搜索
内容提要:DNS区域分为两大类:正向查找区域和反向查找区域,其中正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,DNS区域分为两大类:正向查找区域和反向查找区域,其中正向查找区域用于FQDN到IP地址的映射,当DNS客户端请求解析某个FQDN时,DNS服务器在正向查找区域中进行查找,并返回给DNS客户端对应的IP地址;反向查找区域用于IP地址到FQDN的映射,当DNS客户端请求解析某个IP地址时,DNS服务器在反向查找区域中进行查找,并返回给DNS客户端对应的FQDN。由于区域类别、区域类型的不同,在DNS服务器上创建区域时的操作也不同。第一部分正向查找区域一、创建正向查找区域1、创建主要区域在此我先创建正向主要区域,由于正向区域存储区域数据位置的不同(标准主要区域和活动目录集成主要区域),创建时的步骤也不同。右击正向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;(1)创建标准主要区域在区域类型页,选择主要区域,点击下一步;注意看,下部的在ActiveDirectory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为这台DNS服务器不是域控制器;此时,创建的主要区域即为标准主要区域;在区域名称页,输入你的DNS区域名称,在此我命名为isacn.org,点击下一步;在区域文件页,接受默认的区域文件名,点击下一步;标准主要区域的区域文件为文本文件格式,存放在%systemroot%system32dns目录下;在动态更新页,选择你需要的动态更新方式,在此我接受默认的选择不允许动态更新,点击下一步;在正在完成新建区域向导页,点击完成,此时,标准的正向主要区域就创建好了。(2)创建活动目录集成主要区域在区域类型页,选择主要区域,由于此DNS服务器是域控制器,所以下部的在ActiveDirectory中存储区域(只有DNS服务器是域控制器时才可用)可选并且默认已经选择,此时,创建的主要区域即为活动目录集成区域,点击下一步;在ActiveDirectory区域复制作用域页,选择DNS区域数据复制的方式,它们之间的区别在于:至ActiveDirectory林winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录森林中的所有运行在域控制器上的DNS服务器,此选项会将DNS区域数据存储到活动目录中预定义的的ForestDnsZones应用程序分区中,并且在活动目录林中进行复制,复制范围最广;至ActiveDirectory域winsvr.org中所有的DNS服务器:将DNS区域数据复制到活动目录域中的所有运行在域控制器上的DNS服务器,此选项是默认选项,会将DNS区域数据存储到活动目录中预定义的DomainDnsZones应用程序分区中,它只会在域范围中进行复制;至ActiveDirectory域winsvr.org中所有的域控制器:将DNS区域数据复制到活动目录域中的所有域控制器,而不管这些域控制器上是否运行DNS服务器;到在以下应用程序目录分区的范围内指定的所有域控制器:你可以创建自定义的应用程序分区,并且指定由哪些域控制器进行复制。如果你已经创建好了应用程序分区,则此选项可选。复制范围越广,复制引起的网络流量就越大,在选择复制方式时,请根据你的需要进行选择。在此我接受默认的至ActiveDirectory域winsvr.org中所有的DNS服务器,点击下一步;在区域名称页,输入区域名称为isacn.org,点击下一步;在动态更新页,接受默认的只允许安全的动态更新(适合ActiveDirectory使用),这样DNS服务器只允许A记录的拥有者修改此A记录,点击下一步;在正在完成新建区域向导页,点击完成,此时,活动目录集成区域就创建好了。2、创建辅助区域和存根区域除了辅助区域数据不能和活动目录集成外,辅助区域和存根区域的创建步骤是一样的。活动目录集成存根区域和标准存根区域的区别如活动目录集成主要区域和标准主要区域,在此就不多叙述了,下面我以创建辅助区域为例:右击正向查找区域,选择新建区域,在弹出的欢迎使用新建区域向导页,点击下一步;在区域类型页,选择辅助区域,点击下一步;注意看,下部的在ActiveDirectory中存储区域(只有DNS服务器是域控制器时才可用)选项不可用,因为辅助区域不能与活动目录集成;在区域名称页,输入你的辅助区域名称,在此我命名为isacn.org,点击下一步;在主DNS服务器页,输入获取区域数据的源DNS服务器(称为主服务器)的IP地址,此主服务器可以由管理此主要区域的主DNS服务器或者其他管理相同辅助区域的辅助DNS服务器来担任,你可以输入多个主服务器,在此我输入主DNS服务器的IP地址10.1.1.2,点击添加后再点击下一步;在正在完成新建区域向导页,点击完成,此时,辅助区域就创建好了。需要注意的是,此时本地DNS服务器会联系主DNS服务器进行区域复制获取DNS区域数据,你必须在主DNS服务器上允许到此DNS服务器的区域复制,否则此DNS区域无法正常工作。二、管理正向区域根据区域类型和区域存储方式的不同,管理DNS区域的方式也不同,在此我根据区域类型来进行介绍:1、主要区域活动目录集成主要区域和标准主要区域相比,常规选项不同,并且具有安全标签。常规在活动目录集成主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、复制方式和动态更新方式;而在标准主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、区域数据存储的文件名和动态更新方式,但是不支持安全动态更新。点击老化按钮可以进入区域老化/清理属性设置,此设置必须和DNS服务器的老化/清理设置共同使用方可生效。当启用老化时,对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个为0的时间戳记录,代表它们将不会老化。无刷新间隔:无刷新间隔是在上次时间戳刷新后,DNS服务器拒绝再次进行刷新的时间周期,这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下,无刷新间隔为7天;刷新间隔:刷新间隔是在无刷新间隔后的时候,在这段时间周期内允许DNS客户端刷新资源记录的时间戳,并且资源记录不会被DNS服务器清理。当无刷新间隔和刷新间隔之后,如果资源记录没有被DNS客户端进行刷新,则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天,这意味着默认情况下动态注册的资源记录将会在14天后被清理掉。如果你需要修改这两个参数,请记住以下原则:刷新间隔应该大于或等于无刷新间隔。起始授权机构(SOA)起始授权机构(SOA)标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时,它首先通过SOA记录来决定此DNS区域的基本信息和主服务器,如下图所示:序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域复制。主服务器:主服务器包含了此DNS区域的主DNS服务器的FQDN,此名字必须使用“.”结尾。负责人:指定了管理此DNS区域的负责人的邮箱,你可以修改为在DNS区域中定义的其他RP(负责人)资源记录,此名字必须使用“.”结尾。刷新间隔:此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间,当到达此时间限制时,辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。最小(默认)TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。注意:增大TTL可以减少网络中DNS解析请求的流量,但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。此记录的TTL:此参数用于设置此SOA记录的TTL值,这个参数将覆盖最小(默认)TTL中设置的值。名称服务器名字服务器标签允许你配置DNS区域的NS资源记录,NS记录用于指定此DNS区域中的权威DNS服务器,默认情况下会包含此DNS区域的主服务器,并且一个区域至少必须具有一个NS资源记录。和SOA记录一样,你只能在区域属性中对NS记录进行修改,你不能创建NS记录。你可以在WINS标签配置DNS服务器使用WINS查找,此时,当DNS服务器无法解析某个FQDN时,将会使用配置的WINS服务器来查询此FQDN的主机名;对于正向区域是查询WINS服务器的正向记录,对于反向区域是查询WINS服务器的反向记录;如果在WINS服务器上查询到对应的记录,则DNS服务器会将此记录复制到此区域中,你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。区域复制你可以在区域复制标签中配置是否允许此区域进行区域复制,以及区域复制到的对象,它们之间的区别在于:到所有服务器:所有服务器都可以从此DNS服务器获取此区域的区域数据;只有在“名称服务器”选项卡中列出的服务器:只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据;只允许到下列服务器:只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据;在Windows2000中,默认情况下是允许区域复制到所有服务器,这个选项具有安全隐患,所以在WindowsServer2003中,对于标准主要区域,默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中,而对于活动目录集成主要区域,由于通过活动目录进行复制,默认情况下是不允许区域复制。你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新,默认情况下此DNS区域更新时,主服务器会通知名称服务器标签中的所有DNS服务器。当某个标准区域产生以下事件时,将进行通知或初始化区域复制:主DNS区域的SOA记录的刷新间隔过期;辅助DNS服务器启动;此时辅助DNS服务器会联系主服务器获取SOA记录,然后比较本地的SOA记录来决定是否需要区域复制;主服务器上对区域数据进行了修改,则主服务器按照配置来通知辅助DNS服务器。当初始化区域复制时,辅助DNS服务器可以从主服务器执行增量区域传输(IXFR)或者完全区域传输(AXFR),运行在WindowsServer2003上的DNS服务器支持IXFR和AXFR。默认情况下,运行在Windows2000服务器和WindowsServer2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR,此时,只有更新数据才会进行传输;WindowsNT服务器不支持IXFR,只能执行AXFR,此时,将会对所有区域数据进行传输。安全当在域控制器上安装DNS服务器时,DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。管理任务主要区域的管理任务如下图所示:更新服务器数据文件:同DNS服务器的更新服务器数据文件管理任务;重新加载:重新从本地的区域文件或者活动目录中加载此DNS区域;新建主机(A):在此DN