- RPC over named pipes
:
/Info -- Get server information
……
/ResetForwarders -- Set DNS servers to forward recursive queries to
/ZoneInfo -- View zone information
……
/ZoneResetMasters -- Reset secondary zone's master servers
/EnumRecords -- Enumerate records at a name
/RecordAdd -- Create a record in zone or RootHints
/RecordDelete -- Delete a record from zone, RootHints or Cache d
ata
/NodeDelete -- Delete all records at a name
/AgeAllRecords -- Force aging on node(s) in zone
:
-- parameters specific to each Command
dnscmd /? -- For help info on specific Command
C:\>
与正式的帮助文档相比,这里的帮助提示很简略。但最重要的发现,还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同,在介绍相关命令的时候,会给各位提醒的。
由于Windows2000很重视安全问题,所以,像这类涉及修改重要属性的工具,也必须对工具的使用者进行权限验证,没有通过正确登录系统的使用者,也不可能使用这个工具。也就是说,这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂,其实,你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
命令使用形式:
所有Dnscmd.exe的命令使用都有统一的形式,请看下一行:
dnscmd ServerName Command [Command Parameters]
完整的命令语法共分四个部分:dnscmd是工具名称,不能省略。
ServerName是服务器名称,不能省略。
Command所指定的命令,不能省略。
Command Parameters命令参数,是可选的项目。
这四个部分中:
A :工具(程序)名称没有可多说的,直接使用就是了;
B:服务器名称是由系统管理员规划设计的一个用于管理的机器名称,在此处,服务器名称是作为一个变量来使用的,既然是变量,当真正执行的时候,肯定要被具体的“值”所取代。取代服务器名称的是以下各项目:
1. 指定的本地计算机,利用本地连接访问来工作。本地连接访问在英文中被缩写为:LPC
2. 使用IP地址,IP地址的格式是:xx.xx.xx.xx。指定DNS服务器,工作时需要经由TCP/IP,利用远程连接访问方式。远程连接访问在英文中被缩写为:RPC。
3. 指定的DNS名称:这个名称必须是完整的、有资格的(经过身份验证的)DNS服务器名称(即FQDN),工作也需要经由TCP/IP,利用远程连接访问方式。
4. NetBIOS 名称:类似于上一个,只是依据的是NetBIOS而不是经由TCP/IP,工作也需要利用远程连接访问方式。
C :命令 command
Command是命令的名字,本工具有很多个命令,不同的命令功能不同。具体可以参看以下的介绍。
D:命令参数
这时可选项目,有些命令可能并没有参数。
到此,我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始,将介绍每个命令的语法、使用方法和例子分析。注释掉的------>[b]Win 2k“秘密武器”之DNS工具(一)[/b] 在网络环境下应用的工具:对从事维护人的员来说用处较大。并需要注意:有些工具需要另一个工具作为基础才好用,即某个工具在工作时,作为基础的另一个工具必须先被执行。这些工具有:
远程文件储存诊断
远程文件储存分析
分布式文件系统实用工具
由于网络越来越普及,分布式文件系统应用越来越多,其应用也越来越广,基于网络来排除故障的工具的使用价值也在不断上升。对需要经常与网络打交道的朋友,这部分不可不看。
基于网络的工具,也不是仅仅这些。Windows2000的资源工具中配备了相当多的此类软件――也就是下面将介绍的“网络管理工具”。这一系列的工具有16个,分别是:
工具名称 对应的可执行文件名称
ADSI Edit 操作控制台
DNS Server Troubleshooting Tool (Dnscmd.exe)
DsAcls (Dsacls.exe)
DsaStat (Dsastat.exe)
Kerberos Setup (Ksetup.exe)
Kerberos Keytab Setup (Ktpass.exe)
Active Directory Administration Tool (Ldp.exe)
Active Directory Object Manager (Movetree.exe)
Windows 2000 Domain Manager (Netdom.exe)
NlTest (Nltest.exe)
Remote Command Line (Remote.exe)
Replication Diagnostics Tool (Repadmin.exe)
Active Directory Replication Monitor (Replmon.exe)
Security Descriptor Check Utility (Sdcheck.exe)
Active Directory Search Tool (Search.vbs)
Winsock Remote Console (Wsremote.exe)
正因这些工具都是基于网络的、或是应用于网络环境之下的,所以真正有机会动手实践的人,与个人计算机环境相比,是少之又少了。但任何一项技术能发展与否,都取决于其生命力。现在网络之普及,给网络技术的普及带来了巨大的生命力,保持于这种普及同步的技术优势,是将来决胜之策。
我所以整理出来这些资料,一为学习,二为与诸位共勉。话都说到这样诚恳的地步了,所以,尤其希望各位发现有不当之处,一定要批评指正,方不负我一片诚意。
DNS服务器故障排除工具
这个工具的英文全名是:DNS Server Troubleshooting Tool,作用是排除域名服务系统的故障,缩写为:DNScmd。这是供系统管理员在域名服务系统(DNS)中使用的一个工具,工具运行的形式是基于命令行的。利用该工具,系统管理员可以观察域名服务系统的属性、范围、资源记录。此外,这个工具也允许以手工形式修改上述的属性,也就是可以建立、删除资源记录,或者在域名服务器的物理内存和域名服务数据库及数据文件之间强行进行事件复制的操作。
在Windows NT中,原有与此相关的一个工具,称为:Dnsstat.exe(可以在Windows NT Resource Kit中找到),而DNScmd.exe,就是前者的强化版本。
前面已经述及:这是一个命令行的工具,凡是命令行程序,都需要先运行命令控制台CMD。由于前面的文章中已经介绍过CMD的用法,所以,此处不再多加解释。以下的部分,假设你已经打开了命令控制台。
DNScmd.exe的用法
如果想获得DNScmd.exe的帮助,可以使用DNScmd/?的命令形式来取得帮助的详细信息;DNScmd.exe包含有很多条命令,如果想得到一个指定的命令的应用帮助,可以采用这种形式:Dnscmd command /?,其中,command是所指定的一条命令的名称(具体参看下面介绍),command前面的空格不能省去。
我在自己的机器上进行了验证,运行CMD之后,在系统提示符之后键入dnscmd/?,然后回车,其显示如下,考虑到篇幅限制,中间有省略号的地方,是被省略了的项目:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-1998 Microsoft Corp.
C:\>dnscmd/?
USAGE: DnsCmd []
:
. -- local machine using LPC
IP address -- RPC over TCP/IP
DNS name -- RPC over TCP/IP
other server name -- RPC over named pipes
:
/Info -- Get server information
……
/ResetForwarders -- Set DNS servers to forward recursive queries to
/ZoneInfo -- View zone information
……
/ZoneResetMasters -- Reset secondary zone's master servers
/EnumRecords -- Enumerate records at a name
/RecordAdd -- Create a record in zone or RootHints
/RecordDelete -- Delete a record from zone, RootHints or Cache d
ata
/NodeDelete -- Delete all records at a name
/AgeAllRecords -- Force aging on node(s) in zone
:
-- parameters specific to each Command
dnscmd /? -- For help info on specific Command
C:\>
与正式的帮助文档相比,这里的帮助提示很简略。但最重要的发现,还是两者所提供的命令总数不相同。这种正式帮助文档和在线提示中不一致的情况已经不是第一次了。究竟何处不同,在介绍相关命令的时候,会给各位提醒的。
由于Windows2000很重视安全问题,所以,像这类涉及修改重要属性的工具,也必须对工具的使用者进行权限验证,没有通过正确登录系统的使用者,也不可能使用这个工具。也就是说,这个工具只能由经过正确登录的、已经得到信任的用户来使用。说起来似乎很复杂,其实,你只要能以系统管理员的身份登录Windows2000,就可以进入命令控制台中使用它。
命令使用形式:
所有Dnscmd.exe的命令使用都有统一的形式,请看下一行:
dnscmd ServerName Command [Command Parameters]
完整的命令语法共分四个部分:dnscmd是工具名称,不能省略。
ServerName是服务器名称,不能省略。
Command所指定的命令,不能省略。
Command Parameters命令参数,是可选的项目。
这四个部分中:
A :工具(程序)名称没有可多说的,直接使用就是了;
B:服务器名称是由系统管理员规划设计的一个用于管理的机器名称,在此处,服务器名称是作为一个变量来使用的,既然是变量,当真正执行的时候,肯定要被具体的“值”所取代。取代服务器名称的是以下各项目:
1. 指定的本地计算机,利用本地连接访问来工作。本地连接访问在英文中被缩写为:LPC
2. 使用IP地址,IP地址的格式是:xx.xx.xx.xx。指定DNS服务器,工作时需要经由TCP/IP,利用远程连接访问方式。远程连接访问在英文中被缩写为:RPC。
3. 指定的DNS名称:这个名称必须是完整的、有资格的(经过身份验证的)DNS服务器名称(即FQDN),工作也需要经由TCP/IP,利用远程连接访问方式。
4. NetBIOS 名称:类似于上一个,只是依据的是NetBIOS而不是经由TCP/IP,工作也需要利用远程连接访问方式。
C :命令 command
Command是命令的名字,本工具有很多个命令,不同的命令功能不同。具体可以参看以下的介绍。
D:命令参数
这时可选项目,有些命令可能并没有参数。
到此,我们已经将使用这个工具的所有前期准备工作都作完了。从下一篇开始,将介绍每个命令的语法、使用方法和例子分析。 [b]一步步从Win2k DNS 移植到 Linux 下[/b] [b]一、准备工作: [/b]
首先进入win2k, DNS 服务管理器,选 查看--列表;
然后导出列表到一个文件: mydomain.txt
进入 \winnt\system32\dns 将所有文件打包,和mydomain.txt 一起复制到linux下。
[b]二、开始迁移:[/b]
1、生成配置文件:
主域配置文件:
执行如下脚本:
#!/usr/bin/perl
##################################################################
$configfile = "/etc/named.conf";
$dnsfile = "/var/named";
$importfile = "mydomain.txt";
system("/bin/echo > $configfile");
open(OUTFILE,">>$configfile");
flock (OUTFILE,2);
print OUTFILE "options {\n";
print OUTFILE " directory \"$dnsfile\";\n";
print OUTFILE " forwarders {\n";
print OUTFILE " 202.96.199.133;\n";
print OUTFILE " 202.96.209.5;\n";
print OUTFILE " };\n";
print OUTFILE "};\n";
print OUTFILE "zone \".\" {\n";
print OUTFILE " type hint;\n";
print OUTFILE " file \"named.ca\";\n";
print OUTFILE "};\n";
open(INFILE,$importfile);
@lines = ;
$num=0;
foreach $line (@lines) {
chop ($line);
print OUTFILE "zone \"$line\" {\n";
print OUTFILE " type master;\n";
print OUTFILE " file \"$line.dns\";\n";
print OUTFILE "};\n";
$num ++;
}
close(INFILE);
close (OUTILE);
print "$num Record convert!!\n";
exit;
生成备份域配置文件: 执行这个脚本:
#!/usr/bin/perl
##################################################################
$configfile = "/etc/named.conf";
$dnsfile = "/var/named";
$importfile = "mydomain.txt";
$masterns = "1.1.1.";
system("/bin/echo > $configfile");
open(OUTFILE,">>$configfile");
flock (OUTFILE,2);
print OUTFILE "options {\n";
print OUTFILE " directory \"$dnsfile\";\n";
print OUTFILE " forwarders {\n";
print OUTFILE " 202.96.199.133;\n";
print OUTFILE " 202.96.209.5;\n";
print OUTFILE " };\n";
print OUTFILE "};\n";
print OUTFILE "zone \".\" {\n";
print OUTFILE " type hint;\n";
print OUTFILE " file \"named.ca\";\n";
print OUTFILE "};\n";
open(INFILE,$importfile);
@lines = ;
$num=0;
foreach $line (@lines) {
chop ($line);
print OUTFILE "zone \"$line\" {\n";
print OUTFILE " type slave;\n";
print OUTFILE " file \"$line.dns\";\n";
print OUTFILE " masters { $masterns; };\n";
print OUTFILE "};\n";
$num ++;
}
close(INFILE);
close (OUTILE);
print "$num Record convert!!\n";
exit;
2、复制DNS记录:将从windows下复制过来到dns文件复制到 /var/named 下;
主备域此操作相同。
3、在/var/named下执行:
mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
chown named:named * #更改所有者
chmod 644 * #更改权限
4、编辑 /etc/resolv.conf 如下:
search mydomain.com.cn
domain mydomain.com.cn
nameserver 1.1.1.1
nameserver 202.96.199.133
nameserver 202.96.209.5
5、启动named服务。 /etc/init.d/named start
6、关闭原来的NS服务器。
7、将linux服务器的IP改成win2k的IP。
现在你可以把原来的NS服务器格式化,装个XP打CS啦。。。注释掉的------>[b]一步步从Win2k DNS 移植到 Linux 下[/b] [b]一、准备工作: [/b]
首先进入win2k, DNS 服务管理器,选 查看--列表;
然后导出列表到一个文件: mydomain.txt
进入 \winnt\system32\dns 将所有文件打包,和mydomain.txt 一起复制到linux下。
[b]二、开始迁移:[/b]
1、生成配置文件:
主域配置文件:
执行如下脚本:
#!/usr/bin/perl
##################################################################
$configfile = "/etc/named.conf";
$dnsfile = "/var/named";
$importfile = "mydomain.txt";
system("/bin/echo > $configfile");
open(OUTFILE,">>$configfile");
flock (OUTFILE,2);
print OUTFILE "options {\n";
print OUTFILE " directory \"$dnsfile\";\n";
print OUTFILE " forwarders {\n";
print OUTFILE " 202.96.199.133;\n";
print OUTFILE " 202.96.209.5;\n";
print OUTFILE " };\n";
print OUTFILE "};\n";
print OUTFILE "zone \".\" {\n";
print OUTFILE " type hint;\n";
print OUTFILE " file \"named.ca\";\n";
print OUTFILE "};\n";
open(INFILE,$importfile);
@lines = ;
$num=0;
foreach $line (@lines) {
chop ($line);
print OUTFILE "zone \"$line\" {\n";
print OUTFILE " type master;\n";
print OUTFILE " file \"$line.dns\";\n";
print OUTFILE "};\n";
$num ++;
}
close(INFILE);
close (OUTILE);
print "$num Record convert!!\n";
exit;
生成备份域配置文件: 执行这个脚本:
#!/usr/bin/perl
##################################################################
$configfile = "/etc/named.conf";
$dnsfile = "/var/named";
$importfile = "mydomain.txt";
$masterns = "1.1.1.";
system("/bin/echo > $configfile");
open(OUTFILE,">>$configfile");
flock (OUTFILE,2);
print OUTFILE "options {\n";
print OUTFILE " directory \"$dnsfile\";\n";
print OUTFILE " forwarders {\n";
print OUTFILE " 202.96.199.133;\n";
print OUTFILE " 202.96.209.5;\n";
print OUTFILE " };\n";
print OUTFILE "};\n";
print OUTFILE "zone \".\" {\n";
print OUTFILE " type hint;\n";
print OUTFILE " file \"named.ca\";\n";
print OUTFILE "};\n";
open(INFILE,$importfile);
@lines = ;
$num=0;
foreach $line (@lines) {
chop ($line);
print OUTFILE "zone \"$line\" {\n";
print OUTFILE " type slave;\n";
print OUTFILE " file \"$line.dns\";\n";
print OUTFILE " masters { $masterns; };\n";
print OUTFILE "};\n";
$num ++;
}
close(INFILE);
close (OUTILE);
print "$num Record convert!!\n";
exit;
2、复制DNS记录:将从windows下复制过来到dns文件复制到 /var/named 下;
主备域此操作相同。
3、在/var/named下执行:
mv CACHE.DNS named.ca #配置文件windows和linux命名不同。
chown named:named * #更改所有者
chmod 644 * #更改权限
4、编辑 /etc/resolv.conf 如下:
search mydomain.com.cn
domain mydomain.com.cn
nameserver 1.1.1.1
nameserver 202.96.199.133
nameserver 202.96.209.5
5、启动named服务。 /etc/init.d/named start
6、关闭原来的NS服务器。
7、将linux服务器的IP改成win2k的IP。
现在你可以把原来的NS服务器格式化,装个XP打CS啦。。。 [b]在Win 2003中为Web站点配置DNS记录[/b]
[b]概要[/b]
本文介绍了如何配置“域名系统”(DNS) 服务器,使其承载可从外部访问(即从Internet 访问)的 Web 站点。
如何获取 IP 地址若要承载可从外部访问的 Web 站点,必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
[b]如何注册域名[/b]
通过 Internet 域名注册管理机构(这样的管理机构被称为注册机构)为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表,请访问下面的
Internet Corporation for Assigned Names and Numbers (ICANN) 网站:
Internet Corporation for Assigned Names and Numbers
[url=http://www.icann.org/]
[color="#003366"]http://www.icann.org[/color]
[/url]
各注册机构的注册过程可能会有所不同,但您还是可以按以下步骤来注册域名:进行搜索,确认要注册的名称是否可用。提供该帐户的联系信息和交费信息(包括电子邮件地址)。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
备注:这些是 ISP 提供的公用 IP 地址。
支付年费或作好支付年费的准备。
[b]如何配置 Web 服务器[/b]
安装和配置 Microsoft Internet 信息服务 (IIS)(如果尚未安装)。
[b]如何为 Web 服务器创建 DNS 项[/b]
请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是:
打开 DNS 管理单元。方法是:单击开始,指向管理工具,然后单击 DNS。
在 DNS 下,展开“主机名”(其中主机名 是 DNS 服务器的主机名)。
展开正向搜索区域。
在正向搜索区域下,右键单击所需区域(例如,域名.com。),然后单击新建别名(CNAME)。
在“别名”框中,键入 www。
在“目标主机的完全合格的名称”框中,键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如,键入 dns.域名.com,然后单击确定。注释掉的------>[b]在Win 2003中为Web站点配置DNS记录[/b]
[b]概要[/b]
本文介绍了如何配置“域名系统”(DNS) 服务器,使其承载可从外部访问(即从Internet 访问)的 Web 站点。
如何获取 IP 地址若要承载可从外部访问的 Web 站点,必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此 IP 地址指定到 DNS 服务器所连接防火墙或路由器的外部接口
[b]如何注册域名[/b]
通过 Internet 域名注册管理机构(这样的管理机构被称为注册机构)为您的组织注册一个父级或二级 DNS 域名。有关全球认可的注册机构的列表,请访问下面的
Internet Corporation for Assigned Names and Numbers (ICANN) 网站:
Internet Corporation for Assigned Names and Numbers
[url=http://www.icann.org/]
[color=#003366]http://www.icann.org[/color]
[/url]
各注册机构的注册过程可能会有所不同,但您还是可以按以下步骤来注册域名:进行搜索,确认要注册的名称是否可用。提供该帐户的联系信息和交费信息(包括电子邮件地址)。键入主从 DNS 服务器的完全合格的域名称 (FQDN)。
备注:这些是 ISP 提供的公用 IP 地址。
支付年费或作好支付年费的准备。
[b]如何配置 Web 服务器[/b]
安装和配置 Microsoft Internet 信息服务 (IIS)(如果尚未安装)。
[b]如何为 Web 服务器创建 DNS 项[/b]
请为配置了 IIS 的 DNS 服务器创建别名或 CNAME 记录。这样就可以确保外部主机能够使用“www”主机名来连接您的 Web 服务器。创建方法是:
打开 DNS 管理单元。方法是:单击开始,指向管理工具,然后单击 DNS。
在 DNS 下,展开“主机名”(其中主机名 是 DNS 服务器的主机名)。
展开正向搜索区域。
在正向搜索区域下,右键单击所需区域(例如,域名.com。),然后单击新建别名(CNAME)。
在“别名”框中,键入 www。
在“目标主机的完全合格的名称”框中,键入安装 IIS 的 DNS 服务器的完全合格的主机名。例如,键入 dns.域名.com,然后单击确定。 [b]在Win 2003中为DNS配置Internet访问[/b]
[b]概要[/b]
本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步,为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址,因为地址的动态更改会使客户端与 DNS 服务器失去联系。
[b]第 1 步:配置 TCP/IP[/b]
单击开始,指向控制面板,指向网络连接,然后单击本地连接。
单击属性.
单击 Internet 协议 (TCP/IP)。,然后单击属性.
单击常规 选项卡。
单击使用下面的 IP 地址,然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
单击高级,然后单击 DNS 选项卡。
单击附加主要的和连接特定的 DNS 后缀。
单击以选中附加主 DNS 后缀的父后缀复选框。
单击以选中在 DNS 中注册此连接的地址复选框。
注意,运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
备注: 如果收到一个来自 DNS 缓存解析器服务的警告,单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系,但您尚未完成该服务器的配置。
[b]第 2 步:安装 Microsoft DNS 服务器[/b]
单击开始,指向控制面板,然后单击添加或删除程序。
单击添加或删除 Windows 组件。
在组件 列表中,单击网络服务 (但不要选中或清除该复选框),然后单击详细信息.
单击以选中域名系统 (DNS) 复选框,然后单击确定。
单击下一步.
得到提示后,将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
安装完成时,在完成 Windows 组件向导页上单击完成 。
单击关闭 关闭添加或删除程序窗口。
[b]第 3 步:配置 DNS 服务器[/b]
要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS,请按照下列步骤操作:
单击开始,指向程序,指向管理工具,然后单击DNS。
右击正向搜索区域,然后单击新建 区域。
当“新建区域向导”启动后,单击下一步.
接着将提示您选择区域类型。区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
辅助区域:标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意,您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
存根区域:存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或 Active Directory 集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步.
新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同,或者是该名称的逻辑 DNS 容器。例如,如果基于Active Directory 的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”。
接受新区域文件的默认名称。单击下一步.
备注: 有经验的 DNS 管理员可能希望创建反向搜索区域,因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求:正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域,您可以在创建原始正向记录时自动创建关联的反向记录。
[b]如何移除根 DNS 区域[/b]
运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时,域控制器需要 DNS。如果在提升过程中安装 DNS,会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此,您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
单击开始,指向管理工具,然后单击DNS。
展开 ServerName,其中 ServerName 是服务器的名称,单击属性 ,然后展开正向搜索区域。
右击"." 区域,然后单击删除.
[b]如何配置转发器[/b]
Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录,可以将请求发送给另一台 DNS 服务器,以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击转发器 选项卡。
单击DNS 域 列表中的一个 DNS 域。或者单击新建,在DNS 域 框中键入希望转发查询的DNS 域的名称,然后单击确定.
在所选域的转发器 IP 地址框中,键入希望转发到的第一个 DNS 服务器的 IP 地址,然后单击添加.
重复步骤 4,添加希望转发到的 DNS 服务器。
单击确定.
[b]如何配置根提示[/b]
Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外,当运行 Windows Server 2003 的服务器查询根服务器时,它将用最新的根服务器列表更新自身。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击属性.
单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
[b]如何在防火墙后配置 DNS[/b]
代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时,这些问题都有可能发生。注释掉的------>[b]在Win 2003中为DNS配置Internet访问[/b]
[b]概要[/b]
本分步指南说明如何在 Windows Server 2003 产品中为域名系统 (DNS) 配置 Internet 访问。DNS 是 Internet 上使用的核心名称解析工具。DNS 负责主机名称和 Internet 地址之间的解析
如何从运行 Windows Server 2003 的独立服务器开始运行 Windows Server 2003 的独立服务器成为网络的 DNS 服务器。第一步,为该服务器分配一个静态 Internet 协议 (IP) 地址。DNS 服务器不应该使用动态分配的 IP 地 址,因为地址的动态更改会使客户端与 DNS 服务器失去联系。
[b]第 1 步:配置 TCP/IP[/b]
单击开始,指向控制面板,指向网络连接,然后单击本地连接。
单击属性.
单击 Internet 协议 (TCP/IP)。,然后单击属性.
单击常规 选项卡。
单击使用下面的 IP 地址,然后在相应的框中键入 IP 地址、子网掩码和默认网关地址。
单击高级,然后单击 DNS 选项卡。
单击附加主要的和连接特定的 DNS 后缀。
单击以选中附加主 DNS 后缀的父后缀复选框。
单击以选中在 DNS 中注册此连接的地址复选框。
注意,运行 Windows Server 2003 的 DNS 服务器必须将其 DNS 服务器指定为它本身。如果该服务器需要解析来自它的 Internet 服务提供商 (ISP) 的名称,您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。 单击确定 三次。
备注: 如果收到一个来自 DNS 缓存解析器服务的警告,单击确定 关闭该警告。缓存解析器正试图与 DNS 服务器取得联系,但您尚未完成该服务器的配置。
[b]第 2 步:安装 Microsoft DNS 服务器[/b]
单击开始,指向控制面板,然后单击添加或删除程序。
单击添加或删除 Windows 组件。
在组件 列表中,单击网络服务 (但不要选中或清除该复选框),然后单击详细信息.
单击以选中域名系统 (DNS) 复选框,然后单击确定。
单击下一步.
得到提示后,将 Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。
安装完成时,在完成 Windows 组件向导页上单击完成 。
单击关闭 关闭添加或删除程序窗口。
[b]第 3 步:配置 DNS 服务器[/b]
要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS,请按照下列步骤操作:
单击开始,指向程序,指向管理工具,然后单击DNS。
右击正向搜索区域,然后单击新建 区域。
当“新建区域向导”启动后,单击下一步.
接着将提示您选择区域类型。区域类型包括:
主要区域:创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个.dns 文本文件中。
辅助区域:标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意,您无法修改辅助 DNS 服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。
存根区域:存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的 glue 主机 (A) 记录。
Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。
新的正向搜索区域必须是主要区域或 Active Directory 集成的区域,以便它能够接受动态更新。单击主要,然后单击下一步.
新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同,或者是该名称的逻辑 DNS 容器。例如,如果基于Active Directory 的域的名称为“support.microsoft.com”,那么有效的区域名称只能是“support.microsoft.com”。
接受新区域文件的默认名称。单击下一步.
备注: 有经验的 DNS 管理员可能希望创建反向搜索区域,因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求:正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将 IP 地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域,您可以在创建原始正向记录时自动创建关联的反向记录。
[b]如何移除根 DNS 区域[/b]
运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存,然后检查它的区域记录,接下来将请求发送到转发器,最后使用根服务器尝试解析。
默认情况下,Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo 工具将服务器提升为域控制器时,域控制器需要 DNS。如果在提升过程中安装 DNS,会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此,您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。
单击开始,指向管理工具,然后单击DNS。
展开 ServerName,其中 ServerName 是服务器的名称,单击属性 ,然后展开正向搜索区域。
右击"." 区域,然后单击删除.
[b]如何配置转发器[/b]
Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录,可以将请求发送给另一台 DNS 服务器,以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击转发器 选项卡。
单击DNS 域 列表中的一个 DNS 域。或者单击新建,在DNS 域 框中键入希望转发查询的DNS 域的名称,然后单击确定.
在所选域的转发器 IP 地址框中,键入希望转发到的第一个 DNS 服务器的 IP 地址,然后单击添加.
重复步骤 4,添加希望转发到的 DNS 服务器。
单击确定.
[b]如何配置根提示[/b]
Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cache.dns) 中。Windows 使用标准的 Internic 根服务器。另外,当运行 Windows Server 2003 的服务器查询根服务器时,它将用最新的根服务器列表更新自身。
单击开始,指向管理工具,然后单击DNS。
右击 ServerName,其中 ServerName 是服务器的名称,然后单击属性.
单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。
[b]如何在防火墙后配置 DNS[/b]
代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS 使用 UDP 端口 A 和TCP 端口 53。DNS 服务管理控制台也使用 RCP。RCP 使用端口 135。当您配置 DNS 和防火墙时,这些问题都有可能发生。 [b]网管经验之Windows服务器DNS故障问题[/b]
在开始讨论如何排除DNS问题之前,我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上,判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多:如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器,而有问题的服务却可能在使用另一种不同的命名服务。首先,你需要考虑是哪一类程序出了问题,如果是TCP/IP客户端,如telnet或ftp,那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序,如net(与在net use中一样)中,那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端(如ping)也会使用这些命名服务中的任意一种。接下来,再考虑Windows使用这些命名服务的顺序。在查找问题时,应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助,至少可帮你排除一个怀疑对象。
如果要检查一个服务器的缓存区,请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开,直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL,请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式(选择查看 > 高级),则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前,一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台,否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录,你可能会注意到有一个删除记录选项。
[b]DNS的一些常见的错误
1. 忘记增加序列号[/b]
在你未使用 DNS 控制台而是用手动方式更改区域数据文件时,就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号,所以你不必为此操心。不过,这也意味着你可能不会养成更新序列号的习惯,所以在进行一次性手动修改时,你可能会忘记增加序列号。此问题的主要症状是,从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改,因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢?不幸的是,这就不是那么容易了。如果你不记得原序列号是什么,而现在的序列号不能表明它是什么时候更新的,则没有直接的方法判断它是否已更改。在启动主服务器时,不管你是否更改了序列号,它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据,则表明你可能忘了增加序列号。如果你能想起最近作的一次更改,则可以查看此数据。如果记不起最近一次作的更改,则可以从一个主服务器和一个从属服务器复制该区域,将结果排序并使用文件比较工具将它们加以比较。还有一个好消息,即,尽管确定该区域此前是否已复制比较难,但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段,增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据,如果它们用了 NOTIFY,则会更快。
[b]2. 以手动方式更改DNS服务器[/b]
要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时,就有一个写操作挂起:在 DNS 服务器退出之前,它必须重写该区域的数据文件,否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页:操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改,则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后,你必须将服务器停下并再次启动,以让它再次读取该区域数据。但是在服务器退出时,它将重写 microsoft.com 区域数据文件,你的委派于是就会丢掉。如果仔细观察(平时就需要这样)事件查看器,会在服务器停止事件之前看到这样一条消息:The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.(DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。)如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件,则服务器就会与区域数据文件同步,而不必在退出时重写。所以,如果要对区域数据文件作手动更改,那么要么首先停止服务器(但这意味着在你作更改期间服务器将不响应任何查询),要么使用 DNS 控制台将服务器与区域数据文件同步,然后再进行更改。
[b]3. 从属服务器无法加载区域数据[/b]
如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号,那么最初它是不会给你发警告消息的。然而,如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的,那么该区域就会过期。在一个 Microsoft DNS 服务器上,你将在事件查看器中看到与下文类似的一条消息:在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了,该区域已经被关闭。区域过期后,当你向名称服务器查询该区域中的数据时,就会收到 SERVFAIL 错误消息:
C:> nslookup robocop wormhole.microsoft.com.
Server: wormhole.microsoft.com
Addresses: 207.46.230.219, 192.253.253.1
wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
出现此问题的原因主要有三个:由于网络故障与主控服务器的连接断开,为主控服务器配置的 IP 地址不正确,主控服务器上的区域数据文件中有语法错误。首先,应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一(些)主控服务器的地址。右键单击左窗格中该区域的域名,选择属性,然后查看常规选项卡,确认它是否真是主名称服务器的 IP 地址。如果是,请检查到此 IP 地址的连接:C:> ping 207.46.230.219
Pinging 207.46.230.219 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
如果无法连接到主控服务器,请确定该服务器的主机是否真的在运行(例如,已通电),或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的,则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应,命令格式如下:
C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询,以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询,这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确,则对此查询的响应就应是权威性的。(记住,除非 nslookup 返回了“非权威性”响应,否则响应就是权威性的。)非权威性的响应可能表明主控服务器在加载该区域时发生问题,通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系,让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况,但旧的 BIND 名称服务器确实会表现出这种现象。所以,如果你的名称服务器是某一区域的从属服务器,而此区域的主要主名称服务器是 BIND 名称服务器,该服务器现在对该区域不具有权威性,那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域,那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息,则很可能是主控服务器限制区域复制:
C:> nslookup - 152.104.1.6
Default Server: terminator.microsoft.com
Address: 152.104.1.6
> ls microsoft.com
[terminator.microsoft.com]
*** Can‘t list domain microsoft.com: Query refused
请与该主控服务器的管理员联系,问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项(如果他在运行 Microsoft DNS 服务器)。如果该远程服务器在运行着 BIND,则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后,你会在事件查看器中看到下面的消息:A more recent version, version 212 of zone microsoft.com was
found at DNS server at 207.46.230.219. Zone transfer is in progress.
The DNS server wrote version 212 of zone microsoft.com to
file microsoft.com.dns.(在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。)
DNS故障还有几种情况,我们将在下期继续讨论。
[url=http://www.netadmin.com.cn/experience/20040609/2888.asp]
[color="#003366"]http://www.netadmin.com.cn/experience/20040609/2888.asp[/color]
[/url]
[b]4. 网络连接断开[/b]注释掉的------>[b]网管经验之Windows服务器DNS故障问题[/b]
在开始讨论如何排除DNS问题之前,我们想知道你是否清楚怎样判断某个问题是由DNS而不是由别的命名服务造成的。在Windows主机上,判断问题的原因是否真的出在DNS上可是件困难的事。Windows支持的命名服务真是名目繁多:如DNS、Wins、HOSTS、LMHOSTS等数不胜数。然而常用的Windows 2000 nslookup 却全然不理会其他这些命名服务。你可能会只顾在Windows 2000计算机上运行nslookup和查询名称服务器,而有问题的服务却可能在使用另一种不同的命名服务。首先,你需要考虑是哪一类程序出了问题,如果是TCP/IP客户端,如telnet或ftp,那么问题可能出在DNS和HOSTS文件上。如果是一个支持NetBIOS命名的实用程序,如net(与在net use中一样)中,那么值得怀疑的还要包括Wins和LMHOSTS文件。其他也使用DNS名称或NetBIOS名称作为参数的客户端(如ping)也会使用这些命名服务中的任意一种。接下来,再考虑Windows使用这些命名服务的顺序。在查找问题时,应按照此顺序检查各种服务。这些提示对你查出问题的症结会有帮助,至少可帮你排除一个怀疑对象。
如果要检查一个服务器的缓存区,请单击DNS控制台左窗格中该服务器名称左边的加号。你将看到一个名为Cached Lookups的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出你的名称服务器已为其缓存了数据的那些顶级域。继续展开,直至看到你要查看的缓存数据所在的那一域名。如我们的名称服务器已为microsoft.com缓存了三条NS记录和一条A记录。如果依次双击net和hp,我们还会看到这些名称服务器的缓存地址。如果想看缓存数据上的 TTL,请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式(选择查看 > 高级),则出现的窗口将显示出该记录的 TTL。在检查 TTL 之前,一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台,否则你看到的 TTL 可能会大于当前 TTL。如果右键单击该记录,你可能会注意到有一个删除记录选项。
[b]DNS的一些常见的错误
1. 忘记增加序列号[/b]
在你未使用 DNS 控制台而是用手动方式更改区域数据文件时,就会出现一些问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号,所以你不必为此操心。不过,这也意味着你可能不会养成更新序列号的习惯,所以在进行一次性手动修改时,你可能会忘记增加序列号。此问题的主要症状是,从属名称服务器不会获得你在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改,因为它看到的序列号仍是原来的序列号。该怎样检查当时是否记着增加序列号呢?不幸的是,这就不是那么容易了。如果你不记得原序列号是什么,而现在的序列号不能表明它是什么时候更新的,则没有直接的方法判断它是否已更改。在启动主服务器时,不管你是否更改了序列号,它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据,则表明你可能忘了增加序列号。如果你能想起最近作的一次更改,则可以查看此数据。如果记不起最近一次作的更改,则可以从一个主服务器和一个从属服务器复制该区域,将结果排序并使用文件比较工具将它们加以比较。还有一个好消息,即,尽管确定该区域此前是否已复制比较难,但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段,增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据,如果它们用了 NOTIFY,则会更快。
[b]2. 以手动方式更改DNS服务器[/b]
要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时,就有一个写操作挂起:在 DNS 服务器退出之前,它必须重写该区域的数据文件,否则它就会丢失你所作的更改。可以将此比作内存中一个已更新的页:操作系统在退出之前必须将它写到磁盘上。如果你在一个写操作挂起期间对一个区域数据文件作了手动更改,则在名称服务器退出后你会莫名其妙地丢失所作的更改。比如你在服务器正在运行且有一个写操作挂起时向一个名为microsoft.com的新子域添加了委派。作完更改后,你必须将服务器停下并再次启动,以让它再次读取该区域数据。但是在服务器退出时,它将重写 microsoft.com 区域数据文件,你的委派于是就会丢掉。如果仔细观察(平时就需要这样)事件查看器,会在服务器停止事件之前看到这样一条消息:The DNS server wrote version 37 of zone microsoft.com to file microsoft.com.dns.(DNS 服务器写入区域 microsoft.com 的版本 37 到文件 microsoft.com.dns。)如果你用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件,则服务器就会与区域数据文件同步,而不必在退出时重写。所以,如果要对区域数据文件作手动更改,那么要么首先停止服务器(但这意味着在你作更改期间服务器将不响应任何查询),要么使用 DNS 控制台将服务器与区域数据文件同步,然后再进行更改。
[b]3. 从属服务器无法加载区域数据[/b]
如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号,那么最初它是不会给你发警告消息的。然而,如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的,那么该区域就会过期。在一个 Microsoft DNS 服务器上,你将在事件查看器中看到与下文类似的一条消息:在获得成功区域复制或从这个区域作为其源的主服务器获得成功区域复制之前microsoft.com 区域就超时了,该区域已经被关闭。区域过期后,当你向名称服务器查询该区域中的数据时,就会收到 SERVFAIL 错误消息:
C:> nslookup robocop wormhole.microsoft.com.
Server: wormhole.microsoft.com
Addresses: 207.46.230.219, 192.253.253.1
wormhole.microsoft.com can’t find robocop.microsoft.com: Server failed
出现此问题的原因主要有三个:由于网络故障与主控服务器的连接断开,为主控服务器配置的 IP 地址不正确,主控服务器上的区域数据文件中有语法错误。首先,应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一(些)主控服务器的地址。右键单击左窗格中该区域的域名,选择属性,然后查看常规选项卡,确认它是否真是主名称服务器的 IP 地址。如果是,请检查到此 IP 地址的连接:C:> ping 207.46.230.219
Pinging 207.46.230.219 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
如果无法连接到主控服务器,请确定该服务器的主机是否真的在运行(例如,已通电),或检查网络问题。你可能还需要检查主控服务器对该区域中数据的查询是否返回权威性响应。如果主控服务器的响应对于该区域不是权威性的,则从属服务器就不从该主控服务器中复制此区域。可使用 nslookup 检查主控服务器的对于区域的 SOA 记录的权威性响应,命令格式如下:
C:> nslookup -norec -type=SOA microsoft.com. 207.46.230.219
此命令向位于地址 152.104.1.6 的名称服务器发送一个非递归查询,以查询 microsoft.com 的 SOA 记录。我们必须发送非递归查询,这样位于 152.104.1.6 的名称服务器就不会将该查询转发给另一个服务器。如果将此主控服务器配置正确,则对此查询的响应就应是权威性的。(记住,除非 nslookup 返回了“非权威性”响应,否则响应就是权威性的。)非权威性的响应可能表明主控服务器在加载该区域时发生问题,通常是由于区域数据文件中存在语法错误。请与该主控服务器的管理员联系,让他检查其事件查看器或系统日志的输出中是否有表明出现语法错误的消息。我们从来还没有见到过 Windows 2000 名称服务器因为区域数据文件中有语法错误而对于此区域失去非权威性的情况,但旧的 BIND 名称服务器确实会表现出这种现象。所以,如果你的名称服务器是某一区域的从属服务器,而此区域的主要主名称服务器是 BIND 名称服务器,该服务器现在对该区域不具有权威性,那么问题可能就是一个语法错误。如果对查询的响应是权威性的但从属服务器仍无法成功复制该区域,那么你可以使用nslookup的ls命令来手动复制该区域。如果看到类似于下面的错误消息,则很可能是主控服务器限制区域复制:
C:> nslookup - 152.104.1.6
Default Server: terminator.microsoft.com
Address: 152.104.1.6
> ls microsoft.com
[terminator.microsoft.com]
*** Can‘t list domain microsoft.com: Query refused
请与该主控服务器的管理员联系,问是否在对区域复制进行限制。请他检查你正在尝试复制的区域的属性窗口的区域复制选项卡上的选项(如果他在运行 Microsoft DNS 服务器)。如果该远程服务器在运行着 BIND,则请问他是否在使用 xfrnets 或 allow-transfer 功能来对区域复制进行限制。在问题已被排除而且你的服务器能成功复制该区域后,你会在事件查看器中看到下面的消息:A more recent version, version 212 of zone microsoft.com was
found at DNS server at 207.46.230.219. Zone transfer is in progress.
The DNS server wrote version 212 of zone microsoft.com to
file microsoft.com.dns.(在 207.46.230.219 的 DNS 服务器上找到区域microsoft.com 的更新的版本212。正在进行区域复制。DNS 服务器写入区域 microsoft.com 的版本 212 到文件 microsoft.com.dns。)
DNS故障还有几种情况,我们将在下期继续讨论。
[url=http://www.netadmin.com.cn/experience/20040609/2888.asp]
[color=#003366]http://www.netadmin.com.cn/experience/20040609/2888.asp[/color]
[/url]
[b]4. 网络连接断开[/b] [b][服务器维护经验谈]DNS巧解网络故障[/b]
服务器不仅仅是企业网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是没有规律可言的,我们只能通过经验去解决。笔者负责公司服务器的维护工作,在一次实际工作中遇到了服务器无法登录的故障,排查起来比较奇特,写出来和各位读者分享。
[b]一、故障现象:[/b]
笔者公司规模不是很大,有大概50多台计算机,购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持,所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC,另一台设置为备份域控制器BDC。
由于备份域控制器在管理域上主要起辅助作用,所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障,每次启动该域控制器都停留在2000的登录界面,即在要求输入管理员帐号和密码操作之前的界面,下方登录信息显示的是“正在连接网络”,等待近一个小时仍然没有任何进展,始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式,然而只要一进入正常模式就出现上面提到的问题。
[b]二、排查故障:[/b]
由于系统登录总是停留在“正在连接网络”处,所以笔者怀疑是网络出现问题,例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用,这样系统就不会搜索网络,尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
不过禁用网卡并不能治本,虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢?笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中,DNS解析的域名与计算机是一一对应的,任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
笔者在主域控制器上查看DNS服务的配置,发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查,原来是备份域控制器上的网线与网卡接口连接处松动了,也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了,故障得到排除。
[b]三、进阶思考:[/b]
本次故障看似是因为备份域控制器上的网线松动造成的,实际上是我们在建立域时的配置出现问题的结果,为什么这么说呢?因为在建立域时我们最好按照以下规则来配置DNS。
(1)DC与BDC上都安装DNS服务,而不是仅仅一台服务器上启用,防止DNS解析错误,为DNS解析提供冗余功能。
(2)DC本机DNS服务器设置为自己的IP地址,BDC本机DNS服务器也设置为自己的IP地址。
(3)同时在DC上辅助DNS服务器地址还要设置为BDC的地址,相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
这样我们在进行DNS解析时就不会轻易出问题了,象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置,即使BDC网线松动或关机也不会影响DC的登录。
[b]总结:[/b]
在Windows系统中配置域控制器是件非常麻烦的事情,而且故障的发生更没有规律可言,所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则,这样可以将故障发生机率降到最低。注释掉的------>[b][服务器维护经验谈]DNS巧解网络故障[/b]
服务器不仅仅是企业网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是没有规律可言的,我们只能通过经验去解决。笔者负责公司服务器的维护工作,在一次实际工作中遇到了服务器无法登录的故障,排查起来比较奇特,写出来和各位读者分享。
[b]一、故障现象:[/b]
笔者公司规模不是很大,有大概50多台计算机,购买了两台IBM服务器,型号是X SERVICE 200。由于内部使用的某个应用软件需要Windows域的支持,所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为域控制器DC,另一台设置为备份域控制器BDC。
由于备份域控制器在管理域上主要起辅助作用,所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了主域控制器DC那台服务器无法登录到系统桌面的故障,每次启动该域控制器都停留在2000的登录界面,即在要求输入管理员帐号和密码操作之前的界面,下方登录信息显示的是“正在连接网络”,等待近一个小时仍然没有任何进展,始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式,然而只要一进入正常模式就出现上面提到的问题。
[b]二、排查故障:[/b]
由于系统登录总是停留在“正在连接网络”处,所以笔者怀疑是网络出现问题,例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用,这样系统就不会搜索网络,尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
不过禁用网卡并不能治本,虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢?笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中,DNS解析的域名与计算机是一一对应的,任何一台计算机没有在主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
笔者在主域控制器上查看DNS服务的配置,发现主域控制器的DNS地址被设置为备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查,原来是备份域控制器上的网线与网卡接口连接处松动了,也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了,故障得到排除。
[b]三、进阶思考:[/b]
本次故障看似是因为备份域控制器上的网线松动造成的,实际上是我们在建立域时的配置出现问题的结果,为什么这么说呢?因为在建立域时我们最好按照以下规则来配置DNS。
(1)DC与BDC上都安装DNS服务,而不是仅仅一台服务器上启用,防止DNS解析错误,为DNS解析提供冗余功能。
(2)DC本机DNS服务器设置为自己的IP地址,BDC本机DNS服务器也设置为自己的IP地址。
(3)同时在DC上辅助DNS服务器地址还要设置为BDC的地址,相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
这样我们在进行DNS解析时就不会轻易出问题了,象本次这样的故障也不会发生了。因为登录主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置,即使BDC网线松动或关机也不会影响DC的登录。
[b]总结:[/b]
在Windows系统中配置域控制器是件非常麻烦的事情,而且故障的发生更没有规律可言,所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则,这样可以将故障发生机率降到最低。 [b]怎样减少丢包对DNS服务器的影响?[/b]
DNS使用UDP协议而不是TCP协议,如果数据包丢失,系统没有自动修复功能,这样是否会带来什么问题呢?
是的,当DNS的数据包丢失,或者是DNS的服务器无法回复的时候,这就会对用户产生不便。DNS通常会显示检验器的IP地址,否则用户就很难重新建立相应的连接。比如说,您在浏览器中输入
[url=http://www.yahoo.com]www.yahoo.com[/url]
,之后DNS就会把其转换成为66.94.230.38,浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候,浏览器的状态就是在等待回复,或者在Windows资源管理器中,系统会显示出无法找到指定的域的回复。
不过,有两个方法可以把DNS问题的影响降到最小。第一,建议使用多台DNS服务器,在这种情况下,如果最先的DNS服务器失效,备份的DNS服务器就会用来处理数据。在一台Windows机器上,可以通过TCP协议实现,建立可靠的连接。具体示例如下:
[img]http://cisco.chinaitlab.com/imgfiles/2005.9.14.14.5.41.5.1.jpg[/img]
第二种方法(并不推荐)是直接通过IP地址定位,而不通过主服务器转换。但是,这种方法在IP地址更改的时候,就会失效。注释掉的------>[b]怎样减少丢包对DNS服务器的影响?[/b]
DNS使用UDP协议而不是TCP协议,如果数据包丢失,系统没有自动修复功能,这样是否会带来什么问题呢?
是的,当DNS的数据包丢失,或者是DNS的服务器无法回复的时候,这就会对用户产生不便。DNS通常会显示检验器的IP地址,否则用户就很难重新建立相应的连接。比如说,您在浏览器中输入
[url=http://www.yahoo.com/]
[color=#003366]www.yahoo.com[/color]
[/url]
,之后DNS就会把其转换成为66.94.230.38,浏览器就会按照这个地址来寻找相应的网页。当DNS出了问题的时候,浏览器的状态就是在等待回复,或者在Windows资源管理器中,系统会显示出无法找到指定的域的回复。
不过,有两个方法可以把DNS问题的影响降到最小。第一,建议使用多台DNS服务器,在这种情况下,如果最先的DNS服务器失效,备份的DNS服务器就会用来处理数据。在一台Windows机器上,可以通过TCP协议实现,建立可靠的连接。具体示例如下:
[img]http://cisco.chinaitlab.com/imgfiles/2005.9.14.14.5.41.5.1.jpg[/img]
第二种方法(并不推荐)是直接通过IP地址定位,而不通过主服务器转换。但是,这种方法在IP地址更改的时候,就会失效。 [b]解答:巧设DNS提高系统登录速度[/b]
[b]问:[/b]我是一个小型公司的网络管理员。所在的网络环境是有三十台机器组成的小型局域网络,使用了域进行管理,服务器采用Windows 2000 Server,工作站为Windows 2000 pro和Windows XP。该服务器提供内网的WWW服务和内网的DNS解析功能。
前不久出于对宽带速度的羡慕,公司申请了ADSL宽带,并且在共享方式上选择的是目前流行的宽带路由方式。在设置中工作站的网关地址设为路由器的IP地址,DNS设置的是本地电信的DNS地址,所有机器都可以正常上网。不过使用了一段时间就发现了问题,工作站在登录的时候输入用户名和密码以后,登录网络速度奇慢,慢的让人不能忍受,尝试将路由器关闭没有一点起色。希望专家能帮帮我!万分感谢!!
[b]答:[/b]首先我们要了解为什么登录系统输入用户名和密码以后到桌面显示会很慢,就笔者经验来说第一感觉应该是DNS的问题,因为Windows 2000在启动的时候选择哪个域控制器是根据DNS来寻找的,而客户机设置的DNS为公网IP地址,虽然可以正确解析出搜狐或新浪等站点的IP地址但却无法解析出公司内部域控制器的IP,所以客户机登录到桌面前都会根据这个DNS寻找域控制器的IP,一直也找不到正确值,直到超时终止结束。
知道原因以后我们可以按照如下操作进行解决——将客户机的DNS地址修改为域控制器的IP地址,这样系统登录时就可以直接根据IP查找到域控制器了,速度变得很快。
但是这样又为实际工作带来了一个新的问题,即如果将客户机的DNS改为域控制器的地址,那只能打开内网的主页而打不开外网的主页,因为域控制器上没有正确的DNS解析,或者说即使能对内网DNS信息解析成功也无法完成对外网网络地址的解析,因此访问搜狐,新浪等站点就会提示无法打开搜索页。
那么有没有两全其美的方法呢?
其实我们采用这样的方式来解决这个问题:即在DNS服务器上设置转法器,对不知道域名解析的地址进行IP转发,它的原理就是如果目前DNS服务器无法解析该域名时,它就将此域名转发给更高一层的DNS服务器,请求它进行解析。操作方法是打开DNS控制台,右键点击DNS服务器对象,然后单击属性,选择“转发器”标签,在IP地址框里面输入本地电信的DNS服务器的IP地址,然后点击“添加”按钮完成所有操作。设置完毕后即可圆满解决开机缓慢和域名解析的矛盾。
[b]小提示:[/b]
设置前要保证DNS服务器的网关设为路由器的IP地址,这样才能正确访问本地电信的DNS服务器,完成整个地址转发过程。
当然实际中有的朋友会遇到服务器的转发器那一项是灰色的,这时请先进入DNS 管理控制台,再展开服务器前面的“+”标志,将标有句号(.)的区域删除即可。
今天介绍的这个方法还可以解决不少人都比较困惑一个问题,那就是内网建立了网站,如何保证既能上内网,又能上外网呢?使用这个DNS转发设置就可以完全解决此问题。注释掉的------>[b]解答:巧设DNS提高系统登录速度[/b]
[b]问:[/b]我是一个小型公司的网络管理员。所在的网络环境是有三十台机器组成的小型局域网络,使用了域进行管理,服务器采用Windows 2000 Server,工作站为Windows 2000 pro和Windows XP。该服务器提供内网的WWW服务和内网的DNS解析功能。
前不久出于对宽带速度的羡慕,公司申请了ADSL宽带,并且在共享方式上选择的是目前流行的宽带路由方式。在设置中工作站的网关地址设为路由器的IP地址,DNS设置的是本地电信的DNS地址,所有机器都可以正常上网。不过使用了一段时间就发现了问题,工作站在登录的时候输入用户名和密码以后,登录网络速度奇慢,慢的让人不能忍受,尝试将路由器关闭没有一点起色。希望专家能帮帮我!万分感谢!!
[b]答:[/b]首先我们要了解为什么登录系统输入用户名和密码以后到桌面显示会很慢,就笔者经验来说第一感觉应该是DNS的问题,因为Windows 2000在启动的时候选择哪个域控制器是根据DNS来寻找的,而客户机设置的DNS为公网IP地址,虽然可以正确解析出搜狐或新浪等站点的IP地址但却无法解析出公司内部域控制器的IP,所以客户机登录到桌面前都会根据这个DNS寻找域控制器的IP,一直也找不到正确值,直到超时终止结束。
知道原因以后我们可以按照如下操作进行解决——将客户机的DNS地址修改为域控制器的IP地址,这样系统登录时就可以直接根据IP查找到域控制器了,速度变得很快。
但是这样又为实际工作带来了一个新的问题,即如果将客户机的DNS改为域控制器的地址,那只能打开内网的主页而打不开外网的主页,因为域控制器上没有正确的DNS解析,或者说即使能对内网DNS信息解析成功也无法完成对外网网络地址的解析,因此访问搜狐,新浪等站点就会提示无法打开搜索页。
那么有没有两全其美的方法呢?
其实我们采用这样的方式来解决这个问题:即在DNS服务器上设置转法器,对不知道域名解析的地址进行IP转发,它的原理就是如果目前DNS服务器无法解析该域名时,它就将此域名转发给更高一层的DNS服务器,请求它进行解析。操作方法是打开DNS控制台,右键点击DNS服务器对象,然后单击属性,选择“转发器”标签,在IP地址框里面输入本地电信的DNS服务器的IP地址,然后点击“添加”按钮完成所有操作。设置完毕后即可圆满解决开机缓慢和域名解析的矛盾。
[b]小提示:[/b]
设置前要保证DNS服务器的网关设为路由器的IP地址,这样才能正确访问本地电信的DNS服务器,完成整个地址转发过程。
当然实际中有的朋友会遇到服务器的转发器那一项是灰色的,这时请先进入DNS 管理控制台,再展开服务器前面的“+”标志,将标有句号(.)的区域删除即可。
今天介绍的这个方法还可以解决不少人都比较困惑一个问题,那就是内网建立了网站,如何保证既能上内网,又能上外网呢?使用这个DNS转发设置就可以完全解决此问题。 [b]详细讲解如何进行DNS故障排除[/b]
[b]问题真的出在 DNS 上吗?[/b]
在开始讨论如何排除 DNS 问题之前,我们想知道您是否清楚怎样判断某个问题是由 DNS 而不是由别的命名服务造成的。在 Windows 主机上,判断问题的原因是否真的出在 DNS 上可是件困难的事。Windows 支持的命名服务真是名目繁多:如 DNS、WINS、HOSTS、LMHOSTS 等数不胜数。然而常用的 Windows 2000 nslookup 却全然不理会其他这些命名服务。您可能会只顾在 Windows 2000 计算机上运行 nslookup 和查询名称服务器,而有问题的服务却可能在使用另一种不同的命名服务,这样,您无异于竹篮打水。
怎样才能知道将矛头指向哪里呢?首先,您需要考虑是哪一类程序出了问题。如果是 TCP/IP 客户端,如 telnet 或 ftp,那么问题可能出在 DNS 和 HOSTS 文件上。如果是一个支持 NetBIOS 命名的实用程序,如 net(与在 net use 中一样)中,那么值得怀疑的还要包括 WINS 和 LMHOSTS 文件。其他也使用 DNS 名称或 NetBIOS 名称作为参数的客户端(如 ping)也会使用这些命名服务中的任意一种。
接下来,再考虑 Windows 使用这些命名服务的顺序。在查找问题时,应按照此顺序检查各种服务。
这些提示对您查出问题的症结会有帮助,至少可帮您排除一个怀疑对象。如果在缩小了怀疑范围后 DNS 仍脱不了干系,您才需要阅读本章内容。
[b]检查缓存[/b]
如我们前面讲到的,您可以使用 DNS 控制台来检查名称服务器的缓存区中的内容。如果怀疑您的名称服务器缓存了来自另一服务器的错误的或过时的数据,则这一方法可派上用场。如要检查一个服务器的缓存区,请单击 DNS 控制台左窗格中该服务器名称左边的加号。您将看到一个名为 Cached Lookups 的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出您的名称服务器已为其缓存了数据的那些顶级域。继续展开,直至看到您要查看的缓存数据所在的那一域名。在图 13-1 中,我们已通过不断单击展开了要在其中查看缓存数据的 acmebw.com。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.24.1.gif[/img]
图 13-1 缓存中 acmebw.com 的 NS 和 A 记录
如在右边窗格中所见到的,我们的名称服务器已为 acmebw.com 缓存了三条 NS 记录和一条 A 记录。如果依次双击 net 和 acmebw,我们还会看到这些名称服务器的缓存地址。
如果想看缓存数据上的 TTL,请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式(选择查看 > 高级),则出现的窗口将显示出该记录的 TTL。例如,在图 13-2 中,我们双击了 acmebw.com A 记录。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.36.2.gif[/img]
图 13-2 缓存记录上的 TTL
在检查 TTL 之前,一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台,否则您看到的 TTL 可能会大于当前 TTL。
如果右键单击该记录,您可能会注意到有一个删除记录选项。现在,有某种在 BIND 中无法执行的操作。您可以使用 DNS 控制台一个记录一个记录地删除缓存的数据。如果您知道名称服务器的缓存中某些记录已过时,可以将它们删除并让您的名称服务器从一个权威性名称服务器中获得更新后的记录。
[b]潜在问题列表[/b]
让我们逐一讨论一些在生活中常见的 DNS 问题。这些问题中有许多问题都是容易识别和纠正的。我们当然要讲述这些问题 - 它们之所以是一些最常见的问题,是因为它们是由一些最常见的错误造成的。下面就是这些问题,不分先后顺序。
1. 忘记增加序列号
只有在您未使用 DNS 控制台而是用手动方式更改区域数据文件时,才会出现此问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号,所以您不必为此操心。不过,这也意味着您可能不会养成更新序列号的习惯,所以在进行一次性手动修改时,您可能会忘记增加序列号。
此问题的主要症状是,从属名称服务器不会获得您在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改,因为它看到的序列号仍是原来的序列号。
该怎样检查当时是否记着增加序列号呢?不幸的是,这就不是那么容易了。如果您不记得原序列号是什么,而现在的序列号不能表明它是什么时候更新的,则没有直接的方法判断它是否已更改。 1
在启动主服务器时,不管您是否更改了序列号,它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据,则表明您可能忘了增加序列号。如果您能想起最近作的一次更改,则可以查看此数据。如果记不起最近一次作的更改,则可以从一个主服务器和一个从属服务器复制该区域,将结果排序并使用文件比较工具将它们加以比较。
还有一个好消息,即,尽管确定该区域此前是否已复制比较难,但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段,增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据,如果它们用了 NOTIFY,则会更快。
2. 忘记重启主要主控服务器
与上一个问题一样,只有在手动更改区域数据文件时才会有此问题。DNS 控制台可以动态添加和删除数据,所以不需要重启主要主控名称服务器。
但是,如果未使用 DNS 控制台,您可能会在编辑区域数据文件后忘记重启主要主控名称服务器。该名称服务器不知道要加载新数据 - 它不会自动检查此文件以查看是否已更改。这样,您作的任何更改都不能在名称服务器的数据中反映出来:将不会加载新区域,新记录也不会反映到从属服务器。
如想查出上次是在什么时候重启名称服务器的,请查看“事件查看器”输出中最后一个条目,它类似于:
DNS 服务器已开始。
这些事件上的日期和时间将告诉您上次重启名称服务器是在什么时间。
如果该重启时间与您上次作更改的时间不相符,则请使用 DNS 控制台停止并重启该名称服务器,然后重新加载其数据。还要检查您更改的区域数据文件上的序列号是否也增加了。
3. DNS 服务器丢失以手动方式作的更改
最后关于手动更改还要再强调一点:要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时,就有一个写操作挂起:在 DNS 服务器退出之前,它必须重写该区域的数据文件,否则它就会丢失您所作的更改。可以将此比作内存中一个已更新的页:操作系统在退出之前必须将它写到磁盘上。
如果您在一个写操作挂起期间对一个区域数据文件作了手动更改,则在名称服务器退出后您会莫名其妙地丢失所作的更改。比如您在服务器正在运行且有一个写操作挂起时向一个名为 movie.edu 的新子域添加了委派。作完更改后,您必须将服务器停下并再次启动,以让它再次读取该区域数据。但是在服务器退出时,它将重写 movie.edu 区域数据文件,您的委派于是就会丢掉。如果仔细观察(平时就需要这样)事件查看器,会在服务器停止事件之前看到这样一条消息:
The DNS server wrote version 37 of zone movie.edu to file movie.edu.dns.
(DNS 服务器写入区域 movie.edu 的版本 37 到 文件 movie.edu.dns。)
如果您用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件,则服务器就会与区域数据文件同步,而不必在退出时重写。所以,如果要对区域数据文件作手动更改,那么要么首先停止服务器(但这意味着在您作更改期间服务器将不响应任何查询),要么使用 DNS 控制台将服务器与区域数据文件同步,然后再进行更改。
4. 从属服务器无法加载区域数据
如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号,那么最初它是不会给您发警告消息的。然而,如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的,那么该区域就会过期。在一个 Microsoft DNS 服务器上,您将在事件查看器中看到与下文类似的一条消息:
在获得成功区域复制或从这个区域作为 其源的主服务器获得成功区域复制之前 movie.edu 区域就超时了。该区域已经被关闭。
区域过期后,当您向名称服务器查询该区域中的数据时,就会收到 SERVFAIL 错误消息:
C:\> nslookup robocop wormhole.movie.edu.
Server: wormhole.movie.edu
Addresses: 192.249.249.1, 192.253.253.1
*** wormhole.movie.edu can't find robocop.movie.edu: Server failed
出现此问题的原因主要有三个:由于网络故障与主控服务器的连接断开,为主控服务器配置的 IP 地址不正确,主控服务器上的区域数据文件中有语法错误。
首先,应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一(些)主控服务器的地址。右键单击左窗格中该区域的域名,选择属性,然后查看常规选项卡,如图 13-3 所示。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.44.3.gif[/img]
图 13-3 显示出主控服务器的区域属性窗口
确认它是否真是主名称服务器的 IP 地址。如果是,请检查到此 IP 地址的连接:
C:\> ping 192.249.249.3
Pinging 192.249.249.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
如果无法连接到主控服务器,请确定该服务器的主机注释掉的------>[b]详细讲解如何进行DNS故障排除[/b]
[b]问题真的出在 DNS 上吗?[/b]
在开始讨论如何排除 DNS 问题之前,我们想知道您是否清楚怎样判断某个问题是由 DNS 而不是由别的命名服务造成的。在 Windows 主机上,判断问题的原因是否真的出在 DNS 上可是件困难的事。Windows 支持的命名服务真是名目繁多:如 DNS、WINS、HOSTS、LMHOSTS 等数不胜数。然而常用的 Windows 2000 nslookup 却全然不理会其他这些命名服务。您可能会只顾在 Windows 2000 计算机上运行 nslookup 和查询名称服务器,而有问题的服务却可能在使用另一种不同的命名服务,这样,您无异于竹篮打水。
怎样才能知道将矛头指向哪里呢?首先,您需要考虑是哪一类程序出了问题。如果是 TCP/IP 客户端,如 telnet 或 ftp,那么问题可能出在 DNS 和 HOSTS 文件上。如果是一个支持 NetBIOS 命名的实用程序,如 net(与在 net use 中一样)中,那么值得怀疑的还要包括 WINS 和 LMHOSTS 文件。其他也使用 DNS 名称或 NetBIOS 名称作为参数的客户端(如 ping)也会使用这些命名服务中的任意一种。
接下来,再考虑 Windows 使用这些命名服务的顺序。在查找问题时,应按照此顺序检查各种服务。
这些提示对您查出问题的症结会有帮助,至少可帮您排除一个怀疑对象。如果在缩小了怀疑范围后 DNS 仍脱不了干系,您才需要阅读本章内容。
[b]检查缓存[/b]
如我们前面讲到的,您可以使用 DNS 控制台来检查名称服务器的缓存区中的内容。如果怀疑您的名称服务器缓存了来自另一服务器的错误的或过时的数据,则这一方法可派上用场。如要检查一个服务器的缓存区,请单击 DNS 控制台左窗格中该服务器名称左边的加号。您将看到一个名为 Cached Lookups 的文件夹。单击其左边的加号或双击文件夹图标或标签以展开下一级。这样可显示出您的名称服务器已为其缓存了数据的那些顶级域。继续展开,直至看到您要查看的缓存数据所在的那一域名。在图 13-1 中,我们已通过不断单击展开了要在其中查看缓存数据的 acmebw.com。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.24.1.gif[/img]
图 13-1 缓存中 acmebw.com 的 NS 和 A 记录
如在右边窗格中所见到的,我们的名称服务器已为 acmebw.com 缓存了三条 NS 记录和一条 A 记录。如果依次双击 net 和 acmebw,我们还会看到这些名称服务器的缓存地址。
如果想看缓存数据上的 TTL,请双击右窗格中的一条记录。若 DNS 控制台处于高级查看模式(选择查看 > 高级),则出现的窗口将显示出该记录的 TTL。例如,在图 13-2 中,我们双击了 acmebw.com A 记录。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.36.2.gif[/img]
图 13-2 缓存记录上的 TTL
在检查 TTL 之前,一定要用操作 > 刷新或用 F5 键刷新 DNS 控制台,否则您看到的 TTL 可能会大于当前 TTL。
如果右键单击该记录,您可能会注意到有一个删除记录选项。现在,有某种在 BIND 中无法执行的操作。您可以使用 DNS 控制台一个记录一个记录地删除缓存的数据。如果您知道名称服务器的缓存中某些记录已过时,可以将它们删除并让您的名称服务器从一个权威性名称服务器中获得更新后的记录。
[b]潜在问题列表[/b]
让我们逐一讨论一些在生活中常见的 DNS 问题。这些问题中有许多问题都是容易识别和纠正的。我们当然要讲述这些问题 - 它们之所以是一些最常见的问题,是因为它们是由一些最常见的错误造成的。下面就是这些问题,不分先后顺序。
1. 忘记增加序列号
只有在您未使用 DNS 控制台而是用手动方式更改区域数据文件时,才会出现此问题。DNS 控制台在它每次更改区域数据时都会记着在 SOA 记录中增加序列号,所以您不必为此操心。不过,这也意味着您可能不会养成更新序列号的习惯,所以在进行一次性手动修改时,您可能会忘记增加序列号。
此问题的主要症状是,从属名称服务器不会获得您在主服务器上对该区域做的任何更改。从属服务器认为区域数据并未更改,因为它看到的序列号仍是原来的序列号。
该怎样检查当时是否记着增加序列号呢?不幸的是,这就不是那么容易了。如果您不记得原序列号是什么,而现在的序列号不能表明它是什么时候更新的,则没有直接的方法判断它是否已更改。 1
在启动主服务器时,不管您是否更改了序列号,它都将加载更新后的区域数据文件。最好的办法只能是使用 nslookup 来比较主服务器和从属服务器返回的数据。如果它们返回不同的数据,则表明您可能忘了增加序列号。如果您能想起最近作的一次更改,则可以查看此数据。如果记不起最近一次作的更改,则可以从一个主服务器和一个从属服务器复制该区域,将结果排序并使用文件比较工具将它们加以比较。
还有一个好消息,即,尽管确定该区域此前是否已复制比较难,但现在要确保该区域被复制却非常简单。只须在 DNS 控制台中双击 SOA 记录并手动编辑序列号字段,增加主服务器上此区域的副本中的序列号即可。从属服务器将在刷新时间间隔内获得此新的数据,如果它们用了 NOTIFY,则会更快。
2. 忘记重启主要主控服务器
与上一个问题一样,只有在手动更改区域数据文件时才会有此问题。DNS 控制台可以动态添加和删除数据,所以不需要重启主要主控名称服务器。
但是,如果未使用 DNS 控制台,您可能会在编辑区域数据文件后忘记重启主要主控名称服务器。该名称服务器不知道要加载新数据 - 它不会自动检查此文件以查看是否已更改。这样,您作的任何更改都不能在名称服务器的数据中反映出来:将不会加载新区域,新记录也不会反映到从属服务器。
如想查出上次是在什么时候重启名称服务器的,请查看“事件查看器”输出中最后一个条目,它类似于:
DNS 服务器已开始。
这些事件上的日期和时间将告诉您上次重启名称服务器是在什么时间。
如果该重启时间与您上次作更改的时间不相符,则请使用 DNS 控制台停止并重启该名称服务器,然后重新加载其数据。还要检查您更改的区域数据文件上的序列号是否也增加了。
3. DNS 服务器丢失以手动方式作的更改
最后关于手动更改还要再强调一点:要记住 Microsoft DNS 服务器会定期更新其区域数据文件。每次用 DNS 控制台对一个区域的数据进行更改时,就有一个写操作挂起:在 DNS 服务器退出之前,它必须重写该区域的数据文件,否则它就会丢失您所作的更改。可以将此比作内存中一个已更新的页:操作系统在退出之前必须将它写到磁盘上。
如果您在一个写操作挂起期间对一个区域数据文件作了手动更改,则在名称服务器退出后您会莫名其妙地丢失所作的更改。比如您在服务器正在运行且有一个写操作挂起时向一个名为 movie.edu 的新子域添加了委派。作完更改后,您必须将服务器停下并再次启动,以让它再次读取该区域数据。但是在服务器退出时,它将重写 movie.edu 区域数据文件,您的委派于是就会丢掉。如果仔细观察(平时就需要这样)事件查看器,会在服务器停止事件之前看到这样一条消息:
The DNS server wrote version 37 of zone movie.edu to file movie.edu.dns.
(DNS 服务器写入区域 movie.edu 的版本 37 到 文件 movie.edu.dns。)
如果您用操作 | 更新服务器数据文件来强制服务器重写其区域数据文件,则服务器就会与区域数据文件同步,而不必在退出时重写。所以,如果要对区域数据文件作手动更改,那么要么首先停止服务器(但这意味着在您作更改期间服务器将不响应任何查询),要么使用 DNS 控制台将服务器与区域数据文件同步,然后再进行更改。
4. 从属服务器无法加载区域数据
如果一个从属服务器无法从其主控服务器获取某个区域的当前序列号,那么最初它是不会给您发警告消息的。然而,如果该问题一直存在而且从属服务器在有效期时间内无法确定其数据是否是最新的,那么该区域就会过期。在一个 Microsoft DNS 服务器上,您将在事件查看器中看到与下文类似的一条消息:
在获得成功区域复制或从这个区域作为 其源的主服务器获得成功区域复制之前 movie.edu 区域就超时了。该区域已经被关闭。
区域过期后,当您向名称服务器查询该区域中的数据时,就会收到 SERVFAIL 错误消息:
C:\> nslookup robocop wormhole.movie.edu.
Server: wormhole.movie.edu
Addresses: 192.249.249.1, 192.253.253.1
*** wormhole.movie.edu can't find robocop.movie.edu: Server failed
出现此问题的原因主要有三个:由于网络故障与主控服务器的连接断开,为主控服务器配置的 IP 地址不正确,主控服务器上的区域数据文件中有语法错误。
首先,应使用 DNS 控制台检查该从属服务器在尝试从中加载数据的那一(些)主控服务器的地址。右键单击左窗格中该区域的域名,选择属性,然后查看常规选项卡,如图 13-3 所示。
[img]http://windows.chinaitlab.com/imgfiles/2004.10.28.15.12.44.3.gif[/img]
图 13-3 显示出主控服务器的区域属性窗口
确认它是否真是主名称服务器的 IP 地址。如果是,请检查到此 IP 地址的连接:
C:\> ping 192.249.249.3
Pinging 192.249.249.3 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
如果无法连接到主控服务器,请确定该服务器的主机 [b]主要省份城市的DNS服务器地址[/b]
省份/城市 DNS 名称 DNS IP ADDRESS
==========================================================
香港 ns1.netvigator.com 205.252.144.228
澳门 vassun2.macau.ctm.net 202.175.3.8
深圳 ns.shenzhen.gd.cn 202.96.134.133
202.96.154.8
202.96.154.15
北京 ns.bta.net.cn 202.96.0.133
ns.spt.net.cn 202.96.199.133
ns.cn.net 202.97.16.195
202.106.0.20
202.106.148.1
202.106.196.115
广东 ns.guangzhou.gd.cn 202.96.128.143
dns.guangzhou.gd.cn 202.96.128.68
上海 ns.sta.net.cn 202.96.199.132
202.96.199.133
202.96.209.5
202.96.209.133
浙江 dns.zj.cninfo.net 202.96.102.3
202.96.96.68
202.96.104.18
陕西 ns.snnic.com 202.100.13.11
西安: 202.100.4.15
202.100.0.68
天津 ns.tpt.net.cn 202.99.96.68
辽宁 ns.dcb.ln.cn 202.96.75.68
202.96.75.64
202.96.64.68
202.96.69.38
202.96.86.18
202.96.86.24
江苏 pub.jsinfo.net 202.102.29.3
202.102.13.141
202.102.24.35
安徽:
202.102.192.68
202.102.199.68
四川 ns.sc.cninfo.net 61.139.2.69
重庆 61.128.128.68
61.128.192.4
成都: 202.98.96.68
202.98.96.69
河北 ns.hesjptt.net.cn 202.99.160.68
保定: 202.99.160.68
202.99.166.4
山西 ns.sxyzptt.net.cn 202.99.198.6
吉林 ns.jlccptt.net.cn 202.98.5.68
山东 202.102.152.3
202.102.128.68
福建 dns.fz.fj.cn 202.101.98.55
湖南 202.103.100.206
广西 10.138.128.40
202.103.224.68
202.103.225.68
江西 202.109.129.2
202.101.224.68
202.101.240.36
云南 ns.ynkmptt.net.cn 202.98.160.68
河南: 202.102.227.68
202.102.224.68
202.102.245.12
新疆: 61.128.97.73
乌鲁木齐 61.128.97.73
61.128.97.74
武汉: 202.103.24.68
202.103.0.117
厦门两个
202.101.103.55
202.101.103.54
山东的: 202.102.134.68
长沙
202.103.96.68
202.103.96.112
一些教育网内的----不一定好用
202.203.128.33 cernet云南中心主dns
202.203.128.34
210.14.232.241 and 203.93.19.133 罗湖
202.112.10.37 长安
202.115.64.33 and 202.115.64.34 西南交大
202.201.48.1 and 202.201.48.2 nwnu
210.33.116.112 浙江电大
202.116.160.33 华南农业
202.114.240.6 wust
202.194.48.130 ytnc
202.114.0.242 and 202.112.20.131 华中科大
202.202.128.33 and 202.202.128.34 重庆医科大?西安交大?
202.112.0.33 and 202.112.0.34 cernet 华北网
210.38.192.33 韶关注释掉的------>[b]主要省份城市的DNS服务器地址[/b]
省份/城市 DNS 名称 DNS IP ADDRESS
==========================================================
香港 ns1.netvigator.com 205.252.144.228
澳门 vassun2.macau.ctm.net 202.175.3.8
深圳 ns.shenzhen.gd.cn 202.96.134.133
202.96.154.8
202.96.154.15
北京 ns.bta.net.cn 202.96.0.133
ns.spt.net.cn 202.96.199.133
ns.cn.net 202.97.16.195
202.106.0.20
202.106.148.1
202.106.196.115
广东 ns.guangzhou.gd.cn 202.96.128.143
dns.guangzhou.gd.cn 202.96.128.68
上海 ns.sta.net.cn 202.96.199.132
202.96.199.133
202.96.209.5
202.96.209.133
浙江 dns.zj.cninfo.net 202.96.102.3
202.96.96.68
202.96.104.18
陕西 ns.snnic.com 202.100.13.11
西安: 202.100.4.15
202.100.0.68
天津 ns.tpt.net.cn 202.99.96.68
辽宁 ns.dcb.ln.cn 202.96.75.68
202.96.75.64
202.96.64.68
202.96.69.38
202.96.86.18
202.96.86.24
江苏 pub.jsinfo.net 202.102.29.3
202.102.13.141
202.102.24.35
安徽:
202.102.192.68
202.102.199.68
四川 ns.sc.cninfo.net 61.139.2.69
重庆 61.128.128.68
61.128.192.4
成都: 202.98.96.68
202.98.96.69
河北 ns.hesjptt.net.cn 202.99.160.68
保定: 202.99.160.68
202.99.166.4
山西 ns.sxyzptt.net.cn 202.99.198.6
吉林 ns.jlccptt.net.cn 202.98.5.68
山东 202.102.152.3
202.102.128.68
福建 dns.fz.fj.cn 202.101.98.55
湖南 202.103.100.206
广西 10.138.128.40
202.103.224.68
202.103.225.68
江西 202.109.129.2
202.101.224.68
202.101.240.36
云南 ns.ynkmptt.net.cn 202.98.160.68
河南: 202.102.227.68
202.102.224.68
202.102.245.12
新疆: 61.128.97.73
乌鲁木齐 61.128.97.73
61.128.97.74
武汉: 202.103.24.68
202.103.0.117
厦门两个
202.101.103.55
202.101.103.54
山东的: 202.102.134.68
长沙
202.103.96.68
202.103.96.112
一些教育网内的----不一定好用
202.203.128.33 cernet云南中心主dns
202.203.128.34
210.14.232.241 and 203.93.19.133 罗湖
202.112.10.37 长安
202.115.64.33 and 202.115.64.34 西南交大
202.201.48.1 and 202.201.48.2 nwnu
210.33.116.112 浙江电大
202.116.160.33 华南农业
202.114.240.6 wust
202.194.48.130 ytnc
202.114.0.242 and 202.112.20.131 华中科大
202.202.128.33 and 202.202.128.34 重庆医科大?西安交大?
202.112.0.33 and 202.112.0.34 cernet 华北网
210.38.192.33 韶关 [b]DNS专题---诊断工具和实用程序[/b]
本章内容包括:
nslookup:nslookup工具包括在windows NT和windows 2000 中并总是随同BIND软件包一起提供。这个很有用的诊断工具可提供许多选项,并提供一种方法以便从头到尾地跟踪DNS查询。
dig:dig工具没有nslookup那么强大。它也随同BIND一起提供,并能比nslookup提供更多的信息。
dnscmd:windows 2000 的资源工具箱新提供了用来完成DNS服务器管理任务的命令行工具dnscmd,没有该工具只能通过DNS服务器的管理界面完成DNS服务器管理任务。
ping:ping工具可以提供一种最简单的方法来验证网络上的另一台主机是否可以接通。它可能是TCP/IP最常用的诊断工具。
pathping:这个windows 2000 特有的命令在ping报文中提供了类似tracert的信息。
tracert:就如其名字中所隐含的意义,tracert工具可以指出分组从一台计算机到另一台计算机所经过的路由。该命令类似于UNIX下的traceroute命令。
Netlab:Netlab是网络工具中的“瑞士军刀”。这个共享软件可以免费下裁,并具有多种工具的功能,使用简单友好的图形界面。
Host:Host是本章选择的第二个自由软件工具。这个命令行工具提供了不少高级的查询功能,如使用nslookup则需一系列的命令才能完成。
ipconfig:windows NT和windows 2000 内置的命令行工具ipcongfig可以提供关于每个TCP/IP网络接口如何配置的基本信息,并提供对DHCP客户端租借的控制。
winipcfg:windows 95和windows 98 内置的图形界面工具。winipcfg也能提供每个TCP/IP网络接口是如何配置的基本信息。
netdiag:windows 2000 的资源工具箱新提供了能用来完成各种网络配置任务的命令行工具netdrag。在诊断活动目录支持方面的问题时它是最有用的,这些问题中有许多是由DNS引起的。
netsh:它是windows 2000 新提供的网络界面工具。该界面对上下文提供丰富的设置,并且允许上下文的扩展。尽管它并不提供DNS、网络接口、DHCP以及WINS的上下文,但对初学者来说,它仍是进行windows 2000 网络管理时必须知道的工具。
netstat:windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。netstat不仅提供TCP/IP接口的配置信息,还可以提供关于路由、连接、端口和连接统计的信息。
nbtstat:windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。nbtstat提供NetBIOS信息,包括连接和统计信息,并在某些平台中提供设置控制。
SystemMontor:这是windows NT和2000 的标准工具。它有一个具有许多有用的计数器的DNS对象,这些计数器覆盖了DNS服务器操作性统计数据的许多重要方面。
netmon:这是windows 2000 和NT的标准的用于在报文级监测正在发生的通信的工具。
12.1nslookup
nslookup是用来进行手动DNS查询的最常用工具。这个独特的工具具有一种特性:它既可以模拟标准的客户解析器,也可模拟服务器。作为客户解析器,nslookup可以直接向服务器查询信息。而用作服务器,nslookup可以实现从主服务器到辅服务器的域区传送。这个工具可以用于两种模式:非交互模式(这时要从命令行输入完整的命令,如nslookupwww.example.net)和交互模式(这时只键入nslookup和回车,不输入参数)。任何一种模式都可将参数传递给nslookup,但在域名服务器出现故障时更多地使用交互模式。在交互模式下,可以在提示符“>”下键入help或“?”来获得帮助信息。执行help命令将提供以下各节所涉及的命令的基本信息。注意本章中的多数命令的例子是在nslookup的交互模式下执行的。
非交互模式下对nslookup的使用如下所示。如果在本地主机上执行nslookup命令,缺省的域名服务器是ns.win2000 dns.com(注意win2000 dns.com这个地址只是个例子)。注意“Non-authoritativeanswer”行,这是唯一用于指示查询是否是从缓存中获得回答。如果服务器是该名字的授权服务器,这一行就不会出现。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.16.58.01.jpg[/img]
也可以这样使用:nslookupwww.example.netvenera.isi.edu,其中第二个主机名是用于取代缺省服务器的。可以看到现在的回答是授权的。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.7.02.jpg[/img]
如果正在使用命令行模式,并且想使用后续部分将讲到的一些参数,请记住将这些参数放在前面,并可以将这些参数省略到仍能保持独一无二,不会与其他参数混淆的程度。如果想看到解析过程中所有的通信,可以使用命令nslookup-d2www.example.netvenera.isi.edu,尽管大多数时候使用参数-d就足够了。
在对nslookup所提供的选项做详细解释以前,先介绍一下使用这个工具时所需记住的几个要点。前面提到过,nslookup有自己的解析器。因为nslookup可以发送递归查询或迭代查询,所以需要指定解析器所使用的方式。当调试DNS服务器时,常需要从缺省的递归查询转换到迭代查询以检查该DNS服务器所知道的信息。通过选项settype=any限制所返回的资源记录的
类型有时是十分有用的。如果不需要所有的类型,使用any以外的参数,缺省值是A记录。通过使用选项serverName和lserverName,解析器将指向你的服务器或其他的服务器,两种选项下参数Name本身被解析的过程是不同的。如果已经使用选项serverx.y.z使解析器指向一台非法的机器x.y.z,那么再使用serversome.good.nameserver将会失败,因为x.y.z不能用来解析some.good.nameserver。在这种情况下,必须使用IP协议或使用lserversome.good.nameserver,假设本地服务器(即lserver)是一个合法的名字服务器。通过设置选项defname、domain、search和srchlist或者使用带句点后缀的全域名可以控制解析过程中对域名的补全。有疑问的时候,执行交互式的命令setall察看当前配置。最后,对windows 使用者来说不易引起注意的一件事是Ctrl+C可以用来终止命令的执行。如果用命令LS启动了一次域区传送并想在中途中止命令的执行,那么Ctrl+C将使你返回到nslookup的命令提示符下。
12.1.1help(?)命令
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.14.03.jpg[/img]
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.22.04.jpg[/img]
下面的选项列在windows nslookup的帮助信息的早期版本中,提供了该书出版时的windows 2000 版本中的nslookup所接收的深层选项的有关信息。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.29.05.jpg[/img]
注释掉的------>[b]DNS专题---诊断工具和实用程序[/b]
本章内容包括:
nslookup:nslookup工具包括在windows NT和windows 2000 中并总是随同BIND软件包一起提供。这个很有用的诊断工具可提供许多选项,并提供一种方法以便从头到尾地跟踪DNS查询。
dig:dig工具没有nslookup那么强大。它也随同BIND一起提供,并能比nslookup提供更多的信息。
dnscmd:windows 2000 的资源工具箱新提供了用来完成DNS服务器管理任务的命令行工具dnscmd,没有该工具只能通过DNS服务器的管理界面完成DNS服务器管理任务。
ping:ping工具可以提供一种最简单的方法来验证网络上的另一台主机是否可以接通。它可能是TCP/IP最常用的诊断工具。
pathping:这个windows 2000 特有的命令在ping报文中提供了类似tracert的信息。
tracert:就如其名字中所隐含的意义,tracert工具可以指出分组从一台计算机到另一台计算机所经过的路由。该命令类似于UNIX下的traceroute命令。
Netlab:Netlab是网络工具中的“瑞士军刀”。这个共享软件可以免费下裁,并具有多种工具的功能,使用简单友好的图形界面。
Host:Host是本章选择的第二个自由软件工具。这个命令行工具提供了不少高级的查询功能,如使用nslookup则需一系列的命令才能完成。
ipconfig:windows NT和windows 2000 内置的命令行工具ipcongfig可以提供关于每个TCP/IP网络接口如何配置的基本信息,并提供对DHCP客户端租借的控制。
winipcfg:windows 95和windows 98 内置的图形界面工具。winipcfg也能提供每个TCP/IP网络接口是如何配置的基本信息。
netdiag:windows 2000 的资源工具箱新提供了能用来完成各种网络配置任务的命令行工具netdrag。在诊断活动目录支持方面的问题时它是最有用的,这些问题中有许多是由DNS引起的。
netsh:它是windows 2000 新提供的网络界面工具。该界面对上下文提供丰富的设置,并且允许上下文的扩展。尽管它并不提供DNS、网络接口、DHCP以及WINS的上下文,但对初学者来说,它仍是进行windows 2000 网络管理时必须知道的工具。
netstat:windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。netstat不仅提供TCP/IP接口的配置信息,还可以提供关于路由、连接、端口和连接统计的信息。
nbtstat:windows 95、windows 98 、windows NT和windows 2000 内置的命令行工具。nbtstat提供NetBIOS信息,包括连接和统计信息,并在某些平台中提供设置控制。
SystemMontor:这是windows NT和2000 的标准工具。它有一个具有许多有用的计数器的DNS对象,这些计数器覆盖了DNS服务器操作性统计数据的许多重要方面。
netmon:这是windows 2000 和NT的标准的用于在报文级监测正在发生的通信的工具。
12.1nslookup
nslookup是用来进行手动DNS查询的最常用工具。这个独特的工具具有一种特性:它既可以模拟标准的客户解析器,也可模拟服务器。作为客户解析器,nslookup可以直接向服务器查询信息。而用作服务器,nslookup可以实现从主服务器到辅服务器的域区传送。这个工具可以用于两种模式:非交互模式(这时要从命令行输入完整的命令,如nslookupwww.example.net)和交互模式(这时只键入nslookup和回车,不输入参数)。任何一种模式都可将参数传递给nslookup,但在域名服务器出现故障时更多地使用交互模式。在交互模式下,可以在提示符“>”下键入help或“?”来获得帮助信息。执行help命令将提供以下各节所涉及的命令的基本信息。注意本章中的多数命令的例子是在nslookup的交互模式下执行的。
非交互模式下对nslookup的使用如下所示。如果在本地主机上执行nslookup命令,缺省的域名服务器是ns.win2000 dns.com(注意win2000 dns.com这个地址只是个例子)。注意“Non-authoritativeanswer”行,这是唯一用于指示查询是否是从缓存中获得回答。如果服务器是该名字的授权服务器,这一行就不会出现。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.16.58.01.jpg[/img]
也可以这样使用:nslookupwww.example.netvenera.isi.edu,其中第二个主机名是用于取代缺省服务器的。可以看到现在的回答是授权的。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.7.02.jpg[/img]
如果正在使用命令行模式,并且想使用后续部分将讲到的一些参数,请记住将这些参数放在前面,并可以将这些参数省略到仍能保持独一无二,不会与其他参数混淆的程度。如果想看到解析过程中所有的通信,可以使用命令nslookup-d2www.example.netvenera.isi.edu,尽管大多数时候使用参数-d就足够了。
在对nslookup所提供的选项做详细解释以前,先介绍一下使用这个工具时所需记住的几个要点。前面提到过,nslookup有自己的解析器。因为nslookup可以发送递归查询或迭代查询,所以需要指定解析器所使用的方式。当调试DNS服务器时,常需要从缺省的递归查询转换到迭代查询以检查该DNS服务器所知道的信息。通过选项settype=any限制所返回的资源记录的
类型有时是十分有用的。如果不需要所有的类型,使用any以外的参数,缺省值是A记录。通过使用选项serverName和lserverName,解析器将指向你的服务器或其他的服务器,两种选项下参数Name本身被解析的过程是不同的。如果已经使用选项serverx.y.z使解析器指向一台非法的机器x.y.z,那么再使用serversome.good.nameserver将会失败,因为x.y.z不能用来解析some.good.nameserver。在这种情况下,必须使用IP协议或使用lserversome.good.nameserver,假设本地服务器(即lserver)是一个合法的名字服务器。通过设置选项defname、domain、search和srchlist或者使用带句点后缀的全域名可以控制解析过程中对域名的补全。有疑问的时候,执行交互式的命令setall察看当前配置。最后,对windows 使用者来说不易引起注意的一件事是Ctrl+C可以用来终止命令的执行。如果用命令LS启动了一次域区传送并想在中途中止命令的执行,那么Ctrl+C将使你返回到nslookup的命令提示符下。
12.1.1help(?)命令
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.14.03.jpg[/img]
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.22.04.jpg[/img]
下面的选项列在windows nslookup的帮助信息的早期版本中,提供了该书出版时的windows 2000 版本中的nslookup所接收的深层选项的有关信息。
[img]http://windows.chinaitlab.com/imgfiles/2003.8.28.17.17.29.05.jpg[/img] 不错,此帖加精,继续努力! 先顶再看,谢谢分享! 好帖,顶一下 顶!继续努力! 这也精华???
我还不如买本书去看 那么长的文章看完眼睛都瞎了
页:
1
[2]