Windows 网络服务架构系列课程详解(二) ----DNS服务器的部署与配置

  1. 云栖社区>
  2. 博客>
  3. 正文

Windows 网络服务架构系列课程详解(二) ----DNS服务器的部署与配置

科技小先锋 2017-11-23 02:19:00 浏览1810
展开阅读全文
Windows 网络服务架构系列课程详解(二)
---------DNS服务器的部署与配置
实验背景:
在Internet网络发展的早期,由于IP地址不便于记忆,网络互联的方式主要通过购买hosts文件进行域名的解析,当时,进行网络互联的计算机并不是很多。随后,随着计算机网络的不断发展和普及,越来越多的计算机使用了域名,然而强大的hosts文件再也不能满足于现代的网络需求,DNS(Domain Name System,域名系统)便应运而生。
DNS相对应hosts文件而言,进行了强大的改进,主要采用分层结构进行部署,包括:根域、顶级域(包括组织域、国家域或地区域、反向域)、二级域和主机名称。域名空间的层次结构类似一个倒置的树,其中根为最高级别,大树枝处于下一级别,树叶则处于最低级别。这样可以将巨大的信息量按层次结构划分成许多较小的部分,将每一部分存储在不同的计算机上,形成层次性、分布式的特点。这样一方面解决了信息的统一性,另一方面信息数据分布面广,不会形成瓶颈,有利于提高访问效率。
 
实验目的:
1、 学会安装DNS服务器
2、 会在DNS服务器上新建正反查找区域
3、 新建资源记录(包括主机、别名以及SRV记录)
4、 会对转发器和根提示进行配置
5、 掌握DNS的区域传输
6、 配置客户机的DNS设置
7、 理解DNS服务器和AD之间的关系
实验网络拓扑:
 
实验步骤
1. 安装DNS服务(通过管理您的服务器进行安装,也可以通过添加/删除程序进行安装)
DNS服务器要为客户机提供域名解析服务,必须具备以下条件:
a、 有固定的IP地址
b、 安装并启动DNS服务
c、有区域文件,或者配置转发器,或者配置根提示
 
1.1、 在Service 2(操作系统为windows server 2003)单击“开始”菜单,选择“管理工具”---“管理您的服务器”,然后选择“添加或删除角色”等服务器检测完所有的网络参数之后,选择“DNS服务器”,系统开始安装DNS服务。
clip_image004
clip_image006
clip_image008
clip_image010
 
安装过程中,需要windows server 2003系统安装光盘里的两个文件,都在I386下,可以通过物理光驱添加购买的光盘进行安装,也可以通过虚拟光驱,添加对应的ISO镜像文件进行安装,安装过程中需要两次添加DNSMGR.DL_文件。
clip_image012
 
1.2、 安装活动目录的过程中,同样也可以安装DNS服务器,活动目录的安装过程就不做过多演示了,安装过程中出现下面的界面,其中中间的哪项就是安装活动目录的过程中也安装了DNS服务器,这样安装的DNS服务器有域的SRV记录,当客户机加入域的时候就需要这些SRV记录进行定位。
clip_image014
 
1.3、 安装完成之后,可以通过“管理您的服务器角色”中看到“DNS服务器”的选项。然后单击右边的“管理此DNS服务器”进入DNS服务器的设置界面。
clip_image016
clip_image018
 
2. 新建区域(正向查找区域和反向查找区域)
在大型的网络中,可能有非常多的各级域,也会有很多DNS服务器。如果把整个网络都设成一个区域,则DNS服务器之间的目录可能非常困难,因为目录信息非常大,而且要复制的DNS服务器也非常多。为了解决这一矛盾,我们可以把整个网络的DNS空间划分成一个相对较小的区域,区域里再划分一些子域,但是这些区域的划分又不是随意的。
 
2.1、 在安装活动目录的过程中,如果安装了DNS,完成之后,便可以在DNS服务器上看到域的区域参数(主要是一些SRV资源记录)
clip_image020
 
2.2、 创建正向查找区域(正向查询由域名查找IP地址)右击“正向查找区域”选择“新建区域”
clip_image022
此窗口的选项如下:
“主要区域”是新区域的主副本,负责在新创建区域的计算机上管理和维护本区域的资源记录。如果这是第一次配置DNS服务器,则选择“主要区域”单选按钮,就相当于搭建域环境时,选择“新域中的域控制器”一样的道理。
“辅助区域”是现有区域的副本,也就相当于BDC(副域控制器)一样的道理,“主要区域”中的DNS服务器将把区域信息传递给辅助区域中的DNS服务器。使用辅助区域的目的是,提供冗余,减少包含主要区域数据库文件的DNS服务器上的负载。辅助DNS服务器上的区域数据是无法进行修改的。所有数据都是从主DNS服务器复制而来的。
“存根区域”只包含用于标示该区域的权威DNS服务器所需的资源记录。含有存根区域的DNS服务器对该区域没有管理权,它维护着该区域的权威DNS服务器列表,列表存放在NS资源记录中。
clip_image024
 
上面最后一项复选框是在DNS服务器是域控制器时才可用,有什么区别呢?
当勾选这个复选框之后,DNS服务器的所有区域数据都存放在活动目录数据库中,也就是说,当活动目录复制的时候,它也伴随着一起复制,可以减少管理员的负担,在实际应用中,活动目录存放着大多数服务器的数据库,便于集中管理,这同时也体现出了活动目录的优势所在。
clip_image026
clip_image028
 
当然,如果不勾选最后一项复选框,那么DNS的所有数据都存放在DNS数据库中,而且,DNS之间的复制需要手动指定才可以。
clip_image030
clip_image032
 
下面的向导,只有在域的环境里才可以出现的,选择如何复制区域数据
clip_image034
 
给新建主要正向查找区域名一个名称为shanghai.com(符合FQDN,完全合格域名标准,每个FQDN最多255个字节,254个字节用于FQDN,1个字节用于终止点。这就好比计算机的NetBIOS名,由16个字节组成,名字占15个字节,第16个字节代表某种服务)
clip_image036
 
此项动态更新是指当DNS客户端在发生更改时,可以使用DNS服务器注册和动态更新其资源记录。它减少了对区域记录进行手动管理的需要。这种功能给活动目录中的DNS维护带来了方便。当计算机加入域时,可以在活动目录中自动添加该计算机的主机资源记录。
clip_image038
 
2.3、 创建反向查找区域(反向查询由IP地址查找域名)右击“反向查找区域”选择“新建区域”反向搜索查询要求对每个域名进行详细搜索,这需要花费很长时间。为解决问题,DNS标准定义了一个名为in-addr.arpa的特殊域。in-addr.arpa域遵循域名空间的层次命名方案,它是基于IP地址,而不是基于域名,其中,IP地址8位位组的顺序是反向的。
clip_image040
 
属于反向查找区域的网络ID:192.168.0.而区域名称自动添上0.168.192.in-addr.arp,两边是等效的。
clip_image042
 
3. 新建主要资源记录(主机和别名)
在完成DNS服务器查找区域的创建后,就可以新建资源记录。在区域里有很多资源记录,这里介绍一些重要的资源记录
SOA(起始授权机构):定义了该区域中个的哪个名称服务器是权威名称服务器,可以定义DNS区域的一些刷新时间等
NS(名称服务器):表示某区域的权威服务器和SOA中制定的该区域的主服务器和辅助服务器
A(主机):列出了区域中FQDN(完全合格域名)到IP地址的映射
RTP(指针):当对于A资源记录,PTR记录把IP地址映射到FQDN
MX邮件交换器记录,向指定邮件交换主机提供消息路由
SRV(服务):列出了哪些服务器正在提供特定的服务
 
3.1、 在正向查找区域里新建一个主机A记录(PTR记录的方法相同)
clip_image044
 
输入主机A记录的名称zhangsan,那么它形成的FQDN是zhangsan.xiaonuo.com.
而下面的“创建相关的指针(PTR)记录”如果勾选,就创建对应的PTR记录(前提是反向查找区域里必须有对应的区域才行)
clip_image046
clip_image048
clip_image050
 
3.2、 新建别名记录
在正向查找区域里创建一台主机A记录lisi,对应的FQDN为lisi.xiaonuo.com,假如它还有另一个名字叫xiaowu.xiaonuo.com,就需要在对应的区域里新建一个别名记录,右键单击“shanghai.com”,选择“新建别名(CNAME)”并创建
clip_image052
clip_image054
clip_image056
 
创建好之后,可以通过nslookup进行解析,下面是解析的结果。可以看出最后一行多了一条aliases语句便是别名。
clip_image058
 
4. 配置转发器和根提示
当本地DNS服务器没有客户端要查找的域名请求的时候,就需要通过转发器转发到指定的DNS服务器上,或者通过根提示转发到全球13台根服务器上,通过迭代的方式进行查找,最终返回到本地DNS服务器上然后通过递归的方式发送给客户端。(也可以自己指定根服务器,最后不要这么做)
 
4.1、 首先配置DNS转发器,在service 3 DNS服务器上单击右键选择“属性”然后现在“转发器”窗口,在这个窗口可以为不同的区域配置不同个转发DNS
clip_image060
clip_image062
 
配置客户端的首选DNS服务器为转发器DNS的IP地址:192.168.0.2
clip_image064
 
刚才在service 1上的DNS服务器上shanghai.com区域里新建了一个主机为lisi,IP地址是192.168.0.200(实际是不存在的,只做测试用)在客户机上ping lisi.shanghai.com,ping不通,但可以看到已经解析出了IP地址为192.168.0.200。
clip_image066
clip_image068
 
4.2、 配置根提示
根提示使非根域的DNS服务器可以查找到根域DNS服务器。根域DNS服务器在互联网上有13台。默认情况下,根提示是不需要配置的,搭建好DNS服务器之后会自动生成。但是在有的时候,却看不到根提示里面的内容,而且还不能配置。主要是因为在DNS服务器上有自己定义的“.”域,全球那13台根DNS服务器上就没有这些自动生成的根提示。
clip_image070
 
下面手动建立一个区域为“.”然后,在区域里自动注明为根域,然后查看转发器,可以看出,名称服务器里的内容为空,而且不可编辑。不光是根提示不可用,而且转发器也不可用。
clip_image072
clip_image074
clip_image076
 
5. DNS区域传输
在较早的DNS实现中,更新区域数据的任何请求都需要通过使用AXFR查询来完全传输整个区域数据库。进行递增传输时,相反却可使用任选的查询类型(IXFR,windows serve 2003以后才有)。它允许辅助DNS仅找一些区域的变化,这些变化将用于区域副本与源区域之间的同步。
通过IXFR区域传输时,区域的复制版本和源区域之间的差异必须首先确定。如果该区域识别为与每个区域的启动授权机构(SOA)资源记录中序列号字段所指示的版本相同,则不进行任何传送。
如果源区域中的区域的序列号比申请辅助服务器的大,则传输的内容仅由区域中每个递增版本的资源记录的改动组成。为了使IXFR查询成功并发送更改的内容,此区域的源DNS服务器必须保留递增区域变化的历史记录,以便在应答这些查询的使用。实际上,递增传输过程在网络上需要更少的通信量,而且区域传输完成的更快。
区域传输始终在区域的辅助服务器上开始,并且发送到作为区域源配置的主服务器中。
 
5.1、 首先在DNS主区域(server 1)xiaonuo.com里单击右键选择“属性”选择“区域复制”,然后添加复制到指定的DNS服务器的IP地址,这样可以避免列表以外的DNS服务器得到区域更新的通知,换句话说,未知的或未批准的DNS服务器在提取、请求或区域更新方面作一些不希望进行的尝试。
clip_image078
clip_image080
clip_image082
 
5.2、 在server 2的DNS上新建一个辅助区域并命名为xiaonuo.com(辅助区域的FQDN名必须和主区域的FQDN名相同,这个好比DC和BDC的域名必须相同一样),然后填写主区域的DNS服务器地址,确定之后,便可看到辅助区域里的资源记录和主区域里的资源记录一样。
clip_image084
clip_image086
clip_image088
clip_image090
clip_image092
 
5.3、 主区域和辅助区域起始授权机构(SOA)的比较,可以看出主区域的序列号为23,而且可以进行编辑,而辅助区域的序列号为23,说明不需要进行复制,但是是不能进行任何编辑的,只能随着主区域序列号的递增进行复制。
clip_image094
clip_image096
 
 
6. 客户机的配置
配置DNS客户端,主要是为客户机指定DNS服务器的IP地址,从而使他们可以请求DNS服务。如果配置了DHCP服务器,也可以在上面添加DNS选项,让客户端自动获得DNS服务器IP地址。
6.1、 选择“本地连接”里的“Internet协议(TCP/IP),查看其属性,输入首选DNS和备用DNS,首选DNS一般设置为离你最近的DNS服务器,当客户机进行域名解析时,如果首选DNS服务器一直存在,即使没有查找到,也不会转向备用DNS服务器,除非首选DNS服务器宕机了才会到备用DNS服务器进行查找。
clip_image108
clip_image110
 
6.2、 在“高级”TCP/IP配置里还有一些DNS附加选项,可以添加多台DNS服务器的IP地址,其中“在DNS中注册此连接的地址”选项默认是被勾选的,意思是客户端会将自己的主机名和DNS对应关系自动注册到DNS中。而DNS服务器那边也必须开启“动态更新”而且不能选“无”选项。
clip_image112
 
7. DNS服务器和AD之间的关系
DNS服务器和AD之间的关系非常紧密,也就是说如果没有DNS服务器的支持,AD是不能够正常进行工作的,AD中好多名称都需要DNS服务器的解析。
 
7.1、 在配置客户端加入域的时候,如果不设置首选DNS,而且加入域时输入的是完全的域名,则不能得到解析。如下图所示:
clip_image114
clip_image116
 
但是,加入域的时候,如果没有填DNS服务器,只要输入域的最前面一部分是可以加入域的,如下图所示:
解释:客户端加入域时,如果输入的是全称的域名,则联系域控制器的时候,需要DNS服务器的定位(通过SRV记录进行解析),如果只输入最前面的一部分,则解析的时候是通过NETBIOS协议广播进行解析的,而域名最前面的那部分叫做域的NETBIOS名称,所以客户机就加入到了域中,但是这并不代表DNS没有起作用,当客户机加入到域之后的一系列的服务还是需要DNS的支持的。
clip_image118
clip_image120


本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/137470,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
科技小先锋
+ 关注