【DNS】DNS部署与安全

·DNS部署与安全

一、DNS

Domain Name Service

域名服务

作用：为客户机提供域名解析服务的服务器

二、域名组成

1、域名组成概述

如"www.sina.com.cn"是一个域名，从严格上讲，"sina.com.cn"才是域名（全球唯一），而"www"是主机名

"主机名.域名"称为完全限定域名（FQDN）。一个域名下可以有多个主机，域名全球唯一，那么"主机名.域名"肯定也是全球唯一的

以"sina.com.cn"域名为例，一般管理员在命名的时候会根据其主机的功能而命名，比如网站的是www，播客的是blog，论坛的是bbs，对应的FQDN为www.sina.com，blog.sina.com.cn，bbs.sina.com.cn 那么多个FQDN，我们只需要申请一个域名"sina.com.cn"即可

2、域名组成

树形结构

顶级域名也叫一级域名

根域 .

顶级域

​ 国家顶级域 cn，uk，us，jp…

​ 商业顶级域

​ 商业机构 com

​ 政府机关 gov

​ 军事机构 mil

​ 教育机构 edu

​ 民间组织架构 org

​ 互联网 net

如：www.baidu.com.
	.为根域
	.com为顶级域名
	.baidu为二级域名
	www为主机名(三级域名)

FQDN=主机名.DNS后缀

FQDN(完整合格的域名)

三、监听端口

TCP53

UDP53

四、DNS解析种类

1、按照查询方式分类

1）递归查询：客户机与本地DNS服务器之间
2）迭代查询：本地DNS服务器与根等其他DNS服务器的解析过程

DNS解析过程

---

目前全世界一共13个根域名服务器

2、按照查询内容分类

1）正向解析：已知域名，解析IP地址

2）反向解析：已知IP地址，解析域名

五、DNS服务器搭建过程

注意：配置服务器前一定要为其配置静态IP

1、安装DNS组件

​ 一般安装包都在光盘镜像中(win2008安装包在电脑中)

​ 打开我的电脑—双击光盘

​ 网络服务—域名系统（DNS）

2、打开DNS服务

​ 开始—所有程序—管理工具—DNS

​ 此时DNS端口已打开

3、正向查询

3.1、新建正向区域

​ 右键正向查找区域—新建区域

主要区域：主服务器
辅助区域：备份
存根区域：根域

​

告诉全世界，以后baidu.com的解析全由我来进行，是这个区域的权威应答

baidu.com. dns 是区域解析文件，不需要改也不能改名，以后xx.baidu.com都将写入这个文件

​ 直接下一步

​ 完成创建

名称：baidu.com
类型：主要区域（本服务器是baidu.com的主DNS服务器）
查找类型：正向（正向解析）
文件名：baidu.com.dns

3.2、新建主机（A记录）

​ 当填入主机名称时，FQDN将自动补全

3.3、验证解析

​ 在客户机手动配置DNS，使其指向服务器地址

​ 解析成功

​ 在客户机终端窗口输入nslookup www.baidu.com

​ 同样的，用客户机ping这个域名一样可以解析IP，只不过可能ping不通

ipconfig /flushdns         #清除本地DNS缓存
ipconfig /displaydns       #查看本地DNS缓存

4、反向解析

​ nslookup手工解析时，会进行一个反向解析

4.1、命名服务器

​ 新建主机，为其命名

​

​ 使用服务器自身IP地址

4.2、新建反向查找区域

​ 仍选择主要区域

​ 正向填入IP（即本身为10.1.1.x）则填入10.1.1

​ 完成创建

4.3、配置反向解析

​ 新建指针（PTR） – 配置反向解析（通过访问IP可以解析到服务器名）

​ 验证

​ 此时域名www.baidu.com 交给IP为10.1.1.2 的服务器名为dns1.baidu.com 去解析，解析出来的IP地址为1.1.1.1

六、DNS服务器处理域名请求的顺序

1）、DNS高速缓存（唏嘘学会如何查看和清空）

2）、DNS区域配置文件

3）、DNS转发器

4）、根提示

七、辅助DNS服务器

​ 在另一台服务器（固定IP为10.1.1.3）上新建一个正向查找区域，qq.com，并新建一个主机www，IP地址为3.3.3.3

​ 此时，若在客户机上手动解析www.qq.com的IP地址将会解析失败（询问IP为10.1.1.2的服务器dns1.baidu.com）

1、转发器

​ 打开第一台服务器（10.1.1.2），dns控制台—服务器名称—右键—属性—转发器—将第二台服务器（10.1.1.3）的IP地址添加进列表—确定

​ 解析成功

​ 注意：所有机器均需要在同一网段！！！

​ 服务器需要固定IP！！！

2、辅助区域

2.1、在辅助服务器上备份区域

​ 1）、选中所要备份区域—右键—属性—区域复制—只允许下列服务器（辅助服务器）

​ 2）在辅助服务器上新建正向区域—辅助区域—填入名称（baidu.com）—添加主服务器IP

​ 3）、完成创建

八、清除DNS缓存

1、客户机上清除缓存

ipconfig /flushdns

2、服务器上清除缓存

Windows服务器：DNS工具---查看---高级，调出缓存，然后右键清除缓存

九、域名解析记录类型

A记录：正向解析记录

CNAME记录：别名

PTR记录：反向解析记录

MX：邮件交换记录

NS：域名服务器解析

SOA：起始授权机构（权威服务器）

NS：名称服务器

十、DNS服务器分类

主要名称服务器

辅助名称服务器

跟名称服务器

高速缓存名称服务器

十一、客户机域名请求解析顺序

1）DNS缓存

2）本地host文件

3）找本地DNS服务器

十二、服务器对域名请求的处理顺序

1）DNS高速缓存

2）本地区域解析文件

3）转发器

4）根

十三、别名（CNAME）

​ 在一个正向区域中新建一个主机名为www（IP地址为1.1.1.1）—在正向区域右键—新建别名

​

​ 起一个不一样的名字—点击浏览找到目标域名

​ 在客户机上验证

–在正向区域右键—新建别名

​

​