一起学DNS系列六详解正向反向查找区域.docx

1、一起学DNS系列六详解正向反向查找区域上节演示了正向和反向区域的创建过程，本节开始着重讨论2者的属性，即区域属性，我们将以正向区域的属性为主，当然两者属性并非完全一样，区别之处会另作讲解。正向查找区域（Forward Lookup Zone） 打开区域的属性，如下图：首先是【常规】选项卡，这也算是Windows的一个特色了，很多设置界面的第一个选项卡通常都是这样的。在这个选项卡里，我们需要关注以下几个属性。首先，我们可以修改当前区域的类型，如下图：在这里选项里，我们可以把当前的这个区域的类型改成辅助区域或存根区域，这个设置比较重要，所以下一节将讲解和演示辅助区域和存根区域的操作过程。这几个区域

2、类型的基本概念在上一节里已有所提及，这里就不再重复了。一般情况下，我们在创建区域的初期就需要规划好区域的类型，减少改动的频次，同时也可以避免不少麻烦的产生，这里我们使用默认值即可。最后一个设置是灰色的，是因为此区域并非建立在域环境下所以无法选择。同样在第一个图中的复制也不可选，工作组环境下无法将区域设置集成到活动目录中。再来看一下区域文件名，如下图：默认的区域文件名的名称由两部分组成，即【区域名称】和字符【dns】，中间用一个句点衔接。当然，我们也可以在这个设置里直接更改，比如在名称后面加一些字符，如下图：可以看到我已经修改了区域文件名，那原来的.dns呢？被覆盖了吗？其实并非如此，我们可以到

3、c:windowssystemdns目录里下看一下DNS的系统文件。如下图：从上图得知，原来的文件并没有丢失，改变名称对其的影响只是将原来的文件复制一份，并把名称变成了.dnsqq，内容还是一样的。而且请大家注意，这个文件的文件类型是DNSQQ文件，是以后半部分名称来命名的。可见，此文件是一类无扩展名的文件类型。我们利用notepad打开这个配置文件，看看里面记录了什么信息。如下图：在这个图中，我们可以把文件分为三部分，具体内容已经用蓝色字标明，其实这部分内容也就是这个区域的数据的体现，这个正好可以和DNS管理器下的3个记录一一对照，上图中的三个箭头也指明了各自的对应关系。其实，第一和第二部分

4、内容也就是区域属性里的【起始授权机构】与【名称服务器】选项卡的内容。在区域名称下方，我们可以设置这个区域是否允许动态更新，如下图：所谓动态更新，也就是说当客户机的IP或主机名发生变化时，对应的A记录或其他记录是否会自动更新，在工作组模式下，只能选择【无】或【非安全】两种类型，因为这种模式无法对客户端的身份进行验证，但在域环境下就可以实现【安全】的自动更新，关于这部分内容会在第八节里详细说明。【常规】页的最后一个选项是【老化】，点选后如下图：此选项是针对本区域内的记录设置的老化时间，当然我们也可以针对整个DNS服务器，也就是所有区域进行相应设置。当我们启用老化设置后，系统会创建一个时间戳，当DH

5、CP客户端或服务器为区域里的A记录进行动态更新时，会更新这个时间戳，也就是我们设置老化选项的时间点。这里要提一点，手工创建的记录的时间戳为0，即不会老化。图中的两个选项，【无刷新间隔】意为以上一次时间戳为起点，在一段时间内拒绝重复刷新时间戳，也就是说如果设置为7天，上一次刷新是在1月10号的零点，那么在7天内，及时有刷新，系统也不会更新这个时间点，依然是1月10号的零点。在【无刷新间隔】后就是【刷新间隔】，这个时间设置意义在于，在某个时间段内，允许DNS客户端刷新资源记录且记录不会被清除掉。反之，如果超过了【无刷新间隔】和【刷新间隔】之后，没有被DNS客户端刷新，那么这些记录将会被DNS服务器

6、清掉。通常，设置【刷新间隔】要大于或等于【无刷新间隔】。依据这些理论基础，如果启用上述的老化选项，当DNS客户端14天后依然没有被刷新，那么这些记录将被清掉。我们来看下一个选项卡，即【起始授权机构SOA】。如下图：所谓SOA记录，即起始授权机构，字面上看有些不易理解，其实我们可以从个两方面来形象化理解SOA。首先对于服务器而言，SOA记录类似一个基本的基础数据记录点，当DNS服务器启动时会读取SOA记录，以确定一些关键信息，比如指派给此区域的DNS服务器的主机名称、以及负责该区域的人员名称等，这2个属性我们都可以手工进行添加。另一方面，当DNS客户端在更改或刷新本机的网络地址、主机名称时候，都

7、会向自身的DNS服务器发起一个针对SOA记录的标准查询，目的是向DNS更新自己的记录，此时，如果DNS配置了自动更新，则会刷新本机的DNS记录。此后会有单独分析和讲解DNS相关命令的章节，敬请关注！ 在这个属性页中，有一个比较关键的属性即序列号，它的用途是在使用到区域传输时，依靠序列号的大小来判断DNS区域文件版本的新旧。当修改区域名称、增加或删除记录，或者手动对版本号进行调整时，版本号都会发生变化。此时，如果我们在另一台DNS服务器上创建了本区域的辅助区域，则辅助区域会在固定间隔时间内查询主DNS服务器并获取序列号，以确定主DNS的区域版本号是否大于自己的序列号，若大于，则会向主DNS发起区

8、域复制。而这个固定时间就是上图中第二个红框所框选的内容。具体如下： 所谓刷新间隔，也就是辅助区域查询主区域以获取更新内容的时间周期。重试间隔生效的基础是在刷新间隔后区域复制失败，辅助区域重试时需要等待的时间，默认为10分钟。过期时间则相对较长，因为这个是当辅助DNS无法联系到主DNS时，允许利用自身的区域信息来答复DNS客户端请求的时间，超过此时间，辅助服务器则会将自身的本地数据当作不可靠数据。最后一个参数是最小（默认）TTL，此记录是应用到此区域内所有资源记录的生存时间，当TTL过期时，该DNS服务器将丢弃此记录的缓存。在最下方的TTL值是SOA记录的TTL值，当同时设置着连个TTL时，SO

9、A记录的TTL值将覆盖最小（默认）TTL数值。 回过头来看，这一部分讲到了2个易混淆的概念，区域传输和区域复制。两者相互影响，区域复制是区域传输实现的前提，我们所说的区域传输，主要指的是2部分，1、将一个区域文件传送给一台或多台服务器；2、区域文件从主DNS区域传输给它的辅助DNS区域。如果不开启区域复制的功能，则主、辅DNS间无法实现区域文件的传输。而在区域复制时，我们还可以对这个复制进行更细化的设置，比如可以允许全部复制，还可以只复制更新的部分，这些都是出于优化和利用服务器资源的目的。这部分内容的设置是在最后一个选项卡【区域复制】中，说到了区域的传输，所以这就顺带把这个也提一下，设置界面如

10、下图：这部分内容比较好理解，我们可以限定的复制范围，比如到部分或所有服务器。我们再回过头来看剩余的两个选项卡，【名称服务器】和【WINS】。首先看一下【名称服务器】，如下图：名称服务器里会列出本区域内的主DNS服务器，目的在于指定此DNS区域中的权威DNS服务器是那一台。当然，我们也手工可以进行添加。下图是最后一个属性：这个设置的目的是当DNS无法解析某一主机的FQDN时，DNS会使用已配置的WINS，并通过查询WINS的NETBIOS名称空间记录来辅助查找对应FQDN的主机名，相当于多了一种解析的方式。不过现在我们很少去用到WINS来辅助DNS查找名词，所以通常这一项都是默认不需要设置。反向

11、查找区域（Reverse Lookup Zone） 相对于正向查找，反向查找区域用的相对较少，这个功能可以允许客户端通过查询IP地址得到对应的名称，反向查询的类型我们称之为PTR（Poniter），所以反向查询也被称为指针查询。在DNS系统里，一个反向地址对应一个PTR记录（与A记录相对应）。反向查询的整个结构和整个DNS域树结构相似，但不同的是根节点不是单纯的一个【.】，而是.in-addr.arpa.，这部分是固定不变的。 之所以需要设置这样一个域来实现反向解析，主要是考虑到如果按照正向解析的结果进行反查，那么当DNS名称空间异常庞大时，遍历整个空间来查询某一个IP对应的计算机名称时将会异

12、常缓慢，从而影响整个DNS名称空间的解析性能。因此在DNS标准中就定义一个特殊的域，即in-addr.arpa，对应的子域则是反向构造的点分十进制的IP地址。也就是说当需要添加新的PTR记录时，只需要将对应的IP地址倒置即可。比如IP为192.168.1.2的反向记录，即表示为2.1.168.192.in-addr.arpa。 上面说了有关反向区域的一些知识点，由于正、反区域的属性选项很类似，这里只说一下不同之处。由于反向区域的特殊性，因此对应的区域文件也与正向区域有2处不尽相同。如下图：红框中标记的就是反向区域的文件，此区域内创建的A记录的PTR记录都会存在于此文件中。如下图：还有个区别就是在WINS辅助解析选项卡，如下图：其实，WIN-R就是WINS的反向解析，R即为Reverse之意。本文简要的分析了一下正向、反向区域的各个属性选项，可能有的知识点没有说的很详细，不过后面的章节仍会再次碰到这些内容。下一节会演示辅助区域和存根区域的使用，敬请期待。谢谢！本文出自 “许一君的原创技术博客” 博客，请务必保留此出处