1、第第 5 章章 规划规划DNS策略策略网络基本架构的规划和维护网络基本架构的规划和维护第第 1 章:章:Windows Server 2003 网络设计与规划基础网络设计与规划基础第第 2 章:章:规划和优化规划和优化 TCP/IP 物理和逻辑网络物理和逻辑网络第第 3 章:章:路由和交换的规划和故障排除路由和交换的规划和故障排除第第 4 章:章:DHCP 的规划、优化和故障排除的规划、优化和故障排除第第 5 章:章:规划规划DNS策略策略第第 6 章:章:DNS 优化和故障排除优化和故障排除第第 7 章:章:规划和优化规划和优化 WINS第第 8 章:章:群集服务器群集服务器第第 9 章:章
2、:规划安全基线安装规划安全基线安装第第10章:章:创建和管理数字证书创建和管理数字证书第第11章:章:IPSec 的规划和故障排除的规划和故障排除第第12章:章:规划网络访问规划网络访问第第13章:章:网络访问故障排除网络访问故障排除第第14章:章:网络基本架构测试与维护网络基本架构测试与维护第第 5 章:章:规划规划DNS策略策略规划规划 DNS 服务器服务器名称空间规划名称空间规划区域规划区域规划规划区域复制和委派规划区域复制和委派集成集成 DNS 和和 WINS规划规划DNS 服务器服务器多媒体演示:多媒体演示:DNS 客户端如何解析名称客户端如何解析名称确定确定 DNS 服务器的要求服
3、务器的要求 确定确定 DNS 服务器的放置服务器的放置多媒体演示:使用多媒体演示:使用 DNS 服务器解析名称服务器解析名称DNS 服务器角色服务器角色Microsoft DNS 服务器安全的级别服务器安全的级别 规划规划 DNS 服务器的指导方针服务器的指导方针5.1 规划规划DNS 服务器服务器多媒体演示:多媒体演示:DNS 客户端如何解析名称客户端如何解析名称介绍介绍 DNS 客户端是如何将主机名解客户端是如何将主机名解析为析为 IP 地址的地址的目标:目标:掌握路由网络中 DNS 服务器的功能确定完全合格的域名掌握使用 DNS 服务器将主机名解析为 IP 地址的过程NoImageNoI
4、mage域名系统是分等级的、分布式数据库,映射域名系统是分等级的、分布式数据库,映射 DNS 域名到域名到不同的数据类型,例如不同的数据类型,例如 IP 地址地址DNS 是是 Internet 名称方案的基础和企业名称方案的名称方案的基础和企业名称方案的基础基础DNS 通过字母名称访问资源通过字母名称访问资源InterNIC 负责域名空间的委派管理和域名注册负责域名空间的委派管理和域名注册DNS 可以解决以下日益增加的问题:可以解决以下日益增加的问题:Internet 上的主机数目 由于更新产生的通信量 Host 文件的大小回顾:域名系统回顾:域名系统回顾:域名称空间回顾:域名称空间FQDN:
5、southnwtraderscomsaleswesteastorgnet主机主机:server 1确定确定 DNS 服务器的要求服务器的要求规划服务器容量规划服务器容量 确定 DNS 服务器要载入并保存的区域的数量 针对服务器为服务载入的每一个区域,根据区域文件的大小或区域中使用的资源记录的数量来确定区域的大小 对于有多个主机的(不止一个 IP 地址)DNS 服务器,确定在每个服务器的连接子网上能够侦听并服务 DNS 客户端的地址的数量 定义 DNS 服务器应该接受并服务的客户端 DNS 查询请求的总数 DNS 服务器系统要求服务器系统要求 如果 DNS 不带有任何区域启动,大约使用4 MB的
6、 内存 添加到服务器区域的每个资源记录大概约使用服务器内存的 100 个字节5.1.1确定确定 DNS 服务器的要求服务器的要求确定确定 DNS 服务器的放置服务器的放置DNS 服务器的放置服务器的放置要部署 DNS 支持 Active Directory,则确定 DNS 服务器计算机是否也是域控制器或将来会升级为域控制器如果 DNS 服务器停止响应,确定它的本地客户端是否可以访问一个备用 DNS 服务器如果 DNS 服务器在远离某些客户端的子网上,确定在路由的连接停止响应时可以使用哪些其他的 DNS 服务器或名称解析选项所需服务器数量5.1.2确定确定 DNS 服务器的放置服务器的放置多媒体
7、演示:使用多媒体演示:使用 DNS 服务器解析名称服务器解析名称说明使用说明使用 DNS 服务器解析名称的过服务器解析名称的过目标:目标:掌握 DNS 服务器的功能定义使用 DNS 服务器解析名称的过程确定查询类型掌握 DNS 和 WINS 集成DNS 服务器角色服务器角色一个或多个区域的权威服务器非递归服务器非递归服务器需要管理内部网络和互联网之间 DNS 流量仅用于转发仅用于转发想要不同网络中的 DNS 客户端解析相互的名称而又不必向 Internet 上的 DNS 服务器查询条件转发条件转发场景场景角色角色远程办事处连接到公司办事处的可用带宽量有限仅用于缓存仅用于缓存5.1.3 DNS
8、服务器角色服务器角色使用可用的 DNS 安全特性,在域控制器上没有运行 DNS 服务器,在 Active Directory 中也没有存储 DNS 区域中中使用和中级安全性相同的配置,DNS 服务器服务在域控制器上运行且 DNS 区域存储在 Active Directory中时,也使用可用的安全特性高高定义定义安全级别安全级别没有配置任何安全预警低低5.1.4 Microsoft DNS 服务器安全的级别服务器安全的级别Microsoft DNS 服务器安全的级别服务器安全的级别确定服务器要求确定服务器要求确定要实现的安全级别确定要实现的安全级别确定确定 DNS 服务器的放置服务器的放置确定服
9、务器功能确定服务器功能5.1.5 Microsoft DNS 服务器安全的级别服务器安全的级别Microsoft DNS 服务器安全的级别服务器安全的级别目标:目标:规划并讨论保护 DNS 服务器配置5.1.6 实验实验5-1:规划:规划 DNS 服务器安全服务器安全实验实验5-1:规划:规划 DNS服务器安全服务器安全第第 5 章:章:规划规划DNS策略策略规划规划 DNS 服务器服务器名称空间规划名称空间规划区域规划区域规划规划区域复制和委派规划区域复制和委派集成集成 DNS 和和 WINS名称空间规划名称空间规划多媒体演示:规划多媒体演示:规划 DNS 名称空间策略名称空间策略选择域名选
10、择域名 DNS 名称空间选项名称空间选项名称空间规划的最佳实践名称空间规划的最佳实践规划名称空间的指导方针规划名称空间的指导方针5.2 名称空间规划名称空间规划多媒体演示:规划多媒体演示:规划 DNS 名称空间策略名称空间策略提供规划提供规划 DNS 名称空间的指导名称空间的指导原则原则目标:目标:如何分割内部和外部名称空间将此指导方针用于集成 Active Directory 名称空间和 DNS 名称空间掌握为内部名称空间选择惟一名称的重要性决定公共和专用名称空间的相关方式说明规划层级名称空间的重要性选择域名选择域名选择域名时考虑以下因素:选择域名时考虑以下因素:ICANN 维护授权的顶级域
11、名标准的命名规则 需要单独的名称空间 检查域名以确保惟一性5.2.1 选择域名选择域名DNS 名称空间选项名称空间选项 相同相同 DNS 名称空间名称空间委派名称空间委派名称空间唯一名称空间唯一名称空间 现有现有 DNS 名名称空间称空间现有现有 DNS 名名称空间称空间现有现有 DNS 名名称空间称空间内部内部 DNS 名称空间名称空间内部内部 DNS 名称空间名称空间内部内部 DNS 名称空间名称空间5.2.2 DNS 名称空间选项名称空间选项 使用专有名称使用专有名称创建与创建与 Active Directory 兼容的名称空间兼容的名称空间分离的内部和外部名称空间分离的内部和外部名称空
12、间5.2.3 名称空间规划的最佳实践名称空间规划的最佳实践名称空间规划的最佳实践名称空间规划的最佳实践为域选择为域选择 DNS 名称空间名称空间 内部和外部服务器上名称空间分离内部和外部服务器上名称空间分离内部和外部使用不同的名称空间内部和外部使用不同的名称空间5.2.4 规划名称空间的指导方针规划名称空间的指导方针规划名称空间的指导方针规划名称空间的指导方针目标:目标:规划能支持组织现有或将来规划的 DNS 名称空间5.2.5 实验实验5-2:规划:规划 DNS 名称空间名称空间实验实验5-2:规划:规划 DNS 名称空间名称空间第第 5 章:章:规划规划DNS策略策略规划规划 DNS 服务
13、器服务器名称空间规划名称空间规划区域规划区域规划规划区域复制和委派规划区域复制和委派集成集成 DNS 和和 WINS区域规划区域规划选择区域类型选择区域类型选择区域数据位置选择区域数据位置区域安全考虑事项区域安全考虑事项规划区域的指导方针规划区域的指导方针5.3 区域规划区域规划选择区域类型选择区域类型定期查询目标服务器命名区域的更新Active Directory文件提供有限的容错能力文件Active Directory可能所在磁可能所在磁盘位置盘位置传输到托管着辅助区域的服务器辅助区域辅助区域提供有限的容错复制到其他 Active Directory 集成区域 区域信息区域信息存根区域存根
14、区域主区域主区域区域类型区域类型拥有区域的只读信息改善主区域低可靠性 改善本地和远程服务器性能作为区域的更新点能够读/写区域信息 单独管理区域信息 确保辅助区域服务器上该文件的副本是最新改善名称解析效率简化 DNS 管理用途用途5.3.1 选择区域类型选择区域类型选择区域数据位置选择区域数据位置用于整合现有用于整合现有 Active Directory 架构架构针对针对 DNS 和和 Active Directory 进行单点支持进行单点支持Active Directory 集成集成区域区域用于根服务器是传统用于根服务器是传统 DNS 服务器服务器 支持支持 Active Directory
15、整合区域作为委派区整合区域作为委派区域域合并二者区域类型合并二者区域类型用于整合现有的架构用于整合现有的架构单独支持单独支持 DNS 和和 Active Directory传统传统 DNS 区域区域5.3.2 选择区域数据位置选择区域数据位置区域安全考虑事项区域安全考虑事项Active Directory 中的安全动态更新中的安全动态更新来自来自 DHCP 的动态更新的动态更新DNS 客户端的动态更新客户端的动态更新区域权限区域权限5.3.3 区域安全考虑事项区域安全考虑事项规划区域的指导方针规划区域的指导方针选择区域类型选择区域类型确定区域集成的要求确定区域集成的要求选择区域的存储位置选择区
16、域的存储位置确定区域安全要求确定区域安全要求5.3.4 规划规划区域的指导方针区域的指导方针实验实验5-3:规划区域:规划区域目标:目标:根据所给的场景确定将要实现的区域根据所给的场景确定将要实现的区域类型、区域存储位置和区域安全类型、区域存储位置和区域安全 5.3.5 实验实验5-3:规划区域:规划区域第第 5 章:章:规划规划DNS策略策略规划规划 DNS 服务器服务器名称空间规划名称空间规划区域规划区域规划规划区域复制和委派规划区域复制和委派集成集成 DNS 和和 WINS规划区域复制和委派规划区域复制和委派创建辅助区域的场合创建辅助区域的场合区域传输和复制区域传输和复制区域传输的安全措
17、施区域传输的安全措施区域委派区域委派规划区域复制和委派的指导方针规划区域复制和委派的指导方针5.4规划区域复制和委派规划区域复制和委派创建辅助区域的场合创建辅助区域的场合辅助区域创建:辅助区域创建:提供区域冗余减少网络通信量减少主服务器上的负载5.4.1 创建辅助区域的场合创建辅助区域的场合区域传输和复制区域传输和复制 区域类型区域类型复制选项复制选项Active Directory 集集成区域成区域在 DNS 服务器中进行增量传输调整 Active Directory 复制规划标准标准 DNS 区域区域在主要区域和辅助区域进行复制进行增量传输而不是完全区域传输Active Directory
18、 集成区域集成区域标准标准 DNS 区域区域Active Directory 集成区域集成区域Active Directory 集成区域集成区域主要区域主要区域辅助区域辅助区域复制复制区域传输区域传输5.4.2 区域传输和复制区域传输和复制 区域传输的安全措施区域传输的安全措施限制区域传输限制区域传输区域复制的安全区域复制的安全使用使用 IPSec 和和 VPN 隧道加密隧道加密用用 Active Directory 进行加密和身份验证进行加密和身份验证 减少复制的影响减少复制的影响5.4.3 区域传输的安全措施区域传输的安全措施区域委派区域委派提供把一个名称空间分割成多个区域的选项提供把一个
19、名称空间分割成多个区域的选项使用委派区域场合:使用委派区域场合:需要把 DNS 域的管理委派给企业内的多个组织或部门。需要把维护一个大的 DNS 数据库的负载分摊给多个名称服务器5.4.4 区域委派区域委派确定何时需要创建附加区域确定何时需要创建附加区域确定复制方法确定复制方法确定复制安全性要求确定复制安全性要求确定对区域委派的需求确定对区域委派的需求5.4.5 规划区域复制和委派的指导方针规划区域复制和委派的指导方针规划区域复制和委派的指导方针规划区域复制和委派的指导方针目标:目标:规划区域复制和委派讨论区域复制和委派规划5.4.6 实验实验5-4:规划区域复制和委派:规划区域复制和委派实验
20、实验5-4:规划区域复制和委派:规划区域复制和委派第第 5 章:章:规划规划DNS策略策略规划规划 DNS 服务器服务器名称空间规划名称空间规划区域规划区域规划规划区域复制和委派规划区域复制和委派集成集成DNS 和和 WINS 集成集成 DNS 和和 WINS 多媒体演示:集成多媒体演示:集成 DNS 和和 WINSWINS 集成集成修改缓存超时设置修改缓存超时设置WINS 集成的最佳实践集成的最佳实践5.5 集成集成DNS 和和 WINS 多媒体演示:集成多媒体演示:集成 DNS 和和 WINS理解理解 DNS 区域配置了区域配置了 WINS 正向查找正向查找时的名称解析过程时的名称解析过程
21、目标:目标:掌握 DNS 服务器如何使用 WINS 来解析主机名称掌握权威 DNS 服务器要求 WINS 记录的原因WINS 集成集成WINS 资源记录资源记录用于异构计算环境中用于早期系统的兼容 WINS-R 资源记录资源记录为在区域中未找到的反向查询提供更进一步的解析 WINS 反向查找反向查找 DNS 服务器从结点状态响应获得 NetBIOS 名称时,它将 DNS 域名附加到结点状态响应中所提供的 NetBIOS 名称,并将结果转发给发出请求的客户端 5.5.1 WINS 集成集成修改缓存超时设置修改缓存超时设置WINS 中的数据很少更改,可以延长数据缓存时间中的数据很少更改,可以延长数
22、据缓存时间 延长数据缓存时间,将减少延长数据缓存时间,将减少 DNS 服务器和服务器和 WINS 服务器之间的查询次数服务器之间的查询次数5.5.2 修改缓存超时设置修改缓存超时设置WINS 集成的最佳实践集成的最佳实践为为 WINS 解析指定子域解析指定子域将未能解析的将未能解析的 DNS 查询指派给子域查询指派给子域在区域配置中指定在区域配置中指定 WINS 服务器服务器5.5.3 WINS 集成的最佳实践集成的最佳实践实验实验 5-5:规划:规划 DNS 策略策略实验实验1:规划 DNS 服务器的配置,以支持内部和外部名称空间 5.6 实验实验 5-5:规划:规划 DNS 策略策略回顾回顾学习完本章后,应能够:学习完本章后,应能够:理解理解 DNS 在企业中的应用在企业中的应用配置老化和清理选项配置老化和清理选项将将 DNS 与与 Windows Internet 名称服务(名称服务(WINS)集成)集成掌握掌握 DNS 服务器的规划服务器的规划
