网盾安全

可信赖的互联网业务安全服务商

DNS服务器介绍

发布时间:2020-12-12 16:13:26      来源: 网盾      作者: 夶夏

什么是DNS

在网络上计算机互联的话需要使用到主机名,并且当网络上的计算机使用主机名沟通时,主机名要转换成IP地址,这个过程称为“主机名称解析”。

常见的解析方式有:

1.WINS服务:通常用于NETBIOS名解析

2.DNS服务:通常用于FQDN(完全合格域名)解析

DNS就是我们常说的:域名系统,DNS客户机向DNS服务器发出名称解析请求,DNS服务器通过查询其DNS数据库以响应其请求。

FQDN解析方式为:

1.DNS服务

2.HOSTS文件:可编辑的文本文件,用于解析FQDN名称

优点:查询效率高;

缺点:加重了管理员的管理负担,记录需要管理员必须手工添加,修改删除。现在DNS服务仍然支持HOSTS文件

DNS相关概念

一、DNS域名空间:域名空间的结构是一棵倒置的树状结构。

二、FQDN:完全合格域名,采用DNS结构,长度不超过256个字符,支持UTF-8字符集(即所有通过键盘输入的字符)

三、区域:是指域名空间的一部分,能够将域名空间划分较小的区段,便于管理

注:

1)一个区域可包含一个域也可包含多个域

2)若包含多个域则这个域必须是连续的

3)一个域对应一个区域文件

4)可以把区域中的子域委派给其它DNS服务器管理

区域文件:每个区域的数据都存储了一个或多个区域文件,区域文件内存储了该区域的所有的主机名和IP地址的映射关系,一台DNS服务器可存储多个区域文件

名称服务器:名称服务器存储了一个或多个区域的信息

主要名称服务器:主要名称服务器内的所有记录都是自己建立的,并且可以对这些记录进行添加修改删除等操作即写操作,主要名称服务器内存储了该区域的正本信息。一个区域只能有一台主要名称服务器;

辅助名称服务器:是从另外一台DNS服务器复制过来的,它只能对这些数据进行读操作,而不能写,存储该区域的副本信息;

主(master)名称服务器:能够提供数据给另外的DNS服务器的名称服务器。

注: 
1)可以为一个区域设置多台辅助名称服务器;

2)辅助名称服务器的作用:

A、提供容错

B、分担主服务器负担

C、加快查找的速度

3).多台DNS服务器时:客户机先向首选DNS服务器发送请求。

DNS工作原理:

1)客户机检查该主机名是否为自己

2)客户机检查自己的DNS缓存

3)客户机向自己的DNS服务器发出请求

4) DNS服务器检查自己的DNS缓存

5)DNS服务器检查自己的DNS数据库

6)DNS服务器向Internetroot域的某台DNS发出查询请求

7)RootDNS将com域DNS IP提供给发出请求DNS服务器

DNS查询模式

1.递归查询:

通常客户机和服务器之间属递归查询,即当客户机向DNS服务器发出请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求,得到结果后转交给客户机;

2.迭代查询(反复查询):

一般DNS服务器之间属迭代查询,如:若DNS2不能响应DNS1的请求,则它会将DNS3的IP给DNS2,以便其再向DNS3发出请求;

3.反向查询:利用IP地址解析主机名的过程

Caching -Only  Server(只缓存服务器)

是指一台并不负责管辖任何区域的DNS服务器,但它会帮客户端向其它的DNS服务器进行查询,将查找到的记录存储一份到缓存,并响应客户端的请求。

缓存文件和TTL

缓存文件:

存储了Internet根域的DNS服务器的IP地址:

%sys temroot%\system32\DNS\cache.dns

TTL(Time- to- live):

DNS服务器在帮助客户端解析了主机名后,会将该记录转交给客户机的同时,存储一份到高速缓存中,以便下次使用,该记录会在缓存中驻留一段时间,称为TTL。默认为60分钟.

转发器

从安全上考虑,为避免所有的DNS服务器都向外界查询,可指定一台DNS服务器做为转发器,并使得只有转发器才可向外界查询,而其它DNS服务器都须通过转发器向外界查询

DNS服务安装和配置

DNS服务器的安装

条件:
1).只能在服务器等级的计算机上安装

2).该计算机最好使用静态IP地址

步骤:添加删除程序——网络服务——DNS服务

DNS客户端的设置

TCP/IP属性—首选DNS,客户机可指定多台DNS服务器,解析时会按顺序请求

DNS服务器的配置

1.新建区域

区域类型:

win2000中:

A、AD集成区域

B、主要区域

C、辅助区域

Win2003中:

A、主要区域:存储了一个区域信息的正本,并且能够对这些信息进行写操作

a、在独立服务器或成员服务器上,区域内的数据存储在区域文件中

b、在DC上,则区域内的数据存储在AD数据库中,该区域称为AD集成区域(AD整合区域),并且这些数据会随着AD数据库复制到其它区域

B、辅助区域:存放了一个区域信息的复本,这些信息是只读的,不可写

C、存根区域:存储了一个区域的副本信息,但只包含少数记录(名称服务器NS,起始授权机构SOA,粘连主机A).利用这些记录可以找到管辖此区域的DNS服务器

补充:1、nslookup用于检测FQDN名能否被解析

2、ipconfig

参数:  
  /displaydns:显示DNS缓存

/flushdns:清除DNS缓存

/registerdns手工向DNS注册

3.创建资源记录

1).主机记录(A):主机记录记录了主机名和IP地址的映射关系

2).起始授权机构(SOA):SOA记录了此区域的主要名称服务器,负责人等,创建区域时被自动创建

3).名称服务器记录(NS):记录了负责该区域的部分或全部名称服务器,创建区域时自动建立

4).指针记录(PTR):IP地址与主机名的映射

5).别名记录(NAME):在某些情况下一个主机需要多个别名,以便该主机做为多种服务器

6).邮件交换器记录(MX):记录了该区域的邮件交换器的IP地址,邮件服务器优先级:默认为10,数字越小越高

7).服务器记录(SRV):记录区域内某些特殊服务器

8).主机信息记录(HINFO):记录了某些主机的CPU和操作系统类型

动态更新

win2000/2003DNS支持动态更新,即当客户端的主机名和IP地址改动时,更正信息会自动传送给DNS服务器,以便DNS服务器更新DNS记录

注:
1)客户端需具备自动更新功能

2)2000/2003/XP等支持动态更新,98.NT,等旧版OS不支持

3)同时,DNS服务器应允许动态更新

启动DNS服务器的动态更新

选择区域—属性—常规—动态更新

动态更新的类型

1).不允许动态更新

2).非安全动态更新:接收来自任何用户的更改信息

3).安全动态更新:只接收具备权限的用户的更改信息(AD集成区域)

注:只有AD集成区域才支持安全动态更新

DNS客户端的动态更新设置

如果该客户端是非DHCP客户端即静态指定IP地址,则该客户端会在DNS服务器上更新A记录和PTR记录

若该客户端为DHCP客户端,则由客户端更新A记录,DHCP服务器更新PTR记录

不支持动态更新的客户端,如NT,98可通过DHCP服务器进行动态更新。

 

 

加入网盾,开启安全防护

网盾安全 高防服务器、游戏盾、DDoS高防IP、云WAF等多款安全产品

立即体验
咨询
·
售后

咨询
·
售后

产品咨询与购买在线客服,高防咨询,解决方案

技术支持:15307140247 故障申报,技术支持