DNS與DHCP的安裝與配置課件

DNS和DHCP伺服器的

安裝與配置

DNS和DHCP伺服器的安

裝與配置DNS主要作用

DNS伺服器用於解析網(wǎng)路電腦名稱，它是進(jìn)行網(wǎng)路訪問的前提，否則網(wǎng)路的電腦相互之間不能正確識(shí)別DNS查詢?cè)?/p>

DNS分為Client和Server，Client扮演發(fā)問的角色，也就是問Server一個(gè)Domain

Name，而Server必須要回答此Domain

Name的真正IP地址。而當(dāng)?shù)氐腄NS先會(huì)查自己的資料庫。如果自己的資料庫沒有，則會(huì)往該DNS上所設(shè)的的DNS詢問，依此得到答案之後，將收到的答案存起來，並回答客戶。

DNS和DHCP伺服器的安

裝與配置舉例

1.客戶端向伺服器提出查詢專案﹔

2.當(dāng)被詢問到有關(guān)本功能變數(shù)名稱之內(nèi)的主機(jī)名稱的時(shí)候﹐DNS伺服器會(huì)直接做出回答﹔

3.如果所查詢的主機(jī)名稱屬於其他功能變數(shù)名稱的話﹐會(huì)檢查快取Cache,看看有沒有相關(guān)資料﹔

DNS和DHCP伺服器的安

裝與配置

4.如果沒有發(fā)現(xiàn)﹐則會(huì)轉(zhuǎn)向root伺服器查詢﹔

5.然後root伺服器會(huì)將該功能變數(shù)名稱之下一層授權(quán)伺服器的位址告知(可能會(huì)超過一臺(tái))﹔

6.本地伺服器然後會(huì)向其中的一臺(tái)伺服器查詢﹐並將這些伺服器名單存到Cache中﹐以備將來之需(省卻再向root查詢的步驟)﹔

7.遠(yuǎn)方伺服器回應(yīng)查詢﹔

DNS和DHCP伺服器的安

裝與配置8.若該回應(yīng)並非最後一層的答案，則繼續(xù)往下一層查詢，直到獲的客戶端所查詢的結(jié)果為止﹔

9.將查詢結(jié)果回應(yīng)給客戶端﹐並同時(shí)將結(jié)果儲(chǔ)存一個(gè)備份在自己的快取Cache裏面

10.如果在存放時(shí)間尚未過時(shí)之前再接到相同的查詢﹐則以存放於快取記憶裏面的資料來做回應(yīng)。

從這個(gè)過程我們可以看出﹐沒有任何一臺(tái)DNS主機(jī)會(huì)包含所有功能變數(shù)名稱的DNS資料﹐資料都是分散在全部的DNS伺服器中﹐而NIC只需知道各DNS伺服器位址就可以了。

DNS和DHCP伺服器的安

裝與配置DNS安裝步驟第1步，依次單擊“開始/管理工具/配置您的伺服器嚮導(dǎo)”，在打開的嚮導(dǎo)頁中依次單擊“下一步”按鈕。配置嚮導(dǎo)自動(dòng)檢測(cè)所有網(wǎng)路連接的設(shè)置情況，若沒有發(fā)現(xiàn)問題則進(jìn)入“伺服器角色”嚮導(dǎo)頁。

第2步，在“伺服器角色”列表中單擊“DNS伺服器”選項(xiàng)，並單擊“下一步”按鈕。第3步，打開“選擇總結(jié)”嚮導(dǎo)頁，如果列表中出現(xiàn)“安裝DNS伺服器”和“運(yùn)行配置DNS伺服器嚮導(dǎo)來配置DNS”，則直接單擊“下一步”按鈕。否則單擊“上一步”按鈕重新配置。

DNS和DHCP伺服器的安

裝與配置第4步，系統(tǒng)開始安裝、配置與DNS伺服器有關(guān)的組件，出現(xiàn)“歡迎使用配置DNS伺服器嚮導(dǎo)”對(duì)話框，點(diǎn)擊“DNS清單”按鈕可以查看配置DNS伺服器的全部選項(xiàng)，單擊“下一步”。第5步，打開“選擇配置操作”對(duì)話框選擇要?jiǎng)?chuàng)建的DNS伺服器的查找區(qū)域。一般小型網(wǎng)路只需配置正向查找區(qū)域，而對(duì)較複雜的大中型網(wǎng)路來說則需要同時(shí)創(chuàng)建正向查找與反向查找區(qū)域，以提高查找效率。最後一項(xiàng)“只配置根提示”，表示此時(shí)不配置查找區(qū)域，以後再創(chuàng)建，並且這項(xiàng)一般與域控制器一起安裝。選擇好後單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置第6步，打開“正向查找區(qū)域”嚮導(dǎo)頁。提示用戶選擇是否現(xiàn)在就要?jiǎng)?chuàng)建正向查找區(qū)域，選擇“是，創(chuàng)建正向查找區(qū)域”並單擊“下一步”按鈕

第7步，打開“區(qū)域類型”嚮導(dǎo)頁，“主要區(qū)域”是在本伺服器中創(chuàng)建一個(gè)可以直接更新的區(qū)域，“輔助區(qū)域”是用於保存在另一個(gè)伺服器上的區(qū)域副本，幫助住區(qū)域伺服器平衡處理工作，提供容錯(cuò)。如果希望DNS伺服器瞭解它委派給另一個(gè)DNS伺服器子區(qū)域所添加的所有DNS伺服器，則選擇“存根區(qū)域”。選擇好後單擊“下一步”按鈕。

DNS和DHCP伺服器的安

裝與配置第8步，打開“區(qū)域名稱”嚮導(dǎo)頁，在“區(qū)域名稱”編輯框中鍵入一個(gè)能反映公司資訊的區(qū)域名稱(如“”)，若要與域控制器的DNS伺服器協(xié)同工作，則要輸入根功能變數(shù)名稱稱，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第9步，在打開的“區(qū)域檔”嚮導(dǎo)頁中已經(jīng)根據(jù)區(qū)域名稱默認(rèn)填入了一個(gè)檔案名。該檔是一個(gè)ASCII文本檔，裏面保存著該區(qū)域的資訊，默認(rèn)情況下保存在“windowssystem32.dns”檔夾中。第10步，在打開的“動(dòng)態(tài)更新”嚮導(dǎo)頁中指定該DNS區(qū)域能夠接受的註冊(cè)資訊更新類型。為了安全起見，因此點(diǎn)選“不允許動(dòng)態(tài)更新”單選框，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第11步，此時(shí)打開“反向查找區(qū)域”，開始創(chuàng)建反向查找區(qū)域，當(dāng)然我們要?jiǎng)?chuàng)建了，因此選擇“是，創(chuàng)建反向查找區(qū)域”，單擊“下一步”。第12步，打開“區(qū)域類型”嚮導(dǎo)頁，與正向查找區(qū)域一樣，選擇好後單擊“下一步”按鈕。第13步，打開“反向查找區(qū)域名稱”嚮導(dǎo)頁，因?yàn)榉聪虿檎沂菑腎P地址來解析電腦名，所以要指定反向查找區(qū)域的網(wǎng)路ID，將網(wǎng)路ID填好後單擊“下一步”按鈕第14步，在打開的“動(dòng)態(tài)更新”嚮導(dǎo)頁，與正向查找區(qū)域一樣，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第15步，打開“轉(zhuǎn)發(fā)器”嚮導(dǎo)頁，保持“是，應(yīng)當(dāng)將查詢轉(zhuǎn)送到有下列IP地址的DNS伺服器上”單選框的選中狀態(tài)。在IP地址編輯框中鍵入ISP(或上級(jí)DNS伺服器)提供的DNS伺服器IP地址，單擊“下一步”按鈕。第16步，單擊“完成”按鈕，完成DNS伺服器的安裝。

DNS和DHCP伺服器的安

裝與配置DNS的安全配置DNS伺服器的安全問題DNS的安全隱患描述DNS名稱空間

將DNS安全性融入DNS名稱空間設(shè)計(jì)DNS伺服器服務(wù)

當(dāng)DNS伺服器服務(wù)在域控制器上運(yùn)行時(shí)，查看默認(rèn)DNS伺服器服務(wù)安全設(shè)置，並應(yīng)用ActiveDirectory安全功能DNS區(qū)域

在域控制器上主持DNS區(qū)域時(shí)，查看默認(rèn)DNS區(qū)域安全設(shè)置，並應(yīng)用ActiveDirectory安全功能DNS資源記錄

在域控制器上主持DNS資源記錄時(shí)，查看默認(rèn)DNS資源記錄安全設(shè)置，並應(yīng)用ActiveDirectory安全功能DNS客戶端

控制DNS客戶端使用的DNS伺服器IP地址

DNS和DHCP伺服器的安

裝與配置安全配置方法1、保護(hù)DNS伺服器服務(wù)（1）查看並配置影響安全性的默認(rèn)DNS伺服器服務(wù)配置A、在DNS伺服器上執(zhí)行開始管理工具DNS。打開DNS控制臺(tái)，在DNS伺服器上右擊，選擇“屬性”選項(xiàng)。B、選擇“介面”選項(xiàng)卡，單擊“只在下列IP地址”，添加允許偵聽的IP地址。C、單擊“高級(jí)”選項(xiàng)卡，將“保護(hù)緩存防止污染”和“禁用遞歸”選中。

DNS和DHCP伺服器的安

裝與配置D、選擇“根提示”標(biāo)籤，單擊“添加”按鈕，將指定要添加到該列表的伺服器的名稱和IP地址輸入列表中，（2）在管理域控制器上運(yùn)行的DNS伺服器上隨機(jī)訪問列表（DACL）組或用戶名許可權(quán)Administrators讀取、寫入、創(chuàng)建所有子對(duì)象、特殊許可權(quán)AuthenticatedUsers讀取、特殊許可權(quán)CreatorOwner特殊許可權(quán)DnsAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象、特殊許可權(quán)DomainAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象EnterpriseAdmins完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象EnterpriseDomainControllers特殊許可權(quán)Pre-Windows2000CompatibleAccess特殊許可權(quán)System完全控制、讀取、寫入、創(chuàng)建所有子對(duì)象、刪除子對(duì)象

DNS和DHCP伺服器的安

裝與配置A、在域控制器上以系統(tǒng)管理員身份登錄，執(zhí)行開始管理工具ActiveDirectory用戶和電腦，打開管理單元控制臺(tái)。B、執(zhí)行查看高級(jí)功能，然後在要對(duì)其指派、更改或刪除許可權(quán)的對(duì)象上右擊，在彈出菜單中選擇“屬性”，在打開的對(duì)話框中選擇“安全”標(biāo)籤。C、在“組或用戶名稱”列表中選擇組名或用戶名，按照適合的許可權(quán)設(shè)置組或用戶的許可權(quán)。如果遇到因許可權(quán)繼承而不能更改時(shí)，單擊“高級(jí)”按鈕，打開“Users的高級(jí)安全設(shè)置”對(duì)話框，在其中的“許可權(quán)”選項(xiàng)卡中選擇對(duì)應(yīng)的用戶許可權(quán)選項(xiàng)，然後單擊“編輯”按鈕重新配置用戶許可權(quán)。

DNS和DHCP伺服器的安

裝與配置D、如果想去掉從上級(jí)目錄繼承來的許可權(quán)的許可權(quán)設(shè)置，可取消“Users的高級(jí)安全設(shè)置”對(duì)話框中的“允許父域的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象，包括那些在此明確定義的專案（A）”複選框。E、如果想要添加配置新用戶對(duì)象的訪問許可權(quán)，則可在“Users的高級(jí)安全設(shè)置”對(duì)話框中單擊“添加”按鈕，打開“選擇用戶、電腦或組”對(duì)話框，在其中的“輸入對(duì)象名稱來選擇”文本框中直接輸入要添加與DNS伺服器服務(wù)有關(guān)的用戶或組名，然後單擊“確定”按鈕即可。

DNS和DHCP伺服器的安

裝與配置2保護(hù)DNS區(qū)域（1）配置安全的動(dòng)態(tài)更新。A、在域控制器上的DNS伺服器控制臺(tái)中的DNS名稱上右擊，彈出的快捷菜單中選擇“屬性”選項(xiàng)，然後選擇“常規(guī)”標(biāo)籤。B、在“動(dòng)態(tài)更新”下拉列表框中選擇“安全”選項(xiàng)即可。（2）管理ActiveDirectory中存儲(chǔ)的DNS區(qū)域上的DACL。配置方法與DNS伺服器用戶許可權(quán)配置一樣。

DNS和DHCP伺服器的安

裝與配置（3）限制區(qū)域傳輸在域控制器上的DNS伺服器控制臺(tái)的區(qū)域?qū)傩詫?duì)話框“區(qū)域複製”選項(xiàng)卡中配置，將允許的DNS伺服器IP地址添加進(jìn)去。3保護(hù)DNS資源記錄保護(hù)DNS資源記錄也就是對(duì)DACL做好適當(dāng)?shù)脑O(shè)置，配置方法與“保護(hù)DNS區(qū)域”中的安全動(dòng)態(tài)更新許可權(quán)配置類似。

DNS和DHCP伺服器的安

裝與配置4保證DNS客戶端的安全（1）客戶端使用靜態(tài)的首選和備用DNS伺服器IP地址。（2）控制那些DNS客戶端擁有DNS伺服器訪問許可權(quán)。

DNS和DHCP伺服器的安

裝與配置二、配製成DHCP伺服器

1.在“管理您的伺服器”頁中，單擊“添加或刪除角色”。注意：如果關(guān)閉了“管理伺服器”頁，則可以從“管理工具”中啟動(dòng)“配置您的伺服器嚮導(dǎo)”。如果選擇該選項(xiàng)，以下步驟可能會(huì)略有不同。2.在出現(xiàn)“配置您的伺服器嚮導(dǎo)”後，單擊“下一步”。3.單擊“自定義配置”，然後單擊“下一步”。4.在“伺服器角色”下麵，單擊“DHCP伺服器”，然後單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置5.檢查“選擇總結(jié)”，然後單擊“下一步”開始安裝。6.在出現(xiàn)“新建作用域嚮導(dǎo)”後，單擊“下一步”定義DHCP作用域。7.對(duì)於“名稱”，鍵入“ContosoHQ”。將“描述”保留為空，然後單擊“下一步”。8.輸入“0”作為“起始IP地址”；輸入“54”作為“結(jié)束IP地址”。單擊“下一步”。9.此時(shí)不定義排除。單擊“下一步”繼續(xù)安裝。10.要接受默認(rèn)的“租約期限”，請(qǐng)單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置11.要設(shè)置“DHCP選項(xiàng)”，請(qǐng)單擊“下一步”。12.在“路由器（默認(rèn)網(wǎng)關(guān)）”螢?zāi)簧?，鍵入“”作為“IP地址”，單擊“添加”，然後單擊“下一步”。13.對(duì)於“功能變數(shù)名稱稱和DNS伺服器”螢?zāi)恢械摹案赣颉保I入“”。對(duì)於“IP地址”，鍵入“”，單擊“添加”，然後單擊“下一步”。14.如果該環(huán)境中不使用“WINS伺服器”，請(qǐng)單擊“下一步”。15.在“啟動(dòng)作用域”中，單擊“下一步”。16.單擊“完成”兩次。17.關(guān)閉“管理您的伺服器”螢?zāi)弧?/p>

DNS和DHCP伺服器的安

裝與配置在DHCP伺服器上創(chuàng)建超級(jí)作用域在一臺(tái)DHCP伺服器上可以有多個(gè)作用域，在同一個(gè)物理網(wǎng)段中管理不同的邏輯IP網(wǎng)路。此時(shí)，我們可以創(chuàng)建一個(gè)超級(jí)作用域，把這些作用域作為成員作用域進(jìn)行管理。同時(shí)，在一個(gè)DHCP伺服器中可以創(chuàng)建多個(gè)超級(jí)作用域。

DNS和DHCP伺服器的安

裝與配置創(chuàng)建步驟A、在DHCP伺服器控制臺(tái)中右擊DHCP伺服器名，在彈出菜單中選擇“新建超級(jí)作用域”，打開“歡迎使用創(chuàng)建超級(jí)作用域嚮導(dǎo)”對(duì)話框。B、單擊“下一步”，打開“超級(jí)作用功能變數(shù)名稱”嚮導(dǎo)頁，輸入一個(gè)標(biāo)識(shí)名稱。C、單擊“下一步”，打開“選擇作用域”嚮導(dǎo)頁，選擇成員作用域。

D、單擊“下一步”，打開嚮導(dǎo)完成對(duì)話框，並按“完成”按鈕。注：超級(jí)作用域後想把作用域加入的方法：在DHCP伺服器控制臺(tái)中選擇打算要加入超級(jí)作用域的作用域，執(zhí)行操作添加到超級(jí)作用域。

DNS和DHCP伺服器的安

裝與配置實(shí)驗(yàn)五實(shí)驗(yàn)名稱：DNS伺服器的安裝實(shí)驗(yàn)?zāi)康模?．瞭解DNS的查詢?cè)怼?/p>

2．掌握DNS伺服器的安裝與配置。

3．瞭解DNS伺服器的安全配置。

實(shí)驗(yàn)環(huán)境：1、兩臺(tái)裝windowsserver2003的server，其中一臺(tái)