Windows Server 2003 DNS(域名系统)

clip_p_w_picpath002

     我们这里来介绍下Windows Server 2003系统的DNS服务配置,实验环境使用上一DHCP专题一样:

     DNS(Domain Name System),域名系统。这里我会向大家介绍的内容有:

     DNS主要区域配置:正向解析(将域名转换为对应的IP地址),反向解析(将IP地址转换为域名);

     DNS辅助区域配置:辅助区域是主要区域的一个完整只读副本,其区域中所有数据皆从主要区域同步复制过来,同步的过程被称为区域传输;

     DNS子域配置:就是管理本域的下一级域;

     DNS子域委派配置:就是将本DNS服务器所管理的子域进行委派,让其他DNS服务器进行管理,在主服务器上只记录其子域服务器的NS记录与对应的主机A记录,子域的DNS服务器发生变化,需要手动在主服务器上进行修改;

     DNS转发配置:当自己不能解析DNS域名时,将DNS解析进行转发,转发给其它DNS服务器进行解析;

     DNS存根区域配置:存根区域会自动复制其源服务器上的NS(名称服务器)记录与其对应的主机A记录,其源服务器上DNS服务器的相关记录发生变化,它会自动同步过来;

     1、主要区域配置正向解析介绍:

     (1)看图操作:

clip_p_w_picpath004

     (2)右击“正向查找区域”→“新建区域”:

clip_p_w_picpath006

     (3)单击“下一步”:

clip_p_w_picpath008

     (4)选择“主要区域”,然后单击“下一步”:

     这里还可以将相应的区域配置为:辅助区域、存根区域、在AD中存储区域(这个要求DNS服务安装在域控制器上);

clip_p_w_picpath010

     (5)输入新建DNS区域的的区域名称,可以是“com,net,baidu.com”等这些一二级DNS域或其他的;一般都是自己公司的域名,这里我们输入“itly.com”(我这里模拟个公司,名字就叫:IT绿叶),后面好为“www.itly.com”这样的域名进行DNS 解析,然后单击“下一步”:

clip_p_w_picpath012

     (6)这里我保持默认(因人而异可作修改,但一般没必要),直接单击“下一步”:

clip_p_w_picpath014

     (7)一般我们都是不允许DNS服务器动态更新区域数据文件的记录的,都是手动进行相应的添加或修改。

     但是如果想要做相关DDNS(动态域名服务)实验时,则要允许动态更新,那是需要使用DHCP服务器来配合;后面介绍Linux服务器DNS专题时,我会有一部分来介绍DDNS的(图都已经截好的,就差文字解说了),Windows平台下就先没介绍这些了,一般也很少用。

     保持默认,单击“下一步”:

clip_p_w_picpath016

     (8)单击“完成”,完成DNS主要区域下的正向解析区域的创建:

clip_p_w_picpath018clip_p_w_picpath020

     (9)下面让大家简单的看“itly.com”这个区域的相关属性,右击“itly.com”,然后选择“属性”:

clip_p_w_picpath022

     (10)“常规”:

     这里可以修改区域的状态(运行还是暂停),区域的类型(主要区域还是辅助区域等,当主要区域出现故障时,我们可以把相应的辅助区域提升为主要区域),区域文件名,区域是否可以动态更新,以及区域DNS记录老化清理处理等,不过这里一般很少改动,了解下就行。

clip_p_w_picpath024

     (11)“起始授权机构(SOA)”:主要包括该DNS区域的相关管理信息:

     序列号:这个参数是辅助DNS服务器等与主要DNS服务器间进行数据同步时参考的一个重要的依据;因为辅助DNS区域中的数据文件都是从主要DNS区域中复制过去的,如果主要DNS区域的DNS记录进行了更新,而辅助DNS服务器是根据什么来知道主要DNS服务器的记录发生了修改呢?答案就是这个序列号,通过比较序列号的大小来确定记录更新过,从而进行区域数据传输,同步相应区域DNS记录。因此在有辅助DNS服务器的环境中,我们一般都是在对主要DNS服务器上的区域进行了相应的修改后,手动将序列号的加大(一般加1就行),等更新时间一到,辅助DNS服务器通过对比序列的大小,便会知道是否应该进行区域数据同步操作;

     主服务器:就是区域所在服务器的DNS全称(FQDN,完成合格域名),一般修改成如“server1.itly.com.”这样,但我刚开始没注意这些,因此没有进行修改,一般也没影响;

     负责人:就是区域管理员的邮箱地址,应当是“admin.itly.com.”这样的,其中“admin”后面的“.”在这里代表的是“@”,因为“@”在这里有特殊用途,所以用“.”来代替了,修改这个邮箱地址是在后面DNS区域出现故障时,DNS服务器好将相应的信息发送给管理员,这样便于管理员进行管理,刚开始也没注意,因此也没修改,在小环境中这个影响不大,但大家应当明白,自己以后应当进行相应的修改(至少显得专业点嘛);

     刷新间隔:辅助DNS服务器请求与其对应主要DNS服务器同步数据的等待时间;

     重试时间:辅助DNS服务器在请求失败后,等待多长时间重试。通常它应当小于刷新时间;

     过期时间:当这个时间到期时,如果辅助DNS服务器还无法与其对应的主要DNS服务器进行区域传输,则辅助DNS服务器会把它的本地数据当作不可靠数据;

     TTL(Time To Live,生存时间):区域的默认生存时间和缓存否定应答名称查询的最大间隔;

     这里大家因具体情况进行修改,我这里保持了默认,大家可以多实验实验。

clip_p_w_picpath026

     (12)“名称服务器”:

     在这里设置此DNS区域的DNS服务器(即名称服务器)相关信息,主要是设置区域中的DNS服务器与其对应的IP地址;我在设置DNS服务器的名称时没注意它的FQDN,导致后面相应的NS(名称服务器)记录对应的主机A记录没有自动生成,后面出了点错,大家在实践中如果按我的操作会发现相应的错误,不过大家后面改正就是了,看图。

clip_p_w_picpath028

clip_p_w_picpath030

clip_p_w_picpath032

     (13)“WINS”,这个一般很少用,大家看图了解下就行了:

clip_p_w_picpath034

     (14)“区域复制”:

     一般我们进行区域复制时,都是在“只有在“名称服务器”选项卡中列出的服务器”与“只允许下列服务器(设置服务器的IP地址)”这两个选项中进行选择;

     因为第一个“到所有服务器”是一个不安全的选项,如果选中这个,那么任何人只要搭建个与此区域相同的辅助DNS服务器就可将主服务器上的DNS信息给复制过去,这样便会泄露自己公司重要的信息。

     大家看情况在前面介绍的那两个中进行选择,这里我就保持下图默认,单击“确定”:

clip_p_w_picpath036

     (15)下面我们来在这个“itly.com”区域下创建几条DNS解析记录:

     NS(Name Server)记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析;

     A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录;

     CNAME (Canonical Name)记录,(alias from one domain name to another)通常称别名指向
     可以将注册的不同域名统统转到一个主域名上去。与A记录不同的是,CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址;

     MX记录(Mail Exchange):邮件路由记录,在配置邮件服务器使用,要注意,配置好MX记录后,要配置相应MX记录对应的A记录,方可进行正确的域名解析;

     因为我在DNS服务器区域属性设置名称服务器时,名称服务器的NS记录的FQDN有误,所以下面我又单独创建了一条NS对应的A记录,如果那里配置正确的话,这条记录应该会自动生成的(又叫粘滞A记录),后面再创建几条其他的A记录等,大家看图就明白了:

clip_p_w_picpath038clip_p_w_picpath040clip_p_w_picpath042clip_p_w_picpath044clip_p_w_picpath046clip_p_w_picpath048clip_p_w_picpath050clip_p_w_picpath052clip_p_w_picpath054clip_p_w_picpath056clip_p_w_picpath058clip_p_w_picpath060clip_p_w_picpath062

     (16)最后结果如下:

     在这次的配置中,我犯了两个错误,大家要明白,避免再犯:首先就是在设置NS服务器的FQDN(后面是有“.”来结尾的哟)时我使用了默认的“server1.”而不是“server1.itly.com.”,所以服务器没有自动生成相应的粘滞A记录;还有一个就是创建MX记录后,没有创建相应的MX对应的A记录,这在实际中是不行,大家知道下,其他的都还可以,不影响实验学习。

clip_p_w_picpath064

     2、下面我们在客户机上来进行“主要区域正向DNS解析”验证:

     (1)在客户机上设置DNS服务器的IP地址:

clip_p_w_picpath066

     (2)首先使用一种最简单的测试方法:“ping 域名”,看是否会有相应的IP地址信息出现,下面的结果显示是成功解析的。因为有些IP地址目前不存在,所以ping不通,存在的都ping 通了,大家看图就明白:

clip_p_w_picpath068clip_p_w_picpath070

     (3)使用“nslookup”命令来进行验证,一般专业点的都是使用这个命令:

     直接在命令窗口输入“nslookup”,然后输入相应域名进行解析,这是最简单的方法,具体的用法大家还可以网上查阅相关资料,我只介绍点够用的就行了,下面的结果显示也是成功解析了的,因此我们的正向解析就介绍到这,一般现实中也是正向解析为主。

clip_p_w_picpath072clip_p_w_picpath074

     3、主要区域反向解析配置介绍(IP转换成对应的域名):

     (1)看图操作:

clip_p_w_picpath076clip_p_w_picpath078clip_p_w_picpath080clip_p_w_picpath082clip_p_w_picpath084clip_p_w_picpath086clip_p_w_picpath088clip_p_w_picpath090clip_p_w_picpath092clip_p_w_picpath094clip_p_w_picpath096clip_p_w_picpath098

     (2)创建相应的解析记录,在反向解析时使用的是“PTR”记录(了解就行):

     因为新创建的反向区域是不会自动将前面的那些正向区域(那时还没有反向区域)里的记录自动添加相应的PTR记录的,所以下面将前面的那些记录也都手动添加了相应的PTR记录。

clip_p_w_picpath100clip_p_w_picpath102clip_p_w_picpath104clip_p_w_picpath106

     (3)下面我们在主要区域中添加新的记录,使创建这条记录时自动将对应的反向记录也都给添加上,我们只需要钩上“创建相关的指针(PTR)记录”即可:

clip_p_w_picpath108clip_p_w_picpath110clip_p_w_picpath112clip_p_w_picpath114

clip_p_w_picpath116clip_p_w_picpath118

     4、下面的客户机上进行反向解析的验证,大家看图了解:

clip_p_w_picpath120clip_p_w_picpath122

     5、“子域配置”,直接在DNS区域下新建一个域,新建的域即为该DNS区域的子域,大家简单看下,了解就行:

clip_p_w_picpath124clip_p_w_picpath126clip_p_w_picpath128clip_p_w_picpath130clip_p_w_picpath132clip_p_w_picpath134clip_p_w_picpath136clip_p_w_picpath138

     6、“子域委派”配置介绍:

     (1)修改DNS区域的属性设置,添加一台NS(名称服务器)记录,后面好将相应的区域委派给该DNS服务器进行管理:

clip_p_w_picpath140clip_p_w_picpath142clip_p_w_picpath144clip_p_w_picpath146clip_p_w_picpath148

     (2)创建委派的区域,大家看图就明白:

clip_p_w_picpath150clip_p_w_picpath152clip_p_w_picpath154clip_p_w_picpath156clip_p_w_picpath158clip_p_w_picpath160clip_p_w_picpath162

     (3)创建委派区域完成,因为我的NS记录时没有输入服务器的FQDN,导致这里没有出现相应的A记录:

clip_p_w_picpath164

     (4)下面我再创建一个新的“一级域(org)”,后面再演示下“一级域”委派子域(itly.org),这样大家就可以更直观的了解子域委派的用处:

clip_p_w_picpath166clip_p_w_picpath168clip_p_w_picpath170clip_p_w_picpath172clip_p_w_picpath174clip_p_w_picpath176clip_p_w_picpath178clip_p_w_picpath180clip_p_w_picpath182clip_p_w_picpath184clip_p_w_picpath186clip_p_w_picpath188clip_p_w_picpath190clip_p_w_picpath192

     (5)下面将“itly.org”这个子域进行委派:

clip_p_w_picpath194clip_p_w_picpath196clip_p_w_picpath198clip_p_w_picpath200clip_p_w_picpath202clip_p_w_picpath204clip_p_w_picpath206clip_p_w_picpath208

     (6)下面我们在Server2上进行被委派区域的设置:

clip_p_w_picpath210clip_p_w_picpath212clip_p_w_picpath214clip_p_w_picpath216clip_p_w_picpath218clip_p_w_picpath220clip_p_w_picpath222clip_p_w_picpath224clip_p_w_picpath226clip_p_w_picpath228clip_p_w_picpath230clip_p_w_picpath232

     (7)在被委派区域上建立一条A记录,后面进行测试:

clip_p_w_picpath234

     (8)下面在客户机上进行测试:

     这里我们将DNS服务器配置为Server1(192.168.20.20),大家可以知道在Server1服务器上是没有“www.itly.org”这条DNS记录的,按道理是不能解析成功,但我们在Server1服务器上将“itly.org”这个区域进行了委派,在服务器上有对应“itly.org”区域的NS记录,所以它能够解析“itly.org”这个后缀的域名,这便是所谓的子域委派。

clip_p_w_picpath236

     7、DNS辅助区域配置介绍:

     (1)在主要DNS区域上设置“区域复制”,允许相应的辅助区域进行数据同步,这里我将“itly.com”这区域允许Server2进行数据复制;

clip_p_w_picpath238clip_p_w_picpath240

     (2)在辅助DNS服务器(Server2)上创建一个“itly.com”的辅助DNS区域,后面进行数据同步的验证,下面大家看图就懂:

clip_p_w_picpath242clip_p_w_picpath244clip_p_w_picpath246clip_p_w_picpath248clip_p_w_picpath250clip_p_w_picpath252clip_p_w_picpath254clip_p_w_picpath256clip_p_w_picpath258

     (3)上面已经表明Server1服务器上“itly.com”主要区域数据都已同步到Server2上的“itly.com”这个辅助区域;

     下面我们将客户机的DNS服务器地址修改为Server2的IP地址,再进行相应的域名解析测试,结果显示都是解析成功的,因此关于DNS辅助区域就介绍这些,大家从中体会:

clip_p_w_picpath260clip_p_w_picpath262

     8、了解些DNS服务器的其他一些相关知识:

clip_p_w_picpath264clip_p_w_picpath266clip_p_w_picpath268clip_p_w_picpath270clip_p_w_picpath272

     9、DNS转发器的设置:

     这里可以将此DNS服务器不能解析的相关域名,转发给相应的DNS服务器进行解析,在现实中,一般都是设置成上级(ISP)提供的DNS服务器地址。

clip_p_w_picpath274

     10、存根区域配置介绍:

     (1)首先我们先在Server2服务器上新建一个主要DNS区域“itly.edu”:

clip_p_w_picpath276clip_p_w_picpath278clip_p_w_picpath280clip_p_w_picpath282clip_p_w_picpath284clip_p_w_picpath286clip_p_w_picpath288clip_p_w_picpath290

     (2)下面我将前面一直在犯的错误给改了过,不改实验就不能完成,大家看以从中看出差别的,主要就是将FQDN给写全了:

clip_p_w_picpath292clip_p_w_picpath294clip_p_w_picpath296clip_p_w_picpath298clip_p_w_picpath300clip_p_w_picpath302

     (3)创建几条A记录,后面测试要用:

clip_p_w_picpath304clip_p_w_picpath306

     (4)修改“itly.edu”区域的复制属性,允许Server1能从这台服务器上进行数据的复制:

clip_p_w_picpath308clip_p_w_picpath310clip_p_w_picpath312

     (5)经过前面的准备,下面我在Server1服务器上新创建一个“ilty.edu”的“存根”区域,存根区域会自动复制其源服务器上的NS(名称服务器)记录与其对应的主机A记录;

     辅助区域是会将其源服务器上的所有记录都进行复制,这就是它们两者的区别,复制少的存根区域,其网络流量自然也就少,简单了解些:

clip_p_w_picpath314clip_p_w_picpath316clip_p_w_picpath318clip_p_w_picpath320clip_p_w_picpath322clip_p_w_picpath324clip_p_w_picpath326clip_p_w_picpath328clip_p_w_picpath330

     (6)从上面的截图中我们可以看到,目前存根区域只复制了其源服务器上的NS记录与其对应的A记录,为了加深大家的直观感,因此下面我又在Server2(源服务器)上添加相应的NS记录和别的主机A记录,大家可以对比其差别:

clip_p_w_picpath332clip_p_w_picpath334clip_p_w_picpath336clip_p_w_picpath338clip_p_w_picpath340clip_p_w_picpath342clip_p_w_picpath344clip_p_w_picpath346clip_p_w_picpath348clip_p_w_picpath350

     (7)下面在Server1服务器的存根区域上进行数据同步,有时可能会看到错误,所以大家就要多等会,然后再“刷新”再看:

clip_p_w_picpath352clip_p_w_picpath354clip_p_w_picpath356clip_p_w_picpath358

     (8)下面进行测试:

     我们使用“nslookup”命令,然后使用“Server 192.168.20.20”将DNS服务器修改为Server1(只在此时查询生效),然后看通过Server1能否解析其上并没有的DNS记录,结果测试成功,因为我们解析的域名在Server1中是存根区域,在存根区域中有其源服务器的相应NS和A记录,它是通过它来完成解析的:

clip_p_w_picpath360