模塊二：1、DNS的配置和故障排除。

第一節(jié)：安裝DNS服務(wù)器角色方面1、DNS(Domain Name System域名系統(tǒng))角色概要，它是分層的分布式數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)里記錄的是IP地址和名字的對(duì)應(yīng)關(guān)系，某一個(gè)域名對(duì)應(yīng)到某一個(gè)的IP地址，這就是DNS數(shù)據(jù)庫(kù)的內(nèi)容；它是互聯(lián)網(wǎng)名稱(chēng)方案的基礎(chǔ)，如果沒(méi)有DNS，訪問(wèn)互聯(lián)網(wǎng)上的目的網(wǎng)站就只能通過(guò)那些抽象的IP地址，這是極其麻煩的，我們基本上是無(wú)法記憶那些數(shù)也數(shù)不清的網(wǎng)站的IP地址的，而有了DNS，我們就可以通過(guò)形象的網(wǎng)站名稱(chēng)(域名)來(lái)訪問(wèn)網(wǎng)站，當(dāng)我們?cè)跒g覽器中輸入域名以后，電腦通過(guò)DNS服務(wù)器查找到該域名所對(duì)應(yīng)的IP地址，然后轉(zhuǎn)入相應(yīng)IP的網(wǎng)站；DNS支持使用字母來(lái)訪問(wèn)資源，而不是使用點(diǎn)分十進(jìn)制的IP地址；由InterNIC負(fù)責(zé)管理域名空間，它是一個(gè)非盈利性的公益組織；DNS的使用是為了滿足Internet主機(jī)數(shù)量快速增長(zhǎng)的需求，包括我們局域網(wǎng)里也是一樣的，隨著局域網(wǎng)里的地址越來(lái)越多，達(dá)到成百上千的數(shù)目，為了方便記憶，通過(guò)DNS將幫助我們記錄每個(gè)IP的具體使用者情況，并且可以通過(guò)名字去訪問(wèn)對(duì)方；2、DNS名稱(chēng)空間概要，它是分層的分布式的結(jié)構(gòu)，首先DNS最頂上的域稱(chēng)為根域，用一個(gè)點(diǎn)來(lái)表示它，根域下是一級(jí)域(net、com、org、cn等)、二級(jí)域(跟在net、com等之后的，如nwtraders)、三級(jí)域四級(jí)域(子域)等，子域前有一個(gè)名字，這個(gè)名字就是某臺(tái)電腦的名字；比如有臺(tái)名為Server1的電腦在四級(jí)域sales里，sales在south這個(gè)三級(jí)域里，south這個(gè)子域所在的二級(jí)域?yàn)閚wtraders，nwtraders所在的一級(jí)域?yàn)閏om，那么Server1這臺(tái)電腦將被描述為——FQDN：Server1.sales.south.nwtraders.com(根域的點(diǎn)不用寫(xiě)出)，當(dāng)然如果沒(méi)有具體的分層圖，我們是無(wú)法通過(guò)這個(gè)FQDN判斷出Server1是子域的名稱(chēng)還是電腦的名稱(chēng)，因?yàn)樗鼈兊膶?xiě)法是完全相同的；3、Windows Server 2008的DNS實(shí)現(xiàn)，Server 2008可以用來(lái)做DNS Server，在Server 2008里做一個(gè)數(shù)據(jù)庫(kù)，這個(gè)數(shù)據(jù)庫(kù)用于記錄IP地址和FQDN的對(duì)應(yīng)關(guān)系；Server 2008中新的和增加的功能有后臺(tái)區(qū)域加載(如果DNS服務(wù)器不止一臺(tái)，它們之間存在同步的關(guān)系，當(dāng)?shù)谝慌_(tái)DNS服務(wù)器數(shù)據(jù)庫(kù)的內(nèi)容發(fā)生改變，它要同步到第二臺(tái)去，此時(shí)若有客戶端在第二臺(tái)上做解析，Server 2008以前的系統(tǒng)是無(wú)法完成這個(gè)請(qǐng)求的，它必須要在同步完成以后才能響應(yīng)客戶端的請(qǐng)求，而Server 2008在DNS服務(wù)器數(shù)據(jù)庫(kù)同步期間，對(duì)于客戶端的DNS查詢請(qǐng)求，對(duì)于已經(jīng)加載的部分，則可以答復(fù)客戶端，它在后臺(tái)加載，不影響客戶端的查詢)、IPv6支持(Server 2008的DNS已經(jīng)內(nèi)置了IPv6的支持，它支持把IPv6的地址對(duì)應(yīng)到一個(gè)域名上)、支持只讀域控制器(RODC，它是Server 2008里全新引入的DC，由于這個(gè)DC是只讀的，所以支持它的DNS也是只讀的)、全局單一名稱(chēng)(這是由于歷史的原因所造成的，比如我們?cè)诮ㄓ虻臅r(shí)候?qū)⒊Ｒ?guī)的域名sina.com只寫(xiě)成sina，這個(gè)sina就是單一的名字，這個(gè)單一的名字在以前的DNS是無(wú)法做解析的，只能通過(guò)WINS來(lái)完成，而Server 2008里已經(jīng)可以在DNS Server里解析這種單標(biāo)簽的域了)；4、部署DNS服務(wù)器角色需要考慮的事項(xiàng)，用戶帳號(hào)必須是本地管理員組或相等的組成員，比如說(shuō)域管理員帳號(hào)；建議手工配置服務(wù)器使用靜態(tài)的IP地址，這是因?yàn)镈NS服務(wù)器是要給客戶端用的，客戶端配置TCP/IP屬性時(shí)需要填入DNS，如果DNS服務(wù)器本身的IP地址不是靜態(tài)的，那就意味著客戶端TCP/IP屬性里的DNS地址也總是變化的，這樣對(duì)于使用者和管理者來(lái)說(shuō)都很不方便；DNS服務(wù)器配置好后，我們不建議手工編輯服務(wù)器和啟動(dòng)文件，而是通過(guò)圖形界面去實(shí)現(xiàn)它，在配置DNS服務(wù)器的時(shí)候我們可以使用DNS控制臺(tái)或dnscmd命令行命令(這條命令可以對(duì)DNS服務(wù)器做一些配置和修改)；AD集成的DNS區(qū)域不能使用文本編輯器來(lái)管理，而是使用Console或是MMC來(lái)進(jìn)行管理。

演示：安裝DNS服務(wù)器角色(nslookup命令可以用于查看域名是否正確的解析到相應(yīng)的IP地址)。

首先，單純的在一臺(tái)服務(wù)器上添加DNS角色是沒(méi)有什么意義的，所以，為了以后實(shí)驗(yàn)的需要，我們將一臺(tái)Server 2008的IP地址設(shè)置為與上節(jié)課中配置的DC服務(wù)器在同一個(gè)網(wǎng)段，并且將這臺(tái)服務(wù)器加入到DC服務(wù)器新建的域中，然后我們以DC管理員帳號(hào)在這臺(tái)DNS服務(wù)器上登錄，并使用服務(wù)器管理器添加DNS角色。

第二節(jié)：配置DNS服務(wù)器角色方面1、DNS解決方案的組件，包括DNS客戶端，即需要查詢域名IP對(duì)應(yīng)關(guān)系的電腦；以及DNS服務(wù)器，即記錄了IP和域名對(duì)應(yīng)關(guān)系的數(shù)據(jù)庫(kù)用于答復(fù)客戶端的查詢響應(yīng)，在DNS服務(wù)器里有資源記錄，也就是數(shù)據(jù)庫(kù)里具體的一條條的表項(xiàng)，比如IP1對(duì)應(yīng)域名1，IP2對(duì)應(yīng)域名2；還有就是互聯(lián)網(wǎng)上的DNS服務(wù)器，有DNS的根"."，以及".com"和".edu"等其他一級(jí)域名；當(dāng)客戶端需要查詢域內(nèi)的資源，DNS服務(wù)器會(huì)給予一個(gè)答復(fù)，如果客戶端是要查找互聯(lián)網(wǎng)上的資源，在查到DNS的時(shí)候，DNS服務(wù)器上沒(méi)有這個(gè)記錄，它會(huì)將這個(gè)查詢轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)上去查，查到后將這個(gè)結(jié)果答復(fù)給客戶端，這就是一個(gè)完整的DNS解決方案；2、DNS資源記錄，隸屬于DNS解決方案的組件，它包括有SOA—起始授權(quán)機(jī)構(gòu)(域里的第一臺(tái)DNS服務(wù)器)、A—主機(jī)記錄(某一臺(tái)主機(jī)的名字對(duì)應(yīng)到一個(gè)IP地址，這樣的一條記錄，就是一個(gè)A記錄)、CNAME—?jiǎng)e名記錄(當(dāng)A記錄太長(zhǎng)，為了方便記憶，我們給它取一個(gè)簡(jiǎn)短的別名來(lái)對(duì)應(yīng)A記錄，我們將它稱(chēng)為別名記錄)、MX—郵件交換記錄(用于Email服務(wù)器，M=Mail，X=Exchange)、SRV—服務(wù)資源記錄(它不是記錄某個(gè)IP對(duì)應(yīng)到某臺(tái)主機(jī)，它記錄的是某種服務(wù)由某臺(tái)主機(jī)來(lái)完成)、NS—名稱(chēng)服務(wù)器記錄(Name Server)、AAAA—IPv6 DNS記錄(它專(zhuān)門(mén)記錄IPv6的記錄，一個(gè)機(jī)器名對(duì)應(yīng)到一個(gè)IPv6的IP地址，Server 2008的DNS默認(rèn)支持IPv6的記錄)；我們可以在DC這臺(tái)服務(wù)器的“管理工具”——"DNS"——正向查找區(qū)域中具體形象的看到這些記錄的信息；3、根提示，包括DNS根服務(wù)器的IP地址，在互聯(lián)網(wǎng)上有那么幾臺(tái)服務(wù)器我們把它稱(chēng)為根"."，在我們的DNS服務(wù)器里默認(rèn)就內(nèi)置了互聯(lián)網(wǎng)上的這幾臺(tái)根服務(wù)器("DNS"——右擊服務(wù)器名選“屬性”——“根提示”)，這樣當(dāng)我的客戶端對(duì)我的DNS服務(wù)器發(fā)出查詢請(qǐng)求的時(shí)候，若查詢的是域內(nèi)的資源，能解析的它會(huì)返回查詢的結(jié)果，若不能解析，則DNS服務(wù)器去找根提示，也就是去找互聯(lián)網(wǎng)上的域名，它去找根提示然后將返回的結(jié)果告訴客戶端；4、DNS查詢，是指DNS的客戶端向DNS服務(wù)器發(fā)起的名稱(chēng)解析的請(qǐng)求，比如客戶端發(fā)一個(gè)名字給DNS服務(wù)器，查詢這個(gè)名字對(duì)應(yīng)的IP地址；查詢有遞歸查詢和迭代查詢；DNS客戶端和DNS服務(wù)器都會(huì)發(fā)起查詢(DNS服務(wù)器對(duì)于知道的查詢返回查詢結(jié)果，對(duì)于不知道的，它也會(huì)發(fā)起查詢?nèi)テ渌鸇NS服務(wù)器查找結(jié)果)；DNS服務(wù)器對(duì)域名稱(chēng)空間是權(quán)威的或非權(quán)威的；權(quán)威的是指在DNS服務(wù)器的數(shù)據(jù)庫(kù)里有這個(gè)記錄并答復(fù)給客戶端的查詢(返回所請(qǐng)求的IP地址或者返回權(quán)威的“否”—不知道)，結(jié)果來(lái)自于自身的數(shù)據(jù)庫(kù)；非權(quán)威是指在DNS服務(wù)器的數(shù)據(jù)庫(kù)里沒(méi)有客戶端需要查詢的記錄，當(dāng)客戶端來(lái)查詢的時(shí)候，這臺(tái)DNS服務(wù)器又發(fā)起查詢請(qǐng)求到其他DNS服務(wù)器查找，然后將查詢返回的結(jié)果再告訴給客戶端(這個(gè)過(guò)程包括檢查緩存、使用轉(zhuǎn)發(fā)器、使用根提示)，結(jié)果來(lái)自于非自身的數(shù)據(jù)庫(kù)；5、遞歸查詢，是指客戶端發(fā)往DNS服務(wù)器的查詢能夠直接的得到完整的回復(fù)，也就是客戶端只通過(guò)一個(gè)DNS服務(wù)器就獲得了需要查詢的記錄(當(dāng)然DNS服務(wù)器上可能直接有被查詢的記錄，也可能這個(gè)記錄是通過(guò)迭代查詢而從其他DNS服務(wù)器獲取的)；6、迭代查詢，是指客戶端發(fā)往服務(wù)器的查詢請(qǐng)求，并不能直接獲得查詢結(jié)果，所得到的信息僅是提供參考的其他DNS服務(wù)器位置；舉例，比如客戶端"mail1.nwtraders.com"向本地DNS服務(wù)器發(fā)出查詢請(qǐng)求(這個(gè)過(guò)程始終是遞歸查詢)，但本地DNS服務(wù)器沒(méi)有這個(gè)記錄，然后它通過(guò)根提示"."得知記錄存放在".com"，在到達(dá)".com"服務(wù)器后又被告知記錄存放在"nwtraders.com"服務(wù)器里，最后從"nwtraders.com"服務(wù)器獲得匹配的IP地址記錄(從本地DNS服務(wù)器之后開(kāi)始的查詢過(guò)程就是迭代查詢，且"nwtraders.com"服務(wù)器給出的是權(quán)威答復(fù))，再將該記錄由本地DNS服務(wù)器返回給客戶端(這個(gè)就是非權(quán)威答復(fù))；遞歸查詢比較消耗資源，所以一般流量較大的服務(wù)器都只接受迭代查詢，比如互聯(lián)網(wǎng)上的那些根服務(wù)器；7、轉(zhuǎn)發(fā)器，是設(shè)計(jì)成解析外部或外站點(diǎn)域名空間的DNS服務(wù)器；當(dāng)客戶端需要本地DNS服務(wù)器做解析，而此時(shí)DNS服務(wù)器上的設(shè)置是數(shù)據(jù)庫(kù)里有的記錄它直接返回給客戶端，這也就是權(quán)威答復(fù)，而對(duì)于DNS服務(wù)器上沒(méi)有記錄的情況，再由設(shè)置好的轉(zhuǎn)發(fā)器進(jìn)行后續(xù)的查詢操作，這就是轉(zhuǎn)發(fā)(客戶端找本地DNS服務(wù)器解析外網(wǎng)的地址，服務(wù)器把這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到其他DNS服務(wù)器來(lái)完成)，舉例，與剛才例子的環(huán)境類(lèi)似，只需在本地DNS服務(wù)器后添加一臺(tái)轉(zhuǎn)發(fā)服務(wù)器即可，這樣本地DNS服務(wù)器到轉(zhuǎn)發(fā)器進(jìn)行遞歸查詢，其后的迭代查詢均由轉(zhuǎn)發(fā)器替代本地DNS服務(wù)器完成；所以當(dāng)我們?cè)诰钟蚓W(wǎng)里做好DNS服務(wù)器，然后把客戶端TCP/IP的DNS設(shè)置都指向這臺(tái)DNS服務(wù)器，這個(gè)時(shí)候不用做任何的設(shè)置，客戶端也可以解析互聯(lián)網(wǎng)上的地址，這是因?yàn)橛懈崾?#34;."，通過(guò)它來(lái)找，當(dāng)然由于根提示服務(wù)器是在國(guó)外的，會(huì)比較慢，為了提高解析的速度，我們可以在本地DNS服務(wù)器設(shè)置轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)到我們本地的ISP提供的DNS服務(wù)器，這樣客戶端就可以更快的解析外網(wǎng)地址了；轉(zhuǎn)發(fā)器分為有條件的轉(zhuǎn)發(fā)(指定某個(gè)域名到×××，其他的做無(wú)條件轉(zhuǎn)發(fā))和無(wú)條件的轉(zhuǎn)發(fā)(知道的回復(fù)，不知道的都去指定的地方找)兩種；8、有條件轉(zhuǎn)發(fā)，按照域名條件轉(zhuǎn)發(fā)請(qǐng)求，比如客戶端要在本地DNS上查找"www.contoso.msft"的地址解析，而我們?cè)诒镜谼NS服務(wù)器上指定了凡是"contoso.msft"這個(gè)域名都到"Contoso.msft DNS"上去查，這就是有條件轉(zhuǎn)發(fā)，而不是"contoso.msft"這個(gè)域名的，都將到默認(rèn)的"ISP DNS"去查找解析，這就是無(wú)條件的轉(zhuǎn)發(fā)，這就類(lèi)似靜態(tài)和動(dòng)態(tài)路由，去到某一個(gè)網(wǎng)段從這里走這就是靜態(tài)路由，去到所有的網(wǎng)段從這里走這就是默認(rèn)路由，指定某一個(gè)域名去到某個(gè)指定的DNS服務(wù)器解析就是有條件轉(zhuǎn)發(fā)，其他所有域名的解析按照默認(rèn)的查詢方向就是無(wú)條件轉(zhuǎn)發(fā)(或稱(chēng)為轉(zhuǎn)發(fā))；9、DNS服務(wù)器緩存的工作方式，比如客戶端1發(fā)起一個(gè)查詢查找ServerA的IP地址，本地DNS服務(wù)器通過(guò)層層查詢獲得了ServerA的地址是"192.168.8.44"并將這個(gè)地址返回給了客戶端1，客戶端1也將在自己的Cache中保留這個(gè)記錄，這樣當(dāng)它再次需要查詢的時(shí)候就不需要再到本地DNS上查找了，當(dāng)又有一臺(tái)客戶端2需要查詢ServerA的IP地址時(shí)，本地DNS服務(wù)器將從自身的緩存中取得剛才查到的"192.168.8.44"這個(gè)IP地址并返回客戶端2，而無(wú)需再次經(jīng)過(guò)層層查找了，從此我們可以看出，Cache緩存不止是服務(wù)器有，客戶端同樣也有。

演示：配置DNS服務(wù)器角色方面1、更新DNS服務(wù)器的根提示，它的位置是在“管理工具”——"DNS"——右擊服務(wù)器名選擇“屬性”——“根提示”(一般情況沒(méi)有必要更改)；2、配置DNS服務(wù)器使用轉(zhuǎn)發(fā)器，它的位置是在“管理工具”——"DNS"——右擊服務(wù)器名選擇“屬性”——“轉(zhuǎn)發(fā)器”，這里“編輯”添加的就是無(wú)條件轉(zhuǎn)發(fā)，有條件轉(zhuǎn)發(fā)是在服務(wù)器名菜單——右擊“條件轉(zhuǎn)發(fā)器”選擇“新建條件轉(zhuǎn)發(fā)器”；3、右擊服務(wù)器名選擇“屬性”——“接口”指的是這臺(tái)DNS服務(wù)器響應(yīng)從以下這些IP端口過(guò)來(lái)的查詢，如果有雙網(wǎng)卡，還可以設(shè)置哪個(gè)網(wǎng)卡過(guò)來(lái)的響應(yīng)，哪個(gè)網(wǎng)卡過(guò)來(lái)的不響應(yīng)；4、使用DNS控制臺(tái)清除DNS服務(wù)器緩存，右擊服務(wù)器名——“清除緩存”；5、使用DNSCmd命令清除DNS服務(wù)器緩存，通過(guò)在命令行下輸入"dnscmd /？"查詢可得DNSCmd的具體用法以及相應(yīng)的參數(shù)"/clearcache"。

第三節(jié)：配置DNS區(qū)域方面1、DNS區(qū)域，比如我們剛才在DNS這臺(tái)主機(jī)上新建了DNS服務(wù)器這個(gè)角色，新建角色之后它的正向和反向查找區(qū)域都是空的，這臺(tái)DNS服務(wù)器是要為某個(gè)域來(lái)做解析的，我們說(shuō)這臺(tái)DNS所負(fù)責(zé)的域就是區(qū)域，這個(gè)域包括正向的(從域名到IP的解析)和反向的(從IP到域名的解析)，因?yàn)槲覀冇袝r(shí)候只知道域名不知道IP(正向解析)，而有時(shí)候我們又只知道IP不知道域名(反向解析)；從根域到一級(jí)域二級(jí)域，每一個(gè)域所對(duì)應(yīng)的就是一個(gè)區(qū)域，每一個(gè)區(qū)域又包含了正向區(qū)域和反向區(qū)域；2、DNS區(qū)域的類(lèi)型，主要區(qū)域(主要區(qū)域的DNS服務(wù)器它的數(shù)據(jù)庫(kù)是可讀可寫(xiě)可修改的，可以人為的更改里面的資源記錄)，輔助區(qū)域(輔助區(qū)域的DNS數(shù)據(jù)庫(kù)是一個(gè)只讀的拷貝，是不能更改的，它只能夠向主要區(qū)域去復(fù)制)，存根區(qū)域(存根區(qū)域是在我的副域的DNS上指定某個(gè)子域它是一個(gè)存根區(qū)域，指定后，它只包括指定名稱(chēng)服務(wù)器的這個(gè)區(qū)域的拷貝，而不像輔助區(qū)域拷貝的是主域上的所有記錄，比如在我們的"win08r2.com"上有很多的分公司，有"guangzhou.win08r2.com"，有"shanghai.win08r2.com"，在上海又有"kw.shanghai.win08r2.com"，那么在主要區(qū)域，在副區(qū)域"win08r2.com"上解析"kw.shanghai.win08r2.com"，經(jīng)過(guò)層層傳遞，我們可以在"win08r2.com"上指定"kw.shanghai.win08r2.com"它是一個(gè)存根區(qū)域，這樣以后需要解析"kw.shanghai.win08r2.com"的時(shí)候我們可以直接的把這個(gè)請(qǐng)求轉(zhuǎn)發(fā)到存根區(qū)域去，讓它去找)，以及AD集成區(qū)域(AD集成區(qū)域指的是DNS數(shù)據(jù)庫(kù)不是存放在DNS服務(wù)器上的硬盤(pán)上的數(shù)據(jù)庫(kù)里，而是存在AD里面，也就是活動(dòng)目錄里)，特別說(shuō)明的是，在我們講AD的時(shí)候，我們所做的DNS都是AD集成區(qū)域；3、正向和反向查找區(qū)域，名字到IP的對(duì)應(yīng)關(guān)系就是正向的，反過(guò)來(lái)，IP到名字的對(duì)應(yīng)關(guān)系就是反向的；4、存根區(qū)域，舉例，根域"contoso.com"下有一個(gè)子域"na.contoso.com"，這個(gè)子域下又有一個(gè)名為"ny.na.contoso.com"的子域，當(dāng)這個(gè)子域中的客戶端需要解析域"fabrikam.com"下面的子域"na.fabrikam.com"的時(shí)候，客戶端首先需要通過(guò)父域"na.contoso.com"，然后再到根域"contoso.com"查找到"na.fabrikam.com"的父域"fabrikam.com"，進(jìn)而查找到它，也就是說(shuō)"ny.na.contoso.com"服務(wù)器必須查詢多個(gè)DNS服務(wù)器才能發(fā)現(xiàn)維護(hù)"na.fabrikam.com"區(qū)域的服務(wù)器，而如果將"na.fabrikam.com"指定為"ny.na.contoso.com"的存根區(qū)域的話，那客戶端就可以直接通過(guò)存根區(qū)域查找到"na.fabrikam.com"而無(wú)需經(jīng)過(guò)層層查找，這樣不但查找能更快捷，當(dāng)其中的任何一臺(tái)父域或根域無(wú)法訪問(wèn)時(shí)，也不會(huì)影響到對(duì)"na.fabrikam.com"的解析，因?yàn)樗鼈儍蓚€(gè)子域在網(wǎng)絡(luò)上是通的，也就是說(shuō)使用定義好的存根區(qū)域，"ny.na.contoso.com"服務(wù)器不需要查詢多個(gè)DNS服務(wù)器就能發(fā)現(xiàn)維護(hù)"na.fabrikam.com"區(qū)域的服務(wù)器；5、DNS區(qū)域委派，將子域的DNS委派給子域的服務(wù)器進(jìn)行管理，以避免所有的子域都到父域中去做DNS解析，就好像一個(gè)公司里，不要所有的事情都找總經(jīng)理，有的事情找部門(mén)經(jīng)理就可以解決了，因?yàn)榭偨?jīng)理對(duì)部門(mén)經(jīng)理進(jìn)行了委派，授予部門(mén)經(jīng)理一定的管理權(quán)限。

演示：創(chuàng)建正向和反向查找區(qū)域。

我們可以通過(guò)“新建區(qū)域向?qū)А痹谡蚝头聪虿檎覅^(qū)域里新建“主要區(qū)域”、“輔助區(qū)域”和“存根區(qū)域”，并且如果這臺(tái)DNS服務(wù)器是可寫(xiě)域控制器時(shí)，我們還可以通過(guò)勾選“在Active Directory中存儲(chǔ)區(qū)域……”來(lái)建立一個(gè)AD集成區(qū)域。這里我們?cè)?#34;win08r2dns.win08r2.com"這臺(tái)DNS服務(wù)器上新建一個(gè)“區(qū)域名稱(chēng)”為"win08r2.com"的正向查找的主要區(qū)域，以及一個(gè)使用IPv4地址"192.168.200."的反向查找的主要區(qū)域。同理，我們也可以在"win08r2dc.win08r2.com"這臺(tái)DC上的DNS服務(wù)器角色中創(chuàng)建不同區(qū)域的正向和反向查找。

第四節(jié)：配置DNS區(qū)域傳輸方面1、DNS區(qū)域傳輸，是DNS服務(wù)器之間權(quán)威DNS區(qū)域數(shù)據(jù)的同步；主要DNS服務(wù)器上的數(shù)據(jù)是可以更改的，而輔助DNS服務(wù)器上的數(shù)據(jù)是不能更改的，當(dāng)主要DNS服務(wù)器上的數(shù)據(jù)庫(kù)記錄發(fā)生更改的時(shí)候，輔助DNS服務(wù)器到主要DNS服務(wù)器上進(jìn)行學(xué)習(xí)(拷貝)，即主要DNS服務(wù)器的數(shù)據(jù)庫(kù)傳給輔助DNS服務(wù)器，這就涉及到區(qū)域傳輸；第一步輔助DNS服務(wù)器發(fā)起一個(gè)起始資源記錄SOA對(duì)區(qū)域查詢，主要DNS服務(wù)器給予輔助DNS服務(wù)器SOA查詢答復(fù)，輔助DNS服務(wù)器在收到答復(fù)以后，開(kāi)始對(duì)區(qū)域的IXFR或AXFR進(jìn)行查詢(區(qū)域查詢)，而后主要DNS服務(wù)器給予輔助DNS服務(wù)器IXFR或AXFR查詢答復(fù)(區(qū)域傳輸)；2、DNS通知的工作流程，是原來(lái)的DNS協(xié)議規(guī)范的更新，它允許在區(qū)域改變時(shí)發(fā)送通知到輔助DNS服務(wù)器；輔助DNS服務(wù)器(目的服務(wù)器)和主要DNS服務(wù)器(源服務(wù)器)的數(shù)據(jù)庫(kù)要保持一致，當(dāng)主要DNS服務(wù)器的數(shù)據(jù)庫(kù)發(fā)生改變，它主動(dòng)的發(fā)DNS通知告訴輔助DNS服務(wù)器它數(shù)據(jù)庫(kù)中的資源記錄和SOA序列號(hào)更新了，輔助DNS服務(wù)器可以過(guò)來(lái)學(xué)了(拷貝)，而后輔助DNS服務(wù)器在得知主要DNS服務(wù)器上的DNS數(shù)據(jù)庫(kù)發(fā)生了改變后，會(huì)開(kāi)始一個(gè)Zone區(qū)域傳輸；3、安全的區(qū)域傳輸，指的是并非輔助DNS服務(wù)器想學(xué)就能學(xué)的，輔助區(qū)域必須要在主要區(qū)域許可的情況下才能進(jìn)行區(qū)域傳輸；安全的區(qū)域傳輸可以限制到指定服務(wù)器的區(qū)域傳輸，主要區(qū)域允許才能學(xué)，不允許就不能學(xué)；可以加密區(qū)域傳輸?shù)牧髁?#xff1b;如果是在局域網(wǎng)內(nèi)部的域內(nèi)還可以考慮使用AD集成的區(qū)域，域內(nèi)的DNS服務(wù)器之間會(huì)存在DNS數(shù)據(jù)的傳輸，它的傳輸是隨著AD的數(shù)據(jù)一起來(lái)同步的。

演示：配置輔助區(qū)域和配置DNS區(qū)域傳輸。

首先我們把上個(gè)實(shí)驗(yàn)在"win08r2dns.win08r2.com"上添加的正向和反向查找區(qū)域內(nèi)的空區(qū)域刪除，然后在正向查找區(qū)域中添加區(qū)域名稱(chēng)為"win08r2.com"，IP為"192.168.200.101"的“輔助區(qū)域”，此時(shí)點(diǎn)擊“正向查找區(qū)域”——"win08r2.com"應(yīng)該可以看到“不是由DNS服務(wù)器加載的區(qū)域”，這是因?yàn)橹鱀NS服務(wù)器"win08r2dc.win08r2.com"的"win08r2.com"域還沒(méi)有開(kāi)通允許進(jìn)行區(qū)域傳送的設(shè)置；接下來(lái)我們來(lái)到服務(wù)器"win08r2dc.win08r2.com"上，在“正向查找區(qū)域”——右擊"win08r2.com"選擇“屬性”——“區(qū)域傳送”——勾選“允許區(qū)域傳送”——“只允許到下列服務(wù)器”(“到所有服務(wù)器”很不安全)——“編輯”添加IP"192.168.200.102"(DNS通知是在“編輯”下的“通知...”選項(xiàng)里設(shè)置的，在“允許區(qū)域傳送”時(shí)，我們可以通過(guò)配置主DNS服務(wù)器上的DNS通知來(lái)自動(dòng)更新輔助DNS服務(wù)器)——“確定”退出；最后回到服務(wù)器"win08r2dns.win08r2.com"上的“正向查找區(qū)域”——右擊刷新"win08r2.com"，等待片刻即可實(shí)現(xiàn)從"win08r2dc"服務(wù)器到"win08r2dns"服務(wù)器的DNS區(qū)域傳輸。

第五節(jié)：DNS管理和故障排除方面1、Time to Live(TTL)、老化和清除，TTL指明DNS服務(wù)器里的記錄保持有效的時(shí)間長(zhǎng)短，若DNS服務(wù)器里的某條記錄是手工添加的，那么這條記錄會(huì)永遠(yuǎn)有效，比如我們?cè)诜?wù)器"win08r2dc.win08r2.com"的域"win08r2.com"中添加一條A記錄(由于服務(wù)器"win08r2dns.win08r2.com"上的域"win08r2.com"是一個(gè)輔助區(qū)域，所以不能更改它的記錄)，這條記錄就是永遠(yuǎn)有效的；而我們?cè)谟?#34;win08r2.com"下看到的主機(jī)地址"win08r2dc"、"win08r2dns"或者還有一臺(tái)客戶端Client1加入進(jìn)來(lái)，它會(huì)自動(dòng)的生成名字和IP的對(duì)應(yīng)關(guān)系，之后若它們的IP發(fā)生改變，它注冊(cè)以后，它們的域名又會(huì)對(duì)應(yīng)到新的IP，若客戶端Client1很長(zhǎng)時(shí)間沒(méi)有開(kāi)機(jī)，那么在DNS服務(wù)器里所記錄的名字和IP地址的對(duì)應(yīng)關(guān)系要記錄多久呢，它有一個(gè)老化的時(shí)間，當(dāng)時(shí)間超過(guò)了TTL所指明的保持有效的時(shí)間它就會(huì)老化，即插入DNS服務(wù)器的記錄達(dá)到截止時(shí)間并被移除時(shí)發(fā)生老化；清除是指清理DNS服務(wù)器中過(guò)時(shí)的資源記錄，在多臺(tái)DNS服務(wù)器的時(shí)候，我們不介意在某一臺(tái)DNS服務(wù)器上單獨(dú)的執(zhí)行清除，哪怕這是一次誤操作，因?yàn)榍宄蟮耐讲僮饔謺?huì)恢復(fù)那些被清除的記錄，所以為了能夠切實(shí)的執(zhí)行清除或老化，我們可以將那些記錄標(biāo)記為清除或老化，然后在DNS服務(wù)器同步的時(shí)候，統(tǒng)一的處理掉它們；2、測(cè)試DNS服務(wù)器配置，通過(guò)在客戶端或服務(wù)器上進(jìn)行一系列的操作，包括使用簡(jiǎn)單查詢以確保DNS服務(wù)能提供響應(yīng)，或是使用遞歸或迭代查詢以確保DNS服務(wù)器能和上流DNS服務(wù)通信；3、識(shí)別DNS問(wèn)題的工具，Nslookup是一個(gè)用于排除故障的命令行工具，它只是用來(lái)做域名解析而無(wú)法對(duì)DNS數(shù)據(jù)庫(kù)做更改，它一般是在客戶端上使用的；Dnscmd用于編輯DNS的配置，即在DNS管理客戶端這個(gè)圖形界面下的操作基本都可以通過(guò)Dnscmd這個(gè)命令行來(lái)完成，對(duì)于它的具體用法，我們可以通過(guò)“Windows幫助和支持”或是命令行下的"dnscmd /?"來(lái)查詢；Dnslint用于診斷普通的DNS問(wèn)題，同樣的它也不能更改DNS數(shù)據(jù)庫(kù)的配置；Nslookup做查詢，Dnslint做診斷，而要對(duì)DNS數(shù)據(jù)庫(kù)做更改可以通過(guò)使用DNS管理客戶端這個(gè)圖形界面或是命令行工具Dnscmd(題外：與MCSE2003不同，現(xiàn)在微軟將開(kāi)發(fā)和管理分的很細(xì)，對(duì)于管理，它要求管理員知道這些命令是做什么用的，但是對(duì)于這些命令的細(xì)節(jié)不做過(guò)多的要求，在MCSE2003時(shí)，對(duì)于管理所使用的腳本要求要有一定的了解，到了MCITP里改變?yōu)楸M量的通過(guò)圖形界面去完成管理操作)；4、使用DNS事件日志和排錯(cuò)日志監(jiān)控DNS，在事件日志中監(jiān)測(cè)DNS事件用以監(jiān)測(cè)區(qū)域傳輸信息(是指在多臺(tái)DNS服務(wù)器之間的區(qū)域傳遞)以及監(jiān)測(cè)計(jì)算機(jī)事件(比如一臺(tái)計(jì)算機(jī)加入了域，它就會(huì)在DNS服務(wù)器上生成一條記錄，記錄它的域名和IP的對(duì)應(yīng)關(guān)系，我們可以通過(guò)日志去查看它)；啟用DNS排錯(cuò)日志以查看DNS活動(dòng)細(xì)節(jié)，日志的位置是在"DNS"——服務(wù)器名——“全局日志”——“DNS事件”，我們一般關(guān)注的是帶紅色感嘆號(hào)的錯(cuò)誤日志。

演示：管理DNS記錄；測(cè)試DNS服務(wù)器配置。(命令行下的清屏命令是"cls"，我們除了在命令行下通過(guò)命令來(lái)使用"nslookup"以外，還可以通過(guò)右擊“DNS服務(wù)器”下的服務(wù)器名選擇“啟動(dòng)nslookup”直接進(jìn)入)

我們可以在主要DNS服務(wù)器"win08r2dc.win08r2.com"的“服務(wù)器管理器”——“角色”——“DNS服務(wù)器”——"DNS"——右擊"win08r2dc"，在出現(xiàn)的菜單中“為所有區(qū)域設(shè)置老化/清理”和“清除過(guò)時(shí)的資源記錄”兩項(xiàng)就是管理DNS記錄的選項(xiàng)工具；我們可以通過(guò)在命令行下的"nslookup win08r2.com"命令來(lái)獲得域"win08r2.com"對(duì)應(yīng)的IP是"192.168.200.100"，而"nslookup win08r2dc.win08r2.com"顯示的對(duì)應(yīng)IP也是"192.168.200.100"，因?yàn)榉?wù)器"win08r2dc.win08r2.com"也就是域"win08r2.com"的服務(wù)器；我們也可以直接使用命令"nslookup"，然后再在提示符">"后跟上需查詢的主機(jī)名或域名，這樣就可以進(jìn)行連續(xù)的查詢了；我們留意到使用"nslookup"后會(huì)顯示“默認(rèn)服務(wù)器：UnKnown?? Address：::1”，這并非是說(shuō)DNS沒(méi)有配好，而是DNS沒(méi)有配置反向區(qū)域，因?yàn)檩斎?#34;nslookup"以后，這臺(tái)機(jī)器會(huì)去找本機(jī)TCP/IP里配置的DNS服務(wù)器IP地址，然后它通過(guò)這個(gè)IP地址反向的查找到域名，而這個(gè)反向的查找區(qū)域我們并沒(méi)有設(shè)置，所以它的顯示是這樣的；為了解決這個(gè)問(wèn)題，我們?cè)诜?wù)器"win08r2dc"——右擊“反向查找區(qū)域”選擇“新建區(qū)域”，新建“主要區(qū)域”，使用默認(rèn)選項(xiàng)，設(shè)置IPv4的反向查找區(qū)域，網(wǎng)絡(luò)ID為"192.168.200."，然后右擊這個(gè)新建的反向區(qū)域選擇“新建指針”，設(shè)定“主機(jī)IP地址”為"192.168.200.101"，“瀏覽”選擇主機(jī)名為"win08r2dc"——“正向查找區(qū)域”——"win08r2.com"——"win08r2dc"，然后“確定”退出；需要注意的是，我們剛才運(yùn)行"nslookup"的服務(wù)器是"win08r2dc"，而我們最開(kāi)始在這臺(tái)服務(wù)器上配置的DNS服務(wù)器IP地址為它本機(jī)的IP"127.0.0.1"，所以在進(jìn)行了如上的反向查找區(qū)域設(shè)置以后，在服務(wù)器"win08r2dc"上運(yùn)行"nslookup"還會(huì)有這個(gè)提示(因?yàn)槲覀冊(cè)O(shè)置的反向查找地址是"192.168.200.101")，要想看到設(shè)置后的效果，我們可以在服務(wù)器"win08r2dns"上運(yùn)行"nslookup"查看(這臺(tái)服務(wù)器的TCP/IP設(shè)置里的DNS服務(wù)器IP地址是"192.168.200.101"，運(yùn)行"nslookup"后，它會(huì)通過(guò)這個(gè)地址到"win08r2dc"上去找，而我們剛才已經(jīng)在"win08r2dc"上設(shè)置好了反向記錄，所以它會(huì)反向的找到"192.168.200.101"所對(duì)應(yīng)的服務(wù)器名是"win08r2dc.win08r2.com")，此時(shí)顯示的會(huì)是“默認(rèn)服務(wù)器：win08r2dc.win08r2.com?? Address：192.168.200.101”。

?

轉(zhuǎn)載于:https://blog.51cto.com/liufisky/344625

總結(jié)

以上是生活随笔為你收集整理的MCITP第十二课——642课件2新知识点笔记的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。