Windows_Server_2008_R2_网络架构-第04部分_DNSSEC、RRAS、Dire

第04部分DNS及DNSSECDNS及DNSSEC概述域名介绍DNS的查询过程安装“DNSserver”服务为客户机配置名称解析功能创建区域，配置区域区域委派配置动态更新对DNS服务器进行维护和排故域名称空间域名称空间是一个命名方案，它为DNS数据库提供分层结构。DNS名称空间的基本结构单元是域，每个域由若干主机构成。域名称空间使用类似目录树的树形结构，包括处于顶端的根目录域和从根衍生出来的多层分支根目录域根目录域位于DNS层次结构的顶部，它表示未命名的等级。它有时显示为两个空引号(“”)，以表示空值。在DNS域名中使用时，它由尾部句点(.)表示，以指定该名称位于域层次结构的最高层或根。在这种情况下，DNS域名被认为是完整名称并指向名称树中的确切位置。以这种方式表示的名称称作完全限定的域名(FQDN)。根目录域是顶级DNS域的授权机构。顶级域FQDN右边的第一个单词是顶级域名。最初的7个顶级域和它们表示的资源如下：com商业机构edu北美4年制授予学位的教育机构gov美国政府机构int根据国际条约建立的机构mil美国军事机构net网络机构org非商业机构世界上大多数国家/地区用两个字母的顶级域名表示。如cn代表中国，de代表德国(Deutschland)。二级域二级域是FQDN右边的第二个单词，表示属于特定个人、企业或其它机构的网络。举例：ftp.microsoft.com向Internet注册员注册了二级域名后，就可以在域中自由创建子域和主机了。主机名主机名是指在Internet或私有网络中特定的计算机或其它TCP/IP设备。主机名是FQDN最左边的单词，它描述了主机在域的分层结构中的确切位置。举例：ftp.microsoft.comDNS名称的标准下列是一个有效DNS名称使用的字符:A-Za-z0-9Hyphen(-)域名解析的方式静态的主机名解析是一种传统主机名解析方式，它将大量主机名与IP地址的对应关系存放在一个特定的静态数据库中，任何更新都需要管理员手工输入。动态主机名解析会根据IP地址或主机名的变化，自动在对应的数据库作出更改，从而减少了管理负担DNS的查询过程QueryTypes迭代查询服务器根据它的高速缓中或区域中的数据，返回它能提供的最佳答案。递归查询服务器承担全部工作量和责任，为该查询提供完全的答案。LookupTypes正向查找请求名称映射成IP地址逆向查找请求IP地址映射成名称递归查询如何工作？Computer1Recursivequeryformail1.nwtraders.com172.16.64.11ArecursivequeryisaquerymadetoaDNSserver,inwhichtheDNSclientaskstheDNSservertoprovideacompleteanswertothequeryDNSservercheckstheforwardlookupzoneandcacheforananswertothequeryDatabaseLocalDNSServer迭代查询解析过程Computer1LocalDNSServernwtraders.comRootHint(.).comIterativeQueryAsk.com321DNS属性页的”根提示”创建区域区域区域文件资源记录什么是区域？NwtradersWestSouthSupportSalesTrainingNorth区域类型ZonesDescription主要Read/writecopyofaDNSdatabase辅助Read-onlycopyofaDNSdatabase存根CopyofazonecontaininglimitedrecordsRead/WriteRead-OnlyCopyoflimitedrecords配置活动目录集成区域活动目录集成区域的数据存储在区域数据作为活动目录对象存储。区域数据作为区域复制过程的组成部分被复制。ActiveDirectorynwtraders.msftDNSServerActiveDirectoryIntegratedZoneZone区域文件区域记录文件包含计算机–完全限定域名–IP地址–别名DNSServerZoneDatabaseFile@NScasablanca.africa1.nwtraders.msft.casablancaA192.168.11.1marrakechCNAMEcasablanca.africa1.nwtraders.msft.1.11.168.192.in-addr.arpa.PTRcasablanca.africa1.nwtraders.msft.Record创建查找区域Namespace:training.nwtraders.msft.DNSClient1DNSClient2DNSClient3DNSServerAuthorizedfortrainingForwardzoneTrainingDNSClient1192.168.2.45DNSClient2192.168.2.46DNSClient3192.168.2.47Reversezone1.168.192.in-addr.arpa192.168.2.45DNSClient1192.168.2.46DNSClient2192.168.2.47DNSClient3DNSClient2=?192.168.2.46=?创建查找区域DNSServerIPaddressfornwtraders.msft?IPaddress=192.168.1.50DNSServerNamefor192.168.1.50?Name=nwtraders.msft正向查找区域反向查找区域权威DNS服务器权威DNS服务器指DNS服务器对一个DNS区域文件或区域文件副本具有权威控制权,也就是说对一个区域有权威的服务器有权利对某个查询的结果说yes或no非权威DNS服务器不存储查询区域的区域文件资源记录RecordtypeDescriptionA主机地址(A)资源记录PTR指针(PTR)资源记录SOA起始授权机构(SOA)资源记录SRV服务定位器(SRV)资源记录NS将“所有者”中指定的DNS域名映射到在域中指定的运行DNS服务器的主机名MX邮件交换器(MX)资源记录CNAME规范名(CNAME)资源记录配置标准区域DNSServerAADNSServerBBSecondaryZone(MasterDNSServer=DNSServerA)CDNSServerCSecondaryZone(MasterDNSServer=DNSServerA)PrimaryZoneZoneInformation创建子域创建子域是为了更好的管理你公司的名字空间通过授权，你可以进行下述工作在一个机构内，将对DNS域的数据管理委托给若干各部门委派在维护一个大型DNS数据库时发生的日常管理任务。你可以指派不同的管理员管理子域中的DNS服务器。区域委派Theadministrator,atthenwtraders.comlevelofthenamespace,delegatesauthorityfortraining.nwtraders.comandoffloadsadministrationofDNSforthatpartofthenamespaceDNSserverDNSserverNamespace:training.nwtraders.msfttraining.nwtraders.msftDelegationistheprocessofassigningauthorityoverchilddomainsinyourDNSnamespacetoanotherentitybyaddingrecordsintheDNSdatabasetraining.nwtraders.msftTraining.nwtraders.comnowhasitsownadministratorandDNSservertoresolvequeriesinthatpartofthenamespace/organization动态更新动态更新的概述配置动态更新保护动态更新配置动态更新概述DNS动态更新协议允许客户机自动更新DNS服务器Computer1RequestforIPaddress1AssignIPaddressof192.168.120.1332Computer1192.168.120.133DHCPServerDynamicUpdateDynamicUpdateDNSServer配置动态更新概述ClientsendsSOAquery1DNSserversendszonenameandserverIPaddress2Clientverifiesexistingregistration3DNSserverrespondsbystatingthatregistrationdoesnotexistClientsendsdynamicupdatetoDNSserver5WindowsServer2003WindowsXPWindows2000DNSServerResourceRecords123454配置动态更新概述WindowServer2003RunningDHCPDHCPDown-levelClientDNSServerResourceRecords34DHCPclientmakesanIPleaserequestDHCPservergrantsIPleaseDHCPserverautomaticallygeneratesclient’sFQDNUsingdynamicupdate,theDHCPserverupdatestheDNSforwardandreverserecordsfortheclient1234IPAddressLease12配置转发转发器缓存服务器转发的工作工程AforwarderisaDNSserverdesignatedbyotherinternalDNSserverstoforwardqueriesforresolvingexternaloroffsiteDNSdomainnamesComputer1nwtraders.comRootHint(.).comIterativeQueryAsk.comLocalDNSServerForwarder缓存的工作过程CachingistheprocessoftemporarilystoringrecentlyaccessedinformationinaspecialmemorysubsystemforquickeraccessWhere’sClientA?Client1Client2ClientAClientAisat192.168.8.44Where’sClientA?ClientAisat192.168.8.44CachingTableHostNameIPAddressTTLclientA.contoso.msft.192.168.8.4428secondsDNSSEC（DNS安全扩展）DNS名称解析常见的问题之一是客户端不能分辨合法和非法的DNS信息，这种漏洞被称作欺骗和中间人攻击。DNSSECWindowsServer2008R2和Windows7之间，允许DNS服务器核查DNS记录是否来自单一的区域，并允许客户端和DNS服务器之间建立一种信任关系。DNS服务安全在受保护的DNS区域中的DNS记录包含了一组公共密钥，像DNS资源记录一样，从WindowsServer2008R2的DNS服务器发送到Windows7客户端上。使用这种预配置信任关系，DNS服务器可以获取密钥对中的公共密钥，用于签名区域并验证从区域获取的数据。这种方法可以有效的防止对DNS查询的窃听，对不受信任的DNS服务器返回非法的DNS相应。部署DNSSEC要部署DNSSEC的，需要按照以下步骤进行：了解DNSSEC的重