《DNS-服务器的配置与管理.docx》由会员分享,可在线阅读,更多相关《DNS-服务器的配置与管理.docx(40页珍藏版)》请在金锄头文库上搜索。
1、DNS 服务器的配置与管理5.1 DNS 服务器的概念和原理DNS 是域名系统的缩写, 它是嵌套在阶层式域结构中的主机名称解析和网络服务的系统。当用户提出利用运算机的主机名称查询相应的 IP 地址要求的时候, DNS 服务器从其数据库提供所需的数据。DNS 域名称空间:指定了一个用于组织名称的结构化的阶层式域空间资源记录:当在域名空间中注册或解析名称时,它将 DNS 域名称与指定的资源信息对应起来DNS 名称服务器: 用于储存和回答对资源记录的名称查询DNS 客户:向服务器提出查询要求,要求服务器查找并将名称解析为查询中指定的资源记录类型5.1.1 DNS 域名空间DNS 域名空间是一种树状结
2、构如图 5.1。目前由InterNIC治理全世界的 IP 地址,在 InterNIC 之下的 DNS 结构分为多个Domain,如图 5.1中 root domain下的七个 top-level domain 都归 InterNIC 治理,上图中还显示了由 InterNIC 分配给微软的域名空间。Top-level domain 能够再细分为 second-level domain 如 Microsoft 为公司名称,而 second-level domain 又能够分成多级的 subdomain 如 example、www ,在最下面一层被称为 hostname(主机名称)如 host-a
3、,一样用户使用完整的名称来表示 (FQDN),如 host-a.example.Microsoft 。DNS 域名DNS 利用完整的名称方式来记录和说明 DNS 域名,就象用户在命令行显示一个文件或名目的路径,如 C:WinntSystem32DriversEtcServices.txt。同样在在一个完整的 DNS 域名中包含着多级域名。如 host-a.example.microsoft . 其中 host-a 是最差不多的信息(一台运算机的主机名称)example表示主机名称为host-a的运算机在那个子域中注册和使用它的主机名称 ,microsoft 是 example 的父域或相对的根
4、域 (即 second-level domain),com是用于表示商业机构的top-level domain,最后的句点表示域名空间的根 (root)。区域(zone)区域 (zone) 是一个用于储备单个 DNS 域名的数据库,它是域名称空间树状结构的一部分, DNS 服务器是以 zone 为单位来治理域名空间的,zone 中的数据储存在治理它的 DNS 服务器中。当在现有的域中添加子域时,该子域既能够包含在现有的 zone 中,也能够为它创建一个新 zone 或包含在其它的 zone 中。一个 DNS 服务器能够治理一个或多个 zone ,同时一个 zone 能够由多个 DNS 服务器来
5、治理。用户能够将一个 domain 划分成多个 zone 分别进行治理以减轻网络治理的负荷,如图 5.2 所示,microsoft 是一个域,用户能够将它划分为两个 zone:microsoft 和 example.Microsoft ,zone 的数据分别储存在单独的 DNS 服务器中。因为zoneexample.Microsoft 是从domain 延伸而来,因此用户能够将 domainmicrosoft 称为 zoneexample.Microsoft 的 zone root domain。5.1.2 DNS 查询的工作方式当 DNS 客户机向 DNS 服务器提出查询要求时,每个查询信息
6、都包括两部分信息:一个指定的 DNS 域名,要求使用完整名称(FQDN)指定查询类型,既能够指定资源记录类型又能够指定查询操作的类型如指定的名称为一台运算机的完整主机名称host-a.example.microsoft ., 指定的查询类型为名称的A (address) 资源记录。能够明白得为客户机询问服务器你有关于运算机的主机名称为hostname.example.microsoft .的地址记录吗?当客户机收到服务器的回答信息时,它解读该信息,从中获得查询名称的 IP 地址。DNS 的查询解析能够通过多种方式实现。客户机利用缓存中记录的往常的查询信息直截了当回答查询要求, DNS 服务器利
7、用缓存中的记录信息回答查询要求, DNS 服务器通过查询其它服务器获得查询信息并将它发送给客户机。这种查询方式称为递归查询。另外, 客户机通过 DNS 服务器提供的地址直截了当尝试向其它 DNS 服务器提出查询要求。这种查询方式称为反复查询。当 DNS 客户机利用 IP 地址查询其名称时,被称为反向查询。本地查询:以下图 5.3显示了 DNS 查询的完整过程:当在客户机中 Web 扫瞄器中输入一个 DNS 域名,那么客户机产生一个查询并将查询传给 DNS 客户服务利用本机的缓存信息进行解析,假如查询信息能够被解析那么完成了查询。本机解析所用的缓存信息能够通过两种方式获得:假如客户机配置了 ho
8、st 文件,在客户机启动是 host 文件中的名称与地址映射将被加载到缓存中。往常查询时 DNS 服务器的回答信息将在缓存中储存一段时刻假如在本地无法获得查询信息,那么将查询要求发送给 DNS 服务器。查询要求第一发送给主 DNS 服务器,当 DNS 服务器接到查询后,首选在服务器治理的区域的记录中查找,假如找到相应的记录,那么利用此记录进行解析。假如没有区域信息能够满足查询要求,服务器在本地的缓存中查找,假如找到相应的记录那么查询过程终止。假如在主 DNS 服务器中仍无法查找到答案,那么利用递归查询进行名称的全面解析,这需要网络中的其它 DNS 服务器协助,默认情形下服务器支持递归查询。为了
9、 DNS 服务器能够正常的进行递归查询,首选需要一些关于在 DNS 域名空间中的其它 DNS 服务器的信息以便通信。信息以 root hints 的形式提供一个关于其它 DNS 服务器的列表。利用 root hints DNS 服务器能够进行完整的递归查询。如图5.4显示了利用递归查询来查询名称为 host-b.example.microsoft . 的运算机的过程:首选,主DNS服务器解析那个完整名称,以确定它属于那个 top-level domain, 即 com。接着它利用转寄查询的方式向 com DNS 服务器查询以获得 microsoft 服务器的地址,然后以同样的方法它从 micr
10、osoft 服务器获得 example.microsoft 服务器的地址,最后它与名为example.microsoft . 的DNS服务器进行通信,由于用户所要查询的主机名称包含在该服务器治理的区域中,它向主 DNS 服务器方发送一个回答,主 DNS 服务器将那个回答转发给提出查询的客户机,到此递归查询过程终止。返回多个查询响应在前面所描述的查询都假设在查询过程终止时只一个确信回答信息返回给客户机,然而在实际查询时还可能返回其它回答信息:授权回答 (authoritative answer):在返回给客户机的确信回答中加入了授权字节,指明信息是从查询名称的授权服务器获得的确信回答 (posi
11、tive answer):由被查询的RR (resource records)或一个RRs列表组成,与查询的DNS名称和查询信息中的记录类型相匹配。提名回答 (referral answer ):包含未在查询中指定的附加资源记录,它返回给那些不支持递归查询的客户机,这些附加信息能够关心客户机连续进行转寄查询否定回答 (negative answer ):当遇到以下情形之一时,服务器发送否定回答授权服务器报告所查询的名称不在 DNS 域名空间内授权服务器报告所查询的名称在 DNS 域名空间内,但没有记录与查询指定的名称想匹配缓存与 TTL当 DNS 服务器通过外界查询到 DNS 客户机所需的信息
12、后,它会将此信息在缓存中储存一份,以便下次客户机再查询相同的记录时,利用缓存中信息直截了当回答客户机的查询。这份数据只会在缓存中储存一段时刻,这段时刻称为 TTL (Time-To-Live)。当记录储存到缓存中, TTL 计时启动,当 TTL 时刻递减到 0 的时候,记录被从缓存中清除。TTL 默认值为 3600 秒 (1小时)。5.1.3. 区域的复制与传输由于区域 (zone) 在 DNS 中所处的重要地位,用户能够通过多个 DNS 服务器提高域名解析的可靠性和容错性。当一台 DNS 服务器发生问题时,能够用其它DNS服务器提供域名解析。这就需要利用区域复制和同步方法保证治理区域的所有D
13、NS服务器中域的记录相同。在 Windows 2000 服务器中, DNS 服务支持增量区域传输 (incremental zone transfer)。所谓增量区域传输确实是在更新区域中的记录时,DNS 服务器之间只传输发生改变的记录,因此提高了传输的效率。 在以下情形区域传输启动:当治理区域的辅助 DNS 服务器启动的时候当区域的刷新时刻间隔过期后当在主 DNS 服务器记录发生改变并设置了通告列表DNS 通告所谓 DNS 通告是利用推的机制,当 DNS 服务器中的区域记录发生改变时,它将通知选定的 DNS 服务器进行更新,被通知的服务器启动区域复制操作。5.1.4. 在 Windows20
14、00 Server 中的 DNS 服务的新特性与 Active Directory 的集成Active Directory 提供了一个企业级的工具,利用它在网络中组织、治理、定位资源。当DNS服务与 Active Directory 集成在一起,它发生了两个明显的变化:DNS 需要安装在 Windows 2000 域操纵器中 (domain controllers)。Net Logon 服务利用新的 DNS 服务器所支持的 SRV (service) 资源记录提供客户机注册的服务用户能够利用 Active Directory 来储备、集成及复制区域DNS 服务在域操纵器中是默认安装的,因为域操
15、纵器的定位和活动名目的应用都需要 DNS 服务器的支持。一旦活动名目安装完成,用户能够有两种方式储存和复制区域:利用文本文件储备标准区域信息区域信息储备在 %SystemRoot%System32Dns 名目下的 *.dns 文件中。利用活动名目储备完整名目区域信息区域信息储备在活动名目树中的域对象容器中,每个名目集成区域储备在一个 dnsZone 的容器对象中。在网络中配置 DNS 服务器支持活动名目将具有以下优点:基于活动名目的 Multi-master 信息更新和安全性的提高在标准区域储备模式中,DNS 的更新是基于一种被称为 single-master 更新模式,在这种模式中,单一的授权 DNS 服务器被指定为主信息源,假如服务器显现问题那么 DNS 客户机的要求将无法进行处理。而使用 multi-master 更新模式,那么任意一台 DNS 服务器都能够被指定为区域的主信息源,因为区域 (zone) 的全部信息记录是由活动
