windows2003网络服务管理教程.ppt

1、课程介绍,课程简介 如何利用 Windows Server 2003 进行企业网络管理，同时利用 Windows Server 2003 新特性，安全特性进行简化管理，本课程主要介绍如何利用 Windows Server 2003 进行网络的维护管理,学习对象,希望在未来从事系统集成，网络管理工作的学生。,学习目标,在完成本章的学习后，您将能够： 在企业中部署DNS 配置主DNS，辅助DNS，DNS转发器，DNS委派 DNS排错,课程安排,DNS域名系统的基本概念 域名解析的原理和模式 安装DNS服务器 配置与管理DNS DNS测试,DNS概述,域名系统（Domain Name System）

2、 建立IP地址与域名之间的映射关系,DNS基本概念和原理,众所周知，在网络中唯一能够用来标识计算机身份和定位计算机位置的方式就是IP地址，但网络中往往存在许多服务器，如E-mail服务器、Web服务器、FTP服务器等，记忆这些纯数字的IP地址不仅枯燥无味，而且容易出错。通过DNS服务器，将这些IP地址与形象易记的域名一一对应的，用户在访问服务器或网站时使用简单易记的域名即可。 通过DNS（Domain Name System）服务，可以使用域名代替复杂的IP地址来访问网络服务器，使得网络服务的访问更加简单，而且可以完美地实现与Internet的融合，对于一个网站的推广发布起到极其重要的作用。而

3、且许多重要网络服务（如E-mail服务）的实现，也需要借助于DNS服务。因此，DNS服务可视为网络服务的基础。,DNS基本概念和原理,域名系统（DNS）是一种采用客户/服务器机制，实现名称与IP地址转换的系统，是由 名字分布数据库组成的，它建立了叫做域名空间的逻辑树结构，是负责分配、改写、查询域名的综合性服务系统，该空间中的每个结点或域都有唯一的名字。 1、DNS的域名空间规划:要在Internet上使用自己的DNS，将企业网络与Internet能够很好地整合在一起的，实现局域网与Internet的相互通信，用户必须先向DNS域名注册颁发机构申请合法的域名，获得至少一个可在Internet上有

4、效使用的IP地址，这项业务通常可由ISP代理。如果准备使用Active Directory，则应从Active Directory设计着手，并用适当的DNS域名空间支持它。,域名空间与Zone,DNS基本概念和原理,2、DNS服务器的规划: 确定网络中需要的DNS服务器的数量及其各自的作用，根据通信负载、复制和容错问题，确定在网络上放置DNS服务器的位置。为了实现容错，至少应该对每个DNS区域使用两台服务器，一个是主服务器，另一个是备份或辅助服务器。 3、DNS域名空间: 组成DNS系统的核心是DNS服务器，它的作用是回答域名服务查询，它允许为私有TCP/IP网络和连接公共Internet的用

5、户，服务器保存了包含主机名和相应IP地址的数据库。例如，如果提供了域名：，DNS服务器将返回网站的IP地址2。,域名空间与Zone,DNS域名结构,层次型的命名机制 FQDN（完全合格域名） Fully Qualified Domain Name 主机名 . 主DNS后缀 例： ,DNS域名空间的结构,根域（Root Domain） 顶级域（TOP-Level Domain） 各级子域（Sub domain） 主机名（Host Name）,DNS基本概念和原理,根域：代表域名命名空间的根，这里为空。 顶级域：直接处于根域下面的域，代表一种类型的组织或一些国家。在Inte

6、rnet中，顶级域由InterNIC（Internet Network Information Center）进行管理和维护。 二级域：在顶级域下面，用来标明顶级域以内的一个特定的组织。在Internet中，二级域也是由InterNIC负责管理和维护。 子域：在二级域的下面所创建的域，它一般由各个组织根据自己的需求与要求，自行创建和维护。 主机：是域名命名空间中的最下面一层，它被称之为完全合格的域名（Fully Qualified Domain Name，FQDN），在Windows2000/2003下运行“hostname”命令，便可以查看该主机的主机名，例如就是一个完全合格的域名。,域名空

7、间与Zone,DNS域名,DNS基本概念和原理,4、Zone（区域）:区域（Zone）是一个用于存储单个DNS域名的数据库，它是域名称空间树状结构的一部分，它将域名空间分区为较小的区段，DNS服务器是以Zone为单位来管理域名空间的，Zone中的数据保存在管理它的DNS服务器中。 5、启动区域传输和复制:用户可以通过多个DNS服务器，提高域名解析的可靠性和容错性，当一台DNS服务器发生问题时，用其它DNS服务器提供域名解析。这就需要利用区域复制和同步方法，保证管理区域的所有DNS服务器中域的记录相同。在Windows Server 2003服务器中，DNS服务支持增量区域传输（incremen

8、tal Zonetransfer），也就是在更新区域中的记录时，DNS服务器之间只传输发生改变的记录，因此提高了传输的效率。,域名空间与Zone,从Hosts文件到DNS,早期Hosts文件解析域名 主机名称重复 名称解析效能差 主机维护困难 DNS服务 层次性 分布式,层次性分布式DNS服务,使用hosts文件,hosts文件存储主机名称 与 IP地址的对照信息 DNS客户端在查找DNS服务器之前会先去查找hosts 若找不到信息，才会向DNS服务器查找 hosts文件保存%systemroot%system32dirversetc,域名查询的模式,从查询方式上分 递归查询 简单（迭代）查询

9、 从查询内容上分 正向搜索查询：通过域名来查询IP地址 反向搜索查询：将IP地址映射为域名,DNS基本概念和原理,当客户机需要访问Internet上某一主机时，首先向本地DNS服务器查询对方的IP地址，往往本地DNS服务器继续向另外一台DNS服务器查询，直到解析出需访问主机的IP地址，这一过程称为查询。 1、递归查询（Recursive Query:递归查询，是指DNS客户端发出查询请求后，如果DNS服务器内没有所需的数据，则DNS服务器会代替客户端向其它的DNS服务器进行查询。在这种方式中，DNS服务器必须向DNS客户端做出回答。一般由DNS客户端提出的查询请求，都是递归型的查询方式。目前通

10、常采用递归查询方式。,查询模式,DNS基本概念和原理,2、迭代查询:多用于DNS服务器与DNS服务器之间的查询方式。当第一台DNS服务器向第二台DNS服务器提出查询请求后，如果在第二台DNS服务器内没有所需要的数据，则它会提供第三台DNS服务器的IP地址给第一台DNS服务器，让第一台DNS服务器直接向第三台DNS服务器进行查询。依此类推，直到找到所需的数据为止。 3、反向查询:与递归型和循环型两种方式都不同，它是让DNS客户端利用自己的IP地址查询它的主机名称。反向查询是依据DNS客户端提供的IP地址，来查询它的主机名。由于DNS名字空间中域名与IP地址之间无法建立直接对应关系，所以必须在DN

11、S服务器内创建一个反向型查询的区域，该区域名称的最后部分为。由于反向查询会占用大量的系统资源，因而会给网络带来不安全因此，因此，通常均不提供反向查询。,查询模式,正向搜索查询,迭代查询,递归查询,DNS服务器的安装,要提供DNS服务，首先要安装DNS服务，之后要配置并申请正式的域名，安装DNS服务具体的操作步骤是： 1）在Windows Server 2003服务器上运行“配置您的服务器向导”，在“服务器角色”窗口中选择“DNS服务器”选项。 注意：如果是第一次安装DNS服务，系统会提示用户插入Windows Server 2003的安装光盘，用来复制安装DNS服务器所

12、需要的文件，以后再次安装DNS服务器时，则不再需要复制文件了。 2）单击“下一步”按钮，将开始复制并安装DNS组件。安装完毕后，将自动运行“配置DNS服务器向导” 。单击“DNS清单”按钮，可以查看“Microsoft管理控制台”，获取对DNS服务器规划、配置等方面的帮助信息。,DNS服务器的安装,服务器角色,配置DNS服务器向导,DNS服务器的安装,DNS服务器的 IP地址 与 DNS服务器地址 相同,DNS服务器的安装,3）在“选择配置操作”窗口，选中“创建正向查找区域（适合小型网络使用）”单选按钮，使该DNS服务器只提供正向DNS查找，不过该方式无法将在本地查询的DNS名称转发给ISP的

13、DNS服务器，在大型网络环境中，可以选择“创建正向和反向查找区域（适合大型网络使用）”单选按钮，同时提供正向和反向DNS查询。 4）在“主服务器位置窗口，当在网络中安装第一台DNS服务器时，选择“这台服务器维护该区域”单选按钮，可以将该DNS服务器配置为主DNS服务器，再次添加DNS服务器时，选择“ISP维护该区域，一份只读的次要副本常驻在这台服务器上”单选按钮，从而将其配置为辅助DNS服务器。,DNS服务器的安装,选择配置操作,主服务器位置,DNS服务器的安装,5）输入正式域名。 6）在“动态更新”窗口中，选择“不允许动态更新”单选按钮，不接受资源记录的动态更新，以安全的手动方式更新DNS记

14、录。 只允许安全的动态更新（适合Active Directory使用）：只有在安装了Active Directory 集成的区域才能使用该项。 允许非安全和安全动态更新：如果要使用任何客户端都可接受资源记录的动态更新，可选择该项，但由于可以接受来自非信任源的更新，所以使用此项时可能会不安全。 不允许动态更新：可使此区域不接受资源记录的动态更新，使用此项比较安全。,DNS服务器的安装,区域名称,区域文件,DNS服务器的安装,7）将查询转发到下列IP地址的DNS服务器上单选按钮，并输入网络运营商提供的DNS服务器的IP地址。这样，当DNS服务器接收到客户端发出的DNS请求时，如果本地无法解析，将自

15、动把DNS请求转发给网络运营商的DNS服务器。 8）单击“下一步”按钮，系统将开始收集已设置的信息，并弹出 “正在完成DNS服务器向导”窗口，单击“完成”按钮。,DNS服务器的安装,转发器,完成DNS服务器的安装,新建区域,主要区域 存储区域内所有记录的正本 辅助区域 存储区域内所有记录的副本，不可修改 存根区域 存储区域内少数记录（如SOA、NS）的副本信息,DNS服务器的配置与管理,在前面已经介绍了Zone的相关知识，在同一台DNS服务器中可以存在多个DNS区域。 在一台DNS服务器上可以提供多个域名的DNS解析，因此可以创建多个DNS区域，具体的操作步骤如下： 1）单击“开始”“管理工具

16、”“DNS”，打开 “DNS控制台”窗口。 2）展开DNS服务器目录树，右击“正向查找区域”项，选择快捷菜单中的“新建区域”选项，显示“新建区域向导”，单击“下一步”按钮，弹出 “区域选项”窗口，用来选择要创建的区域的类型，有“主要区域”、“辅助区域”和“存根区域”三种，若要创建新的区域，应当选择“主要区域”单选项。 注意：如果当前DNS服务器上安装了Active Directory服务，则“在Active Directory中存储区域”复选框将自动选中。,添加正向搜索区域,DNS服务器的配置与管理,DNS区域（Zone）是DNS服务最基本的管理控制单元，同一台DNS服务器上可以创建多个区域。

17、其实如果网络规模比较大，用户数量比较多时，还可以在Zone内划分多个子区域，Windows Server 2003中为了与域名系统一致也将其称为域（Domain）。例如，在企业为网络管理中销售部拥有自己的服务器，但是为了方便管理，还可以为不同地区的销售分部设置单独的子域，在这个域下可添加主机记录以及其他资源记录（如别名记录等）。,添加DNS域,建立正向查找区域,DNS服务器的配置与管理,DNS控制台,区域类型,DNS服务器的配置与管理,创建新的主区域后，“域服务管理器”会自动创建起始机构授权、名称服务器等记录。除此之外，DNS数据库还包含其它的资源记录，用户可根据需要，自行向主区域或域中添加资

18、源记录，这里先介绍常见的记录类型： 起始授权机构SOA（Start Of Authority）：该记录表明DNS名称服务器是DNS域中的数据表的信息来源，该服务器是主机名字的管理者，创建新区域时，该资源记录被自动创建，而且是DNS数据库文件中的第一条记录。 名称服务器NS（Name Server）：为DNS域标识DNS名称服务器，该资源记录出现在所有DNS区域中，创建新区域时，该资源记录被自动创建。,添加DNS记录,主要资源记录,区域文件中包含资源记录,DNS服务器的配置与管理,主机地址A（Address）：该资源记录将主机名映射到DNS区域中的一个IP地址。 指针PTR（Point）：该资源

19、记录与主机记录配对，可将IP地址映射到DNS反向区域中的主机名。 邮件交换器资源记录MX（Mail Exchange）：为DNS域名指定了邮件交换服务器，在网络存在E-mail服务器时，需要添加一条MX记录对应E-mail服务器，以便DNS能够解析E-mail服务器地址。若未设置此记录，E-mail服务器无法接收邮件。 别名CNAME（Canonical Name）：仅仅是主机的另一个名字，如常见的WWW服务器，是给提供Web信息服务的主机起的别名。,添加DNS记录,DNS服务器的配置与管理,1、创建主机记录：将主机的相关数据（主机名与IP地址，也就是资源记录类型为主机的数据）添加到DNS服务

20、器内，就可以满足DNS客户机使用域名，而不是主机IP地址来访问服务器。主机记录提供主机的相关参数（主机名和对应的IP地址）。在DNS控制台窗口中，选择要创建主机记录的区域右击并选择快捷菜单中的“新建主机”选项。,添加DNS记录,DNS服务器的配置与管理,在“名称”文本框中输入主机名称“www”，这里应输入相对名称，而不能是全称域名（输入名称的同时，域名会在“完全合格的域名”中自动显示出来）。在“IP地址”框中输入主机对应的IP地址，然后单击“添加主机”按钮即可。 并非所有计算机都需要主机资源记录，但是在网络上以域名来提供共享资源的计算机，需要该记录。一般为具有静态IP地址的服务器创建主机记录，

21、也可以为分配静态IP地址的客户机创建主机记录。 当IP配置更改时，运行Windows 2000及以上版本的计算机，使DHCP客户服务在DNS服务器上动态注册和更新自己的主机资源记录。如果运行更早版本的Windows系统，且启用DHCP的客户机从DHCP服务器获取它们的IP租约，则可通过代理来注册和更新其主机资源记录。,添加DNS记录,新建主机记录,DNS服务器的配置与管理,2、创建别名记录：别名用于将DNS域名映射为另一个主要的或规范的名称。,添加DNS记录,新建别名记录,DNS服务器的配置与管理,3、创建邮件交换器记录：邮件交换器（MX）资源记录为电子邮件服务专用，它根据收信人地址后缀来定位

22、邮件服务器，使服务器知道该邮件将发往何处。也就是说，根据收信人邮件地址中的DNS域名，向DNS服务器查询邮件交换器资源记录，定位到要接收邮件的邮件服务器。,添加DNS记录,DNS服务器的配置与管理,4、创建其它资源记录：选择一个区域或域（子域），右击并选择快捷菜单中的“其它新记录”选项，从中选择所要建立的资源记录类型，例如：IPv6主机（AAAA），单击“创建记录”按钮，即可打开记录定义窗口，同样需要指定主机名称和选择主机。在建立资源记录后，如果还想修改，可右击该记录，选择快捷菜单中的“属性”选项。,添加DNS记录,DNS服务器的配置与管理,查看记录类型,添加其它记录,DNS服务器的配置与管理

23、,反向搜索就是和正向搜索相对应的一种DNS解析方式。在网络中，大部分DNS搜索都是正向搜索。但为了实现客户端对服务器的访问，不仅需要将一个域名解析成IP地址，还需要将IP地址解析成域名，这就需要使用反向查找功能。在DNS服务器中，通过主机名查询其IP地址的过程称为正向查询，而通过IP地址查询其主机名的过程叫做反向查询。 反向查找区域：DNS提供了反向查找功能，可以让DNS客户端通过IP地址来查找其主机名称，例如DNS客户端，可以查找IP地址为的主机名称。反向区域并不是必须的，可以在需要时创建，例如若在IIS网站利用主机名称来限制联机的客户端，则IIS需要利用反向查找来检查

24、客户端的主机名称。,添加反向搜索区域,DNS服务器的配置与管理,创建反向记录：当反向标准主要区域创建完成以后，还必须在该区域内创建记录数据，只有这些记录数 据在实际的查询中才是有用的。 具体的操作步骤为：右击反向主要区域名称，选择快捷菜单中的“新建指针（PTR）”选项， “新建资源记录”窗口，在“主机IP号”文本框中，输入主机IP地址的最后一段（前3段是网络ID），并在“主机名”后输入或单击“浏览”按钮，选择该IP地址对应的主机名，最后单击“确定”按钮，一个记录就创建成功了。,添加反向搜索区域,建立反向查找区域,DNS服务器的配置与管理,当DNS服务器无法提供客户机需要查询的数据时，可以通过一

25、台有转发器功能的DNS服务器，转发此查询到其它DNS服务器进行递归查询，此时必须设置本服务器可以使用该转发器。通常在用户需要通过慢速连接访问远端DNS服务器时，需要使用转发器。,设置转发器,DNS服务的高级配置,指定根服务器 区域复制 转发器的设置,区域复制,主服务器上 辅助服务器上,转发器的配置,本地DNS服务器 递归查询,子域,对当前区域的扩展，将名称空间划分成多个区域 子域中创建的记录保存在父域的区域文件中,委派,区域中的子域过多时，维护起来不方便，并且还会遇到域名查询量的瓶颈 通过在区域中新建委派可以将子域委派到其他服务器维护 子域与委派的对比,子域的资源在父区域文件中,委派有独立的区

26、域文件,委派,将子域的管理权委派给其他DNS服务器,DNS服务器的配置与管理,Windows操作系统中DNS客户端的配置非常简单，只需在IP地址信息中，添加DNS服务器的IP地址即可,配置DNS客户机,DNS测试,ping命令是用来测试DNS能否正常工作最为简单和实用的工具，如果想测试DNS服务器能否解析，在命令行直接输入。 C:ping Pinging 2 with 32 bytes of data: Reply from 2 : bytes=32 time1ms TTL=128 Reply from 2 : bytes

27、=32 time1ms TTL=128 Reply from 2 : bytes=32 time1ms TTL=128 Reply from 2 : bytes=32 time1ms TTL=128,ping,DNS测试,Ping statistics for 2 ： Packets:Sent=4，Received=4，Lost=0（0% loss）， Approximate round trip times in milli-seconds： Minimum=0ms,Maximum=0ms,Average=0ms 根据输出结果，可以很容易判断出DNS解析是成功的。,ping,DNS测试,nslookup是一个监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具，它用来向Internet域名服务器发出查询信息，有两种模式：交互式和非交互式。 当没有指定参数（使用默认的域名服务器）或第一个参数是“”，第二个参数为一个域名服务器的主机名或IP地址时，nslookup 为交互模式；当第一个参数是待查询的主机的域名或IP地址时，nslookup 为非交互模式。这时，任选的第二个参数指定了一个域名服务器的主机名或IP地