二、管理正向区域
根据区域类型和区域存储方式的不同,管理DNS区域的方式也不同,在此我根据区域类型来进行介绍:
1、主要区域
活动目录集成主要区域和标准主要区域相比,常规选项不同,并且具有安全标签。
常规
在活动目录集成主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、复制方式和动态更新方式;
而在标准主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、区域数据存储的文件名和动态更新方式,但是不支持安全动态更新。
点击老化按钮可以进入区域老化/清理属性设置,此设置必须和DNS服务器的老化/清理设置共同使用方可生效。
当启用老化时,对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个为0的时间戳记录,代表它们将不会老化。
无刷新间隔:无刷新间隔是在上次时间戳刷新后,DNS服务器拒绝再次进行刷新的时间周期,这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下,无刷新间隔为7天;
刷新间隔:刷新间隔是在无刷新间隔后的时候,在这段时间周期内允许DNS客户端刷新资源记录的时间戳,并且资源记录不会被DNS服务器清理。当无刷新间隔和刷新间隔之后,如果资源记录没有被DNS客户端进行刷新,则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天,这意味着默认情况下动态注册的资源记录将会在14天后被清理掉。
如果你需要修改这两个参数,请记住以下原则:刷新间隔应该大于或等于无刷新间隔。
起始授权机构(SOA)
起始授权机构(SOA)标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时,它首先通过SOA记录来决定此DNS区域的基本信息和主服务器,如下图所示:
序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域复制。
主服务器:主服务器包含了此DNS区域的主DNS服务器的FQDN,此名字必须使用“.”结尾。
负责人:指定了管理此DNS区域的负责人的邮箱,你可以修改为在DNS区域中定义的其他RP(负责人)资源记录,此名字必须使用“.”结尾。
刷新间隔: 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。
重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。
过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间,当到达此时间限制时,辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。
最小(默认)TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。
注意:增大TTL可以减少网络中DNS解析请求的流量,但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。
此记录的TTL:此参数用于设置此SOA记录的TTL值,这个参数将覆盖最小(默认)TTL中设置的值。
名称服务器
名字服务器标签允许你配置DNS区域的NS资源记录,NS记录用于指定此DNS区域中的权威DNS服务器,默认情况下会包含此DNS区域的主服务器,并且一个区域至少必须具有一个NS资源记录。
和SOA记录一样,你只能在区域属性中对NS记录进行修改,你不能创建NS记录。
WINS
你可以在WINS标签配置DNS服务器使用WINS查找,此时,当DNS服务器无法解析某个FQDN时,将会使用配置的WINS服务器来查询此FQDN的主机名;对于正向区域是查询WINS服务器的正向记录,对于反向区域是查询WINS服务器的反向记录;如果在WINS服务器上查询到对应的记录,则DNS服务器会将此记录复制到此区域中,你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。
区域复制
你可以在区域复制标签中配置是否允许此区域进行区域复制,以及区域复制到的对象,它们之间的区别在于:
到所有服务器:所有服务器都可以从此DNS服务器获取此区域的区域数据;
只有在“名称服务器”选项卡中列出的服务器:只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据;
只允许到下列服务器:只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据;
在Windows 2000中,默认情况下是允许区域复制到所有服务器,这个选项具有安全隐患,所以在Windows Server 2003中,对于标准主要区域,默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中,而对于活动目录集成主要区域,由于通过活动目录进行复制,默认情况下是不允许区域复制。
你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新,默认情况下
此DNS区域更新时,主服务器会通知名称服务器标签中的所有DNS服务器。
当某个标准区域产生以下事件时,将进行通知或初始化区域复制:
主DNS区域的SOA记录的刷新间隔过期;
辅助DNS服务器启动;此时辅助DNS服务器会联系主服务器获取SOA记录,然后比较本地的SOA记录来决定是否需要区域复制;
主服务器上对区域数据进行了修改,则主服务器按照配置来通知辅助DNS服务器。
当初始化区域复制时,辅助DNS服务器可以从主服务器执行增量区域传输(IXFR)或者完全区域传输(AXFR),运行在Windows Server 2003上的DNS服务器支持IXFR和AXFR。默认情况下,运行在Windows 2000服务器和Windows Server 2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR,此时,只有更新数据才会进行传输;Windows NT服务器不支持IXFR,只能执行AXFR,此时,将会对所有区域数据进行传输。
安全
当在域控制器上安装DNS服务器时,DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
管理任务
主要区域的管理任务如下图所示:
更新服务器数据文件:同DNS服务器的更新服务器数据文件管理任务;
重新加载:重新从本地的区域文件或者活动目录中加载此DNS区域;
新建主机(A):在此DNS区域中新建主机(A)记录,如下图所示:
其中创建相关的指针(PTR)记录要求本地DNS服务器上具有对应网络ID的反向查找区域,否则会创建失败。
新建别名(CNAME):在此DNS区域中新建别名(CNAME)记录,如下图所示;在创建别名记录之前,必须已经为需要创建别名的主机创建了A记录。
新建邮件交换器(MX):新建邮件交换器(MX)记录,如下图所示;在创建邮件交换器记录之前,必须已经为此MX记录所对应的邮件服务器创建了A记录;在主机或子域中输入邮件域名,如果不输入则代表此DNS区域;你可以针对相同的DNS域配置多个MX记录,但是邮件服务器优先级数值越低的MX记录具有越高的优先级。
新建域:新建一个子区域,如下图所示;新建一个子区域后,你可以在子区域中创建其他资源记录包括子区域,和父DNS区域中一样。
新建委派
新建一个区域委派,点击后弹出新建委派向导,在欢迎使用新建委派向导页,点击下一步;
在受委派域名页,输入需要委派的子域,然后点击下一步;
在名称服务器页,输入被委派到的DNS服务器的FQDN和IP地址,然后点击下一步;被委派的DNS服务器上必须具有以被委派的子区域(在此是tech.isacn.org)为域名的主要区域,否则不能正常完成此子区域的DNS解析;
在正在完成新建委派向导页,点击完成;
此时,你可以在DNS管理控制台中看到新建了一个区域委派(灰色目录)。除了修改此委派区域的名称服务器外,你不能对委派区域进行任何操作。
其他记录
除了上述的常用资源记录外,你还可以点击其他记录来创建其他的资源记录类型,如下图所示:选择记录类型后点击创建记录即可。
2、辅助区域
辅助区域和主要区域的属性基本相同,我在此着重介绍不同之处:
常规
在常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型和用于复制区域数据的主服务器地址。主服务器上必须允许了区域复制到此辅助DNS服务器。
辅助区域不能和活动目录集成,因此复制选项不可用;并且也不支持动态更新,因为辅助区域是只读的。
起始授权机构(SOA)
对于辅助区域而言,起始授权机构(SOA)记录是只读的,因此你不能在起始授权机构(SOA)标签进行任何配置,如下图所示:
名称服务器
和起始授权机构(SOA)记录一样,NS记录是只读的,因此你不能在辅助DNS服务器上修改名字服务器,如下图所示:
WINS
你可以在WINS标签配置辅助DNS服务器使用WINS查找,但是由于辅助DNS区域是只读的,所以对于从WINS服务器获得的记录,你只能缓存在本地,而不能将其复制到DNS区域中。
区域复制
你可以在区域复制标签配置将此辅助DNS区域复制到其他辅助DNS服务器,但是默认情况下是不会配置辅助区域的区域复制。
当在域控制器上安装DNS服务器时,辅助DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
和主要区域相比,辅助区域的管理任务只有三项,如下图所示:
重新加载:重新从本地的区域文件中加载此DNS区域;
从主服务器复制:本地辅助DNS服务器获取主服务器的SOA记录,然后和本地的SOA记录比较序列号,如果不同则从主服务器进行区域复制;
从主服务器重新加载:本地辅助DNS服务器直接从主服务器进行区域复制,而不管SOA记录的序列号是否相同。
3、存根区域
存根区域除了区域中包含的资源记录更少外,和辅助区域非常相似,管理任务都是相同的,属性设置中的几个不同之处是:
存根区域的数据可以存放在活动目录中;
存根区域不能执行WINS查找和区域复制;
第二部分 反向查找区域
一、创建反向查找区域
在此我先创建反向主要区域,同样由于存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。
1、创建主要区域
右击反向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;
(1)创建活动目录集成主要区域
在区域类型页,选择主要区域,点击下一步;由于这台DNS服务器是域控制器,所以下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项默认启用;此时,创建的主要区域即为活动目录集成主要区域。
在Active Directory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别如正向查找区域中的描述,接受默认选择后点击下一步;
在反向查找区域名称页,输入你想创建DNS区域的网络ID。DNS服务器根据网络ID来存储反向查找区域和进行DNS记录解析的,最小支持C类网络,不过你可以输入A类网络。在此我输入我的本地子网ID 10.1.1,点击下一步;
由于是活动目录集成主要区域,所以在动态更新页默认选择为安全更新,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时活动目录集成的反向主要区域就创建好了。
(2)创建标准主要区域
在区域类型页,选择主要区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;
在反向查找区域名称页,输入你的网络ID,在此我输入本地子网ID 10.1.1,点击下一步;
在区域文件页,接受默认创建的区域文件名,点击下一步;
在动态更新页,安全更新方式不可选,接受默认设置,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时标准反向主要区域就创建好了。
由于创建反向辅助区域和反向存根区域比较简单,在此我就不再描述了。
二、管理反向查找区域
反向主要区域的管理任务如下图所示,我仅介绍一下主要不同之处:新建指针(PTR)。
指针(PTR)记录用于IP地址到主机名的映射,你可以认为它是和A记录相对的。点击新建指针(PTR)弹出新建资源记录对话框,如下图所示:
首先,在主机IP号栏输入主机的IP地址,然后在主机名来输入主机的FQDN;如果你需要任何经过身份验证的用户修改此PRT记录,则勾选底部的选项,最后点击确定,此时,PTR记录就创建好了。
当你在创建A记录时,可以附带创建对应网络ID的反向查找区域中的PTR指针记录,并且每次修改A记录时,可以同时修改此PTR记录。
当执行nslookup命令行工具时,它会先对配置的DNS服务器执行反向查找,如果没有找到对应的PRT记录则发出警告,如下图所示:
当你配置PTR指针后,就可以消除此警告。
反向辅助区域和反向存根区域的管理任务类似于正向区域,在此我就不多描述了。