Windows 网络服务架构系列课程详解(四) --- DNS高级技术配置详解.docx

1、Windows 网络服务架构系列课程详解（四） ------- DNS高级技术配置详解 1、 DNS委派和子区域的理解 在实际应用中，DNS的委派和子区域的创建起到至关重要的作用。 DNS的委派：在实际应用当中，创建方法很简单，比如说benet公司是一家商业机构，想搭建一台属于自己的DNS服务器，且域名为，就需要在管理“.com”区域的公司申请，管理“.com”区域的主管，只需要在对应的DNS正向查找区域里添加一条主机A记录，对应的IP是benet公司DNS的公网IP地址，且主机记录不能为benet，否则添加不上去。比如说添加一条w1记录，域名为 ，然后

2、右击 “.com”区域，选择“新建委派”委派的区域输入“benet”，然后添加名称服务器的IP地址，也就是刚才创建的w1记录（可以通过“浏览”找到），然后“确定”即可。而benet公司需要在自己的DNS区域里创建“benet .com”正向查找区域，然后创建不同的主机A记录即可。客户端在benet公司的DNS上找不到的记录，可以通过“转发器”或者“根提示”进行迭代或者递归查询。 注意：在此案例中，DNS的委派可以减轻“.com”域的负担，避免了域名查询量过大所形成的瓶颈。所有属于区域“”的主机A记录都保持在benet公司的DNS服务器上。而“.com”区域仅仅只是做了一项记录而已，比如说客户

3、机的首选DNS填写的是其它DNS服务器的IP地址，当查找不到时便会通过根提示到全国13台根DNS服务器上，然后通过迭代的方式，一级一级往下找，当找到区域时，区域会告诉客户机首选的DNS服务器，到委派的上去找，也就是benet的DNS服务器上找，最终查找到对应的主机A记录。 DNS的子区域：通过创建区域委派可以减少DNS服务器的工作负担；如果DNS服务器区域的查询量可以满足用户的最大查询数，是否将所有的主机A记录都放在一个区域呢？比如说区域，benet公司有五家分公司，公司内部所有用户的主机A记录都在区域中，假如公司有1000人，那么如果其中一台机器联系不到DNS，那么在区域里排除故障是很

4、难的，而且维护起来也是相当的不方便。DNS的子区域便可以将一个区域划分多个子区域，然后通过子区域进行管理，这也体现出了层次化管理的思想，在域中创建多个OU不也是基于这种思想的么？ 2、 DNS“高级”属性的设置 DNS除了一些基本属性的设置之外，还有一些高级属性的设置，可以通过右击DNS服务器，选择“属性”—“高级”进行查看。其中“禁用递归（也禁用转发器）”：意思是此DNS服务器不能够进行递归查询，只能查询自己的主机A记录，查询不到则返回。“保护缓冲防止污染”：可以保证缓冲里的一些DNS记录被修改，比如说一些钓鱼网站，将自己的网站修改成和其它一些网站一模一样，然后修改DNS的缓冲，将真

5、实的域名指向自己的IP地址，这就有可能造成一些账号和密码的窃取。也可以通过启用事件日志，通过日志记录进行查看。 3、 在DNS中建立反向查找区域的意义 刚开始搭建DNS服务器时，也许我们并不知道反向查找区域的意义所在，我们更多的应用是将域名解析成IP地址，而忽略了IP地址也可以解析成域名。反向查找区域用的范围不是很广泛，但是在有些应用中作用却很多。例如：在网络中，如果我们用的邮件服务器不是很正式，则会收到大量的垃圾邮件，而这些垃圾邮件是从何而来的呢？很简单，比如说你们公司搭建了一台邮件服务器，区域为，里面有所有员工的邮箱名，并以员工名字命名。而另外一个搞破坏的人也搭建了一台邮件服务

6、器，区域同样为。比如说现在李四给张三发送一份电子邮件，而那个搞破坏的人也使用了同样的邮箱名给李四发送一份电子邮件，而张三是如何确定是你们公司第四发的呢，SMTP服务器又是如何处理的呢，这就用到了反向查找，将zhansan@反向解析成IP地址，如果是公司内容SMTP服务器的IP地址则转发给李四，如果不是，则视为垃圾邮件丢弃。 4、 缓冲DNS的应用场景 当公司规模不是很大，或者公司里员工不是很多的时候，根本不需要申请DNS域名，只需要创建一台DNS服务器即可，什么区域也不用创建，然后将自己指向根提示或者通过转发器指向一台注册的DNS服务器即可。当内部员工访问外网的一台web服务器时，

7、通过DNS的根提示或者转发器找到访问的web站点，而本地DNS服务器会将客户端访问的web站点缓冲到DNS服务器上，当下一台DNS服务器查询同样的内容时，只需要查询DNS缓冲即可。当然，第一次查询肯定会很慢，而以后的查询便会很快。这就是所谓的缓冲DNS，最好在“高级”选项中勾选“保护环境防止污染”选项，这样可以防止一些黑客修改缓冲信息。 5、 辅助DNS在实际应用中的作用 我们上网经常填写的首选DNS，或者动态获得的DNS其实大多数都是辅助DNS服务器的IP地址，为什么不用主DNS服务器呢？在做区域复制的时候，需要创建一台辅助DNS，说的更准确一些应该是创建多个辅助区域，而这些

8、辅助区域是只读的，不能进行更改，只能从主DNS服务器那里获取数据，而辅助DNS是如何从主DNS服务器那里复制数据的呢？主要是通过“序列号”进行判断的，如果辅助DNS的序列号没有主DNS的序列号大，则进行复制。为了更安全的管理好DNS服务器，在“区域复制”选项中要指定信任的DNS服务器，千万不可选择“到所有的DNS服务器”以防造成数据的丢失和泄露。还有一点，如果，此DNS服务器相对应互联网来说非常重要，最好再向辅助DNS服务器复制完数据之后，将网线断掉，等到有新的主机记录要添加时，再将网线插上，然后复制完之后再断掉。这样，即使黑客知道你的DNS服务器地址，也没办法进行攻击，因为，辅助DNS是不允许更改的。 全国13台根中，其中就有一台为主DNS服务器，放置在美国，其它的都为辅助DNS服务器，分布在不同的国家。而主DNS服务器的网络一直是断开的，起主导作用的只是那12台辅助DNS,当其中的一台DNS脱机了，才会将主DNS服务器的网线插上，将数据复制过去，然后再将网线断开，这样做是决定安全的。