DNS 服務(wù)器詳解 DNS 組件完整的DNS 系統(tǒng)由DNS 服務(wù)器、區(qū)域、解析器（DNS 客戶端）和資源記錄組成，并且你需要正確的進(jìn)行配置。DNS 協(xié)議采用UDP/TCP 53端口進(jìn)行通訊：DNS 服

DNS 服務(wù)器詳解 DNS 組件

完整的DNS 系統(tǒng)由DNS 服務(wù)器、區(qū)域、解析器（DNS 客戶端）和資源記錄組成，并且你需要正確的進(jìn)行配置。DNS 協(xié)議采用UDP/TCP 53端口進(jìn)行通訊：DNS 服務(wù)器偵聽UDP/TCP 53端口，DNS 客戶端通過向服務(wù)器的這兩個(gè)端口發(fā)起連接進(jìn)行DNS 協(xié)議通訊。其中UDP 53端口主要用于答復(fù)DNS 客戶端的解析請(qǐng)求，而TCP 53端口用于區(qū)域復(fù)制。

DNS 服務(wù)器

運(yùn)行DNS 服務(wù)器軟件的計(jì)算機(jī)。常見的DNS 服務(wù)器軟件有Windows 的DNS 服務(wù)器和Unix 下的BIND 。一個(gè)DNS 服務(wù)器包含了部分DNS 命名空間的數(shù)據(jù)信息，當(dāng)DNS 客戶發(fā)起解析請(qǐng)求時(shí)，DNS 服務(wù)器答復(fù)客戶的請(qǐng)求，或者提供另外一個(gè)可以幫助客戶進(jìn)行請(qǐng)求解析的服務(wù)器地址，或者回復(fù)客戶無對(duì)應(yīng)記錄。

當(dāng)DNS 服務(wù)器管理某個(gè)區(qū)域時(shí)，它是此區(qū)域的權(quán)威DNS 服務(wù)器，而無論它是主要區(qū)域還是輔助區(qū)域。DNS 服務(wù)器可以是一級(jí)或者多級(jí)DNS 命名空間的權(quán)威DNS 服務(wù)器，例如，Internet 根域的DNS 服務(wù)器只是對(duì)于頂級(jí)域名例如“.org ”具有權(quán)威，而頂級(jí)域名.org 的權(quán)威DNS 服務(wù)器只是對(duì)于winsvr.org 二級(jí)域名具有權(quán)威，而對(duì)于三級(jí)域名www.winsvr.org ，則只有winsvr.org 域的DNS 服務(wù)器才具有權(quán)威。

DNS 區(qū)域

DNS 區(qū)域是DNS 服務(wù)器具有權(quán)威的連續(xù)的命名空間，一個(gè)DNS 服務(wù)器可以對(duì)一個(gè)或多個(gè)區(qū)域具有權(quán)威，而一個(gè)區(qū)域可以包含一個(gè)或多個(gè)連續(xù)的域。例如，一個(gè)DNS 服務(wù)器可以對(duì)區(qū)域winsvr.org 和isacn.org 具有權(quán)威，而每個(gè)區(qū)域下又可以包含多個(gè)域。不過，你可以通過區(qū)域委派來將連續(xù)的域例如winsvr.org 、tech.winsvr.org 存放在不同的區(qū)域中。

區(qū)域文件包含了DNS 服務(wù)器具有權(quán)威的區(qū)域的所有資源記錄。通常情況下，區(qū)域數(shù)據(jù)存在在文本文件中，但是運(yùn)行在Windows 2000或者Windows Server 2003域控制器上的DNS 服務(wù)器，可以把區(qū)域信息存放在活動(dòng)目錄中。

DNS 解析器（DNS 客戶端）

DNS 解析器是使用客戶端計(jì)算機(jī)用于通過DNS 協(xié)議查詢DNS 服務(wù)器的一個(gè)服務(wù)。在Windows 2000及其后的系統(tǒng)中，DNS 解析器是通過DNS 客戶端這個(gè)服務(wù)來實(shí)現(xiàn)，

除此之外，DNS 客戶端服務(wù)還可以對(duì)DNS 解析結(jié)果進(jìn)行緩存。你必須在客戶端計(jì)算機(jī)的TCP/IP屬性中配置使用DNS 服務(wù)器，此時(shí)客戶端計(jì)算機(jī)的DNS 解析器才會(huì)將DNS 解析請(qǐng)求發(fā)送到相應(yīng)的DNS 服務(wù)器。

資源記錄

資源記錄是用于答復(fù)DNS 客戶端請(qǐng)求的DNS 數(shù)據(jù)庫記錄，每一個(gè)DNS 服務(wù)器包含了它所管理的DNS 命名空間的所有資源記錄。資源記錄包含和特定主機(jī)有關(guān)的信息，如IP 地址、提供服務(wù)的類型等等。常見的資源記錄類型有：

資源記錄類型

說明

解釋

起始授權(quán)結(jié)構(gòu)（SOA ）

起始授權(quán)機(jī)構(gòu)

此記錄指定區(qū)域的起點(diǎn)。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務(wù)器如何更新區(qū)域數(shù)據(jù)文件的設(shè)置等。

主機(jī)（A ）

主機(jī)（A ）記錄是名稱解析的重要記錄，它用于將特定的主機(jī)名映射到對(duì)應(yīng)主機(jī)的IP 地址 上。你可以在DNS 服務(wù)器中手動(dòng)創(chuàng)建或通過DNS 客戶端動(dòng)態(tài)更新來創(chuàng)建。

別名（CNAME ）

標(biāo)準(zhǔn)名稱

此記錄用于將某個(gè)別名指向到某個(gè)主機(jī)（A ）記錄上，從而無需為某個(gè)需要新名字解析的主機(jī)額外創(chuàng)建A 記錄。

郵件交換器（MX ）

郵件交換器

此記錄列出了負(fù)責(zé)接收發(fā)到域中的電子郵件的主機(jī) ，通常用于郵件的收發(fā)。

名稱服務(wù)器（NS ）

名稱服務(wù)器

此記錄指定負(fù)責(zé)此DNS 區(qū)域的權(quán)威名稱服務(wù)器。

理解DNS 服務(wù)器的工作方式

當(dāng)DNS 客戶端需要為某個(gè)應(yīng)用程序查詢名字時(shí)，它將聯(lián)系自己的DNS 服務(wù)器來解析此名字。DNS 客戶發(fā)送的解析請(qǐng)求包含以下三種信息：

1. 需要查詢的域名。如果原應(yīng)用程序提交的不是一個(gè)完整的FQDN ，則DNS 客戶端加上域名后綴以構(gòu)成一個(gè)完整的FQDN ；

2. 指定的查詢類型。指定查詢的資源記錄的類型，如A 記錄或者M(jìn)X 記錄等等；

3. 指定的DNS 域名類型。對(duì)于DNS 客戶端服務(wù)，這個(gè)類型總是指定Internet [IN]類別。

DNS 客戶端完整的DNS 解析過程如下：

1、檢查自己的本地DNS 名字緩存

當(dāng)DNS 客戶端需要解析某個(gè)FQDN 時(shí)，先檢查自己的本地DNS 名字緩存。本地的DNS 名字緩存由兩部分構(gòu)成：

Hosts 文件中的主機(jī)名到IP 地址映射定義

前一次DNS 查詢得到的結(jié)果，并且此結(jié)果還處于有效期；如果DNS 客戶端從本地緩存中獲得相應(yīng)結(jié)果，則DNS 解析完成。

2、聯(lián)系自己的DNS 服務(wù)器

如果DNS 客戶端沒有在自己的本地緩存中找到對(duì)應(yīng)的記錄，則聯(lián)系自己的DNS 服務(wù)器，你必須預(yù)先配置DNS 客戶端所使用的DNS 服務(wù)器。

當(dāng)DNS 服務(wù)器接收到DNS 客戶端的解析請(qǐng)求后，它先檢查自己是否能夠權(quán)威的答復(fù)此解析請(qǐng)求，即它是否管理此請(qǐng)求記錄所對(duì)應(yīng)的DNS 區(qū)域；如果DNS 服務(wù)器管理對(duì)應(yīng)的DNS 區(qū)域，則DNS 服務(wù)器對(duì)此DNS 區(qū)域具有權(quán)威。此時(shí)，如果本地區(qū)域中的相應(yīng)資源記錄匹配客戶的解析請(qǐng)求，則DNS 服務(wù)器權(quán)威的使用此資源記錄答復(fù)客戶的解析請(qǐng)求（權(quán)威答復(fù)）；如果沒有相應(yīng)的資源記錄，則DNS 服務(wù)器權(quán)威的答復(fù)客戶無對(duì)應(yīng)的資源記錄（否定答復(fù)）。

如果沒有區(qū)域匹配DNS 客戶端發(fā)起的解析請(qǐng)求，則DNS 服務(wù)器檢查自己的本地緩存。如果具有對(duì)應(yīng)的匹配結(jié)果，無論是正向答復(fù)還是否定答復(fù)，DNS 服務(wù)器非權(quán)威的答復(fù)客戶的解析請(qǐng)求。此時(shí)，DNS 解析完成。

如果DNS 服務(wù)器在自己的本地緩存中還是沒有找到匹配的結(jié)果，此時(shí)，根據(jù)配置的不同，DNS 服務(wù)器執(zhí)行請(qǐng)求查詢的方式也不同：

默認(rèn)情況下，DNS 服務(wù)器使用遞歸方式來解析名字。遞歸方式的含義就是DNS 服務(wù)器作為DNS 客戶端向其他DNS 服務(wù)器查詢此解析請(qǐng)求，直到獲得解析結(jié)果，在此過程中，原DNS 客戶端則等待DNS 服務(wù)器的回復(fù)。

如果你禁止DNS 服務(wù)器使用遞歸方式，則DNS 服務(wù)器工作在迭代方式，即向原DNS 客戶端返回一個(gè)參考答復(fù)，其中包含有利于客戶端解析請(qǐng)求的信息（例如根提示信息等），而不再進(jìn)行其他操作；原DNS 客戶端根據(jù)DNS 服務(wù)器返回的參考信息

再?zèng)Q定處理方式。但是在實(shí)際網(wǎng)絡(luò)環(huán)境中，禁用DNS 服務(wù)器的遞歸查詢往往會(huì)讓DNS 服務(wù)器對(duì)無法進(jìn)行本地解析的客戶端請(qǐng)求返回一個(gè)服務(wù)器失敗的參考答復(fù)，此時(shí)，客戶端則會(huì)認(rèn)為解析失敗。

遞歸方式和迭代方式的不同之處就是當(dāng)DNS 服務(wù)器沒有在本地完成客戶端的請(qǐng)求解析時(shí)，由誰扮演DNS 客戶端的角色向其他DNS 服務(wù)器發(fā)起解析請(qǐng)求。通常情況下應(yīng)使用遞歸方式，這樣有利于網(wǎng)絡(luò)管理和安全性控制，只是遞歸方式比迭代方式更消耗DNS 服務(wù)器的性能，不過在通常的情況下，這點(diǎn)性能的消耗無關(guān)緊要。

根提示信息是Internet 命名空間中的根DNS 服務(wù)器的IP 地址。為了正常的執(zhí)行遞歸解析，DNS 服務(wù)器必須知道從哪兒開始搜索DNS 域名，而根提示信息則用于實(shí)現(xiàn)這一需求。全世界范圍內(nèi)的根DNS 服務(wù)器總共有13個(gè)，它們的名字和IP 地址信息保存在systemrootsystem32dnscache.dns文件中，每次DNS 服務(wù)器啟動(dòng)時(shí)從cache.dns 文件中讀取。一般情況下，不需要對(duì)此文件進(jìn)行修改；如果你的DNS 服務(wù)器是在內(nèi)部網(wǎng)絡(luò)中部署并且不需要使用Internet 的根DNS 服務(wù)器，則可以根據(jù)需要進(jìn)行修改，將其指向到某個(gè)內(nèi)部根域DNS 服務(wù)器。

例如，當(dāng)某個(gè)DNS 客戶端請(qǐng)求解析域名www.winsvr.org 并且DNS 服務(wù)器工作在遞歸模式下時(shí)，完整的解析過程如下：

DNS 客戶端檢查自己的本地名字緩存，沒有找到對(duì)應(yīng)的記錄；

DNS 客戶端聯(lián)系自己的DNS 服務(wù)器NameServer1，查詢域名 www.winsvr.org；

NameServer1檢查自己的權(quán)威區(qū)域和本地緩存，沒有找到對(duì)應(yīng)值。于是，聯(lián)系根提示中的某個(gè)根域服務(wù)器，查詢域名www.winsvr.org ；

根域服務(wù)器也不知道www.winsvr.org 的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1 .org頂級(jí)域的權(quán)威DNS 服務(wù)器；

NameServer1聯(lián)系.org 頂級(jí)域的權(quán)威DNS 服務(wù)器，查詢域名www.winsvr.org ；

.org 頂級(jí)域服務(wù)器也不知道www.winsvr.org 的對(duì)應(yīng)值，于是，向NameServer1返回一個(gè)參考答復(fù)，告訴NameServer1 Winsvr.org域的權(quán)威DNS 服務(wù)器；

NameServer1聯(lián)系Winsvr.org 域的權(quán)威DNS 服務(wù)器，查詢域名www.winsvr.org ；

Winsvr.org 域的權(quán)威DNS 服務(wù)器知道對(duì)應(yīng)值，并且返回給NameServer1；

NameServer1向原DNS 客戶端返回www.winsvr.org 的結(jié)果，此時(shí)，解析完成

查詢響應(yīng)類型

DNS 服務(wù)器對(duì)于客戶請(qǐng)求的答復(fù)具有多種類型，常見的有以下四種：

權(quán)威答復(fù)：權(quán)威答復(fù)是返回給客戶的正向答復(fù)，并且設(shè)置了DNS 消息中的權(quán)威位。此答復(fù)代表從具有權(quán)威的DNS 服務(wù)器處發(fā)出；

正向答復(fù)：正向答復(fù)包含了匹配客戶端解析請(qǐng)求的資源記錄；

參考答復(fù)：參考答復(fù)只在DNS 服務(wù)器工作在迭代模式下使用，包含了其他有助于客戶端解析請(qǐng)求的信息。例如，當(dāng)DNS 服務(wù)器不能為客戶端發(fā)起的解析請(qǐng)求找到某個(gè)匹配值時(shí)，則向DNS 客戶端發(fā)送參考回復(fù)，告訴它有助于解析請(qǐng)求的信息；

否定答復(fù)：否定答復(fù)指出權(quán)威服務(wù)器在解析客戶端的請(qǐng)求時(shí)可能遇到了以下兩種情況之一：

權(quán)威DNS 服務(wù)器報(bào)告客戶端查詢的名字不存在；

權(quán)威DNS 服務(wù)器報(bào)告存在對(duì)應(yīng)的名字但是不存在指定類型的資源記錄。

無論正向答復(fù)還是否定答復(fù)，DNS 客戶端都將結(jié)果保存在自己的本地緩存中。

理解緩存的工作方式

DNS 客戶端和DNS 服務(wù)器都會(huì)緩存獲得的解析結(jié)果，這樣可以提高DNS 服務(wù)性能和減少DNS 相關(guān)的網(wǎng)絡(luò)流量。

DNS 客戶端緩存

當(dāng)DNS 客戶端服務(wù)啟動(dòng)時(shí)，會(huì)讀取Hosts 文件中的所有主機(jī)名和IP 地址的映射，并且保存在緩存中。Hosts 存放在systemrootsystem32driversetc目錄，當(dāng)你修改Hosts 文件后，DNS 客戶端會(huì)立即讀取Hosts 文件并且對(duì)本地緩存進(jìn)行更新。

另外，DNS 客戶端會(huì)緩存過去的查詢結(jié)果，當(dāng)DNS 客戶端服務(wù)停止時(shí)，將清空本地緩存。

DNS 服務(wù)器緩存

DNS 服務(wù)器像DNS 客戶端一樣緩存名字解析結(jié)果，并且可以使用緩存中的信息來答復(fù)其他客戶端的請(qǐng)求。你可以在DNS 服務(wù)器管理控制臺(tái)或者使用DNSCMD 命令行工具手動(dòng)清空緩存，另外當(dāng)DNS 服務(wù)器停止時(shí)，同樣會(huì)清空DNS 服務(wù)器緩存。

資源記錄的生存時(shí)間（TTL ）指定了資源記錄可以緩存的時(shí)間的長(zhǎng)短，而無論是DNS 客戶端緩存還是DNS 服務(wù)器緩存；默認(rèn)情況下，TTL 是3600秒（1小時(shí)）。需要注意的是，由于緩存的作用，DNS 服務(wù)器上對(duì)于資源記錄的修改可能不能立即生效。并且對(duì)于Internet 域名來說，資源記錄的修改可能會(huì)需要超過24小時(shí)

的時(shí)間才能在所有DNS 服務(wù)器上完成更新。

動(dòng)態(tài)更新

當(dāng)DNS 客戶端計(jì)算機(jī)上產(chǎn)生某個(gè)事件觸發(fā)更新時(shí)，DNS 客戶端計(jì)算機(jī)上的DHCP 客戶端服務(wù)將會(huì)為本地計(jì)算機(jī)中使用的所有網(wǎng)絡(luò)連接在相應(yīng)的DNS 服務(wù)器中對(duì)自己的A 記錄進(jìn)行更新，從而可以確保DNS 域名記錄和IP 地址記錄的對(duì)應(yīng)關(guān)系。而DNS 服務(wù)器需要配置為允許動(dòng)態(tài)更新，才能讓DNS 客戶端計(jì)算機(jī)成功完成更新。

當(dāng)DNS 客戶端計(jì)算機(jī)上產(chǎn)生以下事件時(shí)，會(huì)觸發(fā)DHCP 客戶端服務(wù)的動(dòng)態(tài)更新行為：

添加、刪除或修改了本地計(jì)算機(jī)任何網(wǎng)絡(luò)連接TCP/IP屬性中的IP 地址；

本地計(jì)算機(jī)的任何網(wǎng)絡(luò)連接向DHCP 服務(wù)器獲取IP 地址租約或者續(xù)約；

DNS 客戶端上運(yùn)行了Ipconfig /registerdns命令；

DNS 客戶端計(jì)算機(jī)啟動(dòng)；

此DNS 區(qū)域中的一臺(tái)成員服務(wù)器提升為域控制器；

對(duì)于標(biāo)準(zhǔn)主要區(qū)域，你可以選擇不允許動(dòng)態(tài)更新和允許非安全和安全動(dòng)態(tài)更新。但是允許非安全和安全動(dòng)態(tài)更新具有安全隱患，因?yàn)镈NS 服務(wù)器不會(huì)對(duì)進(jìn)行動(dòng)態(tài)更新的客戶端計(jì)算機(jī)進(jìn)行驗(yàn)證，所以任何客戶端計(jì)算機(jī)都可以對(duì)任何A 記錄進(jìn)行動(dòng)態(tài)更新，而不管它是否是此A 記錄的擁有者。通常情況下，你不應(yīng)該使用此選項(xiàng)。

對(duì)于活動(dòng)目錄集成區(qū)域，除了上述的兩個(gè)選項(xiàng)外，你還可以使用安全動(dòng)態(tài)更新。當(dāng)使用此方式時(shí)，在客戶端計(jì)算機(jī)更新自己的記錄時(shí)，DNS 服務(wù)器將要求客戶端計(jì)算機(jī)進(jìn)行身份驗(yàn)證來確保只有對(duì)應(yīng)資源記錄的擁有者才能更新此記錄。

只有Windows 2000及以后版本操作系統(tǒng)的客戶端計(jì)算機(jī)才能執(zhí)行動(dòng)態(tài)更新，低版本的Windows 系統(tǒng)（NT4、9x/ME）不支持動(dòng)態(tài)更新。不過，你可以通過DHCP 服務(wù)器為這些低版本客戶端計(jì)算機(jī)代理進(jìn)行動(dòng)態(tài)更新。當(dāng)DHCP 服務(wù)器在代理低版本客戶端計(jì)算機(jī)注冊(cè)A 記錄時(shí)，會(huì)將自己設(shè)置為此A 記錄的所有者。而在安全動(dòng)態(tài)更新方式中，只有資源記錄的所有這才能修改此記錄，這樣在其他DHCP 服務(wù)器為此低版本客戶端計(jì)算機(jī)代理注冊(cè)時(shí)會(huì)出現(xiàn)拒絕訪問的問題。因此，你需要將此DHCP 服務(wù)器加入到DnsUpdateProxy 安全組中，這樣當(dāng)DHCP 服務(wù)器更新A 記錄時(shí)，不會(huì)記錄下此A 記錄的所有者信息，從而允許其他DHCP 服務(wù)器來修改此A 記錄。 區(qū)域委派

一個(gè)完整的DNS 區(qū)域包含以自己的DNS 域名為基礎(chǔ)命名空間的所有DNS 命名空間

的信息，當(dāng)基于此DNS 命名空間新建一個(gè)DNS 區(qū)域時(shí)，新建的區(qū)域稱為子區(qū)域。例如，完整的winsvr.org 區(qū)域包含了以winsvr.org 為基礎(chǔ)命名空間的所有DNS 命名空間的信息，而tech.winsvr.org 則稱為winsvr.org 的一個(gè)子區(qū)域。

默認(rèn)情況下，DNS 區(qū)域管理自己的子區(qū)域，并且子區(qū)域伴隨DNS 區(qū)域一起進(jìn)行復(fù)制和更新。不過，你可以將子區(qū)域委派給其他DNS 服務(wù)器來進(jìn)行管理，此時(shí)，被委派的服務(wù)器將承擔(dān)此DNS 子區(qū)域的管理，而父DNS 區(qū)域中只是具有此子區(qū)域的委派記錄。

區(qū)域委派適用于許多環(huán)境，常見的場(chǎng)景有：

將某個(gè)子區(qū)域委派給某個(gè)對(duì)應(yīng)部門中的DNS 服務(wù)器進(jìn)行管理；

DNS 服務(wù)器的負(fù)載均衡，將一個(gè)大區(qū)域劃分為若干小區(qū)域，委派給不同的DNS 服務(wù)器進(jìn)行管理；

將子區(qū)域委派給某個(gè)分部或遠(yuǎn)程站點(diǎn)。

你只能在主要區(qū)域中執(zhí)行區(qū)域委派。對(duì)于任何一個(gè)被委派的子區(qū)域，父DNS 區(qū)域中只是具有指向子區(qū)域中權(quán)威DNS 服務(wù)器的A 記錄和NS 記錄，而實(shí)際的解析過程必須由委派到的子區(qū)域中的權(quán)威DNS 服務(wù)器完成，即被委派到的DNS 服務(wù)器上必須具有以被委派的子區(qū)域?yàn)橛蛎闹饕獏^(qū)域。

在Windows Server 2003的DNS 服務(wù)器管理控制臺(tái)中，提供了向?qū)Чぞ撸梢宰屇爿p松的完成DNS 區(qū)域委派。

DNS 區(qū)域類型

在部署一臺(tái)DNS 服務(wù)器時(shí)，你必須預(yù)先考慮DNS 區(qū)域類型，從而決定DNS 服務(wù)器類型。DNS 區(qū)域分為兩大類：正向查找區(qū)域和反向查找區(qū)域，其中

正向查找區(qū)域用于FQDN 到IP 地址的映射，當(dāng)DNS 客戶端請(qǐng)求解析某個(gè)FQDN 時(shí)，DNS 服務(wù)器在正向查找區(qū)域中進(jìn)行查找，并返回給DNS 客戶端對(duì)應(yīng)的IP 地址；

反向查找區(qū)域用于IP 地址到FQDN 的映射，當(dāng)DNS 客戶端請(qǐng)求解析某個(gè)IP 地址時(shí)，DNS 服務(wù)器在反向查找區(qū)域中進(jìn)行查找，并返回給DNS 客戶端對(duì)應(yīng)的FQDN 。

而每一類區(qū)域又分為三種區(qū)域類型：主要區(qū)域、輔助區(qū)域和存根區(qū)域，其中：

主要區(qū)域（Primary ）：包含相應(yīng)DNS 命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS 域的權(quán)威DNS 服務(wù)器?？梢詫?duì)區(qū)域中所有資源記錄進(jìn)行讀寫，即DNS 服務(wù)器可以修改此區(qū)域中的數(shù)據(jù)，默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放。你可以將主要區(qū)域的數(shù)據(jù)存放在活動(dòng)目錄中并且隨著活動(dòng)目錄數(shù)據(jù)的復(fù)制而復(fù)制，此時(shí)，此區(qū)域稱為活動(dòng)目錄集成主要區(qū)域，在這種情況下，每一個(gè)運(yùn)行在域控制

器上的DNS 服務(wù)器都可以對(duì)此主要區(qū)域進(jìn)行讀寫，這樣避免了標(biāo)準(zhǔn)主要區(qū)域時(shí)出現(xiàn)的單點(diǎn)故障。

輔助區(qū)域（Secondary ）：主要區(qū)域的備份，從主要區(qū)域直接復(fù)制而來；同樣包含相應(yīng)DNS 命名空間所有的資源記錄，是區(qū)域中所包含的所有DNS 域的權(quán)威DNS 服務(wù)器；和主要區(qū)域不同之處是DNS 服務(wù)器不能對(duì)輔助區(qū)域進(jìn)行任何修改，即輔助區(qū)域是只讀的。輔助區(qū)域數(shù)據(jù)只能以文本文件格式存放。

存根區(qū)域（Stub ）：存根區(qū)域是Windows Server 2003新增加的功能。此區(qū)域只是包含了用于分辨主要區(qū)域權(quán)威DNS 服務(wù)器的記錄，有三種記錄類型：

SOA （委派區(qū)域的起始授權(quán)機(jī)構(gòu)）：此記錄用于識(shí)別該區(qū)域的主要來源DNS 服務(wù)器和其他區(qū)域?qū)傩裕?/p>

NS （名稱服務(wù)器）：此記錄包含了此區(qū)域的權(quán)威DNS 服務(wù)器列表；

A glue（粘附A 記錄）：此記錄包含了此區(qū)域的權(quán)威DNS 服務(wù)器的IP 地址。

默認(rèn)情況下區(qū)域數(shù)據(jù)以文本文件格式存放，不過你可以和主要區(qū)域一樣將存根區(qū)域的數(shù)據(jù)存放在活動(dòng)目錄中并且隨著活動(dòng)目錄數(shù)據(jù)的復(fù)制而復(fù)制。

當(dāng)DNS 客戶端發(fā)起解析請(qǐng)求時(shí)，對(duì)于屬于所管理的主要區(qū)域和輔助區(qū)域的解析，DNS 服務(wù)器向DNS 客戶端執(zhí)行權(quán)威答復(fù)。而對(duì)于所管理的存根區(qū)域的解析，如果客戶端發(fā)起遞歸查詢，則DNS 服務(wù)器會(huì)使用該存根區(qū)域中的資源記錄來解析查詢。DNS 服務(wù)器向存根區(qū)域的NS 資源記錄中指定的權(quán)威DNS 服務(wù)器發(fā)送迭代查詢，仿佛在使用其緩存中的NS 資源記錄一樣；如果DNS 服務(wù)器找不到其存根區(qū)域中的權(quán)威DNS 服務(wù)器，那么DNS 服務(wù)器會(huì)嘗試使用根提示信息進(jìn)行標(biāo)準(zhǔn)遞歸查詢。如果客戶端發(fā)起迭代查詢，DNS 服務(wù)器會(huì)返回一個(gè)包含存根區(qū)域中指定服務(wù)器的參考信息，而不再進(jìn)行其他操作。

如果存根區(qū)域的權(quán)威DNS 服務(wù)器對(duì)本地DNS 服務(wù)器發(fā)起的解析請(qǐng)求進(jìn)行答復(fù)，本地DNS 服務(wù)器會(huì)將接收到的資源記錄存儲(chǔ)在自己的緩存中，而不是將這些資源記錄存儲(chǔ)在存根區(qū)域中，唯一的例外是返回的粘附A 記錄，它會(huì)存儲(chǔ)在存根區(qū)域中。存儲(chǔ)在緩存中的資源記錄按照每個(gè)資源記錄中的生存時(shí)間 (TTL) 的值進(jìn)行緩存；而存放在存根區(qū)域中的SOA 、NS 和粘附A 資源記錄按照SOA 記錄中指定的過期間隔過期（該過期間隔是在創(chuàng)建存根區(qū)域期間創(chuàng)建的，在從原始主要區(qū)域復(fù)制時(shí)更新）。

當(dāng)某個(gè)DNS 服務(wù)器（父DNS 服務(wù)器）向另外一個(gè)DNS 服務(wù)器做子區(qū)域委派時(shí)，如果子區(qū)域中添加了新的權(quán)威DNS 服務(wù)器，父DNS 服務(wù)器是不會(huì)知道的，除非你在父DNS 服務(wù)器上手動(dòng)添加。存根區(qū)域主要是用于解決這個(gè)問題，你可以在父DNS 服務(wù)器上為委派的子區(qū)域做一個(gè)存根區(qū)域，從而可以從委派的子區(qū)域自動(dòng)獲取權(quán)威DNS 服務(wù)器的更新而不需要額外的手動(dòng)操作。

DNS 服務(wù)器類型

根據(jù)管理的DNS 區(qū)域的不同，DNS 服務(wù)器也具有不同的類型。一臺(tái)DNS 服務(wù)器可以同時(shí)管理多個(gè)區(qū)域，因此也可以同時(shí)屬于多種DNS 服務(wù)器類型。

主要DNS 服務(wù)器

當(dāng)DNS 服務(wù)器管理主要區(qū)域時(shí)，它被稱為主要DNS 服務(wù)器。主要DNS 服務(wù)器是主要區(qū)域的集中更新源，你可以部署兩種模式的主要區(qū)域：

標(biāo)準(zhǔn)主要區(qū)域：標(biāo)準(zhǔn)主要區(qū)域的區(qū)域數(shù)據(jù)存放在本地文件中，只有主要DNS 服務(wù)器可以進(jìn)行管理此DNS 區(qū)域（單點(diǎn)更新）。這意味如果當(dāng)主要DNS 服務(wù)器出現(xiàn)故障時(shí)，此主要區(qū)域不能再進(jìn)行修改；但是，位于輔助服務(wù)器上的輔助服務(wù)器還可以答復(fù)DNS 客戶端的解析請(qǐng)求。標(biāo)準(zhǔn)主要區(qū)域只支持非安全的動(dòng)態(tài)更新。

活動(dòng)目錄集成主要區(qū)域：活動(dòng)目錄集成主要區(qū)域僅當(dāng)在域控制器上 部署DNS 服務(wù)器時(shí)有效，此時(shí)，區(qū)域數(shù)據(jù)存放在活動(dòng)目錄中并且隨著活動(dòng)目錄數(shù)據(jù)的復(fù)制而復(fù)制。在默認(rèn)情況下，每一個(gè)運(yùn)行在域控制器上的DNS 服務(wù)器都將成為主要DNS 服務(wù)器，并且可以修改DNS 區(qū)域中的數(shù)據(jù)（多點(diǎn)更新），這樣避免了標(biāo)準(zhǔn)主要區(qū)域時(shí)出現(xiàn)的單點(diǎn)故障?；顒?dòng)目錄集成主要區(qū)域支持安全的動(dòng)態(tài)更新。

輔助DNS 服務(wù)器

在DNS 服務(wù)設(shè)計(jì)中，針對(duì)每一個(gè)區(qū)域，總是建議你至少使用兩臺(tái)DNS 服務(wù)器來進(jìn)行管理。其中一臺(tái)作為主要DNS 服務(wù)器，而另外一臺(tái)作為輔助DNS 服務(wù)器。

當(dāng)DNS 服務(wù)器管理輔助區(qū)域時(shí)，它將成為輔助DNS 服務(wù)器。使用輔助DNS 服務(wù)器的好處在于實(shí)現(xiàn)負(fù)載均衡和避免單點(diǎn)故障。輔助DNS 服務(wù)器用于獲取區(qū)域數(shù)據(jù)的源DNS 服務(wù)器稱為主服務(wù)器，主服務(wù)器可以由主要DNS 服務(wù)器或者其他輔助DNS 服務(wù)器來擔(dān)任；當(dāng)創(chuàng)建輔助區(qū)域時(shí)，將要求你指定主服務(wù)器。在輔助DNS 服務(wù)器和主服務(wù)器之間存在著區(qū)域復(fù)制，用于從主服務(wù)器更新區(qū)域數(shù)據(jù)。

注意：這個(gè)地方輔助DNS 服務(wù)器是根據(jù)區(qū)域類型的不同而得出的概念，而在配置DNS 客戶端使用的DNS 服務(wù)器時(shí)，管理輔助區(qū)域的DNS 服務(wù)器可以配置為DNS 客戶端的主要DNS 服務(wù)器，而管理主要區(qū)域的DNS 服務(wù)器也可以配置為DNS 客戶端的輔助DNS 服務(wù)器。

存根DNS 服務(wù)器

管理存根區(qū)域的DNS 服務(wù)器稱為存根DNS 服務(wù)器。一般情況下，不需要單獨(dú)部署存根DNS 服務(wù)器，而是和其他DNS 服務(wù)器類型合用。在存根DNS 服務(wù)器和主服務(wù)

器之間同樣存在著區(qū)域復(fù)制。

緩存DNS 服務(wù)器

緩存DNS 服務(wù)器即沒有管理任何區(qū)域的DNS 服務(wù)器，也不會(huì)產(chǎn)生區(qū)域復(fù)制，它只能緩存DNS 名字并且使用緩存的信息來答復(fù)DNS 客戶端的解析請(qǐng)求。當(dāng)剛安裝好DNS 服務(wù)器時(shí)，它就是一個(gè)緩存DNS 服務(wù)器。緩存DNS 服務(wù)器可以通過緩存減少DNS 客戶端訪問外部DNS 服務(wù)器的網(wǎng)絡(luò)流量，并且可以降低DNS 客戶端解析域名的時(shí)間，因此在網(wǎng)絡(luò)的廣泛的使用。例如一個(gè)常見的中小型企業(yè)網(wǎng)絡(luò)接入到

Internet 的環(huán)境，并沒有在內(nèi)部網(wǎng)絡(luò)中使用域名，所以沒有架設(shè)DNS 服務(wù)器，客戶通過配置使用ISP 的DNS 服務(wù)器來解析Internet 域名。此時(shí)就可以部署一臺(tái)緩存DNS 服務(wù)器，配置將所有其他DNS 域轉(zhuǎn)發(fā)到ISP 的DNS 服務(wù)器，然后配置客戶使用此緩存DNS 服務(wù)器，從而減少解析客戶端請(qǐng)求所需要的時(shí)間和客戶訪問外部DNS 服務(wù)的網(wǎng)絡(luò)流量。