DNS设置方法(转)

DNS设置方法(转)[@more@]

　　以下是最常见的顶级域：

　　com，用于商业组织。

　　edu，用于教育机构。

　　org，用于非赢利组织。

　　net，用于计算机网络组织。

　　gov，用于美国政府组织。

　　两字母或三字母国家/地区代码，如 jp 是日本的代码。

　　不同组织的域名在每个顶级域下面相应地分支展开。可以进一步沿树状结构细分出组织内各部门的更多域名（称为子域）。最后，将主机名加在名称结构的前面构成 FQDN，如“server2.msdn.microsoft.com”。事实上，“msdn.microsoft.com”也是一个 FQDN，它指的是 microsoft.com 中的某个 Web 服务器群集。

　　DNS 工作原理

　　DNS 是一个分布式数据库系统，它提供将域名转换成对应 IP 地址的信息。这种将名称转换成 IP 地址的方法称为名称解析。

　　一般来说，每个组织有其自己的 DNS 服务器，并维护域的名称映射数据库记录或资源记录。当请求名称解析时，DNS 服务器先在自己的记录中检查是否有对应的 IP 地址。如果未找到，它就会向其它 DNS 服务器询问该信息。

　　例如，当要求 Web 浏览器访问“msdn.microsoft.com”站点时，它就会通过以下步骤来解析该域名的 IP 地址：

　　Web 浏览器调用 DNS 客户端（称为解析器），并使用上次查询缓存的信息在本地解析该查询。

　　如果在本地无法解析查询，客户端就会向已知的 DNS 服务器询问答案。如果该 DNS 服务器曾经在特定的时间段内处理过相同的域名（“msdn.microsoft.com“）请求，它就会在缓存中检索相应的 IP 地址，并将它返回给客户端。

　　如果该 DNS 服务器找不到相应的地址，客户端就会向某个全局根 DNS 服务器询问，后者返回顶级域权威 DNS 服务器的指针。在这种情况下，“com”域权威服务器的 IP 地址将返回给客户端。

　　类似地，客户端向“com”服务器询问“microsoft.com”服务器的地址。然后，客户端将原始查询传到“microsoft.com”服务器。

　　因为“microsoft.com”服务器在本地维护“msdn.microsoft.com”域的权威记录，所以它将最终结果返回给客户端，并完成特定 IP 地址的查询。

　　注意，可以将 DNS 资源记录缓存到网络上任意数量的 DNS 服务器中。第 2 步中提到的 DNS 服务器可能不包含“msdn.microsoft.com”缓存记录。但是，它可能有“microsoft.com”的记录，更可能有“com”域的记录。这可省去客户端获得最终结果所需的一次或几次查询，从而加快了整个搜索过程。

　　为了维护 DNS 缓存中的最新信息，缓存记录有一个与信息关联的“生存时间”设置（类似于牛奶的保鲜期）。当记录到期时，必须对它们再次进行搜索。

　　DNS 资源记录

　　如前所述，每个 DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定主机有关的信息，如 IP 地址、主机的所有者或者提供服务的类型。

　　资源记录类型

　　说明

　　解释

　　SOA

　　起始授权机构

　　此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址，以及指示辅 DNS 服务器如何更新区域数据文件的设置等。

　　常用的资源记录类型

　　A 地址 此记录列出特定主机名的 IP 地址。这是名称解析的重要记录。

　　CNAME 标准名称 此记录指定标准主机名的别名。

　　MX 邮件交换器 此记录列出了负责接收发到域中的电子邮件的主机。

　　NS 名称服务器 此记录指定负责给定区域的名称服务器。

　　DNS 区域

　　通常，DNS 数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。

　　管理某个区域（或记录集）的 DNS 服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。

　　在域中划分多个区域的主要目的是为了简化 DNS 的管理任务，即委派一组权威名称服务器来管理每个区域。采用这样的分布式结构，当域名称空间不断扩展时，各个域的管理员可以有效地管理各自的子域。

　　有时，区域和域是很难分辨的。

　　区域是域的子集。可以将它看作域名称空间的某个分支（或子树）。例如，Microsoft 名称服务器可以同时是“microsoft.com”区域、“msdn.microsoft.com”区域和“marketing.microsoft.com”区域的权威名称服务器。但是，可以将子域的区域（如“msdn.microsoft.com”）委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录，那么该区域与该域的范围是相同的。

　　对于 Windows 2000，区域信息或者以传统文本文件格式存储，或者集成到 Active Directory 数据库中。稍后，我们将详细阐述 DNS 与 Active Directory 如何协作。

　　主 DNS 服务器和辅 DNS 服务器

　　为保证服务的高可用性，DNS 要求使用多台名称服务器冗余支持每个区域。

　　某个区域的资源记录通过手动或自动方式更新到单个主名称服务器（称为主 DNS 服务器）上。主 DNS 服务器可以是一个或几个区域的权威名称服务器。

　　其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。辅 DNS 服务器定期与主 DNS 服务器通讯，确保它的区域信息保持最新。如果不是最新信息，辅 DNS 服务器就会从主服务器获取最新区域数据文件的副本。这种将区域文件复制到多台名称服务器的过程称为区域复制。

　　Active Directory 和 DNS 的关系

　　Active Directory 是 Windows 2000 中新增的目录服务。该服务存储所有网络资源的信息，如计算机、共享文件夹、用户等等。它还通过标准的 Internet 协议（轻量目录访问协议，LDAP）将此类信息提供给用户和应用程序。有关 Active Directory 的详细信息，请参阅 Technet 文章设置 Active Directory 域 。

　　与 Microsoft Windows NT® 4.0 中的域控制器相比，Active Directory 与 DNS 的关系更加密切。实际上，DNS 是支持 Active Directory 所必需的。通常，安装 Active Directory 服务器时，如果网络上找不到 DNS 服务器，就会在安装过程中安装 DNS 服务器。

　　支持域控制器的定位器服务

　　Windows 2000 中最重要的新概念之一就是：计算机不再主要用网络基本输入/输出系统 (NetBIOS) 名称来标识，而是使用 DNS 完全合格的域名称 (FQDN) 来标识，如“server1.duwamishonline.com”。

　　因此，要登录并访问 Windows NT 域中的资源，Windows 2000 计算机必须查找 DNS 服务器，后者帮助定位 Active Directory 域控制器。换句话说，DNS 用作域控制器的定位器服务。

　　与 Active Directory 集成

　　Windows 2000 DNS 服务器的另一个重要功能是：DNS 区域可以集成到 Active Directory 中，以提供增强的容错和安全功能。每个与 Active Directory 集成的区域将自动复制到 Active Directory 域的所有域控制器中。

　　不过，仍可以将 Windows 2000 DNS 服务器配置为基于传统文件的 DNS 服务器。但是，要提供 DNS 服务容错功能，除主 DNS 服务器外，还必须手动安装辅 DNS 服务器。

　　配置 Duwamish Online 的 DNS 服务

　　Duwamish Online 要求使用外部和内部域名称解析。

　　在外部，DNS 服务将“www.DuwamishOnline.com”解析为 Web 服务器的 IP 地址。Duwamish Online 应用程序使用内部名称解析来解析服务器的名称。要从 COM+ 列队组件 (QC) 访问消息队列 (MSMQ) 公共队列，必须使用 Active Directory，而后者又要求使用 DNS。有关 MSMQ 和网络体系结构的详细信息，请参阅 Duwamish Online Message Queuing Configuration 上的文章 。

　　在 Windows 2000 中安装 DNS 服务相对比较简单。但是，外部和内部 DNS 信息的安全要求是不同的。在本节中，我们将讨论这些安全问题和可能的解决方案。我们将讨论（消息队列配置使用的）Active Directory 服务与 Duwamish Online Web 群中 DNS 之间的关系。还要告诉您如何注册域名，如何安装带有 Windows 2000 的 DNS 服务器。

　　公用和专用 DNS 信息的安全问题

　　最初，我们安装了两台 DNS 服务器：一台主 DNS 服务器和一台用于冗余的辅 DNS 服务器。在这些 DNS 服务器中设置了两个区域：一个用于外部 Internet 域“DuwamishOnline.com”，另一个用于内部域“InternalDomain.com”。

　　如前所述，安装用于内部域的 DNS 服务器是 Windows 2000 Active Directory 域的新要求。使用该原始配置，将 DNS 服务器同时设置为内部域和外部域的“多主”，例如，外部网络接口卡 (NIC) 的 IP 地址为 192.168.100.1，内部 NIC 的 IP 地址为 10.10.10.1。

　　允许 Internet 用户向服务器查询外部区域。但是，因为同一 DNS 服务器同时管理外部和内部区域，所以外部用户也可以向服务器查询内部区域。Internet 用户可以使用基本网络工具（如名称服务搜索，NSLookup）访问所有内部域 DNS 信息。

　　理论上，无法将任何网络数据包路由到内部域，直接攻击内部服务器。但是，向外界泄露的内部信息越少，操作的安全性越高。这可防止他人利用后端服务器（此处存储重要业务信息）的潜在漏洞，进一步窃取机密信息。

　　DNS 部署的解决方案

　　下面列出了一些解决原始配置安全问题的方案：?

　　两个域/区域使用各自的 DNS 服务器。

　　由 Internet 服务提供商 (ISP) 托管外部 DNS。

　　将两个区域放在一台服务器中，并用正确的访问控制配置 Active Directory。

　　使用各自的 DNS 服务器

　　解决安全问题的一种方法是使用两台单独的 DNS 服务器将两个区域的 DNS 操作分开，一个放在公共网段，另一个仅用于内部 DNS 查询。

　　但是，对于小型 Web 操作，并不希望再多管理一台服务器。实际上，根据一般建议所述，每个区域至少配置两台权威名称服务器，那么我们需要安装四台 DNS 服务器为两个域（带有主 DNS 服务器

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10783465/viewspace-959804/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/10783465/viewspace-959804/