史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-07-30, 03:24 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 什麼是DHCP?

DHCP 是 Dynamic Host Configuration Protocol(動態主機分配傳輸協定)縮寫﹐它的前身是 BOOTP。BOOTP 原本是用於無磁牒主機連接的網路上面的﹕
網路主機使用 BOOT ROM 而不是磁牒起動並連接上網路﹐BOOTP 則可以自動地為那些主機設定 TCP/IP 環境。但 BOOTP 有一個缺點:
您在設定前須事先獲得客戶端的硬體位址,而且,與 IP 的對應是靜態的。換而言之,BOOTP 非常缺乏 "動態性" ,若在有限的 IP 資源環境中,BOOTP 的一對一對應會造成非常可觀的浪費。

DHCP 可以說是 BOOTP 的增強版本﹐它分為兩個部份﹕一個是伺服器端﹐而另一個是客戶端。

所有的 IP 網路設定資料都由 DHCP 伺服器集中管理﹐並負責處理客戶端的 DHCP 要求﹔而客戶端則會使用從伺服器分配下來的IP環境資料。比較起 BOOTP ,DHCP 透過 "租約" 的概念,有效且動態的分配客戶端的 TCP/IP 設定,而且,作為相容考慮,DHCP 也完全照顧了 BOOTP Client 的需求。

DHCP 的分配形式

  首先﹐必須至少有一台 DHCP 工作在網路上面﹐它會監聽網路的 DHCP 請求﹐並與客戶端搓商 TCP/IP 的設定環境。它提供兩種 IP 定位方式﹕


Automatic Allocation
  自動分配﹐其情形是﹕一旦 DHCP 客戶端第一次成功的從 DHCP 伺服器端租用到 IP 位址之後﹐就永遠使用這個位址。


Dynamic Allocation
  動態分配﹐當 DHCP 第一次從 HDCP 伺服器端租用到 IP 位址之後﹐並非永久的使用該位址﹐只要租約到期﹐客戶端就得釋放(release)這個 IP 位址﹐以給其它工作站使用。當然﹐客戶端可以比其它主機更優先的更新(renew)租約﹐或是租用其它的 IP 位址。

  動態分配顯然比自動分配更加靈活﹐尤其是當您的實際 IP 位址不足的時候﹐例如﹕您是一家 ISP ﹐只能提供 200 個IP位址用來給撥接客戶﹐但並不意味著您的客戶最多只能有 200 個。因為要知道﹐您的客戶們不可能全部同一時間上網的﹐除了他們各自的行為習慣的不同﹐也有可能是電話線路的限制。


這樣﹐您就可以將這 200 個位址﹐輪流的租用給撥接上來的客戶使用了。


這也是為什麼當您檢視 IP 位址的時候﹐會因每次撥接而不同的原因了(除非您申請的是一個類BIOS IP ﹐通常的 ISP 都可以滿足這樣的要求﹐這或許要另外收費)。當然﹐ISP 不一定使用 DHCP 來分配位址﹐但這個概念和使用 IP Pool 的原理是一樣的。

  DHCP 除了能動態的設定 IP 位址之外﹐還可以將一些 IP 保留下來給一些特殊用途的機器使用﹐它可以按照硬體位址來類BIOS的分配 IP 位址﹐這樣可以給您更大的設計空間。


同時﹐DHCP 還可以幫客戶端指定 router、netmask、DNS Server、WINS Server、等等項目﹐您在客戶端上面﹐除了將 DHCP 選項打勾之外﹐幾乎無需做任何的 IP 環境設定。

DHCP 的工作原理

  根據客戶端是否第一次登入網路﹐DHCP 的工作形式會有所不同。

第一次登入的時候﹕


  尋找 Server。當 DHCP 客戶端第一次登入網路的時候﹐也就是客戶發現本地機上沒有任何 IP 資料設定﹐它會向網路發出一個 DHCP DISCOVER 封包。

因為客戶端還不知道自己屬於哪一個網路﹐所以封包的來源位址會為 0.0.0.0 ﹐而目的位址則為 255.255.255.255 ﹐然後再附上 DHCP discover 的資訊﹐向網路進行廣播。

  在 Windows 的預設情形下,DHCP discover 的等待時間預設為 1 秒﹐也就是當客戶端將第一個 DHCP discover 封包送出去之後,在 1 秒之內沒有得到回應的話﹐就會進行第二次 DHCP discover 廣播。若一直得不到回應的情況下﹐客戶端一共會有四次 DHCP discover 廣播(包括第一次在內)﹐除了第一次會等待 1 秒之外,其餘三次的等待時間分別是 9、13、16 秒。如果都沒有得到 DHCP 伺服器的回應﹐客戶端則會顯示錯誤資訊﹐宣告 DHCP discover 的失敗。


之後,關於使用者的選項﹐系統會繼續在 5 分鐘之後再重複一次 DHCP discover 的程序。


  提供 IP 租用位址。當 DHCP 伺服器監聽到客戶端發出的 DHCP discover 廣播後﹐它會從那些還沒有租出的位址範圍內﹐選項最前面的空置 IP ,連同其它 TCP/IP 設定,回應給客戶端一個 DHCP OFFER 封包。

  由於客戶端在開始的時候還沒有 IP 位址﹐所以在其 DHCP discover 封包內會帶有其 MAC 位址資訊﹐並且有一個 XID 編號來辨別該封包﹐DHCP 伺服器回應的 DHCP offer 封包則會根據這些資料傳遞給要求租約的客戶。


根據伺服器端的設定﹐DHCP offer 封包會包含一個租約期限的資訊。


  接受 IP 租約。如果客戶端收到網路上多台 DHCP 伺服器的回應﹐只會挑選其中一個 DHCP offer 而已(通常是最先抵達的那個)﹐並且會向網路傳送一個DHCP request廣播封包﹐告訴所有 DHCP 伺服器它將指定接受哪一台伺服器提供的 IP 位址。

  同時﹐客戶端還會向網路傳送一個 ARP 封包﹐查詢網路上面有沒有其它機器使用該 IP 位址﹔如果發現該 IP 已經被佔用﹐客戶端則會送出一個 DHCPDECLINE 封包給 DHCP 伺服器﹐拒絕接受其 DHCP offer ﹐並重新傳送 DHCP discover 資訊。

  事實上﹐並不是所有 DHCP 客戶端都會無條件接受 DHCP 伺服器的 offer ﹐尤其這些主機安裝有其它 TCP/IP 相關的客戶軟體。


客戶端也可以用 DHCP request 向伺服器提出 DHCP 選項﹐而這些選項會以不同的號碼填寫在 DHCP Option Field 裡面﹕

http://www.hz806.com/dig/UploadFiles/200472091722734.JPG


  換一句話說﹐在 DHCP 伺服器上面的設定﹐未必是客戶端全都接受﹐客戶端可以保留自己的一些 TCP/IP 設定。而主動權永遠在客戶端這邊。


  租約驗證。當 DHCP 伺服器接收到客戶端的 DHCP request 之後﹐會向客戶端發出一個 DHCPACK 回應﹐以驗證 IP 租約的正式生效﹐也就結束了一個完整的 DHCP 工作程序。

如上的工作流程如下圖:

http://www.hz806.com/dig/UploadFiles/200472091722580.jpg


DHCP 發放流程

第一次登入之後﹕

  一旦 DHCP 客戶端成功地從伺服器哪裡取得 DHCP 租約之後,除非其租約已經失效並且 IP 位址也重新設定回 0.0.0.0 ﹐否則就無需再傳送 DHCP discover 資訊了﹐而會直接使用已經租用到的 IP 位址向之前之 DHCP 伺服器發出 DHCP request 資訊﹐DHCP 伺服器會盡量讓客戶端使用原來的 IP 位址﹐如果沒問題的話﹐直接回應 DHCPack 來驗證則可。


如果該位址已經失效或已經被其它機器使用了﹐伺服器則會回應一個 DHCPNACK 封包給客戶端﹐要求其從新執行 DHCP discover。

  至於 IP 的租約期限卻是非常考究的﹐並非如我們租房子那樣簡單﹐ 以 NT 為例子﹕DHCP 工作站除了在開機的時候發出 DHCP request 請求之外﹐在租約期限一半的時候也會發出 DHCP request ﹐如果此時得不到 DHCP 伺服器的驗證的話﹐工作站還可以繼續使用該 IP ﹔然後在剩下的租約期限的再一半的時候(即租約的75%)﹐還得不到驗證的話﹐那麼工作站就不能擁有這個 IP 了。


至於為什麼不是到租約期限完全結束才放棄 IP 呢﹖
﹐對不起﹐小弟也是不學無術之人﹐沒有去深究了﹐只知道要回答 MCSE 題目的時候﹐您一定要記得 NT 是這麼工作的就是了。

  要是您想退租,可以隨時送出 DHCPLEREASE 指令解約﹐就算您的租約在前一秒鐘才獲得的。


跨網路的 DHCP 運作

  從前面描述的程序中,我們不難發現:DHCDISCOVER 是以廣播方式進行的,其情形只能在同一網路之內進行﹐因為 router 是不會將廣播傳送出去的。


但如果 DHCP 伺服器安設在其它的網路上面呢﹖由於 DHCP 客戶端還沒有 IP 環境設定﹐所以也不知道 Router 位址﹐而且有些 Router 也不會將 DHCP 廣播封包傳遞出去﹐因此這情形下 DHCP DISCOVER 是永遠沒辦法抵達 DHCP 伺服器那端的,當然也不會發生 OFFER 及其它動作了。


要解決這個問題,我們可以用 DHCP Agent (或 DHCP Proxy )主機來接管客戶的 DHCP 請求﹐然後將此請求傳遞給真正的 DHCP 伺服器﹐然後將伺服器的回覆傳給客戶。這裡﹐Proxy 主機必須自己具有路由能力,且能將雙方的封包互傳對方。

  若不使用 Proxy,您也可以在每一個網路之中安裝 DHCP 伺服器﹐但這樣的話﹐一來設備成本會增加﹐而且﹐管理上面也比較分散。當然嘍﹐如果在一個十分大型的網路中﹐這樣的均衡式架構還是可取的。端視您的實際情況而定了。




DHCP封包格式

http://www.hz806.com/dig/UploadFiles/200472091722621.JPG


以下為各字段的簡要說明:

OP
若是 client 送給 server 的封包,設為 1 ,反向為 2 。

HTYPE
硬體類別,Ethernet 為 1 。


HLEN
硬體位址長度, Ethernet 為 6 。


HOPS
若封包需經過 router 傳送,每站加 1 ,若在同一網內,為 0 。


TRANSACTION ID
DHCP REQUEST 時產生的數值,以作 DHCPREPLY 時的依據。


SECONDS
Client 端啟動時間(秒)。


FLAGS
從 0 到 15 共 16 bits ,最左一 bit 為 1 時表示 server 將以廣播方式傳送封包給 client ,其餘尚未使用。


ciaddr
要是 client 端想繼續使用之前取得之 IP 位址,則列於這裡。


yiaddr
從 server 送回 client 之 DHCP OFFER 與 DHCPACK 封包中,此欄填寫分配給 client 的 IP 位址。


siaddr
若 client 需要透過網路開機,從 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK 封包中,此欄填寫開機程序程式碼所在 server 之位址。


giaddr
若需跨網域進行 DHCP 發放,此欄為 relay agent 的位址,否則為 0 。


chaddr
Client 之硬體位址。


sname
Server 之名稱字串串,以 0x00 結尾。


file
若 client 需要透過網路開機,此欄將指出開機程序名稱,稍後以 TFTP 傳送。


options
允許廠商定議選項(Vendor-Specific Area),以提供更多的設定資訊(如:Netmask、Gateway、DNS、等等)。


其長度可變,同時可攜帶多個選項,每一選項之第一個 byte 為資訊程式碼,其後一個 byte 為該項資料長度,最後為項目內容。

CODE LEN VALUE



此字段完全相容 BOOTP ,同時擴充了更多選項。其中,DHCP 封包可利用編碼為 0x53 之選項來設定封包類別:

項值 類別
1   DHCP DISCOVER
2   DHCP OFFER
3   DHCP REQUEST
4   DHCPDECLINE
5   DHCPACK
6   DHCPNACK
7   DHCPRELEASE



DHCP 的選項非常多,有空請查閱 RFC 或相關文獻,並好好理解,這裡不再敘述了。


DHCP 傳輸協定之 RFC 文件

RFC-951、RFC-1084、RFC-1123、RFC-1533、RFC-1534、RFC-1497、RFC-1541
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 03:26 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

如何讓DNS域名系統的疑惑灰飛煙滅
問:什麼是「DNS」?其中文為何?

  答:DNS,簡單地說,就是Domain Name System,翻成中文就是「域名系統」。

  問:DNS有什麼用途?

  答:在一個TCP/IP架構的網路(例如Internet)環境中,DNS是一個非常重要而且常用的系統。主要的功能就是將人易於記憶的Domain Name與人不容易記憶的IP Address作轉換。而上面執行DNS服務的這台網路主機,就可以稱之為DNS Server。基本上,通常我們都認為DNS只是將Domain Name轉換成IP Address,然後再使用所查到的IP Address去連接(俗稱「正向解析」)。事實上,將IP Address轉換成Domain Name的功能也是相當常使用到的,當login到一台Unix工作站時,工作站就會去做反查,找出你是從哪個地方連線進來的(俗稱「逆向解析」)。

  問:DNS是怎麼運作的?

  答:DNS是使用層的方式來運作的。例如:哈工大紫丁香站的Domain Name為bbs.hit.edu.cn,這個Domain Name當然不是憑空而來的,是從.edu.cn所分配下來的。.edu.cn又是從.cn授予(delegation)的。.cn是從哪裡來的呢?答案是從「.」,也就是所謂的「根域」(root domain)來的。根領域已經是Domain Name的最上層。而「.」這層是由InterNIC(Internet Network Information Center,網際網路資訊中心)所管理。全世界的Domain Name就是這樣,一層一層的授予下來。

  問:當我查一個Domain Name時,DNS是怎麼查出它的IP的呢?

  答:舉個例子,假設今天我們查的Domain Name(作一個dns query)為bbs.hit.edu.cn時,DNS Server會這麼處理:

  (1) 你所用的電腦(可能是PC,也可能是工作站)送出一個問題給這台電腦所設定的DNS Server,提問:bbs.hit.edu.cn的IP是什麼?

  (2) 這台DNS會先看看是不是在它的cache中,如果是,就丟出答案。如果不是,就從最上頭查起。在DNS Server上面一定有設定「.」要跟誰問。所以,這個時候它就往「.」層的任何一台DNS(目前「.」有13台)問:.cn要問誰?

  (3) 「.」層的DNS會回答.cn要向誰查(同時你用的DNS會cache起來這個答案)。

  (4) 接下來你所用的DNS就會向.cn這層的DNS問:.edu.cn要問誰?

  (5) .cn的這層就會回答.edu.cn要向誰查(同時你用的DNS也把這答案cache起來)。

  (6)直到bbs.hit.edu.cn回答:bbs.hit.edu.cn的IP是202.118.224.2(又cache起來)。

  經過了這麼多的程序,終於得到了這個IP,接下來才能作進一步的連線。要注意的是,在每一層都會問一個問題,並且把答案記下來(cache起),而且還會忘掉(看該層的設定是要cache多久)。

  問:DNS要怎麼設定?

  答:如果,只是要使用DNS,那只要在TCP/IP的網路內容中設定即可。設定的方法跟使用的操作系統有關。例如:Windows 9x在「控制台」→「網路」→「TCP/IP」→「內容」中,找到DNS的部分再來設定。Unix在/etc/resolv.conf這個文件中設定(如果,要架設一台DNS Server,就不是在這裡討論的了)。

  問:哪一台 DNS 資料最新?

  答:如果你知道DNS是利用階層架構運作的,那就應該知道,離你最近的DNS,就是最好的。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 03:56 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

DNS伺服器工作原理

0000-00-00
分佈的資訊
解決方案就是採用DNS伺服器系統。與主機表不一樣,DNS伺服器不依賴一個大型映射文件,DNS服務 器只
包含有限的資訊,因為他們知道到哪裡能找到他們想知道的域的細節。當DNS伺服器得到對某個主機 的請
求,而該請求的主機又並不在其緩衝內,那麼DNS伺服器只是知道了這件事然後去詢問知道答案 的「某計
算機」。這台電腦是一種授權伺服器,負責維護DNS資訊。如果某台伺服器在被詢問到其域內的某 個地
址時它可以確定地指出該位址存在,那麼這台伺服器就是所謂的授權伺服器。

如果接觸的伺服器並不包含有關的域名資訊,該伺服器就會將請求傳遞給接觸鏈路上更進階別的授 權服務
器,這樣就形成了一系列查詢直到最後找到需要的資訊。實際上,這意味著請求可以被任意數量的 伺服器
處理,在Internet上這種來來回回的行為每時每刻都在發生。最早發出請求的伺服器將緩衝資訊以 滿足未
來的需求而無須向授權伺服器再發請求。DNS伺服器的管理員為這些資訊設定了超時限制以避免緩衝 中充
滿了名字請求的舊資料。

DNS轉換不會花費太多的時間,但它確實增加了你的請求到達遠端電腦的時間。你可以自己做個快 速測試
(雖然很簡單):首先用域名,比如www.microsoft.com來訪問對應的Web站點,然後用IP位址
198.105.232.4再實驗一下。如果你要這麼做,則請務必關閉你的瀏覽器然後再重新開啟以啟始化新 的會話;
否則你不過是載入了頁面的緩衝版本(記住裝載頁面的延遲原因可能來自許多因素,所以對結果要 有所保留)。

DNS服務的最常用軟體是Berkeley Internet Name Domain,也就是BIND,它源自U.C. Berkeley但現 在則由
Internet Software Consortium.負責。其最新版本4.9.3包含了標準的 Unix版本和附加的 Windows NT 連接阜。
BIND提供瞭解析器和名字伺服器軟體,解析器做實際的查詢工作而名字伺服器則提供回應。BIND將 名字服務
器分成三個部分:主伺服器包含了有關一個域的全部資料;次伺服器則有效地從主伺服器拷貝DNS數 據庫;
唯緩衝伺服器通過緩衝查詢來建立例外的DNS資料庫。只有主伺服器和次伺服器才被當作涉及特定域 的授權
伺服器。

要理解 DNS 伺服器怎麼操作就有必要理解域名層次本身。在這一層次的頂部是根域。這一域上的信 息駐留
在從整個Internet中所選的一些根伺服器上。在根域下面是頂級域,也就是國家程式碼或機構程式碼。 國家程式碼
的例子有SG (新加坡)和CA (加拿大)等。而機構程式碼則包括眾所周知的COM(商業機 構)、EDU(教育機
關)、GOV(政府機構)和NET(網路機構)等(注意在美國以外的頂級域通常是國家編碼,但是基 於美國的
地點通常省略國家編碼)。在頂級域下面是次級域 (whitehouse.gov、microsoft.com、inforamp.net 等諸
如此類),然後是第 3級域,等等等等向下以此類推。

如果你想在美國建立域名,那麼你必須聯繫網路資訊中心NIC。在它同意你的請求以前,你首先要保 證你想要
的名字還沒被使用,其次要保證目前至少有 2台伺服器可以提供新域名的服務。當 NIC 最後同意請 求時,它
將承認你的次級域,並將指向該名字的游標放到頂級域所在的伺服器內。例如,如果你請求域名 mybiz.com,
那麼你必須首先讓Internet上的2 台名字伺服器提供資訊服務(你的 ISP的伺服器能做到這一 點),然後
NIC 將把 mybiz 放到COM 域伺服器系統內,其游標將指向那2台特定伺服器。

一旦設定了適當的主域,你就可以增加所希望的任何數量的子域。你可能想要命名你的電腦為
sales.mybiz.com,而另一台則被叫做techsupport.mybiz.com等等。這些工作可就不需要 NIC 的同 意了,
而且,事實上NIC也不管這事。但是,如果你想要任何人都能實際地訪問你的子域,那麼你最好將有 關子域
的資訊儘快地放到上級域內。在特定的情況下,關於 sales.mybiz.com 和 techsupport.mybiz.com 的IP信
息必須放在mybiz.com伺服器上。這一層次中的每台伺服器都包含了一個DNS資料庫,其入口被稱作 NS記錄,
每條這樣的記錄包含了域或子域的名字,此外還加上作為域或者子域伺服器的主機的名字。在我們 的例子中,
我們將告訴根伺服器它能在我們的 DNS 伺服器上找到mybiz.com及其全部子域的資訊,而這些資訊 則位於
details.mybiz.com這台電腦上。

現在我們來看看這一切是如何運作的。某所大學的某人在指向你的最新子域的網頁上看見了一個鏈 接
techsupport.mybiz.com。然後她點擊該連接,於是她的本機DNS 伺服器(很可能位於這所大學的某 台計算
機上)開始工作。首先,伺服器搜尋它自己的 DNS資料庫以轉換資訊,但是,因為它以前從來沒遇 見過
techsupport.mybiz.com,所以伺服器沒有該域存在的記錄而且不能解析IP位址。不過,它 的 DNS 資料庫包
含了一個根伺服器的位址(所有的 DNS 伺服器必須設定該索引)。於是本機 DNS 伺服器就到 Internet上查
詢該根伺服器。根伺服器在其DNS 資料庫裡搜尋COM 頂級域,然後它用NS 記錄回覆該大學 的 DNS 伺服器,
告訴它可以從details.mybiz.com 處查詢到mybiz.com 的資訊。大學的伺服器就這樣做了,而且從
details.mybiz.com那裡知道了techsupport.mybiz.com 的對應IP 位址。在這一程序中最根本的階 段是,大
學的DNS 伺服器緩衝了該 NS 記錄,結果下次該大學的任何人在需要涉及到 mybiz.com、details.mybiz.com 、
ortechsupport.mybiz.com等對應的IP位址轉換時,相關資訊在本機即可獲得。

正如其他的Internet傳輸協定一樣,DNS由幾個Internet的RFC(請求評論)規範(最初是RFC 882、883 和973)。
不過要理解DNS 伺服器的工作原理最好的標準還是RFC 1035。你可以在Internet上的好幾個地方找 到
RFC 1035,比如在http://www.crynwr.com/crynwr/rfc1035/ 就有一個不錯的HTML 版本。正如你可 能想到
的那樣,RFC具有相當的技術性,你不大可能會對超出DNS 伺服器一般操作的細節感興趣。但是如果 你想做
個伺服器管理員,那麼就記住 RFC吧。


DNS循環復用與優先級

配置循環復用

循環復用是 DNS 伺服器用於共享和分配網路資源負載的本機平衡機制。如果發現主機名的多個 A RR,則可用它循環使用包含在查詢回應中的

主機 (A) 資源記錄 (RR)。
在預設情況下,DNS 伺服器的服務使用循環復用對資源記錄進行排序,這些資源記錄是在解析為多個映射 RR 的主機名回應中返回的。該功能

提供了一種非常簡便的方法,用於對客戶端機使用 Web 伺服器和其他頻繁查詢的多宿主電腦的負載平衡。
要使循環復用正常工作,必須首先在該區域中註冊所查詢名稱的多個 A RR。如果 DNS 伺服器禁用循環復用,那麼這些查詢的回應順序以回應

列表中 RR 在區域(或者是它的區域文件,或者是 Active Directory)中存儲時的靜態排序為基礎。
範例:循環復用

正向搜尋型查詢(對於所有匹配 DNS 域名的 A RR)用於有三個 IP 位址的多宿主電腦 (multihomed.example.microsoft.com)。獨立的 A

RR 用於將主機名映射到區域中的每個 IP 位址中。在存儲的 example.microsoft.com 區域中,RR 以如下類BIOS順序顯示:
multihomed IN A 10.0.0.2
multihomed IN A 10.0.0.3
multihomed IN A 10.0.0.1
查詢伺服器以解析該主機名的第一個 DNS 客戶端機以預設順序接收列表。第二個客戶端機傳送後續查詢以解析該名稱時,該列表將按以下方式循環

使用:
multihomed IN A 10.0.0.2
multihomed IN A 10.0.0.3
multihomed IN A 10.0.0.1
注意
本機子網優先級取代了多宿主名稱的循環復用。但是在啟用時,循環復用仍然是對多個 RR 進行排序的輔助方法,這些 RR 是在作為位址 (A)

查詢回應一部分的回應列表中返回的


區分本機子網的優先級

在預設情況下,當客戶端機查詢解析為映射到多個 IP 位址的主機名時,DNS 服務使用本機子網優先排序作為給出同一網路上首選 IP 位址的方

法。此功能要求客戶應用程式嘗試使用連接可用的最近(一般是最快的)IP 位址連接至主機。
DNS 服務按以下方式使用本機子網優先級:
DNS 服務確定是否需要本機子網的優先級排序查詢回應。
如果有多個 A 資源記錄 (RR) 與要查詢的主機名匹配,則 DNS 服務可按其子網位置重新對記錄進行排序。如果查詢的主機名只與一個 A 資源

記錄匹配,或者客戶端機的 IP 網路位址與多重 RR 回應列表上的任何映射位址的 IP 網路位址匹配,則不需要進行優先排列。
對於匹配回應列表中的每一個 RR,DNS 服務決定了哪些記錄(如果有)與查詢客戶端機的子網位置匹配。
DNS 服務重新對回應列表進行排序,以便將與發出請求的客戶端機的本機子網匹配的 A RR 排在回應列表中的第一位。
按子網的順序進行優先級排序後,回應列表將返回給發出請求的客戶端機。
簡單範例:本機網路的優先排序

多宿主電腦 multihomed.example.microsoft.com,在 example.microsoft.com 區域中有三個主機 IP 位址相互分開的 A RR。單獨的 A RR

用於每個主機的位址,該位址以如下順序出現在區域中:
multihomed IN A 192.168.1.27
multihomed IN A 10.0.0.14
multihomed IN A 172.16.20.4
如果在 IP 位址 10.4.3.2 上的 DNS 客戶端機解析程序向伺服器查詢主機 multihomed.example.microsoft.com 的 IP 位址,則 DNS 服務將記

錄客戶端機的源 IP 網路位址 (10.0.0.0) 與 RR 回應列表中 10.0.0.4 位址的網路(類型 A)部分匹配。但是,DNS 服務按如下方式重新排序

回應中的位址:
multihomed IN A 10.0.0.14
multihomed IN A 192.168.1.27
multihomed IN A 172.16.20.4
如果發出請求的客戶端機的 IP 位址沒有與回應列表中任何 RR 匹配的本機網路,在這個列表不進行按優先級的排序。
複雜範例:本機子網的優先排序

如果要在使用 IP 子網(非預設子網路遮罩)的網路上工作,那麼只存在很少的差異。如果在網路部分有多個位址匹配,則匹配的位址將被進一

步排序並且最接近匹配子網位址的 RR 排列在第一位。
例如,多宿主電腦 multihomed.example.microsoft.com,在 example.microsoft.com 區域有四個主機 IP 位址相互分開的 A RR。其中的兩

個 IP 位址不是本機網的。雖然另外兩個 IP 位址共享公用的 IP 網路位址,但是,因為使用了 IP 子網,因此它們代表關於自訂(非預設

)子網路遮罩值 255.255.248.0 的不同物理子網連接。這些 RR 的例子以下列順序出現在區域中:
multihomed IN A 192.168.1.27
multihomed IN A 172.16.22.4
multihomed IN A 10.0.0.14
multihomed IN A 172.16.31.5

如果發出請求的客戶端機的 IP 位址是 172.16.22.8,則與客戶端機相同的 IP 網路(172.16.0.0 網路)匹配的兩個 IP 位址從回應列表的頂端返

回到客戶端機。但是,在該例中,位址 172.16.22.4 被置於位址 172.16.31.5 之前,因為它與沿客戶端機 IP 位址一直到 172.16.20.0 的子網地

址相匹配。
由 DNS 服務返回的重新排序的回應列表應為:
multihomed IN A 172.16.22.4
multihomed IN A 172.16.31.5
multihomed IN A 192.168.1.27
multihomed IN A 10.0.0.14
注意
IP 子網通過使用網路上所有 IP 位址的自訂或非預設子網路遮罩值進行加強。詳細資料,請參閱子網路遮罩。
本機子網優先級取代了多宿主名稱的循環復用。但是在啟用循環復用時,通過將循環復用作為排序回應列表的輔助方法,RR 繼續得以循環使用



這兩個功能的最大的用處就是負載平衡,最常用的方式就是這樣的:
假設你現在有兩台WEB伺服器使用了相同的內容,一個在局內網一個在外網,為了減少局內網用戶訪問外網中的網路並為局內網用戶提供一個較高的速度

,你希望在使用一個DNS的情況下能夠做到局內網用戶在使用域名訪問時訪問的是局內網伺服器,外網用戶在使用域名訪問的是外網伺服器.
使用Win2000DNS這一點就非常容易做到,只要為每個伺服器在DNS中使用相同的主機名建立A記錄並啟用DNS的循環復用與啟用本機子網優先級功

能就可以了,DNS伺服器自然為你做好引導工作.
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 03:58 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

在Windows2000環境下實現動態DNS的安全考慮

Windows2000 域名解析是關於動態DNS(Dynamic DNS)的。微軟是關於RFC 2136實現動態DNS的。這關係到 BIND v8 和 v9。BIND v9 在由O』Reilly出版的Paul Albitz 和 Cricket Liu 撰寫的第四版《DNS and BIND》裡面有所闡述。

在 Windows 2000 裡,動態 DNS 是與 DHCP, WINS 和動態目錄(Active Directory) 整合並且相關的。在 Windows 2000的域中有三種方法實現 DNS:動態目錄整合、動態目錄的主要DNS和非動態目錄的輔助DNS、非動態目錄的主DNS和非動態目錄的輔助DNS。


當 DNS 完全整合到動態目錄中時,我們可以在一個 Windows 2000 網路中利用三種安全特性:安全動態更新、安全區域傳輸和對區域與資源記錄的訪問控制列表。

1.0 安全動態更新

在動態DNS(DDNS)中最重要的安全特性之一就是安全更新特性。在實現安全更新特性中需主要考慮的,是由DNS 列項組成記錄的所有權。DHCP是如何配置的和支持哪個客戶端決定了所有權。

兩種DNS資源記錄關係到每一個客戶端:A記錄和PTR記錄。A記錄負責從名字解析到位址,而PTR記錄解析位址到名字。

位址是指一個客戶端的IP位址。名字是指一個客戶端機完整的、有資格的域名。這應該是電腦名稱加上網路的域名。

在Windows 2000環境中,當客戶端通過DHCP請求一個IP時,客戶端DNS記錄就被註冊。


根據設定,客戶端、DHCP伺服器或者這兩者都可以更新A和PTR記錄來關聯到客戶端。這些記錄的所有權依據誰註冊了這個記錄。

這就是在Windows 2000網路中定義 A 和 PTR 記錄所有權的選項。

1.1 Windows 2000 本地機模式(Native Mode)

在Windows 2000環境下,DHCP 伺服器和 DHCP 客戶端都可以通過 DNS 註冊記錄。當網路單純由 Windows 2000 的伺服器和客戶端組成時,這種 Windows 2000 環境稱之為"本地機模式"(Native Mode)。

當客戶端是一個 Windows 2000 客戶端,這個客戶端的預設配置是在註冊到網路程序中動態更新它自己的 A 記錄。與此同時,DHCP 伺服器更新客戶端的 PTR 記錄。所以,A 記錄的所有權屬於這個客戶端,PTR 記錄的所有權屬於 DHCP 伺服器。

第二種可能的配置是 DHCP 伺服器總是更新正向和反向的搜尋。在這種情況下,DHCP 伺服器分別擁有A和PTR記錄。

第三種可能的配置是 DHCP 伺服器被配置為不能執行動態更新。在這種情況下,客戶端將會更新 A 記錄和 PTR 記錄,因此擁有這些記錄。

1.2 Windows 2000 混雜模式(Mixed Mode)

在混雜的環境下,DHCP 客戶端不能通過 DNS 註冊。當網路由 Windows 2000 伺服器、客戶端除了 Windows 2000 之外還由 Windows NT 4.0 或 Windows 98 組成時,這種混雜環境被稱為"混雜模式"。

以前的客戶端,像 Windows NT 4.0 和 Windows 9x,不能直接通過 DNS 註冊。


因為只有 DHCP 伺服器可以通過 DNS 註冊記錄,再混雜環境中唯一的選項是讓 DHCP 註冊 A 和 PTR 記錄。在這種情況下,這個伺服器擁有正向和反向搜尋的記錄。

1.3 安全動態更新

在 Windows 2000 網路中,安全動態更新是唯一可以用於與動態目錄整合的 DNS 區域。
所以安全動態更新意味著什麼?

在 Windows 2000 中,它意味著是用動態目錄 ACL 制定用戶和組的權限來修改 DNS 區域和/或它的資源記錄。除了使用 ACL 外,安全更新為了允許更新 DNS 區域和/或它的資源記錄,也使用安全通道和認證。

微軟 Windows 2000 支持使用在 IETF Internet-Draft "GSS Algorithm for TSIG (GSS-TSIG) 中定義的運算法則進行安全動態更新。這個算法使用 Kerberos v5 作為優先的認證傳輸協定。GSS-API 在 RFC 2078 中有定義。

2.0 區域

2.1 區域的類型

Windows 2000 可以配置 DNS 區域為主要區域、輔助區域或活動目錄整合。

主要和輔助區域像在 Unix 環境和 NT 4.0 環境一樣運作。


另外資料庫保持與其它資料庫象 WINS 和 DHCP 資料庫分開,並且複製也是分別從其它複製服務中設定。如果網路中任何伺服器執行著一個 BIND 版本低於 8.1.2,則必須使用主要/輔助區域,因為在早先的版本中不支持動態更新。

如果安裝了活動目錄,DNS 區域可以成為活動目錄整合區域。這意味著 DNS 區域資料庫成為活動目錄資料庫的一部分。每一個記錄成為活動目錄對象。每一個活動目錄對像擁有它自己的ACL(訪問控制列表)。

2.2 區域傳輸或複製的類型

Windows 2000 DNS 可以支持 AXFR 或 IXFR。AXFR,或者所有的區域傳輸,是複製整個區域資料庫文件。


IXFR,或者增量區域傳輸,僅僅複製區域資料庫的變化。如果區域類型設定成主要/輔助區域,那麼可以套用這些區域複製方法。在版本8.2.1以及以上的 BIND 中支持IXFR。

當 DNS 域活動目錄整合時,所有的區域和資源記錄將成為活動目錄資料庫中的對象。活動目錄的複製是關於多主模型(multi-master model)的。

多主模型的好處之一是沒有單點失敗的問題。這是可能的,因為包含 DNS 部分的活動目錄資料庫會被複製到所有域控制器上。因此 DNS 區域傳輸完全成為活動目錄複製的一部分。

2.3 區域傳輸的安全

如果 Windows 2000 網路執行著主要/輔助區域配置的 DNS,是不可以使用加密和壓縮的。為了相容 BIND,Windows 2000 支持 AXFR 每個消息傳送/接受一個或多個資源記錄。

BIND 在 4.9.4 以前的版本不支持每個消息傳送多條資源記錄。Windows 2000 支持 IXFR。相應的 BIND 版本是 8.2.1。Windows 2000 支持 DNS 通報(DNS Notify),相應的 BIND 版本是8.1.2。

當 Windows 2000 DNS 配置為活動目錄整合時,複製處理成為活動目錄複製的一部分,因此將會自動使用加密和壓縮。

加密使用的是微軟 Windows 2000 Kerberos v5。與控制器之間的通訊通道會自動加密。不需要管理配置。

當活動目錄更新在"橋頭堡"(Bridgehead)伺服器間傳輸時,會自動使用壓縮。橋頭堡伺服器是從區域網路其他伺服器中自動選項的伺服器。


當廣域網鏈路需要使用活動目錄更新時,每個區域網路的橋頭堡伺服器會與其它橋頭堡伺服器通訊。這會大量減少通過 WAN 鏈路德裡流量。在這種情況下,為了節約帶寬會自動使用壓縮。

3. 活動目錄整合DNS 區域

因為在 Windows 2000 活動目錄和 DDNS 整合,實現活動目錄的安全是實現 DDNS 的安全的第一步。

3.1 文件系統

使用NTFS。

Windows 2000 的版本是 NTFS v5。這個版本允許設定文件和資料夾的安全性、加密文件系統和稽核。NTFS v5 不相容從前的 NTFS。

在安裝了 Service Pack 4 或者更高版本的 NT 4.0上只能讀取NTFS v5。

NTFS 權限可以設定資料夾和文件級別來限制網路或者本機訪問文件。

NTFS 和 共享權限可以被用來非常精確的控制權限和繼承關係。

3.2 註冊表

使用註冊表編輯器編輯 DACL 關係到每一個註冊表Hive。細節可以參考 SANS 出版的 "Windows NT Security, Step-by-Step"。

3.3 Enterprise管理員和Schema管理員組

在 Windows 2000 網路建立之後,限制訪問這兩個管理員組。

這些組出現在域的根並且含有不受限制的管理能力。根據域的結構,管理可以被委派到下面的域結構,因此管理可以被限制到單個域。

3.4 加密文件系統

Windows 2000 NTFS 提供了使用加密文件系統的選項。EFS 使用關於公共密鑰(public key)的技術來進一步限制文件的未授權訪問。

3.5 活動目錄中的DNS

安裝DNS會擴展活動目錄Schema包含DNSUpdateProxy組。這是非常強大的組,允許新增對象,這是不安全的。當這種情況發生,任何認證的用戶可以用這種方式新增屬於自己的那些對象。

在 Windows 2000 DHCP 處理程序中,DNS 會像上面詳細描述的那樣更新客戶端記錄 A 和 PTR。當客戶端和伺服器都是 Windows 2000時,安全動態更新可以完全使用預設安裝。


當其他的客戶端需要支持,除非 DHCP 伺服器增加到 DNSUpdateProxy 組,否則不能使用安全動態更新。這就允許 DHCP 伺服器為早期的客戶端執行動態更新。

如果 DHCP 服務在一個域控制器(Domain Control)上執行的話必須特別考慮。在這種情況下,增加 DHCP 伺服器到 DNSUpdateProxy 組,那麼所有用戶或電腦都可以完全控制相應的域控制器的 DNS 記錄。

3.6 資源記錄的所有權

DHCP 伺服器不能在早期的客戶端上執行安全動態更新,這在 Windows 2000 網路中是很重要的。如果這種情況發生,會出現不能完全更新活動記錄的情況。

舉例而言,一個NT 4.0的客戶端通過 DHCP 伺服器在 DNS 中註冊了一個名字。這台機器昇級到 Windows 2000 客戶端。因為昇級是操作系統的昇級所以名字不變。從它最初註冊這個名字開始,DHCP 伺服器便擁有這個名字的資源記錄所有權。Windows 2000 客戶端不能更新它自己的名字。

3.7 WINS 搜尋

作為 Windows 2000 的最終的告誡,我將說明 WINS 將很有可能是所有 Windows 2000 網路中必須的部分。
為什麼呢?
NetBios 解析仍是所有非 Windows 2000 客戶端所必需的。同樣,所有需要NetBios的程序也需要 WINS 來做名字解析。

WINS 通過兩種專門的資源記錄直接整合到 DNS 中:WINS 和 WINS-R。這分別給 WINS 做正向和反向的記錄搜尋。

4.0 結論

總之,理解 Windows 2000 使用 DNS 的程序是非常重要的。這些考慮在這篇論文的1.0章 安全動態更新和2.0章 區域中有了一個簡述。理解一些 Windows 2000 的"gotcha's"和"caveats"也是非常重要的。

3.0章 活動目錄整合DNS 區域列舉了一些這樣的 列項。



PS:用DNS實現多台伺服器作負載均衡
原理:就是1個主機紀錄對應多個IP Address(不同的多台伺服器或多張網路卡),實現不同DNS客戶的均衡輪詢.

方法:


Windows NT 4.0 Servers
最初的 NT 4.0是不支持這個功能的,需要安裝ServicePack (ServicePack 4以上)來更新dns.exe
安裝好SP後,還要編輯註冊表(這是因為預設情況下這個功能是不能用的,需要先遮閉LocalNetPriority功能)
開啟註冊表的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS快取\Parameters

新增一個新的值:

類型 Name: LocalNetPriority Data Type : REG_DWORD Data : 0 ( 0 = disabled, 1 = enabled) 記住這裡填0 不是1
然後重新啟動DNS服務。。。。OK ^_^

Windows 2000 Servers
在win2k ser 的dns服務裡本身就具有這個功能,但是預設情況下也是被遮閉的
實現方法:開啟DNS管理器,右擊Your DNS ServerName,選項內容
---選項advanced欄---驗證Enable round robin前面打上勾,清除
Enable netmask ordering前面的勾.
重新起動DNS server......OK

實際操作疑問:
有的人問都做好了以上設定,為什麼還不能實現這個功能??!
這是因為你有可能用只用1台電腦來ping,返回的都是同一個IP
因為你ping了第一次後,你的電腦就會做一個dnscache,只要伺服器
端或你的電腦沒做過改變的話,你以後再ping 都是回返回同一個ip的。因此你可以試一下多台電腦來ping,看看返回的是不是不同的IP
,或者在一台電腦上ping 完第一次後,執行一下ipconfig/flushdns
這個指令,看看是不是有不同的結果...
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 03:59 PM   #5 (permalink)
長老會員
 
貝斯特 的頭像
榮譽勳章
UID - 90669
在線等級: 級別:1 | 在線時長:11小時 | 升級還需:1小時
註冊日期: 2003-08-06
住址: The Gates of Hell
文章: 1758
現金: 15064 金幣
資產: 5185909 金幣
預設

真詳細的教學
__________________

給自己看也給所有需要這些話鼓勵的人看!

認真不一定會得到美好的結果,但是不認真就一定沒有

想要有什麼結果,就秉持你的雙手
放手去做
總比什麼都沒付出最後失敗了才嘆氣來的好吧
沒努力的人.沒有資格說放棄
努力過的人.更要有勇氣繼續努力下去
貝斯特 目前離線  
送花文章: 1, 收花文章: 38 篇, 收花: 123 次
舊 2004-07-30, 04:00 PM   #6 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

大陸區域部分地區DNS伺服器

中國主幹DNS ns1.cn.net/202.97.7.17

省份 ( 城市 ) DNS 名稱 DNS IP ADDRESS
香港 ns1.netvigator.com 205.252.144.228
澳門 vassun2.macau.ctm.net 202.175.3.8
深圳 ns.shenzhen.gd.cn 202.96.134.133 202.96.154.8 /202.96.154.15
北京 ns.bta.net.cn 202.96.0.133
ns.spt.net.cn 202.96.199.133
ns.cn.net 202.97.16.195 202.106.0.20/202.106.148.1
廣東 ns.guangzhou.gd.cn 202.96.128.143/ dns.guangzhou.gd.cn 202.96.128.68 / 202.96.128.110/ 61.144.56.101/ 202.96.172.168/ 202.96.134.178/ 202.96.128.68,202.96.172.198
上海 ns.sta.net.cn 202.96.199.132/202.96.199.133 /202.96.199.133/202.96.209.5/202.101.10.10/202.96.209.5/202.96.209.133/211.95.1.97/202.96.197.1/202.101.45.251
浙江 dns.zj.cninfo.net 202.96.102.3/202.96.96.68/202.96.104.18 杭州網通的210.83.130.13/ 210.83.130.18/ 210.83.130.19
陝西 ns.snnic.com 202.100.13.11
天津 ns.tpt.net.cn 202.99.96.68
遼寧 ns.dcb.ln.cn 202.96.75.68 / 202.96.75.64 / 202.96.64.68 / 202.96.69.38 / 202.96.86.18 / 202.96.86.24
黑龍江 202.97.224.68/ 202.97.230.4
江蘇 pub.jsinfo.net 202.102.29.3
四川 ns.sc.cninfo.net 61.139.2.69
河北 ns.hesjptt.net.cn 202.99.160.68
山西 ns.sxyzptt.net.cn 202.99.198.6
吉林 ns.jlccptt.net.cn 202.98.0.68 / 202.98.5.68
山東 202.102.152.3/202.102.128.68 / 202.102.134.68/ 202.110.193.6
江蘇 202.102.14.141 /202.102.2.141
安徽 202.102.192.68 /202.102.128.68 合肥網通 218.104.78.2 / 218.104.78.3 /
湖北 211.91.120.129( 武漢聯通)/211.94.33.193 ( 武漢聯通)
福建 dns.fz.fj.cn 202.101.98.55 福建電信:202.101.138.8 福建聯通:211.97.104.129 福建網通:218.104.224.106
湖南 202.103.100.206 / 202.103.96.68 / 202.103.96.112
廣西 10.138.128.40 202.103.224.68(南寧) 202.103.226.68 202.103.224.68 (柳州)
江西 202.109.129.2/202.101.224.68/202.101.240.36
雲南 ns.ynkmptt.net.cn 202.98.160.68
重慶 61.128.128.68
河南: 202.102.227.68/202.102.224.68/202.102.245.12
新疆: 61.128.97.73/61.128.97.74 / 61.128.99.133 / 61.128.99.134 / 61.128.97.73
保定: 202.99.160.68 /202.99.166.4
武漢: 202.103.24.68 /202.103.0.117
西安: 202.100.4.15 /202.100.0.68
成都: 202.98.96.68 /202.98.96.69
重慶: 61.128.192.4 /61.128.128.68/211.158.2.68
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 04:02 PM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

巧用DNS:上網時段簡單控制

我校校園網內共有一百台學生終端,分兩個學生機房,學生終端IP位址由校伺服器(採用Windows 2000系統)動態管理分配。

學校伺服器設有雙網路卡,局內網網路卡IP位址為192.168.0.1,外網網路卡IP位址由中國電信指定。學生機終端網路閘道設定統一指向校伺服器的局內網網路卡位址,通過校伺服器的路由功能上網衝浪,實現網路教學。

  以下介紹一種方便的、操作靈活的控制學生上網的方法。

  給校園伺服器增加和配置DNS服務

  DNS是域名系統的縮寫,當你預設安裝完Windows 2000之後,DNS服務並沒有被增加進去。

請開啟「控制台→增加/刪除程式→增加/刪除Windows元件」,再在元件列表中雙按「網路服務」,然後勾選其下的「DNS伺服器」一項,最後按[確定]按鈕即可增加安裝DNS服務。

  安裝完DNS伺服器後,系統將在「系統管理工具」組中增加DNS控制台,如圖1所顯示。開啟DNS控制台,選項「操作→配置伺服器」選項,開啟配置DNS伺服器嚮導對話視窗,連續按下三次[下一步]按鈕,在「區域名稱」對話視窗中填入區域名稱(可根據自己對伺服器的設定填寫),然後按下四次[下一步]按鈕,在隨後出現的「按鍵輸入網路ID」對話視窗中輸入網路ID(如圖2所顯示)。


在這之後的對話視窗我們採用系統預設選項輸入就完成了DNS伺服器的配置工作。


http://www.hz806.com/dig/UploadFiles/200448165550734.jpg

圖1 配置DNS服務



http://www.hz806.com/dig/UploadFiles/200448165550580.jpg

圖2 輸入網路ID


  完成校園DNS伺服器配置後,我們並不需要它真正地向校園網內的學生機提供任何域名解析服務,事實上到目前為止校伺服器也無法完成任何域名解析翻譯服務。遨遊Internet域名解析伺服器還得由中國電信提供。

   給DNS伺服器增加轉發器功能

  要達到控制學生在一定時間裡上網的目的,我們主要是運用DNS伺服器中的「轉發器」功能。

進入如圖1所顯示的DNS服務控制台,在控制台樹中,按下相應的 DNS 伺服器。

在「操作」功能表上,按下「內容」。


在「內容」對話視窗中按下「轉發器」選擇項。將「啟用轉發器」複選框前的方框內打上「√」並增加作為此伺服器的轉發器的其他 DNS 服務位址(為中國電信提供):202.107.245.11和202.101.172.37。 最後按下[確定]按鈕,即將校園伺服器設定為一台DNS轉向器。

  Windows 98學生機客戶端的設定

  進入TCP/IP 進階內容,增加網路閘道為192.168.0.1。選項DNS配置標籤,選項「啟用 DNS」,輸入主機名稱、域名稱,增加DNS伺服器IP位址192.168.0.1,按下[確定]按鈕後,重新啟動電腦即完成了Windows 98學生機客戶端的設定。

  具體操作

  當學生在客戶端啟動IE瀏覽器,校園DNS轉向器收到DNS客戶端詢問IP位址的要求後,它會嘗試在其資料庫中尋找所管轄的區域內是否有所需的資料。由於該DNS轉向器資料庫內並無此資料,則DNS轉向其他的DNS伺服器(202.107.245.11和202.101.172.37)查詢。因為202.107.245.11和202.101.172.37兩伺服器均為有效的DNS伺服器,學生機順利完成上網瀏覽工作。

  教學中當教師需控制學生機上網時,開啟校園DNS轉向器控制台,停止伺服器上的DNS服務或將「轉發器」選擇項中「啟用轉發器」複選框前的「√」去掉,學生機則不能順利指向有效的DNS伺服器,無法完成上網操作。該方法有極好的隱蔽性,學生不會懷疑到是由於學生機的DNS設定上的問題而擅自修改TCP/IP 進階內容。

  當一個校園內有多個學生機房需獨立控制上網時段時,我們可考慮在每個機房的教師機上建立DNS轉向伺服器,專門用來控制所在學生機房內學生機的上網操作。


此方法在操作上靈活方便,教師在講課的程序中隨時可完成控制學生上網的操作,再也不用在機房和伺服器之間跑來跑去了。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 04:19 PM   #8 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

DHCP術語 描述

作用域 「作用域」是網路上可能的 IP 位址的完整連續範圍。作用域通常定義為接受 DHCP 服務的網路上的單個物理子網。作用域還為網路上的客戶端提供伺服器對 IP 位址及任何相關配置參數的分發和指派進行管理的主要方法。



超級作用域 「超級作用域」是作用域的管理組合,它可用於支持同一物理子網上的多個邏輯 IP 子網。超級作用域僅包含可同時啟動的「成員作用域」或「子作用域」列表。超級作用域不用於配置有關作用域使用的其他詳細資料。



如果想配置超級作用域內使用的多數內容,您需要單獨配置成員作用域內容。


排除範圍 「排除範圍」是作用域內從 DHCP 服務中排除的有限 IP 位址序列。

排除範圍確保伺服器不會將這些範圍中的任何位址提供給網路上的 DHCP 客戶端。


位址池 在定義了 DHCP 作用域並套用排除範圍之後,剩餘的位址在作用域內形成可用的「位址池」。伺服器可將池內位址動態地指派給網路上的 DHCP 客戶端。


租約 「租約」是由 DHCP 伺服器指定的一段時間,在此時間內客戶端電腦可使用指派的 IP 位址。

當向客戶端提供租約時,租約是「活動」的。


在租約過期之前,客戶端通常需要向伺服器更新指派給它的位址租約。
當租約的租約期滿或在伺服器上被刪除時,它將變成「非活動」的。租約期限決定租約何時期滿以及客戶端需要向伺服器對它進行更新的頻率。

保留 可使用「保留」新增 DHCP 伺服器指派的永久位址租約。保留可確保子網上指定的硬體設備始終可使用相同的 IP 位址。

選項類型 「選項類型」是 DHCP 伺服器在向 DHCP 客戶端提供租約時可指派的其他客戶端配置參數。例如,一些常用選項包含用於預設網路閘道(路由器)、WINS 伺服器和 DNS 伺服器的 IP 位址。


通常,為每個作用域啟用並配置這些選項類型。DHCP 控制台還允許您配置由伺服器上增加和配置的所有作用域使用的預設選項類型。


雖然大多數選項都是通過 RFC 2132 預定義的,但需要時也可使用 DHCP 控制台定義並增加自訂選項類型。


選項類別 「選項類別」是一種可供伺服器進一步管理提供給客戶端的選項類型的方式。當選項類別增加到伺服器時,可為該類的客戶端提供用於其配置的類別特定選項類型。

對於 Microsoft? Windows? 2000 和 Windows XP,客戶端電腦還有以在與伺服器通信時指定類 ID。對於不支持類 ID 程序的早期 DHCP 客戶端,當需要將客戶端歸類時可以把伺服器配置成預設類以便使用。選項類有兩種類型:供應商類別和用戶類別。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2004-07-30, 06:06 PM   #9 (permalink)
長老會員
 
leowang 的頭像
榮譽勳章
UID - 2461
在線等級: 級別:111 | 在線時長:12771小時 | 升級還需:221小時級別:111 | 在線時長:12771小時 | 升級還需:221小時級別:111 | 在線時長:12771小時 | 升級還需:221小時級別:111 | 在線時長:12771小時 | 升級還需:221小時級別:111 | 在線時長:12771小時 | 升級還需:221小時級別:111 | 在線時長:12771小時 | 升級還需:221小時
註冊日期: 2002-12-06
文章: 4729
精華: 0
現金: 101679 金幣
資產: 588141888 金幣
預設

看的"霧沙沙"
還是感謝大大分享,有些知識還是用的到
__________________
http://hisn.chin.googlepages.com/love.gif

金錢的數量,決定馬子的漂亮
硬碟的容量,決定男人的力量

製作Mail Logo按這裡
leowang 目前離線  
送花文章: 256, 收花文章: 1161 篇, 收花: 4928 次
舊 2004-08-01, 02:54 PM   #10 (permalink)
註冊會員
 
chiihwa 的頭像
榮譽勳章
UID - 6037
在線等級: 級別:9 | 在線時長:121小時 | 升級還需:19小時級別:9 | 在線時長:121小時 | 升級還需:19小時級別:9 | 在線時長:121小時 | 升級還需:19小時級別:9 | 在線時長:121小時 | 升級還需:19小時
註冊日期: 2002-12-08
VIP期限: 2007-03
住址: 繁囂城中的柳梢頭
文章: 484
精華: 0
現金: 1190 金幣
資產: 1190 金幣
預設

好好學習一下......
chiihwa 目前離線  
送花文章: 0, 收花文章: 3 篇, 收花: 4 次
舊 2004-11-11, 11:19 PM   #11 (permalink)
長老會員
 
yu jun 的頭像
榮譽勳章
UID - 3708
在線等級: 級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時級別:35 | 在線時長:1406小時 | 升級還需:34小時
註冊日期: 2002-12-07
住址: 很想要有個家
文章: 4056
現金: 17880 金幣
資產: 42162 金幣
預設

大大 不愧是手屈一指的發表王,真是博學多聞!
yu jun 目前離線  
送花文章: 1810, 收花文章: 365 篇, 收花: 1966 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 04:50 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1