DNS設定方法(轉)

DNS設定方法(轉)[@more@]

　　以下是最常見的頂級域：

　　com，用於商業組織。

　　edu，用於教育機構。

　　org，用於非贏利組織。

　　net，用於計算機網路組織。

　　gov，用於美國政府組織。

　　兩字母或三字母國家/地區程式碼，如 jp 是日本的程式碼。

　　不同組織的域名在每個頂級域下面相應地分支展開。可以進一步沿樹狀結構細分出組織內各部門的更多域名（稱為子域）。最後，將主機名加在名稱結構的前面構成 FQDN，如“server2.msdn.microsoft.com”。事實上，“msdn.microsoft.com”也是一個 FQDN，它指的是 microsoft.com 中的某個 Web 伺服器群集。

　　DNS 工作原理

　　DNS 是一個分散式資料庫系統，它提供將域名轉換成對應 IP 地址的資訊。這種將名稱轉換成 IP 地址的方法稱為名稱解析。

　　一般來說，每個組織有其自己的 DNS 伺服器，並維護域的名稱對映資料庫記錄或資源記錄。當請求名稱解析時，DNS 伺服器先在自己的記錄中檢查是否有對應的 IP 地址。如果未找到，它就會向其它 DNS 伺服器詢問該資訊。

　　例如，當要求 Web 瀏覽器訪問“msdn.microsoft.com”站點時，它就會透過以下步驟來解析該域名的 IP 地址：

　　Web 瀏覽器呼叫 DNS 客戶端（稱為解析器），並使用上次查詢快取的資訊在本地解析該查詢。

　　如果在本地無法解析查詢，客戶端就會向已知的 DNS 伺服器詢問答案。如果該 DNS 伺服器曾經在特定的時間段內處理過相同的域名（“msdn.microsoft.com“）請求，它就會在快取中檢索相應的 IP 地址，並將它返回給客戶端。

　　如果該 DNS 伺服器找不到相應的地址，客戶端就會向某個全域性根 DNS 伺服器詢問，後者返回頂級域權威 DNS 伺服器的指標。在這種情況下，“com”域權威伺服器的 IP 地址將返回給客戶端。

　　類似地，客戶端向“com”伺服器詢問“microsoft.com”伺服器的地址。然後，客戶端將原始查詢傳到“microsoft.com”伺服器。

　　因為“microsoft.com”伺服器在本地維護“msdn.microsoft.com”域的權威記錄，所以它將最終結果返回給客戶端，並完成特定 IP 地址的查詢。

　　注意，可以將 DNS 資源記錄快取到網路上任意數量的 DNS 伺服器中。第 2 步中提到的 DNS 伺服器可能不包含“msdn.microsoft.com”快取記錄。但是，它可能有“microsoft.com”的記錄，更可能有“com”域的記錄。這可省去客戶端獲得最終結果所需的一次或幾次查詢，從而加快了整個搜尋過程。

　　為了維護 DNS 快取中的最新資訊，快取記錄有一個與資訊關聯的“生存時間”設定（類似於牛奶的保鮮期）。當記錄到期時，必須對它們再次進行搜尋。

　　DNS 資源記錄

　　如前所述，每個 DNS 資料庫都由資源記錄構成。一般來說，資源記錄包含與特定主機有關的資訊，如 IP 地址、主機的所有者或者提供服務的型別。

　　資源記錄型別

　　說明

　　解釋

　　SOA

　　起始授權機構

　　此記錄指定區域的起點。它所包含的資訊有區域名、區域管理員電子郵件地址，以及指示輔 DNS 伺服器如何更新區域資料檔案的設定等。

　　常用的資源記錄型別

　　A 地址 此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。

　　CNAME 標準名稱 此記錄指定標準主機名的別名。

　　MX 郵件交換器 此記錄列出了負責接收發到域中的電子郵件的主機。

　　NS 名稱伺服器 此記錄指定負責給定區域的名稱伺服器。

　　DNS 區域

　　通常，DNS 資料庫可分成不同的相關資源記錄集。其中的每個記錄集稱為區域。區域可以包含整個域、部分域或只是一個或幾個子域的資源記錄。

　　管理某個區域（或記錄集）的 DNS 伺服器稱為該區域的權威名稱伺服器。每個名稱伺服器可以是一個或多個區域的權威名稱伺服器。

　　在域中劃分多個區域的主要目的是為了簡化 DNS 的管理任務，即委派一組權威名稱伺服器來管理每個區域。採用這樣的分散式結構，當域名稱空間不斷擴充套件時，各個域的管理員可以有效地管理各自的子域。

　　有時，區域和域是很難分辨的。

　　區域是域的子集。可以將它看作域名稱空間的某個分支（或子樹）。例如，Microsoft 名稱伺服器可以同時是“microsoft.com”區域、“msdn.microsoft.com”區域和“marketing.microsoft.com”區域的權威名稱伺服器。但是，可以將子域的區域（如“msdn.microsoft.com”）委派給其它專用名稱伺服器管理。如果設定的區域包含整個域的資源記錄，那麼該區域與該域的範圍是相同的。

　　對於 Windows 2000，區域資訊或者以傳統文字檔案格式儲存，或者整合到 Active Directory 資料庫中。稍後，我們將詳細闡述 DNS 與 Active Directory 如何協作。

　　主 DNS 伺服器和輔 DNS 伺服器

　　為保證服務的高可用性，DNS 要求使用多臺名稱伺服器冗餘支援每個區域。

　　某個區域的資源記錄透過手動或自動方式更新到單個主名稱伺服器（稱為主 DNS 伺服器）上。主 DNS 伺服器可以是一個或幾個區域的權威名稱伺服器。

　　其它冗餘名稱伺服器（稱為輔 DNS 伺服器）用作同一區域中主伺服器的備份伺服器，以防主伺服器無法訪問或當機。輔 DNS 伺服器定期與主 DNS 伺服器通訊，確保它的區域資訊保持最新。如果不是最新資訊，輔 DNS 伺服器就會從主伺服器獲取最新區域資料檔案的副本。這種將區域檔案複製到多臺名稱伺服器的過程稱為區域複製。

　　Active Directory 和 DNS 的關係

　　Active Directory 是 Windows 2000 中新增的目錄服務。該服務儲存所有網路資源的資訊，如計算機、共享資料夾、使用者等等。它還透過標準的 Internet 協議（輕量目錄訪問協議，LDAP）將此類資訊提供給使用者和應用程式。有關 Active Directory 的詳細資訊，請參閱 Technet 文章設定 Active Directory 域 。

　　與 Microsoft Windows NT® 4.0 中的域控制器相比，Active Directory 與 DNS 的關係更加密切。實際上，DNS 是支援 Active Directory 所必需的。通常，安裝 Active Directory 伺服器時，如果網路上找不到 DNS 伺服器，就會在安裝過程中安裝 DNS 伺服器。

　　支援域控制器的定位器服務

　　Windows 2000 中最重要的新概念之一就是：計算機不再主要用網路基本輸入/輸出系統 (NetBIOS) 名稱來標識，而是使用 DNS 完全合格的域名稱 (FQDN) 來標識，如“server1.duwamishonline.com”。

　　因此，要登入並訪問 Windows NT 域中的資源，Windows 2000 計算機必須查詢 DNS 伺服器，後者幫助定位 Active Directory 域控制器。換句話說，DNS 用作域控制器的定位器服務。

　　與 Active Directory 整合

　　Windows 2000 DNS 伺服器的另一個重要功能是：DNS 區域可以整合到 Active Directory 中，以提供增強的容錯和安全功能。每個與 Active Directory 整合的區域將自動複製到 Active Directory 域的所有域控制器中。

　　不過，仍可以將 Windows 2000 DNS 伺服器配置為基於傳統檔案的 DNS 伺服器。但是，要提供 DNS 服務容錯功能，除主 DNS 伺服器外，還必須手動安裝輔 DNS 伺服器。

　　配置 Duwamish Online 的 DNS 服務

　　Duwamish Online 要求使用外部和內部域名稱解析。

　　在外部，DNS 服務將“”解析為 Web 伺服器的 IP 地址。Duwamish Online 應用程式使用內部名稱解析來解析伺服器的名稱。要從 COM+ 列隊元件 (QC) 訪問訊息佇列 (MSMQ) 公共佇列，必須使用 Active Directory，而後者又要求使用 DNS。有關 MSMQ 和網路體系結構的詳細資訊，請參閱 Duwamish Online Message Queuing Configuration 上的文章 。

　　在 Windows 2000 中安裝 DNS 服務相對比較簡單。但是，外部和內部 DNS 資訊的安全要求是不同的。在本節中，我們將討論這些安全問題和可能的解決方案。我們將討論（訊息佇列配置使用的）Active Directory 服務與 Duwamish Online Web 群中 DNS 之間的關係。還要告訴您如何註冊域名，如何安裝帶有 Windows 2000 的 DNS 伺服器。

　　公用和專用 DNS 資訊的安全問題

　　最初，我們安裝了兩臺 DNS 伺服器：一臺主 DNS 伺服器和一臺用於冗餘的輔 DNS 伺服器。在這些 DNS 伺服器中設定了兩個區域：一個用於外部 Internet 域“DuwamishOnline.com”，另一個用於內部域“InternalDomain.com”。

　　如前所述，安裝用於內部域的 DNS 伺服器是 Windows 2000 Active Directory 域的新要求。使用該原始配置，將 DNS 伺服器同時設定為內部域和外部域的“多主”，例如，外部網路介面卡 (NIC) 的 IP 地址為 192.168.100.1，內部 NIC 的 IP 地址為 10.10.10.1。

　　允許 Internet 使用者向伺服器查詢外部區域。但是，因為同一 DNS 伺服器同時管理外部和內部區域，所以外部使用者也可以向伺服器查詢內部區域。Internet 使用者可以使用基本網路工具（如名稱服務搜尋，NSLookup）訪問所有內部域 DNS 資訊。

　　理論上，無法將任何網路資料包路由到內部域，直接攻擊內部伺服器。但是，向外界洩露的內部資訊越少，操作的安全性越高。這可防止他人利用後端伺服器（此處儲存重要業務資訊）的潛在漏洞，進一步竊取機密資訊。

　　DNS 部署的解決方案

　　下面列出了一些解決原始配置安全問題的方案：?

　　兩個域/區域使用各自的 DNS 伺服器。

　　由 Internet 服務提供商 (ISP) 託管外部 DNS。

　　將兩個區域放在一臺伺服器中，並用正確的訪問控制配置 Active Directory。

　　使用各自的 DNS 伺服器

　　解決安全問題的一種方法是使用兩臺單獨的 DNS 伺服器將兩個區域的 DNS 操作分開，一個放在公共網段，另一個僅用於內部 DNS 查詢。

　　但是，對於小型 Web 操作，並不希望再多管理一臺伺服器。實際上，根據一般建議所述，每個區域至少配置兩臺權威名稱伺服器，那麼我們需要安裝四臺 DNS 伺服器為兩個域（帶有主 DNS 伺服器