簡介DNS 是域名系統(tǒng) (Domain Name System) 的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP 地址，并具有將域名轉換為IP 地址功能的

簡介

DNS 是域名系統(tǒng) (Domain Name System) 的縮寫，它是由解析器和域名服務器組成的。域名服務器是指保存有該網(wǎng)絡中所有主機的域名和對應IP 地址，并具有將域名轉換為IP 地址功能的服務器。其中域名必須對應一個IP 地址，而IP 地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級結構。域名服務器為客戶機/服務器模式中的服務器方，它主要有兩種形式：主服務器和轉發(fā)服務器。將域名映射為IP 地址的過程就稱為“域名解析”。在Internet 上域名與IP 地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機器之間只能互相認識IP 地址，它們之間的轉換工作稱為域名解析，域名解析需要由專門的域名解析服務器來完成，DNS 就是進行域名解析的服務器。 DNS 命名用于 Internet 等 TCP/IP 網(wǎng)絡中，通過用戶友好的名稱查找計算機和服務。當用戶在應用程序中輸入 DNS 名稱時，DNS 服務可以將此名稱解析為與之相關的其他信息，如 IP 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應的

查詢頭位。

解析通常需要遍歷多個名稱服務器，找到所需要的信息。然而，一些解析器的功能更簡單地只用一個名稱服務器進行通信。這些簡單的解析器依賴于一個遞歸名稱服務器（稱為“存根解析器”），為他們尋找信息的執(zhí)行工作。

服務器

提供DNS 服務的是安裝了DNS 服務器端軟件的計算機。服務器端軟件既可以是基于類linux 操作系統(tǒng)，也可以是基于Windows 操作系統(tǒng)的。裝好DNS 服務器軟件后，您就可以在您指定的位置創(chuàng)建區(qū)域文件了，所謂區(qū)域文件就是包含了此域中名字到IP 地址解析記錄的一個文件，如文件的內容可能是這樣的：primary name server = dns2（主服務器的主機名是 ） serial = 2913 （當前序列號是2913。這個序列號的作用是當輔域名服務器來copy 這個文件的時候，如果號碼增加了就copy ）

refresh = 10800 (3 hours) （輔域名服務器每隔3小時查詢一個主服務器）

retry = 3600 (1 hour) （當輔域名服務試圖在主服務器上查詢更新時，而連接失敗了，輔域名服務器每隔1小時訪問主域名服務器）

expire = 604800 (7 days) （輔域名服務器在向主服務更新失敗后，7天后刪除中的記錄。） default TTL = 3600 (1 hour) （緩存服務器保存記錄的時間是1小時。也就是告訴緩存服務器保存域的解析記錄為1小時）

3服務器搭建

設置類別

您可以把DNS 服務器配置成以下3類之一：

1．主DNS 服務器。

2．輔DNS 服務器。

3．緩存DNS 服務器。

注冊

現(xiàn)在只要在域名注冊商或服務商注冊域名，DNS 都是免費。

（1）條件：要更改為合法的DNS 。

如果要查詢DNS 是否為合法的DNS ，請點擊：DNS 查詢界面

輸入DNS 服務器的名稱或者IP 地址，選中第三個選項Nameserver ，查詢如果查詢出有DNS 注冊的信息，如注冊商，名稱對應的IP 地址，則這個DNS 是合法的。

（2）修改方法：通過具有條件的公司注冊的國際域名變更DNS ：用戶可通過和提供服務的該公司進行協(xié)商(大致步驟為:提出申請并提交相關材料后該業(yè)務公司會在48小時左右完成變更) 。

國際英文域名、國內英文域名可以修改DNS ，這項服務是免費的。

使用免費的DNS

國內外有不少提供免費DNS 服務的提供商，其中國內著名的有IIDNS ，DNSPod 和OpenDns 等。

DNS 解析故障

簡介

一般來說像我們訪問的地址都叫做域名，而眾所周知網(wǎng)絡中的任何一個主機都是IP 地址來標識的，也就是說只有知道了這個站點的IP 地址才能夠成功實現(xiàn)訪問操作。

不過由于IP 地址信息不太好記憶，所以網(wǎng)絡中出現(xiàn)了域名這個名字，在訪問時我們只需要輸入這個好記憶的域名即可，網(wǎng)絡中會存在著自動將相應的域名解析成IP 地址的服務器，這就是DNS 服務器。能夠實現(xiàn)DNS 解析功能的機器可以是自己的計算機也可以是網(wǎng)絡中的一臺計算機，不過當DNS 解析出現(xiàn)錯誤，例如把一個域名解析成一個錯誤的IP 地址，或者根本不知道某個域名對應的IP 地址是什么時，我們就無法通過域名訪問相應的站點了，這就是DNS 解析故障。

出現(xiàn)DNS 解析故障最大的癥狀就是訪問站點對應的IP 地址沒有問題，然而訪問他的域名就會出現(xiàn)錯誤。

解決步驟

（1）用nslookup(網(wǎng)路查詢) 來判斷是否真的是DNS 解析故障：

要想百分之百判斷是否為DNS 解析故障就需要通過系統(tǒng)自帶的NSLOOKUP 來解決了。 第一步：確認自己的系統(tǒng)是windows 2000和windows xp 以上操作系統(tǒng)，然后通過“開始->運行->輸入CMD”后回車進入命令行模式。

第二步：輸入nslookup 命令后回車，將進入DNS 解析查詢界面。

第三步：命令行窗口中會顯示出當前系統(tǒng)所使用的DNS 服務器地址，例如筆者的DNS 服務器IP 為202.106.0.20。

第四步：接下來輸入你無法訪問的站點對應的域名。假如不能訪問的話，那么DNS 解析應該是不能夠正常進行的。我們會收到DNS request timed out，timeout was 2 seconds的提示信息。這說明我們的計算機確實出現(xiàn)了DNS 解析故障。

小提示：如果DNS 解析正常的話，會反饋回正確的IP 地址。

（2）查詢DNS 服務器工作是否正常：

這時候我們就要看看自己計算機使用的DNS 地址是多少了，并且查詢他的運行情況。 第一步：通過“開始->運行->輸入CMD”后回車進入命令行模式。

第二步：輸入ipconfig /all命令來查詢網(wǎng)絡參數(shù)。

第三步：在ipconfig /all顯示信息中我們能夠看到一個地方寫著DNS SERVERS ，這個就是我們的DNS 服務器地址。例如筆者的是202.106.0.20和202.106.46.151。從這個地址可以看出是個外網(wǎng)地址，如果使用外網(wǎng)DNS 出現(xiàn)解析錯誤時，我們可以更換一個其他的DNS 服務器地址即可解決問題。

第四步：如果在DNS 服務器處顯示的是自己公司的內部網(wǎng)絡地址，那么說明你們公司的DNS 解析工作是交給公司內部的DNS 服務器來完成的，這時我們需要檢查這個DNS 服務器，在DNS 服務器上進行nslookup 操作看是否可以正常解析。解決DNS 服務器上的DNS 服務故障，一般來說問題也能夠解決。

（3）清除DNS 緩存信息法：

第一步：通過“開始->運行->輸入CMD ”進入命令行模式。

第二步：在命令行模式中我們可以看到在ipconfig /?中有一個名為/flushdns的參數(shù)，這個就是清除DNS 緩存信息的命令。

第三步：執(zhí)行ipconfig /flushdns命令，當出現(xiàn)“successfully flushed the dns resolver cache”的提示時就說明當前計算機的緩存信息已經(jīng)被成功清除。

第四步：接下來我們再訪問域名時，就會到DNS 服務器上獲取最新解析地址，再也不會出現(xiàn)因為以前的緩存造成解析錯誤故障了。

（4）修改HOSTS （主機）文件法：

第一步：通過“開始->搜索”，然后查找名叫hosts 的文件。

第二步：當然對于已經(jīng)知道他的路徑的讀者可以直接進入c:windowssystem32driversetc目錄中找到HOSTS 文件。如果你的系統(tǒng)是windows 2000，那么應該到c:winntsystem32driversetc目錄中尋找。

第三步：雙擊HOSTS 文件，然后選擇用“記事本”程序將其打開。

第四步：之后我們就會看到HOSTS 文件的所有內容了，默認情況下只有一行內容“127.0.0.1 l ocalhost”。（其他前面帶有#的行都不是真正的內容，只是幫助信息而已）

第五步：將你希望進行DNS 解析的條目添加到HOSTS 文件中。具體格式是先寫該域名對應的IP 地址，然后空格接域名信息。

第六步：設置完畢后我們訪問網(wǎng)址時就會自動根據(jù)是在內網(wǎng)還是外網(wǎng)來解析了。[2] DNS 查詢

查詢方法

DNS 查詢可以有兩種解釋，一種是指客戶端查詢指定DNS 服務器上的資源記錄（如A 記錄），另一種是指查詢FQDN 名的解析過程。

一、查詢DNS 服務器上的資源記錄

您可以在Windows 平臺下，使用命令行工具，輸入nslookup ，返回的結果包括域名對應的IP 地址（A 記錄）、別名（CNAME 記錄）等。除了以上方法外，還可以通過一些DNS 查詢站點如國外的國內的 查詢域名的DNS 信息。

二、FQDN 名的解析過程查詢

若想跟蹤一個FQDN 名的解析過程，在Linux Shell 下輸入dig www trace，返回的結果包括從跟域開始的遞歸或迭代過程，一直到權威域名服務器。

GeniePro DNS 應對DNS 劫持和DNS 緩存中毒攻擊

的關鍵性機制：一致性檢查

每個Geniepro 節(jié)點將自身的DNS 記錄發(fā)送給工作組內其他節(jié)點請求一致性檢查； 每個Geniepro 節(jié)點將自身的記錄與收到的記錄進行比較；

每個Geniepro 工作組的通信協(xié)調節(jié)點將獲得的DNS 記錄更新發(fā)送給其他組的通信協(xié)調節(jié)點請求一致性檢查；

每個Genipro 工作組的通信協(xié)調節(jié)點向上一級DNS 服務器請求更新記錄并與收到的其他通信協(xié)調節(jié)點的記錄進行比較。

一致性仲裁

如果一致性檢查發(fā)現(xiàn)記錄不一致情況，則根據(jù)策略（少數(shù)服從多數(shù)、一票否決等）決定是否接受記錄的變化 根據(jù)結果，各Geniepro 節(jié)點將自身記錄進行統(tǒng)一 通信協(xié)調節(jié)點選舉 選舉出的通信協(xié)調節(jié)點在任期內具有更新組內節(jié)點的權限 選舉過程滿足不可預測性和不可重復性DNS 資源記錄 如前所述，每個 DNS 數(shù)據(jù)庫都由資源記錄構成。一般來說，資源記錄包含與特定主機有關的信息，如 IP 地址、主機的所有者或者提供服務的類型。 資源記錄類型

dns

說明

解釋

SOA

起始授權機構

此記錄指定區(qū)域的起點。它所包含的信息有區(qū)域名、區(qū)域管理員電子郵件地址，以及指示輔 DNS 服務器如何更新區(qū)域數(shù)據(jù)文件的設置等。

常用的資源記錄類型[3]

A 地址 此記錄列出特定主機名的 IP 地址。這是名稱解析的重要記錄。

CNAME 標準名稱 此記錄指定標準主機名的別名。

MX 郵件交換器此記錄列出了負責接收發(fā)到域中的電子郵件的主機。

NS 名稱服務器此記錄指定負責給定區(qū)域的名稱服務器。

安全問題

1、針對域名系統(tǒng)的惡意攻擊：DDOS 攻擊造成域名解析癱瘓。

2、域名劫持：修改注冊信息、劫持解析結果。

3、國家性質的域名系統(tǒng)安全事件：“.ly”域名癱瘓、“.af”域名的域名管理權變更。

4、系統(tǒng)上運行的DNS 服務存在漏洞，導致被黑客獲取權限，從而篡改DNS 信息。

5、DNS 設置不當，導致泄漏一些敏感信息。提供給黑客進一步攻擊提供有力信息。 5DNS 作用

重要性

1、技術角度看

DNS 解析是互聯(lián)網(wǎng)絕大多數(shù)應用的實際尋址方式； 域名技術的再發(fā)展、以及基于域名技術的多種應用，豐富了互聯(lián)網(wǎng)應用和協(xié)議。

2、資源角度看

域名是互聯(lián)網(wǎng)上的身份標識，是不可重復的唯一標識資源； 互聯(lián)網(wǎng)的全球化使得域名成為標識一國主權的國家戰(zhàn)略資源。

概念分辨

通常，DNS 數(shù)據(jù)庫可分成不同的相關資源記錄集。其中的每個記錄集稱為區(qū)域。區(qū)域可以包含整個域、部分域或只是一個或幾個子域的資源記錄。

管理某個區(qū)域（或記錄集）的 DNS 服務器稱為該區(qū)域的權威名稱服務器。每個名稱服務器可以是一個或多個區(qū)域的權威名稱服務器。

在域中劃分多個區(qū)域的主要目的是為了簡化 DNS 的管理任務，即委派一組權威名稱服務器來管理每個區(qū)域。采用這樣的分布式結構，當域名稱空間不斷擴展時，各個域的管理員可以有效地管理各自的子域。

dns 漏洞

有時，區(qū)域和域是很難分辨的。

區(qū)域是域的子集?？梢詫⑺醋饔蛎Q空間的某個分支（或子樹）。例如，Microsoft 名稱服務器可以同時是區(qū)域、區(qū)域和區(qū)域的權威名稱服務器。但是，可以將子域的區(qū)域委派給其它專用名稱服務器管理。如果設置的區(qū)域包含整個域的資源記錄，那么該區(qū)域與該域的范圍是相同的。

對于Windows 2000，區(qū)域信息或者以傳統(tǒng)文本文件格式存儲，或者集成到 Active Directory 數(shù)據(jù)庫中。稍后，我們將詳細闡述 DNS 與 Active Directory 如何協(xié)作。

作用及調試

DNS ，域名解析系統(tǒng)，并不是一項單純的服務，而且廣泛意義上的全球的域名解析系統(tǒng)，由若干臺DNS 服務器以及DNS 成員機組成的這么一個計算機組織。

在域環(huán)境中DNS 的作用：

1．以DNS 標準命名（域的命名）；

2．支持DC （創(chuàng)建DC 時，要有相應的DNS 的支持）；

3．定位DC （加入域時，幫助地球人找到DC ）。

有了以上的知識準備，我們來看看加入域需要注意的幾點：

1．聯(lián)系問題：a.ping 通DC 、DNS 服務器（確?？梢院虳C 、DNS 服務器通信，要加入對方的國際你就必須和對方的政府“DC”以及大使館“最近的DNS 服務器”聯(lián)系） b.DNS 解析DC （通過dns 得知DC 的所在“大使館告訴你如何找到相關的人事部門，當然就會告訴你DC 的地址了”）。【可以使用nslookup 命令 域名 來檢測客戶機DNS 是否正確設置】

2．權限問題：加入域的時候，會提示輸入相應有加入域權限的用戶名密碼。這里有很多人

有誤區(qū)，認為只有administrator 才能通過加入域的驗證，所以一直用administrator 來驗證加入域。其實用一個普通的domain user 也是可以的，新建的域用戶可以為非域成員機驗證加入域。域，就象一個國家，是需要發(fā)展的，能夠吸納的有識之士越多，這個國家就越壯大，所以每一位國民，都有權利一傳十十傳百的。

3．登陸問題：加入域后不是萬事大吉了，很多朋友直接拿administrator 登陸了。殊不知，此舉還是登陸了本地計算機。需要大家在登錄時點擊選項，在登錄到中選擇所加入的域。 *特殊問題：

a.sid 問題，如果加入域的計算機中系統(tǒng)是GHOST 安裝并沒有重新封裝過的話，就需要重新封裝了

b. dns 服務器故障，如果客戶端dns 填寫正確（當前網(wǎng)絡環(huán)境中的DNS 【內網(wǎng)DNS 】） ，但是同樣無法聯(lián)系到DC ，并且可以ping 通DNS 和DC 的話，那么十有八九是你的DNS 服務器出故障了，定位信息記錄在dns 服務的srv 資源記錄中?？赡苁窍嚓P的SRV 資源記錄沒有生效或者不存在，那么如何是好呢？記住這個辦法：在服務管理器（運行中輸入：services.msc ）中重啟net logon服務，當然這項操作要去DNS 服務器上解決哦。別找錯了 地方。

總結：今天跟大家分享了加入域的幾個問題。并拓展出幾個系統(tǒng)概念。在這里總結一下。

1．DNS （概念、作用、故障排除、檢測工具）；

2、sid （加入域時兩臺系統(tǒng)sid 相同的計算機沒辦法同時加入域，產(chǎn)生現(xiàn)象的原因時GHOST 克隆系統(tǒng)）；

3．權限問題（驗證計算機加入域的用戶不一定非要administrator ）。

DNS 架構的冗余

dns

為保證服務的高可用性，DNS 要求使用多臺名稱服務器冗余支持每個區(qū)域。

某個區(qū)域的資源記錄通過手動或自動方式更新到單個主名稱服務器（稱為主 DNS 服務器）上。主 DNS 服務器可以是一個或幾個區(qū)域的權威名稱服務器。

其它冗余名稱服務器（稱為輔 DNS 服務器）用作同一區(qū)域中主服務器的備份服務器，以防主服務器無法訪問或宕機。輔 DNS 服務器定期與主 DNS 服務器通訊，確保它的區(qū)域信息保持最新。如果不是最新信息，輔 DNS 服務器就會從主服務器獲取最新區(qū)域數(shù)據(jù)文件的副本。這種將區(qū)域文件復制到多臺名稱服務器的過程稱為區(qū)域復制。

Active Directory 和 DNS 的關系

Active Directory 是 Windows 2000 中新增的目錄服務。該服務存儲所有網(wǎng)絡資源的信息，如計算機、共享文件夾、用戶等等。它還通過標準的 Internet 協(xié)議（輕量目錄訪問協(xié)議，LDAP ）將此類信息提供給用戶和應用程序。有關 Active Directory 的詳細信息，請參閱

Technet 文章設置 Active Directory 域。