史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-03-04, 08:36 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - 存根區域使 DNS 名稱解析更高效

Windows Server 2003 中的 DNS 新增功能之二
摘要:介紹 Windows Server 2003 中的存根區域(Stub zone)
目錄:

介紹 DNS 委派區域的名稱解析

介紹 DNS 存根區域原理

配置 DNS 存根區域
在 DNS 名稱空間的架構過程中, 經常會把一個區域的管理和解析任務委派給其它 DNS 服務器, 這樣做的目的可能是由於名稱空間過於龐大而減輕管理負擔, 也有可能是出於負載平衡的考慮。
我們可以在現有區域上創建一個委派:
1. 右擊你的區域(zone.com),點擊 " 新建委派 ";
2. 鍵入你想要委派的子域名稱(DeleDomain.zone.com);
3. 指定主持此委派區域的 DNS 服務器 (DeleServer.DeleDomain.zone.com); 4. 點擊 " 完成 "。
在上述過程中, 你已經把解析和管理 DeleDomain.zone.com 的任務委派給了服務器 DeleServer.DeleDomain.zone.com. 當有客戶端查詢 DeleDomain.zone.com 區域的電腦時, 當前服務器(server.zone.com) 會自動把該請求發給委派服務器(DeleServer.DeleDomain.zone.com)。
經過上述配置, 得到了負載平衡和分散管理的好處的同時, 另一個問題又出現了: 當委派域 (DeleDomain.zone.com) 的管理員為這個委派域增加了額外的 DNS 服務器, 但這一情況並未通知當前區域 (zone.com) 的管理員,導致當前服務器 (server.zone.com) 仍然把查詢發給原來已知的委派域 DNS 服務器, 沒有發揮新增委派域額外服務器的作用。

在 Windows Server 2003 中, 存根區域使這一問題得到了很好的解決. 存根區域將幫助當前服務器聯絡委派服務器, 使得委派域的訊息可以及時更新到當前服務器. 這樣做具體的優勢在於:

1. 與利用根服務器質詢方法比較, 這種方法更簡單, 更快捷。

2. 使委派域的管理更高效.

下面介紹一下存根區域的創建方法:

1. 打開 DNS 控制台。

2. 右鍵點擊 DNS 服務器,然後點擊 「 新建區域 」。

3. 在嚮導頁, 點擊 " 下一步 "。

4. 在 " 區域類型 " 頁, 選擇 " 存根區域 ", 單擊 " 下一步 "。

5. 在 " 正向或反向搜尋區域 " 頁, 選擇 " 正向搜尋區域 " , 單擊 " 下一步"。

6. 在 " 區域名稱 " 中, 鍵入你的域名 (StubzoneDeleDomain.zone.com), 單擊 " 下一步 "。

7. 配置區域文件, 單擊 " 下一步 "。

8. 在 " 主服務器 " 頁, 鍵入想要複製區域的 DNS 服務器 (DeleServer.DeleDomain.zone.com)的 IP 地址, 單擊 " 下一步 "。

9. 在完成嚮導頁, 單擊 " 完成 "。

更新存根區域:。

1. 打開 DNS 控制台。

2. 右鍵點擊你的存根區域,點擊 " 重新載入執行 " 或 " 從主服務器複製 " 或 " 從主服務器重新載入執行 "。

上述配置創建了存根區域 (StubzoneDeleDomain.zone.com), 並且存根區域的更新使當前服務器聯絡委派域主服務器(DeleServer.DeleDomain.zone.com),使該存根區域 (StubzoneDeleDomain.zone.com) 和委派區域(DeleDomain.zone.com) 的訊息保持同步,當前服務器能得知所有子域委派服務器的存在 (當然包括子域管理員額外增加的服務器)。當客戶端再次查詢 DeleDomain.zone.com 域的電腦時, 當前服務器 (server.zone.com) 會在它主持的存根區域(StubzoneDeleDomain.zone.com)的 NS 記錄中找出所有的委派域的服務器, 並自動把請求發給它們。

現在, 我們不僅使用了委派域的分散管理和解析, 而且還利用 Windows Server 2003 中的 DNS 存根區域解決了訊息更新與同步問題。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 07:02 AM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

分離的DNS服務及其部署
 
內容概要:當你對Internet發佈了內部網路中的服務時,可能你的用戶會有抱怨:遠端客戶可以正常的訪問你發佈到Internet的服務,但是位於內部網路的用戶卻不能正常的訪問這些服務。這個時候,你可能需要在你的網路中部署分離的DNS服務。
當你對Internet發佈了內部網路中的服務時,可能你的用戶會有抱怨:遠端客戶可以正常的訪問你發佈到Internet的服務,但是位於內部網路的用戶卻不能訪問這些服務,Why?
如下圖所示,內部網路位址範圍為10.2.1.0/24,在ISA上對Internet發佈了內部網路中Web服務器(10.2.1.5)上的Web站點www.isacn.org,在Internet的DNS服務器上解析www.isacn.org為ISA服務器的外部IP位址39.1.1.8。

http://www.isacn.org/pic/splitdns/splitdns1.jpg

此時,外部Internet上的客戶(39.1.1.9)可以正常的訪問ISA防火牆上發佈的Web站點www.isacn.org

http://www.isacn.org/pic/splitdns/splitdns01.jpg

但是內部網路中的SNat客戶(10.2.1.9)卻不可以,

http://www.isacn.org/pic/splitdns/splitdns02.jpg

為什麼呢?
內部網路中的SNat客戶(10.2.1.9)和外部的客戶(39.1.1.9)使用的是相同的DNS服務器(39.1.1.9),當內部的SNat客戶(10.2.1.9)解析域名www.isacn.org時,結果和外部客戶(39.1.1.9)一樣,是ISA防火牆的外部接頭IP位址39.1.1.8。於是,內部SNat客戶(10.2.1.9)向ISA防火牆的外部接頭(39.1.1.8)發起連接,當ISA防火牆接收到此連接請求時,會根據發佈規則的設置轉發給內部網路中的Web服務器(10.2.1.5)。
問題的關鍵在於,此時Web服務器(10.2.1.5)直接對SNat客戶(10.2.1.9)的連接請求發出響應。ISA防火牆轉發給Web服務器的連接請求的源位址是內部SNat客戶的IP位址(10.2.1.9),Web服務器(10.2.1.5)識別出此IP位址(10.2.1.9)和自己位於相同的子網內,所以直接向此IP位址發送連接響應。但是Snat客戶電腦(10.2.1.9)會丟棄Web服務器(10.2.1.5)直接發送給它的連接響應,因為它的連接請求是發送到ISA防火牆的外部IP位址(39.1.1.8)而不是Web服務器的IP位址(10.2.1.5)。對於Snat客戶電腦而言,Web服務器發送給它的連接響應不是它發起的,所以它會丟棄此連接響應
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2006-09-13, 07:03 AM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

解決此問題的辦法有兩種:
第一種方法是在ISA防火牆的服務發佈規則中,設置連接請求顯示為從ISA防火牆發起,如下圖所示:

http://www.isacn.org/pic/splitdns/splitdns03.jpg

但是這樣會導致兩個問題:
被訪問的服務器上的日誌記錄中的客戶IP位址全部為ISA防火牆,這樣不能做日誌分析和統計;
出現了網路訪問迴環,這樣會極大的降低ISA防火牆的性能;
所以,不推薦使用此辦法。
 
 
第二種方法就是使用分離的DNS服務(Split dns)。顧名思義,分離的DNS服務就是為外部客戶和內部客戶分別使用不同的DNS服務。對於外部的客戶,使用Internet上的DNS服務,解析域名到ISA防火牆的外部接頭的IP位址上;而對於內部客戶,使用內部網路中的DNS服務,將此域名解析到內部網路中對應的服務器IP位址上,這樣當內部網路中的客戶訪問此服務時,就不再需要通過ISA防火牆進行中轉而直接進行訪問。
下圖中所示就是分離的DNS服務結構,在內部網路中,增加了一台DNS服務器,並且配置內部網路中的客戶使用此DNS服務;

http://www.isacn.org/pic/splitdns/splitdns2.jpg

此時,通過將名字解析為對應服務器的內部網路中的IP位址,內部網路中的客戶就可以正常的訪問內部網路中的服務了。

http://www.isacn.org/pic/splitdns/splitdns04.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用

相似的主題
主題 主題作者 討論區 回覆 最後發表
軟體 - Outpost 4.0新特性預告 psac 應用軟體使用技術文件 2 2006-07-06 08:14 PM
軟體 - Win 2k活動目錄套用詳解 psac 作業系統操作技術文件 0 2006-05-25 03:35 PM
Win 2003組態DNS的Internet訪問 psac 作業系統操作技術文件 0 2006-03-29 12:05 PM
解決 Windows 2000 中的一般 Active Directory 安裝問題 psac 作業系統操作技術文件 0 2003-10-31 01:34 AM
Windows Server 2003 使用指南 psac 作業系統操作技術文件 0 2003-05-29 10:21 AM


所有時間均為台北時間。現在的時間是 11:50 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1