存根區域使 DNS 名稱解析更高效
 

Windows Server 2003 中的 DNS 新增功能之二
摘要：介紹 Windows Server 2003 中的存根區域(Stub zone)
目錄:

介紹 DNS 委派區域的名稱解析

介紹 DNS 存根區域原理

配置 DNS 存根區域
在 DNS 名稱空間的架構過程中, 經常會把一個區域的管理和解析任務委派給其它 DNS 服務器, 這樣做的目的可能是由於名稱空間過於龐大而減輕管理負擔, 也有可能是出於負載平衡的考慮。
我們可以在現有區域上創建一個委派:
1. 右擊你的區域(zone.com)，點擊 " 新建委派 ";
2. 鍵入你想要委派的子域名稱(DeleDomain.zone.com);
3. 指定主持此委派區域的 DNS 服務器 (DeleServer.DeleDomain.zone.com); 4. 點擊 " 完成 "。
在上述過程中, 你已經把解析和管理 DeleDomain.zone.com 的任務委派給了服務器 DeleServer.DeleDomain.zone.com. 當有客戶端查詢 DeleDomain.zone.com 區域的電腦時, 當前服務器(server.zone.com) 會自動把該請求發給委派服務器(DeleServer.DeleDomain.zone.com)。
經過上述配置, 得到了負載平衡和分散管理的好處的同時, 另一個問題又出現了: 當委派域 (DeleDomain.zone.com) 的管理員為這個委派域增加了額外的 DNS 服務器, 但這一情況並未通知當前區域 (zone.com) 的管理員,導致當前服務器 (server.zone.com) 仍然把查詢發給原來已知的委派域 DNS 服務器, 沒有發揮新增委派域額外服務器的作用。

在 Windows Server 2003 中, 存根區域使這一問題得到了很好的解決. 存根區域將幫助當前服務器聯絡委派服務器, 使得委派域的訊息可以及時更新到當前服務器. 這樣做具體的優勢在於:

1. 與利用根服務器質詢方法比較, 這種方法更簡單, 更快捷。

2. 使委派域的管理更高效.

下面介紹一下存根區域的創建方法:

1. 打開 DNS 控制台。

2. 右鍵點擊 DNS 服務器，然後點擊 「 新建區域 」。

3. 在嚮導頁, 點擊 " 下一步 "。

4. 在 " 區域類型 " 頁, 選擇 " 存根區域 ", 單擊 " 下一步 "。

5. 在 " 正向或反向搜尋區域 " 頁, 選擇 " 正向搜尋區域 " , 單擊 " 下一步"。

6. 在 " 區域名稱 " 中, 鍵入你的域名 (StubzoneDeleDomain.zone.com), 單擊 " 下一步 "。

7. 配置區域文件, 單擊 " 下一步 "。

8. 在 " 主服務器 " 頁, 鍵入想要複製區域的 DNS 服務器 (DeleServer.DeleDomain.zone.com)的 IP 地址, 單擊 " 下一步 "。

9. 在完成嚮導頁, 單擊 " 完成 "。

更新存根區域：。

1. 打開 DNS 控制台。

2. 右鍵點擊你的存根區域，點擊 " 重新載入執行 " 或 " 從主服務器複製 " 或 " 從主服務器重新載入執行 "。

上述配置創建了存根區域 (StubzoneDeleDomain.zone.com), 並且存根區域的更新使當前服務器聯絡委派域主服務器(DeleServer.DeleDomain.zone.com)，使該存根區域 (StubzoneDeleDomain.zone.com) 和委派區域(DeleDomain.zone.com) 的訊息保持同步，當前服務器能得知所有子域委派服務器的存在 (當然包括子域管理員額外增加的服務器)。當客戶端再次查詢 DeleDomain.zone.com 域的電腦時, 當前服務器 (server.zone.com) 會在它主持的存根區域(StubzoneDeleDomain.zone.com)的 NS 記錄中找出所有的委派域的服務器, 並自動把請求發給它們。

現在, 我們不僅使用了委派域的分散管理和解析, 而且還利用 Windows Server 2003 中的 DNS 存根區域解決了訊息更新與同步問題。

分離的DNS服務及其部署
　
內容概要：當你對Internet發佈了內部網路中的服務時，可能你的用戶會有抱怨：遠端客戶可以正常的訪問你發佈到Internet的服務，但是位於內部網路的用戶卻不能正常的訪問這些服務。這個時候，你可能需要在你的網路中部署分離的DNS服務。
當你對Internet發佈了內部網路中的服務時，可能你的用戶會有抱怨：遠端客戶可以正常的訪問你發佈到Internet的服務，但是位於內部網路的用戶卻不能訪問這些服務，Why？
如下圖所示，內部網路位址範圍為10.2.1.0/24，在ISA上對Internet發佈了內部網路中Web服務器（10.2.1.5）上的Web站點www.isacn.org，在Internet的DNS服務器上解析www.isacn.org為ISA服務器的外部IP位址39.1.1.8。



此時，外部Internet上的客戶（39.1.1.9）可以正常的訪問ISA防火牆上發佈的Web站點www.isacn.org，



但是內部網路中的SNat客戶（10.2.1.9）卻不可以，



為什麼呢？
內部網路中的SNat客戶（10.2.1.9）和外部的客戶（39.1.1.9）使用的是相同的DNS服務器（39.1.1.9），當內部的SNat客戶（10.2.1.9）解析域名www.isacn.org時，結果和外部客戶（39.1.1.9）一樣，是ISA防火牆的外部接頭IP位址39.1.1.8。於是，內部SNat客戶（10.2.1.9）向ISA防火牆的外部接頭（39.1.1.8）發起連接，當ISA防火牆接收到此連接請求時，會根據發佈規則的設置轉發給內部網路中的Web服務器（10.2.1.5）。
問題的關鍵在於，此時Web服務器（10.2.1.5）直接對SNat客戶（10.2.1.9）的連接請求發出響應。ISA防火牆轉發給Web服務器的連接請求的源位址是內部SNat客戶的IP位址（10.2.1.9），Web服務器（10.2.1.5）識別出此IP位址（10.2.1.9）和自己位於相同的子網內，所以直接向此IP位址發送連接響應。但是Snat客戶電腦（10.2.1.9）會丟棄Web服務器（10.2.1.5）直接發送給它的連接響應，因為它的連接請求是發送到ISA防火牆的外部IP位址（39.1.1.8）而不是Web服務器的IP位址（10.2.1.5）。對於Snat客戶電腦而言，Web服務器發送給它的連接響應不是它發起的，所以它會丟棄此連接響應。

解決此問題的辦法有兩種：
第一種方法是在ISA防火牆的服務發佈規則中，設置連接請求顯示為從ISA防火牆發起，如下圖所示：



但是這樣會導致兩個問題：
被訪問的服務器上的日誌記錄中的客戶IP位址全部為ISA防火牆，這樣不能做日誌分析和統計；
出現了網路訪問迴環，這樣會極大的降低ISA防火牆的性能；
所以，不推薦使用此辦法。
　
　
第二種方法就是使用分離的DNS服務（Split dns）。顧名思義，分離的DNS服務就是為外部客戶和內部客戶分別使用不同的DNS服務。對於外部的客戶，使用Internet上的DNS服務，解析域名到ISA防火牆的外部接頭的IP位址上；而對於內部客戶，使用內部網路中的DNS服務，將此域名解析到內部網路中對應的服務器IP位址上，這樣當內部網路中的客戶訪問此服務時，就不再需要通過ISA防火牆進行中轉而直接進行訪問。
下圖中所示就是分離的DNS服務結構，在內部網路中，增加了一台DNS服務器，並且配置內部網路中的客戶使用此DNS服務；



此時，通過將名字解析為對應服務器的內部網路中的IP位址，內部網路中的客戶就可以正常的訪問內部網路中的服務了。