DNS是什么？

简介DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP 地址，并具有将域名转换为IP 地址功能的

简介

DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP 地址，并具有将域名转换为IP 地址功能的服务器。其中域名必须对应一个IP 地址，而IP 地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP 地址的过程就称为“域名解析”。在Internet 上域名与IP 地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP 地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS 就是进行域名解析的服务器。 DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的

查询头位。

解析通常需要遍历多个名称服务器，找到所需要的信息。然而，一些解析器的功能更简单地只用一个名称服务器进行通信。这些简单的解析器依赖于一个递归名称服务器（称为“存根解析器”），为他们寻找信息的执行工作。

服务器

提供DNS 服务的是安装了DNS 服务器端软件的计算机。服务器端软件既可以是基于类linux 操作系统，也可以是基于Windows 操作系统的。装好DNS 服务器软件后，您就可以在您指定的位置创建区域文件了，所谓区域文件就是包含了此域中名字到IP 地址解析记录的一个文件，如文件的内容可能是这样的：primary name server = dns2（主服务器的主机名是 ） serial = 2913 （当前序列号是2913。这个序列号的作用是当辅域名服务器来copy 这个文件的时候，如果号码增加了就copy ）

refresh = 10800 (3 hours) （辅域名服务器每隔3小时查询一个主服务器）

retry = 3600 (1 hour) （当辅域名服务试图在主服务器上查询更新时，而连接失败了，辅域名服务器每隔1小时访问主域名服务器）

expire = 604800 (7 days) （辅域名服务器在向主服务更新失败后，7天后删除中的记录。） default TTL = 3600 (1 hour) （缓存服务器保存记录的时间是1小时。也就是告诉缓存服务器保存域的解析记录为1小时）

3服务器搭建

设置类别

您可以把DNS 服务器配置成以下3类之一：

1．主DNS 服务器。

2．辅DNS 服务器。

3．缓存DNS 服务器。

注册

现在只要在域名注册商或服务商注册域名，DNS 都是免费。

（1）条件：要更改为合法的DNS 。

如果要查询DNS 是否为合法的DNS ，请点击：DNS 查询界面

输入DNS 服务器的名称或者IP 地址，选中第三个选项Nameserver ，查询如果查询出有DNS 注册的信息，如注册商，名称对应的IP 地址，则这个DNS 是合法的。

（2）修改方法：通过具有条件的公司注册的国际域名变更DNS ：用户可通过和提供服务的该公司进行协商(大致步骤为:提出申请并提交相关材料后该业务公司会在48小时左右完成变更) 。

国际英文域名、国内英文域名可以修改DNS ，这项服务是免费的。

使用免费的DNS

国内外有不少提供免费DNS 服务的提供商，其中国内著名的有IIDNS ，DNSPod 和OpenDns 等。

DNS 解析故障

简介

一般来说像我们访问的地址都叫做域名，而众所周知网络中的任何一个主机都是IP 地址来标识的，也就是说只有知道了这个站点的IP 地址才能够成功实现访问操作。

不过由于IP 地址信息不太好记忆，所以网络中出现了域名这个名字，在访问时我们只需要输入这个好记忆的域名即可，网络中会存在着自动将相应的域名解析成IP 地址的服务器，这就是DNS 服务器。能够实现DNS 解析功能的机器可以是自己的计算机也可以是网络中的一台计算机，不过当DNS 解析出现错误，例如把一个域名解析成一个错误的IP 地址，或者根本不知道某个域名对应的IP 地址是什么时，我们就无法通过域名访问相应的站点了，这就是DNS 解析故障。

出现DNS 解析故障最大的症状就是访问站点对应的IP 地址没有问题，然而访问他的域名就会出现错误。

解决步骤

（1）用nslookup(网路查询) 来判断是否真的是DNS 解析故障：

要想百分之百判断是否为DNS 解析故障就需要通过系统自带的NSLOOKUP 来解决了。 第一步：确认自己的系统是windows 2000和windows xp 以上操作系统，然后通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步：输入nslookup 命令后回车，将进入DNS 解析查询界面。

第三步：命令行窗口中会显示出当前系统所使用的DNS 服务器地址，例如笔者的DNS 服务器IP 为202.106.0.20。

第四步：接下来输入你无法访问的站点对应的域名。假如不能访问的话，那么DNS 解析应该是不能够正常进行的。我们会收到DNS request timed out，timeout was 2 seconds的提示信息。这说明我们的计算机确实出现了DNS 解析故障。

小提示：如果DNS 解析正常的话，会反馈回正确的IP 地址。

（2）查询DNS 服务器工作是否正常：

这时候我们就要看看自己计算机使用的DNS 地址是多少了，并且查询他的运行情况。 第一步：通过“开始->运行->输入CMD”后回车进入命令行模式。

第二步：输入ipconfig /all命令来查询网络参数。

第三步：在ipconfig /all显示信息中我们能够看到一个地方写着DNS SERVERS ，这个就是我们的DNS 服务器地址。例如笔者的是202.106.0.20和202.106.46.151。从这个地址可以看出是个外网地址，如果使用外网DNS 出现解析错误时，我们可以更换一个其他的DNS 服务器地址即可解决问题。

第四步：如果在DNS 服务器处显示的是自己公司的内部网络地址，那么说明你们公司的DNS 解析工作是交给公司内部的DNS 服务器来完成的，这时我们需要检查这个DNS 服务器，在DNS 服务器上进行nslookup 操作看是否可以正常解析。解决DNS 服务器上的DNS 服务故障，一般来说问题也能够解决。

（3）清除DNS 缓存信息法：

第一步：通过“开始->运行->输入CMD ”进入命令行模式。

第二步：在命令行模式中我们可以看到在ipconfig /?中有一个名为/flushdns的参数，这个就是清除DNS 缓存信息的命令。

第三步：执行ipconfig /flushdns命令，当出现“successfully flushed the dns resolver cache”的提示时就说明当前计算机的缓存信息已经被成功清除。

第四步：接下来我们再访问域名时，就会到DNS 服务器上获取最新解析地址，再也不会出现因为以前的缓存造成解析错误故障了。

（4）修改HOSTS （主机）文件法：

第一步：通过“开始->搜索”，然后查找名叫hosts 的文件。

第二步：当然对于已经知道他的路径的读者可以直接进入c:windowssystem32driversetc目录中找到HOSTS 文件。如果你的系统是windows 2000，那么应该到c:winntsystem32driversetc目录中寻找。

第三步：双击HOSTS 文件，然后选择用“记事本”程序将其打开。

第四步：之后我们就会看到HOSTS 文件的所有内容了，默认情况下只有一行内容“127.0.0.1 l ocalhost”。（其他前面带有#的行都不是真正的内容，只是帮助信息而已）

第五步：将你希望进行DNS 解析的条目添加到HOSTS 文件中。具体格式是先写该域名对应的IP 地址，然后空格接域名信息。

第六步：设置完毕后我们访问网址时就会自动根据是在内网还是外网来解析了。[2] DNS 查询

查询方法

DNS 查询可以有两种解释，一种是指客户端查询指定DNS 服务器上的资源记录（如A 记录），另一种是指查询FQDN 名的解析过程。

一、查询DNS 服务器上的资源记录

您可以在Windows 平台下，使用命令行工具，输入nslookup ，返回的结果包括域名对应的IP 地址（A 记录）、别名（CNAME 记录）等。除了以上方法外，还可以通过一些DNS 查询站点如国外的国内的 查询域名的DNS 信息。

二、FQDN 名的解析过程查询

若想跟踪一个FQDN 名的解析过程，在Linux Shell 下输入dig www trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。

GeniePro DNS 应对DNS 劫持和DNS 缓存中毒攻击

的关键性机制：一致性检查

每个Geniepro 节点将自身的DNS 记录发送给工作组内其他节点请求一致性检查； 每个Geniepro 节点将自身的记录与收到的记录进行比较；

每个Geniepro 工作组的通信协调节点将获得的DNS 记录更新发送给其他组的通信协调节点请求一致性检查；

每个Genipro 工作组的通信协调节点向上一级DNS 服务器请求更新记录并与收到的其他通信协调节点的记录进行比较。

一致性仲裁

如果一致性检查发现记录不一致情况，则根据策略（少数服从多数、一票否决等）决定是否接受记录的变化 根据结果，各Geniepro 节点将自身记录进行统一 通信协调节点选举 选举出的通信协调节点在任期内具有更新组内节点的权限 选举过程满足不可预测性和不可重复性DNS 资源记录 如前所述，每个 DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定主机有关的信息，如 IP 地址、主机的所有者或者提供服务的类型。 资源记录类型

dns

说明

解释

SOA

起始授权机构

此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址，以及指示辅 DNS 服务器如何更新区域数据文件的设置等。

常用的资源记录类型[3]

A 地址 此记录列出特定主机名的 IP 地址。这是名称解析的重要记录。

CNAME 标准名称 此记录指定标准主机名的别名。

MX 邮件交换器此记录列出了负责接收发到域中的电子邮件的主机。

NS 名称服务器此记录指定负责给定区域的名称服务器。

安全问题

1、针对域名系统的恶意攻击：DDOS 攻击造成域名解析瘫痪。

2、域名劫持：修改注册信息、劫持解析结果。

3、国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。

4、系统上运行的DNS 服务存在漏洞，导致被黑客获取权限，从而篡改DNS 信息。

5、DNS 设置不当，导致泄漏一些敏感信息。提供给黑客进一步攻击提供有力信息。 5DNS 作用

重要性

1、技术角度看

DNS 解析是互联网绝大多数应用的实际寻址方式； 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。

2、资源角度看

域名是互联网上的身份标识，是不可重复的唯一标识资源； 互联网的全球化使得域名成为标识一国主权的国家战略资源。

概念分辨

通常，DNS 数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。

管理某个区域（或记录集）的 DNS 服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。

在域中划分多个区域的主要目的是为了简化 DNS 的管理任务，即委派一组权威名称服务器来管理每个区域。采用这样的分布式结构，当域名称空间不断扩展时，各个域的管理员可以有效地管理各自的子域。

dns 漏洞

有时，区域和域是很难分辨的。

区域是域的子集。可以将它看作域名称空间的某个分支（或子树）。例如，Microsoft 名称服务器可以同时是区域、区域和区域的权威名称服务器。但是，可以将子域的区域委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录，那么该区域与该域的范围是相同的。

对于Windows 2000，区域信息或者以传统文本文件格式存储，或者集成到 Active Directory 数据库中。稍后，我们将详细阐述 DNS 与 Active Directory 如何协作。

作用及调试

DNS ，域名解析系统，并不是一项单纯的服务，而且广泛意义上的全球的域名解析系统，由若干台DNS 服务器以及DNS 成员机组成的这么一个计算机组织。

在域环境中DNS 的作用：

1．以DNS 标准命名（域的命名）；

2．支持DC （创建DC 时，要有相应的DNS 的支持）；

3．定位DC （加入域时，帮助地球人找到DC ）。

有了以上的知识准备，我们来看看加入域需要注意的几点：

1．联系问题：a.ping 通DC 、DNS 服务器（确保可以和DC 、DNS 服务器通信，要加入对方的国际你就必须和对方的政府“DC”以及大使馆“最近的DNS 服务器”联系） b.DNS 解析DC （通过dns 得知DC 的所在“大使馆告诉你如何找到相关的人事部门，当然就会告诉你DC 的地址了”）。【可以使用nslookup 命令 域名 来检测客户机DNS 是否正确设置】

2．权限问题：加入域的时候，会提示输入相应有加入域权限的用户名密码。这里有很多人

有误区，认为只有administrator 才能通过加入域的验证，所以一直用administrator 来验证加入域。其实用一个普通的domain user 也是可以的，新建的域用户可以为非域成员机验证加入域。域，就象一个国家，是需要发展的，能够吸纳的有识之士越多，这个国家就越壮大，所以每一位国民，都有权利一传十十传百的。

3．登陆问题：加入域后不是万事大吉了，很多朋友直接拿administrator 登陆了。殊不知，此举还是登陆了本地计算机。需要大家在登录时点击选项，在登录到中选择所加入的域。 *特殊问题：

a.sid 问题，如果加入域的计算机中系统是GHOST 安装并没有重新封装过的话，就需要重新封装了

b. dns 服务器故障，如果客户端dns 填写正确（当前网络环境中的DNS 【内网DNS 】） ，但是同样无法联系到DC ，并且可以ping 通DNS 和DC 的话，那么十有八九是你的DNS 服务器出故障了，定位信息记录在dns 服务的srv 资源记录中。可能是相关的SRV 资源记录没有生效或者不存在，那么如何是好呢？记住这个办法：在服务管理器（运行中输入：services.msc ）中重启net logon服务，当然这项操作要去DNS 服务器上解决哦。别找错了 地方。

总结：今天跟大家分享了加入域的几个问题。并拓展出几个系统概念。在这里总结一下。

1．DNS （概念、作用、故障排除、检测工具）；

2、sid （加入域时两台系统sid 相同的计算机没办法同时加入域，产生现象的原因时GHOST 克隆系统）；

3．权限问题（验证计算机加入域的用户不一定非要administrator ）。

DNS 架构的冗余

dns

为保证服务的高可用性，DNS 要求使用多台名称服务器冗余支持每个区域。

某个区域的资源记录通过手动或自动方式更新到单个主名称服务器（称为主 DNS 服务器）上。主 DNS 服务器可以是一个或几个区域的权威名称服务器。

其它冗余名称服务器（称为辅 DNS 服务器）用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。辅 DNS 服务器定期与主 DNS 服务器通讯，确保它的区域信息保持最新。如果不是最新信息，辅 DNS 服务器就会从主服务器获取最新区域数据文件的副本。这种将区域文件复制到多台名称服务器的过程称为区域复制。

Active Directory 和 DNS 的关系

Active Directory 是 Windows 2000 中新增的目录服务。该服务存储所有网络资源的信息，如计算机、共享文件夹、用户等等。它还通过标准的 Internet 协议（轻量目录访问协议，LDAP ）将此类信息提供给用户和应用程序。有关 Active Directory 的详细信息，请参阅

Technet 文章设置 Active Directory 域。