1、DNS委派和子區(qū)域的理解

在實(shí)際應(yīng)用中，DNS的委派和子區(qū)域的創(chuàng)建起到至關(guān)重要的作用，

Windows網(wǎng)絡(luò)服務(wù)架構(gòu)系列課程詳解（四） DNS高級(jí)技術(shù)配置詳解

DNS的委派：在實(shí)際應(yīng)用當(dāng)中，創(chuàng)建方法很簡(jiǎn)單，比如說(shuō)benet公司是一家商業(yè)機(jī)構(gòu)，想搭建一臺(tái)屬于自己的DNS服務(wù)器，且域名為benet.com，就需要在管理“.com”區(qū)域的公司申請(qǐng)，管理“.com”區(qū)域的主管，只需要在對(duì)應(yīng)的DNS正向查找區(qū)域里添加一條主機(jī)A記錄，對(duì)應(yīng)的IP是benet公司DNS的公網(wǎng)IP地址，且主機(jī)記錄不能為benet，否則添加不上去。比如說(shuō)添加一條w1記錄，域名為w1.com ，然后右擊 “.com”區(qū)域，選擇“新建委派”委派的區(qū)域輸入“benet”，然后添加名稱服務(wù)器的IP地址，也就是剛才創(chuàng)建的w1記錄（可以通過(guò)“瀏覽”找到），然后“確定”即可。而benet公司需要在自己的DNS區(qū)域里創(chuàng)建“benet .com”正向查找區(qū)域，然后創(chuàng)建不同的主機(jī)A記錄即可�？蛻舳嗽赽enet公司的DNS上找不到的記錄，可以通過(guò)“轉(zhuǎn)發(fā)器”或者“根提示”進(jìn)行迭代或者遞歸查詢。

注意：在此案例中，DNS的委派可以減輕“.com”域的負(fù)擔(dān)，避免了域名查詢量過(guò)大所形成的瓶頸。所有屬于區(qū)域“benet.com”的主機(jī)A記錄都保持在benet公司的DNS服務(wù)器上。而“.com”區(qū)域僅僅只是做了一項(xiàng)記錄而已，比如說(shuō)客戶機(jī)的首選DNS填寫(xiě)的是其它DNS服務(wù)器的IP地址，當(dāng)查找不到時(shí)便會(huì)通過(guò)根提示到全國(guó)13臺(tái)根DNS服務(wù)器上，然后通過(guò)迭代的方式，一級(jí)一級(jí)往下找，當(dāng)找到benet.com區(qū)域時(shí)，benet.com區(qū)域會(huì)告訴客戶機(jī)首選的DNS服務(wù)器，到委派的benet.com上去找，也就是benet的DNS服務(wù)器上找，最終查找到對(duì)應(yīng)的主機(jī)A記錄。

DNS的子區(qū)域：通過(guò)創(chuàng)建區(qū)域委派可以減少DNS服務(wù)器的工作負(fù)擔(dān)；如果DNS服務(wù)器區(qū)域的查詢量可以滿足用戶的最大查詢數(shù)，是否將所有的主機(jī)A記錄都放在一個(gè)區(qū)域呢？比如說(shuō)benet.com區(qū)域，benet公司有五家分公司，公司內(nèi)部所有用戶的主機(jī)A記錄都在區(qū)域benet.com中，假如公司有1000人，那么如果其中一臺(tái)機(jī)器聯(lián)系不到DNS，那么在benet.com區(qū)域里排除故障是很難的，而且維護(hù)起來(lái)也是相當(dāng)?shù)牟环奖�。DNS的子區(qū)域便可以將一個(gè)區(qū)域劃分多個(gè)子區(qū)域，然后通過(guò)子區(qū)域進(jìn)行管理，這也體現(xiàn)出了層次化管理的思想，在域中創(chuàng)建多個(gè)OU不也是基于這種思想的么？

2、DNS“高級(jí)”屬性的設(shè)置

DNS除了一些基本屬性的設(shè)置之外，還有一些高級(jí)屬性的設(shè)置，可以通過(guò)右擊DNS服務(wù)器，選擇“屬性”—“高級(jí)”進(jìn)行查看。其中“禁用遞歸（也禁用轉(zhuǎn)發(fā)器）”：意思是此DNS服務(wù)器不能夠進(jìn)行遞歸查詢，只能查詢自己的主機(jī)A記錄，查詢不到則返回。“保護(hù)緩沖防止污染”：可以保證緩沖里的一些DNS記錄被修改，比如說(shuō)一些釣魚(yú)網(wǎng)站，將自己的網(wǎng)站修改成和其它一些網(wǎng)站一模一樣，然后修改DNS的緩沖，將真實(shí)的域名指向自己的IP地址，這就有可能造成一些賬號(hào)和密碼的竊取，

電腦資料

3、在DNS中建立反向查找區(qū)域的意義

剛開(kāi)始搭建DNS服務(wù)器時(shí)，也許我們并不知道反向查找區(qū)域的意義所在，我們更多的應(yīng)用是將域名解析成IP地址，而忽略了IP地址也可以解析成域名。反向查找區(qū)域用的范圍不是很廣泛，但是在有些應(yīng)用中作用卻很多。例如：在網(wǎng)絡(luò)中，如果我們用的郵件服務(wù)器不是很正式，則會(huì)收到大量的垃圾郵件，而這些垃圾郵件是從何而來(lái)的呢？很簡(jiǎn)單，比如說(shuō)你們公司搭建了一臺(tái)郵件服務(wù)器，區(qū)域?yàn)閤accp.com，里面有所有員工的郵箱名，并以員工名字命名。而另外一個(gè)搞破壞的人也搭建了一臺(tái)郵件服務(wù)器，區(qū)域同樣為xaccp.com。比如說(shuō)現(xiàn)在李四給張三發(fā)送一份電子郵件，而那個(gè)搞破壞的人也使用了同樣的郵箱名給李四發(fā)送一份電子郵件，而張三是如何確定是你們公司第四發(fā)的呢，SMTP服務(wù)器又是如何處理的呢，這就用到了反向查找，將zhansan@xaccp.com反向解析成IP地址，如果是公司內(nèi)容SMTP服務(wù)器的IP地址則轉(zhuǎn)發(fā)給李四，如果不是，則視為垃圾郵件丟棄。

4、緩存DNS的應(yīng)用場(chǎng)景

當(dāng)公司規(guī)模不是很大，或者公司里員工不是很多的時(shí)候，根本不需要申請(qǐng)DNS域名，只需要?jiǎng)?chuàng)建一臺(tái)DNS服務(wù)器即可，什么區(qū)域也不用創(chuàng)建，然后將自己指向根提示或者通過(guò)轉(zhuǎn)發(fā)器指向一臺(tái)注冊(cè)的DNS服務(wù)器即可。當(dāng)內(nèi)部員工訪問(wèn)外網(wǎng)的一臺(tái)web服務(wù)器時(shí)，通過(guò)DNS的根提示或者轉(zhuǎn)發(fā)器找到訪問(wèn)的web站點(diǎn)，而本地DNS服務(wù)器會(huì)將客戶端訪問(wèn)的web站點(diǎn)緩沖到DNS服務(wù)器上，當(dāng)下一臺(tái)DNS服務(wù)器查詢同樣的內(nèi)容時(shí)，只需要查詢DNS緩沖即可。當(dāng)然，第一次查詢肯定會(huì)很慢，而以后的查詢便會(huì)很快。這就是所謂的緩沖DNS，最好在“高級(jí)”選項(xiàng)中勾選“保護(hù)環(huán)境防止污染”選項(xiàng)，這樣可以防止一些 修改緩沖信息。

5、輔助DNS在實(shí)際應(yīng)用中的作用

我們上網(wǎng)經(jīng)常填寫(xiě)的首選DNS，或者動(dòng)態(tài)獲得的DNS其實(shí)大多數(shù)都是輔助DNS服務(wù)器的IP地址，為什么不用主DNS服務(wù)器呢？在做區(qū)域復(fù)制的時(shí)候，需要?jiǎng)?chuàng)建一臺(tái)輔助DNS，說(shuō)的更準(zhǔn)確一些應(yīng)該是創(chuàng)建多個(gè)輔助區(qū)域，而這些輔助區(qū)域是只讀的，不能進(jìn)行更改，只能從主DNS服務(wù)器那里獲取數(shù)據(jù)，而輔助DNS是如何從主DNS服務(wù)器那里復(fù)制數(shù)據(jù)的呢？主要是通過(guò)“序列號(hào)”進(jìn)行判斷的，如果輔助DNS的序列號(hào)沒(méi)有主DNS的序列號(hào)大，則進(jìn)行復(fù)制。為了更安全的管理好DNS服務(wù)器，在“區(qū)域復(fù)制”選項(xiàng)中要指定信任的DNS服務(wù)器，千萬(wàn)不可選擇“到所有的DNS服務(wù)器”以防造成數(shù)據(jù)的丟失和泄露。還有一點(diǎn)，如果，此DNS服務(wù)器相對(duì)應(yīng)互聯(lián)網(wǎng)來(lái)說(shuō)非常重要，最好再向輔助DNS服務(wù)器復(fù)制完數(shù)據(jù)之后，將網(wǎng)線斷掉，等到有新的主機(jī)記錄要添加時(shí)，再將網(wǎng)線插上，然后復(fù)制完之后再斷掉。這樣，即使 知道你的DNS服務(wù)器地址，也沒(méi)辦法進(jìn)行攻擊，因?yàn)�，輔助DNS是不允許更改的。

全國(guó)13臺(tái)根中，其中就有一臺(tái)為主DNS服務(wù)器，放置在美國(guó)，其它的都為輔助DNS服務(wù)器，分布在不同的國(guó)家。而主DNS服務(wù)器的網(wǎng)絡(luò)一直是斷開(kāi)的，起主導(dǎo)作用的只是那12臺(tái)輔助DNS,當(dāng)其中的一臺(tái)DNS脫機(jī)了，才會(huì)將主DNS服務(wù)器的網(wǎng)線插上，將數(shù)據(jù)復(fù)制過(guò)去，然后再將網(wǎng)線斷開(kāi)，這樣做是決定安全的。

出處: http://dreamfire.blog.51cto.com/418026/142496