dns解决方案Word格式.docx

1、在保证单体DNS服务器稳定的同时，通过各个站点、节点均采用双机或者多机热备的模式，来避免个别DNS出现异常给用户解析带来的影响。 部分用户存在混用DNS问题DNS混用是指用户设置了非本地运营商提供的DNS地址，而造成智能DNS在解析时不能准确的判断其真实的来源。 DNS面临的安全风险如何保障问题目前是采用第三方做授权解析的方式，这就不可避免地存在安全风险，如域名劫持、DNS解析能力、DNS稳定性等架设一套高阳捷讯公司自己的域名解析系统，来解决跨运营商、跨地域访问及解析安全问题，来保障我们两大平台业务的健康快速的发展。2. 重点考虑的问题 架设自己独立的智能域名解析系统（DNS），可以有效地解决

2、上述问题（DNS混用除外），我们在建设智能域名解析系统的时候，需要着重关注下面的问题：2.1 安全稳定问题整个智能域名解析系统（DNS）具有高稳定性和高安全性能；内部互为备份能力；具体有灾备解决方案和灾备能力；具有灾备应急解决方案，并具有快速恢复能力；具有高可用性，具有避免单节点、端口故障的能力；2.2 解析能力问题 整个智能域名解析系统（DNS），需要具备很高的解析处理能力，不仅要满足现有业务的需要，也要具有足够的冗余度，能满足未来业务发展的需要。2.3 快速高效问题不论是我们的电子支付平台还是电子商务平台，都需要DNS系统快速反应，整个智能域名解析系统（DNS）本身需要对解析请求的快速处理

3、，也必须通过智能解析的方式，来避免跨运营商访问，以提高访问速度，同时，也需要通过智能域名解析系统（DNS）的处理，达到按照区域就近访问，以提高访问速度。2.4 线性扩容问题公司业务是快速发展的，公司的客户数量也会随之不断迅速增加的，随之而来的就是对我们两大平台的访问量的迅速增加；一旦智能域名解析系统（DNS）需要扩容时，我们必须考虑扩容成本问题，尽可能做到只增加智能DNS设备及必备的周边设备，不需要增加过大的投入，最好是线性或者接近线性，如将来我们以行政省份为DNS节点的建设，仅DNS设备的数量就是很大的。降低扩容成本就将成为一个重要问题。2.5 管理运维问题委托第三方进行授权解析的方式，无法

4、及时准确地管理DNS，DNS的管理也相对繁琐，不可能做到对DNS的实时管理；2.6 数据分析问题 智能域名解析系统（DNS）数据的统计与分析是非常重要的，对我们两大平台业务的进展情况、客户的分布情况以及相关细节情况都是一个非常好的体现，通过数据分析、统计及深度挖掘，不仅能让我们及时了解现有业务及客户状况，对我们业务的在整体和局部的开展等都有非常好的指导作用。2.7 二次开发问题新建设的智能域名解析系统（DNS），需要与公司现有管理平台等进行对接，才能融为一体，更大地发挥各部分的作用和功能，以满足我们业务发展的需要，这不可避免地需要在系统的的管理、接口、局部功能调整等方面进行二次开发，以便整个智

5、能域名解析系统（DNS）与原有平台和管理系统有机的融合。3. 方案设计方案思路：1、建立以广东省珠海市为中心的智能DNS核心站点；2、建立以广东省珠海市为中心的DNS运营数据挖掘平台；3、分别在广东、上海、四川、西北、东北建立5个骨干站点（具体站点的设置，可根据公司业务发展和分布来进行）；4、从安全的角度考虑，可以将广东站点或者上海站点之一进行扩容，成为北京站点的灾备站点；5、如业务发展需要，增设以大区或者其他方式为单位的DNS节点；具体结构示意图如下：4. 方案说明1、广东省珠海站点：作为整个域名解析系统（DNS）的核心，除负责正常的解析任务外，还承担任何一个DNS站点的备份任务。设计架设4

6、套高端智能DNS设备，前端加设负载均衡设备，同时，架设数据挖掘服务器和存储设备。高端DNS设备：负责处理客户的解析请求负载均衡设备：负责将解析请求分配到每套DNS设备上数据挖掘服务器：负责整个智能DNS系统数据的搜集、整理、分析、报表及深度挖掘存储设备：负责整个智能DNS系统数据的存储2、骨干节点（广州、上海、西北、东北、四川）：分别架设2套高端智能DNS设备，成双机热备模式，承担正常的解析服务3、灾备站点：为了提高整个DNS体系的灾备能力和抵御不可预测灾难的能力，可将广州或者上海站点建设成为整个智能DNS系统的灾备站点，需要扩容至4套智能DNS设备，并在前段增加负载均衡设备，以及DNS运营数

7、据挖掘服务器和存储设备，与北京站点同样的模式4、如业务需要，可以直接按照大区或者其他划分方式，增设DNS站点，并将智能DNS设备架设成双机热备的模式即可。5. 方案优势5.1 整体系统响应快速性1、对用户所有的解析请求，按照DNS规则，平均分配到各站点的智能DNS服务器上进行解析，有效提高了智能DNS服务器的使用效率，同时也考虑到DNS请求峰值的情况出现，避免了个别智能DNS服务器因负载过大而导致的解析速度降低和整体DNS集群运行效率较低的问题；2、在DNS上进行策略配制，限制递归解析请求，提高DNS的使用效率，降低了整个智能DNS集群的负载；3、所有的日志全部在数据挖掘中心上进行存储和分析，

8、降低整个智能DNS服务器群的资源开销，有效减轻整个DNS集群的负载，达到保证DNS集群的响应速度；5.2 整体系统稳定可靠性1、采用数据挖掘中的监控模块，对整套智能DNS群进行监控，可以监控到每个智能DNS服务器的各种指标情况，异常情况进行预警和报警，并以手机短信和邮件的方式，及时通知运维人员进行处理；2、所有连接均采用双线链接模式，端口采用链路聚合模式，避免单点、单路故障，最大可能地保证了整个智能DNS集群的可靠性；3、整个DNS系统架构，充分考虑到了整体的可靠性。每个站点均采用双机或者多级热备的模式，当有任何一台DNS设备出现宕机，热备智能DNS服务器快速接替故障设备；如果单站点宕机，北京

9、站点或者其他站点会立刻接替服务，不会影响到用户解析请求的快速处理，从而最大可能地保证整个智能DNS集群系统的可靠运行；4、根据方案设计要求，我们在整个智能DNS集群上已经考虑到了整个系统的冗余。5.3 整体系统的高安全性单体DNS服务器的安全性硬件：由Intel全球10大嵌入式设备合作商定制提供系统：BSD底层系统，秉承UNIX的安全、稳定性防护：防DDOS攻击、防IP欺骗、防端口攻击运行：内部应用软件自检，故障自动重启功能端口：多网卡链路聚合，线路故障自动切换功能管理：全WEB操作，三级用户权限管理模式整体架构安全性各个DNS站点互为备份，当出现个别站点停电、网络通讯等故障时，其他站点会立刻

10、自动接替工作，不影响用户的正常解析，从而保证了整个DNS系统的安全性。5.4 整体系统的高可用性暴雪娱乐有限公司DNS系统支持HA双机热备模式、双机负载均衡、链路聚合等功能，可以有效保证设备724小时不间断地提供服务；100的通过中文WEB界面、简洁明了的图形用户界面，直观易用，极大地简化了系统配置复杂度。管理员只需要具备一定的DNS知识，就可以快速掌握系统的配置和维护，可以很好的使用这套系统。而且具有操作记录功能，可以跟踪管理员的操作行为。5.5 数据统计分析和挖掘1、暴雪娱乐有限公司DNS设备提供丰富的日志，如：DNS日志、安全日志、系统日志、操作日志和登录日志，通过日志全面评估当前系统的

11、运行状态和故障定位；暴雪娱乐有限公司DNS设备支持图形查询统计，能让您直观的看到当前每秒查询统计。暴雪娱乐有限公司DNS系统支持每个域名在运行期间的查询统计。通过此功能，用户可以直观的看到每个域名、每条线路的查询统计数据，为您的运营提供参考数据。2、整体解决方案专门配置了DNS运营数据挖掘平台，对整个系统内每套DNS设备进行日志数据的搜集和整理，进行统计分析和数据挖掘，可以针对运营商、IP、域名、区域、时间等进行综合统计分析，使我们及时掌握客户分布、客户行为及相关信息，对我们业务的改进和发展有着极其重要的指导作用；同时，DNS运营数据挖掘平台，还可以实时监控整个系统中每套DNS设备的状态，在异

12、常情况下，可以实时报警、预警，以保证整个智能DNS系统的正常运行。5.6 整体系统预警应急处理实易DNS运营数据挖掘平台具有报警、预警功能，可以实时监测出整个DNS系统中不正常的服务器的状态，并通过手机短信进行实时报警，以保证在个别DNS服务器有异常时可以及时处理。5.7 整体系统的可扩展性暴雪娱乐有限公司DNS设备，支持无限级线性扩展，方便我们随时进行整个DNS系统的扩容；本方案的设计考虑到了以后的扩展性，扩容成本低，无论是负载均衡设备，还是智能DNS服务器，我们都可以根据未来整个网络的发展需要，随时方便地进行线性扩容，以适应未来发展的需要。5.8 整体系统二次开发性暴雪娱乐有限公司DNS设

13、备及DNS运营数据挖掘平台均系北京实易科技自主研发的产品，可根据用户的实际需要进行二次开发，以保证与原管理系统的最大融合，使整个智能DNS系统更好地发挥作用。6. 方案实施6.1 整体实施如条件许可，可一步到位，直接建设北京、上海、广东、四川、东北、西北6个站点，具体部署图下图：所需设备：高端智能DNS设备 14套（如增设灾备站点，还需要增加2套设备）数据挖掘服务器 1套（如增设灾备站点，还需要增加1套设备）数据存储设备 1套（如增设灾备站点，还需要增加1套设备）负载均衡设备 1套（如增设灾备站点，还需要增加1套设备）交换机等其他设备及辅助配件另计6.2 分步实施一期实施内容在保障整个DNS系

14、统性能的前提下，首先分别在北京、广东、四川、上海架设4个DNS站点，并做成互为备份的模式。具体如下图：所需设备为：高端智能DNS设备 10套（如增设灾备站点，还需要增加2套设备）二期实施内容 增设东北、西北2个DNS站点，具体如下图：需要增加的设备为：高端智能DNS设备 4套7. DNS混用的解决互联网中DNS的机制是：通过访问请求者的DNS地址来判断访问请求者所使用网络的运营商和所在地域。常规情况下，我们大多数人使用的是运营商自动分配的DNS地址，这个时候，被访问的DNS服务器可以准确地判断出请求者所使用网络的运营商和所在地域，这部分占到80%以上，甚至90%以上；只有少部分熟悉了解计算机和

15、网络人，会在特定的需要的情况下，设定自己的DNS地址，这种情况下，被访问的DNS服务器，就无法准确判断出访问请求者所使用网络的运营商和所属地域，造成了我们所说的“DNS混用”的现象，这部分在访问请求中不足20%，甚至比例更低。通过使用多线路BGP机房的方式，可以有效解决本地的DNS混用问题，具体如下：说明1、用户在访问应用服务时，通过DNS解析返回给用户一个IP地址。2、用户访问请求是，会得到一个属于BGP机房的IP地址，因为这个IP地址属于BGP机房，所以在访问是直接走本运营商的路由，进行访问应用服务3、在同一区域设置托管两组服务器在不同的BGP机房做为互备。优点1、智能DNS解析按区域划分

16、，同一区划的用户解析到本区划的BGP机房。2、在同一区域的服务器做到了集中管理，在同一区域的服务器组减少到了两组。3、减少了DNS的维护负担，同一记录的DNS条目减少到了36条。缺点只能解决部分的DNS混用问题，如果本省的用户设置成外省的DNS时，会解析到外省的BGP机房的服务器上。二、DNS配置由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始设置控制面板添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以

17、点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域

18、控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情

19、况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。“这是一个权限的选择项，在这里，我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows 2000以前的操作系统存在”这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的。这是确认画面，请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确，因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误的话，那么点“下一步”就正式开安装了:几分钟后，安装完成:点完成:点“立即重新启动”。然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是关机和开机的速度明显变慢了，再看一下登陆界面:多出了一个“登陆到”的选择框:进入系统后，右键点击“我的电脑”选“属性”，点“计算机”