童话

分离的DNS服务及其部署（组图）
　　内容概要：当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能正常的访问这些服务。这个时候，你可能需要在你的网络中部署分离的DNS服务。
　　
　　当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能访问这些服务，Why？
　　
　　如下图所示，内部网络地址范围为10.2.1.0/24，在ISA上对Internet发布了内部网络中Web服务器（10.2.1.5）上的Web站点
www.isacn.org
，在Internet的DNS服务器上解析
www.isacn.org
为ISA服务器的外部IP地址39.1.1.8。
　　
　

　　此时，外部Internet上的客户（39.1.1.9）可以正常的访问ISA防火墙上发布的Web站点
www.isacn.org
，
　　
　

　　但是内部网络中的SNat客户（10.2.1.9）却不可以，
　　
　

　　为什么呢？
　　
　　内部网络中的SNat客户（10.2.1.9）和外部的客户（39.1.1.9）使用的是相同的DNS服务器（39.1.1.9），当内部的SNat客户（10.2.1.9）解析域名
www.isacn.org
时，结果和外部客户（39.1.1.9）一样，是ISA防火墙的外部接口IP地址39.1.1.8。于是，内部SNat客户（10.2.1.9）向ISA防火墙的外部接口（39.1.1.8）发起连接，当ISA防火墙接收到此连接请求时，会根据发布规则的设置转发给内部网络中的Web服务器（10.2.1.5）。
　　
　　问题的关键在于，此时Web服务器（10.2.1.5）直接对SNat客户（10.2.1.9）的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址（10.2.1.9），Web服务器（10.2.1.5）识别出此IP地址（10.2.1.9）和自己位于相同的子网内，所以直接向此IP地址发送连接响应。但是Snat客户计算机（10.2.1.9）会丢弃Web服务器（10.2.1.5）直接发送给它的连接响应，因为它的连接请求是发送到ISA防火墙的外部IP地址（39.1.1.8）而不是Web服务器的IP地址（10.2.1.5）。对于Snat客户计算机而言，Web服务器发送给它的连接响应不是它发起的，所以它会丢弃此连接响应。
　　
　　解决此问题的办法有两种：
　　
　　第一种方法是在ISA防火墙的服务发布规则中，设置连接请求显示为从ISA防火墙发起，如下图所示：
　　
　

　　但是这样会导致两个问题：
　　
　　被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙，这样不能做日志分析和统计；
　　
　　出现了网络访问回环，这样会极大的降低ISA防火墙的性能；
　　
　　所以，不推荐使用此办法。
　　
　　第二种方法就是使用分离的DNS服务（Split dns）。顾名思义，分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户，使用Internet上的DNS服务，解析域名到ISA防火墙的外部接口的IP地址上；而对于内部客户，使用内部网络中的DNS服务，将此域名解析到内部网络中对应的服务器IP地址上，这样当内部网络中的客户访问此服务时，就不再需要通过ISA防火墙进行中转而直接进行访问。
　　
　　下图中所示就是分离的DNS服务结构，在内部网络中，增加了一台DNS服务器，并且配置内部网络中的客户使用此DNS服务；
　　
　

　　此时，通过将名字解析为对应服务器的内部网络中的IP地址，内部网络中的客户就可以正常的访问内部网络中的服务了。
　　

注释掉的------>分离的DNS服务及其部署（组图）
　　内容概要：当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能正常的访问这些服务。这个时候，你可能需要在你的网络中部署分离的DNS服务。
　　
　　当你对Internet发布了内部网络中的服务时，可能你的用户会有抱怨：远程客户可以正常的访问你发布到Internet的服务，但是位于内部网络的用户却不能访问这些服务，Why？
　　
　　如下图所示，内部网络地址范围为10.2.1.0/24，在ISA上对Internet发布了内部网络中Web服务器（10.2.1.5）上的Web站点

www.isacn.org

，在Internet的DNS服务器上解析

www.isacn.org

为ISA服务器的外部IP地址39.1.1.8。
　　
　

　　此时，外部Internet上的客户（39.1.1.9）可以正常的访问ISA防火墙上发布的Web站点

www.isacn.org

，
　　
　

　　但是内部网络中的SNat客户（10.2.1.9）却不可以，
　　
　

　　为什么呢？
　　
　　内部网络中的SNat客户（10.2.1.9）和外部的客户（39.1.1.9）使用的是相同的DNS服务器（39.1.1.9），当内部的SNat客户（10.2.1.9）解析域名

www.isacn.org

时，结果和外部客户（39.1.1.9）一样，是ISA防火墙的外部接口IP地址39.1.1.8。于是，内部SNat客户（10.2.1.9）向ISA防火墙的外部接口（39.1.1.8）发起连接，当ISA防火墙接收到此连接请求时，会根据发布规则的设置转发给内部网络中的Web服务器（10.2.1.5）。
　　
　　问题的关键在于，此时Web服务器（10.2.1.5）直接对SNat客户（10.2.1.9）的连接请求发出响应。ISA防火墙转发给Web服务器的连接请求的源地址是内部SNat客户的IP地址（10.2.1.9），Web服务器（10.2.1.5）识别出此IP地址（10.2.1.9）和自己位于相同的子网内，所以直接向此IP地址发送连接响应。但是Snat客户计算机（10.2.1.9）会丢弃Web服务器（10.2.1.5）直接发送给它的连接响应，因为它的连接请求是发送到ISA防火墙的外部IP地址（39.1.1.8）而不是Web服务器的IP地址（10.2.1.5）。对于Snat客户计算机而言，Web服务器发送给它的连接响应不是它发起的，所以它会丢弃此连接响应。
　　
　　解决此问题的办法有两种：
　　
　　第一种方法是在ISA防火墙的服务发布规则中，设置连接请求显示为从ISA防火墙发起，如下图所示：
　　
　

　　但是这样会导致两个问题：
　　
　　被访问的服务器上的日志记录中的客户IP地址全部为ISA防火墙，这样不能做日志分析和统计；
　　
　　出现了网络访问回环，这样会极大的降低ISA防火墙的性能；
　　
　　所以，不推荐使用此办法。
　　
　　第二种方法就是使用分离的DNS服务（Split dns）。顾名思义，分离的DNS服务就是为外部客户和内部客户分别使用不同的DNS服务。对于外部的客户，使用Internet上的DNS服务，解析域名到ISA防火墙的外部接口的IP地址上；而对于内部客户，使用内部网络中的DNS服务，将此域名解析到内部网络中对应的服务器IP地址上，这样当内部网络中的客户访问此服务时，就不再需要通过ISA防火墙进行中转而直接进行访问。
　　
　　下图中所示就是分离的DNS服务结构，在内部网络中，增加了一台DNS服务器，并且配置内部网络中的客户使用此DNS服务；
　　
　

　　此时，通过将名字解析为对应服务器的内部网络中的IP地址，内部网络中的客户就可以正常的访问内部网络中的服务了。
　　

童话

Windows Server 2003下DNS架设攻略
　　DNS简单地说，就是Domain Name System（域名系统）。在一个以TCP/IP协议为主的网络环境中，DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名（Domain Name）与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS，而如果你还处在学习阶段，那本文可以起到指导的作用。
　　
　　一、 环境假设：
　　
　　假设我们要建立一台应用于企业以下情况的主域名服务器
　　
　　企业IP地址网段为：192.168.0.1~192.168.0.254
　　主域服务器IP地址为：192.168.0.1
　　主机名为：dns.firstserver.com
　　等待解析的服务有：
　　
　　
www.firstserver.com
(IP地址指定为192.168.0.2) ----Web服务器
　　Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
　　Ftp.firstserver.com（IP地址指定为192.168.0.4）---FTP服务器
　　
　　二、 正向域名解析服务的实现。
　　
　　Windows2003默认已安装DNS服务，依次选择“开始”－“程序”－“管理工具”－“DNS”打开。
　　
　　一般我们就分别创建正向和反向查找区域，因为DNS不光是域名到IP的解析（正向查找），也包括IP到域名（反向查找）。
　　
　　1． 建立“firstserver.com”主区域名。
　　在本机服务器名上点右键，选择“新建区域”，打开向导窗口后点下一步；在“区域类型”窗口里选择“主要区域”；再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口，此步是要输入欲解析的区域名，即www后面部分。
　　
　

　　接着会提示你创建区域文件，我们按其默认文件名点下一步；在“动态更新”窗口中，考虑到此DNS服务的安全性，一般按其默认“不允许动态更新”，当然如果已在服务端加装了硬件防火墙等安全措施，则可以选择“允许动态更新”；最后单击完成即可。
　　
　　2． 新建主机。
　　
　　在管理界面左框内右击刚才建立的区域名firstserver，选择“新建主机”；在如下图所示“新建主机”窗口的名称栏输入www，IP地址改为本文开头例中的WEB服务器地址192.168.0.2，单击“添加主机”返回管理界面，即可看到已成功地创建了主机地址记录“
www.firstserver.com
”。
　　
　

　　3． 其它相关服务地址记录的实现。
　　
　　除了WWW服务，本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务：
　　方法一：在左边树形目录里右击刚建好的主域名firstserver.com，选择“新建别名（CNAME）”；如下图所示，在“别名”栏内输入mail、FTP等服务名；在目标主机的完全合格域名一栏输入
www.firstserver.com
即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
　　
　

　　方法二：即分别为每种服务建立不同的IP地址指向，本文开头例中也是这样。即依照建立WWW服务的步骤进行，再输入相对应的IP地址就行了。下图所示中，mail服务即用别名方式建立，FTP服务跟建立WWW服务一样采用“新建主机”而建。
　　
　

　　
　　三、 反向查找的实现。
　　
　　即实现IP地址到域名的转换。基本建立步骤跟正向查找类似，在出现如下图所示窗口时，“网络ID”一栏是要输入欲建立反向查找的服务器网段，本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里，即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
　　
　

　　接着在此名称上点右键选“新建指针（PTR）”，在如下图所示窗口里，“主机IP号”就是IP地址的最后一位，如本例中的WWW服务IP地址最后一位为2；“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“
www.firstsever.com
”，点确定即可。通过反向区域名的建立，简单的讲在浏览器里输入192.168.0.2也可到达
www.firstsever.com
。
　　

　　最后提示：请大家记住，DNS服务器只提供域名和IP地址的映射工作，而那个域名究竟用来做什么，是由其对应的IP地址所绑定的相关服务器（如FTP、E-mail等）来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”，如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址，即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器！
　　
　　另外，上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话，在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名，且要有一个固定的公网IP地址。只要满足这两个条件，其它步骤就跟在局域网的配置一样了注释掉的------>Windows Server 2003下DNS架设攻略
　　DNS简单地说，就是Domain Name System（域名系统）。在一个以TCP/IP协议为主的网络环境中，DNS是一个非常重要而且常用的系统。其主要的功能就是将我们容易记忆的网址域名（Domain Name）与不容易记忆的IP地址作自动解析互换。有过windows操作DNS配置的朋友也一定会用windows2003的DNS，而如果你还处在学习阶段，那本文可以起到指导的作用。
　　
　　一、 环境假设：
　　
　　假设我们要建立一台应用于企业以下情况的主域名服务器
　　
　　企业IP地址网段为：192.168.0.1~192.168.0.254
　　主域服务器IP地址为：192.168.0.1
　　主机名为：dns.firstserver.com
　　等待解析的服务有：
　　
　　

www.firstserver.com

(IP地址指定为192.168.0.2) ----Web服务器
　　Mail.firstserver.com (IP地址指定为192.168.0.3) ---E-Mai
　　Ftp.firstserver.com（IP地址指定为192.168.0.4）---FTP服务器
　　
　　二、 正向域名解析服务的实现。
　　
　　Windows2003默认已安装DNS服务，依次选择“开始”－“程序”－“管理工具”－“DNS”打开。
　　
　　一般我们就分别创建正向和反向查找区域，因为DNS不光是域名到IP的解析（正向查找），也包括IP到域名（反向查找）。
　　
　　1． 建立“firstserver.com”主区域名。
　　在本机服务器名上点右键，选择“新建区域”，打开向导窗口后点下一步；在“区域类型”窗口里选择“主要区域”；再接着勾选“正向查找区域”点下一步进入如图1所示的“区域名称”窗口，此步是要输入欲解析的区域名，即www后面部分。
　　
　

　　接着会提示你创建区域文件，我们按其默认文件名点下一步；在“动态更新”窗口中，考虑到此DNS服务的安全性，一般按其默认“不允许动态更新”，当然如果已在服务端加装了硬件防火墙等安全措施，则可以选择“允许动态更新”；最后单击完成即可。
　　
　　2． 新建主机。
　　
　　在管理界面左框内右击刚才建立的区域名firstserver，选择“新建主机”；在如下图所示“新建主机”窗口的名称栏输入www，IP地址改为本文开头例中的WEB服务器地址192.168.0.2，单击“添加主机”返回管理界面，即可看到已成功地创建了主机地址记录“

www.firstserver.com

”。
　　
　

　　3． 其它相关服务地址记录的实现。
　　
　　除了WWW服务，本文开头例中还有FTP及Mail服务。有两种方法继续添加其它服务：
　　方法一：在左边树形目录里右击刚建好的主域名firstserver.com，选择“新建别名（CNAME）”；如下图所示，在“别名”栏内输入mail、FTP等服务名；在目标主机的完全合格域名一栏输入

www.firstserver.com

即可。此方法意为其它相关服务与WWW服务共用192.168.0.2这个IP地址。
　　
　

　　方法二：即分别为每种服务建立不同的IP地址指向，本文开头例中也是这样。即依照建立WWW服务的步骤进行，再输入相对应的IP地址就行了。下图所示中，mail服务即用别名方式建立，FTP服务跟建立WWW服务一样采用“新建主机”而建。
　　
　

　　
　　三、 反向查找的实现。
　　
　　即实现IP地址到域名的转换。基本建立步骤跟正向查找类似，在出现如下图所示窗口时，“网络ID”一栏是要输入欲建立反向查找的服务器网段，本例为192.168.0.X。其它步骤按前面所述进行后即可完成。在管理界面左边树形目录里，即可看到反向查找区域一栏已多了“0.168.192.in-addr.arpa.dns”的区域文件名。
　　
　

　　接着在此名称上点右键选“新建指针（PTR）”，在如下图所示窗口里，“主机IP号”就是IP地址的最后一位，如本例中的WWW服务IP地址最后一位为2；“主机名”一栏通过点击“浏览”选择在正向查找区域中建立的主机记录“

www.firstsever.com

”，点确定即可。通过反向区域名的建立，简单的讲在浏览器里输入192.168.0.2也可到达

www.firstsever.com

。
　　

　　最后提示：请大家记住，DNS服务器只提供域名和IP地址的映射工作，而那个域名究竟用来做什么，是由其对应的IP地址所绑定的相关服务器（如FTP、E-mail等）来决定的。比如我们在本机已安装上例中的E-mail服务器并指定了其IP地址指向“192.168.0.3”，如果我们在DNS服务器中一同将其它相关服务的域名如ftp.firstsever.com等都指向此IP地址，即是说我们不管是用此IP地址或此三个域名中的任何一个都可以访问到这个E-mail服务器！
　　
　　另外，上文讲的都是建立在局域网中的DNS过程。而如果我们要建立互联网上域名的DNS映射记录的话，在DNS服务器中配置的所有域名都要是在internet中经过注册的合法域名，且要有一个固定的公网IP地址。只要满足这两个条件，其它步骤就跟在局域网的配置一样了

童话

详细讲解如何谨慎架设DNS服务器
　　由于企业办公需要，笔者在局域网内部署了DNS服务器，所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域，供企业员工访问内部网站需要。
　　
　　但经测试，用户可以正常访问企业内部网，但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后，就可访问Internet上的网站，但又不能访问企业内部网站了。然而，为了节省经费，“rtj.net”域并没有在公网的DNS服务器上进行注册，只能靠企业网内部DNS服务器进行解析，难道没有一个两全其美的办法吗?
　　
　　分析
　　DNS（Domain Name Server）是一个巨大的分布式数据库，它通过域名服务器提供一个指定域的信息来实现域名的解析，域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的，因此DNS系统采用树形结构，将不同层次域的域名信息分别存储在不同的域名服务器中，最高层为根域服务器。
　　
　　如要解析名为
www.fyssz.net
的域名，客户机首先要与本地域名服务器联系，如果查不到该域名信息，本地域名服务器会向根域服务器发送一个请求，查询
www.fyssz.net
的IP地址，根域服务器发现该域名不属于自己的管辖区，而是属于net下的一个域，它就会通知域名服务器联系net域的域名服务器以获得更多的信息，并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求，直到找到fyssz.net域所属的域名服务器并将
www.fyssz.net
的IP地址信息返回给客户。
　　
　　由于笔者在局域网内的DNS服务器中创建了根域和net域，所以当DNS服务器收到不能解析的域名时，会错误地认为自己就是根域服务器，而无法找到Internet中真正的根域服务器，因此就会出现客户机不能使用域名访问网站的问题。
　　
　　解决办法
　　首先在DNS服务器中删除根域、net域和rtj.net域，然后再重新创建一个rtj.net域，创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外，应该尽量少创建域，防止DNS服务器错误解析域名或无法解析。注释掉的------>详细讲解如何谨慎架设DNS服务器
　　由于企业办公需要，笔者在局域网内部署了DNS服务器，所有客户机上的DNS服务器地址参数都设置为该服务器的IP地址。并且还在DNS服务器中新建了一个名为“rtj.net”的域，供企业员工访问内部网站需要。
　　
　　但经测试，用户可以正常访问企业内部网，但访问Internet上的网站时就会出现问题。笔者将客户机的DNS服务器地址修改为公网DNS服务器的IP地址后，就可访问Internet上的网站，但又不能访问企业内部网站了。然而，为了节省经费，“rtj.net”域并没有在公网的DNS服务器上进行注册，只能靠企业网内部DNS服务器进行解析，难道没有一个两全其美的办法吗?
　　
　　分析
　　DNS（Domain Name Server）是一个巨大的分布式数据库，它通过域名服务器提供一个指定域的信息来实现域名的解析，域名服务器负责将域名转换为IP地址。将Internet中的所有域名信息都放在同一台计算机中是不可能的，因此DNS系统采用树形结构，将不同层次域的域名信息分别存储在不同的域名服务器中，最高层为根域服务器。
　　
　　如要解析名为

www.fyssz.net

的域名，客户机首先要与本地域名服务器联系，如果查不到该域名信息，本地域名服务器会向根域服务器发送一个请求，查询

www.fyssz.net

的IP地址，根域服务器发现该域名不属于自己的管辖区，而是属于net下的一个域，它就会通知域名服务器联系net域的域名服务器以获得更多的信息，并发给本地域名服务器一个所有net域名服务器的地址列表。接着本地域名服务器会继续向这些服务器发送解析请求，直到找到fyssz.net域所属的域名服务器并将

www.fyssz.net

的IP地址信息返回给客户。
　　
　　由于笔者在局域网内的DNS服务器中创建了根域和net域，所以当DNS服务器收到不能解析的域名时，会错误地认为自己就是根域服务器，而无法找到Internet中真正的根域服务器，因此就会出现客户机不能使用域名访问网站的问题。
　　
　　解决办法
　　首先在DNS服务器中删除根域、net域和rtj.net域，然后再重新创建一个rtj.net域，创建这个域是为了让客户机能够正常访问企业内部网站。同时注意除了企业内部网站所必须的域以外，应该尽量少创建域，防止DNS服务器错误解析域名或无法解析。

童话

个人服务器之Win2000 DNS服务器的设置
一、DNS概述
　　计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址，那为什么当我们打开浏览器，在地址栏中输入如“
www.abc.com
”的域名后，就能看到我们所需要的页面呢？这是在我们输入域名后，有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出那个IP地址所对应的网页，最后再传回给我们的浏览器，我们才能得到结果。
　　
　　DNS是域名系统 (Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。
　　
　　所以，我们想要我们自己内部网上的域名能成功地被解析（即翻译成IP地址），就需要将我们自己的2K机建立成一个DNS服务器，里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录，A是Address的简写，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。
　　
　　二、DNS的设置
　　1、打开DNS控制台：选“开始菜单→程序→管理工具→DNS”。
　　
　　2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
　　
　　①建立“com”区域：选“DNS→WY（你的服务器名）→正向搜索区域→右键→新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图：
　　
　

　　②建立“abc”域：选“com→右键→新建域”，在“键入新域名”处输入“abc”。
　　
　　③建立“admin”主机。选“abc→右键→新建主机”，“名称”处为“admin”，“IP地址”处输入“192.168.0.50”，再按“添加主机”。
　　
　

　　3、建立域名“
www.abc.com
”映射IP地址“192.168.0.48”的主机记录。
　　
　　①由于域名“
www.abc.com
”和域名“admin.abc.com”均位于同一个“区域”和“域”中，均在上步已建立好，因此应直接使用，只需再在“域”中添加相应“主机名”即可。
　　
　　②建立“www”主机：选“abc→右键→新建主机”，在“名称”处输入“www”，“IP地址”处输入“192.168.0.48”，最后再“添加主机”即可。
　　
　　4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
　　
　　5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同，只是必须保持“名称”一项为空！建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示：
　　
　

　　6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示：
　　
　

　　7、建立时也有可以采用将“abc.com”整个作为“区域”，然后在它下面直接建立“主机”的作法。不过对于同类记录较多时，这种方法显得较为不便。
　　
　　三、DNS设置后的验证
　　为了测试所进行的设置是否成功，通常采用2K自带的“ping”命令来完成。格式如“ping
www.abc.com
”。成功的测试如下图所示：
　　

注释掉的------>个人服务器之Win2000 DNS服务器的设置
一、DNS概述
　　计算机在网络上通讯时只能识别如“192.168.0.48”之类的数字地址，那为什么当我们打开浏览器，在地址栏中输入如“

www.abc.com

”的域名后，就能看到我们所需要的页面呢？这是在我们输入域名后，有一种“DNS服务器”的计算机自动把我们的域名“翻译”成了相应的IP地址，然后调出那个IP地址所对应的网页，最后再传回给我们的浏览器，我们才能得到结果。
　　
　　DNS是域名系统 (Domain Name System)的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。DNS 命名用于TCP/IP网络，如Internet，用来通过用户友好的名称定位计算机和服务。当用户在应用程序中输入DNS 名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。
　　
　　所以，我们想要我们自己内部网上的域名能成功地被解析（即翻译成IP地址），就需要将我们自己的2K机建立成一个DNS服务器，里面包含有我们的域名和IP地址之间的映射表。这通常需要建立一种A记录，A是Address的简写，意为“主机记录”或“主机地址记录”，是所有DNS记录中最常见的一种。
　　
　　二、DNS的设置
　　1、打开DNS控制台：选“开始菜单→程序→管理工具→DNS”。
　　
　　2、建立域名“admin.abc.com”映射IP地址“192.168.0.50”的主机记录。
　　
　　①建立“com”区域：选“DNS→WY（你的服务器名）→正向搜索区域→右键→新建区域”，然后根据提示选“标准主要区域”、在“名称”处输入“com”。如下图：
　　
　

　　②建立“abc”域：选“com→右键→新建域”，在“键入新域名”处输入“abc”。
　　
　　③建立“admin”主机。选“abc→右键→新建主机”，“名称”处为“admin”，“IP地址”处输入“192.168.0.50”，再按“添加主机”。
　　
　

　　3、建立域名“

www.abc.com

”映射IP地址“192.168.0.48”的主机记录。
　　
　　①由于域名“

www.abc.com

”和域名“admin.abc.com”均位于同一个“区域”和“域”中，均在上步已建立好，因此应直接使用，只需再在“域”中添加相应“主机名”即可。
　　
　　②建立“www”主机：选“abc→右键→新建主机”，在“名称”处输入“www”，“IP地址”处输入“192.168.0.48”，最后再“添加主机”即可。
　　
　　4、建立域名“ftp.abc.com”映射IP地址“192.168.0.49”的主机记录方法同上。
　　
　　5、建立域名“abc.com”映射IP地址“192.168.0.48”的主机记录方法也和上述相同，只是必须保持“名称”一项为空！建立好后它的“名称”处将显示“与父文件夹相同”。建立好的DNS控制台如下图所示：
　　
　

　　6、建立更多的主机记录或其他各种记录方法类似。更多的建立后如下图所示：
　　
　

　　7、建立时也有可以采用将“abc.com”整个作为“区域”，然后在它下面直接建立“主机”的作法。不过对于同类记录较多时，这种方法显得较为不便。
　　
　　三、DNS设置后的验证
　　为了测试所进行的设置是否成功，通常采用2K自带的“ping”命令来完成。格式如“ping

www.abc.com

”。成功的测试如下图所示：
　　

童话

DNS专题(14)---Windows客户端的配置和解析①
　　本章内容包括：
　　客户端的TCP/IP属性：介绍了对不同的客户端如何开始客户端配置程序。
　　配置客户端使用DHCP协议：DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
　　配置客户端使用DNS：介绍了如何配置windows 客户端使用DNS。
　　理解客户端对windows 解析器的使用：讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
　　其他的客户端支持信息：讨论了一些更深层的事务：WINSproxies，MS-DOS的TCP/IP-32升级，以及NetBT注册表设置。
　　windows 客户端可以使用几种方法解析名字，具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议，但本章主要讲TCP/IP的配置，因为使用DNS要求TCP/IP协议。
　　14.1客户端的TCP/IP属性
　　本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
　　在windows NT4.0中步骤如下（windows 95/98也类似）：
　　1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
　　2)选择”Protocol”选项卡，然后在列表框中选中TCP/IP协议使之处于高亮态。
　　3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框，或在其他操作系统中的一个类似的对话框。
　　在windows 2000 中步骤稍有不同，具体如下：
　　1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击，还可右键单击桌面上的网上邻居图标并选择“Properties”。
　　2)选择名为“LocalAreaConnection”的对象，右键单击后选择“Properties”以打开局域网连接属性窗口。（本地连接对象的名字可能被更改过，但并无影响）。
　　3)在局域网连接属性对话框中，选择列表框中的TCP/IP协议使之处于高亮态。
　　4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
　　图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置，尤其是单击“Advanced”按钮后可访问的属性设置。为了方便，该对话框被称作TCP/IP属性窗口。
　　　

　　14.2配置客户端使用DHCP协议
　　配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用（本章后续部分将涉及DNS和WINS设置）。在诊断DHCP客户端的问题时，最好记住这一点并检查DHCP设置是否被重置。
　　对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP：
　　windows 2000 服务器和工作站。
　　windows NT服务器3.5，3.51和4.0。
　　windows NT工作站3.5,3.51和4.0。
　　windows 95和98。
　　windows forWorkgroups3.1（要求安装了微软TCP/IP-32forwindows forworkgroups）。
　　MSNetworkClient3.0forMS-DOS（要求安装实模式下的TCP/IP－32驱动程序）。
　　LANManager2.2C（不包括LANManagerforOS/2）。
　　Solaris2.X和7。
　　Linux（所有最近的版本）。
　　要启用windows 2000 DHCP客户端，必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP，可按以下步骤：
　　1)打开TCP/IP属性对话框。
　　2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
　　3)此时IP地址和子网掩码框都失效（变灰），手动配置的值也不再显示。在windows 2000 中，新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
　　4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中，单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置，最好检查一下以前的设置（尤其是WINS和DNS设置）是否已删掉。
　　5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
　　6)再次选择“OK”。对windows 2000 ，一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息，它很可能能提供所有的一般选项，但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互，另一个是选项81的用户类，最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义，可与windows 2000 的客户端互操作，但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端，则DHCP服务器必须支持以下DHCP选项：
　　044WINS/NBNS服务器，配置有一个或多个WINS服务器的IP地址。
　　046WINS/NBT节点类型集为0X1(b-节点)，0X2(p节点)，0X4(m节点)或0X8(h节点)。
　　参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
　　14.3配置客户端使用DNS
　　从前面几章已经知道，DNS提供分布式数据库，数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
　　对低级的客户端，DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射，除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似，都提供名字服务，但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作，只要该DNS服务器被配置为使用WINS。当启用动态更新时，windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力，这些系统利用了基于机器注册的标准方法。
　　在各种情况下，客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成，也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的，解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务，当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
　　14.3.1为DNS设置主机名和域名
　　在低级的操作系统中设定主机名和域名，应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
　　在windows 2000 中，这些设置略有不同，这也反映了windows 2000 中DNS的重要地位。如图14-2所示，在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
　　

　　要设置windows 2000 中的机器的DNS标识，按以下步骤操作：
　　1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
　　2)选择网络标识选项卡。
　　3)在计算机名字区输入该机的DNS名。
　　4)单击“Properties”打开标识改变对话框。
　　5)单击“More”打开DNS后缀和NetBIOS名字对话框。
　　6)输入该机正确的主DNS后缀。
　　7)当windows 2000 域和DNS保持一致的情况下，当域中主机的域成员关系改变后要改变主DNS后缀。
　　8)单击“OK”然后重启。（此处是windows 2000 仅剩的仍然需要重启的几个地方之一）。
　　DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS，A记录和可能的PTR记录将用全域名创建（除非其他的设置改变了这种行为）。在低级的系统中，DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中，情况却有所不同，大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时，windows 2000 客户端的DNS记录是由DNS管理员控制的，当注册是动态时，这些记录由客户端的DNS配置决定。注释掉的------>DNS专题(14)---Windows客户端的配置和解析①
　　本章内容包括：
　　客户端的TCP/IP属性：介绍了对不同的客户端如何开始客户端配置程序。
　　配置客户端使用DHCP协议：DHCP可用来配置客户端的所有TCP/IP设置。DHCP发送的配置信息可以当作配置使用或在客户端未明确指定值的时候当作缺省值。
　　配置客户端使用DNS：介绍了如何配置windows 客户端使用DNS。
　　理解客户端对windows 解析器的使用：讨论了配置的设置是如何影响客户端从名字获得IP地址的过程的。
　　其他的客户端支持信息：讨论了一些更深层的事务：WINSproxies，MS-DOS的TCP/IP-32升级，以及NetBT注册表设置。
　　windows 客户端可以使用几种方法解析名字，具体使用的方法取决于配置。本章介绍了如何配置客户端在DNS服务器上解析主机名和在WINS服务器上解析NetBIOS名。此外还介绍了如何和为什么要配置客户端通过DNS查询NetBIOS计算机名。同时本章介绍了当客户端使用DHCP服务器时怎样才能有效地设置这些配置。客户端可能使用一系列协议，但本章主要讲TCP/IP的配置，因为使用DNS要求TCP/IP协议。
　　14.1客户端的TCP/IP属性
　　本章所涉及的配置都可在客户端系统的TCP/IP属性配置窗口找到。按以下步骤操作可访问TCP/IP属性窗口。
　　在windows NT4.0中步骤如下（windows 95/98也类似）：
　　1)打开网络对话框。可以双击控制面板中的“Network”或者在网上邻居图标上单击右键并选择“Properties”。
　　2)选择”Protocol”选项卡，然后在列表框中选中TCP/IP协议使之处于高亮态。
　　3)单击列表框下的“Propertres”按钮以打开微软的TCP/IP属性对话框，或在其他操作系统中的一个类似的对话框。
　　在windows 2000 中步骤稍有不同，具体如下：
　　1)打开网络和拨号连接对话框。可以在起始菜单的设置部分选择或者在控制面板中双击，还可右键单击桌面上的网上邻居图标并选择“Properties”。
　　2)选择名为“LocalAreaConnection”的对象，右键单击后选择“Properties”以打开局域网连接属性窗口。（本地连接对象的名字可能被更改过，但并无影响）。
　　3)在局域网连接属性对话框中，选择列表框中的TCP/IP协议使之处于高亮态。
　　4)单击列表框下的“Properties”按钮以打开TCP/IP属性对话框。
　　图14-1显示了windows 2000 的TCP/IP属性对话框。本章主要讨论该对话框中的设置，尤其是单击“Advanced”按钮后可访问的属性设置。为了方便，该对话框被称作TCP/IP属性窗口。
　　　

　　14.2配置客户端使用DHCP协议
　　配置客户端使用DHCP协议的一个原因是许多网络中使用DHCP协议传送IP地址和配置设置给客户端。另一个原因是从DHCP服务器接收到的设置信息只有当该设置信息没有在客户端的DNS和WINS设置中指定时才使用（本章后续部分将涉及DNS和WINS设置）。在诊断DHCP客户端的问题时，最好记住这一点并检查DHCP设置是否被重置。
　　对DHCP客户端的唯一要求是客户端所在的计算机的操作系统要支持DHCP。下列操作系统允许客户端使用DHCP：
　　windows 2000 服务器和工作站。
　　windows NT服务器3.5，3.51和4.0。
　　windows NT工作站3.5,3.51和4.0。
　　windows 95和98。
　　windows forWorkgroups3.1（要求安装了微软TCP/IP-32forwindows forworkgroups）。
　　MSNetworkClient3.0forMS-DOS（要求安装实模式下的TCP/IP－32驱动程序）。
　　LANManager2.2C（不包括LANManagerforOS/2）。
　　Solaris2.X和7。
　　Linux（所有最近的版本）。
　　要启用windows 2000 DHCP客户端，必须以管理员身份登录到客户机上。一般在安装微软TCP/IP的过程中启用DHCP。但如果以前就手动配置过TCP/IP，可按以下步骤：
　　1)打开TCP/IP属性对话框。
　　2)在NT4.0中选中标签为“ObtainanIpAddressfromaDHCPServer(从DHCP服务器获得IP地址)”的单选按钮并确定关于DHCP协议的对话框。在windows 2000 中该单选按钮的标签为“ObtainanAddressAutomatically(自动获得IP地址)”。
　　3)此时IP地址和子网掩码框都失效（变灰），手动配置的值也不再显示。在windows 2000 中，新添加的使能单选按钮“ObtainDNSServerAddressAutomatically(自动获得DNS服务器的地址)”使用DHCP提供的值或者手动配置。
　　4)自动设置配置是很一般的。如果不使用的话可现在设置。在windows 2000 中，单击“Advanced”按钮以设置WINS和DNS服务器的地址值。当要改变以前设置好的客户端使之使用自动设置，最好检查一下以前的设置（尤其是WINS和DNS设置）是否已删掉。
　　5)选择“OK”退出TCP/IP属性窗口返回到网络设置窗口或对话框。
　　6)再次选择“OK”。对windows 2000 ，一切都已完成。但对低级的客户端需要重启计算机如果非微软的DHCP服务器被用于向客户端提供IP地址和其他配置信息，它很可能能提供所有的一般选项，但却不能完成windows 2000 的DHCP可完成的一些任务。一个是用动态更新同DNS交互，另一个是选项81的用户类，最后还有NetBIOS和WINS设置。更新DNS的能力是服务器方的配置。选项81正在被定义，可与windows 2000 的客户端互操作，但在其他的DHCP服务器上一般找不到。要支持将所需的WINS配置信息提供给DHCP客户端，则DHCP服务器必须支持以下DHCP选项：
　　044WINS/NBNS服务器，配置有一个或多个WINS服务器的IP地址。
　　046WINS/NBT节点类型集为0X1(b-节点)，0X2(p节点)，0X4(m节点)或0X8(h节点)。
　　参考15章可获得更多关于建立微软DHCP服务器提供服务给windows 客户端的信息。要获得关于节点类型的更多信息请参见第17章。
　　14.3配置客户端使用DNS
　　从前面几章已经知道，DNS提供分布式数据库，数据库中包含可标识Internet主机的层次型域名系统。DNS的详细说明见RFC1034和RFC1035。
　　对低级的客户端，DNS服务器要求配置静态的IP地址以实现域区内从名字到地址的映射，除非使用windows 2000 DHCP服务器或DNS/WINS集成。尽管DNS和WINS很相似，都提供名字服务，但是WINS可以提供动态的名字到地址的映射。所以与WINS集成的DNS比没有动态更新能力的DNS要求少得多的管理工作。低级的客户端在没有windows 2000 DHCP的情况下也是可以通过DNS工作，只要该DNS服务器被配置为使用WINS。当启用动态更新时，windows 2000 客户端可以维护它们在DNS中的相关记录。这些情况影响其他系统利用DNS定位特定机器的能力，这些系统利用了基于机器注册的标准方法。
　　在各种情况下，客户端都要配置为指向一个或多个DNS服务器以定位DNS域名空间中的主机和资源。该配置可以手工完成，也可通过DHCP传送。这些配置是用于配置TCP/IP解析器的，解析器用于定位TCP/IP网络上的资源。如果一台windows 2000 服务器正在运行DHCP服务，当启用动态更新时也要为DHCP服务器配置发送动态DNS更新的目的地。
　　14.3.1为DNS设置主机名和域名
　　在低级的操作系统中设定主机名和域名，应在TCP/IP属性窗口的DNS选项卡中的主机名和域名框中输入。14.3.3一节将更详细地讨论该操作。
　　在windows 2000 中，这些设置略有不同，这也反映了windows 2000 中DNS的重要地位。如图14-2所示，在装了windows 2000 的机器中有一个主DNS标识。本章后面部分将介绍接口可以有特定的DNS标识。
　　

　　要设置windows 2000 中的机器的DNS标识，按以下步骤操作：
　　1)右键单击桌面上我的电脑图标并选择“Properties”或双击控制面板中的系统图标以打开系统属性对话框。
　　2)选择网络标识选项卡。
　　3)在计算机名字区输入该机的DNS名。
　　4)单击“Properties”打开标识改变对话框。
　　5)单击“More”打开DNS后缀和NetBIOS名字对话框。
　　6)输入该机正确的主DNS后缀。
　　7)当windows 2000 域和DNS保持一致的情况下，当域中主机的域成员关系改变后要改变主DNS后缀。
　　8)单击“OK”然后重启。（此处是windows 2000 仅剩的仍然需要重启的几个地方之一）。
　　DNS域名和主机名一起使用以创建计算机的全域名。当windows 2000 被配置为动态的更新DNS，A记录和可能的PTR记录将用全域名创建（除非其他的设置改变了这种行为）。在低级的系统中，DNS域经常与windows NT或LANMonager的域不同。在windows 2000 中，情况却有所不同，大多数新的配置将遵循DNS和windows 2000 域名保持同步的原则。在这些低级系统中的DNS记录及它们所属的域是由DNS管理员或DHCP服务器配置所决定的。当注册是静态时，windows 2000 客户端的DNS记录是由DNS管理员控制的，当注册是动态时，这些记录由客户端的DNS配置决定。

童话

针对中小企业的AD域控与DNS建设方案(图)
　　我们当前所使用的网络，最基本的就是TCP/IP网络（我们平常所涉及到的上网，浏览网页都是使用的这个网络），而TCP/IP网络中最基本的服务就是域名服务，该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址，而这个地址是用数字表示的（就像192.168.1.11等），非常不利于我们人类记忆，那么我们就为这些数字的地址取一个容易记的名字（比如TOM，SINA等），这样我们只要输入这些容易记的名字，他们就自动被翻译成机器理解的IP地址，这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换：Host表、网络信息服务系统（NIS）和域名服务（DNS）。
　　
　　Host表：是简单的文本文件（/etc/hosts文件），其中存放了主机名和IP地址的映射表，它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库，所有的客户机都需要从它这里获得所需的主机表信息，当网络一大时，就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS（Domain Name Server），它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
　　
　　DNS工作原理图：
　　
　

　　DNS系统本身对服务器的要求不是很高，压力不是很重，完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上，DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
　　
　　我们对DNS服务器（包括AD域控制器）进行了性能压力测试，详细的测试过程与结果分析如下：
　　

　　测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
　　
　　DNS服务器测试分析：
　　
　　测试结论：
　　
　　*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
　　
　　*一个有2个处理器和1GB内存全局编录的服务器，可以支持10,000个用户的LDAP和Exchange 2000要求。
　　
　　* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
　　
　　DNS服务器选型建议：
　　
　　网络规模－小型（并发100人左右）
　　
　　建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡（浪潮NP110G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡（浪潮NP110G2）
　　
　　网络规模－中型（并发500人左右）
　　
　　建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡（浪潮NP370G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡（NP370G2）注释掉的------>针对中小企业的AD域控与DNS建设方案(图)
　　我们当前所使用的网络，最基本的就是TCP/IP网络（我们平常所涉及到的上网，浏览网页都是使用的这个网络），而TCP/IP网络中最基本的服务就是域名服务，该服务用来将主机名与IP地址进行转换。我们要访问一台网络上的计算机就要知道它的地址，而这个地址是用数字表示的（就像192.168.1.11等），非常不利于我们人类记忆，那么我们就为这些数字的地址取一个容易记的名字（比如TOM，SINA等），这样我们只要输入这些容易记的名字，他们就自动被翻译成机器理解的IP地址，这样就能访问网络上的计算机了。可以使用三种技术来实现主机名和IP地址之间的转换：Host表、网络信息服务系统（NIS）和域名服务（DNS）。
　　
　　Host表：是简单的文本文件（/etc/hosts文件），其中存放了主机名和IP地址的映射表，它通过在该文件中搜索来匹配主机名和IP地址。但是在一个大型的网络中建立Host表是一件繁琐而又恐怖的事情。而NIS是将主机表当作NIS主机数据库，所有的客户机都需要从它这里获得所需的主机表信息，当网络一大时，就会出现主机名转换为IP时的效率低下问题。而最好的方法就是DNS（Domain Name Server），它使用一种分层的、分布式数据库方式来处理Internet上成千上万个主机和IP地址的转换。
　　
　　DNS工作原理图：
　　
　

　　DNS系统本身对服务器的要求不是很高，压力不是很重，完全可以与Active Directory域控制器统一部署在同一台服务器上。实际上，DNS服务就是Windows Active Directory域控制器的一项最重要的功能。
　　
　　我们对DNS服务器（包括AD域控制器）进行了性能压力测试，详细的测试过程与结果分析如下：
　　

　　测试平台:NF500 4*3.16G/1G/1000M/5*U320 SCSI/RAID5
　　
　　DNS服务器测试分析：
　　
　　测试结论：
　　
　　*一个有4个处理器和1GB内存并集成Windows 2000 Server Active Directory的DNS服务器可以为12,000人提供服务。
　　
　　*一个有2个处理器和1GB内存全局编录的服务器，可以支持10,000个用户的LDAP和Exchange 2000要求。
　　
　　* 一个有4个处理器和512MB内存的域控制服务器可以支持17,000个用户进行登陆和网络验证。
　　
　　DNS服务器选型建议：
　　
　　网络规模－小型（并发100人左右）
　　
　　建议采用P4 2.8GHz/512MB ECC DDRII/1块 SATA硬盘/1000Mbps 网卡（浪潮NP110G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： P4 2.8GHz/1024MB/2块 SATA/RAID0/ 1000Mbps 网卡（浪潮NP110G2）
　　
　　网络规模－中型（并发500人左右）
　　
　　建议采用Xeon 2.8GHz/1024MB ECC DDRII /1 块SCSI硬盘/1000Mbps网卡（浪潮NP370G2）
　　
　　如果DNS服务器集成在域控制器上，建议采用： Xeon 2.8GHz/1024MB ECC DDRII/3块SCSI/RAID5/1000Mbps 网卡（NP370G2）

童话

妙用DNS解析实现防火墙客户的重定向(图)
　　前言：现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。
　　
　　这篇文章里，我将通过两个CASE，讲述使用两者结合的方法解决两个实际问题。
　　
　　声明：这两个CASE都是我近期遇到的问题，其中解决第一个CASE的是我的一个同事，他为我提供了一种新的思路；第二个CASE则是我沿用这种思路，解决新的问题。
　　
　　CASE1：
　　
　　问题描述：Contoso公司的网络环境如下图所示：
　　
　

　　该公司使用ISA 2004作为代理服务器。
　　
　　公司内部网络采用单林单域模式，内部DNS名为contoso.com，在Internet上注册的域名亦为contoso.com。公司有50多台服务器，包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等，其中邮件服务器、OA服务器均为双网卡，而FTP服务器与Web服务器均只有外网卡，数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连，且在Internet上注册有合法的DNS名。
　　
　　公司内部客户机的TCP/IP配置中，将DNS指向内部的DNS服务器，有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度，要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
　　
　　分析存在的问题：OA服务器和邮件服务器数量总和大约在30台，如果一台一台在ISA控制台上设置“访问不通过代理服务器”，工作量较大，且将来添加新服务器时，需要在ISA上添加相应的纪录；另一方面，如果在ISA上直接设置Bypass *.contoso.com，那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和
www.contoso.com
（因为这几台Server没有内网卡）。
　　
　　解决方案：其实解决的方案有很多，但下面这种最简单的不知道你想到没有：
　　
　　在ISA Server上对*.contoso.com进行Bypass，然后在内部DNS为ftp.contoso.com和
www.contoso.com
分别新建两条A纪录，指向各自的外网IP。
　　
　　我们以
www.contoso.com
为例，来考虑一下现在的客户机访问过程：
　　
　　1、用户通过IE访问
www.contoso.com
，通过防火墙客户端向ISA Server发送请求，要求进行解析；
　　
　　2、ISA判定访问此web站点不需要经过ISA Server；
　　
　　3、客户端向内网DNS查询
www.contoso.com
的地址，内部DNS返回这台服务器的外网IP；
　　
　　4、客户端判定IP地址在外网，向ISA发送访问此IP的请求；
　　
　　5、代理服务器通过策略处理，响应请求，连接建立。
　　
　　正如上述过程所描述的，防火墙客户端模式的客户机通过使用内部DNS服务器的解析，实现了对外部资源的访问。
　　
　　请仔细体会一下其中的过程，然后接着看CASE2。
　　
　　CASE2：
　　
　　背景描述：BlueEye公司位于上海，是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后，未对BlueEye的AD架构进行更改，而保持了其原有的内部DNS名：BlueEye.com，只是将其电子邮件名统一为Contoso.com，且要求其通过使用总部的邮件服务器进行邮件的发送与接受，便于邮件的监控。
　　
　　两家公司的网络结构图简单表示如下所示：
　　
　

　　BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件，使用Outlook Express收发邮件，且总部指定其使用的POP3服务器为POP3.contoso.com，SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
　　
　　某日，Contoso通知BlueEye其SMTP.contoso.com突然Down机，正在进行抢修，要求BlueEye的IT部门通知BlueEye的内部用户（1000多人）更改OE的设置，使用SMTP2.contoso.com作为临时的SMTP服务器。
　　
　　分析：如果通知所有用户修改OE设置，等原先的SMTP服务器修复后还需要再更改回来，必定会造成用户的不满；同时，总部的 SMTP2.contoso.com服务器供另一家分公司使用，暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢？
　　
　　解决方案：如果你看过CASE1，应该会有一个思路：能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP，然后再向ISA发送访问请求呢？
　　
　　自然是可以的，方法如下：
　　
　　（1）在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成)，命名为contoso.com
　　
　

　　
　

　　（2）在contoso.com中新建一条A纪录，将SMTP.contoso.com指向61.0.0.2
　　
　

　　（3）在ISA Server上中将SMTP.contoso.com添加到标签Domains中；
　　

　　（4）客户机刷新防火墙策略后，即可成功接收和发送邮件。待smtp服务器修复后，删除所作的更改即可恢复原来的状态，而不需要在客户端进行任何的修改。
　　
　　上述两个CASE，没有用到什么高深的知识，只是通过思路的转变，就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。注释掉的------>妙用DNS解析实现防火墙客户的重定向(图)
　　前言：现在很多公司都使用微软的活动目录对网络进行管理，其中内部DNS服务器是不可或缺的一个组成部分。我们知道，对于ISA的防火墙客户端通过ISA访问网络资源时，其DNS解析由ISA服务器帮助完成，你是否有想过，通过的内部DNS服务器和防火墙客户端结合，能够巧妙的解决很多实际问题。
　　
　　这篇文章里，我将通过两个CASE，讲述使用两者结合的方法解决两个实际问题。
　　
　　声明：这两个CASE都是我近期遇到的问题，其中解决第一个CASE的是我的一个同事，他为我提供了一种新的思路；第二个CASE则是我沿用这种思路，解决新的问题。
　　
　　CASE1：
　　
　　问题描述：Contoso公司的网络环境如下图所示：
　　
　

　　该公司使用ISA 2004作为代理服务器。
　　
　　公司内部网络采用单林单域模式，内部DNS名为contoso.com，在Internet上注册的域名亦为contoso.com。公司有50多台服务器，包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等，其中邮件服务器、OA服务器均为双网卡，而FTP服务器与Web服务器均只有外网卡，数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连，且在Internet上注册有合法的DNS名。
　　
　　公司内部客户机的TCP/IP配置中，将DNS指向内部的DNS服务器，有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度，要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。
　　
　　分析存在的问题：OA服务器和邮件服务器数量总和大约在30台，如果一台一台在ISA控制台上设置“访问不通过代理服务器”，工作量较大，且将来添加新服务器时，需要在ISA上添加相应的纪录；另一方面，如果在ISA上直接设置Bypass *.contoso.com，那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和

www.contoso.com

（因为这几台Server没有内网卡）。
　　
　　解决方案：其实解决的方案有很多，但下面这种最简单的不知道你想到没有：
　　
　　在ISA Server上对*.contoso.com进行Bypass，然后在内部DNS为ftp.contoso.com和

www.contoso.com

分别新建两条A纪录，指向各自的外网IP。
　　
　　我们以

www.contoso.com

为例，来考虑一下现在的客户机访问过程：
　　
　　1、用户通过IE访问

www.contoso.com

，通过防火墙客户端向ISA Server发送请求，要求进行解析；
　　
　　2、ISA判定访问此web站点不需要经过ISA Server；
　　
　　3、客户端向内网DNS查询

www.contoso.com

的地址，内部DNS返回这台服务器的外网IP；
　　
　　4、客户端判定IP地址在外网，向ISA发送访问此IP的请求；
　　
　　5、代理服务器通过策略处理，响应请求，连接建立。
　　
　　正如上述过程所描述的，防火墙客户端模式的客户机通过使用内部DNS服务器的解析，实现了对外部资源的访问。
　　
　　请仔细体会一下其中的过程，然后接着看CASE2。
　　
　　CASE2：
　　
　　背景描述：BlueEye公司位于上海，是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后，未对BlueEye的AD架构进行更改，而保持了其原有的内部DNS名：BlueEye.com，只是将其电子邮件名统一为Contoso.com，且要求其通过使用总部的邮件服务器进行邮件的发送与接受，便于邮件的监控。
　　
　　两家公司的网络结构图简单表示如下所示：
　　
　

　　BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件，使用Outlook Express收发邮件，且总部指定其使用的POP3服务器为POP3.contoso.com，SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。
　　
　　某日，Contoso通知BlueEye其SMTP.contoso.com突然Down机，正在进行抢修，要求BlueEye的IT部门通知BlueEye的内部用户（1000多人）更改OE的设置，使用SMTP2.contoso.com作为临时的SMTP服务器。
　　
　　分析：如果通知所有用户修改OE设置，等原先的SMTP服务器修复后还需要再更改回来，必定会造成用户的不满；同时，总部的 SMTP2.contoso.com服务器供另一家分公司使用，暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢？
　　
　　解决方案：如果你看过CASE1，应该会有一个思路：能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP，然后再向ISA发送访问请求呢？
　　
　　自然是可以的，方法如下：
　　
　　（1）在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成)，命名为contoso.com
　　
　

　　
　

　　（2）在contoso.com中新建一条A纪录，将SMTP.contoso.com指向61.0.0.2
　　
　

　　（3）在ISA Server上中将SMTP.contoso.com添加到标签Domains中；
　　

　　（4）客户机刷新防火墙策略后，即可成功接收和发送邮件。待smtp服务器修复后，删除所作的更改即可恢复原来的状态，而不需要在客户端进行任何的修改。
　　
　　上述两个CASE，没有用到什么高深的知识，只是通过思路的转变，就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。

童话

Windows服务器宝典一式NS调教技巧(图)  　　在管理和维护Windows服务器的过程中，DNS服务的设置和维护是其中重要的一项“功课”，毕竟网络访问的高效与否，与DNS服务的工作性能息息相关！要让DNS服务器始终能为网络访问提供高效服务，自然少不了要掌握一些DNS服务的调教技巧。为此，本文特意总结了这方面的一些技巧，希望它们能对各位有所用处！
　　
　　1、巧妙查询DNS所用端口
　　
　　有时候需要通过防火墙，来阻止服务器随意接受任意工作站的域名解析请求；不过要能实现这个目的，需要事先知道DNS使用了什么端口，以及使用了什么通信协议，然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么，如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢？为此，本文特意为你提供了如下的方法，来快速查询DNS所用端口以及通信协议：
　　
　　首先打开系统的资源管理器窗口，并进入到Windows系统所在的安装磁盘分区，再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹；
　　
　　接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件，从弹出的快捷菜单中执行“打开方式”命令，在随后出现的应用程序选择对话框中，选中“记事本”应用程序，并单击“确定”按钮；
　　
　　在其后出现的文本编辑界面中，依次单击工具栏中的“编辑”/“查找”命令，在打开的查找对话框中，输入关键字“Domain Name”，然后单击“查找下一个”按钮，这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了，如图1所示。从该界面中，你不难看出DNS所用的通信端口号码为53，使用的通信协议包括TCP协议和UDP协议。
　　
　

　　
图1
　　
　　2、快速测试DNS的能力
　　
　　大家知道，DNS服务器在进行域名解析时，通常具有简单查询和递进查询两种方式，其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小，通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么，如何才能快速知道自己搭建的DNS服务器，在简单查询能力和递进查询能力都有效呢？其实很简单，你可以按照下面的步骤来操作就能知道了：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“监视”标签，并在对应的标签页面中（如图2所示），选中简单查询或递进查询测试选项，再单击“立即测试”按钮，就能对DNS服务器能力的进行测试了；
　　
　

　　
图2
　　
　　测试完毕后，你会在对应的窗口中看到具体的结果，例如一旦DNS服务器没有递进查询能力的话，测试结果就会表现为“失败”，要是DNS服务器具有简单查询功能的话，那么测试结果就会表现为“通过”。当然，如果你选中“以下列间隔进行自动测试”复选项选中，同时指定好具体的间隔时间的话，那么Windows服务器系统就会每隔一定的时间，对DNS服务器的简单查询能力或递进查询能力进行自动测试。
　　
　　3、为DNS解析提速
　　
　　输入在IE浏览器地址栏中的网址，是无法帮助我们直接获得想要的资源信息的，它必须通过DNS解析系统，转换成IP地址后才能让我们看到想要的内容。不过，网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前，提前知道了它的IP地址时，就能把该IP地址直接输入在浏览器地址栏中，这样就能
　　
　　跳过层层级级寻找域名服务器的过程，显然这种方式会让访问速度大大提高。可惜的是，我们往往无法提前知道所有的网站IP地址。但是，我们还是可以通过下面的方法，对常用网站的网址进行快速解析：
　　
　　如果你使用的是Windows 98/Me系统的话，那么你可以先将平时访问的网站网址搜集起来，并借助ping命令来得到这些网址的IP地址。例如，要想得到“ycsti.sti.js.cn”网址的IP地址时，你可以依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“ping ycsti.sti.js.cn”，单击“确定”按钮后，你就能从弹出的图3界面中，知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法，你可以轻易地查询得到其他网址的IP地址。
　　
　

　　
图3
　　
　　接着打开系统的资源管理器窗口，进入到Windows系统所在的安装目录，通常为“C:\Windows”(其中“C:”为硬盘的C分区)，然后用记事本应用程序打开一个名为“HOSTS.sam”的文件，并在其后出现的编辑窗口中输入前面整理好的网址和IP地址；当然，在输入这些内容时，一定要保证每一行内容为一条记录，每条记录只能包含网站域名、IP地址以及注释信息三部分，每一部分都需要用空格分开，而且注释部分需要以#号开头；
　　
　　此外，在正式向“HOSTS.sam”文件输入信息时，我们必须先将文档中样板内容选中后删除，再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容，完成所有记录的输入操作后，再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令，在弹出的文件保存对话框中，输入新的文件名为“hosts”（注意，没有扩展名哟），文件保存路径还是“C:\Windows”；
　　
　　到了这里，我们其实就在本地工作站中创建了一个小型DNS解析系统，日后你一旦访问“Hosts”文件中包含的网站域名时，本地计算机就不会花时间去寻找Internet上的DNS服务器，而是直接通过本地的“Hosts”文件，来快速完成指定网站的域名解析任务，从而提高了网站访问的速度。
　　
　　4、快速查看DNS工作状况
　　
　　DNS工作状况的好坏，直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析，必须要及时知道DNS工作状况，以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢？其实很简单，你只要按照下面操作步骤就能轻松做到：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“日志”标签，然后在对应的标签页面中（如图4所示），你可以知道DNS的工作状况全部保存在下面提示的日志文件中；同时你可以在该标签页面中，设置好日志文件需要记录DNS服务在哪些方面的记录，例如是查询方面的、通知方面的，还是应答方面的；
　　
　

　　
图4
　　
　　接着打开系统的资源管理器窗口，并进入到DNS工作日志所在的子文件夹窗口中，再用鼠标双击对应的日志文件，你就能在其后出现的编辑界面中，查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息，根据这些信息你就能大概地知道DNS当前的工作状况了。
　　
　　5、分解Web服务器“负担”
　　
　　大家知道，规模较大的单位局域网通常会包含许多不同的子网，如果这些不同子网的工作站，同时向其中的一台Web服务器发送访问请求的话，该Web服务器的响应速度肯定非常缓慢，严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象，我们可以在局域网中多配置几台Web服务器，让不同的Web服务器只应答本子网内的工作站访问请求，而不要随意应答来自其他子网工作站的访问请求。不过，我们该如何指定不同子网的工作站，去“智能”地访问本子网中的Web服务器，而不去自动访问其他子网中的Web服务器呢？要做到这一点，你必须对局域网中的DNS服务器进行如下的参数设置：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在随后出现的DNS服务器属性设置界面中，单击“高级”标签，然后在图5所示的“服务器选项”设置项处，将“启用循环”复选项选中，这样就能确保多个访问请求被自动分配给不同的Web服务器了。
　　
　

　　
图5
　　
　　为了确保同一子网中的工作站访问请求，能被同一子网中的Web服务器接受，你还需要在“服务器选项”设置项处，选中“启用netmask排序”复选项，如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
　　
　　当然，完成了上面的设置后，你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中，以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录，本文在这里就不累述了。
　　
　　6、DNS转发控制局域网上网
　　
　　局域网中的任何一台工作站需要访问到Internet上的信息，必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时，就能阻止工作站浏览到Internet的内容了。根据这一思路，我们完全可以借助DNS转发功能，来控制整个局域网的上网情况。下面，就让我们一起来看看如何实现对局域网上网情况进行随意控制：
　　
　　首先要确保局域网中的任何一台工作站，只能通过局域网中的特定DNS服务器，与Internet进行连接。要做到这一点，你必须确保每一工作站的网关地址，必须为局域网服务器的IP地址。在这里，假设所有工作站的上网参数事先已经设注释掉的------>Windows服务器宝典一式NS调教技巧(图)  　　在管理和维护Windows服务器的过程中，DNS服务的设置和维护是其中重要的一项“功课”，毕竟网络访问的高效与否，与DNS服务的工作性能息息相关！要让DNS服务器始终能为网络访问提供高效服务，自然少不了要掌握一些DNS服务的调教技巧。为此，本文特意总结了这方面的一些技巧，希望它们能对各位有所用处！
　　
　　1、巧妙查询DNS所用端口
　　
　　有时候需要通过防火墙，来阻止服务器随意接受任意工作站的域名解析请求；不过要能实现这个目的，需要事先知道DNS使用了什么端口，以及使用了什么通信协议，然后才能在防火墙中针对指定的端口和协议进行过滤设置。那么，如何才能快速地知道DNS服务在工作时使用的是什么通信协议以及哪个通信端口呢？为此，本文特意为你提供了如下的方法，来快速查询DNS所用端口以及通信协议：
　　
　　首先打开系统的资源管理器窗口，并进入到Windows系统所在的安装磁盘分区，再依次展开其中的“WinNt”文件夹、“system32”文件夹、“drivers”文件夹、“etc”文件夹；
　　
　　接着用鼠标右键单击“etc”文件夹子窗口中的“services”文件，从弹出的快捷菜单中执行“打开方式”命令，在随后出现的应用程序选择对话框中，选中“记事本”应用程序，并单击“确定”按钮；
　　
　　在其后出现的文本编辑界面中，依次单击工具栏中的“编辑”/“查找”命令，在打开的查找对话框中，输入关键字“Domain Name”，然后单击“查找下一个”按钮，这样你就能在编辑窗口中快速找到域名服务所使用的端口和通信协议了，如图1所示。从该界面中，你不难看出DNS所用的通信端口号码为53，使用的通信协议包括TCP协议和UDP协议。
　　
　

　　
图1
　　
　　2、快速测试DNS的能力
　　
　　大家知道，DNS服务器在进行域名解析时，通常具有简单查询和递进查询两种方式，其中通过简单查询可以知道DNS映射一个IP地址对应名称的能力大小，通过递进查询可以知道DNS映射一个名称对应IP地址的能力大小。那么，如何才能快速知道自己搭建的DNS服务器，在简单查询能力和递进查询能力都有效呢？其实很简单，你可以按照下面的步骤来操作就能知道了：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“监视”标签，并在对应的标签页面中（如图2所示），选中简单查询或递进查询测试选项，再单击“立即测试”按钮，就能对DNS服务器能力的进行测试了；
　　
　

　　
图2
　　
　　测试完毕后，你会在对应的窗口中看到具体的结果，例如一旦DNS服务器没有递进查询能力的话，测试结果就会表现为“失败”，要是DNS服务器具有简单查询功能的话，那么测试结果就会表现为“通过”。当然，如果你选中“以下列间隔进行自动测试”复选项选中，同时指定好具体的间隔时间的话，那么Windows服务器系统就会每隔一定的时间，对DNS服务器的简单查询能力或递进查询能力进行自动测试。
　　
　　3、为DNS解析提速
　　
　　输入在IE浏览器地址栏中的网址，是无法帮助我们直接获得想要的资源信息的，它必须通过DNS解析系统，转换成IP地址后才能让我们看到想要的内容。不过，网址转换成IP地址的过程是一个非常耗时的过程。如果我们能在访问某个网站之前，提前知道了它的IP地址时，就能把该IP地址直接输入在浏览器地址栏中，这样就能
　　
　　跳过层层级级寻找域名服务器的过程，显然这种方式会让访问速度大大提高。可惜的是，我们往往无法提前知道所有的网站IP地址。但是，我们还是可以通过下面的方法，对常用网站的网址进行快速解析：
　　
　　如果你使用的是Windows 98/Me系统的话，那么你可以先将平时访问的网站网址搜集起来，并借助ping命令来得到这些网址的IP地址。例如，要想得到“ycsti.sti.js.cn”网址的IP地址时，你可以依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“ping ycsti.sti.js.cn”，单击“确定”按钮后，你就能从弹出的图3界面中，知道“ycsti.sti.js.cn”网址的对应IP地址了。按照相同的办法，你可以轻易地查询得到其他网址的IP地址。
　　
　

　　
图3
　　
　　接着打开系统的资源管理器窗口，进入到Windows系统所在的安装目录，通常为“C:\Windows”(其中“C:”为硬盘的C分区)，然后用记事本应用程序打开一个名为“HOSTS.sam”的文件，并在其后出现的编辑窗口中输入前面整理好的网址和IP地址；当然，在输入这些内容时，一定要保证每一行内容为一条记录，每条记录只能包含网站域名、IP地址以及注释信息三部分，每一部分都需要用空格分开，而且注释部分需要以#号开头；
　　
　　此外，在正式向“HOSTS.sam”文件输入信息时，我们必须先将文档中样板内容选中后删除，再按照上面的要求在每一行依次输入一个网站的域名和IP地址以及注释内容，完成所有记录的输入操作后，再依次单击记事本编辑窗口菜单栏中的“文件”/“另存为”命令，在弹出的文件保存对话框中，输入新的文件名为“hosts”（注意，没有扩展名哟），文件保存路径还是“C:\Windows”；
　　
　　到了这里，我们其实就在本地工作站中创建了一个小型DNS解析系统，日后你一旦访问“Hosts”文件中包含的网站域名时，本地计算机就不会花时间去寻找Internet上的DNS服务器，而是直接通过本地的“Hosts”文件，来快速完成指定网站的域名解析任务，从而提高了网站访问的速度。
　　
　　4、快速查看DNS工作状况
　　
　　DNS工作状况的好坏，直接与网站访问速度的快慢有联系。要想让DNS服务器高效进行域名解析，必须要及时知道DNS工作状况，以便根据状况好坏来采取相应的维护错误。那么如何才能知道DNS服务器的当前工作状况 呢？其实很简单，你只要按照下面操作步骤就能轻松做到：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在接着打开的DNS服务器属性设置对话框中，单击“日志”标签，然后在对应的标签页面中（如图4所示），你可以知道DNS的工作状况全部保存在下面提示的日志文件中；同时你可以在该标签页面中，设置好日志文件需要记录DNS服务在哪些方面的记录，例如是查询方面的、通知方面的，还是应答方面的；
　　
　

　　
图4
　　
　　接着打开系统的资源管理器窗口，并进入到DNS工作日志所在的子文件夹窗口中，再用鼠标双击对应的日志文件，你就能在其后出现的编辑界面中，查看到DNS在查询方面的、通知方面的、应答方面的所有记录信息，根据这些信息你就能大概地知道DNS当前的工作状况了。
　　
　　5、分解Web服务器“负担”
　　
　　大家知道，规模较大的单位局域网通常会包含许多不同的子网，如果这些不同子网的工作站，同时向其中的一台Web服务器发送访问请求的话，该Web服务器的响应速度肯定非常缓慢，严重的话能导致整个局域网发生信息堵塞现象。要想避免这种现象，我们可以在局域网中多配置几台Web服务器，让不同的Web服务器只应答本子网内的工作站访问请求，而不要随意应答来自其他子网工作站的访问请求。不过，我们该如何指定不同子网的工作站，去“智能”地访问本子网中的Web服务器，而不去自动访问其他子网中的Web服务器呢？要做到这一点，你必须对局域网中的DNS服务器进行如下的参数设置：
　　
　　依次单击“开始”/“程序”/“管理工具”/“DNS”命令，在弹出的DNS服务器管理控制台窗口中，用鼠标右键单击目标DNS服务器，从随后弹出的右键菜单中执行“属性”命令；
　　
　　在随后出现的DNS服务器属性设置界面中，单击“高级”标签，然后在图5所示的“服务器选项”设置项处，将“启用循环”复选项选中，这样就能确保多个访问请求被自动分配给不同的Web服务器了。
　　
　

　　
图5
　　
　　为了确保同一子网中的工作站访问请求，能被同一子网中的Web服务器接受，你还需要在“服务器选项”设置项处，选中“启用netmask排序”复选项，如此一来就能保证任何工作站访问请求只会被本子网中的Web服务器所接受了。
　　
　　当然，完成了上面的设置后，你还需要将不同Web服务器的主机记录添加到DNS服务器管理控制台窗口中，以便让DNS服务器能自动把访问请求分配给它们。至于如何添加Web服务器的主机记录，本文在这里就不累述了。
　　
　　6、DNS转发控制局域网上网
　　
　　局域网中的任何一台工作站需要访问到Internet上的信息，必须通过其中的DNS服务器进行域名解析。如果我们适时地让DNS服务器拒绝工作站的域名解析请求时，就能阻止工作站浏览到Internet的内容了。根据这一思路，我们完全可以借助DNS转发功能，来控制整个局域网的上网情况。下面，就让我们一起来看看如何实现对局域网上网情况进行随意控制：
　　
　　首先要确保局域网中的任何一台工作站，只能通过局域网中的特定DNS服务器，与Internet进行连接。要做到这一点，你必须确保每一工作站的网关地址，必须为局域网服务器的IP地址。在这里，假设所有工作站的上网参数事先已经设

童话

微软交流：关于DNS的不完全总结
　　几年前第一次接触到活动目录的时候，正是领导要求部署活动目录的时候。虽然当时手头上有几本书，但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了，相信不少人和我当年差不多，稀里糊涂的就开始当起了活动目录的管理员。对于DNS，因为安装会提示自动部署，相信很多人都不会在这方面下很多功夫（包括我原来也是）。我为此付出了不少代价－－因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯（显然直接另存是保存不下来的），我保存有关DNS问题的帖子数量，占各种问题的第三位（我也很吃惊）。
　　
　　但是论坛上也没有很系统的关于DNS的总结（这毕竟是一个可以写成一本书的很大的方面）。我通过对自己收藏的帖子和参考书的阅读，加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助，因为我不擅长DNS（在论坛上我也很少给朋友解决DNS问题），所以我想肯定有我写错的地方，我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解（我还是挺有私心的）。
　　
　　闲话少说，书归正传。
　　
　　有过DNS域部署经验的朋友都能感觉到，活动目录的DNS、DHCP和WINS（用的不多了）和NetBios是息息相关的。也是很容易混淆的。所以很麻烦，通常我们开始部署AD的时候是在一个小公司里，大约有几十台电脑的局域网。人员流动不是很频繁，所以的电脑也差不多的天天都开。很少有电脑会换地方，我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子，我们来到一个相对复杂的网络环境时，意识到自己缺乏对DNS的起码常识，怎么办？　为了在遇到难题时能正确表述自己的问题（否则别人想帮你都没办法，除了UP我们更重要的是说清楚自己的问题和听明白高手的意思）那么和我一样从基础开始吧。
　　
　　什么样的DNS系统是一个比较完美的系统呢？DNS服务器的连续性能提供出色的性能，减少WAN的通信，安全性也必须得到保障。
　　
　　我们先从概念开始
　　
　　1.DNS和活动目录关系
　　
　　DNS定义“命名空间”（名字空间）－－－微软把例如“contoso.com”的东东叫命名空间，这个空间内的主机储存在一个“区域文件”（zone file）里－－－主要是一种映射的关系（中学数学就有映射的概念）
　　
　　活动目录的域（domain）“存储域和域中的对象”，把用户、租计算机帐户记录组注册表的SAM里。－－－当然域不止这些内容。
　　
　　DNS和域的结合－－完全合格域名（FQDN）：例如srv1.contoso.com－－说明了srv1主机位于contoso.com这个域里面。
　　
　　注意：
　　
　　DNS的结构中，顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在，在我们检测DNS（尤其是命令行方式）最好加上末尾的这个"."正因为根域上有这个点，所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的，不让你设置，因为"."认为自己是根了，没必要转发。所以解决的方法是删掉这个点，才能转发（删掉后就不会灰色可以选择转发了）。
　　
　　如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称，不一定非要.net或者.com.即使父域叫contoso.com，子域也可以叫devil.coco。
　　
　　当一个企业在做DNS规划时要注意。当企业外部服务（例如网站）需要在internet上注册名称（例如，公司.com）。如果企业内部使用活动目录，那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如：“contoso.com”，作为企业在internet上的网站，使用
www.contoso.com
域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
　　
　　DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
　　
　　2.hosts文件
　　
　　很多帖子里都有人回复说，看看那个hosts文件有没有问题，或者说修改那个hosts文件里的什么地方（例如屏蔽QQ）。这是为什么？
　　
　　hosts存在的目的：减少DNS服务器的工作量，如果客户端查找的一个主机名在hosts文件里有记录（说明不久前访问过），那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到？一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件，也能用记事本打开。都是和TCP/IP相关的，详细我就不说了跟DNS关系不大。
　　
　　TTL（生存时间），DNS记录必须有TTL，Hosts中得缓存超过了ttl就将被删除，否则DNS得改变将无法在hosts文件中体现。
　　
　　我们需要一个具体的例子：
　　
　　有天，客户发现srv1.contoso.com主机无法访问了，我们查看DNS表，发现确实没有相关A记录了。我们手动添加了记录，但是客户还是抱怨无法访问该主机――因为客户端的缓存里里，还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的，服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
　　
　　3．主DNS服务器和辅助名称服务器
　　
　　这个概念在论坛上也无数次的被提起，我觉得还是有必要说明一下的。照例我不会用很专业的词汇，需要考MCSE的朋友最好不要看我写的东西。
　　
　　我是这样认为的，DNS服务器把所有资源记录到一个文件中（zone file）。只有“主DNS服务器”能对该文件进行写操作（能修改DNS记录），辅助DNS服务器从主DNS服务器（或者其他辅助DNS服务器）那里获得该文件的拷贝（默认24小时得不到拷贝的话，辅助DNS服务器就将失效）。
　　
　　除此之外还有一种“仅缓存名称服务器”（caching－only name server），它上面仅保存缓存的查询结果（从辅助DNS服务器那里获得），以便使客户端尽快获得查询信息。
　　
　　这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间，允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
　　
　　4．权威性应答与非权威性应答
　　
　　按照我的理解，如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录，就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC（也就是DNS服务器）上查找该主机的“A记录”，我们找到了。就把记录内容通过DNS应答的方式发还给客户端，这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
　　
　　此外，如果DNS服务器最近被查找过该主机（可能其他客户端也查找过）记录，就会在缓存里找到记录应答客户端――当然上一种方法快。
　　
　　如果该DC服务器找不到srv1. contoso.com主机的A记录，就会返回（Record Not Found）应答――同样也是权威性应答
　　
　　如果接到DNS查询请求的服务器不是contoso.com的DC（Dns服务器），那么有3种方法处理该请求：
　　
　　首先，查询其他DNS服务器直到找到，然后此服务器将找到的内容返回给客户端――非权威性应答
　　
　　其次，推荐客户端到上一级DNS服务器找。―――非权威性应答。
　　
　　最后，如果原来被别人访问过，本地有该缓存，那么用缓存里的数据回答―――非权威性应答。
　　
　　说到这里就要讲清楚，为什么会出现3种方法，为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了？
　　
　　因为在客户端查询的请求里面包含一个“搜索类型”（Search type）的东东，一共有两种状态：
　　
　　(1) 递归查询（Recursive），要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了，你得给我查到。
　　
　　(2) 迭代查询（Iterative），你（DNS服务器）如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
　　
　　默认情况是递归查询的，我们可以在DNS服务器参数配置禁用（高级选项）。
　　
　　当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时，默认是迭代查询的。
　　
　　5.Netbios解析和DNS解析
　　
　　对于两者的概念我不想多做说明了，值得注意得是他们的查询步骤。
　　
　　假定我们启用了Netbios解析，windows客户端会按照下面的步骤进行解析（默认B节点配置可以修改为H节点）
　　
　　（1） Netbios缓存
　　
　　（2） Wins查询
　　
　　（3） Lmhosts文件（看看hosts的目录）
　　
　　（4） 广播
　　
　　（5） hosts文件
　　
　　（6） DNS
　　
　　我们举个例子，如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么？
　　
　　首先，客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。　如果名字里有“.”存在，但是末尾并没有“.”结束，系统会自动追加末尾“.”，如果这样查询也失败了，就会向上面那样追加DNS后缀再试。　如果添加DNS后缀也无法获得主机记录，那么系统就会追加事先为“接口”配置好得备用DNS后缀（仔细看看本地连接的属性）。注释掉的------>微软交流：关于DNS的不完全总结
　　几年前第一次接触到活动目录的时候，正是领导要求部署活动目录的时候。虽然当时手头上有几本书，但是时间紧迫没有来得及仔细研究。边看着帮助边运行dcpromo就开始活动目录的部署了，相信不少人和我当年差不多，稀里糊涂的就开始当起了活动目录的管理员。对于DNS，因为安装会提示自动部署，相信很多人都不会在这方面下很多功夫（包括我原来也是）。我为此付出了不少代价－－因为不懂DNS所以遇到DNS的问题不知如何解决。我有保存论坛上感兴趣帖子的习惯（显然直接另存是保存不下来的），我保存有关DNS问题的帖子数量，占各种问题的第三位（我也很吃惊）。
　　
　　但是论坛上也没有很系统的关于DNS的总结（这毕竟是一个可以写成一本书的很大的方面）。我通过对自己收藏的帖子和参考书的阅读，加上自己经验的总结得出一些操作方面的结论和总结。希望对大家能有所帮助，因为我不擅长DNS（在论坛上我也很少给朋友解决DNS问题），所以我想肯定有我写错的地方，我希望斑竹们能帮忙校正。我的真正目的是通过这篇文章认识到我在DNS方面都存在哪些误解（我还是挺有私心的）。
　　
　　闲话少说，书归正传。
　　
　　有过DNS域部署经验的朋友都能感觉到，活动目录的DNS、DHCP和WINS（用的不多了）和NetBios是息息相关的。也是很容易混淆的。所以很麻烦，通常我们开始部署AD的时候是在一个小公司里，大约有几十台电脑的局域网。人员流动不是很频繁，所以的电脑也差不多的天天都开。很少有电脑会换地方，我们全都使用DNS的默认配置就可以很少会出问题。但这样的地方我们不能待一辈子，我们来到一个相对复杂的网络环境时，意识到自己缺乏对DNS的起码常识，怎么办？　为了在遇到难题时能正确表述自己的问题（否则别人想帮你都没办法，除了UP我们更重要的是说清楚自己的问题和听明白高手的意思）那么和我一样从基础开始吧。
　　
　　什么样的DNS系统是一个比较完美的系统呢？DNS服务器的连续性能提供出色的性能，减少WAN的通信，安全性也必须得到保障。
　　
　　我们先从概念开始
　　
　　1.DNS和活动目录关系
　　
　　DNS定义“命名空间”（名字空间）－－－微软把例如“contoso.com”的东东叫命名空间，这个空间内的主机储存在一个“区域文件”（zone file）里－－－主要是一种映射的关系（中学数学就有映射的概念）
　　
　　活动目录的域（domain）“存储域和域中的对象”，把用户、租计算机帐户记录组注册表的SAM里。－－－当然域不止这些内容。
　　
　　DNS和域的结合－－完全合格域名（FQDN）：例如srv1.contoso.com－－说明了srv1主机位于contoso.com这个域里面。
　　
　　注意：
　　
　　DNS的结构中，顶级域com.的末尾是有一个句点"."的。DNS解析器是从左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”结束。因为windows的DNS会自动在末尾添加“.”所以我们很容易忘了它的存在，在我们检测DNS（尤其是命令行方式）最好加上末尾的这个"."正因为根域上有这个点，所以我们在林根的DNS上设置转发的时候会发现那个转发器的选现是灰的，不让你设置，因为"."认为自己是根了，没必要转发。所以解决的方法是删掉这个点，才能转发（删掉后就不会灰色可以选择转发了）。
　　
　　如果没有行政方面的要求你完全可以在域里使用例如devil.coco的域名称，不一定非要.net或者.com.即使父域叫contoso.com，子域也可以叫devil.coco。
　　
　　当一个企业在做DNS规划时要注意。当企业外部服务（例如网站）需要在internet上注册名称（例如，公司.com）。如果企业内部使用活动目录，那么要使内外部使用不同的名字或者内部的活动目录使用外部名称的一个子域。例如：“contoso.com”，作为企业在internet上的网站，使用

www.contoso.com

域名。内部的域可以使用contoso.net或者corp.contoso.com作为DNS名。如果不这么做将有可能使内部和外部名称空间出现重叠。客户端登陆域或访问internet都将可能产生问题。尤其当涉及网络地址转换 (NAT) 并且外部 IP 地址处于内部客户端够不到的范围中时就会有麻烦了(了解NAT 的 人应该知道,如果客户端不配置可以正确解析外部地址的DNS是无法访问相关网站的.)。
　　
　　DNS和活动目录使用各自不同的数据库解析名字。关于这一点我觉得对于实际操作意义不大所以不说了有兴趣的看看上面提到的那个帖子。
　　
　　2.hosts文件
　　
　　很多帖子里都有人回复说，看看那个hosts文件有没有问题，或者说修改那个hosts文件里的什么地方（例如屏蔽QQ）。这是为什么？
　　
　　hosts存在的目的：减少DNS服务器的工作量，如果客户端查找的一个主机名在hosts文件里有记录（说明不久前访问过），那么客户端就不必找DNS服务器了直接就知道了该主机的IP。我们可以用记事本打开hosts文件。找不到？一般在这里C:\WINDOWS\system32\drivers\etc 这里除了hosts还有好几个文件，也能用记事本打开。都是和TCP/IP相关的，详细我就不说了跟DNS关系不大。
　　
　　TTL（生存时间），DNS记录必须有TTL，Hosts中得缓存超过了ttl就将被删除，否则DNS得改变将无法在hosts文件中体现。
　　
　　我们需要一个具体的例子：
　　
　　有天，客户发现srv1.contoso.com主机无法访问了，我们查看DNS表，发现确实没有相关A记录了。我们手动添加了记录，但是客户还是抱怨无法访问该主机――因为客户端的缓存里里，还是认为该主机无法访问。这时我们就必须在客户的电脑上运行ipconfig/ flushdns 来清除缓存信息。是的，服务器也有缓存。服务器清理缓存的命令是dnscmd /clearcache
　　
　　3．主DNS服务器和辅助名称服务器
　　
　　这个概念在论坛上也无数次的被提起，我觉得还是有必要说明一下的。照例我不会用很专业的词汇，需要考MCSE的朋友最好不要看我写的东西。
　　
　　我是这样认为的，DNS服务器把所有资源记录到一个文件中（zone file）。只有“主DNS服务器”能对该文件进行写操作（能修改DNS记录），辅助DNS服务器从主DNS服务器（或者其他辅助DNS服务器）那里获得该文件的拷贝（默认24小时得不到拷贝的话，辅助DNS服务器就将失效）。
　　
　　除此之外还有一种“仅缓存名称服务器”（caching－only name server），它上面仅保存缓存的查询结果（从辅助DNS服务器那里获得），以便使客户端尽快获得查询信息。
　　
　　这种机制让人想起NT时代的主域控制器和备份域控制器――当然这是一种脆弱的机制。微软为了能多凑合一些时间，允许任何运行DNS的DC都能被设置为它所在域的主DNS服务器。
　　
　　4．权威性应答与非权威性应答
　　
　　按照我的理解，如果DNS服务器在自己的区域文件里找到了客户端需要查询的记录，就会返回一个权威性应答。―――例如客户端要查找srv1. contoso.com主机的IP地址。在contoso.com的DC（也就是DNS服务器）上查找该主机的“A记录”，我们找到了。就把记录内容通过DNS应答的方式发还给客户端，这就是一个权威性应答。――当然实际的查询方式比较复杂远没有我说的这么简单。
　　
　　此外，如果DNS服务器最近被查找过该主机（可能其他客户端也查找过）记录，就会在缓存里找到记录应答客户端――当然上一种方法快。
　　
　　如果该DC服务器找不到srv1. contoso.com主机的A记录，就会返回（Record Not Found）应答――同样也是权威性应答
　　
　　如果接到DNS查询请求的服务器不是contoso.com的DC（Dns服务器），那么有3种方法处理该请求：
　　
　　首先，查询其他DNS服务器直到找到，然后此服务器将找到的内容返回给客户端――非权威性应答
　　
　　其次，推荐客户端到上一级DNS服务器找。―――非权威性应答。
　　
　　最后，如果原来被别人访问过，本地有该缓存，那么用缓存里的数据回答―――非权威性应答。
　　
　　说到这里就要讲清楚，为什么会出现3种方法，为什么有的时候DNS服务器要努力帮客户端查寻有的时候又只是打发到上层就不管了？
　　
　　因为在客户端查询的请求里面包含一个“搜索类型”（Search type）的东东，一共有两种状态：
　　
　　(1) 递归查询（Recursive），要求DNS服务器一定要救人救到底送佛送上西。反正我就赖上你了，你得给我查到。
　　
　　(2) 迭代查询（Iterative），你（DNS服务器）如果找不到可以给我介绍到另一个DNS服务器那里去找――这种方式的客户端就文明多了――自然DNS服务器的压力就减轻了。
　　
　　默认情况是递归查询的，我们可以在DNS服务器参数配置禁用（高级选项）。
　　
　　当DNS服务器被客户端要求递归查询而去查询其他DNS服务器时，默认是迭代查询的。
　　
　　5.Netbios解析和DNS解析
　　
　　对于两者的概念我不想多做说明了，值得注意得是他们的查询步骤。
　　
　　假定我们启用了Netbios解析，windows客户端会按照下面的步骤进行解析（默认B节点配置可以修改为H节点）
　　
　　（1） Netbios缓存
　　
　　（2） Wins查询
　　
　　（3） Lmhosts文件（看看hosts的目录）
　　
　　（4） 广播
　　
　　（5） hosts文件
　　
　　（6） DNS
　　
　　我们举个例子，如果我们在客户端ping一下srv1.contoso.com主机。我们通常的做法是运行cmd。输入ping srv1 回车。这时发生了什么？
　　
　　首先，客户端会把计算机的DNS后缀附在名称上发送到DNS服务器。　如果名字里有“.”存在，但是末尾并没有“.”结束，系统会自动追加末尾“.”，如果这样查询也失败了，就会向上面那样追加DNS后缀再试。　如果添加DNS后缀也无法获得主机记录，那么系统就会追加事先为“接口”配置好得备用DNS后缀（仔细看看本地连接的属性）。

童话

资深网管教你如何操作DNS最安全(图)
　　DNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议，因此，很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进，可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别，然后才能选择具体的安全措施。
　　
　　1、DNS 安全威胁
　　
　　下面是攻击者对于 DNS 结构进行威胁的常见方式：
　　
　　“跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
　　
　　“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。
　　
　　“数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
　　
　　“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。
　　
　　2、减轻 DNS 安全威胁
　　
　　可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
　　
　

　　
表1
　　
　　下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。
　　
　　1、低级安全性
　　
　　低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
　　
　　企业的 DNS 结构完全暴露给 Internet。
　　
　　标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
　　
　　所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
　　
　　所有 DNS 服务器都允许向任何服务器进行区域传输。
　　
　　所有 DNS 服务器都配置为侦听其所有 IP 地址。
　　
　　在所有 DNS 服务器上禁用防止缓存污染。
　　
　　允许对所有 DNS 区域进行动态更新。
　　
　　用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
　　
　　2、中级安全性
　　
　　中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
　　
　　企业的 DNS 结构有限暴露给 Internet。
　　
　　所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
　　
　　所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　不允许对任何 DNS 区域进行动态更新。
　　
　　内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
　　
　　防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
　　
　　所有 Internet 名称解析都使用代理服务器和网关执行。
　　
　　3、高级安全性
　　
　　高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
　　
　　企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
　　
　　企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
　　
　　配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
　　
　　所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。
　　
　　所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。
　　
　　所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
　　
　　DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
　　
　　为 DNS 区域配置了安全的动态更新，顶级和根目录区域除外，它们根本不允许进行动态更新。
　　
　　1、保证 DNS 部署的安全
　　
　　设计 DNS 服务器部署时，应采用下列 DNS 安全准则：
　　
　　如果不需要企业网络主机来解析 Internet 上的名称，应取消与 Internet 的 DNS 通信。
　　
　　在该 DNS 设计中，可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同，内部 DNS 服务器为根域和顶级域主持区域。
　　
　　在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
　　
　　在该 DNS 设计中，企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如，如果企业单位的 Internet DNS 名称空间是 ghq.com，企业网络的内部 DNS 名称空间是 corp.ghq.com。
　　
　　在内部 DNS 服务器上主持内部 DNS 名称空间，在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
　　
　　要解析内部主机进行的外部名称查询，内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
　　
　　配置数据包筛选防火墙，以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
　　
　　这将便于内部和外部 DNS 服务器间的通信，并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
　　
　　2、保护 DNS 服务器服务
　　
　　要保护企业网络中的 DNS 服务器的安全，请采用下列准则：
　　
　　检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。（如表2所示）
　　
　

　　
表2
　　
　　管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ，除了影响上述安全性的默认 DNS 服务器服务设置外，配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时，对于 DNS 服务器服务的默认组或用户名和权限。
　　

　　
表3
　　
　　DNS 服务器服务在域控制器上运行时，可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同，建议采用后一种方法。这样，Active Directory 对象和 DNS 服务器的安全管理员应直接联系，以确保管理员不会颠倒彼此的安全设置。
　　
　　应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大，并能提供包括 Active Directory 的各种功能，Active Directory 是域、用户帐户和其他重要安全功能所需要的。
　　
　　3、保护 DNS 区域
　　
　　DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：
　　
　　配置安全的动态更新。
　　
　　默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
　　
　　限制区域传输注释掉的------>资深网管教你如何操作DNS最安全(图)
　　DNS 是域名系统 (Domain Name System) 的缩写，是一种组织成域层次结构的计算机和网络服务命名系统。域名系统 (DNS) 最初被设计为开放式协议，因此，很容易受到攻击者攻击。Windows 2003 DNS 已经对该性能做了改进，可通过添加安全功能防止对于 DNS 结构的攻击。我们首先要了解对于 DNS 安全性的常见威胁与企业的 DNS 安全选择级别，然后才能选择具体的安全措施。
　　
　　1、DNS 安全威胁
　　
　　下面是攻击者对于 DNS 结构进行威胁的常见方式：
　　
　　“跟踪”是攻击者通过它获取 DNS 区域数据的过程，以便为攻击者提供敏感网络资源的 DNS 域名、计算机名和 IP 地址。攻击者通常使用该 DNS 数据图解或跟踪网络，开始攻击。DNS 域和计算机名通常指明某个域或计算机的功能或位置，以帮助用户轻松记住与标识域和计算机。攻击者利用相同的 DNS 原则了解网络中的域和计算机的功能和位置。
　　
　　“拒绝服务攻击”是当攻击者试图使网络中的一个或多个 DNS 服务器塞满递归查询而拒绝提供网络服务。当 DNS 服务器塞满查询时，其 CPU 使用率将达到其最大值，DNS 服务器服务将变得不可用。网络上没有能够运行的 DNS 服务器时，使用 DNS 的网络服务对于网络用户将不可用。
　　
　　“数据修改”是攻击者（使用 DNS 跟踪网络的人）进行的一种尝试，即使用攻击者创建的 IP 数据包中的有效 IP 地址，从而使得这些数据包看起来来自网络的有效 IP 地址。这通常称为 IP 欺骗。通过有效的 IP 地址（子网的 IP 地址范围内的一个 IP 地址），攻击者可获取对于网络的访问权并毁坏数据或执行其他攻击。
　　
　　“重定向”是攻击者能够将 DNS 名称查询重定向到攻击者控制的服务器。重定向的一种方法包括尝试使用使用可能将未来查询定向到攻击者控制下的服务器的错误 DNS 数据来污染 DNS 高速缓存。每当攻击者对于 DNS 数据拥有写权限（例如，使用不保护动态更新的安全）时，可完成重定向。
　　
　　2、减轻 DNS 安全威胁
　　
　　可对 DNS 进行配置，以减轻上述常见 DNS 安全问题。下表1列出了确定 DNS 安全性时关注的五个主要区域。
　　
　

　　
表1
　　
　　下面是DNS的三种安全级别，我们可根据单位实际情况，选择DNS 安全配置级别，增加企业的 DNS 安全性。
　　
　　1、低级安全性
　　
　　低级安全性是一种标准的 DNS 部署，不配置任何安全预防措施。只在不关心 DNS 数据的完整性的网络环境或不存在外部连接威胁的专用网络中才部署该级 DNS 安全性。
　　
　　企业的 DNS 结构完全暴露给 Internet。
　　
　　标准 DNS 解决方案是由企业网络中的所有 DNS 服务器执行的。
　　
　　所有 DNS 服务器都配置有指向 Internet 的根提示的根服务器。
　　
　　所有 DNS 服务器都允许向任何服务器进行区域传输。
　　
　　所有 DNS 服务器都配置为侦听其所有 IP 地址。
　　
　　在所有 DNS 服务器上禁用防止缓存污染。
　　
　　允许对所有 DNS 区域进行动态更新。
　　
　　用户数据报协议 (UDP) 和传输控制协议/Internet 协议 (TCP/IP) 端口 53 在企业网络的源和目标地址的防火墙上处于打开状态。
　　
　　2、中级安全性
　　
　　中级安全性使用可用的 DNS 安全功能，不在域控制器上运行 DNS 服务器，也不在 Active Directory 中存储 DNS 区域。
　　
　　企业的 DNS 结构有限暴露给 Internet。
　　
　　所有 DNS 服务器在本地都无法解析名称时，将其配置为使用转发器指向内部 DNS 服务器的特定列表。
　　
　　所有 DNS 服务器都将区域传输限制为其区域中的名称服务器 (NS) 资源记录中列出的服务器。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　不允许对任何 DNS 区域进行动态更新。
　　
　　内部 DNS 服务器通过防火墙与外部 DNS 服务器通信，该防火墙具有所允许的源和目标地址的有限列表。
　　
　　防火墙前方的外部 DNS 服务器都配置有指向 Internet 的根服务器的根提示。
　　
　　所有 Internet 名称解析都使用代理服务器和网关执行。
　　
　　3、高级安全性
　　
　　高级安全性使用与中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory 中时，也使用可用的安全功能。此外，高级安全性还完全取消了与 Internet 的 DNS 通信。这不是通常使用的配置，但是，每当不需要 Internet 连接时，则建议使用该配置。
　　
　　企业的 DNS 结构不通过内部 DNS 服务器与 Internet 通信。
　　
　　企业网络使用内部 DNS 根目录和名称空间，其中对于 DNS 区域的所有权限都是内部的。
　　
　　配置为使用转发器的 DNS 服务器只使用内部 DNS 服务器 IP 地址。
　　
　　所有 DNS 服务器都将区域传输限制为指定的 IP 地址。
　　
　　配置 DNS 服务器在指定的 IP 地址上侦听。
　　
　　在所有 DNS 服务器上已启用缓存污染防止。
　　
　　内部 DNS 服务器都配置有指向内部 DNS 服务器的根提示，这些服务器主持企业内部名称空间的根目录区域。
　　
　　所有 DNS 服务器都在域控制器上运行。DNS 服务器服务上配置有随机访问控制列表 (DACL)，只允许特定个人在 DNS 服务器上执行管理任务。
　　
　　所有 DNS 区域都存储在 Active Directory 中。DACL 配置为只允许特定个人创建、删除或修改 DNS 区域。
　　
　　DNS 资源记录上的 DACL 被配置为只允许特定个人创建、删除或修改 DNS 数据。
　　
　　为 DNS 区域配置了安全的动态更新，顶级和根目录区域除外，它们根本不允许进行动态更新。
　　
　　1、保证 DNS 部署的安全
　　
　　设计 DNS 服务器部署时，应采用下列 DNS 安全准则：
　　
　　如果不需要企业网络主机来解析 Internet 上的名称，应取消与 Internet 的 DNS 通信。
　　
　　在该 DNS 设计中，可使用企业网络中完全主持的专用 DNS 名称空间。专用 DNS 名称空间的分发与 Internet DNS 名称空间的分发相同，内部 DNS 服务器为根域和顶级域主持区域。
　　
　　在防火墙后面的内部 DNS 服务器和防火墙前面的外部 DNS 服务器间分割企业单位的 DNS 名称空间。
　　
　　在该 DNS 设计中，企业内部 DNS 名称空间是外部 DNS 名称空间的子域。例如，如果企业单位的 Internet DNS 名称空间是 ghq.com，企业网络的内部 DNS 名称空间是 corp.ghq.com。
　　
　　在内部 DNS 服务器上主持内部 DNS 名称空间，在暴露给 Internet 的外部 DNS 服务器上主持外部 DNS 服务器。
　　
　　要解析内部主机进行的外部名称查询，内部 DNS 服务器会将外部名称查询转发给外部 DNS 服务器。外部主机只使用外部 DNS 服务器进行 Internet 名称解析。
　　
　　配置数据包筛选防火墙，以便只允许在外部 DNS 服务器和单一内部 DNS 服务器间进行 UDP 和 TCP 端口 53 通信。
　　
　　这将便于内部和外部 DNS 服务器间的通信，并可防止任何其他外部计算机获取对于内部 DNS 名称空间的访问权。
　　
　　2、保护 DNS 服务器服务
　　
　　要保护企业网络中的 DNS 服务器的安全，请采用下列准则：
　　
　　检查并配置影响安全性的默认 DNS 服务器服务设置DNS 服务器服务配置选项对于标准和集成了 Active Directory 的 DNS 服务器服务具有安全意义。（如表2所示）
　　
　

　　
表2
　　
　　管理域控制器上运行的 DNS 服务器上的随机访问控制列表 (DACL) ，除了影响上述安全性的默认 DNS 服务器服务设置外，配置为域控制器的 DNS 服务器使用 DACL。DACL 允许您控制对于控制 DNS 服务器服务的 Active Directory 用户和组的权限。下表3列出了在域控制器上运行时，对于 DNS 服务器服务的默认组或用户名和权限。
　　

　　
表3
　　
　　DNS 服务器服务在域控制器上运行时，可使用 Active Directory 对象 Microsoft DNS 管理该服务的 DACL。在 Microsoft DNS Active Directory 对象上配置 DACL 与在 DNS 控制台中的 DNS 服务器上配置 DACL 效果相同，建议采用后一种方法。这样，Active Directory 对象和 DNS 服务器的安全管理员应直接联系，以确保管理员不会颠倒彼此的安全设置。
　　
　　应将 NTFS 文件系统始终用于运行 Windows Server 2003 操作系统的 DNS 服务器。NTFS 文件系统比 FAT 和 FAT32 文件系统功能强大，并能提供包括 Active Directory 的各种功能，Active Directory 是域、用户帐户和其他重要安全功能所需要的。
　　
　　3、保护 DNS 区域
　　
　　DNS 区域配置选项对于标准和集成了 Active Directory 的 DNS 区域具有安全意义：
　　
　　配置安全的动态更新。
　　
　　默认情况下，“动态更新”设置未被配置为允许动态更新。这是最安全的设置，因为它能够防止攻击者更新 DNS 区域，但是，该设置也可阻止您利用动态更新所提供的管理优势。要使计算机安全更新 DNS 数据，应将 DNS 区域存储在 Active Directory 中，并使用安全的动态更新功能。安全的动态更新将 DNS 区域更新限制为只更新已验证且已加入 DNS 服务器所在的 Active Directory 域的那些计算机，同时还限制为更新 DNS 区域的 ACL 中定义的特定安全设置。
　　
　　限制区域传输