《规划DNS策略》PPT课件.ppt

第 5 章 规划DNS策略,网络基本架构的规划和维护,第 1 章： Windows Server 2003 网络设计与规划基础 第 2 章： 规划和优化 TCP/IP 物理和逻辑网络 第 3 章： 路由和交换的规划和故障排除 第 4 章： DHCP 的规划、优化和故障排除 第 5 章： 规划DNS策略 第 6 章： DNS 优化和故障排除 第 7 章： 规划和优化 WINS 第 8 章： 群集服务器 第 9 章： 规划安全基线安装 第10章： 创建和管理数字证书 第11章： IPSec 的规划和故障排除 第12章： 规划网络访问 第13章： 网络访问故障排除 第14章： 网络基本架构测试与维护,第 5 章： 规划DNS策略,规划 DNS 服务器 名称空间规划 区域规划 规划区域复制和委派 集成 DNS 和 WINS,规划DNS 服务器,多媒体演示：DNS 客户端如何解析名称 确定 DNS 服务器的要求 确定 DNS 服务器的放置 多媒体演示：使用 DNS 服务器解析名称 DNS 服务器角色 Microsoft DNS 服务器安全的级别 规划 DNS 服务器的指导方针,5.1 规划DNS 服务器,多媒体演示：DNS 客户端如何解析名称,介绍 DNS 客户端是如何将主机名解析为 IP 地址的 目标： 掌握路由网络中 DNS 服务器的功能 确定完全合格的域名 掌握使用 DNS 服务器将主机名解析为 IP 地址的过程,域名系统是分等级的、分布式数据库，映射 DNS 域名到不同的数据类型，例如 IP 地址,DNS 是 Internet 名称方案的基础和企业名称方案的基础 DNS 通过字母名称访问资源 InterNIC 负责域名空间的委派管理和域名注册 DNS 可以解决以下日益增加的问题： Internet 上的主机数目 由于更新产生的通信量 Host 文件的大小,回顾：域名系统,回顾：域名称空间,根域,子域,二级域,顶级域,FQDN: ,south,nwtraders,com,sales,west,east,org,net,主机: server 1,确定 DNS 服务器的要求,规划服务器容量 确定 DNS 服务器要载入并保存的区域的数量 针对服务器为服务载入的每一个区域，根据区域文件的大小或区域中使用的资源记录的数量来确定区域的大小 对于有多个主机的（不止一个 IP 地址）DNS 服务器，确定在每个服务器的连接子网上能够侦听并服务 DNS 客户端的地址的数量 定义 DNS 服务器应该接受并服务的客户端 DNS 查询请求的总数 DNS 服务器系统要求 如果 DNS 不带有任何区域启动，大约使用4 MB的 内存 添加到服务器区域的每个资源记录大概约使用服务器内存的 100 个字节,5.1.1确定 DNS 服务器的要求,确定 DNS 服务器的放置,DNS 服务器的放置 要部署 DNS 支持 Active Directory，则确定 DNS 服务器计算机是否也是域控制器或将来会升级为域控制器 如果 DNS 服务器停止响应，确定它的本地客户端是否可以访问一个备用 DNS 服务器 如果 DNS 服务器在远离某些客户端的子网上，确定在路由的连接停止响应时可以使用哪些其他的 DNS 服务器或名称解析选项 所需服务器数量,5.1.2确定 DNS 服务器的放置,多媒体演示：使用 DNS 服务器解析名称,说明使用 DNS 服务器解析名称的过 目标： 掌握 DNS 服务器的功能 定义使用 DNS 服务器解析名称的过程 确定查询类型 掌握 DNS 和 WINS 集成,DNS 服务器角色,一个或多个区域的权威服务器,非递归服务器,需要管理内部网络和互联网之间 DNS 流量,仅用于转发,想要不同网络中的 DNS 客户端解析相互的名称而又不必向 Internet 上的 DNS 服务器查询,条件转发,场景,角色,远程办事处连接到公司办事处的可用带宽量有限,仅用于缓存,5.1.3 DNS 服务器角色,使用可用的 DNS 安全特性，在域控制器上没有运行 DNS 服务器，在 Active Directory 中也没有存储 DNS 区域,中,使用和中级安全性相同的配置，DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory中时，也使用可用的安全特性,高,定义,安全级别,没有配置任何安全预警,低,5.1.4 Microsoft DNS 服务器安全的级别,Microsoft DNS 服务器安全的级别,确定服务器要求,确定要实现的安全级别,确定 DNS 服务器的放置,确定服务器功能,5.1.5 Microsoft DNS 服务器安全的级别,Microsoft DNS 服务器安全的级别,目标： 规划并讨论保护 DNS 服务器配置,5.1.6 实验5-1：规划 DNS 服务器安全,实验5-1：规划 DNS服务器安全,第 5 章： 规划DNS策略,规划 DNS 服务器 名称空间规划 区域规划 规划区域复制和委派 集成 DNS 和 WINS,名称空间规划,多媒体演示：规划 DNS 名称空间策略 选择域名 DNS 名称空间选项 名称空间规划的最佳实践 规划名称空间的指导方针,5.2 名称空间规划,多媒体演示：规划 DNS 名称空间策略,提供规划 DNS 名称空间的指导原则 目标： 如何分割内部和外部名称空间 将此指导方针用于集成 Active Directory 名称空间和 DNS 名称空间 掌握为内部名称空间选择惟一名称的重要性 决定公共和专用名称空间的相关方式 说明规划层级名称空间的重要性,选择域名,选择域名时考虑以下因素： ICANN 维护授权的顶级域名 标准的命名规则 需要单独的名称空间 检查域名以确保惟一性,5.2.1 选择域名,DNS 名称空间选项,相同 DNS 名称空间,委派名称空间,唯一名称空间,现有 DNS 名称空间,现有 DNS 名称空间,现有 DNS 名称空间,,,,nwtraders.local,,,内部 DNS 名称空间,内部 DNS 名称空间,内部 DNS 名称空间,5.2.2 DNS 名称空间选项,使用专有名称,创建与 Active Directory 兼容的名称空间,分离的内部和外部名称空间,5.2.3 名称空间规划的最佳实践,名称空间规划的最佳实践,为域选择 DNS 名称空间,内部和外部服务器上名称空间分离,内部和外部使用不同的名称空间,5.2.4 规划名称空间的指导方针,规划名称空间的指导方针,目标： 规划能支持组织现有或将来规划的 DNS 名称空间,5.2.5 实验5-2：规划 DNS 名称空间,实验5-2：规划 DNS 名称空间,第 5 章： 规划DNS策略,规划 DNS 服务器 名称空间规划 区域规划 规划区域复制和委派 集成 DNS 和 WINS,区域规划,选择区域类型 选择区域数据位置 区域安全考虑事项 规划区域的指导方针,5.3 区域规划,选择区域类型,定期查询目标服务器命名区域的更新,Active Directory,文件,提供有限的容错能力,文件,Active Directory,可能所在磁盘位置,传输到托管着辅助区域的服务器,辅助区域,提供有限的容错,复制到其他 Active Directory 集成区域,区域信息,存根区域,主区域,区域类型,拥有区域的只读信息 改善主区域低可靠性 改善本地和远程服务器性能,作为区域的更新点 能够读/写区域信息 单独管理区域信息 确保辅助区域服务器上该文件的副本是最新,改善名称解析效率 简化 DNS 管理,用途,5.3.1 选择区域类型,选择区域数据位置,5.3.2 选择区域数据位置,区域安全考虑事项,Active Directory 中的安全动态更新 来自 DHCP 的动态更新 DNS 客户端的动态更新 区域权限,5.3.3 区域安全考虑事项,规划区域的指导方针,选择区域类型,确定区域集成的要求,选择区域的存储位置,确定区域安全要求,5.3.4 规划区域的指导方针,实验5-3：规划区域,目标： 根据所给的场景确定将要实现的区域类型、区域存储位置和区域安全,5.3.5 实验5-3：规划区域,第 5 章： 规划DNS策略,规划 DNS 服务器 名称空间规划 区域规划 规划区域复制和委派 集成 DNS 和 WINS,规划区域复制和委派,创建辅助区域的场合 区域传输和复制 区域传输的安全措施 区域委派 规划区域复制和委派的指导方针,5.4规划区域复制和委派,创建辅助区域的场合,辅助区域创建： 提供区域冗余 减少网络通信量 减少主服务器上的负载,5.4.1 创建辅助区域的场合,区域传输和复制,Active Directory 集成区域,标准 DNS 区域,Active Directory 集成区域,Active Directory 集成区域,主要区域,辅助区域,复制,区域传输,5.4.2 区域传输和复制,区域传输的安全措施,限制区域传输 区域复制的安全 使用 IPSec 和 VPN 隧道加密 用 Active Directory 进行加密和身份验证 减少复制的影响,5.4.3 区域传输的安全措施,区域委派,提供把一个名称空间分割成多个区域的选项 使用委派区域场合： 需要把 DNS 域的管理委派给企业内的多个组织或部门。 需要把维护一个大的 DNS 数据库的负载分摊给多个名称服务器,5.4.4 区域委派,确定何时需要创建附加区域,确定复制方法,确定复制安全性要求,确定对区域委派的需求,5.4.5 规划区域复制和委派的指导方针,规划区域复制和委派的指导方针,目标： 规划区域复制和委派 讨论区域复制和委派规划,5.4.6 实验5-4：规划区域复制和委派,实验5-4：规划区域复制和委派,第 5 章： 规划DNS策略,规划 DNS 服务器 名称空间规划 区域规划 规划区域复制和委派 集成DNS 和 WINS,集成 DNS 和 WINS,多媒体演示：集成 DNS 和 WINS WINS 集成 修改缓存超时设置 WINS 集成的最佳实践,5.5 集成DNS 和 WINS,多媒体演示：集成 DNS 和 WINS,理解 DNS 区域配置了 WINS 正向查找时的名称解析过程 目标： 掌握 DNS 服务器如何使用 WINS 来解析主机名称 掌握权威 DNS 服务器要求 WINS 记录的原因,WINS 集成,WINS 资源记录 用于异构计算环境中 用于早期系统的兼容 WINS-R 资源记录 为在区域中未找到的反向查询提供更进一步的解析 WINS 反向查找 DNS 服务器从结点状态响应获得 NetBIOS 名称时，它将 DNS 域名附加到结点状态响应中所提供的 NetBIOS 名称，并将结果转发给发出请求的客户端,5.5.1 WINS 集成,修改缓存超时设置,WINS 中的数据很少更改，可以延长数据缓存时间 延长数据缓存时间，将减少 DNS 服务器和 WINS 服务器之间的查询次数,5.5.2 修改缓存超时设置,