DNS 服务器的配置与管理
1 DNS 服务器的概念和原理
DNS 是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名称解析和网络服务的系统。当用户提出利用计算机的主机名称查询相应的 IP 地址请求的时候, DNS 服务器从其数据库提供所需的数据。
§ DNS 域名称空间:指定了一个用于组织名称的结构化的阶层式域空间
§ 资源记录:当在域名空间中注册或解析名称时,它将 DNS 域名称与指定的资源信息对应起来
§ DNS 名称服务器: 用于保存和回答对资源记录的名称查询
§ DNS 客户:向服务器提出查询请求,要求服务器查找并将名称解析为查询中指定的资源记录类型
DNS 的启动设置
DNS 服务器在启动时,需要从相关配置文件中知道它所要管理的 zone 的信息,及文件的位置。对于符合 BIND (Berkeley Internet Name Domain) 规格的 DNS 服务器是利用 bootfile 来获得配置信息的。在 Windows2000 中可以利用下表中的方法启动 DNS 服务:
DNS 是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名称解析和网络服务的系统。当用户提出利用计算机的主机名称查询相应的 IP 地址请求的时候, DNS 服务器从其数据库提供所需的数据。
§ DNS 域名称空间:指定了一个用于组织名称的结构化的阶层式域空间
§ 资源记录:当在域名空间中注册或解析名称时,它将 DNS 域名称与指定的资源信息对应起来
§ DNS 名称服务器: 用于保存和回答对资源记录的名称查询
§ DNS 客户:向服务器提出查询请求,要求服务器查找并将名称解析为查询中指定的资源记录类型
|
|
|
DNS 域名
DNS 利用完整的名称方式来记录和说明 DNS 域名,就象用户在命令行显示一个文件或目录的路径,如 "C:\Winnt\System32\Drivers\Etc\Services.txt"。同样在在一个完整的 DNS 域名中包含着多级域名。
如 "host-a.example.microsoft.com." 其中 "host-a" 是最基本的信息(一台计算机的主机名称)"example"表示主机名称为host-a的计算机在这个子域中注册和使用它的主机名称 ,"microsoft" 是 "example" 的父域或相对的根域 (即 second-level domain),"com"是用于表示商业机构的top-level domain,最后的句点表示域名空间的根 (root)。
DNS 利用完整的名称方式来记录和说明 DNS 域名,就象用户在命令行显示一个文件或目录的路径,如 "C:\Winnt\System32\Drivers\Etc\Services.txt"。同样在在一个完整的 DNS 域名中包含着多级域名。
如 "host-a.example.microsoft.com." 其中 "host-a" 是最基本的信息(一台计算机的主机名称)"example"表示主机名称为host-a的计算机在这个子域中注册和使用它的主机名称 ,"microsoft" 是 "example" 的父域或相对的根域 (即 second-level domain),"com"是用于表示商业机构的top-level domain,最后的句点表示域名空间的根 (root)。
|
区域(zone)
区域 (zone) 是一个用于存储单个 DNS 域名的数据库,它是域名称空间树状结构的一部分, DNS 服务器是以 zone 为单位来管理域名空间的,zone 中的数据保存在管理它的 DNS 服务器中。当在现有的域中添加子域时,该子域既可以包含在现有的 zone 中,也可以为它创建一个新 zone 或包含在其它的 zone 中。一个 DNS 服务器可以管理一个或多个 zone ,同时一个 zone 可以由多个 DNS 服务器来管理。 用户可以将一个 domain 划分成多个 zone 分别进行管理以减轻网络管理的负荷,如图 5.2 所示,microsoft.com 是一个域,用户可以将它划分为两个 zone:microsoft.com 和 example.Microsoft.com,zone 的数据分别保存在单独的 DNS 服务器中。因为zone"example.Microsoft.com" 是从 |
|
|
"domain" 延伸而来,所以用户可以将 domain"microsoft.com" 称为 zone"example.Microsoft.com" 的 zone root domain。
|
|
5.1.2 DNS 查询的工作方式
当 DNS 客户机向 DNS 服务器提出查询请求时,每个查询信息都包括两部分信息:
§ 一个指定的 DNS 域名,要求使用完整名称(FQDN)
§ 指定查询类型,既可以指定资源记录类型又可以指定查询操作的类型
如指定的名称为一台计算机的完整主机名称"host-a.example.microsoft.com.", 指定的查询类型为名称的A (address) 资源记录。可以理解为客户机询问服务器"你有关于计算机的主机名称为'hostname.example.microsoft.com.'的地址记录吗?当客户机收到服务器的回答信息时,它解读该信息,从中获得查询名称的 IP 地址。
DNS 的查询解析可以通过多种方式实现。客户机利用缓存中记录的以前的查询信息直接回答查询请求, DNS 服务器利用缓存中的记录信息回答查询请求, DNS 服务器通过查询其它服务器获得查询信息并将它发送给客户机。这种查询方式称为递归查询。
另外, 客户机通过 DNS 服务器提供的地址直接尝试向其它 DNS 服务器提出查询请求。这种查询方式称为反复查询。
当 DNS 客户机利用 IP 地址查询其名称时,被称为反向查询。
当 DNS 客户机向 DNS 服务器提出查询请求时,每个查询信息都包括两部分信息:
§ 一个指定的 DNS 域名,要求使用完整名称(FQDN)
§ 指定查询类型,既可以指定资源记录类型又可以指定查询操作的类型
如指定的名称为一台计算机的完整主机名称"host-a.example.microsoft.com.", 指定的查询类型为名称的A (address) 资源记录。可以理解为客户机询问服务器"你有关于计算机的主机名称为'hostname.example.microsoft.com.'的地址记录吗?当客户机收到服务器的回答信息时,它解读该信息,从中获得查询名称的 IP 地址。
DNS 的查询解析可以通过多种方式实现。客户机利用缓存中记录的以前的查询信息直接回答查询请求, DNS 服务器利用缓存中的记录信息回答查询请求, DNS 服务器通过查询其它服务器获得查询信息并将它发送给客户机。这种查询方式称为递归查询。
另外, 客户机通过 DNS 服务器提供的地址直接尝试向其它 DNS 服务器提出查询请求。这种查询方式称为反复查询。
当 DNS 客户机利用 IP 地址查询其名称时,被称为反向查询。
|
本地查询:
下图显示了 DNS 查询的完整过程: |
|
|
|
|
如图 |
|
|
|
|
|
|
|
安装DNS服务器
步骤1 启动"添加/删除程序",之后出现"添加/删除程序"对话框 步骤2 单击"添加/删除 Windows 组件",出现 "windows 组件向导"单击下一步"出现 "Windows组件" 对话框从列表中选择"网络服务"如图 |
|
|
步骤3 单击"详细内容",从列表中选取"域名服务系统 (DNS)", 如图 单击"确定"
步骤4 单击"下一步"输入到 Windows2000 Server 的安装源文件的路径,单击"确定"开始安装 DNS 服务 步骤5 单击"完成",当回到"添加/删除程序"对话框后,单击"关闭"按钮 步骤6 关闭"添加/删除程序"窗口。 安装完毕后在管理工具中多了一个 "DNS" 控制台(安装结束后不用重新启动计算机) 在安装 Active Directory 的同时也安装和配置了 DNS 服务器,所以就不用在重复上述的安装过程了,具内容详见 Active Directory 的安装于配置。 |
|
DNS 的启动设置
DNS 服务器在启动时,需要从相关配置文件中知道它所要管理的 zone 的信息,及文件的位置。对于符合 BIND (Berkeley Internet Name Domain) 规格的 DNS 服务器是利用 bootfile 来获得配置信息的。在 Windows2000 中可以利用下表中的方法启动 DNS 服务:
| 方式 | 描述 |
从注册表 (Registry) 引导 |
初始化 DNS 服务时从注册表中读取配置参数,DNS 服务的默认引导方式。 |
从文件引导 |
初始化 DNS 服务时从符合 BIND 规格的 bootfile 中读取配置参数,首选必须从其它 BIND 服务器拷贝一份 bootfile 文件,在启动后相关配置参数将保存在注册表中。 |
从 DS 引导 |
初始化 DNS 服务时从 Active Directory 中读取配置参数 |
|
在 DNS 服务器启动后,用户可以看到如图 5.7 DNS 服务所在的计算机已经添加到 DNS 控制台中,其中包括"正向搜索区域、反向搜索区域"目录。
|
|
|
添加 DNS Zone
因为 DNS 的数据是以 zone 为管理单位的,因此用户必须先建立 zone。添加 Zone 的具体步骤如下: 步骤1 在 DNS 控制台中左侧窗体中选择服务器单击"操作"菜单选择"创建新区域",启动"创建新区域"向导 步骤2 在选择区域类型对话框中选择"标准主要区域"如图 5.8 步骤3 在"选择区域搜索类型"中选择"正向搜索"则创建的新区域存放在正向搜索区域目录中 |
|
|
步骤4 在区域名对话框中输入新区域的域名如图 5.9,如果创建辅助区域则需要输入"主要区域"的域名
步骤5 在文件名对话框中新文件文本框中自动输入了以域名为文件名的 DNS 文件,如果是创建"辅助区域"则选择"现存文件"并在文本框中输入文件名 步骤6 在完成设置对话框中显示以上所设置的信息单击"完成"按钮 |
|
下面用户对添加区域中的记录类型加以说明
记录的格式:
所有的资源记录(RRs) 都利用相同 top-level 子段组成其指定的格式
记录的格式:
所有的资源记录(RRs) 都利用相同 top-level 子段组成其指定的格式
|
子段
|
描述
|
Owner |
在 DNS 管理器中说明记录的所有者的 DNS 域名,与记录属性中的父类域名是一样的 |
Time-To-Live (TTL) |
对于许多记录这项是可选,它表示该记录在其它 DNS 服务器的缓存中保存的时间长度 |
Class |
对于许多记录这项是可选的,它利用标准的记忆文本表示记录所属的类,如在某个记录中的类子段中设置为 "IN" 表示记录属于 Internet 类 |
Type |
用标准的记忆文本表示记录的类型 |
Record-specific data |
记录必须具备的子段,它根据不同的记录类型和类以不同长度的子段表示记录信息 |
|
常用记录类型的说明
主机[A] 描述: 主机地址记录。在 DNS 域名与 IP 地址之间建立映射关系 语法: owner class ttl A IP_v4_address 例子: host1.example.microsoft.com. IN A 127.0.0.1 别名[CNAME] 描述: 用来表示用在该区域中的其它资源记录类型中已指定名称的替补或别名 DNS 域名。 语法: owner ttl class AFSDB subtype server_host_name 例子: aliasname.example.microsoft.com. AFSDB 1 truename.example.microsoft.com. 主机信息[HINFO] 描述: 用来说明映射到特定 DNS 主机名的 CPU 类型和操作系统类型的 RFC-1700 保留字符串类型,这个信息可以被应用程序通信协议使用。 语法: owner ttl class HINFO cpu_type os_type 例子: my-computer-name.example.microsoft.com. HINFO INTEL-386 WIN32 邮箱[MB] 描述: 用来将指定的域邮箱名映射到这个邮箱的主机的当前区域中的主机地址记录 语法: owner ttl class MB mailbox_hostname 例子: mailbox.example.microsoft.com. MB mailhost1.example.microsoft.com |
|
邮箱或通信信息 MINFO
描述: 用来指定负责维护该记录中特定通信名单或邮箱的联系域邮箱名称。同时,还被用来指定接收与该记录中特定通信名单或邮箱有关的错误信息的邮箱 语法: owner ttl class MINFO responsible_mailbox error_mailbox 例子: administrator.example.microsoft.com. MINFO resp-mbox.example.microsoft.com err-mbox.example.microsoft.com 邮件交换器 [MX] 描述: 用来向特定邮件交换器提供消息路由,该主机作为指定 DNS 域名的邮件交换器。MX 记录需要一个16-位整数来表示消息路由中的主机优先级,多个邮件交换在消息一中被指定。对于这个记录类型中的每个邮件交换主机,需要一个相应的主机地址类型记录。 语法: owner ttl class MX preference mail_exchanger_host 例子: example.microsoft.com. MX 10 mailserver1.example.microsoft.com 指针记录 [PTR] 描述:用来指向域名空间中的某个位置。PTR记录通常在特殊域中来执行地址到名称镜像的反向搜索。每个记录提供要指向域名称空间的某个其它位置的简单数据。 Syntax: owner ttl class PTR targeted_domain_name 例子: 1.0.0.10.in-addr.arpa. PTR host.example.microsoft.com. |
|
服务记录 [SRV]
描述: SRV 资源记录允许管理员使用单一 DNS 域的多个服务器,容易的用管理功能将 TCP/IP 服务从一个主机移到另一个主机,并且将服务提供的程序主机分派为服务的主服务器,将其它的分派为辅助的 语法: service.protocol.name ttl class SRV preference weight port target 例子: ldap.tcp.ms-dcs SRV 0 0 389 dc1.example.microsoft.com SRV 10 0 389 dc2.example.microsoft.com 已知服务记录 [WKS] 描述: 用来描述一个特定 IP 地址上特定通讯协议支持的 TCP/IP 服务,它提供 TCP 和 UDP 可使用性信息。如果服务器同时支持 TCP 和 UDP 的已知服务,或者有多个支持服务的 IP 地址,多个 WKS 记录会被使用 语法: owner ttl class WKS address protocol service_list 例子: example.microsoft.com. WKS 10.0.0.1 TCP ( telnet smtp ftp ) 在"起始颁发机构" SOA 中,记录了这个 Zone 中 DNS 服务器是那一台主机,也记录着负责本 zone 的管理员的邮件地址,如果以后在安装邮件服务器需要修改该信息时,注意将邮件地址中的 "@" 符改为句点 "." ,因为 "@" 是保留字,代表 zone;另外,要使用域完整名称 FQDN,不要漏掉最后的句点。可以通过 "zone→属性→起始颁发机构"对管理员邮件地址进行修改。 |
|
添加 DNS Domain
在一个区域中用户还可以按地域、职能等划分为多个子域便于管理,如用户可以在 NT2000.com 域中按部门划分为"sale","accounting","mis"等部门。下面用户举例说明在 nt2000.com 域中加入 accounting 子域: 步骤1 单击 nt2000.com 后单击"操作"单击"新建",选择域 步骤2 在域对话框中输入域名 步骤3 单击确定 添加反向查询区域 (zone) 反向查询可以让用户利用 IP 地址查询名称。添加反向查询的具体步骤如下: |
|
|
步骤1 在DNS控制台中选择"反向查询区域→操作→创建
新区域" 步骤2 启动创建新区域向导→在选择区域类型对话框中选择标准主要区域 步骤3 在网络 ID 对话框中输入反向搜索区域的网络标识 (假设提供反向查询的 zone 为198.188.188),向导会自动输入子网掩码并在文件名对话框中输入的新文件名称如图中的 255.255.255,188.188.198.in-addr.arpa.dns。 |
|
|
步骤4 单击"完成"按钮则在反向搜索区域中添加了一个新区域如图
|
|
|
设置 DNS 服务器的动态更新
在以前版本的 DNS 服务器中的主机地址记录是手工添加的,当主机的 IP 地址发生变化时,需要管理员手工修改,在 Windows2000 中可以利用动态更新的方式,当 DHCP 主机 IP 地址发生变化时,会在 DNS 服务器中自动更新,这样减轻了管理员的负荷。具体设置如下: 步骤1 首选用户需要对 DHCP 服务器的属性进行设置,选择 DHCP 服务器,显示属性单击动态DNS如图 5.12在其中选中"启动 DNS 客户信息动态更新"并选中选项中的"当租约过期时取消正向搜索、对非动态 DNS 客户更新"两个选项 |
|
|
步骤2 在 DNS 控制台中展开正向搜索区域,选择区域,单击"操作",单击属性,在"常规"标签中在下方的动态更新下拉列表中选择"允许更新"→确定如图
步骤3 展开反向搜索区域,选择反向区域单击操作单击属性并在"常规"标签中下方选择"允许更新"。 这样在客户信息改变时,它在 DNS 服务器中的信息也会自动更新。 服务器的转发程序的设置 当 DNS 服务器无法提供 DNS 客户机需要查询的数据时,它可以通过一台有转发器功能的 DNS 服务器转发此查询到其它 DNS 服务器进行递归查询,但必须设置本服务器可以使用该转发器。通常在用户需要通过慢速连接访问远端DNS服务器时需要使用转发器。 选择 DNS 服务器→操作→属性→转发程序标签→输入转发器的 IP 地址→如果要将此服务器作为转发器的辅助服务器可以选择"作为辅助服务器操作"选项,这样如果转发器无法提供所需信息时,则此服务器直接将结果发送给客户机,不再进行查询。 |
|
|
修改区域传输的通知列表
对"起始颁发机构(SOA)"参数的设置 单击区域单击"操作",单击属性进入起始颁发机构(SOA)标签如图 5.14 序列号:当执行区域传输时,首选检查序列号,只有当主服务器的序列号比辅助服务器的序列号大的时候(表示辅助服务器中的数据已过时)复制操作才会执行。 刷新间隔:设置辅助服务器隔多长时间需要检查其数据,执行区域传输 重试间隔:当在刷新间隔到期时辅助服务器无法于主服务器通讯,需等多久再重试 过期间隔:如果辅助服务器一直无法与主服务器建立通讯,在此时间间隔后辅助服务器不再执行查询服务,因为其包含的数据可能是错误的。 |
|
|
最小 TTL:服务器查询到的数据在缓存中的保存时间
修改通知列表 选择区域的属性中的区域传输标签中设置与那些服务器进行区域传输,默认情况下将与网络中的所有DNS服务器进行区域传输,也可以设置为只与名称服务器列表中的服务器进行区域传输或与指定的服务器进行区域传输。如图 当 DNS 服务器启动时会自动执行区域传输,以便将主服务器中的数据复制到辅助服务器中,另外用户还可以设置在DNS服务器运行过程中定期执行区域传输操作,当主服务器的数据变化时,它会将更改通知发送给想应的服务器,则相应的服务器可以不必等到刷新间隔而立即执行传输操作。 |
|
|
通过区域属性,进入区域传送标签,"通知"按钮出现如图 5.16
永不发送区域通知:在主服务器的数据发生改变时不发送区域通知给其它服务器 通知名称服务器页上的服务器:在主服务器的数据发生改变时向名称服务器列表中的服务器发送通知,只通知指定的服务器。 |
|
|
当 DNS 服务器与 WINS 服务结合使用后,在DNS域名空间无法查询的名称可以利用 WINS 管理的 NetBIOS 名称空间进行查询。 当 DNS 服务器与 WINS 服务结合使用时,在区域中加入两个专门的 WINS 资源记录类型 (WINS 和 WINS-R 资源记录) ,当使用 WINS 记录时,如果 DNS 无法在域名空间中查找到相应的主机名称,则将记录转送到这个记录所设置的 WINS 服务器中,WINS-R 记录提供反向查询的功能。在一个区域中启动 WINS 查询功能具体步骤如下:
步骤1 首选在 DNS 服务器中选择一个区域由简单击属性属性单击WINS标签 步骤2 选择"使用 WINS 名称解析"选项,在下方的 WINS 服务器中添加 WINS 服务器的 IP 地址如图 5.17 步骤3 如果在区域传输时 用户不想将这条记录复制给其它 DNS 服务器,则用户可以选中"不复制此记录" |
|
|
设置完毕后,在数据库中将添加一个类型为WINS的记录。
举例来说,如果将 nt2000.com 这个域设置为"使用 WINS 名称解析",当客户机向服务器查询主机名为"one.nt2000.com"的 IP 地址时,如果 DNS 服务器无法在其管理的域名空间中解析此主机名称,则将此查询转发至设置的 WINS 服务器进行解析。注意DNS服务器并 |
|
|
不是将完整主机名称发送给 WINS 服务器,而是只发送主机名称"one",然后由WINS服务器提供其解析的 IP 地址,DNS 服务器再将其发送给客户机。由于WINS数据库中保存的是计算机名(NETBIOS名),而不是主机名称,所以为了让 WINS 服务器正常发挥作用,则在设置计算机的主机名称时,将其设置的域主机名称相同。
当 DNS 服务器在将查询结果发送给客户机的时候,它将结果保存到缓存中一份。下次再有相同查询时,可以利用缓存中的数据直接回答,提高了查询速度。利用高级设置其缓存中的数据保存时间 TTL。 |
|
|
Windows98 的 DNS 设置
进入 TCP/IP 高级属性 选择 DNS 配置标签,选择"启用 DNS"选项如图 5.20 输入主机名称、域名称,添加 DNS 服务器 IP 地址 |
|
|
WindowsNT4.0 的 DNS 设置
在 WindowsNT4.0 server/workstation 中, TCP/IP 通信协议单击"属性" 选择 "DNS" ,在 DNS 标签中如图 5.21 中 主机名:输入计算机的主机名称 域:主机所隶属的域名称 DNS 服务器搜索顺序:添加 DNS 服务器的地址 域后缀搜索顺序:添加主机名称的后缀 |
|
|
Windows 2000Professional 的 DNS 设置
打开网络和拨号连接双击本地连接,单击属性选择 Internet 协议(TCP/IP)然后选择属性,如果在 DHCP 服务中设置了 DNS 的信息则在对话框中选择"自动获得 DNS 服务器地址"选项并分别在首选 DNS 服务器和备用 DNS 服务器中填写主 DNS 服务器和辅助 DNS 服务器的 IP 地址如图 5.22 |
|
|
如果需要进一步设置客户机的 DNS 属性,则单击"高级"按钮选择 DNS 标签如图 5.23,如果选择"搜索主 DNS 和每一个连接的 DNS 域"表示在搜索一个不标准的域名称时只能在父域中搜索,如果父域中搜索不到该域名则将此结果返回;如果选择"搜索这些 DNS 域"选项则在搜索域名称时首选在列表中的服务器上搜索,如果搜索不到结果则在其它域中进行搜索。
"在 DNS 注册此连接的地址、在 DNS 中注册此连接的域名"这两个选项用于在 Win2000 环境中在登录时将客户机的 IP 地址及域名注册到 DNS 服务器中。 在 DNS 服务器和客户机的设置完成后用户可以利用 IPCONFIG、PING、NSLOOKUP 三个命令测试 DNS 服务器的设置是否正确.具体使用,请参看 Windows 2000 Server 中相应文档。 |
|