Windows Server 2008 的DNS部署与安全
目录
第一部分:原理知识。
1、DNS
2、域名组成
2.1、域名组成概述
2.2、域名组成
3、监听端口
4、DNS解析种类
4.1、按照查询方式分类
4.2、按照查询内容分类:
5、DNS服务器搭建过程
7、DNS服务器处理域名请求的顺序
8、辅助DNS服务器
9、清除DNS缓存
9.1、客户机上清除缓存
9.2、服务器上清除缓存
10、域名解析记录类型:
11、反向DNS
12、DNS服务器分类
13、客户机域名请求解析顺序
14、服务器对域名请求的处理顺序
第二部分:实验过程
2.1 安装dns软件
2.2 新建区域、新建组
2.3 反向解析
2.4 转发器
2.5 辅助DNS服务器(用来备份主服务器的)
2.6 虚拟机怎么上真网呢?
2.7 在真实网络下如果想让win7以server1为dns上网呢?
2.8 别名(www.baidu.com竟然也是别名)
第一部分:原理知识。
1、DNS
Domain Name Service
域名服务
作用:为客户机提供域名解析服务器
2、域名组成
2.1、域名组成概述
如"www.sina.com.cn"是一个域名,从严格意义上讲,"sina.com.cn"才被称为域名(全球唯一),而"www"是主机 名。 "主机名.域名"称为完全限定域名(FQDN)。一个域名下可以有多个主机,域名全球唯一,那么"主机名.域名"肯定也 是全球唯一的。
以"sina.com.cn"域名为例,一般管理员在命名其主机的时候会根据其主机的功能而命名,比如网站的是www,博客的是blog,论坛的是bbs,那么对应的FQDN为www.sina.com.cn,blog.sina.com.cn,bbs.sina.com.cn。这么多个FQDN,然而我们只需要申请一个域名即"sina.com.cn"即可。
2.2、域名组成
根域 .
顶级域
国家顶级域 cn jp hk uk
商业顶级域 com 商业机构 gov 政府机构 mil 军事机构 edu 教育机构 org 民间组织架构 net 互联网
如:www.baidu.com.
.为根域
.com为顶级域
baidu为一级域名
www为主机名
FQDN=主机名.DNS后缀
FQDN(完整合格的域名)
3、监听端口
TCP 53
UDP 53
4、DNS解析种类
4.1、按照查询方式分类
https://www.jianshu.com/p/42f4e72b43f0
1)递归查询:客户机与本地DNS服务器之间
2)迭代查询:本地DNS服务器与根等其他DNS服务器的解析过程
4.2、按照查询内容分类:
1)正向解析:已知域名,解析IP地址
2)反向解析:已知IP地址,解析域名
5、DNS服务器搭建过程
1)要求网卡IP是静态IP地址。
2)安装DNS服务器插件(也就是安装并开启TCP及UDP53端口)
3)创建区域文件(负责一个域名后缀的解析,如baidu.com为域名后缀,一台DNS服务器内可存放多个区域文件)
4)新建A记录
6、DNS客户机如何解析
1)指向DNS
2)手工解析域名:
nslookup 域名
nslookup
域名
7、DNS服务器处理域名请求的顺序
1)DNS高速缓存(必须学会如何查看及清空)
2)DNS区域配置文件
3)DNS转发器
4)根提示
8、辅助DNS服务器
9、清除DNS缓存
9.1、客户机上清除缓存
ipconfig /flushdns
9.2、服务器上清除缓存
windows服务器:dns工具--查看--高级,调出缓存来,然后右键清除缓存
10、域名解析记录类型:
A记录: 正向解析记录
CNAME记录:别名
PTR记录:反向解析记录
MX:邮件交换记录
NS:域名服务器解析
11、反向DNS
nslookup手工解析时,会进行一个反向解析
12、DNS服务器分类
主要名称服务器
辅助名称服务器
根名称服务器
高速缓存名称服务器(就是刚安装dns软件的服务器)
13、客户机域名请求解析顺序
1.DNS缓存----
2.本地hosts文件--
3.找本地DNS服务器
14、服务器对域名请求的处理顺序
1.DNS高速缓存--
2.本地区域解析文件--
3.转发器--
4.根
第二部分:实验过程
2.1 安装dns软件
首先配置server1的静态IP
之后装DNS软件儿。
之后netstat -an,可以看到TCP和UDP的53端口都开了
既然咱们安装好了,之后开始-》管理工具-》DNS,打开控制台进行操作。
2.2 新建区域、新建组
现在比如需要解析百度域名儿。在正向查找区域,右键、新建区域、
这个区域名称的意思,以后我就是这个域的权威服务器。
会创建一个区域解析文件。
SOA指这台是baidu.com的权威服务器
NS那个地方目前为止负责解析baidu.com的服务器就我这一台,以后做了辅助DNS这还有第二台
于是就出现了一条记录,这台服务器解析www.baidu.com的IP为1.1.1.1。
现在怎么验证呢》打开网址肯定不行,因为两台虚拟机都连接vnmet3,上不了网。
去win7输入 nslookup www.baidu.com
.
哦哟,这是为啥。因为win7的DNS是自动指派的,不是我们设置好的server1。现在已知server1的IP:10.1.1.1。手动配置win7的DNS
现在再次验证。成功拿到刚刚设置的百度的IP。
去真机看看nslookup是个怎么样的。
这个非权威应答表示给我IP的不是权威服务器。
ipconfig /flushdns 代表清空本地缓存
ipconfig /displaydns 可以显示本地dns记录
现在看那个Unknown,就是win7不知道服务器(10.1.1.1)名字是啥。这时候需要反向解析。
2.3 反向解析
首先需要在正向区域里建一条这个
然后再反向查找区域邮件新建区域,
建好了区域再建立一个指针。
之后再次在win7中进行操作就可以顺利看到服务器名字了
2.4 转发器
之后我们再玩一下转发器的操作。这个需要第二台windows server(10.1.1.2),安装dns操作如一就不详述了。
在server2中新建了区域qq.com,新建了主机www的IP为6.6.6.6.
三台虚拟机都连接的是vmnet3.
现在win7不知道server2是dns服务器。win7只知道问server1,这个时候怎么才能让win7也知道www.qq.com的IP呢?
就可以给server1设置转发器。
这样当win7问server1 www.qq.com的IP是多少啊?server1不知道的话就去问server2,再将server2的结果转给win7.
现在就成功了!
2.5 辅助DNS服务器(用来备份主服务器的)
在server1允许复制。
在上述基础上继续做实验,server2新建一个辅助区域,复制server1 baidu.com区域的所有。
建好了之后会需要一段时间复制
刷新得到以下结果
2.6 虚拟机怎么上真网呢?
设置vmnet1连接到我的无线网卡(因为我真机是无线上网)
这是桥接模式,相当于直接连接的外网。再将win7的IP和DNS全设置为自动分配,
清空原来实验的dns缓存,
ipconfig /flushdns
就可以正常上网了。
将server1用同样的操作让他也可以上网。
2.7 在真实网络下如果想让win7以server1为dns上网呢?
首先需要清理server1之前设置的那些乱七八糟的地址。即缓存。
然后给win指派server1为dns服务器。server1目前的IP是192.168.5.15
再把server1之前的设置的转发器去掉。这个时候win7还能正常上网吗?
可以看到清楚了dns缓存之后,server1是一台高速缓存名称服务器,可以为以他为dns的电脑提供域名解析。
但是我现在不舍得让server1去劳动,于是瞅了瞅本地dns服务器地址是
于是设置server1的转发器。
现在win7再想要dns服务,server1就不用受累了,使唤本地dns服务器就行了、
如果想要公司所有的dns服务器都设置为server1,就要设置dhcp服务器让所有的主机都把server1当他的dns、
2.8 别名(www.baidu.com竟然也是别名)
首先在server1中新建一个域,在域中添加一个组
这个时候新建别名
然后在win7中验证。
可以看到我们访问的百度并非百度原来的域名,只是个别名