重点：

1. DNS服务器的主要作用

2. DNS域名称空间及规划

3. DNS正、反向查询工作原理

4. DNS递归和迭代查询原理

5. DNS服务器的存根区域解析、区域传送原理

6. DNS与AD集成的好处

7. DNS服务器安装前的规划

8. DNS服务器的全新安装、配置方法

9. DNS服务器的新区域创建方法

10. DNS服务器的安全考虑及配置方法

1、DNS服务器的主要作用

• DNS的主要作用是域名解析，也就是把计算机名翻译成IP地址。

• DNS的组成：

  1. DNS域名称空间

  2. 资源记录 （A、NS、SRV、MX、CNAME等等）

  3. DNS服务器

  4. DNS客户端 （也称解析程序）

• DNS域名称空间：

  • 名称空间是一种树形层次结构，采用委派方式

• 组织DNS域名称空间：

  • 域根=>顶级域=>二级域=>子域=>本机或资源名称

• DNS域名

2、DNS正、反向查询工作原理：

• DNS服务器的名称查询原理

DNS的查询步骤：

• 名称查询从客户端计算机开始，并传送至解析程序即DNS客户服务程序进行解析

• 不能就地解析查询时，可根据需要查询DNS服务器来解析名称。

（1）本地解析程序：

本地解析程序的缓存：

• 本地配置主机文件（host文件)——来自该文件的任何主机名称到地址的映射，在DNS客户服务启动时将预先加载到缓存中

• 从以前的DNS查询应答的响应中获取的资源记录，将被添加至缓存并保留一段时间。如果此查询与缓存中的项目不匹配，则解析过程继续进行，客户端查询DNS服务器来解析名称。

（2）查询DNS服务器：

查询过程：先查询首选DNS服务器（跟“客户端的本地解析程序一样，首选DNS服务器首先查询本地配置区域，若查不到，接着就查询DNS服务器缓存）若首选DNS服务器不能应答，则进行递归查询（首选DNS服务器根据根提示通过迭代查询方式来查询其他DNS服务器）。

• DNS服务器的反向查询原理

  1. in-addr-arpa域：DNS标准中定义的特殊域，保留在Internet DNS名称空间中。其子域是按照带句点的十进制编号的IP地址的相反顺序构造的

  2. RR类型：指针（PTR）类型——用于在反向查询区域中创建映射，一般对应于其正向查询区域中以某一主机的DNS计算机名的主机（A）来命名的RR

3、DNS递归和迭代查询原理

递归查询：发生在客户端与服务器之间

迭代查询：发生在DNS服务器与DNS服务器之间

4、DNS服务器的存根区域解析、区域传送原理  （1）存根区域解析：

• 存根区域

存根区域和辅助区域有类似之处，都要从区域的主服务器复制数据。不同之处在于，辅助区域复制区域中的所有记录，但存根区域只复制区域的SOA记录，NS记录以及解析NS记录的A记录（也称粘附A记录）。也就是说，存根区域并不需要在自己的区域中保存所有的DNS记录，存根区域只要知道利用哪个DNS服务器可以对DNS记录进行解析就可以了。

• 存根区域解析原理

（1）如果查询是迭代查询，DNS服务器会返回一个包含存根区域中指定的服务器的参考信息（如下图中，返回了DNS Server C)

（2）如果查询是递归查询，DNS服务器会使用该存根区域中的资源记录来解析查询。DNS服务器向存根区域的NS资源记录中指定的权威DNS服务器发送迭代查询（如下图中，Local  DNS向 DNS Server C 发起迭代查询），仿佛在使用它自己缓存中的NS资源记录一样。如果DNS服务器找不到其存根区域中的权威DNS服务器，那么主持该区域的DNS服务器会尝试使用根提示进行标准递归。

如图所示，DNS服务器将从存根区域中列出的权威DNS服务器接收的RR存储在它的缓存中，但不会将这些RR存储在存根区域本身，只有查询响应中返回的粘附A记录存储在存根区域中。

• 宿主父区域和子区域的DNS服务器之间的通信

  • 宿主父区域：该DNS服务器所在的父区域

  • 仅当将这些新的 DNS 服务器的资源记录添加到 DNS 服务器主持的父区域时，已向另一个 DNS 服务器上的子区域委派域的 DNS 服务器，才可了解该子区域的新的权威 DNS 服务器。这是一个手动过程，要求不同的 DNS 服务器的管理员经常通信。使用存根区域，主持其委派域之一的存根区域的 DNS 服务器可在该存根区域更新时获取该子区域的权威 DNS 服务器的更新。更新是从主持该存根区域的 DNS 服务器执行的，不需要与主持该子区域的 DNS 服务器的管理员取得联系

• 存根区域方案

父区域 example.com 的权威 DNS 服务器已经向单独的 DNS 服务器委派了一个子域 widgets.example.com。最初执行域 widgets.example.com 的委派时，父区域只包含 widgets.example.com 区域的权威 DNS 服务器的两个 NS 记录。随后，子区域的管理员将其他 DNS 服务器配置为该区域的权威服务器，但不通知主持父区域 example.com 的 DNS 服务器的管理员。结果，主持父区域 example.com 的 DNS 服务器不知道它的子区域的新的权威 DNS 服务器，并继续只查询它知道的两个权威 DNS 服务器。

为父区域 example.com 配置权威 DNS 服务器，使其为委派的域 widgets.example.com 主持一个存根区域，这样做使上面这种情况得到补救。example.com 的权威 DNS 服务器的管理员更新该存根区域时，它会查询该存根区域的主服务器，以获取 widgets.example.com 的权威 DNS 服务器资源记录。结果，父区域的权威 DNS 服务器将了解有关 widgets.example.com 子区域的新的权威 DNS 服务器的信息，并能够向该子区域的所有权威 DNS 服务器执行递归。

（2）区域传输（也称“区域传送”）原理

• 区域和域之间的差异

对于单个DNS域名，区域作为存储数据库启动。如果其他的域添加到用于创建该区域的域的下面，那么这些域可以或者是同一区域的一部分，或者属于另一个区域。一旦添加了子域，则它可以作为原区域记录的一部分管理和包含或委派到为支持子域而创建的另一区域。（详细内容参考微软TechNet http://technet.microsoft.com/zh-cn/library/cc781340.aspx)

• 为什么需要区域复制和区域传送

由于区域在 DNS 中发挥着重要的作用，因此希望在网络上的多个 DNS 服务器中提供区域，以提供解析名称查询时的可用性和容错。否则，如果使用单个服务器而该服务器没有响应，则该区域中的名称查询会失败。对于主持区域的其他服务器，必须进行区域传输，以便复制和同步为主持该区域的每个服务器配置使用的所有区域副本

• 递增区域传送

通过 IXFR（增量区域传送） 区域传输时，区域的复制版本和源区域之间的差异必须首先确定。如果该区域识别为与每个区域的启动授权机构 (SOA) 资源记录中序列号字段所指示的版本相同，则不进行任何传送。

如果源区域中区域的序列号比申请辅助服务器中的大，则传输的内容仅由区域中每个递增版本的资源记录的改动组成。为了使 IXFR 查询成功并发送更改的内容，此区域的源 DNS 服务器必须保留递增区域变化的历史记录，以便在应答这些查询时使用。实际上，递增传输过程在网络上需要更少的通讯量，而且区域传输完成得更快。

区域传输可能会发生在以下任何情况中：

• • 当区域的刷新间隔到期时

  • 当其主服务器向辅助服务器通知区域更改时

  • 当 DNS 服务器服务在区域的辅助服务器上启动时

  • 在区域的辅助服务器使用 DNS 控制台以便手动启动来自其主服务器的传输时

区域传输始终在区域的辅助服务器上开始，并且发送到作为区域源配置的主服务器中

• DNS通知

1. 1. 在 DNS 服务器上充当主服务器的本地区域，即其他服务器的区域源，将被更新。当此区域在主服务器或源服务器上更新时，SOA RR 中的序列号字段也被更新，表示这是该区域的新的本地版本。

   2. 主服务器将 DNS 通知消息发送到其他服务器，它们是其配置的通知列表的一部分。

   3. 接收通知消息的所有辅助服务器，随后可通过将区域传输请求发回通知主服务器来作出响应。

• 说明：

使用 DNS 通知仅用于通知作为区域辅助服务器操作的服务器。对于和目录集成的区域的复制，不需要 DNS 通知。      
这是因为从 Active Directory 加载区域的任何 DNS 服务器，将自动轮询目录（如 SOA 资源记录的刷新间隔指定的那样）以便更新与刷新该区域。       
在这些情况下，配置通知列表确实可能降低系统性能，因为对更新区域产生了不必要的其他传输请求。

5、DNS与AD集成的好处

DNS，域名解析系统，并不是一项单纯的服务，而且广泛意义上的全球的域名解析系统，由若干台DNS服务器以及DNS成员机组成的这么一个计算机组织。

在域环境中DNS的作用：

1. 1. 以DNS标准命名（域的命名）

   2. 支持DC（创建DC时，要有相应的DNS的支持）

   3. 定位DC（加入域时，帮助客户端找到DC）