网络组建与管理10DNS服务的配置和.ppt

10DNS服务的配置和管理 本课要点 DNS的功能和组成DNS的工作方式Windows2000Server中DNS的特点和安装DNS服务器的分类和创建区域记录的创建和管理 10 1DNS基础知识 用户与因特网上某个主机通信时 显然不愿意使用很难记忆的长达32位二进制主机地址 即使是点分十进制IP地址也并不太容易记忆 相反 大家愿意使用某种易于记亿的主机名字 早在从ARPANET时代 整个网络上只有数百台计算机 那时使用一个叫做hosts的文件 列出所有主机名字和相应的IP地址 只要用户输入一个主机名字 计算机就能很快地将这个主机名字解析成机器能够识别的二进制IP地址 网络中 计算机通过IP地址来通信IP地址用数字表示 记忆起来太困难了为计算机起一个好记的名字 一切都容易了域名为每台主机建立IP地址与域名之间的映射关系使用域名来唯一标识网络中的计算机DNS 10 1 1使用Hosts文件的主机名解析 所有主机名和IP地址的映射关系都保存在一个Hosts大数据库文件中 WINNT System32 drivers etc 10 1 2DNS的功能 DNS是域名系统 DomainNameSystem 的缩写 该系统用于命名组织到域层次结构中的计算机和网络服务 DNS命名用于Internet等TCP IP网络中 通过用户友好的名称查找计算机和服务 当用户在应用程序中输入DNS名称时 DNS服务可以将此名称解析为与之相关的其他信息 如IP地址 在上网时输入的网址 是通过域名解析系解析找到相对应的IP地址 这样才能上网 域名的最终指向是IP 在IPV4中IP是由32位二进制数组成的 将这32位二进制数分成4组每组8个二进制数 将这8个二进制数转化成十进制数 就是我们看到的IP地址 其范围是在1 255之间 因为 8个二进制数转化为十进制数的最大范围就是1 255 现在已开始试运行 将来必将代替IPV6中 将以128位二进制数表示一个IP地址 上网的时候 通常输入的是如 这样子的网址 其实这就是一个域名 而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别 再如 去一WEB服务器中请求一WEB页面 可以在浏览器中输入网址或者是相应的IP地址 例如要上新浪网 可以在IE的地址栏中输入 也可输入这样子218 30 66 101的IP地址 但是这样子的IP地址记不住 所以有了域名的说法 这样的域名会让我们容易的记住 10 1 3DNS的组成 许多应用层软件经常直接使用域名系统DNS DomainNameSystem 但计算机的用户只是间接而不是直接使用域名系统 因特网采用层次结构的命名树作为主机的名字 并使用分布式的域名系统DNS 名字到域名的解析是由若干个域名服务器程序完成的 域名服务器程序在专设的结点上运行 运行该程序的机器称为域名服务器 因特网采用了层次树状结构的命名方法 任何一个连接在因特网上的主机或路由器 都有一个惟一的层次结构的名字 即域名 域名的结构由若干个分量组成 各分量之间用点隔开 三级域名 二级域名 顶级域名各分量分别代表不同级别的域名 域名层次型的命名机制FQDN 完全合格域名 主机名 主DNS后缀例 域名称空间结构 根域顶级域组织域地理域反向域二级域主机名称 因特网的名字空间 根域 代表域名命名空间的根 这里为空 顶级域名TLD TopLevelDomain 1 国家顶级域名nTLD 如 cn表示中国 us表示美国 uk表示英国 等等 2 国际顶级域名iTLD 采用 int 国际性的组织可在 int下注册 3 通用顶级域名gTLD 最早的顶级域名是 com表示公司企业 net表示网络服务机构 org表示非赢利性组织 edu表示教育机构 gov表示政府部门 mil表示军事部门 新增加了七个通用顶级域名 aero用于航空运输企业 biz用于公司和企业 coop用于合作团体 info适用于各种情况 museum用于博物馆 name用于个人 pro用于会计 律师和医师等自由职业者 二级域名子域主机page314 10 1 4DNS的区域 DNS的区域 zone 是指域名空间 domainspace 树型结构的一部分 它能将域名空间根据用户需要划分为较小的区域 而非域 domain 以便于管理 授权域名服务器 因特网允许各个单位根据具体情况将本单位的域名划分为若干个域名服务器管辖区 zone 并在各管辖区中设置相应的授权域名服务器 10 2DNS服务器的分类和作用 根据管理的DNS区域的不同 DNS服务器也具有不同的类型 一台DNS服务器可以同时管理多个区域 因此也可以同时属于多种DNS服务器类型 主要名称服务器当DNS服务器管理主要区域时 它被称为主要名称服务器 主要名称服务器是主要区域的集中更新源 存放的是区域文件的正本数据 辅助名称服务器在DNS服务设计中 针对每一个区域 总是建议你至少使用两台DNS服务器来进行管理 其中一台作为主要名称服务器 而另外一台作为辅助名称服务器 当DNS服务器管理辅助区域时 它将成为辅助名称服务器 使用辅助名称服务器的好处在于实现负载均衡和避免单点故障 辅助名称服务器用于获取区域数据的源DNS服务器称为主服务器 主服务器可以由主要名称服务器或者其他辅助名称服务器来担任 当创建辅助区域时 将要求你指定主服务器 在辅助名称服务器和主服务器之间存在着区域复制 用于从主服务器更新区域数据 主控名称服务器指提供区域数据复制到DNS服务器 它可以是主要名称服务器 也可以是辅助名称服务器 缓存名称服务器缓存名称服务器即没有管理任何区域的DNS服务器 也不会产生区域复制 它只能缓存DNS名字并且使用缓存的信息来答复DNS客户端的解析请求 当刚安装好DNS服务器时 它就是一个缓存名称服务器 缓存名称服务器可以通过缓存减少DNS客户端访问外部DNS服务器的网络流量 并且可以降低DNS客户端解析域名的时间 因此在网络的广泛的使用 DNS服务的作用 将域名解析为IP地址 请求的IP地址 发送的IP地址 10 3转发器的功能 转发器是网络上的域名系统 DNS 服务器 用来将外部DNS名称的DNS查询转发给该网络外的DNS服务器 通过让网络中的其他DNS服务器将它们在本地无法解析的查询转发给网络上的DNS服务器 该DNS服务器即被指定为转发器 使用转发器可管理网络外的名称的名称解析 例如 Internet上的名称 并改进网络中的计算机的名称解析效率 10 4DNS解析名字的方式 递归型DNS客户端发出查询请求后 如果DNS服务器内没有所需数据 则DNS服务器会代替客户端向其他的DNS服务器进行查询 com abc xyz abc x y 因特网 u v w xyz com顶级域名服务器 本地域名服务器授权域名服务器 树根 edu edu顶级域名服务器 y 本地域名服务器授权域名服务器 本地域名服务器授权域名服务器 循环型主要用于DNS服务器与DNS服务器间的查询 当第一台DNS服务器向第二台DNS服务器提出查询请求后 如果第二台DNS服务器没有所需数据 则它会提供第三台DNS服务器的IP地址给第一台DNS服务器 让第一台DNS服务器直接向第三台DNS服务器进行查询 以此类推 反向型让DNS客户端利用自己的IP地址查询它的主机名称 主要用于邮件服务器 递归与迭代相结合的查询 根域名服务器 本地域名服务器 本地域名服务器 本地域名服务器 10 5缓存与生存时间 使用名字的高速缓存可优化查询的开销 每个域名服务器都维护一个高速缓存 存放最近用过的名字以及从何处获得名字映射信息的记录 生存时间TTL 10 6Windows2000中的DNS 动态DNSU192 168 251 25运作原理 1 Client端每次开机或者是重新拨接后 取得一个新的IP之后 会向DNSServer端提出要求 希望Server端变更主机名称与IP的对应 2 Server端接受Client端的要求之后 会先去查询Client提供的帐号密码是否正确 正确之后就会立即修改Server本身对于你的主机名称的设定值 DNS与活动目录在WIN2K的活动目录中 最基本的单位是域 Domain 通过父域和子域的模式将域组织起来形成树 父域和子域之间是完全双向的信任关系 且信任关系传递 其组织结构同DNS系统类似 活动目录中的域和DNS系统中的域采用完全相同的命名方式 即活动目录中的域名就是DNS域名 利用WIN2K构建活动目录时 必须同时安装配置相应的DNS 无论用户实现IP地址解析还是登录验证 都利用DNS在活动目录中定位服务器 活动目录与DNS的区别 1 存储的对象不同DNS和活动目录的结合是Windows2000服务器的最主要特点 DNS域和活动目录域对不同的名字空间使用同一样的域名 但它们各自存储不同的数据 因此管理不同的对象 DNS存储它的区域和资源记录 活动目录存储域和域中的对象 对DNS来说 域名是以DNS的层命名结构为基础的 是一种倒树型结构 一个根域 下面的域既是父域又是子域 每一个DNS域中的计算机可以通过完全合格域名 FQDN 进行识别 每一个与因特网连接的WIN2K域都有一个DNS名字 并且每一个WIN2K域中的计算机也都有一个DNS名字 因此 域和计算机即代表活动目录对象 又代表域节点 2 解析所用的数据库不同 DNS是一种名字解析服务 DNS是通过DNS服务器接受请求查询DNS数据库来把域或计算机解析为IP地址的 DNS客户发送DNS名字查询到它们设定的DNS服务器 DNS服务器接受请求后或通过本地DNS数据库解析名字 或查询因特网上的DNS数据库 DNS不需要活动目录就可以起作用 活动目录是一种目录服务 活动目录通过域控制器接受请求查询活动目录数据库来把域对象名字解析为对象记录 活动目录用户是通过LDAP协议 一种进入目录服务的协议 向活动目录服务器发送请求 为了定位活动目录数据库 需要借助于DNS 也就是说 活动目录把DNS作为定位服务 把活动目录服务器解析为IP地址 活动目录不能没有DNS的帮助 DNS可以独立于活动目录 但是活动目录必须有DNS的帮助才能工作 为了活动目录能够正常的工作 DNS服务器必须支持服务定位 SRV 资源记录 资源记录把服务名字映射为提供服务的服务器名字 活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址 10 7DNS服务器的安装 1 2 3 4 5 6 7 8 10 7 2DNS客户端的设置 1 2 3 4 5 6 动态获得DNS服务器地址 在DHCP服务器上 配置作用域选项 指定多台DNS服务器 客户机上的高级TCP IP设置窗口中 1 2 3 4 10 8创建主要区域及其记录 Windows2000的DNS服务器中有两种类型的搜索区域 正向搜索区域 和 反向搜索区域 正向搜索区域 用来处理正向解析 即把主机名解析为IP地址 反向搜索区域 用来处理反向解析 即把IP地址解析为主机名 无论是 正向搜索区域 还是 反向搜索区域 都有三种区域类型 分别为 标准主要区域 标准辅助区域 ActiveDirectory集成的区域 标准主要区域 中的区域记录是自主生成的 是可读可写的 也就是说该DNS服务器既可以接受新用户的注册 也可以给用户提供名称解析服务 标准主要区域 是以文件的形式存放在创建该区域的DNS服务器上 维护 标准主要区域 的DNS服务器称为该区域的 主DNS服务器 在 标准主要区域 的区域属性中可以设置 是否允许动态更新 允许动态更新 的含义是 当该区域的客户端计算机的IP地址或主机名发生变化时 这种改变可以动态的在DNS区域记录中进行更改 而无需管理员手工更改 如果一个DNS区域的客户端计算机非常多 为了优化对用户DNS名称解析的服务 可以在另外一台DNS服务器上为该区域创建一个 标准辅助区域 标准辅助区域 中的区域记录是从 标准主要区域 复制而来的 是只读的 也就是说该DNS服务器不能接受新用户的注册请求 只能为已经注册的用户提供名称解析服务 标准辅助区域 也是以文件的形式存放在创建该区域的DNS服务器上 维护 标准辅助区域 的DNS服务器称为该区域的 辅助DNS服务器 ActiveDirectory集成的区域 只存在于域控制器 DC 上 而且该类型的区域不是以文件的形式存在的 而是存在于活动目录中的 ActiveDirectory集成的区域 不会发生区域复制 而是随着活动目录的复制而复制的 因此这种区域类型避免了DNS服务器单点失败的现象 在 ActiveDirectory集成的区域 的区域属性中除了可以设置 是否允许动态更新 外 还可以设置 仅安全更新 仅安全更新 的含义是在动态更新的基础上保证安全 那么设置为 仅安全更新 的DNS区域是如何实现安全性的呢 我们经常讲的一句话就是 域是安全的最小边界 仅安全更新 的区域将只接受已经加入到该域的计算机账号的主机名和IP地址的变化 而当那些不属于该域的计算机账号的主机名和IP地址发生变化时是不会在区域记录中动态改变的 但是这些计算机仍然可以利用该DNS服务器进行名称解析服务 DNS的区域类型是可以改变的 可以把一个 标准主要区域 类型更改为 标准辅助区域 或者为了加强安