DNS服务

DNS介绍

DNS(Domain Name System)是一个用于将域名映射到IP地址的分布式数据库系统，它允许用户使用易记的域名而非复杂的IP，来访问互联网上的计算机和服务。

默认情况下，DNS服务的数据存储在本地磁盘的C:/Windows/System32/dns/中。如果是AD域架构，则DNS数据存储在AD活动目录数据库中。

企业内部搭建DNS服务器的理由

1. 域控制器和身份验证： 在Windows域环境中，DNS是域控制器的基础，它用于身份验证和用户登录。域内计算机和用户通过DNS解析找到域控制器，并使用它进行身份验证。没有DNS服务就不能正常使用Windows域环境。
2. 安全性： DNS服务器还可以用于实施一些安全策略，如域名的屏蔽策略、DNS请求的监测和过滤。
3. DNS缓存： 企业内部DNS服务器可以缓存已解析的域名与IP地址的映射，以减少对根域和TLD服务器的频繁查询，提高域名解析效率。
4. 内部网络管理： 企业内部的DNS服务器可用于管理内部网络的域名解析。通过内部DNS，管理员可以为内部资源(服务器、打印机等)分配易于记忆的域名，并在内部网络中进行统一的命名管理。
5. 统一资源访问： DNS服务器支持统一资源访问，允许企业内的用户通过统一的域名来访问内部和外部的资源，无论是文件共享、应用程序还是网络服务。
6. 内部服务发现： DNS服务还可用于内部服务的发现，如负载均衡、服务发现等。通过DNS，客户端可以找到所需的服务的位置。
7. 网站和应用部署： 企业的DNS服务可用于快速调整网站和应用的部署，例如将流量导向到不同的服务器或云服务。

Windows Server部署DNS服务

1.安装DNS服务器角色

Windows Server服务器管理器中，添加角色和功能，勾选DNS服务器，然后安装即可。

2.配置转发器

安装好后我们配置一个转发器，在我们无法解析某域名，DNS服务器会将该域名交给配置的转发器进行解析。我们指向一个外网DNS服务器，就能够正常访问外网域名了。

从管理工具中单击DNS，打开DNS管理器，右击DNS服务器主机名，然后单击属性，配置一个转发器指向外网DNS服务器，然后保存即可。

3.配置网卡

DNS服务配置好后，我们还需要进行网卡配置，将DNS配置指向我们的DNS服务器，DNS服务器则指向自身IP。

4.测试

上面操作完后，我们就可以通过命令行ping www.baidu.com测试是否能正常解析域名了。

根提示

根提示是DNS服务器中的一组配置，他包含了全球的DNS根域(".")服务器的IP地址信息。这些根域服务器是DNS分层结构的起点，负责指导域名解析请求走向正确的顶级域(TLD)服务器，也就是.com/.cn等顶级域名。

根域服务器是DNS解析器用于引导域名解析过程的出发点。当DNS解析器收到一个域名解析请求，且无法从本地缓存中找到所需的域名映射关系时，它会向根域服务器发起查询，根域服务器会指导它进一步查询相应的顶级域服务器，依次类推，直到找到最终的目标域名的IP地址。

我们搭建了DNS服务器后即便没有做任何配置，DNS服务器也能解析外网域名就是因为有根提示的存在，在配置中默认就配置有根提示的服务器。

DNS区域

DNS服务中存在两种区域，正向查找区域和反向查找区域。正向查找区域负责将域名转化为IP地址，反向查找区域负责将IP地址转化为域名。

正向查找区域介绍

正向查找区域用于将域名转换为相应的IP地址。当用户向DNS服务器请求解析域名时，DNS服务器会首先在正向查找区域中查找相应的记录，以获取与域名相关联的IP地址。

正向查找区域中，我们可以配置各种不同类型的记录，以实现各种不同的需求，以下是一些常见的记录类型：

A记录

A记录是最常见的记录类型，用于将域名映射到IPv4地址。

AAAA记录

AAAA记录类似于A记录，区别在它是将域名映射到IPv6地址。

CNAME记录

CNAME记录用于将一个域名指向另一个域名，创建域名的别名。

MX记录

MX记录用于指定邮件服务器，用于电子邮件的路由。主机记录填写子域名时，通常选择"@"或"mail"。如果使用@，则邮箱地址是xxx@example.com。如果使用mail，邮箱地址会变为 xxx@mail.example.com。

例如：有一个电子邮箱地址alice@example.com 邮件交换记录会将"@example.com"转化为邮箱服务器的域名"mail.example.com"，然后通过查询A记录将该域名转化为IP地址。

SRV记录

SRV记录用于指定提供特定服务的服务器及其端口，它通常用于支持服务发现，通过SRV记录可以找到服务的主机名，然后再通过查询域名A记录得到对应主机的IP。

TXT记录

TXT记录包含文本信息，通常用于存储任意文本数据。它可以用于各种目的，如验证、描述等。

反向查找区域介绍

反向查找区域用于将IP地址映射回域名。它主要用于反向DNS查找，即根据给定的IP地址确定相应的域名。

反向查找区域通常用于网络和系统管理，以便识别连接到网络的设备。管理员可以通过IP地址查找相应的域名，从而了解连接到网络的设备，方便进行对应的网络诊断。我们可以通过nslookup命令进行DNS反查。

正常情况下，反向查找区域中通常只包含PTR记录，PTR记录用于反向DNS查找，允许根据给定的IP地址确定相应的域名：

PTR记录

PTR记录用于反向DNS查找，将IP地址映射回域名，通常在反向查找区域中使用。例如：

1.1.168.192.in-addr.arpa IN PTR host.example.com

在上述示例中，1.1.168.192.in-addr.arpa 是反向查找区域的域名，而PTR记录将IP地址 192.168.1.1 映射回域名 host.example.com。

正向查找区域配置

在DNS管理器中，我们右键正向查找区域然后单击新建区域，根据提示输入一级域名作为区域名称，最后创建即可。区域创建后，我们右键该区域就可以建立对应的记录了。

创建区域后，默认是没有任何解析记录的，如果此时有该域名的解析请求，DNS服务器是不会对其进行解析的。所以如果我们要屏蔽某个域名，直接创建一个该域名的正向查找区域即可。

DNS区域委派

介绍

DNS区域委派是指将子域名的管理权委派给其他DNS服务器。在DNS中域名被组织成层次结构，每个域名对应一个特定的区域。区域委派允许域名的管理者将其子域名或特定区域的管理权委托给其他DNS服务器，以便更有效地管理域名系统。

委派通常发生在域的父级和子级之间。例如，如果您拥有域名example.com，您可以选择将子域名如sub.example.com的管理权委派给另一个DNS服务器。这个被委派的DNS服务器将负责解析和管理与sub.example.com相关的DNS记录。

委派的过程涉及到在上级域的DNS配置中添加指向下级域的NS记录。这样查询下级域的DNS信息时，DNS服务器会知道要查询哪个DNS服务器以获取相应的记录。DNS区域委派提供了更好的域名管理灵活性，允许组织分布式地管理其域名系统，同时减轻了顶级域的管理负担。

配置方法

首先至少要有两台DNS服务器才能进行委派操作。

上级DNS服务器配置

我们先在上级DNS服务器中创建一个正向查找区域，例如：lcn。然后在其下创建一个A记录指向下级DNS服务器。

创建好之后，我们进行新建委派。

我们将子域名的解析委派给dns2服务器，例如：test，也就是test.lcn。但因为dns2服务器还没有配置，所以会有红叉，我们忽视即可。

然后一直下一步到完成即可，NS记录就创建好了。

下级DNS服务器配置

最后在下级DNS服务器中创建对应域名的区域，然后进行配置即可。之后上级DNS服务器收到有关test.lcn的解析请求，都会将其委派给下级DNS服务器进行解析。例如：

可以看到router.test.lcn已经由下级DNS服务器正常进行解析了。

条件转发器

DNS条件转发器是一种DNS服务器配置，它允许网络管理员在DNS解析过程中根据特定的条件将请求转发到指定的DNS服务器。这样的配置可以更灵活地管理DNS解析流量。

条件可以基于域名、域名后缀等因素，使得只有满足特定条件的请求才会被转发。对于满足条件的DNS请求，可以指定一个或多个DNS服务器作为转发目标。这些服务器可能是特定于某个网络、区域或服务提供商的DNS服务器。

举例来说，一个企业可能有多个分支机构，每个分支机构都有自己的DNS服务器。通过配置DNS条件转发器，企业总部的DNS服务器可以将分支机构的域名请求转发到相应的分支机构的DNS服务器，从而实现更有效的解析。

nslookup命令

nslookup(Name Server Lookup)是一个用于查询域名系统(DNS)信息的命令行工具。它通常用于查找特定主机的IP地址或反向查找IP地址对应的域名。

• 查询域名对应的IP地址

  • nslookup example.com - 返回域名的IP地址。

• 查询IP地址对应的域名

  • nslookup 192.168.1.1 - 返回IP地址对应的域名。

• 设置特定的DNS服务器

  • nslookup example.com 8.8.8.8 - 这会指定DNS服务器来查询域名的IP地址。

• 查找邮件服务器的MX记录

  • nslookup -type=mx example.com - 返回域名的邮件服务器(MX记录)信息。

• 查找域名的其他记录类型

  • nslookup -type=record_type example.com - 查询域名的指定类型记录，如ns、cname、txt等。

• 查询DNS服务器的详细信息

  • nslookup -type=ns example.com - 返回域名服务器信息。

DNS容错

服务端要保证多个DNS服务器互相同步。客户端要通过负载均衡访问DNS服务器。

在AD域架构中，同域的DNS服务器会自动进行数据同步。 在工作组中，需要通过主要区域和辅助区域来实现DNS数据同步。

主要区域配置

主DNS服务器创建一个主要正向区域，并创建多台DNS服务器的A记录。

然后右键要同步的任意区域名并选择属性（此处选择local作为需要同步的区域），在名称服务器选项卡中添加刚刚的两个DNS服务器记录。同时要确保"允许区域传送"已开启，默认为开启。

辅助区域配置

在备用DNS服务器中添加正向区域，但是选择添加为辅助区域。

区域名称需要和主要区域名称一致。

然后添加主DNS服务器的IP地址，一直下一步到完成。

创建完成后稍等一会后就会开始同步，我们刷新就能看到同步过来的数据了。