• 當(dāng)前位置：創(chuàng)新互聯(lián) >> 常見問題 >> 域名注冊 >> 域名知識及服務(wù) >> DNS 設(shè)置方法

DNS 設(shè)置方法

• 作者：創(chuàng)新互聯(lián) 文章來源：虛擬主機 點擊數(shù)： 更新時間：2013-09-11
• 以下是最常見的頂級域：
  com，用于商業(yè)組織。
  edu，用于教育機構(gòu)。
  org，用于非贏利組織。
  net，用于計算機網(wǎng)絡(luò)組織。
  gov，用于美國政府組織。
  兩字母或三字母國家/地區(qū)代碼，如 jp 是日本的代碼。
  不同組織的域名在每個頂級域下面相應(yīng)地分支展開�？梢赃M一步沿樹狀結(jié)構(gòu)細分出組織內(nèi)各部門的更多域名（稱為子域）。最后，將主機名加在名稱結(jié)構(gòu)的前面構(gòu)成 FQDN，如“server2.msdn.xxx.com”。事實上，“msdn.xxx.com”也是一個 FQDN，它指的是 xxx.com 中的某個 Web 服務(wù)器群集。
  DNS 工作原理
  DNS 是一個分布式數(shù)據(jù)庫系統(tǒng)，它提供將域名轉(zhuǎn)換成對應(yīng) IP 地址的信息。這種將名稱轉(zhuǎn)換成 IP 地址的方法稱為名稱解析。
  一般來說，每個組織有其自己的 DNS 服務(wù)器，并維護域的名稱映射數(shù)據(jù)庫記錄或資源記錄。當(dāng)請求名稱解析時，DNS 服務(wù)器先在自己的記錄中檢查是否有對應(yīng)的 IP 地址。如果未找到，它就會向其它 DNS 服務(wù)器詢問該信息。
  例如，當(dāng)要求 Web 瀏覽器訪問“msdn.xxx.com”站點時，它就會通過以下步驟來解析該域名的 IP 地址：
  Web 瀏覽器調(diào)用 DNS 客戶端（稱為解析器），并使用上次查詢緩存的信息在本地解析該查詢。
  如果在本地?zé)o法解析查詢，客戶端就會向已知的 DNS 服務(wù)器詢問答案。如果該 DNS 服務(wù)器曾經(jīng)在特定的時間段內(nèi)處理過相同的域名請求，它就會在緩存中檢索相應(yīng)的 IP 地址，并將它返回給客戶端。
  如果該 DNS 服務(wù)器找不到相應(yīng)的地址，客戶端就會向某個全局根 DNS 服務(wù)器詢問，后者返回頂級域權(quán)威 DNS 服務(wù)器的指針。在這種情況下，“com”域權(quán)威服務(wù)器的 IP 地址將返回給客戶端。
  類似地，客戶端向“com”服務(wù)器詢問“microsoft.com”服務(wù)器的地址。然后，客戶端將原始查詢傳到“microsoft.com”服務(wù)器。
  因為“microsoft.com”服務(wù)器在本地維護“msdn.xxx.com”域的權(quán)威記錄，所以它將最終結(jié)果返回給客戶端，并完成特定 IP 地址的查詢。
  注意，可以將 DNS 資源記錄緩存到網(wǎng)絡(luò)上任意數(shù)量的 DNS 服務(wù)器中。第 2 步中提到的 DNS 服務(wù)器可能不包含“msdn.xxx.com”緩存記錄。但是，它可能有“microsoft.com”的記錄，更可能有“com”域的記錄。這可省去客戶端獲得最終結(jié)果所需的一次或幾次查詢，從而加快了整個搜索過程。
  為了維護 DNS 緩存中的最新信息，緩存記錄有一個與信息關(guān)聯(lián)的“生存時間”設(shè)置（類似于牛奶的保鮮期）。當(dāng)記錄到期時，必須對它們再次進行搜索。
  DNS 資源記錄
  如前所述，每個 DNS 數(shù)據(jù)庫都由資源記錄構(gòu)成。一般來說，資源記錄包含與特定主機有關(guān)的信息，如 IP 地址、主機的所有者或者提供服務(wù)的類型。
  資源記錄類型
  說明
  解釋
  起始授權(quán)機構(gòu)
  此記錄指定區(qū)域的起點。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務(wù)器如何更新區(qū)域數(shù)據(jù)文件的設(shè)置等。
  常用的資源記錄類型
  A 地址 此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。
  CNAME 標(biāo)準(zhǔn)名稱 此記錄指定標(biāo)準(zhǔn)主機名的別名。
  MX 郵件交換器 此記錄列出了負責(zé)接收發(fā)到域中的電子郵件的主機。
  NS 名稱服務(wù)器 此記錄指定負責(zé)給定區(qū)域的名稱服務(wù)器。
  DNS 區(qū)域
  通常，DNS 數(shù)據(jù)庫可分成不同的相關(guān)資源記錄集。其中的每個記錄集稱為區(qū)域。區(qū)域可以包含整個域、部分域或只是一個或幾個子域的資源記錄。
  管理某個區(qū)域（或記錄集）的 DNS 服務(wù)器稱為該區(qū)域的權(quán)威名稱服務(wù)器。每個名稱服務(wù)器可以是一個或多個區(qū)域的權(quán)威名稱服務(wù)器。
  在域中劃分多個區(qū)域的主要目的是為了簡化 DNS 的管理任務(wù)，即委派一組權(quán)威名稱服務(wù)器來管理每個區(qū)域。采用這樣的分布式結(jié)構(gòu)，當(dāng)域名稱空間不斷擴展時，各個域的管理員可以有效地管理各自的子域。
  有時，區(qū)域和域是很難分辨的。
  區(qū)域是域的子集�？梢詫⑺�看作域名稱空間的某個分支（或子樹）。例如，Microsoft 名稱服務(wù)器可以同時是“microsoft.com”區(qū)域、“msdn.xxx.com”區(qū)域和“marketing.xxx.com”區(qū)域的權(quán)威名稱服務(wù)器。但是，可以將子域的區(qū)域（如“msdn.xxx.com”）委派給其它專用名稱服務(wù)器管理。如果設(shè)置的區(qū)域包含整個域的資源記錄，那么該區(qū)域與該域的范圍是相同的。
  對于 Windows 2000，區(qū)域信息或者以傳統(tǒng)文本文件格式存儲，或者集成到 Active Directory 數(shù)據(jù)庫中。稍后，我們將詳細闡述 DNS 與 Active Directory 如何協(xié)作。
  主 DNS 服務(wù)器和輔 DNS 服務(wù)器
  為保證服務(wù)的高可用性，DNS 要求使用多臺名稱服務(wù)器冗余支持每個區(qū)域。
  某個區(qū)域的資源記錄通過手動或自動方式更新到單個主名稱服務(wù)器（稱為主 DNS 服務(wù)器）上。主 DNS 服務(wù)器可以是一個或幾個區(qū)域的權(quán)威名稱服務(wù)器。
  其它冗余名稱服務(wù)器（稱為輔 DNS 服務(wù)器）用作同一區(qū)域中主服務(wù)器的備份服務(wù)器，以防主服務(wù)器無法訪問或宕機。輔 DNS 服務(wù)器定期與主 DNS 服務(wù)器通訊，確保它的區(qū)域信息保持最新。如果不是最新信息，輔 DNS 服務(wù)器就會從主服務(wù)器獲取最新區(qū)域數(shù)據(jù)文件的副本。這種將區(qū)域文件復(fù)制到多臺名稱服務(wù)器的過程稱為區(qū)域復(fù)制。
  Active Directory 和 DNS 的關(guān)系
  Active Directory 是 Windows 2000 中新增的目錄服務(wù)。該服務(wù)存儲所有網(wǎng)絡(luò)資源的信息，如計算機、共享文件夾、用戶等等。它還通過標(biāo)準(zhǔn)的 Internet 協(xié)議（輕量目錄訪問協(xié)議，LDAP）將此類信息提供給用戶和應(yīng)用程序。有關(guān) Active Directory 的詳細信息，請參閱 Technet 文章設(shè)置 Active Directory 域 。
  與 Microsoft Windows NT? 4.0 中的域控制器相比，Active Directory 與 DNS 的關(guān)系更加密切。實際上，DNS 是支持 Active Directory 所必需的。通常，安裝 Active Directory 服務(wù)器時，如果網(wǎng)絡(luò)上找不到 DNS 服務(wù)器，就會在安裝過程中安裝 DNS 服務(wù)器。
  支持域控制器的定位器服務(wù)
  Windows 2000 中最重要的新概念之一就是：計算機不再主要用網(wǎng)絡(luò)基本輸入/輸出系統(tǒng) （NetBIOS） 名稱來標(biāo)識，而是使用 DNS 完全合格的域名稱 （FQDN） 來標(biāo)識，如“server1.duwamishonline.com”。
  因此，要登錄并訪問 Windows NT 域中的資源，Windows 2000 計算機必須查找 DNS 服務(wù)器，后者幫助定位 Active Directory 域控制器。換句話說，DNS 用作域控制器的定位器服務(wù)。
  與 Active Directory 集成
  Windows 2000 DNS 服務(wù)器的另一個重要功能是：DNS 區(qū)域可以集成到 Active Directory 中，以提供增強的容錯和安全功能。每個與 Active Directory 集成的區(qū)域?qū)⒆詣訌?fù)制到 Active Directory 域的所有域控制器中。
  不過，仍可以將 Windows 2000 DNS 服務(wù)器配置為基于傳統(tǒng)文件的 DNS 服務(wù)器。但是，要提供 DNS 服務(wù)容錯功能，除主 DNS 服務(wù)器外，還必須手動安裝輔 DNS 服務(wù)器。
  配置 Duwamish Online 的 DNS 服務(wù)
  Duwamish Online 要求使用外部和內(nèi)部域名稱解析。
  在外部，DNS 服務(wù)將“www.DuwamishOnline.com”解析為 Web 服務(wù)器的 IP 地址。Duwamish Online 應(yīng)用程序使用內(nèi)部名稱解析來解析服務(wù)器的名稱。要從 COM+ 列隊組件 （QC） 訪問消息隊列 （MSMQ） 公共隊列，必須使用 Active Directory，而后者又要求使用 DNS。有關(guān) MSMQ 和網(wǎng)絡(luò)體系結(jié)構(gòu)的詳細信息，請參閱 Duwamish Online Message Queuing Configuration 上的文章 。
  在 Windows 2000 中安裝 DNS 服務(wù)相對比較簡單。但是，外部和內(nèi)部 DNS 信息的安全要求是不同的。在本節(jié)中，我們將討論這些安全問題和可能的解決方案。我們將討論（消息隊列配置使用的）Active Directory 服務(wù)與 Duwamish Online Web 群中 DNS 之間的關(guān)系。還要告訴您如何注冊域名，如何安裝帶有 Windows 2000 的 DNS 服務(wù)器。
  公用和專用 DNS 信息的安全問題
  最初，我們安裝了兩臺 DNS 服務(wù)器：一臺主 DNS 服務(wù)器和一臺用于冗余的輔 DNS 服務(wù)器。在這些 DNS 服務(wù)器中設(shè)置了兩個區(qū)域：一個用于外部 Internet 域“DuwamishOnline.com”，另一個用于內(nèi)部域“InternalDomain.com”。
  如前所述，安裝用于內(nèi)部域的 DNS 服務(wù)器是 Windows 2000 Active Directory 域的新要求。使用該原始配置，將 DNS 服務(wù)器同時設(shè)置為內(nèi)部域和外部域的“多主”，例如，外部網(wǎng)絡(luò)接口卡 （NIC） 的 IP 地址為 192.168.100.1，內(nèi)部 NIC 的 IP 地址為 10.10.10.1。
  允許 Internet 用戶向服務(wù)器查詢外部區(qū)域。但是，因為同一 DNS 服務(wù)器同時管理外部和內(nèi)部區(qū)域，所以外部用戶也可以向服務(wù)器查詢內(nèi)部區(qū)域。Internet 用戶可以使用基本網(wǎng)絡(luò)工具（如名稱服務(wù)搜索，NSLookup）訪問所有內(nèi)部域 DNS 信息。
  理論上，無法將任何網(wǎng)絡(luò)數(shù)據(jù)包路由到內(nèi)部域，直接攻擊內(nèi)部服務(wù)器。但是，向外界泄露的內(nèi)部信息越少，操作的安全性越高。這可防止他人利用后端服務(wù)器（此處存儲重要業(yè)務(wù)信息）的潛在漏洞，進一步竊取機密信息。
  DNS 部署的解決方案
  下面列出了一些解決原始配置安全問題的方案：
  兩個域/區(qū)域使用各自的 DNS 服務(wù)器。
  由 Internet 服務(wù)提供商 （ISP） 托管外部 DNS。
  將兩個區(qū)域放在一臺服務(wù)器中，并用正確的訪問控制配置 Active Directory。
  使用各自的 DNS 服務(wù)器
  解決安全問題的一種方法是使用兩臺單獨的 DNS 服務(wù)器將兩個區(qū)域的 DNS 操作分開，一個放在公共網(wǎng)段，另一個僅用于內(nèi)部 DNS 查詢。
  但是，對于小型 Web 操作，并不希望再多管理一臺服務(wù)器。實際上，根據(jù)一般建議所
• 什么是.pl域名 :上一篇
  網(wǎng)站域名注冊相關(guān)詳細知識 :下一篇