美文网首页
DNS 知识

DNS 知识

作者: TimLi_51bb | 来源:发表于2020-07-06 22:43 被阅读0次

    A记录就是把一个域名解析到一个IP地址(Address,特制数字IP地址),而CNAME记录就是把域名解析到另外一个域名。其功能是差不多,CNAME将几个主机名指向一个别名,其实跟指向IP地址是一样的,因为这个别名也要做一个A记录的。但是使用CNAME记录可以很方便地变更IP地址。如果一台服务器有100个网站,他们都做了别名,该台服务器变更IP时,只需要变更别名的A记录就可以了。

    A记录: 将域名指向一个IPv4地址(例如:100.100.100.100),需要增加A记录

    CNAME记录: 如果将域名指向一个域名,实现与被指向域名相同的访问效果,需要增加CNAME记录。这个域名一般是主机服务商提供的一个域名

    MX记录: 建立电子邮箱服务,将指向邮件服务器地址,需要设置MX记录。建立邮箱时,一般会根据邮箱服务商提供的MX记录填写此记录

    NS记录: 域名解析服务器记录,如果要将子域名指定某个域名服务器来解析,需要设置NS记录

    TXT记录: 可任意填写,可为空。一般做一些验证记录时会使用此项,如:做SPF(反垃圾邮件)记录

    AAAA记录: 将主机名(或域名)指向一个IPv6地址(例如:ff03:0:0:0:0:0:0:c1),需要添加AAAA记录

    SRV记录: 添加服务记录服务器服务记录时会添加此项,SRV记录了哪台计算机提供了哪个服务。格式为:服务的名字.协议的类型(例如:_example-server._tcp)。

    SOA记录: SOA叫做起始授权机构记录,NS用于标识多台域名解析服务器,SOA记录用于在众多NS记录中那一台是主服务器

    PTR记录: PTR记录是A记录的逆向记录,又称做IP反查记录或指针记录,负责将IP反向解析为域名

    DKIM(Domain Keys Identified Mail)的主要目的是防止其他用户仿冒用户的邮件地址来诈骗其他用户。DKIM 使用私钥加密传出邮件的邮件头。在邮件头中,将签名域或出站域作为 d = 字段中的值插入,同时通过域 DNS 记录发布公钥。收件人通过对收取邮件的 d = 字段信息,在 DNS 中查找公钥,进行解码签名的动作,对邮件进行身份验证。确认邮件是你发送的,而不是假冒你的域的欺骗程序发送的。

    等待1个小时以上,用已开启DKIM的邮箱发邮件,在收件人中检查邮件头,看是否有 DKIM-Signature 内容。

    总结:

    1. 垃圾邮件中的仿冒邮件,邮件头中的信息很多都可能被仿冒,只有received和邮件服务自行添加的X-fields字段可以信任。 

    2. 建议同时启用SPF+DKIM+DMARC,但有效的反垃圾邮件需要配合用户教育连接筛选器,垃圾邮件筛选器设置和邮件流规则等操作。 

    DKIM(DomainKeys Identified Message)

    DKIM基于公钥算法,存在一对密钥:私钥和公钥。私钥保存在O365,公钥以Cname记录方式公布到DNS。

    DKIM使用私钥将加密的签名插入邮件头。在邮件头中,将签名域或出站域作为d =字段中的值插入。收件方使用d =字段从 DNS 中查找公钥,对邮件进行身份验证。如果邮件已经过验证,则 DKIM 检查通过。 对于入站邮件,O365会对邮件进行验证,并添加类似如下标头。 

    Authentication-Results: <contoso.com>; dkim=pass (signature was verified) header.d=example.com;

    但是不会根据验证跳过或失败对邮件进行操作,且DKIM记录中也没有可以设置对于垃圾邮件如何处理的语法。如需根据DKIM验证结果对邮件进行处理,请新建邮件流规则。 例如,一个重要客户已经部署DKIM,我们需要阻止别人仿冒客户域名发送垃圾邮件。 

    DMARC(Domain-based Message Authentication, Reporting&Conformance)

    要求至少SPF和DKIM其中之一已经部署,建议同时开启。

    _dmarc.contoso.com 3600 IN  TXT  "v=DMARC1; p=none/quarantine/reject"  //指定处理规则 对于入站邮件扫描,Office 365默认开启扫描, 将 p=reject 和 p=quarantine 视为相同方式,如果DMARC设置p=reject, EOP会将邮件标记为垃圾邮件,而不是拒绝。

    Exchange Online Protection (EOP) 是基于云的电子邮件筛选服务,可帮助企业防御垃圾邮件和恶意邮件,并包括用于保护企业避免违反邮件策略的功能。EOP 可以简化对邮件环境的管理,缓解由于维护内部部署硬件和软件而产生的许多负担。

    以下是使用 EOP 进行邮件保护的主要方式:

    在“独立”方案中,EOP 为您的内部部署 Microsoft Exchange Server 2013 环境、旧版 Exchange Server,或任何其他内部部署 SMTP 电子邮件解决方案提供基于云的电子邮件保护。

    作为 Microsoft Exchange Online 的一部分。默认情况下,EOP 保护 Microsoft Exchange Online 云托管的邮箱。

    在混合部署中,当您的邮箱为内部部署和云邮箱的混合时,可以对 EOP 进行配置以保护您的邮件环境并控制邮件路由。

    EOP的工作方式,参考下图:

    传入的邮件最初会通过连接筛选,检查发件人信誉以及邮件是否包含恶意软件。大多数垃圾邮件在这时就会被 EOP 阻止并删除。邮件继续通过策略筛选,此处将根据您创建的或从模板执行的自定义传输规则对邮件进行评估。例如,您可以将规则设置为当收到来自特定发件人的邮件时向管理器发送通知。(如果您具有该功能,此时还将执行数据丢失预防检查;有关功能可用性的信息,请参考微软的 Exchange Online Protection 服务说明。)接下来,邮件会通过内容筛选,此处会检查邮件内容是否包含垃圾邮件常见的术语或属性。被内容筛选器确定为垃圾邮件的邮件可以根据您的设置,发送到用户的垃圾邮件文件夹或隔离文件夹等。邮件成功通过所有这些保护层之后,将传递到收件人。

    显性URL转发记录: 将域名指向一个http(s)协议地址,访问域名时,自动跳转至目标地址。例如:将www.liuht.cn显性转发到www.itbilu.com后,访问www.liuht.cn时,地址栏显示的地址为:www.itbilu.com。

    隐性UR转发记录L: 将域名指向一个http(s)协议地址,访问域名时,自动跳转至目标地址,隐性转发会隐藏真实的目标地址。例如:将www.liuht.cn显性转发到www.itbilu.com后,访问www.liuht.cn时,地址栏显示的地址仍然是:www.liuht.cn。

    递归查询——在递归查询中,DNS客户机要求DNS服务器(通常是DNS递归解析器)用请求的资源记录或错误消息响应客户机(如果解析器找不到记录)。

    迭代查询——在这种情况下,DNS客户机将允许DNS服务器返回它所能返回的最佳答案。如果查询的DNS服务器与查询名称不匹配,它将返回对较低级别域名称空间的DNS服务器权威机构的引用。然后DNS客户机将对引用地址进行查询。这个过程继续下去,在查询链中添加DNS服务器,直到出现错误或超时。

    第一,主机向本地域名服务器的查询一般都是采用递归查询(recursive query)。所谓的递归查询就是:如果主机所询问的本地域名服务器不知道被查询域名的IP地址,那么本地域名服务器就以DNS客户的身份,向其他根域名服务器继续发出查询请求报文(即替该主机继续查询),而不是让该主机自己进行下一步查询。因此,递归查询返回的查询结果或者所要查询的IP地址,或者是报错,表示无法查询到所需的IP地址。

    第二,本地域名服务器向根域名服务器的查询通常都是迭代查询(interative query)。迭代查询的特点是:当根域名服务器收到本地域名服务器发出的迭代查询请求报文时,要么给出所要查询的IP地址,要么告诉本地域名服务器下一步需要查询的域名服务器,然后让本地服务器进行后续的查询而不是替本地域名服务器进行后续的查询。根域名服务器通常是把自己知道的顶级域名服务器IP地址告诉本地域名服务器,让本地域名服务器再向对应的顶级域名服务器查询。顶级域名服务器在收到本地域名服务器的查询请求后,要么给出所要查询的IP地址,要么告诉本地域名服务器下一步应当向哪个权限域名服务器进行查询,本地域名服务器就这样进行迭代查询。最后,知道了所要解析的域名的IP地址吗,然后把这个结果返回给发起查询的主机。当然,本地域名服务器也可以采用递归查询,这取决于最初的查询请求报文的设置是要求使用哪一种查询方式。

    举个例子说明一下两种查询的区别,假定域名为m.xyz.com的主机想要知道另一台主机(域名为www.baidu.com)的IP地址,下图表示几个查询的步骤:

     (1) 主机m.xyz.com先向其本地域名服务器dns.xyz.com进行递归查询。

      (2) 本地域名服务器采用迭代查询。它向一个根域名服务器查询。

      (3) 根域名服务器告诉本地域名服务器,下一次应查询的顶级域名服务器dns.com的IP地址。

      (4) 本地域名服务器向顶级域名服务器dns.com进行查询。

      (5 顶级域名服务器dns.com告诉本地域名服务器,下一次查询的权限域名服务器的dns.baidu.com的IP地址。

      (6) 本地域名服务器向权限域名服务器dns.baidu.com进行查询。

      (7) 权限域名服务器dns.baidu.com告诉本地域名服务器,所查询的主机的IP地址。

      (8) 本地域名服务器dns.xyz.com最后把查询结果告知主机m.xyz.com。

    DNSSEC是一套“ 域名系统安全扩展 ”(DNSSEC,Domain Name System Security Extensions) ,能让“ 域名系统 ”(DNS,Domain Name System)客户端进行身份验证以及检查来自 DNS 域名服务器响应的完整性,以此鉴定它们的来源,并判断它们是否在传输过程中被篡改过。

    DNS欺骗/缓存中毒:这种攻击将伪造的DNS数据引入DNS解析器的缓存,导致解析器返回不正确的域IP地址。不访问正确的网站,流量可能被转移到恶意机器或攻击者希望的任何地方;通常这将是原始站点的副本,用于恶意目的,如分发恶意软件或收集登录信息。

    DNS隧道:此攻击使用其他协议隧道通过DNS查询和响应。攻击者可以使用SSH、TCP或HTTP将恶意软件或窃取的信息传递到DNS查询中,而大多数防火墙都无法检测到。

    DNS劫持:在DNS劫持中,攻击者将查询重定向到不同的域名服务器。这可以通过恶意软件或未经授权修改DNS服务器来实现。虽然结果与DNS欺骗相似,但这是一种根本不同的攻击,因为它针对的是域名服务器上的网站DNS记录,而不是解析器的缓存。

    什么是循环DNS?

    循环DNS是一种负载平衡技术,其中平衡由一种称为权威名称服务器的DNS服务器完成,而不是使用专用的负载平衡硬件。当网站或服务的内容托管在多个冗余Web服务器上时,可以使用循环DNS; 当查询DNS权威名称服务器的IP地址时,服务器每次都会发出不同的地址,在轮换时进行操作。当冗余Web服务器在地理上分离时,这尤其有用,这使得传统的负载平衡变得困难。循环法以其易于实现而闻名,但它也有很大的缺点。

    Round-Robin DNS的缺点是什么?

    由于DNS缓存和客户端缓存,循环方法并不总是提供均匀分布的负载平衡。如果用户对特定网站的特定高流量递归解析器进行DNS查询 ,则该解析器将缓存网站的IP,从而可能向该IP发送大量流量。

    另一个缺点是循环不能依赖于现场可靠性; 如果其中一个服务器出现故障,DNS服务器仍会将该服务器的IP保持在循环轮换中。因此,如果有6台服务器,其中一台脱机,则六分之一的用户将被拒绝服务。此外,循环DNS不考虑服务器负载,事务时间,地理距离以及可以配置传统负载平衡的其他因素。

    一些高级循环服务有一些方法可以克服一些缺点,例如能够检测到无响应的服务器并使它们脱离循环轮换,但是无法解决缓存问题。许多DNS提供商,如Cloudflare DNS

    什么是主DNS服务器和辅助DNS服务器?

    设置DNS服务器时,服务器管理员可以选择是将DNS服务器指定为主服务器还是辅助服务器(也称为从服务器)。在某些情况下,服务器可以是一个区域的主要服务器,也可以是另一个区域的辅助服

    主服务器托管控制区域文件,该文件包含域的所有权威信息(这意味着它是重要信息的可信源,例如域的IP地址)。这包括重要信息,例如域的IP地址以及负责该域管理的人员。主服务器直接从本地文件获取此信息。只能在主服务器上更改区域的DNS记录,然后主服务器才能更新辅助服务器。

    辅助服务器包含区域文件的只读副本,它们通过称为区域传输的通信从主服务器获取其信息。每个区域只能有一个主DNS服务器,但它可以有任意数量的辅助DNS服务器。无法在辅助服务器上更改区域的DNS记录,但在某些情况下,辅助服务器可以将更改请求传递到主服务器。

    为什么要有辅助DNS服务器?

    主DNS服务器包含所有相关资源记录,并且可以处理域的DNS查询,但是标准(并且许多注册商需要)至少具有一个辅助DNS服务器。这些辅助服务器的好处是它们在主DNS服务器关闭时提供冗余,并且它们还有助于将请求的负载分配到域,以便主服务器不会过载,这可能导致拒绝 -服务。他们可以使用循环DNS来实现这一点,循环DNS是一种负载平衡技术,旨在为群集中的每个服务器发送大致相等的流量。了解Cloudflare的DNS如何防范拒绝服务攻击

    什么是反向DNS查找用于?

    电子邮件服务器经常使用反向查找。许多电子邮件服务器将拒绝来自任何不支持反向查找的服务器的消息。这是因为垃圾邮件发送者通常使用无效的IP,因此这些电子邮件服务器会在将邮件发送到网络之前检查并查看邮件是否来自有效的服务器。

    记录软件采用反向查找也很常见,以便为用户提供日志数据中的人类可读域,而不是一堆数字IP地址。

    反向DNS如何工作?

    反向DNS查询查询DNS服务器以获取PTR(指针)记录; 如果服务器没有PTR记录,则无法解析反向查找。PTR记录存储的IP地址与其段相反,并且它们附加'.in-addr.arpa'。例如,如果域的IP地址为1.2.3.4,则PTR记录将该信息存储为4.3.2.1.in-addr.arpa。

    问题

    DNS在进行区域传输的时候使用TCP,普通的查询使用UDP。为什么查询是使用UDP呢?网络上大部分答案都说UDP性能更好,打开网页速度快。如果是这样的话,为什么HTTP却是使用TCP呢?

    衡量计算机通信快慢的指标是“响应时间”,即从用户发出通信指令(输入网址敲回车键)开始,到用户看到完整页面为止,所流逝的时间。

    响应时间(ResponseTime)

    以浏览器为例,这个响应时间大体分为三部分:

    响应时间= DNS域名解析时间+ TCP 连接建立时间 + HTTP交易时间

    如果让响应时间尽可能小,只有让等号右侧的三者尽可能小。

    TCP连接是固定的三次握手,所以很难有进一步缩小的空间。

    HTTP交易,基于Request / Response,也很难有提升的空间。

    所以,只能让DNS域名解析的时间越小越好。

    域名解析

    采用TCP传输,则域名解析时间为:

    DNS域名解析时间 = TCP连接时间 + DNS交易时间

    采用UDP传输,则域名解析时间为:

    DNS域名解析时间 = DNS交易时间

    很显然,采用UDP传输,DNS域名解析时间更小。

    不就多一次TCP连接时间吗?

    NO!

    在很多时候,用户在访问一些冷门网站时,由于DNS服务器没有冷门网站的解析缓存,需要到域名根服务器、一级域名服务器、二级域名服务器迭代查询,直到查询到冷门网站的权威服务器,这中间可能涉及到多次的查询。

    如果使用TCP传输,多几次查询,就多几次TCP连接时间,这多出来的时间不容小觑。

    UDP传输的弱点

    由于历史的原因,互联网上物理链路的最小MTU = 576,基于UDP传输的DNS为了限制报文不超过576,所以将DNS报文限制在512字节。

    这样一旦DNS查询应答超过512字节,基于UDP的DNS就只有截短为512字节,那么用户得到的DNS应答就是不完整的。

    为了克服这种困难,最简单的方式就是使用TCP,来重新查询。尽管交易时间可能比较长,但毕竟可以得到完整的答案,总比得到不完整的答案要好。

    难道UDP没有办法传输超过大于576字节的数据吗?

    并不是这样。

    DNS是由于自身的限制,原因上述文字已经解释。

    当基于UDP传输的DNS有1000字节需要传输时,会将1000字节砍成两个500字节的报文传输?

    不会!只会保留前面的512字节,剩下的488字节会抛弃!

    为什么要这样?

    DNS没有字段来标识报文ID,比如1、2、3,所以默认只有一个报文,剩下的多余数据只有被扔的份!

    互联网的不安全性

    互联网经过多年的发展,鱼龙混杂,欺骗横行,用户的域名服务器是8.8.8.8,用户能够拍着胸脯说,从8.8.8.8返回的DNS应答真的就是8.8.8.8回答的吗?

    不能!

    无论是采用UDP、还是TCP传输,都无法保证!

    怎么办呢?

    如果8.8.8.8 返回的应答,使用自己的私钥签名,那么主机得到应答之后,先检查签名是否来自于8.8.8.8的签名,如果是,接收。如果不是,拒绝!

    这样是不是就可以拍着胸脯说,应答真的是来自于8.8.8.8。

    但签名带来了很多负面问题,DNS应答由于携带了证书链,整个报文有几千字节,无法使用UDP传输,那也只好使用TCP传输了。

    总结一下

    使用UDP传输是由于效率高,传输小于等于512字节报文。

    使用TCP传输是由于可以传输大于512字节报文。

    使用签名是保证数据来源的可靠性。

    使用TCP传输,同样是可以传输证书链、签名。

    使用UDP同样可以传输远远大于576字节的数据,只要应用程序可以标识数据ID。

    DNS解析外网域名很慢

    1.在较大的环境中,每个物理站点上至少有两个域控制器应该是DNS服务器。这将在一个DC意外离线时提供冗余。请注意,必须配置已加入域的计算机使用多个DNS服务器才能利用此优势。

    2.如果将多个DC配置为DNS服务器,则应将它们配置为首先相互使用对方进行解析,其次才使用自己。每个DC的DNS服务器列表应包括自己的地址,但不应作为列表中的第一个服务器。如果某个DC只使用自身进行解析,它可能会停止与其他DC进行复制。这在只有一个DC的域中显然不是问题。

    3.所有已加入域的计算机必须只使用内部DNS服务器。如果将已加入域的计算机配置为使用外部服务器作为备用DNS服务器,则暂时缺乏与内部DNS服务器的连接将导致该计算机开始使用外部服务器进行解析。该外部服务器将无法解析对AD域内任何内容的查询,当连接恢复时,客户端计算机不会自动转回到内部DNS服务器。这通常表现为无法从受影响的计算机访问域中的资源。请注意,如果您使用小型办公/家庭办公(SOHO)路由器向客户端计算机分配DHCP地址,也可能会将外部DNS服务器分配给这些客户端,除非以其他方式进行了手动配置。

    4.使用Active Directory集成的DNS区域来提高安全性并简化DNS复制。

    AD集成的DNS区域存储在Active Directory内的目录分区中。这些目录分区与AD的其余部分一起复制;因此,DNS复制不需要额外的配置(即区域传输设置)。此外,AD集成区域还允许使用安全的动态更新。这可以防止从无法通过域验证的计算机上对DNS记录进行更新。

    5.在连接互联网的环境中,配置转发器或根目录提示进行外部名称解析。转发器对外部查询能提供更快的响应,但与撰写这篇文章时存在的374个广泛分布的根DNS服务器相比,它们的冗余较少。默认情况下,Windows服务器上存在根目录提示,但转发器必须手动配置。 

    6.域中的DNS服务器不应彼此用作转发器。转发器是DNS服务器向其发送自身无法回答的查询(即对它不寄存区域中的记录的查询)的服务器。域中的DNS服务器通常都寄存相同的区域,因此,如果其中一个无法回答给定的查询,则它们全都无法做到,将该查询从一个服务器转发到另一个服务器只会造成延迟。

    7.配置老化和清理,以避免陈旧的DNS记录。

    正确配置老化和清理可确保自动从DNS中清除陈旧记录(那些比某一时限还老的记录,可以进行配置)

    在DNS服务器中,可以针对DNS记录做老化和清理的工作。

    首先要了解一个概念,时间戳

    对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳,但DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时,会刷新时间戳。手动创建的资源记录会分配一个空的时间戳记录,代表他们不会老化.

    我们可以在DNS管理控制台中打开查看的高级选项,然后查看DNS记录。

    动态更新记录的刷新周期请参阅如下表格

    影响域名生效的原因

    原因一:域名状态异常

    域名状态异常会直接影响域名解析生效。可以使用whois工具排查域名状态信息,如果域名状态如果显示为“serverHold”、“clientHold”时,域名均无法解析,原因多为未进行实名认证、域名纠纷、或涉及业务违规被管局处罚等。

    原因二:域名过期

    域名过期,会直接导致域名解析不生效,域名续费后,解析的生效时间取决于TTL的设置,一般10分钟后可以在进行解析生效测试。

    原因三:修改过域名DNS服务器

    修改域名DNS服务器,一般默认需要48小时的全球同步时间后才能完全生效。在修改修改域名DNS服务器48小时内,需要保证DNS数据在新DNS服务商以及旧的DNS服务商保持一致。如果您在旧DNS服务商删除了DNS解析数据,或者您没有在新DNS服务商中添加DNS数据,均会造成域名解析不生效的情况出现。

    原因四:修改过解析记录

    如果修改了解析记录,需要等待各地的运营商Localdns的缓存到期,域名解析才会生效。一般修改解析后的生效时间取决于域名的TTL设置。举例:如下图则可以看到本地DNS的TTL缓存到期时间还有596秒,一般596秒后缓存到期即可获取到最新的解析地址。

    3、DNS区域

    1)域名空间树状结构的一部分,通过它来将域名空间划分为比较容易管理的小区域

    2)一个域可以划分为多个区域,分散管理负担

    4、DNS服务器分类

    1)主DNS服务器(primary DNS server)

    a.可以直接在此区域上添加、删除与修改记录

    b.存储着区域的主副本

    2)辅助DNS服务器(secondary DNS server)

    a.不可以直接在此区域上添加、删除与修改记录

    b.所有记录都是从主DNS服务器复制而来

    3)总结:设置辅助DNS服务器优点:

    a.容错,b.负载均衡,c.加快查询域名解析的速度

    5、“唯缓存”服务器

    6、DNS的查询方式

    1)递归查询(recursive query):由DNS客户端提出的查询一般属性递归查询

    2)迭代查询(iterative query):DNS服务器通过其他DNS服务器所做的查询

    二、DNS服务器的安装与客户端的设置

    1、DNS服务器的安装

    2、DNS客户端的设置

    1)客户端如果设置了首选DNS和备选DNS,其工作机制是怎么样的?

    客户端查询IP地址时,客户端没得到首选DNS的响应时就会与备用DNS服务器通信;当有

    响应但无法解析时,不会与备用DNS服务器通信

    2)如果DNS服务器本身对这台计算机内的提出查询请求,会由DNS服务器本身来提供服务?

    如果服务器本身是DNS服务器,也不一定会由DNS服务器本身来提供服务,这取决于你设定

    的首选DNS和备用DNS的设置情况。

    3、使用HOSTS文件

    三、DNS区域的建立

    1、DNS区域的类型

    1)主要区域,2)辅助区域

    a.默认15分钟辅助区域服务器会自动请求其主服务器来执行区域传送的操作

    b.从主服务器传输:

    常规性的区域传送操作,也就是依据SOA记录内的序号进行判断,若主服务器内有新版本记录,序号值就会增加1个值,那么此时辅助区域内的序号值比主服务器的序号值小,因此就会执行区域传送

    c.从主服务器传送区域的新副本:不理会SOA记录的序号,重新从主服务器复制完整的区域记录

    3)存根区域

    a.存根区域内的SOA、NS、A资源记录是从其主服务器复制过来的。SOA这个记录用于识别

    该区域的主要DNS服务器和其他区域的属性;NS这个记录包含了此区域的权威DNS服务

    器列表;A这个记录包含了此区域的权威DNS服务器的IP地址。

    b.当主服务器发生变化时,它们会通过区域传送的方式复制过来,存根区域在进行区域

    传送时,只会传递上述三个记录内容

    c.A记录会随着NS记录一并被复制到存根区域,否则拥有存根区域的服务器无法解析到授权

    服务器的IP地址。这一条A记录被称为粘附(glue)A资源记录

    d.存根区域的工作过程或用途:

    当DNS客户端发起解析请求时,对于属于所管理的主要区域和辅助区域的解析,DNS服务器向DNS客户端执行权威答复。而对于所管理的存根区域的解析,如果客户端发起

    递归查询,则DNS服务器会使用该存根区域中的资源记录来解析查询。DNS服务器向存根区域的NS资源记录中指定的权威DNS服务器发送迭代查询,仿佛在使用其缓存中的NS资源记录一样;如果DNS服务器找不到其存根区域中的权威DNS服务器,那么DNS服务器则会尝试使用根提示信息进行标准递归查询。如果客户端发起迭代查询,DNS服务器会返回一个包含存根区域中指定服务器的参考信息,而不再进行其他操作。

    2、创建主要区域

    3、在主要区域内新建资源记录

    4、建立辅助区域

    5、建立反向查找区域与反向记录

    6、新建主机的别名资源记录

    1)承担多业务角色, 2)IP地址发生变化时,防止大规模修改主机记录

    7、新建邮件交换器资源记录

    8、子域与委派域

    四、DNS区域的高级设置

    1、更改区域类型与区域文件名,2、SOA与区域传送

    3、名称服务器的设置,4、区域传送的相关设置

    五、动态更新

    1、启用DNS服务器的动态更新功能,2、DNS客户端的动态更新设置

    1)客户端IP地址变更、添加、删除时

    2)DHCP客户端在更新租约时,例如重新启动、执行ipconfig /renew(request)

    3)在客户端执行ipconfig /registerdns

    4)域成员服务器升级为域控制器时

    3、DHCP服务器与DNS动态更新设置

    4、DnsUpdateProxy组

    5、DHCP名称保护

    六、“单标签名称”解析(http://support.apart.sales.birtop.com)

    1、自动附加后缀

    1)主要后缀,2)连接特定后缀,3)自定义后缀     

    七、求助于其他DNS服务器

    1、“根提示”服务器,2、转发器的设置

    八、检测DNS服务器

    1、监视DNS设置是否正常,2、利用Nslookup命令来查看记录, 3、缓存区的清除

    1)服务器端缓存的清除

    2)客户端缓存的清除

    九、DNS的安全防护-DNSSEC(数字签名和加密密钥)

    1、DNSSEC基本概述

    1)确保资源记录的完整性(RRSIG-Resource Record Signature)

    2)确认资源记录的来源是真的授权服务器

    3)确认资源记录不存在的真实性(NSEC-Next SECure)

    2、DNSSEC实例演示

    1)resolve-dnsname dc.birtop.com -server server01 –dnssecok:客户端认识DNSSEC记录信息

    2)Get-DnsServerTrustAnchor birtop.com :解析服务器上检查DNSKEY

    3)Resolve-DnsName -name birtop.com.trustanchors -type dnskey -server server01

    十、清除过期记录

    十一、DNS服务器涉及到的协议和端口

    1、针对客户端的普通查询来讲,客户端查询时所使用的协议是UDP协议,目标端口是53端口

    2、当存在区域传送时,需要使用到的协议是TCP协议,对于主DNS服务器来讲,使用的端口也是53端口

    相关文章

      网友评论

          本文标题:DNS 知识

          本文链接:https://www.haomeiwen.com/subject/mprnqktx.html