DNS服務的配置和管理課件

DNS服務的配置和管理10.1 DNS基礎(chǔ)知識在網(wǎng)路中當給每一臺電腦(主機)分配了獨立的IP地址後，可以通過IP地址找到這臺電腦並與之進行通信。但是，當網(wǎng)路的規(guī)模較大時，使用IP地址就不太方便了，所以，便出現(xiàn)了主機名(hostname)與IP地址之間的一種對應解決方案，可以通過使用形象易記的主機名而非IP地址進行網(wǎng)路的訪問，這比單純使用IP地址顯然要方便得多。其實，在這種解決方案中使用瞭解析的概念和原理，單獨通過主機名是無法建立網(wǎng)路連接的，只有通過解析的過程，在主機名與IP地址之間建立了映射關(guān)係後，才可以通過主機名間接地通過IP地址建立網(wǎng)路連接。主機名與IP地址之間的映射關(guān)係，在小型網(wǎng)路中多使用Hosts檔來完成。後來，隨著網(wǎng)路規(guī)模的增大，為了滿足不同組織的要求，以實現(xiàn)一個可伸縮、可自定義的命名方案的需要，InterNIC(InternetNetworklnformationCenter)制定了一套稱為功能變數(shù)名稱系統(tǒng)(DomainNameSystem，DNS)的分層名字解析方案，當DNS用戶提出IP地址查詢請求時，就可以由DNS伺服器中的資料庫提供所需的數(shù)據(jù)。DNS技術(shù)目前已廣泛地應用於Intemet中。10.1.1使用Hosts檔的主機名解析20世紀70年代末，當只有少數(shù)幾臺電腦進行連網(wǎng)時，所有的主機名和IP地址的映射關(guān)係都保存在一個名為Hosts的資料庫檔中。通過這個資料庫檔，可以將一個主機名解析到一個IP地址上。在Windows2000中，Hosts檔存放在＼WINNT＼System32＼drivers＼etc檔夾下，打開此檔，就可以發(fā)現(xiàn)主機名與IP地址之間的對應關(guān)係。使用Hosts檔進行IP地址解析的優(yōu)點是它對用戶來說是可定制的。每個用戶都可以根據(jù)自己的實際需要在Hosts檔中添加對應的項。而Hosts的缺點是不能存儲大量的主機名與IP地址之間的映射關(guān)係(映射表)。早期的廣域網(wǎng)(包括最早的Internet)的主機名與IP地址之間的映射大都使用Hosts檔方式，當時需要遠程互連的主機都要使用Hosts資料庫檔，該檔保存在斯坦福研究所的網(wǎng)路資訊中心(SRI-NIC)的主機中。任何人要更新他們的Hosts檔都要到SRI-NIC的主機中下載最新的Hosts檔。這種方式持續(xù)了很長一段時間，直到參與互連的電腦規(guī)模急劇增加時，管理Hosts檔變得越來越困難。10.1.2DNS的功能DNS的基礎(chǔ)是Hosts，DNS最初的設(shè)計目標是“用具有層次名字空間、分佈式管理、擴展的數(shù)據(jù)類型、無限制的資料庫容量和具有可以接受的性能的輕型、快捷、分佈的資料庫取代笨重的集中管理的Hosts檔系統(tǒng)”。DNS是一組協(xié)議和服務，它允許用戶在查找網(wǎng)路資源時使用層次化的對用戶友好的名字取代IP地址。當DNS客戶端向DNS伺服器發(fā)出IP地址的查詢請求時，DNS伺服器可以從其資料庫內(nèi)尋找所需要的IP地址給DNS客戶端。這種由DNS伺服器在其資料庫中找出客戶端IP地址的過程叫做“主機名稱解析”。該系統(tǒng)已廣泛地應用到Internet和Intranet中，如果在Intemet或Intranet中使用Web流覽器、FTP或Telnet等基於TCP／IP協(xié)議的應用程式時，就需要使用DNS的功能。簡單地講，DNS協(xié)議的最基本功能是在主機名與對應的IP地址之間建立映射關(guān)係。例如，新浪網(wǎng)站的IP地址是00，幾乎所有流覽該網(wǎng)站的用戶都是使用，而並非使用IP地址來訪問。使用主機名(功能變數(shù)名稱)比直接使用IP地址具有以下兩點好處。(1)主機名便於記憶，如。(2)數(shù)字形式的IP地址可能會由於各種原因而改變，而主機名可以保持不變。DNS的工作任務是在電腦主機名與IP地址之間進行映射。DNS處在OSI參考模型的應用層，使用TCP和UDP作為傳輸協(xié)議。DNS模型相當簡單：客戶端向DNS伺服器提出訪問請求(如：)，DNS伺服器在收到客戶端的請求後在資料庫中查找相對的IP地址(00)，並作出反應。如果該DNS伺服器無法提供對應的IP地址(如數(shù)據(jù)庫中沒有該客戶端主機名對應的IP地址)時，它就轉(zhuǎn)給下一個它認為更好的DNS伺服器去處理。當需要給某人打電話時，你可能知道這個人的姓名，而不知道他的電話號碼。這時，可以通過查看電話號簿查得他的電話號碼，從而與他進行通話。由此可以看出，電話號碼簿的功能便是建立姓名與電話號碼之間的映射關(guān)係。而DNS的功能與電話號碼薄很類似。10.1.3DNS的組成功能變數(shù)名稱系統(tǒng)(DNS)是為傳輸控制協(xié)議／網(wǎng)際協(xié)議(TCP／IP)網(wǎng)路提供的一套協(xié)議和服務，是巾名字分佈資料庫組成的。它建立了叫做功能變數(shù)名稱空間的邏輯樹結(jié)構(gòu)，是負責分配、改寫、查詢功能變數(shù)名稱的綜合性服務系統(tǒng)。該空間中的每個節(jié)點或域都有一個唯一的名字。組成DNS系統(tǒng)的核心是DNS伺服器，它是回答功能變數(shù)名稱服務查詢的電腦，它允許為私人TCP／IP網(wǎng)路和連接公共Intemet的用戶提供並管理DNS服務，維護DNS名字數(shù)據(jù)並處理DNS客戶端主機名的查詢。DNS伺服器保存了包含主機名和相應IP地址的資料庫。例如，如果提供了名字，DNS伺服器將返回新浪網(wǎng)站的IP地址00。DNS是一種看起來與磁片檔系統(tǒng)的目錄結(jié)構(gòu)類似的命名方案，功能變數(shù)名稱也通過使用句點“.”分隔每個分支來標識一個域在邏輯DNS層次中相對於其父域的位置。但是，當定位一個檔位置時，是從根目錄到子目錄再到檔案名，如c：＼winnt＼win.exe；而當定位一個主機名時，是從最終位置到父域再到根域，如M。圖10.1顯示了頂級域的名字空間及下一級子域之間的樹型結(jié)構(gòu)關(guān)係，圖中的每一個結(jié)點以及其下的所有節(jié)點叫做一個域。域可以有主機(電腦)和其他域(子域)。例如，在圖10.1中，P就是一個主機，而則是一個子域。一般在子域中含有多臺主機，例如，在圖10.1的子域下，就含有P和兩臺主機。圖10.1功能變數(shù)名稱空間的組成功能變數(shù)名稱和主機名只能用字母，a～z(在WindowsNT／2000中大小寫等效，而在UNIX中則不同)、數(shù)字0—9和連線“—”組成。其他公共字元如連接符“&”、斜杠“／”、句點“.”、和下劃線“—”都不能用於表示功能變數(shù)名稱和主機名。(1)根域：代表功能變數(shù)名稱命名空間的根，這裏為空。(2)頂級域：直接處於根域下麵的域，代表一種類型的組織和一些國家。在Intemet中，由InterNIC進{亍管理和維護。表10.1和表10.2分別列出了Intemet中常用到的—部分頂級功能變數(shù)名稱和國家的代碼。表10.1部分Intemet頂級功能變數(shù)名稱及含義表10.2部分Intemet國家或地區(qū)代碼及含義(3)二級域：在頂級域下麵，用來標明頂級域以內(nèi)的一個特定的組織。在Internet中，也是巾InterNIC負責對二級功能變數(shù)名稱進行管理和維護，以保證二級功能變數(shù)名稱的唯一性。(4)子域：在二級域的下麵所倉／／建的域，它一般由各個組織根據(jù)自己的要求自行創(chuàng)建和維護。(5)主機：是功能變數(shù)名稱命名空間中的最下麵‘層，它被稱之為完全合格的功能變數(shù)名稱(FullyQualifiedDomainName，F(xiàn)QDN)，在WindowsNT／2000下可以利用Hostname命令查看該主機的主機名。10.1.4DNS的區(qū)域所謂DNS的區(qū)域(zone)，就是指功能變數(shù)名稱空間(domainnamespace)樹型結(jié)構(gòu)的一部分，它能夠?qū)⒐δ茏償?shù)名稱稱空間根據(jù)用戶需要劃分為較小的區(qū)域，而非域(domain)，以便於管理。一個區(qū)域內(nèi)的主機數(shù)據(jù)(包括主機名和對應IP地址)必須存放在DNS伺服器內(nèi)，而用來存放這些數(shù)據(jù)的檔就稱之為區(qū)域檔。一臺DNS伺服器內(nèi)可以存放多個區(qū)域檔，同一個區(qū)域檔也可以存放到多臺DNs伺服器中。為了將網(wǎng)路管理的工作分散開來，可以將一個DNS域劃分為多個區(qū)域。如圖10.2所示，將域劃分為區(qū)域1與區(qū)域2，其中區(qū)域1包含了子域，區(qū)域2包含了域禾口子域address.abc.cOm。每個區(qū)域都存在一個區(qū)域檔，區(qū)域1的檔中包含著域內(nèi)所有主機(depl～dep30)的數(shù)據(jù)；而區(qū)域2的檔中包含著域內(nèi)所有主機(depl～dep20和depl—dep40)的數(shù)據(jù)。兩個區(qū)域檔可以存放在同一個DNS伺服器中，也可以分別存放在不同的DNS伺服器中。當用戶數(shù)較多時，可以由兩個網(wǎng)路管理員分別管理不同的兩個區(qū)域，不但便於工作上的分工，而且減輕了管理上的負擔。一個區(qū)域所包含的範圍在一個功能變數(shù)名稱稱空間中是連續(xù)的，否則無法構(gòu)成一個區(qū)域。例如圖10.2中，不能創(chuàng)建包含和

兩個子域的區(qū)域，因為這兩個子域位於不連續(xù)的名稱空間?，F(xiàn)在Windows2000在網(wǎng)路協(xié)議方面已經(jīng)開始完全轉(zhuǎn)向TCP／IP，所以DNS也成了Windows2000網(wǎng)路環(huán)境中一個非常重要的服務。沒有DNS，ActiveDirectory將無法正常工作，也更談不上Windows2000的網(wǎng)路了。圖10.2將DNS域劃分為多個區(qū)域的情況Windows2000DNS服務新增加了動態(tài)更新和AD集成的功能，進一步提高了DNS的可用性。每個區(qū)域的數(shù)據(jù)都是保存在DNS伺服器的區(qū)域檔內(nèi)。當利用“DNS控制臺”創(chuàng)建一個區(qū)域時，其區(qū)域檔就會被自動創(chuàng)建，默認的檔案名為zonename.dns，其中在Windows2000中存放在＼WINNT＼System32＼DNS檔夾內(nèi)。例如，區(qū)域名為abc.toni時，則區(qū)域檔就是.dns。10.2DNS伺服器的分類和作用

DNS伺服器是整個DNS系統(tǒng)的核心。DNS伺服器，嚴格地講應該是DNS名稱伺服器(DNSNameServer)，它保存著功能變數(shù)名稱稱空間(domainnamespace)中部分區(qū)域(zone)的數(shù)據(jù)。當一個DNS伺服器中存放有功能變數(shù)名稱稱空間內(nèi)的一個或多個區(qū)域的數(shù)據(jù)時，就將這臺DNS伺服器稱為授權(quán)名稱伺服器(authoritativenameserver)。授權(quán)名稱伺服器負責維護和管理所轄區(qū)域中的數(shù)據(jù)，為DNS客戶端提供數(shù)據(jù)查詢。根據(jù)工作方式的不同，授權(quán)名稱伺服器可以分為：主要名稱伺服器、輔助名稱伺服器、主控各稱伺服器和Cache-Only名稱伺服器4種，以下分別進行介紹。10.2.1主要名稱伺服器主要名稱伺服器(primarynameserver)是用於存放該區(qū)域中相關(guān)設(shè)置的DNS伺服器。當在一臺DNS伺服器上建立一個區(qū)域檔時，有關(guān)該新建區(qū)域內(nèi)的主機數(shù)據(jù)都直接存放到該DNS伺服器中。而且，當某個區(qū)域的內(nèi)的數(shù)據(jù)被修改後(例如添加了主機)，這些變更後的數(shù)據(jù)同樣存放在這臺DNS伺服器內(nèi)，即由DNS伺服器完成對原有資料庫的更新。主要名稱伺服器存放的是區(qū)域檔的正本數(shù)據(jù)。在一個DNS系統(tǒng)中，可能存在多個主要名稱伺服器。這樣，可以提供容錯能力，當一臺主要名稱伺服器發(fā)生故障時，由另一臺主要名稱伺服器提供服務。另外，多個主要名稱伺服器可以分擔查詢的任務，減輕了只有一個主要名稱伺服器時的負擔。10.2.2輔助名稱伺服器輔助名稱伺服器(secondarynameserver)是用於從其他的伺服器(即可以足主要名稱伺服器，也可以是輔助名稱伺服器)中複製數(shù)據(jù)，並進行保存的伺服器。輔助名稱伺服器中的數(shù)據(jù)不是直接輸入的，而是從其他的伺服器中複製過來的，只是—份副本。所以，輔助名稱伺服器中的數(shù)據(jù)無法被修改。當啟動輔助名稱伺服器時，它會和與它建立聯(lián)繫的所有主要名稱伺服器建立聯(lián)繫，並從中複製數(shù)據(jù)。在輔助名稱伺服器工作時，還會定期地更新原有的數(shù)據(jù)，以盡可能地保證副本與正本數(shù)據(jù)的一致性。輔助名稱伺服器除可以從主要名稱伺服器複製數(shù)據(jù)外，還可以在其他的輔助名稱伺服器中複製數(shù)據(jù)。在一個區(qū)域中設(shè)置多臺輔助名稱伺服器具有以下優(yōu)點：（1）根據(jù)容錯能力。當一臺DNS伺服器發(fā)生故障時，由輔助名稱伺服器提供服務。（2）分擔主要名稱伺服器的負擔。（3）加快查詢的速度。例如，一個公司分別位於相距較遠的兩個地方，這時可以在其中一處設(shè)置一臺輔助名稱伺服器，讓本地的DNS客戶直接向本地的輔助名稱伺服器進行查詢即可。10.2.3主控名稱伺服器主控名稱伺服器(masternameserver)是指提供區(qū)域數(shù)據(jù)複製的DNS伺服器，它既可以是該區(qū)域內(nèi)的主要名稱伺服器，也可以是該區(qū)域內(nèi)的輔助名稱伺服器。例如，當一臺輔助名稱伺服器從另外一臺主要名稱伺服器(也可以是輔助名稱伺服器)中複製數(shù)據(jù)時，將提供數(shù)據(jù)複製服務的這臺主要名稱伺服器(也可以是輔助名稱伺服器)便稱之為它的主控名稱伺服器。

10.2.4Cache—Only名稱伺服器Cache-Only名稱伺服器只負責查詢數(shù)據(jù)，並將曾經(jīng)查到的數(shù)據(jù)保存在高速緩存中，當蔔一次DNS客戶端查詢數(shù)據(jù)時，如果高速緩存記憶體在該數(shù)據(jù)，則它可以快速將數(shù)據(jù)提供給客戶端。Cache-Only名稱伺服器不負責管轄功能變數(shù)名稱稱空間內(nèi)的任何DNS伺服器，不創(chuàng)建任何的區(qū)域，它只幫助DNS客戶端向其他的DNS伺服器進行查詢，然後將查到的數(shù)據(jù)存儲一份到高速緩存中，回應DNS客戶端的查詢請求。Cache-Only名稱伺服器不但可以分擔網(wǎng)路的工作量，而且可以讓DNS客戶端直接快速地進行查詢。10.3轉(zhuǎn)發(fā)器的功能和應用轉(zhuǎn)發(fā)器(forwarder)是指具有特殊功能和應用的DNS伺服器。一般情況下，當DNS伺服器在收到DNS客戶端的查詢請求後，它將在所管轄區(qū)域的資料庫中尋找是否有該客戶端的數(shù)據(jù)。如果該DNS伺服器的區(qū)域資料庫中沒有該客戶端的數(shù)據(jù)(即在DNS伺服器所管轄的區(qū)域資料庫中並沒有該DNS客戶端所查詢的主機名)時，該DNS伺服器需轉(zhuǎn)向其他的DNS伺服器進行查詢。在實際應用中，以上這種現(xiàn)象經(jīng)常發(fā)生。例如，當網(wǎng)路中的某臺主機要與位於本網(wǎng)路外的主機通信時，就需要向外界的DNS伺服器進行查詢，並由它提供相應的數(shù)據(jù)。但為了安全起見，一般不希望內(nèi)部所有的DNS伺服器都直接與外界的DNS伺服器建立聯(lián)繫，而是只讓一臺DNS伺服器與外界建立直接聯(lián)繫，網(wǎng)路內(nèi)的其他DNS伺服器則通過這一臺DNS伺服器來與外界進行間接的聯(lián)繫。那麼，這臺直接與外界建立聯(lián)繫的DNS伺服器便稱為轉(zhuǎn)發(fā)器。有了轉(zhuǎn)發(fā)器後，當DNS客戶端提出查詢請求時，DNS伺服器將通過轉(zhuǎn)發(fā)器從外界DNS伺服器中獲得數(shù)據(jù)，並將其提供給DNS客戶端。如果轉(zhuǎn)發(fā)器無法查詢到所需的數(shù)據(jù)，則DNS伺服器一般提供兩種處理方式。(1)該DNS伺服器直接向外界的DNS伺服器渤亍查詢。(2)該DNS伺服器不再向外界的DNS伺服器進行查詢，而是告訴DNS客戶端找不到所需的數(shù)據(jù)。如果是後一種方式，該DNS伺服器將完全依賴於轉(zhuǎn)發(fā)器。出於安全考慮，最好將DNS伺服器設(shè)置為後一種方式，即完全依賴於轉(zhuǎn)發(fā)器的方式。這樣的DNS伺服器就叫做從屬伺服器(Slaveserver)。10.4DNS解析名字的方式當DNS客戶端向DNS伺服器查詢IP地址，或DNS伺服器(DNS伺服器有時也扮演DNS客戶端的角色)向另一臺DNS伺服器查詢IP地址時，可以有3種查詢方式：遞歸型、迴圈型和反向型。10.4.1遞歸型遞歸型查詢，是指DNS客戶端發(fā)出查詢請求後，如果DNS伺服器內(nèi)沒有所需的數(shù)據(jù)，則DNS伺服器會代替客戶端向其他的DNS伺服器進行查詢。在這種方式中，DNS伺服器必須給DNS客戶端作出回答。一般由DNS客戶端提出的查詢請求都是遞歸型的查詢方式。10.4.2迴圈型迴圈型查詢多用於DNS伺服器與DNS伺服器之間的查詢方式。它的工作過程是：當?shù)?臺DNS伺服器向第2臺DNS伺服器提出查詢請求後，如果在第2臺DNS伺服器內(nèi)沒有所需要的數(shù)據(jù)，則它會提供第3臺DNS伺服器的IP地址給第1臺DNS伺服器，讓第1臺DNS伺服器直接向第3臺DNS伺服器進行查詢。依此類推，直到找到所需的數(shù)據(jù)為止。如果到最後一臺DNS伺服器中還沒有找到所需的數(shù)據(jù)時，則通知第1臺DNS伺服器查詢失敗。10.4.3反向型反向型查詢的方式與遞歸型和迴圈型兩種方式都不同，它是讓DNS客戶端利用自己的IP地址查詢它的主機名稱。反向型查詢是依據(jù)DNS客戶端提供的IP地址，來查詢它的主機名。由於DNS名字空間中功能變數(shù)名稱與IP地址之間無法建立直接對應關(guān)係，所以必須在DNS伺服器內(nèi)創(chuàng)建一個反向型查詢的區(qū)域，該區(qū)功能變數(shù)名稱稱的最後部分為。一旦創(chuàng)建的區(qū)域進入到DNS資料庫中，就會增加一個指針記錄，將IP地址與相應的主機名相關(guān)聯(lián)。換句話說，當查詢IP地址為的主機名時，解析程式將向DNS伺服器查詢1.221。132.205.的指針記錄。如果該IP地址在本地域之外時，DNS伺服器將從根開始，順序地解析域結(jié)點，直到找到05.。當創(chuàng)建反向型查詢區(qū)域時，系統(tǒng)就會自動為其創(chuàng)建一個反向型查詢區(qū)域檔。圖10.3顯示了一個包含遞歸型和迴圈型兩種類型的查詢方式，DNS客戶端向DNS伺服器Serverl查詢的IP地址的過程。查詢的具體解析過程如下。第1步，DNS客戶端向本地的DNS伺服器(Serverl)發(fā)出一個遞歸型的查詢請求，請求查詢的IP地址。本地的DNS伺服器(Serverl)負責解析該名字，不能移交給其他DNS伺服器進行處理。第2步，如果Serverl內(nèi)沒有所需要的數(shù)據(jù)，則Serverl使用迴圈型方式將此查詢請求轉(zhuǎn)送到根域的DNS伺服器(Server2)進行查詢。圖10.3一個包含遞歸型和迴圈型兩種類型的查詢方式第3步，根域DNS伺服器(Server2)從要查詢的主機名稱得知該主機位於.com的頂級功能變數(shù)名稱下，那麼它會將負責管轄.com的DNS伺服器(Server3)的IP地址發(fā)送給Serverl。第4步，Serverl在得到Server3的IP地址後，將使用遞歸型查詢方式直接向Server3查詢usel.abc.corn的IP地址。第5步，Server3從要查詢的主機名得知該主機位於的二級域下，那麼它會將負責管轄的DNS伺服器(Server4)的IP地址傳送給Serverl。

第6步，當Serverl在得到Server4的IP地址後，它再次使用遞歸型查詢方式直接向Server4查詢的IP地址。第7步，管轄的DNS伺服器(Server4)將的IP地址返回給Serverl。第8步，本地DNS伺服器Serverl將的IP地址轉(zhuǎn)送給最初的解析程式，提供給DNS客戶端。10.5緩存與生存時間在DNS伺服器處理一個遞歸型查詢的過程中，可能需要發(fā)出多個查詢請求以找到所需的數(shù)據(jù)。DNS伺服器允許對此過程中接收到的所有資訊進行緩存。當DNS伺服器向其他的DNS伺服器查詢到DNS客戶端所需要的數(shù)據(jù)後，它除了將此數(shù)據(jù)提供給DNS客戶端外，還將此數(shù)據(jù)保存一份到該DNS伺服器內(nèi)，以便下一次有1)NS客戶端查詢相同數(shù)據(jù)時直接從緩存中調(diào)用，加快了處理速度，並減輕了網(wǎng)路的負擔、但是，保存在DNS伺服器緩存中的數(shù)據(jù)不可能永遠存在，它只能存在一段時間，這段時間稱之為生存時間TTL。TTL時間的長短可能在保存該數(shù)據(jù)的主要名稱伺服器中進行設(shè)置。當DNS伺服器將數(shù)據(jù)保存到緩存後，TTL時間就會開始遞減。只要TTL時間變?yōu)?，DNS伺服器就會將此數(shù)據(jù)從緩存中抹去。在設(shè)置TTL的值時，如果數(shù)據(jù)變化很快，TTL的值可以設(shè)置得小一些，這樣可以保證網(wǎng)路上數(shù)據(jù)更好的保持一致。但是，當TTL的值太小時，DNS伺服器的負載就會增加。10.6Windoow2000中的DNS

WindowsNT4.0中DNS的所有功能全部包含在了Windows2000中。同時，因為Windows2000使用了不同於WindowsNT4.0的管理方式(如活動目錄)，所以其DNS在功能上有所增強。主要表現(xiàn)在以下兩個方面。10.6.1動態(tài)DNS在WindowsNTServer4.0下，當使用動態(tài)主機配置協(xié)議DHCP為客戶端分配IP地址時，無法保持相應的DNS記錄始終是最新的。例如，有一個DNS數(shù)據(jù)，該數(shù)據(jù)中記錄著對應的IP地址5，在usel的DHCP租用釋放之前，其工作都很正常。但是，當它被釋放並重新獲得一個新的IP地址後時，就需要手工修改DNS記錄，或使用NetBIOS和WINS來解析名字。如果使用撥號ISP，也會有同樣的問題，即每次撥號都會有一個不同的IP地址。在Windows2000中引入了動態(tài)DNS(DDNS)的概念，通過DDNS可以解決上述的問題。DDNS允許DNS客戶端更新DNS資料庫檔中的資訊。例如，在Windows2000中，DHCP伺服器可以自動告訴DDNS伺服器哪一個IP地址被分配，分配給了哪—臺電腦。Windows2000的客戶機也可以做到這一點，但出於安全的考慮，建議通過DHCP伺服器完成此工作。在使用了DDNS後，IP地址與DNS記錄將保持同步，於足實現(xiàn)了DNS和DHCP的無縫結(jié)合。DDNS是一個推薦的Intemet標準，將會在Intemet和Intranet中得到廣泛的使用。10.6.2DNS與活動目錄活動目錄(ActiveDirectory)是Windows2000Server／AdvancedServer操作系統(tǒng)使用的目錄服務，它存放有關(guān)網(wǎng)路對象的資訊，從而使管理員和用戶可以十分方便地進行查找和使用。在Windows2000中，活動目錄使用DNS，兩者具有相同的層次結(jié)構(gòu)和存儲區(qū)域。早期的DNS數(shù)據(jù)檔是一個平面結(jié)構(gòu)的文本檔，很容易被編輯，但它卻不能被複製。這既不便於安全管理，也無法用其他代理方式來控制。在創(chuàng)建了活動日錄後，所有這些局限將不會存在?；顒幽夸洉⑺械腄NS區(qū)域的數(shù)據(jù)保存在自身的資料庫中，這樣不但增加了安全性，而且便於複製。10.7 DNS伺服器的安裝

DNS伺服器是基於TCP／IP通信協(xié)議的，所以在安裝DNS之前必須確保已安裝廠TCP／IP協(xié)議。對於Windows2000Server／AdvancedServer來說，如果要負擔域控制器的角色，必須安裝DNS伺服器。10.7.1安裝DNS伺服器在Windows2000Server中可以通過以下的方式安裝DNS伺服器。(1)選擇“開始一設(shè)置一控制面板一添加／刪除程式”，在出現(xiàn)的對話框中單擊“添加／刪除Windows組件”一項，出現(xiàn)“Windows組件嚮導”對話框。(2)選擇對話框“組件”列表中的“網(wǎng)路服務”一項，然後單擊“詳細資訊”按鈕，出現(xiàn)“網(wǎng)路服務”對話框。(3)在對話框的“網(wǎng)路服務的子組件”列表中選擇“功能變數(shù)名稱服務系統(tǒng)(DNS)”一項，單擊“確定”按鈕，返回“Windows組件嚮導”對話框。(4)單擊“下一步”後，系統(tǒng)將從安裝光碟複製所需的程式。安裝結(jié)束後，在“開始一程式一管理工具”的下級子菜單中將會多出一個名為“DNS'’的項，說明DNS伺服器已成功地安裝。同時，將會在＼WINNT＼System32下創(chuàng)建一個名為dns的檔夾。該檔夾中保存了與DNS運行有關(guān)的檔，如緩存檔(Cache)、DNS配置檔(DNS)及一些檔夾。10.7.2DNS客戶端的設(shè)置在安裝了DNS伺服器後，如果要讓客戶端使用DNS伺服器上的功能，還必須對DNS客戶端進行設(shè)置。下麵以Windows2000客戶端為例，介紹其設(shè)置方法。(1)選擇“開始一設(shè)置一網(wǎng)路和撥號連接”，打開“網(wǎng)路和撥號連接”窗口。(2)選取窗口中的“本地連接”一項，單擊滑鼠右鍵，在出現(xiàn)的快捷菜單巾選擇“屬性”一項，打開“本地連接屬性”對話框。(3)在對話框“此連接使用下列選定的組件”中選取已安裝的“Internet協(xié)議(TCP／IP)”項，然後單擊“屬性”按鈕。(4)在“首選DNS伺服器”後面輸入DNS伺服器的IP地址，如果網(wǎng)路中還有其他的DNS伺服器時，在“備用DNS伺服器”後輸入這臺備用DNS伺服器的IP地址。

10.8創(chuàng)建主要區(qū)域及其記錄當DNS伺服器安裝後，還需要在其中創(chuàng)建區(qū)域與區(qū)域檔，以便將位於該區(qū)域內(nèi)的主機數(shù)據(jù)添加到區(qū)域檔中。10.8.1Windows2000的兩種區(qū)域類型Windows2000支持3種區(qū)域類型，分別是：標準主要區(qū)域、標準輔助區(qū)域和活動日錄集成的區(qū)域。1.標準主要區(qū)域主要區(qū)域保存的是該區(qū)域內(nèi)所有主機數(shù)據(jù)的原始資訊(正本)，該區(qū)域檔採用標準的DNS格式，一般為文本檔。當在DNS伺服器內(nèi)創(chuàng)建一個主要區(qū)域與區(qū)域檔後，這個DNS伺服器就是這個區(qū)域的主要名稱伺服器。2.標準輔助區(qū)域輔助區(qū)域保存的是該區(qū)域內(nèi)所有主機數(shù)據(jù)的複製檔(副本)，該副本檔是從豐要區(qū)域複製過來的。保存此副本數(shù)據(jù)的檔也是一個標準的DNS格式文本檔，而且是一個只讀檔。當在一個區(qū)域內(nèi)創(chuàng)建一個輔助區(qū)域後，這個DNS伺服器就是這個區(qū)域的輔助名稱伺服器。3.活動目錄集成的區(qū)域在活動目錄集成的區(qū)域內(nèi)，區(qū)域的主機數(shù)據(jù)保存在域控制器的活動目錄(ActiveDirectory)中，同時該數(shù)據(jù)檔會複製到網(wǎng)路中其他的域控制器中。10.8.2標準主要區(qū)域的創(chuàng)建方法在一個DNS伺服器中可以通過以下的方法創(chuàng)建標準主要區(qū)域。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在窗口中選取DNS伺服器樹中的“正向搜索區(qū)域”，單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項，出現(xiàn)“新建區(qū)域嚮導”資訊。(3)單擊“下一步”按鈕，分別顯示了3種類型的區(qū)域的特點。請選擇“標準主要區(qū)域”一項，並單擊“下一步”按鈕。(4)當出現(xiàn)對話框時，在“名稱”後面的文本框中輸入該區(qū)域自勺名稱，如。在話框中“名稱”後面輸入的區(qū)域名，應該是該區(qū)域的根功能變數(shù)名稱稱。(5)單擊“下一步”按鈕後，當出觀“區(qū)域檔”對話框時，直接單擊“下一步”按鈕。如果要使用區(qū)域內(nèi)已有的區(qū)域檔，可先選擇“使用此現(xiàn)存檔”一項，然後將該現(xiàn)存的檔複製到＼WINNT＼System32＼dns檔夾中。(6)單擊“下一步”按鈕，出現(xiàn)“正在完成新建區(qū)域嚮導”對話框，在該對話框中對剛才的設(shè)置進行確認，無誤後單擊“確定”完成設(shè)置，返回DNS窗口，新建的區(qū)域檔；.將顯示在窗口中。10.8.3在主要區(qū)域內(nèi)創(chuàng)建主機記錄前面介紹了主要區(qū)域的創(chuàng)建方法，下麵介紹如何在主要區(qū)域中創(chuàng)建新的記錄，這些記錄被稱為“資源記錄，RR”，這裏先介紹主機記錄(也稱A記錄)的創(chuàng)建方法。創(chuàng)建主機記錄的目的是將主機的相關(guān)參數(shù)(主機名和對應的IP地址)添加到DNS伺服器中，以滿足DNS客戶端查詢主機名或IP地址。在主要區(qū)域中創(chuàng)建主機記錄的具體方法如下。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建主機”一項。(3)在出現(xiàn)的對話框的“名稱”下方文本框中輸入主機的名稱(如wq)，而在“IP地址”下方的文本框中輸入該主機對應的IP地址。如果所創(chuàng)建的這一條主機記錄要提供反向查詢的服務功能時，可選取對話框中的“創(chuàng)建相關(guān)的指針(PTK)記錄”一項。(4)當設(shè)置正確後，單擊對話框中的“添加主機”按鈕，出現(xiàn)“成功地創(chuàng)建了主機記錄”的資訊，表示已成功地創(chuàng)建了一條主機記錄。(5)單擊“確定”按鈕後，如果需要，可重複以上步驟，繼續(xù)創(chuàng)建其他的主機記錄。(6)當所有的主機記錄創(chuàng)建結(jié)束後，單擊“完成”按鈕，返回DNS窗口，剛才所創(chuàng)建的主機記錄將全部顯示在窗口右邊的列表框中。10.8.4在主要區(qū)域內(nèi)創(chuàng)建別名記錄在許多情況下，一臺主機可能要扮演不同的多個角色，這時需要給這臺主機創(chuàng)建多個別名。例如，當某一臺主機既是Web伺服器，也是FTP伺服器時，就需要為它創(chuàng)建不同的名稱，如和。下麵介紹別名的創(chuàng)建方法。在創(chuàng)建主機的別名前，一定要先搞清楚該別名的用途，例如是Web伺服器、還是FTP伺服器等。另外，還要搞清楚該別名是由哪一臺主機所指派的。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建別名”一項。(3)在出現(xiàn)的對話框的“別名”下方的文本框中輸入具有的別名的主機別名(如卸)，在“目標主機的完全合格的名稱”下方的文本框中輸入指派該別名的主機名稱(如)。第一，像創(chuàng)建主機記錄一樣，對話框中的“別名”也必須是主機名，而不能是全稱功能變數(shù)名稱FQDN；第二，對話框中“目標主機的完全合格的名稱”下方的名稱必須是全稱功能變數(shù)名稱FQmN，而不能是主機名。(4)當確認輸入的內(nèi)容無誤後，單擊“確定”按鈕，返回DNS窗口。這些新建的別名記錄將顯示在窗口中。10.8.5在主要區(qū)域內(nèi)創(chuàng)建郵件交換記錄當發(fā)送電子郵件時，用戶的郵件伺服器必須要將該郵件轉(zhuǎn)發(fā)到目的地的郵件伺服器中，那麼用戶的郵件伺服器如何得知目的地的郵件伺服器名稱呢?這就需要在DNS伺服器中創(chuàng)建MX記錄，通過MX記錄告訴郵件該發(fā)往何處。下麵介紹郵件交換記錄的創(chuàng)建方法。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取已創(chuàng)建的主要區(qū)域()，單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建郵件交換器”一項。下麵分別介紹對話中的主要功能項：(1)主機或域：在此輸入郵件交換記錄(一般是指郵件伺服器)的功能變數(shù)名稱，如果該功能變數(shù)名稱與“父域”的名稱相同時，可以不輸入。(2)郵件伺服器：在此輸入負責域中郵件傳送工作的郵件伺服器的全稱功能變數(shù)名稱FQDN(如)，這個FQDN必須為一條已創(chuàng)建的主機記錄。(3)郵件伺服器優(yōu)先順序：當該區(qū)域內(nèi)有多個MX記錄(即有多個郵件伺服器)時，則可以在此處輸入一個數(shù)字來確定其優(yōu)先順序，數(shù)字越低優(yōu)先順序越高(0最高)。當一個區(qū)域中有多個郵件伺服器時，如果其他的郵件伺服器要傳送郵件到此區(qū)域的郵件伺服器中，它會先選擇優(yōu)先順序最高的郵件伺服器。如果傳送失敗，再選擇優(yōu)先順序較低的郵件伺服器。如果有兩臺以上的郵件伺服器的優(yōu)先順序相同時，會從中隨機地選擇一臺郵件伺服器。(4)當確認輸入無誤後，單擊“確定”按鈕，該郵件交換記錄(即郵件伺服器)創(chuàng)建成功，其名稱將會顯示在DNS窗口中。10.9創(chuàng)建輔助區(qū)域輔助區(qū)域從其主要區(qū)域利用區(qū)域轉(zhuǎn)送的方式複製數(shù)據(jù)，然後將複製過來的所有主機的副本數(shù)據(jù)保存在輔助區(qū)域內(nèi)部。與主要區(qū)域檔不同的是，輔助區(qū)域檔是只讀的，也就是說不允許被修改。如果在DNS伺服器中創(chuàng)建了輔助區(qū)域，那麼這臺DNS伺服器就是這個區(qū)域的輔助名稱伺服器。下麵介紹提供正向查詢服務的輔助區(qū)域的創(chuàng)建方法。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取“樹”目錄中的“正向搜索區(qū)域”一項，然後單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項。(3)當出現(xiàn)“區(qū)域類型”對話框時，請選擇“標準輔助區(qū)域”一項。(4)單擊“下一步”按鈕後，在出現(xiàn)的對話框的“名稱”後面的文本框中輸入要創(chuàng)建的輔助區(qū)域的名稱(如)。此名稱最好設(shè)置成與主要區(qū)域的名稱相同。(5)單擊“下一步”按鈕後，在出現(xiàn)的對話框的“IP地址”中輸入要複製數(shù)據(jù)的主要區(qū)域的DNS伺服器的IP地址，然後單擊“添加”按鈕進行確認。(6)單擊“下一步”按鈕後，系統(tǒng)顯示了已經(jīng)設(shè)置的內(nèi)容，如果有誤，可通過單擊“上一步”按鈕重新進行設(shè)置。當確認無誤後，單擊“完成”按鈕，結(jié)束設(shè)置。通過以上的設(shè)置，這臺輔助名稱伺服器將每隔15分鐘從其主要DNS伺服器執(zhí)行一次“區(qū)域轉(zhuǎn)送”操作，以最大限度地保持輔助名稱伺服器中的數(shù)據(jù)與主要名稱伺服器數(shù)據(jù)的一致。10.10創(chuàng)建反向區(qū)域及其記錄通過主機名查詢其IP地址的過程稱為正向查詢，而通過IP地址查詢其主機名的過程叫做反向查詢。反向區(qū)域可以實現(xiàn)DNS客戶端利用IP地址來查詢其主機名的功能。反向區(qū)域並不是必須的，可以在需要時創(chuàng)建。反向區(qū)域的前半部分是網(wǎng)路ID(NetworkID)的反向書寫，而後半部分必須是.。例如，要查詢網(wǎng)路ID為192.168.5的主機名時，則此反向區(qū)域的名稱必須書寫成5.168.192.。10.10.1創(chuàng)建反向標準主要區(qū)域在Windows2000中，反向標準主要區(qū)域的具體創(chuàng)建方法如下。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)在DNS窗口中選取“樹”目錄中的“反向搜索區(qū)域”一項，然後單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建區(qū)域”一項。(3)當出現(xiàn)“區(qū)域類型”時，請選擇“標準主要區(qū)域”一項。(4)單擊“下一步”按鈕後，在出現(xiàn)的對話框的“網(wǎng)路ID”下方輸入正常的地址(如192.168.5)，這時它會自動顯示在“反向搜索區(qū)域名”的下方(5.168.192.)。(5)單擊“下一步”按鈕後，出現(xiàn)“區(qū)域檔”對話框，這時只需要直接單擊“下一步”按鈕。如果要使用現(xiàn)有的區(qū)域檔，則必須先將該檔複製到\WINNT\system32\dns檔夾中，然後通過對話框中的“使用此現(xiàn)存檔”進行設(shè)置。(6)當出現(xiàn)“正在完成新建區(qū)域嚮導”對話框時，要對所顯示的設(shè)置進行確認。如果設(shè)置有誤，可通過單擊“上一步”按鈕進行修改，確認無誤後，單擊“完成”按鈕，返回DNS窗口，這時新創(chuàng)建的反向標準主要區(qū)域?qū)@示在DNS窗口中(192.168.5.x.Subnet)。10.10.2在反向標準主要區(qū)域內(nèi)創(chuàng)建記錄當創(chuàng)建了反向標準主要區(qū)域後，還必須在該區(qū)域內(nèi)創(chuàng)建記錄數(shù)據(jù)，只有這些記錄數(shù)據(jù)在實際的查詢中才是有用的。一般可以通過以下的方式來在反向標準主要區(qū)域內(nèi)創(chuàng)建記錄數(shù)據(jù)。(1)選擇“開始一程式一管理工具一DNS”，打開DNS窗口。(2)選取“反向搜索區(qū)域”—項，然後單擊滑鼠右鍵，在出現(xiàn)的快捷菜單中選擇“新建指針”一項。(3)只需要在對話框的“主機IP號”後的一段內(nèi)輸入主機IP地址的最後一段(因為前3個段是網(wǎng)路ID)，