第5章〓DNS服务器配置管理 了解DNS简介以及域名空间结构。 掌握DNS的工作原理。 掌握DNS服务器的类型。 掌握DNS服务器的安装。 掌握部署主DNS服务器、部署辅助DNS服务器、部署存根DNS服务器、部署委派DNS服务器等相关操作方法。 5.1DNS基础知识 域名系统(Domain Name System,DNS)是进行域名和与之相对应的IP地址转换的服务器。DNS中保存了一张域名和与之相对应的IP地址的表,以解析消息的域名。域名是Internet中某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名称组成的,通常包含组织名,且始终包括两到三个字母的后缀,以指明组织的类型或该域名所在的国家或地区。 5.1.1DNS简介 V51〓DNS简介 DNS的核心思想是分级,是一种分布式的、分层次型的、客户端/服务器模式的数据库管理系统。它主要用于将主机名和电子邮件地址映射成IP地址。一般来说,每个组织都有自己的DNS服务器,并维护域名映射数据库记录或资源记录。每个登记的域都将自己的数据库列表提供给整个网络复制。 IP地址是主机的身份标识,对于人类来说,记住大量的诸如202.199.184.189的IP地址太难了; 相对而言,主机名一般具有一定的含义,比较容易记忆。因此,如果计算机能够提供某种工具,使人们可以方便地根据主机名获得IP地址,那么这个工具将备受青睐。在网络发展的早期,一种简单的实现方法就是把域名和IP地址的对应关系保存在一个文件中,计算机利用这个文件进行域名解析。例如,在Linux操作系统中,这个文件就是/etc/hosts,其内容如下。 [root@localhost ~]# cat /etc/hosts 127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 : : 1localhost localhost.localdomain localhost6 localhost6.localdomain6 [root@localhost ~]# 这种方式实现起来很简单,但是它有一个非常大的缺点,即内容更新不灵活。每台主机都要配置这样的文件,并及时更新内容,否则就得不到最新域名信息。因此,它只适用于一些规模小的网络。随着网络规模的不断扩大,用单一文件实现域名解析的方法显然不再适用,取而代之的是基于分布式数据库的DNS。DNS将域名解析的功能分散到不同层级的DNS服务器中,这些DNS服务器协同工作,提供可靠、灵活的域名解析服务。 这里以日常生活中的常见例子进行介绍: 公路上的汽车都有唯一的车牌号,如果有人说自己的车牌号是80H80,那么我们无法知道这个号码属于哪个城市,因为不同的城市都可以分配这个号码。现在假设这个号码来自辽宁省沈阳市,而沈阳市在辽宁省的城市代码是A,现在把城市代码和车牌号码组合在一起,即A80H80,是不是就可以确定这个车牌号码的属地了呢?答案还是否定的,因为其他的省份也有代码是A的城市,需要把辽宁省的简称“辽”加入进去,即“辽A80H80”,这样才能确定车牌的属地。 在这个例子中,辽宁省代表一个地址区域,定义了一个命名空间,这个命名空间的名称是“辽”。辽宁省的各个城市也有自己的命名空间,如“辽A”表示沈阳市,“辽B”表示大连市,在各个城市的命名空间中才能给汽车分配车牌号码。在DNS中,域名空间就是“辽”或“辽A”这样的命名空间,而主机名就是实际的车牌号码。 与车牌号的命名空间一样,DNS的域名空间也是分级的。在DNS域名空间中,最上面一层被称为“根域”,用“.”表示。从根域开始向下依次划分为顶级域、二级域等各级子域,最下面一级是主机。子域和主机的名称分别称为域名和主机名,域名又有相对域名和绝对域名之分,就像Linux文件系统中的相对路径和绝对路径一样,如果从下向上将主机名及各级子域的所有绝对域名组合在一起,用“.”分隔,就构成了主机的完全限定域名(Fully Qualified Domain Name,FQDN)。例如,辽宁省交通高等专科学校的Web服务器的主机名为www,域名为lncc.edu.cn,那么其FQDN就是www.lncc.edu.cn,通过FQDN可以唯一地确定互联网中的一台主机。 V52〓域名空间结构 5.1.2域名空间结构 DNS服务器提供了域名解析服务,那么是不是所有的域名都可以交给一台DNS服务器来解析呢?这显然是不现实的,因为互联网中有不计其数的域名,且域名的数量还在不断增长。一种可行的方法是把域名空间划分成若干区域进行独立管理。区域是连续的域名空间,每个区域都由特定的DNS服务器来管理。一台DNS服务器可以管理多个区域,每个区域都在单独的区域文件中保存域名解析数据。 1. 根域和顶级域 在DNS域名空间结构中,根域位于最顶层,提供根域名服务,管理根域的DNS服务器称为根域服务器。在Internet中,根域是默认的,一般不需要表示出来。顶级域位于根域的下一层,常见的顶级域有商业机构.com、教育/学术研究单位.edu、财团法人等非营利机构.org、官方政府单位.gov、网络服务机构.net、专业人士网络.pro,以及代表国家和地区的中国.cn、美国.us、日本.jp等。顶级域服务器负责管理顶级域名的解析,在顶级域服务器下面还有二级域服务器等。假如现在把解析www.lncc.edu.cn的任务交给根域服务器,根域服务器并不会直接返回这个主机名的IP地址,因为根域服务器只知道各个顶级域服务器的地址,并把解析.cn顶级域名的权限“授权”给其中一台顶级域服务器(假设是服务器A)。如果根域服务器收到的请求中包括.cn顶级服务器的地址,则这个过程会一直继续下去,直到最后有一台负责处理.lncc.edu.cn的服务器直接返回www.lncc.edu.cn的IP 地址。在这个过程中,DNS把域名的解析权限层层向下授权给下一级DNS服务器,这种基于授权的域名解析就是DNS的分级管理机制,又称区域委派。 全球共有13台根域名服务器,这13台根域名服务器中的名称分别为A~M,10台放置在美国,另外3台分别放置在英国、瑞典和日本。其中,1台为主根服务器,放置在美国; 其余12台均为辅根服务器,9台放置在美国,2台放置在英国和瑞典,1台放置在日本。所有根域名服务器均由美国政府授权的互联网域名与号码分配机构统一管理,负责全球互联网域名根服务器、域名体系和IP地址等的管理。这13台根域名服务器可以指挥类似Firefox或Internet Explorer等的Web浏览器和电子邮件程序控制互联网通信。 2. 子域 在DNS域名空间中,除了根域和顶级级域之外,其他域都称为子域。子域是有上级域的域,一个域可以有多个子域。子域是相对而言的,如www.lncc.edu.cn中,lncc.edu.cn是cn的子域,lncc是edu.cn的子域。 和根域相比,顶级域实际是处于第二层的域,但它们还是被称为顶级域。根域从技术的含义上是一个域,但常常不被当作一个域。根域只有几个根级成员,它们的存在只是为了支持域名树的存在。 第二层域(顶级域)是属于单位团体或地区的,用域名的最后一部分即域后缀分类。例如,域名edu.cn代表中国的教育系统。多数域后缀可以反映使用这个域名所代表的组织的性质,但并不总是很容易通过域名后缀来确定使用该域名所代表的组织或单位的性质。 3. 主机 在域名层次结构中,主机可以存在于根以下的各层上。由于域名树是层次型的,而不是平面型的。因此只要求主机名在每一连续的域名空间中是唯一的,而在相同层中可以有相同的名字。如www.lncc.edu.cn、www.ryjiaoyu.com都是有效的主机名。也就是说,即使这些主机有相同的名字www,但都可以被正确地解析到唯一的主机,即只要主机是在不同的子域,就可以重名。 5.1.3DNS的工作原理 DNS域名的解析方法主要有两种: 一种是通过hosts文件进行解析; 另一种是通过DNS服务器进行解析。 V53〓DNS的工作原理 1. hosts文件 hosts文件解析是Internet最初使用的一种查询方式。采用hosts文件进行解析时,必须由手工输入、删除、修改所有DNS名称与IP地址的对应数据,即把全世界所有的DNS名称写在一个文件中,并将该文件存储到解析服务中。客户端如果需要解析名称,就到解析服务器上查询hosts文件。全世界所有的解析服务器上的hosts文件都需要保持一致。当网络规模较小时,hosts文件解析还是可以采用的。然而,当网络规模越来越大时,为保持网络里所有的服务器中的hosts文件的一致性,就需要进行大量的管理和维护工作。在大型网络中,这将是一项沉重的负担,此种方法显然是不适用的。 在Windows Server 2019操作系统中,hosts文件位于%systemroot%system32\drivers\etc目录中。本例中的hosts文件位于C:\Windows\system32\drivers\etc目录下。该文件是一个纯文本文件,如图5.1所示。 图5.1Windows Server 2019中的hosts文件 2. DNS服务器 DNS服务器是目前Internet最常用也最便捷的域名解析方法。全世界有众多DNS服务器各司其职,协同工作,构成了一个分布式的DNS域名解析网络。例如,lncc.edu.cn的DNS服务器只负责本域内数据的更新,而其他DNS服务器并不知道也无须知道lncc.edu.cn域中有哪些主机,但它们知道lncc.edu.cn的DNS服务器的位置; 当需要解析lncc.edu.cn时,它们就会向lncc.edu.cn的DNS服务器请求帮助。采用这种分布式解析结构时,一台DNS服务器出现故障问题并不会影响整个体系,而数据的更新操作也只在其中的一台或几台DNS服务器上进行,使整体的解析效率大幅提高。 下面介绍DNS的查询过程。 (1) 当用户在浏览器地址栏中输入www.163.com域名访问该网站时,操作系统会先检查自己本地hosts文件中是否有这个网址映射关系。如果有,则先调用这个IP地址映射,完成域名解析。 (2) 如果hosts文件中没有这个域名的映射,则查找本地DNS解析器缓存,查看其中是否有其网址映射关系。如果有,则直接返回,完成域名解析。 (3) 如果hosts文件与本地DNS解析器缓存中都没有相应的网址映射关系,则查找TCP/IP参数中设置的首选DNS服务器。在此称其为本地DNS服务器。本地DNS服务器收到查询时,如果要查询的域名包含在本地配置区域资源中,则返回解析结果给客户端,完成域名解析。此解析具有权威性。 (4) 如果要查询的域名未由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析。此解析不具有权威性。 (5) 如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询。如果未使用转发模式,则本地DNS服务器会把请求发至13台根DNS服务器。根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理的,并会返回一个负责该顶级域名服务器的IP地址。本地DNS服务器收到IP信息后,将会联系负责.com域的服务器。负责.com域的服务器收到请求后,如果自己无法解析,则会发送一个管理.com域的下一级DNS服务器的IP地址(163.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会查找163.com域服务器,重复上面的动作,进行查询,直至找到www.163.com主机。 (6) 如果使用的是转发模式,则此DNS服务器会把请求转发至上一级DNS服务器,由上一级DNS服务器进行解析。如果上一级DNS服务器无法解析,则查找根DNS服务器或把请求转至上一级,以此循环。不管是本地DNS服务器使用的是转发还是根服务器,最后都要将结果返回给本地DNS服务器,由此DNS服务器再返回给客户端。 5.1.4DNS服务器的类型 V54〓DNS服务器的类型 按照配置和功能的不同,DNS服务器可分为不同的类型。常见的DNS服务器类型有以下4种。 1. 主DNS服务器 主DNS服务器对所管理区域的域名解析提供最权威和最精确的响应,是所管理区域域名信息的初始来源。搭建主DNS服务器需要准备全套的配置文件,包括主配置文件、正向解析区域文件、反向解析区域文件、高速缓存初始化文件和回送文件等。正向解析是指从域名到IP地址的解析,反向解析正好相反。 2. 辅助DNS服务器 辅助DNS服务器也称从DNS服务器,它从主DNS服务器中获得完整的域名信息备份,可以对外提供权威和精确的域名解析服务,可以减轻主DNS服务器的查询负载。辅助DNS服务器的域名信息和主DNS服务器完全相同,它是主DNS服务器的备份,提供的是冗余的域名解析服务。 3. 高速缓存DNS服务器 高速缓存DNS服务器将从其他DNS服务器处获得的域名信息保存在自己的高速缓存中,并利用这些信息为用户提供域名解析服务。高速缓存DNS服务器的信息具有时效性,过期之后便不再可用。高速缓存DNS服务器不是权威服务器。 4. 转发DNS服务器 转发DNS服务器在对外提供域名解析服务时,优先从本地缓存中进行查找。如果本地缓存没有匹配的数据,则会向其他DNS服务器转发域名解析请求,并将从其他DNS服务器中获得的结果保存在自己的缓存中。转发DNS服务器的特点是可以向其他DNS服务器转发自己无法完成的解析请求任务。 5.2技能实践 配置DNS服务器的首要任务是建立DNS区域和域的树状结构。DNS服务器以区域为单位来管理服务。区域是一个数据库,用来链接DNS名称和相关数据,如IP地址和网络服务,在Internet环境中一般用二级域名来命名,如abc.com。DNS区域分为两类: 一类是正向搜索区域,即域名到IP地址的数据库,用于提供域名转换为IP 地址的服务; 另一类是反向搜索区域,即IP地址到域名的数据库,用于提供IP地址转换为域名的服务。 5.2.1安装DNS服务器 在安装Active Directory域服务角色时,可以选择一起安装DNS服务器角色。如果没有安装,则可以在计算机上通过“服务器管理器”安装DNS服务器角色。 1. 安装DNS服务器角色 安装DNS服务器角色,具体步骤如下。 V55〓安装DNS服务器角色 图5.2“添加角色和功能向导”对话框 (1) 选择“服务器管理器”→“管理”→“添加角色和功能”选项,持续单击“下一步”按钮,直到出现“选择服务器角色”窗口时,勾选“DNS服务器”复选框,弹出“添加角色和功能向导”对话框,如图5.2所示。 (2) 在“添加角色和功能向导”对话框中,单击“添加功能”按钮,返回“选择服务器角色”窗口,持续单击“下一步”按钮,最后单击“安装”按钮,开始安装DNS服务器。安装完毕后,单击“关闭”按钮,完成DNS服务器角色的安装。 2. DNS服务的启动和停止 要启动或停止DNS服务,可以使用“DNS管理器”控制台、“服务”控制台、net命令3种方式,具体步骤如下。 (1) 使用“DNS管理器”控制台。 选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,在左侧控制台树中右击服务器SERVER01选项,在弹出的快捷菜单中选择“所有任务”→“启动”、“停止”、“暂停”、“恢复”或“重新启动”选项,即可启动或停止DNS服务,如图5.3所示。 图5.3“DNS管理器”窗口 (2) 使用“服务”控制台。 选择“服务器管理器”→“工具”→“服务”选项,弹出“服务”窗口,找到DNS Server服务,如图5.4所示; 双击DNS Server服务,弹出“DNS Server的属性(本地计算机)”对话框,在服务状态区域,单击“启动”或“停止”按钮,即可启动或停止DNS服务,如图5.5所示。 图5.4“服务”窗口 (3) 使用net命令。 以域管理员用户账户登录服务器server01,在命令提示符下输入命令net stop dns停止DNS服务; 输入命令net start dns启动DNS服务,如图5.6所示。 图5.5“DNS Server的属性(本地计算机)”对话框 图5.6net命令启动、停止DNS服务 5.2.2部署主DNS服务器 V56 部署主DNS服务器) 在实际应用中,DNS服务器一般会与活动目录区域集成,所以当安装完成DNS服务器,新建区域后,直接提升该服务器为域控制器,将新建区域更新为活动目录集成区域。 1. 项目规划 部署主DNS服务器网络拓扑结构图,如图5.7所示。 图5.7部署主DNS服务器网络拓扑结构图 一个区域的主要区域建立在该区域的主DNS服务器上。主要区域的数据库文件是可读写的,所有针对该区域的添加、修改和删除等写入操作都必须在主要区域中进行。 配置DNS区域时,常用的术语如下。 全限定域名 (Fully Qualified Domain Name,FQDN)带有主机名和域名的名称,可以从逻辑上准确地表示出主机在什么地方; 也可以说全限定域名是主机名的一种完全表示形式。从全限定域名中包含的信息可以看出主机在域名树中的位置。 初始授权记录(Start Of Authority,SOA)用于表示一个区域的开始,记录的所有信息是用于控制这个区域的。每个区域数据库文件都必须包含一个SOA记录,并且必须是其中的第一个资源记录,用以标记DNS服务器所管理的起始位置。 名称服务器(Name Server,NS)记录,用于标识一个区域的DNS服务器。 主机记录(Address,A)也称为Host记录,实现正向解析,建立DNS名称到IP地址的映射,用于正向解析。 规范名称(Canonical Name)记录,也称为别名(Alias)记录,定义主机记录的别名,用于将DNS域名映射到另一个主要的或规范的名称,该名称可能为Internet中规范的名称,如www。 指针(domain name PoinTeR,PTR)记录,实现反向解析,建立IP地址到DNS名称的映射。 邮件交换器(Mail exchanger,MX)记录,用于指定交换或者转发邮件信息的服务器,该服务器知道如何将邮件传送到最终目的地。 在部署DNS服务器之前,须完成如下配置。 (1) 在服务器server01上部署域环境,域名为abc.com。 (2) 设置DNS服务器的TCP/IP属性,设置IP地址、子网掩码、默认网关和DNS服务器地址等相关信息。 (3) 设置Windows 10客户端主机的TCP/IP属性,设置IP地址、子网掩码、默认网关和DNS服务器地址等相关信息。 2. 创建正向主要区域 在DNS服务器上创建正向主要区域abc.com,具体步骤如下。 (1) 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“正向查找区域”选项,在弹出的快捷菜单中选择“新建区域”选项,如图5.8所示; 弹出“新建区域向导”对话框,如图5.9所示。 图5.8“DNS管理器”窗口 图5.9“新建区域向导”对话框 (2) 在“新建区域向导”对话框中,单击“下一步”按钮,弹出“区域类型”对话框,如图5.10所示; 选中“主要区域”单选按钮,默认勾选“在Active Directory中存储区域(只有DNS服务器是可写域控制器时才可用)”复选框,单击“下一步”按钮,弹出“Active Directory区域传送作用域”对话框,如图5.11所示。 (3) 在“Active Directory区域传送作用域”对话框中,选中“至此域中域控制器上运行的所有DNS服务器(D): abc.com”单选按钮,单击“下一步”按钮,弹出“区域名称”对话框,输入区域名称,如xyz.com(注意,如果是活动目录集成的区域,则不需要指定区域文件,否则需要指定区域文件xyz.com.dns),如图5.12所示; 单击“下一步”按钮,弹出“动态更新”对话框,如图5.13所示。 图5.10“区域类型”对话框 图5.11“Active Directory区域传送作用域”对话框 图5.12“区域名称”对话框 图5.13“动态更新”对话框 (4) 在“动态更新”对话框中,单击“下一步”按钮,弹出“正在完成新建区域向导”对话框,如图5.14所示; 单击“完成”按钮,返回“DNS管理器”窗口,如图5.15所示。 图5.14“正在完成新建区域向导”对话框 图5.15完成创建正向主要区域 3. 创建反向主要区域 反向查看区域用于通过IP地址查询DNS名称。创建反向主要区域的具体步骤如下。 (1) 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“反向查找区域”选项,在弹出的快捷菜单中选择“新建区域”选项,如图5.16所示; 弹出“新建区域向导”对话框,如图5.17所示。 图5.16新建“反向查找区域”窗口 (2) 在“新建区域向导”对话框中,连续单击“下一步”按钮,直到弹出“反向查找区域名称”对话框,选中“IPv4反向查找区域”单选按钮,单击“下一步”按钮,弹出“反向查找区域名称网络ID”对 图5.17“新建区域向导”对话框 话框,选中“输入网络ID”单选按钮,当网络ID输入为192.168.100时,反向查找区域的名称自动变为100.168.192.inaddr.arpa,如图5.18所示; 单击“下一步”按钮,弹出“动态更新”对话框,选中“允许非安全和安全动态更新”单选按钮,单击“下一步”按钮; 弹出“正在完成新建区域向导”对话框,单击“完成”按钮,完成区域的创建,返回“DNS管理器”窗口,如图5.19所示。 图5.18“反向查找区域名称”对话框 图5.19完成创建反向主要区域 4. 创建资源记录 DNS服务器需要根据区域中的资源记录提供该区域的名称解析。因此,在区域创建完成之后,需要在区域中创建所需要的资源记录。 (1) 新建主机。 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“新建主机(A或AAA)”选项,如图5.20所示; 弹出“新建主机”对话框,单击“添加主机”按钮,完成新建主机添加,如图5.21所示。 图5.20创建资源记录 图5.21“新建主机”对话框 (2) 新建别名。 DNS同时还是Web服务器,为其设置别名www,具体步骤如下。 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“新建别名(CNAME)”选项,弹出“新建资源记录”对话框,输入别名及目标主机的完全合格的域名,如图5.22所示; 单击“确定”按钮,返回“DNS管理器”窗口,如图5.23所示。 图5.22“新建资源记录”对话框 图5.23完成新建别名窗口 (3) 新建邮件交换器。 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“新建邮件交换器(MX)”选项,弹出“邮件交换器(MX)”选项卡,输入主机或子域以及邮件服务器的完全限定的域名(FQDN),设置邮件服务器优先级,如图5.24所示; 单击“确定”按钮,返回“DNS管理器”窗口,如图5.25所示。 图5.24“邮件交换器(MX)”选项卡 图5.25完成新建邮件交换器窗口 (4) 新建指针。 在DNS服务器上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,展开DNS服务器目录树,右击“反向查找区域”→100.168.192.inaddr.arpa选项,在弹出的快捷菜单中选择“新建指针(PTR)”选项,弹出“指针(PTR)”选项卡,输入主机IP地址以及主机名; 如图5.26所示; 单击“确定”按钮,返回“DNS管理器”窗口,如图5.27所示。 图5.26“指针(PTR)”选项卡 图5.27完成新建指针窗口 5. 客户端测试主DNS服务器 配置DNS客户端主机的相关信息,配置信息如下。 (1) 配置DNS客户。 以管理员身份登录DNS客户端Win10user01主机,打开“Internet协议版本4(TCP/IPv4)属性”对话框,相关地址配置信息,如图5.28所示。 图5.28“Internet协议版本4(TCP/IPv4)属性”对话框 (2) 使用nslookup命令测试DNS服务器是否正常工作。 在客户端Win10user01主机上,按Win+R组合键,弹出“运行”窗口,输入cmd命令,打开“管理员: C:\Windows\system32\cmd.exe”或“管理员: 命令提示符”窗口。 nslookup命令是用来进行手动DNS查询的最常用的工具。这个工具有两种工作模式: 非交互模式和交互模式。 ① 非交互模式。 非交互模式要在命令行中输入完整的命令: nslookup www.abc.com,如图5.29所示。 图5.29非交互模测试DNS服务器窗口 使用命令nslookup测试 DNS1服务器,如图5.30所示; 测试mail邮件服务器,如图5.31所示。 ② 交互模式。 输入nslookup命令,不需要参数,就可以进入交互模式。任何一种模式都可以将参数传递给nslookup,但在域名服务器出现故障时,大多使用交互模式。在交互模式下,可以在提示符>下输入help或?获得帮助信息,如图5.32所示; 查找DNS区域信息,如图5.33所示。查找邮件服务器记录信息,如图5.34所示; 查找指针记录信息,如图5.35所示。 查找别名记录信息,如图5.36所示; 查找主机记录信息,如图5.37所示。使用exit命令,退出nslookup环境。 图5.30测试DNS1服务器 图5.31测试mail邮件服务器 图5.32nslookup命令交互模式 图5.33查找DNS区域信息 图5.34查找邮件服务器记录信息 图5.35查找指针记录信息 图5.36查找别名记录信息 图5.37查找主机记录信息 说明: set type表示设置查找的类型。 set type=NS表示查找区域; set type=MX表示查找邮件服务器记录; set type=PTR表示查找指针记录; set type=cname表示查找别名记录; set type=A表示查找主机记录。 (3) 使用ping 命令测试DNS服务器,如图5.38所示。 图5.38ping命令测试DNS服务器 6. 管理DNS客户端缓存 可以使用ipconfig命令查看本地网卡相关信息,如IP地址、网关地址、物理MAC地址、DNS地址等信息; 也可以使用ipconfig命令来管理DNS客户端的缓存。 (1) 查看本地网卡相关信息,执行命令如下。 ipconfig/all 执行命令的结果如图5.39所示。 图5.39查看本地网卡相关信息 (2) 查看DNS客户端缓存,执行命令如下。 ipconfig/displaydns 执行命令的结果如图5.40所示。 图5.40查看DNS客户端缓存 (3) 清空DNS客户端缓存,执行命令如下。 ipconfig/flushdns 5.2.3部署辅助DNS服务器 一个区域的辅助区域建立在该区域的辅助DNS服务器上。辅助区域的数据库文件是主要区域数据库文件的副本,需要定期地通过区域传输主要区域的备份以获得更新。辅助区域的主要作用是均衡DNS解析的负载以提高解析效率,同时提供容错能力。必要时可以将辅助区域转换为主要区域。辅助区域内的记录是只读的,不可以修改。 1. 项目规划 部署辅助DNS服务器网络拓扑结构图,如图5.41所示。 图5.41部署辅助DNS服务器网络拓扑结构图 (1) 在DNS1服务器上,首选DNS: 192.168.100.100,备用DNS: 192.168.100.101,建立A资源主机记录(FQDN为DNS2.abc.com,IP地址为192.168.100.101)。 (2) 在DNS2服务器上,首选DNS: 192.168.100.101,备用DNS: 192.168.100.100。 (3) 在DNS2服务器上建立一个辅助区域abc.com,此区域内的记录是从其主服务器DNS1通过区域传递复制过来的。 2. 新建辅助区域(DNS2) DNS2上新建辅助区域,并设置让此区域从DNS1上复制区域记录,主要操作如下。 (1) 在DNS2上,选择“服务器管理器”→“添加角色和功能”选项,弹出“添加角色和功能向导”窗口,勾选“DNS服务器”复选框,按向导在DNS2服务器上完成DNS服务器的安装。 (2) 在DNS2上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,右击“正向查找区域”选项,在弹出的快捷菜单中选择“新建区域”选项,单击“下一步”按钮,弹出“区域类型”对话框,如图5.42所示; 在“区域类型”对话框中,选中“辅助区域”单选按钮,单击“下一步”按钮,弹出“正向或反向查找区域”对话框,如图5.43所示。 图5.42“区域类型”对话框 图5.43“正向或反向查找区域”对话框 (3) 在“正向或反向查找区域”对话框中,单击“下一步”按钮,弹出“区域名称”对话框,输入区域名称abc.com,如图5.44所示; 单击“下一步”按钮,弹出“主DNS服务器”对话框,在主服务器区域中,输入IP地址: 192.168.100.100(即主DNS1服务器的地址),如图5.45所示。 图5.44“区域名称”对话框 图5.45“主DNS服务器”对话框 (4) 在“主DNS服务器”对话框中,单击“下一步”按钮,弹出“正在完成新建区域向导”对话框,如图5.46所示; 单击“完成”按钮,返回“DNS管理器”窗口,如图5.47所示。 (5) 重复步骤(2)~步骤(4),新建“反向查找区域”的辅助区域,操作步骤类似,这里不再赘述。完成新建辅助区域的结果,如图5.48所示。 图5.46“正在完成新建区域向导”对话框 图5.47完成abc.com辅助DNS服务器配置 图5.48完成“反向查找区域”的辅助区域 3. 确认DNS1是否允许区域传送 如果DNS1不允许将区域记录传送给DNS2,那么DNS2向DNS1提出区域传送请求时会被拒绝。下面设置让DNS1允许区域传送给DNS2,相关配置如下。 (1) 在DNS1(server01)上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,右击“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“新建主机(A或AAA)”选项,弹出“新建主机”对话框,如图5.49所示; 输入名称和IP地址,单击“添加主机”按钮,返回“DNS管理器”窗口,可以看到DNS2添加主机完成,如图5.50所示。 图5.49“新建主机”对话框 图5.50DNS2添加主机完成窗口 (2) 在DNS1(server01)上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口选择“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“属性”选项,弹出“abc.com属性”对话框,如图5.51所示; 在“abc.com属性”对话框中,选择“区域传送”选项卡,勾选“允许区域传送”复选框,选中“只允许到下列服务器”单选按钮,单击“编辑”按钮,弹出“允许区域传送”对话框,在“辅助服务器IP地址”区域,输入IP地址: 192.168.100.101,如图5.52所示。 (3) 在“允许区域传送”对话框中,单击“确定”按钮,返回“abc.com属性”对话框,如图5.53所示; 在“abc.com属性”对话框中,单击“确定”按钮,返回“DNS管理器”窗口。 (4) 在DNS2上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,单击“正向查找区域”→abc.com选项,可以看到在DNS2服务器上,已经把DNS1区域信息传送过来了。此时,DNS1与DNS2服务器区域信息是一致的,如图5.54所示。 图5.51“abc.com属性”对话框 图5.52“允许区域传送”对话框 图5.53“abc.com属性”对话框 图5.54DNS2完成区域信息传送窗口 5.2.4部署存根DNS服务器 一个区域的存根区域类似于辅助区域,也是主要区域的只读副本,但存根区域只从主要区域中复制名称服务器(Name Server,NS)记录、初始授权(Start Of Authority,SOA)记录、主机(Address,A)记录的副本,而不是所有的区域数据库信息。 存根区域的NS、SOA与A资源记录是从其主服务器(此区域的授权服务器)复制过来的,当主服务器内的这些记录发生变化时,它们通过区域转送的方式复制过来。存根区域的区域转送只会传送NS、SOA与A资源记录。其中A资源记录用来记载授权服务器的IP地址,此A资源记录需要跟随NS记录一并被复制到存根区域,否则拥有存根区域的服务器无法解析到授权服务器的IP地址。当有DNS客户端查询(查询模式为递归查询)存根区域内的资源记录时,DNS服务器会利用区域内的NS记录得知此区域的授权服务器,然后向授权服务器查询(查询模式为迭代查询)。如果无法从存根区域内找到此区域的授权服务器,那么DNS服务器会采用标准方式向根(Root)查询。 1. 项目规划 部署存根DNS服务器网络拓扑结构图,如图5.55所示。 图5.55部署存根DNS服务器网络拓扑结构图 (1) 在DNS1服务器上,首选DNS: 192.168.100.100,备用DNS: 192.168.100.101,建立A资源主机记录(FQDN为DNS2.abc.com,IP地址为192.168.100.101)。 (2) 在DNS2服务器上,首选DNS: 192.168.100.101,备用DNS: 192.168.100.100。 (3) 在DNS2服务器上建立一个正反向存根区域abc.com,并将此区域的查询请求转发给此区域的授权服务器DNS1来处理。存根区域内的记录是从其主服务器DNS1通过区域传递复制过来的。 2. 新建存根区域(DNS2) DNS2上新建存根区域,并设置让此区域从DNS1(此区域的授权服务器)上复制区域记录。 (1) 在DNS2上,选择“服务器管理器”→“添加角色和功能”选项,弹出“添加角色和功能向导”窗口,勾选“DNS服务器”复选框,按向导提示在DNS2服务器上完成DNS服务器的安装。 (2) 在DNS2上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,右击“正向查找区域”选项,在弹出的快捷菜单中选择“新建区域”选项,单击“下一步”按钮,弹出“区域类型”对话框,如图5.56所示; 在“区域类型”对话框中,选中“存根区域”单选按钮,单击“下一步”按钮,弹出“区域名称”对话框,如图5.57所示。 图5.56“区域类型”对话框 图5.57“区域名称”对话框 (3) 在“区域名称”对话框中,输入区域名称abc.com,单击“下一步”按钮,弹出“区域文件”对话框,如图5.58所示; 选中“创建新文件、文件名为”单选按钮,单击“下一步”按钮,弹出“主DNS服务器”对话框,输入主服务器地址,如图5.59所示。 图5.58“区域文件”对话框 图5.59“主DNS服务器”对话框 (4) 在“主DNS服务器”对话框中,单击“下一步”按钮,弹出“正在完成新建区域向导”对话框,如图5.60所示; 单击“下一步”按钮,返回“DNS管理器”窗口,完成存根区域创建,如图5.61所示。 图5.60“正在完成新建区域向导”对话框 图5.61完成存根区域创建窗口 3. 确认DNS1是否允许区域传送 如果DNS1不允许将区域记录传送给DNS2,那么DNS2向DNS1提出区域传送请求时会被拒绝。下面设置让DNS1允许区域传送给DNS2,相关配置如下。 (1) 在DNS1(server01)上,“DNS管理器”窗口中选择“正向查找区域”→abc.com选项,在弹出的快捷菜单中选择“属性”选项,弹出“abc.com属性”对话框,在“abc.com属性”对话框中,选择“区域传送”选项卡,勾选“允许区域传送”复选框,选中“只允许到下列服务器”单选按钮,单击“编辑”按钮,弹出“允许区域传送”对话框,在“辅助服务器IP地址”区域,输入IP地址: 192.168.100.101(即DNS2服务器的IP地址)。 (2) 类似地,右击“反向查找区域”选项,添加反向查找区域100.168.192.addr.arpa,在弹出的快捷菜单中选择“属性”选项,重复以上操作,这里不再赘述。设置让DNS1可以将反向查找区域的记录通过区域传送复制给DNS2。 如果确定所有配置都正确,但一直看不到这些记录; 请单击区域abc.com后按F5键执行刷新操作; 如查仍然看不到,可以将“DNS管理器”控制台关闭再重新打开。 存根区域的DNS服务器默认每隔15分钟自动请求其主服务器执行区域传送的操作; 也可以选中存根区域后右击,在弹出的快捷菜单中选择“从主服务器传输”或“从主服务器传送区域的新副本”选项,选择手动要求执行区域传送的操作,不过它只会传送NS、SOA与记载着授权服务器IP地址的A资源记录。 5.2.5部署委派DNS服务器 DNS名称解析是通过分布式结构来管理和实现的,它允许将DNS名称空间根据层次结构分割成一个或多个区域,并将这些区域委派给不同的DNS服务器进行管理。例如,某区域的DNS服务器(以下称“委派服务器”)可以将其子域委派给另一台DNS服务器(以下称“受委派服务器”)全权管理,由受委派服务器维护该子域的数据库,并负责响应针对该子域的名称解析请求。而委派服务器则无须进行任何针对该子域的管理工作,也无须保存该子域的数据库,只需要保留到达受委派服务器的指向,即当DNS客户端请求解析该子域的名称时,委派服务器将无法直接响应该请求,但其明确知道应该由哪个DNS服务器(即受委派服务器)来响应该请求。 采用区域委派可有效地均衡负载。将子域的管理和解析任务分配到各个受委派服务器,可以大幅降低父级域或顶级域服务器的负载任务,提高解析效率。同时,这种分布式结构使得真正提供解析的受委派服务器更接近于客户端,从而减少了带宽资源的浪费。部署区域委派需要在委派服务器和受委派服务器中都进行必要的配置。 1. 项目规划 部署委派DNS服务器网络拓扑结构图,如图5.62所示。 图5.62部署委派DNS服务器网络拓扑结构图 (1) 在DNS1服务器上,首选DNS: 192.168.100.100,备用DNS: 192.168.100.101,建立A资源主机记录(FQDN为DNS2.abc.com,IP地址为192.168.100.101)。 (2) 在DNS2服务器上,首选DNS: 192.168.100.101,备用DNS: 192.168.100.100,建立A资源主机记录(FQDN为DNS2.abc.com,IP地址为192.168.100.101)。 (3) 将DNS2服务器升级为域控制器,安装Active Directory域服务,父域为abc.com,子域控制域为lncc.abc.com。 2. 配置受委派服务器(DNS2) 在受委派DNS服务器DNS2上创建主区域lncc.abc.com,并且在该域中创建资源记录,然后在委派DNS服务器DNS1上创建委派域lncc,具体配置步骤如下。 (1) 在DNS2上,选择“服务器管理器”→“添加角色和功能”选项,弹出“添加角色和功能向导”对话框,勾选“DNS服务器”复选框,按向导在DNS2服务器上完成DNS服务器的安装。 (2) 在DNS2上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,右击“正向查找区域”选项,在弹出的快捷菜单中选择“新建区域”选项,弹出“新建区域向导”对话框,单击“下一步”按钮,弹出“区域类型”对话框,如图5.63所示; 在“区域类型”对话框中,选中“主要区域”单选按钮,单击“下一步”按钮,弹出“区域名称”对话框,如图5.64所示。 图5.63“区域类型”对话框 图5.64“区域名称”对话框 (3) 在“新建区域向导”对话框中,连续单击“下一步”按钮,最后单击“完成”按钮,创建区域完成后,新建资源记录,如建立主机client.lncc.abc.com,对应的IP地址: 192.168.100.10; DNS2.lncc.abc.com对应的IP地址: 192.168.100.101。 (4) 创建反向主要区域100.168.192.inaddr.arpa,如图5.65所示。 (5) 将DNS2升级为子域控制器。需要说明的是,将DNS2升级为子域控制器在部署委派域时并不是必需的步骤。在DNS2上安装Active Directory域服务,在安装过程中,选择“将新域添加 图5.65DNS2管理器设置完成后的界面 到现有林”单选按钮,选择域类型为“子域”,父域为abc.com,子域为lncc,完成安装后,计算机自动重启。至此,DNS2成功升级为子域lncc.abc.com的域控制器。 (6) 在DNS1上,选择“服务器管理器”→“工具”→DNS选项,弹出“DNS管理器”窗口,右击“正向查找区域”选项,在弹出的快捷菜单中选择“新建委派”选项,弹出“新建委派向导”对话框,如图5.66所示; 单击“下一步”按钮,弹出“受委派域名”对话框,如图5.67所示。 图5.66“新建委派向导”对话框 图5.67“受委派域名”对话框 (7) 在“受委派域名”对话框中,输入委派的域,单击“下一步”按钮,弹出“名称服务器”对话框,如图5.68所示; 单击“添加”按钮,弹出“新建名称服务器记录”对话框,如图5.69所示。 图5.68“名称服务器”对话框 图5.69“新建名称服务器记录”对话框 (8) 在“新建名称服务器记录”对话框中,输入服务器完全限定的域名,在“此NS记录的IP地址”区域,输入IP地址: 192.168.100.101(即DNS2服务器的地址),单击“确定”按钮,返回“名称服务器”对话框,如图5.70所示; 单击“下一步”按钮,弹出“正在完成新建委派向导”对话框,如图5.71所示。 图5.70“名称服务器”对话框 图5.71“正在完成新建委派向导”对话框 (9) 在“正在完成新建委派向导”对话框中,单击“完成”按钮,返回“DNS管理器”窗口,可以查看刚刚创建的受委派DNS服务器选项,如图5.72所示。 图5.72受委派DNS服务器的界面 (10) 使用具有管理员权限的用户账户客户端Win10user01,首选DNS服务器的IP地址设置为192.168.100.100,使用nslookup命令进行测试DSN2.lncc.abc.com、client.lncc.abc.com。如果成功,说明IP地址为192.168.100.100(DNS1服务器)的服务器到IP地址为192.168.100.101(DNS2服务器)的服务器委派成功,如图5.73所示。 图5.73测试委派DNS服务器成功 课后习题 1. 选择题 (1) 域名系统DNS提供了一个()命名方案。 A. 分级B. 分组C. 分层D. 多层 (2) 顶级域中表示商业机构组织的是()。 A. eduB. comC. netD. org (3) 顶级域中表示教育、学术研究单位组织的是()。 A. eduB. comC. netD. org (4) 顶级域中表示网络服务机构组织的是()。 A. eduB. comC. netD. org (5) 在DNS域名空间中,最上面一层被称为“根域”,用()表示。 A. *B. !C. &D. . (6) 在Windows Server 2019的DNS服务器上不可以新建的区域类型有()。 A. 主要区域B. 辅助区域C. 存根区域D. 转换区域 (7) 下面表示全限定域名的是()。 A. SOAB. NSC. FQDND. PTR (8) 下面表示邮件交换器的是()。 A. CNAMEB. MXC. NSD. FQDN (9) 下面表示名称服务器的是()。 A. SOAB. NSC. FQDND. PTR (10) 下面表示别名的是()。 A. CNAMEB. MXC. NSD. FQDN (11) 下面表示指针记录的是()。 A. SOAB. NSC. FQDND. PTR (12) 下面表示主机记录的是()。 A. CNAMEB. MXC. AD. NS 2. 简答题 (1) 简述根域和顶级域。 (2) 简述DNS的工作原理。 (3) 简述DNS服务器的类型。