怎么配置域名解析系统DNS在windowssever2003
确保Windows Server 2003域上的域名解析系统(domain name system,简称DNS)安全,是非常基本的一个要求。活动目录(Active Directory,简称AD)使用DNS来定位域控制器以及其他域服务所需的资源(比如文件,打印机,邮件等等)。由于DNS是活动目录域体系不可或缺的一部分,所以从一开始就应当确保它的安全。 在Windows Server 2003上安装DNS时,不要修改“活动目录集成DNS”的默认设置。微软在2000中开始提供这种设定。 这意味着系统仅仅在DNS服务器上保存DNS数据,而不会保存或复制域控制器和全局目录服务器上的相关信息。这样不仅可以提升运行速度,而且还提升了三种服务器的运作效率。 对DNS服务器和客户端(或其他服务器)之间的数据传输进行加密也是至关重要的。DNS使用TCP/UDP的53端口;通过在你的安全界线上不同的点对这个端口进行过滤,你可以确保DNS服务器只接受认证过的连接。 另外,这也是一个部署IPSec的好时机,来对DNS客户端和服务器之间的数据传输进行加密。开启IPSec可以确保所有客户端和服务器之间的通讯得到确认和加密。这意味着你的客户端仅仅和认证过的服务器通讯,并有助于阻止请求欺骗或损害。 配置完毕DNS服务器之后,继续监视连接,就像你留意企业中其他高价值目标一样。DNS服务器需要可用的带宽以服务客户的请求。 如果你看到某个源机器上朝着DNS服务器发出了大量的网络通讯,你可能是遭受了“拒绝服务攻击”(denial-of-service,简称DoS)。直接从源头切断连接,或者断掉服务器的网络连接,直到你调查清楚问题之后再说。记住,一次成功的对DNS服务器的DoS攻击会直接导致活动目录瘫痪。 使用默认的设置(动态安全更新),只有认证过的客户端才可以注册并更新服务器上的入口信息。这可以阻止攻击者修改你的DNS入口信息,从而误导客户到精心伪造的网站上以窃取财务资料等重要信息。 你同样可以使用配额以阻止客户端对DNS的洪水攻击。客户端通常只能注册10个记录。通过限制单个客户可注册的目标数目,你可以阻止一个客户端对它自己的DNS服务器进行DoS攻击。 注意:确定你对DHCP服务器,域控制器,以及多宿主服务器(multi-homed)使用了不同的定额。这些服务器依据他们提供的功能不同,可能需要注册上百个目标或用户。 DNS服务器将对一个授权区域内的任何查询请求作出响应。要想对外部世界隐藏你的内部网络架构,通常需要设置一个分隔的姓名空间,这一般意味着一台DNS服务器负责你的内部DNS架构,另一台DNS服务器则负责外部以及Internet的DNS架构。通过阻止外部用户访问内部DNS服务器,你可以防止内部非开放资源的泄露。 最后 不管你是运行一个Windows网络,或者是UNIX和Windows的混合体,DNS的安全都应该是你网络的核心。采取措施以保护DNS免受外部和内部的攻击。
当然能对公网开放了!
前题是你的DNS Server必需是注册DNS!或者就是你必需要用你的DNS解析你自己的域名
必如你的Server name为ns,你的域名为domaincom
那你先解析NS的A记录到此DNS Server的IP
如果其它域名要用此Server 解析的话,将DNS的解析权放到你的nsdomaincom来即可!
另注意:必需对公网开放DNS所需要相应端口(其它相关解析设定就不在详述了)
dns服务器搭建配置方法:
2008搭建dns是通过新建dns角色服务器来实现,打开2008系统之后,打开服务器管理器找到角色----右侧有一个添加角色
接着进入角色新建向导页面,默认进行下一步
等待片刻扫描服务器角色之后,勾选dns服务器(注意搭建dns服务器要求固定IP地址)
检查设置服务器固定IP
打开网络和共享中心,找到本地连接属性。打开点击internetv4属性,常规选项卡里面选择手动配置IP
如果服务器是固定IP,直接进行下一步向导
提示对话框确认安装dns服务器,点击安装继续
点击安装之后,进入安装阶段需要等待几分钟
安装好之后,如果关闭了windows update 会提示一个警告。建议激活windows update服务(其实这个可以不用开启不影响dns使用)
再次返回服务器管理器角色服务里面,可以看到dns服务器
另外:
1设置公网DNS转发:关于怎么添加dns记录的相关方法,咗嚛会另外一篇经验提供内部邮箱解析设置案例。
2除此之外,dns服务器还要设置一个外部转发器,对于不能解析的地址进行外网dns解析
客户端怎么设置dns,内部电脑的话,把dns部分首选dns设置为服务器的ip地址。辅助dns设置一个能够正常连接的公网IP即可,如果都是动态分配的到路由器上设置分配首选dns为内部dns
解决方法:
一、如果是需要共享上网,你只需要给你的ISP打个电话他们会告诉你本地的DNS服务器地址,设置在电脑上就可以了;比如中国电信就打10000;
二、如果得确有需要DNS必须使用本公司的(比如有些软件就要用到自己的DNS,而你又不希望设置多个DNS地址),即么在Server上的DNS服务中设置转发,至于DNS转发的设置请搜索“2003 DNS 转发 设置”;
注:共享上网不能设置ISP提供的IP地址,也不能填写网关地址(除非网关能转发DNS),我们宁波市电信的DNS服务器地址是:2029610415 2029610417;
1,必须具备固定IP,即使你不购买域名一样可以使用DNS来提供域名服务,因为DNS服务器里默认有13台位于美国国家信息中心的根域DNS地址。DNS服务器本身拨号或者能直连公网的情况下将首选DNS指向自己,客户机指向DNS即可。DNS不配置启动后会作为缓存DNS存在所有解析都是从根域获取的所以速度会很慢。
2,如果没有固定IP怎么搭建DNS都是无效的,最好的方式是指向到电信级别的有权威的DNS地址,电信起码会有3个以上的地址怎么可能都不稳定。
3,如何搭建DNS,WIN2003装好在控制面板添加删除组件找到网络服务勾选DNS服务器即可,同1只要能起来即可,百度文库里这方面的资料搜搜就有。
4,购买域名与不买域名的区别再于你是否需要为其他外部网络客户提供DNS解析服务,如果只是为自己服务不需要购买。
1、客户机ping服务器192168025可以ping通 ,证明网络没有问题,但是ping1921680133不通,你有没有测试过0133和025可以相互ping通么?结合你第二点说的:虚拟机上的win server2003 ping网关可以通,ping 客户机也可以通。我认为是不是你的0133上开了防火墙了?你检查一下。
2、dns服务器(虚拟机上的2003)无法进行解析,你有没有在0133上的DNS设置中设置“DNS转发”只有设置了转发,才可以解析公网上的域名。
希望我的回答能帮到你 ,有问题再探讨,谢谢!
0条评论