设置域名系统（2）

最新推荐文章于 2025-09-05 15:04:40 发布

weixin_34038652

最新推荐文章于 2025-09-05 15:04:40 发布

阅读量121

点赞数

CC 4.0 BY-SA版权

文章标签：运维操作系统数据库

原文链接：http://blog.51cto.com/huangyangyang/411645

本文探讨了DNS部署的不同方案，包括使用独立DNS服务器、ISP托管及Active Directory集成等方法，并介绍了配置步骤。

DNS 部署的解决方案<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

下面列出了一些解决原始配置安全问题的方案： 

两个域/区域使用各自的 DNS 服务器。
由 Internet 服务提供商 (ISP) 托管外部 DNS。
将两个区域放在一台服务器中，并用正确的访问控制配置 Active Directory。

使用各自的 DNS 服务器

解决安全问题的一种方法是使用两台单独的 DNS 服务器将两个区域的 DNS 操作分开，一个放在公共网段，另一个仅用于内部 DNS 查询。

但是，对于小型 Web 操作，并不希望再多管理一台服务器。实际上，根据一般建议所述，每个区域至少配置两台权威名称服务器，那么我们需要安装四台 DNS 服务器为两个域（带有主 DNS 服务器和辅 DNS 服务器）提供足够的容错功能。这样，如果其中一台服务器出现故障，站点仍可正常工作。

在较大的 Web 群中，这可能是首选设置，因为它可以绝对控制整个操作环境，并将对第三方系统的依赖性降到最低。

由 ISP 托管外部 DNS

另一个常用的方法是由 Internet 服务提供商维护外部域，而我们自己继续管理内部域的 DNS 服务器。对于此类配置， DNS 服务器仅连接到内部网络，不能通过 Internet 访问它。

这可能是隔离两个域并最大限度降低管理其它 DNS 服务器额外开销的最简单方法。同时， ISP 为其 DNS 服务器提供了更好的网络和系统冗余。然后，我们可以在内部网络上安装辅 DNS 服务器，为内部名称搜索提供容错功能。

配置 Active Directory 访问控制

可以将两个区域放在一个服务器中，并将该区域与 Active Directory 安全功能集成起来。通过正确控制对 Active Directory 中 DNS 文件的访问，可将内部 DNS 查询仅限于经过身份验证的用户。

但是，我们还没有验证该解决方案。由于该方案非常复杂，所以必须进行大量的试验，确保设置正确并且没有误将内部信息输出到 Internet 。

注册域名

要避免与其它组织的名称空间冲突，外部域的指定名称 “DuwamishOnline.com” 必须由相应的域名颁发机构（称为 “ 注册机构 ” ）注册。

对于整个域名空间，过去只有一个注册机构。但是，随着美国政府对整个 Internet 基础结构的不断私有化和全球化，现在出现了许多注册机构。

在 Internet 名称和号码分配社团 (ICANN) 的 Web 站点 ( http://www.icann.org/ ) 上，可以找到世界各地的可信注册机构的列表，该社团是由美国政府唯一缔约的非赢利组织，监督 IP 地址的分配和 DNS 基础结构的管理。

尽管不同注册机构的注册过程有所差异，但是，它们大致还是相同的。您可以先登录到其中的某个 Web 站点，搜索想要使用的域名，看看是否已经存在。如果此域名还未使用，就会要求您提供合同和记帐信息。另外，您需要提供两个 IP 地址和 FQDN ，用于主 DNS 服务器和辅 DNS 服务器。

如果您的 ISP 正在管理 Internet 域的 DNS 服务器，请在开始注册过程之前，先向他们询问此类信息。事实上，现在大多数提供商除了给您的域提供 DNS 服务外，还替您提交注册请求。

因为内部域的 DNS 服务器安装是由 Active Directory 安装向导自动完成的，所以本文不再讨论这个简单的过程。详细信息，请参阅文章设置 Active Directory 域。

外部域的 DNS 服务器配置

如果选择为外部域管理一组单独的 DNS 服务器，则可通过以下步骤获得一组基本外部 DNS 服务器配置。

在 Windows 2000 中安装 DNS

在 Windows 2000 Server 、 Advanced Server 和 Datacenter Server 中， DNS 是作为操作系统软件的一部分提供的。但是，它并不是默认安装的一部分，必须在安装 DNS 服务器之前进行安装。

要安装 DNS

1. 从开始菜单，指向设置 \ 控制面板 。双击添加 / 删除程序 ，单击添加 / 删除 Windows 组件，然后单击组件按钮。

2. 在“ Windows 组件向导”中，选择 网络服务 ，然后单击 详细信息 。选择 域名系统 组件，并单击确定。

安装主 DNS 服务器

主 DNS 服务器包含外部区域 DuwamishOnline.com 的资源记录。辅 DNS 服务器用作该服务器的备份服务器。

要安装主 DNS 服务器

1. 从开始菜单，指向程序 \ 管理工具 。单击 DNS 启用 DNS 控制台程序。

2. 在左侧窗格中，选择正在配置的服务器。

3. 如果还没有配置 DNS 服务器，请从操作菜单单击 配置服务器 ，启动“配置 DNS 向导”。此向导将引导您完成“正向搜索区域”和“反向搜索区域”的设置。

注意如果已经给其它区域配置了该 DNS 服务器，则无法从菜单上使用该选项。需要分别右键单击 “ 正向搜索区域 ” 和 “ 反向搜索区域 ” 文件夹，指向新建区域，启动 “ 新建区域向导 ” 。设置过程与下面的步骤类似。

4. 按照向导的指示设置 正向搜索区域 。“正向搜索区域”是将域名转换成 IP 地址的资源记录集。无疑，这是 DNS 服务器最重要的数据文件。

5. 在 新建区域向导 对话框中，单击选项按钮将区域类型指定为 标准主要区域 ，后者以传统文本文件格式存储区域数据。

注意如果网络上使用 Active Directory 服务器，您可以选择 Active Directory 集成的区域 选项按钮。该选项允许将区域数据存储在 Active Directory 数据库中，并自动复制到其它 Active Directory 服务器中。

6. 输入完全合格的域名称（本例中为“ DuwamishOnline.com” ）。

7. 接受新区域文件的默认文件名。

8. 如果需要，请创建一个 反向搜索区域 。“反向搜索区域”是将 IP 地址转换回相应域名的资源记录集。许多 Internet 服务经常需要使用此信息进行安全验证。

9. 要设置“反向搜索区域”的名称，系统将要求您输入外部网络的网络 ID 。例如，如果 DNS 服务器位于一个完全 C 类网络中，则输入该服务器 IP 地址的前三段。不过，您应该从 ISP 那里获得此类信息。（有关 IP 地址类别的详细信息，请参阅 http://msdn.microsoft.com/library/wcedoc/wcecomm/tcpip_11.htm 。）

10. 将区域名用作“反向搜索区域”的数据文件名。

此时，您已完成了主 DNS 服务器的安装，并已准备好配置该区域的其它资源记录。

配置主 DNS 服务器

在 Windows 2000 DNS 服务器中有很多有用的功能。下面讲述了为 DuwamishOnline.com 这样的 Web 群配置主 DNS 服务器的最小需求。假定您已如上所述成功创建了一个新的正向和反向搜索区域。

要修改 SOA 和名称服务器记录

1. 从 DNS 控制台左侧窗格中，展开选定计算机名称下面的树状结构。指向 正向搜索区域 文件夹中的 FQDN （本例中， FQDN 就是 “duwamishonline.com” ）；右键单击并选择属性。

2. 在属性对话框中，单击 起始授权机构 (SOA) 选项卡。

3. 根据需要修改 主服务器 字段。该字段应包含主 DNS 服务器的 FQDN 。

4. 根据需要修改 负责人 字段。该字段应包含 DNS 管理员的电子邮件地址。但是按照 DNS 标准，应该用“ .” 来替代 “@” 。例如，如果管理员的电子邮件地址是 “admin@duwamishonline.com” ，则该字段应包含 “admin.duwamishonline.com” 。

5. 单击 名称服务器 选项卡。