DNS服务器

DNS服务器和 域名服务器同义。
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表,以解析消息的域名。 域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。
DNS是计算机 域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由 域名解析器和 域名服务器组成的。域名服务器是指保存有该网络中所有 主机的域名和对应 IP地址,并具有将域名转换为IP地址功能的 服务器。其中域名必须对应一个IP地址,一个IP地址可以有多个域名,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器通常为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和 转发服务器。将域名映射为IP地址的过程就称为“ 域名解析”。

目录

  1. 1 背景介绍
  2. 2 原理
  3. 3 查询模式
  4. 4 域名解析技术
  1. 5 排除故障
  2.  故障现象
  3.  配置规则
  4.  处理总结
  5. 6 服务安装
  1.  安装服务器
  2.  创建区域
  3.  创建域名
  4.  设置客户端
  5.  配置转发器
  6. 7 保护技巧
  1. 8 服务器未响应
  2. 9 站点被屏
  3. 10 DNS服务器

背景介绍

DNS 是计算机 域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,也可采用DNS轮循实现一对多,域名虽然便于人们记忆,但机器之间只认IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS 命名用于 Internet等 TCP/IP网络中,通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时,DNS 服务可以将此名称解析为与之相关的其他信息,如 IP 地址。因为,你在上网时输入的 网址,是通过域名解析系统解析找到了相对应的IP地址,这样才能上网。其实,域名的最终指向是IP。  [1]  
在IPV4中IP是由32位二进制数组成的,将这32位二进制数分成4组每组8个二进制数,将这8个二进制数转化成十进制数,就是我们看到的IP地址,其范围是在0~255之间。因为,8个二进制数转化为十进制数的最大范围就是0~255。已开始试运行、将来必将代替IPv4的IPV6中,将以128位二进制数表示一个IP地址。 [1]  
大家都知道,当我们在上网的时候,通常输入的是网址,其实这就是一个域名,而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如,我们去一WEB服务器中请求一WEB页面,我们可以在浏览器中输入网址或者是相应的IP地址,例如我们要上新浪网,我们可以在IE的地址栏中输入网址,也可输入IP地址,但是这样子的IP地址我们记不住或说是很难记住,所以有了域名的说法,这样的域名会让我们容易的记住。
DNS:Domain Name System 域名管理系统域名是由圆点分开一串单词或缩写组成的,每一个域名都对应一个惟一的IP地址,这一命名的方法或这样管理域名的系统叫做域名管理系统。
申请了DNS后,客户可以自己为域名作解析,或增设子域名。客户申请DNS时,建议客户一次性申请两个。
DNS服务器在域名解析过程中的查询顺序为:本地缓存记录、区域记录、转发域名服务器、根域名服务器。

原理

DNS分为 Client和 Server,Client扮演发问的角色,也就是问Server一个 Domain Name,而Server必须要回答此Domain Name的真正 IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有,则会往该DNS上所设的DNS服务器询问,依此得到答案之后,将收到的答案存起来,并回答客户。DNS服务器会根据不同的授权区(Zone),记录所属该网域下的各名称资料,这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个快取缓存区(Cache),这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录快取缓存区中,这样当下一次还有另外一个客户端到此服务器上去查询相同的名称 时,服务器就不用在到别台 主机上去寻找,而直接可以从缓存区中找到该笔名称记录资料,传回给客户端,加速客户端对名称查询的速度。例如:
DNS服务器 DNS服务器
当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有,该服务器会先在自己的快取缓存区中查询有无该笔纪录,如果找到该笔名称记录后,会从DNS服务器直接将所对应到的IP地址传回给客户端 ,如果名称服务器在资料记录查不到且快取缓存区中也没有时,会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ,在另一台服务器上也有相同的动作的查询,当查询到后会回复原本要求查询的服务器,该DNS服务器在接收到另一台DNS服务器查询的结果后,先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ,最后在将所查询到的结果回复给客户端。

查询模式

有两种询问原理,分为Recursive [2]   和Iterative [2]   两种。前者是由DNS代理去问,问的方法是用Interative方式,后者是由本机直接做Interactive式的询问。由上例可以看出,我们一般查询名称的过程中,实际上这两种查询模式都是交互存在着的。递归式(Recursive):DNS客户端向DNS Server的查询模式,这种方式是将要查询的 封包送出去问,就等待正确名称的正确响应,这种方式只处理响应回来的封包是否是正确响应或是说是找不到该名称的错误讯息。
迭代式(Iterative):DNS Server间的查询模式,由Client端或是DNS Server上所发出去问,这种方式送封包出去问,所响应回来的资料不一定是最后正确的名称位置,但也不是如上所说的响应回来是错误讯息,他响应回来的是部分信息,告诉你所查询域名中的下一级域的域名服务器的地址信息,然后再到此域名服务器上去查询所要解析的名称,反复动作直到找到最终信息。

域名解析技术

很多企业都架设了多个Web站点来满足员工的工作需要,为了节省费用,这些网站
DNS服务器_第1张图片 DNS服务器
通常采用 虚拟主机技术,即在同一个服务器上架设多个网站,员工使用二级域名访问这些站点。然而,维护这些二级域名的工作量非常大,不过我们可以采用泛域名解析技术来解决这个难题,只要稍加设置Windows系统自带的DNS服务器就可以实现对泛域名的支持。下面分别以Windows Server 2003、Windows 2000的DNS服务器为例,介绍如何改造它们以实现泛域名解析。我们假设DNS服务器上有一个域rtj .net,要使DNS服务器支持对这个域的泛域名解析。
Windows 2000泛域名解析
方法一
打开DNS控制台,在“rtj.n et”区域上单击鼠标右键,在弹出的菜单中选择“新建域”,接着在“新建DNS域”对话框中输入“*” 创建一个名为“*”的二级区域,最后点击“确定”按钮。
这个区域是DNS服务器允许建立的,然后还需要在“*.rtj.n et”区域中创建一个空 主机名的记录。右键单击“*. rtj.n et”区域,在弹出的菜单中选择“新建 主机”,在“新建主机”对话框中,“名称”栏中不要输入任何内容,“IP地址”栏中输入泛域名解析指向的IP地址,例如输入“192.168.0.1”,最后单击“添加主机”按钮即可,这样就可以实现对rtj.n et域的泛域名解析。
方法二
我们还可以通过手工修改DNS数据文件来实现泛域名解析。直接修改系统目录下DNS文件夹中的DNS数据文件,进入“C?\Winnt\System32\dns”目录,找到rtj.n et.dns文件,使用记事本打开,手工添加一条“*A 192.168.0.1”记录,其中“A”表示该记录为地址记录,“192.168.0.1”是指泛域名所指向的IP地址,完成后保存文件,重新启动DNS服务器,加载这个DNS数据文件即可。
Windows Server 2003泛域名解析
Windows Server 2003系统的DNS服务器实现泛域名解析很简单,它允许使用“*”字符作为主机名称,只要在“rtj.n et”区域中创建一个名称为“*”的主机记录即可,过程非常简单。右键单击“rtj .ne t”区域,在弹出的菜单中选择“新建 主机” 在“新建主机”对话框的“名称”栏中输入“*”,“IP地址”栏中输入“192.168.0.1”,最后单击“添加主机”按钮即可。
完成以上设置后,可在客户端使用Ping命令测试任意二级域名解析是否成功。例如,在 命令提示符下输入“Ping fymjxcs.rtj.n et”命令,得到如图所示的响应信息,就表示泛域名解析成功。

排除故障

服务器不仅仅是企业 网络设备的中枢,也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障,软件的或者硬件的。很多故障是没有规律可言的,我们只能通过经验去解决。笔者负责公司服务器的维护工作,在一次实际工作中遇到了服务器无法登录的故障,排查起来比较奇特,写出来和各位读者分享。

故障现象

笔者公司规模不是很大,有大概50多台计算机,购买了两台IBM服务器,型号是X SERⅥCE 200。由于内部使用的某个应用软件需要Windows域的支持,所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为 域控制器DC,另一台设置为 备份域控制器BDC。
由于备份域控制器在 管理域上主要起辅助作用,所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了 主域控制器DC那台服务器无法登录到系统桌面的故障,每次启动该域控制器都停留在2000的登录界面,即在要求输入管理员 帐号和密码操作之前的界面,下方登录信息显示的是“正在连接网络”,等待近一个小时仍然没有任何进展,始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式,然而只要一进入正常模式就出现上面提到的问题。
由于系统登录总是停留在“正在连接网络”处,所以笔者怀疑是网络出现问题,例如主域控制器无法通过DNS解析自己。尝试进入安全模式将网卡禁用,这样系统就不会搜索网络,尝试连接网络了。果然通过禁用网卡后系统可以正常进入桌面。
不过禁用网卡并不能治本,虽然服务器可以登录桌面但是所提供的服务其他客户机也无法使用了。为什么没有了网卡就可以登录呢?笔者再次将解除故障的思路集中到域名解析上。众所周知在启用了域的网络中,DNS解析的域名与计算机是一一对应的,任何一台计算机没有在 主域控制器上保留正确的DNS对应名称的话都将无法使用网络。
笔者在主域控制器上查看DNS服务的配置,发现主域控制器的DNS地址被设置为 备份域控制器的IP地址。看来是备份域控制器上的DNS解析出现了问题。笔者马上到备份域控制器进行检查,原来是备份域控制器上的网线与网卡接口连接处松动了,也就是说备份域控制器实际上脱离了整个网络。将备份域控制器上的网线插牢后启动主域控制器上的网卡后就可以正常进入系统了,故障得到排除。

配置规则

本次故障看似是因为 备份域控制器上的网线松动造成的,实际上是我们在建立域时的配置出现问题的结果,为什么这么说呢?因为在建立域时我们最好按照以下规则来配置DNS。
⑴DC与BDC上都安装DNS服务,而不是仅仅一台服务器上启用,防止DNS解析错误,为DNS解析提供 冗余功能。
⑵DC本机DNS服务器设置为自己的IP地址,BDC本机DNS服务器也设置为自己的IP地址。
⑶同时在DC上辅助DNS服务器地址还要设置为BDC的地址,相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
这样我们在进行DNS解析时就不会轻易出问题了,
DNS服务器_第2张图片 DNS服务器
象本次这样的故障也不会发生了。因为登录 主域控制器时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置,即使BDC网线松动或关机也不会影响DC的登录。

处理总结

在Windows系统中配置 域控制器是件非常麻烦的事情,
DNS服务器_第3张图片 DNS服务器
而且故障的发生更没有规律可言,所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则,这样可以将故障发生机率降到最低。

服务安装

DNS(Domain Name System, 域名系统)是一种组织成层次结构的 分布式数据库,里面包含有从DNS域名到各种数据类型(如IP地址)的映射。这通常需要建立一种A(Address)记录,意为“ 主机记录”或“ 主机地址记录”,是所有DNS记录中最常见的一种。通过DNS,用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分,各部分之间用点分隔。最左边的是 主机名,其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“主机名+DNS域”的形式。
小提示:要想成功部署DNS服务,运行Windows Serve 2003的计算机中必须拥有一个静态IP地址,只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名,还需保证该DNS服务器能正常连接至Internet。

安装服务器

默认情况下Windows Server 2003系统中没有安装DNS服务器,
DNS服务器_第4张图片 DNS服务器
所做的第一件工作就是安装DNS服务器。
第1步,依次单击“开始/管理工具/配置您的服务器向导”,在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况,若没有发现问题则进入“服务器角色”向导页。
小提示:如果是第一次使用配置向导,则还会出现一个“配置选项”向导页,点选“自定义配置” 单选框即可。
第2步,在“服务器角色”列表中单击“DNS服务器”选项,并单击“下一步”按钮。打开“选择总结”向导页,如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”,则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置(如图1)。
第3步,向导开始安装DNS服务器,并且可能会提示插入Windows Server 2003的安装光盘或指定安装 源文件(如图2)。
小提示:如果该服务器当前配置为自动获取IP地址,则“Windows 组件向导”的“正在配置组件”页面就会出现,提示用户使用静态IP地址配置DNS服务器。

创建区域

DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
第1步,在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮,打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建 正向查找区域” 单选框处于选中状态。保持 默认选项并单击“下一步”按钮(如图3)。
第2步,打开“主服务器位置”向导页,如果所部署的DNS服务器
DNS服务器_第5张图片 DNS服务器
是网络中的第一台DNS服务器,则应该保持“这台服务器维护该区域” 单选框的选中状态,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮(如图4)。
第3步,打开“区域名称”向导页,在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“yesky .com”),单击“下一步”按钮(如图5)。
第4步,在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCⅡ文本文件,里面保存着该区域的信息,默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变,单击“下一步”按钮(如图6)。
第5步,在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息,在实际应用中比较有用,因此点选“允许非安全和安全动态更新” 单选框,单击“下一步”按钮(如图7)。
第6步,打开“转发器”向导页,保持“是,应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址,单击“下一步”按钮(如图8)。
小提示:通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
第7步,依次单击“完成/完成”按钮结束“yesky .com”区域的创建过程和DNS服务器的安装配置过程。

创建域名

利用向导成功创建了“yesky.c om”区域,可是内部用户还不能使用这个名称来访问内部站点,因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同 主机的域名才能提供域名解析服务。准备创建一个用以访问Web站点的域名“www.yesk y.c om”,具体操作步骤如下:
第1步,依次单击“开始”→“管理工具”→“DNS”菜单命令,打开“dnsmagt”控制台窗口。
第2步,在左窗格中依次展开“ServerName”→“ 正向查找区域”目录。然后用鼠标右键单击“yesky.c om”区域,执行 快捷菜单中的“新建主机”命令(如图9)。
图9 执行“新建 主机”命令
第3步,打开“新建主机”对话框,在“名称”编辑框中键入一个能代表该主机所提供服务的名称(本例键入“www”)。在“ IP地址”编辑框中键入该主机的IP地址(如“192.168.0.198”),单击“添加主机”按钮。很快就会提示已经成功创建了主机记录(如图10)。
最后单击“完成”按钮结束创建。

设置客户端

尽管DNS服务器已经创建成功,并且创建了合适的域名,可是如果在客户机的浏览器中却无法使用“www.yesky .com”这样的域名访问网站。这是因为虽然已经有了DNS服务器,但客户机并不知道DNS服务器在哪里,因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议(TCP/IP)属性”对话框中的“首选DNS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址(本例为“192.168.0.1”,如图11)。
图11 设置客户端DNS服务器地址
然后再次使用域名访问网站,你会发现已经可以正常访问了。

配置转发器

以Windows Server 2003系统中的DNS服务器为例介绍设置DNS转发器的方法:
第1步,打开DNS控制台窗口,在左窗格中右键单击准备设置DNS转发器的DNS服务器名称,选择“属性”命令。
第2步,打开服务器属性对话框,并切换到“转发器”选项卡。在“所选域的转发器的IP地址列表”编辑框中输入ISP提供的DNS服务器的IP地址,并单击“添加”按钮。
重复操作可以添加多个DNS服务器的IP地址。需要注意的是,除了可以添加本地ISP提供的DNS服务器IP地址外,还可以添加其他地区ISP的DNS服务器IP地址。
第3步,用户还可以调整IP地址列表的顺序。在转发器的IP地址列表中选中准备调整顺序的IP地址,单击“上移”或“下移”按钮即可进行相关操作。一般情况下应将响应速度较快的DNS服务器IP地址调整至顶端。单击“确定”按钮使设置生效。

保护技巧

DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。 [3]  
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。
3.使用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归 查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。 [3]  
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名服务器。当网络中的客户机使用这台DNS服务器去解析时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,你也 可以让DNS解析者同时被内、外部用户使用。
5.保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话,用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器,你可以配置它,打开DNS服务器的Properties对话框,然后点击“高级”表。选择“防止缓存污染”选项,然后重新启动DNS服务器。 [3]  
6.使DDNS只用安全连接
很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减
轻DNS管理员的管理费用 ,否则管理员必须手工配置这些主机的DNS资源记录。
然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。 [3]  
你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。这很容易做到,你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。
7.禁用区域传输[3] 
区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新 。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而,区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据 库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。你可以配置你的DNS服务器,禁止区域传输请求,或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防范。
8.使用防火墙来控制DNS访问[3] 
防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9.在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。 [3]  
HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制权限。
10.在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。 [3]  
应用服务防火墙
针对以上的问题AX有一个解决方式,就是DNS应用服务 防火墙,AX在这问题有三个有力的方法,可以有效的缓解这些攻击所造成的影响:
1、首先将非DNS协定的封包过滤(Malformed Query Filter)
2、再来将经由DNS服务器查询到的讯息做缓存(DNS Cache)
3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制(Connection Rate Limit)
Malformed Query Filter:
这种非正常的 封包通常都是用来将对外网络的频宽给撑爆,当然也会造成DNS服务器的忙碌,所以AX在第一线就将这类的封包过滤,正确的封包传递到后方的服务器,不正常的封包自动过滤掉避免服务器的负担。
DNS Cache:
当DNS查询的回应回到AX时,AX可以预先设定好哪些Domain要Cache哪些不需要Cache,如果有Cache,当下一个同样的查询来到AX时,AX就能从Cache中直接回应,不需要再去DNS服务器查询,一方面减轻了DNS服务器的负担,另一方面也加快了回应的速度。
再者,当企业选用此功能时更能仅设定公司的Domain做Cache,而非关此Domain的查询一律不Cache或者拒绝回应,这样更能有效的保护企业的DNS服务器。
而ISP之类需提供大量查询的服务,更适合使用此功能,为DNS服务提供更好更快的回应。
Connection RateLimit:
当查询的流量大到一定的程度时,例如同一个Domain每秒超过1000个请求,此时在AX上可以启动每秒的连线控制,控制进入到后端DNS服务器的查询量,超过的部分直接丢弃,更严格的保护DSN服务器的资源。
相信许多人期待在日新月异的网际网络中看到创新的网络技术,并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的,这也是一切网络应用服务的基础
热门事件
北京2014年1月21日,全国大范围出现DNS故障,下午15时20分左右,中国顶级域名根服务器出现故障,大部分网站受影响,此次故障未对国家顶级域名.CN造成影响,所有运行服务正常。 [4]  

服务器未响应

解决方法一
首先如果你安装了各大公司的安全软件的话,你可以使用自带的网络修复工具进行修复,这是非常方便而有效的解决方案
解决方法二
(1)打开网络和共享中心à当前所用的连接àtcp/ipv4,然后在自动获取DNS一项中选择使用下面的DNSs地址,可以使用8.8.8.8,然后看看能不能上网,如果不能请继续向下看。
(2)使用cmd命令,开始----运行cmd--------输入ping 127.0.0.1,这是你当前主机的地址,如果成功,则表明说明TCP/IP协议没一问题不需要重装,进行(3)步。否则你需要重新安装这个协议的驱动
(3)如果(2)没有问题,那你再输入ping 你的网关地址,即你的路由器地址或者交换机的网关地址,一般为192.168.0(或者1).1。网关具体获取方法是在命令行输入ipconfig/all,然后找到你当前连接网络类型对应的网关地址。
(4)如果提示成功,则表明路由器连接正常,不需要重启或者设置,进入第(4)步。如果不成功,则需要设置路由器,具体设置请搜索路由器设置引导,记得要选中DHCP。当然最简单的方法就是重启路由,这样一般的问题都会解决。
解决方法三
(1)如果问题还没有解决,那你最好重启一下电脑,或者试试别人的电脑。如果还不行的话,并且你又不是很懂电脑的话,可以打电话问一下网络运营商,可能是网络端dns配置错误。在确认运营商DNS没有错误的情况下,你可以试试下面的方案。
(2)使用ipconfig/all命令,查看下你的ipv4地址是多少,如果是以169开头,那这可能就是问题所在。由于ip一般设置为自动获取,但是在DHCP未启动或者未更新的情况下,你的ip就只能使用系统默认设置的地址。这时候你需要在服务里面重启dhcp client服务,并设置为自动,然后再次重新获取ip。
解决方法四
(1)如果问题依旧没有解决,那你就在tcp/ip中手动设置你的ip和dns,设置范例如下:上面红线1,最后一个数字可以随便更改,2为你的路由地址或者网关,3为dns服务器地址,可以随便找一个。然后看看能不能上网。
(2)如果再不行的话,那可能是你的网卡坏了,或者运营商dns的问题。

站点被屏

近期 百度站长平台收到多个反馈,称网站从百度网页搜索消失,site查询发现连通率为0 [5]   。
经追查发现这些网站都使用godaddy的DNS服务器 *.DOMAINCONTROL.COM,此系列DNS服务器存在稳定性问题,Baiduspider经常解析不到ip,在Baiduspider看来,网站是死站点
此前我们也发现过多起小dns服务商屏蔽Baiduspider解析请求或者国外dns服务器不稳定的案例
建议站长尽可能使用国内大型服务商提供的DNS服务,如dnspod等,以保证站点的稳定解析。

DNS服务器

DNS服务器迁移到 Windows Server 2012 R2时,你需要做什么?
DNS服务器没有特定的顺序,但确保做到以下几点:
  • DNS服务器停止使用运行。如果你正确地执行迁移,不要将它们作为初级区服务器。
  • DNS服务器重新配置 DHCP的地址范围。这是一个简单的任务。
  • DNS服务器重新对配置了静态地址的客户端进行重新配置。这可能是一个挑战,除非你的组织有完善的记录配置,否则你可能不知道哪些电脑有自己的DNS服务器静态分配配置。
DNS服务器不仅仅是电脑可能存在DNS服务器静态分配配置,DNS服务器一些应用程序也可以有静态分配的DNS服务器地址。在转换之前,DNS服务器不能响应请求。DNS服务器通过配置日志记录来判断请求是否通过,或者你可以使用更简单粗暴的方法,那就是关闭电脑,看是否有人开始尖叫。
DNS服务器地址很难确定是如何配置的,而管理员通常不只是将旧的DNS服务器的IP地址分配给新的DNS服务器。 [6]  

你可能感兴趣的:(Windows,dns服务器,互联网,服务器,计算机)