第7章 架设DNS服务器.ppt

《第7章 架设DNS服务器.ppt》由会员分享，可在线阅读，更多相关《第7章 架设DNS服务器.ppt（130页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、机械工业出版社第第7章架设章架设DNS服务器服务器【知识与技能要点】1、掌握DNS服务器的基本概念2、掌握DNS服务器的添加方法3、掌握DNS服务器的各种配置方法机械工业出版社7.1DNS概述概述在日常访问网络的过程中，人们都是通过输入要访问的计算机名称来完成的，而网络中使用的TCP/IP通信协议是基于IP访问的，将用户输入的计算机名称解析为IP地址的工作是由DNS服务器完成的，在Windows Server 2008操作系统中DNS是首选的名称解析方式。7.1.1DNS定义域名系统(DNS)是用于命名计算机和网络服务的系统，该系统将这些计算机和网络服务组织到域的层次结构中。DNS命名用于TC

2、P/IP网络（如 Internet），以借助友好名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的其他信息，如IP地址。DNS是一个开放协议。它由一组RFC(Request For Comments（RFC），是一系列以编号排定的文件)来标准化。Microsoft支持并遵循这些标准规范。由于Windows Server2008中的DNS服务器服务符合RFC，并且它可以使用标准的DNS数据文件和资源记录格式，因此它可以成功地与大多数其他DNS服务器实现（如使用Berkeley Internet名称域(BIND)软件的DNS服务器实现）一起工作。架

3、架设设DNS服服务务器器机械工业出版社7.1.2DNS域命名空间简介DNS域名空间采用基于域树的概念，在DNS域树中，每个“节点”都可代表DNS域树的一个“分支”或“叶”，其中“分支”是多个用于标识一组命名资源的等级名称，“叶”代表在该等级中仅使用一次，来指明特定资源的单个名称，如图7-1所示。图7-1 DNS域命名空间架架设设DNS服服务务器器机械工业出版社在图7-1，DNS域命名空间的最顶端是“根”服务器，用一个英文的句点“.”表示，这是树的顶级，它表示未命名的等级。它有时显示为两个空引号()，以表示空值。在DNS域名中使用时，它由尾部句点(.)表示，以指定该名称位于域层次结构的最高层或根

4、。在这种情况下，DNS域名被认为是完整名称并指向名称树中的确切位置。以这种方式表示的名称称作完全限定的域名(FQDN)在名称末尾使用的单个句点(.),如.。在“根”下DNS的域名结构大体上设计为4层,分别为：架架设设DNS服服务务器器1、顶级域，由两三个字母组成的名称用于指示国家/地区或使用名称的单位类型。如“.cn”，它表示在Internet上国家的名称。2、二级域，为了在Internet上使用而注册到个人或单位的长度可变名称。这些名称始终基于相应的顶级域，这取决于单位的类型或使用的名称所在的地理位置，如“.”，它是由Internet DNS域名注册人员注册到cn的二级域名。3、子域，单位可

5、创建的其他名称，这些名称从已注册的二级域名中派生。包括为扩大单位中名称的DNS树而添加的名称，并将其分为部门或地理位置。如“.”是由edu指派的虚拟子域，用于文档示例名称中。4、主机或资源名称，代表名称的DNS树中的叶节点并且标识特定资源的名称。DNS域名最左边的标号一般标识网络上的特定计算机。例如，如果位于该层的名称在主机(A)RR中使用，则使用它可以根据其主机名搜索计算机的IP地址。如“”其中第一个标号（“www”）是网络上特定计算机的DNS主机名。机械工业出版社以下是在Internet上最常用的顶级域的列表，组织注册二级域名时用于通过类型对这些组织进行分类。例如，（注册到Microsof

6、t的二级域名）在“com”域注册，因为这是为在Internet上从事商业活动的单位提供的顶级域。如表7-1所示。顶 级 名 称 描 述 用 于arpa 属于美国国防部高级研究计划局(ARPA)。为Internet上使用Internet分配编号机构(IANA)分配给DNS域名的Internet协议版本4(IPv4)地址的计算机注册这些地址的反向映射 in-addr.arpa域 com 供商业组织使用 商号和公司 edu 供教育机构使用 公立和私立学校、学院和大学 gov 供政府机构使用地方、州和联邦政府机构 架架设设DNS服服务务器器机械工业出版社int 保留供国际组织使用。目前计划在RFC 1

7、886中使用，为在Internet上使用IANA分配给在ip6.int域中DNS域名的Internet协议版本6(Ipv6)地址的计算机注册这些反向映射 ip6.int域 mil 供军事机构使用 美国国防部(DoD)、美国海军、美国陆军、美国空军及其他军事机构 net 供提供大规模Internet或电话服务的组织使用 InterNIC、AT&T和其他大规模Internet和电话服务提供商 org 供非商业非赢利单位使用 教堂和慈善机构 cn 代表中国 表7-1 Internet常用的顶级域列表架架设设DNS服服务务器器机械工业出版社7.1.3DNS服务器类型根据管理的DNS区域的不同，DNS服

8、务器也具有不同的类型。一台DNS服务器可以同时管理多个区域，因此也可以同时属于多种DNS服务器类型。1、主要、主要DNS服务器服务器 当DNS服务器管理主要区域时，它被称为主要DNS服务器。主要DNS服务器是主要区域的集中更新源，可以部署两种模式的主要区域：标准主要区域：标准主要区域的区域数据存放在本地文件中，只有主要DNS服务器可以进行管理此DNS区域（单点更新）。这意味如果当主要DNS服务器出现故障时，此主要区域不能再进行修改；但是，位于辅助服务器上的辅助服务器还可以答复DNS客户端的解析请求。标准主要区域只支持非安全的动态更新。活动目录集成主要区域：活动目录集成主要区域仅在域控制器上部署

9、DNS服务器时有效，此时，区域数据存放在活动目录中并且随着活动目录数据的复制而复制。在默认情况下，每一个运行在域控制器上的DNS服务器都将成为主要DNS服务器，并且可以修改DNS区域中的数据（多点更新），这样避免了标准主要区域时出现的单点故障。活动目录集成主要区域支持安全的动态更新。架架设设DNS服服务务器器机械工业出版社2、辅助、辅助DNS服务器服务器 在DNS服务设计中，针对每一个区域，建议至少使用两台DNS服务器来进行管理。其中一台作为主要DNS服务器，而另外一台作为辅助DNS服务器。当DNS服务器管理辅助区域时，它将成为辅助DNS服务器。使用辅助DNS服务器的好处在于实现负载均衡和避免

10、单点故障。辅助DNS服务器用于获取区域数据的源DNS服务器称为主服务器，主服务器可以由主要DNS服务器或者其他辅助DNS服务器来担任；当创建辅助区域时，将要求用户指定主服务器。在辅助DNS服务器和主服务器之间存在着区域复制，用于从主服务器更新区域数据。注意：这个地方辅助DNS服务器是根据区域类型的不同而得出的概念，而在配置DNS客户端使用的DNS服务器时，管理辅助区域的DNS服务器可以配置为DNS客户端的主要DNS服务器，而管理主要区域的DNS服务器也可以配置为DNS客户端的辅助DNS服务器。3、存根、存根DNS服务器服务器 管理存根区域的DNS服务器称为存根DNS服务器。一般情况下，不需要单

11、独部署存根DNS服务器，而是和其他DNS服务器类型合用。在存根DNS服务器和主服务器之间同样存在着区域复制。架架设设DNS服服务务器器机械工业出版社4、缓存、缓存DNS服务器服务器 缓存DNS服务器即没有管理任何区域的DNS服务器，也不会产生区域复制，它只能缓存DNS名字并且使用缓存的信息来答复DNS客户端的解析请求。当刚安装好DNS服务器时，它就是一个缓存DNS服务器。缓存DNS服务器可以通过缓存减少DNS客户端访问外部DNS服务器的网络流量，并且可以降低DNS客户端解析域名的时间，因此在网络的广泛的使用。例如一个常见的中小型企业网络接入到Internet的环境，并没有在内部网络中使用域名，

12、所以没有架设DNS服务器，客户通过配置使用ISP的DNS服务器来解析Internet域名。此时就可以部署一台缓存DNS服务器，配置将所有其他DNS域转发到ISP的DNS服务器，然后配置客户使用此缓存DNS服务器，从而减少解析客户端请求所需要的时间和客户访问外部DNS服务的网络流量。架架设设DNS服服务务器器机械工业出版社7.1.4DNS查询工作原理当 DNS 客户端需要查询程序中使用的名称时，它会查询 DNS 服务器来解析该名称。客户端发送的每条查询消息都包括三条信息，指定服务器回答的问题：指定的DNS域名，规定为完全合格的域名(FQDN)指定的查询类型，可根据类型指定资源记录，或者指定查询操

13、作的专用类型。DNS域名的指定类别。对于Windows DNS服务器，它始终应指定为Internet(IN)类别。例如，指定的名称可为计算机的FQDN，如 host-，并且指定的查询类型用于通过该名称搜索地址(A)资源记录。将DNS查询看作客户端向服务器询问由两部分组成的问题，如“您是否拥有名为“”的计算机的 A资源记录？”当客户端收到来自服务器的应答时，它将读取并解释应答的A资源记录，获取根据名称询问的计算机的IP地址。架架设设DNS服服务务器器机械工业出版社DNS 查询常以两种方式进行解析：1、递归查询客户端可使用从先前的查询获得的缓存信息在本地应答查询。DNS服务器可使用其自身的资源记录

14、信息缓存来应答查询。若查不到相关信息，DNS服务器将代表请求客户端查询或联系其他DNS服务器，以便完全解析该名称，并随后将应答返回至客户端。这个过程称为递归。具体过程如下：DNS客户端向本地DNS服务器发出递归查询请求。本地DNS服务器将检查区域和缓存，寻找相关的资源记录。如果DNS服务器找到DNS客户端所请求的资源记录，将该记录告诉DNS客户端。如果DNS服务器没有找到相应的资源记录，DNS服务器可以通过转发器地址和根提示来寻找资源记录，若找到相关记录则逐级返回给客户端。如果DNS服务器通过任何方法都未查询到该资源记录，则查询失败。2、迭代查询客户端自己尝试联系其他的DNS服务器来解析名称。

15、当客户端执行此操作时，它会根据来自服务器的参考答案，使用其他的独立查询。这个过程称为迭代。具体查询过程如下：DNS客户端向本地DNS服务器发出迭代查询请求。本地DNS服务器向根服务器发出迭代查询的请求。根服务器作出响应，提供对靠近所提交域名的DNS服务器的IP地址。本地DNS服务器向靠近所提交域名的DNS服务器发出迭代查询。依次类推，直到本地DNS服务器收到所要查询的资源记录的信息。将该资源记录信息发送给DNS客户端。架架设设DNS服服务务器器机械工业出版社7.27.2添加添加添加添加DNSDNS服务服务服务服务7.2.1架设DNS服务器的需求和环境DNS服务器对性能要求非常低的，几乎是没有什

16、么要求，主要是考虑服务器的稳定性和以后数量的增长性。所以还是推荐使用一台入门级的服务器，稳定可靠，性能也够强。同时在部署DNS服务器之前，应做好以下准备：1、设置DNS服务器的IP地址为静态IP地址，并且设置好DNS服务器的子网掩码、网关等信息。2、确定DNS的域名，这里设置域名为7.2.2实践：安装DNS服务器角色在服务器上通过“服务器管理器”安装DNS服务器安装 DNS 服务器的步骤：1、以管理员的身份登录服务器，通过“开始”菜单下的“管理工具”打开服务器管理器，单击“服务器管理器”左侧的“角色”节点，然后再单击右侧的“添加角色”按钮，打开“添加角色向导”对话框，选择其中的“DNS服务器”

17、复选框，如图7-2所示。图7-2 选择服务器角色DNS架架设设DNS服服务务器器机械工业出版社2、单击“下一步”按钮，出现“DNS服务器简介”对话框，该对话框对DNS服务器进行简单的介绍。如图7-3所示。图7-3 DNS服务器简介架架设设DNS服服务务器器机械工业出版社3、单击“下一步”按钮，出现“确认安装选择”对话框，如图7-4所示。图7-4 确认安装架架设设DNS服服务务器器机械工业出版社4 4、单击、单击“安装安装”按钮开始安装按钮开始安装DNSDNS服务器，安装完成后出现如服务器，安装完成后出现如图图7-57-5所示的所示的“安装结束安装结束”对话框，最后单击对话框，最后单击“关闭关闭

18、”按钮完成按钮完成DNSDNS服务器的安装。服务器的安装。图7-5 安装成功架架设设DNS服服务务器器机械工业出版社7.2.37.2.3实践：实践：DNSDNS服务的停止和启动服务的停止和启动要启动或停止要启动或停止DNSDNS服务，可以使用服务，可以使用netnet命令、命令、“DNS”DNS”控制台、控制台、“服务服务”控制台和和服务器管理器四种常用方法。控制台和和服务器管理器四种常用方法。1 1、使用、使用netnet命令命令以管理员身份登录服务器，在命令提示符下，输入命令以管理员身份登录服务器，在命令提示符下，输入命令“net stop dns”net stop dns”停止停止DNS

19、DNS服务，服务，输入命令输入命令“net start dns”net start dns”启用启用DNSDNS服务，如同服务，如同7-67-6所示。所示。图7-6 命令提示符启动停止DNS架架设设DNS服服务务器器机械工业出版社2 2、使用、使用DNSDNS控制台控制台以管理员的身份登录服务器，通过以管理员的身份登录服务器，通过“开始开始”菜单下的菜单下的“管理工具管理工具”打打开开“DNS”DNS”控制台，如图控制台，如图7-77-7所示。所示。图7-7 DNS控制台管理员可通过右键单击DNS服务器，在弹出的快捷菜单中选择“所有任务”中的“启动”或“停止”来完成DNS的操作。架架设设DNS

20、服服务务器器机械工业出版社3 3、使用服务控制台、使用服务控制台以管理员的身份登录服务器，通过以管理员的身份登录服务器，通过“开始开始”菜单下的菜单下的“管理工具管理工具”打开打开“服务服务”控制台，如图控制台，如图7-87-8所示。所示。图7-8 服务控制台管理员可通过单击“停止”、“启动”、“重启动”等按钮来完成对DNS的操作。架架设设DNS服服务务器器机械工业出版社4 4、服务器管理器、服务器管理器以管理员的身份登录服务器，通过以管理员的身份登录服务器，通过“开始开始”菜单下的菜单下的“管理工管理工具具”打开服务器管理器，如图打开服务器管理器，如图7-97-9所示。所示。图7-9 服务器

21、管理器管理员可通过单击“停止”、“启动”、“重新启动”等按钮来完成对DNS的操作。架架设设DNS服服务务器器机械工业出版社7.37.3配置配置配置配置DNSDNS区域区域区域区域7.3.17.3.1DNSDNS区域类型区域类型在部署一台在部署一台DNSDNS服务器时，必须预先考虑服务器时，必须预先考虑DNSDNS区域类型，从而决定区域类型，从而决定DNSDNS服务器类型。服务器类型。DNSDNS区域分为两大类区域分为两大类:正向查找区域和反向查找区域：正向查找区域和反向查找区域：正向查找区域用于正向查找区域用于FQDNFQDN到到IPIP地址的映射，当地址的映射，当DNSDNS客户端请求解析某

22、个客户端请求解析某个FQDNFQDN时，时，DNSDNS服务器在正向查找区域中进行查找，并返回给服务器在正向查找区域中进行查找，并返回给DNSDNS客户端对应的客户端对应的IPIP地址地址;反向查找区域用于反向查找区域用于IPIP地址到地址到FQDNFQDN的映射，当的映射，当DNSDNS客户端请求解析某个客户端请求解析某个IPIP地址时，地址时，DNSDNS服务器在反向查找区域中进行查找，并返回给服务器在反向查找区域中进行查找，并返回给DNSDNS客户端对应的客户端对应的FQDNFQDN。而每一类区域又分为三种区域类型而每一类区域又分为三种区域类型:主要区域、辅助区域和存根区域主要区域、辅助

23、区域和存根区域:主要区域主要区域(Primary):(Primary):包含相应包含相应DNSDNS命名空间所有的资源记录，是区域中所包含的所有命名空间所有的资源记录，是区域中所包含的所有DNSDNS域的权威域的权威DNSDNS服务器。可以对区域中所有资源记录进行读写，即服务器。可以对区域中所有资源记录进行读写，即DNSDNS服务器可以服务器可以修改此区域中的数据，默认情况下区域数据以文本文件格式存放。主要区域默认命名修改此区域中的数据，默认情况下区域数据以文本文件格式存放。主要区域默认命名为为zone_name.dnszone_name.dns，位于服务器上的，位于服务器上的“%system

24、root%System32dns”%systemroot%System32dns”文件夹中。文件夹中。辅助区域辅助区域(Secondary):(Secondary):主要区域的备份，从主要区域直接复制而来主要区域的备份，从主要区域直接复制而来;同样包含相应同样包含相应DNSDNS命名空间所有的资源记录，是区域中所包含的所有命名空间所有的资源记录，是区域中所包含的所有DNSDNS域的权威域的权威DNSDNS服务器服务器;和主要区和主要区域不同之处是域不同之处是DNSDNS服务器不能对辅助区域进行任何修改，即辅助区域是只读的。辅助服务器不能对辅助区域进行任何修改，即辅助区域是只读的。辅助区域数据只

25、能以文本文件格式存放。区域数据只能以文本文件格式存放。架架设设DNS服服务务器器机械工业出版社存根区域存根区域(Stub):(Stub):存根区域只包含了用于分辨主要区域权威存根区域只包含了用于分辨主要区域权威DNSDNS服务服务器的记录，有三种记录类型器的记录，有三种记录类型:1 1）SOA(SOA(委派区域的起始授权机构委派区域的起始授权机构):):此记录用于识别该区域的主此记录用于识别该区域的主要来源要来源DNSDNS服务器和其他区域属性服务器和其他区域属性;2 2）NS(NS(名称服务器名称服务器):):此记录包含了此区域的权威此记录包含了此区域的权威DNSDNS服务器列表服务器列表;

26、3 3）A glue(A glue(粘附粘附A A记录记录):):此记录包含了此区域的权威此记录包含了此区域的权威DNSDNS服务器的服务器的IPIP地址。地址。默认情况下区域数据以文本文件格式存放，不过可以和主要区域默认情况下区域数据以文本文件格式存放，不过可以和主要区域一样将存根区域的数据存放在活动目录中并且随着活动目录数据的复一样将存根区域的数据存放在活动目录中并且随着活动目录数据的复制而复制。制而复制。当当DNSDNS客户端发起解析请求时，对于属于所管理的主要区域和辅客户端发起解析请求时，对于属于所管理的主要区域和辅助区域的解析，助区域的解析，DNSDNS服务器向服务器向DNSDNS客

27、户端执行权威答复。而对于所管客户端执行权威答复。而对于所管理的存根区域的解析，如果客户端发起递归查询，则理的存根区域的解析，如果客户端发起递归查询，则DNSDNS服务器会使服务器会使用该存根区域中的资源记录来解析查询。用该存根区域中的资源记录来解析查询。DNSDNS服务器向存根区域的服务器向存根区域的NSNS资源记录中指定的权威资源记录中指定的权威DNSDNS服务器发送迭代查询，仿佛在使用其服务器发送迭代查询，仿佛在使用其缓存中的缓存中的NSNS资源记录一样资源记录一样;如果如果DNSDNS服务器找不到其存根区域中的权服务器找不到其存根区域中的权威威DNSDNS服务器，那么服务器，那么DNSD

28、NS服务器会尝试使用根提示信息进行标准递归服务器会尝试使用根提示信息进行标准递归查询。如果客户端发起迭代查询，查询。如果客户端发起迭代查询，DNSDNS服务器会返回一个包含存根区服务器会返回一个包含存根区域中指定服务器的参考信息，而不再进行其他操作。域中指定服务器的参考信息，而不再进行其他操作。架架设设DNS服服务务器器机械工业出版社 如果存根区域的权威如果存根区域的权威DNSDNS服务器对本地服务器对本地DNSDNS服务器发起的服务器发起的解析请求进行答复，本地解析请求进行答复，本地DNSDNS服务器会将接收到的资源记录存服务器会将接收到的资源记录存储在自己的缓存中，而不是将这些资源记录存储

29、在存根区域中，储在自己的缓存中，而不是将这些资源记录存储在存根区域中，唯一的例外是返回的粘附唯一的例外是返回的粘附A A记录，它会存储在存根区域中。存记录，它会存储在存根区域中。存储在缓存中的资源记录按照每个资源记录中的生存时间储在缓存中的资源记录按照每个资源记录中的生存时间(TTL)(TTL)的的值进行缓存值进行缓存;而存放在存根区域中的而存放在存根区域中的SOASOA、NSNS和粘附和粘附A A资源记录资源记录按照按照SOASOA记录中指定的过期间隔过期记录中指定的过期间隔过期(该过期间隔是在创建存根该过期间隔是在创建存根区域期间创建的，在从原始主要区域复制时更新区域期间创建的，在从原始主

30、要区域复制时更新)。当某个当某个DNSDNS服务器服务器(父父DNSDNS服务器服务器)向另外一个向另外一个DNSDNS服务器服务器做子区域委派时，如果子区域中添加了新的权威做子区域委派时，如果子区域中添加了新的权威DNSDNS服务器，服务器，父父DNSDNS服务器是不会知道的，除非在父服务器是不会知道的，除非在父DNSDNS服务器上手动添加。服务器上手动添加。存根区域主要是用于解决这个问题，可以在父存根区域主要是用于解决这个问题，可以在父DNSDNS服务器上为服务器上为委派的子区域做一个存根区域，从而可以从委派的子区域自动委派的子区域做一个存根区域，从而可以从委派的子区域自动获取权威获取权威

31、DNSDNS服务器的更新而不需要额外的手动操作。服务器的更新而不需要额外的手动操作。架架设设DNS服服务务器器机械工业出版社7.3.27.3.2实践：创建正向主要区域实践：创建正向主要区域1 1、以管理员的身份登录服务器，通过、以管理员的身份登录服务器，通过“开始开始”菜单下的菜单下的“管理工具管理工具”打开打开“DNS”DNS”控制台，如图控制台，如图7-107-10所示。在控制台树中展开服务器节点，右键单击所示。在控制台树中展开服务器节点，右键单击“正向查找区域正向查找区域”，在弹出的菜单中选择，在弹出的菜单中选择“新建区域新建区域”，打开如图，打开如图7-117-11所示的界所示的界面。

32、面。图7-10 DNS管理架架设设DNS服服务务器器机械工业出版社 图图7-11 7-11 新建区域向导新建区域向导架架设设DNS服服务务器器机械工业出版社2 2、单击、单击“下一步下一步”按钮，弹出如图按钮，弹出如图7-127-12所示的所示的“区域类型区域类型”对话框，在该对对话框，在该对话框中可以选择区域类型为主要区域、辅助区域或者存根区域，这里选择话框中可以选择区域类型为主要区域、辅助区域或者存根区域，这里选择“主主要区域要区域”。取消勾选。取消勾选“在在Active DirectoryActive Directory中存储区域（只有中存储区域（只有DNSDNS服务器是可写服务器是可写

33、域控制器才可用）域控制器才可用）”复选框，这样复选框，这样DNSDNS就不与就不与Active DirectoryActive Directory域服务集成。域服务集成。图7-12 选择区域类型架架设设DNS服服务务器器机械工业出版社3 3、单击、单击“下一步下一步”按钮，出现按钮，出现“区域名称区域名称”对话框，在该对话框中输对话框，在该对话框中输入正向主要区域的名称，区域名称一般以域名表示，制定入正向主要区域的名称，区域名称一般以域名表示，制定DNSDNS名称空间，名称空间，这里输入这里输入“”，如图，如图7-137-13所示。所示。图7-13 区域名称架架设设DNS服服务务器器机械工业出

34、版社4 4、单击、单击“下一步下一步”按钮，出现按钮，出现“区域文件区域文件”对话框，在该对话框中设对话框，在该对话框中设置使用新创建的区域文件还是使用已存在的区域文件，这里选择创建置使用新创建的区域文件还是使用已存在的区域文件，这里选择创建新文件，文件名为新文件，文件名为.dns，如图，如图7-147-14所示。所示。图7-14 区域文件架架设设DNS服服务务器器机械工业出版社5 5、单击、单击“下一步下一步”按钮，出现按钮，出现“动态更新动态更新”对话框，该对话框用对话框，该对话框用于设定是否允许动态更新，这里选择于设定是否允许动态更新，这里选择“不允许动态更新不允许动态更新”，如图，如图

35、7-157-15所示。所示。图7-15 设置动态更新架架设设DNS服服务务器器机械工业出版社6 6、单击、单击“下一步下一步”按钮，出现按钮，出现“正在完成新建区域向导正在完成新建区域向导”对话框，对话框，单击单击“完成完成”按钮完成正向主要区域的创建。如图按钮完成正向主要区域的创建。如图7-167-16所示。所示。图7-16 完成创建架架设设DNS服服务务器器机械工业出版社正向主要区域创建完成后，返回正向主要区域创建完成后，返回“DNSDNS管理器管理器”控制台，可以看到控制台，可以看到正向主要区域创建完成后的效果，如图正向主要区域创建完成后的效果，如图7-177-17所示。所示。图7-17

36、 创建完成架架设设DNS服服务务器器机械工业出版社7.3.37.3.3反向查找简介反向查找简介所谓所谓DNSDNS服务器反向查询，就是输入服务器反向查询，就是输入IPIP地址，可以查出域名。某些地址，可以查出域名。某些DNSDNS服务器支持的反向查询（服务器支持的反向查询（iqueryiquery）功能可使攻击者获得区域传输。识别）功能可使攻击者获得区域传输。识别出注册到出注册到DNSDNS服务器的每台计算机，并且可能被攻击者用来更好的了解服务器的每台计算机，并且可能被攻击者用来更好的了解用户的网络。甚至当用户在用户的网络。甚至当用户在DNSDNS服务器上禁用了区域传输时，服务器上禁用了区域传

37、输时，iquery iquery 功功能仍旧可以允许区域传输发生。能仍旧可以允许区域传输发生。在大部分的在大部分的DNSDNS搜索中，客户机一般执行正向搜索，正向搜索是基于存搜索中，客户机一般执行正向搜索，正向搜索是基于存储在地址储在地址(A)(A)资源记录中的另一台计算机的资源记录中的另一台计算机的DNSDNS名称的搜索。这类查询名称的搜索。这类查询希望将希望将IPIP地址作为应答的资源数据。地址作为应答的资源数据。DNSDNS也提供反向搜索过程，允许客户机在名称查询期间使用已知的也提供反向搜索过程，允许客户机在名称查询期间使用已知的IPIP地地址并根据它的地址搜索计算机名。反向搜索采取问答

38、形式进行，如址并根据它的地址搜索计算机名。反向搜索采取问答形式进行，如“您您能告诉我使用能告诉我使用IPIP地址地址10.22.1.16810.22.1.168的计算机的的计算机的DNSDNS名称吗？名称吗？”DNS DNS 最初在设计上并不支持这类查询。支持反向查询过程可能存在一最初在设计上并不支持这类查询。支持反向查询过程可能存在一个问题，即个问题，即DNSDNS名称空间组织和索引名称的方式及名称空间组织和索引名称的方式及IPIP地址指派的方式不地址指派的方式不同。如果回答以前问题的唯一方式是在同。如果回答以前问题的唯一方式是在DNSDNS名称空间中的所有域中搜索，名称空间中的所有域中搜索

39、，则反向查询会花很长时间而且需要进行很多有用的处理。则反向查询会花很长时间而且需要进行很多有用的处理。架架设设DNS服服务务器器机械工业出版社为了解决该问题，在为了解决该问题，在DNSDNS标准中定义了特殊域标准中定义了特殊域in-addr.arpain-addr.arpa域，并保留域，并保留在在Internet DNS Internet DNS 名称空间中以提供实际可靠的方式来执行反向查询。名称空间中以提供实际可靠的方式来执行反向查询。为了创建反向名称空间，为了创建反向名称空间，in-addr.arpa in-addr.arpa 域中的子域是通过域中的子域是通过IPIP地址带句点地址带句点的

40、十进制编号的相反顺序形式的。的十进制编号的相反顺序形式的。因为与因为与DNSDNS名称不同，当名称不同，当IPIP地址从左向右读时，它们是以相反的方式地址从左向右读时，它们是以相反的方式解释的，所以对于每个八位字节值需要使用域的反序。从左向右读解释的，所以对于每个八位字节值需要使用域的反序。从左向右读IPIP地址时，是从地址中第一部分的通用信息（地址时，是从地址中第一部分的通用信息（IPIP网络地址）到最后八位网络地址）到最后八位字节中包含的更具体信息（字节中包含的更具体信息（IPIP主机地址）查看该地址。主机地址）查看该地址。因此，建立因此，建立in-addr.arpain-addr.arp

41、a域树时，域树时，IPIP地址八位字节的顺序必须倒置。这地址八位字节的顺序必须倒置。这样安排以后，在向公司分配一组特定或有限的、且位于样安排以后，在向公司分配一组特定或有限的、且位于InternetInternet定义定义的地址类别范围内的的地址类别范围内的IPIP地址时，可为公司提供地址时，可为公司提供DNS in-addr.arpaDNS in-addr.arpa树中的树中的较低层分支的管理。较低层分支的管理。最后，在最后，在DNSDNS中建立的中建立的in-addr.arpain-addr.arpa域树要求定义其他资源记录域树要求定义其他资源记录(RR)(RR)类类型，如指针型，如指针(

42、PTR)RR(PTR)RR。这种。这种RRRR用于在反向搜索区域中创建映射，该反用于在反向搜索区域中创建映射，该反向搜索区域一般对应于其正向搜索区域中主机的向搜索区域一般对应于其正向搜索区域中主机的DNSDNS计算机名的主机计算机名的主机(A)(A)命名命名RRRR。架架设设DNS服服务务器器机械工业出版社以查询以查询IPIP地址为地址为10.22.1.16810.22.1.168的计算机名称为例讲述反向查询的计算机名称为例讲述反向查询的过程，步骤如下：的过程，步骤如下：1 1、DNSDNS客户端向客户端向DNSDNS服务器查询映射到服务器查询映射到IPIP地址地址10.22.1.16810.

43、22.1.168的的指针指针(PTR)RR(PTR)RR。因为此查询是针对。因为此查询是针对PTRPTR记录的，所以解析程记录的，所以解析程序将倒置该地址，并将序将倒置该地址，并将in-addr.arpa in-addr.arpa 域附加到反向地址的末域附加到反向地址的末尾。这样就可形成在反向查找区域中搜索的完全合格的域尾。这样就可形成在反向查找区域中搜索的完全合格的域名名 136.1.22.10.in-addr.arpa.136.1.22.10.in-addr.arpa.。2 2、一旦找到，、一旦找到，“136.1.22.10.in-addr.arpa”136.1.22.10.in-addr

44、.arpa”的权威的权威 DNS DNS 服服务器可使用务器可使用PTRPTR记录信息响应客户查询。其中包括记录信息响应客户查询。其中包括DNSDNS客户客户端的端的DNSDNS域名，从而完成反向查找过程。域名，从而完成反向查找过程。如果所查询的反向名称不能从如果所查询的反向名称不能从DNSDNS服务器应答，则正常的服务器应答，则正常的DNSDNS解析（递归或迭代）过程可用来定位对反向查找区域解析（递归或迭代）过程可用来定位对反向查找区域具有绝对权威且包括查询名称的具有绝对权威且包括查询名称的DNS DNS 服务器。在这一点上，服务器。在这一点上，反向查找中所使用的名称解析过程与正向查找相同。

45、反向查找中所使用的名称解析过程与正向查找相同。架架设设DNS服服务务器器机械工业出版社7.3.47.3.4实践：创建反向主要区域实践：创建反向主要区域1 1、以管理员的身份登录服务器，通过、以管理员的身份登录服务器，通过“开始开始”菜单下的菜单下的“管理工具管理工具”打开打开“DNS”DNS”控制台。在控制台树中展开服务器节点，右键单击控制台。在控制台树中展开服务器节点，右键单击“反向查找区域反向查找区域”，在弹出的菜单中选择，在弹出的菜单中选择“新建区域新建区域”，打开如图，打开如图7-187-18所示的界面。所示的界面。图7-18 新建区域向导架架设设DNS服服务务器器机械工业出版社2 2

46、、单击、单击“下一步下一步”按钮，弹出如图按钮，弹出如图7-197-19所示的所示的“区域类型区域类型”对话框，在该对对话框，在该对话框中可以选择区域类型为主要区域、辅助区域或者存根区域，这里选择话框中可以选择区域类型为主要区域、辅助区域或者存根区域，这里选择“主要区域主要区域”。取消勾选。取消勾选“在在Active DirectoryActive Directory中存储区域（只有中存储区域（只有DNSDNS服务器是可服务器是可写域控制器才可用）写域控制器才可用）”复选框，这样复选框，这样DNSDNS就不与就不与Active DirectoryActive Directory域服务集成。域服

47、务集成。图7-19 选择区域类型架架设设DNS服服务务器器机械工业出版社3 3、单击、单击“下一步下一步”按钮，出现按钮，出现“反向查找区域名称反向查找区域名称”对话框，在此对话框，在此选择选择“IPv4IPv4反向查找区域反向查找区域”单选框，如图单选框，如图7-207-20所示。所示。图7-20 选择IP版本架架设设DNS服服务务器器机械工业出版社4 4、单击、单击“下一步下一步”按钮，出现按钮，出现“反向查找区域名称反向查找区域名称”对话框，在此对话框，在此选择选择“网络网络ID”ID”单选框，并且输入网络地址为单选框，并且输入网络地址为“10.22.1”10.22.1”，如图，如图7-

48、217-21所示。所示。图7-21 输入网络地址架架设设DNS服服务务器器机械工业出版社5 5、单击、单击“下一步下一步”按钮，出现按钮，出现“区域文件区域文件”对话框，在该对话框中对话框，在该对话框中设置使用新创建的区域文件还是使用已存在的区域文件，这里选择设置使用新创建的区域文件还是使用已存在的区域文件，这里选择创建新文件，文件名为创建新文件，文件名为1.22.10.in-addr.arpa.dns1.22.10.in-addr.arpa.dns，如图，如图7-227-22所示。所示。图7-22 区域文件架架设设DNS服服务务器器机械工业出版社6 6、单击、单击“下一步下一步”按钮，出现按

49、钮，出现“动态更新动态更新”对话框，该对话框用于对话框，该对话框用于设定是否允许动态更新，这里选择设定是否允许动态更新，这里选择“不允许动态更新不允许动态更新”，如图，如图7-237-23所示。所示。图7-23 设置动态更新架架设设DNS服服务务器器机械工业出版社 6 6、单击、单击“下一步下一步”按钮，出现按钮，出现“正在完成新建区域向导正在完成新建区域向导”对话框，对话框，单击单击“完成完成”按钮完成正向主要区域的创建。如图按钮完成正向主要区域的创建。如图7-247-24所示。所示。图7-24 完成创建架架设设DNS服服务务器器机械工业出版社正向主要区域创建完成后，返回正向主要区域创建完成后，返回“DNSDNS管理器管理器”控制台，可以看到控制台，可以看到正向主要区域创建完成后的效果，如图正向主要区域创建完成后的效果，如图7-257-25所示。所示。图7-25创建完成架架设设DNS服服务务器器机械工业出版社7.3.57.3.5实践：在区域中创建资源记录实践：在区域中创建资源记录每个每个 DNS DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定数据库都由资源记录构成。一般来说，资源记录包含与特定主主机机有关的信息，如有关的信息，如 IP IP 地址、主机的所有者或者提供服务的类型。地址、主机的所有者或者提供服务的类型。每个区域数据库文件都是由资源记录构成的。主要有：