DNS

 

 
" 域名注册、解析和分布。域名系统（ D N S）是已注册的计算机名和可以被迅速定位的I P地址的目录。该节将概述D N S中的一个重要部分—名字服务，以及它是如何注册、解析和传送计算机名的。D N S服务器可以用来定位它们所授权的域内的服务。如果该服务定位功能被实现，便可以发出不是寻找某台计算机而是寻找域内某种服务的请求，并且可以得到一个作为回答的I P地址。注意：Windows 2000 要求使用服务记录（SRV记录将在以后提到）。
" 主机名的特征。不论是准备给一台计算机命名还是计划为上千台计算机命名， D N S计算机命名规则都是十分重要的。该节将介绍一些必要的命名规则并提供一些如何为计算机命名的建议。
" 全域名。I n t e r n e t上的计算机都是某个域的成员。该节将叙述域名、全域名以及它们是如何形成的。本书是一本讲述域名系统的书，既适合新手又适合熟练的D N S管理员阅读。本书也讲述了新的Windows 2000 DNS服务器以及在Wi n d o w s中如何使用D N S。阅读本书不要求读者有D N S的预备知识，但是有一定背景知识的读者很可能会发现一些新知识。这并不意味着书中提供的信息质量有问题，也不意味着读者的背景知识有缺陷。
Windows 2000操作系统使用D N S的方式不同于微软以前的操作系统—事实上，也不同于以前的任何操作系统。尽管本书开始是从世界通用标准的角度剖析和解释D N S的，但它以对Windows 2000特征的完整回顾而结束。本书的中间部分讨论了Windows 2000中对BIND 的使用，在非Wi n d o w s环境下使用Windows 2000 DNS ，新的D N S特征和关注点以及在新界面下对D N S操作的实践。在Windows 2000对活动目录域环境的支持中， D N S处于一个中心并且大量使用的位置。
当询问1 0 0个Windows 2000 配置专家哪些是你能正确工作的1 0件最重要的事情时，在所提到的1 0 0 0件事中几乎有1 0 0件是D N S。从活动目录的设计阶段到使用者的日常行为， Wi n d o w s 2 0 0 0系统的重要特征都与D N S相关。
本书的介绍将从D N S本身开始，看一下它是什么、它的定义、它是如何工作的以及各类操作系统（与时间有关的B I N D版本或是Windows 2000）是如何使用它的。最后将介绍新版本D N S的一些特征，以及在Windows 环境下使用时应注意的事项和它的使用方法。
本章在介绍域名系统时不要求读者有很多的预备知识，只要知道计算机是如何工作以及如何和I n t e r n e t交互的就可以了。凡是需要了解D N S和D N S服务器的人都可以通过阅读本书以获得必要的知识。在本章可以从概念上，也可以在一定程度的细节上学到什么是域名系统以及D N S服务器是怎样满足成千上万的本地和世界各地计算机用户的需要的。
■-1.1 域名注册、解析和分布
I n t e r n e t上计算机之间的T C P / I P通信是通过I P地址来进行的。因此， I n t e r n e t上的计算机都应有一个I P地址作为他们的唯一标识。域名系统是用于注册计算机名及其I P地址的。D N S是在I n t e r n e t环境下研制和开发的，目的是使任何地方的主机都可以通过比较友好的计算机名字而不是它的I P地址来找到另一台计算机。D N S是一种不断向前发展的服务，该服务通过I n t e r n e t工程任务组（I F T F）的草案和一种称为R F C（Request For Comment）文件的建议不断升级的。在本书的后续章节将介绍这些草案和R F C文件的存放地点。
不要混淆域名系统服务器和域名系统。域名系统服务器只是域名系统中的工具，通过它们不停的工作来实现域名系统的功能。本章将介绍域名系统和域名系统服务器，请随时注意两者的差别。
D N S服务器为客户机提供一种方法来存储和搜索其他主机的主机名和I P地址，这里所说的客户机可以是单独的计算机用户、应用服务器，甚至是其他D N S服务器。主机是计算机的另一种名称，主机名就是计算机在域名系统中使用的名字。域名空间是指I n t e r n e t上所有主机
的唯一的和比较友好的主机名所组成的空间，它是一个重要的概念。每一个主机名及其I P地址存储在一台或多台D N S服务器中，以便I n t e r n e t中的其他用户可以通过计算机名来搜索相应主机的I P地址。为此， D N S服务器之间必须能进行可靠的通信，以便将I n t e r n e t域名树的每一个分支捆绑在一起以形成一个综合系统。域名树是域名空间的骨架，D N S服务器工作时可在其上下左右移动。第2章中将详细介绍D N S是如何工作的并讨论域名空间是什么。
域名服务中有两个最基本的概念：域名注册和解析。这两个概念对于理解D N S名字和D N S服务器都非常重要。但是，让我们首先简单地介绍一下注册和解析的对象：主机名和IP地址
域和域区
理解域和域区的差别需要费一点精力。DNS域名树的分支是为域名所用的，而叶子则用于主机。在域名树中，子域和主机是树中所有在它们上层的域的成员。
域区在逻辑上覆盖了DNS树型结构的一部分，以确定每个DNS服务器支持的名字(子域名和主机名)。DNS服务器的域区决定了它所覆盖的树的分支、树的区域，以及有多少它所授权的域。
图2-3中有一个服务器的授权域区包括mkt和sales两个域。一个DNS服务器也可以在一个域区中只有一个域。图2-3中的eng就是一个域区只有一个域的例子，尽管它还有两个子域。因为Windows2000中的域区用于控制相邻的分支，也就要求mkt和sales域位于不同的域区中，这与一般的域区规则稍有不同。
由于DNS服务器之间的交互操作和DNS服务器及DNS客户机之间的交互操作决定了必须有域区和委托授权，域区规定了名字是在哪里存放的(即哪个DNS服务器具有这些名字)，而委托授权则决定客户机和服务器应从哪条路径与其他DNS服务器通信。
一个域区包含的记录可以是单个域的记录、一个域记录的一部分、一个或几个子域的记录或者是父域和子域记录的组合。对于一类特殊的用来进行从地址到名字解析的反向地址域区，更是常有多个域的记录。反向地址域区将在第4章中描述。
域区向DNS服务器提供了它所管理的名字，而委托授权则告诉DNS服务器当一个查询是在其域区以外时到哪里去查找。域区和委托授权都不决定哪个DNS服务器是域记录授权的最初来源，哪些服务器只是备份。需指定一个服务器为主服务器并给予它这种授权，并指定一个服务器为辅服务器以作为主服务器的备份。
2.2.1主DNS服务器
如前所述，主DNS服务器(即SOA)负责域中名字的授权，关于那个域的名字的所有信息都要从这个服务器获得。当一个主DNS服务器启动时，它从它所运行主机的本地数据文件（或者活动目录）中取得域区数据。一个DNS服务器可以同时是一个或几个域的主服务器，也可以同时既是一个域的主服务器，又是另一个域的辅服务器。第3章将更详细地解释DNS服务器的类型。但现在至少应认识到域和域区不存在主或辅的问题，只有DNS服务器才有主或辅的概念，主DNS服务器才是一个域的名字的授权来源。
如果要配置一个机构的域的层次结构，最好首先为整个域配置一个主域名服务器。DNS服务器管理的域区应包含所有的域名，也许还应为子域配置一个或几个服务器。如果要为机构的各个部门建立子域，则每个子域应有一个主DNS服务器。如果服务器不包含这个域的所有记录，则必须指定一个子域授权（例如，example.net被分为sales.example.net，ops.example.net，eng.example.net等等）。
通过子域的选择提高了用户的灵活性。同时，因为每个子域都有一个授权的启动，所以潜在地增加了负载。因此，每次做出改变时，必须进入指定的主服务器。MS关于“域区”项的使用有时是令人费解的。在实现时应注意使用方式。
2.2.2辅DNS服务器
辅DNS服务器从主服务器获得数据。当一个辅DNS服务器启动时，它首先从主服务器处获得域区数据，并将自己的版本号和主服务器的版本号进行比较。如果觉得必要，辅服务器就进行域区数据的替换，用主服务器的数据覆盖原来的数据。辅服务器能和主服务器通信是因为辅服务器的名字连同SOA和NS资源记录一起保存在它的文件里。辅服务器仅用一个NS记录来表示，并且它不承担SOA的责任，只有主服务器才有权承担。当然，如果辅服务器仍然没有域区数据，它需要在它的启动文件建立时使用指示来定位主服务器以获得域区数据。
和主DNS服务器相似，辅服务器也是授权查找域名的地方。其差别在于主服务器是其他需要输入域区文件的服务器的初始域名来源，而辅服务器则不是传递域区数据的来源。辅服务器的存在只是为了备份并提供查询服务。
2.2.3从主DNS服务器向辅DNS服务器传送数据
对域、域区、委托授权有所了解后，可以转向讨论DNS的分布式数据库模型。域区文件本质上是DNS名字的数据库列表，主服务器拥有它自己的各个域的源域区文件。
子域域名服务器可以有主服务器的功能，可有效地将一个大的域名列表划分为几个较小的部分，成为几个域区文件。如果一个大型机构在建立其域名服务器时只使用一个域，而没有划分为几个子域，则域区文件将非常大。这样一个很大的无层次名字空间还会有另一个问题：一个不再划分的DNS分支不能支持两个同样的主机名。如果不对域进行划分，一个大机关就会遇到像ARPAnet决定建立DNS体系结构时所曾遇到的问题。然而，同样大的机构可以把它的域名空间分成几个子域，但仍然只用一个域区文件，如图2-3所示。这只能解决两个问题中的一个。
对域进行划分可以因域区文件变小并容易管理而改善性能。一个域名服务器不应该解析庞大的域区文件。虽然还受其他因素影响，但一般来说域区文件越小，从域名服务器得到的响应就越快。但子域也会带来一定的问题，即数据问题。委托授权解决了父域和子域的协调，但一个辅服务器又如何从数据源—它的主服务器—来获得数据？回答是通过传送主服务器的域区文件。这也被称作域区传送（zonetransfer）。域区传送可以是部分的也可以是完全的，主要取决于需求和最近一次全传送耗费的时间。把大的域区文件分成几个小文件也可提高域区传送的效率。这也是为什么要避免大而平面化的域名空间的重要原因之一。
当一个主服务器启动时，它只需要对名字查询请求做出响应。当一个辅服务器启动时，它就要查看主服务器的授权数据，并得到一个路径和文件名，以便当收到副本时保存为本地的备份。这由服务器的启动信息提供，在第4章中将会提到。如果辅服务器是第一次启动或者有人清除了它的数据目录，则辅服务器就向主服务器发出请求以得到域区文件的副本。
域区传送操作很像Windows(NT或2000)的文件复制，或者是Windows在域名服务器之间的WINS数据复制。当辅服务器得到了主服务器域区文件的副本后，它也能对名字查询提供授权的应答。如果主服务器的域区文件有所改变或更新，辅服务器将如何处理?在授权开始资源记录（SOARR）中包含的若干信息字段可指示辅服务器相隔多久检查主服务器的变化，这些字段设置了超期时限和刷新频率。SOA资源记录也有一个版本号或序列号。关于SOA资源记录的更多信息，请见第4章。
辅服务器将定期地向主服务器查询它所需刷新的域区文件，具体的就是检查序列号是否有变化，序列号是一种递增的指示数据库版本的数字。如果序列号有所变化，辅服务器就知道域区数据有了变化，就会启动新的副本传递（可能是部分的，也可能是完全的传送）。部分传送是在RFC1995中定义的一种逐渐递增的传送，即仅是被改变的部分而不是整个域区文件被传送。
只有当序列号增大后辅服务器才会进行域区文件传送。如果序列号因为某种原因而减少，则辅服务器将认为它的域区文件副本是最新的，并将继续使用直到期满。如果因某种原因序列号变为0，则辅服务器的本地域区文件将被删除，辅服务器就将启动一次传输，从主服务器传送完整的新的域区数据文件。但是无论在哪种情况下，都是从它的主服务器获得它的数据。
Windows2000DNS服务器和BIND8.0还有一种“通告”选项，以启动辅服务器的更新。这就是说，主服务器可以通知辅服务器数据已变化，以便加速传送新信息。“通告”选项还可以提高安全性，因为是由主服务器启动域区文件的传送。主服务器的管理员提供了应通知的辅服务器列表，而列表中的辅服务器只限于那些已经授权的服务器。将启动数据传送从辅服务器转为主服务器，有助于防止域区文件被非法窃走。这是一系列使用“通告”选项来提高传送效率的令人信服的原因。然而，一些BIND8.1.1服务器在从Windows2000DNS接收到这样的传送时会丢弃自己的所有数据。所以，当计划用这种方式使用BIND辅服务器时，应采用BIND8.1.2。
希望DNS查询在全局范围内都能得到迅速处理的机构应该在不同的地理位置上配置DNS服务器，也许可以把部分域区数据放在其他合作机构的服务器上。这样可以提供较好的本地查询性能，而配置的冗余有助于在Internet连接不正常时继续工作。
在有故障时，即使目的主机不能接通，辅DNS服务器仍然可以进行名字解析。对于如发送邮件这样的服务，这是很有用的，因为如果在发送邮件时可以解析主机名，但不能启动一次邮件发送过程，则只需将邮件在发送队列中继续排队，稍后再发送。而发送邮件时如果连主机名都不能解析，则只能退回邮件并给出“主机未知”错误。
Windows2000把域区数据集成到活动目录中作为第三类域区，从而逐渐模糊了标准主辅服务器之间的区别。集成后，仍然可以有标准辅服务器，但也可能有多个同等的使用活动目录进行复制的辅服务器。这在第7章中将会提到，那里将讨论一些有关活动目录技术的DNS问题。

"域"和"工作组"到底是什么？又有什么区别呢？

　　"域"和"工作组"都是由一些计算机组成，比如我们可以把公司的每个部门组织成一个"域"或者一个"工作组"，网络部、软件部、销售部、客户服务部等等。这种组织关系和物理上电脑之间的连接没有关系，是逻辑意义上的。一个网络中可以创建多个"域"和多个"工作组"。

　　他们之间的区别可以归结为以下几点：

　　首先创建方式不同，"工作组"可以由任何一个计算机的主人来创建，他在"工作组"输入新名称，重新启动一下就创建了一个新组，每一个电脑都可以创建一个组。而"域"只能由服务器来创建，其他的计算机只能加入这个域。如下图。

　　其次是安全机制不同，在"域"中有可以登录该域的帐号，这些由域管理员来建立。在"工作组"中不存在组帐号，只有本机上的帐号和密码。看看下图。

　　再次登录方式不同，在工作组方式下，计算机启动后自动就在工作组中。登录"域"是要提交"域用户名"和"密码"，一旦登录，便被赋予相应的权限。