DNS和DHCP伺服器的

安裝與配置

DNS和DHCP伺服器的安

裝與配置DNS主要作用

DNS伺服器用於解析網路電腦名稱，它是進行網路訪問的前提，否則網路的電腦相互之間不能正確識別DNS查詢原理

DNS分為Client和Server，Client扮演發問的角色，也就是問Server一個Domain

Name，而Server必須要回答此Domain

Name的真正IP地址。而當地的DNS先會查自己的資料庫。如果自己的資料庫沒有，則會往該DNS上所設的的DNS詢問，依此得到答案之後，將收到的答案存起來，並回答客戶。

DNS和DHCP伺服器的安

裝與配置舉例

1.客戶端向伺服器提出查詢專案﹔

2.當被詢問到有關本功能變數名稱之內的主機名稱的時候﹐DNS伺服器會直接做出回答﹔

3.如果所查詢的主機名稱屬於其他功能變數名稱的話﹐會檢查快取Cache,看看有沒有相關資料﹔

DNS和DHCP伺服器的安

裝與配置

4.如果沒有發現﹐則會轉向root伺服器查詢﹔

5.然後root伺服器會將該功能變數名稱之下一層授權伺服器的位址告知(可能會超過一臺)﹔

6.本地伺服器然後會向其中的一臺伺服器查詢﹐並將這些伺服器名單存到Cache中﹐以備將來之需(省卻再向root查詢的步驟)﹔

7.遠方伺服器回應查詢﹔

DNS和DHCP伺服器的安

裝與配置8.若該回應並非最後一層的答案，則繼續往下一層查詢，直到獲的客戶端所查詢的結果為止﹔

9.將查詢結果回應給客戶端﹐並同時將結果儲存一個備份在自己的快取Cache裏面

10.如果在存放時間尚未過時之前再接到相同的查詢﹐則以存放於快取記憶裏面的資料來做回應。

從這個過程我們可以看出﹐沒有任何一臺DNS主機會包含所有功能變數名稱的DNS資料﹐資料都是分散在全部的DNS伺服器中﹐而NIC只需知道各DNS伺服器位址就可以了。

DNS和DHCP伺服器的安

裝與配置DNS安裝步驟第1步，依次單擊“開始/管理工具/配置您的伺服器嚮導”，在打開的嚮導頁中依次單擊“下一步”按鈕。配置嚮導自動檢測所有網路連接的設置情況，若沒有發現問題則進入“伺服器角色”嚮導頁。

第2步，在“伺服器角色”列表中單擊“DNS伺服器”選項，並單擊“下一步”按鈕。第3步，打開“選擇總結”嚮導頁，如果列表中出現“安裝DNS伺服器”和“運行配置DNS伺服器嚮導來配置DNS”，則直接單擊“下一步”按鈕。否則單擊“上一步”按鈕重新配置。

DNS和DHCP伺服器的安

裝與配置第4步，系統開始安裝、配置與DNS伺服器有關的組件，出現“歡迎使用配置DNS伺服器嚮導”對話框，點擊“DNS清單”按鈕可以查看配置DNS伺服器的全部選項，單擊“下一步”。第5步，打開“選擇配置操作”對話框選擇要創建的DNS伺服器的查找區域。一般小型網路只需配置正向查找區域，而對較複雜的大中型網路來說則需要同時創建正向查找與反向查找區域，以提高查找效率。最後一項“只配置根提示”，表示此時不配置查找區域，以後再創建，並且這項一般與域控制器一起安裝。選擇好後單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置第6步，打開“正向查找區域”嚮導頁。提示用戶選擇是否現在就要創建正向查找區域，選擇“是，創建正向查找區域”並單擊“下一步”按鈕

第7步，打開“區域類型”嚮導頁，“主要區域”是在本伺服器中創建一個可以直接更新的區域，“輔助區域”是用於保存在另一個伺服器上的區域副本，幫助住區域伺服器平衡處理工作，提供容錯。如果希望DNS伺服器瞭解它委派給另一個DNS伺服器子區域所添加的所有DNS伺服器，則選擇“存根區域”。選擇好後單擊“下一步”按鈕。

DNS和DHCP伺服器的安

裝與配置第8步，打開“區域名稱”嚮導頁，在“區域名稱”編輯框中鍵入一個能反映公司資訊的區域名稱(如“”)，若要與域控制器的DNS伺服器協同工作，則要輸入根功能變數名稱稱，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第9步，在打開的“區域檔”嚮導頁中已經根據區域名稱默認填入了一個檔案名。該檔是一個ASCII文本檔，裏面保存著該區域的資訊，默認情況下保存在“windowssystem32.dns”檔夾中。第10步，在打開的“動態更新”嚮導頁中指定該DNS區域能夠接受的註冊資訊更新類型。為了安全起見，因此點選“不允許動態更新”單選框，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第11步，此時打開“反向查找區域”，開始創建反向查找區域，當然我們要創建了，因此選擇“是，創建反向查找區域”，單擊“下一步”。第12步，打開“區域類型”嚮導頁，與正向查找區域一樣，選擇好後單擊“下一步”按鈕。第13步，打開“反向查找區域名稱”嚮導頁，因為反向查找是從IP地址來解析電腦名，所以要指定反向查找區域的網路ID，將網路ID填好後單擊“下一步”按鈕第14步，在打開的“動態更新”嚮導頁，與正向查找區域一樣，單擊“下一步”按鈕

DNS和DHCP伺服器的安

裝與配置第15步，打開“轉發器”嚮導頁，保持“是，應當將查詢轉送到有下列IP地址的DNS伺服器上”單選框的選中狀態。在IP地址編輯框中鍵入ISP(或上級DNS伺服器)提供的DNS伺服器IP地址，單擊“下一步”按鈕。第16步，單擊“完成”按鈕，完成DNS伺服器的安裝。

DNS和DHCP伺服器的安

裝與配置DNS的安全配置DNS伺服器的安全問題DNS的安全隱患描述DNS名稱空間

將DNS安全性融入DNS名稱空間設計DNS伺服器服務

當DNS伺服器服務在域控制器上運行時，查看默認DNS伺服器服務安全設置，並應用ActiveDirectory安全功能DNS區域

在域控制器上主持DNS區域時，查看默認DNS區域安全設置，並應用ActiveDirectory安全功能DNS資源記錄

在域控制器上主持DNS資源記錄時，查看默認DNS資源記錄安全設置，並應用ActiveDirectory安全功能DNS客戶端

控制DNS客戶端使用的DNS伺服器IP地址

DNS和DHCP伺服器的安

裝與配置安全配置方法1、保護DNS伺服器服務（1）查看並配置影響安全性的默認DNS伺服器服務配置A、在DNS伺服器上執行開始管理工具DNS。打開DNS控制臺，在DNS伺服器上右擊，選擇“屬性”選項。B、選擇“介面”選項卡，單擊“只在下列IP地址”，添加允許偵聽的IP地址。C、單擊“高級”選項卡，將“保護緩存防止污染”和“禁用遞歸”選中。

DNS和DHCP伺服器的安

裝與配置D、選擇“根提示”標籤，單擊“添加”按鈕，將指定要添加到該列表的伺服器的名稱和IP地址輸入列表中，（2）在管理域控制器上運行的DNS伺服器上隨機訪問列表（DACL）組或用戶名許可權Administrators讀取、寫入、創建所有子對象、特殊許可權AuthenticatedUsers讀取、特殊許可權CreatorOwner特殊許可權DnsAdmins完全控制、讀取、寫入、創建所有子對象、刪除子對象、特殊許可權DomainAdmins完全控制、讀取、寫入、創建所有子對象、刪除子對象EnterpriseAdmins完全控制、讀取、寫入、創建所有子對象、刪除子對象EnterpriseDomainControllers特殊許可權Pre-Windows2000CompatibleAccess特殊許可權System完全控制、讀取、寫入、創建所有子對象、刪除子對象

DNS和DHCP伺服器的安

裝與配置A、在域控制器上以系統管理員身份登錄，執行開始管理工具ActiveDirectory用戶和電腦，打開管理單元控制臺。B、執行查看高級功能，然後在要對其指派、更改或刪除許可權的對象上右擊，在彈出菜單中選擇“屬性”，在打開的對話框中選擇“安全”標籤。C、在“組或用戶名稱”列表中選擇組名或用戶名，按照適合的許可權設置組或用戶的許可權。如果遇到因許可權繼承而不能更改時，單擊“高級”按鈕，打開“Users的高級安全設置”對話框，在其中的“許可權”選項卡中選擇對應的用戶許可權選項，然後單擊“編輯”按鈕重新配置用戶許可權。

DNS和DHCP伺服器的安

裝與配置D、如果想去掉從上級目錄繼承來的許可權的許可權設置，可取消“Users的高級安全設置”對話框中的“允許父域的繼承權限傳播到該對象和所有子對象，包括那些在此明確定義的專案（A）”複選框。E、如果想要添加配置新用戶對象的訪問許可權，則可在“Users的高級安全設置”對話框中單擊“添加”按鈕，打開“選擇用戶、電腦或組”對話框，在其中的“輸入對象名稱來選擇”文本框中直接輸入要添加與DNS伺服器服務有關的用戶或組名，然後單擊“確定”按鈕即可。

DNS和DHCP伺服器的安

裝與配置2保護DNS區域（1）配置安全的動態更新。A、在域控制器上的DNS伺服器控制臺中的DNS名稱上右擊，彈出的快捷菜單中選擇“屬性”選項，然後選擇“常規”標籤。B、在“動態更新”下拉列表框中選擇“安全”選項即可。（2）管理ActiveDirectory中存儲的DNS區域上的DACL。配置方法與DNS伺服器用戶許可權配置一樣。

DNS和DHCP伺服器的安

裝與配置（3）限制區域傳輸在域控制器上的DNS伺服器控制臺的區域屬性對話框“區域複製”選項卡中配置，將允許的DNS伺服器IP地址添加進去。3保護DNS資源記錄保護DNS資源記錄也就是對DACL做好適當的設置，配置方法與“保護DNS區域”中的安全動態更新許可權配置類似。

DNS和DHCP伺服器的安

裝與配置4保證DNS客戶端的安全（1）客戶端使用靜態的首選和備用DNS伺服器IP地址。（2）控制那些DNS客戶端擁有DNS伺服器訪問許可權。

DNS和DHCP伺服器的安

裝與配置二、配製成DHCP伺服器

1.在“管理您的伺服器”頁中，單擊“添加或刪除角色”。注意：如果關閉了“管理伺服器”頁，則可以從“管理工具”中啟動“配置您的伺服器嚮導”。如果選擇該選項，以下步驟可能會略有不同。2.在出現“配置您的伺服器嚮導”後，單擊“下一步”。3.單擊“自定義配置”，然後單擊“下一步”。4.在“伺服器角色”下麵，單擊“DHCP伺服器”，然後單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置5.檢查“選擇總結”，然後單擊“下一步”開始安裝。6.在出現“新建作用域嚮導”後，單擊“下一步”定義DHCP作用域。7.對於“名稱”，鍵入“ContosoHQ”。將“描述”保留為空，然後單擊“下一步”。8.輸入“0”作為“起始IP地址”；輸入“54”作為“結束IP地址”。單擊“下一步”。9.此時不定義排除。單擊“下一步”繼續安裝。10.要接受默認的“租約期限”，請單擊“下一步”。

DNS和DHCP伺服器的安

裝與配置11.要設置“DHCP選項”，請單擊“下一步”。12.在“路由器（默認網關）”螢幕上，鍵入“”作為“IP地址”，單擊“添加”，然後單擊“下一步”。13.對於“功能變數名稱稱和DNS伺服器”螢幕中的“父域”，鍵入“”。對於“IP地址”，鍵入“”，單擊“添加”，然後單擊“下一步”。14.如果該環境中不使用“WINS伺服器”，請單擊“下一步”。15.在“啟動作用域”中，單擊“下一步”。16.單擊“完成”兩次。17.關閉“管理您的伺服器”螢幕。

DNS和DHCP伺服器的安

裝與配置在DHCP伺服器上創建超級作用域在一臺DHCP伺服器上可以有多個作用域，在同一個物理網段中管理不同的邏輯IP網路。此時，我們可以創建一個超級作用域，把這些作用域作為成員作用域進行管理。同時，在一個DHCP伺服器中可以創建多個超級作用域。

DNS和DHCP伺服器的安

裝與配置創建步驟A、在DHCP伺服器控制臺中右擊DHCP伺服器名，在彈出菜單中選擇“新建超級作用域”，打開“歡迎使用創建超級作用域嚮導”對話框。B、單擊“下一步”，打開“超級作用功能變數名稱”嚮導頁，輸入一個標識名稱。C、單擊“下一步”，打開“選擇作用域”嚮導頁，選擇成員作用域。

D、單擊“下一步”，打開嚮導完成對話框，並按“完成”按鈕。注：超級作用域後想把作用域加入的方法：在DHCP伺服器控制臺中選擇打算要加入超級作用域的作用域，執行操作添加到超級作用域。

DNS和DHCP伺服器的安

裝與配置實驗五實驗名稱：DNS伺服器的安裝實驗目的：1．瞭解DNS的查詢原理。

2．掌握DNS伺服器的安裝與配置。

3．瞭解DNS伺服器的安全配置。

實驗環境：1、兩臺裝windowsserver2003的server，其中一臺