DNS服务器的部署与配置

2024年5月10日发(作者：)

DNS服务器的部署与配置

实验背景：

在Internet网络发展的早期，由于IP地址不便于记忆，网络互联的方式主要通过购

买hosts文件进行域名的解析，当时，进行网络互联的计算机并不是很多。随后，随着计

算机网络的不断发展和普及，越来越多的计算机使用了域名，然而强大的hosts文件再也

不能满足于现代的网络需求，DNS（Domain Name System，域名系统）便应运而生。

DNS相对应hosts文件而言，进行了强大的改进，主要采用分层结构进行部署，包括：

根域、顶级域（包括组织域、国家域或地区域、反向域）、二级域和主机名称。域名空间的

层次结构类似一个倒置的树，其中根为最高级别，大树枝处于下一级别，树叶则处于最低

级别。这样可以将巨大的信息量按层次结构划分成许多较小的部分，将每一部分存储在不

同的计算机上，形成层次性、分布式的特点。这样一方面解决了信息的统一性，另一方面

信息数据分布面广，不会形成瓶颈，有利于提高访问效率。

实验目的：

1、 学会安装DNS服务器

2、 会在DNS服务器上新建正反查找区域

3、 新建资源记录（包括主机、别名以及SRV记录）

4、 会对转发器和根提示进行配置

5、 掌握DNS的区域传输

6、 配置客户机的DNS设置

7、 理解DNS服务器和AD之间的关系

实验网络拓扑：

实验步骤

1. 安装DNS服务（通过管理您的服务器进行安装，也可以通过添加/删除程序进行安

装）

DNS服务器要为客户机提供域名解析服务，必须具备以下条件：

a、 有固定的IP地址

b、 安装并启动DNS服务

c、有区域文件，或者配置转发器，或者配置根提示

1.1、 在Service 2（操作系统为windows server 2003）单击“开始”菜单，选择

“管理工具”---“管理您的服务器”，然后选择“添加或删除角色”等服务器检测完所有

的网络参数之后，选择“DNS服务器”，系统开始安装DNS服务。

安装过程中，需要windows server 2003系统安装光盘里的两个文件，都在I386下，

可以通过物理光驱添加购买的光盘进行安装，也可以通过虚拟光驱，添加对应的ISO镜像

文件进行安装，安装过程中需要两次添加_文件。

1.2、 安装活动目录的过程中，同样也可以安装DNS服务器，活动目录的安装过程

就不做过多演示了，安装过程中出现下面的界面，其中中间的哪项就是安装活动目录的过

程中也安装了DNS服务器，这样安装的DNS服务器有域的SRV记录，当客户机加入域

的时候就需要这些SRV记录进行定位。

1.3、 安装完成之后，可以通过“管理您的服务器角色”中看到“DNS服务器”的选

项。然后单击右边的“管理此DNS服务器”进入DNS服务器的设置界面。

2. 新建区域（正向查找区域和反向查找区域）

在大型的网络中，可能有非常多的各级域，也会有很多DNS服务器。如果把整个网络

都设成一个区域，则DNS服务器之间的目录可能非常困难，因为目录信息非常大，而且要

复制的DNS服务器也非常多。为了解决这一矛盾，我们可以把整个网络的DNS空间划分

成一个相对较小的区域，区域里再划分一些子域，但是这些区域的划分又不是随意的。

2.1、 在安装活动目录的过程中，如果安装了DNS，完成之后，便可以在DNS服务

器上看到域的区域参数（主要是一些SRV资源记录）

2.2、 创建正向查找区域（正向查询由域名查找IP地址）右击“正向查找区域”选择

“新建区域”

此窗口的选项如下：

“主要区域”是新区域的主副本，负责在新创建区域的计算机上管理和维护本区域的

资源记录。如果这是第一次配置DNS服务器，则选择“主要区域”单选按钮，就相当于搭

建域环境时，选择“新域中的域控制器”一样的道理。

“辅助区域”是现有区域的副本，也就相当于BDC（副域控制器）一样的道理，“主

要区域”中的DNS服务器将把区域信息传递给辅助区域中的DNS服务器。使用辅助区域

的目的是，提供冗余，减少包含主要区域数据库文件的DNS服务器上的负载。辅助DNS

服务器上的区域数据是无法进行修改的。所有数据都是从主DNS服务器复制而来的。

“存根区域”只包含用于标示该区域的权威DNS服务器所需的资源记录。含有存根区

域的DNS服务器对该区域没有管理权，它维护着该区域的权威DNS服务器列表，列表存

放在NS资源记录中。

上面最后一项复选框是在DNS服务器是域控制器时才可用，有什么区别呢？

当勾选这个复选框之后，DNS服务器的所有区域数据都存放在活动目录数据库中，也

就是说，当活动目录复制的时候，它也伴随着一起复制，可以减少管理员的负担，在实际

应用中，活动目录存放着大多数服务器的数据库，便于集中管理，这同时也体现出了活动

目录的优势所在。

当然，如果不勾选最后一项复选框，那么DNS的所有数据都存放在DNS数据库中，

而且，DNS之间的复制需要手动指定才可以。

下面的向导，只有在域的环境里才可以出现的，选择如何复制区域数据

给新建主要正向查找区域名一个名称为（符合FQDN，完全合格域名

标准，每个FQDN最多255个字节，254个字节用于FQDN，1个字节用于终止点。这

就好比计算机的NetBIOS名，由16个字节组成，名字占15个字节，第16个字节代表某

种服务）

此项动态更新是指当DNS客户端在发生更改时，可以使用DNS服务器注册和动态更

新其资源记录。它减少了对区域记录进行手动管理的需要。这种功能给活动目录中的DNS

维护带来了方便。当计算机加入域时，可以在活动目录中自动添加该计算机的主机资源记

录。

2.3、 创建反向查找区域（反向查询由IP地址查找域名）右击“反向查找区域”选择

“新建区域”反向搜索查询要求对每个域名进行详细搜索，这需要花费很长时间。为解决

问题，DNS标准定义了一个名为的特殊域。域遵循域名空间

的层次命名方案，它是基于IP地址，而不是基于域名，其中，IP地址8位位组的顺序是反

向的。

属于反向查找区域的网络ID：192.168.0.而区域名称自动添上，

两边是等效的。

3. 新建主要资源记录（主机和别名）

在完成DNS服务器查找区域的创建后，就可以新建资源记录。在区域里有很多资源记

录，这里介绍一些重要的资源记录

SOA（起始授权机构）：定义了该区域中个的哪个名称服务器是权威名称服务器，可以

定义DNS区域的一些刷新时间等

NS（名称服务器）：表示某区域的权威服务器和SOA中制定的该区域的主服务器和辅

助服务器

A(主机)：列出了区域中FQDN（完全合格域名）到IP地址的映射

RTP（指针）：当对于A资源记录，PTR记录把IP地址映射到FQDN

MX：邮件交换器记录，向指定邮件交换主机提供消息路由

SRV（服务）：列出了哪些服务器正在提供特定的服务

3.1、 在正向查找区域里新建一个主机A记录（PTR记录的方法相同）

输入主机A记录的名称zhangsan，那么它形成的FQDN是.

而下面的“创建相关的指针（PTR）记录”如果勾选，就创建对应的PTR记录（前提

是反向查找区域里必须有对应的区域才行）

3.2、 新建别名记录

在正向查找区域里创建一台主机A记录lisi，对应的FQDN为，假

如它还有另一个名字叫，就需要在对应的区域里新建一个别名记录，

右键单击“”，选择“新建别名（CNAME）”并创建

创建好之后，可以通过nslookup进行解析，下面是解析的结果。可以看出最后一行

多了一条aliases语句便是别名。

4. 配置转发器和根提示

当本地DNS服务器没有客户端要查找的域名请求的时候，就需要通过转发器转发到指

定的DNS服务器上，或者通过根提示转发到全球13台根服务器上，通过迭代的方式进行

查找，最终返回到本地DNS服务器上然后通过递归的方式发送给客户端。（也可以自己指

定根服务器，最后不要这么做）

4.1、 首先配置DNS转发器，在service 3 的DNS服务器上单击右键选择“属性”

然后现在“转发器”窗口，在这个窗口可以为不同的区域配置不同个转发DNS。

配置客户端的首选DNS服务器为转发器DNS的IP地址：192.168.0.2

刚才在service 1上的DNS服务器上区域里新建了一个主机为lisi，

IP地址是192.168.0.200（实际是不存在的，只做测试用）在客户机上ping

，ping不通，但可以看到已经解析出了IP地址为192.168.0.200。

4.2、 配置根提示

根提示使非根域的DNS服务器可以查找到根域DNS服务器。根域DNS服务器在互

联网上有13台。默认情况下，根提示是不需要配置的，搭建好DNS服务器之后会自动生

成。但是在有的时候，却看不到根提示里面的内容，而且还不能配置。主要是因为在DNS

服务器上有自己定义的“.”域，全球那13台根DNS服务器上就没有这些自动生成的根提

示。

下面手动建立一个区域为“.”然后，在区域里自动注明为根域，然后查看转发器，可

以看出，名称服务器里的内容为空，而且不可编辑。不光是根提示不可用，而且转发器也

不可用。

5. DNS区域传输

在较早的DNS实现中，更新区域数据的任何请求都需要通过使用AXFR查询来完全

传输整个区域数据库。进行递增传输时，相反却可使用任选的查询类型（IXFR，windows

serve 2003以后才有）。它允许辅助DNS仅找一些区域的变化，这些变化将用于区域副本

与源区域之间的同步。

通过IXFR区域传输时，区域的复制版本和源区域之间的差异必须首先确定。如果该区

域识别为与每个区域的启动授权机构（SOA）资源记录中序列号字段所指示的版本相同，

则不进行任何传送。

如果源区域中的区域的序列号比申请辅助服务器的大，则传输的内容仅由区域中每个

递增版本的资源记录的改动组成。为了使IXFR查询成功并发送更改的内容，此区域的源

DNS服务器必须保留递增区域变化的历史记录，以便在应答这些查询的使用。实际上，递

增传输过程在网络上需要更少的通信量，而且区域传输完成的更快。

区域传输始终在区域的辅助服务器上开始，并且发送到作为区域源配置的主服务器中。

5.1、 首先在DNS主区域（server 1）里单击右键选择“属性”选择

“区域复制”，然后添加复制到指定的DNS服务器的IP地址，这样可以避免列表以外的

DNS服务器得到区域更新的通知，换句话说，未知的或未批准的DNS服务器在提取、请

求或区域更新方面作一些不希望进行的尝试。

5.2、 在server 2的DNS上新建一个辅助区域并命名为（辅助区域的

FQDN名必须和主区域的FQDN名相同，这个好比DC和BDC的域名必须相同一样），然

后填写主区域的DNS服务器地址，确定之后，便可看到辅助区域里的资源记录和主区域里

的资源记录一样。

5.3、 主区域和辅助区域起始授权机构（SOA）的比较，可以看出主区域的序列号为

23，而且可以进行编辑，而辅助区域的序列号为23，说明不需要进行复制，但是是不能进

行任何编辑的，只能随着主区域序列号的递增进行复制。

6. 客户机的配置

配置DNS客户端，主要是为客户机指定DNS服务器的IP地址，从而使他们可以请

求DNS服务。如果配置了DHCP服务器，也可以在上面添加DNS选项，让客户端自动获

得DNS服务器IP地址。

6.1、 选择“本地连接”里的“Internet协议(TCP/IP)，查看其属性，输入首选DNS

和备用DNS，首选DNS一般设置为离你最近的DNS服务器，当客户机进行域名解析时，

如果首选DNS服务器一直存在，即使没有查找到，也不会转向备用DNS服务器，除非首

选DNS服务器宕机了才会到备用DNS服务器进行查找。

6.2、 在“高级”TCP/IP配置里还有一些DNS附加选项，可以添加多台DNS服务

器的IP地址，其中“在DNS中注册此连接的地址”选项默认是被勾选的，意思是客户端

会将自己的主机名和DNS对应关系自动注册到DNS中。而DNS服务器那边也必须开启

“动态更新”而且不能选“无”选项。

7. DNS服务器和AD之间的关系

DNS服务器和AD之间的关系非常紧密，也就是说如果没有DNS服务器的支持，AD

是不能够正常进行工作的，AD中好多名称都需要DNS服务器的解析。

7.1、 在配置客户端加入域的时候，如果不设置首选DNS，而且加入域时输入的是完

全的域名，则不能得到解析。如下图所示：

但是，加入域的时候，如果没有填DNS服务器，只要输入域的最前面一部分是可以加

入域的，如下图所示：

解释：客户端加入域时，如果输入的是全称的域名，则联系域控制器的时候，需要DNS

服务器的定位（通过SRV记录进行解析），如果只输入最前面的一部分，则解析的时候是

通过NETBIOS协议广播进行解析的，而域名最前面的那部分叫做域的NETBIOS名称，所

以客户机就加入到了域中，但是这并不代表DNS没有起作用，当客户机加入到域之后的一

系列的服务还是需要DNS的支持的。