DNS部署与安全
DNS
DOmain Name Service 域名服务
作用:为客户提供域名解析服务
域名组成
如“www.sina.com.cn”是一个域名,从严格意义上来讲,“sina.com.cn”才被称为域名(全球唯一),而“www”是主机名。
“主机名.域名”称为完全限定域名(FQDN)。一个域名下可以有多台主机,域名全球唯一,所以“主机名.域名”肯定也是全球唯一的。
以“sina.com.cn”域名为例,一般管理员在命名其主机时会根据主机的功能进行命名,比如网站是www,博客是blog,论坛是bbs,那么对应的FQDN为www.sina.com.cn,blog.sina.com.an,bbs.sina.com.cn等多个FQDN,然而我们只需要申请一个域名就可以了。
ping ip地址/域名
检查目标与本机的连接性
nslookup 域名
解析域名查询IP地址
监听端口
TCP53
UDP53
DNS解析种类
按照查询方式分类
递归查询:客户机与本地DNS服务器之间
所问即所答,客户机发起询问,本地DNS服务器直接响应结果
迭代查询:本地DNS服务器与根等其他服务器
客户机发起询问,本地DNS服务器没有结果,向根域发送请求,根域返回请求指向顶级域名,本地DNS根据返回的顶级域名再次查询,以此类推直到找到结果并返回本地DNS服务器
按照查询内容分类
- 正向解析:已知域名,解析ip地址
- 反向解析:已知ip地址,解析域名
公司设置DNS服务器一般会设置转发器,客户机请求到DNF服务器,再把请求转发给公网上的DNS服务器,减轻负担,此过程为递归查询。
windows-部署DNS服务
安装DNS服务。软件装好后什么都不做也可以正常提供DNS服务,因为会直接去找根进行交互,这种服务器称为缓存服务器。
打开DNS软件,在正向查找区域,右键新建区域,选择主要区域,设置区域名称,表示自身负责的解析区域,之后会新建一个区域文件,若网络情况没有形成域,资源选择不允许动态更新,之后完成。在软件上点击选中区域文件后,在右边可以新建解析记录。空白处右键新建主机(A)记录,是一个标准的正向解析记录,设置主机名称与正确ip地址。新建成功后,使用命令行解析域名,结果为新建的记录ip地址即为成功。
在DHCP服务作用域选项中设置本次DNS服务地址,这样才能正常使用新设置的本地DNS服务。
ipconfig /flushdns
删除本机dns缓存
ipconfig /displaydns
显示本地的dns解析记录
为dns服务器起一个访问名
使用域名访问dns服务器而不是使用IP地址,右键新建主机记录,设置名称,讲ip地址设为服务器地址,勾选创建相关的指针(PTR)记录,点击完成。在反向查找区域,右键新建区域,设置服务器ip地址前3位,之后直接下一步至完成。在方向查找区域右侧新建PTR记录,输入主机ip号(服务器ip地址最后一位)后,在主机名选项中,选择新建好的被用来做dns访问名的记录。再次使用命令行解析域名,出现设置正确的dns服务器名称与地址则代表成功。
转发器
在服务器管理页面右击服务器点击属性,在转发器选项设置充当转发器的dns服务器的ip。
区域复制
选中区域文件右键点击属性,找到区域复制选项,选择允许区域复制,只允许到下列服务器,若是选择到所有,会形成漏洞,设置可以复制区域文件的dns服务器IP。
新的dns服务器上安装好软件后,在正向查找区域右键新建区域,选择辅助区域,设置区域名称,设置可以获取备份的主dns服务器,完成。
清空dns服务器缓存
在dns管理页面点击上方查找选项,点击高级,会出现缓存的查找文件,对准查找右键点击清除缓存。
为已有的域名建立别名
在解析记录界面空白处右键新建别名,给已有的解析记录建一个别名,设置别名,浏览找到此条解析记录,完成。
解析记录里SOA类型表示权威服务器,NS类型表示负责此域的dns服务器。