Tek Review

TCP/IP 协议通信是基于IP地址的，但是，谁会记住那一串单调的数字呢？因此，大家基本上都是通过访问计算机名字，然后通过某种机制将计算机名字解析为IP地址来 实现。而DNS就是一种标准的名字解析机制，在Windows 2000及以后的Windows系统中，DNS名字解析是首选的名字解析方式。

DNS域 名是以层次树状结构进行管理的，又称为DNS命名空间。DNS命名空间具有一个唯一的根域，并且每一个根域可以具有多个子域，而每一个子域又可以拥有多个 子域。例如，Internet命名空间具有多个顶级域名（top-level domain names，简称TLD），例如ORG、COM。而ORG顶级域名可以具有多个子域，如winsvr、isacn等等，而winsvr子域又可以具有多个 子域，例如tech、info等等，而tech又可以拥有多个子域。对于某一个组织而言，可以创建自己私有的DNS命名空间，不过对于Internet而 言，这些私有的DNS命名空间是不可见的。

DNS命名空间中的每一个节点都可以通过完全限定域名（FQDN）来识别。FQDN是一种清楚的描述此节点和DNS命名空间中根域的关系的DNS名字。例如WinSVR.ORG的Web服务器为 www.winsvr.org，它是通过使用英文句点“.”连接主机名www和域名后缀winsvr.org组成，其中英文句点“.”是用于连接FQDN中每一节的标准连接符，而winsvr代表组织名称，org代表顶级域。公司或组织名称可以具有多节，例如域名可以为department1.tech.winsvr.org，但是完全限定域名总长度不能超过255字节。

Internet命名空间

Internet命名空间的顶级域由ICANN管理，除了为每个国家和部分地区保留的顶级域（例如中国是CN）外，ICANN还创建了以下顶级域（截止到2005年11月）：

• .aero

• .biz

• .com

• .coop

• .edu

• .gov

• .info

• .int

• .jobs

• .mil

• .museum

• .name

• .net

• .org

• .pro

• .travel

更详细的信息请参见ICANN:Registry Listing http://www.icann.org/registries/listing.html.

和Internet命名空间相对应，根据你的需要，你可以创建自己的私有根域和相应的子域，它和Internet命名空间独立，并且对于Internet而言不可见。例如，常见的私有域名如mycompany.local等等。

DNS组件

完 整的DNS系统由DNS服务器、区域、解析器（DNS客户端）和资源记录组成，并且你需要正确的进行配置。DNS协议采用UDP/TCP 53端口进行通讯：DNS服务器侦听UDP/TCP 53端口，DNS客户端通过向服务器的这两个端口发起连接进行DNS协议通讯。其中UDP 53端口主要用于答复DNS客户端的解析请求，而TCP 53端口用于区域复制。

DNS服务器

运 行DNS服务器软件的计算机。常见的DNS服务器软件有Windows的DNS服务器和Unix下的BIND。一个DNS服务器包含了部分DNS命名空间 的数据信息，当DNS客户发起解析请求时，DNS服务器答复客户的请求，或者提供另外一个可以帮助客户进行请求解析的服务器地址，或者回复客户无对应记 录。

当DNS服务器管理某个区域时，它是此区域的权威DNS服务器，而无论它是主要区域还是辅助区域。DNS 服务器可以是一级或者多级DNS命名空间的权威DNS服务器，例如，Internet根域的DNS服务器只是对于顶级域名例如“.org”具有权威，而顶 级域名.org的权威DNS服务器只是对于winsvr.org二级域名具有权威，而对于三级域名www.winsvr.org，则只有 winsvr.org域的DNS服务器才具有权威。

DNS区域

DNS 区域是DNS服务器具有权威的连续的命名空间，一个DNS服务器可以对一个或多个区域具有权威，而一个区域可以包含一个或多个连续的域。例如，一个DNS 服务器可以对区域winsvr.org和isacn.org具有权威，而每个区域下又可以包含多个域。不过，你可以通过区域委派来将连续的域例如 winsvr.org、tech.winsvr.org存放在不同的区域中。

区域文件包含了DNS服务器具有权威的区域的所有资源记录。通常情况下，区域数据存在在文本文件中，但是运行在Windows 2000或者Windows Server 2003域控制器上的DNS服务器，可以把区域信息存放在活动目录中。

DNS解析器（DNS客户端）

DNS解析器是使用客户端计算机用于通过DNS协议查询DNS服务器的一个服务。在Windows 2000及其后的系统中，DNS解析器是通过DNS客户端这个服务来实现，除此之外，DNS客户端服务还可以对DNS解析结果进行缓存。你必须在客户端计算机的TCP/IP属性中配置使用DNS服务器，此时客户端计算机的DNS解析器才会将DNS解析请求发送到相应的DNS服务器。

资源记录

资源记录是用于答复DNS客户端请求的DNS数据库记录，每一个DNS服务器包含了它所管理的DNS命名空间的所有资源记录。资源记录包含和特定主机有关的信息，如IP地址、提供服务的类型等等。常见的资源记录类型有：

理解DNS服务器的工作方式

当DNS客户端需要为某个应用程序查询名字时，它将联系自己的DNS服务器来解析此名字。DNS客户发送的解析请求包含以下三种信息：

• 需要查询的域名。如果原应用程序提交的不是一个完整的FQDN，则DNS客户端加上域名后缀以构成一个完整的FQDN；

• 指定的查询类型。指定查询的资源记录的类型，如A记录或者MX记录等等；

• 指定的DNS域名类型。对于DNS客户端服务，这个类型总是指定为 Internet [IN]类别。

DNS客户端完整的DNS解析过程如下：

1、检查自己的本地DNS名字缓存

当DNS客户端需要解析某个FQDN时，先检查自己的本地DNS名字缓存。本地的DNS名字缓存由两部分构成：

• Hosts文件中的主机名到IP地址映射定义；

• 前一次DNS查询得到的结果，并且此结果还处于有效期；

如果DNS客户端从本地缓存中获得相应结果，则DNS解析完成。

2、联系自己的DNS服务器

如果DNS客户端没有在自己的本地缓存中找到对应的记录，则联系自己的DNS服务器，你必须预先配置DNS客户端所使用的DNS服务器。

当DNS 服务器接收到DNS客户端的解析请求后，它先检查自己是否能够权威的答复此解析请求，即它是否管理此请求记录所对应的DNS区域；如果DNS服务器管理对 应的DNS区域，则DNS服务器对此DNS区域具有权威。此时，如果本地区域中的相应资源记录匹配客户的解析请求，则DNS服务器权威的使用此资源记录答 复客户的解析请求（权威答复）；如果没有相应的资源记录，则DNS服务器权威的答复客户无对应的资源记录（否定答复）。

如果没有区域匹配DNS客户端发起的解析请求，则DNS服务器检查自己的本地缓存。如果具有对应的匹配结果，无论是正向答复还是否定答复，DNS服务器非权威的答复客户的解析请求。此时，DNS解析完成。

如果DNS服务器在自己的本地缓存中还是没有找到匹配的结果，此时，根据配置的不同，DNS服务器执行请求查询的方式也不同：

• 默认情况下，DNS服务器使用递归方式来解析名字。递归方式的含义就是DNS服务器作为DNS客户端向其他DNS服务器查询此解析请求，直到获得解析结果，在此过程中，原DNS客户端则等待DNS服务器的回复。

• 如果你禁止DNS服务器使用递归方式，则DNS服务器工作在迭代方 式，即向原DNS客户端返回一个参考答复，其中包含有利于客户端解析请求的信息（例如根提示信息等），而不再进行其他操作；原DNS客户端根据DNS服务 器返回的参考信息再决定处理方式。但是在实际网络环境中，禁用DNS服务器的递归查询往往会让DNS服务器对无法进行本地解析的客户端请求返回一个服务器 失败的参考答复，此时，客户端则会认为解析失败。

递归方式和迭代方 式的不同之处就是当DNS服务器没有在本地完成客户端的请求解析时，由谁扮演DNS客户端的角色向其他DNS服务器发起解析请求。通常情况下应使用递归方 式，这样有利于网络管理和安全性控制，只是递归方式比迭代方式更消耗DNS服务器的性能，不过在通常的情况下，这点性能的消耗无关紧要。

根提示信息是Internet 命名空间中的根DNS服务器的IP地址。为了正常的执行递归解析，DNS服务器必须知道从哪儿开始搜索DNS域名，而根提示信息则用于实现这一需求。全世 界范围内的根DNS服务器总共有13个，它们的名字和IP地址信息保存在%systemroot%system32dnscache.dns文件中，每次 DNS服务器启动时从cache.dns文件中读取。一般情况下，不需要对此文件进行修改；如果你的DNS服务器是在内部网络中部署并且不需要使用 Internet的根DNS服务器，则可以根据需要进行修改，将其指向到某个内部根域DNS服务器。

例如，当某个DNS客户端请求解析域名www.winsvr.org并且DNS服务器工作在递归模式下时，完整的解析过程如下：

1. DNS客户端检查自己的本地名字缓存，没有找到对应的记录；

2. DNS客户端联系自己的DNS服务器NameServer1，查询域名 www.winsvr.org；

3. NameServer1检查自己的权威区域和本地缓存，没有找到对应值。于是，联系根提示中的某个根域服务器，查询域名www.winsvr.org；

4. 根域服务器也不知道www.winsvr.org的对应值，于是，向NameServer1返回一个参考答复，告诉NameServer1 .org顶级域的权威DNS服务器；

5. NameServer1联系.org顶级域的权威DNS服务器，查询域名www.winsvr.org；

6. .org顶级域服务器也不知道www.winsvr.org的对应值，于是，向NameServer1返回一个参考答复，告诉NameServer1 Winsvr.org域的权威DNS服务器；

7. NameServer1联系Winsvr.org域的权威DNS服务器，查询域名www.winsvr.org；

8. Winsvr.org域的权威DNS服务器知道对应值，并且返回给NameServer1；

9. NameServer1向原DNS客户端返回www.winsvr.org的结果，此时，解析完成。

查询响应类型

DNS服务器对于客户请求的答复具有多种类型，常见的有以下四种：

权威答复：权威答复是返回给客户的正向答复，并且设置了DNS消息中的权威位。此答复代表从具有权威的DNS服务器处发出；

正向答复：正向答复包含了匹配客户端解析请求的资源记录；

参考答复：参考答复只在DNS服务器工作在迭代模式下使用，包含了其他有助于客户端解析请求的信息。例如，当DNS服务器不能为客户端发起的解析请求找到某个匹配值时，则向DNS客户端发送参考回复，告诉它有助于解析请求的信息；

否定答复：否定答复指出权威服务器在解析客户端的请求时可能遇到了以下两种情况之一：

• 权威DNS服务器报告客户端查询的名字不存在；

• 权威DNS服务器报告存在对应的名字但是不存在指定类型的资源记录。

无论正向答复还是否定答复，DNS客户端都将结果保存在自己的本地缓存中。

理解缓存的工作方式

DNS客户端和DNS服务器都会缓存获得的解析结果，这样可以提高DNS服务性能和减少DNS相关的网络流量。

DNS客户端缓存

当DNS 客户端服务启动时，会读取Hosts文件中的所有主机名和IP地址的映射，并且保存在缓存中。Hosts存放在%systemroot% system32driversetc目录，当你修改Hosts文件后，DNS客户端会立即读取Hosts文件并且对本地缓存进行更新。

另外，DNS客户端会缓存过去的查询结果，当DNS客户端服务停止时，将清空本地缓存。

DNS服务器缓存

DNS服务器像DNS客户端一样缓存名字解析结果，并且可以使用缓存中的信息来答复其他客户端的请求。你可以在DNS服务器管理控制台或者使用DNSCMD命令行工具手动清空缓存，另外当DNS服务器停止时，同样会清空DNS服务器缓存。

资源记录 的生存时间（TTL）指定了资源记录可以缓存的时间的长短，而无论是DNS客户端缓存还是DNS服务器缓存；默认情况下，TTL是3600秒（1小时）。 需要注意的是，由于缓存的作用，DNS服务器上对于资源记录的修改可能不能立即生效。并且对于Internet域名来说，资源记录的修改可能会需要超过 24小时的时间才能在所有DNS服务器上完成更新。

动态更新

当DNS 客户端计算机上产生某个事件触发更新时，DNS客户端计算机上的DHCP客户端服务将会为本地计算机中使用的所有网络连接在相应的DNS服务器中对自己的 A记录进行更新，从而可以确保DNS域名记录和IP地址记录的对应关系。而DNS服务器需要配置为允许动态更新，才能让DNS客户端计算机成功完成更新。

当DNS客户端计算机上产生以下事件时，会触发DHCP客户端服务的动态更新行为：

• 添加、删除或修改了本地计算机任何网络连接TCP/IP属性中的IP地址；

• 本地计算机的任何网络连接向DHCP服务器获取IP地址租约或者续约；

• DNS客户端上运行了Ipconfig /registerdns命令；

• DNS客户端计算机启动；

• 此DNS区域中的一台成员服务器提升为域控制器；

对于标准主要区域，你可以选择不允许动态更新和允许非安全和安全动态更新。但是允许非安全和安全动态更新具有安全隐患，因为DNS服务器不会对进行动态更新的客户端计算机进行验证，所以任何客户端计算机都可以对任何A记录进行动态更新，而不管它是否是此A记录的拥有者。通常情况下，你不应该使用此选项。

对于活动目录集成区域，除了上述的两个选项外，你还可以使用安全动态更新。当使用此方式时，在客户端计算机更新自己的记录时，DNS服务器将要求客户端计算机进行身份验证来确保只有对应资源记录的拥有者才能更新此记录。

只有 Windows 2000及以后版本操作系统的客户端计算机才能执行动态更新，低版本的Windows系统（NT4、9x/ME）不支持动态更新。不过，你可以通过 DHCP服务器为这些低版本客户端计算机代理进行动态更新。当DHCP服务器在代理低版本客户端计算机注册A记录时，会将自己设置为此A记录的所有者。而在安全动态更新方式中，只有资源记录的所有这才能修改此记录，这样在其他DHCP服务器为此低版本客户端计算机代理注册时会出现拒绝访问的问题。因此，你需要将此DHCP服务器加入到DnsUpdateProxy安全组中，这样当DHCP服务器更新A记录时，不会记录下此A记录的所有者信息，从而允许其他DHCP服务器来修改此A记录。

区域委派

一 个完整的DNS区域包含以自己的DNS域名为基础命名空间的所有DNS命名空间的信息，当基于此DNS命名空间新建一个DNS区域时，新建的区域称为子区 域。例如，完整的winsvr.org区域包含了以winsvr.org为基础命名空间的所有DNS命名空间的信息，而tech.winsvr.org则 称为winsvr.org的一个子区域。

默认情况下，DNS区域管理自己的子区域，并且子区域伴随DNS区域一起进行复制和更新。不过，你可以将子区域委派给其他DNS服务器来进行管理，此时，被委派的服务器将承担此DNS子区域的管理，而父DNS区域中只是具有此子区域的委派记录。

区域委派适用于许多环境，常见的场景有：

• 将某个子区域委派给某个对应部门中的DNS服务器进行管理；

• DNS服务器的负载均衡，将一个大区域划分为若干小区域，委派给不同的DNS服务器进行管理；

• 将子区域委派给某个分部或远程站点。

你只能在主 要区域中执行区域委派。对于任何一个被委派的子区域，父DNS区域中只是具有指向子区域中权威DNS服务器的A记录和NS记录，而实际的解析过程必须由委 派到的子区域中的权威DNS服务器完成，即被委派到的DNS服务器上必须具有以被委派的子区域为域名的主要区域。

在Windows Server 2003的DNS服务器管理控制台中，提供了向导工具，可以让你轻松的完成DNS区域委派。

DNS区域类型

在部署一台DNS服务器时，你必须预先考虑DNS区域类型，从而决定DNS服务器类型。DNS区域分为两大类：正向查找区域和反向查找区域，其中

• 正向查找区域用于FQDN到IP地址的映射，当DNS客户端请求解析某个FQDN时，DNS服务器在正向查找区域中进行查找，并返回给DNS客户端对应的IP地址；

• 反向查找区域用于IP地址到FQDN的映射，当DNS客户端请求解析某个IP地址时，DNS服务器在反向查找区域中进行查找，并返回给DNS客户端对应的FQDN。

而每一类区域又分为三种区域类型：主要区域、辅助区域和存根区域，其中：

主要区域（Primary）： 包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器。可以对区域中所有资源记录进行读写，即DNS服务器可以修改此 区域中的数据，默认情况下区域数据以文本文件格式存放。你可以将主要区域的数据存放在活动目录中并且随着活动目录数据的复制而复制，此时，此区域称为活动 目录集成主要区域，在这种情况下，每一个运行在域控制器上的DNS服务器都可以对此主要区域进行读写，这样避免了标准主要区域时出现的单点故障。

辅助区域（Secondary）： 主要区域的备份，从主要区域直接复制而来；同样包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器；和主要区域不同 之处是DNS服务器不能对辅助区域进行任何修改，即辅助区域是只读的。辅助区域数据只能以文本文件格式存放。

存根区域（Stub）：存根区域是Windows Server 2003新增加的功能。此区域只是包含了用于分辨主要区域权威DNS服务器的记录，有三种记录类型：

• SOA（委派区域的起始授权机构）：此记录用于识别该区域的主要来源DNS服务器和其他区域属性；

• NS（名称服务器）：此记录包含了此区域的权威DNS服务器列表；

• A glue（粘附A记录）：此记录包含了此区域的权威DNS服务器的IP地址。

默认情况下区域数据以文本文件格式存放，不过你可以和主要区域一样将存根区域的数据存放在活动目录中并且随着活动目录数据的复制而复制。

当DNS 客户端发起解析请求时，对于属于所管理的主要区域和辅助区域的解析，DNS服务器向DNS客户端执行权威答复。而对于所管理的存根区域的解析，如果客户端 发起递归查询，则DNS 服务器会使用该存根区域中的资源记录来解析查询。DNS服务器向存根区域的NS资源记录中指定的权威DNS服务器发送迭代查询，仿佛在使用其缓存中的NS 资源记录一样；如果DNS服务器找不到其存根区域中的权威DNS服务器，那么DNS服务器会尝试使用根提示信息进行标准递归查询。如果客户端发起迭代查 询，DNS服务器会返回一个包含存根区域中指定服务器的参考信息，而不再进行其他操作。

如 果存根区域的权威DNS服务器对本地DNS服务器发起的解析请求进行答复，本地DNS服务器会将接收到的资源记录存储在自己的缓存中，而不是将这些资源记 录存储在存根区域中，唯一的例外是返回的粘附A记录，它会存储在存根区域中。存储在缓存中的资源记录按照每个资源记录中的生存时间 (TTL) 的值进行缓存；而存放在存根区域中的SOA、NS 和粘附A资源记录按照SOA记录中指定的过期间隔过期（该过期间隔是在创建存根区域期间创建的，在从原始主要区域复制时更新）。

当 某个DNS服务器（父DNS服务器）向另外一个DNS服务器做子区域委派时，如果子区域中添加了新的权威DNS服务器，父DNS服务器是不会知道的，除非 你在父DNS服务器上手动添加。存根区域主要是用于解决这个问题，你可以在父DNS服务器上为委派的子区域做一个存根区域，从而可以从委派的子区域自动获 取权威DNS服务器的更新而不需要额外的手动操作。

DNS服务器类型

根据管理的DNS区域的不同，DNS服务器也具有不同的类型。一台DNS服务器可以同时管理多个区域，因此也可以同时属于多种DNS服务器类型。

主要DNS服务器

当DNS服务器管理主要区域时，它被称为主要DNS服务器。主要DNS服务器是主要区域的集中更新源，你可以部署两种模式的主要区域：

• 标准主要区域：标准主要区域的 区域数据存放在本地文件中，只有主要DNS服务器可以进行管理此DNS区域（单点更新）。这意味如果当主要DNS服务器出现故障时，此主要区域不能再进行 修改；但是，位于辅助服务器上的辅助服务器还可以答复DNS客户端的解析请求。标准主要区域只支持非安全的动态更新。

• 活动目录集成主要区域：活动目 录集成主要区域仅当在域控制器上 部署DNS服务器时有效，此时，区域数据存放在活动目录中并且随着活动目录数据的复制而复制。在默认情况下，每一个运行在域控制器上的DNS服务器都将成 为主要DNS服务器，并且可以修改DNS区域中的数据（多点更新），这样避免了标准主要区域时出现的单点故障。活动目录集成主要区域支持安全的动态更新。

辅助DNS服务器

在DNS服务设计中，针对每一个区域，总是建议你至少使用两台DNS服务器来进行管理。其中一台作为主要DNS服务器，而另外一台作为辅助DNS服务器。

当DNS服务器管理辅助区域时，它将成为辅助DNS服务器。使用辅助DNS服务器的好处在于实现负载均衡和避免单点故障。辅助DNS服务器用于获取区域数据的源DNS服务器称为主服务器，主服务器可以由主要DNS服务器或者其他辅助DNS服务器来担任；当创建辅助区域时，将要求你指定主服务器。在辅助DNS服务器和主服务器之间存在着区域复制，用于从主服务器更新区域数据。

注意：这个地方辅助DNS服务器是根据区域类型的不同而得出的概念，而在配置DNS客户端使用的DNS服务器时，管理辅助区域的DNS服务器可以配置为DNS客户端的主要DNS服务器，而管理主要区域的DNS服务器也可以配置为DNS客户端的辅助DNS服务器。

存根DNS服务器

管理存根区域的DNS服务器称为存根DNS服务器。一般情况下，不需要单独部署存根DNS服务器，而是和其他DNS服务器类型合用。在存根DNS服务器和主服务器之间同样存在着区域复制。

安装DNS服务器

在Windows 2000服务器系统和Windows Server 2003中，均含有DNS服务器。安装DNS服务器的过程很简单，但是你必须确保安装DNS服务器的计算机具有静态的IP地址。下面给大家介绍一下如何在 Windows Server 2003上安装DNS服务器：

• 点击开始，控制面板，再点击添加/删除程序，然后在弹出的添加/删除程序对话框上点击添加/删除Windows组件；

• 在弹出的Windows组件向导对话框，勾选网络服务下的域名系统（DNS），点击确定，然后点击下一步；

• 此时，Windows组件向导会安装DNS服务器，安装过程中可能会提示你插入安装光盘。

管理DNS服务器

安装好DNS服务器后，你可以点击管理工具下的DNS或者运行dnsmgmt.msc命令来打开DNS管理控制台，如下图所示：

在进行任何部署之前，都建议你预先配置DNS服务器的属性，右击DNS服务器名选择属性；

如下图所示，普通的DNS服务器总共具有接口、转发器、高级、根提示、调试日志、事件日志、监视七个标签；

如果DNS服务器是在域控制器安装，则具有第八个标签：安全，如下图所示，它用于控制用户对DNS服务器的访问。

在此我们逐标签进行介绍。

接口

接口标签允许你指定DNS服务器侦听 DNS请求的本地计算机IP地址，默认情况下，DNS服务器侦听本地计算机上的所有IP地址。但是在某些情况下，你不希望DNS服务器侦听所有的IP地 址。例如你的DNS服务器具有两个网络适配器，分别连接到Internet和LAN，则你可能不希望让Internet的客户访问你的DNS服务器，所以 你可以只选择侦听连接到LAN的IP地址。

转发器

转发器标签允许当本地DNS服务器无 法对DNS客户端的解析请求进行本地解析时（DNS服务器无法权威的解析客户端的请求，即没有匹配的主要区域和辅助区域，并且无法通过缓存信息来解析客户 端的请求），配置本地DNS服务器转发DNS客户发送的解析请求到上游DNS服务器。此时本地DNS服务器又称为转发服务器，而上游DNS服务器又称为转发器。在这个标签中，你可以指定需要进行转发的DNS域名和转发到的上游转发器的IP地址。在Windows Server 2003中，提供了条件转发功能，可以让你将针对不同域名的解析请求转发到不同的转发器，如下图所示：

你可以针对某个DNS域配置多个上游转发器。列表中位置更高的上游转发器具有更高的优先级，本地DNS服务器会优先进行查询。你可以点击上移、下移按钮来调整上游转发器的优先级。

下部的在转发查询超时之前的秒数指定了本地DNS服务器（转发服务器）等待上游转发器回复的超时限制时间，当上游转发器超过这个时间没有进行回复时，本地DNS服务器将联系其他的上游转发器，默认设置是5秒。

转发器标签只有DNS服务器工作在递归模式时有效，这是因为如果DNS服务器工作在迭代模式时，它不需要转发不能本地解析的DNS客户端请求。

如果没有配置转发器而本地DNS服务 器又不能对客户端的请求进行本地解析，则会使用根提示信息来解析客户端的请求，这样解析速度较慢；而通过配置转发器，可以将所有其他DNS域转发到最近的 ISP的DNS服务器，从而可以高效的对DNS客户端的名字解析请求进行处理。缓存DNS服务器通常会配置DNS转发器，以获得更高的效率。

此外，转发器还用于高安全要求的网络 环境。例如，你不愿意让内部网络中的DNS服务器直接访问Internet，以免引起安全问题，则可以配置此DNS服务器转发至内部网络中的某台上游转发 器，然后此转发器又配置为转发至Internet上的DNS服务器，并且在边缘防火墙上限制为只允许此转发器到Internet的DNS访问，这样就可以 避免内部网络其他DNS服务器和Internet的直接通讯。

下部的不对这个域使用递归则 控制是否对此DNS域使用递归模式的名字解析。DNS服务器只有工作在递归模式下时才能使用转发器，但是你可以控制对某个DNS域不使用递归模式进行解 析。如果对某个DNS域不使用递归，则本地DNS服务器完全于依赖上游转发器的解析，如果上游转发器无法解析本地DNS服务器转发的DNS解析请求，则本 地DNS服务器将直接按照上游DNS服务器的答复向DNS客户端进行答复；默认情况下会启用递归模式，即当上游无法解析本地DNS服务器转发的DNS解析 请求时，本地DNS服务器会尝试通过根提示信息来对DNS解析请求进行解析。

高级

在高级标签，你可以配置DNS服务器的高级属性。每个选项的含义为：

禁用递归（也禁用转发器）

在转发器标签中你可以为某个DNS域禁用递归，而此选项是服务器全局选项。当选择此选项时，DNS服务器会工作在迭代模式，同时禁止使用转发器。默认情况下，此选项未启用。

BIND辅助区域

BIND是Unix系统上的DNS服 务器系统。Windows系统上的DNS服务器在区域传输时使用快速传输格式，这种格式可以进行数据压缩并且在单个TCP消息中可以传输多个资源记录，从 而节约网络带宽和区域传输时间。但是，只有BIND 4.94及以上版本才支持快速传输格式，因此，默认情况下为了和低版本的BIND服务器兼容，启用了BIND辅助区域选项，此时，本地DNS服务器在进行区域传输时，不采用快速传输格式。

如果是在Windows系统的DNS服务器间进行区域传输或者辅助DNS服务器是BIND 4.94及以上版本，你可以取消此选项。

如果区域数据不正确，加载会失败

默认情况下，此选项被禁用。如果DNS服务器加载区域文件时发现区域数据出现问题，会产生警告错误，但是同样会加载区域文件，当区域数据加载完毕，DNS服务器会尝试使用此有疑问的区域数据来答复DNS客户端的解析请求。

如果你启用此选项，当DNS服务器发现区域数据文件出现问题时，则不会加载此区域文件。

启用循环

此选项确定如果对于客户端的解析请求具有多个匹配的资源记录，DNS服务器是否使用循环法来对答复给客户端的资源记录进行排序。默认情况下启用此选项，即DNS服务器使用循环法。

当 创建资源记录时，在区域中存储此资源记录时会有一个静态顺序，循环法即按照循环顺序来对答复给客户端的资源记录进行排序，从而不同的客户获得不同优先级的 资源记录列表，从而实现一种简单的负载平衡。如果不使用循环法，则DNS服务器将会按照资源记录原始存储顺序来答复客户，所有的客户都将获得相同优先级的 资源记录列表。

例如，针对WinSVR.ORG的Web服务器的FQDN www.winsvr.org，有三个A记录，在区域文件中存储方式如下图所示：

www IN A 10.1.1.1
IN A 10.1.1.2
IN A 10.1.1.3

则当第一个客户请求解析FQDN www.winsvr.org时，DNS服务器会返回默认顺序的资源记录列表；而第二个客户请求解析时，DNS服务器会使用循环法处理资源记录列表，客户端得到的列表为：

www IN A 10.1.1.2
IN A 10.1.1.3
IN A 10.1.1.1

而第三个客户请求解析时，DNS服务器会再次使用循环法进行处理，客户端得到的列表为：

www IN A 10.1.1.3
IN A 10.1.1.1
IN A 10.1.1.2

从而可以实现WinSVR.ORG Web服务器一种简单的负载均衡。

启用网络掩码排序

启 用网络掩码排序是Windows Server 2003的DNS服务器新增的功能。此选项确定如果对于客户端的解析请求具有多个匹配的资源记录，DNS服务器是否使用本地子网优先级排序来作为给出同一 网络上首选IP地址的方法，此功能可以让客户端得到最为接近自己本地网络ID（通常是距离最近的）的资源记录。

DNS服务器按以下方式确定本地子网优先级：

• DNS服务器确定是否需要使用本地子网的优先 级排序。如果有多个资源记录与查询的主机名匹配，则DNS服务器可以按照客户端的子网位置对记录进行排序；如果只有一个资源记录匹配查询的主机名或者发出 解析请求的客户端的IP地址没有与任何匹配的资源记录的网络ID匹配，则不对此列表进行按优先级的排序。

• 如果存在匹配网络ID的资源记录，则DNS服务器决定哪些记录与请求客户端的子网ID匹配。

• DNS服务器重新对答复客户的资源记录列表进行排序，将与请求客户端的本地子网匹配的资源记录排在答复列表的首位，然后将答复列表返回给请求的DNS客户端。

例如，针对WinSVR.ORG的Web服务器的FQDN www.winsvr.org，有三个A记录，在区域文件中存储方式如下图所示：

www IN A 10.1.1.1
IN A 23.1.1.2
IN A 39.1.1.3

如果一个IP地址为23.1.1.3的DNS客户端向DNS服务器查询FQDN www.winsvr.org的IP地址，则DNS服务器通过本地子网优先级排序后返回给DNS客户的答复列表为：

www IN A 23.1.1.2
IN A 10.1.1.1
IN A 39.1.1.3
而针对另外一个IP地址为39.1.1.1的DNS客户端发起的解析请求的的答复列表为：

www IN A 39.1.1.3
IN A 10.1.1.1
IN A 23.1.1.2
而针对另外一个IP地址为61.139.0.1的DNS客户端发起的解析请求的的答复列表为：

www IN A 10.1.1.1
IN A 23.1.1.2
IN A 39.1.1.3

这是因为没有匹配的网络ID，所以DNS服务器返回默认的资源记录列表。

当同时启用启用网络掩码排序和启用循环功能时，启用网络掩码排序的优先级比启用循环功能的优先级更高，此时，启用循环只是作为启用网络掩码排序结果的辅助方式。如果启用网络掩码排序在匹配客户端解析请求的资源记录中的找到匹配客户端子网ID的资源记录，则对其他非匹配的资源记录进行循环排序，否则将对所有匹配客户端解析请求的资源记录进行循环排序。

保护缓存防止污染

默认情况下会启用保护缓存防止污染选 项，此选项允许DNS服务器保护自己的缓存，让它不受到参考答复的影响。当此选项启用时，DNS服务器只是缓存和解析请求所对应的DNS域有关的记录，而 从其他DNS服务器获得的参考答复不会进行缓存。例如，如果我针对FQDN www.winsvr.org发起解析请求，DNS服务器将其转发到上游DNS转发器，而获得了一个参考答复，但是此参考答复是和winsvr.org无 关的，而是和DNS域isacn.org有关，当保护缓存防止污染选项启用时，DNS服务器不会缓存此参考答复，这防止了非法计算机冒充其他服务器给予错误答复的情况。

名字检查

名字检查选项用于设置DNS服务器处理的所有域名的编码方式，默认情况下是多字节（UTF8）。

各种方式的含义如下：

一般情况下，你不需要修改此选项。只有当区域数据复制到的辅助DNS服务器不支持UTF-8字符编码时，你才需要将名字检查方式修改为严格的RFC（ANSI）方式，否则就算辅助DNS服务器可以接收到UTF-8的区域数据，但是却不能将它们写入到本地存储的区域文件中。

至于其他两种方式，非RFC（ANSI）和所有名称，只有当某个应用程序必需时，你才需要配置为这两种方式。

启动时加载区域数据

默认情况下，DNS服务器设置为启动时从Active Directory和注册表中加载区域数据，此时，DNS服务器在初始化服务器时从活动目录数据库和服务器注册表中读取配置信息。你可以选择为从注册表中加载，此时DNS服务器在初始化服务器时从注册表中读取配置信息。

当选择为从文件中 加载时，DNS服务器初始化时和BIND服务器一样，从启动文件中读取配置信息。为了使用这个选项，你首选必需从BIND服务器上复制一个启动文件到本地 DNS服务器上，此启动文件通常命名为Named.boot，并且只能使用BIND 4格式的文件。当DNS服务器初始化时，从启动文件中读取的配置将覆盖从注册表中获取的配置，但是，对于启动文件中没有的配置信息，则使用从注册表中读取 的值。

启用过时记录自动清理

默认情况下，启用过时记录自动清理选项是禁用的，因此，DNS服务器将不会自动删除启用了老化/清理配置的区域中过时的资源记录，当启用此选项时，DNS服务器将按照在清理周期中指定的时间间隔来自动删除启用了老化/清理配置的区域中过时的资源记录。

根提示

根提示标签中包含了%systemroot%System32DnsCache.dns文件中的定义，用于帮助本地DNS服务器解析Internet域名；当你在DNS服务器上部署了根DNS域“.”时，根提示信息会自动删除并禁用。一般情况下，你不需要修改根提示信息；不过当你在内部网络部署私有DNS根域时，可能需要将内部的根DNS服务器添加到根提示信息中。

Internet根DNS服务器的名字和IP地址基本不进行变动，上次的修改是在2002年11月5日。你可以从InterNIC的FTP服务器下载最新的根提示信息，下载地址为：

ftp://rs.internic.net/domain/named.cache

调试日志

调试日志标签允许你记录DNS服务器收发的数据包，用于调试分析。但是由于记录所有的数据包非常耗费系统性能，所有DNS服务器允许你根据数据包方向、传输协议、数据包内容、数据包类型等来选择记录的数据包。

启用调试日志时，必须指定记录数据包的日志文件名和最大文件长度。

事件日志

在安装DNS服务器以后，会在系统的事件日志中创建一个DNS服务器日志，你可以通过事件查看器来查看。事件日志标签用于选择DNS服务器事件日志记录的方式，默认情况下是记录所有事件，你可以根据你的需要进行选择。

监视

监视标签允许你通过两种简单的方法来测试DNS服务器的基本功能。为了完成简单查询，DNS服务器必须能够正确解析针对自己的正向和反向解析请求；而为了完成递归查询，DNS服务器必须能够连接到根提示信息中的根DNS服务器。

你可以配置DNS服务器按照配置的时间间隔自动进行测试，手动测试和自动测试的结果都将显示在测试结果列表框中。

安全

当在域控制器上安装DNS服务器时，会具有安全标签，用于控制用户对于DNS服务器及所属子对象的权限。

管理任务

在DNS服务器管理控制台中右击DNS服务器名，会列出和DNS服务器有关的管理任务，如下图所示：

配置DNS服务器

点击弹出DNS服务器配置向导，你可以通过它轻松的同时完成正向区域和反向区域的创建，如下图所示：

新建区域

点击弹出新建区域向导，你可以通过它创建一个区域，如下图所示：

为所有区域设置老化/清理：点击弹出服务器老化/清理属性对话框，如下图所示：

资源记录的老化/清理设置必须同时在服务器老化/清理属性和区域老化/清理属性中设置方可有效。需要注意的是，在服务器老化/清理属性上的修改会提示你是否将此设置应用到现有的活动目录集成区域，而不会应用到标准主要区域。对于标准主要区域，你需要手动设置区域老化/清理属性，但是，新建标准主要区域时，默认的老化/清理时间间隔会继承服务器老化/清理属性中的设置。

清理过时资源记录

当启用老化/清理配置时，会按照配置中定义的时间间隔自动清理过时的资源记录。你可以点击清理过时资源记录立即开始对过时资源记录的清理。

更新服务器数据文件

在DNS服务器初始化时，它会将区域数据从区域文件加载到内存中，对区域的任何修改都暂时保存在内容中，只有在预定义的更新间隔和DNS服务器服务停止时才会将内存中的修改保存在磁盘上的区域文件中。此命令将使DNS服务器立即将内存的修改保存到磁盘上的区域文件中。

但是，此命令仅对标准主要区域有效。对于活动目录集成区域，你必须使用dnscmd /ZoneUpdateFromDs命令来完成对区域数据文件的更新。

清除缓存

DNS服务器会将获得的解析请求答复缓存起来，默认情况下你无法看到这些缓存的答复。你可以在DNS控制台中选择查看菜单下的高级，此时在DNS服务器名下列出缓存的查找目录，里面包含所有缓存的答复。你可以在缓存的查找用删除单个缓存的答复，而清除缓存命令用于清除缓存的所有答复。

启动nslookup

nslookup是Windows系统中附带的一个用于解析域名的命令行工具，点击此命令用于启动nslookup命令行工具。

DNS区域分为两大类：正向查找区域和反向查找区域，其中

• 正向查找区域用于FQDN到IP地址的映射，当DNS客户端请求解析某个FQDN时，DNS服务器在正向查找区域中进行查找，并返回给DNS客户端对应的IP地址；

• 反向查找区域用于IP地址到FQDN的映射，当DNS客户端请求解析某个IP地址时，DNS服务器在反向查找区域中进行查找，并返回给DNS客户端对应的FQDN。

由于区域类别、区域类型的不同，在DNS服务器上创建区域时的操作也不同。

第一部分 正向查找区域

一、创建正向查找区域

1、创建主要区域

在此我先创建正向主要区域，由于正向区域存储区域数据位置的不同（标准主要区域和活动目录集成主要区域），创建时的步骤也不同。

右击正向查找区域，选择新建区域，

在弹出的欢迎使用新建区域向导页，点击下一步；

（1）创建标准主要区域

在区域类型页，选择主要区域，点击下一步；注意看，下部的在Active Directory中存储区域（只有DNS服务器是域控制器时才可用）选项不可用，因为这台DNS服务器不是域控制器；此时，创建的主要区域即为标准主要区域；

在区域名称页，输入你的DNS区域名称，在此我命名为isacn.org，点击下一步；

在区域文件页，接受默认的区域文件名，点击下一步；标准主要区域的区域文件为文本文件格式，存放在%systemroot%system32dns目录下；

在动态更新页，选择你需要的动态更新方式，在此我接受默认的选择不允许动态更新，点击下一步；

在正在完成新建区域向导页，点击完成，此时，标准的正向主要区域就创建好了。

（2）创建活动目录集成主要区域

在区域类型页，选择主要区域，由于此DNS服务器是域控制器，所以下部的在Active Directory中存储区域（只有DNS服务器是域控制器时才可用）可选并且默认已经选择，此时，创建的主要区域即为活动目录集成区域，点击下一步；

在Active Directory区域复制作用域页，选择DNS区域数据复制的方式，它们之间的区别在于：

至 Active Directory林winsvr.org中所有的DNS服务器：将DNS区域数据复制到活动目录森林中的所有运行在域控制器上的DNS服务器，此选项会将DNS区域数据存储到活动目录中预定义的的ForestDnsZones应用程序分区中，并且在活动目录林中进行复制，复制范围最广；

至 Active Directory域winsvr.org中所有的DNS服务器：将DNS区域数据复制到活动目录域中的所有运行在域控制器上的DNS服务器，此选项是默认选项，会将DNS区域数据存储到活动目录中预定义的DomainDnsZones应用程序分区中，它只会在域范围中进行复制；

至 Active Directory域winsvr.org中所有的域控制器：将DNS区域数据复制到活动目录域中的所有域控制器，而不管这些域控制器上是否运行DNS服务器；

到在以下应用程序目录分区的范围内指定的所有域控制器：你可以创建自定义的应用程序分区，并且指定由哪些域控制器进行复制。如果你已经创建好了应用程序分区，则此选项可选。

复制范围越广，复制引起的网络流量就越大，在选择复制方式时，请根据你的需要进行选择。在此我接受默认的至 Active Directory域winsvr.org中所有的DNS服务器，点击下一步；

在区域名称页，输入区域名称为isacn.org，点击下一步；

在动态更新页，接受默认的只允许安全的动态更新（适合Active Directory使用），这样DNS服务器只允许A记录的拥有者修改此A记录，点击下一步；

在正在完成新建区域向导页，点击完成，此时，活动目录集成区域就创建好了。

2、创建辅助区域和存根区域

除了辅助区域数据不能和活动目录集成外，辅助区域和存根区域的创建步骤是一样的。活动目录集成存根区域和标准存根区域的区别如活动目录集成主要区域和标准主要区域，在此就不多叙述了，下面我以创建辅助区域为例：

右击正向查找区域，选择新建区域，在弹出的欢迎使用新建区域向导页，点击下一步；

在区域类型页，选择辅助区域，点击下一步；注意看，下部的在Active Directory中存储区域（只有DNS服务器是域控制器时才可用）选项不可用，因为辅助区域不能与活动目录集成；

在区域名称页，输入你的辅助区域名称，在此我命名为isacn.org，点击下一步；

在主DNS服务器页，输入获取区域数据的源DNS服务器（称为主服务器）的IP地址，此主服务器可以由管理此主要区域的主DNS服务器或者其他管理相同辅助区域的辅助DNS服务器来担任，你可以输入多个主服务器，在此我输入主DNS服务器的IP地址10.1.1.2，点击添加后再点击下一步；

在正在完成新建区域向导页，点击完成，此时，辅助区域就创建好了。

需要注意的是，此时本地DNS服务器会联系主DNS服务器进行区域复制获取DNS区域数据，你必须在主DNS服务器上允许到此DNS服务器的区域复制，否则此DNS区域无法正常工作。

二、管理正向区域

根据区域类型和区域存储方式的不同，管理DNS区域的方式也不同，在此我根据区域类型来进行介绍：

1、主要区域

活动目录集成主要区域和标准主要区域相比，常规选项不同，并且具有安全标签。

常规

在活动目录集成主要区域的常规标签，你可以暂停和开始区域的运行，并且可以修改区域类型、复制方式和动态更新方式；

而在标准主要区域的常规标签，你可以暂停和开始区域的运行，并且可以修改区域类型、区域数据存储的文件名和动态更新方式，但是不支持安全动态更新。

点击老化按钮可以进入区域老化/清理属性设置，此设置必须和DNS服务器的老化/清理设置共同使用方可生效。

当启用老化时，对于每个动态更新记录，会基于当前的DNS服务器时间创建一个时间戳，当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时，会刷新时间戳。手动创建的资源记录会分配一个为0的时间戳记录，代表它们将不会老化。

无刷新间隔：无刷新间隔是在上次时间戳刷新后，DNS服务器拒绝再次进行刷新的时间周期，这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下，无刷新间隔为7天；

刷新间隔： 刷新间隔是在无刷新间隔后的时候，在这段时间周期内允许DNS客户端刷新资源记录的时间戳，并且资源记录不会被DNS服务器清理。当无刷新间隔和刷新间隔 之后，如果资源记录没有被DNS客户端进行刷新，则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天，这意味着默认情况下动态注册的资源记 录将会在14天后被清理掉。

如果你需要修改这两个参数，请记住以下原则：刷新间隔应该大于或等于无刷新间隔。

起始授权机构（SOA）

起始授权机构（SOA）标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时，它首先通过SOA记录来决定此DNS区域的基本信息和主服务器，如下图所示：

序列号：序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时，此序列号会自动增加。在配置了区域复制时，辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号，如果主服务器上DNS区域的序列号大于自己的序列号，则辅助DNS服务器向主服务器发起区域复制。

主服务器：主服务器包含了此DNS区域的主DNS服务器的FQDN，此名字必须使用“.”结尾。

负责人：指定了管理此DNS区域的负责人的邮箱，你可以修改为在DNS区域中定义的其他RP（负责人）资源记录，此名字必须使用“.”结尾。

刷新间隔： 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时，辅助DNS服务器从主服务器上获取主DNS区域的SOA记录，然后和本地辅助DNS区域的SOA记录相比较，如果值不相同则进行区域传输。默认情况下，刷新间隔为15分钟。

重试间隔：此参数定义了当区域复制失败时，辅助DNS服务器进行重试前需要等待的时间间隔，默认情况下为10分钟。

过期时间：此参数定义了当辅助DNS服务器无法联系主服务器时，还可以使用此辅助DNS区域答复DNS客户端请求的时间，当到达此时间限制时，辅助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。

最小（默认）TTL：此参数定义了应用到此DNS区域中所有资源记录的生存时间（TTL），默认情况下为1小时。此TTL只是和资源记录在非权威的DNS服务器上进行缓存时的生存时间，当TTL过期时，缓存此资源记录的DNS服务器将丢弃此记录的缓存。

注意：增大TTL可以减少网络中DNS解析请求的流量，但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。

此记录的TTL：此参数用于设置此SOA记录的TTL值，这个参数将覆盖最小（默认）TTL中设置的值。

名称服务器

名字服务器标签允许你配置DNS区域的NS资源记录，NS记录用于指定此DNS区域中的权威DNS服务器，默认情况下会包含此DNS区域的主服务器，并且一个区域至少必须具有一个NS资源记录。

和SOA记录一样，你只能在区域属性中对NS记录进行修改，你不能创建NS记录。

WINS

你 可以在WINS标签配置DNS服务器使用WINS查找，此时，当DNS服务器无法解析某个FQDN时，将会使用配置的WINS服务器来查询此FQDN的主 机名；对于正向区域是查询WINS服务器的正向记录，对于反向区域是查询WINS服务器的反向记录；如果在WINS服务器上查询到对应的记录，则DNS服 务器会将此记录复制到此区域中，你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。

区域复制

你可以在区域复制标签中配置是否允许此区域进行区域复制，以及区域复制到的对象，它们之间的区别在于：

到所有服务器：所有服务器都可以从此DNS服务器获取此区域的区域数据；

只有在“名称服务器”选项卡中列出的服务器：只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据；

只允许到下列服务器：只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据；

在Windows 2000中，默认情况下是允许区域复制到所有服务器，这个选项具有安全隐患，所以在Windows Server 2003中，对于标准主要区域，默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中，而对于活动目录集成主要区域，由于通过活动目录进行复 制，默认情况下是不允许区域复制。

你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新，默认情况下此DNS区域更新时，主服务器会通知名称服务器标签中的所有DNS服务器。

当某个标准区域产生以下事件时，将进行通知或初始化区域复制：

• 主DNS区域的SOA记录的刷新间隔过期；

• 辅助DNS服务器启动；此时辅助DNS服务器会联系主服务器获取SOA记录，然后比较本地的SOA记录来决定是否需要区域复制；

• 主服务器上对区域数据进行了修改，则主服务器按照配置来通知辅助DNS服务器。

当 初始化区域复制时，辅助DNS服务器可以从主服务器执行增量区域传输（IXFR）或者完全区域传输（AXFR），运行在Windows Server 2003上的DNS服务器支持IXFR和AXFR。默认情况下，运行在Windows 2000服务器和Windows Server 2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR，此时，只有更新数据才会进行传输；Windows NT服务器不支持IXFR，只能执行AXFR，此时，将会对所有区域数据进行传输。

安全

当在域控制器上安装DNS服务器时，DNS区域的属性中会具有安全标签，用于控制用户对于此DNS区域及所属子对象的权限。

管理任务

主要区域的管理任务如下图所示：

更新服务器数据文件：同DNS服务器的更新服务器数据文件管理任务；

重新加载：重新从本地的区域文件或者活动目录中加载此DNS区域；

新建主机（A）：在此DNS区域中新建主机（A）记录，如下图所示：

其中创建相关的指针（PTR）记录要求本地DNS服务器上具有对应网络ID的反向查找区域，否则会创建失败。

新建别名（CNAME）：在此DNS区域中新建别名（CNAME）记录，如下图所示；在创建别名记录之前，必须已经为需要创建别名的主机创建了A记录。

新建邮件交换器（MX）：新建邮件交换器（MX）记录，如下图所示；在创建邮件交换器记录之前，必须已经为此MX记录所对应的邮件服务器创建了A记录；在主机或子域中输入邮件域名，如果不输入则代表此DNS区域；你可以针对相同的DNS域配置多个MX记录，但是邮件服务器优先级数值越低的MX记录具有越高的优先级。

新建域：新建一个子区域，如下图所示；新建一个子区域后，你可以在子区域中创建其他资源记录包括子区域，和父DNS区域中一样。

新建委派

新建一个区域委派，点击后弹出新建委派向导，在欢迎使用新建委派向导页，点击下一步；

在受委派域名页，输入需要委派的子域，然后点击下一步；

在名称服务器页，输入被委派到的DNS服务器的FQDN和IP地址，然后点击下一步；被委派的DNS服务器上必须具有以被委派的子区域（在此是tech.isacn.org）为域名的主要区域，否则不能正常完成此子区域的DNS解析；

在正在完成新建委派向导页，点击完成；

此时，你可以在DNS管理控制台中看到新建了一个区域委派（灰色目录）。除了修改此委派区域的名称服务器外，你不能对委派区域进行任何操作。

其他记录

除了上述的常用资源记录外，你还可以点击其他记录来创建其他的资源记录类型，如下图所示：选择记录类型后点击创建记录即可。

2、辅助区域

辅助区域和主要区域的属性基本相同，我在此着重介绍不同之处：

常规

在常规标签，你可以暂停和开始区域的运行，并且可以修改区域类型和用于复制区域数据的主服务器地址。主服务器上必须允许了区域复制到此辅助DNS服务器。

辅助区域不能和活动目录集成，因此复制选项不可用；并且也不支持动态更新，因为辅助区域是只读的。

起始授权机构（SOA）

对于辅助区域而言，起始授权机构（SOA）记录是只读的，因此你不能在起始授权机构（SOA）标签进行任何配置，如下图所示：

名称服务器

和起始授权机构（SOA）记录一样，NS记录是只读的，因此你不能在辅助DNS服务器上修改名字服务器，如下图所示：

WINS

你可以在WINS标签配置辅助DNS服务器使用WINS查找，但是由于辅助DNS区域是只读的，所以对于从WINS服务器获得的记录，你只能缓存在本地，而不能将其复制到DNS区域中。

区域复制

你可以在区域复制标签配置将此辅助DNS区域复制到其他辅助DNS服务器，但是默认情况下是不会配置辅助区域的区域复制。

当在域控制器上安装DNS服务器时，辅助DNS区域的属性中会具有安全标签，用于控制用户对于此DNS区域及所属子对象的权限。

和主要区域相比，辅助区域的管理任务只有三项，如下图所示：

重新加载：重新从本地的区域文件中加载此DNS区域；

从主服务器复制：本地辅助DNS服务器获取主服务器的SOA记录，然后和本地的SOA记录比较序列号，如果不同则从主服务器进行区域复制；

从主服务器重新加载：本地辅助DNS服务器直接从主服务器进行区域复制，而不管SOA记录的序列号是否相同。

3、存根区域

存根区域除了区域中包含的资源记录更少外，和辅助区域非常相似，管理任务都是相同的，属性设置中的几个不同之处是：

存根区域的数据可以存放在活动目录中；

存根区域不能执行WINS查找和区域复制；

第二部分 反向查找区域

一、创建反向查找区域

在此我先创建反向主要区域，同样由于存储区域数据位置的不同（标准主要区域和活动目录集成主要区域），创建时的步骤也不同。

1、创建主要区域

右击反向查找区域，选择新建区域，在弹出的欢迎使用新建区域向导页，点击下一步；

（1）创建活动目录集成主要区域

在区域类型页，选择主要区域，点击下一步；由于这台DNS服务器是域控制器，所以下部的在Active Directory中存储区域（只有DNS服务器是域控制器时才可用）选项默认启用；此时，创建的主要区域即为活动目录集成主要区域。

在Active Directory区域复制作用域页，选择DNS区域数据复制的方式，它们之间的区别如正向查找区域中的描述，接受默认选择后点击下一步；

在反向查找区域名称页，输入你想创建DNS区域的网络ID。DNS服务器根据网络ID来存储反向查找区域和进行DNS记录解析的，最小支持C类网络，不过你可以输入A类网络。在此我输入我的本地子网ID 10.1.1，点击下一步；

由于是活动目录集成主要区域，所以在动态更新页默认选择为安全更新，点击下一步；

最后在正在完成新建区域向导页，点击完成，此时活动目录集成的反向主要区域就创建好了。

（2）创建标准主要区域

在区域类型页，选择主要区域，点击下一步；注意看，下部的在Active Directory中存储区域（只有DNS服务器是域控制器时才可用）选项不可用，因为这台DNS服务器不是域控制器；此时，创建的主要区域即为标准主要区域；

在反向查找区域名称页，输入你的网络ID，在此我输入本地子网ID 10.1.1，点击下一步；

在区域文件页，接受默认创建的区域文件名，点击下一步；

在动态更新页，安全更新方式不可选，接受默认设置，点击下一步；

最后在正在完成新建区域向导页，点击完成，此时标准反向主要区域就创建好了。

由于创建反向辅助区域和反向存根区域比较简单，在此我就不再描述了。

二、管理反向查找区域

反向主要区域的管理任务如下图所示，我仅介绍一下主要不同之处：新建指针（PTR）。

指针（PTR）记录用于IP地址到主机名的映射，你可以认为它是和A记录相对的。点击新建指针（PTR）弹出新建资源记录对话框，如下图所示：

首先，在主机IP号栏输入主机的IP地址，然后在主机名来输入主机的FQDN；如果你需要任何经过身份验证的用户修改此PRT记录，则勾选底部的选项，最后点击确定，此时，PTR记录就创建好了。

当你在创建A记录时，可以附带创建对应网络ID的反向查找区域中的PTR指针记录，并且每次修改A记录时，可以同时修改此PTR记录。

当执行nslookup命令行工具时，它会先对配置的DNS服务器执行反向查找，如果没有找到对应的PRT记录则发出警告，如下图所示：

当你配置PTR指针后，就可以消除此警告。

# posted by FT Review @ 3:06 AM