2023年电大形考任务配置DNS服务

实训目的：理解DNS服务的工作原理,掌握配置DＮS服务器和DNS客户机的方法与环节。实训环境:3台服务器、若干台客户机。实训内容：假设你是一家公司的网络管理员，负责管理公司的网络。你的公司希望为内部员工提供完全限定域名的解析服务,从而使员工可以运用完全限定域名访问公司网络中的计算机资源。为此，请你完毕以下工作:①安装三台ＤNS服务器:DNS服务器1、ＤNS服务器2和ＤＮＳ服务器3。②在ＤNS服务器1上针对公司的域名创建一个重要区域（假设公司的域名为：）。③公司有三个部门：销售部（域名为：salｅ.ａ）、培训部(域名为：traｉnｉng．ａbc.cｏm)和技术支持部(域名为：sｕppoｒt.aｂc.cｏm），现在需要在重要区域中为这三个部门分别建立子域。④每个部门有10台计算机，它们的主机名为：server1-sｅrｖeｒ10；它们的IP地址分别为：1９2．168．1.11-1９2.１６８.１.２0（销售部）、192.１６8.1.２1－1９2.168.1．3０(培训部）、１9２.1６8.1.31-１0(技术支持部)。现在需要在每个子域中分别为它们创建Ａ记录并且启用动态更新。⑤为了容错,在DNＳ服务器２上创建辅助区域abc．com。⑥在ＤNS服务器1和ＤNS服务器２上创建无条件转发器，令DNS服务器3承担无条件转发器的角色。一、安装ＤNS服务器在一台ＷiｎｄｏwsＳervｅr20２3Ｒ2计算机上安装ＤNS服务之前,应当保证该计算机具有静态的IＰ参数,也就是说，它的IP地址、子网掩码和默认网关等信息都是手工输入的，而不要向ＤHCＰ服务器获取。这是由于从DＨCP服务器租到的IＰ地址也许会发生变化，这会给ＤNS客户机的设立带来困难。此外，还需要为DNS服务器自身设立一个完全限定域名。管理员通过添加“DNS服务器”角色的方式在一台WｉndowｓＳerver2023R２计算机上安装DＮS服务，其安装环节如下：①以管理员身份登录,打开服务器管理器。②单击【添加角色】按钮。③在“选择服务器角色”窗口中，选中“DＮＳ服务器”复选框,然后单击【下一步】按钮,如图1所示。图1选择角色图２DNS管理控制台④在“DNS服务器”窗口中单击【下一步】按钮。⑤在“确认安装选择”窗口中单击【安装】按钮。⑥安装完毕后，可以单击【开始】→【管理工具】→【DＮS】,打开DNＳ管理控制台来管理DＮＳ服务器,如图2所示。二、以Wiｎｄoｗｓ7计算机为例，安装DＮS客户机①以管理员的身份登录这台计算机。②在桌面上右击“网络”图标，然后单击【属性】,打开“网络和共享中心”。③在如图3所示窗口中,单击【更改适配器设立】。④在如图４所示窗口中，右击“本地连接”，然后单击“属性”。图３更改适配器设立图4本地连接⑤在“本地连接属性”窗口中，选中“Internet协议版本4(TCP/ＩPv4）”，然后单击【属性】按钮。图5“本地连接”的属性图6添加DNS服务器⑥在如图5所示窗口的“常规”选项卡中，选中【使用下面的DNS服务器地址】，然后在【首选DNS服务器】处输入一台ＤNS服务器的IP地址,这表白此计算机将要向这台ＤNＳ服务器发出名称解析请求。若尚有其它ＤＮS服务器可提供服务的话,则可以在【备用DNS服务器】处输入其它ＤNS服务器的ＩP地址。这样，当DNS客户机无法联系到首选DNＳ服务器时，就会与备用DNＳ服务器通信。假如希望指定两台以上的DＮＳ服务器,则可单击图5中的【高级】按钮，然后通过图６中“ＤＮS”选项卡下的【添加】按钮来输入更多DNS服务器的IP地址。DNS客户机会按照顺序依次与这些DＮS服务器通信，直至收到服务器响应为止。三、创建重要区域①单击【开始】→【管理工具】→【DＮS】，然后单击这台DNS服务器,接着右击【正向查找区域】,从快捷菜单中选择【新建区域】,如图７所示。图7新建区域②出现“欢迎使用新建区域向导”画面时，单击【下一步】按钮。③在图8窗口中,选中“重要区域”单选框，然后单击【下一步】按钮。此时,资源记录会被存储在区域文献中。但是，假如该DNS服务器同时还是域控制器的话,则系统默认会选择图8中最下方的【在ActiｖeDirｅｃｔorｙ中存储区域】。此时,资源记录会被存储在活动目录数据库中。也就是说，它是一个ActｉｖｅＤｉrｅctoｒy集成区域。管理员还可以进一步选择如何将其复制到其它也承担DNS服务器角色的域控制器上。图８选择区域类型图9输入区域名称④在图９所示窗口中,输入区域名称（如:ｅfg．com),然后单击【下一步】按钮。⑤在图１0窗口中保存默认的区域文献名,单击【下一步】按钮。假如希望使用一个已有的区域文献，则可先将该区域文献复制到“ｃ:\wｉnｄows\ｓｙｓtem3２\dnｓ”文献夹中（假设WindowsServer202３Ｒ２操作系统被安装在“c:\windows”文献夹中），然后再选中【使用此现存文献】,并输入文献名。⑥在图11窗口中直接单击【下一步】按钮。在后续章节中会介绍动态更新。⑦在“正在完毕新建区域向导”窗口中,单击【完毕】按钮。图10创建区域文献图11设立动态更新⑧在图１２窗口中即可看到刚刚创建的efｇ.cｏm区域。图12新创建的重要区域四、创建资源记录1、创建主机记录（A记录）“主机记录”是指计算机的完全限定域名及其IP地址映射记录,又称为“A记录”（IPv4）或“AAAA记录”(IＰｖ6）。当ＤNS客户机向ＤNS服务器请求这个完全限定域名的ＩP地址时,DNS服务器就可以运用这条主机记录找到相应的IP地址，并且把这个IP地址提供应DＮS客户机。下面,以刚刚创建的eｆ域为例，介绍如何在重要区域中创建一条主机记录,具体的操作环节为:①在如图12所示的窗口中的【正向查找区域】内，右击efg.cｏm域，并选中【新建主机（A或ＡＡAA记录)】。②在如图13所示的窗口中的【名称】内输入计算机的主机名“clienｔ1”，这意味着该计算机的完全限定域名为“cliｅnt1.eｆ”；在【IP地址】内输入计算机的ＩＰ地址“192．168.1.101”。然后，单击【添加主机】按钮。③反复以上环节,可以创建多个主机记录。在图１4窗口中,可以看到创建的所有主机记录。图12新建主机记录图13创建区域文献图14查看主机记录接下来，我们可以在DNＳ客户机上使用Ｐinｇ命令进行测试。如图1５所示，DNS客户机可以通过DNS服务器得知目的计算机clienｔ１.的IP地址是1９２.168．1.１01。图１５使用Pinｇ命令进行名称解析测试2、ＨYPERＬINＫ""＼l"x２"创建别名记录(CNAMＥ记录通常，一台计算机会同时承担多种角色，例如：既是ＤNS服务器又是Ｗｅb服务器。在这种情况下，也许希望用户使用一个名称（如:dnｓ1.efg.cｏm）访问其DＮＳ服务器角色而使用另一个名称（如：.coｍ）访问其Ｗｅb服务器角色。在这种情况下，可以通过创建别名记录（又称为“CNAＭE”记录）来达成目的。假设在DNS服务器上已经创建了dns1.efｇ.cｏｍ的主机记录，那么可认为该主机记录创建一个别名记录.cｏm，具体操作环节为:在如图16所示的窗口中的【正向查找区域】内，右击efg.cｏｍ域,并选中【新建别名（CNAMＥ)】。图16新建别名记录在如图1７所示窗口中的【别名】中输入一个别名，例如:ｗww。然后,通过单击【浏览】，找到与之相应的主机记录ｄns1.ｅｆｇ.cｏm。最后,单击【拟定】按钮。我们可以在ＤNＳ管理控制台中看到所创建的这条别名记录,如图１8所示。以后,无论使用dns１.efｇ.com还是.com,都可以在DNS服务器处解析到相同的IP地址。17设立别名图18查看别名记录3、ＨYPERLINK"＂\ｌ"ｘ３"创建邮件互换器记录(MX记录）当用户发送电子邮件时,该邮件一方面被送至自己的邮件互换器(即:SMTＰ邮件服务器),然后再由此邮件互换器将邮件发送到目的地的邮件互换器。但是，用户的邮件互换器如何得知目的地的邮件互换器的IＰ地址呢?答案是：向DNS服务器查询邮件互换器记录并由此得知邮件互换器的IＰ地址等信息。以图19为例,查询邮件互换器记录的过程如下：①用户１使用邮箱向用户2的邮箱发送一份电子邮件。②该邮件一方面被送到负责aｂc．ｃoｍ域的邮件互换器,然后该邮件互换器以DNS客户机的身份向自己指向的DNS服务器查询负责ｅfg.coｍ域的邮件互换器的IP地址。③假如在该DNS服务器的数据库中存储着负责eｆg．ｃom域的邮件互换器的ＭX记录和Ａ记录,那么DＮS服务器将通过ＭX记录寻找哪一台计算机承担着邮件互换器角色以及该计算机的完全限定域名是什么，然后再通过Ａ记录找到这个完全限定域名所相应的IP地址。这样，ＤNS服务器就可以找到承担邮件互换器角色的计算机ＩＰ地址了，然后再把该邮件互换器的ＩＰ地址信息发送给负责aｂc．com域的邮件互换器。④负责域的邮件互换器把邮件发送给负责efg.cｏm域的邮件互换器。图19查询邮件互换器记录下面介绍如何在DNＳ服务器上创建MX记录。假设负责efg.cｏｍ域的邮件互换器的完全限定域名为sｍtp.efg．ｃｏm,其IP地址为19２.１68.1.240。一方面，需要在DNS服务器上创建这条Ａ记录,以便通过这个完全限定域名找到其IＰ地址。然后,需要在DＮS服务器上创建MＸ记录,以表白这个完全限定域名相应的计算机承担着邮件互换器角色。创建MX记录的环节为：在如图20所示的窗口中的【正向查找区域】内,右击域，并选中【新建邮件互换器（ＭX）】。在如图21所示窗口中的【主机或子域】处保存空白，这意味着该邮件互换器负责的域名与该域同名（即：efｇ.cｏm）；假如在此处输入tｒaiｎinｇ,则表达该邮件互换器负责的域名为:ｔｒainｉng.efｇ.ｃom。然后，单击【浏览】,找到与之相应的主机记录smtp.eｆg.ｃom。最后,单击【拟定】按钮。图20新建邮件互换器记录图2１查看别名记录在图22中,可以看到刚刚创建的MX记录。图22查看MX记录五、创建和委派子域1.创建子域为了管理efg．ｃom域中的子域,管理员可以直接在efg.coｍ区域内创建子域,然后把相关的资源记录存放到此子域内。由此可见,这些子域及其资源记录仍然存储在管理域的DNS服务器内。图２3创建子域图2４在子域中创建资源记录下面举例说明如何在efg.cｏm域内创建一个子域sａles。如图２3所示，右击正向查找区域ｅfｇ.com→新建域→在【请输入新的DＮS域名】中输入子域名称“ｓalｅs”→单击【拟定】按钮。然后，可以继续在ｓaｌes子域中创建Ａ记录、CNAMＥ记录和ＭX记录等，如图2４所示。在图中,由于主机名www创建在sales子域中而ｓaｌes子域又创建在efｇ.ｃｏm域中,因此其完全限定域名为.eｆ。当然，也可以在sales子域中继续创建子域。2.委派子域为了管理efg．cｏｍ域中的子域,管理员除了可以直接在eｆg.ｃｏm区域内创建子域外，还可以把子域委派给其它DNS服务器来管理,也就是说，此子域内的资源记录存储在被委派的DＮＳ服务器内。这样，可以有效提高ＤＮS区域的管理效率。如图2５所示，假设ＤNＳ服务器1(FQDN：dns1.ｅfｇ.ｃom)所管理的区域为efｇ.com,并且此区域内包含了多个子域(如:salｅs.efg.cｏm、hr.efg.cｏｍ等)。出于提高管理效率和减少所占磁盘空间等方面的因素，ＤNS服务器1的管理员希望把该重要区域内的hｒ.子域委派给DNS服务器2(FQＤN:dnｓ2．ｈr．efｇ.ｃｏm）,然后由DNS服务器２的管理员在ＤNS服务器2上针对该子域创建重要区域并对其进行管理。图25委派子域实例当子域委派完毕后，假如DＮＳ客户机查询hr.ｅfｇ.com子域中的记录时,其环节如下:①DNＳ客户机向自己的DNS服务器1发出查询.efg.ｃom的IP地址请求。②由于DＮＳ服务器1已经把ｈｒ.efg.coｍ子域委派给了DNS服务器２,所以DNS服务器１的数据库中没有此资源记录。但是,DNS服务器1从该完全限定域名的后缀“ｈr.ｅfg．coｍ”得知这条资源记录应当在hr.efｇ．coｍ子域中,而该子域已经被自己委派给了DNS服务器2，所以它会把该记录的查询请求转发给DＮS服务器２（此查询为迭代查询)。③ＤNS服务器2在自己的数据库中找到.efg.coｍ的IP地址，然后把该IＰ地址发送给DNS服务器1。DNＳ服务器1把该ＩP地址发送给DＮS客户机。这样,DＮＳ客户机就运用这种委派关系间接地从ＤNＳ服务器2处解析到了目的计算机的ＩＰ地址。下面以图25为例来委派子域，具体环节如下:在DNS服务器1上创建重要区域eｆｇ.com。在如图26所示窗口中的【正向查找区域】内，右击eｆｇ.cｏm域，并选中【新建委派】。图２6新建委派图27输入委派的域名在“欢迎使用新建委派向导”窗口中，单击【下一步】按钮。在如图27所示窗口中的【委派的域】中输入“ｈｒ”,然后单击【下一步】按钮。这表白要把ｅfg．com中的子域hr委派给其它ＤNS服务器。在如图28所示窗口中，单击【添加】,然后在“新建名称服务器记录”窗口的【服务器完全限定的域名(FＱＤN）】中输入DNＳ服务器2的名称：dns２．hr.efg.ｃｏm,在【IP地址】处输入器IＰ地址：１92．168.１.105。这表白把hｒ.efｇ.cｏm子域委派给了ＤNS服务器２。然后，单击【下一步】按钮。图28新建名称服务器记录图2９查看被委派的子域在“正在完毕新建委派向导”窗口中,单击【完毕】按钮。在如图２9所示窗口中，可以看到被委派的子域，其中只有一条类型为“名称服务器(NＳ)”的资源记录。该登记表白管理hr.efｇ．com子域的DＮS服务器是dns2.hr．eｆ。当DNＳ服务器1收到查询ｈr.efg.ｃoｍ内的记录的请求时,它会向ＤNS服务器dｎs2.hｒ.efg.cｏm查询。在DNＳ服务器1上委派子域后，DNS服务器2的管理员需要在自己的计算机上创建名为“ｈ”的重要区域,接着可以在这个区域中继续建立资源记录。显然，所有资源记录中的完全限定域名的后缀均为hr.eｆg.ｃom。六、创建辅助区域辅助区域用来存储一个区域(重要区域或辅助区域)的副本记录，这些记录只能通过区域传送的方式从其主DNS服务器那里复制过来，因而是只读的、不能修改。下面以图8-３7所示实例来介绍如何创建辅助区域。我们将在DNＳ服务器2上创建一个辅助区域efg.coｍ,该区域是从DNS服务器1那里通过区域传送而复制过来的。请先在ＤNS服务器1的eｆg.coｍ域中为DNＳ服务器2创建一条A记录(FQDN:；IP地址:19２．168.1.１02）,以便于DNS服务器1可以找到ＤNS服务器2。然后，安装DNS服务器2,将其FQＤＮ设立为：dnｓ2.efg．com，IＰ地址设立为：１92.１68.１.１０2。图30辅助区域实例创建辅助区域的操作环节为:在DNＳ服务器1上创建重要区域efｇ.com。②设立该区域允许被复制到其它DNS服务器上。为此,在DNS服务器1上右击efｇ．com区域,然后选择【属性】→【区域传送】，在如图31所示的对话框中选择【到所有服务器】,或者选择【只允许到下列服务器】并输入DＮS服务器２的IP地址。③在DＮS服务器2的DNS控制台上，右击【正向查找区域】→选中【新建区域】。在“欢迎使用新建区域向导”窗口中，单击【下一步】按钮。如图３2所示,在“区域类型”窗口中选中【辅助区域】，然后单击【下一步】按钮。图31设立“允许区域复制”图32新建辅助区域如图33所示,在【区域名称】中输入ｅ,然后单击【下一步】按钮。图33输入辅助区域名称图3４输入主ＤNＳ服务器的ＩP地址⑦在图34所示窗口中的【IP地址】处,输入ＤNS服务器1的IP地址：192.1６8.1.1０1。这表达要从ＤNS服务器1处复制efｇ.ｃoｍ区域，然后单击【下一步】按钮。⑧在“正在完毕新建区域向导”窗口中,单击【完毕】。⑨创建完毕后，可以在DNS控制台上看到该辅助区域,如图35所示。从中可以看到与重要区域相同的资源记录。图35查看辅助区域七、动态更新设立1.ＤNＳ服务器的动态更新设立为了启用DNS服务的动态更新功能，一方面需要在ＤNＳ服务器上进行动态更新的设立。由于动态更新的对象是资源记录而资源记录存储在DＮS区域中,所以管理员在ＤNS服务器上必须对特定的DNＳ区域启用动态更新功能。例如：假如需要对efg．coｍ域启用动态更新功能，那么应当在DＮS管理控制台上右击efｇ.ｃoｍ域→属性→在【动态更新】中选中“非安全”,如图36所示。图３６在DNS服务器上设立动态更新2．DＮS客户机的动态更新设立在DNS服务器上启用动态更新后，还需要在DNS客户机上进行动态更新设立。一旦在DNＳ客户机上启用了动态更新，那么它会在以下几种情况下向自己的ＤNS服务器发出动态更新请求:●DＮＳ客户机的IP地址更改、添加或删除。●DＨＣP客户机更新租约,例如：重新启动或运营iｐcｏｎfig/renew命令。●在DHCP客户机上运营ipcｏnfig／reｇｉstｅrｄns命令。●域成员服务器升级为域控制器(更新与域控制器有关的资源记录）。以Wｉndows7客户机为例,设立动态更新的环节为:在桌面上右击“网络”图标，单击【属性】→单击【更改适配器设立】,右击“本地连接”→单击【属性】→单击【Internet协议版本４(TＣＰ/ＩPv4)】→单击【属性】→单击【高级】→在如图３7所示窗口中，选中【DNS】选项卡。图37在DNS客户机上设立动态更新默认时,【在ＤＮＳ中注册此连接的地址】选项被选中。这意味着，DＮS客户机已经启用了动态更新功能,它会将其完全限定域名与IP地址注册到ＤNS服务器内。其中，DNS客户机的完全限定域名的设立环节为:在桌面上右击“计算机”，单击【属性】→单击【更改设立】→在“系统属性”窗口中单击【更改】,在如图38所示窗口中的【计算机名】处设立该计算机的主机名(例如，该计算机的主机名为“cliｅｎt1”），然后单击【其他】按钮，接着在【此计算机的主ＤNS后缀】处输入该计算机的主DNS后缀(例如，该计算机的主DNＳ后缀为“test.cｏm”）。设立完毕后,该计算机的完全限定域名由“计算机名”与“主DNS后缀”两部分组成。例如,图中计算机的完全限定域名为“cｌient1．”。图38在DNＳ客户机上更改主DＮS后缀在图3８中假如选中【在域成员身份变化时,更改主DNS后缀】，则表达若这台计算机加入活动目录域中,系统会自动用活动目录域的名称代替该计算机原有的主DNS后缀。例如,若图中的计算机加入到名为“aｂｃ.com”的活动目录域,那么该计算机的完全限定域名就变为了“clｉｅｎｔ１.abc.ｃｏm”。在设立完动态更新后，我们可以在该DNS客户机所指向的DNS服务器上看到该客户机所注册的A记录，如图３9所示。假如该DＮＳ客户机的IP地址发生了变动，那么在该窗口中可以看到它的A记录也会随之更新。图39在DNS服务器上查看DNS客户机的动态更新记录八、根提醒在Iｎｔernet上，所有维护根域“．”的DNS服务器被称作“根DＮS服务器”。通常,在每一台DNS服务器上都有一个“根提醒”,用于存放这些根DNS服务器的完全限定域名及其ＩP地址信息。管理员可以在DNS控制台上右击该DNS服务器的名称→单击【属性】→单击“根提醒”选项卡，在如图40所示窗口中查看和修改根提醒信息。图40查看根提醒信息那么,根提醒有什么用呢?我们知道,所有的完全限定域名都在根域中，所以根域中的所有主机记录理应存储在这个区域中。但是，这是不现实的。因此，Interｎeｔ上维护根域的根ＤNS服务器会把根域中的某些子域委派给其它DNS服务器,例如:如图4１所示,维护根域的DNS服务器１会把子域“ｃｏm”委派给DNS服务器2;接着，DNＳ服务器２会再把自己的子域（如:ａbｃ.ｃoｍ)委派给DNＳ服务器３；然后,DNＳ服务器3会再把自己的子域(例如:ｓaｌe.abｃ.coｍ)委派给DNS服务器4，以此类推。在Ｉnｔernet上，DＮＳ服务器之间就是通过这种有层次的委派关系建立起联系的。图4１Iｎｔernｅt上的区域委派关系在这种情况下,当一台ＤNS客户机向自己的DＮS服务器发出完全限定域名的解析请求（例如:查询“ftp.sale．ａbc.cｏm”)时，假如这台DNＳ服务器在自己的数据库中找不到相应的主机记录,那么它可以把这个解析请求发送给Ｉｎtｅrnｅｔ上的根DNS服务器(即:图中的DNS服务器１）。作为应答，根DNS服务器会把管理“com”域的ＤNS服务器(即:图中的DNS服务器2）的ＩP地址交给这台DNS服务器,让它向ＤNS服务器2进行查询。接着,这台DNS服务器会把这个解析请求发送给ＤＮS服务器2。作为应答，DNS服务器２会把管理“aｂ”域的ＤNS服务器（即:图中的ＤNＳ服务器３)的IP地址交给这台DNS服务器,让它向DNＳ服务器３进行查询。然后，这台DNS服务器继续把这个解析请求发送给DNS服务器3。作为应答，DNS服务器3会把管理“ｓａle.abｃ．com”域的DＮＳ服务器(即：图中的DNＳ服务器4)的IP地址交给这台DNS服务器,让它向DNS服务器4进行查询。最后，这台DNS服务器会把解析请求发送给DＮS服务器4,从那里解析到了“ｆtp.sale.ａbc.cｏｍ”所相应的IP地址，并且把这个IＰ地址作为应答交给提出请求的DＮS客户机。从中可以看出,只要这台DＮS服务器可以把解析请求发送给Internet上的根DNS服务器，便可以通过层层查询找到最终答案。这就是在ＤNＳ服务器上设立根提醒的因素。在这种情况下,当这台ＤNS服务器自己无法解析完全限定域名时,会根据【根提醒】中的信息把这个解析请求发送给Internet上的根DNS服务器,然后通过层层查询，最终找到对的答案。九、转发器如前所述，当DＮＳ服务器收到DNS客户机的解析请求后，假如自己无法解析,那么会根据根提醒信息把这个请求发送给Ｉｎtｅrnet上的根DNＳ服务器。但是从安全角度考虑，也许在公司的防火墙处设立仅允许一台DNS服务器与根DNS服务器通讯,而