分类: 系统运维
2010-07-27 15:46:18
这一篇是DNS笔记的最后一节,建立区域是很简单的,但是我们要分辨出区域类型之间的区别。我这里对区域的管理做说明。
管理正向区域
根据区域类型和区域存储方式的不同,管理DNS区域的方式也不同,在此我根据区域类型来进行介绍:
1、主要区域
活动目录集成主要区域和标准主要区域相比,常规选项不同,并且具有安全标签。
在活动目录集成主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、复制方式和动态更新方式;
而在标准主要区域的常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型、区域数据存储的文件名和动态更新方式,但是不支持安全动态更新。
点击老化按钮→区域老化/清理属性设置,此设置必须和DNS服务器的老化/清理设置共同 使用方可生效。
当启用老化时,对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,当DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间 戳。手动创建的资源记录会分配一个为0的时间戳记录,代表它们将不会老化。
• 无刷新间隔:无刷新间隔是在上次时间戳刷新后,DNS服务器拒绝再次进行刷新的时间周期,这阻止DNS服务器进行没有必要的刷新和减少了没有必要的区域传输流量。默认情况下,无刷新间隔为7天;
• 刷新间隔:刷新间隔是在无刷新间隔后的时候,在这段时间周期内允许DNS客户端刷新资源记录的时间戳,并且资源记录不会被DNS服务器清理。 当无刷新间隔和刷新间隔之后,如果资源记录没有被DNS客户端进行刷新,则此资源记录将会被DNS服务器清除掉。默认情况下刷新间隔是7天,这意味着默认情况下动态注册的 资源记录将会在14天后被清理掉。
如果你需要修改这两个参数,请记住以下原则:刷新间隔应该大于或等于无刷新间隔。
起始授权机构(SOA)
起始授权机构(SOA)标签允许你配置此DNS区域的SOA记录。当DNS服务器加载DNS区域时,它首先通过SOA记录来决定此DNS区域的基本信息和主服务器,如下图所示:
* 序列号:序列号代表了此区域文件的修订号。当区域中任何资源记录被修改或者点击了增量按钮时,此序列号会自动增加。 在配置了区域复制时,辅助DNS服务器会间歇的查询主服务器上DNS区域的序列号,如果主服务器上DNS区域的序列号大于自己的序列号,则辅助DNS服务器向主服务器发起区域 复制。
* 主服务器:主服务器包含了此DNS区域的主DNS服务器的FQDN,此名字必须使用“.”结尾。
* 负责人:指定了管理此DNS区域的负责人的邮箱,你可以修改为在DNS区域中定义的其他RP(负责人)资源记录,此名字必须使用 “.”结尾。
* 刷新间隔: 此参数定义了辅助DNS服务器查询主服务器以进行区域更新前等待的时间。当刷新时间到期时,辅助DNS服务器从主服务器上获取主 DNS区域的SOA记录,然后和本地辅助DNS区域的SOA记录相比较,如果值不相同则进行区域传输。默认情况下,刷新间隔为15分钟。
* 重试间隔:此参数定义了当区域复制失败时,辅助DNS服务器进行重试前需要等待的时间间隔,默认情况下为10分钟。
* 过期时间:此参数定义了当辅助DNS服务器无法联系主服务器时,还可以使用此辅助DNS区域答复DNS客户端请求的时间,当到达此时间限制时,辅 助DNS服务器会认为此辅助DNS区域不可信。默认情况下为1天。
* 最小(默认)TTL:此参数定义了应用到此DNS区域中所有资源记录的生存时间(TTL),默认情况下为1小时。此TTL只是和资源记录在非权威的 DNS服务器上进行缓存时的生存时间,当TTL过期时,缓存此资源记录的DNS服务器将丢弃此记录的缓存。
注意:增大TTL可以减少网络中DNS解析请求的流量,但是可能会导致修改资源记录后DNS解析时延的问题。一般情况下无需对默认参数进行修改。
* 此记录的TTL:此参数用于设置此SOA记录的TTL值,这个参数将覆盖最小(默认)TTL中设置的值。
名称服务器
名字服务器标签允许你配置DNS区域的NS资源记录,NS记录用于指定此DNS区域中的权威DNS服务器,默认情况下会包含此DNS区域的主服务器,并且一个区域 至少必须具有一个NS资源记录。
和SOA记录一样,你只能在区域属性中对NS记录进行修改,你不能创建NS记录。
WINS
你可以在WINS标签配置DNS服务器使用WINS查找,此时,当DNS服务器无法解析某个FQDN时,将会使用配置的WINS服务器来查询此FQDN的主机名;对于正向 区域是查询WINS服务器的正向记录,对于反向区域是查询WINS服务器的反向记录;如果在WINS服务器上查询到对应的记录,则DNS服务器会将此记录复制到此区域中,你可以勾选不复制此记录来让DNS服务器不复制从WINS服务器获得的记录。
区域复制
你可以在区域复制标签中配置是否允许此区域进行区域复制,以及区域复制到的对象,它们之间的区别在于:
* 到所有服务器:所有服务器都可以从此DNS服务器获取此区域的区域数据;
* 只有在“名称服务器”选项卡中列出的服务器:只有在名称服务器标签中列出的DNS服务器才能从此DNS服务器获取区域数据;
* 只允许到下列服务器:只允许你在下面列表中指定的DNS服务器从此DNS服务器获取区域数据;
在windows 2000中,默认情况下是允许区域复制到所有服务器,这个选项具有安全隐患,所以在Windows Server 2003中,对于标准主要区域,默认情况下只是允许区域复制到名称服务器中所定义的DNS服务中,而对于活动目录集成主要区域,由于通过活动目录进行复制,默认情况下是不允许区域复制。
你可以点击通知按钮来配置通知辅助DNS服务器接收区域更新,默认情况下此DNS区域更新时,主服务器会通知名称服务器标签中的所有 DNS服务器。
当某个标准区域产生以下事件时,将进行通知或初始化区域复制:
* 主DNS区域的SOA记录的刷新间隔过期;
* 辅助DNS服务器启动;此时辅助DNS服务器会联系主服务器获取SOA记录,然后比较本地的SOA记录来决定是否需要区域复制;
* 主服务器上对区域数据进行了修改,则主服务器按照配置来通知辅助DNS服务器。
当初始化区域复制时,辅助DNS服务器可以从主服务器执行增量区域传输(IXFR)或者完全区域传输(AXFR),运行在Windows Server 2003上的DNS服务器 支持IXFR和AXFR。默认情况下,运行在Windows 2000服务器和Windows Server 2003系统上的DNS服务器从主服务器进行区域复制时执行IXFR,此时,只有更新数据才会进行 传输;Windows NT服务器不支持IXFR,只能执行AXFR,此时,将会对所有区域数据进行传输。
其他的就不说了,关于如何添加资源记录,网上教程很多,这里只说一个MX记录的添加的(关于MX、PTR我在exchange哪里还会仔细说明的):
新建邮件交换器(MX):
在创建邮件交换器记录之前,必须已经为此MX记录所对应的邮件服务器创建了A记录;在主机或子域中输入邮件域名,如果不输入则代表此DNS区域;
你可以针对相同的DNS域配置多个MX记录,但是邮件服务器优先级数值越低的MX记录具有越高的优先级。
注意:主机或子域内容--是不需要填写的
管理任务
主要区域的管理任务如下图所示:
更新服务器数据文件:同DNS服务器的更新服务器数据文件管理任务;
重新加载:重新从本地的区域文件或者活动目录中加载此DNS区域;
辅助区域
辅助区域和主要区域的属性基本相同,我在此着重介绍不同之处:
在常规标签,你可以暂停和开始区域的运行,并且可以修改区域类型和用于复制区域数据的主服务器地址。主服务器上必须允许了区域复制到此辅助 DNS服务器。
辅助区域不能和活动目录集成,因此复制选项不可用;并且也不支持动态更新,因为辅助区域是只读的。
起始授权机构(SOA)
对于辅助区域而言,起始授权机构(SOA)记录是只读的,因此你不能在起始授权机构(SOA)标签进行任何配置,如下图所示:
名称服务器
和起始授权机构(SOA)记录一样,NS记录是只读的,因此你不能在辅助DNS服务器上修改名字服务器,如下图所示:
WINS
你可以在WINS标签配置辅助DNS服务器使用WINS查找,但是由于辅助DNS区域是只读的,所以对于从WINS服务器获得的记录,你只能缓存在本地,而不能将其复制到DNS区域中。
区域复制
你可以在区域复制标签配置将此辅助DNS区域复制到其他辅助DNS服务器,但是默认情况下是不会配置辅助区域的区域复制。
当在域控制器上安装DNS服务器时,辅助DNS区域的属性中会具有安全标签,用于控制用户对于此DNS区域及所属子对象的权限。
和主要区域相比,辅助区域的任务只有三项,如下图所示: