域名解析服务管理问答
2019-12-22江苏孙秀洪
■江苏 孙秀洪
编者按:域名解析是网络管理人员必备的一项技能,本文列举了域名解析可能出现的一些问题,希望对大家的工作有所帮助。
为了改善域名解析(以下称DNS)服务器自身运行安全性,不少网管员会将服务器中平时用不到的系统服务端口全部关闭掉,而仅将少数几个正在使用的服务端口保留下来。要想将DNS服务器使用的服务端口配置保留下来,该保留什么端口号码呢?
答:DNS服务工作端口号码一般存储在“services”文件中,打开该文件,就能看到DNS服务端口号码了,下面就是详细查看步骤:首先进入DNS服务器的资源管理器窗口,进入“system32driversetc”文件夹窗口,用鼠标右键单击该窗口中的“services”文件,执行快捷菜单中的“打开方式”命令,点击“记事本”应用程序,来打开“services”系统文件。之后,依次选择文本编辑界面中的“编辑”、“查找”命令,切换到查找设置框,输入“Domain Name”关键字,按下“查找下一个”按钮,这样鼠标指针就会自动出现于域名解析服务内容描述处,在这里,用户就能直观地看到域名解析服务正在使用的协议有TCP、UDP这两种类型,而对应端口号码全部为“53”,日后只要将“53”端口开通,就能保证域名解析服务正常工作了。
用户上网输入的网站域名,是怎样被转换成IP地址的呢?
答:当客户端系统需要解析网站域名时,它就会自动查询DNS服务器。用户向DNS服务器发出的每个查询请求,本质是请其提供地址解析记录。例如,用户要想解析www.abc.com站点域名时,会自动向指定的DNS服务器发出查询请求,请求信息中指定了www查询类型,这个查询过程其实分为了两个步骤:首先询问DNS服务器中有没有与名称为“abc.com”域对应的www资源记录,然后再询问能不能将其www记录解析为主机记录,并解析其IP地址。当普通计算机收到来自DNS服务器的响应时,会自动读取并解释www记录并获得A记录,从而获得目标网站的IP地址。
众所周知,合理通过DNS缓存功能,可以提高DNS解析效率,提高上网浏览速度;不过,默认状态下,Windows系统的域名解析缓存容量有限,能保存的域名解析记录有限,请问怎样增大域名解析缓存容量,以便让客户端系统能缓存更多域名解析记录?
答:可以打开系统注册表编辑窗口,逐一跳转到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices域 名 解 析cacheParameters注 册表分支上,在目标分支下创建一个“CacheHash TableBucketSize”双字节值,同时将该键值的数值设置为“十进制”的“384”,并按“确定”按钮返回;再按同样的方法,在“Parameters”分支下面依次创建好“MaxCache EntryTtlLimit”双字节值、“CacheHash TableSize”双 字 节 值、“MaxSOACache EntryTtlLimit”双字节值,并将它们对应的数值依次设置 为“301”、“64000”、“300”,完成上述设置后重新启动Windows系统,这样客户端系统的域名解析缓存容量就会增大了,那么该系统上网浏览效率就能提升很多。
当客户端系统从DHCP服务器那里自动获得上网地址时,如何让DNS服务器的正向、反向搜索能同步自动更新?
答:很简单,只要以系统管理员权限登录DHCP服务器,打开该服务器的DHCP控制台窗口,点选“动态域名解析”标签,选中对应标签页面中的“启用域名解析客户信息的动态更新”复选项,再根据实际需要选择合适的更新方式,例如可以选择“总是更新正向和反向搜索”方式或选择“根据客户请求更新”方式,来启用域名解析服务器的客户信息更新功能。
如果想让域名解析服务器也能自动更新非动态客户信息时,可以选中“对非动态域名解析客户更新”选项;如果想让域名解析服务器在客户租约期限到期后自动取消对客户正向搜索,可以选中“当租约过期时取消正向搜索”选项。
如果缺省的DNS服务器发生故障,无法正常提供域名解析服务时,该如何申请新的DNS服务器来替代旧的服务器呢?
答:现在提供免费DNS的服务商有很多,我们可以按需选择一个合适站点申请该服务。例如,我们可以打开http://www.4y.cn/页面,点击右上方区域的“免费注册”按钮,依照页面提示输入相关注册信息,其中电子邮件地址必须填写正确,确认提交后后台系统会自动将用户密码发送到指定电子信箱中。接着使用注册获得的账号资料登录管理中心,点选“域名服务”位置处的“DNS管理”选项,在对应选项文本框中输入无法正常解析的域名,提交后按下“结算”按钮即可,没有多长时间,系统会提示交易成功。之后,依次点击“业务管理”、“域名维护”选项,将域名的DNS调整为“ns1.4everdns.com”和“ns2.4everdns.com”, 执行保存操作返回。下面登录原域名控制面板,切换到“域名管理”设置区域,按下“修改域名DNS”按钮,将“填写具体信息”选中,同时在“主域名服务器名字”文本框中输入“ns1.4everdns.com”,在“辅域名服务器名字”文本框中输入“ns2.4everdns.com”。 结束上述设置操作后,一般要等待24小时,新申请的DNS服务器才能生效。当域名生效后,再次返回到之前的域名维护页面,设置好邮件记录、A记录以及子域名等。
停用了Windows系统的域名解析 Client服务,客户端系统就不能成功完成地址解析任务,请问这种说法正确吗?
答:笔者认为是错误的,之所以很多用户会有这样不正确的认识,主要在于微软的误导。在Windows的服务管理中,微软对域名解析Client服务是这样解释的,“为此计算机解析和缓冲域名系统(域名解析)名称。如果此服务被停止,计算机将不能解析域名解析名称并定位Active Directory域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。”微软这样的解释是很不负责任的话。其实域名解析Client服务仅仅是客户端系统对域名解析解析内容的缓存服务,关闭了该服务并不会对域名解析解析操作造成影响,只是客户端系统无法继续缓存域名解析解析内容了。关闭这个系统服务,对上网浏览影响不是很大,从安全角度来看,启用该服务反而能泄漏用户的缓存内容,因为通过缓存内容就能确定用户曾经访问过的网页内容。从上网速度来看,关闭该系统服务可能会降低上网反应速度,不过影响一般不是很大。
在局域网域工作环境中,当将域控制器的DNS参数配置成ISP提供的DNS服务器地址时,系统为什么会生成错误的消息提示?
答:这种现象只会在域控制器系统中出现,因为为了方便局域网中其他客户端系统或域控制器查询活动目录信息,主域控制器系统需要通过netlogon服务在DNS服务器中注册一些信息,要是将该系统的DNS参数配置成ISP提供的DNS服务器地址,那么netlogon服务将无法在其中注册信息,从而会导致系统生成错误的消息提示。
Windows Server 2008系统在默认状态下并没有安装域名解析服务器组件,请问如何安装、配置域名解析服务器?
答:首先要以系统管理员权限登录Windows Server 2008系统,其次在该系统中依次单击“开始”、“设置”、“控制面板”命令,打开系统控制面板窗口,双击其中的“添加或删除程序”选项,点击“添加/删除Windows组件”按钮,弹出Windows系统组件添加向导窗口;之后依次选中“网络服务”选项,单击“详细信息”按钮,选中“域名解析服务”,再按照向导默认提示完成安装操作,就能安装好域名解析服务组件了。
在配置域名解析服务器时,可以依次单击“开始”、“设置”、“控制面板”命令,双击控制面板窗口中的“管理工具”、“域名解析”图标,展开服务器系统的域名解析控制台窗口;单击该界面中的“操作”菜单项,选择“配置服务器”命令,再按照向导提示依次配置域名解析服务器的区域名称、网络标识参数,同时添加好相关的主机记录即可。
为了防止本地DNS不能解析,很多网络管理员都会启用DNS转发器,以提高域名解析解析成功率,请问如何配置DNS转发器?
答:先以系统管理员权限登录域名解析服务器所在主机系统,打开域名解析控制台界面,右击域名解析服务器所在主机图标,点选右键菜单中的“属性”命令,弹出域名解析服务器属性对话框;点选“转发器”选项卡,在对应选项设置页面中选择“启用转发器”选项,再在“IP地址”位置处输入Internet网络上真正可以提供域名解析服务的域名解析服务器地址,这样局域网域名解析服务器只要收到客户端系统的域名解析申请,转发器就能自动将申请请求发送给真实域名解析服务器去处理,日后再将结果转发给客户端系统。
为了破坏DNS服务器的稳定运行,很多恶意用户经常会使用DDoS攻击方式,对其进行攻击破坏,请问怎样预防DDoS攻击DNS服务器?
答:首先在经济允许的情况下,将DNS服务器部署在性能配置足够高、硬盘容量足够大的主机系统中,确保黑客在消耗DNS服务器系统资源的同时,其自身攻击能量也在迅速消耗,或等DNS服务器没有被攻击瘫痪,黑客自己已无力攻击了;其次部署专门的入侵检测系统,来保护DNS服务器的安全运行;第三对DNS服务器所在主机系统进行优化,关闭系统平时很少用到的服务和端口,切断黑客攻击通道;第四使用专业安全工具分析DNS数据报文,寻找导致流量急剧放大的可疑数据报文,并对它们执行过滤操作。
当尝试将Windows系统的DNS Client服务配置成停止运行状态时,终端计算机系统就无法成功进行地址解析操作,请问这种说法是否正确?
答:不正确,之所以不少人会有这样的认识,主要在于微软的误导。在Windows的服务管理中,微软对DNS Client服务是这样解释的,“为此计算机解析和缓冲域名系统 (DNS)名称。如果此服务被停止,计算机将不能解析DNS名称并定位Active Directory域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。”微软这样的解释是很不负责任的话。其实DNS Client服务仅仅是客户端系统对DNS解析内容的缓存服务,关闭了该服务并不会对DNS解析操作造成影响,只是客户端系统无法继续缓存DNS解析内容了。关闭这个系统服务,对上网浏览影响不是很大,从安全角度来看,启用该服务反而能泄漏用户的缓存内容,因为通过缓存内容就能确定用户曾经访问过的网页内容。从上网速度来看,关闭该系统服务可能会降低上网反应速度,不过影响一般不是很大。
请问怎样在Windows客户端系统中,查看域名解析缓存中的内容?
答;可以依次单击“开始”、“运行”命令,在弹出的系统运行对话框中,执行“cmd”命令,切换到DOS命令行工作窗口,在命令行提示符中输入“ipconfig/display域名解析”命令,按回车键后,就能在命令返回的结果信息中查看到域名解析缓存内容了。
有时,黑客会使用递归查询模式,拒绝特定DNS服务器对外提供域名解析服务,破坏用户正常使用域名访问。为了避免这种现象,请问如何关闭DNS服务器的递归查询模式?
答:在DNS服务器所在主机系统,打开DNS管理器控制台界面,右击本地主机名称,选择右键菜单中的“属性”命令,弹出DNS服务器属性对话框,选择“高级”选项卡,检查高级选项设置页面中的“停用递归”选项是否处于选中状态,一旦发现它还没有被选中时,可以及时将它重新选中,再按“确定”按钮即可。此外,也能在DOS窗口下,执行“dnscmd ServerName/Config/NoRecursion 1”命令(这里的“ServerName”为 DNS服务器的主机名称),关闭递归查询功能。
在Unix系统环境中,如何配置域名解析地址参数?
答:Unix的域名解析配置信息主要保存在“/etc/resolv.conf”文件中,因此只要编辑修改该文件,就能轻松完成域名解析地址参数配置任务了。
一般来说,网管员在配置域名解析服务器的正向查询区域时,都需要将“.”区域删除掉,请问这是什么原因?
答:“.”区域通常表示本地域名解析服务器就是根服务器,而本地域名解析服务器往往只能解析有限的几个内部网站域名,而无法解析更多的外部网站域名;只要该区域存在,那么本地系统的域名解析服务就无法使用系统默认的根提示服务器,去解析Internet网络中的网站域名,这样就容易造成上网浏览失败故障。此外,本地域名解析服务器容易发生故障,而系统默认的根提示服务器却有一定的冗余,这也是删除“.”区域的原因之一。
倘若黑客破坏掉域名解析服务器的配置信息,那么会造成域名解析服务无法正常工作,请问有没有办法保护域名解析配置信息?
答:由于域名解析配置信息几乎都保存在域名解析文件夹中以及相关注册表分支中,只要对它们的访问权限进行控制,就能保护好域名解析配置信息。
具体做法为:首先打开域名解析服务器所在系统的注册表编辑窗口,依次跳转 到HKEY_LOCAL_MACHINECurrentControlSetServices域名解析分支上,用鼠标右键单击域名解析分支,从右键菜单中执行“权限”命令,弹出权限设置对话框,在这里删除所有用户账号,仅将合法账号添加进来,并为它们分配合适的访问权限。其次打开系统资源管理器窗口,选中“%system_directory%域 名解析”文件夹,右击该文件夹图标,点选右键菜单中的“安全”命令,弹出安全选项设置页面,在这里仅为合法用户授予适当的访问权限,删除所有不信任用户账号。
有恶意用户会使用DNS高速缓存,来欺骗攻击DNS服务器,影响用户的正常上网访问,请问怎样远离这种非法攻击?
答:有下面几种措施:一是在遇到浏览故障时,手工刷新DNS缓存,破坏黑客的欺骗攻击;在进行这种操作时,只要打开DOS命令行工作窗口,输入“ipconfig/flushdns”命令,按回车键即可。
二是启用防止缓存污染功能,避免DNS服务器缓存被黑客攻击;只要打开DNS服务器属性对话框,点选“高级”选项卡,选中对应选项设置页面中的“防止缓存污染”选项,再重新启动DNS服务器系统即可。
三是关闭DNS缓存功能,让黑客无法利用DNS缓存漏洞实施欺骗攻击;在关闭DNS缓存时,可以通过执行“net stop dnscache”命令,临时关闭DNS缓存功能,也可以停用DNS Client服务,来永久关闭DNS缓存功能。
四是修改DNS服务器的TTL值,让其变得稍微小一些,以便预防DNS缓存中毒。在进行这种修改时,打开注册表编辑窗口,跳转到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters分支上,双击DefaultTTL键值,输入“32”或“64”,再刷新系统注册表即可,当然TTL数值不宜过小,否则DNS服务器运行负担会加重。
当DNS服务器遇到意外无法工作时,一些网站就无法通过域名进行访问,请问有没有什么应急的办法,能解决这种问题?
答:可以通过修改文件进行应急:首先打开本地系统的资源管理器窗口,展开“C:WindowsSystem32Driversetc”文件夹,找到其中的“hosts”文件,启动运行记事本程序,打开“hosts”文件,在该文件的最后一行添加上网站服务器IP地址和解析出错的域名,这样就能临时解决一些网站无法通过域名访问的问题了。
一台域名解析服务器安装配置成功后,如何才能快速判断它能正常解析域名呢?
答:很简单!只要打开域名解析服务器属性对话框,点选“监视”选项卡,选中“对此域名解析服务器的简单查询”,单击“立即测试”按钮,如果测试成功的话,那就说明域名解析服务器可以正确将主机名称解析成IP地址,如果测试失败,那就说明域名解析服务器安装、配置存在问题,还需要重新设置相关参数。之后,选中“对此域名解析服务器的递归查询”,单击“立即测试”按钮,如果测试成功的话,那就说明域名解析服务器可以正确将IP地址解析成主机名称。
域名解析服务器默认可以同时接受客户端系统的迭代查询、递归查询,不过如果同时接受太多的递归查询,域名解析服务器容易发生响应迟钝的现象。为了提升域名解析服务器的响应能力,请问有没有办法关闭递归查询功能?
答:很简单!可以打开域名解析服务器控制台窗口,右击域名解析服务器所在主机系统,点选右键菜单中的“属性”命令;点选域名解析服务器属性框中的“高级”选项卡,在其后页面中的“服务器选项”位置处,选中“停用递归”复选项,再按“确定”按钮,就能关闭域名解析服务器的递归查询功能了。
请问如何对域名解析进行包过滤,以便把对域名解析服务器存在安全威胁的数据包过滤掉?
答:可以采用三种方式对域名解析进行包过滤:一是IP地址过滤,只要为域名解析服务器创建合适的IP安全策略,让域名解析服务器只允许合法计算机访问即可;二是端口过滤,只要打开TCP/IP协议的高级属性对话框,将访问域名解析服务器必须使用的53端口开放,同时关闭其他通信端口即可;三是流量过滤,采用这种方式过滤时,可以结合交换机的流量控制功能,来对连接域名解析服务器的交换端口进行流量控制。
有时,IE浏览器无法显示某个网站页面,而QQ、MSN等工具却能正常使用,这种现象基本上是由于DNS解析不正确引起的,要是在尝试更换新的DNS服务器地址后,上述现象仍然没有消失时,很可能是DNS缓存中的内容出错。请问如何刷新DNS缓存中的内容?
答:可以有两种方法刷新本地DNS缓存:一是命令刷新法。依次单击“开始”、“所有程序”、“附件”、“运行”命令,弹出系统运行对话框,在其中输入“cmd”命令,单击回车键后,切换到DOS命令行工作窗口,在该窗口的命令提示符下,输入字符串命令“ipconfig/flushdns”,单击回车键后,本地DNS缓存中过时的内容就会被自动清空。二是修复连接法。关闭所有已经打开的浏览器,之后逐一点选“开始”、“控制面板”选项,切换到系统控制面板窗口,双击“网络和共享中心”、“更改适配器设置”图标,展开网络连接列表窗口,右击目标网络连接图标,选择右键菜单中的“诊断”命令,这样Windows系统就能自动刷新本地DNS缓存内容。