DNS服务使用与简介.doc

DNS服务操作 DNS 是域名系统 (Domain Name System) 的缩写，是因特网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS 是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。1 其中域名必须对应一个IP地址，而IP地址不一定只对应一个域 动态dns名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。在Internet上域名与IP地址之间是一对一（或者多对一）的，也可采用DNS轮询实现一对多，域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS 命名用于 Internet的 TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。2 在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0255之间。因为，8个二进制数转化为十进制数的最大范围就是0255。现在已开始试运行、将来必将代替IPv4的IPV6中，将以128位二进制数表示一个IP地址。3 编辑本段历史发展DNS最早于1983年由保罗莫卡派乔斯（Paul Mockapetris）发明；原始的技术规范在882号因特网标准草案（RFC 882）中发布。1987年发布的第1034和1035号草案修正了DNS技术规范，并废除了之前的第882 DNS(11张)和883号草案。在此之后对因特网标准草案的修改基本上没有涉及到DNS技术规范部分的改动。 早期的域名必须以英文句号“.”结尾 ，这样DNS才能够进行域名解析。如今DNS服务器已经可以自动补上结尾的句号。 当前，对于域名长度的限制是63个字符，其中不包括www.和.com或者其他的扩展名。域名同时也仅限于ASCII字符的一个子集，这使得很多其他语言无法正确表示他们的名字和单词。基于Punycode码的IDNA系统，可以将Unicode字符串映射为有效的DNS字符集，这已经通过了验证并被一些注册机构作为一种变通的方法所采纳。 编辑本段位置提供DNS服务的是安装了DNS服务器端软件的计算机。服务器端软件既可以是基于类Unix操作系统，也可以是基于Windows操作系统的。装好DNS服务器软件后，您就可以在您指定的位置创建区域文件了，所谓区域文件就是包含了此域中名字到IP地址解析记录的一个文件（如文件名可能是这个文件的内容是这样的： primary name server = dns2（主服务器的主机名是 ） serial = 2913 （当前序列号是2913。这个序列号的作用是当辅域名服务器来copy这个文件的时候，如果号码增加了就copy） refresh = 10800 (3 hours) （辅域名服务器每隔3小时查询一个主服务器） retry = 3600 (1 hour) （当辅域名服务试图在主服务器上查询更新时，而连接失败了，辅域名服务器每隔1小时访问主域名服务器） expire = 604800 (7 days) （辅域名服务器在向主服务更新失败后，7天后删除中的记录。） default TTL = 3600 (1 hour) （缓存服务器保存记录的时间是1小时。也就是告诉缓存服务器保存域的解析记录为1小时） 编辑本段方法无论您是通过linux还是windows搭建dns服务器，原理都是一致的。 您可以把DNS服务器配置成以下3类之一： 1主DNS服务器。 2辅DNS服务器。 3缓存DNS服务器。 国际域名的DNS必须在国际域名注册商处注册，国内域名的DNS必须在CNNIC注册，注册支持解析英文域名和中文域名的dns要分别注册： （1）步骤：选择作为DNS后缀的域名-创建dns服务器-选择是在国际注册还是国内注册申请-交付费用 （2）费用：约75元/个（一次性） （3）条件：如果注册国际DNS服务器的，dns服务器的名称必须是在具有条件的公司注册的国际英文域名才能注册，有独立IP地址，DNS服务器域名前的前缀最好是dns.、ns.等 DNS服务器 现在只要在域名注册商或服务商注册域名，DNS都是免费。 （1）条件：要更改为合法的DNS。 如果要查询DNS是否为合法的DNS，请点击：DNS查询界面 输入DNS服务器的名称或者IP地址，选中第三个选项Nameserver，查询如果查询出有DNS注册的信息，如注册商，名称对应的IP地址，则这个DNS是合法的。 （2）修改方法：通过具有条件的公司注册的国际域名变更DNS：用户可通过和提供服务的该公司进行协商(大致步骤为:提出申请并提交相关材料后该业务公司会在48小时左右完成变更)。 国际英文域名、国内英文域名可以修改DNS，这项服务是免费的。 使用免费的DNS 国内外有不少提供免费DNS服务的提供商，其中国内著名的有IIDNS，DNSPod和OpenDns等解析故障。 在实际应用过程中可能会遇到DNS解析错误的问题，就是说当我们访问一个域名时无法完成将其解析到IP地址的工作，而直接输入网站IP却可以正常访问，这就是因为DNS解析出现故障造成的。这个现象发生的机率比较大，所以本文将从零起步教给各位读者一些基本的排除DNS解析故障的方法。 什么是DNS解析故障？ 一般来说像我们访问的地址都叫做域名，而众所周知网络中的任何一个主机都是IP地址来标识的，也就是说只有知道了这个站点的IP地址才能够成功实现访问操作。 不过由于IP地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们只需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP地址的服务器，这就是DNS服务器。能够实现DNS解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS解析出现错误，例如把一个域名解析成一个错误的IP地址，或者根本不知道某个域名对应的IP地址是什么时，我们就无法通过域名访问相应的站点了，这就是DNS解析故障。 出现DNS解析故障最大的症状就是访问站点对应的IP地址没有问题，然而访问他的域名就会出现错误。 当我们的计算机出现了DNS解析故障后不要着急，解决的方法也很简单。 （1）用nslookup(网路查询)来判断是否真的是DNS解析故障： 要想百分之百判断是否为DNS解析故障就需要通过系统自带的NSLOOKUP来解决了。 第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-运行-输入CMD”后回车进入命令行模式。 第二步：输入nslookup命令后回车，将进入DNS解析查询界面。 第三步：命令行窗口中会显示出当前系统所使用的DNS服务器地址，例如笔者的DNS服务器IP为0。 第四步：接下来输入你无法访问的站点对应的域名。假如不能访问的话，那么DNS解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS解析故障。 小提示：如果DNS解析正常的话，会反馈回正确的IP地址。 （2）查询DNS服务器工作是否正常： 这时候我们就要看看自己计算机使用的DNS地址是多少了，并且查询他的运行情况。 第一步：确认自己的系统是windows 2000和windows xp以上操作系统，然后通过“开始-运行-输入CMD”后回车进入命令行模式。 第二步：输入ipconfig/all命令来查询网络参数。 第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS，这个就是我们的DNS服务器地址。例如笔者的是0和51。从这个地址可以看出是个外网地址，如果使用外网DNS出现解析错误时，我们可以更换一个其他的DNS服务器地址即可解决问题。 第四步：如果在DNS服务器处显示的是自己公司的内部网络地址，那么说明你们公司的DNS解析工作是交给公司内部的DNS服务器来完成的，这时我们需要检查这个DNS服务器，在DNS服务器上进行nslookup操作看是否可以正常解析。解决DNS服务器上的DNS服务故障，一般来说问题也能够解决。 （3）清除DNS缓存信息法： 当计算机对域名访问时并不是每次访问都需要向DNS服务器寻求帮助的，一般来说当解析工作完成一次后，该解析条目会保存在计算机的DNS缓存列表中，如果这时DNS解析出现更改变动的话，由于DNS缓存列表信息没有改变，在计算机对该域名访问时仍然不会连接DNS服务器获取最新解析信息，会根据自己计算机上保存的缓存对应关系来解析，这样就会出现DNS解析故障。这时我们应该通过清除DNS缓存的命令来解决故障。 第一步：通过“开始-运行-输入CMD”进入命令行模式。 第二步：在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS缓存信息的命令。 第三步：执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。 第四步：接下来我们再访问域名时，就会到DNS服务器上获取最新解析地址，再也不会出现因为以前的缓存造成解析错误故障了。 （4）修改HOSTS（主机）文件法： 修改HOSTS法就是把HOSTS文件中的DNS解析对应关系进行修改，从而实现正确解析的目的。因为在本地计算机访问某域名时会首先查看本地系统中的HOSTS文件，HOSTS文件中的解析关系优先级大于DNS服务器上的解析关系。 这样当我们希望把某个域名与某IP地址绑定的话，就可以通过在HOSTS文件中添加解析条目来实现。 第一步：通过“开始-搜索”，然后查找名叫hosts的文件。 第二步：当然对于已经知道他的路径的读者可以直接进入c:windowssystem32driversetc目录中找到HOSTS文件。如果你的系统是windows 2000，那么应该到c:winntsystem32driversetc目录中寻找。 第三步：双击HOSTS文件，然后选择用“记事本”程序将其打开。 第四步：之后我们就会看到HOSTS文件的所有内容了，默认情况下只有一行内容“ localhost”。（其他前面带有#的行都不是真正的内容，只是帮助信息而已） 第五步：将你希望进行DNS解析的条目添加到HOSTS文件中。具体格式是先写该域名对应的IP地址，然后空格接域名信息。 第六步：设置完毕后我们访问网址时就会自动根据是在内网还是外网来解析了。 编辑本段DNS查询DNS查询可以有两种解释，一种是指客户端查询指定DNS服务器上的资源记录（如A记录），另一种是指查询FQDN名的解析过程。 一、查询DNS服务器上的资源记录 您可以在Windows平台下，使用命令行工具，输入nslookup，返回的结果包括域名对应的IP地址（A记录）、别名（CNAME记录）等。除了以上方法外，还可以通过一些DNS查询站点如国外的国内的 查询域名的DNS信息。 二、FQDN名的解析过程查询 若想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www +trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。 GeniePro DNS 应对DNS劫持和DNS缓存中毒攻击 的关键性机制：一致性检查 每个Geniepro节点将自身的DNS记录发送给工作组内其他节点请求一致性检查； 每个Geniepro节点将自身的记录与收到的记录进行比较； 每个Geniepro工作组的通信协调节点将获得的DNS记录更新发送给其他组的通信协调节点请求一致性检查； 每个Genipro工作组的通信协调节点向上一级DNS服务器请求更新记录并与收到的其他通信协调节点的记录进行比较。 一致性仲裁 如果一致性检查发现记录不一致情况，则根据策略（少数服从多数、一票否决等）决定是否接受记录的变化 根据结果，各Geniepro节点将自身记录进行统一 通信协调节点选举 选举出的通信协调节点在任期内具有更新组内节点的权限 选举过程满足不可预测性和不可重复性DNS 资源记录如前所述，每个 DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定主机有关的信息，如 IP 地址、主机的所有者或者提供服务的类型。 资源记录类型 dns说明 解释 SOA 起始授权机构 此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址，以及指示辅 DNS 服务器如何更新区域数据文件的设置等。 常用的资源记录类型 A 地址 此记录列出特定主机名的 IP 地址。这是名称解析的重要记录。 CNAME 标准名称 此记录指定标准主机名的别名。 MX 邮件交换器 此记录列出了负责接收发到域中的电子邮件的主机。 NS 名称服务器此记录指定负责给定区域的名称服务器。 DNS的安全问题1、针对域名系统的恶意攻击：DDOS攻击造成域名解析瘫痪。 2、域名劫持：修改注册信息、劫持解析结果。 3、国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。 4、系统上运行的DNS服务存在漏洞，导致被黑客获取权限，从而篡改DNS信息。 5、DNS设置不当，导致泄漏一些敏感信息。提供给黑客进一步攻击提供有力信息。 DNS的重要性1、技术角度看DNS解析是互联网绝大多数应用的实际寻址方式； 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。 2、资源角度看 域名是互联网上的身份标识，是不可重复的唯一标识资源； 互联网的全球化使得域名成为标识一国主权的国家战略资源。 DNS 的不同通常，DNS 数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。 管理某个区域（或记录集）的 DNS 服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。 在域中划分多个区域的主要目的是为了简化 DNS 的管理任务，即委派一组权威名称服务器来管理每个区域。采用这样的分布式结构，当域名称空间不断扩展时，各个域的管理员可以有效地管理各自的子域。 dns漏洞有时，区域和域是很难分辨的。 区域是域的子集。可以将它看作域名称空间的某个分支（或子树）。例如，Microsoft 名称服务器可以同时是区域、区域和区域的权威名称服务器。但是，可以将子域的区域委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录，那么该区域与该域的范围是相同的。 对于 Windows 2000，区域信息或者以传统文本文件格式存储，或者集成到 Active Directory 数据库中。稍后，我们将详细阐述 DNS 与 Active Directory 如何协作。 作用及调试DNS，域名解析系统，并不是一项单纯的服务，而且广泛意义上的全球的域名解析系统，由若干台DNS服务器以及DNS成员机组成的这么一个计算机组织。 在域环境中DNS的作用： 1以DNS标准命名（域的命名）； 2支持DC（创建DC时，要有相应的DNS的支持）； 3定位DC（加入域时，帮助地球人找到DC）。 有了以上的知识准备，我们来看看加入域需要注意的几点： 1联系问题：a.ping通DC、DNS服务器（确保可以和DC、DNS服务器通信，要加入对方的国际你就必须和对方的政府“DC”以及大使馆“最近的DNS服务器”联系） b.DNS解析DC（通过dns得知DC的所在“大使馆告诉你如何找到相关的人事部门，当然就会告诉你DC的地址了”）。【可以使用nslookup 命令+域名 来检测客户机DNS是否正确设置】 2权限问题：加入域的时候，会提示输入相应有加入域权限的用户名密码。这里有很多人有误区，认为只有administrator才能通过加入域的验证，所以一直用administrator来验证加入域。其实用一个普通的domain user也是可以的，新建的域用户可以为非域成员机验证加入域。域，就象一个国家，是需要发展的，能够吸纳的有识之士越多，这个国家就越壮大，所以每一位国民，都有权利一传十十传百的。 3登陆问题：加入域后不是万事大吉了，很多朋友直接拿administrator登陆了。殊不知，此举还是登陆了本地计算机。需要大家在登录时点击选项，在登录到中选择所加入的域。 *特殊问题： a.sid问题，如果加入域的计算机中系统是GHOST安装并没有重新封装过的话，就需要重新封装了 b.dns服务器故障，如果客户端dns填写正确（当前网络环境中的DNS【内网DNS】） ，但是同样无法联系到DC，并且可以ping通DNS 和DC的话，那么十有八九是你的DNS服务器出故障了，定位信息记录在dns服务的srv资源记录中。可能是相关的SRV资源记录没有生效或者不存在，那么如何是好呢？记住这个办法：在服务管理器（运行中输入：services.msc）中重启net logon服务，当然这项操作要去DNS服务器上解决哦。别找错了 地方。 总结：今天跟大家分享了加入域的几个问题。并拓展出几个系统概念。在这里总结一下。 1DNS（概念、作用、故障排除、检测工具）； 2、sid（加入域时两台系统sid相同的计算机没办法同时加入域，产生现象的原因时GHOST克隆系统）； 3权限问题（验证计算机加入域的用户不一定非要administrator）。 DNS 服务器 dns为保证服务的高可用性，DNS 要求使用多台名称服务器冗余支持每个区域。 某个区域的资源记录通过手动或自动方式更新到单个主名称服务器（称为主 DNS 服务器）上。主 DNS 服务器可以是一个或几个区域的权威名称服务器。 其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。辅 DNS 服务器定期与主 DNS 服务器通讯，确保它的区域信息保持最新。如果不是最新信息，辅 DNS 服务器就会从主服务器获取最新区域数