第8章DNS效勞器的配置與管理年梅域名系統(tǒng)DNS由于IP地址比較抽象，為了方便使用可以用域名為計(jì)算機(jī)命名，并通過域名系統(tǒng)DNS把域名翻譯為IP地址。域名是由假設(shè)干圓點(diǎn)“.〞分開的名字構(gòu)成的，從右到左逐層表示。如：域名cn表示中國，edu表示教育或?qū)W術(shù)研究機(jī)構(gòu)、pku表示北京大學(xué)、www表示web站點(diǎn)，所以該域名表示北京大學(xué)的Web主機(jī)，通過它可以翻開位于該主機(jī)上的主頁。DNS名字空間DNS名字空間組織成層次的樹型結(jié)構(gòu)。comedugovorgnetcnusjptwcomedupkubttcwwwftp163mailwww功能域地區(qū)域根域頂級域二級域三級域葉子節(jié)點(diǎn)www頂級域表示站點(diǎn)的功能和國家。如cn表示中國、jp表示日本、com表示商業(yè)組織、edu表示教育機(jī)構(gòu)、net表示網(wǎng)絡(luò)效勞機(jī)構(gòu)、gov表示政府部門、org表示非商業(yè)組織等。葉子節(jié)點(diǎn)表示站點(diǎn)的名字。www表示W(wǎng)eb效勞器，ftp表示Ftp效勞器，mail表示電子郵件效勞器等。域名最長255個(gè)字符，每局部最長63個(gè)字符，不區(qū)分大小寫。每一級域名有不同的管理機(jī)構(gòu)，需要申請注冊后才能使用。計(jì)算機(jī)名、IP地址與域名的關(guān)系在域模式的網(wǎng)絡(luò)中，每臺計(jì)算機(jī)都有域名，此時(shí)的計(jì)算機(jī)全名為：計(jì)算機(jī)名.域名。在工作組模式的網(wǎng)絡(luò)中，普通計(jì)算機(jī)一般沒有域名，只有一些效勞器(如Web、Ftp、電子郵件效勞器等)才有域名。一般情況下，一個(gè)域名對應(yīng)一個(gè)IP地址，但也有一個(gè)IP地址對應(yīng)幾個(gè)域名的。DNS效勞器域名IP地址域名的解析采用客戶/效勞器模式。當(dāng)應(yīng)用程序用域名訪問網(wǎng)絡(luò)時(shí)，應(yīng)用程序向網(wǎng)絡(luò)中的DNS效勞器發(fā)出請求，DNS效勞器將域名轉(zhuǎn)換成IP地址后發(fā)回給應(yīng)用程序，應(yīng)用程序再用IP地址訪問網(wǎng)絡(luò)。有些DNS效勞器也提供把IP地址解析成域名的反向解析效勞。DNS效勞器客戶機(jī)網(wǎng)絡(luò)中有很多DNS效勞器，它們用層次結(jié)構(gòu)構(gòu)成了一個(gè)分布式數(shù)據(jù)庫。有時(shí)一個(gè)域名要通過多個(gè)域名效勞器才能解析成功。根名字服務(wù)器授權(quán)名字服務(wù)器本地名字服務(wù)器校園網(wǎng)內(nèi)的DNSISP的DNS本地名字效勞器：負(fù)責(zé)轄區(qū)內(nèi)的名字解析。授權(quán)名字效勞器：負(fù)責(zé)解析一定地域范圍的名字。根名字效勞器：它通常不負(fù)責(zé)具體的名字解析，而是找出適宜的授權(quán)名字效勞器，把申請發(fā)送給它?？蛻魴C(jī)中的DNS設(shè)置對于客戶機(jī)，必須為它指定DNS效勞器的地址。指定方法有兩種：1、手工設(shè)置：通常設(shè)置為本網(wǎng)中配置的DNS效勞器。(可設(shè)置多個(gè))2、自動(dòng)獲取：如果網(wǎng)絡(luò)中有DHCP功能，可以從DHCP效勞器那里獲取DNS效勞器地址。2007.11.2105本域名解析過程客戶機(jī)先向本地名字效勞器發(fā)出請求，本地名字效勞器查找自己的域名庫，如果找到，那么返回IP地址；如果未找到，那么分析域名，然后以客戶的身份向上一級名字效勞器或根名字效勞器發(fā)出申請，如果找到，就把IP地址發(fā)回給主機(jī)；如果未找到，根名字效勞器分析域名，把請求轉(zhuǎn)給相應(yīng)的授權(quán)名字效勞器，直至有一個(gè)域名效勞器找到該域名，返回IP地址。如果都不能識別，那么認(rèn)為該域名不可知。域名效勞器的種類主要名字效勞器：負(fù)責(zé)區(qū)域中所有名字的解析工作。域名數(shù)據(jù)庫就是在主要名字效勞器上創(chuàng)立和維護(hù)的。輔助名字效勞器：從其它域名效勞器上獲取域名數(shù)據(jù)，用來減輕主要名字效勞器的負(fù)擔(dān)。一個(gè)輔助名字效勞器可以與多個(gè)其它域名效勞器相關(guān)聯(lián)。Cache-Only名字效勞器：本身沒有域名數(shù)據(jù)庫，它將查詢結(jié)果存放在自己的緩存中，可對用戶做出快速應(yīng)答，緩存中的記錄都有生存期，超時(shí)就會被刪除。域名解析方式根名字服務(wù)器.cn..ISP的域名服務(wù)器校園網(wǎng)的域名服務(wù)器根名字服務(wù)器.com輔助域名服務(wù)器客戶機(jī)遞歸查詢：當(dāng)一個(gè)DNS效勞器沒有所需的數(shù)據(jù)，就以客戶機(jī)身份向上級DNS效勞器查詢；迭代查詢：按照預(yù)先指定的順序依次向各個(gè)DNS效勞器查詢。域名效勞器的配置在域模式的網(wǎng)絡(luò)中，通常在安裝域控制器的同時(shí)安裝DNS效勞器。這種DNS效勞器一般是不對外的，只對本地域的域名進(jìn)行解析。在工作組模式的網(wǎng)絡(luò)中，需要手工創(chuàng)立并配置DNS效勞器，用于對各Web網(wǎng)站、Ftp站點(diǎn)等提供域名解析，使用戶可以用域名訪問這些網(wǎng)站。一、DNS效勞器的安裝開始|控制面板|添加或刪除程序，添加/刪除Windows組件，選擇“網(wǎng)絡(luò)效勞〞。選中網(wǎng)絡(luò)效勞組件中的“域名系統(tǒng)(DNS)〞，確定后開始安裝。二、DNS效勞器的配置開始|管理工具|DNS創(chuàng)立正向查找區(qū)域在“正向查找區(qū)域〞上單擊右鍵，選擇“新建區(qū)域〞。區(qū)域名稱是一組域名的共同后綴。如：要解析的域名為、、，那么區(qū)域名稱應(yīng)設(shè)置為xyz；也可設(shè)置為cn，之后再創(chuàng)立子區(qū)域。區(qū)域文件是一個(gè)域名數(shù)據(jù)庫，位于%SystemRoot%\system32\dns文件夾中，它是一個(gè)文本文件。如果手工配置域控制器中的DNS效勞器，應(yīng)選擇平安的動(dòng)態(tài)更新。在工作組模式下的DNS一般選擇“不允許動(dòng)態(tài)更新〞。完成后，可看到新創(chuàng)立的區(qū)域。創(chuàng)立子區(qū)域區(qū)域名稱可以創(chuàng)立為多級的樹形結(jié)構(gòu)。如：一組域名可先創(chuàng)立一個(gè)xyz的區(qū)域，然后在該區(qū)域下再創(chuàng)立一個(gè)名為123的子區(qū)域。創(chuàng)立方法：在右鍵菜單中選擇“新建域〞，輸入子區(qū)域的名字。創(chuàng)立主機(jī)主機(jī)是域中的具體計(jì)算機(jī)，每個(gè)主機(jī)名與一個(gè)IP地址相關(guān)聯(lián)。創(chuàng)立方法：在右鍵菜單中選擇“新建主機(jī)〞，輸入主機(jī)名和IP地址。創(chuàng)立別名如果一個(gè)IP地址對應(yīng)有多個(gè)域名，可以創(chuàng)立多個(gè)主機(jī)記錄，也可以創(chuàng)立別名。在例中，域名和對應(yīng)的IP地址相同。創(chuàng)立反向查找區(qū)域在“反向查找區(qū)域〞上單擊右鍵，選擇“新建區(qū)域〞。創(chuàng)立過程與創(chuàng)立正向查找區(qū)域過程相似，只是區(qū)域名稱設(shè)置不同。在反向查找區(qū)域內(nèi)創(chuàng)立記錄在反向查找區(qū)域下面的區(qū)域名上單擊右鍵，選擇“新建指針(PTR)〞注意：必須先在正向查找區(qū)域創(chuàng)立相關(guān)記錄才能創(chuàng)立對應(yīng)的反向記錄。如果已經(jīng)創(chuàng)立了反向查找區(qū)域，在正向查找區(qū)域中添加主機(jī)時(shí)，如果選中了“創(chuàng)立相關(guān)的指針(PTR)記錄〞，那么可同時(shí)創(chuàng)立反向查找記錄。設(shè)置DNS效勞器的IP地址如果DNS效勞器所在的計(jì)算機(jī)配置有多個(gè)IP地址，默認(rèn)情況下，DNS效勞器綁定在所有IP地址上。利用DNS屬性可以為DNS效勞器指定IP地址。當(dāng)一臺計(jì)算機(jī)充當(dāng)多個(gè)效勞器角色時(shí)，我們通常習(xí)慣于不同效勞器角色使用不同IP地址。該DNS效勞器地址可以是列表中的任一個(gè)地址。該DNS效勞器地址僅限于。DNS的轉(zhuǎn)發(fā)設(shè)置域名IP地址DNS1DNS2由于每臺DNS效勞器只能解析它所控制域的域名請求，如果用戶請求的是其它域的域名，就需要把請求轉(zhuǎn)發(fā)到其它DNS效勞器上進(jìn)行解析。1、全部轉(zhuǎn)發(fā)這種轉(zhuǎn)發(fā)是把所有本域之外的請求轉(zhuǎn)發(fā)給指定的DNS效勞器。目的DNS效勞器可設(shè)置多個(gè)，系統(tǒng)會按照設(shè)定的次序進(jìn)行迭代查詢。2、條件轉(zhuǎn)發(fā)域名IP地址xyzxyz如果只把指定的域名轉(zhuǎn)發(fā)到相應(yīng)效勞器上，可使用條件轉(zhuǎn)發(fā)。條件轉(zhuǎn)發(fā)可以用“轉(zhuǎn)發(fā)器〞進(jìn)行設(shè)置，也可以用“根提示〞進(jìn)行設(shè)置。***.xyzIP地址用“轉(zhuǎn)發(fā)器〞實(shí)現(xiàn)條件轉(zhuǎn)發(fā)：這個(gè)轉(zhuǎn)發(fā)器是把后綴為“xyz〞的域名請求都轉(zhuǎn)發(fā)到的DNS效勞器上。用“根提示〞實(shí)現(xiàn)條件轉(zhuǎn)發(fā)：這里是把后綴為“xyz〞的域名請求都轉(zhuǎn)發(fā)到的DNS效勞器上。DNS動(dòng)態(tài)更新的設(shè)置如果啟用了動(dòng)態(tài)更新，那么當(dāng)客戶機(jī)的域名或IP地址發(fā)生變化時(shí)，DNS效勞器中的相應(yīng)工程可以自動(dòng)更新。通常在兩種情況下需要啟用動(dòng)態(tài)更新功能：1、在域結(jié)構(gòu)的網(wǎng)絡(luò)中如果域中的計(jì)算機(jī)更改了計(jì)算機(jī)名，或通過DHCP動(dòng)態(tài)改變了IP地址，那么需要變更DNS中的對應(yīng)工程。由于域結(jié)構(gòu)網(wǎng)絡(luò)中的每臺計(jì)算機(jī)都有域名，而且通過ActiveDirectory進(jìn)行的動(dòng)態(tài)更新是平安的，所以在域結(jié)構(gòu)網(wǎng)絡(luò)的DNS效勞器中必須啟用動(dòng)態(tài)更新。2、在工作組模式的網(wǎng)絡(luò)中，如果有域名的計(jì)算機(jī)使用了DHCP分配的動(dòng)態(tài)IP地址，那么應(yīng)在DNS中啟用動(dòng)態(tài)更新功能。在工作組模式中，通常只有效勞器才擁有域名，所以如果效勞器都采用固定IP地址，就不需要啟用動(dòng)態(tài)更新功能。由于工作組模式中的動(dòng)態(tài)更新功能是不平安的，所以不建議在工作組模式下啟用動(dòng)態(tài)更新功能。三、測試DNS1、在DNS效勞器上可以用DNS屬性中的“監(jiān)視〞功能測試本效勞器的查詢功能和轉(zhuǎn)發(fā)功能是否正常。2、用Ping命令測試DNS效勞器：在客戶機(jī)上，用“ping域名〞測試。如果“ping本地域名〞可以ping通，說明DNS效勞器工作正常；如果“ping外部域名〞可以ping通，說明轉(zhuǎn)發(fā)功能正常。用“ping–aIP地址〞，可以測試反向查詢是否正常。3、用nslookup命令測試DNS效勞器：輸入nsloopup命令進(jìn)入互動(dòng)模式，出現(xiàn)提示符>輸入域名可查看使用的域名效勞器和域名解析結(jié)果；輸入IP地址可查看反向域名解析情況；輸入exit可退出互動(dòng)模式。四、局域網(wǎng)中的DNS規(guī)劃1、如果局域網(wǎng)是采用工作組模式構(gòu)建的，且局域網(wǎng)中沒有自建的Web等效勞器可以配置一臺空的DNS效勞器，該效勞器具有緩存功能，用于保存用戶最近訪問過的轉(zhuǎn)換結(jié)果。這樣可加快用戶訪問這些域名的解析速度