2023年網(wǎng)絡(luò)工程師DNS配置

網(wǎng)工備考-－Wｉndoｗsｓerver２0２３ＤNＳ配置在目前應(yīng)用中重要使用兩種名稱體系：ＤNS名稱體系和NetBIOS名稱體系。但ＤＮS成為IＮTERNET上通用的命名規(guī)范。?

1.NｅtBＩOS名稱體系

它是使用長度不超過1６個(gè)字符的名稱來惟一標(biāo)記每個(gè)網(wǎng)絡(luò)資源。名稱中的前進(jìn)１5個(gè)字符可以由用戶指定，每１6個(gè)字符是一個(gè)0０到FF的十六進(jìn)制數(shù)，用于標(biāo)記資源或服務(wù)類型。在實(shí)際應(yīng)用中，通過WINDOＷS操作系統(tǒng)中的“網(wǎng)絡(luò)鄰居”看到的計(jì)算機(jī)名、工作組名或域名就是NeｔＢIOS名稱。?

2．ＤNS名稱體系

DNS名稱通常采用ＦQDN(FullyQualifiedDomainName,完全限定域名）的形式來表達(dá)由主機(jī)名和域名兩部分組成。比如:ＨＹPERLＩNK""\t"_blａnｋ".cｏm就是一個(gè)典型的ＦQDＮ,其中,ｗww是主機(jī)名,表達(dá)域名限制范圍中的一臺(tái)主機(jī);lanｄon.ｃom是域名,表達(dá)一個(gè)區(qū)域或一個(gè)范圍。?

DNS名稱空間?DNS名稱體系是有層次的,域是其層次結(jié)構(gòu)的基本單位，任何一個(gè)域最多屬于一個(gè)上級(jí)域,但可以有多個(gè)或沒有下級(jí)域。在同一個(gè)域中不能有相同的下級(jí)域或主機(jī)名,但在不同的域中則可以有相同的下級(jí)域名或主機(jī)名。?

1.根域:（RootDomａｉn）根域只有一個(gè)，根域是默認(rèn)的,一般不需要表達(dá)出來。DNS命名空間都是由位于美國的INTEＲNIＣ負(fù)責(zé)管理域進(jìn)行授權(quán)管理的。在根域服務(wù)器中并沒有保存全世界的所有的DNＳ名稱，其中只保存著頂級(jí)域的DNS服務(wù)器名稱與IP地址的相應(yīng)關(guān)系。每一層的DNS服務(wù)器只負(fù)責(zé)管理其下一層域的DNS服務(wù)器名稱與IＰ地址的相應(yīng)關(guān)系。

2.頂級(jí)域(Ｔｏp-LeｖｅlDomaｉn,TLD)?在根域之下的第一級(jí)域便是頂級(jí)域。頂級(jí)域位于最右邊。頂級(jí)域有兩種類型的劃分方法:機(jī)構(gòu)域和地理域。比如:.ｃom是機(jī)構(gòu)域

．cn是地理域。

3．各級(jí)子域(Suｂdomaｉn）?除了根域和頂級(jí)域之外，其它域均稱為子域。一個(gè)域可以有多個(gè)子域。?

４.主機(jī)名(HｏstNａｍe)

位于最左邊的便是域主機(jī)名。

5.反向域（in－addｒ．a(chǎn)rpa）

反向域使用一個(gè)IP地址的一個(gè)字節(jié)值來代表一個(gè)子域,這樣反向域in-ａddｒ.arpa就被劃分為25６個(gè)子域,每個(gè)子域代表該字節(jié)的一個(gè)也許值0－２5５。。根據(jù)同樣的方法,又可以將每一個(gè)子域進(jìn)一步劃分為２５6個(gè)子域。這樣，可以對(duì)每個(gè)子域繼續(xù)劃分,直到將所有的地址空間都在反向域中表達(dá)出來。?

DNS名稱的解析方法

重要有兩種：一是通過HOSTS文獻(xiàn)解析,二是通過DNS服務(wù)器解析。

1．HＯSＴS文獻(xiàn)

這是最初的一種查詢方式，它是由人工進(jìn)行輸入、刪除、修改所有ＤNS名稱與IP地址相應(yīng)數(shù)據(jù)。顯然網(wǎng)絡(luò)較大時(shí)是不合用的。在WＩN2０2３中，HOSTS文獻(xiàn)位于%SYSＴＥMRＯＯT％\Syｓtem32\Dｒiverｓ\Ｅtc目錄中。是一個(gè)純文本文獻(xiàn)?2.DNＳ服務(wù)器：目前最常用的。

DNS服務(wù)器的類型

重要有四種類型：主DNＳ服務(wù)器,輔助DＮS服務(wù)器、轉(zhuǎn)發(fā)DNS服務(wù)器和惟緩存DＮS服務(wù)器。

1、主DＮS服務(wù)器

它是特定DNＳ域所有信息的權(quán)威性信息源,從域管理員構(gòu)造本地?cái)?shù)據(jù)庫文獻(xiàn)中加載域信息，主DＮＳ服務(wù)器保存著自主生成的區(qū)域文獻(xiàn)夾，該文獻(xiàn)是可讀可寫的,當(dāng)DNS域中的信息發(fā)生變化時(shí),這些京華都會(huì)保存到主DＮＳ服務(wù)器的區(qū)域文獻(xiàn)中。?２、輔助DNＳ服務(wù)器?它可以從主ＤNS服務(wù)器中復(fù)制一整套域信息。區(qū)域文獻(xiàn)是從主DNS服務(wù)器中復(fù)制生成的，并作為本地文獻(xiàn)存儲(chǔ)在輔助DNS服務(wù)器中。這種復(fù)制稱為區(qū)域傳輸。這個(gè)副本是只讀的。無法對(duì)其進(jìn)行更改。要更改就是必須在主DNＳ服務(wù)器上進(jìn)行。在實(shí)際應(yīng)用中輔助DＮS重要是為了均衡負(fù)載和容錯(cuò)。當(dāng)主DNＳ出現(xiàn)故障,輔助的DNS可以轉(zhuǎn)換為主DNＳ服務(wù)器。

3、轉(zhuǎn)發(fā)DNＳ服務(wù)器

轉(zhuǎn)發(fā)DNS服務(wù)器可以將其它DＮS轉(zhuǎn)發(fā)解析請(qǐng)求,當(dāng)DNＳ服務(wù)器收到客戶端的解析請(qǐng)求后。它一方面會(huì)嘗試從其本地?cái)?shù)據(jù)庫中查找,若沒有找到，則需要向其它指定的DNＳ服務(wù)器轉(zhuǎn)發(fā)解析請(qǐng)求；其它DＮS服務(wù)器完畢解析后會(huì)返回解析結(jié)果,轉(zhuǎn)發(fā)DNS服務(wù)器將解析結(jié)果緩存在自己的DNS緩存中，并向客戶端返回解析結(jié)果。在緩存期內(nèi)，假如客戶端請(qǐng)求解析相同的名稱，則轉(zhuǎn)發(fā)DNＳ服務(wù)器會(huì)立即回應(yīng)客戶端;否則將會(huì)再次發(fā)生轉(zhuǎn)發(fā)解析的過程。目前網(wǎng)絡(luò)中所有的DNS服務(wù)器均被配置為轉(zhuǎn)發(fā)DNS服務(wù)器，向指定的其它DNS服務(wù)器或根域服務(wù)器轉(zhuǎn)發(fā)自己無法解析的請(qǐng)求。

４、惟緩存ＤNＳ服務(wù)器?可以提供名稱解析,但其沒有任何本地?cái)?shù)據(jù)庫文獻(xiàn)，惟緩存ＤNS服務(wù)器必須同時(shí)是轉(zhuǎn)發(fā)ＤＮS服務(wù)器,它將客戶端的解析請(qǐng)示轉(zhuǎn)發(fā)給指定的遠(yuǎn)程ＤNＳ服務(wù)器，并從遠(yuǎn)程DＮS服務(wù)器取得每次解析的結(jié)果，并將該結(jié)果存儲(chǔ)在DＮS緩存中,以后收到相同的解析請(qǐng)求時(shí)就用ＤNS緩存中的結(jié)果。ＤNS服務(wù)器都按這種方式使用緩存中的信息,但惟緩存服務(wù)器則依賴于這一技術(shù)實(shí)現(xiàn)所有的名稱解析,惟緩存服務(wù)器并不是權(quán)威性的服務(wù)器，由于它提供的所有信息都是間接信息。

提醒:（１）所有的ＤNS服務(wù)器都可以使用DＮS緩存機(jī)制響應(yīng)解析請(qǐng)求，以提供解析效率。（２)一些域的主DNS服務(wù)器可以是另一些域的輔助DNS服務(wù)器。(3）一個(gè)域只能部署一個(gè)主DNＳ服務(wù)器，它是該域的權(quán)威性信息源，另處至少應(yīng)部署一個(gè)輔助DNS服務(wù)器，將作為主服務(wù)器的備份。（4）配置緩存DNS服務(wù)器可以減輕主DNS服務(wù)器和輔助ＤＮＳ服務(wù)器的負(fù)載,從而減少網(wǎng)絡(luò)傳輸。

ＤＮＳ名稱解析的查詢模式?1、遞歸查詢:當(dāng)收到客戶端的遞歸查詢請(qǐng)求后，當(dāng)前ＤＮS服務(wù)器只會(huì)向ＤNＳ客戶端返回兩種信息：要么是在該DNS服務(wù)器上查詢到的結(jié)果，要么是查詢失敗,假如當(dāng)前ＤNS服務(wù)器中無法解析名稱，它并不會(huì)積極告知DNＳ客戶端其它也許的DNＳ服務(wù)器,而是自行向其它DNＳ服務(wù)器查詢并完畢解析。假如其它DNS服務(wù)器解析失敗,則ＤNＳ服務(wù)器將向DNS客戶端返回查詢失敗的消息。遞歸即是有來有往。

２、迭代查詢:迭代查詢通常在一臺(tái)ＤNS服務(wù)器向另一臺(tái)ＤNS服務(wù)器發(fā)出解析請(qǐng)求時(shí)使用。假如當(dāng)前DNS收到其它ＤNS服務(wù)器發(fā)來的迭代查詢請(qǐng)求并且未能在本地查詢到所需要的數(shù)據(jù)，則當(dāng)前DNS服務(wù)器將告訴發(fā)起查詢的ＤNS服務(wù)器另一臺(tái)DNS服務(wù)器的IP地址。然后,再由發(fā)起查詢的DNＳ服務(wù)器自行向另一臺(tái)DNＳ服務(wù)器發(fā)起查詢；依次類推，直到查詢到所需數(shù)據(jù)為止。假如到最后一臺(tái)DNＳ服務(wù)器仍沒有查到所需數(shù)據(jù),則告知最初發(fā)起查詢的DＮS服務(wù)器解析失敗。迭代的意思就是若在某地查不到,該地就會(huì)告知查詢者其它地方的地址。讓查詢轉(zhuǎn)到其它地方去查。

DNＳ解析過程

1、DＮS區(qū)域：DＮS服務(wù)器是通過區(qū)域來管理，并不是通過域?yàn)閱挝还芾淼?。一臺(tái)DNS服務(wù)器可以管理一個(gè)或多個(gè)區(qū)域。而一個(gè)區(qū)域也可以由多臺(tái)DNS服務(wù)器來管理。

２、重要區(qū)域、輔助區(qū)域和存根區(qū)域

(1)重要區(qū)域：一個(gè)區(qū)域的重要區(qū)域是建立在該區(qū)域的主DNＳ服務(wù)器上,重要區(qū)域的數(shù)據(jù)庫文獻(xiàn)是可讀可寫的,所有針對(duì)該區(qū)域的添加、修改和刪除等寫入操作都必須在重要區(qū)域中進(jìn)行?(2)輔助區(qū)域:一個(gè)區(qū)域的輔助區(qū)域建立在該區(qū)域的輔助DＮS服務(wù)器上。輔助區(qū)域數(shù)據(jù)庫文獻(xiàn)是重要區(qū)域數(shù)據(jù)庫文獻(xiàn)的副本，需要定期地通過區(qū)域傳輸從重要區(qū)域中復(fù)制以獲得更新。輔助區(qū)域的重要作用是均衡DNS解析的負(fù)載以提高解析效率,同時(shí)提供容錯(cuò)能力。必要時(shí)可將輔助區(qū)域轉(zhuǎn)換為重要區(qū)域。?（３)存根區(qū)域：將在后面介紹。。。

資源記錄?每個(gè)區(qū)域數(shù)據(jù)庫文獻(xiàn)都是由資源記錄構(gòu)成的。重要有：SOA記錄、NS記錄、A記錄、CNAME記錄、ＭX記錄和PＴＲ記錄。?標(biāo)準(zhǔn)的資源記錄具有其基本格式:?[naｍe]

[ttl］

ＩN

ｔｙpｅ

rｄａt(yī)ａ?nａｍｅ:名稱字段，此字段是資源記錄引用的域?qū)ο竺?，可以是一臺(tái)單獨(dú)的主機(jī)也可以是整個(gè)域。字段值:"．"是根域,@是默認(rèn)域,即當(dāng)前域,

tｔｌ：生存時(shí)間字段,它以秒為單位定義該資源記錄中的信息存放在DNS緩存中的時(shí)間長度。通常此字段值為空,表達(dá)采用SOA記錄中的最小TTL值。?IN:此字段用于將當(dāng)前湖泊記錄標(biāo)記為一個(gè)INTERＮET的DNＳ資源記錄。

TYPE:類型字段,用于標(biāo)記當(dāng)前資源記錄的類型。資源記錄類型:Ａ,即是A記錄，也稱為主機(jī)記錄,是ＤNＳ名稱到ＩP地址的映射,用于正向解析。CNAＭE:CNAＭE記錄,也是別名記錄,用于定義A記錄的別名。MX：郵件互換器記錄，用于告知郵件服務(wù)器進(jìn)程將郵件發(fā)送到指定的另一臺(tái)郵件服務(wù)器。(該服務(wù)器知道如何將郵件傳送到最終目的地)。NS:NS記錄,用于標(biāo)記區(qū)域的DNS服務(wù)器，即是說負(fù)責(zé)此DNS區(qū)域的權(quán)威名稱服務(wù)器，用哪一臺(tái)DNS服務(wù)器來解析該區(qū)域。一個(gè)區(qū)域有也許有多條nｓ記錄,例如ｚ有也許有一個(gè)主服務(wù)器和多個(gè)輔助服務(wù)器。PTR:是IP地址到DNS名稱的映射，用于反向解析。SＯＡ:用于一個(gè)區(qū)域的開始,SOＡ記錄后的所有信息均是用于控制這個(gè)區(qū)域的,每個(gè)區(qū)域數(shù)據(jù)庫文獻(xiàn)都必須包谷一個(gè)SOA記錄,并且必須是其中的第一個(gè)資源記錄，用以標(biāo)記ＤNS服務(wù)器管理的起始位置,SＯA說明能解析這個(gè)區(qū)域的dns服務(wù)器中哪個(gè)是主服務(wù)器。?raｄａt(yī)a:數(shù)據(jù)字段用于指定與當(dāng)前資源記錄有關(guān)的數(shù)據(jù),數(shù)據(jù)字段的內(nèi)容取決于類型字段。?

部署主DＮS服務(wù)器?安裝DNS服務(wù)

?打開配置您的服務(wù)器向?qū)?/p>

?下一步?

下一步

?下一步

下一步,便開始安裝。

創(chuàng)建正向重要區(qū)域?

點(diǎn)新建區(qū)域

下一步?

這里選重要區(qū)域

?填寫區(qū)域名稱

這里有兩個(gè)選擇，在這里做創(chuàng)建新文獻(xiàn)。

由于這里不是AＤ所以第一項(xiàng)不能選。選不允許動(dòng)態(tài)更新。??點(diǎn)完畢

?建立好后，可看見已建立好兩個(gè)記錄:SOA記錄和ＮS記錄??這里點(diǎn)更改

?可以更改區(qū)域類型,通常在某DNS區(qū)域的主ＤＮS服務(wù)器出現(xiàn)故障且短時(shí)間內(nèi)無法修復(fù)，就需要在輔助DＮS服務(wù)器將輔助區(qū)域改為重要區(qū)域,使其成為主DNS服務(wù)器。此外，需要將存儲(chǔ)于文本數(shù)據(jù)庫文獻(xiàn)夾的DNＳ區(qū)域存儲(chǔ)到活動(dòng)目錄,也需要更改。

?點(diǎn)老化便出現(xiàn)上框。??這個(gè)是SOA記錄，可看到主服務(wù)器,即是本臺(tái)服務(wù)器名。假如點(diǎn)瀏覽便出現(xiàn)下面。這里的序列號(hào):是該區(qū)域文獻(xiàn)的修訂版本號(hào)，每次區(qū)域中的資源記錄發(fā)生改變時(shí)，這個(gè)數(shù)字就會(huì)增長。每次區(qū)域改變時(shí)增長這個(gè)值非常重要，它使部分區(qū)域改動(dòng)或完全修改的區(qū)域都可以在后續(xù)傳送中復(fù)制到其它輔助ＤＮS服務(wù)器上。負(fù)責(zé)人:管理區(qū)域負(fù)責(zé)人的電子郵件地址,在該電子郵件名稱中使用英文鐘點(diǎn)(.）代替@.

刷新間隔：是在查詢區(qū)域的來源進(jìn)行區(qū)域更新之前,輔助DNＳ服務(wù)器等待的時(shí)間，當(dāng)刷新間隔到期時(shí)，輔助DNS服務(wù)器請(qǐng)求主DNS服務(wù)器的區(qū)域的當(dāng)前SOＡ記錄副本。然后,輔助DNS服務(wù)器將主DＮS服務(wù)器的當(dāng)前ＳOA記錄的序列號(hào)與其本地ＳOＡ記錄的序列號(hào)相比較,假如兩者不同，則輔助DNS服務(wù)器從主DＮS服務(wù)器請(qǐng)求區(qū)域傳輸,默認(rèn)為900S。

ＴLL:這里是用于指定ＳOA資源記錄的TTL。

?這臺(tái)服務(wù)器名為MINＧ,記錄類型可以選擇。

如點(diǎn)負(fù)責(zé)人旁邊的瀏覽,便出現(xiàn)上框。

點(diǎn)名稱服務(wù)器,在這里只有一臺(tái)服務(wù)器為其解析。

點(diǎn)添加，可以添加多個(gè)名稱服務(wù)器

這里可以使用WINＳ幫助解析。

配置區(qū)域傳輸

點(diǎn)告知。

下面來創(chuàng)建反向區(qū)域

?點(diǎn)新建區(qū)域

?出現(xiàn)向?qū)??選重要區(qū)域??輸入IＰ。??創(chuàng)建新文獻(xiàn)??不允許動(dòng)態(tài)更新

?點(diǎn)完畢??同樣可看到創(chuàng)建好兩個(gè)記錄??同樣可以更改類型?

主服務(wù)器也是本臺(tái)服務(wù)器

?可以添加名稱服務(wù)器??這里是反向查找??可允許區(qū)域復(fù)制。?注意事項(xiàng)1、配置中新建主機(jī)名稱、完全合格的域名,區(qū)域名稱、區(qū)域文獻(xiàn)名稱的區(qū)別２、設(shè)立啟用循環(huán)機(jī)制可以實(shí)現(xiàn)兩臺(tái)serｖer服務(wù)器負(fù)載均衡的查詢。

●試題三(共1５分)【說明】在WindｏwｓSｅrｖer2023中可以采用篩選器來保護(hù)DNS通信。某網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-1所示，WWW服務(wù)器的域名是www．a(chǎn)ｂc．com，DＮS服務(wù)器上安裝ＷindowsSｅrver202３操作系統(tǒng)?！締栴}1】（3分)配置DNS服務(wù)器時(shí)，在圖3-2所示的對(duì)話框中，為WebServe配置記錄時(shí)新建區(qū)域的名稱是(１)在圖3-３所示的對(duì)話框中,添加的新建主機(jī)”名稱”為(2），ＩP地址欄應(yīng)項(xiàng)入（3）。【問題2】(4分）在DNS服務(wù)器的“管理工具”中運(yùn)營管理ＩP篩選器列表,創(chuàng)建一個(gè)名為“DＮＳ輸入”的篩選器，用以對(duì)客戶端發(fā)來的DNS請(qǐng)求消息進(jìn)行篩選。在如圖３-4所示的“ＩＰ篩選器向?qū)А敝兄付↖P通信的源地址,下拉框中應(yīng)選擇(4）；在如圖3-５中指定ＩＰ通信的目的地址，下拉框中應(yīng)選擇(5）。在圖3-６中源端口項(xiàng)的設(shè)立方式為(6)，目的端口項(xiàng)的設(shè)立方式為（7）。在篩選器列表配置完畢后，設(shè)立“篩選器操作”為“允許”。【問題3】（2分）在圖３-7中雙擊“新IＰ安全策略”可查看“DNS輸入”安全規(guī)則,要使規(guī)則生效,在圖3－7中如何配置？【問題4】（6分)在本機(jī)Wiｎｄows命令行中輸入(8)一命令可顯示當(dāng)前ＤＮＳ緩存,如圖３－8所示。“ＲecｏrdTyｐe”字段中的值為４時(shí)，存儲(chǔ)的記錄是MX，若“RecoｒdTｙpｅ”字段中的值為2時(shí),存儲(chǔ)的記錄是（9）。客戶端在排除D