admin 管理员组

文章数量: 887019

文章预览:

  • 1.配置环境
    • 1.1虚拟环境
    • 1.2域名与IP的分配
  • 2.配置过程
    • 2.1配置静态IP地址
      • 2.1.1 在win server 2012上配置静态IP地址
      • 2.1.2 在客户机(win7)上配置
    • 2.2 安装DNS系统
    • 2.3 DNS正向解析
      • 2.3.1 配置正向解析
      • 2.3.2 建立主机记录
      • 2.3.3 新建别名
      • 2.3.4 新建邮件交换器
      • 2.3.5 更改NS记录
      • 2.3.6验证
    • 2.4 DNS反向解析
      • 2.4.1 新建反向解析区
      • 2.4.2 新建反向主机记录
      • 2.4.3 验证反向解析的结果
    • 2.5 DNS转发器
      • 2.5.1 配置DNS转发器
      • 2.5.2 验证转发器
    • 2.6 主辅域名服务器
      • 2.6.1 主服务器的正向区域传送
      • 2.6.2 主域名服务器的反向区域
      • 2.6.3 辅域名服务器的正向区域
      • 2.6.4 辅助域名服务器的方向区域
      • 2.6.5 查看辅助域名服务器结果
      • 2.6.6 验证
    • 2.7 DNS子域委派
      • 2.7.1 在新DNS服务器上建立正反向解析
      • 2.7.2 新建委派
      • 2.7.3 验证委派
  • 3.存在的安全隐患

1.配置环境

1.1虚拟环境

  • VMware workstation15pro
  • Windows server2012R2 虚拟机(服务器)
  • Windows7 虚拟机(客户机)

1.2域名与IP的分配

  • 主DNS服务器:
    域名:dns1.xhblog
    IP:192.168.61.168
  • 辅助DNS服务器:
    域名:dns2.xhblog
    IP:192.168.61.169
  • web服务器:
    域名:www.xhblog
    IP:192.168.61.208
  • 邮件服务器:
    域名:mail.xhblog
    IP:192.168.61.204
  • 文件服务器:
    域名:ftp.xhblog
    IP:192.168.61.170

2.配置过程

配置过程包含在Windows server 2012R2 上安装DNS系统,进行DNS的正向解析的配置,涉及主机添加,别名,邮件交换记录,NS记录。然后利用客户机对配置的DNS系统进行验证。

2.1配置静态IP地址

因为DNS域名系统,是需要被访问来解析的。如过不配置静态的IP地址,那么IP地址的变换,就会导致服务器不能访问上。

此外服务器默认是禁止ping命令回应的,意思是服务器能ping通客户机,但客户机不能ping通服务器。要使得客户机与服务器联通,则需要在服务器上开启ping命令回应功能。

2.1.1 在win server 2012上配置静态IP地址

  • 配置静态IP地址


  • 开启ping命名回应
    进入「控制面板」–搜索「管理工具」–进入「安全高级Windows防火墙」



    点击「入站规则」–找到「ICMPv4 回显请求」–点击「启用规则」



2.1.2 在客户机(win7)上配置

在win7上需要把DNS指定为Windows server 2012的服务器地址。此外,我这里遇到的情况是客户机默认是IPV6进行DNS解析的,如果要使得客户机能够验证我们配置的DNS服务系统,这里关闭了客户机的的IPV6协议。


  • 配置win7的IP,配置方法与服务器的配置相同


  • 禁用IPV6协议



2.2 安装DNS系统

  • 打开服务器–>添加角色和功能–>进入「添加角色和功能导向」–>点击「下一步」



  • 选择好安装类型


  • 服务器选择


  • 选择「服务器角色」


  • 选择「功能」


  • 选择「DNS服务器」



    *点击「安装」




2.3 DNS正向解析

2.3.1 配置正向解析

  • 进入DNS工具







2.3.2 建立主机记录

为不同的域名建立对应主机IP

2.3.3 新建别名

就是不同域名拥有相同的IP地址一样,比如你的学名与小名都是指代你。
为www新建别名

2.3.4 新建邮件交换器

邮件交换记录
邮件交换记录。用于将以该域名为结尾的电子邮件指向对应的邮件服务器以进行处理。


例子1
用户所用的邮件是以域名mydomain为结尾的,则需要在管理界面中添加该域名的MX记录来处理所有以@mydomain结尾的邮件。


2.3.5 更改NS记录

解析服务器记录。用来表明由哪台服务器对该域名进行解析。这里的NS记录只对子域名生效。

例如用户希望由12.34.56.78这台服务器解析news.mydomain,则需要设置news.mydomain的NS记录


2.3.6验证

  • 进入win7客户机,打开cmd命令窗口

2.4 DNS反向解析

DNS方向解析是把域名转化为IP地址的过程

2.4.1 新建反向解析区

反向解析的区的建立,与正向解析区的建立相同,只不过是在「反向查找区域」进行建立。

2.4.2 新建反向主机记录

  • 通过新建指针来进行IP地址到域名地址的转换

  • 添加指针记录
    方法一:输入ip地址与对应的域名

    方法二:通过预览添加

  • 给所有的域名都添加方向解析

2.4.3 验证反向解析的结果

在win7虚拟机中进行入lookup进行验证,

2.5 DNS转发器

DNS转发器是指将,本地DNS不能解析的域名转发到另一台DNS服务器,另一台解析的结果返回到本地DNS,是非权威应答。是迭代查询的方式。

2.5.1 配置DNS转发器

2.5.2 验证转发器

我们在另一台DNS服务器上建立了一个主机(www.cqu),是本地DNS上没有记录的。所以本地DNS通过转发器来获取IP。

2.6 主辅域名服务器

设置主辅域名服务器蛀主要是预防在主域名服务器出现故障的时候,辅助域名服务器可以及时的顶替上来进行使用。

2.6.1 主服务器的正向区域传送

  • 配置允许区域传送的辅助域名服务器的IP地址

  • 设置接受区域更新的辅助域名服务器

2.6.2 主域名服务器的反向区域

设置方式与正向辅助区的设置方式相同

  • 设置区域服务器
  • 设置通知的辅助服务器

2.6.3 辅域名服务器的正向区域

在新的一台DNS服务器上,右击「正向查找区域」选择「新建区域」,点击下一步然后选择「辅助区域」

  • 区域名称要与主域名服务器的一样
  • 设置主域名服务器的IP地址

2.6.4 辅助域名服务器的方向区域

  • 右击「反向查找区域」选择「新建区域」,点击下一步然后选择「辅助区域」
  • 选择IPv4反向查找
  • 输入反向查找的区域ID
  • 选择复制的区域的主服务器

2.6.5 查看辅助域名服务器结果

可见,正向与反向都已经复制过来

2.6.6 验证

使用win7作为客户机进行测试。

  • 停止主域名的DNS服务

  • 在客户机上设置备用服务器

  • 验证结果

2.7 DNS子域委派

通过把下级域名的解析委派给下级域名服务器,由下级域名来进行解析。如果是自己的解析的结果则是权威应答,如果是下级解析,那么是非权威应答。该方式「递归查询」

2.7.1 在新DNS服务器上建立正反向解析

新建正反向的解析区域,参考上面的建立的过程

  • 添加dns3的主机指针,

2.7.2 新建委派

  • 新建委派

2.7.3 验证委派

  • 修改客户机的DNS服务器为dns3
  • 访问子域的web服务器
    得到的是非权威应答,是dns3把域名解析委派给dns1进行解析,得到的非权威应答。此过程是「递归查询」

3.存在的安全隐患

  • 1.DDOS攻击:大量的DNS服务器的访问,使其资源被占用完。方案:WAF进行流量过滤,云服务,流量限制等
  • 2.DNS缓存中毒:修改DNS的缓存表
  • 3.DNS劫持:把对原DNS服务器请求改变到恶意的DNS服务器 方案: 使用签名与认证
  • 4.DNS嗅探:通过DNS获取网络拓扑图,获取网络的环境。

本文标签: 系统 Server Windows DNS