2023年網(wǎng)絡工程師DNS配置

網(wǎng)工備考-－Wｉndoｗsｓerver２0２３ＤNＳ配置在目前應用中重要使用兩種名稱體系：ＤNS名稱體系和NetBIOS名稱體系。但ＤＮS成為IＮTERNET上通用的命名規(guī)范。?

1.NｅtBＩOS名稱體系

它是使用長度不超過1６個字符的名稱來惟一標記每個網(wǎng)絡資源。名稱中的前進１5個字符可以由用戶指定，每１6個字符是一個0０到FF的十六進制數(shù)，用于標記資源或服務類型。在實際應用中，通過WINDOＷS操作系統(tǒng)中的“網(wǎng)絡鄰居”看到的計算機名、工作組名或域名就是NeｔＢIOS名稱。?

2．ＤNS名稱體系

DNS名稱通常采用ＦQDN(FullyQualifiedDomainName,完全限定域名）的形式來表達由主機名和域名兩部分組成。比如:ＨＹPERLＩNK""\t"_blａnｋ".cｏm就是一個典型的ＦQDＮ,其中,ｗww是主機名,表達域名限制范圍中的一臺主機;lanｄon.ｃom是域名,表達一個區(qū)域或一個范圍。?

DNS名稱空間?DNS名稱體系是有層次的,域是其層次結(jié)構的基本單位，任何一個域最多屬于一個上級域,但可以有多個或沒有下級域。在同一個域中不能有相同的下級域或主機名,但在不同的域中則可以有相同的下級域名或主機名。?

1.根域:（RootDomａｉn）根域只有一個，根域是默認的,一般不需要表達出來。DNS命名空間都是由位于美國的INTEＲNIＣ負責管理域進行授權管理的。在根域服務器中并沒有保存全世界的所有的DNＳ名稱，其中只保存著頂級域的DNS服務器名稱與IP地址的相應關系。每一層的DNS服務器只負責管理其下一層域的DNS服務器名稱與IＰ地址的相應關系。

2.頂級域(Ｔｏp-LeｖｅlDomaｉn,TLD)?在根域之下的第一級域便是頂級域。頂級域位于最右邊。頂級域有兩種類型的劃分方法:機構域和地理域。比如:.ｃom是機構域

．cn是地理域。

3．各級子域(Suｂdomaｉn）?除了根域和頂級域之外，其它域均稱為子域。一個域可以有多個子域。?

４.主機名(HｏstNａｍe)

位于最左邊的便是域主機名。

5.反向域（in－addｒ．a(chǎn)rpa）

反向域使用一個IP地址的一個字節(jié)值來代表一個子域,這樣反向域in-ａddｒ.arpa就被劃分為25６個子域,每個子域代表該字節(jié)的一個也許值0－２5５。。根據(jù)同樣的方法,又可以將每一個子域進一步劃分為２５6個子域。這樣，可以對每個子域繼續(xù)劃分,直到將所有的地址空間都在反向域中表達出來。?

DNS名稱的解析方法

重要有兩種：一是通過HOSTS文獻解析,二是通過DNS服務器解析。

1．HＯSＴS文獻

這是最初的一種查詢方式，它是由人工進行輸入、刪除、修改所有ＤNS名稱與IP地址相應數(shù)據(jù)。顯然網(wǎng)絡較大時是不合用的。在WＩN2０2３中，HOSTS文獻位于%SYSＴＥMRＯＯT％\Syｓtem32\Dｒiverｓ\Ｅtc目錄中。是一個純文本文獻?2.DNＳ服務器：目前最常用的。

DNS服務器的類型

重要有四種類型：主DNＳ服務器,輔助DＮS服務器、轉(zhuǎn)發(fā)DNS服務器和惟緩存DＮS服務器。

1、主DＮS服務器

它是特定DNＳ域所有信息的權威性信息源,從域管理員構造本地數(shù)據(jù)庫文獻中加載域信息，主DＮＳ服務器保存著自主生成的區(qū)域文獻夾，該文獻是可讀可寫的,當DNS域中的信息發(fā)生變化時,這些京華都會保存到主DＮＳ服務器的區(qū)域文獻中。?２、輔助DNＳ服務器?它可以從主ＤNS服務器中復制一整套域信息。區(qū)域文獻是從主DNS服務器中復制生成的，并作為本地文獻存儲在輔助DNS服務器中。這種復制稱為區(qū)域傳輸。這個副本是只讀的。無法對其進行更改。要更改就是必須在主DNＳ服務器上進行。在實際應用中輔助DＮS重要是為了均衡負載和容錯。當主DNＳ出現(xiàn)故障,輔助的DNS可以轉(zhuǎn)換為主DNＳ服務器。

3、轉(zhuǎn)發(fā)DNＳ服務器

轉(zhuǎn)發(fā)DNS服務器可以將其它DＮS轉(zhuǎn)發(fā)解析請求,當DNＳ服務器收到客戶端的解析請求后。它一方面會嘗試從其本地數(shù)據(jù)庫中查找,若沒有找到，則需要向其它指定的DNＳ服務器轉(zhuǎn)發(fā)解析請求；其它DＮS服務器完畢解析后會返回解析結(jié)果,轉(zhuǎn)發(fā)DNS服務器將解析結(jié)果緩存在自己的DNS緩存中，并向客戶端返回解析結(jié)果。在緩存期內(nèi)，假如客戶端請求解析相同的名稱，則轉(zhuǎn)發(fā)DNＳ服務器會立即回應客戶端;否則將會再次發(fā)生轉(zhuǎn)發(fā)解析的過程。目前網(wǎng)絡中所有的DNS服務器均被配置為轉(zhuǎn)發(fā)DNS服務器，向指定的其它DNS服務器或根域服務器轉(zhuǎn)發(fā)自己無法解析的請求。

４、惟緩存ＤNＳ服務器?可以提供名稱解析,但其沒有任何本地數(shù)據(jù)庫文獻，惟緩存ＤNS服務器必須同時是轉(zhuǎn)發(fā)ＤＮS服務器,它將客戶端的解析請示轉(zhuǎn)發(fā)給指定的遠程ＤNＳ服務器，并從遠程DＮS服務器取得每次解析的結(jié)果，并將該結(jié)果存儲在DＮS緩存中,以后收到相同的解析請求時就用ＤNS緩存中的結(jié)果。ＤNS服務器都按這種方式使用緩存中的信息,但惟緩存服務器則依賴于這一技術實現(xiàn)所有的名稱解析,惟緩存服務器并不是權威性的服務器，由于它提供的所有信息都是間接信息。

提醒:（１）所有的ＤNS服務器都可以使用DＮS緩存機制響應解析請求，以提供解析效率。（２)一些域的主DNS服務器可以是另一些域的輔助DNS服務器。(3）一個域只能部署一個主DNＳ服務器，它是該域的權威性信息源，另處至少應部署一個輔助DNS服務器，將作為主服務器的備份。（4）配置緩存DNS服務器可以減輕主DNS服務器和輔助ＤＮＳ服務器的負載,從而減少網(wǎng)絡傳輸。

ＤＮＳ名稱解析的查詢模式?1、遞歸查詢:當收到客戶端的遞歸查詢請求后，當前ＤＮS服務器只會向ＤNＳ客戶端返回兩種信息：要么是在該DNS服務器上查詢到的結(jié)果，要么是查詢失敗,假如當前ＤNS服務器中無法解析名稱，它并不會積極告知DNＳ客戶端其它也許的DNＳ服務器,而是自行向其它DNＳ服務器查詢并完畢解析。假如其它DNS服務器解析失敗,則ＤNＳ服務器將向DNS客戶端返回查詢失敗的消息。遞歸即是有來有往。

２、迭代查詢:迭代查詢通常在一臺ＤNS服務器向另一臺ＤNS服務器發(fā)出解析請求時使用。假如當前DNS收到其它ＤNS服務器發(fā)來的迭代查詢請求并且未能在本地查詢到所需要的數(shù)據(jù)，則當前DNS服務器將告訴發(fā)起查詢的ＤNS服務器另一臺DNS服務器的IP地址。然后,再由發(fā)起查詢的DNＳ服務器自行向另一臺DNＳ服務器發(fā)起查詢；依次類推，直到查詢到所需數(shù)據(jù)為止。假如到最后一臺DNＳ服務器仍沒有查到所需數(shù)據(jù),則告知最初發(fā)起查詢的DＮS服務器解析失敗。迭代的意思就是若在某地查不到,該地就會告知查詢者其它地方的地址。讓查詢轉(zhuǎn)到其它地方去查。

DNＳ解析過程

1、DＮS區(qū)域：DＮS服務器是通過區(qū)域來管理，并不是通過域為單位管理的。一臺DNS服務器可以管理一個或多個區(qū)域。而一個區(qū)域也可以由多臺DNS服務器來管理。

２、重要區(qū)域、輔助區(qū)域和存根區(qū)域

(1)重要區(qū)域：一個區(qū)域的重要區(qū)域是建立在該區(qū)域的主DNＳ服務器上,重要區(qū)域的數(shù)據(jù)庫文獻是可讀可寫的,所有針對該區(qū)域的添加、修改和刪除等寫入操作都必須在重要區(qū)域中進行?(2)輔助區(qū)域:一個區(qū)域的輔助區(qū)域建立在該區(qū)域的輔助DＮS服務器上。輔助區(qū)域數(shù)據(jù)庫文獻是重要區(qū)域數(shù)據(jù)庫文獻的副本，需要定期地通過區(qū)域傳輸從重要區(qū)域中復制以獲得更新。輔助區(qū)域的重要作用是均衡DNS解析的負載以提高解析效率,同時提供容錯能力。必要時可將輔助區(qū)域轉(zhuǎn)換為重要區(qū)域。?（３)存根區(qū)域：將在后面介紹。。。

資源記錄?每個區(qū)域數(shù)據(jù)庫文獻都是由資源記錄構成的。重要有：SOA記錄、NS記錄、A記錄、CNAME記錄、ＭX記錄和PＴＲ記錄。?標準的資源記錄具有其基本格式:?[naｍe]

[ttl］

ＩN

ｔｙpｅ

rｄａt(yī)ａ?nａｍｅ:名稱字段，此字段是資源記錄引用的域?qū)ο竺梢允且慌_單獨的主機也可以是整個域。字段值:"．"是根域,@是默認域,即當前域,

tｔｌ：生存時間字段,它以秒為單位定義該資源記錄中的信息存放在DNS緩存中的時間長度。通常此字段值為空,表達采用SOA記錄中的最小TTL值。?IN:此字段用于將當前湖泊記錄標記為一個INTERＮET的DNＳ資源記錄。

TYPE:類型字段,用于標記當前資源記錄的類型。資源記錄類型:Ａ,即是A記錄，也稱為主機記錄,是ＤNＳ名稱到ＩP地址的映射,用于正向解析。CNAＭE:CNAＭE記錄,也是別名記錄,用于定義A記錄的別名。MX：郵件互換器記錄，用于告知郵件服務器進程將郵件發(fā)送到指定的另一臺郵件服務器。(該服務器知道如何將郵件傳送到最終目的地)。NS:NS記錄,用于標記區(qū)域的DNS服務器，即是說負責此DNS區(qū)域的權威名稱服務器，用哪一臺DNS服務器來解析該區(qū)域。一個區(qū)域有也許有多條nｓ記錄,例如ｚ有也許有一個主服務器和多個輔助服務器。PTR:是IP地址到DNS名稱的映射，用于反向解析。SＯＡ:用于一個區(qū)域的開始,SOＡ記錄后的所有信息均是用于控制這個區(qū)域的,每個區(qū)域數(shù)據(jù)庫文獻都必須包谷一個SOA記錄,并且必須是其中的第一個資源記錄，用以標記ＤNS服務器管理的起始位置,SＯA說明能解析這個區(qū)域的dns服務器中哪個是主服務器。?raｄａt(yī)a:數(shù)據(jù)字段用于指定與當前資源記錄有關的數(shù)據(jù),數(shù)據(jù)字段的內(nèi)容取決于類型字段。?

部署主DＮS服務器?安裝DNS服務

?打開配置您的服務器向?qū)?/p>

?下一步?

下一步

?下一步

下一步,便開始安裝。

創(chuàng)建正向重要區(qū)域?

點新建區(qū)域

下一步?

這里選重要區(qū)域

?填寫區(qū)域名稱

這里有兩個選擇，在這里做創(chuàng)建新文獻。

由于這里不是AＤ所以第一項不能選。選不允許動態(tài)更新。??點完畢

?建立好后，可看見已建立好兩個記錄:SOA記錄和ＮS記錄??這里點更改

?可以更改區(qū)域類型,通常在某DNS區(qū)域的主ＤＮS服務器出現(xiàn)故障且短時間內(nèi)無法修復，就需要在輔助DＮS服務器將輔助區(qū)域改為重要區(qū)域,使其成為主DNS服務器。此外，需要將存儲于文本數(shù)據(jù)庫文獻夾的DNＳ區(qū)域存儲到活動目錄,也需要更改。

?點老化便出現(xiàn)上框。??這個是SOA記錄，可看到主服務器,即是本臺服務器名。假如點瀏覽便出現(xiàn)下面。這里的序列號:是該區(qū)域文獻的修訂版本號，每次區(qū)域中的資源記錄發(fā)生改變時，這個數(shù)字就會增長。每次區(qū)域改變時增長這個值非常重要，它使部分區(qū)域改動或完全修改的區(qū)域都可以在后續(xù)傳送中復制到其它輔助ＤＮS服務器上。負責人:管理區(qū)域負責人的電子郵件地址,在該電子郵件名稱中使用英文鐘點(.）代替@.

刷新間隔：是在查詢區(qū)域的來源進行區(qū)域更新之前,輔助DNＳ服務器等待的時間，當刷新間隔到期時，輔助DNS服務器請求主DNS服務器的區(qū)域的當前SOＡ記錄副本。然后,輔助DNS服務器將主DＮS服務器的當前ＳOA記錄的序列號與其本地ＳOＡ記錄的序列號相比較,假如兩者不同，則輔助DNS服務器從主DＮS服務器請求區(qū)域傳輸,默認為900S。

ＴLL:這里是用于指定ＳOA資源記錄的TTL。

?這臺服務器名為MINＧ,記錄類型可以選擇。

如點負責人旁邊的瀏覽,便出現(xiàn)上框。

點名稱服務器,在這里只有一臺服務器為其解析。

點添加，可以添加多個名稱服務器

這里可以使用WINＳ幫助解析。

配置區(qū)域傳輸

點告知。

下面來創(chuàng)建反向區(qū)域

?點新建區(qū)域

?出現(xiàn)向?qū)??選重要區(qū)域??輸入IＰ。??創(chuàng)建新文獻??不允許動態(tài)更新

?點完畢??同樣可看到創(chuàng)建好兩個記錄??同樣可以更改類型?

主服務器也是本臺服務器

?可以添加名稱服務器??這里是反向查找??可允許區(qū)域復制。?注意事項1、配置中新建主機名稱、完全合格的域名,區(qū)域名稱、區(qū)域文獻名稱的區(qū)別２、設立啟用循環(huán)機制可以實現(xiàn)兩臺serｖer服務器負載均衡的查詢。

●試題三(共1５分)【說明】在WindｏwｓSｅrｖer2023中可以采用篩選器來保護DNS通信。某網(wǎng)絡拓撲結(jié)構如圖3-1所示，WWW服務器的域名是www．a(chǎn)ｂc．com，DＮS服務器上安裝ＷindowsSｅrver202３操作系統(tǒng)?！締栴}1】（3分)配置DNS服務器時，在圖3-2所示的對話框中，為WebServe配置記錄時新建區(qū)域的名稱是(１)在圖3-３所示的對話框中,添加的新建主機”名稱”為(2），ＩP地址欄應項入（3）?！締栴}2】(4分）在DNS服務器的“管理工具”中運營管理ＩP篩選器列表,創(chuàng)建一個名為“DＮＳ輸入”的篩選器，用以對客戶端發(fā)來的DNS請求消息進行篩選。在如圖３-4所示的“ＩＰ篩選器向?qū)А敝兄付↖P通信的源地址,下拉框中應選擇(4）；在如圖3-５中指定ＩＰ通信的目的地址，下拉框中應選擇(5）。在圖3-６中源端口項的設立方式為(6)，目的端口項的設立方式為（7）。在篩選器列表配置完畢后，設立“篩選器操作”為“允許”?！締栴}3】（2分）在圖３-7中雙擊“新IＰ安全策略”可查看“DNS輸入”安全規(guī)則,要使規(guī)則生效,在圖3－7中如何配置？【問題4】（6分)在本機Wiｎｄows命令行中輸入(8)一命令可顯示當前ＤＮＳ緩存,如圖３－8所示。“ＲecｏrdTyｐe”字段中的值為４時，存儲的記錄是MX，若“RecoｒdTｙpｅ”字段中的值為2時,存儲的記錄是（9）?？蛻舳嗽谂懦鼶