DNS笔记 DNS区域集成到 Active Directory
可以将 DNS 区域集成到 Active Directory 中以提供增强的容错功能和安全性。
OpenDNS Google Public DNS
往返时间 (RTT) 远程访问服务 (RAS)
域名与客户端计算机名一起使用,组成 FQDN,又称完整计算机名。通常,DNS 域名是没有用作计算机唯一主机名的 FQDN 的其余部分。
---------------------------------------
以下 摘录
多宿主服务器:带有多个 IP 地址的 DNS 服务器
默认服务端口(UDP 53 或 TCP 53)
--------------
分区是 AD DS 中的一种数据结构,它针对不同的复制目的对数据进行区分。为 DNS 创建应用程序目录分区时,您可以控制存储在该分区中的区域的复制范围
可以使用以下过程更改区域的复制范围。只有 Active Directory 域服务 (AD DS) 集成的主要和存根正向查找区域才可以更改其复制范围。辅助正向查找区域无法更改其复制范围。
----------------
存储在应用程序目录分区中的 AD DS 集成的 DNS 区域数据将不会被复制到林的全局编录中。包含全局编录的域控制器也可以保留应用程序目录分区,但是它不会将这些数据复制到其全局编录中。
存储在域分区中的 AD DS 集成的 DNS 区域数据将被复制到其 AD DS 域中的所有域控制器,这些数据中的一部分将存储在全局编录中。该设置用于支持 Windows 2000。
如果某个应用程序目录分区的复制范围涉及 AD DS 站点间的复制,则复制将按照用于域分区数据的相同站点间复制计划进行。
默认情况下,Net Logon 服务注册位于域控制器上的应用程序目录分区的域控制器定位程序 (Locator) DNS 资源记录的方式,与它注册位于域控制器上的域分区的域控制器定位程序 (Locator) DNS 资源记录的方式相同。
------------------------
当您将域名系统 (DNS) 服务器与 AD DS 一起部署时,请考虑以下各项:
1 查找域控制器必需有 DNS。
Net Logon 服务使用 DNS 服务器支持,以实现域控制器在 DNS 域命名空间中的注册。
2 运行 Windows Server 2003 或 Windows Server 2008 的 DNS 服务器可以将 AD DS 用于存储和复制区域。
通过将区域与 AD DS 集成,您可以利用 DNS 功能,例如 AD DS 复制、安全动态更新和记录老化与清理。
----------------------------
三个 DNS 安全级别
以下部分介绍了三个 DNS 安全级别。
低安全级别
低安全级别是未配置任何安全预防措施的一种标准 DNS 部署。请仅在不考虑 DNS 数据完整性的网络环境中,或在没有外部连接威胁的专用网络中,部署该 DNS 安全级别。低 DNS 安全级别具有下列特征:
组织的 DNS 结构完全暴露在 Internet 中。
标准 DNS 解析由网络中的所有 DNS 服务器执行。
所有 DNS 服务器均是使用指向 Internet 的根服务器的根提示进行配置的。
所有 DNS 服务器都允许向任何服务器进行区域传输。
已将所有 DNS 服务器配置为侦听其所有 IP 地址。
缓存污染防止功能在所有 DNS 服务器上都禁用。
所有 DNS 区域上都允许进行动态更新。
在网络中的防火墙上,用户数据报协议 (UDP) 和 TCP/IP 端口 53 对于源地址和目标地址均是开放的。
中安全级别
中安全级别使用未在域控制器上运行 DNS 服务器并且未在 Active Directory 域服务 (AD DS) 中存储 DNS 区域的情况下可用的 DNS 安全功能。中 DNS 安全级别具有下列特征:
组织的 DNS 结构仅有限地暴露在 Internet 中。
所有 DNS 服务器都进行了配置,以便在它们无法在本地解析名称时,使用转发器指向一个特定的内部 DNS 服务器列表。
所有 DNS 服务器都将区域传输限定于其区域中的名称服务器 (NS) 资源记录中列出的服务器。
已将 DNS 服务器配置为侦听指定 IP 地址。
缓存污染防止功能在所有 DNS 服务器上都已启用。
任何 DNS 区域上都不允许进行不安全的动态更新。
内部 DNS 服务器通过防火墙与外部 DNS 服务器进行通信,此防火墙带有所允许的源地址和目标地址的受限列表。
防火墙前的外部 DNS 服务器使用指向 Internet 的根服务器的根提示进行配置。
所有 Internet 名称解析都使用代理服务器和网关执行。
高安全级别
高安全级别使用与中安全级别一样的配置。它还使用在 DNS 服务器服务运行于域控制器上且 DNS 区域存储在 AD DS 中时可以使用的安全功能。此外,高安全级别完全消除了与 Internet 进行的 DNS 通信。这不是一种典型配置,但是在不需要 Internet 连接时,建议采用这种配置。高 DNS 安全级别具有下列特征:
组织的 DNS 结构没有由内部 DNS 服务器执行的 Internet 通信。
网络使用内部 DNS 根目录和命名空间,其中所有 DNS 区域的颁发机构都是内部的。
使用转发器配置的 DNS 服务器仅使用内部 DNS 服务器 IP 地址。
所有 DNS 服务器都将区域传输限定于指定 IP 地址。
已将 DNS 服务器配置为侦听指定 IP 地址。
缓存污染防止功能在所有 DNS 服务器上都已启用。
内部 DNS 服务器使用根提示进行配置,这些根提示指向内部命名空间的根区域所在的内部 DNS 服务器。
所有 DNS 服务器都在域控制器上运行。在 DNS 服务器服务上配置了随机访问控制列表 (DACL),仅允许特定的个人在 DNS 服务器上执行管理任务。
所有 DNS 区域都存储在 AD DS 中。已将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 区域。
已在 DNS 资源记录上将 DACL 配置为仅允许特定个人创建、删除或修改 DNS 数据。
为 DNS 区域配置了安全动态更新,但顶级域和根区域除外,因为它们完全不允许动态更新。
----------------
域名系统 (DNS) 提供了一种选择,可以将命名空间划分为一个或多个区域,随后将这些区域存储、分布和复制到其他 DNS 服务器。
默认情况下,DNS 服务器仅允许该区域的名称服务器 (NS) 资源记录中列出的权威 DNS 服务器进行区域传送。
安全动态更新将 DNS 区域更新仅限于那些经过身份验证且加入 DNS 服务器所在的 Active Directory 域的计算机,并限定为在 DNS 区域的访问控制列表 (ACL) 中定义的特定安全设置。
--------------------
DNS 部署的安全保护
设计域名系统 (DNS) 服务器部署时,请使用下列 DNS 安全指南:
1 如果网络主机无需解析 Internet 上的名称,可取消 DNS 与 Internet 的通信。
在此 DNS 设计中,可以使用完全在网络中承载的专用 DNS 命名空间。专用 DNS 命名空间仅作为 Internet DNS 命名空间来分发,内部 DNS 服务器承载根域和顶级域的区域。
2 在位于防火墙后面的内部 DNS 服务器与位于防火墙前面的外部 DNS 服务器之间拆分组织的 DNS 命名空间。
在此 DNS 设计中,内部 DNS 命名空间是外部 DNS 命名空间的一个子域。例如,如果组织的 Internet DNS 命名空间是 280.cc,则网络的内部 DNS 命名空间是 m.280.cc。
3 将内部 DNS 命名空间承载在内部 DNS 服务器上,将外部 DNS 命名空间承载在暴露于 Internet 的外部 DNS 服务器上。
要解析由内部主机进行的外部名称查询,此 DNS 设计中的内部 DNS 服务器将对外部名称的查询转发到外部 DNS 服务器。外部主机仅用于外部 DNS 服务器进行 Internet 名称解析。
4 配置筛选包的防火墙仅允许在外部 DNS 服务器和单个内部 DNS 服务器之间进行 UDP 和 TCP 端口 53 通信。
这种 DNS 设计便于内部和外部 DNS 服务器之间的通信,并防止任何其他外部计算机获取访问内部 DNS 命名空间的权限。
-------------------
主机 (A) 资源记录: 用于将域名系统 (DNS) 域名映射到计算机使用的 IP 地址。
别名 (CNAME) 资源记录: 用于将别名 DNS 域名映射到另一个主名称或规范名称。可以使用多个名称指向一台计算机。
邮件交换器 (MX) 资源记录: 用于将 DNS 域名映射到交换或转发邮件的计算机的名称。
指针 (PTR) 资源记录:用于映射基于某台计算机的 IP 地址的反向 DNS 域名,该 IP 地址指向该计算机的正向 DNS 域名。
服务位置 (SRV) 资源记录: 用于将 DNS 域名映射到提供特定服务类型的一系列指定 DNS 主机计算机(例如 Active Directory 域控制器)。
服务位置 (SRV) 资源记录是 Active Directory 域控制器的位置所必需的。一般情况下,您可以在安装 Active Directory 域服务 (AD DS) 时避免手动管理服务位置 (SRV) 资源记录。如果应用程序实施和支持指定此记录类型的 DNS 名称查询,服务位置 (SRV) 资源记录也可以用于注册和查找网络上其他众所周知的 TCP/IP 服务。
根据在 in-addr.arpa 域中创建并以其为根的区域,指针 (PTR) 资源记录支持反向查找过程。这些记录通过计算机的 IP 地址查找计算机,并将此信息解析到该计算机的 DNS 域名。
------------------------
资源记录时间戳
DNS 服务器在执行老化和清理操作时用于确定资源记录删除的日期和时间值。
当前服务器时间
DNS 服务器上的当前日期和时间。此数字可以表示为任何时间点的确切数值。
无刷新间隔
针对每个区域确定的时间间隔(以下面两个事件为界):
1.上次刷新记录并设置其时间戳的日期和时间。
2.下次有资格刷新记录并重置其时间戳的日期和时间。
需要使用此值来减少对 Active Directory 数据库进行的写入操作次数。默认情况下,此间隔设置为 7 天。不应将此间隔增加到不合理的程度,因为老化和清理功能的优势可能会丢失或减少。
刷新间隔
针对每个区域(由以下两个不同的事件绑定)确定的时间间隔:
1.有资格刷新记录并重置其时间戳的最早日期和时间。
2.有资格清理记录并将其从区域数据库中删除的最早日期和时间。
此值应足够大,以允许所有客户端都刷新其记录。默认情况下,此间隔设置为 7 天。不应将此间隔增加到不合理的程度,因为老化和清理功能的优势可能会丢失或减少。
开始清理时间
特定时间,以数字表示。此时间由服务器用于确定区域可以进行清理的时间。
清理周期
在服务器上启用自动清理时,此期间表示重复执行自动清理过程之间的时间。此设置的默认值为 7 天。为防止损害 DNS 服务器性能,此设置的最小允许值为 1 小时。
记录刷新
处理对资源记录的 DNS 动态更新时,将只修订资源记录时间戳,而不修订记录的其他特性。
通常出于以下原因进行刷新:
1.计算机在网络上重新启动时,如果启动时其名称和 IP 地址信息与关闭前使用的相同名称和地址信息一致,则可以发送刷新,以续订此信息的关联资源记录。
2.计算机会在运行的同时发送定期刷新。
Windows DNS 客户端服务会每 24 小时续订一次客户端资源记录的 DNS 注册。执行此动态更新时,如果动态更新请求没有导致对 DNS 数据库的修改,则认为此操作是刷新,而不是资源记录更新。
3.其他网络服务会尝试刷新,如:DHCP 服务器,可以续订客户端地址租约;群集服务器,可以注册并更新群集的记录;以及 Net Logon 服务,可以注册并更新 Active Directory 域控制器所使用的资源记录。
记录更新
处理对资源记录的 DNS 动态更新时,除了修改记录的时间戳外,还会修改其他特性。
通常出于以下原因进行更新:
1.向网络中添加新的计算机,且在启动时发送更新以首次使用其配置的区域注册其资源记录。
2.区域中包含现有记录的计算机更改 IP 地址,导致针对其在 DNS 区域数据中的修订名称到地址映射发送更新。
3.Net Logon 服务注册了新的 Active Directory 域控制器。
清理服务器
可选的高级区域参数,用于指定允许执行区域清理的 DNS 服务器的 IP 地址限制列表。
默认情况下,如果未指定此参数,则所有加载目录集成区域的 DNS 服务器(同时也允许清理)都会尝试执行区域清理。在某些情况下,如果只在某些加载目录集成区域的服务器上执行清理更可取,则此参数可能非常有用。
若要设置此参数,必须在区域的 ZoneResetScavengeServers 参数中指定允许清理区域的服务器的 IP 地址列表。可以使用 dnscmd 命令(即用于管理 Windows DNS 服务器的基于命令行的工具)完成此操作。
系统会根据以下总和将每条记录与当前服务器时间进行比较,以确定是否应删除记录:
记录时间戳 + 区域的无刷新间隔 + 区域的刷新间隔
如果此总和值大于当前服务器时间,则不执行任何操作,且记录在该区域中继续老化。
如果此总和值小于当前服务器时间,则会从服务器内存中当前已加载的任何区域数据中以及目录集成 example.microsoft.com 区域的 Active Directory 域服务 (AD DS) 中适用的 DnsZone 对象存储中删除该记录。
-----------------
处理对资源记录的 DNS 动态更新时,除了修改记录的时间戳外,还会修改其他特性。
通常出于以下原因进行更新:
1.向网络中添加新的计算机,且在启动时发送更新以首次使用其配置的区域注册其资源记录。
2.区域中包含现有记录的计算机更改 IP 地址,导致针对其在 DNS 区域数据中的修订名称到地址映射发送更新。
3.Net Logon 服务注册了新的 Active Directory 域控制器。
----------------
在“系统属性”中应用名称更改后,系统会提示您重新启动计算机。计算机重新启动 Windows 时,DHCP 客户端服务会按照以下顺序来更新 DNS:
1.DHCP 客户端服务使用计算机的 DNS 域名来发送授权起始点 (SOA) 类型的查询。
客户端计算机使用当前配置的计算机 FQDN(如 m.280.cc)作为在此查询中指定的名称。
2.包含客户端 FQDN 的区域的权威 DNS 服务器将对 SOA 类型的查询做出响应。
对于标准的主要区域,在 SOA 查询响应中返回的主服务器(所有者)是固定的而且是静态的。当它出现在区域中存储的 SOA 资源记录中时,始终与实际的 DNS 名称匹配。但是,如果正在更新的区域是目录集成区域,则正在加载区域的任何 DNS 服务器都会做出响应,并且会以动态方式在 SOA 查询响应中插入其各自的名称作为区域的主服务器(所有者)。
3.然后 DHCP 客户端服务会尝试联系主 DNS 服务器。
该客户端会处理针对其名称的 SOA 查询响应,以确定授权为接受其名称时所用主服务器的 DNS 服务器的 IP 地址。然后,它将根据需要继续按以下顺序执行步骤,以联系其主服务器并采用动态方式更新该服务器:
a.它会将动态更新请求发送到在 SOA 查询响应中确定的主服务器。
如果更新成功,则不会执行任何进一步操作。
b.如果此更新失败,则客户端接着会针对 SOA 记录中指定的区域名称发送名称服务器 (NS) 类型的查询。
c.当它收到对此查询的响应时,会将 SOA 查询发送给响应中列出的第一台 DNS 服务器。
d.解析 SOA 查询后,客户端会将动态更新发送给在返回的 SOA 记录中指定的服务器。
如果更新成功,则不会执行任何进一步操作。
e.如果此更新失败,则客户端会将 SOA 查询发送给响应中列出的下一台 DNS 服务器,以重复执行 SOA 查询过程。
4.联系到可以执行更新的主服务器后,客户端会发送更新请求,由服务器来处理它。
更新请求的内容包括有关下列操作的说明:添加 www.280.cc 的主机 (A)(可能还有指针 (PTR))资源记录,以及删除 m.280.cc(以前注册的名称)的相同记录类型。
服务器还会进行检查,以确保允许对客户端请求进行更新。对于标准的主要区域,动态更新不安全;因此,任何客户端的更新尝试都会成功。对于 AD DS 集成的区域,更新是安全的,而且是使用基于目录的安全设置来执行的。
系统会定期发送或刷新动态更新。默认情况下,计算机会每七天发送一次刷新。如果更新没有导致区域数据发生更改,则区域始终处于当前版本,而不会写入更改。只有在名称或地址实际发生更改时,更新才会导致实际区域更改或区域传送增加。
当 DHCP 客户端服务为计算机注册主机 (A) 和指针 (PTR) 资源记录时,将对主机记录使用默认的缓存生存时间 (TTL) 15 分钟。这将决定其他 DNS 服务器和客户端缓存计算机记录的时间长度(当查询响应中包括记录时)。
------------------
DNS 服务器服务允许在配置为加载标准主要区域或目录集成区域的每台服务器上以区域为基础启用或禁用动态更新。默认情况下,将 DNS 客户端服务配置为 TCP/IP 时,该服务会以动态方式更新 DNS 中的主机 (A) 资源记录。
------------------
对于计算机和服务器,在完成和解析不合格短名称时,预先确定并使用以下默认 DNS 搜索行为。
当后缀搜索列表为空或未指定时,计算机的主 DNS 后缀会被附加到不合格短名称,并会用 DNS 查询来解析所得的 FQDN。如果该查询失败,计算机会通过附加为网络连接配置的任何连接特有的 DNS 后缀,尝试为备选的 FQDN 执行另外的查询。
如果未配置任何连接特定的后缀,或者为得到的这些连接特定的 FQDN 所执行的查询失败,则客户端可以开始根据主后缀的系统性简化(又称传递)来重试查询。
例如,如果主后缀是“www.9252.com”,传递过程能够通过在“microsoft.com”和“com”域中搜索短名称,重试短名称查询。
当后缀搜索列表不为空并且至少指定了一个 DNS 后缀时,尝试限定和解析 DNS 短名称的工作被限制为仅搜索那些由指定的后缀列表实现的 FQDN。对于附加和尝试该列表中的每个后缀而形成的所有 FQDN,如果为它们执行的查询未得到解析,则查询过程会失败,产生“找不到名称”结果。
其他注意事项
如果使用了域后缀列表,客户端会在查询未得到答案或未解析时,继续根据不同的 DNS 域名发送更多备选查询。当使用后缀列表中的某个条目解析了名称时,不再尝试未使用的列表条目。因此,最高效的方式是,在对列表排序时,将最常用的域后缀排在最前面。
域名后缀搜索只有在 DNS 名称条目未全限定时才使用。若要完全限定 DNS 名称,请在名称的末尾输入结尾句号 (.)。
Windows Server 2008 支持一个特别命名区域(称作 GlobalNames),以实现企业网络中一组有限的全局唯一的单标签名称的解析。您可以在网络要求使用后缀搜索列表达到此目的不可行时,使用该区域。
------------------
若要向您的 DHCP 客户端提供 DNS 服务器的 IP 地址列表,请启用已配置选项类型上的选项代码 6(由 DHCP 服务器提供)。对于 Windows Server 2003 和 Windows Server 2008 DHCP 服务器,可以为每个客户端配置一个包含多达 25 个 DNS 服务器的列表
--------------
DNS 域名有两个变化形式 - DNS 名称和 NetBIOS 名称。在查询和查找网络上的已命名资源期间,使用完整计算机名(完全限定的 DNS 名称)。对于较早版本的客户端,使用 NetBIOS 名称来查找网络上共享的各种类型的 NetBIOS 服务。
同时需要 NetBIOS 和 DNS 名称的组件的一个示例是 Net Logon 服务。在 Windows Server 2008 DNS 中,域控制器上的 Net Logon 服务在 DNS 服务器上注册其服务定位器 (SRV) 资源记录。对于 Windows NT Server 4.0 和较早版本,域控制器在 WINS 中注册一个 DomainName 条目,以执行同一注册,并宣传可以用它们向网络提供身份验证服务。
-------------
可以用征求意见文档 (RFC) 1123“Internet 主机要求 - 应用程序和支持”中定义的基于任何受支持的标准字符的计算机名,配置所有 Windows DNS 客户端。这些字符包括以下各项:
大写字母 A-Z
小写字母 a-z
数字 0-9
连字符 (-)
尽管 DNS 标准历来禁止在 DNS 主机名或主机 (A) 资源记录中使用下划线 (_),但是在与服务有关的名称(例如用于服务定位器 (SRV) 资源记录的名称)中使用下划线却一直是提倡的,以避免在 Internet DNS 命名空间中出现命名冲突
默认情况下,计算机和服务器使用 DNS 来解析长度大于 15 个字符的任何名称。
-------------
条件转发器
条件转发器是根据域名转发查询的 DNS 服务器。不是让 DNS 服务器将它无法进行本地解析的所有查询转发到一个转发器,而是可以将 DNS 服务器配置为根据查询中包含的特定域名将查询转发到不同的转发器。通过将基于名称的条件添加到转发过程,根据域名转发可以提高传统的转发性能。
如果 DNS 服务器没有为查询中指定的名称列出任何转发器,它将尝试使用标准递归解析查询。
DNS 服务器无法为其宿主的区域中的域名转发查询。例如,区域 www.yhys.com 的权威 DNS 服务器无法根据域名 www.errenzhuan.cc 转发查询。
--------------
当您使用集成了目录的区域时,您可以使用访问控制表 (ACL) 编辑以保护目录树中的 dnsZone 对象容器。该功能提供对区域或区域的指定资源记录的详细的访问。例如,可以限制区域资源记录的 ACL,以便仅允许对指定客户端计算机或安全组(例如域管理员组)进行动态更新。使用标准主区域时,该安全功能不可用。
--------------
用于在文件中存储 DNS 数据的 DNS 服务器使用区域传送来复制有关部分 DNS 命名空间的信息。当它复制未与 AD DS 集成的区域时,DNS 服务器服务使用增量区域传送功能仅复制区域的已更改部分,这样可以节省网络带宽。
------------
条件转发器
DNS 服务器服务通过提供条件转发器扩展了标准转发器的功能。条件转发器是网络上的一个 DNS 服务器,它按照查询中的 DNS 域名转发 DNS 查询。例如,您可以将 DNS 服务器配置为将它所接收到的对以 www.diantang.cn 结尾的名称的所有查询转发到特定 DNS 服务器的 IP 地址或到多个 DNS 服务器的 IP 地址。
------------
AD DS 中的 DNS 区域存储的增强功能
DNS 区域可以存储于 AD DS 的域或应用程序目录分区中。应用程序目录分区是 AD DS 中的一个数据结构,它针对不同的复制目的对数据进行区分。您可以指定将区域存储于哪个 AD DS 应用程序目录分区中,进而指定将在其间复制区域数据的域控制器组。DNS 服务器服务维护两个应用程序目录分区:DomainDnsZones 和 ForestDnsZones,这两个分区在每个域和林中用于存储区域以进行标准复制。
----------------------
区域:DNS服务器管理的范围。
主要区域:数据库可以修改。所有添加、修改、删除都是在主要区域所在服务器上进行。集成到AD后,数据库放入AD数据库。
辅助区域:定期到主要区域服务器复制所有数据,复制数据的动作称为区域传送或区域复制。只读。
存根区域:复制部分记录。SOA记录:用来控制它们之间的版本及复写的频率,NS、与NS相关的A记录:维护这个区域的DNS服务器信息。
只有主区域可以存储在目录中。DNS 服务器无法在目录中存储辅助区域。必须以标准文本文件格式存储它们。当所有区域都存储在 AD DS 中时,AD DS 的多主机复制模型就不再需要辅助区域。
由于辅助区域只是在另一台服务器上承载的主要区域的副本,因此不能存储在 AD DS 中。
如果 DNS 服务器也是 Active Directory 域服务 (AD DS) 域控制器,则可以将主要区域和存根区域存储在 AD DS 中。
您可以使用存根区域执行下列操作:
1 使委派的区域信息始终保持最新状态。通过定期更新其某个子区域的存根区域,承载父区域和存根区域的 DNS 服务器将保持该子区域的权威 DNS 服务器列表最新。
2 改进名称解析。存根区域使 DNS 服务器可以使用存根区域的名称服务器列表来执行递归,而不必查询 Internet 或 DNS 命名空间的内部根服务器。
3 简化 DNS 管理。通过在整个 DNS 结构中使用存根区域,可以分发区域的权威 DNS 服务器列表,而不必使用辅助区域。但是,存根区域与辅助区域作用不同,它们不是用于增强冗余性和共享负载的备用区域。
-----------------
迭代查询:DNS回答它的最佳答案,不会帮你查询高速你下一层DNS的IP
递归查询:DNS回答完整答案 客户端到DNS 对转发器
根提示 迭代查询
------------------
DNS Domain Namespace架构 根域 最上层域 第2层域。 最上与第2组合称为DNS域名。
------------------
host name解析顺序
dns缓存 或 hosts
dns服务
netbios名称缓存 当DNS客户端服查询DNS服务器失败且host name不超过15个字符,会转向netbios name名称解析
wins 通过unicast封包解析
广播
lmhosts
netbios name解析顺序
netbios名称缓存 3个来源 wins 广播 lmhosts#PRE
wins
广播
lmhosts
-----------------
依据不用的应用程序或服务来选择使用host name名称解析 或 netbios name名称解析
host name 255字符 为管理者针对连接在tcp/ip网络上的计算机所设定的别名。默认与计算机名称相同。
netbios name15字符+1字符
FQDN完整域名:在整个DNS的阶层式架构中识别internet上的任意一台计算机。host name + DNS Suffix
SOA记录:SOA 资源记录表明此 DNS 名称服务器是为该 DNS 域中的数据的信息的最佳来源。
NS记录:表明该服务器是一台名称服务器
A记录:对象到IP地址的映射关系
NS和A记录一起表示有一条粘连记录,用于定位一台名称服务器(根据IP地址来定位)
PTR (Pointer Recore),指针记录,是电子邮件系统中的一种数据类型,被互联网标准文件RFC1035所定义。与其相对应的是A记录、地址记录。二者组成邮件交换记录。[1]A记录解析名字到地址,而PTR记录解析地址到名字。
地址是指一个客户端的IP地址,名字是指一个客户的完全合格域名。
--------------------------
Windows的ComputerBrowser服务维护着一个网络资源的清单,其中包括基于Windows的域、工作组和计算机,还有其他支持NetBIOS协议的网络设备,网上邻居显示的内容正是来源于此。在基于Windows 2000的网络中,活动目录(Active Directory,AD)取代了ComputerBrowser服务。但是,如果网络由Win2K和WinNT混合构成,且包含非Win2K的域控制器,或者网络上某些客户端不支持AD,Computer Browser服务仍是必不可少的。在运行ComputerBrowser的环境中,IP网络的域的主浏览器与网段的主浏览器交互,借助NetBIOS名称解析和几个特殊的NetBIOS名称,装配出成员机器和设备的列表。
--------------------------
domain master browser server: A master browser server that is responsible for combining information for an entire domain, across all subnets. A domain master browser server is responsible for keeping multiple subnets in synchronization by periodically querying local master browser servers for information concerning user accounts, security, and available resources such as printers.
master browser server: A server that is responsible for maintaining a master list of available resources on a subnet and for making the list available to backup browser servers. Each subnet requires a master browser server. The master browser server for a particular domain is called the domain master browser server.
backup browser server: A browser server that was selected by the local master browser server on that subnet to be available to share the processing load that is required to serve browser clients. Backup browser servers keep copies of the information that is maintained by the local master browser server by periodically querying that server.
--------------------------
clearing the ARP cache
netsh interface ip delete arpcache
--------------------------
缓存包括肯定条目(positive entry)和否定条目(negative entry)。
肯定条目是指这种条目: DNS查询成功,能够连接到该网站。Windows在缓存里面查找时,如果找到一个肯定条目,就会立即使用该DNS信息,连接到请求访问的那个网站。
否定条目是指这种条目: 找不到匹配,最后在浏览器里面出现“找不到服务器或者DNS”错误信息。同样,Windows在缓存里面查找时,如果找到一个否定条目,就会返回错误信息,不会连接到那个网站。
否定条目会带来问题。如果试图连接到在缓存中有否定条目的网站,就会得到错误信息,即使该网站的问题已经得到了解决、现在可以成功连接。不过可以通过修改注册表的办法来解决这个问题。默认情况下,Windows在缓存里面把否定条目保留五分钟。五分钟过后,它们就会从缓存中清空。
否定条目在DNS缓存里面保留多长时间(以秒为单位)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters,使用名称NegativeCacheTime创建一个新的DWORD值,并赋值0。
肯定响应的 TTL 是下列值中的较小者:
在解析器收到的查询响应中指定的秒数MaxCacheTtl注册表设置的值。
注意
肯定响应的默认 TTL 是 86,400 秒(1 天)。
否定响应的 TTL 是在 MaxNegativeCacheTtl注册表设置中指定的秒数。
否定响应的默认 TTL 是 900 秒(15 分钟)。
如果您不希望缓存否定响应,请将 MaxNegativeCacheTtl注册表设置设为 0。
-------------------------------
子网优先级划分
Windows XP DNS 解析器还使用“子网优先级划分”。如果解析器从 DNS 服务器收到多个 IP 地址映射(A 资源记录),并且一些记录含有计算机直接连接到的网络中的 IP 地址,则解析器会首先放置这些资源记录。这种行为会强制计算机连接到比较靠近它们的网络资源,从而减少了子网间的网络通信量。
虽然“子网优先级划分”确实可减少子网间的网络通信量,但在某些情况下,您可能喜欢让循环功能按照 RFC 1794 中的说明工作。如果是这样,您可以通过在以下注册表项中添加一个值为 0(REG_DWORD 数据类型)的 PrioritizeRecordData
注册表条目来禁用“子网优先级划分”功能:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
-----------------------------------
要停止 DNS 缓存
net stop dnscache
sc 服务器名 stop dnscache
DNS 客户端服务可通过将以前解析的名称存储在内存中来优化 DNS 名称解析的性能。
ip mac之间由arp通信协议来转换
DNS主要对 host name 名称解析 一般tcp/ip(ftp telnet smtp http)
wins 主要对 netbios name 解析 绝大多数 unc path(net use \ net time)
---------------------------
在winXP和2003中 TTL是 900 秒(15 分钟)。 关于DNS缓存机制设定的键值都在如下路径中:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
其中MaxCacheEntryTtlLimit为DNS缓存条目TTL最大值,在XP和2003系统中此项名称为MaxCacheTtl。肯定响应条目的TTL,将由在DNS解析器收到的查询响应中指定的秒数和此项数值两者中最小值决定。如果将此项键值设为1 秒,则DNS 缓存看起来已被禁用。NegativeCacheTime为否定响应条目的TTL,XP和2003中此项名称为 MaxNegativeCacheTtl。可以将此项键值改小或直接改为0,则不缓存否定的响应。而NetFailureCacheTime子项为常规网络缓存失败的控制时间,默认30秒。若系统重复发送多次DNS请求,而完全得不到任何DNS服务器的响应,系统会认为网络连接失效,在默认30秒的时间中将不会再向外发送任何DNS查询请求,此项也可减小或置0。