配置DNS服務專題問答

當嘗試將Windows系統的DNS Client服務配置成停止運行狀態時，終端計算機系統就無法成功進行地址解析操作，請問這種說法是否正確？

答：自然不正確，之所以不少人會有這樣的認識，主要在于微軟的誤導。在Windows的服務管理中，微軟對DNS Client服務是這樣解釋的，“為此計算機解析和緩沖域名系統 (DNS) 名稱。如果此服務被停止，計算機將不能解析DNS名稱并定位Active Directory域控制器。如果此服務被禁用，任何明確依賴它的服務將不能啟動。”微軟這樣的解釋是很不負責任的話。其實DNS Client服務僅僅是客戶端系統對DNS解析內容的緩存服務，關閉了該服務并不會對DNS解析操作造成影響，只是客戶端系統無法繼續緩存DNS解析內容了。關閉這個系統服務，對上網瀏覽影響不是很大，從安全角度來看，啟用該服務反而能泄漏用戶的緩存內容，因為通過緩存內容就能確定用戶曾經訪問過的網頁內容。從上網速度來看，關閉該系統服務可能會降低上網反應速度，不過影響一般不是很大。

目前很多惡意用戶會通過DNS服務的高速緩存，來對DNS服務器實施欺騙攻擊，影響用戶的正常上網訪問，請問如何配置DNS服務器，來有效避免這種欺騙攻擊？

答：可以進行的配置操作，來避免這種欺騙攻擊：一是修改DNS服務器的TTL值，讓其變得稍微小一些，以便預防DNS緩存中毒。在進行這種修改時，打開注冊表編輯窗口，跳轉到HKEY_LOCAL_MACHINESystemCurrentControlSetS e r v i c e sT c p i pParameters分支上，雙擊DefaultTTL鍵值，輸入“32”或“64”，再 刷 新系統注冊表即可，當 然TTL數值不宜過小，否則DNS服務器運行負擔會加重。二是關閉DNS緩存功能，讓黑客無法利用DNS緩存漏洞實施欺騙攻擊；在關閉DNS緩存時，可以通過執行“net stop dnscache”命令，臨時關閉DNS緩存功能，也可以停用DNS Client服務，來永久關閉DNS緩存功能。三是在遇到瀏覽故障時，手工刷新DNS緩存，破壞黑客的欺騙攻擊；在進行這種操作時，只要打開DOS命令行工作窗口，輸入“ipconfig /flushdns”命令，按回車鍵即可。四是啟用防止緩存污染功能，避免DNS服務器緩存被黑客攻擊；只要打開DNS服務器屬性對話框，點選“高級”選項卡，選中對應選項設置頁面中的“防止緩存污染”選項，再重新啟動DNS服務器系統即可。

因為DNS服務的緩存會記錄用戶曾經訪問的站點地址，要是不想讓他人偷窺這方面隱私時，該如何配置該服務？

答：可以關閉客戶端系統的DNS緩存功能。由于該功能是通過DNS Client服務控制的，只要關閉該系統服務就能達到目的了。在關閉該系統服務時，依次單擊“開始”、“運行”命令，在彈出的系統運行對話框中，執行“services.msc”命令，展開系統服務列表窗口，雙擊其中的目標系統服務選項，在對應選項服務設置框中，單擊“停止”按鈕即可。

當終端計算機系統從DHCP服務器那里申請獲得動態地址，進行上網訪問時，該怎樣配置DNS服務器，讓其正向、反向搜索可以實現同步自動更新？

答：很簡單，只要以超級用戶身份登錄進入DHCP服務器所在主機系統，打開該服務器的DHCP控制臺窗口，點選“動態DNS”標簽，選中對應標簽頁面中的“啟用DNS客戶信息的動態更新”復選項，再根據實際需要選擇合適的更新方式，例如可以選擇“總是更新正向和反向搜索”方式或選擇“根據客戶請求更新”方式，來啟用DNS服務器的客戶信息更新功能。如果想讓DNS服務器也能自動更新非動態客戶信息時，可以選中“對非動態DNS客戶更新”選項；如果想讓DNS服務器在客戶租約期限到期后自動取消對客戶正向搜索，可以選中“當租約過期時取消正向搜索”選項。

為了避免本地DNS無法解析，不少網絡管理員都會啟用DNS轉發器，來改善DNS解析成功率，請問怎樣配置DNS轉發器？

答：先以超級用戶權限登錄DNS服務器所在主機系統，打開DNS控制臺界面，右擊DNS服務器所在主機圖標，點選右鍵菜單中的“屬性”命令，彈出DNS服務器屬性對話框；點選“轉發器”選項卡，在對應選項設置頁面中選擇“啟用轉發器”選項，再在“IP地址”位置處輸入Internet網絡上真正可以提供域名解析服務的DNS服務器地址，這樣局域網DNS服務器只要收到客戶端系統的域名解析申請，轉發器就能自動將申請請求發送給真實DNS服務器去處理，日后再將結果轉發給客戶端系統。

為了干擾DNS服務器的穩定運行，有些惡意用戶常常會通過DDoS攻擊方式，對其進行攻擊破壞，請問怎樣配置預防DDoS攻擊DNS服務器？

答：首先在條件合適的情況下，將DNS服務器部署在性能配置足夠高、硬盤容量足夠大的主機系統中，確保黑客在消耗DNS服務器系統資源的同時，其自身攻擊能量也在迅速消耗，或等DNS服務器沒有被攻擊癱瘓，黑客自己已無力攻擊了；其次部署專門的入侵檢測系統，來保護DNS服務器的安全運行；第三對DNS服務器所在主機系統進行優化，關閉系統平時很少用到的服務和端口，切斷黑客攻擊通道；第四使用專業安全工具分析DNS數據報文，尋找導致流量急劇放大的可疑數據報文，并對它們執行過濾操作。

為了改善DNS服務器自身運行安全性，不少網管員會將服務器中平時用不到的系統服務端口全部關閉掉，而僅將少數幾個正在使用的服務端口保留下來。要想將DNS服務器使用的服務端口配置保留下來，該保留什么端口號碼呢？

答：DNS服務工作端口號碼一般存儲在“services”文件中，打開該文件，就能看到DNS服務端口號碼了，下面就是詳細查看步驟：首先進入DNS服務器的資源管理器窗口，進入“system32driversetc”文件夾窗口，用鼠標右鍵單擊該窗口中的“services”文件，執行快捷菜單中的“打開方式”命令，點擊“記事本”應用程序，來打開“services”系統文件。之后，依次選擇文本編輯界面中的“編輯”、“查找”命令，切換到查找設置框，輸入“Domain Name”關鍵字，按下“查找下一個”按鈕，這樣鼠標指針就會自動出現于DNS服務內容描述處，在這里，用戶就能直觀地看到DNS服務正在使用的協議有TCP、UDP這兩種類型，而對應端口號碼全部為“53”，日后只要將“53”端口開通，就能保證DNS服務正常工作了。

終端計算機是否能夠高速訪問網頁內容，與DNS服務器自身運行狀態息息相關。為了保持DNS服務器始終穩定運行，大家應該定期查看它的運行狀態，以便提前識別出它的潛在隱患，請問如何識別DNS服務器運行狀態是否正常？

答：先以系統管理員權限登錄進入DNS服務器所在主機系統，依次單擊“開始”、“程序”、“管理工具”、“DNS”命令，進入DNS服務器控制臺界面，右擊DNS服務器主機，選擇快捷菜單中的“屬性”命令。在其后界面中選擇“日志”標簽，在對應標簽頁面指定的日志文件中，保存了DNS服務器的工作狀態信息，包括查詢方面的、應答方面的、通知方面的信息。日后，定期訪問該日志文件，就能清楚地查看到DNS服務器的工作狀態是否正常了。

要是惡意用戶破壞掉DNS服務器的配置信息，這可能會引起DNS服務不能正常工作，請問如何有效確保DNS配置信息安全？

答：考慮到DNS配置信息基本都存儲在DNS文件夾中以及相關注冊表分支中，只要對它們的訪問權限進行控制，就能確保DNS配置信息安全。詳細操作為：首先打開DNS服務器所在系統的注冊表編輯窗口，依次跳轉 到HKEY_LOCAL_MACHINEC u r r e n t C o n t r o l S e tServicesDNS分支上，用鼠標右鍵單擊DNS分支，從右鍵菜單中執行“權限”命令，彈出權限設置對話框，在這里刪除所有用戶賬號，僅將合法賬號添加進來，并為它們分配合適的訪問權限。其次打開系統資源管理器窗口，選中“%system_directory%DNS”文件夾，右擊該文件夾圖標，點選右鍵菜單中的“安全”命令，彈出安全選項設置頁面，在這里僅為合法用戶授予適當的訪問權限，刪除所有不信任用戶賬號。

在缺省狀態下，Windows Server 2003服務器系統并沒有安裝DNS服務系統組件，請問怎樣安裝、配置好DNS服務器？

答：首先要以超級用戶身份登錄進入Windows Server 2003服務器系統，在該系統中逐一點選“開始”、“設置”、“控制面板”命令，進入系統控制面板窗口，雙擊其中的“添加或刪除程序”選項，點擊“添加/刪除Windows組件”按鈕，彈出Windows系統組件添加向導窗口；之后依次選中“網絡服務”選項，單擊“詳細信息”按鈕，選中“DNS服務”，再按照向導默認提示完成安裝操作，就能安裝好DNS服務組件了。

在配置DNS服務器時，可以依次單擊“開始”、“設置”、“控制面板”命令，雙擊控制面板窗口中的“管理工具”、“DNS”圖標，展開服務器系統的DNS控制臺窗口；單擊該界面中的“操作”菜單項，選擇“配置服務器”命令，再按照向導提示依次配置DNS服務器的區域名稱、網絡標識參數，同時添加好相關的主機記錄即可。

請問終端計算機系統上網輸入的網站域名是怎樣被轉換成IP地址的？

答：當終端計算機系統需要解析網站域名時，它就會自動查詢DNS服務器。終端計算機系統向DNS服務器發出的每個查詢請求，本質是請其提供地址解析記錄。比方說，終端計算機系統要想解析www.xxx.com站點域名時，會自動向指定的DNS服務器發出查詢請求，請求信息中指定了www查詢類型，這個查詢過程其實分為了兩個步驟：首先詢問DNS服務器中有沒有與名稱為“xxx.com”域對應的www資源記錄，然后再詢問能不能將其www記錄解析為主機記錄，并解析其IP地址。當客戶端系統收到來自DNS服務器的響應時，會自動讀取并解釋www記錄并獲得A記錄，從而獲得目標網站的IP地址。

一臺DNS服務器安裝配置成功后，怎樣才能快速識別出它能否正常解析站點域名呢？

所謂教學之“術”，一般指為實現教學意圖而采用的策略、技巧、方法等。歷史學科的過去性特點、初中生的思維認知發展水平決定我們的教學一定要以精妙的“術”為依托，通過“術”激起學生主動學習的興趣，激活與引導學生的思維，使學生在參與探究中獲得歷史學科的知識和技能，并進行積極的情感體驗，得到真正的發展。

答：很簡單！只要進入DNS服務器屬性對話框，選擇“監視”標簽，勾選對應標簽頁面中的“對此DNS服務器的簡單查詢”選項，按下“立即測試”按鈕，要是測試操作成功的話，那就意味著DNS服務器能夠正確將主機名稱解析成IP地址，要是測試失敗，那就意味著DNS服務器安裝、配置存在問題，還需要重新設置相關參數。接著勾選“對此DNS服務器的遞歸查詢”選項，按下“立即測試”按鈕，要是測試成功的話，那就說明DNS服務器可以正確將IP地址解析成主機名稱。

DNS服務器缺省能夠同時接受終端計算機系統的迭代查詢、遞歸查詢，可是要是同時接受太多的遞歸查詢，DNS服務器容易發生響應遲鈍的現象。為了改善DNS服務器的響應能力，請問如何進行配置操作，來停用它的遞歸查詢功能？

答：很簡單！只要進入DNS服務器控制臺窗口，用鼠標右擊DNS服務器所在主機系統，單擊快捷菜單中的“屬性”命令。選擇DNS服務器屬性對話框中的“高級”標簽，在對應標簽頁面中的“服務器選項”位置處，選中“停用遞歸”復選項，最后單擊“確定”按鈕保存設置操作，這樣就能停用DNS服務器的遞歸查詢功能了。

請問怎樣對DNS數據進行包過濾，以便把對DNS服務器存在安全威脅的數據包過濾掉？

答：可以采用三種方式對DNS數據進行包過濾：一是IP地址過濾，只要為DNS服務器創建合適的IP安全策略，讓DNS服務器只允許合法計算機訪問即可；二是端口過濾，只要打開TCP/IP協議的高級屬性對話框，將訪問DNS服務器必須使用的53端口開放，同時關閉其他通信端口即可；三是流量過濾，采用這種方式過濾時，可以結合交換機的流量控制功能，來對連接DNS服務器的交換端口進行流量控制。

在缺省狀態下，DNS服務會用到53端口，為了保證該服務的工作安全，請問有沒有辦法調整該端口號碼？

答：只要進入DNS服務器所在系統的資源管理器窗 口，逐 一 雙 擊“WinNt”、“system32”、“drivers”、“etc”文件夾圖標；用記事本程序打開目標文件夾窗口中的“services”文件，在彈出的文本編輯窗口中，依次單擊“編輯”、“查找”命令，輸入“Domain Name”關鍵字，單擊“查找下一個”按鈕，找到域名服務所使用的端口和通信協議，在這里可以將端口號碼修改成新的號碼。

正常情況下，網管員在配置DNS服務器的正向查詢區域時，都需要將“.”區域刪除掉，請問這是什么原因？

答：“.”區域通常表示本地DNS服務器就是根服務器，而本地DNS服務器往往只能解析有限的幾個內部網站域名，而無法解析更多的外部網站域名；只要該區域存在，那么本地系統的DNS服務就無法使用系統默認的根提示服務器，去解析Internet網絡中的網站域名，這樣就容易造成上網瀏覽失敗故障。此外，本地DNS服務器容易發生故障，而系統默認的根提示服務器卻有一定的冗余，這也是刪除“.”區域的原因之一。

答：這種現象只會在域控制器系統中出現，因為為了方便局域網中其他客戶端系統或域控制器查詢活動目錄信息，主域控制器系統需要通過netlogon服務在DNS服務器中注冊一些信息，要是將該系統的DNS參數配置成ISP提供的DNS服務器地址，那么netlogon服務將無法在其中注冊信息，從而會導致系統生成錯誤的消息提示。

請問在普通的終端計算機系統中，怎樣查看DNS緩存中的詳細內容？

答；只要依次單擊“開始”、“運行”命令，展開系統運行對話框，輸入“cmd”命令并回車，彈出DOS命令行工作窗口。在命令行提示符狀態下，輸入“ipconfig /displaydns”字符串命令，按回車鍵后，就能在命令返回的結果信息中查看到DNS緩存內容了。

在終端計算機系統沒有配置DNS服務的情況下，該系統是否一定不能成功訪問Internet網絡中的域名呢？

答：不一定！因為終端計算機系統的DNS服務可以通過缺省的根提示服務器，來完成外部域名的解析任務。當然。前提是客戶端系統的正向查詢區域中不能包含“.”區。

終端計算機在上網解析域名的時候，或許會使用到本機HOST解析法、DNS服務器解析法、DNS緩存解析法、Name Resolution Policy Table解析法等等，請問這些解析法中，哪個優先級別最高？

答：DNS緩存解析法優先級別最高。

單位的DNS服務器架設在代理服務器中，可是局域網中的客戶端系統使用了指定的DNS服務器后，仍然無法打開網頁，不知道是什么原因？

答：首先要確認該DNS服務器工作狀態正常；其次要確認客戶端系統能夠ping通DNS服務器；第三要開通代理服務器中的TCP 53端口和UDP 53端口。如果還不能訪問網頁內容時，可以嘗試關閉代理服務器中的防火墻看看。

巧妙借助DNS服務的緩存記憶功能，能有效增強域名解析效率，改善上網訪問速度。但缺省狀態下，Windows系統的DNS服務緩存容量不大，可以存儲的域名解析記錄有限，請問怎樣配置增大DNS緩存容量，以便讓終端計算機系統能緩存更多域名解析記錄，以提高域名解析效率？

答：可以通過修改相關注冊表鍵值的方法來達到該目的。打開系統注冊表編輯窗口，逐一跳轉到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS e r v i c e sD n s c a c h eParameters注冊表分支上，在目標分支下創建一個“Cache HashTableBucketSize”雙字節值，同時將該鍵值的數值設置為“十進制”的“384”，并按“確定”按鈕返回；再按同樣的方法，在“Parameters”分支下面依次創建好“Max Cache Entry Ttl Limit”雙 字 節值、“Cache HashTableSize”雙 字 節 值 、“M a x SOACacheEntryTtlLimit” 雙字節值，并將它們對應的數值依次設置為“301”、“64000”、“300”，完成上述設置后重新啟動Windows系統，這樣客戶端系統的DNS緩存容量就會增大了，那么該系統上網瀏覽效率就能提升很多。

在網絡連接正常的終端計算機中，訪問某個網站時，會出現瀏覽失敗的現象，不過在其他終端計算機中訪問同樣的網站頁面時，卻很正常，不知道這是什么原因？

答：這種問題很可能是終端計算機的DNS緩存內容太舊引起的，此時可以打開該系統的DOS命令行窗口，在其中執 行“ipconfig /flushdns”命令，來強制將DNS緩存內容清空。

在安裝有Windows 7系統的終端計算機中，怎樣快速查看某個特定DNS域名使用了哪個IP地址？

答：可以依次單擊“開始”、“運行”命令，在彈出的系統運行對話框中，執行“cmd”命令，切換到DOS命令行窗口，輸入“nslookup aaa”（其中“aaa”為特定DNS域名名稱），按回車鍵后，就能查看到特定DNS域名對應的IP地址了。

試著在Windows Server 2003服務器系統中，以手工方式啟用DNS Server服務時，發現系統竟然提示存儲空間不足，請問怎樣正常啟用DNS Server服務？

答：發生這種問題，多半是Windows Server 2003服務器系統的DNS緩存文件受到損壞，不妨試著將該文件替換掉，要是還無法解決問題，可以考慮查殺病毒，再重新啟動一下服務器系統。