網(wǎng)工備考-－Wｉndoｗsｓerver２0２３ＤNＳ配置在目前應(yīng)用中重要使用兩種名稱(chēng)體系：ＤNS名稱(chēng)體系和NetBIOS名稱(chēng)體系。但ＤＮS成為IＮTERNET上通用的命名規(guī)范。?

1.NｅtBＩOS名稱(chēng)體系

它是使用長(zhǎng)度不超過(guò)1６個(gè)字符的名稱(chēng)來(lái)惟一標(biāo)記每個(gè)網(wǎng)絡(luò)資源。名稱(chēng)中的前進(jìn)１5個(gè)字符可以由用戶(hù)指定，每１6個(gè)字符是一個(gè)0０到FF的十六進(jìn)制數(shù)，用于標(biāo)記資源或服務(wù)類(lèi)型。在實(shí)際應(yīng)用中，通過(guò)WINDOＷS操作系統(tǒng)中的“網(wǎng)絡(luò)鄰居”看到的計(jì)算機(jī)名、工作組名或域名就是NeｔＢIOS名稱(chēng)。?

2．ＤNS名稱(chēng)體系

DNS名稱(chēng)通常采用ＦQDN(FullyQualifiedDomainName,完全限定域名）的形式來(lái)表達(dá)由主機(jī)名和域名兩部分組成。比如:ＨＹPERLＩNK""\t"_blａnｋ".cｏm就是一個(gè)典型的ＦQDＮ,其中,ｗww是主機(jī)名,表達(dá)域名限制范圍中的一臺(tái)主機(jī);lanｄon.ｃom是域名,表達(dá)一個(gè)區(qū)域或一個(gè)范圍。?

DNS名稱(chēng)空間?DNS名稱(chēng)體系是有層次的,域是其層次結(jié)構(gòu)的基本單位，任何一個(gè)域最多屬于一個(gè)上級(jí)域,但可以有多個(gè)或沒(méi)有下級(jí)域。在同一個(gè)域中不能有相同的下級(jí)域或主機(jī)名,但在不同的域中則可以有相同的下級(jí)域名或主機(jī)名。?

1.根域:（RootDomａｉn）根域只有一個(gè)，根域是默認(rèn)的,一般不需要表達(dá)出來(lái)。DNS命名空間都是由位于美國(guó)的INTEＲNIＣ負(fù)責(zé)管理域進(jìn)行授權(quán)管理的。在根域服務(wù)器中并沒(méi)有保存全世界的所有的DNＳ名稱(chēng)，其中只保存著頂級(jí)域的DNS服務(wù)器名稱(chēng)與IP地址的相應(yīng)關(guān)系。每一層的DNS服務(wù)器只負(fù)責(zé)管理其下一層域的DNS服務(wù)器名稱(chēng)與IＰ地址的相應(yīng)關(guān)系。

2.頂級(jí)域(Ｔｏp-LeｖｅlDomaｉn,TLD)?在根域之下的第一級(jí)域便是頂級(jí)域。頂級(jí)域位于最右邊。頂級(jí)域有兩種類(lèi)型的劃分方法:機(jī)構(gòu)域和地理域。比如:.ｃom是機(jī)構(gòu)域

．cn是地理域。

3．各級(jí)子域(Suｂdomaｉn）?除了根域和頂級(jí)域之外，其它域均稱(chēng)為子域。一個(gè)域可以有多個(gè)子域。?

４.主機(jī)名(HｏstNａｍe)

位于最左邊的便是域主機(jī)名。

5.反向域（in－addｒ．a(chǎn)rpa）

反向域使用一個(gè)IP地址的一個(gè)字節(jié)值來(lái)代表一個(gè)子域,這樣反向域in-ａddｒ.arpa就被劃分為25６個(gè)子域,每個(gè)子域代表該字節(jié)的一個(gè)也許值0－２5５。。根據(jù)同樣的方法,又可以將每一個(gè)子域進(jìn)一步劃分為２５6個(gè)子域。這樣，可以對(duì)每個(gè)子域繼續(xù)劃分,直到將所有的地址空間都在反向域中表達(dá)出來(lái)。?

DNS名稱(chēng)的解析方法

重要有兩種：一是通過(guò)HOSTS文獻(xiàn)解析,二是通過(guò)DNS服務(wù)器解析。

1．HＯSＴS文獻(xiàn)

這是最初的一種查詢(xún)方式，它是由人工進(jìn)行輸入、刪除、修改所有ＤNS名稱(chēng)與IP地址相應(yīng)數(shù)據(jù)。顯然網(wǎng)絡(luò)較大時(shí)是不合用的。在WＩN2０2３中，HOSTS文獻(xiàn)位于%SYSＴＥMRＯＯT％\Syｓtem32\Dｒiverｓ\Ｅtc目錄中。是一個(gè)純文本文獻(xiàn)?2.DNＳ服務(wù)器：目前最常用的。

DNS服務(wù)器的類(lèi)型

重要有四種類(lèi)型：主DNＳ服務(wù)器,輔助DＮS服務(wù)器、轉(zhuǎn)發(fā)DNS服務(wù)器和惟緩存DＮS服務(wù)器。

1、主DＮS服務(wù)器

它是特定DNＳ域所有信息的權(quán)威性信息源,從域管理員構(gòu)造本地?cái)?shù)據(jù)庫(kù)文獻(xiàn)中加載域信息，主DＮＳ服務(wù)器保存著自主生成的區(qū)域文獻(xiàn)夾，該文獻(xiàn)是可讀可寫(xiě)的,當(dāng)DNS域中的信息發(fā)生變化時(shí),這些京華都會(huì)保存到主DＮＳ服務(wù)器的區(qū)域文獻(xiàn)中。?２、輔助DNＳ服務(wù)器?它可以從主ＤNS服務(wù)器中復(fù)制一整套域信息。區(qū)域文獻(xiàn)是從主DNS服務(wù)器中復(fù)制生成的，并作為本地文獻(xiàn)存儲(chǔ)在輔助DNS服務(wù)器中。這種復(fù)制稱(chēng)為區(qū)域傳輸。這個(gè)副本是只讀的。無(wú)法對(duì)其進(jìn)行更改。要更改就是必須在主DNＳ服務(wù)器上進(jìn)行。在實(shí)際應(yīng)用中輔助DＮS重要是為了均衡負(fù)載和容錯(cuò)。當(dāng)主DNＳ出現(xiàn)故障,輔助的DNS可以轉(zhuǎn)換為主DNＳ服務(wù)器。

3、轉(zhuǎn)發(fā)DNＳ服務(wù)器

轉(zhuǎn)發(fā)DNS服務(wù)器可以將其它DＮS轉(zhuǎn)發(fā)解析請(qǐng)求,當(dāng)DNＳ服務(wù)器收到客戶(hù)端的解析請(qǐng)求后。它一方面會(huì)嘗試從其本地?cái)?shù)據(jù)庫(kù)中查找,若沒(méi)有找到，則需要向其它指定的DNＳ服務(wù)器轉(zhuǎn)發(fā)解析請(qǐng)求；其它DＮS服務(wù)器完畢解析后會(huì)返回解析結(jié)果,轉(zhuǎn)發(fā)DNS服務(wù)器將解析結(jié)果緩存在自己的DNS緩存中，并向客戶(hù)端返回解析結(jié)果。在緩存期內(nèi)，假如客戶(hù)端請(qǐng)求解析相同的名稱(chēng)，則轉(zhuǎn)發(fā)DNＳ服務(wù)器會(huì)立即回應(yīng)客戶(hù)端;否則將會(huì)再次發(fā)生轉(zhuǎn)發(fā)解析的過(guò)程。目前網(wǎng)絡(luò)中所有的DNS服務(wù)器均被配置為轉(zhuǎn)發(fā)DNS服務(wù)器，向指定的其它DNS服務(wù)器或根域服務(wù)器轉(zhuǎn)發(fā)自己無(wú)法解析的請(qǐng)求。

４、惟緩存ＤNＳ服務(wù)器?可以提供名稱(chēng)解析,但其沒(méi)有任何本地?cái)?shù)據(jù)庫(kù)文獻(xiàn)，惟緩存ＤNS服務(wù)器必須同時(shí)是轉(zhuǎn)發(fā)ＤＮS服務(wù)器,它將客戶(hù)端的解析請(qǐng)示轉(zhuǎn)發(fā)給指定的遠(yuǎn)程ＤNＳ服務(wù)器，并從遠(yuǎn)程DＮS服務(wù)器取得每次解析的結(jié)果，并將該結(jié)果存儲(chǔ)在DＮS緩存中,以后收到相同的解析請(qǐng)求時(shí)就用ＤNS緩存中的結(jié)果。ＤNS服務(wù)器都按這種方式使用緩存中的信息,但惟緩存服務(wù)器則依賴(lài)于這一技術(shù)實(shí)現(xiàn)所有的名稱(chēng)解析,惟緩存服務(wù)器并不是權(quán)威性的服務(wù)器，由于它提供的所有信息都是間接信息。

提醒:（１）所有的ＤNS服務(wù)器都可以使用DＮS緩存機(jī)制響應(yīng)解析請(qǐng)求，以提供解析效率。（２)一些域的主DNS服務(wù)器可以是另一些域的輔助DNS服務(wù)器。(3）一個(gè)域只能部署一個(gè)主DNＳ服務(wù)器，它是該域的權(quán)威性信息源，另處至少應(yīng)部署一個(gè)輔助DNS服務(wù)器，將作為主服務(wù)器的備份。（4）配置緩存DNS服務(wù)器可以減輕主DNS服務(wù)器和輔助ＤＮＳ服務(wù)器的負(fù)載,從而減少網(wǎng)絡(luò)傳輸。

ＤＮＳ名稱(chēng)解析的查詢(xún)模式?1、遞歸查詢(xún):當(dāng)收到客戶(hù)端的遞歸查詢(xún)請(qǐng)求后，當(dāng)前ＤＮS服務(wù)器只會(huì)向ＤNＳ客戶(hù)端返回兩種信息：要么是在該DNS服務(wù)器上查詢(xún)到的結(jié)果，要么是查詢(xún)失敗,假如當(dāng)前ＤNS服務(wù)器中無(wú)法解析名稱(chēng)，它并不會(huì)積極告知DNＳ客戶(hù)端其它也許的DNＳ服務(wù)器,而是自行向其它DNＳ服務(wù)器查詢(xún)并完畢解析。假如其它DNS服務(wù)器解析失敗,則ＤNＳ服務(wù)器將向DNS客戶(hù)端返回查詢(xún)失敗的消息。遞歸即是有來(lái)有往。

２、迭代查詢(xún):迭代查詢(xún)通常在一臺(tái)ＤNS服務(wù)器向另一臺(tái)ＤNS服務(wù)器發(fā)出解析請(qǐng)求時(shí)使用。假如當(dāng)前DNS收到其它ＤNS服務(wù)器發(fā)來(lái)的迭代查詢(xún)請(qǐng)求并且未能在本地查詢(xún)到所需要的數(shù)據(jù)，則當(dāng)前DNS服務(wù)器將告訴發(fā)起查詢(xún)的ＤNS服務(wù)器另一臺(tái)DNS服務(wù)器的IP地址。然后,再由發(fā)起查詢(xún)的DNＳ服務(wù)器自行向另一臺(tái)DNＳ服務(wù)器發(fā)起查詢(xún)；依次類(lèi)推，直到查詢(xún)到所需數(shù)據(jù)為止。假如到最后一臺(tái)DNＳ服務(wù)器仍沒(méi)有查到所需數(shù)據(jù),則告知最初發(fā)起查詢(xún)的DＮS服務(wù)器解析失敗。迭代的意思就是若在某地查不到,該地就會(huì)告知查詢(xún)者其它地方的地址。讓查詢(xún)轉(zhuǎn)到其它地方去查。

DNＳ解析過(guò)程

1、DＮS區(qū)域：DＮS服務(wù)器是通過(guò)區(qū)域來(lái)管理，并不是通過(guò)域?yàn)閱挝还芾淼?。一臺(tái)DNS服務(wù)器可以管理一個(gè)或多個(gè)區(qū)域。而一個(gè)區(qū)域也可以由多臺(tái)DNS服務(wù)器來(lái)管理。

２、重要區(qū)域、輔助區(qū)域和存根區(qū)域

(1)重要區(qū)域：一個(gè)區(qū)域的重要區(qū)域是建立在該區(qū)域的主DNＳ服務(wù)器上,重要區(qū)域的數(shù)據(jù)庫(kù)文獻(xiàn)是可讀可寫(xiě)的,所有針對(duì)該區(qū)域的添加、修改和刪除等寫(xiě)入操作都必須在重要區(qū)域中進(jìn)行?(2)輔助區(qū)域:一個(gè)區(qū)域的輔助區(qū)域建立在該區(qū)域的輔助DＮS服務(wù)器上。輔助區(qū)域數(shù)據(jù)庫(kù)文獻(xiàn)是重要區(qū)域數(shù)據(jù)庫(kù)文獻(xiàn)的副本，需要定期地通過(guò)區(qū)域傳輸從重要區(qū)域中復(fù)制以獲得更新。輔助區(qū)域的重要作用是均衡DNS解析的負(fù)載以提高解析效率,同時(shí)提供容錯(cuò)能力。必要時(shí)可將輔助區(qū)域轉(zhuǎn)換為重要區(qū)域。?（３)存根區(qū)域：將在后面介紹。。。

資源記錄?每個(gè)區(qū)域數(shù)據(jù)庫(kù)文獻(xiàn)都是由資源記錄構(gòu)成的。重要有：SOA記錄、NS記錄、A記錄、CNAME記錄、ＭX記錄和PＴＲ記錄。?標(biāo)準(zhǔn)的資源記錄具有其基本格式:?[naｍe]

[ttl］

ＩN

ｔｙpｅ

rｄａt(yī)ａ?nａｍｅ:名稱(chēng)字段，此字段是資源記錄引用的域?qū)ο竺梢允且慌_(tái)單獨(dú)的主機(jī)也可以是整個(gè)域。字段值:"．"是根域,@是默認(rèn)域,即當(dāng)前域,

tｔｌ：生存時(shí)間字段,它以秒為單位定義該資源記錄中的信息存放在DNS緩存中的時(shí)間長(zhǎng)度。通常此字段值為空,表達(dá)采用SOA記錄中的最小TTL值。?IN:此字段用于將當(dāng)前湖泊記錄標(biāo)記為一個(gè)INTERＮET的DNＳ資源記錄。

TYPE:類(lèi)型字段,用于標(biāo)記當(dāng)前資源記錄的類(lèi)型。資源記錄類(lèi)型:Ａ,即是A記錄，也稱(chēng)為主機(jī)記錄,是ＤNＳ名稱(chēng)到ＩP地址的映射,用于正向解析。CNAＭE:CNAＭE記錄,也是別名記錄,用于定義A記錄的別名。MX：郵件互換器記錄，用于告知郵件服務(wù)器進(jìn)程將郵件發(fā)送到指定的另一臺(tái)郵件服務(wù)器。(該服務(wù)器知道如何將郵件傳送到最終目的地)。NS:NS記錄,用于標(biāo)記區(qū)域的DNS服務(wù)器，即是說(shuō)負(fù)責(zé)此DNS區(qū)域的權(quán)威名稱(chēng)服務(wù)器，用哪一臺(tái)DNS服務(wù)器來(lái)解析該區(qū)域。一個(gè)區(qū)域有也許有多條nｓ記錄,例如ｚ有也許有一個(gè)主服務(wù)器和多個(gè)輔助服務(wù)器。PTR:是IP地址到DNS名稱(chēng)的映射，用于反向解析。SＯＡ:用于一個(gè)區(qū)域的開(kāi)始,SOＡ記錄后的所有信息均是用于控制這個(gè)區(qū)域的,每個(gè)區(qū)域數(shù)據(jù)庫(kù)文獻(xiàn)都必須包谷一個(gè)SOA記錄,并且必須是其中的第一個(gè)資源記錄，用以標(biāo)記ＤNS服務(wù)器管理的起始位置,SＯA說(shuō)明能解析這個(gè)區(qū)域的dns服務(wù)器中哪個(gè)是主服務(wù)器。?raｄａt(yī)a:數(shù)據(jù)字段用于指定與當(dāng)前資源記錄有關(guān)的數(shù)據(jù),數(shù)據(jù)字段的內(nèi)容取決于類(lèi)型字段。?

部署主DＮS服務(wù)器?安裝DNS服務(wù)

?打開(kāi)配置您的服務(wù)器向?qū)?/p>

?下一步?

下一步

?下一步

下一步,便開(kāi)始安裝。

創(chuàng)建正向重要區(qū)域?

點(diǎn)新建區(qū)域

下一步?

這里選重要區(qū)域

?填寫(xiě)區(qū)域名稱(chēng)

這里有兩個(gè)選擇，在這里做創(chuàng)建新文獻(xiàn)。

由于這里不是AＤ所以第一項(xiàng)不能選。選不允許動(dòng)態(tài)更新。??點(diǎn)完畢

?建立好后，可看見(jiàn)已建立好兩個(gè)記錄:SOA記錄和ＮS記錄??這里點(diǎn)更改

?可以更改區(qū)域類(lèi)型,通常在某DNS區(qū)域的主ＤＮS服務(wù)器出現(xiàn)故障且短時(shí)間內(nèi)無(wú)法修復(fù)，就需要在輔助DＮS服務(wù)器將輔助區(qū)域改為重要區(qū)域,使其成為主DNS服務(wù)器。此外，需要將存儲(chǔ)于文本數(shù)據(jù)庫(kù)文獻(xiàn)夾的DNＳ區(qū)域存儲(chǔ)到活動(dòng)目錄,也需要更改。

?點(diǎn)老化便出現(xiàn)上框。??這個(gè)是SOA記錄，可看到主服務(wù)器,即是本臺(tái)服務(wù)器名。假如點(diǎn)瀏覽便出現(xiàn)下面。這里的序列號(hào):是該區(qū)域文獻(xiàn)的修訂版本號(hào)，每次區(qū)域中的資源記錄發(fā)生改變時(shí)，這個(gè)數(shù)字就會(huì)增長(zhǎng)。每次區(qū)域改變時(shí)增長(zhǎng)這個(gè)值非常重要，它使部分區(qū)域改動(dòng)或完全修改的區(qū)域都可以在后續(xù)傳送中復(fù)制到其它輔助ＤＮS服務(wù)器上。負(fù)責(zé)人:管理區(qū)域負(fù)責(zé)人的電子郵件地址,在該電子郵件名稱(chēng)中使用英文鐘點(diǎn)(.）代替@.

刷新間隔：是在查詢(xún)區(qū)域的來(lái)源進(jìn)行區(qū)域更新之前,輔助DNＳ服務(wù)器等待的時(shí)間，當(dāng)刷新間隔到期時(shí)，輔助DNS服務(wù)器請(qǐng)求主DNS服務(wù)器的區(qū)域的當(dāng)前SOＡ記錄副本。然后,輔助DNS服務(wù)器將主DＮS服務(wù)器的當(dāng)前ＳOA記錄的序列號(hào)與其本地ＳOＡ記錄的序列號(hào)相比較,假如兩者不同，則輔助DNS服務(wù)器從主DＮS服務(wù)器請(qǐng)求區(qū)域傳輸,默認(rèn)為900S。

ＴL(fǎng)L:這里是用于指定ＳOA資源記錄的TTL。

?這臺(tái)服務(wù)器名為MINＧ,記錄類(lèi)型可以選擇。

如點(diǎn)負(fù)責(zé)人旁邊的瀏覽,便出現(xiàn)上框。

點(diǎn)名稱(chēng)服務(wù)器,在這里只有一臺(tái)服務(wù)器為其解析。

點(diǎn)添加，可以添加多個(gè)名稱(chēng)服務(wù)器

這里可以使用WINＳ幫助解析。

配置區(qū)域傳輸

點(diǎn)告知。

下面來(lái)創(chuàng)建反向區(qū)域

?點(diǎn)新建區(qū)域

?出現(xiàn)向?qū)??選重要區(qū)域??輸入IＰ。??創(chuàng)建新文獻(xiàn)??不允許動(dòng)態(tài)更新

?點(diǎn)完畢??同樣可看到創(chuàng)建好兩個(gè)記錄??同樣可以更改類(lèi)型?

主服務(wù)器也是本臺(tái)服務(wù)器

?可以添加名稱(chēng)服務(wù)器??這里是反向查找??可允許區(qū)域復(fù)制。?注意事項(xiàng)1、配置中新建主機(jī)名稱(chēng)、完全合格的域名,區(qū)域名稱(chēng)、區(qū)域文獻(xiàn)名稱(chēng)的區(qū)別２、設(shè)立啟用循環(huán)機(jī)制可以實(shí)現(xiàn)兩臺(tái)serｖer服務(wù)器負(fù)載均衡的查詢(xún)。

●試題三(共1５分)【說(shuō)明】在WindｏwｓSｅrｖer2023中可以采用篩選器來(lái)保護(hù)DNS通信。某網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3-1所示，WWW服務(wù)器的域名是www．a(chǎn)ｂc．com，DＮS服務(wù)器上安裝ＷindowsSｅrver202３操作系統(tǒng)?！締?wèn)題1】（3分)配置DNS服務(wù)器時(shí)，在圖3-2所示的對(duì)話(huà)框中，為WebServe配置記錄時(shí)新建區(qū)域的名稱(chēng)是(１)在圖3-３所示的對(duì)話(huà)框中,添加的新建主機(jī)”名稱(chēng)”為(2），ＩP地址欄應(yīng)項(xiàng)入（3）?！締?wèn)題2】(4分）在DNS服務(wù)器的“管理工具”中運(yùn)營(yíng)管理ＩP篩選器列表,創(chuàng)建一個(gè)名為“DＮＳ輸入”的篩選器，用以對(duì)客戶(hù)端發(fā)來(lái)的DNS請(qǐng)求消息進(jìn)行篩選。在如圖３-4所示的“ＩＰ篩選器向?qū)А敝兄付↖P通信的源地址,下拉框中應(yīng)選擇(4）；在如圖3-５中指定ＩＰ通信的目的地址，下拉框中應(yīng)選擇(5）。在圖3-６中源端口項(xiàng)的設(shè)立方式為(6)，目的端口項(xiàng)的設(shè)立方式為（7）。在篩選器列表配置完畢后，設(shè)立“篩選器操作”為“允許”?！締?wèn)題3】（2分）在圖３-7中雙擊“新IＰ安全策略”可查看“DNS輸入”安全規(guī)則,要使規(guī)則生效,在圖3－7中如何配置？【問(wèn)題4】（6分)在本機(jī)Wiｎｄows命令行中輸入(8)一命令可顯示當(dāng)前ＤＮＳ緩存,如圖３－8所示?！埃襡cｏrdTyｐe”字段中的值為４時(shí)，存儲(chǔ)的記錄是MX，若“RecoｒdTｙpｅ”字段中的值為2時(shí),存儲(chǔ)的記錄是（9）?？蛻?hù)端在排除D