DNS服務器全攻略之一 ：規劃和部署 TCP/IP協議通信是基于IP地址的，但是，誰會記住那一串單調的數字呢？因此，大家基本上都是通過訪問計算機名字，然后通過某種機制將計算機名字解析為IP地址來實現。而DNS就是一種標準的名字解析機制，在Windows 2000及以后的Windows系統中，DNS名字解析是首選的名字解析方式。 DNS域名是以層次樹狀結構進行管理的，又稱為DNS命名空間。DNS命名空間具有一個唯一的根域，并且每一個根域可以具有多個子域，而每一個子域又可以擁有多個子域。例如，Internet命名空間具有多個頂級域名（top-level domain names，簡稱TLD），例如ORG、COM。而ORG頂級域名可以具有多個子域，如winsvr、isacn等等，而winsvr子域又可以具有多個子域，例如tech、info等等，而tech又可以擁有多個子域。對于某一個組織而言，可以創建自己私有的DNS命名空間，不過對于Internet而言，這些私有的DNS命名空間是不可見的。 DNS命名空間中的每一個節點都可以通過完全限定域名（FQDN）來識別。FQDN是一種清楚的描述此節點和DNS命名空間中根域的關系的DNS名字。例如WinSVR.ORG的Web服務器為 ，它是通過使用英文句點“.”連接主機名www和域名后綴組成，其中英文句點“.”是用于連接FQDN中每一節的標準連接符，而winsvr代表組織名稱，org代表頂級域。公司或組織名稱可以具有多節，例如域名可以為，但是完全限定域名總長度不能超過255字節。 Internet命名空間 Internet命名空間的頂級域由ICANN管理，除了為每個國家和部分地區保留的頂級域（例如中國是CN）外，ICANN還創建了以下頂級域（截止到2005年11月）： .aero .biz .com .coop .edu .gov .info .int .jobs .mil .museum .name .net .org .pro .travel 更詳細的信息請參見ICANN:Registry Listing /registries/listing.html. 和Internet命名空間相對應，根據你的需要，你可以創建自己的私有根域和相應的子域，它和Internet命名空間獨立，并且對于Internet而言不可見。例如，常見的私有域名如mycompany.local等等。DNS組件 完整的DNS系統由DNS服務器、區域、解析器（DNS客戶端）和資源記錄組成，并且你需要正確的進行配置。DNS協議采用UDP/TCP 53端口進行通訊：DNS服務器偵聽UDP/TCP 53端口，DNS客戶端通過向服務器的這兩個端口發起連接進行DNS協議通訊。其中UDP 53端口主要用于答復DNS客戶端的解析請求，而TCP 53端口用于區域復制。 DNS服務器 運行DNS服務器軟件的計算機。常見的DNS服務器軟件有Windows的DNS服務器和Unix下的BIND。一個DNS服務器包含了部分DNS命名空間的數據信息，當DNS客戶發起解析請求時，DNS服務器答復客戶的請求，或者提供另外一個可以幫助客戶進行請求解析的服務器地址，或者回復客戶無對應記錄。 當DNS服務器管理某個區域時，它是此區域的權威DNS服務器，而無論它是主要區域還是輔助區域。DNS服務器可以是一級或者多級DNS命名空間的權威DNS服務器，例如，Internet根域的DNS服務器只是對于頂級域名例如“.org”具有權威，而頂級域名.org的權威DNS服務器只是對于二級域名具有權威，而對于三級域名，則只有域的DNS服務器才具有權威。 DNS區域 DNS區域是DNS服務器具有權威的連續的命名空間，一個DNS服務器可以對一個或多個區域具有權威，而一個區域可以包含一個或多個連續的域。例如，一個DNS服務器可以對區域和具有權威，而每個區域下又可以包含多個域。不過，你可以通過區域委派來將連續的域例如、存放在不同的區域中。 區域文件包含了DNS服務器具有權威的區域的所有資源記錄。通常情況下，區域數據存在在文本文件中，但是運行在Windows 2000或者Windows Server 2003域控制器上的DNS服務器，可以把區域信息存放在活動目錄中。 DNS解析器（DNS客戶端） DNS解析器是使用客戶端計算機用于通過DNS協議查詢DNS服務器的一個服務。在Windows 2000及其后的系統中，DNS解析器是通過DNS客戶端這個服務來實現，除此之外，DNS客戶端服務還可以對DNS解析結果進行緩存。你必須在客戶端計算機的TCP/IP屬性中配置使用DNS服務器，此時客戶端計算機的DNS解析器才會將DNS解析請求發送到相應的DNS服務器。 資源記錄 資源記錄是用于答復DNS客戶端請求的DNS數據庫記錄，每一個DNS服務器包含了它所管理的DNS命名空間的所有資源記錄。資源記錄包含和特定主機有關的信息，如IP地址、提供服務的類型等等。常見的資源記錄類型有：資源記錄類型說明解釋起始授權結構（SOA）起始授權機構此記錄指定區域的起點。它所包含的信息有區域名、區域管理員電子郵件地址，以及指示輔 DNS 服務器如何更新區域數據文件的設置等。主機（A）地址主機（A）記錄是名稱解析的重要記錄，它用于將特定的主機名映射到對應主機的IP地址 上。你可以在DNS服務器中手動創建或通過DNS客戶端動態更新來創建。別名（CNAME）標準名稱此記錄用于將某個別名指向到某個主機（A）記錄上，從而無需為某個需要新名字解析的主機額外創建A記錄。郵件交換器（MX）郵件交換器此記錄列出了負責接收發到域中的電子郵件的主機 ，通常用于郵件的收發。名稱服務器（NS）名稱服務器此記錄指定負責此DNS區域的權威名稱服務器。理解DNS服務器的工作方式 當DNS客戶端需要為某個應用程序查詢名字時，它將聯系自己的DNS服務器來解析此名字。DNS客戶發送的解析請求包含以下三種信息： 需要查詢的域名。如果原應用程序提交的不是一個完整的FQDN，則DNS客戶端加上域名后綴以構成一個完整的FQDN； 指定的查詢類型。指定查詢的資源記錄的類型，如A記錄或者MX記錄等等； 指定的DNS域名類型。對于DNS客戶端服務，這個類型總是指定為 Internet IN類別。 DNS客戶端完整的DNS解析過程如下： 1、檢查自己的本地DNS名字緩存 當DNS客戶端需要解析某個FQDN時，先檢查自己的本地DNS名字緩存。本地的DNS名字緩存由兩部分構成： Hosts文件中的主機名到IP地址映射定義； 前一次DNS查詢得到的結果，并且此結果還處于有效期； 如果DNS客戶端從本地緩存中獲得相應結果，則DNS解析完成。 2、聯系自己的DNS服務器 如果DNS客戶端沒有在自己的本地緩存中找到對應的記錄，則聯系自己的DNS服務器，你必須預先配置DNS客戶端所使用的DNS服務器。 當DNS服務器接收到DNS客戶端的解析請求后，它先檢查自己是否能夠權威的答復此解析請求，即它是否管理此請求記錄所對應的DNS區域；如果DNS服務器管理對應的DNS區域，則DNS服務器對此DNS區域具有權威。此時，如果本地區域中的相應資源記錄匹配客戶的解析請求，則DNS服務器權威的使用此資源記錄答復客戶的解析請求（權威答復）；如果沒有相應的資源記錄，則DNS服務器權威的答復客戶無對應的資源記錄（否定答復）。 如果沒有區域匹配DNS客戶端發起的解析請求，則DNS服務器檢查自己的本地緩存。如果具有對應的匹配結果，無論是正向答復還是否定答復，DNS服務器非權威的答復客戶的解析請求。此時，DNS解析完成。 如果DNS服務器在自己的本地緩存中還是沒有找到匹配的結果，此時，根據配置的不同，DNS服務器執行請求查詢的方式也不同： 默認情況下，DNS服務器使用遞歸方式來解析名字。遞歸方式的含義就是DNS服務器作為DNS客戶端向其他DNS服務器查詢此解析請求，直到獲得解析結果，在此過程中，原DNS客戶端則等待DNS服務器的回復。 如果你禁止DNS服務器使用遞歸方式，則DNS服務器工作在迭代方式，即向原DNS客戶端返回一個參考答復，其中包含有利于客戶端解析請求的信息（例如根提示信息等），而不再進行其他操作；原DNS客戶端根據DNS服務器返回的參考信息再決定處理方式。但是在實際網絡環境中，禁用DNS服務器的遞歸查詢往往會讓DNS服務器對無法進行本地解析的客戶端請求返回一個服務器失敗的參考答復，此時，客戶端則會認為解析失敗。 遞歸方式和迭代方式的不同之處就是當DNS服務器沒有在本地完成客戶端的請求解析時，由誰扮演DNS客戶端的角色向其他DNS服務器發起解析請求。通常情況下應使用遞歸方式，這樣有利于網絡管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS服務器的性能，不過在通常的情況下，這點性能的消耗無關緊要。 根提示信息是Internet命名空間中的根DNS服務器的IP地址。為了正常的執行遞歸解析，DNS服務器必須知道從哪兒開始搜索DNS域名，而根提示信息則用于實現這一需求。全世界范圍內的根DNS服務器總共有13個，它們的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次DNS服務器啟動時從cache.dns文件中讀取。一般情況下，不需要對此文件進行修改；如果你的DNS服務器是在內部網絡中部署并且不需要使用Internet的根DNS服務器，則可以根據需要進行修改，將其指向到某個內部根域DNS服務器。 例如，當某個DNS客戶端請求解析域名并且DNS服務器工作在遞歸模式下時，完整的解析過程如下： DNS客戶端檢查自己的本地名字緩存，沒有找到對應的記錄； DNS客戶端聯系自己的DNS服務器NameServer1，查詢域名 ； NameServer1檢查自己的權威區域和本地緩存，沒有找到對應值。于是，聯系根提示中的某個根域服務器，查詢域名； 根域服務器也不知道的對應值，于是，向NameServer1返回一個參考答復，告訴NameServer1 .org頂級域的權威DNS服務器； NameServer1聯系.org頂級域的權威DNS服務器，查詢域名； .org頂級域服務器也不知道的對應值，于是，向NameServer1返回一個參考答復，告訴NameServer1 W域的權威DNS服務器； NameServer1聯系W域的權威DNS服務器，查詢域名； W域的權威DNS服務器知道對應值，并且返回給NameServer1； NameServer1向原DNS客戶端返回的結果，此時，解析完成。查詢響應類型 DNS服務器對于客戶請求的答復具有多種類型，常見的有以下四種： 權威答復：權威答復是返回給客戶的正向答復，并且設置了DNS消息中的權威位。此答復代表從具有權威的DNS服務器處發出； 正向答復：正向答復包含了匹配客戶端解析請求的資源記錄； 參考答復：參考答復只在DNS服務器工作在迭代模式下使用，包含了其他有助于客戶端解析請求的信息。例如，當DNS服務器不能為客戶端發起的解析請求找到某個匹配值時，則向DNS客戶端發送參考回復，告訴它有助于解析請求的信息； 否定答復：否定答復指出權威服務器在解析客戶端的請求時可能遇到了以下兩種情況之一： 權威DNS服務器報告客戶端查詢的名字不存在； 權威DNS服務器報告存在對應的名字但是不存在指定類型的資源記錄。 無論正向答復還是否定答復，DNS客戶端都將結果保存在自己的本地緩存中。 理解緩存的工作方式 DNS客戶端和DNS服務器都會緩存獲得的解析結果，這樣可以提高DNS服務性能和減少DNS相關的網絡流量。 DNS客戶端緩存 當DNS客戶端服務啟動時，會讀取Hosts文件中的所有主機名和IP地址的映射，并且保存在緩存中。Hosts存放在%systemroot%system32driversetc目錄，當你修改Hosts文件后，DNS客戶端會立即讀取Hosts文件并且對本地緩存進行更新。 另外，DNS客戶端會緩存過去的查詢結果，當DNS客戶端服務停止時，將清空本地緩存。 DNS服務器緩存 DNS服務器像DNS客戶端一樣緩存名字解析結果，并且可以使用緩存中的信息來答復其他客戶端的請求。你可以在DNS服務器管理控制臺或者使用DNSCMD命令行工具手動清空緩存，另外當DNS服務器停止時，同樣會清空DNS服務器緩存。 資源記錄的生存時間（TTL）指定了資源記錄可以緩存的時間的長短，而無論是DNS客戶端緩存還是DNS服務器緩存；默認情況下，TTL是3600秒（1小時）。需要注意的是，由于緩存的作用，DNS服務器上對于資源記錄的修改可能不能立即生效。并且對于Internet域名來說，資源記錄的修改可能會需要超過24小時的時間才能在所有DNS服務器上完成更新。 動態更新 當DNS客戶端計算機上產生某個事件觸發更新時，DNS客戶端計算機上的DHCP客戶端服務將會為本地計算機中使用的所有網絡連接在相應的DNS服務器中對自己的A記錄進行更新，從而可以確保DNS域名記錄和IP地址記錄的對應關系。而DNS服務器需要配置為允許動態更新，才能讓DNS客戶端計算機成功完成更新。 當DNS客戶端計算機上產生以下事件時，會觸發DHCP客戶端服務的動態更新行為： 添加、刪除或修改了本地計算機任何網絡連接TCP/IP屬性中的IP地址； 本地計算機的任何網絡連接向DHCP服務器獲取IP地址租約或者續約； DNS客戶端上運行了Ipconfig /registerdns命令； DNS客戶端計算機啟動； 此DNS區域中的一臺成員服務器提升為域控制器； 對于標準主要區域，你可以選擇不允許動態更新和允許非安全和安全動態更新。但是允許非安全和安全動態更新具有安全隱患，因為DNS服務器不會對進行動態更新的客戶端計算機進行驗證，所以任何客戶端計算機都可以對任何A記錄進行動態更新，而不管它是否是此A記錄的擁有者。通常情況下，你不應該使用此選項。 對于活動目錄集成區域，除了上述的兩個選項外，你還可以使用安全動態更新。當使用此方式時，在客戶端計算機更新自己的記錄時，DNS服務器將要求客戶端計算機進行身份驗證來確保只有對應資源記錄的擁有者才能更新此記錄。 只有Windows 2000及以后版本操作系統的客戶端計算機才能執行動態更新，低版本的Windows系統（NT4、9x/ME）不支持動態更新。不過，你可以通過DHCP服務器為這些低版本客戶端計算機代理進行動態更新。當DHCP服務器在代理低版本客戶端計算機注冊A記錄時，會將自己設置為此A記錄的所有者。而在安全動態更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP服務器為此低版本客戶端計算機代理注冊時會出現拒絕訪問的問題。因此，你需要將此DHCP服務器加入到DnsUpdateProxy安全組中，這樣當DHCP服務器更新A記錄時，不會記錄下此A記錄的所有者信息，從而允許其他DHCP服務器來修改此A記錄。區域委派 一個完整的DNS區域包含以自己的DNS域名為基礎命名空間的所有DNS命名空間的信息，當基于此DNS命名空間新建一個DNS區域時，新建的區域稱為子區域。例如，完整的區域包含了以為基礎命名空間的所有DNS命名空間的信息，而則稱為的一個子區域。 默認情況下，DNS區域管理自己的子區域，并且子區域伴隨DNS區域一起進行復制和更新。不過，你可以將子區域委派給其他DNS服務器來進行管理，此時，被委派的服務器將承擔此DNS子區域的管理，而父DNS區域中只是具有此子區域的委派記錄。 區域委派適用于許多環境，常見的場景有： 將某個子區域委派給某個對應部門中的DNS服務器進行管理； DNS服務器的負載均衡，將一個大區域劃分為若干小區域，委派給不同的DNS服務器進行管理； 將子區域委派給某個分部或遠程站點。 你只能在主要區域中執行區域委派。對于任何一個被委派的子區域，父DNS區域中只是具有指向子區域中權威DNS服務器的A記錄和NS(名稱服務器)記錄，而實際的解析過程必須由委派到的子區域中的權威DNS服務器完成，即被委派到的DNS服務器上必須具有以被委派的子區域為域名的主要區域。 在Windows Server 2003的DNS服務器管理控制臺中，提供了向導工具，可以讓你輕松的完成DNS區域委派。 DNS區域類型 在部署一臺DNS服務器時，你必須預先考慮DNS區域類型，從而決定DNS服務器類型。DNS區域分為兩大類：正向查找區域和反向查找區域，其中 正向查找區域用于FQDN到IP地址的映射，當DNS客戶端請求解析某個FQDN時，DNS服務器在正向查找區域中進行查找，并返回給DNS客戶端對應的IP地址； 反向查找區域用于IP地址到FQDN的映射，當DNS客戶端請求解析某個IP地址時，DNS服務器在反向查找區域中進行查找，并返回給DNS客戶端對應的FQDN。 而每一類區域又分為三種區域類型：主要區域、輔助區域和存根區域，其中： 主要區域（Primary）：包含相應DNS命名空間所有的資源記錄，是區域中所包含的所有DNS域的權威DNS服務器。可以對區域中所有資源記錄進行讀寫，即DNS服務器可以修改此區域中的數據，默認情況下區域數據以文本文件格式存放。你可以將主要區域的數據存放在活動目錄中并且隨著活動目錄數據的復制而復制，此時，此區域稱為活動目錄集成主要區域，在這種情況下，每一個運行在域控制器上的DNS服務器都可以對此主要區域進行讀寫，這樣避免了標準主要區域時出現的單點故障。 輔助區域（Secondary）：主要區域的備份，從主要區域直接復制而來；同樣包含相應DNS命名空間所有的資源記錄，是區域中所包含的所有DNS域的權威DNS服務器；和主要區域不同之處是DNS服務器不能對輔助區域進行任何修改，即輔助區域是只讀的。輔助區域數據只能以文本文件格式存放。 存根區域（Stub）：存根區域是Windows Server 2003新增加的功能。此區域只是包含了用于分辨主要區域權威DNS服務器的記錄，有三種記錄類型： SOA（委派區域的起始授權機構）：此記錄用于識別該區域的主要來源DNS服務器和其他區域屬性； NS（名稱服務器）：此記錄包含了此區域的權威DNS服務器列表； A glue（粘附A記錄）：此記錄包含了此區域的權威DNS服務器的IP地址。 默認情況下區域數據以文本文件格式存放，不過你可以和主要區域一樣將存根區域的數據存放在活動目錄中并且隨著活動目錄數據的復制而復制。 當DNS客戶端發起解析請求時，對于屬于所管理的主要區域和輔助區域的解析，DNS服務器向DNS客戶端執行權威答復。而對于所管理的存根區域的解析，如果客戶端發起遞歸查詢，則DNS 服務器會使用該存根區域中的資源記錄來解析查詢。DNS服務器向存根區域的NS資源記錄中指定的權威DNS服務器發送迭代查詢，仿佛在使用其緩存中的NS資源記錄一樣；如果DNS服務器找不到其存根區域中的權威DNS服務器，那么DNS服務器會嘗試使用根提示信息進行標準遞歸查詢。如果客戶端發起迭代查詢，DNS服務器會返回一個包含存根區域中指定服務器的參考信息，而不再進行其他操作。 如果存根區域的權威DNS服務器對本地DNS服務器發起的解析請求進行答復，本地DNS服務器會將接收到的資源記錄存儲在自己的緩存中，而不是將這些資源記錄存儲在存根區域中，唯一的例外是返回的粘附A記錄，它會存儲在存根區域中。存儲在緩存中的資源記錄按照每個資源記錄中的生存時間 (TTL) 的值進行緩存；而存放在存根區域中的SOA、NS 和粘附A資源記錄按照SOA記錄中指定的過期間隔過期（該過期間隔是在創建存根區域期間創建的，在從原始主要區域復制時更新）。 當某個DNS服務器（父DNS服務器）向另外一個DNS服務器做子區域委派時，如果子區域中添加了新的權威DNS服務器，父DNS服務器是不會知道的，除非你在父DNS服務器上手動添加。存根區域主要是用于解決這個問題，你可以在父DNS服務器上為委派的子區域做一個存根區域，從而可以從委派的子區域自動獲取權威DNS服務器的更新而不需要額外的手動