部署网域前的准备
先谈谈为什么要部署网域?
众所周知,微软管理计算机可以使用工作组和域两个模式,默认情况下计算机安装完操作系统后是隶属于工作组的。工作组的特点是分散管理,域集中管理,提供资源,分配资源。
实验拓扑图:
实验拓扑图:
Beijing,Shanghai=Win 2003 R2。
DNS服务器对网域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的Srv记录来定位域控制器,因此我们在创建网域之前最好先做好DNS的准备工作。那么究竟由哪台计算机来负责做DNS服务器呢?一般有两种选择,要么使用域控制器(DC)来做DNS服务器,要么使用一台单独的DNS服务器。大家可以根据具体的网络环境来选择DNS服务器。根据网络拓扑图,Beijing服务器指定IP/DNS,
安装 DNS组件
1.安装DNS服务组件
由于Windows 2003在默认的安装过程中DNS组件是不被安装的,需要手动去添加,添加方法如下:“开始―设置―控制面板―添加删除程序―添加/删除Windows组件”,则可以看到如下画面:向下拖动右边的滚动条,单选“网络服务”, 点击“详细信息”进行自定义安装,在这里只需要DNS(域名系统),
然后点“确定”,整个安装过程中请保证Windows Server 2003安装光盘位于光驱中。
2.DNS 配置
1 新建区域并允许动态更新
DNS服务器有正向区域和反向区域,正向区域负责把域名解析为IP,而反向区域负责把IP解析为域名。
一般使用较多的是正向区域,而且从逻辑上考虑,必然是先创建主要区域,因为辅助区域和存根区域都需要从主要区域复制数据,因此我们现在创建一个正向的主要区域demo.com。我们在DNS服务器上选择创建一个正向区域,区域名称和域名相同,域内计算机的DNS记录都存储在这个区域中。我们在DNS服务器上打开DNS管理器,如下图所示,右键单击正向查找区域,选择“新建区域”。
区域类型选择“主要区域”;下面有一项在Active Directory中存储区域(只有DNS服务器是域控制器时才可用),默认情况下是不可勾选的,为什么说只有DNS服务器是域控制器时才可用?因为只有先提升成为域控制器后,再新建区域,则DNS数据库才能存储到活动目录里面(即可选),如果不可选的话,你的DNS数据库就只能以一个文本文件存放在windows文件夹里面。
点击 “下一步”继续,区域名称和域名相同,是demo.com
点击 “下一步”继续,
想让AD复制拓扑正常,一定要选用允许动态更新,因为只有允许了动态更新,AD之间数据的变化才能及时传递给对方(一般来说,如果DNS区域在企业内网使用,我们会允许动态更新;如果用于Internet,那么一般不需要动态更新)。
区域创建完毕,点击完成结束创建。
2.
检查和编辑NS和SOA记录(NS名称服务器) (SOA起始授权机构)
区域创建完成后,会自动生成NS记录和SOA记录,NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录,一定要检查一下区域的NS记录和SOA记录。NS记录描述了有多少个DNS服务器可以解析这个区域,SOA记录描述了哪个DNS服务器是区域的主服务器。如果NS记录和SOA记录出错,域的创建过程中就无法向DNS区域中写入应有的记录。
假设demo.com区域有两个DNS服务器负责解析,Beijing.demo.com是主服务器,shanghai.demo.com是辅助服务器,Beijing.demo.com的ip是192.168.1.111,shanghai.demo.com的ip是192.168.1.112。那么我们应该创建两条NS记录,当然,NS记录依赖A记录的解析,我们首先应该为Beijing.demo.com和shanghai.demo.com创建两条A记录,创建的A记录如下图所示。
区域创建完成后,会自动生成NS记录和SOA记录,NS记录和SOA记录是任何一个DNS区域都不可或缺的两条记录,一定要检查一下区域的NS记录和SOA记录。NS记录描述了有多少个DNS服务器可以解析这个区域,SOA记录描述了哪个DNS服务器是区域的主服务器。如果NS记录和SOA记录出错,域的创建过程中就无法向DNS区域中写入应有的记录。
假设demo.com区域有两个DNS服务器负责解析,Beijing.demo.com是主服务器,shanghai.demo.com是辅助服务器,Beijing.demo.com的ip是192.168.1.111,shanghai.demo.com的ip是192.168.1.112。那么我们应该创建两条NS记录,当然,NS记录依赖A记录的解析,我们首先应该为Beijing.demo.com和shanghai.demo.com创建两条A记录,创建的A记录如下图所示。
有了两条主机记录的支持,我们就可以编辑ns记录了,如下图所示,当前区域的ns记录是创建demo.com区域时系统自动创建的。这条ns记录并不能正常工作,因为beijing并不是一个可以解析的完全合格域名,因此我们删除这条记录,重新再创建两条NS记录。
如下图所示,我们创建一条ns记录,ns服务器的完全合格域名是beijing.demo.com.,解析出的IP是192.168.1.111,这条记录说明有一个服务器beijing.demo.com负责demo.com的域名解析。
创建完成的结果如下图所示。
SOA
记录
NS记录说明了有两个DNS服务器负责demo.com的域名解析,但哪个是主服务器呢?NS记录并没有说明,这个任务由SOA记录来完成。SOA记录也称为起始授权机构记录,SOA记录中负责说明哪个DNS服务器是主服务器,以及主服务器和辅助服务器之间的一些关联参数。如下图所示就是demo.com的SOA记录,我们逐一进行分析。
首先我们要分析序列号,序列号反映了DNS服务器数据变化的次数,DNS服务器的数据每更新一次,序列号就加大一位。但我们仔细想想,对管理员来说,了解这个参数意义不大,因为DNS服务器到底是更新了10000次还是9999次对管理员来说并没有实质性的影响。实际上,这个参数是给辅助服务器使用的。我们前面提到,辅助服务器的数据都是从主服务器复制而来的,那么辅助服务器怎么判断主服务器的数据有没有进行更新呢?辅助服务器只要简单地检查一下主服务器的序列号就明白了,如果主服务器的序列号比辅助服务器的序列号大,那么辅助服务器就应该去主服务器进行增量更新了。
首先我们要分析序列号,序列号反映了DNS服务器数据变化的次数,DNS服务器的数据每更新一次,序列号就加大一位。但我们仔细想想,对管理员来说,了解这个参数意义不大,因为DNS服务器到底是更新了10000次还是9999次对管理员来说并没有实质性的影响。实际上,这个参数是给辅助服务器使用的。我们前面提到,辅助服务器的数据都是从主服务器复制而来的,那么辅助服务器怎么判断主服务器的数据有没有进行更新呢?辅助服务器只要简单地检查一下主服务器的序列号就明白了,如果主服务器的序列号比辅助服务器的序列号大,那么辅助服务器就应该去主服务器进行增量更新了。
主服务器这个参数的重要性不言而喻,目前的SOA记录中主服务器参数是beijing.,这并不是一个可以解析的完全合格域名,我们应该把主服务器改为beijing.demo.com.,如下图所示,这才是正确的主服务器参数。可能大家会有疑问,为什么NS记录和SOA记录默认都是beijing.,主要是因为beijing.是这台DNS服务器的NETBIOS名称。
刷新间隔指的是辅助服务器每隔15分钟联系一下主服务器,查看主服务器有无数据更新。重试间隔10分钟值的是如果辅助服务器和主服务器失去了联系,那么辅助服务器每隔10分钟联系一下主服务器,在此期间由辅助服务器负责当前区域的域名解析。过期时间是1天指的是如果辅助服务器过了一天还没有联系上主服务器,辅助服务器就会认为主服务器永远不会再回来了,自己的数据也没有保存的意义了,因此会宣布数据过期,并拒绝为用户继续提供解析服务。TTL一个小时指的是记录在DNS缓存中的生存时间是一个小时。
PTR 记录 ( 基于反向查找区域)
PTR记录也被称为指针记录,PTR记录是A记录的逆向记录,作用是把IP地址解析为域名。由于我们在前面提到过,DNS的反向区域负责从IP到域名的解析,因此如果要创建PTR记录,必须在反向区域中创建。下面我们举例说明如何创建反向区域以及PTR记录。
如下图所示,我们在DNS服务器的反向区域中选择“新建区域”。
出现新建区域向导,选择下一步继续。区域类型选择“主要区域”。
向导要求输入当前的网络号,网络号是IP地址和子网掩码进行与运算后的结果,反向区域的名称不能随便设置,必须是颠倒的网络号再加上in-addr.arpa后缀。例如当前的网络号是192.168.1,那反向区域的名称就应该是1.168.192.in-addr.arpa。
设置反向区域的数据文件,使用默认值即可。
这个区域不需要动态更新。
如下图所示,反向区域创建完成。
创建了反向区域之后,我们就可以在反向区域中创建PTR记录了,如下图所示,我们选择在反向区域中创建PTR记录。
如下图所示,我们创建的PTR记录把192.168.1.111解析为域名beijing.demo.com。
浏览,
创建了PTR记录后,我们就可以把IP解析为域名了,下图是我们用nslookup工具测试的结果,我们看到IP地址已经被正确地解析为域名了。其实当我们运行nslookup后,nslookup所做的第一件事就是把DNS服务器的IP地址192.168.1.111进行反向解析。
