Windows Server 2008中DNS相关问题集锦---Windows2008 系列之十-阿里云开发者社区

开发者社区> 安全> 正文

Windows Server 2008中DNS相关问题集锦---Windows2008 系列之十

简介:
问题1:描述 Windows Server 2008 版本DNS的新功能
后台区域加载
承载Active Directory 域服务存储的大型 DNS 区域的 DNS 服务器能够在其重新启动时更快速地响应客户端查询,因为区域数据现在已加载到后台中。
IP 版本 6(IPv6)支持
DNS 服务器服务现在支持IPv6长地址。IPv6 主机记录称为“AAAA”记录。
支持只读域控制器(RODC)
Windows Server 2008 中的 DNS 服务器角色提供了 RODC 上的主要只读区域。这一新角色使得在缺乏物理安全性的远程站点上也可以部署域控制器和 DNS 服务器。RODC不能将信息写回完整的Active Directory 服务器和 DNS 服务器。
全局单标签名称
Windows Server 2008 中的 DNS 服务器服务提供了一种新的区域类型---GlobalNames区域,它可用于存储在整个林中唯一的单标签名称。这免除了使用基于NetBIOS的Windows Internet 名称服务(WINS)提供单标签名称支持的需要。
 
问题2:递归查询和迭代查询之间的差异是什么?
答:客户端发起递归查询请求到DNS服务器。只会有两个可能的答复:一是被请求域名或主机的IP地址;二是主机未找到。迭代查询通过分层的DNS名称空间进行IP地址解析。迭代查询返回权威应答或者DNS分层中下一层服务器的IP地址。
 
问题3:你正在将 DNS 服务器部署到 Active Directory 域中,且客户要求基础结构可抗单点故障。在规划DNS配置时必须要考虑什么?
答:必须确保网络中部署了不止一个DNS域控制器。
 
问题4:如果 SRV 资源记录被删除或损坏,那么为了恢复该记录,可以采取什么步骤?
答:重新启动Netlogon服务。即在DNS中新建相应的AD区域,执行net stop netlogon & net start netlogon.
 
问题5:在自定义应用程序分区,而不是在默认分区中存储Active Directory 集成 DNS 区域,这有什么优点?
答:运行 DNS 的选定域控制器可接受DNS区域的副本。这对于确保内部记录和公共记录只复制到正确的DNS域控制器可能非常有用。
 
问题6:谁可以创建 Active Directory 集成区域?
答:首先DC和DNS在一起时,同时必须有相应管理权限的用户,如domain admins组成员。
 
问题7:Active Directory 域名与DNS区域名称之间有什么关系?
答:每个 Active Directory 域必须有一个同名的 DNS 区域。
 
问题8:客户端计算机如何确定自己位于哪个站点?
答:客户端通过将其IP地址传给域控制器来查询域控制器。域控制器在其子网对站点映射中查找客户端的IP地址,然后将站点信息返回给客户端。客户端最后将这些信息存储在其注册表中。
 
问题9:请列出 Active Directory 集成区域的有哪些好处?
答:目录复制比标准 DNS 复制更快、更高效。
 支持多主机更新。
 通过安全的动态更新增强安全性。
 支持记录老化和清理。
 
问题10:在下面两个SRV资源记录示例中,哪条记录将由客户端用于查询会话启动协议(SIP)服务?
  • _sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com
  • _sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com
答:如果 Lcs1 的 SRV 资源记录可用,那么将总是选择该记录,因为其优先级字段的值较低。只有在优先级字段相等的情况下,才会使用权重字段。在这里10和50是优先级,而60和20是权重。当然5060是端口。
注:SRV记录语法:
protocol.service.name TTL class type priority weight port target
 
问题11:创建 DNS 应用程序目录分区需要哪些权限?
答:Enterprise Admins 的权限。
 
问题12:哪些实用工具可用于创建应用程序分区?
答:Dnscmd、NTDSutil、ADSI edit 和 LDAP 命令。
 
问题13:Active Directory 集成区域动态更新的默认状态是什么?
答:“安全”。
 
问题14:标准主要区域动态更新的默认状态是什么?
答:无。
 
问题15:哪些组有权执行安全动态更新?
答:Authenticated Users。
 
问题16:2008中有关后台区域加载的工作方式?
    如果采用AD集成的DNS区域,加之动态更新的存在,这样如果客户端较多,会造成AD数据库过于庞大。解决包含 DNS 记录的 Active Directory 数据库过大问题的方法之一是使用后台区域加载。
    如果 DNS 客户端请求获得的数据是属于已经加载的某个区域中的主机,那么DNS服务器将按预期作出响应,并提供这些数据(或者,若没有数据,则发出否定响应)。如果请求所需要的节点尚未载入内存,那么DNS服务器将从AD DS 读取该节点的数据,然后相应更新该节点的记录列表。
 
谈一谈DNS中常见问题和故障排除技巧?
 
要解决 DNS 资源记录解析问题:
  • 如果对资源记录的更改是最近发生的,那么有可能会没有复制到所有 DNS 服务器。
  • 在大型公司中,DNS 与 Active Directory 集成在一起,其收敛所用的时间可能会较长。
  • 客户端有时会缓存无效的 DNS 记录。 因此,应该清除本地 DNS 缓存。(通过ipconfig /flushdns)
  • 在所做更改开始正常生效前,Internet 上的服务器可能需要更多时间来更新其自身缓存和组织中的信息。
要解决 DNS 区域传送的问题:
  • 确保在主要区域配置中允许即将尝试传送区域的服务器。
  • 确保区域要传送到的服务器支持 Windows Server 2008 中的区域传送功能。但可能需要关闭一些功能。
  • 确保在 2 台 DNS 服务器之间的防火墙或其他端口管理设备不阻止 UDP端口 53。因为DNS区域传送需要UDP53。
要解决在 DNS 服务器对请求响应缓慢的问题:
  • 确定其他程序没有影响安装 DNS 服务器角色的服务器。
  • 使用性能监视器标识服务器上 DNS 请求生成的负载。可能需要分离负载或创建其他子区域。
  • 确保没有大量的过时资源记录。
 
注意事项及建议:
  • 内部 DNS 记录应与公共 DNS 记录分开。
  • 动态更新可减少维护 DNS 区域数据库的管理开销,但非安全的动态更新有时又会造成DNS中生成无用的记录,合理使用动态更新。
  • 后台区域加载将减少 DNS 服务器在重新启动之后恢复可用所需要的时间。
  • 可以将只读 DNS 与只读域控制器结合使用,这样既仍可提供所要的客户端功能,又能提供安全性。









本文转自 jary3000 51CTO博客,原文链接:http://blog.51cto.com/jary3000/271763,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章