《现代操作系统与网络服务管理》课件第9章 DNS服务器配置与管理.ppt
《《现代操作系统与网络服务管理》课件第9章 DNS服务器配置与管理.ppt》由会员分享,可在线阅读,更多相关《《现代操作系统与网络服务管理》课件第9章 DNS服务器配置与管理.ppt(82页珍藏版)》请在文库网上搜索。
1、第第9章章 DNS服务器配置与管理服务器配置与管理9.1 计算机名称与名称解析计算机名称与名称解析9.2 WINS概念及工作原理概念及工作原理9.3 DNS的基本概念与原理的基本概念与原理9.4 Windows Server 2008 DNS服务器的安服务器的安装与配置装与配置9.5 Linux中中DNS服务器的安装和配置服务器的安装和配置9.1 计算机名称与名称解析计算机名称与名称解析1、计算机名称在网络系统中,计算机名称的一般存在着以下三种形式:(1)计算机名(LocalHostName)。要查看和设置本地计算机名,可以打开计算机“属性”对话框或在命令行输入hostname命令。(2)Ne
2、tBIOS名。NetBIOS使用长度限制在十六个字符的名称来标识计算机资源,这个标识也称为NetBIOS名,每个NetBIOS名称中的第16个字符被MicrosoftNetBIOS客户用作名称后辍,用来标识该名称,并表明用该名称在网络上注册的资源的有关信息。(3)完全限定性域名(FQDN)。FQDN是指主机名加上全路径,全路径中列出了序列中的所有域成员。FQDN可以从逻辑上准确地表示出主机在什么地方,也可以说它是主机名的一种完全表示形式。该名字不可超过256个字符,用户平时访问Internet使用的就是完整的FQDN。c:DocumentsandSettingsxinxinbtstat-n本地
3、连接:odeIpAddress:192.168.137.54ScopeId:NetBIOSLocalNameTableNameTypeStatus-NET144UNIQUERegisteredWORKGROUPGROUPRegisteredNET144UNIQUERegistered00表示workstation20表示server9.1 计算机名称与名称解析计算机名称与名称解析2、名称解析(1)客户端首先验证所要登录的地址是不是本机。也就是说与查看是不是自己,即与LocalHostName是否相同。如果相同则解析成功,否则执行下一步;(2)客户端查询本机的HOSTS文件:WindowsNT/
4、2000/XP/Vista/7/8的默认位置为%SystemRoot%system32driversetc(3)客户端向公网上的DNS服务器或向网内的DNS服务器发送请求;(4)查看本机的NetBIOS名称缓存(c:ipconfig/displaydns)(5)客户端查询WINS服务器,即向WINSServer发送请求;(6)客户端向网内发出广播,在本网段广播中查找;(7)客户端查询本机的LMHOSTS文件。名称解析过程名称解析过程NetBIOS:Network Basic Input Output SystemNetBIOS定义了一种软件接口以及在应用程序和连接介质之间提供通信接口的标准方法
5、。NetBIOS是一种会话层协议,应用于各种LAN(Ethernet、TokenRing等)和WAN环境,诸如TCP/IP、PPP和X.25网络。是1983年IBM开发的一套网络标准,微软在这基础上继续开发。微软的客户机/服务器网络系统都是基于NetBIOS的。在利用WindowsNT4.0构建的网络系统中,对每一台主机的唯一标识信息是它的NetBIOS名。系统可以利用WINS服务、广播及Lmhost文件等多种模式通过139端口将NetBIOS名解析为相应IP地址,从而实现信息通讯。在这样的网络系统内部,利用NetBIOS名实现信息通讯是非常方便、快捷的。NetBIOS名称为16字节长(必要情
6、况下使用填充位填满),对使用的字节值几乎没有限制。对于不执行路由的小型网络,将NetBIOS名称映射到IP地址上有三种方法:1IP广播当目标地址不在本地cache上时,广播一个包含目标计算机NetBIOS名称的数据包。目标计算机返回其IP地址。2lmhosts文件这是一个负责映射IP地址和NetBIOS计算机名称的文件。3NBNSNetBIOS命名服务器负责将NetBIOS名称映射到IP地址上。该服务由Linux环境下的后台程序(nmbddaemon)执行。NetBIOS:Network Basic Input Output System当安装TCP/IP协议时,NetBIOS也被Window
7、s作为默认设置载入,我们的计算机也具有了NetBIOS本身的开放性。某些别有用心的人就利用这个功能来攻击服务器,使管理员不能放心使用文件和打印机共享。利用NETBIOS漏洞进行攻击的端口分别为:135端口开放实际上是一个WINNT漏洞,开放的135的端口情况容易引起自外部的“Snort”攻击!对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但仍需注意:有一些NT的应用程序,它们依靠UDP13
8、5端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。为了保护你的信息安全,强烈建议你安装微软的最新补丁包。NetBIOS:Network Basic Input Output System利用NetBIOS名实现信息通讯是非常方便、快捷的。但是在Internet上,它就和一个后门程序差不多了。因此,我们很有必要堵上这个可怕的漏洞。漏洞攻击1.利用软件查找共享资源利用NetBruteScanner
9、软件扫描一段IP地址(如10.0.13.110.0.13.254)内的共享资源,就会扫描出默认共享2.用PQwak破解共享密码双击扫描到的共享文件夹,如果没有密码,便可直接打开。当然也可以在IE的地址栏直接输入扫描到的带上共享文件夹的IP地址,如“10.0.13.191”(或带C$,D$等查看默认共享)。如果设有共享密码,会要求输入共享用户名和密码,这时可利用破解网络邻居密码的工具软件,如PQwak,破解后即可进入相应文件夹。NetBIOS:Network Basic Input Output System关闭漏洞关闭漏洞1.解开文件和打印机共享绑定鼠标右击桌面上网络邻居属性本地连接属性,去掉
10、“Microsoft网络的文件和打印机共享”前面的勾,解开文件和打印机共享绑定。这样就会禁止所有从139和445端口来的请求,别人也就看不到本机的共享了。2.利用TCP/IP筛选鼠标右击桌面上网络邻居属性本地连接属性,打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级选项,在列表中单击选中“TCP/IP筛选”选项。单击属性按钮,选择“只允许”,再单击添加按钮(如图2),填入除了139和445之外要用到的端口。这样别人使用扫描器对139和445两个端口进行扫描时,将不会有任何回应。3.使用IPSec安全策略阻止对端口139和445的访问选择我的电脑控制面板管理工具本地安
11、全策略IP安全策略,在本地机器,在这里定义一条阻止任何IP地址从TCP139和TCP445端口访问IP地址的IPSec安全策略规则,这样别人使用扫描器扫描时,本机的139和445两个端口也不会给予任何回应。NetBIOS:Network Basic Input Output System关闭漏洞关闭漏洞4.停止Server服务选择我的电脑控制面板管理工具服务,进入服务管理器,关闭Server服务。这样虽然不会关闭端口,但可以中止本机对其他机器的服务,当然也就中止了对其他机器的共享。但是关闭了该服务会导致很多相关的服务无法启动,如机器中如果有IIS服务,则不能采用这种方法。5.使用防火墙防范攻击
12、在防火墙中也可以设置阻止其他机器使用本机共享。如在“天网个人防火墙”中,选择一条空规则,设置数据包方向为“接收”,对方IP地址选“任何地址”,协议设定为“TCP”,本地端口设置为“139到139”,对方端口设置为“0到0”,设置标志位为“SYN”,动作设置为“拦截”,最后单击确定按钮,并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了。9.2 WINS概念及工作原理概念及工作原理WINS(WindowsInternetNameService)是由微软公司开发出来的一种网络名称转换服务,主要用于NetBIOS(网络基本输入/输出系统协议)名字服务,处理的是NetBIOS计算机名,
13、所以也被称为NetBIOS名字服务器(NBNS,NetBIOSNameServer)。WINS基于客户/服务器的模型。它有两个重要的部分:WINS客户和WINS服务器。客户主要在加入或离开网络时向WIN服务器注册自己的名字或解除注册。WINS服务器主要负责处理由客户发来的名字和IP地址的注册和解除注册信息。WINS客户进行查询时,服务器会返回当前查询的名字对应的IP地址。此外,服务器还负责对数据库进行备份和更新。9.2 WINS概念及工作原理概念及工作原理WINS提供的服务:1.名字注册名字注册就是客户端让WINS服务器获得信息的过程。2.名字更新因为客户端被分配了一个TTL(存活期),所有它
14、的注册也有一定的期限,过了这个期限,WINS服务器将从数据库中删除这个名字的注册信息。3.名字释放在客户端正常关机过程中,WINS客户端向WINS服务器发送一个名字释放的请求,以请求释放其映射在WINS服务器数据库中的IP地址和NetBIOS名字。4.名字解析当客户端计算机想要转换一个名字时,它首先检查本地NetBIOS名字缓存器;如果名字不在本地NetBIOS名字缓存器中,便发送一个名字查询到首选WINS服务器(每隔15秒发送一次,共发三次),如果请求失败,则向次选WINS发送同样的请求;如果都失败了,那么名字解析可以通过其它途径来转换(例如本地广播、lmhosts文件和hosts文件、或者
15、DNS来进行名字解析)。9.2 WINS概念及工作原理概念及工作原理在各种名字解析方式之中,WINS名字服务具有一些优点。首先,WINS名字解析服务是以点对点的方式直接进行通信的,并可以跨越路由器访问其它子网中的计算机,这便克服了广播查询无法跨越路由器和加重网络负担的不足;其次,与静态处理域主机名(HostName)的DNS服务器不同,WINS名字服务还是一种很少人工干预的动态名字服务;第三,WINS名字服务不仅能够用于NetBIOS名字查询,而且还可以辅助域主机名(HostName)的查询,可以结合DNS和WINS服务器的好处进行Internet域名查询。9.3 DNS的基本概念与原理的基本
16、概念与原理1、DNS域名空间与区域DNS是一种分布式的、层次型的、客户机(Client)/服务器(Server)模式的数据库管理系统。其结构类似于一棵倒置的树,由最顶端的根一层一层往下延伸。这样所组成的结构,即称为域的名称空间(DomainNameSpace)9.3 DNS的基本概念与原理的基本概念与原理2、域名解析的类型根据DNS服务器对DNS客户端的不同响应方式,域名解析可分为有2种类型:递归型和循环型。(1)递归型递归型查询,是指DNS客户端发出查询请求后,如果DNS服务器内没有所需的数据,则DNS服务器会代替客户端向其他的DNS服务器进行查询。在这种方式中,DNS服务器必须给DNS客户
17、端作出回答。(2)循环型循环型查询是指当第1台DNS服务器向第2台DNS服务器提出查询请求后,如果在第2台DNS服务器内没有所需要的数据,则它会提供第3台DNS服务器的IP地址给第1台DNS服务器,让第1台DNS服务器直接向第3台DNS服务器进行查询。依此类推,直到找到所需的数据为止。如果到最后一台DNS服务器中还没有找到所需的数据时,则通知第1台DNS服务器查询失败。9.3 DNS的基本概念与原理的基本概念与原理3、AD与DNS之间的区别与联系(1)DNS域AD的区别DNS是一种独立的名称解析服务。DNS的客户端向DNS服务器发送DNS名称查询的请求,DNS服务器接收名称查询后,先向本地存储
18、的文件解析名称进行查询,有则返回结果,没有则向其他DNS服务器进行名称解析的查询。因此,DNS服务器并没有向活动目录查询就能够运行。(2)DNS与AD的联系活动目录域DNS具有相同的层次结构。DNS区域可以在活动目录中直接存储:区域可以在活动目录中直接存储:当用户需要使用WindowsServer2008域中的DNS服务器时,其主要区域的文件可以在建立活动目录时一并生成,并存储在AD中,这样才能方便的复制到其他域控制器的活动目录上。活动目录的客户端需要使用DNS服务定位域控制器。活动目录的客户端查询时,需要使用DNS服务来定位指定的域控制器9.4 Windows Server 2008 DNS
19、服服务器的安装与配置务器的安装与配置9.4.1 Windows Server 2008 DNS服务器安装服务器安装(1)在服务器中选择“开始”“管理工具”“服务器管理器”命令打开“服务器管理器”窗口,选择左侧“角色”一项之后,单击右侧的“添加角色”链接9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.1 Windows Server 2008 DNS服务器安装服务器安装(2)此时,出现“添加角色向导”对话框,在如图9-3所示的对话框中,首先显示的是“开始之前”选项,此选项提示用户,在开始安装角色之前,请验证以下事项:1)Administrator
20、账户具有强密码。2)已配置网络设置。3)已安装WindowsUpdate中的最新安全更新。(3)单击“下一步”,在接下来的对话框中选中“DNS服务”复选框。(4)单击“下一步”。在接下来的“DNS服务器”对话框中,对DNS服务进行了简要介绍,单击“下一步”继续操作。(5)出现“确认安装选择”对话框中,单击“安装”,出现“安装进度”对话框。(6)出现,DNS服务器安装成功对话框。单击“关闭”即可。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域区域(Zone)是一个用于存储单个DNS域名的数据库,它是域名空间树状
21、结构的一部分,它将域名空间分区为较小的区段。DNS服务器是以Zone为单位来管理域名空间的,Zone中的数据保存在管理它的DNS服务器中。在现有的域中添加子域时,该子域可以包含在现有的Zone中,也可以为它创建一个新Zone或包含在其他Zone中,一个DNS服务器,可以管理一个活多个Zone,一个Zone也可以由多个DNS服务器来管理。用户可以将一个域划分成多个区域分别进行管理,以减轻网络管理的负担。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域1、正向区域的创建9.4 Windows Server 2008
22、 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.2创建正向查找区域创建正向查找区域2、区域、区域的属性的属性9.4.2创建正向查找区域创建正向查找区域2、区域、区域的属性的属性3、区域文件.dns如果
23、在创建区域的时候是采用的默认文件名来保存此区域信息,则在%systemroot%system32dns文件夹中,会出现名称为“.dns”的文本文件。可以用记事本或写字板打开此文件,其内容具体解释如下:INSOAwin-.(/INSOA.:设置起始授权机构(StartofAuthority)SOA标记1;serialnumber/更新序列号,用于标示数据库的变换900;refresh/刷新时间,从域名服务器更新该地址数据库文件的间隔时间,默认900秒600;retry/重试延时,从域名服务器更新地址数据库失败以后等待的时间,默认600秒86400;expire/失效时间,超过该时间仍无法更新地址
24、数据库,则不再尝试,默认为86400秒3600);defaultTTL/最小默认TTL的值,如果没有第一行$TTL,则使用该值;ZoneNSrecords/以“;”开头的行,表示注释NSwin-./名称服务器NS的相关信息。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录1、添加主机记录(A类型)9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录1、添加主机记录(A类型)9.4 Windows Server 2008 DNS服服务器的安装与配置务
25、器的安装与配置9.4.3 添加添加DNS记录记录2、创建别名(CNAME)记录9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录3、邮件交换器(MX)记录主机或子域:邮件交换器记录的域名,也就是要发送邮件的域名,例如mail,得到的用户邮箱格式为,但如果该域名域“父域”的名称相同,则可以不填或为空,得到的邮箱格式为。9.4 Windows Server 2008 DNS服服务器的安装与配置务器的安装与配置9.4.3 添加添加DNS记录记录3、邮件交换器(MX)记录邮件服务器优先级:如果该区域内有多个邮件服务器,可以设置其
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 现代操作系统与网络服务管理 现代操作系统与网络服务管理课件第9章 DNS服务器配置与管理 现代 操作系统 网络服务 管理 课件 DNS 服务器 配置