WindowsServer配置管理.doc

目录第1章 域网络环境构建11.1ActiveDirectory的基本概念11.2Active Directory的安装与设置21.2.1创建域的准备31.2.2创建域之前的DNS配置31.2.3安装Active Directory31.3管理域和信任关系91.4小结12第二章 DNS服务132.1DNS服务概述132.1.1DNS基础132.1.2虚拟主机技术172.1.3地址解析的类型与方向172.1.4DNS服务的查询模式182.1.5Active Directory与DNS服务的关联192.2安装DNS服务器202.2.1管理DNS服务器的基本知识202.2.2安装DNS服务器222.3配置DNS服务器252.3.1DNS控制台252.3.2配置DNS服务器262.3.3在区域内创建资源记录302.4配置DNS客户机34第三章 网络中的TCP/IP管理373.1TCP/IP网络的配置管理方法373.1.1TCP/IP的3种管理方法373.1.2TCP/IP的动态管理概述393.2配置DHCP服务系统423.2.1DHCP服务器的基本知识423.2.2建立DHCP服务器423.2.3DHCP服务器的授权463.2.4管理DHCP服务器473.2.5DHCP客户机的设置493.3TCP/IP管理应用示例503.3.1示例1 小型Intranet的TCP/IP静态管理503.3.2示例2 小办公室的APIPA管理513.3.3示例3 中型Intranet的TCP/IP动态管理513.4归纳与总结53第四章Internet信息网站的管理544.1认识信息网站与Internet信息服务544.1.1基于B/S结构的网络类型544.1.2Web服务与相关概念554.1.3Internet信息服务器574.1.4Intranet的规划584.2安装应用程序服务器594.2.1通过集中管理工具安装应用程序服务器594.2.2使用传统管理工具安装应用程序服务器604.3Intranet信息网站的基本管理624.3.1站点相关的基本知识624.3.2应用程序服务器的管理工具644.3.3管理默认网站654.4创建和管理网站684.4.1创建和管理网站的基本知识684.4.2新建网站694.4.3唯一网站的实现技术704.4.4不同端口号的多网站实现技术724.4.5主机头名的多网站实现技术724.4.6管理Web网站744.4.7管理网站的虚拟目录75第五章 FTP服务775.1创建FTP站点775.1.1FTP站点的基本知识775.1.2创建新的FTP站点775.2管理FTP站点805.2.1设置FTP站点基本信息805.2.2设置“消息”选项卡815.2.3设置“安全帐号”选项卡815.2.4设置FTP主目录815.3管理FTP站点的虚拟目录825.3.1发布程序的常用方法825.3.2创建虚拟目录825.3.3修改虚拟目录或FTP站点的属性835.3.4检测FTP站点或虚拟目录的可用性835.4设置FTP站点的客户机845.4.1Windows XP客户机845.4.2DOS客户机访问FTP站点8591第1章 域网络环境构建Active Directory(活动目录)是Microsoft公司在Windows Server系列产品中发布的，且已经获得了相当的成功。它是一个面向Windows Server的目录服务。Active Directory存储了关于网络组件的信息，并使这些信息能被管理员和用户轻松地查找和使用。Active Directory把各种系统和管理任务集合在一起，使用结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。教学目标：l 初步了解Active Directory(活动目录)。l Active Directory的安装与设置。1.1 ActiveDirectory的基本概念 在学习ActiveDirectory(活动目录)之前先介绍与ActiveDirectory相关的概念，以为后边更好地理解和使用ActiveDirectory做好准备。 (1)对象。对象是一组属性的集合，在Active Directory中表示信息实体，如账户、计算机、文件等都是对象。 (2)容器。容器是Active Directory名称空间的一部分，代表存放对象的空间，与目录对象一样，容器也有属性；但不同的是，它不代表有形的实体。 (3)目录。目录记录了每个对象的各种类型信息，容纳了执行许多管理任务的信息。为了提供更全面的和更统一的网络环境，许多工具使用这个目录来集成它们的服务。目录服务提供了命名、定位、访问和保护各种网络对象信息的一致方法，它定义和保持了网络结构，增加可伸缩性，并能使管理员轻松地完成系统管理任务。 (4)全局目录。全局目录(Global Catalog)是一个服务，是Active Directory为每个含有选定属性的对象存储的一份副本的实际存放位置。它是包含Active Directory中每个域部分副本的域控制器。Active Directory复写系统会自动建立全局目录(Global Catalog)，面复写到全局目录(Global Catalog)的属性包括由系统默认的基本设备和管理员指定复写的内容。全局目录(Global Catalog)会存放搜索任务中经常使用的属性，以及搜寻该对象的完整副本所需要的属性。 (5)组织单元。组织单元(Organizational Units)是可以指派组策略设置或委派管理权限的最小作用域或单位。它用来将域内对象组织成逻辑管理组。在每个域中都能建立本身的组织单元层次结构，且组织单元层次结构并没有深度的限制，但浅层次结构的组织单元能提供较佳的执行效果。 (6)域。域(Domain)是Active Directory逻辑结构的核心，域可以帮助网络更好地反映企业的组织结构。Active Directory可以含一个或几个域，每个域都含有自己的安全策略及其他域的信任关系。 (7)域树。具有公用根域和所有域都有连续命名空间的域的层次结构称为域树(Domain Tree)。 (8)域林。域林是一个或多个域林的集合。由一个以上互不相连的域树组成域林，域林中的域树不形成邻接的名字空间。域林有两个主要作用：简化用户目录的交叉和简化多域的管理。 (9)站点。站点(Sites)是网络中运行ActiveDirectory服务的一个或一组服务器。 (10)域控制器。域控制器是使用Active Directory安装向导配置的计算机。Active Directory安装向导安装和配置为网络用户和计算机提供Active Directory服务的组件供用户选择使用。 (11)架构。架构(Schema)存放在Active Directory中的对象类和属性的描述，架构(Schema)含定义对象类必须有的属性以及其他相关属性。 (12)名称空间。名称空间基本上就是目录，主要用于定义和解析包含在它里面的名称和边界。Active Directory使用名称空间来定义它的边界，从本质上讲，Active Directory就是一个名称空间。 名称空间可分为分离的名称空间和连续的名称空间，分离的名称空间是指相互关联但不共享共同根的域；连续的名称空间是指在单个域树内所有的域都能共享层次命名结构，并由此而共享邻接的命名空间。 (13)信任关系。信任关系是维系域与域之间的关系。当一个域与其他域建立信任关系后，用户只要登入原先的域就可以存取其他信任该域的资源。信任关系有以下两种： 单向信任关系。当域A信任域B且域B未信任域A，称之为单向信任。双向信任关系。当域A信任域B且域B也信任域A，称之为双向信任。1.2 Active Directory的安装与设置在介绍了关于Active Directory的基本知识后，便可以开始规划和实现Active Directory了。单域是最容易管理的活动目录结构。规划Windows活动目录时，应从单域开始，只有在单域模式不能满足您的要求时，才需要增加其他的域。事实上，Microsoft建议您使用尽可能少的域。只有在对象超过200万时，才必须使用多个域组成的树或者森林。 创建一个域后，如果公司内部部门需要有职能划分，可以通过在域中创建组织单位（OU） 的方法实现。然后，可以通过组策略对组织单位（OU）进行设置，并将用户、组和计算机放在相应的组织单位（OU）中。 一个域中的不同组织单元可以分配不同的权限，可以设置不同的管理者，这大大增加了域的层次性和客观理性。 除了网络规模太大，需要分布网络负载之外，创建单域组成的活动目录几乎可以实现 Windows网络的所有设计功能。1.2.1 创建域的准备创建域的过程就是在Windows网络中为域创建第一个域控制器（DC）的过程。 域控制器(DC)是一台Windows Server计算机。域控制器(DC)存储着目录数据并管 理用户域的安全操作，包括用户登录过程、身份验证过程和目录对象搜索等操作。 一个域可有一个或一个以上的域控制器。为了获得高可靠性和容错能力，使用单个局域 网 (LAN) 的小单位可能只需要一个具有两个域控制器(DC)的域。具有多个网络位置的大公 司在每个位置都应该设置一个或多个域控制器以提供高可靠性和容错能力。 创建域需要具备以下几个条件： (1) 作为域控制器（DC）的计算机应该配备较好的硬件设备，域控制器(DC)对处理器、内存都有更高的要求，硬盘容量应足够存储目录数据和系统数据和日志数据。 具体硬件配置根据实际网络规模和负载情况确定。 (2) NTFS文件系统。活动目录将系统共享卷放置在NTFS分区上，系统卷中存放着组策略和少部分安全信息，这部分数据也在多个域控制器上自动进行复制。 (3) TCP/IP协议。 域控制器必须使用静态IP地址。(4) DNS。1.2.2 创建域之前的DNS配置Windows活动目录和DNS命名系统具有相同的名称结构，Microsoft将Windows 的域名和DNS中的Internet域名加以统一，因而适当地规划Windows域名体系对局域网应用和网络在Internet上的应用有非常重要的意义。 创建Windows 域时最好使用在Internet已经注册的或者即将注册的域名。如 ，今后根据需要可以在这个域名下面创建系列公司内部使用的子域。如 Sales.M。 如果最终选择的Windows域名与公司Internet域名不同，为了同时保证内部和外部的使用，需要使用内外两套DNS系统。从网络安全和网络负载的角度考虑，域控制器(DC)最好不和DNS服务器在同一台计算机上，因此在创建一个域控制器的时候为这个域控制器指定一个DNS服务器的IP地址是必要的。1.2.3 安装Active Directory将一台已经安装Windows Server 2003，并安装了DNS服务的计算机作为服务器，若要使这台服务器成为域控制器，则必须安装Active Directory。用户所创建的第一个域控制器被系统默认为一个域林的根域。（1）下面以Administrator的身份登录Windows Server 2003，单击“开始”选择“控制面板”，进入“管理工具”，选择“配置您的服务器向导”菜单，如图1-1所示。（2）单击“下一步”，如图1-2所示。 图1-1 图1-2（3）然后单击“下一步”，出现“配置选项”窗口，选择“自定义配置”单选框，如图1-3所示。（4）单击“下一步”，弹出“配置您的服务器向导”对话框，选择“域控制器（Active Directory）”选项，如图1-4所示。 图1-3 图1-4（5）单击“下一步”，出现“配置您的服务器向导”窗口，如图1-5所示。图1-5用户也可以通过直接运行system32文件夹下的dcpromo.exe文件来启动Active Directory安装向导，单击“开始”进入“运行”菜单，在对话框中输入“dcpromo”，如图1-6所示，再单击“确定”，即可出现如图1-5所示的“配置您的服务器向导”窗口。图1-6（6）在图4-9中单击“下一步”，系统会弹出一个“Active Directory安装向导”对话框，如图1-7所示。用户利用它可以方便地完成Active Directory的安装。（7）单击“下一步”，进入“操作系统兼容性”提醒窗口，如图1-8所示。此界面提醒用户在默认方式运行Windows 95和Windows NT40 SP3或更早版本的计算机无法登录到Windows Server 2003域控制器或访问资源。 图1-7图1-8（8）单击“下一步”按钮，进入“域控制器类型”窗口，如图1-9所示。由于用户 将此服务器作为新域中的第一个域控制器，因此选择“新域的域控制器”选项。 图1-9 图1-10提醒：如果此服务器上未安装DNS服务，点击图110中的下一步后会出现一个“安装或配置DNS” 对话框，选择“否，只在这台计算机上安装并配置DNS”，就会出现如图111所示对话框，则后面配置过程中不会出现图115所示对话框，即将跳过第十四步！（9）单击“下一步”按钮，出现准备要创建的域的类型窗口，选择“在新林中的域”选项，如图1-10所示。该选项表示如果不存在域林，则创建一个新的域，如果有域林存在，则新建域独立于现存域林。（10）如果已经在此服务器上安装了DNS服务，单击“下一步”按钮，出现指定新域名的界面，如图1-11所示对话框让用户输人新建域的DNS全名，输入DNS全名后单击“下一步”按钮继续安装。（11）按“下一步”按钮，为了与旧版本的Windows兼容，这时系统会弹出一个对话框让用户输入新域的NetBIOS名称，可以在“域NetBIOS名”的文本区中输入NetBIOS域名，也可以接受系统默认的名称，如图1-12所示。 图1-11 图1-12（12）按“下一步”按钮后，系统会弹出“数据库和日志文件文件夹”对话框，用来设置数据库与日志文件的位置，如图1-13所示。当然也可以单击“浏览”按钮，另外选择数据库文件夹或日志文件夹保存的位置。图1-13（13）按“下一步”按钮，系统会弹出“共享的系统卷”对话框，如图1-14所示。该文件夹中存储目前组与企业有关的公用文件。图1-14提醒：创建Windows域过程中系统会自动向DNS服务器中添加域的信息，添加的内容比较复杂，主要是活动目录中提供的服务的定位信息。对此本课程不做深入介绍。不建议手工添加 DNS这部分内容。（14）按“下一步”按钮，系统将进行DNS注册诊断。提示用户DNS服务器出了何种错误，让用户改正后再继续安装。如果网络中还没有DNS服务器，可选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器”选项，则可立即安装，或选择高级选项“我将在以后通过手动配置DNS来更正这个问题”，如图1-15所示。（15）按“下一步”按钮，系统会弹出“权限”对话框，让用户选择用户和组对象的默认权限，用户根据服务器所运行的操作系统环境来选择不同的权限，在此选择“只与Windows 2000 Server或Windows Server 2003操作系统兼容的权限”选项，如图1-16所示。 图1-15 图1-16（16）按“下一步”按钮，打开“目录服务还原模式的管理员密码”对话框，指定还原模式管理员密码，与域管理员账户密码不同，此密码在目录服务还原模式下启动计算机时使用，如图1-17所示。图1-17（17）按“下一步”按钮，出现“摘要”界面，如图1-18所示。此界面显示了刚才所设定的该服务器的新域名、域的NetBIOS名等的信息，若要更改这些设置，可按“上一步”按钮进行修改。（18）按“下一步”按钮，系统根据用户刚才所设定的信息对Active Directory进行配置。配置完成后，会出现“正在完成Active Directory安装向导”窗口，如图1-19所示。单击“完成”按钮结束安装。 图1-18图1-19 提醒：如果此服务器上未安装DNS服务，在点击图118的下一步后，在安装Active Directory过程中会自动安装DNS服务，管理员应把Windows Server 2003安装光盘放入光驱中，否则会弹出对话框提示用户插入Windows Server 2003安装光盘。（19）安装结束后，系统会要求重新启动，如图1-20所示。单击“立即重新启动”按钮完成安装。图1-20（20）计算机重启后，系统会提示“此服务器是域控制器”，表示刚才的设置已经成 功。最后单击“完成”按钮，如图1-21所示。（21）系统会出现如图1-22所示窗口。 图1-21 图1-22成功安装Active Directory后，单击“开始”菜单选择“控制面板”，进入“管理工具”后会看到Active Directory的3个管理工具： Active Directory用户和计算机。 Active Directory域和信任关系。 Active Directory站点和服务。其中“Active Directory用户和计算机”用于管理Active Directory中的用户、计算机、安全组和其他对象。该工具还负责完成用户账号、组等账号信息的创建。而在单服务器的局域网中，“Active Directory域和信任关系”和“Active Directory站点和服务”没有作用。1.3 管理域和信任关系WindowsServer2003的“Active Directory域和信任关系”管理工具负责管理域和信任关系。用户可以按如下步骤进行：（1）单击“开始”菜单，选“程序”选项，进入“管理工具”选项，然后在弹出的菜单中选择 “Active Directory域和信任关系”选项，这时系统会弹出“Active Directory域和信任关系”窗口，如图1-23所示。（2）在“Active Directory域和信任关系”窗口中，用右键单击需要修改其信任关系的域，然后选择弹出的菜单中的“属性”选项，如图1-24所示。（3）此时在弹出的属性对话框中选择“信任”选项卡，在此界面有两个列表，上方是受此域信任的域列表，下方是信任此域的域列表，如图1-25所示。（4）当需要新建信任时，单击“新建信任”按钮，进入“新建信任向导”的欢迎界面，如图1-26所示。此向导帮助用户完成此域与其他域建立信任关系的过程。 图1-23 图1-24 图1-25 图1-26（5）单击“下一步”按钮，弹出一个“信任名称”的对话框，在“名称”文本框输入所要信任的域名称，如图1-27所示。（6）单击“下一步”按钮，系统弹出一个“信任类型”对话框，选择适当的信任类型，如图1-28所示。 图1-27 图1-28（7）单击“下一步”按钮，系统就会弹出一个“信任的传递性”对话框，用户可根据实际情况选择新建信任传递性，如图1-29所示。图1-29（8）单击“下一步”按钮，在“信任方向”对话框选择信任方向。有3种选择：双向、单向(内传)和单向(外传)，如图1-30所示。（9）单击“下一步”按钮，用户在弹出的“信任密码”对话框中输入信任密码并确认信任密码，如图1-31所示。 图1-30图1-31（10）单击“下一步”按钮，显示所建立信任关系的设置信息，如图1-32所示。（11）单击“下一步”按钮，出现建立信任关系成功界面，单击“完成”按钮结束创建过程。如图1-33所示。 图1-32图1-331.4 小结本章主要介绍了Active Directory的基本概念、Active Directory的安装设置以及域信任关系的创建方法。Active Directory把各种系统和管理任务集合在一起，使用结构化的数据存储方式，并以此为基础对目录信息进行合乎逻辑的分层组织。企业可根据其规模、地理分布及其它情况来选择不同的域结构。第二章 DNS服务在Windows Server 2003网络管理中，DNS服务器是最重要和最基本的服务器之一。它不仅担负着Internet，Intranet，Extranet等网络的域名解析的任务；在域方式组建的局域网中，它还承担着用户账户名、计算机名、组名及各种对象的名称解析服务。因此，DNS服务器工作的好坏将直接影响到整个网络的运行。为此，网络管理员除了应当正确理解DNS相关的基本理论、术语和技术外，还应当能够熟练地配置DNS服务器和客户机，并判断和处理简单的故障。教学目标：l 理解DNS服务器的主要作用；l 了解DNS的域名空间结构；l 了解DNS服务器的工作原理和查询类型；l 掌握DNS服务器的基本配置技术； 。l 了解根提示的作用；l 掌握转发器的作用与配置技术；l 掌握DNS客户机的配置；l 了解DNS与Active Directory的关系；l 了解DNS系统中常用的命令程序；l 了解DNS系统故障的简单诊断技术。2.1 DNS服务概述使用Internet技术的网络主要有Intranet(内联网)和Extranet(外联网)两种。如果没有DNS服务器，那么公司所建立的信息网络就不能使用人们习惯的“域名”方式进行访问。因此，与DNS服务相关的基本概念、理论以及技术形式都是网络管理员必须理解和掌握的。2.1.1 DNS基础1DNS的名称 DNS的英文全称是“Domain Name System”，中文名称是“域名系统”。它是一种域层次化组织结构的网络命名服务系统。2DNS的产生及作用 在TCP/IP网络中，IP地址唯一定位了资源所在的计算机，因此，通过主机的IP地址才能找到主机，实现彼此的通信。但是，人们并不习惯使用枯燥难记的IP地址，而习惯使用那些容易记忆的主机名称。于是，人们发明了DNS服务器，以解决容易记忆的主机域名与1P地址的自动翻译工作。当前，在Internet，Intranet，Extranet中，都安装或配置了DNS服务器。这样，当用户在应用程序中输入主机域名后，例如，在浏览器输入“，DNS服务器就会自动将其解析为主机的IP地址。3域名和域名系统的组成 (1)域名(Domain Name，DN) DN又被称为主机识别符或主机名。由于数字型的IP地址很难记忆，人们在使用Intemet技术的网络中使用了直观明了、由字符串组成、有规律、容易记忆的名字来代表主机。由此可见，“域名”是一种更为高级的地址形式。例如，和都是域名。 (2)DNS的组成与功能 域名系统由分布在世界各地的DNS服务器组成，担负着将形象的主机域名称自动翻译为数字型IP地址的工作。4域名空间 (1)FQDN-完全合格的DNS名称 FQDN即“完全合格域名”，又称“完整域名”。它由不超过255个的英文字符组成。在DNS的域名中的每一层名字都不得超过63个字符，而且在其所在层必须唯一。这样才能保证整个域名在世界范围内不会重复。 (2)DNS名称的树状组织结构在Internet或Intranet上整个域名系统数据库类似于计算机中文件系统的结构。整个数据库仿佛是一棵倒立的树，如图2-1所示。该树状结构表示整个域名空间。DNS域名称空间的5级分别是：根域、顶级域、二级域、子域和主机(资源)名称。edugovcncomeduIBMsohuwwwbuuxxzxh顶级域二级域主机名子域主机名Interent根DNS服务器管理的根域和高级域(root)图2-1 Internet的DNS层次型域名称空间树状结构示意图 图2-1所示“域树”的顶部为“根域”；树中的每个节点只能代表整个DNS数据库中的某一部分，即域名系统中的某个区域；每一个域节点还可以进一步划分出“子域”或“节点”；但最后一级的叶节点是不能再创建其他节点的。每一个节点都有一个域名，用于定义它在域名数据库中的位置。在域名系统中，完全合格域名(FQDN)是从叶节点的域名依次向上，直到根的所有标记组成的串，标记之间由“.”分隔开。例如域树中的“”就是搜狐网站的完整域名。 根域(root)：位于图2-1所示的域树结构的顶部。它代表整个Intemet或Intranet，根名也可以表示为空标记“”，但在文本格式中被写成“.”。根域代表未命名的级别，在Intemet中，根域包括13个根域DNS服务器，用来管理Internet的根和最高域。实际上，根域由多个组织机构进行管理，其中最著名的有“Inter NIC”，它是“Internet网络信息中心”的英文缩写。Inter NIC负责整个域名空间和域名登录的授权管理，它由分布在各地的子机构组成，例如，中国的域名管理机构为CNNIC。 顶级域(一级域)：位于根域下面的域名被称为顶级域名。顶级域由多个组织机构组成，包含有多台DNS服务器，分别进行管理。负责一级域名管理的组织机构是IAHC(Internet国际特别委员会)。IAHC在全世界7个大区，选择了不超过28个的注册中心来接受表2-1所示的通用型顶级域名的注册与申请工作。从表2-1可知，前面的8个域名对应于组织模式，第9个域名对应于地理模式(在主机名中，大小写字母等价)。 组织模式：是按组织管理的层次结构划分所产生的组织型域名，由3个字母组成。 地理模式：是按国别地理区域划分所产生的地理型域名，这类域名是世界各国和地区的名称，并且规定由两个字母组成，例如，“CB”和“CN”都表示中国，如表2-2所示。说明：如果按照地理模式，美国的所有主机应当归入顶级域名的US域中，但是，实际上美国的很多组织不使用顶级域名，其顶ide顶级域名与其他国家的二级域名相仿。表2-1Internet中顶级域名的代码及意义域名代码意义com商业组织edu教育机构gov政府部门mil军事部门net主要网络支持中心org其他组织ARPA临时ARPAnet（未用）INT国际组织国家代码（地理模式）说明：每个子域内部的域名称是可以随便设置的。在Internet中，由5级以上的域组成的主机名或域名是很少见的。但是，在一个Intranet上使用的域名则可以不受约束。表4-2顶级域名中部分国家或地区的代码地区代码国家或地区地区代码国家或地区US美国CN中国JP日本UK英国AU澳大利亚CA加拿大FR法国MO中国澳门SG新加坡RU俄罗斯CH瑞士KR韩国TW中国台湾HK中国香港DE德国GL希腊TH泰国IT意大利 二级域：顶级域名下面细化为多个二级域。它由分布在各地的“Inter NIC”子机构负责管理。二级域名由长度不定的字符组成，但名字必须唯一。因此，在Intemet中，使用二级域之前，必须向Inter NIC的子机构注册。例如，用户需要使用顶级域名cn下面的二级域名时，就应当向中国的域名管理机构CNNIC提出申请，例如cn下面的二级域可以是edu，com，bj,hb等。由此可见，二级域名的名字空间的划分是基于“组名”(group name)的，它在各个网点内，又分出了若干个“管理组”(administrative group)。例如，是中国的教育机构向CNNIC申请到的。 子域：三级以下的域名都被称为子域，通常由已登记注册的二级域名的单位来创建和指派。该单位可以在申请到的组名下面添加子域(subdomain)，子域下面还可以划分任意多个低层子域，例如，中的tsinghua，buu，因此，这些子域的名称被称为“本地名”，例如是由educn指派的。 主机或资源名称：是DNS树中的叶节点(叶节点是指不能再创建其他节点的节点)，它用来标识特定主机或资源的名称，在DNS服务器中它用于定位主机的IP地址。5DNS的组件DNS中包含了以下两个最重要的组件。DNS客户机：用户通过客户机上的程序，例如在浏览器中输入，提出服务请求；该请求会被提交给客户机指定的首选DNS服务器。之后，DNS服务器会将请求的结果，“”主机对应的IP地址返回给浏览器。DNS服务器：接受DNS客户机提出查询请求，并返回查询结果。6DNS服务器应具有的基本功能为了完成DNS客户机提出的查询请求工作，DNS服务器必须具有以下基本功能。 具有保存了“主机”(网络上的计算机)对应 “IP”地址的数据库，即管理一个或多个区域(Zone)的数据。可以接受DNS客户机提出的“主机名称”对应IP地址的查询请求。查询所请求的数据，若不在本服务器中，能够自动向其他“DNS服务器”查询。向DNS客户机提供其“主机名称”对应的IP地址的查询结果。 综上所述，DNS服务器进行的是主机名称的解析，而不是域名解析，即解析的是FQDN名称“wwwsohucom”对应的IP地址，而不是域名“sohucom”对应的IP地址。2.1.2 虚拟主机技术 虚拟主机技术是InternetIntranet上常用的一种技术方法，它可以解决IP地址的紧缺问题。1虚拟主机目前使用的虚拟主机技术大多是通过使用同一个IP地址，来对应多个主机域名或主机名。一台服务器只分配一个IP地址，但在网络中，需要安装的WWW服务器可能有多个；另外，还需要安装FTP服务器和邮件服务器等多种服务器。这些具有不同主机名，而使用同一IP地址的计算机主机就被称为虚拟主机(Virtual Host)。2虚拟主机的技术类型虚拟主机技术通常有以下两种类型，最常用的是基于主机名的虚拟主机技术。基于IP地址的虚拟主机技术：这种形式要求每一个虚拟主机都具有一个IP地址，实现起来较为困难。早期的WWW服务器使用的就是基于这种技术的虚拟主机技术。基于主机名的虚拟主机技术：这种方法提供了一种在一台主机上运行多个(无数)虚拟主机的技术。由于IP地址的紧缺，目前多数系统使用了基于主机名的虚拟主机技术。3虚拟主机的实现不同系统配置多个虚拟主机的方法有所不同，但是都不复杂。目前，常用的是基于主机名称的虚拟主机技术。这是一种通过DNS服务器实现的、为不同主机名称配置同一IP地址的技术。2.1.3 地址解析的类型与方向Internet利用地址解析的方法将用户使用的域名方式的地址解析为最终的物理地址，中间经历了两层地址的解析工作。1FQDN与IP地址之间的解析方向 DNS的域名解析包括正向解析和逆向解析两个不同方向的解析。 正向解析：是指从主机域名称到IP地址的解析。 逆向解析：是指从IP地址到域名的解析。 例如，正向解析将用户习惯使用的域名，如，解析为其对应的IP地址；反向解析将新浪网站的IP地址解析为主机域名。 DNS中的正向区域存储着正向解析需要的数据，而反向区域中存储着逆向解析需要的数据。无论是DNS服务器，还是客户机，以及服务器中的区域只有经过管理员配置后，才能完成FQDN到IP之间的解析任务。2IP地址与物理地址之间的解析方向 在TCPIP网络中，IP地址统一了各自为政的物理地址；这种统一仅表现在自IP层以上使用了统一形式的IP地址。然而，这种统一并非取消了设备实际的物理地址，而是将其隐藏起来。因此，在使用Internet技术的网络中必然存在着两种地址，即IP地址和各种物理网络的物理地址。若想把这两种地址统一起来，就必须建立两者之间的映射关系。 正向地址解析：是指从IP地址到物理地址之间的解析，在TCPIP中，正向地址解析协议(ARP)完成正向地址解析的任务。 逆向地址解析：是指从物理地址到IP地址的解析，逆向地址解析协议(RARP)完成逆向地址的解析任务。 与DNS不同的是，用户只要安装和设置了TCPIP，就可以自动实现IP地址与物理地址之间的转换工作。TCP/IP及DNS服务器与客户机配置完成之后，计算机名字的查找过程完全是自动的。2.1.4 DNS服务的查询模式1递归查询 定义：在主机名称的查询过程中，能够使得DNS客户端直接得到完整解析结果的查询方式被称为“递归查询”。应用场景：DNS客户机的浏览器与本地DNS服务器之间的查询通常是递归查询。客户端的程序送出查询请求后，如果本地DNS服务器内没有需要的数据，则本地DNS服务器会代替客户端向其他DNS服务器进行查询。本地DNS会将最终结果返回给客户机的浏览器。因此，从客户机端看，是直接得到了查询的结果。2迭代查询定义：在DNS的迭代查询中，客户端得到的不是最终查询结果，而是下一个DNS服务器，的地址。这种不断返回中间DNS服务器地址的查询过程就是迭代查询。应用场景：在Internet中的DNS服务器之间的查询就是迭代查询。 示例：客户机浏览器向本地DNS服务器查询的迭代查询的过程如下。 客户机向本地DNS服务器提出查询请求。 本地服务器内没有客户机请求的数据，因此，本地DNS服务器就代替客户机，向其他DNS服务器查询，假定使用“根提示”的方法，会向根域“”的DNS服务器查询，即向默认的13个根域的DNS服务器之一提出请求。根域的DNS服务器将返回顶级域服务器的p地址，例如，com的IP地址。 本地服务器随后向该IP地址所对应的com(顶级)域的DNS服务器提出请求；该顶级域服务器返回二级域的DNS服务器的IP地址，例如，“”的IP地址。 本地服务器向该IP地址对应的二级域服务器提出请求，由二级域服务器对请求做出最终的回答，例如，的IP地址。2.1.5 Active Directory与DNS服务的关联 在域模式的Intranet中，DNS服务器是其中一个最重要的服务器，也是活动目录实现的一个最重要的支持部件。在Windows 2000Server 2003操作系统的活动目录内，集成了两个最重要的Internet技术标准，这就是DNS和LDAP。DNS是活动目录资源定位服务所必需的服务；而LDAP是Internet的标准目录访问协议。1DNS与活动目录的区别 DNS与活动目录服务集成，并且共享相同的名称空间结构。但是，这两者之间存在如下的差异。(1)DNS是一种独立的名称解析服务 DNS的客户机向DNS服务器发送DNS名称查询的请求；DNS服务器接收名称查询后，先向本地存储的文件解析名称进行查询，有返回结果；没有则向其他DNS服务器进行名称解析的查询；由此可见，DNS服务器并没有向活动目录查询就能够运行。因此；使用Windows2000Server 2003服务器各个版本的计算机，无论是否建立了域控制器或活动目录，都可以单独建立DNS服务器。 (2)AD活动目录是一种依赖DNS的目录服务 活动目录(Active Directory，AD)采用了与DNS一致的层次划分和命名方式。当用户和应用程序进行信息访问时，活动目录提供信息储存库及相应的服务。AD的客户使用“轻量级目录访问协议”(LDAP)向AD服务器发送各种对象的查询请求时，都需要DNS服务器来定位AD所在的域控制器。因此，活动目录的服务必须有DNS的支持才能工作。2DNS与活动目录的联系 (1)活动目录与DNS具有相同的层次结构：虽然活动目录与DNS具有不同的用途，并分别独立地运行，但是用于与AD集成的DNS的域名空间和活动目录的具有相同的结构，例如，域控制器AD中的“”既是DNS的域名，也是活动目录的域名。 (2)DNS区域可以在活动目录中直接建立和存储：当用户需要使用Windows Server 2003域中的DNS服务器时，其主要区域的文件可以在建立活动目录时一并生成，并存储在AD中，这样才能方便地复制到其他域控制器的活动目录中。 (3)活动目录的客户需要使用DNS服务定位域控制器：活动目录的客户机查询时，需要使用DNS服务来定位指定的域控制器，即活动目录的客户会把DNS作为查询定位的服务工具来使用，通过与活动目录集成的DNS区域将域中的域控制器、站点和服务的名称解析为所需要的IP地址。例如，当活动目录的客户要登录到AD所在的域控制器时，首先向网络中的DNS服务器进行查询，获得指定域的“域控制器”上运行的LDAP主机的IP地址之后，才能完成其他工作。2.2 安装DNS服务器 当某个单位需要使用域名方式来访问各种服务器时，就要安装DNS服务器，解决DNS的主机名称自动解析为IP地址的问题。2.2.1 管理DNS服务器的基本知识在安装与设置DNS服务器时，管理员必然遇到如下一些基本概念。1区域和区域文件(1)区域：区域(Zone)就是图41所示“域树”结构中的某一部分。通过创建区域，可以让用户将域名空间划分为更小的区段。用于存储用户指定区域内所有主机的数据文件被称为“区域文件”，该文件必须存储在DNS服务器内或活动目录中。同一台DNS服务器内可以存储不同的多个区域数据，一个区域的数据又可以存储到多台DNS服务器中。为了管理的方便，常常将一个DNS的区域划分为多个子域，这样可以分散管理负荷。例如，在图2-1所示的北京联合大学“”二级域中，可以按照大学的组织划分为“”等子域，分别对应于zonel和zone2，这两个区域的数据文件可以存放在同一个DNS服务器中，也可以存放在不同的DNS服务器中。这两个DNS服务器分属于不同的大学，并由不同的管理人员负责管理，这样就可以分散和分担管理工作的负担。创建区域时应当注意，同一区域内的所有子域的域名空间必须是连续的，如不能创建一个既包括“”子域，也包括“”子域的区域，因为这两个子域分别处于两个独立的域名空间；但是，却可以创建一个既包括“”区域，也包括“”的子域区域，因为，这两个区域位于同一个域名空间“”内。 (2)区域文件：区域文件(zone file)就是保存了DNS服务器所管理区域内的、与主机相关资源记录的文件。当使用DNS控制台创建区域时，所对应的区域文件会自动生成，默认的区域文件名是“区域名.dns”，该文件存储在SystemRoot(表示系统文件夹Winnt或Windows)下的System32DNS目录中，例如区域名称“xinxi.buu,”所对应的区域文件名是“.dns”。2DNS转发器(Forward)当DNS客户机向所在区域的DNS服务器发出对p地址的查询请求后，该DNS服务器会先在自己管辖的区域的数据库内进行查询，如果该DNS服务器没有该数据，则这个DNS服务器就会向其他的DNS服务器查询。当网络中的某台主机需要与Intemet上的主机通信时，就需要转发到外界的DNS服务器进行查询。网络中有多台本地DNS服务器时，它们将通过设置的转发器与外界通信。对于小型网络，如果没有本网络域名解析的需要，则可以只设置一个与外界联系的DNS器转发器，对于公网主机名称的查询，将全部转发到指定的公网DNS的IP地址或者转发到“根提示”选项卡中提示的13个根服务器。对于大中型企事业单位，则可能需要建立多个本地DNS服务器，为了内部网络的安全，一般只将其中的一台DNS服务器设置为可以与外界DNS服务器直接连通的服务器，这台负责所有本地DNS服务器查询的计算机就是DNS服务的转发器。转发器的工作步骤如下。接收网内其他DNS服务器的服务查询请求。DNS转发器向外界进行查询。等待查询结果。 将收到的查询结果返回给网内提出查询请求的DNS服务器。 说明：如果上述的DNS服务器无法通过转发器询问到所需的数据，又没有设置其它出口时，则会直接告诉用户找不到所需的数据。当然，也可以为该DNS服务器设置其它直接询问出口，例如设置外界通用的DNS服务器的IP地址等，这样当转发器不能提供服务时，就可以通过直接出口进行查询。然而，不推荐用户这样设置，因为意味着为网络设置了安全隐患。2.2.2 安装DNS服务器在安装之前，应当确认网络上是否安装了DNS服务器。如果是域控制器，则因为已