1、第第9章章 DNS服务器配置与管理服务器配置与管理9.1 计算机名称与名称解析计算机名称与名称解析9.2 WINS概念及工作原理概念及工作原理9.3 DNS的基本概念与原理的基本概念与原理9.4 Windows Server 2008 DNS服务器的安服务器的安装与配置装与配置9.5 Linux中中DNS服务器的安装和配置服务器的安装和配置9.1 计算机名称与名称解析计算机名称与名称解析1、计算机名称在网络系统中,计算机名称的一般存在着以下三种形式:(1)计算机名(Local Host Name)。要查看和设置本地计算机名,可以打开计算机“属性”对话框或在命令行输入hostname命令。(2)
2、NetBIOS名。NetBIOS使用长度限制在十六个字符的名称来标识计算机资源,这个标识也称为NetBIOS名,每个 NetBIOS 名称中的第 16 个字符被 Microsoft NetBIOS 客户用作名称后辍,用来标识该名称,并表明用该名称在网络上注册的资源的有关信息。(3)完全限定性域名(FQDN)。FQDN是指主机名加上全路径,全路径中列出了序列中的所有域成员。FQDN可以从逻辑上准确地表示出主机在什么地方,也可以说它是主机名的一种完全表示形式。该名字不可超过256个字符,用户平时访问Internet使用的就是完整的FQDN。c:Documents and Settingsxinxi
3、nbtstat -n本地连接:ode IpAddress:192.168.137.54 Scope Id:NetBIOS Local Name Table Name Type Status -NET144 UNIQUE Registered WORKGROUP GROUP Registered NET144 UNIQUE Registered00 表示workstation20 表示server9.1 计算机名称与名称解析计算机名称与名称解析2、名称解析(1)客户端首先验证所要登录的地址是不是本机。也就是说与查看是不是自己,即与Local Host Name是否相同。如果相同则解析成功,否则执
4、行下一步;(2)客户端查询本机的HOSTS文件:Windows NT/2000/XP/Vista/7/8的默认位置为%SystemRoot%system32driversetc(3)客户端向公网上的DNS服务器或向网内的DNS服务器发送请求;(4)查看本机的NetBIOS名称缓存(c:ipconfig/displaydns)(5)客户端查询WINS服务器,即向WINS Server发送请求;(6)客户端向网内发出广播,在本网段广播中查找;(7)客户端查询本机的LMHOSTS文件。名称解析过程名称解析过程NetBIOS:Network Basic Input Output SystemNetBI
5、OS 定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法。NetBIOS 是一种会话层协议,应用于各种 LAN(Ethernet、Token Ring 等)和 WAN 环境,诸如 TCP/IP、PPP 和 X.25 网络。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用Windows NT4.0 构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式通过139端口将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系
6、统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。NetBIOS 名称为 16 字节长(必要情况下使用填充位填满),对使用的字节值几乎没有限制。对于不执行路由的小型网络,将 NetBIOS 名称映射到 IP 地址上有三种方法:1 IP 广播 当目标地址不在本地 cache 上时,广播一个 包含目标计算机 NetBIOS 名称的数据包。目标计算机返回其 IP 地址。2 lmhosts 文件 这是一个负责映射 IP 地址和 NetBIOS 计算机名称的文件。3 NBNS NetBIOS 命名服务器负责将 NetBIOS 名称映射到 IP 地址上。该服务由 Linux 环境下的后台程序(n
7、mbd daemon)执行。NetBIOS:Network Basic Input Output System当安装TCP/IP协议时,NetBIOS 也被Windows作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。利用NETBIOS漏洞进行攻击的端口分别为:135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的“Snort”攻击!对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,
8、这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但仍需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。为了保护你的信息安全,强烈建议你安装微软的最新补丁包。NetBIOS:Network Basic Input Output System利用NetBIOS名实现信息通讯是非常方便
9、、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。漏洞攻击1.利用软件查找共享资源利用NetBrute Scanner 软件扫描一段IP地址(如10.0.13.110.0.13.254)内的共享资源,就会扫描出默认共享2.用PQwak破解共享密码双击扫描到的共享文件夹,如果没有密码,便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址,如“10.0.13.191”(或带C$,D$等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹
10、。NetBIOS:Network Basic Input Output System关闭漏洞关闭漏洞1.解开文件和打印机共享绑定鼠标右击桌面上网络邻居属性 本地连接 属性,去掉“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。2.利用TCP/IP筛选鼠标右击桌面上网络邻居 属性本地连接 属性,打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级选项,在列表中单击选中“TCP/IP筛选”选项。单击属性按钮,选择“只允许”,再单击添加按钮(如图2),填入除了139和445
11、之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。3.使用IPSec安全策略阻止对端口139和445的访问选择我的电脑控制面板管理工具本地安全策略IP安全策略,在本地机器,在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。NetBIOS:Network Basic Input Output System关闭漏洞关闭漏洞4.停止Server服务选择我的电脑控制面板管理工具服务,进入服务管理器,关闭Server服务。这样虽然不会关闭端口
12、,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。5.使用防火墙防范攻击在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击确定按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。9.2 WINS概念及工作原理概念及工作原理WINS(Window
13、s Internet Name Service)是由微软公司开发出来的一种网络名称转换服务,主要用于NetBIOS(网络基本输入/输出系统协议)名字服务,处理的是NetBIOS计算机名,所以也被称为NetBIOS名字服务器(NBNS,NetBIOS Name Server)。WINS基于客户/服务器的模型。它有两个重要的部分:WINS客户和WINS服务器。客户主要在加入或离开网络时向WIN服务器注册自己的名字或解除注册。WINS服务器主要负责处理由客户发来的名字和IP地址的注册和解除注册信息。WINS客户进行查询时,服务器会返回当前查询的名字对应的IP地址。此外,服务器还负责对数据库进行备份和
14、更新。9.2 WINS概念及工作原理概念及工作原理WINS提供的服务:1.名字注册名字注册就是客户端让WINS服务器获得信息的过程。2.名字更新因为客户端被分配了一个TTL(存活期),所有它的注册也有一定的期限,过了这个期限,WINS服务器将从数据库中删除这个名字的注册信息。3.名字释放在客户端正常关机过程中,WINS客户端向WINS服务器发送一个名字释放的请求,以请求释放其映射在WINS服务器数据库中的IP地址和NetBIOS名字。4.名字解析当客户端计算机想要转换一个名字时,它首先检查本地NetBIOS名字缓存器;如果名字不在本地NetBIOS名字缓存器中,便发送一个名字查询到首选WINS
15、服务器(每隔15秒发送一次,共发三次),如果请求失败,则向次选WINS发送同样的请求;如果都失败了,那么名字解析可以通过其它途径来转换(例如本地广播、lmhosts文件和hosts文件、或者DNS来进行名字解析)。9.2 WINS概念及工作原理概念及工作原理在各种名字解析方式之中,WINS名字服务具有一些优点。首先,WINS名字解析服务是以点对点的方式直接进行通信的,并可以跨越路由器访问其它子网中的计算机,这便克服了广播查询无法跨越路由器和加重网络负担的不足;其次,与静态处理域主机名(Host Name)的DNS服务器不同,WINS名字服务还是一种很少人工干预的动态名字服务;第三,WINS名字
16、服务不仅能够用于NetBIOS名字查询,而且还可以辅助域主机名(Host Name)的查询,可以结合DNS和WINS服务器的好处进行Internet域名查询。9.3 DNS的基本概念与原理的基本概念与原理1、DNS域名空间与区域DNS是一种分布式的、层次型的、客户机(Client)/服务器(Server)模式的数据库管理系统。其结构类似于一棵倒置的树,由最顶端的根一层一层往下延伸。这样所组成的结构,即称为域的名称空间(Domain Name Space)9.3 DNS的基本概念与原理的基本概念与原理2、域名解析的类型根据DNS服务器对DNS客户端的不同响应方式,域名解析可分为有2种类型:递归型
17、和循环型。(1)递归型递归型查询,是指DNS客户端发出查询请求后,如果DNS服务器内没有所需的数据,则DNS服务器会代替客户端向其他的DNS服务器进行查询。在这种方式中,DNS服务器必须给DNS客户端作出回答。(2)循环型 循环型查询是指当第1台DNS服务器向第2台DNS服务器提出查询请求后,如果在第2台DNS服务器内没有所需要的数据,则它会提供第3台DNS服务器的IP地址给第1台DNS服务器,让第1台DNS服务器直接向第3台DNS服务器进行查询。依此类推,直到找到所需的数据为止。如果到最后一台DNS服务器中还没有找到所需的数据时,则通知第1台DNS服务器查询失败。9.3 DNS的基本概念与原
18、理的基本概念与原理3、AD与DNS之间的区别与联系(1)DNS域AD的区别DNS是一种独立的名称解析服务。DNS的客户端向DNS服务器发送DNS名称查询的请求,DNS服务器接收名称查询后,先向本地存储的文件解析名称进行查询,有则返回结果,没有则向其他DNS服务器进行名称解析的查询。因此,DNS服务器并没有向活动目录查询就能够运行。(2)DNS与AD的联系活动目录域DNS具有相同的层次结构。DNS区域可以在活动目录中直接存储:区域可以在活动目录中直接存储:当用户需要使用Windows Server 2008域中的DNS服务器时,其主要区域的文件可以在建立活动目录时一并生成,并存储在AD中,这样才
19、能方便的复制到其他域控制器的活动目录上。活动目录的客户端需要使用DNS服务定位域控制器。活动目录的客户端查询时,需要使用DNS服务来定位指定的域控制器9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.1 Windows Server 2008 DNS服务器安装服务器安装(1)在服务器中选择“开始”“管理工具”“服务器管理器”命令打开“服务器管理器”窗口,选择左侧“角色”一项之后,单击右侧的“添加角色”链接9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.1 Windows Server 2008 D
20、NS服务器安装服务器安装(2)此时,出现“添加角色向导”对话框,在如图9-3所示的对话框中,首先显示的是“开始之前”选项,此选项提示用户,在开始安装角色之前,请验证以下事项:1)Administrator账户具有强密码。2)已配置网络设置。3)已安装Windows Update中的最新安全更新。(3)单击“下一步”,在接下来的对话框中选中“DNS服务”复选框。(4)单击“下一步”。在接下来的“DNS服务器”对话框中,对DNS服务进行了简要介绍,单击“下一步”继续操作。(5)出现“确认安装选择”对话框中,单击“安装”,出现“安装进度”对话框。(6)出现,DNS服务器安装成功对话框。单击“关闭”即
21、可。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域区域(Zone)是一个用于存储单个DNS域名的数据库,它是域名空间树状结构的一部分,它将域名空间分区为较小的区段。DNS服务器是以Zone为单位来管理域名空间的,Zone中的数据保存在管理它的DNS服务器中。在现有的域中添加子域时,该子域可以包含在现有的Zone中,也可以为它创建一个新Zone或包含在其他Zone中,一个DNS服务器,可以管理一个活多个Zone,一个Zone也可以由多个DNS服务器来管理。用户可以将一个域划分成多个区域分别进行管理,以减轻网络管
22、理的负担。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域1、正向区域的创建9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 200
23、8 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域2、区域、区域的属性的属性9.4.2创建正向查找区域创建正向查找区域2、区域、区域的属性的属性3、区域文件.dns如果在创建区域的时候是采用的默认文件名来保存此区域信息,则在%systemroot%system32dns文件夹中,会出现名称为“.dns”的文本文件。可以用记事本或写字板打开此文件,其内容具体解释如下:IN SOA win-.(/IN SOA.:设置起始授权机构(Start of Authority)SOA标记1 ;serial number /更新序列号,用于标示数据库的变换900 ;ref
24、resh/刷新时间,从域名服务器更新该地址数据库文件的间隔时间,默认900秒600 ;retry /重试延时,从域名服务器更新地址数据库失败以后等待的时间,默认600秒86400 ;expire /失效时间,超过该时间仍无法更新地址数据库,则不再尝试,默认为86400秒3600 );default TTL /最小默认TTL的值,如果没有第一行$TTL,则使用该值;Zone NS records /以“;”开头的行,表示注释 NSwin-./名称服务器NS的相关信息。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录1、添
25、加主机记录(A类型)9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录1、添加主机记录(A类型)9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录2、创建别名(CNAME)记录9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录3、邮件交换器(MX)记录主机或子域:邮件交换器记录的域名,也就是要发送邮件的域名,例如mail,得到的用户邮箱格式为,但如果该域名域“父域”的名称相同
26、,则可以不填或为空,得到的邮箱格式为。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录3、邮件交换器(MX)记录邮件服务器优先级:如果该区域内有多个邮件服务器,可以设置其优先级,数值越低优先级越高(0最高),范围为065535。当一个区域中有多个邮件服务器时。如果传送失败,则会再选择优先级较低的邮件服务器。如果有两台以上的邮件服务器的优先级相同,系统会随机选择一台邮件服务器。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录4、创建其他资源记录9
27、.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录5、添加子域(1)在图9-20中,选中正向查找区域中,右键单击打开快捷菜单,如图9-21,选择“新建域”9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录5、添加子域(3)类似地,在子域中可以新建主机,别名等记录。例如,新建主机,方法是在图9-23中,选中“network”子域,右击打开快捷菜单,选择“新建主机(A或AAAA)”,打开图9-24。在子域中添加主机,在名称文本框中输入“www”,IP地址
28、是“192.168.1.20”。输入完毕单击添加主机即可。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录6、区域文件.dns解析在添加了上述几种记录类型后,再次打开在%systemroot%system32dns文件夹中的“.dns”文本文件。可以看到在文件的最后增加了如下几行:ATMA+/ATM地址记录dns A 192.168.1.10 /主机记录ftp CNAME ./别名记录 MX ./邮件交换记录work A 192.168.1.20 /network子域中的主机记录9.4 Windows Server 2
29、008 DNS服服务器的安装与配置务器的安装与配置9.4.4 创建反向查找区域创建反向查找区域在在DNS服务器中,通过主机名查询其服务器中,通过主机名查询其IP地址的过程成称正向地址的过程成称正向查询,而通过查询,而通过IP地址查询其主机名的过程叫做反向查询。地址查询其主机名的过程叫做反向查询。在网络中,大部分DNS搜索都是正向查找。但为了实现客户端对服务器的访问,不仅需要将一个域名解析成IP地址,还需要将IP地址解析成域名,这就需要使用反向查找功能。反向查找区域并不是必需的,可以在需要时创建,例如若在IIS网站利用主机名称来限制联机的客户端,则IIS需要利用反向查找来检查客户端的主机名称。9
30、.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.4 创建反向查找区域创建反向查找区域1、创建反向查找区域(1)选择“开始”“程序”“管理工具”“DNS服务器”命令,在“服务器管理器”窗口中左侧目录树中计算机名称处右击,在弹出的快捷菜单中选择“新建区域”命令,显示“新建区域向导”对话框。(2)单击“下一步”,弹出的“区域类型”对话框,选择“主要区域”,单击“下一步”。(3)进入如图9-25所示的“正向或反向查找区域”对话框,选择“反向查找区域”。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.4 创
31、建反向查找区域创建反向查找区域1、创建反向查找区域(4)单击“下一步”,进入图9-26所示的“反向查找区域名称”对话框,根据目前的状况,一般建议选择“IPv4反向查找区域”。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.4 创建反向查找区域创建反向查找区域1、创建反向查找区域(5)单击“下一步”,进入如图9-27所示的“反向查找区域名称”对话框,输入IP地址“192.168.1”,同时它会在“反向查找区域名称”文本框中显示“1.168.192.in-addr.arpa”。9.4 Windows Server 2008 DNS服服务器的安装与配
32、置务器的安装与配置9.4.4 创建反向查找区域创建反向查找区域1、创建反向查找区域(6)单击“下一步”弹出如图9-28所示的“区域文件”对话框,此时,系统会自动给出默认的文件名。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.4 创建反向查找区域创建反向查找区域1、创建反向查找区域(6)直接单击“下一步”,进入图9-29所示的“动态更新”对话框,在此,选择“不允许动态更新”,以减少来自网络的攻击。(7)继续单击“下一步”,即可完成“新建区域向导”。9.4.4 创建反向查找区域创建反向查找区域3、创建反向记录 当反向区域创建完成后,还必须在该区域
33、内创建指针记录数据,即建立IP地址域DNS名称之间的搜索关系,只有这样才能提供用户反向查询功能,在实际的查询中才是有用的,增加指针记录的具体操作步骤如下:(1)右击反向查找区域名称“1.168.192.in-addr.arpa”,选择快捷菜单中的“新建指针(PTR)”命令,弹出“新建资源记录”对话框。(2)在“新建资源记录”对话框中的“主机IP地址”文本框中输入主机IP地址的最后一段(前3端是网络ID),并在“主机名”文本框输入主机名添加完指针记录后,再次打开反向区域文件1.168.192.in-addr.arpa.dns,发现在文件的最后添加了一行:10 ptr 9.4.5 缓存文件与转发器
34、缓存文件与转发器缓存文件内存储着根域内的DNS服务器的名称与IP地址的对应关系,每一台DNS服务器内的缓存文件都是一样的。企业内的DNS服务器要向外界DNS服务器查询时,需要用到这些信息,除非企业内部的DNS服务器制定了“转发器”。本地DNS服务器就是通过名为cache.dns的缓存文件找到根域内的DNS服务器的。在安装DNS服务器时,缓存文件就会被自动复制到%systemroot%system32dns目录下。cache.dns的文件内容如图9-32所示。9.4.5 缓存文件与转发器缓存文件与转发器除了直接查看缓存文件,还可以在“服务器管理器”窗口中查看,右击DNS服务器名,在弹出的菜单中选
35、择“属性”命令,打开如图9-33所示的DNS服务器属性对话框,选择“根提示”选项卡,在“名称服务器”列表中就会列出Internet的13台根域服务器的FQDN和对应的IP地址。9.4.5 缓存文件与转发器缓存文件与转发器转发器是网络上的一台DNS服务器,它将以外部DNS名称的查询转发给网络外的DNS服务器。转发器可以管理对网络外的名称的解析,并改善网络中计算机的名称解析效率。设置转发器的具体操作如下:(1)选择“开始”“程序”“管理工具”“DNS服务器”命令,在左侧的目录树中右击DNS服务器名称,并在快捷菜单中选则“属性”命令,弹出的“属性”对话框。(2)在“属性”对话框中选择“转发器”选项卡
36、,如图9-34所示,单击“编辑”,进入“编辑转发器”对话框,可添加或修改转发器的IP地址。9.4.6 配置配置DNS客户端客户端在C/S模式中,DNS客户端就是指那些使用DNS服务器的计算机,这些客户端既可以是安装Windows的计算机,也可以是安装Linux的计算机。DNS客户端分为静态DNS客户和动态DNS客户。静态DNS客户是指管理员手工配置TCP/IP协议的计算机,需要设置的主要内容就是指定DNS服务器。动态DNS客户是指使用DHCP服务的计算机,对于动态DNS客户重要的是在配置DHCP服务时,指定“域名称和DNS服务器”。1、配置静态DNS客户在“控制面板”中双击“网络和共享信息”窗
37、口,单击左侧的“管理网络连接”,单击“本地连接”图标,选择“属性”命令,弹出“本地连接 属性”对话框。在“本地连接 属性”列表框中,找到“Internet协议版本4(TCP/IP)”,并双击打开。将“首选DNS服务器”设置为DNS服务器的IP,单击“确定”保存即可。9.4.6 配置配置DNS客户端客户端2、DNS服务器测试(1)ping命令测试连通性进入命令行窗口,直接在命令行中输入以下命令:C:ping 如果dns服务能够正确地完成解析,如将解析为192.168.1.10,并且IP为192.168.1.10的主机是联通的,则可以ping通。(2)nslookup命令nslookup是一个监测
38、网络中DNS服务器是否能正确实现域名解析的命令行工具,它用来向Internet域名服务器发出查询信息,有两种模式:交互式和非交互式。9.4.6 配置配置DNS客户端客户端在使用nslookup命令查找时,还可以通过发出“set type=type”来设置查找类型,这里type是上面描述的资源记录名,或ANY。例1:set type=ns /查找域名信息。Set type 表示设置查找的类型,ns表示域名服务器。例2:set type=ptr /检查反向DNS。如已知道客户端IP地址,要查找其域名,输入:192.168.117.132例3:set typoe=mx /检查MX邮件交换器记录。要查
39、找域名的邮件交换器记录地址,输入:例4:set type=cname /检查CNAME别名记录。此操作是查询域名主机有无别名。9.4.6 配置配置DNS客户端客户端3、ipconfig命令查看网络配置DNS客户端会将DNS服务器发来的解析结果缓存下来,在一定的时间内,若客户端再次需要解析相同名字,则会直接使用缓存中的解析结果,不必向DNS服务器发起查询。解析结果在DNS客户端缓存的时间取决于DNS服务器上相应资源记录设置的生存事件(TTL)。如果在生存时间规定的时间内,DNS服务器对该资源记录进行了更新,则在客户端会出现短时间的解析错误。此时可以清空DNS客户端缓存来解决问题,步骤如下:(1)
40、查看DNS客户端缓存。在DNS客户端输入以下命令查看DNS客户端缓存。C:ipconfig/displaydns(2)清空DNS客户端缓存。在DNS 客户端输入以下命令清空DNS客户端缓存。C:ipconfig /flushdns再次使用命令“ipconfig/displaydns”来查看DNS客户端缓存,可以看到已将其部分内容清空。9.5 Linux中DNS服务器的安装和配置RedHat Linux和许多UNIX系统一样,都首选BIND来实现域名服务。BIND的全名是Berkeley Internet Name Domain,最初是由加州大学柏克莱分校所开发的BSD UNIX中的一部份,目前
41、则由ISC组织负责维护与发展。BIND是个被广泛使用的DNS服务器软件,它提供了强大及稳定的域名解析服务,因此Internet上有近九成的DNS服务器主机都使用BIND。9.5 Linux中DNS服务器的安装和配置9.5.1 RHEL6.0中中BIND服务器软件的安装与服务的启动服务器软件的安装与服务的启动 其中bind-libs-9.7.0包含使用到的bind库文件,bind-chroot-9.7.0为BIND提供chroot机制的软件包,为bind提供一个伪装的根目录以增强安全性(将“/var/named/chroot/文件夹作为BIND的根目录”),如果不适用chroot保护BIND可以
42、不安装,bind-9.7.0提供主要程序及相关文件,slookup及dig等测试工具,是BIND域名服务的相关软件。9.5 Linux中DNS服务器的安装和配置9.5.1 RHEL6.0中中BIND服务器软件的安装与服务的启动服务器软件的安装与服务的启动 RHEL6自带的版本是BIND 9.7.0-1,如果在安装RHEL6的时候没有安装BIND,可以从Linux的安装光盘中找到如下文件:bind-9.7.0-1.el6.i686.rpm,bind-chroot-9.7.0-1.el6.i686.rpm,bind-libs-9.7.0-1.el6.i686.rpm和bind-utils-9.7.
43、0-1.el.i686.rpm,使用rpm命令安装软件。还可以使用源代码安装或yum命令安装。如果采用源代码安装,可以从BIND的主页http:/www.isc.org下载最新版本进行安装。9.5 Linux中DNS服务器的安装和配置9.5.1 RHEL6.0中中BIND服务器软件的安装与服务的启动服务器软件的安装与服务的启动 Bind的源代码文件如bind-9.9.2-P2.tar.gz,采用下列命令安装:#rpm e bind-9.7.0-1.el6/如果安装了bind 9.7.0包,先拆除#tar xvzf bind-9.9.2-P2.tar.gz#cd bind-9.9.2-P2#./
44、configure#make#make install如果使用yum安装,则输入#yum install bind*-y。9.5 Linux中DNS服务器的安装和配置9.5.1 RHEL6.0中中BIND服务器软件的安装与服务的启动服务器软件的安装与服务的启动 BIND包安装完成之后,提供的主程序默认位于“/usr/sbin/named”,可以直接使用#/usr/sbin/named命令启动程序。软件包安装完成后,系统会自动增加一个名为named的系统服务,还可以通过脚本/etc/init.d/named控制域名服务的运行。下面是通过脚本完成DNS服务的启动、停止与重启:#/etc/rc.d/
45、init.d/named start 或#service named start9.5 Linux中DNS服务器的安装和配置9.5.1 RHEL6.0中中BIND服务器软件的安装与服务的启动服务器软件的安装与服务的启动 由于DNS采用的UDP协议,监听53号端口,进一步检验named工作是否正常。检查防火墙,看是否开放了TCP和UDP的53号端口。如果没有开放,使用下面的命令打开。#iptables -I INPUT -p tcp -dport 53 -j ACCEPT#iptables -I INPUT -p udp -dport 53 -j ACCEPT9.5 Linux中DNS服务器的安
46、装和配置9.5.2 RHEL6下下DNS服务的相关配置文件服务的相关配置文件与DNS服务相关的配置文件主要存放于/etc目录和/var/named目录。/etc目录下主要是以named开头的一些配置文件,如named.conf。可以使用命令#ls /etc/named*查看。对于BIND,需要配置的主要文件是/etc/named.conf。另外两个文件,/etc/named.iscdlv.key保存加密用的key,/etc/named.rfc1912.zones扩展配置文件。除了/etc目录下的主配置文件,在进行域名解析的时候还要用到相关的解析文件,这些文件存放在/var/named目录下。9
47、.5 Linux中DNS服务器的安装和配置9.5.2 RHEL6下下DNS服务的相关配置文件服务的相关配置文件其中named.localhost是用于解析的区域文件,可以解析localhost;named.loopback可以解析回环地址;named.ca保存根域名服务器信息。9.5 Linux中DNS服务器的安装和配置9.5.2 RHEL6下下DNS服务的相关配置文件服务的相关配置文件1、配置文件/etc/named.confoptions listen-on port 53 127.0.0.1;/服务监听端口为53listen-on-v6 port 53 :1;/服务监听端口为53(ipv
48、6)directory/var/named;/域名解析配置文件存放的目录dump-file/var/named/data/cache_dump.db;/解析过的内容的缓存 statistics-file /var/named/data/named_stats.txt;/静态缓存(一般不用)memstatistics-file/var/named/data/named_mem_stats.txt;/静态缓存(放内存里的,一般不用)allow-query localhost;/允许查询的客户机,localhost是本机,any表示任何主机,如果是192.168.100.0/24,表示192.168
49、.100.0/24网段所有主机recursion yes;/轮训查找dnssec-enable yes;/DNS加密dnssec-validation yes;/DNS加密高级算法9.5 Linux中DNS服务器的安装和配置9.5.2 RHEL6下下DNS服务的相关配置文件服务的相关配置文件1、配置文件/etc/named.confdnssec-lookaside auto;/DNS加密相关bindkeys-file/etc/named.iscdlv.key;/加密用的key;logging /日志 channel default_debug file“data/named.run”;/运行状
50、态文件,在/var/named目录下 severity dynamic;/静态服务器地址(根域);zone.IN /根域解析type hint;file named.ca;/根域配置文件,定义了dns服务器的根域名服务器的信息是从“name.ca”获得,这个记录文件是系统自带的,不用去改动它。;include/etc/named.rfc1912.zones;/扩展配置文件(新开域名)9.5 Linux中DNS服务器的安装和配置9.5.2 RHEL6下下DNS服务的相关配置文件服务的相关配置文件1、配置文件/etc/named.confzone语句定义了DNS服务器所管理的区,即哪些域的域名是授
