DNS設定方法(轉)
DNS設定方法(轉)[@more@] 以下是最常見的頂級域: com,用於商業組織。 edu,用於教育機構。 org,用於非贏利組織。 net,用於計算機網路組織。 gov,用於美國政府組織。 兩字母或三字母國家/地區程式碼,如 jp 是日本的程式碼。 不同組織的域名在每個頂級域下面相應地分支展開。可以進一步沿樹狀結構細分出組織內各部門的更多域名(稱為子域)。最後,將主機名加在名稱結構的前面構成 FQDN,如“server2.msdn.microsoft.com”。事實上,“msdn.microsoft.com”也是一個 FQDN,它指的是 microsoft.com 中的某個 Web 伺服器群集。 DNS 工作原理 DNS 是一個分散式資料庫系統,它提供將域名轉換成對應 IP 地址的資訊。這種將名稱轉換成 IP 地址的方法稱為名稱解析。 一般來說,每個組織有其自己的 DNS 伺服器,並維護域的名稱對映資料庫記錄或資源記錄。當請求名稱解析時,DNS 伺服器先在自己的記錄中檢查是否有對應的 IP 地址。如果未找到,它就會向其它 DNS 伺服器詢問該資訊。 例如,當要求 Web 瀏覽器訪問“msdn.microsoft.com”站點時,它就會透過以下步驟來解析該域名的 IP 地址: Web 瀏覽器呼叫 DNS 客戶端(稱為解析器),並使用上次查詢快取的資訊在本地解析該查詢。 如果在本地無法解析查詢,客戶端就會向已知的 DNS 伺服器詢問答案。如果該 DNS 伺服器曾經在特定的時間段內處理過相同的域名(“msdn.microsoft.com“)請求,它就會在快取中檢索相應的 IP 地址,並將它返回給客戶端。 如果該 DNS 伺服器找不到相應的地址,客戶端就會向某個全域性根 DNS 伺服器詢問,後者返回頂級域權威 DNS 伺服器的指標。在這種情況下,“com”域權威伺服器的 IP 地址將返回給客戶端。 類似地,客戶端向“com”伺服器詢問“microsoft.com”伺服器的地址。然後,客戶端將原始查詢傳到“microsoft.com”伺服器。 因為“microsoft.com”伺服器在本地維護“msdn.microsoft.com”域的權威記錄,所以它將最終結果返回給客戶端,並完成特定 IP 地址的查詢。 注意,可以將 DNS 資源記錄快取到網路上任意數量的 DNS 伺服器中。第 2 步中提到的 DNS 伺服器可能不包含“msdn.microsoft.com”快取記錄。但是,它可能有“microsoft.com”的記錄,更可能有“com”域的記錄。這可省去客戶端獲得最終結果所需的一次或幾次查詢,從而加快了整個搜尋過程。 為了維護 DNS 快取中的最新資訊,快取記錄有一個與資訊關聯的“生存時間”設定(類似於牛奶的保鮮期)。當記錄到期時,必須對它們再次進行搜尋。 DNS 資源記錄 如前所述,每個 DNS 資料庫都由資源記錄構成。一般來說,資源記錄包含與特定主機有關的資訊,如 IP 地址、主機的所有者或者提供服務的型別。 資源記錄型別 說明 解釋 SOA 起始授權機構 此記錄指定區域的起點。它所包含的資訊有區域名、區域管理員電子郵件地址,以及指示輔 DNS 伺服器如何更新區域資料檔案的設定等。 常用的資源記錄型別 A 地址 此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。 CNAME 標準名稱 此記錄指定標準主機名的別名。 MX 郵件交換器 此記錄列出了負責接收發到域中的電子郵件的主機。 NS 名稱伺服器 此記錄指定負責給定區域的名稱伺服器。 DNS 區域 通常,DNS 資料庫可分成不同的相關資源記錄集。其中的每個記錄集稱為區域。區域可以包含整個域、部分域或只是一個或幾個子域的資源記錄。 管理某個區域(或記錄集)的 DNS 伺服器稱為該區域的權威名稱伺服器。每個名稱伺服器可以是一個或多個區域的權威名稱伺服器。 在域中劃分多個區域的主要目的是為了簡化 DNS 的管理任務,即委派一組權威名稱伺服器來管理每個區域。採用這樣的分散式結構,當域名稱空間不斷擴充套件時,各個域的管理員可以有效地管理各自的子域。 有時,區域和域是很難分辨的。 區域是域的子集。可以將它看作域名稱空間的某個分支(或子樹)。例如,Microsoft 名稱伺服器可以同時是“microsoft.com”區域、“msdn.microsoft.com”區域和“marketing.microsoft.com”區域的權威名稱伺服器。但是,可以將子域的區域(如“msdn.microsoft.com”)委派給其它專用名稱伺服器管理。如果設定的區域包含整個域的資源記錄,那麼該區域與該域的範圍是相同的。 對於 Windows 2000,區域資訊或者以傳統文字檔案格式儲存,或者整合到 Active Directory 資料庫中。稍後,我們將詳細闡述 DNS 與 Active Directory 如何協作。 主 DNS 伺服器和輔 DNS 伺服器 為保證服務的高可用性,DNS 要求使用多臺名稱伺服器冗餘支援每個區域。 某個區域的資源記錄透過手動或自動方式更新到單個主名稱伺服器(稱為主 DNS 伺服器)上。主 DNS 伺服器可以是一個或幾個區域的權威名稱伺服器。 其它冗餘名稱伺服器(稱為輔 DNS 伺服器)用作同一區域中主伺服器的備份伺服器,以防主伺服器無法訪問或當機。輔 DNS 伺服器定期與主 DNS 伺服器通訊,確保它的區域資訊保持最新。如果不是最新資訊,輔 DNS 伺服器就會從主伺服器獲取最新區域資料檔案的副本。這種將區域檔案複製到多臺名稱伺服器的過程稱為區域複製。 Active Directory 和 DNS 的關係 Active Directory 是 Windows 2000 中新增的目錄服務。該服務儲存所有網路資源的資訊,如計算機、共享資料夾、使用者等等。它還透過標準的 Internet 協議(輕量目錄訪問協議,LDAP)將此類資訊提供給使用者和應用程式。有關 Active Directory 的詳細資訊,請參閱 Technet 文章設定 Active Directory 域 。 與 Microsoft Windows NT® 4.0 中的域控制器相比,Active Directory 與 DNS 的關係更加密切。實際上,DNS 是支援 Active Directory 所必需的。通常,安裝 Active Directory 伺服器時,如果網路上找不到 DNS 伺服器,就會在安裝過程中安裝 DNS 伺服器。 支援域控制器的定位器服務 Windows 2000 中最重要的新概念之一就是:計算機不再主要用網路基本輸入/輸出系統 (NetBIOS) 名稱來標識,而是使用 DNS 完全合格的域名稱 (FQDN) 來標識,如“server1.duwamishonline.com”。 因此,要登入並訪問 Windows NT 域中的資源,Windows 2000 計算機必須查詢 DNS 伺服器,後者幫助定位 Active Directory 域控制器。換句話說,DNS 用作域控制器的定位器服務。 與 Active Directory 整合 Windows 2000 DNS 伺服器的另一個重要功能是:DNS 區域可以整合到 Active Directory 中,以提供增強的容錯和安全功能。每個與 Active Directory 整合的區域將自動複製到 Active Directory 域的所有域控制器中。 不過,仍可以將 Windows 2000 DNS 伺服器配置為基於傳統檔案的 DNS 伺服器。但是,要提供 DNS 服務容錯功能,除主 DNS 伺服器外,還必須手動安裝輔 DNS 伺服器。 配置 Duwamish Online 的 DNS 服務 Duwamish Online 要求使用外部和內部域名稱解析。 在外部,DNS 服務將“”解析為 Web 伺服器的 IP 地址。Duwamish Online 應用程式使用內部名稱解析來解析伺服器的名稱。要從 COM+ 列隊元件 (QC) 訪問訊息佇列 (MSMQ) 公共佇列,必須使用 Active Directory,而後者又要求使用 DNS。有關 MSMQ 和網路體系結構的詳細資訊,請參閱 Duwamish Online Message Queuing Configuration 上的文章 。 在 Windows 2000 中安裝 DNS 服務相對比較簡單。但是,外部和內部 DNS 資訊的安全要求是不同的。在本節中,我們將討論這些安全問題和可能的解決方案。我們將討論(訊息佇列配置使用的)Active Directory 服務與 Duwamish Online Web 群中 DNS 之間的關係。還要告訴您如何註冊域名,如何安裝帶有 Windows 2000 的 DNS 伺服器。 公用和專用 DNS 資訊的安全問題 最初,我們安裝了兩臺 DNS 伺服器:一臺主 DNS 伺服器和一臺用於冗餘的輔 DNS 伺服器。在這些 DNS 伺服器中設定了兩個區域:一個用於外部 Internet 域“DuwamishOnline.com”,另一個用於內部域“InternalDomain.com”。 如前所述,安裝用於內部域的 DNS 伺服器是 Windows 2000 Active Directory 域的新要求。使用該原始配置,將 DNS 伺服器同時設定為內部域和外部域的“多主”,例如,外部網路介面卡 (NIC) 的 IP 地址為 192.168.100.1,內部 NIC 的 IP 地址為 10.10.10.1。 允許 Internet 使用者向伺服器查詢外部區域。但是,因為同一 DNS 伺服器同時管理外部和內部區域,所以外部使用者也可以向伺服器查詢內部區域。Internet 使用者可以使用基本網路工具(如名稱服務搜尋,NSLookup)訪問所有內部域 DNS 資訊。 理論上,無法將任何網路資料包路由到內部域,直接攻擊內部伺服器。但是,向外界洩露的內部資訊越少,操作的安全性越高。這可防止他人利用後端伺服器(此處儲存重要業務資訊)的潛在漏洞,進一步竊取機密資訊。 DNS 部署的解決方案 下面列出了一些解決原始配置安全問題的方案:? 兩個域/區域使用各自的 DNS 伺服器。 由 Internet 服務提供商 (ISP) 託管外部 DNS。 將兩個區域放在一臺伺服器中,並用正確的訪問控制配置 Active Directory。 使用各自的 DNS 伺服器 解決安全問題的一種方法是使用兩臺單獨的 DNS 伺服器將兩個區域的 DNS 操作分開,一個放在公共網段,另一個僅用於內部 DNS 查詢。 但是,對於小型 Web 操作,並不希望再多管理一臺伺服器。實際上,根據一般建議所述,每個區域至少配置兩臺權威名稱伺服器,那麼我們需要安裝四臺 DNS 伺服器為兩個域(帶有主 DNS 伺服器
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10783465/viewspace-959804/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- dns設定哪個最好最快 最快最穩定的dnsDNS
- 手動設定ip地址和dns ip地址和dns怎麼設定DNS
- Win10系統下電腦設定DNS地址的方法 電腦的DNS怎麼設定才能上網?Win10DNS
- win10 最優dns如何設定_win10設定最優dns步驟Win10DNS
- 環境變數的設定方法(轉)~變數
- debian 12設定靜態ip、dnsDNS
- 192.168.1.1的首選dns 手動設定IP地址和DNSDNS
- win10 dns設定在哪裡_window10最快dns怎麼設定Win10DNS
- 如何使用 bind 設定 DNS 伺服器DNS伺服器
- Ubuntu系統設定IP地址、閘道器、DNSUbuntuDNS
- linux設定埠轉發(一鍵設定)Linux
- 浮點數轉換為String字串(可設定精度)方法字串
- 解析最快的dns 最快最穩定的dnsDNS
- 伺服器:Ubuntu設定IP地址、閘道器、DNS伺服器UbuntuDNS
- 微信轉錯賬撤回設定方法 微信轉錯了錢怎麼撤回?
- CSocket設定超時(轉)
- Java 設定睡眠的方法Java
- javascript設定width的方法JavaScript
- IDEA 設定方法分割線Idea
- 中科三方:DNS解析如何設定合適的TTL值?DNS
- webp格式轉換成jpg怎麼設定 電腦webp線上轉換jpg方法介紹Web
- 轉:DNS解析過程詳解DNS
- dns劫持怎麼解決 dns劫持的解決方法DNS
- conda 源設定方法總結
- Python requests設定代理的方法Python
- MySQL字元編碼設定方法MySql字元
- windows遠端桌面設定,windows遠端桌面設定的方法Windows
- word分欄怎麼設定 word設定分欄的方法
- 印表機的埠如何設定 設定印表機埠的方法
- word底紋怎麼設定 設定word底紋的方法
- 域名被牆、dns劫持汙染、都有什麼方法、防止域名被牆dns劫持汙染方法DNS
- 伺服器dns怎麼設定 伺服器遠端登入教程伺服器DNS
- win10投影設定方法_win10怎麼設定投影Win10
- win10風扇轉速怎麼調節 windows10中控制風扇轉速設定方法Win10Windows
- Word設定樣式快捷鍵(轉載)
- 設定 SSH 隧道(埠轉發)實戰
- [轉載] PyCharm、CLion 的設定和使用PyCharm
- PbootCMS模板安全設定與加固方法boot
- 伺服器的安全設定方法伺服器