Windows 2000 Server 中 DNS 的实现

守护Crespo

编者按：域名系统 （DNS）可以将计算机名（或域名）解析为 IP 地址。这些名称用于搜索和访问本地网络或 Internet上 的资源。域名系统是由各级域名组成的树状结构的分布式数据库，采用客户机/服务器机制，DNS 服务器中包含域名和 IP 地址的对照信息，供客户计算机查询。 　　\. DNS 提供的新功能 　　* 支持活动目录（AD） 　　与 NT 4.0 不同，Windows 2000 Server 中活动目录的域采用与 Internet 类似的 DNS 命名，DNS 集成到活动目录的设计和实现中。如果在服务器上安装了活动目录，Windows 2000 Server 会自动为活动目录安装和配置DNS服务。 　　* 支持动态更新 　　Windows 2000 Server 中的 DNS 服务允许运行 Windows 2000 的客户机，动态地在 DNS 服务器中注册它们的域名和 IP 地址，简化了管理。 　　* 支持 DNS 服务器之间的递增区域传送 　　在区域中的多台 DNS 服务器之间需要通过区域传送来复制和同步域名空间信息。早期的 DNS 使用完全区域传送，即需要完全复制全部域名信息，Windows 2000 Server 中的 DNS 支持递增区域传送，DNS 服务器之间只复制区域中改变的部分，而不是所有信息。 　　\. DNS 的规划 　　在安装DNS服务之前需要对DNS进行规划，决定 DNS 中要实现的域名空间、DNS 是否与活动目录集成、是否需要辅助DNS服务器等。 　　我们的例子中，要在内部网实现的域名为 ha.epnet,不与活动目录集成，网络上有两台 DNS 服务器，一台是主服务器 Server2，一台是辅助服务器 Server3，内部网分为两个网段：10.41.100.0 和 10.41.101.0，子网掩码为 255.255.255.0。 　　下面安装和配置主服务器 Server2。 　　\. 安装 DNS 服务 　　在安装 Windows 2000 Server 的 DNS 服务器之前，要正确地配置 Windows 2000 Server 服务器的 TCP/IP 协议，要求有静态的 IP 地址配置和正确的域后缀。要求有正确的域后缀是因为它将影响 DNS 中起始授权机构（SOA）和名字服务器（NS）的创建。本例中服务器的域后缀为将要实现的域名 ha.epnet。 　　1.在 Server2 上单击“开始”->“设置”->“控制面板”选单，打开控制面板。 　　2.双击“添加/删除程序”，然后单击“添加/删除 Windows 组件”，出现“Windows 组件向导”窗口。 单击选中“网络服务”，然后单击“详细信息”，弹出“网络服务窗口”。 　　3.在“网络服务的子组件”中，选中“域名服务系统（DNS）”，单击“确定”，然后单击“下一步”，根据提示进行安装。 　　4.安装完成后重新启动系统。 　　\. 配置 DNS 的区域 　　DNS 服务器安装完成后，需要在 DNS 中创建区域（zone），实现域名。 　　区域是 DNS 域名空间的组成部分，DNS 允许域名空间分成几个区域，每个区域存储着一个或多个 DNS 域的名称信息，作为单独的文件存放在磁盘上。区域和域是不同的概念，对于一个 DNS 域名，区域是对应的一个存储数据库。当用于创建该区域的域需要添加子域时，这个子域可以被添加到该区域的下面，成为该区域的一部分，也可以为子域创建另外的区域，并把子域委派到这个新建的区域中。 　　Windows 2000 Server DNS 中的区域有三种类型：与活动目录集成的区域、标准主要区域、标准辅助区域。与活动目录集成的区域必须安装在域控制器上，新区域将域名信息存储到活动目录中，区域信息可以在多台 DNS 服务器上更新。标准主要区域是 Windows NT 4.0 中 DNS 使用的区域，它把域名信息保存到一个标准的文本文件。对于标准主要区域，只有一台 DNS 服务器能维护和处理这个区域的更新,它被称为主服务器。如果需要使用多台主服务器，则必须使用与活动目录集成的区域。标准辅助区域是现有区域的一个副本，为主服务器提供平衡处理和容错能力，它在辅助服务器上创建，辅助服务器只能从主服务器复制信息。 　　按照DNS搜索区域的类型，DNS 的区域可分为正向搜索区域和反向搜索区域。正向搜索是DNS服务器要实现的主要功能，它根据计算机的 DNS 名称解析出相应的 IP 地址，而反向搜索则是根据计算机的 IP 地址解析出它的 DNS 名称。 　　下面在主服务器 Server2 上创建正向搜索的标准主要区域，实现域名，区域的名称命名为 ha.epnet。 　　一、创建正向搜索的标准主要区域 　　Windows 2000 Server 中 DNS 的管理工具是DNS控制台。 　　1.在 Server2 上单击“开始”->“程序”->“管理工具”->“DNS”，打开DNS控制台。 　　2.在控制台树中展开相应的 DNS 服务器。如果 DNS 服务器没有列出来，在控制台树中单击选中“DNS”，在控制台选单中单击“操作”->“连接到计算机”，选择要连接的计算机进行连接。 　　3.在控制台树中，单击选中“正向搜索区域”。单击选单“操作”->“新建区域”，弹出“新建区域向导”窗口，单击“下一步”。 　　4.选择区域类型为“标准主要区域”。如果不是在活动目录的域控制器上创建DNS区域，则区域类型中的“与活动目录集成的区域”选项按钮不可用。单击“下一步”。 　　5.输入要创建的区域名称 ha.epnet。单击“下一步”。 　　6.选择创建新的区域文件，文件名为 ha.epnet.dns。单击“下一步”，单击“完成”。 　　区域 ha.epnet 出现在控制台树中的“正向搜索区域”下。 　　二、创建反向搜索的标准主要区域 　　在大部分的 DNS 搜索中，客户机一般执行正向搜索。 DNS 同时提供反向搜索，允许客户机根据一台计算机的 IP 地址搜索它的 DNS 名称。反向搜索的域名信息保存在反向搜索区域中。为进行反向搜索，需要在 DNS 服务器中创建反向搜索区域。在 DNS 标准中定义了特殊域 in-addr.arpa，反向搜索区域中的域是域 in-addr.arpa 的子域。 　　在 DNS 中创建反向搜索区域时，反向搜索区域的名称是由待反向搜索 IP 地址的十进制编号的相反顺序加上 in-addr.arpa 形成。例如本例中要提供对网段 10.41.100.0 中的主机的反向搜索，必须创建一个 100.41.10.in-addr.arpa 的反向搜索区域。对于不同的网段，要根据网络地址分别创建不同的反向搜索区域。 　　本例中存在两个网段 10.41.100.0 和 10.41.101.0，需要为这两个网段分别创建反向搜索区域。 　　1.在 Server2 上打开 DNS 控制台，在 DNS 控制台树中单击选中“反向搜索区域”。单击选单“操作”->“新建区域”，弹出“新建区域向导”窗口，单击“下一步”。 　　2.选择区域类型为“标准主要区域”。单击“下一步”。 　　3.对于网段 10.41.100.0 输入网络号 10.41.100。如图 1 所示。 图 1 　　 　　单击“下一步”。 　　4.选择创建新的区域文件，文件名为 100.41.10.in-addr.arpa.dns。单击“下一步”->“完成”。 　　对于网段 10.41.101.0 重复上述操作，在第三步中，输入网络号 10.41.101，创建的区域文件为 101.41.10.in-addr.arpa.dns。 　?.刂铺ㄊ髦械摹胺聪蛩阉髑?颉毕鲁鱿执唇ǖ亩杂α礁鐾?蔚牧礁龇聪蛩阉髑?颍??窒允疚??0.41.100.x Subnet”和“10.41.101.x Subnet”。 创建标准主要区域之后，需要向该区域添加资源记录。最常添加的资源记录有：起始授权机构、名称服务器、主机记录、邮件交换器等。下面我们简单介绍一下各个资源的特点并举例说明添加资源记录的操作过程。 　　\.添加资源记录的类型 　　创建标准主要区域之后，需要向该区域添加资源记录（RR）。最常用的资源记录类型是： 　　起始授权机构（SOA）：指明该区域的主服务器，是区域信息的主要来源。它还指明区域的版本信息和影响区域更新或期满的时间等基本属性。 　　名称服务器（NS）：标记附加的DNS服务器，是该区域的权威服务器。名称服务器可能不止一个。在默认情况下，使用 DNS 管理单元来添加新的主区域时，“添加新区域”向导会自动创建 SOA 和 NS。 　　主机记录（A）：用于将DNS域名映射到计算机使用的 IP 地址。这是最常使用的资源记录类型。可以手动创建主机记录。当 IP 地址配置更改时，运行 Windows 2000 的计算机可以动态注册和更新它们在 DNS 中的主机记录。 　　别名（CNAME）：用于将 DNS 域名的别名映射到另一个主要的或规范的名称。允许用多个名称指向一个主机。例如一台名称为 Server1.ha.epnet 的计算机同时运行 FTP 服务和 Web 服务，为了规范化你想为 FTP 服务使用名称 ftp.ha.epnet，为 Web 服务使用名称 www.ha.epnet，那么你需要为 server1.ha.epnet 创建两个别名记录 ftp 和 www。 　　邮件交换器（MX）：用于将 DNS 域名映射为交换或转发邮件的计算机的名称。邮件交换器资源记录由电子邮件系统使用，用以根据在邮件目标地址中的DNS域名来定位邮件服务器。如果你为域 ha.epnet 配置的 MX 的邮件服务器是 mail.ha.epnet，则发送到
的邮件首先发往
。MX 中定义的邮件服务器可以是你本地网络中连入 Internet 的邮件服务器，也可以是 Internet 上任一台邮件服务器，只要它允许接收你的邮件。 　　指针（PTR）：是在反向搜索区域中创建的一个映射，用于把计算机的 IP 地址映射到 DNS 域名，它仅用于支持反向搜索。可以静态手动创建指针记录，也可以在创建主机记录时创建相关的指针记录；当 IP 配置更改时，运行 Windows 2000 的计算机可以动态注册和更新它们在 DNS 中的指针记录。 　　服务位置（SRV）：用于将 DNS 域名映射到指定的 DNS 主机列表，该 DNS 主机提供诸如 Active Directory 域控制器之类的特定服务。 　　\.添加资源记录举例 　　下面举例在主服务器 Server2 上创建各种资源记录。 　　添加主机资源记录和相关的指针资源记录 　　我们将为名为 pc1 的主机建立主机记录，同时创建相关联的指针记录。 　　1.在DNS控制台树中单击选中区域 ha.epnet，单击选单“操作”->“新建主机”，弹出“新建主机”窗口。 　　2.在“名称”栏输入主机名 pc1，在“IP 地址”栏输入对应的 IP 地址 10.41.100.20，选中“创建相关的指针（PTR）记录”，单击“添加主机”按钮。单击“完成”。 　　名为 pc1 的主机记录出现在正向搜索区域“ha.epnet”中，同时名为 10.41.100.20 的相关指针记录出现在反向搜索区域“10.41.100.x Subnet”中。pc1 的完全合格域名（FQDN）为 pc1.ha.epnet。 　　添加邮件交换记录 　　下面为域 ha.epnet 建立邮件交换器记录，邮件服务器名为 mail。 　　1.首先如上述操作步骤在区域 ha.epnet 中为邮件服务器建立名为 mail 的主机记录。 　　2.在 DNS 控制台树中单击选中区域 ha.epnet，单击选单“操作”->“新建邮件交换器”，弹出“新建资源记录”窗口。 　　3.保留“主机或域”栏为空，在“邮件服务器”栏中输入或单击“浏览”按钮选择邮件服务器名 mail.ha.epnet。单击“确定”，域 ha.epnet的邮件交换记录出现在区域 ha.epnet 中。 　　添加别名记录 　　下面为同时运行 Web 服务和 FTP 服务的主机 Server1 建立两个别名 www 和 ftp。 　　1.在区域 ha.epnet 中为 Server1 建立名为 Server1 的主机记录。 　　2.在DNS控制台树中单击选中区域 ha.epnet，单击选单“操作”->“新建别名”，弹出“新建资源记录”窗口。 　　3.在“别名”栏中输入 Server1 的别名“www”，在“目标主机的完全合格名称”输入或单击“浏览”按钮选 择 Server1.ha.epnet。单击“确定”。 　　4.重复上述操作，第三步在“别名”栏中输入 Server1 的另一个别名“www”。 　　Server1 的两个别名 www 和 ftp 出现在区域 ha.epnet 中。 图 2 　　上述操作结果如图 2 所示。 \.配置辅助服务器和区域传送 　　DNS 设计规范推荐对每个区域至少使用两个 DNS 服务器，以提供解析名称查询时的平衡处理和容错功能。使用两台 DNS 服务器还可以减少用于DNS查询的网络通信量。对于目录集成的主要区域，两个作为 Windows 2000 域控制器运行的 DNS 服务器均可作为区域的主服务器，对 DNS 的动态更新采取多主机更新模式，区域可由在任何域控制器上运行的 DNS 服务器更新，因此，辅助服务器不是必需的。对于标准主要区域，只能有一台主服务器，采取单主机更新模式，区域只能在主服务器上更新。为提供容错功能，就需要添加辅助服务器。 　　既然对于一个区域会存在多台 DNS 服务器，就必须保证这些服务器之间区域信息的同步。对于目录集成的主要区域，区域信息保留在多台域控制器（主服务器）的活动目录数据库中，而这些域控制器之间通过复制保证活动目录的完全一致，因此这些域控制器（主服务器）提供的区域信息是相同的。对于标准主要区域，主服务器总是保留区域更新和改动的主副本，辅助服务器依赖DNS区域传送机制从主（源）服务器来获取区域信息。 　　当为主服务器上的现有主要区域配置辅助服务器时，需要在辅助服务器上创建与主要区域相同名称的标准辅助区域。在辅助区域创建时，它执行该区域的完全初始传送，从主服务器上获得和复制主要区域的一份完整的资源记录。以后当主要区域更改时，辅助服务器通过区域传送机制从主服务器获取区域更改信息。对于较早版本的DNS服务器，如果区域请求更新，使用完全区域传送方法，需要对整个主要区域数据库进行传送。Windows 2000 Server 的 DNS 服务支持递增区域传送，只对主要区域中更改的部分进行传送。 　　Windows 2000 Server 的 DNS 服务器支持“DNS 通知”，在主要区域发生变化时，“DNS 通知”通知此区域的一组所选的辅助服务器。被通知的服务器可开始进行递增区域传送，从它们的主服务器提取区域变化并更新此区域的本地副本。由于辅助服务器从主服务器处获得通知，每个辅助服务器都必须首先在主服务器的通知列表中拥有其 IP 地址。使用 DNS 通知仅用于通知作为区域辅助服务器操作的服务器。对于和目录集成的区域的复制，不需要 DNS 通知。 　　辅助服务器最常用于正向搜索区域。 　　一、为现有区域添加辅助服务器 　　在正确配置了主服务器 Server2 后，下面在另一台 Windows 2000 Server 计算机 Server3上为区域 ha.epnet 添加辅助服务器。对于 Server3 同样要求已经正确地配置了 IP 和域后缀。 　　1.首先按照前面所述配置方法，在 Server3 上安装 DNS 服务。 　　2.在 Server3 上打开 DNS 控制台，在控制台树中，单击选中“正向搜索区域”。单击选单“操作”->“新建区域”，弹出“新建区域向导”窗口，单击“下一步”。 　　3.选择区域类型为“标准辅助区域”，单击“下一步”。 　　4.在“名称”栏输入区域名 ha.epnet，单击“下一步”。 　　5.在“IP 地址”栏输入 DNS 主服务器的 IP 地址，本例中为 Server2 的 IP 地址，作为辅助服务器的 Server3 将从 Server2 上复制区域信息。 　　6.单击“下一步”，单击“完成”。 　　Server3 已经配置为区域 ha.epnet 的辅助服务器。当 Server3 上的辅助区域初始创建后，它从主服务器 Server2 获得区域 ha.epnet 的一份完整拷贝。你不能在辅助服务器 Server3 中建立资源记录，只能在主服务器 Server2 上建立，Servrer3 通过递增区域传送从 Server2 上获得区域资源记录的更改信息。 　　二、配置DNS通知 　　为了实现在主服务器 Server2 的区域更改后自动通知辅助服务器 Server3，需要在 Server2 上进行如下配置： 　　1.在 Server2 上打开 DNS 控制台，单击选中区域 ha.epnet，单击选单“操作”->“属性”，弹出“ha.epnet 属性”窗口。 　　2.单击“名称服务器”选项卡，单击“添加”按钮，弹出“新建资源记录”窗口。在“服务器名”栏输入辅助服务器 Server3 的完全合格域名 Server3.ha.epnet，在“IP 地址”栏输入 Server3 的 IP 地址。单击“确定”按钮，返回到“ha.epnet 属性”窗口。 　　3.单击“区域复制”选项卡，确保选中“允许区域复制”复选按钮，单击选中“只有在名称服务器选项卡中列出的服务器”单选按钮。 　　4.单击“通知”按钮，弹出“通知”窗口，确保选中“自动通知”复选按钮和“在名称服务器选项卡中列出的服务器”单选按钮。单击“确定”返回到“ha.epnet 属性”窗口。单击“确定”。 　　\. 动态更新 　　动态更新是 DNS 客户机在发生更改时使用 DNS 服务器注册和动态地更新其资源记录。它减少了对区域记录进行手动管理的工作量。在默认情况下，对 TCP/IP 进行配置时，运行 Windows 2000 的客户机在它的 DNS 服务器中动态地注册和更新自己的主机资源记录。对于未运行 Windows 2000 的计算机，可以配置 Windows 2000 DHCP 服务器，该服务器可执行代理注册并根据非动态客户机的需要进行更新。只有 Windows 2000 DNS 服务器支持动态更新，Windows NT Server 4.0 提供的 DNS 服务器不支持此功能。 　　对于与活动目录集成的区域，Windows 2000 DNS 服务器默认允许进行安全的动态更新。对于标准区域，DNS 服务器默认不允许在它的区域中动态更新。 　　为使 Windows 2000 计算机可以在DNS服务器上动态更新它的主机记录，需要作如下配置： 　　1.在主服务器 Server2 上打开 DNS 控制台，单击选中主要区域 ha.epnet。单击选单“操作”->“属性”。 　　2.在“常规”选项卡中，在“允许动态更新？”列表中，单击“是”。单击 “确定”。 　　你还需要在 Windows 2000 计算机的 TCP/IP 配置中，为它指定首选 DNS 服务器的 IP 地址，本例中是 Server2 的 IP 地址。

bazooka

这个MM怎么懂这么多，是学计算机的？

守护Crespo

学美术的！电脑方面的只是略知皮毛！~~~
今天说了好多遍这句话~~汗颜~~~~~~~