DNS 服務(wù)的配置和管理本實(shí)驗(yàn)使用2個(gè)學(xué)時(shí)一、實(shí)驗(yàn)?zāi)康?、理解DNS 的工作原理；2、了解DNS 域名解析的過程；3、掌握DNS 服務(wù)的設(shè)置。二、實(shí)驗(yàn)設(shè)備與環(huán)境Windows 2000 Server/

DNS 服務(wù)的配置和管理

本實(shí)驗(yàn)使用2個(gè)學(xué)時(shí)

一、實(shí)驗(yàn)?zāi)康?/p>

1、理解DNS 的工作原理；

2、了解DNS 域名解析的過程；

3、掌握DNS 服務(wù)的設(shè)置。

二、實(shí)驗(yàn)設(shè)備與環(huán)境

Windows 2000 Server/Advance Server、Redhat Linux主機(jī)局域網(wǎng)及Internet 接入

三、預(yù)備知識(shí)和課前準(zhǔn)備

1、 DNS 基礎(chǔ)知識(shí)

在網(wǎng)絡(luò)中當(dāng)給每一臺(tái)計(jì)算機(jī)分配獨(dú)立的IP 地址后，可以通過IP 地址找到這臺(tái)計(jì)算機(jī)并與之進(jìn)行通信。但是，當(dāng)網(wǎng)絡(luò)的規(guī)模較大時(shí)，使用IP 地址就不太方便了，所以便出現(xiàn)了主機(jī)名（Host Name ）與IP 地址之間的一種對(duì)應(yīng)解決方案，通過使用形象易記的主機(jī)名而非IP 地址進(jìn)行網(wǎng)絡(luò)的訪問，這比單純使用IP 地址要方便得多。Internet NIC（Internet Network Information Center ）制定了一套稱為域名系統(tǒng)（Domain Name System,DNS ）的分層名字解析方案，在主機(jī)名與IP 地址之間建立映射關(guān)系。DNS 是一組協(xié)議和服務(wù)，它允許用戶在查找網(wǎng)絡(luò)資源時(shí)使用層次化的對(duì)用戶友好的名字取代IP 地址。當(dāng)DNS 客戶端向DNS 服務(wù)器發(fā)出IP 地址的查詢請(qǐng)求時(shí)，DNS 服務(wù)器可以從其數(shù)據(jù)庫內(nèi)尋找所需要的IP 地址給DNS 客戶端。這種由DNS 服務(wù)器在其數(shù)據(jù)庫中找出客戶端IP 地址的過程叫做“主機(jī)名稱解析”。該系統(tǒng)已廣泛地應(yīng)用到Internet 和Intranet 中，如果在Internet 或Intranet 中使用Web 瀏覽器、FTP 或Telnet 等基于TCP/IP協(xié)議的應(yīng)用程序時(shí)，就需要使用DNS 的功能。由于主機(jī)名便于記憶和數(shù)字形式的IP 地址可能由于各種原因而改變而主機(jī)名可以保持不變，幾乎所以的網(wǎng)絡(luò)資源訪問都是使用域名而非使用IP 地址來進(jìn)行訪問。

DNS 的模型相當(dāng)簡(jiǎn)單：客戶端向DNS 服務(wù)器提出訪問請(qǐng)求，DNS 服務(wù)器收到請(qǐng)求后在數(shù)據(jù)庫中查找相對(duì)應(yīng)的IP 地址，并做出反應(yīng)，如果該DNS 服務(wù)器無法提供對(duì)應(yīng)的IP 地址（如數(shù)據(jù)庫中沒有該客戶端主機(jī)名對(duì)應(yīng)的IP 地址）時(shí)，它就轉(zhuǎn)給下一個(gè)它認(rèn)為更好的DNS 服務(wù)器去處理。

組成DNS 系統(tǒng)的核心是DNS 服務(wù)器，它是回答域名服務(wù)查詢的計(jì)算機(jī)，它允許私人TCP/IP網(wǎng)絡(luò)和連接公共Internet 的用戶提供并管理DNS 服務(wù)，維護(hù)DNS 名字?jǐn)?shù)據(jù)并處理DNS 客戶端主機(jī)名的查詢。DNS 服務(wù)器保存了包含主機(jī)名和相應(yīng)IP 地址的數(shù)據(jù)庫。DNS 使用一種與磁盤文件系統(tǒng)的目錄結(jié)構(gòu)類似的命名方案，域名通過句點(diǎn)". ”分隔每個(gè)分支來標(biāo)識(shí)一個(gè)域在邏輯DNS 層次中相對(duì)于其父域的位置。當(dāng)定位一個(gè)主機(jī)名時(shí)，是從最終位置到父域再到根域。例如pc.hi.cninfo.net 是一個(gè)主機(jī)，而hi.cninfo.net 是一個(gè)子域。

2、DNS 服務(wù)器的分類和作用

DNS 服務(wù)器（嚴(yán)格來講應(yīng)該是DNS 名稱服務(wù)器，DNS Name Server）是整個(gè)DNS 系統(tǒng)的核心，它保存著域名稱空間（Domain Name Space）中部分區(qū)域（Zone ，域名空間樹型結(jié)構(gòu)的一部分，它能將域名稱空間根據(jù)用戶需要?jiǎng)澐殖蔀檩^小的區(qū)域，而非域，以便于管理）的數(shù)據(jù)。當(dāng)一個(gè)DNS 服務(wù)器中存放有域名稱空間內(nèi)的一個(gè)或多個(gè)區(qū)域的數(shù)據(jù)時(shí)，就將這臺(tái)服務(wù)器稱為授權(quán)名稱服務(wù)器（Authoritative Name Server ），負(fù)責(zé)維護(hù)和管理所管轄區(qū)域中的數(shù)據(jù)，為DNS 客戶端提供數(shù)據(jù)查詢。根據(jù)工作方式的不同，授權(quán)名稱服務(wù)器可以分為：主要名稱服務(wù)器、輔助名稱服務(wù)器、主控名稱服務(wù)器和Cache-Only 名稱服務(wù)器4種。

1）主要名稱服務(wù)器

主要名稱服務(wù)器（Primary Name Server）是用于存放該區(qū)域中相關(guān)設(shè)置的DNS 服務(wù)器。當(dāng)在一臺(tái)DNS 服務(wù)器上建立一個(gè)區(qū)域文件時(shí)，有關(guān)該新建區(qū)域內(nèi)的主機(jī)數(shù)據(jù)都直接存放到該DNS 服務(wù)器中。而且，當(dāng)某個(gè)區(qū)域的數(shù)據(jù)被修改后的數(shù)據(jù)同樣存放在這臺(tái)服務(wù)器內(nèi)，即由DNS 服務(wù)器完成對(duì)原有數(shù)據(jù)庫的更新。主要名稱服務(wù)器存放的是區(qū)域文件的正本數(shù)據(jù)。一個(gè)DNS 系統(tǒng)中可能有多個(gè)主要名稱服務(wù)器，這樣可以提供容錯(cuò)能力，當(dāng)一臺(tái)主要名稱服務(wù)器發(fā)生故障時(shí)，由另外一臺(tái)主要名稱服務(wù)器提供服務(wù)，同時(shí)多個(gè)主要名稱服務(wù)器可以分擔(dān)查詢的任務(wù)，減輕了只有一個(gè)主要名稱服務(wù)器時(shí)的分擔(dān)。

2）輔助名稱服務(wù)器

輔助名稱服務(wù)器（Secondary Name Server）是用于從其他的服務(wù)器（即可以是主要名稱服務(wù)器，也可以是輔助名稱服務(wù)器）中復(fù)制數(shù)據(jù)，并進(jìn)行保存的服務(wù)器。服務(wù)器中的數(shù)據(jù)不是直接輸入的，而是從其他的服務(wù)器中復(fù)制過來的，只是一份副本。所以輔助名稱服務(wù)器中的數(shù)據(jù)是無法進(jìn)行修改的。

當(dāng)啟動(dòng)輔助名稱服務(wù)器時(shí)，它會(huì)和與它建立聯(lián)系的所有主要名稱服務(wù)器建立聯(lián)系并從中復(fù)制數(shù)據(jù)。在工作時(shí)還會(huì)定期更新原有的數(shù)據(jù)，盡可能地保證副本與正本數(shù)據(jù)的一致性。在一個(gè)區(qū)域中設(shè)置多臺(tái)輔助名稱服務(wù)器能夠提供容錯(cuò)能力、分擔(dān)主要名稱服務(wù)器的分擔(dān)和加快查詢的速度。

3）主控名稱服務(wù)器

主控名稱服務(wù)器（Master Name Server）是指提供區(qū)域數(shù)據(jù)復(fù)制的DNS 服務(wù)器，它既可以是該區(qū)域內(nèi)的主要名稱服務(wù)器，也可以是該區(qū)域內(nèi)的輔助名稱服務(wù)器。當(dāng)一臺(tái)輔助名稱服務(wù)器從另外一臺(tái)主要名稱服務(wù)器（也可以是輔助名稱服務(wù)器）中復(fù)制數(shù)據(jù)時(shí)，將提供數(shù)據(jù)復(fù)制服務(wù)的這臺(tái)主要名稱服務(wù)器（也可以是輔助名稱服務(wù)器）稱為主控名稱服務(wù)器。

4）Cache-Only 名稱服務(wù)器

Cache-Only 名稱服務(wù)器只負(fù)責(zé)查詢數(shù)據(jù)，并將曾經(jīng)查到的數(shù)據(jù)保存在高速緩存中，當(dāng)下一次DNS 客戶端查詢數(shù)據(jù)時(shí)，如果高速緩存內(nèi)存在該數(shù)據(jù)，則它可以將數(shù)據(jù)提供給客戶端。Cache-Only 名稱服務(wù)器不負(fù)責(zé)管轄名稱空間內(nèi)的任何DNS 服務(wù)器，不創(chuàng)建任何的區(qū)域，只幫助DNS 客戶端向其他的DNS 服務(wù)器進(jìn)行查詢，然后將查詢的數(shù)據(jù)保存在緩存中，并響應(yīng)DNS 客戶端的查詢請(qǐng)求，它可以分擔(dān)網(wǎng)絡(luò)的工作量，讓DNS 客戶端直接快速地進(jìn)行查詢。

3、轉(zhuǎn)發(fā)器的功能和應(yīng)用

轉(zhuǎn)發(fā)器（Forwarder ）是指具有特殊功能和應(yīng)用的DNS 服務(wù)器。一般情況下，當(dāng)DNS 服務(wù)器在收到DNS 客戶端的查詢請(qǐng)求后，將在所管轄的區(qū)域數(shù)據(jù)庫中尋找是否有該客戶端的數(shù)據(jù)，如果沒有，該服務(wù)器需轉(zhuǎn)向其他的DNS 服務(wù)器進(jìn)行查詢。為了安全，一般不希望內(nèi)部所有的DNS 服務(wù)器直接和外界聯(lián)系，網(wǎng)絡(luò)中的其他的DNS 服務(wù)器可以通過一臺(tái)DNS 服務(wù)器來與外界間接聯(lián)系，直接與外界聯(lián)系的DNS 服務(wù)器稱為轉(zhuǎn)發(fā)器。當(dāng)DNS 客戶端提出查詢請(qǐng)求（需要向外界查詢的請(qǐng)求）時(shí)，DNS 服務(wù)器將通過轉(zhuǎn)發(fā)器從外界的DNS 服務(wù)器中獲得數(shù)據(jù)并提供給客戶端。如果轉(zhuǎn)發(fā)器無法查詢到所需的數(shù)據(jù)時(shí)，DNS 服務(wù)器有兩種處理方式：直接向外界的DNS 服務(wù)器進(jìn)行查詢或不再向外界DNS 服務(wù)器進(jìn)行查詢而是告訴客戶端找不到所需數(shù)據(jù)。后一種方式中，該DNS 服務(wù)器將完全依賴于轉(zhuǎn)發(fā)器。出于安全考慮，最好將DNS 服務(wù)器設(shè)置為后一種方式，即完全依賴于轉(zhuǎn)發(fā)器的方式。這樣的服務(wù)器叫做從屬服務(wù)器（Slave Server）。

4、DNS 解析名字的方式

當(dāng)DNS 客戶端向DNS 服務(wù)器查詢數(shù)據(jù)或DNS 服務(wù)器向另一臺(tái)DNS 服務(wù)器查詢數(shù)據(jù)時(shí)，有3種查詢方式：遞歸型、循環(huán)型和反向型。

1）遞歸型

遞歸型查詢是指DNS 客戶端發(fā)出查詢請(qǐng)求后，如果DNS 服務(wù)器內(nèi)沒有所需數(shù)據(jù)，則DNS 服務(wù)器會(huì)代替客戶端向其他DNS 服務(wù)器進(jìn)行查詢。一般由DNS 客戶端提出的查詢都是遞歸型的查詢。

2）循環(huán)型

循環(huán)型查詢多用于DNS 服務(wù)器與DNS 服務(wù)器之間進(jìn)行的查詢方式。它的工作過程是：當(dāng)?shù)谝慌_(tái)DNS 服務(wù)器向第二臺(tái)服務(wù)器提出查詢請(qǐng)求后，如果第二臺(tái)服務(wù)器內(nèi)沒有所需數(shù)據(jù)時(shí)，第二臺(tái)服務(wù)器會(huì)提供第三臺(tái)服務(wù)器的IP 地址給第一臺(tái)服務(wù)器，讓第一臺(tái)服務(wù)器直接向第三臺(tái)服務(wù)器進(jìn)行查詢。依此類推，直到找到所需數(shù)據(jù)為止。如果在最后一臺(tái)服務(wù)器中還沒有找到所需數(shù)據(jù)，則通知第一臺(tái)服務(wù)器查詢失敗。

3）反向型

反向型查詢的方式與遞歸型和循環(huán)型兩種方式都不一樣，它是讓DNS 客戶端利用提供IP 地址來查詢主機(jī)名稱。由于DNS 名字空間中域名與IP 地址之間無法建立直接對(duì)應(yīng)關(guān)系，所以要使用此功能必須在DNS 服務(wù)器內(nèi)建立一個(gè)反向型查詢區(qū)域，該區(qū)域名稱的最后部分為in-addr-arpa 。一旦建立的區(qū)域進(jìn)入到DNS 數(shù)據(jù)庫中，就會(huì)增加一個(gè)指針記錄，將IP 地址于相應(yīng)的主機(jī)名相關(guān)聯(lián)。

5、DNS 服務(wù)器的設(shè)置

以Windows 2000服務(wù)器版自帶的DNS 服務(wù)為例。默認(rèn)安裝的Win2000，DNS 服務(wù)并沒有被添加進(jìn)去。打開“控制面板→添加/刪除程序→添加/刪除Windows 組件”，再在組件列表中雙擊“網(wǎng)絡(luò)服務(wù)”，然后勾選中其下的“DNS 服務(wù)器”一項(xiàng)，進(jìn)行安裝。

圖1 添加DNS 服務(wù)

添加成功后可從管理工具中打開DNS 管理控制臺(tái)

圖2 DNS 管理控制臺(tái)

創(chuàng)建區(qū)域（鼠標(biāo)右鍵或操作菜單中打開）

選擇正向搜索區(qū)域，然后單擊下一步。

輸入新建區(qū)域文件名稱，然后單擊下一步完成正向區(qū)域的創(chuàng)建。

創(chuàng)建反向搜索區(qū)域，輸入網(wǎng)絡(luò)ID 號(hào)及文件名稱（默認(rèn)已有），完成反向區(qū)域創(chuàng)建。

四、實(shí)驗(yàn)內(nèi)容

1、配置一個(gè)DNS 服務(wù)器，創(chuàng)建一個(gè)xm.COM(xm為姓名的拼音) 的正向搜索區(qū)域。

2、 在剛才配置的正向搜索區(qū)域中，建立主機(jī)www.xm.com 、bbs.abc.com 和

ftp.abc.com 三個(gè)域名與IP “10.0.1.x ”地址相對(duì)應(yīng)起來。

3、 測(cè)試DNS 服務(wù)正向解析功能是否成功，將計(jì)算機(jī)網(wǎng)卡屬性中的DNS 服務(wù)器IP

地址設(shè)置為我們所配置DNS 服務(wù)器的IP 地址。在命令控制臺(tái)中使用nslookup 命令解析域名，命令格式Nslooup www.abc.com。一一測(cè)試，如果所建立的域名www.xm.com 、bbs.xm.com 和ftp.xm.com 均能顯示出所對(duì)應(yīng)的IP 地址，則表示成功。如下圖。

4、創(chuàng)建一個(gè)反向搜索區(qū)域。網(wǎng)絡(luò)ID 為服務(wù)器IP 地址的前三段，即子網(wǎng)號(hào)。并在反向搜

索區(qū)域中創(chuàng)建指針。通過nslookup 檢驗(yàn)反向搜索的配置。如下圖等。

5、在實(shí)驗(yàn)內(nèi)容3所創(chuàng)建的正向搜索區(qū)域中新建域，創(chuàng)建一個(gè)ziyu1子域，在子域中創(chuàng)建主機(jī)。創(chuàng)建一個(gè)委派，將ziyu2子域委派給另一個(gè)DNS 服務(wù)器進(jìn)行管理（需在被委派的服務(wù)器上建立相應(yīng)的ziyu2.xm.com 區(qū)域）。

本地DNS 服務(wù)器區(qū)域圖：

被委派DNS 服務(wù)器區(qū)域圖：

查詢委派區(qū)域中主機(jī)www.ziyu2.xm.com 的結(jié)果

6、設(shè)置服務(wù)器轉(zhuǎn)發(fā)器。當(dāng)DNS 服務(wù)器工作時(shí)，總會(huì)碰到服務(wù)器自己無法解析的域名信息，服務(wù)器需要將自己無法解析的域名解析請(qǐng)求轉(zhuǎn)發(fā)到其他的服務(wù)器進(jìn)行解析。將轉(zhuǎn)發(fā)器的IP 地址設(shè)置為其他同學(xué)所配置的DNS 服務(wù)器，并在解析其他DNS 服務(wù)器設(shè)置的域名，檢驗(yàn)轉(zhuǎn)發(fā)器功能。

五、實(shí)驗(yàn)報(bào)告要求

1、詳細(xì)記錄DNS 設(shè)置的各項(xiàng)參數(shù)及建立主機(jī)的名稱和IP 地址。

2、記錄測(cè)試服務(wù)器時(shí)產(chǎn)生的數(shù)據(jù)。