域名解析系统——DNS服务器大型专题
DNS (英文单词的全称是:Domain Name System,域名系统), DNS是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。DNS 原理
· WINS服务器和DNS服务器有什么区别? (2楼)
· 新手入门——了解DNS服务基本原理 (3楼)
· 来龙去脉分析 深入研究DNS原理(图) (4楼)
· 应用层DNS:域名系统 (5楼)
· 微软的AD与非动态DNS(图) (6楼)
· 问答之间:六个问答解除DNS疑惑 (7楼)
· DNS服务器工作原理 (8楼)
DNS 安装
· Windows Server 2003 DNS服务安装篇(图) (9楼)
· 图文并茂一步步教你配置DNS服务 (10楼)
· 分离的DNS服务及其部署(组图) (11楼)
· Windows Server 2003下DNS架设攻略 (12楼)
· 详细讲解如何谨慎架设DNS服务器 (13楼)
· 个人服务器之Win2000 DNS服务器的设置 (14楼)
· DNS专题---Windows客户端的配置和解析 (15楼)
DNS 应用
· 针对中小企业的AD域控与DNS建设方案(图) (16楼)
· 妙用DNS解析实现防火墙客户的重定向(图) (17楼)
· Windows服务器宝典一式:DNS调教技巧(图) (18楼)
· 微软交流:关于DNS的不完全总结 (19楼)
· 资深网管教你如何操作DNS最安全(图) (20楼)
· Windows 2000 Server DNS维护一点通 (21楼)
· Win2000动态DNS的安全应用策略 (22楼)
· Windows 2003上网配置DNS的技巧 (23楼)
· Win 2k“秘密武器”之DNS工具(一) (24楼)
· 一步步从Win2k DNS 移植到 Linux 下 (25楼)
· 在Win 2003中为Web站点配置DNS记录 (26楼)
· 在Win 2003中为DNS配置Internet访问 (27楼)
DNS 故障
· 网管经验之Windows服务器DNS故障问题 (28楼)
· [服务器维护经验谈]DNS巧解网络故障 (29楼)
· 怎样减少丢包对DNS服务器的影响? (30楼)
· 解答:巧设DNS提高系统登录速度 (31楼)
· 详细讲解如何进行DNS故障排除 (32楼)
· 主要省份城市的DNS服务器地址 (33楼)
· DNS专题---诊断工具和实用程序 (34楼) WINS服务器和DNS服务器有什么区别?
对于许多人来说,WINS服务器和DNS服务器之间的关系还是一件神秘的事情。不过,我们希望用你的问题澄清这个事情。
首先,DNS指的是“域名服务器”,而WINS指的是“Windows互联网名称服务”。两者都是用来解析域名的,但是,使用的方法完全不同!
为了帮助说明这个问题,我准备使用一个例子,保证让你正确地了解这两种服务的情况。
考虑一个名为“Jupiter”的文件服务器和下面两个指令:
Ping Jupiter.space.net
Net use * jupiter mainshare
上面两个指令看起来很相似。第一个指令是向我们的文件服务器发送一个ping (icmp echo)数据包,确认这个服务器在工作。而第二个指令呼叫同一台服务器(jupiter),以便连接到一个名为“mainshare”的共享文件夹。
虽然这两个指令都指向同一台服务器(Jupiter),但是,它们之间的区别是很重要的。
这里的“Ping”使用DNS把Jupiter.space.net解析为一个IP地址,如204.45.12.1。而“net use”指令使用WINS把NetBIOS名称“Jupiter”解析为一个IP地址。
这样,你也许会感到疑惑,为什么有两种不同的服务实际上在完成同一个任务?
这个问题的答案是,这两种服务的每一种服务都依靠不同的协议。他们只是以不同的方式工作。
WINS是微软网络拓扑的一个重要的组成部分。在过去,你需要在Windows网络中运行一个WINS服务器以避免域名解析的问题。当时的这种NetBIOS(Windows机器名称)协议只能在NetBEUI传输协议上工作。如果你曾经使用过Windows 95,你会记得NetBEUI协议经常出现在你的网络属性中。在网络属性中,TCP/IP协议也是一个选项。
目前,DNS取代了WINS。由于微软对NetBIOS做了修改,允许它使用TCP/IP堆栈完成其工作(TCP/IP协议上的NetBIOS),大多数DNS服务器都能够处理NetBIOS的请求。这就是WINS服务器变得越来越少的原因。
简言之,DNS把TCP/IP主机名称映射为IP地址,WINS把NetBIOS主机名称映射为IP地址。注释掉的------>WINS服务器和DNS服务器有什么区别?
对于许多人来说,WINS服务器和DNS服务器之间的关系还是一件神秘的事情。不过,我们希望用你的问题澄清这个事情。
首先,DNS指的是“域名服务器”,而WINS指的是“Windows互联网名称服务”。两者都是用来解析域名的,但是,使用的方法完全不同!
为了帮助说明这个问题,我准备使用一个例子,保证让你正确地了解这两种服务的情况。
考虑一个名为“Jupiter”的文件服务器和下面两个指令:
Ping Jupiter.space.net
Net use * jupiter mainshare
上面两个指令看起来很相似。第一个指令是向我们的文件服务器发送一个ping (icmp echo)数据包,确认这个服务器在工作。而第二个指令呼叫同一台服务器(jupiter),以便连接到一个名为“mainshare”的共享文件夹。
虽然这两个指令都指向同一台服务器(Jupiter),但是,它们之间的区别是很重要的。
这里的“Ping”使用DNS把Jupiter.space.net解析为一个IP地址,如204.45.12.1。而“net use”指令使用WINS把NetBIOS名称“Jupiter”解析为一个IP地址。
这样,你也许会感到疑惑,为什么有两种不同的服务实际上在完成同一个任务?
这个问题的答案是,这两种服务的每一种服务都依靠不同的协议。他们只是以不同的方式工作。
WINS是微软网络拓扑的一个重要的组成部分。在过去,你需要在Windows网络中运行一个WINS服务器以避免域名解析的问题。当时的这种NetBIOS(Windows机器名称)协议只能在NetBEUI传输协议上工作。如果你曾经使用过Windows 95,你会记得NetBEUI协议经常出现在你的网络属性中。在网络属性中,TCP/IP协议也是一个选项。
目前,DNS取代了WINS。由于微软对NetBIOS做了修改,允许它使用TCP/IP堆栈完成其工作(TCP/IP协议上的NetBIOS),大多数DNS服务器都能够处理NetBIOS的请求。这就是WINS服务器变得越来越少的原因。
简言之,DNS把TCP/IP主机名称映射为IP地址,WINS把NetBIOS主机名称映射为IP地址。 新手入门——了解DNS服务基本原理
我们已经知道,既可以使用主机名标识一台主帆,也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符,而路由器则只愿使用长度固定并有层次结构的IP地址。
我们可以通过多种方法来识别一个人。例如,通过出生证明上的姓名,还可以通过社会安全编号、通过驾驶执照编号。尽管这些标识都可以用来识别人,但是在某种背景下会有一种标识比其他的标识更加恰当。例如,IRS(美国的一个税收机构)中的计算机喜欢使用固定长度的社会安全编号而不是出生证上的姓名来标注。另——方面,日常生活中人们喜欢用更好记的出生证上的姓名而不是社会安全编号〔确实,你能想象出如果一个人说“嗨,我的名字是132—67—9875,请找一下我丈夫,178—87—1146”会是何等滑稽的场景)。
因特网中的主机就像人一样能以多种力式标识。标识方法之一是使用主机名(hostname)。主机名(例如cnn.com,
[url=http://www.yahoo.com)]www.yahoo.com)[/url]
是助记性的,人们更愿意使用。然而主机名几乎没有提供关于主机在因特网中的位置信息(主机名为sina.com.cn的主机也许是在中国境内,此外不再有别的位置信息了)。另外,主机名是由可变长度的字母数字字符构成的,路由器处理起来有困难。因此因特网中的主机也使用所谓的IP地址标识。我们将在以后深入讨论IP地址,这里只简单地说明一下。IP地址由4个字节构成,具有严格的层次结构。IP地址一般以点分十进制数格式表示,也就是说所有4个字节都以0—255之间的十进制数表示,各个字节之间以点号分隔,例如121.7.106.83。IP地址具有层次结构,当从左到右扫描某个地址时,我们得到关于其主机在因特网中所在位置的越来越明确的信息。这就像从下到上扫描某个邮政地址时,我们得到关于住宅所在位置的越来越明确的信息一样。
DNS提供的服务
我们已经知道,既可以使用主机名标识一台主帆,也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符,而路由器则只愿使用长度固定民有层次结构的IP地址。为调解这两种不同的偏好,我们需要一个把主机名转换成IP地址的目录服务。这就是因特网的域名系统(Domain Name System,DNS)的主要任务。DNS既是一个在由名称服务器主机构成的层次结构中实现的分布式数据库,又是一个允许客户主机和名称服务器主机通信以使用域名转换服务的应用层协议。名称服务器主机通常是运行Berkeley Internet Name Domain(简称BIND)软件的UNIX主机。DNS协议运行在UDP之上,使用端口号53。
其他应用层协议(例如HTTP,SMTP,FTP)普遍使用DNS把由用户提供的主机名转换成IP地址。作为例子,我们考虑某个用户使用运行在本地主机上的一个浏览器(也就是HTTP客户)请求
[url=http://www.yesky.com]http://www.yesky.com[/url]
时会发生什么。为了把HTTP请求消息发送到名为
[url=http://www.yesky.com]www.yesky.com[/url]
的web服务器主机,浏览器必须获悉这台主机的IP地址。我们知道,差不多每台主机都运行着DNS应用的客户端。浏览器从URL中抽取出主机名后把它传递给本地主机上的DNS应用客户端。DNS客户于是向某个DNS服务器发出一个包含该主机名的DNS查询消息。DNS客户最终收到一个包含与该主机名对应的IP地址的应答消息。浏览器接着打开一个到位于该IP地址的HTTP服务器的TCP连接。从这个例子中可以看出,DNS给使用它的因特网应用引入了额外延迟(有时还相当大)。所幸的是,正如我们即将讨论的那样.预期的主机名—IP地址对应关系往往高速缓存在就近的DNS名称服务器主机中,从而帮助降低了DNS访问延迟和DNS网络流量。
除了从主机名到IP地址的转换,DNS还提供其他一些重要的服务:●主机别名(hody aliasing)。具有复杂主机名的主机还可以有一个或多个别名。例如,
主机名为relay1.west-coast.enterprise.com的主机有两个别名:enterprise.com和
[url=http://www.enterprise.com]www.enterprise.com[/url]
。这种情况下,主机名relay1.west-coast.enterprise.com特称为正规主机名(canonical hostname),另外两个主机名则是别名主机名(alias hostname)。
别名主机名往往比正规主机名更便于记忆。应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。
●邮件服务器别名(mall server aliasing)。电子邮件地址显然要求便于记忆。例如,如果Bob有一个hotmail账号,那么他的电子邮件地址可能是简单的
[url=mailto:bob@hotmail.com]bob@hotmail.com[/url]
。然而hotmail邮件服务器的主机名要比hotmail.com复杂且不易记住。电子邮件应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。事实上,DNS允许一个公司的邮件服务器和Web服务器使用相同的别名主机名。例如,某个公司的web服务器和邮件服务器可以都称为enterprise.com。
●负载分担(load distribution)。DNS还越来越多地用于执行在多个复制成的服务器(例如复制成的Web服务器)之间的负载分担。像cnn.com那样的繁忙站点往往把Web服务器复制成多个,每个服务器运行在不向的端系统上,具有不同的IP地址。对于复制成的多个Web服务器,与其单个正规主机名相关联的是一组IP地址。DNS数据库中保存着这组IP地址。客户发出针对映射到一组IP地址的某个主机名的DNS查询后,服务器响应以整组IP地址,不过每次响应的地址顺序是轮转的。既然访问web站点时,浏览器一般把HTTP请求消息发送给内DNS客户否询到的一组IP地址中的第一个,DNS轮转于是把web站点的访问负载分担在所有复制成的服务器上。电子邮件应用也可以使用DNS轮转,这样多个邮件服务器可以有相同的别名。近来,有些公司已经以更为复杂的方式使用DNS提供web内容分发服务。
DNS在RFC 1034和RFC 1035中有详细说明,并在另外若干个RFC中作了更新。DNS是一个复杂的系统,我们只在这儿讨论其操作的关键方面。感兴趣朗读者可以参见协议文档。注释掉的------>新手入门——了解DNS服务基本原理
我们已经知道,既可以使用主机名标识一台主帆,也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符,而路由器则只愿使用长度固定并有层次结构的IP地址。
我们可以通过多种方法来识别一个人。例如,通过出生证明上的姓名,还可以通过社会安全编号、通过驾驶执照编号。尽管这些标识都可以用来识别人,但是在某种背景下会有一种标识比其他的标识更加恰当。例如,IRS(美国的一个税收机构)中的计算机喜欢使用固定长度的社会安全编号而不是出生证上的姓名来标注。另——方面,日常生活中人们喜欢用更好记的出生证上的姓名而不是社会安全编号〔确实,你能想象出如果一个人说“嗨,我的名字是132—67—9875,请找一下我丈夫,178—87—1146”会是何等滑稽的场景)。
因特网中的主机就像人一样能以多种力式标识。标识方法之一是使用主机名(hostname)。主机名(例如cnn.com,
[url=http://www.yahoo.com)/]
[color=#003366]www.yahoo.com)[/color]
[/url]
是助记性的,人们更愿意使用。然而主机名几乎没有提供关于主机在因特网中的位置信息(主机名为sina.com.cn的主机也许是在中国境内,此外不再有别的位置信息了)。另外,主机名是由可变长度的字母数字字符构成的,路由器处理起来有困难。因此因特网中的主机也使用所谓的IP地址标识。我们将在以后深入讨论IP地址,这里只简单地说明一下。IP地址由4个字节构成,具有严格的层次结构。IP地址一般以点分十进制数格式表示,也就是说所有4个字节都以0—255之间的十进制数表示,各个字节之间以点号分隔,例如121.7.106.83。IP地址具有层次结构,当从左到右扫描某个地址时,我们得到关于其主机在因特网中所在位置的越来越明确的信息。这就像从下到上扫描某个邮政地址时,我们得到关于住宅所在位置的越来越明确的信息一样。
DNS提供的服务
我们已经知道,既可以使用主机名标识一台主帆,也可以使用IP地址标识。人们更愿意使用便于记忆的主机名标识符,而路由器则只愿使用长度固定民有层次结构的IP地址。为调解这两种不同的偏好,我们需要一个把主机名转换成IP地址的目录服务。这就是因特网的域名系统(Domain Name System,DNS)的主要任务。DNS既是一个在由名称服务器主机构成的层次结构中实现的分布式数据库,又是一个允许客户主机和名称服务器主机通信以使用域名转换服务的应用层协议。名称服务器主机通常是运行Berkeley Internet Name Domain(简称BIND)软件的UNIX主机。DNS协议运行在UDP之上,使用端口号53。
其他应用层协议(例如HTTP,SMTP,FTP)普遍使用DNS把由用户提供的主机名转换成IP地址。作为例子,我们考虑某个用户使用运行在本地主机上的一个浏览器(也就是HTTP客户)请求
[url=http://www.yesky.com/]
[color=#003366]http://www.yesky.com[/color]
[/url]
时会发生什么。为了把HTTP请求消息发送到名为
[url=http://www.yesky.com/]
[color=#003366]www.yesky.com[/color]
[/url]
的web服务器主机,浏览器必须获悉这台主机的IP地址。我们知道,差不多每台主机都运行着DNS应用的客户端。浏览器从URL中抽取出主机名后把它传递给本地主机上的DNS应用客户端。DNS客户于是向某个DNS服务器发出一个包含该主机名的DNS查询消息。DNS客户最终收到一个包含与该主机名对应的IP地址的应答消息。浏览器接着打开一个到位于该IP地址的HTTP服务器的TCP连接。从这个例子中可以看出,DNS给使用它的因特网应用引入了额外延迟(有时还相当大)。所幸的是,正如我们即将讨论的那样.预期的主机名—IP地址对应关系往往高速缓存在就近的DNS名称服务器主机中,从而帮助降低了DNS访问延迟和DNS网络流量。
除了从主机名到IP地址的转换,DNS还提供其他一些重要的服务:●主机别名(hody aliasing)。具有复杂主机名的主机还可以有一个或多个别名。例如,
主机名为relay1.west-coast.enterprise.com的主机有两个别名:enterprise.com和
[url=http://www.enterprise.com/]
[color=#003366]www.enterprise.com[/color]
[/url]
。这种情况下,主机名relay1.west-coast.enterprise.com特称为正规主机名(canonical hostname),另外两个主机名则是别名主机名(alias hostname)。
别名主机名往往比正规主机名更便于记忆。应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。
●邮件服务器别名(mall server aliasing)。电子邮件地址显然要求便于记忆。例如,如果Bob有一个hotmail账号,那么他的电子邮件地址可能是简单的
[url=mailto:bob@hotmail.com]
[color=#003366]bob@hotmail.com[/color]
[/url]
。然而hotmail邮件服务器的主机名要比hotmail.com复杂且不易记住。电子邮件应用可以调用DNS获取所给定别名主机名的正规主机名和IP地址。事实上,DNS允许一个公司的邮件服务器和Web服务器使用相同的别名主机名。例如,某个公司的web服务器和邮件服务器可以都称为enterprise.com。
●负载分担(load distribution)。DNS还越来越多地用于执行在多个复制成的服务器(例如复制成的Web服务器)之间的负载分担。像cnn.com那样的繁忙站点往往把Web服务器复制成多个,每个服务器运行在不向的端系统上,具有不同的IP地址。对于复制成的多个Web服务器,与其单个正规主机名相关联的是一组IP地址。DNS数据库中保存着这组IP地址。客户发出针对映射到一组IP地址的某个主机名的DNS查询后,服务器响应以整组IP地址,不过每次响应的地址顺序是轮转的。既然访问web站点时,浏览器一般把HTTP请求消息发送给内DNS客户否询到的一组IP地址中的第一个,DNS轮转于是把web站点的访问负载分担在所有复制成的服务器上。电子邮件应用也可以使用DNS轮转,这样多个邮件服务器可以有相同的别名。近来,有些公司已经以更为复杂的方式使用DNS提供web内容分发服务。
DNS在RFC 1034和RFC 1035中有详细说明,并在另外若干个RFC中作了更新。DNS是一个复杂的系统,我们只在这儿讨论其操作的关键方面。感兴趣朗读者可以参见协议文档。 [b]来龙去脉分析 深入研究DNS原理(图)[/b]
计算机在网络上进行通讯时只能识别如“201.51.0.73”之类的IP地址,而不能认识域名.但是,当打开浏览器,在地址栏中输入域名后,就能看到所需要的页面,这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出IP地址所对应的网页。
[b]什么是DNS[/b]
DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它主要是用来通过用户亲切而友好的名称代替枯燥而难记的IP地址以定位相应的计算机和相应服务。因此,要想让亲切而友好的名称能被网络所认识,则需要在名称和IP地址之间有一位“翻译官”,它能将相关的域名翻译成网络能接受的相应IP地址。DNS就是这样的一位“翻译官”,它的工作原理可用图1来表示。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.51.45.17.1.jpg[/img]
图1
[color="purple"]如何建立DNS[/color]
在校园网内部使用DNS,可以建立内部的DNS服务,使我们的校园网络的应用更加具有人性化。
[b]1、欲实现的目标[/b]
某学校由于工作的需要,想配置一名为sjsgz.net的域,如图2所示。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.51.57.17.2.jpg[/img]
图2
在这个域中,为了使用户在浏览器地址栏中键入相应的主机名就会找到相应的服务,为此,需要设置相应的DNS服务器。
[b]2、DNS服务的安装[/b]
我们从guanli.sjsgz.net开始,准备在这台计算机上安装DNS服务器服务。安装DNS的步骤如下:
(1)选“开始→设置→控制面板”,打开“添加/删除程序”。
(2)单击“添加/删除Windows组件”,等待Windows组件向导启动。
(3)单击[下一步]按钮弹出Windows组件清单。
(4)单击[网络服务],然后再单击[详细情况]按钮。
(5)单击“DNS(域名系统)”旁的复选框。
(6)单击[确定]按钮返回“Windows组件”对话框。
(7)单击[下一步]安装相应的服务,然后逐一单击[完成]和[关闭]按钮即可完成。
不需要重新启动计算机,单击“开始→程序→管理工具→DNS”,出现如图3所示的窗口,此时可以在左边的窗口中看到代表你的服务器的图标(guanli)。
[b]3、创建“sjsgz.net”区域[/b]
(1)用鼠标单击图3中“guanli”旁边的“+”号,然后用鼠标右键单击“guanli”,选“新建区域”以进入新建区域向导中。
(2)当向导提示到要让选择“区域类型”时,此处应该选“标准主要区域”,而在“正向或反向搜索区域中”应选“正向搜索区域”,单击“正向搜索区域”旁边的“+”号,用鼠标右键单击“正向搜索区域”,单击[下一步]按钮。
(3)屏幕出现询问“区域名”,则在“名称”后的文字框中输入“sjsgz.net”,接着向导进入到“区域文件”提示窗口中,默认的,系统会自动选中“创建新文件,文件名为”一项,并在其后的文字框中自动填有“sjsgz.net.dns”的名字(如图4所示),单击[下一步]按钮,然后单击[完成]即可完成区域创建,此时在DNS管理器的左边的“guanli→正向搜索区域”里可以看到“sjsgz.net”区域(如图3所示)。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.52.9.17.3.jpg[/img]
图3
注意:创建正向搜索区域的目的是为了将主机名翻译为IP地址,你也可以创建反向搜索区域,便于将IP地址翻译成相应的主机名,创建方法和正向搜索区域的创建相似。
[b]4、创建主机[/b]
下面我们将以创建图2中Web服务器(
[url=http://www.sjsgz.net)]www.sjsgz.net)[/url]
主机为例说明如何创建主机。
(1)在图3所示窗口中的“sjsgz.net”区域上单击右键,选“新建主机”,在其后的对话框中的“名称”栏中输入主机名“www”,在“IP地址”栏输入“10.88.56.2”。
(2)单击[添加主机]按钮,即成功地创建了主机地址记录
[url=http://www.sjsgz.net]www.sjsgz.net[/url]
,在“新建主机”窗口再选“完成”便可回到DNS管理器中。
(3)上述记录建好以后,就可以在DNS管理器中看到相关的DNS映射记录表(如图4所示),这样,就在“
[url=http://www.sisgz.net]www.sisgz.net[/url]
”与“10.88.56.2”之间建立了映射关系。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.52.20.17.4.jpg[/img]
图4
[b]5、测试配置[/b]
DNS服务器配置完以后,如何检测它是否配置正确呢?可以用一个称作“Nslookup”的诊断程序来进行检测。下面我们就用这个命令对“guanli.sjsgz.net”DNS服务器进行测试。
(1)在命令提示符下输入:Nslookup,启动该程序。此时系统会响应它当前翻译名字所使用的DNS服务器的IP地址。
(2)然后在命令提示符下输入:ls - d sjsgz.net。这个命令的功能是让DNS服务器列出它所知道的有关sjsgz.net的每一条信息。
(3)在命令提示符下输入:Exit,即可退出Nslookup命令。
注意:在安装“DNS服务器”之前,必须用静态的IP地址配置计算机。
在校园网中安装、配置DNS服务器的目的是为了更好地应用网络为教育教学服务、更好地提供一个具有人性化的应用环境。但是有一点需要注意的是,为了配置DNS的动态更新功能,必须配置DNS和DHCP服务器。注释掉的------>[b]来龙去脉分析 深入研究DNS原理(图)[/b]
计算机在网络上进行通讯时只能识别如“201.51.0.73”之类的IP地址,而不能认识域名.但是,当打开浏览器,在地址栏中输入域名后,就能看到所需要的页面,这是因为有一个叫“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出IP地址所对应的网页。
[b]什么是DNS[/b]
DNS( Domain Name System)是“域名系统”的英文缩写,是一种组织成域层次结构的计算机和网络服务命名系统,它用于TCP/IP网络,它主要是用来通过用户亲切而友好的名称代替枯燥而难记的IP地址以定位相应的计算机和相应服务。因此,要想让亲切而友好的名称能被网络所认识,则需要在名称和IP地址之间有一位“翻译官”,它能将相关的域名翻译成网络能接受的相应IP地址。DNS就是这样的一位“翻译官”,它的工作原理可用图1来表示。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.51.45.17.1.jpg[/img]
图1
[color=purple]如何建立DNS[/color]
在校园网内部使用DNS,可以建立内部的DNS服务,使我们的校园网络的应用更加具有人性化。
[b]1、欲实现的目标[/b]
某学校由于工作的需要,想配置一名为sjsgz.net的域,如图2所示。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.51.57.17.2.jpg[/img]
图2
在这个域中,为了使用户在浏览器地址栏中键入相应的主机名就会找到相应的服务,为此,需要设置相应的DNS服务器。
[b]2、DNS服务的安装[/b]
我们从guanli.sjsgz.net开始,准备在这台计算机上安装DNS服务器服务。安装DNS的步骤如下:
(1)选“开始→设置→控制面板”,打开“添加/删除程序”。
(2)单击“添加/删除Windows组件”,等待Windows组件向导启动。
(3)单击[下一步]按钮弹出Windows组件清单。
(4)单击[网络服务],然后再单击[详细情况]按钮。
(5)单击“DNS(域名系统)”旁的复选框。
(6)单击[确定]按钮返回“Windows组件”对话框。
(7)单击[下一步]安装相应的服务,然后逐一单击[完成]和[关闭]按钮即可完成。
不需要重新启动计算机,单击“开始→程序→管理工具→DNS”,出现如图3所示的窗口,此时可以在左边的窗口中看到代表你的服务器的图标(guanli)。
[b]3、创建“sjsgz.net”区域[/b]
(1)用鼠标单击图3中“guanli”旁边的“+”号,然后用鼠标右键单击“guanli”,选“新建区域”以进入新建区域向导中。
(2)当向导提示到要让选择“区域类型”时,此处应该选“标准主要区域”,而在“正向或反向搜索区域中”应选“正向搜索区域”,单击“正向搜索区域”旁边的“+”号,用鼠标右键单击“正向搜索区域”,单击[下一步]按钮。
(3)屏幕出现询问“区域名”,则在“名称”后的文字框中输入“sjsgz.net”,接着向导进入到“区域文件”提示窗口中,默认的,系统会自动选中“创建新文件,文件名为”一项,并在其后的文字框中自动填有“sjsgz.net.dns”的名字(如图4所示),单击[下一步]按钮,然后单击[完成]即可完成区域创建,此时在DNS管理器的左边的“guanli→正向搜索区域”里可以看到“sjsgz.net”区域(如图3所示)。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.52.9.17.3.jpg[/img]
图3
注意:创建正向搜索区域的目的是为了将主机名翻译为IP地址,你也可以创建反向搜索区域,便于将IP地址翻译成相应的主机名,创建方法和正向搜索区域的创建相似。
[b]4、创建主机[/b]
下面我们将以创建图2中Web服务器(
[url=http://www.sjsgz.net)/]
[color=#003366]www.sjsgz.net)[/color]
[/url]
主机为例说明如何创建主机。
(1)在图3所示窗口中的“sjsgz.net”区域上单击右键,选“新建主机”,在其后的对话框中的“名称”栏中输入主机名“www”,在“IP地址”栏输入“10.88.56.2”。
(2)单击[添加主机]按钮,即成功地创建了主机地址记录
[url=http://www.sjsgz.net/]
[color=#003366]www.sjsgz.net[/color]
[/url]
,在“新建主机”窗口再选“完成”便可回到DNS管理器中。
(3)上述记录建好以后,就可以在DNS管理器中看到相关的DNS映射记录表(如图4所示),这样,就在“
[url=http://www.sisgz.net/]
[color=#003366]www.sisgz.net[/color]
[/url]
”与“10.88.56.2”之间建立了映射关系。
[img]http://cisco.chinaitlab.com/imgfiles/2005.8.31.9.52.20.17.4.jpg[/img]
图4
[b]5、测试配置[/b]
DNS服务器配置完以后,如何检测它是否配置正确呢?可以用一个称作“Nslookup”的诊断程序来进行检测。下面我们就用这个命令对“guanli.sjsgz.net”DNS服务器进行测试。
(1)在命令提示符下输入:Nslookup,启动该程序。此时系统会响应它当前翻译名字所使用的DNS服务器的IP地址。
(2)然后在命令提示符下输入:ls - d sjsgz.net。这个命令的功能是让DNS服务器列出它所知道的有关sjsgz.net的每一条信息。
(3)在命令提示符下输入:Exit,即可退出Nslookup命令。
注意:在安装“DNS服务器”之前,必须用静态的IP地址配置计算机。
在校园网中安装、配置DNS服务器的目的是为了更好地应用网络为教育教学服务、更好地提供一个具有人性化的应用环境。但是有一点需要注意的是,为了配置DNS的动态更新功能,必须配置DNS和DHCP服务器。 [b]应用层DNS:域名系统(DNS:Domain Name Systems)[/b]
[b]DNS:域名系统(DNS:Domain Name Systems)[/b]
域名系统协议(DNS)是一种分布式网络目录服务,主要用来把主机名转换为 IP 网络地址,并控制因特网的电子邮件的发送。大多数因特網服务器依赖于 DNS 而工作,一旦 DNS 出错,就无法下载 Web 站点并且中止电子邮件的发送。
[b]DNS 有两个主要方面:[/b]
详述域名语法和规范,以授予域名权限。基本语法是:local.group.site ;
详述分布式计算机系统的实现,将域名转换成地址。
DNS 命名格式中,域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构,一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字,由分布式名字服务器组实施。
理论上,DNS 协议中的域名标准阐述了一种任意标签值的分布式抽象域名空间。任何组织都可以建立域系统,为所有分布结构选择标签,但大多数 DNS 协议用户遵循用于因特网系统慣用域名系统。常见的顶级域是:COM、EDU、GOV、NET、ORG、BIZ,另外还有一些带国家代码的顶级域。
分布式 DNS 模式支持有效且可靠的名字与 IP 地址转换。多数名字可以在本地转换,合作式多站点服务器组能够解决大网络的名字与 IP 地址的转换问题。单个机器的故障不会阻止 DNS 的正确操作,DNS是基本目标协议,并不受网络设备名限制。
[b]协议结构[/b]
[img]http://cisco.chinaitlab.com/imgfiles/2004.11.16.14.27.24.1.gif[/img]
ID – 用于连接查询和答复的16bit。
Q – 识别查询和答复消息的1位字段。
Query – 描述消息类型的4位字段:
0 标准查询(由姓名到地址);
1 逆向查询;
2 服务状态请求
A – 命令回答:1位字段。当设置为1时,识别由命令名字服务器作出的答复。
T – 切断。1位字段。当设置为1,表明消息已被切断。
R – 1位字段。由名字服务器设置为1请求递归服务。
V –1位字段。由名字服务器设置表示递归服务的实用性。
B –3位字段。备用,必须设置为0。
Rcode – 响应代码,由名字服务器设置的4位字段用以识别查询状态。
Question count – 16位字段用以定义问题部分的登陆号。
Answer count – 16位字段,用以定义回答部分的资源记录号。
Authority count – 16位字段,用以定义命令部分名字服务器的资源记录号。
Additional count – 16位字段,用以定义附加记录部分的资源记录号。注释掉的------>[b]应用层DNS:域名系统(DNS:Domain Name Systems)[/b]
[b]DNS:域名系统(DNS:Domain Name Systems)[/b]
域名系统协议(DNS)是一种分布式网络目录服务,主要用来把主机名转换为 IP 网络地址,并控制因特网的电子邮件的发送。大多数因特網服务器依赖于 DNS 而工作,一旦 DNS 出错,就无法下载 Web 站点并且中止电子邮件的发送。
[b]DNS 有两个主要方面:[/b]
详述域名语法和规范,以授予域名权限。基本语法是:local.group.site ;
详述分布式计算机系统的实现,将域名转换成地址。
DNS 命名格式中,域名空间的授权以及域名与地址的转换采用的都是分层和分布式结构,一些授权的机构可以各自转换其权限以内的名字和 IP 地址。DNS 的命名是为全球性的网络设备分配名字,由分布式名字服务器组实施。
理论上,DNS 协议中的域名标准阐述了一种任意标签值的分布式抽象域名空间。任何组织都可以建立域系统,为所有分布结构选择标签,但大多数 DNS 协议用户遵循用于因特网系统慣用域名系统。常见的顶级域是:COM、EDU、GOV、NET、ORG、BIZ,另外还有一些带国家代码的顶级域。
分布式 DNS 模式支持有效且可靠的名字与 IP 地址转换。多数名字可以在本地转换,合作式多站点服务器组能够解决大网络的名字与 IP 地址的转换问题。单个机器的故障不会阻止 DNS 的正确操作,DNS是基本目标协议,并不受网络设备名限制。
[b]协议结构[/b]
[img]http://cisco.chinaitlab.com/imgfiles/2004.11.16.14.27.24.1.gif[/img]
ID – 用于连接查询和答复的16bit。
Q – 识别查询和答复消息的1位字段。
Query – 描述消息类型的4位字段:
0 标准查询(由姓名到地址);
1 逆向查询;
2 服务状态请求
A – 命令回答:1位字段。当设置为1时,识别由命令名字服务器作出的答复。
T – 切断。1位字段。当设置为1,表明消息已被切断。
R – 1位字段。由名字服务器设置为1请求递归服务。
V –1位字段。由名字服务器设置表示递归服务的实用性。
B –3位字段。备用,必须设置为0。
Rcode – 响应代码,由名字服务器设置的4位字段用以识别查询状态。
Question count – 16位字段用以定义问题部分的登陆号。
Answer count – 16位字段,用以定义回答部分的资源记录号。
Authority count – 16位字段,用以定义命令部分名字服务器的资源记录号。
Additional count – 16位字段,用以定义附加记录部分的资源记录号。 [b]微软的AD与非动态DNS(图)[/b]
[b]微软的AD对DNS的要求可以总结为以下3点[/b]:(有点儿絮叨)
a、在DNS名字空间中支持下划线,因为在AD中有些重要的子域需要在其名字中使用下划线。这一点在教程中没提。
b、支持SRV记录,不用说为什么了。
c、动态DNS(也可以使用不支持动态DNS,后面就有讲解)
有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录(RFC2782)和动态更新(RFC2136)的Linux系统上运行的BIND,或者Lucent公司的QIP DNS/DHCP系统。(后者没用过,不知道是个什么样儿,只在其他书籍中提过)但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线,但不支持动态DNS,仍然可以使用一个名字为Netlogon.dns的文件来实现AD。
每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录,并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候,Netlogon服务会与主DNS服务器联系,并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情,它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在\Windows\System32\Config\中———进入任何一台DC,使用记事本可以查看该文件中有大量的SRV记录。
如下图
[img]http://windows.chinaitlab.com/imgfiles/2005.9.24.11.50.32.2.111.jpg[/img]
利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。
a、首先在DNS服务器上(不支持动态升级,如NT4.0)建立一个区域jzlld.vicp.net作为主要区域。将这个区域文件命名为jzlld.vicp.net.dns。
b、为jzlld.vicp.net域中的每台DC输入A记录。
c、进入jzlld.vicp.net域中的每台DC,然后启动它的Netlogon服务。
d、把该DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一张软盘或者网络上。
e、取得所有DC的Netlogon.dns文件后,在jzlld.vicp.net的主DNS服务器上把它们合并成一个大ASCII文件。
f、在这台DNS服务器上,停止DNS服务。
g、在\%SystemFiles%\System32\DNS中,用notepad打开文件jzlld.vicp.net.dns。、
h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzlld.vicp.net.dns这个文件时收集的SRV记录。
i、保存这个文件。
j、重新启动DNS服务。
这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了:)
[b]缺点:[/b]
a、收集所有DC的Netlogon.dns文件需要做大量的工作。
b、并不具有很好的动态性,如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。注释掉的------>[b]微软的AD与非动态DNS(图)[/b]
[b]微软的AD对DNS的要求可以总结为以下3点[/b]:(有点儿絮叨)
a、在DNS名字空间中支持下划线,因为在AD中有些重要的子域需要在其名字中使用下划线。这一点在教程中没提。
b、支持SRV记录,不用说为什么了。
c、动态DNS(也可以使用不支持动态DNS,后面就有讲解)
有的时候我们也可以采用一些其他公司的DNS产品来代替2000/2003的动态DNS服务。如支持SRV记录(RFC2782)和动态更新(RFC2136)的Linux系统上运行的BIND,或者Lucent公司的QIP DNS/DHCP系统。(后者没用过,不知道是个什么样儿,只在其他书籍中提过)但有的时候动态的DNS在某中情况中会给我们带来一些安全的隐患。AD与非动态DNS的结合实际上也是可行的。例如在以下文字中如果DNS支持SRV和下划线,但不支持动态DNS,仍然可以使用一个名字为Netlogon.dns的文件来实现AD。
每台支持DDNS功能的计算机都会在DDNS中亲自写入一条自己的A记录。但是AD实际上需要依靠所有这些SRV记录,并且他们是由Netlogon服务写入区域文件的。每当重新启动一台DC或者重新启动Netlogon服务、或者过了一段时间没有更新的时候,Netlogon服务会与主DNS服务器联系,并注册自己的SRV记录。但DC上的Netlogon服务还做了其他的事情,它可以把这些SRV记录写入一个名为Netlogon.dns的ASCII文本文件。该文件存储在\Windows\System32\Config\中———进入任何一台DC,使用记事本可以查看该文件中有大量的SRV记录。
如下图
[img]http://windows.chinaitlab.com/imgfiles/2005.9.24.11.50.32.2.111.jpg[/img]
利用以上的说明就可以利用一台不支持动态升级的DNS实现支持AD。
a、首先在DNS服务器上(不支持动态升级,如NT4.0)建立一个区域jzlld.vicp.net作为主要区域。将这个区域文件命名为jzlld.vicp.net.dns。
b、为jzlld.vicp.net域中的每台DC输入A记录。
c、进入jzlld.vicp.net域中的每台DC,然后启动它的Netlogon服务。
d、把该DC上的\Windows\Syytem32\Config\Netlogon.dns文件放到一张软盘或者网络上。
e、取得所有DC的Netlogon.dns文件后,在jzlld.vicp.net的主DNS服务器上把它们合并成一个大ASCII文件。
f、在这台DNS服务器上,停止DNS服务。
g、在\%SystemFiles%\System32\DNS中,用notepad打开文件jzlld.vicp.net.dns。、
h、在额外的行中添加你把所有的Netlogon.dsn记录项合并成jzlld.vicp.net.dns这个文件时收集的SRV记录。
i、保存这个文件。
j、重新启动DNS服务。
这台不支持动态工薪的DNS服务器以及它的任何辅助服务器现在可以支持AD了:)
[b]缺点:[/b]
a、收集所有DC的Netlogon.dns文件需要做大量的工作。
b、并不具有很好的动态性,如果删除DC或DC脱机都需要手工删除DNS上的的Netlogon.dns文件中的相应SRV记录。 问答之间:六个问答解除DNS疑惑
问:什么是“DNS”?其中文为何?
答:DNS,简单地说,就是Domain Name System,翻成中文就是“域名系统”。
问:DNS有什么用途?
答:在一个TCP/IP架构的网络(例如Internet)环境中,DNS是一个非常重要而且常用的系统。主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机,就可以称之为DNS Server。基本上,通常我们都认为DNS只是将Domain Name转换成IP Address,然后再使用所查到的IP Address去连接(俗称“正向解析”)。事实上,将IP Address转换成Domain Name的功能也是相当常使用到的,当login到一台Unix工作站时,工作站就会去做反查,找出你是从哪个地方连线进来的(俗称“逆向解析”)。
问:DNS是怎么运作的?
答:DNS是使用层的方式来运作的。例如:哈工大紫丁香站的Domain Name为bbs.hit.edu.cn,这个Domain Name当然不是凭空而来的,是从.edu.cn所分配下来的。.edu.cn又是从.cn授予(delegation)的。.cn是从哪里来的呢?答案是从“.”,也就是所谓的“根域”(root domain)来的。根领域已经是Domain Name的最上层。而“.”这层是由InterNIC(Internet Network Information Center,互联网信息中心)所管理。全世界的Domain Name就是这样,一层一层的授予下来。
问:当我查一个Domain Name时,DNS是怎么查出它的IP的呢?
答:举个例子,假设今天我们查的Domain Name(作一个dns query)为bbs.hit.edu.cn时,DNS Server会这么处理:
(1) 你所用的电脑(可能是PC,也可能是工作站)送出一个问题给这台电脑所设定的DNS Server,提问:bbs.hit.edu.cn的IP是什么?
(2) 这台DNS会先看看是不是在它的cache中,如果是,就丢出答案。如果不是,就从最上头查起。在DNS Server上面一定有设定“.”要跟谁问。所以,这个时候它就往“.”层的任何一台DNS(目前“.”有13台)问:.cn要问谁?
(3) “.”层的DNS会回答.cn要向谁查(同时你用的DNS会cache起来这个答案)。
(4) 接下来你所用的DNS就会向.cn这层的DNS问:.edu.cn要问谁?
(5) .cn的这层就会回答.edu.cn要向谁查(同时你用的DNS也把这答案cache起来)。
(6)直到bbs.hit.edu.cn回答:bbs.hit.edu.cn的IP是202.118.224.2(又cache起来)。
经过了这么多的过程,终于得到了这个IP,接下来才能作进一步的连线。要注意的是,在每一层都会问一个问题,并且把答案记下来(cache起),而且还会忘掉(看该层的设定是要cache多久)。
问:DNS要怎么设置?
答:如果,只是要使用DNS,那只要在TCP/IP的网络属性中设置即可。设置的方法跟使用的操作系统有关。例如:Windows 9x在“控制面板”→“网络”→“TCP/IP”→“属性”中,找到DNS的部分再来设置。Unix在/etc/resolv.conf这个文件中设置(如果,要架设一台DNS Server,就不是在这里讨论的了)。
问:哪一台 DNS 资料最新?
答:如果你知道DNS是利用阶层架构运作的,那就应该知道,离你最近的DNS,就是最好的。注释掉的------>问答之间:六个问答解除DNS疑惑
问:什么是“DNS”?其中文为何?
答:DNS,简单地说,就是Domain Name System,翻成中文就是“域名系统”。
问:DNS有什么用途?
答:在一个TCP/IP架构的网络(例如Internet)环境中,DNS是一个非常重要而且常用的系统。主要的功能就是将人易于记忆的Domain Name与人不容易记忆的IP Address作转换。而上面执行DNS服务的这台网络主机,就可以称之为DNS Server。基本上,通常我们都认为DNS只是将Domain Name转换成IP Address,然后再使用所查到的IP Address去连接(俗称“正向解析”)。事实上,将IP Address转换成Domain Name的功能也是相当常使用到的,当login到一台Unix工作站时,工作站就会去做反查,找出你是从哪个地方连线进来的(俗称“逆向解析”)。
问:DNS是怎么运作的?
答:DNS是使用层的方式来运作的。例如:哈工大紫丁香站的Domain Name为bbs.hit.edu.cn,这个Domain Name当然不是凭空而来的,是从.edu.cn所分配下来的。.edu.cn又是从.cn授予(delegation)的。.cn是从哪里来的呢?答案是从“.”,也就是所谓的“根域”(root domain)来的。根领域已经是Domain Name的最上层。而“.”这层是由InterNIC(Internet Network Information Center,互联网信息中心)所管理。全世界的Domain Name就是这样,一层一层的授予下来。
问:当我查一个Domain Name时,DNS是怎么查出它的IP的呢?
答:举个例子,假设今天我们查的Domain Name(作一个dns query)为bbs.hit.edu.cn时,DNS Server会这么处理:
(1) 你所用的电脑(可能是PC,也可能是工作站)送出一个问题给这台电脑所设定的DNS Server,提问:bbs.hit.edu.cn的IP是什么?
(2) 这台DNS会先看看是不是在它的cache中,如果是,就丢出答案。如果不是,就从最上头查起。在DNS Server上面一定有设定“.”要跟谁问。所以,这个时候它就往“.”层的任何一台DNS(目前“.”有13台)问:.cn要问谁?
(3) “.”层的DNS会回答.cn要向谁查(同时你用的DNS会cache起来这个答案)。
(4) 接下来你所用的DNS就会向.cn这层的DNS问:.edu.cn要问谁?
(5) .cn的这层就会回答.edu.cn要向谁查(同时你用的DNS也把这答案cache起来)。
(6)直到bbs.hit.edu.cn回答:bbs.hit.edu.cn的IP是202.118.224.2(又cache起来)。
经过了这么多的过程,终于得到了这个IP,接下来才能作进一步的连线。要注意的是,在每一层都会问一个问题,并且把答案记下来(cache起),而且还会忘掉(看该层的设定是要cache多久)。
问:DNS要怎么设置?
答:如果,只是要使用DNS,那只要在TCP/IP的网络属性中设置即可。设置的方法跟使用的操作系统有关。例如:Windows 9x在“控制面板”→“网络”→“TCP/IP”→“属性”中,找到DNS的部分再来设置。Unix在/etc/resolv.conf这个文件中设置(如果,要架设一台DNS Server,就不是在这里讨论的了)。
问:哪一台 DNS 资料最新?
答:如果你知道DNS是利用阶层架构运作的,那就应该知道,离你最近的DNS,就是最好的。 DNS服务器工作原理
分布的信息
解决方案就是采用DNS服务器系统。与主机表不一样,DNS服务器不依赖一个大型映射文件,DNS服务器只包含有限的信息,因为他们知道到哪里能找到他们想知道的域的细节。当DNS服务器得到对某个主机的请求,而该请求的主机又并不在其缓冲内,那么DNS服务器只是知道了这件事然后去询问知道答案的“某计算机”。这台计算机是一种授权服务器,负责维护DNS信息。如果某台服务器在被询问到其域内的某个地址时它可以确定地指出该地址存在,那么这台服务器就是所谓的授权服务器。
如果接触的服务器并不包含有关的域名信息,该服务器就会将请求传递给接触链路上更高级别的授权服务器,这样就形成了一系列查询直到最后找到需要的信息。实际上,这意味着请求可以被任意数量的服务器处理,在Internet上这种来来回回的行为每时每刻都在发生。最早发出请求的服务器将缓冲信息以满足未来的需求而无须向授权服务器再发请求。DNS服务器的管理员为这些信息设置了超时限制以避免缓冲中充满了名字请求的旧数据。
DNS转换不会花费太多的时间,但它确实增加了你的请求到达远端计算机的时间。你可以自己做个快速测试(虽然很简单):首先用域名,比如
[url=http://www.microsoft.com]www.microsoft.com[/url]
来访问对应的Web站点,然后用IP地址198.105.232.4再实验一下。如果你要这么做,则请务必关闭你的浏览器然后再重新打开以初始化新的会话;否则你不过是载入了页面的缓冲版本(记住装载页面的延迟原因可能来自许多因素,所以对结果要有所保留)。
DNS服务的最常用软件是Berkeley Internet Name Domain,也就是BIND,它源自U.C. Berkeley但现在则由Internet Software Consortium.负责。其最新版本4.9.3包含了标准的 Unix版本和附加的Windows NT 端口。BIND提供了解析器和名字服务器软件,解析器做实际的查询工作而名字服务器则提供响应。BIND将名字服务器分成三个部分:主服务器包含了有关一个域的全部数据;次服务器则有效地从主服务器拷贝DNS数据库;唯缓冲服务器通过缓冲查询来建立例外的DNS数据库。只有主服务器和次服务器才被当作涉及特定域的授权服务器。
要理解 DNS 服务器怎么操作就有必要理解域名层次本身。在这一层次的顶部是根域。这一域上的信息驻留在从整个Internet中所选的一些根服务器上。在根域下面是顶级域,也就是国家代码或机构代码。国家代码的例子有SG (新加坡)和CA (加拿大)等。而机构代码则包括众所周知的COM(商业机构)、EDU(教育机关)、GOV(政府机构)和NET(网络机构)等(注意在美国以外的顶级域通常是国家编码,但是基于美国的地点通常省略国家编码)。在顶级域下面是次级域(whitehouse.gov、microsoft.com、inforamp.net 等诸如此类),然后是第 3级域,等等等等向下以此类推。
如果你想在美国建立域名,那么你必须联系网络信息中心NIC。在它同意你的请求以前,你首先要保证你想要的名字还没被使用,其次要保证目前至少有 2台服务器可以提供新域名的服务。当 NIC 最后同意请求时,它将承认你的次级域,并将指向该名字的指针放到顶级域所在的服务器内。例如,如果你请求域名mybiz.com,那么你必须首先让Internet上的2 台名字服务器提供信息服务(你的 ISP的服务器能做到这一点),然后NIC 将把 mybiz 放到COM 域服务器系统内,其指针将指向那2台特定服务器。
一旦设置了适当的主域,你就可以增加所希望的任何数量的子域。你可能想要命名你的计算机为sales.mybiz.com,而另一台则被叫做techsupport.mybiz.com等等。这些工作可就不需要 NIC 的同意了,而且,事实上NIC也不管这事。但是,如果你想要任何人都能实际地访问你的子域,那么你最好将有关子域的信息尽快地放到上级域内。在特定的情况下,关于sales.mybiz.com 和 techsupport.mybiz.com 的IP信息必须放在mybiz.com服务器上。这一层次中的每台服务器都包含了一个DNS数据库,其入口被称作NS记录,每条这样的记录包含了域或子域的名字,此外还加上作为域或者子域服务器的主机的名字。在我们的例子中,我们将告诉根服务器它能在我们的 DNS 服务器上找到mybiz.com及其全部子域的信息,而这些信息则位于details.mybiz.com这台计算机上。
现在我们来看看这一切是如何运作的。某所大学的某人在指向你的最新子域的网页上看见了一个链接 techsupport.mybiz.com。然后她点击该链接,于是她的本地DNS 服务器(很可能位于这所大学的某台计算机上)开始工作。首先,服务器搜索它自己的 DNS数据库以转换信息,但是,因为它以前从来没遇见过 techsupport.mybiz.com,所以服务器没有该域存在的记录而且不能解析IP地址。不过,它的 DNS 数据库包含了一个根服务器的地址(所有的 DNS 服务器必须设置该索引)。于是本地 DNS 服务器就到Internet上查询该根服务器。根服务器在其DNS 数据库里查找COM 顶级域,然后它用NS 记录回复该大学的 DNS 服务器,告诉它可以从details.mybiz.com 处查询到mybiz.com 的信息。大学的服务器就这样做了,而且从 details.mybiz.com那里知道了techsupport.mybiz.com 的对应IP 地址。在这一过程中最根本的阶段是,大学的DNS 服务器缓冲了该 NS 记录,结果下次该大学的任何人在需要涉及到mybiz.com、details.mybiz.com 、ortechsupport.mybiz.com等对应的IP地址转换时,相关信息在本地即可获得。
正如其他的Internet协议一样,DNS由几个Internet的RFC(请求评论)规范(最初是RFC 882、883和973)。不过要理解DNS 服务器的工作原理最好的标准还是RFC 1035。你可以在Internet上的好几个地方找到RFC 1035,比如在
[url=http://www.crynwr.com/crynwr/rfc1035/]http://www.crynwr.com/crynwr/rfc1035/[/url]
就有一个不错的HTML 版本。正如你可能想到的那样,RFC具有相当的技术性,你不大可能会对超出DNS 服务器一般操作的细节感兴趣。但是如果你想做个服务器管理员,那么就记住 RFC吧。注释掉的------>DNS服务器工作原理
分布的信息
解决方案就是采用DNS服务器系统。与主机表不一样,DNS服务器不依赖一个大型映射文件,DNS服务器只包含有限的信息,因为他们知道到哪里能找到他们想知道的域的细节。当DNS服务器得到对某个主机的请求,而该请求的主机又并不在其缓冲内,那么DNS服务器只是知道了这件事然后去询问知道答案的“某计算机”。这台计算机是一种授权服务器,负责维护DNS信息。如果某台服务器在被询问到其域内的某个地址时它可以确定地指出该地址存在,那么这台服务器就是所谓的授权服务器。
如果接触的服务器并不包含有关的域名信息,该服务器就会将请求传递给接触链路上更高级别的授权服务器,这样就形成了一系列查询直到最后找到需要的信息。实际上,这意味着请求可以被任意数量的服务器处理,在Internet上这种来来回回的行为每时每刻都在发生。最早发出请求的服务器将缓冲信息以满足未来的需求而无须向授权服务器再发请求。DNS服务器的管理员为这些信息设置了超时限制以避免缓冲中充满了名字请求的旧数据。
DNS转换不会花费太多的时间,但它确实增加了你的请求到达远端计算机的时间。你可以自己做个快速测试(虽然很简单):首先用域名,比如
[url=http://www.microsoft.com/]
[color=#003366]www.microsoft.com[/color]
[/url]
来访问对应的Web站点,然后用IP地址198.105.232.4再实验一下。如果你要这么做,则请务必关闭你的浏览器然后再重新打开以初始化新的会话;否则你不过是载入了页面的缓冲版本(记住装载页面的延迟原因可能来自许多因素,所以对结果要有所保留)。
DNS服务的最常用软件是Berkeley Internet Name Domain,也就是BIND,它源自U.C. Berkeley但现在则由Internet Software Consortium.负责。其最新版本4.9.3包含了标准的 Unix版本和附加的Windows NT 端口。BIND提供了解析器和名字服务器软件,解析器做实际的查询工作而名字服务器则提供响应。BIND将名字服务器分成三个部分:主服务器包含了有关一个域的全部数据;次服务器则有效地从主服务器拷贝DNS数据库;唯缓冲服务器通过缓冲查询来建立例外的DNS数据库。只有主服务器和次服务器才被当作涉及特定域的授权服务器。
要理解 DNS 服务器怎么操作就有必要理解域名层次本身。在这一层次的顶部是根域。这一域上的信息驻留在从整个Internet中所选的一些根服务器上。在根域下面是顶级域,也就是国家代码或机构代码。国家代码的例子有SG (新加坡)和CA (加拿大)等。而机构代码则包括众所周知的COM(商业机构)、EDU(教育机关)、GOV(政府机构)和NET(网络机构)等(注意在美国以外的顶级域通常是国家编码,但是基于美国的地点通常省略国家编码)。在顶级域下面是次级域(whitehouse.gov、microsoft.com、inforamp.net 等诸如此类),然后是第 3级域,等等等等向下以此类推。
如果你想在美国建立域名,那么你必须联系网络信息中心NIC。在它同意你的请求以前,你首先要保证你想要的名字还没被使用,其次要保证目前至少有 2台服务器可以提供新域名的服务。当 NIC 最后同意请求时,它将承认你的次级域,并将指向该名字的指针放到顶级域所在的服务器内。例如,如果你请求域名mybiz.com,那么你必须首先让Internet上的2 台名字服务器提供信息服务(你的 ISP的服务器能做到这一点),然后NIC 将把 mybiz 放到COM 域服务器系统内,其指针将指向那2台特定服务器。
一旦设置了适当的主域,你就可以增加所希望的任何数量的子域。你可能想要命名你的计算机为sales.mybiz.com,而另一台则被叫做techsupport.mybiz.com等等。这些工作可就不需要 NIC 的同意了,而且,事实上NIC也不管这事。但是,如果你想要任何人都能实际地访问你的子域,那么你最好将有关子域的信息尽快地放到上级域内。在特定的情况下,关于sales.mybiz.com 和 techsupport.mybiz.com 的IP信息必须放在mybiz.com服务器上。这一层次中的每台服务器都包含了一个DNS数据库,其入口被称作NS记录,每条这样的记录包含了域或子域的名字,此外还加上作为域或者子域服务器的主机的名字。在我们的例子中,我们将告诉根服务器它能在我们的 DNS 服务器上找到mybiz.com及其全部子域的信息,而这些信息则位于details.mybiz.com这台计算机上。
现在我们来看看这一切是如何运作的。某所大学的某人在指向你的最新子域的网页上看见了一个链接 techsupport.mybiz.com。然后她点击该链接,于是她的本地DNS 服务器(很可能位于这所大学的某台计算机上)开始工作。首先,服务器搜索它自己的 DNS数据库以转换信息,但是,因为它以前从来没遇见过 techsupport.mybiz.com,所以服务器没有该域存在的记录而且不能解析IP地址。不过,它的 DNS 数据库包含了一个根服务器的地址(所有的 DNS 服务器必须设置该索引)。于是本地 DNS 服务器就到Internet上查询该根服务器。根服务器在其DNS 数据库里查找COM 顶级域,然后它用NS 记录回复该大学的 DNS 服务器,告诉它可以从details.mybiz.com 处查询到mybiz.com 的信息。大学的服务器就这样做了,而且从 details.mybiz.com那里知道了techsupport.mybiz.com 的对应IP 地址。在这一过程中最根本的阶段是,大学的DNS 服务器缓冲了该 NS 记录,结果下次该大学的任何人在需要涉及到mybiz.com、details.mybiz.com 、ortechsupport.mybiz.com等对应的IP地址转换时,相关信息在本地即可获得。
正如其他的Internet协议一样,DNS由几个Internet的RFC(请求评论)规范(最初是RFC 882、883和973)。不过要理解DNS 服务器的工作原理最好的标准还是RFC 1035。你可以在Internet上的好几个地方找到RFC 1035,比如在
[url=http://www.crynwr.com/crynwr/rfc1035/]
[color=#003366]http://www.crynwr.com/crynwr/rfc1035/[/color]
[/url]
就有一个不错的HTML 版本。正如你可能想到的那样,RFC具有相当的技术性,你不大可能会对超出DNS 服务器一般操作的细节感兴趣。但是如果你想做个服务器管理员,那么就记住 RFC吧。 [b]Windows Server 2003 DNS服务安装篇(图)[/b]
导读-- DNS(Domain Name System,域名系统)是一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射
“贵有恒,何必三更起五更勤;最无益,只怕一日曝十日寒。”前一段时间巴哥因为一些生活琐事而中止了对Server 2003经典服务的学习,现在终于将所有的事情都安排妥当,学习当然要继续……
在前面几次学习中,老伟向巴哥介绍了部署文件服务、部署DHCP服务和部署WWW服务的基本方法,并且对每一种服务都做了进一步的技术延伸。这种安排让巴哥受益匪浅,既掌握了基础知识,又能有所提高。成功部署WWW服务后,局域网内部用户可以使用IP地址访问内部网站了。然而如果能够让内部用户像访问Internet上的网站一样使用友好的名称(如“
[url=http://www.yesky.com]www.yesky.com[/url]
”)访问内部网站,那么肯定会更有意义。巴哥跟老伟谈起了自己的打算,老伟轻松地说:“这有何难,部署一台DNS服务器就可以实现你的想法了。”
可是巴哥并不了解DNS是什么,于是老伟对DNS做了简短的解释。DNS(Domain Name System,域名系统)是一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射。这通常需要建立一种A(Address)记录,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。通过DNS,用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分,各部分之间用点分隔。最左边的是主机名,其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。
小提示:要想成功部署DNS服务,运行Windows Serve 2003的计算机中必须拥有一个静态IP地址,只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名,还需保证该DNS服务器能正常连接至Internet。
[b]一.安装DNS服务器[/b]
默认情况下Windows Server 2003系统中没有安装DNS服务器,老伟所做的第一件工作就是安装DNS服务器。
第1步,依次单击“开始/管理工具/配置您的服务器向导”,在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况,若没有发现问题则进入“服务器角色”向导页。
小提示:如果是第一次使用配置向导,则还会出现一个“配置选项”向导页,点选“自定义配置”单选框即可。
第2步,在“服务器角色”列表中单击“DNS服务器”选项,并单击“下一步”按钮。打开“选择总结”向导页,如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”,则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置(如图1)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.34.6.1.gif[/img]
图1 选择“DNS服务器”角色
第3步,向导开始安装DNS服务器,并且可能会提示插入Windows Server 2003的安装光盘或指定安装源文件(如图2)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.43.6.2.gif[/img]
图2 指定系统安装盘或安装源文件
小提示:如果该服务器当前配置为自动获取IP地址,则“Windows 组件向导”的“正在配置组件”页面就会出现,提示用户使用静态IP地址配置DNS服务器。
[b]二.创建区域[/b]
DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。而巴哥所管理的网络就不太大,因此保持默认选项并单击“下一步”按钮(如图3)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.56.6.3.gif[/img]
图3 选择配置操作
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域”单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮(如图4)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.7.6.4.gif[/img]
图4 确定主服务器的位置
第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“yesky.com”),单击“下一步”按钮(如图5)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.19.6.5.gif[/img]
图5 填写区域名称
第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变,单击“下一步”按钮(如图6)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.30.6.6.gif[/img]
图6 创建区域文件
第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新”单选框,单击“下一步”按钮(如图7)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.40.6.7.gif[/img]
图7 选择允许动态更新
第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址,单击“下一步”按钮(如图8)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.51.6.8.gif[/img]
图8 配置DNS转发
小提示:通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
第7步,依次单击“完成/完成”按钮结束“yesky.com”区域的创建过程和DNS服务器的安装配置过程。
[b]三.创建域名[/b]
老伟利用向导成功创建了“yesky.com”区域,可是内部用户还不能使用这个名称来访问内部站点,因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同主机的域名才能提供域名解析服务。老伟准备创建一个用以访问Web站点的域名“
[url=http://www.yesky.com]www.yesky.com[/url]
”,具体操作步骤如下:
第1步,依次单击“开始”→“管理工具”→“DNS”菜单命令,打开“dnsmagt”控制台窗口。
第2步,在左窗格中依次展开“ServerName”→“正向查找区域”目录。然后用鼠标右键单击“yesky.com”区域,执行快捷菜单中的“新建主机”命令(如图9)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.5.2.6.9.gif[/img]
图9 执行“新建主机”命令
第3步,打开“新建主机”对话框,在“名称”编辑框中键入一个能代表该主机所提供服务的名称(本例键入“www”)。在“IP地址”编辑框中键入该主机的IP地址(如“192.168.0.198”),单击“添加主机”按钮。很快就会提示已经成功创建了主机记录(如图10)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.6.26.6.10..JPG[/img]
图10 创建主机记录
最后单击“完成”按钮结束创建。
[b]四.设置DNS客户端[/b]
尽管DNS服务器已经创建成供,并且创建了合适的域名,可是如果在客户机的浏览器中却无法使用“
[url=http://www.yesky.com]www.yesky.com[/url]
”这样的域名访问网站。这是因为虽然已经有了DNS服务器,但客户机并不知道DNS服务器在哪里,因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议(TCP/IP)属性”对话框中的“首选DMS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址(本例为“192.168.0.1”,如图11)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.6.38.6.11.gif[/img]
图11 设置客户端DNS服务器地址
然后再次使用域名访问网站,你会发现已经可以正常访问了。注释掉的------>[b]Windows Server 2003 DNS服务安装篇(图)[/b]
导读-- DNS(Domain Name System,域名系统)是一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射
“贵有恒,何必三更起五更勤;最无益,只怕一日曝十日寒。”前一段时间巴哥因为一些生活琐事而中止了对Server 2003经典服务的学习,现在终于将所有的事情都安排妥当,学习当然要继续……
在前面几次学习中,老伟向巴哥介绍了部署文件服务、部署DHCP服务和部署WWW服务的基本方法,并且对每一种服务都做了进一步的技术延伸。这种安排让巴哥受益匪浅,既掌握了基础知识,又能有所提高。成功部署WWW服务后,局域网内部用户可以使用IP地址访问内部网站了。然而如果能够让内部用户像访问Internet上的网站一样使用友好的名称(如“
[url=http://www.yesky.com/]
[color=#003366]www.yesky.com[/color]
[/url]
”)访问内部网站,那么肯定会更有意义。巴哥跟老伟谈起了自己的打算,老伟轻松地说:“这有何难,部署一台DNS服务器就可以实现你的想法了。”
可是巴哥并不了解DNS是什么,于是老伟对DNS做了简短的解释。DNS(Domain Name System,域名系统)是一种组织成层次结构的分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射。这通常需要建立一种A(Address)记录,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。通过DNS,用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分,各部分之间用点分隔。最左边的是主机名,其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。
小提示:要想成功部署DNS服务,运行Windows Serve 2003的计算机中必须拥有一个静态IP地址,只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名,还需保证该DNS服务器能正常连接至Internet。
[b]一.安装DNS服务器[/b]
默认情况下Windows Server 2003系统中没有安装DNS服务器,老伟所做的第一件工作就是安装DNS服务器。
第1步,依次单击“开始/管理工具/配置您的服务器向导”,在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况,若没有发现问题则进入“服务器角色”向导页。
小提示:如果是第一次使用配置向导,则还会出现一个“配置选项”向导页,点选“自定义配置”单选框即可。
第2步,在“服务器角色”列表中单击“DNS服务器”选项,并单击“下一步”按钮。打开“选择总结”向导页,如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”,则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置(如图1)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.34.6.1.gif[/img]
图1 选择“DNS服务器”角色
第3步,向导开始安装DNS服务器,并且可能会提示插入Windows Server 2003的安装光盘或指定安装源文件(如图2)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.43.6.2.gif[/img]
图2 指定系统安装盘或安装源文件
小提示:如果该服务器当前配置为自动获取IP地址,则“Windows 组件向导”的“正在配置组件”页面就会出现,提示用户使用静态IP地址配置DNS服务器。
[b]二.创建区域[/b]
DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建正向查找区域”单选框处于选中状态。而巴哥所管理的网络就不太大,因此保持默认选项并单击“下一步”按钮(如图3)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.3.56.6.3.gif[/img]
图3 选择配置操作
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域”单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮(如图4)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.7.6.4.gif[/img]
图4 确定主服务器的位置
第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“yesky.com”),单击“下一步”按钮(如图5)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.19.6.5.gif[/img]
图5 填写区域名称
第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变,单击“下一步”按钮(如图6)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.30.6.6.gif[/img]
图6 创建区域文件
第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新”单选框,单击“下一步”按钮(如图7)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.40.6.7.gif[/img]
图7 选择允许动态更新
第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址,单击“下一步”按钮(如图8)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.4.51.6.8.gif[/img]
图8 配置DNS转发
小提示:通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
第7步,依次单击“完成/完成”按钮结束“yesky.com”区域的创建过程和DNS服务器的安装配置过程。
[b]三.创建域名[/b]
老伟利用向导成功创建了“yesky.com”区域,可是内部用户还不能使用这个名称来访问内部站点,因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同主机的域名才能提供域名解析服务。老伟准备创建一个用以访问Web站点的域名“
[url=http://www.yesky.com/]
[color=#003366]www.yesky.com[/color]
[/url]
”,具体操作步骤如下:
第1步,依次单击“开始”→“管理工具”→“DNS”菜单命令,打开“dnsmagt”控制台窗口。
第2步,在左窗格中依次展开“ServerName”→“正向查找区域”目录。然后用鼠标右键单击“yesky.com”区域,执行快捷菜单中的“新建主机”命令(如图9)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.5.2.6.9.gif[/img]
图9 执行“新建主机”命令
第3步,打开“新建主机”对话框,在“名称”编辑框中键入一个能代表该主机所提供服务的名称(本例键入“www”)。在“IP地址”编辑框中键入该主机的IP地址(如“192.168.0.198”),单击“添加主机”按钮。很快就会提示已经成功创建了主机记录(如图10)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.6.26.6.10..JPG[/img]
图10 创建主机记录
最后单击“完成”按钮结束创建。
[b]四.设置DNS客户端[/b]
尽管DNS服务器已经创建成供,并且创建了合适的域名,可是如果在客户机的浏览器中却无法使用“
[url=http://www.yesky.com/]
[color=#003366]www.yesky.com[/color]
[/url]
”这样的域名访问网站。这是因为虽然已经有了DNS服务器,但客户机并不知道DNS服务器在哪里,因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议(TCP/IP)属性”对话框中的“首选DMS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址(本例为“192.168.0.1”,如图11)。
[img]http://windows.chinaitlab.com/imgfiles/2005.10.20.12.6.38.6.11.gif[/img]
图11 设置客户端DNS服务器地址
然后再次使用域名访问网站,你会发现已经可以正常访问了。 图文并茂一步步教你配置DNS服务
将DNS服务器添加到DNS控制台后,就可以设置服务器的属性,如只让DNS服务器侦听某些IP地址、在不能解析名称时使用转发程序、设置DNS服务器启动方法等。
配置DNS服务器属性的操作步骤如下:
(1) 在DNS控制台中选择想要配置属性的DNS服务器,然后单击“操作”→“属性”命令,打开如图4-18所示的“HWF属性”对话框。
图1 “HWF属性”对话框
(2) 默认情况下,DNS服务器将侦听网络上所有配置为该服务器的IP地址的DNS通信信息。如果要将DNS限制为只侦听部分IP地址,在服务器属性对话框的“接口”选项卡选择“只在下列IP地址”单选按钮,并在其下的“IP地址”文本框中输入要侦听的IP地址,然后单击“添加”按钮将IP地址添加到侦听IP地址列表中。当指定了侦听地址后,DNS服务器将只侦听指定的IP地址,为这些地址提供名称服务,该功能多用在DNS服务器计算机有多个IP地址的情况下。
(3) 如果DNS不能解析客户的名称请求,可以启用转发程序。这样在DNS服务器不能应答查询时,就将查询传送到指定的服务器中,由该服务器协助解析。要启用转发程序,可单击服务器属性对话框的“转发器”标签,切换到“转发器”选项卡,如图4-19所示。启用“启用转发器”复选框,然后在该复选框下的“IP地址”文本框中输入转发DNS服务器的IP地址,并单击“添加”按钮将其添加到转发服务器列表中。通过在“转发超时”文本框中输入以秒为单位的时间,还可以改变转发超时的时间。
图2 “转发器”选项卡
(4) 默认情况下,在刚启动DNS服务器时,使用保存在Windows 2000注册表中的信息启动并初始化DNS服务。用户还可以配置DNS服务器从Boot.dns文件启动或从域控制器启动。
注释:
要从文件启动,Boot.dns文件必须位于计算机的\Winnt\System32\Dns文件夹中。
(5) DNS服务器支持3种检查所收到的DNS名称的方式:严格的RFC(ANSI)、非RFC(ANSI)和多字节(UTF8)。其中,“严格的RFC”方法将强制服务器严格地将所有DNS名称改为兼容的RFC名;“非RFC”方式允许DNS服务器使用不与RFC兼容的名称;“多字节”方法允许使用Unicode 8的名称转换成DNS服务器使用的编码方案。默认情况下,服务器使用“非RFC”方式来检查DNS名称,该方法允许DNS服务器接收并处理使用标准ANSI编码字符的DNS名称,能与其他DNS服务器更好地协同工作。用户也可以通过在“高级”选项卡的“名称检查”下拉列表框中选择其他名称检查方案如图4-20所示。
图3 “高级”选项卡
技巧:
如果要停用DNS服务器的递归查询,在“高级”选项卡的“服务器选项”列表框中选择“停用递归”列表项。
(6) 如果要设置DNS服务器寻找的其他DNS服务器,单击服务器属性对话框的“根目录提示”选项卡,如图4-21所示。单击“添加”按钮并输入DNS服务器的名称与IP地址。
图4 “根目录提示”选项卡
(7) 因为启用调试日志记录会严重影响DNS服务器的性能,默认时,DNS服务器关闭所有调试日志记录。用户可以手工启用某些调试日志记录,只要打开服务器属性对话框的“日志”选项卡,并在“调试日志记录选项”列表框中选择要调试的日志记录即可,如图4-22所示。
图5 “日志”选项卡
技巧:
要关闭所有调试日志记录,单击“日志”选项卡的“复位成默认值”按钮即可。
(8) 用户可以测试DNS服务器的简单查询和递归查询。单击“监视”标签,切换到如图4-23所示的“监视”选项卡,分别启用“对此DNS服务器的简单查询”或“对此DNS服务器的递归查询”复选框,并单击“立即测试”按钮,即可在“测试结果”列表框中查看测试结果。
图6 “监视”选项卡
(9) 如果要让DNS服务器自动测试,首先选择要进行自动测试的类型(简单查询或递归查询),然后启用“自动测试”复选框,并在其下的“测试间隔”文本框中输入定期测试间隔的时间。
技巧:
通常,DNS数据库的变化在事先定义的时间间隔或服务器关闭时进行,用户也可以手工更新数据库文件,方法是选择要更新的服务器,执行“操作”→“更新服务器数据文件”命令。注释掉的------>图文并茂一步步教你配置DNS服务
将DNS服务器添加到DNS控制台后,就可以设置服务器的属性,如只让DNS服务器侦听某些IP地址、在不能解析名称时使用转发程序、设置DNS服务器启动方法等。
配置DNS服务器属性的操作步骤如下:
(1) 在DNS控制台中选择想要配置属性的DNS服务器,然后单击“操作”→“属性”命令,打开如图4-18所示的“HWF属性”对话框。
图1 “HWF属性”对话框
(2) 默认情况下,DNS服务器将侦听网络上所有配置为该服务器的IP地址的DNS通信信息。如果要将DNS限制为只侦听部分IP地址,在服务器属性对话框的“接口”选项卡选择“只在下列IP地址”单选按钮,并在其下的“IP地址”文本框中输入要侦听的IP地址,然后单击“添加”按钮将IP地址添加到侦听IP地址列表中。当指定了侦听地址后,DNS服务器将只侦听指定的IP地址,为这些地址提供名称服务,该功能多用在DNS服务器计算机有多个IP地址的情况下。
(3) 如果DNS不能解析客户的名称请求,可以启用转发程序。这样在DNS服务器不能应答查询时,就将查询传送到指定的服务器中,由该服务器协助解析。要启用转发程序,可单击服务器属性对话框的“转发器”标签,切换到“转发器”选项卡,如图4-19所示。启用“启用转发器”复选框,然后在该复选框下的“IP地址”文本框中输入转发DNS服务器的IP地址,并单击“添加”按钮将其添加到转发服务器列表中。通过在“转发超时”文本框中输入以秒为单位的时间,还可以改变转发超时的时间。
图2 “转发器”选项卡
(4) 默认情况下,在刚启动DNS服务器时,使用保存在Windows 2000注册表中的信息启动并初始化DNS服务。用户还可以配置DNS服务器从Boot.dns文件启动或从域控制器启动。
注释:
要从文件启动,Boot.dns文件必须位于计算机的\Winnt\System32\Dns文件夹中。
(5) DNS服务器支持3种检查所收到的DNS名称的方式:严格的RFC(ANSI)、非RFC(ANSI)和多字节(UTF8)。其中,“严格的RFC”方法将强制服务器严格地将所有DNS名称改为兼容的RFC名;“非RFC”方式允许DNS服务器使用不与RFC兼容的名称;“多字节”方法允许使用Unicode 8的名称转换成DNS服务器使用的编码方案。默认情况下,服务器使用“非RFC”方式来检查DNS名称,该方法允许DNS服务器接收并处理使用标准ANSI编码字符的DNS名称,能与其他DNS服务器更好地协同工作。用户也可以通过在“高级”选项卡的“名称检查”下拉列表框中选择其他名称检查方案如图4-20所示。
图3 “高级”选项卡
技巧:
如果要停用DNS服务器的递归查询,在“高级”选项卡的“服务器选项”列表框中选择“停用递归”列表项。
(6) 如果要设置DNS服务器寻找的其他DNS服务器,单击服务器属性对话框的“根目录提示”选项卡,如图4-21所示。单击“添加”按钮并输入DNS服务器的名称与IP地址。
图4 “根目录提示”选项卡
(7) 因为启用调试日志记录会严重影响DNS服务器的性能,默认时,DNS服务器关闭所有调试日志记录。用户可以手工启用某些调试日志记录,只要打开服务器属性对话框的“日志”选项卡,并在“调试日志记录选项”列表框中选择要调试的日志记录即可,如图4-22所示。
图5 “日志”选项卡
技巧:
要关闭所有调试日志记录,单击“日志”选项卡的“复位成默认值”按钮即可。
(8) 用户可以测试DNS服务器的简单查询和递归查询。单击“监视”标签,切换到如图4-23所示的“监视”选项卡,分别启用“对此DNS服务器的简单查询”或“对此DNS服务器的递归查询”复选框,并单击“立即测试”按钮,即可在“测试结果”列表框中查看测试结果。
图6 “监视”选项卡
(9) 如果要让DNS服务器自动测试,首先选择要进行自动测试的类型(简单查询或递归查询),然后启用“自动测试”复选框,并在其下的“测试间隔”文本框中输入定期测试间隔的时间。
技巧:
通常,DNS数据库的变化在事先定义的时间间隔或服务器关闭时进行,用户也可以手工更新数据库文件,方法是选择要更新的服务器,执行“操作”→“更新服务器数据文件”命令。 [b]分离的DNS服务及其部署(组图)[/b]
内容概要:当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能正常的访问这些服务。这个时候,你可能需要在你的网络中部署分离的DNS服务。
当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能访问这些服务,Why?
如下图所示,内部网络地址范围为10.2.1.0/24,在ISA上对Internet发布了内部网络中Web服务器(10.2.1.5)上的Web站点
[url=http://www.isacn.org]www.isacn.org[/url]
,在Internet的DNS服务器上解析
[url=http://www.isacn.org]www.isacn.org[/url]
为ISA服务器的外部IP地址39.1.1.8。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.39.26.15.1.jpg[/img]
此时,外部Internet上的客户(39.1.1.9)可以正常的访问ISA防火墙上发布的Web站点
[url=http://www.isacn.org]www.isacn.org[/url]
,
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.39.28.15.2.jpg[/img]
但是内部网络中的SNat客户(10.2.1.9)却不可以,
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.41.8.15.3.jpg[/img]
[b]为什么呢?[/b]
内部网络中的SNat客户(10.2.1.9)和外部的客户(39.1.1.9)使用的是相同的DNS服务器(39.1.1.9),当内部的SNat客户(10.2.1.9)解析域名
[url=http://www.isacn.org]www.isacn.org[/url]
时,结果和外部客户(39.1.1.9)一样,是ISA防火墙的外部接口IP地址39.1.1.8。于是,内部SNat客户(10.2.1.9)向ISA防火墙的外部接口(39.1.1.8)发起连接,当ISA防火墙接收到此连接请求时,会根据发布规则的设置转发给内部网络中的Web服务器(10.2.1.5)。
问题的关键在于,此时Web服务器(10.2.1.5)直接对SNat客户(10.2.1.9)的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址(10.2.1.9),Web服务器(10.2.1.5)识别出此IP地址(10.2.1.9)和自己位于相同的子网内,所以直接向此IP地址发送连接响应。但是Snat客户计算机(10.2.1.9)会丢弃Web服务器(10.2.1.5)直接发送给它的连接响应,因为它的连接请求是发送到ISA防火墙的外部IP地址(39.1.1.8)而不是Web服务器的IP地址(10.2.1.5)。对于Snat客户计算机而言,Web服务器发送给它的连接响应不是它发起的,所以它会丢弃此连接响应。
解决此问题的办法有两种:
第一种方法是在ISA防火墙的服务发布规则中,设置连接请求显示为从ISA防火墙发起,如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.41.19.15.4.jpg[/img]
[b]但是这样会导致两个问题:[/b]
被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙,这样不能做日志分析和统计;
出现了网络访问回环,这样会极大的降低ISA防火墙的性能;
所以,不推荐使用此办法。
第二种方法就是使用分离的DNS服务(Split dns)。顾名思义,分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户,使用Internet上的DNS服务,解析域名到ISA防火墙的外部接口的IP地址上;而对于内部客户,使用内部网络中的DNS服务,将此域名解析到内部网络中对应的服务器IP地址上,这样当内部网络中的客户访问此服务时,就不再需要通过ISA防火墙进行中转而直接进行访问。
下图中所示就是分离的DNS服务结构,在内部网络中,增加了一台DNS服务器,并且配置内部网络中的客户使用此DNS服务;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.43.8.15.6.jpg[/img]
此时,通过将名字解析为对应服务器的内部网络中的IP地址,内部网络中的客户就可以正常的访问内部网络中的服务了。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.43.21.15.66.jpg[/img]
注释掉的------>[b]分离的DNS服务及其部署(组图)[/b]
内容概要:当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能正常的访问这些服务。这个时候,你可能需要在你的网络中部署分离的DNS服务。
当你对Internet发布了内部网络中的服务时,可能你的用户会有抱怨:远程客户可以正常的访问你发布到Internet的服务,但是位于内部网络的用户却不能访问这些服务,Why?
如下图所示,内部网络地址范围为10.2.1.0/24,在ISA上对Internet发布了内部网络中Web服务器(10.2.1.5)上的Web站点
[url=http://www.isacn.org/]
[color=#003366]www.isacn.org[/color]
[/url]
,在Internet的DNS服务器上解析
[url=http://www.isacn.org/]
[color=#003366]www.isacn.org[/color]
[/url]
为ISA服务器的外部IP地址39.1.1.8。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.39.26.15.1.jpg[/img]
此时,外部Internet上的客户(39.1.1.9)可以正常的访问ISA防火墙上发布的Web站点
[url=http://www.isacn.org/]
[color=#003366]www.isacn.org[/color]
[/url]
,
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.39.28.15.2.jpg[/img]
但是内部网络中的SNat客户(10.2.1.9)却不可以,
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.41.8.15.3.jpg[/img]
[b]为什么呢?[/b]
内部网络中的SNat客户(10.2.1.9)和外部的客户(39.1.1.9)使用的是相同的DNS服务器(39.1.1.9),当内部的SNat客户(10.2.1.9)解析域名
[url=http://www.isacn.org/]
[color=#003366]www.isacn.org[/color]
[/url]
时,结果和外部客户(39.1.1.9)一样,是ISA防火墙的外部接口IP地址39.1.1.8。于是,内部SNat客户(10.2.1.9)向ISA防火墙的外部接口(39.1.1.8)发起连接,当ISA防火墙接收到此连接请求时,会根据发布规则的设置转发给内部网络中的Web服务器(10.2.1.5)。
问题的关键在于,此时Web服务器(10.2.1.5)直接对SNat客户(10.2.1.9)的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址(10.2.1.9),Web服务器(10.2.1.5)识别出此IP地址(10.2.1.9)和自己位于相同的子网内,所以直接向此IP地址发送连接响应。但是Snat客户计算机(10.2.1.9)会丢弃Web服务器(10.2.1.5)直接发送给它的连接响应,因为它的连接请求是发送到ISA防火墙的外部IP地址(39.1.1.8)而不是Web服务器的IP地址(10.2.1.5)。对于Snat客户计算机而言,Web服务器发送给它的连接响应不是它发起的,所以它会丢弃此连接响应。
解决此问题的办法有两种:
第一种方法是在ISA防火墙的服务发布规则中,设置连接请求显示为从ISA防火墙发起,如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.41.19.15.4.jpg[/img]
[b]但是这样会导致两个问题:[/b]
被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙,这样不能做日志分析和统计;
出现了网络访问回环,这样会极大的降低ISA防火墙的性能;
所以,不推荐使用此办法。
第二种方法就是使用分离的DNS服务(Split dns)。顾名思义,分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户,使用Internet上的DNS服务,解析域名到ISA防火墙的外部接口的IP地址上;而对于内部客户,使用内部网络中的DNS服务,将此域名解析到内部网络中对应的服务器IP地址上,这样当内部网络中的客户访问此服务时,就不再需要通过ISA防火墙进行中转而直接进行访问。
下图中所示就是分离的DNS服务结构,在内部网络中,增加了一台DNS服务器,并且配置内部网络中的客户使用此DNS服务;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.43.8.15.6.jpg[/img]
此时,通过将名字解析为对应服务器的内部网络中的IP地址,内部网络中的客户就可以正常的访问内部网络中的服务了。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.23.15.43.21.15.66.jpg[/img] [b]Windows Server 2003下DNS架设攻略[/b]
DNS简单地说,就是Domain Name System(域名系统)。在一个以TCP/IP协议为主的网络环境中,DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名(Domain Name)与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS,而如果你还处在学习阶段,那本文可以起到指导的作用。
[b]一、 环境假设:[/b]
假设我们要建立一台应用于企业以下情况的主域名服务器
企业IP地址网段为:192.168.0.1~192.168.0.254
主域服务器IP地址为:192.168.0.1
主机名为:dns.firstserver.com
等待解析的服务有:
[url=http://www.firstserver.com]www.firstserver.com[/url]
(IP地址指定为192.168.0.2) ----Web服务器
Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
Ftp.firstserver.com(IP地址指定为192.168.0.4)---FTP服务器
[b]二、 正向域名解析服务的实现。[/b]
Windows2003默认已安装DNS服务,依次选择“开始”-“程序”-“管理工具”-“DNS”打开。
一般我们就分别创建正向和反向查找区域,因为DNS不光是域名到IP的解析(正向查找),也包括IP到域名(反向查找)。
1. 建立“firstserver.com”主区域名。
在本机服务器名上点右键,选择“新建区域”,打开向导窗口后点下一步;在“区域类型”窗口里选择“主要区域”;再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口,此步是要输入欲解析的区域名,即www后面部分。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.0.1.jpg[/img]
接着会提示你创建区域文件,我们按其默认文件名点下一步;在“动态更新”窗口中,考虑到此DNS服务的安全性,一般按其默认“不允许动态更新”,当然如果已在服务端加装了硬件防火墙等安全措施,则可以选择“允许动态更新”;最后单击完成即可。
2. 新建主机。
在管理界面左框内右击刚才建立的区域名firstserver,选择“新建主机”;在如下图所示“新建主机”窗口的名称栏输入www,IP地址改为本文开头例中的WEB服务器地址192.168.0.2,单击“添加主机”返回管理界面,即可看到已成功地创建了主机地址记录“
[url=http://www.firstserver.com]www.firstserver.com[/url]
”。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.10.2.jpg[/img]
3. 其它相关服务地址记录的实现。
除了WWW服务,本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务:
方法一:在左边树形目录里右击刚建好的主域名firstserver.com,选择“新建别名(CNAME)”;如下图所示,在“别名”栏内输入mail、FTP等服务名;在目标主机的完全合格域名一栏输入
[url=http://www.firstserver.com]www.firstserver.com[/url]
即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.22.3.jpg[/img]
方法二:即分别为每种服务建立不同的IP地址指向,本文开头例中也是这样。即依照建立WWW服务的步骤进行,再输入相对应的IP地址就行了。下图所示中,mail服务即用别名方式建立,FTP服务跟建立WWW服务一样采用“新建主机”而建。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.31.4.jpg[/img]
[b]三、 反向查找的实现。[/b]
即实现IP地址到域名的转换。基本建立步骤跟正向查找类似,在出现如下图所示窗口时,“网络ID”一栏是要输入欲建立反向查找的服务器网段,本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里,即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.43.5.jpg[/img]
接着在此名称上点右键选“新建指针(PTR)”,在如下图所示窗口里,“主机IP号”就是IP地址的最后一位,如本例中的WWW服务IP地址最后一位为2;“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“
[url=http://www.firstsever.com]www.firstsever.com[/url]
”,点确定即可。通过反向区域名的建立,简单的讲在浏览器里输入192.168.0.2也可到达
[url=http://www.firstsever.com]www.firstsever.com[/url]
。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.54.6.jpg[/img]
最后提示:请大家记住,DNS服务器只提供域名和IP地址的映射工作,而那个域名究竟用来做什么,是由其对应的IP地址所绑定的相关服务器(如FTP、E-mail等)来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”,如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址,即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器!
另外,上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话,在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名,且要有一个固定的公网IP地址。只要满足这两个条件,其它步骤就跟在局域网的配置一样了注释掉的------>[b]Windows Server 2003下DNS架设攻略[/b]
DNS简单地说,就是Domain Name System(域名系统)。在一个以TCP/IP协议为主的网络环境中,DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名(Domain Name)与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS,而如果你还处在学习阶段,那本文可以起到指导的作用。
[b]一、 环境假设:[/b]
假设我们要建立一台应用于企业以下情况的主域名服务器
企业IP地址网段为:192.168.0.1~192.168.0.254
主域服务器IP地址为:192.168.0.1
主机名为:dns.firstserver.com
等待解析的服务有:
[url=http://www.firstserver.com/]
[color=#003366]www.firstserver.com[/color]
[/url]
(IP地址指定为192.168.0.2) ----Web服务器
Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
Ftp.firstserver.com(IP地址指定为192.168.0.4)---FTP服务器
[b]二、 正向域名解析服务的实现。[/b]
Windows2003默认已安装DNS服务,依次选择“开始”-“程序”-“管理工具”-“DNS”打开。
一般我们就分别创建正向和反向查找区域,因为DNS不光是域名到IP的解析(正向查找),也包括IP到域名(反向查找)。
1. 建立“firstserver.com”主区域名。
在本机服务器名上点右键,选择“新建区域”,打开向导窗口后点下一步;在“区域类型”窗口里选择“主要区域”;再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口,此步是要输入欲解析的区域名,即www后面部分。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.0.1.jpg[/img]
接着会提示你创建区域文件,我们按其默认文件名点下一步;在“动态更新”窗口中,考虑到此DNS服务的安全性,一般按其默认“不允许动态更新”,当然如果已在服务端加装了硬件防火墙等安全措施,则可以选择“允许动态更新”;最后单击完成即可。
2. 新建主机。
在管理界面左框内右击刚才建立的区域名firstserver,选择“新建主机”;在如下图所示“新建主机”窗口的名称栏输入www,IP地址改为本文开头例中的WEB服务器地址192.168.0.2,单击“添加主机”返回管理界面,即可看到已成功地创建了主机地址记录“
[url=http://www.firstserver.com/]
[color=#003366]www.firstserver.com[/color]
[/url]
”。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.10.2.jpg[/img]
3. 其它相关服务地址记录的实现。
除了WWW服务,本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务:
方法一:在左边树形目录里右击刚建好的主域名firstserver.com,选择“新建别名(CNAME)”;如下图所示,在“别名”栏内输入mail、FTP等服务名;在目标主机的完全合格域名一栏输入
[url=http://www.firstserver.com/]
[color=#003366]www.firstserver.com[/color]
[/url]
即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.22.3.jpg[/img]
方法二:即分别为每种服务建立不同的IP地址指向,本文开头例中也是这样。即依照建立WWW服务的步骤进行,再输入相对应的IP地址就行了。下图所示中,mail服务即用别名方式建立,FTP服务跟建立WWW服务一样采用“新建主机”而建。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.31.4.jpg[/img]
[b]三、 反向查找的实现。[/b]
即实现IP地址到域名的转换。基本建立步骤跟正向查找类似,在出现如下图所示窗口时,“网络ID”一栏是要输入欲建立反向查找的服务器网段,本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里,即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.43.5.jpg[/img]
接着在此名称上点右键选“新建指针(PTR)”,在如下图所示窗口里,“主机IP号”就是IP地址的最后一位,如本例中的WWW服务IP地址最后一位为2;“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“
[url=http://www.firstsever.com/]
[color=#003366]www.firstsever.com[/color]
[/url]
”,点确定即可。通过反向区域名的建立,简单的讲在浏览器里输入192.168.0.2也可到达
[url=http://www.firstsever.com/]
[color=#003366]www.firstsever.com[/color]
[/url]
。
[img]http://windows.chinaitlab.com/imgfiles/2005.4.18.10.15.54.6.jpg[/img]
最后提示:请大家记住,DNS服务器只提供域名和IP地址的映射工作,而那个域名究竟用来做什么,是由其对应的IP地址所绑定的相关服务器(如FTP、E-mail等)来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”,如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址,即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器!
另外,上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话,在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名,且要有一个固定的公网IP地址。只要满足这两个条件,其它步骤就跟在局域网的配置一样了 [b]详细讲解如何谨慎架设DNS服务器[/b]
由于企业办公需要,笔者在局域网内部署了DNS服务器,所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域,供企业员工访问内部网站需要。
但经测试,用户可以正常访问企业内部网,但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后,就可访问Internet上的网站,但又不能访问企业内部网站了。然而,为了节省经费,“rtj.net”域并没有在公网的DNS服务器上进行注册,只能靠企业网内部DNS服务器进行解析,难道没有一个两全其美的办法吗?
[b]分析[/b]
DNS(Domain Name Server)是一个巨大的分布式数据库,它通过域名服务器提供一个指定域的信息来实现域名的解析,域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的,因此DNS系统采用树形结构,将不同层次域的域名信息分别存储在不同的域名服务器中,最高层为根域服务器。
如要解析名为
[url=http://www.fyssz.net]www.fyssz.net[/url]
的域名,客户机首先要与本地域名服务器联系,如果查不到该域名信息,本地域名服务器会向根域服务器发送一个请求,查询
[url=http://www.fyssz.net]www.fyssz.net[/url]
的IP地址,根域服务器发现该域名不属于自己的管辖区,而是属于net下的一个域,它就会通知域名服务器联系net域的域名服务器以获得更多的信息,并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求,直到找到fyssz.net域所属的域名服务器并将
[url=http://www.fyssz.net]www.fyssz.net[/url]
的IP地址信息返回给客户。
由于笔者在局域网内的DNS服务器中创建了根域和net域,所以当DNS服务器收到不能解析的域名时,会错误地认为自己就是根域服务器,而无法找到Internet中真正的根域服务器,因此就会出现客户机不能使用域名访问网站的问题。
[b]解决办法[/b]
首先在DNS服务器中删除根域、net域和rtj.net域,然后再重新创建一个rtj.net域,创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外,应该尽量少创建域,防止DNS服务器错误解析域名或无法解析。注释掉的------>[b]详细讲解如何谨慎架设DNS服务器[/b]
由于企业办公需要,笔者在局域网内部署了DNS服务器,所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域,供企业员工访问内部网站需要。
但经测试,用户可以正常访问企业内部网,但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后,就可访问Internet上的网站,但又不能访问企业内部网站了。然而,为了节省经费,“rtj.net”域并没有在公网的DNS服务器上进行注册,只能靠企业网内部DNS服务器进行解析,难道没有一个两全其美的办法吗?
[b]分析[/b]
DNS(Domain Name Server)是一个巨大的分布式数据库,它通过域名服务器提供一个指定域的信息来实现域名的解析,域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的,因此DNS系统采用树形结构,将不同层次域的域名信息分别存储在不同的域名服务器中,最高层为根域服务器。
如要解析名为
[url=http://www.fyssz.net/]
[color=#003366]www.fyssz.net[/color]
[/url]
的域名,客户机首先要与本地域名服务器联系,如果查不到该域名信息,本地域名服务器会向根域服务器发送一个请求,查询
[url=http://www.fyssz.net/]
[color=#003366]www.fyssz.net[/color]
[/url]
的IP地址,根域服务器发现该域名不属于自己的管辖区,而是属于net下的一个域,它就会通知域名服务器联系net域的域名服务器以获得更多的信息,并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求,直到找到fyssz.net域所属的域名服务器并将
[url=http://www.fyssz.net/]
[color=#003366]www.fyssz.net[/color]
[/url]
的IP地址信息返回给客户。
由于笔者在局域网内的DNS服务器中创建了根域和net域,所以当DNS服务器收到不能解析的域名时,会错误地认为自己就是根域服务器,而无法找到Internet中真正的根域服务器,因此就会出现客户机不能使用域名访问网站的问题。
[b]解决办法[/b]
首先在DNS服务器中删除根域、net域和rtj.net域,然后再重新创建一个rtj.net域,创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外,应该尽量少创建域,防止DNS服务器错误解析域名或无法解析。 [b]个人服务器之Win2000 DNS服务器的设置[/b]
[b]一、DNS概述[/b]
计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址,那为什么当我们打开浏览器,在地址栏中输入如“
[url=http://www.abc.com]www.abc.com[/url]
”的域名后,就能看到我们所需要的页面呢?这是在我们输入域名后,有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出那个IP地址所对应的网页,最后再传回给我们的浏览器,我们才能得到结果。
DNS是域名系统 (Domain Name System)的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络,如Internet,用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时,DNS服务可以将此名称解析为与此名称相关的其他信息,如IP地址。
所以,我们想要我们自己内部网上的域名能成功地被解析(即翻译成IP地址),就需要将我们自己的2K机建立成一个DNS服务器,里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录,A是Address的简写,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。
[b]二、DNS的设置[/b]
1、打开DNS控制台:选“开始菜单→程序→管理工具→DNS”。
2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
①建立“com”区域:选“DNS→WY(你的服务器名)→正向搜索区域→右键→新建区域”,然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.18.1.jpg[/img]
②建立“abc”域:选“com→右键→新建域”,在“键入新域名”处输入“abc”。
③建立“admin”主机。选“abc→右键→新建主机”,“名称”处为“admin”,“IP地址”处输入“192.168.0.50”,再按“添加主机”。
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.29.2.jpg[/img]
3、建立域名“
[url=http://www.abc.com]www.abc.com[/url]
”映射IP地址“192.168.0.48”的主机记录。
①由于域名“
[url=http://www.abc.com]www.abc.com[/url]
”和域名“admin.abc.com”均位于同一个“区域”和“域”中,均在上步已建立好,因此应直接使用,只需再在“域”中添加相应“主机名”即可。
②建立“www”主机:选“abc→右键→新建主机”,在“名称”处输入“www”,“IP地址”处输入“192.168.0.48”,最后再“添加主机”即可。
4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同,只是必须保持“名称”一项为空!建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.45.3.jpg[/img]
6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.32.1.4.jpg[/img]
7、建立时也有可以采用将“abc.com”整个作为“区域”,然后在它下面直接建立“主机”的作法。不过对于同类记录较多时,这种方法显得较为不便。
[b]三、DNS设置后的验证[/b]
为了测试所进行的设置是否成功,通常采用2K自带的“ping”命令来完成。格式如“ping
[url=http://www.abc.com]www.abc.com[/url]
”。成功的测试如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.32.15.5.jpg[/img]
注释掉的------>[b]个人服务器之Win2000 DNS服务器的设置[/b]
[b]一、DNS概述[/b]
计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址,那为什么当我们打开浏览器,在地址栏中输入如“
[url=http://www.abc.com/]
[color=#003366]www.abc.com[/color]
[/url]
”的域名后,就能看到我们所需要的页面呢?这是在我们输入域名后,有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址,然后调出那个IP地址所对应的网页,最后再传回给我们的浏览器,我们才能得到结果。
DNS是域名系统 (Domain Name System)的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络,如Internet,用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时,DNS服务可以将此名称解析为与此名称相关的其他信息,如IP地址。
所以,我们想要我们自己内部网上的域名能成功地被解析(即翻译成IP地址),就需要将我们自己的2K机建立成一个DNS服务器,里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录,A是Address的简写,意为“主机记录”或“主机地址记录”,是所有DNS记录中最常见的一种。
[b]二、DNS的设置[/b]
1、打开DNS控制台:选“开始菜单→程序→管理工具→DNS”。
2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
①建立“com”区域:选“DNS→WY(你的服务器名)→正向搜索区域→右键→新建区域”,然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.18.1.jpg[/img]
②建立“abc”域:选“com→右键→新建域”,在“键入新域名”处输入“abc”。
③建立“admin”主机。选“abc→右键→新建主机”,“名称”处为“admin”,“IP地址”处输入“192.168.0.50”,再按“添加主机”。
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.29.2.jpg[/img]
3、建立域名“
[url=http://www.abc.com/]
[color=#003366]www.abc.com[/color]
[/url]
”映射IP地址“192.168.0.48”的主机记录。
①由于域名“
[url=http://www.abc.com/]
[color=#003366]www.abc.com[/color]
[/url]
”和域名“admin.abc.com”均位于同一个“区域”和“域”中,均在上步已建立好,因此应直接使用,只需再在“域”中添加相应“主机名”即可。
②建立“www”主机:选“abc→右键→新建主机”,在“名称”处输入“www”,“IP地址”处输入“192.168.0.48”,最后再“添加主机”即可。
4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同,只是必须保持“名称”一项为空!建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.31.45.3.jpg[/img]
6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.32.1.4.jpg[/img]
7、建立时也有可以采用将“abc.com”整个作为“区域”,然后在它下面直接建立“主机”的作法。不过对于同类记录较多时,这种方法显得较为不便。
[b]三、DNS设置后的验证[/b]
为了测试所进行的设置是否成功,通常采用2K自带的“ping”命令来完成。格式如“ping
[url=http://www.abc.com/]
[color=#003366]www.abc.com[/color]
[/url]
”。成功的测试如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2004.7.3.12.32.15.5.jpg[/img] [b]DNS专题(14)---Windows客户端的配置和解析①[/b]
本章内容包括:
客户端的TCP/IP属性:介绍了对不同的客户端如何开始客户端配置程序。
配置客户端使用DHCP协议:DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
配置客户端使用DNS:介绍了如何配置windows 客户端使用DNS。
理解客户端对windows 解析器的使用:讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
其他的客户端支持信息:讨论了一些更深层的事务:WINSproxies,MS-DOS的TCP/IP-32升级,以及NetBT注册表设置。
windows 客户端可以使用几种方法解析名字,具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议,但本章主要讲TCP/IP的配置,因为使用DNS要求TCP/IP协议。
14.1客户端的TCP/IP属性
本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
在windows NT4.0中步骤如下(windows 95/98也类似):
1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
2)选择”Protocol”选项卡,然后在列表框中选中TCP/IP协议使之处于高亮态。
3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框,或在其他操作系统中的一个类似的对话框。
在windows 2000 中步骤稍有不同,具体如下:
1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击,还可右键单击桌面上的网上邻居图标并选择“Properties”。
2)选择名为“LocalAreaConnection”的对象,右键单击后选择“Properties”以打开局域网连接属性窗口。(本地连接对象的名字可能被更改过,但并无影响)。
3)在局域网连接属性对话框中,选择列表框中的TCP/IP协议使之处于高亮态。
4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置,尤其是单击“Advanced”按钮后可访问的属性设置。为了方便,该对话框被称作TCP/IP属性窗口。
[img]http://windows.chinaitlab.com/imgfiles/2003.9.1.16.59.30.01.jpg[/img]
14.2配置客户端使用DHCP协议
配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用(本章后续部分将涉及DNS和WINS设置)。在诊断DHCP客户端的问题时,最好记住这一点并检查DHCP设置是否被重置。
对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP:
windows 2000 服务器和工作站。
windows NT服务器3.5,3.51和4.0。
windows NT工作站3.5,3.51和4.0。
windows 95和98。
windows forWorkgroups3.1(要求安装了微软TCP/IP-32forwindows forworkgroups)。
MSNetworkClient3.0forMS-DOS(要求安装实模式下的TCP/IP-32驱动程序)。
LANManager2.2C(不包括LANManagerforOS/2)。
Solaris2.X和7。
Linux(所有最近的版本)。
要启用windows 2000 DHCP客户端,必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP,可按以下步骤:
1)打开TCP/IP属性对话框。
2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
3)此时IP地址和子网掩码框都失效(变灰),手动配置的值也不再显示。在windows 2000 中,新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中,单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置,最好检查一下以前的设置(尤其是WINS和DNS设置)是否已删掉。
5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
6)再次选择“OK”。对windows 2000 ,一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息,它很可能能提供所有的一般选项,但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互,另一个是选项81的用户类,最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义,可与windows 2000 的客户端互操作,但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端,则DHCP服务器必须支持以下DHCP选项:
044WINS/NBNS服务器,配置有一个或多个WINS服务器的IP地址。
046WINS/NBT节点类型集为0X1(b-节点),0X2(p节点),0X4(m节点)或0X8(h节点)。
参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
14.3配置客户端使用DNS
从前面几章已经知道,DNS提供分布式数据库,数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
对低级的客户端,DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射,除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似,都提供名字服务,但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作,只要该DNS服务器被配置为使用WINS。当启用动态更新时,windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力,这些系统利用了基于机器注册的标准方法。
在各种情况下,客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成,也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的,解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务,当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
14.3.1为DNS设置主机名和域名
在低级的操作系统中设定主机名和域名,应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
在windows 2000 中,这些设置略有不同,这也反映了windows 2000 中DNS的重要地位。如图14-2所示,在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
[img]http://windows.chinaitlab.com/imgfiles/2003.9.1.16.59.41.02.jpg[/img]
要设置windows 2000 中的机器的DNS标识,按以下步骤操作:
1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
2)选择网络标识选项卡。
3)在计算机名字区输入该机的DNS名。
4)单击“Properties”打开标识改变对话框。
5)单击“More”打开DNS后缀和NetBIOS名字对话框。
6)输入该机正确的主DNS后缀。
7)当windows 2000 域和DNS保持一致的情况下,当域中主机的域成员关系改变后要改变主DNS后缀。
8)单击“OK”然后重启。(此处是windows 2000 仅剩的仍然需要重启的几个地方之一)。
DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS,A记录和可能的PTR记录将用全域名创建(除非其他的设置改变了这种行为)。在低级的系统中,DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中,情况却有所不同,大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时,windows 2000 客户端的DNS记录是由DNS管理员控制的,当注册是动态时,这些记录由客户端的DNS配置决定。注释掉的------>[b]DNS专题(14)---Windows客户端的配置和解析①[/b]
本章内容包括:
客户端的TCP/IP属性:介绍了对不同的客户端如何开始客户端配置程序。
配置客户端使用DHCP协议:DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
配置客户端使用DNS:介绍了如何配置windows 客户端使用DNS。
理解客户端对windows 解析器的使用:讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
其他的客户端支持信息:讨论了一些更深层的事务:WINSproxies,MS-DOS的TCP/IP-32升级,以及NetBT注册表设置。
windows 客户端可以使用几种方法解析名字,具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议,但本章主要讲TCP/IP的配置,因为使用DNS要求TCP/IP协议。
14.1客户端的TCP/IP属性
本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
在windows NT4.0中步骤如下(windows 95/98也类似):
1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
2)选择”Protocol”选项卡,然后在列表框中选中TCP/IP协议使之处于高亮态。
3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框,或在其他操作系统中的一个类似的对话框。
在windows 2000 中步骤稍有不同,具体如下:
1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击,还可右键单击桌面上的网上邻居图标并选择“Properties”。
2)选择名为“LocalAreaConnection”的对象,右键单击后选择“Properties”以打开局域网连接属性窗口。(本地连接对象的名字可能被更改过,但并无影响)。
3)在局域网连接属性对话框中,选择列表框中的TCP/IP协议使之处于高亮态。
4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置,尤其是单击“Advanced”按钮后可访问的属性设置。为了方便,该对话框被称作TCP/IP属性窗口。
[img]http://windows.chinaitlab.com/imgfiles/2003.9.1.16.59.30.01.jpg[/img]
14.2配置客户端使用DHCP协议
配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用(本章后续部分将涉及DNS和WINS设置)。在诊断DHCP客户端的问题时,最好记住这一点并检查DHCP设置是否被重置。
对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP:
windows 2000 服务器和工作站。
windows NT服务器3.5,3.51和4.0。
windows NT工作站3.5,3.51和4.0。
windows 95和98。
windows forWorkgroups3.1(要求安装了微软TCP/IP-32forwindows forworkgroups)。
MSNetworkClient3.0forMS-DOS(要求安装实模式下的TCP/IP-32驱动程序)。
LANManager2.2C(不包括LANManagerforOS/2)。
Solaris2.X和7。
Linux(所有最近的版本)。
要启用windows 2000 DHCP客户端,必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP,可按以下步骤:
1)打开TCP/IP属性对话框。
2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
3)此时IP地址和子网掩码框都失效(变灰),手动配置的值也不再显示。在windows 2000 中,新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中,单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置,最好检查一下以前的设置(尤其是WINS和DNS设置)是否已删掉。
5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
6)再次选择“OK”。对windows 2000 ,一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息,它很可能能提供所有的一般选项,但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互,另一个是选项81的用户类,最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义,可与windows 2000 的客户端互操作,但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端,则DHCP服务器必须支持以下DHCP选项:
044WINS/NBNS服务器,配置有一个或多个WINS服务器的IP地址。
046WINS/NBT节点类型集为0X1(b-节点),0X2(p节点),0X4(m节点)或0X8(h节点)。
参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
14.3配置客户端使用DNS
从前面几章已经知道,DNS提供分布式数据库,数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
对低级的客户端,DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射,除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似,都提供名字服务,但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作,只要该DNS服务器被配置为使用WINS。当启用动态更新时,windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力,这些系统利用了基于机器注册的标准方法。
在各种情况下,客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成,也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的,解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务,当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
14.3.1为DNS设置主机名和域名
在低级的操作系统中设定主机名和域名,应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
在windows 2000 中,这些设置略有不同,这也反映了windows 2000 中DNS的重要地位。如图14-2所示,在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
[img]http://windows.chinaitlab.com/imgfiles/2003.9.1.16.59.41.02.jpg[/img]
要设置windows 2000 中的机器的DNS标识,按以下步骤操作:
1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
2)选择网络标识选项卡。
3)在计算机名字区输入该机的DNS名。
4)单击“Properties”打开标识改变对话框。
5)单击“More”打开DNS后缀和NetBIOS名字对话框。
6)输入该机正确的主DNS后缀。
7)当windows 2000 域和DNS保持一致的情况下,当域中主机的域成员关系改变后要改变主DNS后缀。
8)单击“OK”然后重启。(此处是windows 2000 仅剩的仍然需要重启的几个地方之一)。
DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS,A记录和可能的PTR记录将用全域名创建(除非其他的设置改变了这种行为)。在低级的系统中,DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中,情况却有所不同,大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时,windows 2000 客户端的DNS记录是由DNS管理员控制的,当注册是动态时,这些记录由客户端的DNS配置决定。 [b]针对中小企业的AD域控与DNS建设方案(图)[/b]
我们当前所使用的网络,最基本的就是TCP/IP网络(我们平常所涉及到的上网,浏览网页都是使用的这个网络),而TCP/IP网络中最基本的服务就是域名服务,该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址,而这个地址是用数字表示的(就像192.168.1.11等),非常不利于我们人类记忆,那么我们就为这些数字的地址取一个容易记的名字(比如TOM,SINA等),这样我们只要输入这些容易记的名字,他们就自动被翻译成机器理解的IP地址,这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换:Host表、网络信息服务系统(NIS)和域名服务(DNS)。
Host表:是简单的文本文件(/etc/hosts文件),其中存放了主机名和IP地址的映射表,它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库,所有的客户机都需要从它这里获得所需的主机表信息,当网络一大时,就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS(Domain Name Server),它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
[b]DNS工作原理图:[/b]
[img]http://windows.chinaitlab.com/imgfiles/2005.10.17.9.45.11.14.1.jpg[/img]
DNS系统本身对服务器的要求不是很高,压力不是很重,完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上,DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
我们对DNS服务器(包括AD域控制器)进行了性能压力测试,详细的测试过程与结果分析如下:
[img]http://windows.chinaitlab.com/imgfiles/2005.10.17.9.45.21.14.2.jpg[/img]
测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
[b]DNS服务器测试分析:
测试结论:[/b]
*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
*一个有2个处理器和1GB内存全局编录的服务器,可以支持10,000个用户的LDAP和Exchange 2000要求。
* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
[b]DNS服务器选型建议:
网络规模-小型(并发100人左右)[/b]
建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡(浪潮NP110G2)
如果DNS服务器集成在域控制器上,建议采用: P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡(浪潮NP110G2)
[b]网络规模-中型(并发500人左右)[/b]
建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡(浪潮NP370G2)
如果DNS服务器集成在域控制器上,建议采用: Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡(NP370G2)注释掉的------>[b]针对中小企业的AD域控与DNS建设方案(图)[/b]
我们当前所使用的网络,最基本的就是TCP/IP网络(我们平常所涉及到的上网,浏览网页都是使用的这个网络),而TCP/IP网络中最基本的服务就是域名服务,该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址,而这个地址是用数字表示的(就像192.168.1.11等),非常不利于我们人类记忆,那么我们就为这些数字的地址取一个容易记的名字(比如TOM,SINA等),这样我们只要输入这些容易记的名字,他们就自动被翻译成机器理解的IP地址,这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换:Host表、网络信息服务系统(NIS)和域名服务(DNS)。
Host表:是简单的文本文件(/etc/hosts文件),其中存放了主机名和IP地址的映射表,它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库,所有的客户机都需要从它这里获得所需的主机表信息,当网络一大时,就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS(Domain Name Server),它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
[b]DNS工作原理图:[/b]
[img]http://windows.chinaitlab.com/imgfiles/2005.10.17.9.45.11.14.1.jpg[/img]
DNS系统本身对服务器的要求不是很高,压力不是很重,完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上,DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
我们对DNS服务器(包括AD域控制器)进行了性能压力测试,详细的测试过程与结果分析如下:
[img]http://windows.chinaitlab.com/imgfiles/2005.10.17.9.45.21.14.2.jpg[/img]
测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
[b]DNS服务器测试分析:
测试结论:[/b]
*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
*一个有2个处理器和1GB内存全局编录的服务器,可以支持10,000个用户的LDAP和Exchange 2000要求。
* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
[b]DNS服务器选型建议:
网络规模-小型(并发100人左右)[/b]
建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡(浪潮NP110G2)
如果DNS服务器集成在域控制器上,建议采用: P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡(浪潮NP110G2)
[b]网络规模-中型(并发500人左右)[/b]
建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡(浪潮NP370G2)
如果DNS服务器集成在域控制器上,建议采用: Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡(NP370G2) [b]妙用DNS解析实现防火墙客户的重定向(图)[/b]
前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。
这篇文章里,我将通过两个CASE,讲述使用两者结合的方法解决两个实际问题。
声明:这两个CASE都是我近期遇到的问题,其中解决第一个CASE的是我的一个同事,他为我提供了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。
[b]CASE1[/b]:
问题描述:Contoso公司的网络环境如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.13.12.1.jpg[/img]
该公司使用ISA 2004作为代理服务器。
公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。
公司内部客户机的TCP/IP配置中,将DNS指向内部的DNS服务器,有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度,要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
分析存在的问题:OA服务器和邮件服务器数量总和大约在30台,如果一台一台在ISA控制台上设置“访问不通过代理服务器”,工作量较大,且将来添加新服务器时,需要在ISA上添加相应的纪录;另一方面,如果在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和
[url=http://www.contoso.com]www.contoso.com[/url]
(因为这几台Server没有内网卡)。
解决方案:其实解决的方案有很多,但下面这种最简单的不知道你想到没有:
在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和
[url=http://www.contoso.com]www.contoso.com[/url]
分别新建两条A纪录,指向各自的外网IP。
我们以
[url=http://www.contoso.com]www.contoso.com[/url]
为例,来考虑一下现在的客户机访问过程:
1、用户通过IE访问
[url=http://www.contoso.com]www.contoso.com[/url]
,通过防火墙客户端向ISA Server发送请求,要求进行解析;
2、ISA判定访问此web站点不需要经过ISA Server;
3、客户端向内网DNS查询
[url=http://www.contoso.com]www.contoso.com[/url]
的地址,内部DNS返回这台服务器的外网IP;
4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;
5、代理服务器通过策略处理,响应请求,连接建立。
正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。
请仔细体会一下其中的过程,然后接着看CASE2。
[b]CASE2[/b]:
背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。
两家公司的网络结构图简单表示如下所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.43.12.2.jpg[/img]
BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook Express收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。
分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?
解决方案:如果你看过CASE1,应该会有一个思路:能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送访问请求呢?
[b]自然是可以的,方法如下:[/b]
(1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.57.12.3.jpg[/img]
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.8.12.4.jpg[/img]
(2)在contoso.com中新建一条A纪录,将SMTP.contoso.com指向61.0.0.2
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.19.12.5.jpg[/img]
(3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.31.12.6.jpg[/img]
(4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp服务器修复后,删除所作的更改即可恢复原来的状态,而不需要在客户端进行任何的修改。
上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。注释掉的------>[b]妙用DNS解析实现防火墙客户的重定向(图)[/b]
前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。
这篇文章里,我将通过两个CASE,讲述使用两者结合的方法解决两个实际问题。
声明:这两个CASE都是我近期遇到的问题,其中解决第一个CASE的是我的一个同事,他为我提供了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。
[b]CASE1[/b]:
问题描述:Contoso公司的网络环境如下图所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.13.12.1.jpg[/img]
该公司使用ISA 2004作为代理服务器。
公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。
公司内部客户机的TCP/IP配置中,将DNS指向内部的DNS服务器,有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度,要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
分析存在的问题:OA服务器和邮件服务器数量总和大约在30台,如果一台一台在ISA控制台上设置“访问不通过代理服务器”,工作量较大,且将来添加新服务器时,需要在ISA上添加相应的纪录;另一方面,如果在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
(因为这几台Server没有内网卡)。
解决方案:其实解决的方案有很多,但下面这种最简单的不知道你想到没有:
在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
分别新建两条A纪录,指向各自的外网IP。
我们以
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
为例,来考虑一下现在的客户机访问过程:
1、用户通过IE访问
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
,通过防火墙客户端向ISA Server发送请求,要求进行解析;
2、ISA判定访问此web站点不需要经过ISA Server;
3、客户端向内网DNS查询
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
的地址,内部DNS返回这台服务器的外网IP;
4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;
5、代理服务器通过策略处理,响应请求,连接建立。
正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。
请仔细体会一下其中的过程,然后接着看CASE2。
[b]CASE2[/b]:
背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。
两家公司的网络结构图简单表示如下所示:
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.43.12.2.jpg[/img]
BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook Express收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。
分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?
解决方案:如果你看过CASE1,应该会有一个思路:能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送访问请求呢?
[b]自然是可以的,方法如下:[/b]
(1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.28.57.12.3.jpg[/img]
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.8.12.4.jpg[/img]
(2)在contoso.com中新建一条A纪录,将SMTP.contoso.com指向61.0.0.2
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.19.12.5.jpg[/img]
(3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;
[img]http://windows.chinaitlab.com/imgfiles/2005.9.3.12.29.31.12.6.jpg[/img]
(4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp服务器修复后,删除所作的更改即可恢复原来的状态,而不需要在客户端进行任何的修改。
上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。 [b]Windows服务器宝典一式:DNS调教技巧(图)[/b] 在管理和维护Windows服务器的过程中,DNS服务的设置和维护是其中重要的一项“功课”,毕竟网络访问的高效与否,与DNS服务的工作性能息息相关!要让DNS服务器始终能为网络访问提供高效服务,自然少不了要掌握一些DNS服务的调教技巧。为此,本文特意总结了这方面的一些技巧,希望它们能对各位有所用处!
[b]1、巧妙查询DNS所用端口[/b]
有时候需要通过防火墙,来阻止服务器随意接受任意工作站的域名解析请求;不过要能实现这个目的,需要事先知道DNS使用了什么端口,以及使用了什么通信协议,然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么,如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢?为此,本文特意为你提供了如下的方法,来快速查询DNS所用端口以及通信协议:
首先打开系统的资源管理器窗口,并进入到Windows系统所在的安装磁盘分区,再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹;
接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件,从弹出的快捷菜单中执行“打开方式”命令,在随后出现的应用程序选择对话框中,选中“记事本”应用程序,并单击“确定”按钮;
在其后出现的文本编辑界面中,依次单击工具栏中的“编辑”/“查找”命令,在打开的查找对话框中,输入关键字“Domain Name”,然后单击“查找下一个”按钮,这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了,如图1所示。从该界面中,你不难看出DNS所用的通信端口号码为53,使用的通信协议包括TCP协议和UDP协议。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.26.11.1.jpg[/img]
图1
[b]2、快速测试DNS的能力[/b]
大家知道,DNS服务器在进行域名解析时,通常具有简单查询和递进查询两种方式,其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小,通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么,如何才能快速知道自己搭建的DNS服务器,在简单查询能力和递进查询能力都有效呢?其实很简单,你可以按照下面的步骤来操作就能知道了:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在接着打开的DNS服务器属性设置对话框中,单击“监视”标签,并在对应的标签页面中(如图2所示),选中简单查询或递进查询测试选项,再单击“立即测试”按钮,就能对DNS服务器能力的进行测试了;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.39.11.2.jpg[/img]
图2
测试完毕后,你会在对应的窗口中看到具体的结果,例如一旦DNS服务器没有递进查询能力的话,测试结果就会表现为“失败”,要是DNS服务器具有简单查询功能的话,那么测试结果就会表现为“通过”。当然,如果你选中“以下列间隔进行自动测试”复选项选中,同时指定好具体的间隔时间的话,那么Windows服务器系统就会每隔一定的时间,对DNS服务器的简单查询能力或递进查询能力进行自动测试。
[b]3、为DNS解析提速[/b]
输入在IE浏览器地址栏中的网址,是无法帮助我们直接获得想要的资源信息的,它必须通过DNS解析系统,转换成IP地址后才能让我们看到想要的内容。不过,网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前,提前知道了它的IP地址时,就能把该IP地址直接输入在浏览器地址栏中,这样就能
跳过层层级级寻找域名服务器的过程,显然这种方式会让访问速度大大提高。可惜的是,我们往往无法提前知道所有的网站IP地址。但是,我们还是可以通过下面的方法,对常用网站的网址进行快速解析:
如果你使用的是Windows 98/Me系统的话,那么你可以先将平时访问的网站网址搜集起来,并借助ping命令来得到这些网址的IP地址。例如,要想得到“ycsti.sti.js.cn”网址的IP地址时,你可以依次单击“开始”/“运行”命令,在随后打开的系统运行对话框中,输入字符串命令“ping ycsti.sti.js.cn”,单击“确定”按钮后,你就能从弹出的图3界面中,知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法,你可以轻易地查询得到其他网址的IP地址。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.54.11.3.jpg[/img]
图3
接着打开系统的资源管理器窗口,进入到Windows系统所在的安装目录,通常为“C:\Windows”(其中“C:”为硬盘的C分区),然后用记事本应用程序打开一个名为“HOSTS.sam”的文件,并在其后出现的编辑窗口中输入前面整理好的网址和IP地址;当然,在输入这些内容时,一定要保证每一行内容为一条记录,每条记录只能包含网站域名、IP地址以及注释信息三部分,每一部分都需要用空格分开,而且注释部分需要以#号开头;
此外,在正式向“HOSTS.sam”文件输入信息时,我们必须先将文档中样板内容选中后删除,再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容,完成所有记录的输入操作后,再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令,在弹出的文件保存对话框中,输入新的文件名为“hosts”(注意,没有扩展名哟),文件保存路径还是“C:\Windows”;
到了这里,我们其实就在本地工作站中创建了一个小型DNS解析系统,日后你一旦访问“Hosts”文件中包含的网站域名时,本地计算机就不会花时间去寻找Internet上的DNS服务器,而是直接通过本地的“Hosts”文件,来快速完成指定网站的域名解析任务,从而提高了网站访问的速度。
[b]4、快速查看DNS工作状况[/b]
DNS工作状况的好坏,直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析,必须要及时知道DNS工作状况,以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢?其实很简单,你只要按照下面操作步骤就能轻松做到:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在接着打开的DNS服务器属性设置对话框中,单击“日志”标签,然后在对应的标签页面中(如图4所示),你可以知道DNS的工作状况全部保存在下面提示的日志文件中;同时你可以在该标签页面中,设置好日志文件需要记录DNS服务在哪些方面的记录,例如是查询方面的、通知方面的,还是应答方面的;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.23.9.11.4.jpg[/img]
图4
接着打开系统的资源管理器窗口,并进入到DNS工作日志所在的子文件夹窗口中,再用鼠标双击对应的日志文件,你就能在其后出现的编辑界面中,查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息,根据这些信息你就能大概地知道DNS当前的工作状况了。
[b]5、分解Web服务器“负担”[/b]
大家知道,规模较大的单位局域网通常会包含许多不同的子网,如果这些不同子网的工作站,同时向其中的一台Web服务器发送访问请求的话,该Web服务器的响应速度肯定非常缓慢,严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象,我们可以在局域网中多配置几台Web服务器,让不同的Web服务器只应答本子网内的工作站访问请求,而不要随意应答来自其他子网工作站的访问请求。不过,我们该如何指定不同子网的工作站,去“智能”地访问本子网中的Web服务器,而不去自动访问其他子网中的Web服务器呢?要做到这一点,你必须对局域网中的DNS服务器进行如下的参数设置:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在随后出现的DNS服务器属性设置界面中,单击“高级”标签,然后在图5所示的“服务器选项”设置项处,将“启用循环”复选项选中,这样就能确保多个访问请求被自动分配给不同的Web服务器了。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.25.11.11.5.jpg[/img]
图5
为了确保同一子网中的工作站访问请求,能被同一子网中的Web服务器接受,你还需要在“服务器选项”设置项处,选中“启用netmask排序”复选项,如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
当然,完成了上面的设置后,你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中,以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录,本文在这里就不累述了。
[b]6、DNS转发控制局域网上网[/b]
局域网中的任何一台工作站需要访问到Internet上的信息,必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时,就能阻止工作站浏览到Internet的内容了。根据这一思路,我们完全可以借助DNS转发功能,来控制整个局域网的上网情况。下面,就让我们一起来看看如何实现对局域网上网情况进行随意控制:
首先要确保局域网中的任何一台工作站,只能通过局域网中的特定DNS服务器,与Internet进行连接。要做到这一点,你必须确保每一工作站的网关地址,必须为局域网服务器的IP地址。在这里,假设所有工作站的上网参数事先已经设注释掉的------>[b]Windows服务器宝典一式:DNS调教技巧(图)[/b] 在管理和维护Windows服务器的过程中,DNS服务的设置和维护是其中重要的一项“功课”,毕竟网络访问的高效与否,与DNS服务的工作性能息息相关!要让DNS服务器始终能为网络访问提供高效服务,自然少不了要掌握一些DNS服务的调教技巧。为此,本文特意总结了这方面的一些技巧,希望它们能对各位有所用处!
[b]1、巧妙查询DNS所用端口[/b]
有时候需要通过防火墙,来阻止服务器随意接受任意工作站的域名解析请求;不过要能实现这个目的,需要事先知道DNS使用了什么端口,以及使用了什么通信协议,然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么,如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢?为此,本文特意为你提供了如下的方法,来快速查询DNS所用端口以及通信协议:
首先打开系统的资源管理器窗口,并进入到Windows系统所在的安装磁盘分区,再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹;
接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件,从弹出的快捷菜单中执行“打开方式”命令,在随后出现的应用程序选择对话框中,选中“记事本”应用程序,并单击“确定”按钮;
在其后出现的文本编辑界面中,依次单击工具栏中的“编辑”/“查找”命令,在打开的查找对话框中,输入关键字“Domain Name”,然后单击“查找下一个”按钮,这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了,如图1所示。从该界面中,你不难看出DNS所用的通信端口号码为53,使用的通信协议包括TCP协议和UDP协议。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.26.11.1.jpg[/img]
图1
[b]2、快速测试DNS的能力[/b]
大家知道,DNS服务器在进行域名解析时,通常具有简单查询和递进查询两种方式,其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小,通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么,如何才能快速知道自己搭建的DNS服务器,在简单查询能力和递进查询能力都有效呢?其实很简单,你可以按照下面的步骤来操作就能知道了:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在接着打开的DNS服务器属性设置对话框中,单击“监视”标签,并在对应的标签页面中(如图2所示),选中简单查询或递进查询测试选项,再单击“立即测试”按钮,就能对DNS服务器能力的进行测试了;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.39.11.2.jpg[/img]
图2
测试完毕后,你会在对应的窗口中看到具体的结果,例如一旦DNS服务器没有递进查询能力的话,测试结果就会表现为“失败”,要是DNS服务器具有简单查询功能的话,那么测试结果就会表现为“通过”。当然,如果你选中“以下列间隔进行自动测试”复选项选中,同时指定好具体的间隔时间的话,那么Windows服务器系统就会每隔一定的时间,对DNS服务器的简单查询能力或递进查询能力进行自动测试。
[b]3、为DNS解析提速[/b]
输入在IE浏览器地址栏中的网址,是无法帮助我们直接获得想要的资源信息的,它必须通过DNS解析系统,转换成IP地址后才能让我们看到想要的内容。不过,网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前,提前知道了它的IP地址时,就能把该IP地址直接输入在浏览器地址栏中,这样就能
跳过层层级级寻找域名服务器的过程,显然这种方式会让访问速度大大提高。可惜的是,我们往往无法提前知道所有的网站IP地址。但是,我们还是可以通过下面的方法,对常用网站的网址进行快速解析:
如果你使用的是Windows 98/Me系统的话,那么你可以先将平时访问的网站网址搜集起来,并借助ping命令来得到这些网址的IP地址。例如,要想得到“ycsti.sti.js.cn”网址的IP地址时,你可以依次单击“开始”/“运行”命令,在随后打开的系统运行对话框中,输入字符串命令“ping ycsti.sti.js.cn”,单击“确定”按钮后,你就能从弹出的图3界面中,知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法,你可以轻易地查询得到其他网址的IP地址。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.22.54.11.3.jpg[/img]
图3
接着打开系统的资源管理器窗口,进入到Windows系统所在的安装目录,通常为“C:\Windows”(其中“C:”为硬盘的C分区),然后用记事本应用程序打开一个名为“HOSTS.sam”的文件,并在其后出现的编辑窗口中输入前面整理好的网址和IP地址;当然,在输入这些内容时,一定要保证每一行内容为一条记录,每条记录只能包含网站域名、IP地址以及注释信息三部分,每一部分都需要用空格分开,而且注释部分需要以#号开头;
此外,在正式向“HOSTS.sam”文件输入信息时,我们必须先将文档中样板内容选中后删除,再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容,完成所有记录的输入操作后,再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令,在弹出的文件保存对话框中,输入新的文件名为“hosts”(注意,没有扩展名哟),文件保存路径还是“C:\Windows”;
到了这里,我们其实就在本地工作站中创建了一个小型DNS解析系统,日后你一旦访问“Hosts”文件中包含的网站域名时,本地计算机就不会花时间去寻找Internet上的DNS服务器,而是直接通过本地的“Hosts”文件,来快速完成指定网站的域名解析任务,从而提高了网站访问的速度。
[b]4、快速查看DNS工作状况[/b]
DNS工作状况的好坏,直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析,必须要及时知道DNS工作状况,以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢?其实很简单,你只要按照下面操作步骤就能轻松做到:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在接着打开的DNS服务器属性设置对话框中,单击“日志”标签,然后在对应的标签页面中(如图4所示),你可以知道DNS的工作状况全部保存在下面提示的日志文件中;同时你可以在该标签页面中,设置好日志文件需要记录DNS服务在哪些方面的记录,例如是查询方面的、通知方面的,还是应答方面的;
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.23.9.11.4.jpg[/img]
图4
接着打开系统的资源管理器窗口,并进入到DNS工作日志所在的子文件夹窗口中,再用鼠标双击对应的日志文件,你就能在其后出现的编辑界面中,查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息,根据这些信息你就能大概地知道DNS当前的工作状况了。
[b]5、分解Web服务器“负担”[/b]
大家知道,规模较大的单位局域网通常会包含许多不同的子网,如果这些不同子网的工作站,同时向其中的一台Web服务器发送访问请求的话,该Web服务器的响应速度肯定非常缓慢,严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象,我们可以在局域网中多配置几台Web服务器,让不同的Web服务器只应答本子网内的工作站访问请求,而不要随意应答来自其他子网工作站的访问请求。不过,我们该如何指定不同子网的工作站,去“智能”地访问本子网中的Web服务器,而不去自动访问其他子网中的Web服务器呢?要做到这一点,你必须对局域网中的DNS服务器进行如下的参数设置:
依次单击“开始”/“程序”/“管理工具”/“DNS”命令,在弹出的DNS服务器管理控制台窗口中,用鼠标右键单击目标DNS服务器,从随后弹出的右键菜单中执行“属性”命令;
在随后出现的DNS服务器属性设置界面中,单击“高级”标签,然后在图5所示的“服务器选项”设置项处,将“启用循环”复选项选中,这样就能确保多个访问请求被自动分配给不同的Web服务器了。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.26.15.25.11.11.5.jpg[/img]
图5
为了确保同一子网中的工作站访问请求,能被同一子网中的Web服务器接受,你还需要在“服务器选项”设置项处,选中“启用netmask排序”复选项,如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
当然,完成了上面的设置后,你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中,以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录,本文在这里就不累述了。
[b]6、DNS转发控制局域网上网[/b]
局域网中的任何一台工作站需要访问到Internet上的信息,必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时,就能阻止工作站浏览到Internet的内容了。根据这一思路,我们完全可以借助DNS转发功能,来控制整个局域网的上网情况。下面,就让我们一起来看看如何实现对局域网上网情况进行随意控制:
首先要确保局域网中的任何一台工作站,只能通过局域网中的特定DNS服务器,与Internet进行连接。要做到这一点,你必须确保每一工作站的网关地址,必须为局域网服务器的IP地址。在这里,假设所有工作站的上网参数事先已经设 [b]微软交流:关于DNS的不完全总结[/b]
几年前第一次接触到活动目录的时候,正是领导要求部署活动目录的时候。虽然当时手头上有几本书,但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了,相信不少人和我当年差不多,稀里糊涂的就开始当起了活动目录的管理员。对于DNS,因为安装会提示自动部署,相信很多人都不会在这方面下很多功夫(包括我原来也是)。我为此付出了不少代价--因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯(显然直接另存是保存不下来的),我保存有关DNS问题的帖子数量,占各种问题的第三位(我也很吃惊)。
但是论坛上也没有很系统的关于DNS的总结(这毕竟是一个可以写成一本书的很大的方面)。我通过对自己收藏的帖子和参考书的阅读,加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助,因为我不擅长DNS(在论坛上我也很少给朋友解决DNS问题),所以我想肯定有我写错的地方,我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解(我还是挺有私心的)。
闲话少说,书归正传。
有过DNS域部署经验的朋友都能感觉到,活动目录的DNS、DHCP和WINS(用的不多了)和NetBios是息息相关的。也是很容易混淆的。所以很麻烦,通常我们开始部署AD的时候是在一个小公司里,大约有几十台电脑的局域网。人员流动不是很频繁,所以的电脑也差不多的天天都开。很少有电脑会换地方,我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子,我们来到一个相对复杂的网络环境时,意识到自己缺乏对DNS的起码常识,怎么办? 为了在遇到难题时能正确表述自己的问题(否则别人想帮你都没办法,除了UP我们更重要的是说清楚自己的问题和听明白高手的意思)那么和我一样从基础开始吧。
什么样的DNS系统是一个比较完美的系统呢?DNS服务器的连续性能提供出色的性能,减少WAN的通信,安全性也必须得到保障。
[b]我们先从概念开始[/b]
[b]1.DNS和活动目录关系[/b]
DNS定义“命名空间”(名字空间)---微软把例如“contoso.com”的东东叫命名空间,这个空间内的主机储存在一个“区域文件”(zone file)里---主要是一种映射的关系(中学数学就有映射的概念)
活动目录的域(domain)“存储域和域中的对象”,把用户、租计算机帐户记录组注册表的SAM里。---当然域不止这些内容。
DNS和域的结合--完全合格域名(FQDN):例如srv1.contoso.com--说明了srv1主机位于contoso.com这个域里面。
[b]注意:[/b]
DNS的结构中,顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN(看看上面FDQN的例子)的,最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在,在我们检测DNS(尤其是命令行方式)最好加上末尾的这个"."正因为根域上有这个点,所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的,不让你设置,因为"."认为自己是根了,没必要转发。所以解决的方法是删掉这个点,才能转发(删掉后就不会灰色可以选择转发了)。
如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称,不一定非要.net或者.com.即使父域叫contoso.com,子域也可以叫devil.coco。
当一个企业在做DNS规划时要注意。当企业外部服务(例如网站)需要在internet上注册名称(例如,公司.com)。如果企业内部使用活动目录,那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如:“contoso.com”,作为企业在internet上的网站,使用
[url=http://www.contoso.com]www.contoso.com[/url]
域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
[b]2.hosts文件[/b]
很多帖子里都有人回复说,看看那个hosts文件有没有问题,或者说修改那个hosts文件里的什么地方(例如屏蔽QQ)。这是为什么?
hosts存在的目的:减少DNS服务器的工作量,如果客户端查找的一个主机名在hosts文件里有记录(说明不久前访问过),那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到?一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件,也能用记事本打开。都是和TCP/IP相关的,详细我就不说了跟DNS关系不大。
TTL(生存时间),DNS记录必须有TTL,Hosts中得缓存超过了ttl就将被删除,否则DNS得改变将无法在hosts文件中体现。
我们需要一个具体的例子:
有天,客户发现srv1.contoso.com主机无法访问了,我们查看DNS表,发现确实没有相关A记录了。我们手动添加了记录,但是客户还是抱怨无法访问该主机――因为客户端的缓存里里,还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的,服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
[b]3.主DNS服务器和辅助名称服务器[/b]
这个概念在论坛上也无数次的被提起,我觉得还是有必要说明一下的。照例我不会用很专业的词汇,需要考MCSE的朋友最好不要看我写的东西。
我是这样认为的,DNS服务器把所有资源记录到一个文件中(zone file)。只有“主DNS服务器”能对该文件进行写操作(能修改DNS记录),辅助DNS服务器从主DNS服务器(或者其他辅助DNS服务器)那里获得该文件的拷贝(默认24小时得不到拷贝的话,辅助DNS服务器就将失效)。
除此之外还有一种“仅缓存名称服务器”(caching-only name server),它上面仅保存缓存的查询结果(从辅助DNS服务器那里获得),以便使客户端尽快获得查询信息。
这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间,允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
[b]4.权威性应答与非权威性应答[/b]
按照我的理解,如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录,就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC(也就是DNS服务器)上查找该主机的“A记录”,我们找到了。就把记录内容通过DNS应答的方式发还给客户端,这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
此外,如果DNS服务器最近被查找过该主机(可能其他客户端也查找过)记录,就会在缓存里找到记录应答客户端――当然上一种方法快。
如果该DC服务器找不到srv1. contoso.com主机的A记录,就会返回(Record Not Found)应答――同样也是权威性应答
如果接到DNS查询请求的服务器不是contoso.com的DC(Dns服务器),那么有3种方法处理该请求:
首先,查询其他DNS服务器直到找到,然后此服务器将找到的内容返回给客户端――非权威性应答
其次,推荐客户端到上一级DNS服务器找。―――非权威性应答。
最后,如果原来被别人访问过,本地有该缓存,那么用缓存里的数据回答―――非权威性应答。
说到这里就要讲清楚,为什么会出现3种方法,为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了?
因为在客户端查询的请求里面包含一个“搜索类型”(Search type)的东东,一共有两种状态:
(1) 递归查询(Recursive),要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了,你得给我查到。
(2) 迭代查询(Iterative),你(DNS服务器)如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
默认情况是递归查询的,我们可以在DNS服务器参数配置禁用(高级选项)。
当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时,默认是迭代查询的。
[b]5.Netbios解析和DNS解析[/b]
对于两者的概念我不想多做说明了,值得注意得是他们的查询步骤。
假定我们启用了Netbios解析,windows客户端会按照下面的步骤进行解析(默认B节点配置可以修改为H节点)
(1) Netbios缓存
(2) Wins查询
(3) Lmhosts文件(看看hosts的目录)
(4) 广播
(5) hosts文件
(6) DNS
我们举个例子,如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么?
首先,客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。 如果名字里有“.”存在,但是末尾并没有“.”结束,系统会自动追加末尾“.”,如果这样查询也失败了,就会向上面那样追加DNS后缀再试。 如果添加DNS后缀也无法获得主机记录,那么系统就会追加事先为“接口”配置好得备用DNS后缀(仔细看看本地连接的属性)。注释掉的------>[b]微软交流:关于DNS的不完全总结[/b]
几年前第一次接触到活动目录的时候,正是领导要求部署活动目录的时候。虽然当时手头上有几本书,但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了,相信不少人和我当年差不多,稀里糊涂的就开始当起了活动目录的管理员。对于DNS,因为安装会提示自动部署,相信很多人都不会在这方面下很多功夫(包括我原来也是)。我为此付出了不少代价--因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯(显然直接另存是保存不下来的),我保存有关DNS问题的帖子数量,占各种问题的第三位(我也很吃惊)。
但是论坛上也没有很系统的关于DNS的总结(这毕竟是一个可以写成一本书的很大的方面)。我通过对自己收藏的帖子和参考书的阅读,加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助,因为我不擅长DNS(在论坛上我也很少给朋友解决DNS问题),所以我想肯定有我写错的地方,我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解(我还是挺有私心的)。
闲话少说,书归正传。
有过DNS域部署经验的朋友都能感觉到,活动目录的DNS、DHCP和WINS(用的不多了)和NetBios是息息相关的。也是很容易混淆的。所以很麻烦,通常我们开始部署AD的时候是在一个小公司里,大约有几十台电脑的局域网。人员流动不是很频繁,所以的电脑也差不多的天天都开。很少有电脑会换地方,我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子,我们来到一个相对复杂的网络环境时,意识到自己缺乏对DNS的起码常识,怎么办? 为了在遇到难题时能正确表述自己的问题(否则别人想帮你都没办法,除了UP我们更重要的是说清楚自己的问题和听明白高手的意思)那么和我一样从基础开始吧。
什么样的DNS系统是一个比较完美的系统呢?DNS服务器的连续性能提供出色的性能,减少WAN的通信,安全性也必须得到保障。
[b]我们先从概念开始[/b]
[b]1.DNS和活动目录关系[/b]
DNS定义“命名空间”(名字空间)---微软把例如“contoso.com”的东东叫命名空间,这个空间内的主机储存在一个“区域文件”(zone file)里---主要是一种映射的关系(中学数学就有映射的概念)
活动目录的域(domain)“存储域和域中的对象”,把用户、租计算机帐户记录组注册表的SAM里。---当然域不止这些内容。
DNS和域的结合--完全合格域名(FQDN):例如srv1.contoso.com--说明了srv1主机位于contoso.com这个域里面。
[b]注意:[/b]
DNS的结构中,顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN(看看上面FDQN的例子)的,最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在,在我们检测DNS(尤其是命令行方式)最好加上末尾的这个"."正因为根域上有这个点,所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的,不让你设置,因为"."认为自己是根了,没必要转发。所以解决的方法是删掉这个点,才能转发(删掉后就不会灰色可以选择转发了)。
如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称,不一定非要.net或者.com.即使父域叫contoso.com,子域也可以叫devil.coco。
当一个企业在做DNS规划时要注意。当企业外部服务(例如网站)需要在internet上注册名称(例如,公司.com)。如果企业内部使用活动目录,那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如:“contoso.com”,作为企业在internet上的网站,使用
[url=http://www.contoso.com/]
[color=#003366]www.contoso.com[/color]
[/url]
域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
[b]2.hosts文件[/b]
很多帖子里都有人回复说,看看那个hosts文件有没有问题,或者说修改那个hosts文件里的什么地方(例如屏蔽QQ)。这是为什么?
hosts存在的目的:减少DNS服务器的工作量,如果客户端查找的一个主机名在hosts文件里有记录(说明不久前访问过),那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到?一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件,也能用记事本打开。都是和TCP/IP相关的,详细我就不说了跟DNS关系不大。
TTL(生存时间),DNS记录必须有TTL,Hosts中得缓存超过了ttl就将被删除,否则DNS得改变将无法在hosts文件中体现。
我们需要一个具体的例子:
有天,客户发现srv1.contoso.com主机无法访问了,我们查看DNS表,发现确实没有相关A记录了。我们手动添加了记录,但是客户还是抱怨无法访问该主机――因为客户端的缓存里里,还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的,服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
[b]3.主DNS服务器和辅助名称服务器[/b]
这个概念在论坛上也无数次的被提起,我觉得还是有必要说明一下的。照例我不会用很专业的词汇,需要考MCSE的朋友最好不要看我写的东西。
我是这样认为的,DNS服务器把所有资源记录到一个文件中(zone file)。只有“主DNS服务器”能对该文件进行写操作(能修改DNS记录),辅助DNS服务器从主DNS服务器(或者其他辅助DNS服务器)那里获得该文件的拷贝(默认24小时得不到拷贝的话,辅助DNS服务器就将失效)。
除此之外还有一种“仅缓存名称服务器”(caching-only name server),它上面仅保存缓存的查询结果(从辅助DNS服务器那里获得),以便使客户端尽快获得查询信息。
这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间,允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
[b]4.权威性应答与非权威性应答[/b]
按照我的理解,如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录,就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC(也就是DNS服务器)上查找该主机的“A记录”,我们找到了。就把记录内容通过DNS应答的方式发还给客户端,这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
此外,如果DNS服务器最近被查找过该主机(可能其他客户端也查找过)记录,就会在缓存里找到记录应答客户端――当然上一种方法快。
如果该DC服务器找不到srv1. contoso.com主机的A记录,就会返回(Record Not Found)应答――同样也是权威性应答
如果接到DNS查询请求的服务器不是contoso.com的DC(Dns服务器),那么有3种方法处理该请求:
首先,查询其他DNS服务器直到找到,然后此服务器将找到的内容返回给客户端――非权威性应答
其次,推荐客户端到上一级DNS服务器找。―――非权威性应答。
最后,如果原来被别人访问过,本地有该缓存,那么用缓存里的数据回答―――非权威性应答。
说到这里就要讲清楚,为什么会出现3种方法,为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了?
因为在客户端查询的请求里面包含一个“搜索类型”(Search type)的东东,一共有两种状态:
(1) 递归查询(Recursive),要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了,你得给我查到。
(2) 迭代查询(Iterative),你(DNS服务器)如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
默认情况是递归查询的,我们可以在DNS服务器参数配置禁用(高级选项)。
当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时,默认是迭代查询的。
[b]5.Netbios解析和DNS解析[/b]
对于两者的概念我不想多做说明了,值得注意得是他们的查询步骤。
假定我们启用了Netbios解析,windows客户端会按照下面的步骤进行解析(默认B节点配置可以修改为H节点)
(1) Netbios缓存
(2) Wins查询
(3) Lmhosts文件(看看hosts的目录)
(4) 广播
(5) hosts文件
(6) DNS
我们举个例子,如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么?
首先,客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。 如果名字里有“.”存在,但是末尾并没有“.”结束,系统会自动追加末尾“.”,如果这样查询也失败了,就会向上面那样追加DNS后缀再试。 如果添加DNS后缀也无法获得主机记录,那么系统就会追加事先为“接口”配置好得备用DNS后缀(仔细看看本地连接的属性)。 [b]资深网管教你如何操作DNS最安全(图)[/b]
DNS 是域名系统 (Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议,因此,很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进,可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别,然后才能选择具体的安全措施。
[b]1、DNS 安全威胁[/b]
下面是攻击者对于 DNS 结构进行威胁的常见方式:
“跟踪”是攻击者通过它获取 DNS 区域数据的过程,以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络,开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置,以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时,其 CPU 使用率将达到其最大值,DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时,使用 DNS 的网络服务对于网络用户将不可用。
“数据修改”是攻击者(使用 DNS 跟踪网络的人)进行的一种尝试,即使用攻击者创建的 IP 数据包中的有效 IP 地址,从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址(子网的 IP 地址范围内的一个 IP 地址),攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限(例如,使用不保护动态更新的安全)时,可完成重定向。
[b]2、减轻 DNS 安全威胁[/b]
可对 DNS 进行配置,以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.0.8.1.jpg[/img]
表1
下面是DNS的三种安全级别,我们可根据单位实际情况,选择DNS 安全配置级别,增加企业的 DNS 安全性。
[b]1、低级安全性[/b]
低级安全性是一种标准的 DNS 部署,不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
企业的 DNS 结构完全暴露给 Internet。
标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
所有 DNS 服务器都允许向任何服务器进行区域传输。
所有 DNS 服务器都配置为侦听其所有 IP 地址。
在所有 DNS 服务器上禁用防止缓存污染。
允许对所有 DNS 区域进行动态更新。
用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
[b]2、中级安全性[/b]
中级安全性使用可用的 DNS 安全功能,不在域控制器上运行 DNS 服务器,也不在 Active Directory 中存储 DNS 区域。
企业的 DNS 结构有限暴露给 Internet。
所有 DNS 服务器在本地都无法解析名称时,将其配置为使用转发器指向内部 DNS 服务器的特定列表。
所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
配置 DNS 服务器在指定的 IP 地址上侦听。
在所有 DNS 服务器上已启用缓存污染防止。
不允许对任何 DNS 区域进行动态更新。
内部 DNS 服务器通过防火墙与外部 DNS 服务器通信,该防火墙具有所允许的源和目标地址的有限列表。
防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
所有 Internet 名称解析都使用代理服务器和网关执行。
[b]3、高级安全性[/b]
高级安全性使用与中级安全性相同的配置,DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时,也使用可用的安全功能。此外,高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置,但是,每当不需要 Internet 连接时,则建议使用该配置。
企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
企业网络使用内部 DNS 根目录和名称空间,其中对于 DNS 区域的所有权限都是内部的。
配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
配置 DNS 服务器在指定的 IP 地址上侦听。
在所有 DNS 服务器上已启用缓存污染防止。
内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示,这些服务器主持企业内部名称空间的根目录区域。
所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL),只允许特定个人在 DNS 服务器上执行管理任务。
所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
为 DNS 区域配置了安全的动态更新,顶级和根目录区域除外,它们根本不允许进行动态更新。
[b]1、保证 DNS 部署的安全[/b]
设计 DNS 服务器部署时,应采用下列 DNS 安全准则:
如果不需要企业网络主机来解析 Internet 上的名称,应取消与 Internet 的 DNS 通信。
在该 DNS 设计中,可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同,内部 DNS 服务器为根域和顶级域主持区域。
在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
在该 DNS 设计中,企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如,如果企业单位的 Internet DNS 名称空间是 ghq.com,企业网络的内部 DNS 名称空间是 corp.ghq.com。
在内部 DNS 服务器上主持内部 DNS 名称空间,在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
要解析内部主机进行的外部名称查询,内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
配置数据包筛选防火墙,以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
这将便于内部和外部 DNS 服务器间的通信,并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
[b]2、保护 DNS 服务器服务[/b]
要保护企业网络中的 DNS 服务器的安全,请采用下列准则:
检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。(如表2所示)
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.14.8.2.jpg[/img]
表2
管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ,除了影响上述安全性的默认 DNS 服务器服务设置外,配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时,对于 DNS 服务器服务的默认组或用户名和权限。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.27.8.3.jpg[/img]
表3
DNS 服务器服务在域控制器上运行时,可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同,建议采用后一种方法。这样,Active Directory 对象和 DNS 服务器的安全管理员应直接联系,以确保管理员不会颠倒彼此的安全设置。
应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大,并能提供包括 Active Directory 的各种功能,Active Directory 是域、用户帐户和其他重要安全功能所需要的。
[b]3、保护 DNS 区域[/b]
DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义:
配置安全的动态更新。
默认情况下,“动态更新”设置未被配置为允许动态更新。这是最安全的设置,因为它能够防止攻击者更新 DNS 区域,但是,该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据,应将 DNS 区域存储在 Active Directory 中,并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机,同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
限制区域传输注释掉的------>[b]资深网管教你如何操作DNS最安全(图)[/b]
DNS 是域名系统 (Domain Name System) 的缩写,是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议,因此,很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进,可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别,然后才能选择具体的安全措施。
[b]1、DNS 安全威胁[/b]
下面是攻击者对于 DNS 结构进行威胁的常见方式:
“跟踪”是攻击者通过它获取 DNS 区域数据的过程,以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络,开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置,以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时,其 CPU 使用率将达到其最大值,DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时,使用 DNS 的网络服务对于网络用户将不可用。
“数据修改”是攻击者(使用 DNS 跟踪网络的人)进行的一种尝试,即使用攻击者创建的 IP 数据包中的有效 IP 地址,从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址(子网的 IP 地址范围内的一个 IP 地址),攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限(例如,使用不保护动态更新的安全)时,可完成重定向。
[b]2、减轻 DNS 安全威胁[/b]
可对 DNS 进行配置,以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.0.8.1.jpg[/img]
表1
下面是DNS的三种安全级别,我们可根据单位实际情况,选择DNS 安全配置级别,增加企业的 DNS 安全性。
[b]1、低级安全性[/b]
低级安全性是一种标准的 DNS 部署,不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
企业的 DNS 结构完全暴露给 Internet。
标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
所有 DNS 服务器都允许向任何服务器进行区域传输。
所有 DNS 服务器都配置为侦听其所有 IP 地址。
在所有 DNS 服务器上禁用防止缓存污染。
允许对所有 DNS 区域进行动态更新。
用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
[b]2、中级安全性[/b]
中级安全性使用可用的 DNS 安全功能,不在域控制器上运行 DNS 服务器,也不在 Active Directory 中存储 DNS 区域。
企业的 DNS 结构有限暴露给 Internet。
所有 DNS 服务器在本地都无法解析名称时,将其配置为使用转发器指向内部 DNS 服务器的特定列表。
所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
配置 DNS 服务器在指定的 IP 地址上侦听。
在所有 DNS 服务器上已启用缓存污染防止。
不允许对任何 DNS 区域进行动态更新。
内部 DNS 服务器通过防火墙与外部 DNS 服务器通信,该防火墙具有所允许的源和目标地址的有限列表。
防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
所有 Internet 名称解析都使用代理服务器和网关执行。
[b]3、高级安全性[/b]
高级安全性使用与中级安全性相同的配置,DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时,也使用可用的安全功能。此外,高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置,但是,每当不需要 Internet 连接时,则建议使用该配置。
企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
企业网络使用内部 DNS 根目录和名称空间,其中对于 DNS 区域的所有权限都是内部的。
配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
配置 DNS 服务器在指定的 IP 地址上侦听。
在所有 DNS 服务器上已启用缓存污染防止。
内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示,这些服务器主持企业内部名称空间的根目录区域。
所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL),只允许特定个人在 DNS 服务器上执行管理任务。
所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
为 DNS 区域配置了安全的动态更新,顶级和根目录区域除外,它们根本不允许进行动态更新。
[b]1、保证 DNS 部署的安全[/b]
设计 DNS 服务器部署时,应采用下列 DNS 安全准则:
如果不需要企业网络主机来解析 Internet 上的名称,应取消与 Internet 的 DNS 通信。
在该 DNS 设计中,可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同,内部 DNS 服务器为根域和顶级域主持区域。
在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
在该 DNS 设计中,企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如,如果企业单位的 Internet DNS 名称空间是 ghq.com,企业网络的内部 DNS 名称空间是 corp.ghq.com。
在内部 DNS 服务器上主持内部 DNS 名称空间,在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
要解析内部主机进行的外部名称查询,内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
配置数据包筛选防火墙,以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
这将便于内部和外部 DNS 服务器间的通信,并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
[b]2、保护 DNS 服务器服务[/b]
要保护企业网络中的 DNS 服务器的安全,请采用下列准则:
检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。(如表2所示)
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.14.8.2.jpg[/img]
表2
管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ,除了影响上述安全性的默认 DNS 服务器服务设置外,配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时,对于 DNS 服务器服务的默认组或用户名和权限。
[img]http://windows.chinaitlab.com/imgfiles/2005.8.1.14.29.27.8.3.jpg[/img]
表3
DNS 服务器服务在域控制器上运行时,可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同,建议采用后一种方法。这样,Active Directory 对象和 DNS 服务器的安全管理员应直接联系,以确保管理员不会颠倒彼此的安全设置。
应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大,并能提供包括 Active Directory 的各种功能,Active Directory 是域、用户帐户和其他重要安全功能所需要的。
[b]3、保护 DNS 区域[/b]
DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义:
配置安全的动态更新。
默认情况下,“动态更新”设置未被配置为允许动态更新。这是最安全的设置,因为它能够防止攻击者更新 DNS 区域,但是,该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据,应将 DNS 区域存储在 Active Directory 中,并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机,同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
限制区域传输
页:
[1]
2