幾年前第一次接觸到活動(dòng)目錄的時(shí)候，正是領(lǐng)導(dǎo)要求部署活動(dòng)目錄的時(shí)候。雖然當(dāng)時(shí)手頭上有幾本書(shū)，但是時(shí)間緊迫沒(méi)有來(lái)得及仔細(xì)研究。邊看著幫助邊運(yùn)行dcpromo就開(kāi)始活動(dòng)目錄的部署了，相信不少人和我當(dāng)年差不多，稀里糊涂的就開(kāi)始當(dāng)起了活動(dòng)目錄的管理員。對(duì)于DNS，因?yàn)榘惭b會(huì)提示自動(dòng)部署，相信很多人都不會(huì)在這方面下很多功夫（包括我原來(lái)也是）。我為此付出了不少代價(jià)－－因?yàn)椴欢瓺NS所以遇到DNS的問(wèn)題不知如何解決。我有保存論壇上感興趣帖子的習(xí)慣（顯然直接另存是保存不下來(lái)的），我保存有關(guān)DNS問(wèn)題的帖子數(shù)量，占各種問(wèn)題的第三位（我也很吃驚）。 g,>S{#]T \  
Fd]sZsV  
　　但是論壇上也沒(méi)有很系統(tǒng)的關(guān)于DNS的總結(jié)（這畢竟是一個(gè)可以寫(xiě)成一本書(shū)的很大的方面）。我通過(guò)對(duì)自己收藏的帖子和參考書(shū)的閱讀，加上自己經(jīng)驗(yàn)的總結(jié)得出一些操作方面的結(jié)論和總結(jié)。希望對(duì)大家能有所幫助，因?yàn)槲也簧瞄L(zhǎng)DNS（在論壇上我也很少給朋友解決DNS問(wèn)題），所以我想肯定有我寫(xiě)錯(cuò)的地方，我希望斑竹們能幫忙校正（我臉皮厚）。我的真正目的是通過(guò)這篇文章認(rèn)識(shí)到我在DNS方面都存在哪些誤解（我還是挺有私心的）。 S\Sa8d0n)  
S5g
qdE  
　　閑話少說(shuō)，書(shū)歸正傳。 Ri$-y[:f  
{5J$'-  
　　有過(guò)DNS域部署經(jīng)驗(yàn)的朋友都能感覺(jué)到，活動(dòng)目錄的DNS、DHCP和WINS（用的不多了）和NetBios是息息相關(guān)的。也是很容易混淆的。所以很麻煩，通常我們開(kāi)始部署AD的時(shí)候是在一個(gè)小公司里，大約有幾十臺(tái)電腦的局域網(wǎng)。人員流動(dòng)不是很頻繁，所以的電腦也差不多的天天都開(kāi)。很少有電腦會(huì)換地方，我們?nèi)�都使用DNS的默認(rèn)配置就可以很少會(huì)出問(wèn)題。但這樣的地方我們不能待一輩子，我們來(lái)到一個(gè)相對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境時(shí)，意識(shí)到自己缺乏對(duì)DNS的起碼常識(shí)，怎么辦？為了在遇到難題時(shí)能正確表述自己的問(wèn)題（否則別人想幫你都沒(méi)辦法，除了UP我們更重要的是說(shuō)清楚自己的問(wèn)題和聽(tīng)明白高手的意思）那么和我一樣從基礎(chǔ)開(kāi)始吧。 =7Y07CIk  
Cj`!9_,  
　　什么樣的DNS系統(tǒng)是一個(gè)比較完美的系統(tǒng)呢？Dns服務(wù)器的連續(xù)性能提供出色的性能，減少WAN的通信，安全性也必須得到保障。 v()|(H X0  
%9V7>-C M  
　　我們先從概念開(kāi)始 OI 7doP  
1A5![ F1`  
　　1。DNS和活動(dòng)目錄關(guān)系
L^xnh9|z  

BPL*.  
　　DNS定義“命名空間”（名字空間）－－－微軟把例如“contoso.com”的東東叫命名空間，這個(gè)空間內(nèi)的主機(jī)儲(chǔ)存在一個(gè)“區(qū)域文件”（zonefile）里－－－主要是一種映射的關(guān)系（中學(xué)數(shù)學(xué)就有映射的概念） 7PQ"OceuwF  
<Kx\N!n8u  
　　活動(dòng)目錄的域（domain）“存儲(chǔ)域和域中的對(duì)象”，把用戶、租計(jì)算機(jī)帳戶記錄組注冊(cè)表的SAM里。－－－當(dāng)然域不止這些內(nèi)容。 4Ol$)*  
TBu2RAgV  
　　DNS和域的結(jié)合－－完全合格域名（FQDN）：例如srv1.contoso.com－－說(shuō)明了srv1主機(jī)位于contoso.com這個(gè)域里面。 *a}fY3/XPI  
{PiI=xs3  
　　注意： &~.AvB  
zKTFV   
　　DNS的結(jié)構(gòu)中，頂級(jí)域com.的末尾是有一個(gè)句點(diǎn)"."的。DNS解析器是從左到右解析FDQN（看看上面FDQN的例子）的，最后到“.”結(jié)束。因?yàn)閣indows的DNS會(huì)自動(dòng)在末尾添加“.”所以我們很容易忘了它的存在，在我們檢測(cè)DNS（尤其是命令行方式）最好加上末尾的這個(gè)"."正因?yàn)楦�域上有這個(gè)點(diǎn)，所以我們?cè)诹指�的DNS上設(shè)置轉(zhuǎn)發(fā)的時(shí)候會(huì)發(fā)現(xiàn)那個(gè)轉(zhuǎn)發(fā)器的選現(xiàn)是灰的，不讓你設(shè)置，因?yàn)?."認(rèn)為自己是根了，沒(méi)必要轉(zhuǎn)發(fā)。所以解決的方法是刪掉這個(gè)點(diǎn)，才能轉(zhuǎn)發(fā)（刪掉后就不會(huì)灰色可以選擇轉(zhuǎn)發(fā)了）。 FO\1/
]0k  
v}}[0{^(
 
　　如果沒(méi)有行政方面的要求你完全可以在域里使用例如devil.coco的域名稱，不一定非要.net或者.com.即使父域叫contoso.com，子域也可以叫devil.coco。 b2NpXtuM>  
Qtpl{#.LV  
　　當(dāng)一個(gè)企業(yè)在做DNS規(guī)劃時(shí)要注意。當(dāng)企業(yè)外部服務(wù)（例如網(wǎng)站）需要在internet上注冊(cè)名稱（例如，公司.com）。如果企業(yè)內(nèi)部使用活動(dòng)目錄，那么要使內(nèi)外部使用不同的名字或者內(nèi)部的活動(dòng)目錄使用外部名稱的一個(gè)子域。例如：“contoso.com”，作為企業(yè)在internet上的網(wǎng)站，使用www.contoso.com域名。內(nèi)部的域可以使用contoso.net或者corp.contoso.com作為DNS名。如果不這么做將有可能使內(nèi)部和外部名稱空間出現(xiàn)重疊。客戶端登陸域或訪問(wèn)internet都將可能產(chǎn)生問(wèn)題。尤其當(dāng)涉及網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)并且外部IP地址處于內(nèi)部客戶端夠不到的范圍中時(shí)就會(huì)有麻煩了(了解NAT的人應(yīng)該知道,如果客戶端不配置可以正確解析外部地址的DNS是無(wú)法訪問(wèn)相關(guān)網(wǎng)站的.)。 :CLurfC  
7z@Pjwd  
　　DNS和活動(dòng)目錄使用各自不同的數(shù)據(jù)庫(kù)解析名字。關(guān)于這一點(diǎn)我覺(jué)得對(duì)于實(shí)際操作意義不大所以不說(shuō)了有興趣的看看上面提到的那個(gè)帖子。 $bv`%~Q  
*,O%/abAA  
　　2。hosts文件 :pg LVh  
Y=zAZA{K  
　　很多帖子里都有人回復(fù)說(shuō)，看看那個(gè)hosts文件有沒(méi)有問(wèn)題，或者說(shuō)修改那個(gè)hosts文件里的什么地方（例如屏蔽QQ）。這是為什么？ n`zR@s9  
5] >8f} U  
　　hosts存在的目的：減少DNS服務(wù)器的工作量，如果客戶端查找的一個(gè)主機(jī)名在hosts文件里有記錄（說(shuō)明不久前訪問(wèn)過(guò)），那么客戶端就不必找Dns服務(wù)器了直接就知道了該主機(jī)的IP。我們可以用記事本打開(kāi)hosts文件。找不到？一般在這里C:\WINDOWS\system32\drivers\etc這里除了hosts還有好幾個(gè)文件，也能用記事本打開(kāi)。都是和TCP/IP相關(guān)的，詳細(xì)我就不說(shuō)了跟DNS關(guān)系不大。 J=r@ aZd  
L]uiCVz  
　　TTL（生存時(shí)間），DNS記錄必須有TTL，Hosts中得緩存超過(guò)了ttl就將被刪除，否則DNS得改變將無(wú)法在hosts文件中體現(xiàn)。 kd{:/F5Y  
MD+N|_kQ  
　　我們需要一個(gè)具體的例子： v 8L{]Ba  
|Bz-qhba<  
　　有天，客戶發(fā)現(xiàn)srv1.contoso.com主機(jī)無(wú)法訪問(wèn)了，我們查看DNS表，發(fā)現(xiàn)確實(shí)沒(méi)有相關(guān)A記錄了。我們手動(dòng)添加了記錄，但是客戶還是抱怨無(wú)法訪問(wèn)該主機(jī)――因?yàn)榭蛻舳说木彺胬锢铮�還是認(rèn)為該主機(jī)無(wú)法訪問(wèn)。這時(shí)我們就必須在客戶的電腦上運(yùn)行ipconfig/flushdns來(lái)清除緩存信息。是的，服務(wù)器也有緩存。服務(wù)器清理緩存的命令是dnscmd/clearcache A;O$t"_D  
K)Rd#Z_S  
　　3.主Dns服務(wù)器和輔助名稱服務(wù)器 6%FpHf$M  
~fnK* ;H3  
　　這個(gè)概念在論壇上也無(wú)數(shù)次的被提起，我覺(jué)得還是有必要說(shuō)明一下的。照例我不會(huì)用很專業(yè)的詞匯，需要考MCSE的朋友最好不要看我寫(xiě)的東西。 :- U==  
j7\`pp{  
　　我是這樣認(rèn)為的，DNS服務(wù)器把所有資源記錄到一個(gè)文件中（zonefile）。只有“主DNS服務(wù)器”能對(duì)該文件進(jìn)行寫(xiě)操作（能修改DNS記錄），輔助DNS服務(wù)器從主DNS服務(wù)器（或者其他輔助DNS服務(wù)器）那里獲得該文件的拷貝（默認(rèn)24小時(shí)得不到拷貝的話，輔助Dns服務(wù)器就將失效）。 eGBJa_a  

Nc X;tu5'  
　　除此之外還有一種“僅緩存名稱服務(wù)器”（caching－onlynameserver），它上面僅保存緩存的查詢結(jié)果（從輔助Dns服務(wù)器那里獲得），以便使客戶端盡快獲得查詢信息。 k}Y+TzjkY  
U-> ]c  
　　這種機(jī)制讓人想起NT時(shí)代的主域控制器和備份域控制器――當(dāng)然這是一種脆弱的機(jī)制。微軟為了能多湊合一些時(shí)間，允許任何運(yùn)行DNS的DC都能被設(shè)置為它所在域的主Dns服務(wù)器。 It)yJ@T  
^zU @WO  
　　4.權(quán)威性應(yīng)答與非權(quán)威性應(yīng)答 w-$vIP  
+}9TBK  
　　 naq`%~/N+  
" |[#MN
 
　　按照我的理解，如果DNS服務(wù)器在自己的區(qū)域文件里找到了客戶端需要查詢的記錄，就會(huì)返回一個(gè)權(quán)威性應(yīng)答。―――例如客戶端要查找srv1.contoso.com主機(jī)的IP地址。在contoso.com的DC（也就是Dns服務(wù)器）上查找該主機(jī)的“A記錄”，我們找到了。就把記錄內(nèi)容通過(guò)DNS應(yīng)答的方式發(fā)還給客戶端，這就是一個(gè)權(quán)威性應(yīng)答。――當(dāng)然實(shí)際的查詢方式比較復(fù)雜遠(yuǎn)沒(méi)有我說(shuō)的這么簡(jiǎn)單。 !B` pWQBd  
%*gDG5<  
　　此外，如果Dns服務(wù)器最近被查找過(guò)該主機(jī)（可能其他客戶端也查找過(guò)）記錄，就會(huì)在緩存里找到記錄應(yīng)答客戶端――當(dāng)然上一種方法快。 6 TS0 MI  
|W9D`  
　　如果該DC服務(wù)器找不到srv1.contoso.com主機(jī)的A記錄，就會(huì)返回（RecordNotFound）應(yīng)答――同樣也是權(quán)威性應(yīng)答 ] /Q t LJ-  
]ZiN&t5!j  
　　如果接到DNS查詢請(qǐng)求的服務(wù)器不是contoso.com的DC（Dns服務(wù)器），那么有3種方法處理該請(qǐng)求： [@LP0$"+  
c VA)I*)  
　　首先，查詢其他Dns服務(wù)器直到找到，然后此服務(wù)器將找到的內(nèi)容返回給客戶端――非權(quán)威性應(yīng)答 88Z`eWuV  
47hLdF  
　　其次，推薦客戶端到上一級(jí)Dns服務(wù)器找。―――非權(quán)威性應(yīng)答。 7n pAG0  
X6Fnt0Ml  
　　最后，如果原來(lái)被別人訪問(wèn)過(guò)，本地有該緩存，那么用緩存里的數(shù)據(jù)回答―――非權(quán)威性應(yīng)答。 sH.  
Z1gDL`6w  
　　說(shuō)到這里就要講清楚，為什么會(huì)出現(xiàn)3種方法，為什么有的時(shí)候Dns服務(wù)器要努力幫客戶端查尋有的時(shí)候又只是打發(fā)到上層就不管了？ 1G~Z$)yO  
(.lC<91"v  
　　因?yàn)樵诳蛻舳瞬樵兊恼?qǐng)求里面包含一個(gè)“搜索類型”（Searchtype）的東東，一共有兩種狀態(tài)： )!P{$M  
\%~$w7|M  
　　(1)遞歸查詢（Recursive），要求Dns服務(wù)器一定要救人救到底送佛送上西。反正我就賴上你了，你得給我查到。 81*Q9exXj  
!EE8
BRc  
　　(2)迭代查詢（Iterative），你（DNS服務(wù)器）如果找不到可以給我介紹到另一個(gè)DNS服務(wù)器那里去找――這種方式的客戶端就文明多了――自然Dns服務(wù)器的壓力就減輕了。 VbrkOTvhz  

dG'[qsGQ-  
　　默認(rèn)情況是遞歸查詢的，我們可以在Dns服務(wù)器參數(shù)配置禁用（高級(jí)選項(xiàng)）。 $u4s40O0  
:&Fb^I  
　　當(dāng)DNS服務(wù)器被客戶端要求遞歸查詢而去查詢其他Dns服務(wù)器時(shí)，默認(rèn)是迭代查詢的。 hEVsl;"+  
Fo6K[I7  
　　5.Netbios解析和DNS解析 )HGB\.ZO  
.ZyR;.y$  
　　 3/xel.|\  
/12QXH(\  
　　對(duì)于兩者的概念我不想多做說(shuō)明了，值得注意得是他們的查詢步驟。 N\b0ed  
K_"G
0pb1  
　　假定我們啟用了Netbios解析，windows客戶端會(huì)按照下面的步驟進(jìn)行解析（默認(rèn)B節(jié)點(diǎn)配置可以修改為H節(jié)點(diǎn)） @zUh69C2R  
f_-DgHWUi  
　　（1）Netbios緩存 ~i dss k  
U1%fLazzH  
　　（2）Wins查詢 0RFH#$Ow  
$iiXWV<`  
　　（3）Lmhosts文件（看看hosts的目錄） r0D Y6  
4` dQM #.  
　　（4）廣播 B[~Pi=x;  
"&?op I  
　　（5）hosts文件 D2I0mN  
W<iDzm  
　　（6）DNS @`#E<pn  
< "rNP.7  
　　我們舉個(gè)例子，如果我們?cè)诳蛻舳藀ing一下srv1.contoso.com主機(jī)。我們通常的做法是運(yùn)行cmd。輸入pingsrv1回車。這時(shí)發(fā)生了什么？ t_e2]=wlL  
y 89  
　　首先，客戶端會(huì)把計(jì)算機(jī)的DNS后綴附在名稱上發(fā)送到Dns服務(wù)器。 =}%C#{E*  
<a(3I_*8  
　　如果名字里有“.”存在，但是末尾并沒(méi)有“.”結(jié)束，系統(tǒng)會(huì)自動(dòng)追加末尾“.”，如果這樣查詢也失敗了，就會(huì)向上面那樣追加DNS后綴再試。 S6cM3g[7   
*CO8F# U  
　　如果添加DNS后綴也無(wú)法獲得主機(jī)記錄，那么系統(tǒng)就會(huì)追加事先為“接口”配置好得備用DNS后綴（仔細(xì)看看本地連接的屬性）。 #x!X6v  
2[EZzRuu"  
　　不明白為什么要選擇“在域成員身份變化時(shí)，更改主DNS后綴”的朋友，和經(jīng)常問(wèn)“為啥我ping完整的名字才能ping通”的朋友有必要仔細(xì)研究一下。 ]Qn\9 Os  
bQwE"7  
　　我覺(jué)得有關(guān)DNS的問(wèn)題范圍太大，短時(shí)間很難總結(jié)完。今天累了，下次繼續(xù)總結(jié)。有問(wèn)題可以問(wèn)，我說(shuō)錯(cuò)了的趕快指出來(lái)。明天還要上班接下來(lái)只能業(yè)余時(shí)間來(lái)補(bǔ)充了，爭(zhēng)取一周時(shí)間完成DNS的總結(jié)，自己也全當(dāng)復(fù)習(xí)了，也希望能幫到昨天說(shuō)“這也算是回答”的朋友。