Windows 网络服务架构系列课程详解(四)
------- DNS高级技术配置详解
1、 DNS委派和子区域的理解
在实际应用中,DNS的委派和子区域的创建起到至关重要的作用。
DNS的委派:在实际应用当中,创建方法很简单,比如说benet公司是一家商业机构,想搭建一台属于自己的DNS服务器,且域名为benet.com,就需要在管理“.com”区域的公司申请,管理“.com”区域的主管,只需要在对应的DNS正向查找区域里添加一条主机A记录,对应的IP是benet公司DNS的公网IP地址,且主机记录不能为benet,否则添加不上去。比如说添加一条w1记录,域名为w1.com ,然后右击 “.com”区域,选择“新建委派”委派的区域输入“benet”,然后添加名称服务器的IP地址,也就是刚才创建的w1记录(可以通过“浏览”找到),然后“确定”即可。而benet公司需要在自己的DNS区域里创建“benet .com”正向查找区域,然后创建不同的主机A记录即可。客户端在benet公司的DNS上找不到的记录,可以通过“转发器”或者“根提示”进行迭代或者递归查询。
注意:在此案例中,DNS的委派可以减轻“.com”域的负担,避免了域名查询量过大所形成的瓶颈。所有属于区域“benet.com”的主机A记录都保持在benet公司的DNS服务器上。而“.com”区域仅仅只是做了一项记录而已,比如说客户机的首选DNS填写的是其它DNS服务器的IP地址,当查找不到时便会通过根提示到全国13台根DNS服务器上,然后通过迭代的方式,一级一级往下找,当找到benet.com区域时,benet.com区域会告诉客户机首选的DNS服务器,到委派的benet.com上去找,也就是benet的DNS服务器上找,最终查找到对应的主机A记录。
![clip_image002[5]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995482t8ZP.jpg)
DNS的子区域:通过创建区域委派可以减少DNS服务器的工作负担;如果DNS服务器区域的查询量可以满足用户的最大查询数,是否将所有的主机A记录都放在一个区域呢?比如说benet.com区域,benet公司有五家分公司,公司内部所有用户的主机A记录都在区域benet.com中,假如公司有1000人,那么如果其中一台机器联系不到DNS,那么在benet.com区域里排除故障是很难的,而且维护起来也是相当的不方便。DNS的子区域便可以将一个区域划分多个子区域,然后通过子区域进行管理,这也体现出了层次化管理的思想,在域中创建多个OU不也是基于这种思想的么?
![clip_image004[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995485LtXO.jpg)
2、 DNS“高级”属性的设置
DNS除了一些基本属性的设置之外,还有一些高级属性的设置,可以通过右击DNS服务器,选择“属性”—“高级”进行查看。其中“禁用递归(也禁用转发器)”:意思是此DNS服务器不能够进行递归查询,只能查询自己的主机A记录,查询不到则返回。“保护缓冲防止污染”:可以保证缓冲里的一些DNS记录被修改,比如说一些钓鱼网站,将自己的网站修改成和其它一些网站一模一样,然后修改DNS的缓冲,将真实的域名指向自己的IP地址,这就有可能造成一些账号和密码的窃取。也可以通过启用事件日志,通过日志记录进行查看。
![clip_image006[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995487evwa.jpg)
![clip_image008[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995489qMg2.jpg)
3、 在DNS中建立反向查找区域的意义
刚开始搭建DNS服务器时,也许我们并不知道反向查找区域的意义所在,我们更多的应用是将域名解析成IP地址,而忽略了IP地址也可以解析成域名。反向查找区域用的范围不是很广泛,但是在有些应用中作用却很多。例如:在网络中,如果我们用的邮件服务器不是很正式,则会收到大量的垃圾邮件,而这些垃圾邮件是从何而来的呢?很简单,比如说你们公司搭建了一台邮件服务器,区域为xaccp.com,里面有所有员工的邮箱名,并以员工名字命名。而另外一个搞破坏的人也搭建了一台邮件服务器,区域同样为xaccp.com。比如说现在李四给张三发送一份电子邮件,而那个搞破坏的人也使用了同样的邮箱名给李四发送一份电子邮件,而张三是如何确定是你们公司第四发的呢,SMTP服务器又是如何处理的呢,这就用到了反向查找,将[email]zhansan@xaccp.com[/email]反向解析成IP地址,如果是公司内容SMTP服务器的IP地址则转发给李四,如果不是,则视为垃圾邮件丢弃。
![clip_image010[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995491R6Jj.jpg)
4、 缓存DNS的应用场景
当公司规模不是很大,或者公司里员工不是很多的时候,根本不需要申请DNS域名,只需要创建一台DNS服务器即可,什么区域也不用创建,然后将自己指向根提示或者通过转发器指向一台注册的DNS服务器即可。当内部员工访问外网的一台web服务器时,通过DNS的根提示或者转发器找到访问的web站点,而本地DNS服务器会将客户端访问的web站点缓冲到DNS服务器上,当下一台DNS服务器查询同样的内容时,只需要查询DNS缓冲即可。当然,第一次查询肯定会很慢,而以后的查询便会很快。这就是所谓的缓冲DNS,最好在“高级”选项中勾选“保护环境防止污染”选项,这样可以防止一些黑客修改缓冲信息。
![clip_image012[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_12379954939BwC.jpg)
5、 辅助DNS在实际应用中的作用
我们上网经常填写的首选DNS,或者动态获得的DNS其实大多数都是辅助DNS服务器的IP地址,为什么不用主DNS服务器呢?在做区域复制的时候,需要创建一台辅助DNS,说的更准确一些应该是创建多个辅助区域,而这些辅助区域是只读的,不能进行更改,只能从主DNS服务器那里获取数据,而辅助DNS是如何从主DNS服务器那里复制数据的呢?主要是通过“序列号”进行判断的,如果辅助DNS的序列号没有主DNS的序列号大,则进行复制。为了更安全的管理好DNS服务器,在“区域复制”选项中要指定信任的DNS服务器,千万不可选择“到所有的DNS服务器”以防造成数据的丢失和泄露。还有一点,如果,此DNS服务器相对应互联网来说非常重要,最好再向辅助DNS服务器复制完数据之后,将网线断掉,等到有新的主机记录要添加时,再将网线插上,然后复制完之后再断掉。这样,即使黑客知道你的DNS服务器地址,也没办法进行攻击,因为,辅助DNS是不允许更改的。
全国13台根中,其中就有一台为主DNS服务器,放置在美国,其它的都为辅助DNS服务器,分布在不同的国家。而主DNS服务器的网络一直是断开的,起主导作用的只是那12台辅助DNS,当其中的一台DNS脱机了,才会将主DNS服务器的网线插上,将数据复制过去,然后再将网线断开,这样做是决定安全的。
![clip_image014[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_12379954952dXR.jpg)
![clip_image016[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995497P8FX.jpg)
![clip_image018[4]](http://dcpromo.blog.51cto.com/attachment/200903/25/418026_1237995499lVsK.jpg)
本文转自凌激冰51CTO博客,原文链接:http://blog.51cto.com/dreamfire/142496,如需转载请自行联系原作者
