DNS与DHCP的安装与配置课件

DNS和DHCP服务器的

安装与配置

DNS和DHCP服务器的安

装与配置DNS主要作用

DNS服务器用于解析网络计算机名称，它是进行网络访问的前提，否则网络的计算机相互之间不能正确识别DNS查询原理

DNS分为Client和Server，Client扮演发问的角色，也就是问Server一个Domain

Name，而Server必须要回答此Domain

Name的真正IP地址。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的的DNS询问，依此得到答案之后，将收到的答案存起来，并回答客户。

DNS和DHCP服务器的安

装与配置举例

1.客户端向服务器提出查询项目﹔

2.当被询问到有关本域名之内的主机名称的时候﹐DNS服务器会直接做出回答﹔

3.如果所查询的主机名称属于其它域名的话﹐会检查快取Cache,看看有没有相关资料﹔

DNS和DHCP服务器的安

装与配置

4.如果没有发现﹐则会转向root服务器查询﹔

5.然后root服务器会将该域名之下一层授权服务器的位址告知(可能会超过一台)﹔

6.本地服务器然后会向其中的一台服务器查询﹐并将这些服务器名单存到Cache中﹐以备将来之需(省却再向root查询的步骤)﹔

7.远方服务器回应查询﹔

DNS和DHCP服务器的安

装与配置8.若该回应并非最后一层的答案，则继续往下一层查询，直到获的客户端所查询的结果为止﹔

9.将查询结果回应给客户端﹐并同时将结果储存一个备份在自己的快取Cache里面

10.如果在存放时间尚未过时之前再接到相同的查询﹐则以存放于快取记忆里面的资料来做回应。

从这个过程我们可以看出﹐没有任何一台DNS主机会包含所有域名的DNS资料﹐资料都是分散在全部的DNS服务器中﹐而NIC只需知道各DNS服务器位址就可以了。

DNS和DHCP服务器的安

装与配置DNS安装步骤第1步，依次单击“开始/管理工具/配置您的服务器向导”，在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况，若没有发现问题则进入“服务器角色”向导页。

第2步，在“服务器角色”列表中单击“DNS服务器”选项，并单击“下一步”按钮。第3步，打开“选择总结”向导页，如果列表中出现“安装DNS服务器”和“运行配置DNS服务器向导来配置DNS”，则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置。

DNS和DHCP服务器的安

装与配置第4步，系统开始安装、配置与DNS服务器有关的组件，出现“欢迎使用配置DNS服务器向导”对话框，点击“DNS清单”按钮可以查看配置DNS服务器的全部选项，单击“下一步”。第5步，打开“选择配置操作”对话框选择要创建的DNS服务器的查找区域。一般小型网络只需配置正向查找区域，而对较复杂的大中型网络来说则需要同时创建正向查找与反向查找区域，以提高查找效率。最后一项“只配置根提示”，表示此时不配置查找区域，以后再创建，并且这项一般与域控制器一起安装。选择好后单击“下一步”。

DNS和DHCP服务器的安

装与配置第6步，打开“正向查找区域”向导页。提示用户选择是否现在就要创建正向查找区域，选择“是，创建正向查找区域”并单击“下一步”按钮

第7步，打开“区域类型”向导页，“主要区域”是在本服务器中创建一个可以直接更新的区域，“辅助区域”是用于保存在另一个服务器上的区域副本，帮助住区域服务器平衡处理工作，提供容错。如果希望DNS服务器了解它委派给另一个DNS服务器子区域所添加的所有DNS服务器，则选择“存根区域”。选择好后单击“下一步”按钮。

DNS和DHCP服务器的安

装与配置第8步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称(如“”)，若要与域控制器的DNS服务器协同工作，则要输入根域名称，单击“下一步”按钮

DNS和DHCP服务器的安

装与配置第9步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCII文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32.dns”文件夹中。第10步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。为了安全起见，因此点选“不允许动态更新”单选框，单击“下一步”按钮

DNS和DHCP服务器的安

装与配置第11步，此时打开“反向查找区域”，开始创建反向查找区域，当然我们要创建了，因此选择“是，创建反向查找区域”，单击“下一步”。第12步，打开“区域类型”向导页，与正向查找区域一样，选择好后单击“下一步”按钮。第13步，打开“反向查找区域名称”向导页，因为反向查找是从IP地址来解析计算机名，所以要指定反向查找区域的网络ID，将网络ID填好后单击“下一步”按钮第14步，在打开的“动态更新”向导页，与正向查找区域一样，单击“下一步”按钮

DNS和DHCP服务器的安

装与配置第15步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”单选框的选中状态。在IP地址编辑框中键入ISP(或上级DNS服务器)提供的DNS服务器IP地址，单击“下一步”按钮。第16步，单击“完成”按钮，完成DNS服务器的安装。

DNS和DHCP服务器的安

装与配置DNS的安全配置DNS服务器的安全问题DNS的安全隐患描述DNS名称空间

将DNS安全性融入DNS名称空间设计DNS服务器服务

当DNS服务器服务在域控制器上运行时，查看默认DNS服务器服务安全设置，并应用ActiveDirectory安全功能DNS区域

在域控制器上主持DNS区域时，查看默认DNS区域安全设置，并应用ActiveDirectory安全功能DNS资源记录

在域控制器上主持DNS资源记录时，查看默认DNS资源记录安全设置，并应用ActiveDirectory安全功能DNS客户端

控制DNS客户端使用的DNS服务器IP地址

DNS和DHCP服务器的安

装与配置安全配置方法1、保护DNS服务器服务（1）查看并配置影响安全性的默认DNS服务器服务配置A、在DNS服务器上执行开始管理工具DNS。打开DNS控制台，在DNS服务器上右击，选择“属性”选项。B、选择“接口”选项卡，单击“只在下列IP地址”，添加允许侦听的IP地址。C、单击“高级”选项卡，将“保护缓存防止污染”和“禁用递归”选中。

DNS和DHCP服务器的安

装与配置D、选择“根提示”标签，单击“添加”按钮，将指定要添加到该列表的服务器的名称和IP地址输入列表中，（2）在管理域控制器上运行的DNS服务器上随机访问列表（DACL）组或用户名权限Administrators读取、写入、创建所有子对象、特殊权限AuthenticatedUsers读取、特殊权限CreatorOwner特殊权限DnsAdmins完全控制、读取、写入、创建所有子对象、删除子对象、特殊权限DomainAdmins完全控制、读取、写入、创建所有子对象、删除子对象EnterpriseAdmins完全控制、读取、写入、创建所有子对象、删除子对象EnterpriseDomainControllers特殊权限Pre-Windows2000CompatibleAccess特殊权限System完全控制、读取、写入、创建所有子对象、删除子对象

DNS和DHCP服务器的安

装与配置A、在域控制器上以系统管理员身份登录，执行开始管理工具ActiveDirectory用户和计算机，打开管理单元控制台。B、执行查看高级功能，然后在要对其指派、更改或删除权限的对象上右击，在弹出菜单中选择“属性”，在打开的对话框中选择“安全”标签。C、在“组或用户名称”列表中选择组名或用户名，按照适合的权限设置组或用户的权限。如果遇到因权限继承而不能更改时，单击“高级”按钮，打开“Users的高级安全设置”对话框，在其中的“权限”选项卡中选择对应的用户权限选项，然后单击“编辑”按钮重新配置用户权限。

DNS和DHCP服务器的安

装与配置D、如果想去掉从上级目录继承来的权限的权限设置，可取消“Users的高级安全设置”对话框中的“允许父域的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目（A）”复选框。E、如果想要添加配置新用户对象的访问权限，则可在“Users的高级安全设置”对话框中单击“添加”按钮，打开“选择用户、计算机或组”对话框，在其中的“输入对象名称来选择”文本框中直接输入要添加与DNS服务器服务有关的用户或组名，然后单击“确定”按钮即可。

DNS和DHCP服务器的安

装与配置2保护DNS区域（1）配置安全的动态更新。A、在域控制器上的DNS服务器控制台中的DNS名称上右击，弹出的快捷菜单中选择“属性”选项，然后选择“常规”标签。B、在“动态更新”下拉列表框中选择“安全”选项即可。（2）管理ActiveDirectory中存储的DNS区域上的DACL。配置方法与DNS服务器用户权限配置一样。

DNS和DHCP服务器的安

装与配置（3）限制区域传输在域控制器上的DNS服务器控制台的区域属性对话框“区域复制”选项卡中配置，将允许的DNS服务器IP地址添加进去。3保护DNS资源记录保护DNS资源记录也就是对DACL做好适当的设置，配置方法与“保护DNS区域”中的安全动态更新权限配置类似。

DNS和DHCP服务器的安

装与配置4保证DNS客户端的安全（1）客户端使用静态的首选和备用DNS服务器IP地址。（2）控制那些DNS客户端拥有DNS服务器访问权限。

DNS和DHCP服务器的安

装与配置二、配制成DHCP服务器

1.在“管理您的服务器”页中，单击“添加或删除角色”。注意：如果关闭了“管理服务器”页，则可以从“管理工具”中启动“配置您的服务器向导”。如果选择该选项，以下步骤可能会略有不同。2.在出现“配置您的服务器向导”后，单击“下一步”。3.单击“自定义配置”，然后单击“下一步”。4.在“服务器角色”下面，单击“DHCP服务器”，然后单击“下一步”。

DNS和DHCP服务器的安

装与配置5.检查“选择总结”，然后单击“下一步”开始安装。6.在出现“新建作用域向导”后，单击“下一步”定义DHCP作用域。7.对于“名称”，键入“ContosoHQ”。将“描述”保留为空，然后单击“下一步”。8.输入“0”作为“起始IP地址”；输入“54”作为“结束IP地址”。单击“下一步”。9.此时不定义排除。单击“下一步”继续安装。10.要接受默认的“租约期限”，请单击“下一步”。

DNS和DHCP服务器的安

装与配置11.要设置“DHCP选项”，请单击“下一步”。12.在“路由器（默认网关）”屏幕上，键入“”作为“IP地址”，单击“添加”，然后单击“下一步”。13.对于“域名称和DNS服务器”屏幕中的“父域”，键入“”。对于“IP地址”，键入“”，单击“添加”，然后单击“下一步”。14.如果该环境中不使用“WINS服务器”，请单击“下一步”。15.在“激活作用域”中，单击“下一步”。16.单击“完成”两次。17.关闭“管理您的服务器”屏幕。

DNS和DHCP服务器的安

装与配置在DHCP服务器上创建超级作用域在一台DHCP服务器上可以有多个作用域，在同一个物理网段中管理不同的逻辑IP网络。此时，我们可以创建一个超级作用域，把这些作用域作为成员作用域进行管理。同时，在一个DHCP服务器中可以创建多个超级作用域。

DNS和DHCP服务器的安

装与配置创建步骤A、在DHCP服务器控制台中右击DHCP服务器名，在弹出菜单中选择“新建超级作用域”，打开“欢迎使用创建超级作用域向导”对话框。B、单击“下一步”，打开“超级作用域名”向导页，输入一个标识名称。C、单击“下一步”，打开“选择作用域”向导页，选择成员作用域。

D、单击“下一步”，打开向导完成对话框，并按“完成”按钮。注：超级作用域后想把作用域加入的方法：在DHCP服务器控制台中选择打算要加入超级作用域的作用域，执行操作添加到超级作用域。

DNS和DHCP服务器的安

装与配置实验五实验名称：DNS服务器的安装实验目的：1．了解DNS的查询原理。

2．掌握DNS服务器的安装与配置。

3．了解DNS服务器的安全配置。

实验环境：1、两台装windowsserver2003的server，其中一台