内容提要:DNS区域分为两大类:正向查找区域和反向查找区域,其中
正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;
反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,
DNS区域分为两大类:正向查找区域和反向查找区域,其中
正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;
反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,DNS服务器在反向查找区域中进行查找,并返回给DNS客户端对应的FQDN。
由于区域类别、区域类型的不同,在DNS服务器上创建区域时的操作也不同。
第一部分 正向查找区域
一、创建正向查找区域
1、创建主要区域
在此我先创建正向主要区域,由于正向区域存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。
右击正向查找区域,选择新建区域,
在弹出的欢迎使用新建区域向导页,点击下一步;
(1)创建标准主要区域
在区域类型页,选择主要区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;
在区域名称页,输入你的DNS区域名称,在此我命名为isacn.org,点击下一步;
在区域文件页,接受默认的区域文件名,点击下一步;标准主要区域的区域文件为文本文件格式,存放在%systemroot%system32dns目录下;
在动态更新页,选择你需要的动态更新方式,在此我接受默认的选择不允许动态更新,点击下一步;
在正在完成新建区域向导页,点击完成,此时,标准的正向主要区域就创建好了。
(2)创建活动目录集成主要区域
在区域类型页,选择主要区域,由于此DNS服务器是域控制器,所以下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)可选并且默认已经选择,此时,创建的主要区域即为活动目录集成区域,点击下一步;
在Active Directory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别在于:
至 Active Directory林winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录森林中的所有运行在域控制器上的DNS服务器,此选项会将DNS区域数据存储到活动目录中预定义的的ForestDnsZones应用程序分区中,并且在活动目录林中进行复制,复制范围最广;
至 Active Directory域winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录域中的所有运行在域控制器上的DNS服务器,此选项是默认选项,会将DNS区域数据存储到活动目录中预定义的DomainDnsZones应用程序分区中,它只会在域范围中进行复制;
至 Active Directory域winsvr.org中所有的域控制器:将DNS区域数据复制到活动目录域中的所有域控制器,而不管这些域控制器上是否运行DNS服务器;
到在以下应用程序目录分区的范围内指定的所有域控制器:你可以创建自定义的应用程序分区,并且指定由哪些域控制器进行复制。如果你已经创建好了应用程序分区,则此选项可选。
复制范围越广,复制引起的网络流量就越大,在选择复制方式时,请根据你的需要进行选择。在此我接受默认的至 Active Directory域winsvr.org中所有的DNS服务器,点击下一步;
在区域名称页,输入区域名称为isacn.org,点击下一步;
在动态更新页,接受默认的只允许安全的动态更新(适合Active Directory使用),这样DNS服务器只允许A记录的拥有者修改此A记录,点击下一步;
在正在完成新建区域向导页,点击完成,此时,活动目录集成区域就创建好了。
2、创建辅助区域和存根区域
除了辅助区域数据不能和活动目录集成外,辅助区域和存根区域的创建步骤是一样的。活动目录集成存根区域和标准存根区域的区别如活动目录集成主要区域和标准主要区域,在此就不多叙述了,下面我以创建辅助区域为例:
右击正向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;
在区域类型页,选择辅助区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为辅助区域不能与活动目录集成;
在区域名称页,输入你的辅助区域名称,在此我命名为isacn.org,点击下一步;
在主DNS服务器页,输入获取区域数据的源DNS服务器(称为主服务器)的IP地址,此主服务器可以由管理此主要区域的主DNS服务器或者其他管理相同辅助区域的辅助DNS服务器来担任,你可以输入多个主服务器,在此我输入主DNS服务器的IP地址10.1.1.2,点击添加后再点击下一步;
在正在完成新建区域向导页,点击完成,此时,辅助区域就创建好了。
需要注意的是,此时本地DNS服务器会联系主DNS服务器进行区域复制获取DNS区域数据,你必须在主DNS服务器上允许到此DNS服务器的区域复制,否则此DNS区域无法正常工作。
二、管理正向区域
根据区域类型和区域存储方式的不同,管理DNS区域的方式也不同,在此我根据区域类型来进行介绍:
1、主要区域
活动目录集成主要区域和标准主要区域相比,常规选项不同,并且具有安全标签。
常规
在活动目录集成主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、复制方式和动态更新方式;
而在标准主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、区域数据存储的文件名和动态更新方式,但是不支持安全动态更新。
点击老化按钮可以进入区域老化/清理属性设置,此设置必须和DNS服务器的老化/清理设置共同使用方可生效。
当启用老化时,对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个为0的时间戳记录,代表它们将不会老化。
无刷新间隔:无刷新间隔是在上次时间戳刷新后,DNS服务器拒绝再次进行刷新的时间周期,这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下,无刷新间隔为7天;
刷新间隔:刷新间隔是在无刷新间隔后的时候,在这段时间周期内允许DNS客户端刷新资源记录的时间戳,并且资源记录不会被DNS服务器清理。当无刷新间隔和刷新间隔之后,如果资源记录没有被DNS客户端进行刷新,则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天,这意味着默认情况下动态注册的资源记录将会在14天后被清理掉。
如果你需要修改这两个参数,请记住以下原则:刷新间隔应该大于或等于无刷新间隔。
起始授权机构(SOA)
起始授权机构(SOA)标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时,它首先通过SOA记录来决定此DNS区域的基本信息和主服务器,如下图所示:
序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域复制。
主服务器:主服务器包含了此DNS区域的主DNS服务器的FQDN,此名字必须使用“.”结尾。
负责人:指定了管理此DNS区域的负责人的邮箱,你可以修改为在DNS区域中定义的其他RP(负责人)资源记录,此名字必须使用“.”结尾。
刷新间隔: 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。
重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。
过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间,当到达此时间限制时,辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。
最小(默认)TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。
注意:增大TTL可以减少网络中DNS解析请求的流量,但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。
此记录的TTL:此参数用于设置此SOA记录的TTL值,这个参数将覆盖最小(默认)TTL中设置的值。
名称服务器
名字服务器标签允许你配置DNS区域的NS资源记录,NS记录用于指定此DNS区域中的权威DNS服务器,默认情况下会包含此DNS区域的主服务器,并且一个区域至少必须具有一个NS资源记录。
和SOA记录一样,你只能在区域属性中对NS记录进行修改,你不能创建NS记录。
你可以在WINS标签配置DNS服务器使用WINS查找,此时,当DNS服务器无法解析某个FQDN时,将会使用配置的WINS服务器来查询此FQDN的主机名;对于正向区域是查询WINS服务器的正向记录,对于反向区域是查询WINS服务器的反向记录;如果在WINS服务器上查询到对应的记录,则DNS服务器会将此记录复制到此区域中,你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。
区域复制
你可以在区域复制标签中配置是否允许此区域进行区域复制,以及区域复制到的对象,它们之间的区别在于:
到所有服务器:所有服务器都可以从此DNS服务器获取此区域的区域数据;
只有在“名称服务器”选项卡中列出的服务器:只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据;
只允许到下列服务器:只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据;
在Windows 2000中,默认情况下是允许区域复制到所有服务器,这个选项具有安全隐患,所以在Windows Server 2003中,对于标准主要区域,默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中,而对于活动目录集成主要区域,由于通过活动目录进行复制,默认情况下是不允许区域复制。
你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新,默认情况下此DNS区域更新时,主服务器会通知名称服务器标签中的所有DNS服务器。
当某个标准区域产生以下事件时,将进行通知或初始化区域复制:
主DNS区域的SOA记录的刷新间隔过期;
辅助DNS服务器启动;此时辅助DNS服务器会联系主服务器获取SOA记录,然后比较本地的SOA记录来决定是否需要区域复制;
主服务器上对区域数据进行了修改,则主服务器按照配置来通知辅助DNS服务器。
当初始化区域复制时,辅助DNS服务器可以从主服务器执行增量区域传输(IXFR)或者完全区域传输(AXFR),运行在Windows Server 2003上的DNS服务器支持IXFR和AXFR。默认情况下,运行在Windows 2000服务器和Windows Server 2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR,此时,只有更新数据才会进行传输;Windows NT服务器不支持IXFR,只能执行AXFR,此时,将会对所有区域数据进行传输。
安全
当在域控制器上安装DNS服务器时,DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
管理任务
主要区域的管理任务如下图所示:
更新服务器数据文件:同DNS服务器的更新服务器数据文件管理任务;
重新加载:重新从本地的区域文件或者活动目录中加载此DNS区域;
新建主机(A):在此DNS区域中新建主机(A)记录,如下图所示:
其中创建相关的指针(PTR)记录要求本地DNS服务器上具有对应网络ID的反向查找区域,否则会创建失败。
新建别名(CNAME):在此DNS区域中新建别名(CNAME)记录,如下图所示;在创建别名记录之前,必须已经为需要创建别名的主机创建了A记录。
新建邮件交换器(MX):新建邮件交换器(MX)记录,如下图所示;在创建邮件交换器记录之前,必须已经为此MX记录所对应的邮件服务器创建了A记录;在主机或子域中输入邮件域名,如果不输入则代表此DNS区域;你可以针对相同的DNS域配置多个MX记录,但是邮件服务器优先级数值越低的MX记录具有越高的优先级。
新建域:新建一个子区域,如下图所示;新建一个子区域后,你可以在子区域中创建其他资源记录包括子区域,和父DNS区域中一样。
新建委派
新建一个区域委派,点击后弹出新建委派向导,在欢迎使用新建委派向导页,点击下一步;
在受委派域名页,输入需要委派的子域,然后点击下一步;
在名称服务器页,输入被委派到的DNS服务器的FQDN和IP地址,然后点击下一步;被委派的DNS服务器上必须具有以被委派的子区域(在此是tech.isacn.org)为域名的主要区域,否则不能正常完成此子区域的DNS解析;
在正在完成新建委派向导页,点击完成;
此时,你可以在DNS管理控制台中看到新建了一个区域委派(灰色目录)。除了修改此委派区域的名称服务器外,你不能对委派区域进行任何操作。
其他记录
除了上述的常用资源记录外,你还可以点击其他记录来创建其他的资源记录类型,如下图所示:选择记录类型后点击创建记录即可。
2、辅助区域
辅助区域和主要区域的属性基本相同,我在此着重介绍不同之处:
常规
在常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型和用于复制区域数据的主服务器地址。主服务器上必须允许了区域复制到此辅助DNS服务器。
辅助区域不能和活动目录集成,因此复制选项不可用;并且也不支持动态更新,因为辅助区域是只读的。
起始授权机构(SOA)
对于辅助区域而言,起始授权机构(SOA)记录是只读的,因此你不能在起始授权机构(SOA)标签进行任何配置,如下图所示:
名称服务器
和起始授权机构(SOA)记录一样,NS记录是只读的,因此你不能在辅助DNS服务器上修改名字服务器,如下图所示:
WINS
你可以在WINS标签配置辅助DNS服务器使用WINS查找,但是由于辅助DNS区域是只读的,所以对于从WINS服务器获得的记录,你只能缓存在本地,而不能将其复制到DNS区域中。
区域复制
你可以在区域复制标签配置将此辅助DNS区域复制到其他辅助DNS服务器,但是默认情况下是不会配置辅助区域的区域复制。
当在域控制器上安装DNS服务器时,辅助DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
和主要区域相比,辅助区域的管理任务只有三项,如下图所示:
重新加载:重新从本地的区域文件中加载此DNS区域;
从主服务器复制:本地辅助DNS服务器获取主服务器的SOA记录,然后和本地的SOA记录比较序列号,如果不同则从主服务器进行区域复制;
从主服务器重新加载:本地辅助DNS服务器直接从主服务器进行区域复制,而不管SOA记录的序列号是否相同。
3、存根区域
存根区域除了区域中包含的资源记录更少外,和辅助区域非常相似,管理任务都是相同的,属性设置中的几个不同之处是:
存根区域的数据可以存放在活动目录中;
存根区域不能执行WINS查找和区域复制;
第二部分 反向查找区域
一、创建反向查找区域
在此我先创建反向主要区域,同样由于存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。
1、创建主要区域
右击反向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;
(1)创建活动目录集成主要区域
在区域类型页,选择主要区域,点击下一步;由于这台DNS服务器是域控制器,所以下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项默认启用;此时,创建的主要区域即为活动目录集成主要区域。
在Active Directory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别如正向查找区域中的描述,接受默认选择后点击下一步;
在反向查找区域名称页,输入你想创建DNS区域的网络ID。DNS服务器根据网络ID来存储反向查找区域和进行DNS记录解析的,最小支持C类网络,不过你可以输入A类网络。在此我输入我的本地子网ID 10.1.1,点击下一步;
由于是活动目录集成主要区域,所以在动态更新页默认选择为安全更新,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时活动目录集成的反向主要区域就创建好了。
(2)创建标准主要区域
在区域类型页,选择主要区域,点击下一步;注意看,下部的在Active Directory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;
在反向查找区域名称页,输入你的网络ID,在此我输入本地子网ID 10.1.1,点击下一步;
在区域文件页,接受默认创建的区域文件名,点击下一步;
在动态更新页,安全更新方式不可选,接受默认设置,点击下一步;
最后在正在完成新建区域向导页,点击完成,此时标准反向主要区域就创建好了。
由于创建反向辅助区域和反向存根区域比较简单,在此我就不再描述了。
二、管理反向查找区域
反向主要区域的管理任务如下图所示,我仅介绍一下主要不同之处:新建指针(PTR)。
指针(PTR)记录用于IP地址到主机名的映射,你可以认为它是和A记录相对的。点击新建指针(PTR)弹出新建资源记录对话框,如下图所示:
首先,在主机IP号栏输入主机的IP地址,然后在主机名来输入主机的FQDN;如果你需要任何经过身份验证的用户修改此PRT记录,则勾选底部的选项,最后点击确定,此时,PTR记录就创建好了。
当你在创建A记录时,可以附带创建对应网络ID的反向查找区域中的PTR指针记录,并且每次修改A记录时,可以同时修改此PTR记录。
当执行nslookup命令行工具时,它会先对配置的DNS服务器执行反向查找,如果没有找到对应的PRT记录则发出警告,如下图所示:
当你配置PTR指针后,就可以消除此警告。
反向辅助区域和反向存根区域的管理任务类似于正向区域,在此我就不多描述了。