网络安全-配置dns服务器
一、什么是DNS服務(wù)
?
?DNS(Domain Name Server,域名服務(wù)器)是進(jìn)行域名(domainname)和與之相對(duì)應(yīng)的IP地址 (IP address)轉(zhuǎn)換的服務(wù)器。DNS中保存了一張域名(domain name)和與之相對(duì)應(yīng)的IP地址 (IP address)的表,以解析消息的域名。 域名是Internet上某一臺(tái)計(jì)算機(jī)或計(jì)算機(jī)組的名稱,用于在數(shù)據(jù)傳輸時(shí)標(biāo)識(shí)計(jì)算機(jī)的電子方位(有時(shí)也指地理位置)。域名是由一串用點(diǎn)分隔的名字組成的,通常包含組織名,而且始終包括兩到三個(gè)字母的后綴,以指明組織的類型或該域所在的國(guó)家或地區(qū)。
?DNS是計(jì)算機(jī)域名系統(tǒng)?(Domain NameSystem 或Domain Name Service) 的縮寫,它是由域名解析器和域名服務(wù)器組成的。域名服務(wù)器是指保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)IP地址,并具有將域名轉(zhuǎn)換為IP地址功能的服務(wù)器。其中域名必須對(duì)應(yīng)一個(gè)IP地址,一個(gè)IP地址可以有多個(gè)域名,而IP地址不一定有域名。域名系統(tǒng)采用類似目錄樹的等級(jí)結(jié)構(gòu)。域名服務(wù)器通常為客戶機(jī)/服務(wù)器模式中的服務(wù)器方,它主要有兩種形式:主服務(wù)器和轉(zhuǎn)發(fā)服務(wù)器。將域名映射為IP地址的過程就稱為“域名解析”。
?
二、為什么需要DNS服務(wù)
?
?首先,我先來(lái)問問大家在平常上網(wǎng)時(shí),訪問網(wǎng)站用的是IP地址還是域名?大家一般都會(huì)回答是域名,因?yàn)橛蛎菼P地址好記憶。但大家知道嗎?最終訪問服務(wù)器時(shí)都是需要IP地址的,那么怎么能夠把用戶輸入的域名相應(yīng)的解析成IP地址呢?那就是DNS服務(wù)器的作用了!今天我們就來(lái)學(xué)習(xí)一下在Windows Server 2012服務(wù)器中如何搭建管理DNS服務(wù)器。
?早期使用Hosts文件解析域名,它的缺點(diǎn)是:1)主機(jī)名稱重復(fù)。2)主機(jī)維護(hù)困難。
?
三、域名概況
1.FQDN
FQDN(full qualified domain name完全合格域名/全稱域名)=主機(jī)名+域名
舉個(gè)例子:abc.com,這個(gè)域名它底下還有一個(gè)叫web的主機(jī)在維護(hù)和更新著web網(wǎng)站,而它的FQDN就是web.abc.com,從全稱域名中包含的信息可以看出主機(jī)在域名樹中的位置。
?
2.域名的層次結(jié)構(gòu)
?
域名空間采用分層結(jié)構(gòu):
?
?
?
第一層:根域(root)
第二層:頂級(jí)域(組織域)
?
國(guó)家或地區(qū)域
第三層:二級(jí)域
第四層:三級(jí)域
?
四、DNS的查詢方式
?
?? 從查詢方式分類
?n??遞歸查詢
??客戶端得到結(jié)果只能是成功或失敗
?n?迭代查詢
? ? ? ???DNS服務(wù)器如有客戶機(jī)請(qǐng)求數(shù)據(jù)則返回正確地址
? ? ? ???DNS服務(wù)器沒有請(qǐng)求數(shù)據(jù)則返回一個(gè)指針
?n?按指針繼續(xù)查詢
?? 從查詢內(nèi)容分類
?n?正向查詢:由域名查找IP地址?
?n?反向查詢:由IP地址查找域名
例如:公司一臺(tái)客戶機(jī)要訪問外網(wǎng)的一臺(tái)域名為www.benet.com的WEB服務(wù)器,其DNS解析全過程為:
(1)、客戶機(jī)將查詢www.benet.com的信息傳遞到自己的首選DNS服務(wù)器。
(2)、DNS客戶機(jī)的首選DNS服務(wù)器檢查區(qū)域數(shù)據(jù)庫(kù)(緩存),如果服務(wù)器沒有找到benet.com域的IP地址,它將查詢信息傳遞到根域DNS服務(wù)器,請(qǐng)求解析主機(jī)名稱。
(3)、根域DNS服務(wù)器把負(fù)責(zé)解析“com”頂級(jí)域的DNS服務(wù)器的IP地址返回給DNS客戶機(jī)的首選DNS服務(wù)器。
(4)、首選DNS服務(wù)器將請(qǐng)求發(fā)送給負(fù)責(zé)“com”域的DNS服務(wù)器。
(5)、負(fù)責(zé)“com”域的服務(wù)器根據(jù)請(qǐng)求將負(fù)責(zé)“benet.com”域的DNS服務(wù)器的IP地址返回給首選DNS服務(wù)器。
(6)、首選DNS服務(wù)器向負(fù)責(zé)“benet.com”區(qū)域的DNS服務(wù)器發(fā)送請(qǐng)求。
(7)、當(dāng)服務(wù)器找到www.benet.com的記錄時(shí),它會(huì)將?www.benet.com??的IP地址返回給首選DNS?服務(wù)器
(8)、客戶機(jī)的首選DNS服務(wù)器將?www.benet.com?的IP地址發(fā)送給客戶機(jī)。
(9)、域名解析成功后DNS服務(wù)器會(huì)把得到的IP地址加入緩存中,客戶機(jī)將http請(qǐng)求發(fā)送給Web服務(wù)器。
(10)、Web服務(wù)器響應(yīng)客戶機(jī)的訪問請(qǐng)求,客戶機(jī)便可以訪問目標(biāo)主機(jī)。
?
?
五、DNS的區(qū)域類型
?
六、DNS服務(wù)的安裝與配置
實(shí)驗(yàn)拓?fù)鋱D
?
實(shí)驗(yàn)用VBox虛擬機(jī)來(lái)模擬DNS服務(wù)器與客戶機(jī),虛擬機(jī)之間采用內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接方式,分別用Win2012-1、Win2012-2來(lái)模擬DNS1、DNS2服務(wù)器,Win2012-3來(lái)模擬客戶機(jī)
?
1.服務(wù)的安裝
手動(dòng)配置ip地址
在添加角色和功能向?qū)е邢乱徊街钡椒?wù)器角色中勾選DNS服務(wù)器
?
一直下一步到安裝成功
右下角工具中找到DNS,下圖就是配置界面,到這安裝就結(jié)束了
?
?
2.DNS服務(wù)的配置
2.1、正向查找區(qū)域
創(chuàng)建正向查找區(qū)域
彈出窗口后下一步選擇區(qū)域的類型,勾選主要區(qū)域
區(qū)域名字(自己定,記得加.com),下一步
創(chuàng)建新文件,下一步
不允許動(dòng)態(tài)更新,下一步
完成
新建主機(jī)
server是主機(jī)名,建立FQDN:server.DNS1.com,綁定DNS服務(wù)器的地址(創(chuàng)建指針PTR記錄需要先創(chuàng)建方向查找區(qū)域)
新建別名
自定義別名,選擇目標(biāo)主機(jī)(在瀏覽那可查詢)
新建郵件交換機(jī)
上圖右側(cè)建立的稱為資源記錄(Resource Record),是DNS數(shù)據(jù)庫(kù)中的一種標(biāo)準(zhǔn)結(jié)構(gòu)單元,里面包含了用來(lái)處理DNS查詢的信息。?
| 記錄類型 | 說(shuō)明 |
| A | 把主機(jī)名解析為IP地址 |
| PTR | 把IP地址解析為主機(jī)名 |
| SOA | 每個(gè)區(qū)域文件中的第一個(gè)記錄 |
| SRV | 解析提供服務(wù)的服務(wù)器的名稱 |
| NS | 標(biāo)識(shí)每個(gè)區(qū)域的DNS服務(wù)器 |
| MX | 郵件服務(wù)器 |
| CNAME | 把一個(gè)主機(jī)名解析為另一個(gè)主機(jī)名 |
?
打開CMD界面進(jìn)入nslookup模式
這樣我們就可以在客戶機(jī)上通過域名server.dns1.com訪問到服務(wù)器上了
?
2.2、反向查詢區(qū)域
建立DNS1的反向查詢區(qū)域
在彈出窗口后下一步到這選擇主要區(qū)域,下一步
Ipv4方向查找區(qū)域,下一步
DNS服務(wù)器地址,下一步
創(chuàng)建新文件
不允許動(dòng)態(tài)更新
?
完成
新建指針
這樣我們就能在客戶機(jī)上用IP地址來(lái)訪問到server.dns1.com的域名啦,至此簡(jiǎn)單的DNS配置就完成了,下面的內(nèi)容按需要來(lái)看吧
?
?
2.3動(dòng)態(tài)更新
動(dòng)態(tài)更新(Dynamic update),是指DNS客戶機(jī)在DNS服務(wù)器維護(hù)的區(qū)域中動(dòng)態(tài)建立、注冊(cè)和更新自己的資源記錄的過程,DNS服務(wù)器能夠接受并處理這些動(dòng)態(tài)更新的消息。
DNS客戶端的TCP/IP配置
(保持默認(rèn)即可)
DNS客戶端的計(jì)算機(jī)名和主DNS后綴
DNS服務(wù)器的計(jì)算機(jī)名
測(cè)試:DNS客戶端改變IP
DNS服務(wù)器上檢驗(yàn)
?
2.5、輔助區(qū)域
?? 輔助區(qū)域的目的:放置多臺(tái)DNS服務(wù)器,防止DNS故障
?? 輔助區(qū)域從主要區(qū)域定期復(fù)制資源記錄,這樣管理員就不需要在多臺(tái)服務(wù)器上重復(fù)修改記錄
?? 輔助區(qū)域只是主要區(qū)域的一個(gè)只讀副本,本身不會(huì)記錄域中各主機(jī)名的變化
DNS2
配置靜態(tài)IP地址
安裝DNS服務(wù)
打開配置界面,新建輔助區(qū)域
名字與DNS1的一樣
主DNS服務(wù)器的IP地址
完成
回到主服務(wù)中右鍵DNS1.com屬性
區(qū)域傳送中添加輔助服務(wù)器的IP地址
區(qū)域傳送中添加輔助服務(wù)器的IP地址
回到DNS2中右鍵DNS1.com選擇從主服務(wù)器傳輸后刷新一下(上面綠色的圖標(biāo))
?? 區(qū)域傳輸發(fā)生條件:
1.在輔助服務(wù)器的DNS服務(wù)啟動(dòng)時(shí),或者輔助區(qū)域的刷新間隔(在SOA資源記錄中默認(rèn)為15分鐘)到期時(shí),它會(huì)向主服務(wù)器主動(dòng)請(qǐng)求更新。
2.當(dāng)其主服務(wù)器向輔助服務(wù)器通知區(qū)域更改時(shí)。
3.當(dāng)DNS服務(wù)器服務(wù)在區(qū)域的輔助服務(wù)器上啟動(dòng)時(shí)。
4.在區(qū)域的輔助服務(wù)器使用DNS控制臺(tái)手動(dòng)啟動(dòng)區(qū)域傳輸時(shí),即右擊輔助區(qū)域,從彈出的快捷菜單中選擇“從主服務(wù)器傳輸”命令。
?
2.5、子域
?}? 什么是子域?DNS有下一級(jí)的區(qū)域
?}? 重點(diǎn):子域的記錄是放在同一臺(tái)服務(wù)器上
DNS1
在原有域下新建域
新建子域的資源記錄
測(cè)試
?
?
2.6、DNS委派
委派(Delegation),是指通過在DNS數(shù)據(jù)庫(kù)中添加記錄從而把DNS名稱空間中某個(gè)子域的管理權(quán)利指派給另一個(gè)DNS服務(wù)器的過程。
名稱空間中“nwtraders.com”的管理員把子域“training.nwtraders.com”的管理委派給另一臺(tái)DNS服務(wù)器,從而卸掉了對(duì)這個(gè)子域的管理責(zé)任
“Training.nwtraders.com”現(xiàn)在有自己的管理員和DNS服務(wù)器來(lái)解析名稱查詢
DNS2中新建主區(qū)域,注意域名
完成
完成
?
回到DNS1中,新建資源記錄(DNS2的IP地址)
新建委派
委派的域名要和DNS2的一樣
添加要被委派出去的FQDN地址
完成
測(cè)試(在DNS1中創(chuàng)建的資源記錄就會(huì)給DNS2來(lái)完成解析)
?
2.7、存根記錄
存根區(qū)域(不建議使用)
?? 存根區(qū)域目的是避免迭代查詢
?? 轉(zhuǎn)發(fā)器(稍后介紹)也可以實(shí)現(xiàn)類似功能
?? 和委派有類似的地方,然而存根區(qū)域的域名不需要連續(xù),委派必須是連續(xù)的
在DNS1中新建主區(qū)域xyz.com,創(chuàng)建資源記錄地址指向DNS2
在DNS2中建立存根區(qū)域
區(qū)域名稱
指向主DNS服務(wù)器的IP地址
完成
?
DNS1主服務(wù)器中設(shè)置區(qū)域傳送
回到DNS2,右鍵xyz.com選擇從主服務(wù)器傳輸后刷新(可以重開DNS管理器)
完成
客戶機(jī)測(cè)試
?
?
2.8、轉(zhuǎn)發(fā)器
右鍵DNS服務(wù)器選擇屬性
?
服務(wù)器上配置轉(zhuǎn)發(fā)器
2? 把所有本DNS無(wú)法解析的請(qǐng)求轉(zhuǎn)發(fā)到別的DNS
2? 強(qiáng)烈建議企業(yè)的DNS服務(wù)器把轉(zhuǎn)發(fā)器指向當(dāng)?shù)豂SP的DNS
?
主服務(wù)器中新建條件轉(zhuǎn)發(fā)器
轉(zhuǎn)發(fā)指定域名的請(qǐng)求,直接確定
把123.com的請(qǐng)求轉(zhuǎn)發(fā)到DNS2上
在DNS2中新建123.com主域
新建資源記錄
客戶機(jī)測(cè)試
?
DHCP服務(wù)器動(dòng)態(tài)更新來(lái)注冊(cè)和更新資源記錄
DHCP服務(wù)器上的配置
?
DHCP客戶端上測(cè)試(客戶端開啟動(dòng)態(tài)IP地址后,DNS服務(wù)器會(huì)更新資源記錄)
?
2.10、維存緩存器
是指DNS服務(wù)器上沒有任何DNS域卻只設(shè)置了轉(zhuǎn)發(fā)器
?
2.11、起始授權(quán)機(jī)構(gòu)
?
2.12、名稱服務(wù)器
?
3、檢查DNS服務(wù)器
?
4.清理過期記錄
?
?
?
?
與50位技術(shù)專家面對(duì)面20年技術(shù)見證,附贈(zèng)技術(shù)全景圖總結(jié)
以上是生活随笔為你收集整理的网络安全-配置dns服务器的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 网络安全-windowserver搭建D
- 下一篇: 逻辑漏洞-token绕过