DNS的部署與安全（五個實驗帶你了解DNS服務）

文章目錄

• • 1、DNS
  • 2、域名組成
  • • • 2.1、域名組成概述
      • 2.2、域名組成
  • 3、監聽端口
  • 4、DNS解析種類
  • • • 4.1、按照查詢方式分類：
      • 4.2、按照查詢類容分類：
  • 5、DNS伺服器搭建過程（五個實驗）
  • 6、客戶機域名請求解析順序
  • 7、DNS伺服器處理域名請求的順序
  • 8、清除DNS緩存
  • • • 8.1、客戶機上清除緩存
      • 8.2、伺服器上清除緩存
  • 9、域名解析記錄類型
  • 10、DNS伺服器分類
  • • • 域名和IP ==可以== 是多對多的關系

1、DNS

Domain Name System：域名系統

作用：為客戶機提供域名解析服務

2、域名組成

2.1、域名組成概述

如“www.sina.com.cn”是一個域名，從嚴格意義上來講，“sina.com.cn”才被稱為域名（全球唯一），而“www”是主機名。

“主機名.域名”稱為完全限定域名（FQDN）。一個域名下可以有多個主機，域名全球唯一，那麼“主機名.域名”肯定也是全球唯一的。

以“sina.com.cn”為例，一般管理者在命名其主機的時候會根據其主機的功能而命名，比如網站的是www，部落格是blog，論壇的是bbs，那麼對應的FQDN就是www.sina.com.cn,blog.sina.com.cn,bbs.sina.com.cn.這麼多個FQDN，我們隻需申請一個域名“sina.com.cn”即可。

2.2、域名組成

根域名    .
頂級域名
    國家頂級域名  cn（中國）、us（美國）、uk（英國）、jp（日本）
    通用頂級域名  com（公司企業）、net（網絡服務機構）、org（民間非盈利機構）、int（國際組織）、gov（美國的政府部門）、mil（美國軍事部門）
二級域名
三級域名
...


如：www.baidu.com.
.為根域名
.com為頂級域名
baidu為二級域名
www為主機名

           

3、監聽端口

UDP53、TCP53

4、DNS解析種類

4.1、按照查詢方式分類：

客戶機與本地DNS伺服器（LDNS）之間一般使用遞歸查詢

LDNS（Local DNS）與根等其他DNS伺服器的解析過程一般使用疊代查詢

本地域名伺服器：是主機直接指向的那台伺服器，不是部署在本地的伺服器！

根域名伺服器目前隻有13台

緩存伺服器：建立的域名伺服器沒有設定轉發器也沒有緩存，當有查詢請求時就會通路根域名伺服器進行查詢，查詢到結果後建立緩存再将結果傳回給客戶機，可以将緩存的保留時間設長一點，這種伺服器一般稱為緩存伺服器。

1）遞歸查詢：如果主機所詢問的LDNS不知道被查詢的域名的IP位址，LDNS就以DNS客戶的身份，向其他根域名伺服器繼續發出查詢請求封包（替主機繼續查詢），而不是讓主機自己進行下一步查詢。
           遞歸查詢傳回的結果要麼是所要查詢的IP位址，要麼是報錯，表示無法查詢到IP，所問即所答
2）疊代查詢：當根域名收到本地域名伺服器發出的疊代查詢請求封包時，要麼給出所要查詢的IP位址，要麼告訴LDNS：“你下一步應當向哪一個域名伺服器進行查詢”，然後讓本地域名伺服器進行後續查詢。
           所問非所答
           

4.2、按照查詢類容分類：

1）正向解析：已知域名，解析IP

2）反向解析：已知IP，解析域名

5、DNS伺服器搭建過程（五個實驗）

實驗一：正向解析

1）伺服器首先得固定IP，然後安裝DNS服務插件

有的人會跳出這個視窗，原因是把光驅的盤符改了，我原來是預設D：，我将它改成E：了，系統不知道我改名字了，然後就加載不到檔案。

解決方法：将檔案路徑改為E:\i386即可完成安裝

安裝完成後發現端口号已打開

這時候這台DNS伺服器就可以使用了，因為根域名伺服器的IP預設是每台DNS伺服器都有的，找不到直接請求根就可以了（伺服器得連接配接網絡才能找到根）。

2）建立一個區域檔案

打開DNS服務插件

右鍵—建立主機記錄也就是A記錄（正向解析記錄）

添加成功

打開客戶機進行驗證，首先将客戶機的DNS指向我們自己搭建的伺服器

然後打開cmd視窗，輸入nslookup www.baidu.com進行檢視，是不是成功了

注意：有些人不能成功可能是緩存的問題

解決方法：

ipconfig /flushdns：清理緩存

真實機裡解析一下試試，發現不是從權威伺服器響應的，我們自己配置的就是作為權威伺服器的，是以沒有這個提示

通過

ipconfig /displaydns

指令可以檢視緩存記錄

實驗二：反向解析

我們發現實驗一的真實機和虛拟機傳回的東西不一樣，這是為什麼呢？

因為客戶機在查詢的時候會先問伺服器的名字叫什麼（通過伺服器的IP查找域名，而我們沒有配置反向解析），伺服器自然不會搭理他，他就不知道伺服器的名字，隻能把解析後的IP帶回來了

在正向查找區域右鍵—建立主機記錄勾選PTR記錄（反向解析記錄）

添加成功

在反向查找區域右鍵—建立區域

直接下一步直到完成，右鍵—建立指針PTR

完成

打開客戶機進行驗證，成功！

實驗三：轉發器

再開一台伺服器，設定為qq.com的權威DNS伺服器，IP為：192.168.0.32，步驟就省略了，參考實驗一

然後利用客戶機通路，發現無法通路，因為我們設定的DNS伺服器不是qq.com的域名伺服器

解決方法：設定轉發，baidu.com找不到，就去qq.com裡找

再次查詢，成功！

實驗四：輔助DNS伺服器

将實驗三的qq.com區域删了，重新建立新區，這次注意選擇輔助區域

選擇要複制的伺服器的IP，我們就選擇baidu.com這台伺服器

在baidu.com這個區上設定允許區域複制

回到備份伺服器上重新整理

這樣如果第一台伺服器崩了，還可以使用這台備用的！

實驗五：别名

注意：别名是給域名起的别名

這時候，通路waw.baidu.com實際上就是通路www.baidu.com

注意：做實驗時記得清理緩存

6、客戶機域名請求解析順序

DNS緩存---本地hosts檔案---找本地DNS伺服器
           

7、DNS伺服器處理域名請求的順序

DNS高速緩存---本地區域解析檔案---轉發器---根
           

8、清除DNS緩存

8.1、客戶機上清除緩存

ipconfig /flushdns
           

8.2、伺服器上清除緩存

9、域名解析記錄類型

• A記錄—正向解析記錄
• CNAME記錄—别名
• PTR記錄—反向解析記錄
• MX—郵件交換記錄
• NS—域名伺服器解析

10、DNS伺服器分類

• 主要名稱伺服器（權威）
• 輔助名稱伺服器（備份）
• 根名稱伺服器（13台）
• （高速）緩存伺服器

域名和IP 可以 是多對多的關系

一個IP可以有多個域名，比如實驗五起别名

至于一個域名可以有多個IP是怎麼回事呢？

比如實驗四備份伺服器

我們都知道可以有很多伺服器都是提供同一個服務的，這樣我們就可以将它們的IP設定一個域名可以輪尋，就是通過域名再找IP的話，就可以在這些伺服器選出一個進行域名解析，這樣在客戶機看來，每次查詢同一個域名，傳回的可能不是同一個IP，看起來就是多對多了

但是記住同一個時刻一個域名隻能對應一個IP！！！