域名解析服務管理問答

■江蘇 孫秀洪

編者按：域名解析是網絡管理人員必備的一項技能，本文列舉了域名解析可能出現的一些問題，希望對大家的工作有所幫助。

為了改善域名解析（以下稱DNS）服務器自身運行安全性，不少網管員會將服務器中平時用不到的系統服務端口全部關閉掉，而僅將少數幾個正在使用的服務端口保留下來。要想將DNS服務器使用的服務端口配置保留下來，該保留什么端口號碼呢？

答：DNS服務工作端口號碼一般存儲在“services”文件中，打開該文件，就能看到DNS服務端口號碼了，下面就是詳細查看步驟：首先進入DNS服務器的資源管理器窗口，進入“system32driversetc”文件夾窗口，用鼠標右鍵單擊該窗口中的“services”文件，執行快捷菜單中的“打開方式”命令，點擊“記事本”應用程序，來打開“services”系統文件。之后，依次選擇文本編輯界面中的“編輯”、“查找”命令，切換到查找設置框，輸入“Domain Name”關鍵字，按下“查找下一個”按鈕，這樣鼠標指針就會自動出現于域名解析服務內容描述處，在這里，用戶就能直觀地看到域名解析服務正在使用的協議有TCP、UDP這兩種類型，而對應端口號碼全部為“53”，日后只要將“53”端口開通，就能保證域名解析服務正常工作了。

用戶上網輸入的網站域名，是怎樣被轉換成IP地址的呢？

答：當客戶端系統需要解析網站域名時，它就會自動查詢DNS服務器。用戶向DNS服務器發出的每個查詢請求，本質是請其提供地址解析記錄。例如，用戶要想解析www.abc.com站點域名時，會自動向指定的DNS服務器發出查詢請求，請求信息中指定了www查詢類型，這個查詢過程其實分為了兩個步驟：首先詢問DNS服務器中有沒有與名稱為“abc.com”域對應的www資源記錄，然后再詢問能不能將其www記錄解析為主機記錄，并解析其IP地址。當普通計算機收到來自DNS服務器的響應時，會自動讀取并解釋www記錄并獲得A記錄，從而獲得目標網站的IP地址。

眾所周知，合理通過DNS緩存功能，可以提高DNS解析效率，提高上網瀏覽速度；不過，默認狀態下，Windows系統的域名解析緩存容量有限，能保存的域名解析記錄有限，請問怎樣增大域名解析緩存容量，以便讓客戶端系統能緩存更多域名解析記錄？

答：可以打開系統注冊表編輯窗口，逐一跳轉到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices域 名 解 析cacheParameters注 冊表分支上，在目標分支下創建一個“CacheHash TableBucketSize”雙字節值，同時將該鍵值的數值設置為“十進制”的“384”，并按“確定”按鈕返回；再按同樣的方法，在“Parameters”分支下面依次創建好“MaxCache EntryTtlLimit”雙字節值、“CacheHash TableSize”雙 字 節 值、“MaxSOACache EntryTtlLimit”雙字節值，并將它們對應的數值依次設置 為“301”、“64000”、“300”，完成上述設置后重新啟動Windows系統，這樣客戶端系統的域名解析緩存容量就會增大了，那么該系統上網瀏覽效率就能提升很多。

當客戶端系統從DHCP服務器那里自動獲得上網地址時，如何讓DNS服務器的正向、反向搜索能同步自動更新？

答：很簡單，只要以系統管理員權限登錄DHCP服務器，打開該服務器的DHCP控制臺窗口，點選“動態域名解析”標簽，選中對應標簽頁面中的“啟用域名解析客戶信息的動態更新”復選項，再根據實際需要選擇合適的更新方式，例如可以選擇“總是更新正向和反向搜索”方式或選擇“根據客戶請求更新”方式，來啟用域名解析服務器的客戶信息更新功能。

如果想讓域名解析服務器也能自動更新非動態客戶信息時，可以選中“對非動態域名解析客戶更新”選項；如果想讓域名解析服務器在客戶租約期限到期后自動取消對客戶正向搜索，可以選中“當租約過期時取消正向搜索”選項。

如果缺省的DNS服務器發生故障，無法正常提供域名解析服務時，該如何申請新的DNS服務器來替代舊的服務器呢？

答：現在提供免費DNS的服務商有很多，我們可以按需選擇一個合適站點申請該服務。例如，我們可以打開http://www.4y.cn/頁面，點擊右上方區域的“免費注冊”按鈕，依照頁面提示輸入相關注冊信息，其中電子郵件地址必須填寫正確，確認提交后后臺系統會自動將用戶密碼發送到指定電子信箱中。接著使用注冊獲得的賬號資料登錄管理中心，點選“域名服務”位置處的“DNS管理”選項，在對應選項文本框中輸入無法正常解析的域名，提交后按下“結算”按鈕即可，沒有多長時間，系統會提示交易成功。之后，依次點擊“業務管理”、“域名維護”選項，將域名的DNS調整為“ns1.4everdns.com”和“ns2.4everdns.com”， 執行保存操作返回。下面登錄原域名控制面板，切換到“域名管理”設置區域，按下“修改域名DNS”按鈕，將“填寫具體信息”選中，同時在“主域名服務器名字”文本框中輸入“ns1.4everdns.com”，在“輔域名服務器名字”文本框中輸入“ns2.4everdns.com”。 結束上述設置操作后，一般要等待24小時，新申請的DNS服務器才能生效。當域名生效后，再次返回到之前的域名維護頁面，設置好郵件記錄、A記錄以及子域名等。

停用了Windows系統的域名解析 Client服務，客戶端系統就不能成功完成地址解析任務，請問這種說法正確嗎？

答：筆者認為是錯誤的，之所以很多用戶會有這樣不正確的認識，主要在于微軟的誤導。在Windows的服務管理中，微軟對域名解析Client服務是這樣解釋的，“為此計算機解析和緩沖域名系統(域名解析)名稱。如果此服務被停止，計算機將不能解析域名解析名稱并定位Active Directory域控制器。如果此服務被禁用，任何明確依賴它的服務將不能啟動。”微軟這樣的解釋是很不負責任的話。其實域名解析Client服務僅僅是客戶端系統對域名解析解析內容的緩存服務，關閉了該服務并不會對域名解析解析操作造成影響，只是客戶端系統無法繼續緩存域名解析解析內容了。關閉這個系統服務，對上網瀏覽影響不是很大，從安全角度來看，啟用該服務反而能泄漏用戶的緩存內容，因為通過緩存內容就能確定用戶曾經訪問過的網頁內容。從上網速度來看，關閉該系統服務可能會降低上網反應速度，不過影響一般不是很大。

在局域網域工作環境中，當將域控制器的DNS參數配置成ISP提供的DNS服務器地址時，系統為什么會生成錯誤的消息提示？

答：這種現象只會在域控制器系統中出現，因為為了方便局域網中其他客戶端系統或域控制器查詢活動目錄信息，主域控制器系統需要通過netlogon服務在DNS服務器中注冊一些信息，要是將該系統的DNS參數配置成ISP提供的DNS服務器地址，那么netlogon服務將無法在其中注冊信息，從而會導致系統生成錯誤的消息提示。

Windows Server 2008系統在默認狀態下并沒有安裝域名解析服務器組件，請問如何安裝、配置域名解析服務器？

答：首先要以系統管理員權限登錄Windows Server 2008系統，其次在該系統中依次單擊“開始”、“設置”、“控制面板”命令，打開系統控制面板窗口，雙擊其中的“添加或刪除程序”選項，點擊“添加/刪除Windows組件”按鈕，彈出Windows系統組件添加向導窗口；之后依次選中“網絡服務”選項，單擊“詳細信息”按鈕，選中“域名解析服務”，再按照向導默認提示完成安裝操作，就能安裝好域名解析服務組件了。

在配置域名解析服務器時，可以依次單擊“開始”、“設置”、“控制面板”命令，雙擊控制面板窗口中的“管理工具”、“域名解析”圖標，展開服務器系統的域名解析控制臺窗口；單擊該界面中的“操作”菜單項，選擇“配置服務器”命令，再按照向導提示依次配置域名解析服務器的區域名稱、網絡標識參數，同時添加好相關的主機記錄即可。

為了防止本地DNS不能解析，很多網絡管理員都會啟用DNS轉發器，以提高域名解析解析成功率，請問如何配置DNS轉發器？

答：先以系統管理員權限登錄域名解析服務器所在主機系統，打開域名解析控制臺界面，右擊域名解析服務器所在主機圖標，點選右鍵菜單中的“屬性”命令，彈出域名解析服務器屬性對話框；點選“轉發器”選項卡，在對應選項設置頁面中選擇“啟用轉發器”選項，再在“IP地址”位置處輸入Internet網絡上真正可以提供域名解析服務的域名解析服務器地址，這樣局域網域名解析服務器只要收到客戶端系統的域名解析申請，轉發器就能自動將申請請求發送給真實域名解析服務器去處理，日后再將結果轉發給客戶端系統。

為了破壞DNS服務器的穩定運行，很多惡意用戶經常會使用DDoS攻擊方式，對其進行攻擊破壞，請問怎樣預防DDoS攻擊DNS服務器？

答：首先在經濟允許的情況下，將DNS服務器部署在性能配置足夠高、硬盤容量足夠大的主機系統中，確保黑客在消耗DNS服務器系統資源的同時，其自身攻擊能量也在迅速消耗，或等DNS服務器沒有被攻擊癱瘓，黑客自己已無力攻擊了；其次部署專門的入侵檢測系統，來保護DNS服務器的安全運行；第三對DNS服務器所在主機系統進行優化，關閉系統平時很少用到的服務和端口，切斷黑客攻擊通道；第四使用專業安全工具分析DNS數據報文，尋找導致流量急劇放大的可疑數據報文，并對它們執行過濾操作。

當嘗試將Windows系統的DNS Client服務配置成停止運行狀態時，終端計算機系統就無法成功進行地址解析操作，請問這種說法是否正確？

答：不正確，之所以不少人會有這樣的認識，主要在于微軟的誤導。在Windows的服務管理中，微軟對DNS Client服務是這樣解釋的，“為此計算機解析和緩沖域名系統 (DNS)名稱。如果此服務被停止，計算機將不能解析DNS名稱并定位Active Directory域控制器。如果此服務被禁用，任何明確依賴它的服務將不能啟動。”微軟這樣的解釋是很不負責任的話。其實DNS Client服務僅僅是客戶端系統對DNS解析內容的緩存服務，關閉了該服務并不會對DNS解析操作造成影響，只是客戶端系統無法繼續緩存DNS解析內容了。關閉這個系統服務，對上網瀏覽影響不是很大，從安全角度來看，啟用該服務反而能泄漏用戶的緩存內容，因為通過緩存內容就能確定用戶曾經訪問過的網頁內容。從上網速度來看，關閉該系統服務可能會降低上網反應速度，不過影響一般不是很大。

請問怎樣在Windows客戶端系統中，查看域名解析緩存中的內容？

答；可以依次單擊“開始”、“運行”命令，在彈出的系統運行對話框中，執行“cmd”命令，切換到DOS命令行工作窗口，在命令行提示符中輸入“ipconfig/display域名解析”命令，按回車鍵后，就能在命令返回的結果信息中查看到域名解析緩存內容了。

有時，黑客會使用遞歸查詢模式，拒絕特定DNS服務器對外提供域名解析服務，破壞用戶正常使用域名訪問。為了避免這種現象，請問如何關閉DNS服務器的遞歸查詢模式？

答：在DNS服務器所在主機系統，打開DNS管理器控制臺界面，右擊本地主機名稱，選擇右鍵菜單中的“屬性”命令，彈出DNS服務器屬性對話框，選擇“高級”選項卡，檢查高級選項設置頁面中的“停用遞歸”選項是否處于選中狀態，一旦發現它還沒有被選中時，可以及時將它重新選中，再按“確定”按鈕即可。此外，也能在DOS窗口下，執行“dnscmd ServerName/Config/NoRecursion 1”命令（這里的“ServerName”為 DNS服務器的主機名稱），關閉遞歸查詢功能。

在Unix系統環境中，如何配置域名解析地址參數？

答：Unix的域名解析配置信息主要保存在“/etc/resolv.conf”文件中，因此只要編輯修改該文件，就能輕松完成域名解析地址參數配置任務了。

一般來說，網管員在配置域名解析服務器的正向查詢區域時，都需要將“.”區域刪除掉，請問這是什么原因？

答：“.”區域通常表示本地域名解析服務器就是根服務器，而本地域名解析服務器往往只能解析有限的幾個內部網站域名，而無法解析更多的外部網站域名；只要該區域存在，那么本地系統的域名解析服務就無法使用系統默認的根提示服務器，去解析Internet網絡中的網站域名，這樣就容易造成上網瀏覽失敗故障。此外，本地域名解析服務器容易發生故障，而系統默認的根提示服務器卻有一定的冗余，這也是刪除“.”區域的原因之一。

倘若黑客破壞掉域名解析服務器的配置信息，那么會造成域名解析服務無法正常工作，請問有沒有辦法保護域名解析配置信息？

答：由于域名解析配置信息幾乎都保存在域名解析文件夾中以及相關注冊表分支中，只要對它們的訪問權限進行控制，就能保護好域名解析配置信息。

具體做法為：首先打開域名解析服務器所在系統的注冊表編輯窗口，依次跳轉 到HKEY_LOCAL_MACHINECurrentControlSetServices域名解析分支上，用鼠標右鍵單擊域名解析分支，從右鍵菜單中執行“權限”命令，彈出權限設置對話框，在這里刪除所有用戶賬號，僅將合法賬號添加進來，并為它們分配合適的訪問權限。其次打開系統資源管理器窗口，選中“%system_directory%域 名解析”文件夾，右擊該文件夾圖標，點選右鍵菜單中的“安全”命令，彈出安全選項設置頁面，在這里僅為合法用戶授予適當的訪問權限，刪除所有不信任用戶賬號。

有惡意用戶會使用DNS高速緩存，來欺騙攻擊DNS服務器，影響用戶的正常上網訪問，請問怎樣遠離這種非法攻擊？

答：有下面幾種措施：一是在遇到瀏覽故障時，手工刷新DNS緩存，破壞黑客的欺騙攻擊；在進行這種操作時，只要打開DOS命令行工作窗口，輸入“ipconfig/flushdns”命令，按回車鍵即可。

二是啟用防止緩存污染功能，避免DNS服務器緩存被黑客攻擊；只要打開DNS服務器屬性對話框，點選“高級”選項卡，選中對應選項設置頁面中的“防止緩存污染”選項，再重新啟動DNS服務器系統即可。

三是關閉DNS緩存功能，讓黑客無法利用DNS緩存漏洞實施欺騙攻擊；在關閉DNS緩存時，可以通過執行“net stop dnscache”命令，臨時關閉DNS緩存功能，也可以停用DNS Client服務，來永久關閉DNS緩存功能。

四是修改DNS服務器的TTL值，讓其變得稍微小一些，以便預防DNS緩存中毒。在進行這種修改時，打開注冊表編輯窗口，跳轉到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters分支上，雙擊DefaultTTL鍵值，輸入“32”或“64”，再刷新系統注冊表即可，當然TTL數值不宜過小，否則DNS服務器運行負擔會加重。

當DNS服務器遇到意外無法工作時，一些網站就無法通過域名進行訪問，請問有沒有什么應急的辦法，能解決這種問題？

答：可以通過修改文件進行應急：首先打開本地系統的資源管理器窗口，展開“C:WindowsSystem32Driversetc”文件夾，找到其中的“hosts”文件，啟動運行記事本程序，打開“hosts”文件，在該文件的最后一行添加上網站服務器IP地址和解析出錯的域名，這樣就能臨時解決一些網站無法通過域名訪問的問題了。

一臺域名解析服務器安裝配置成功后，如何才能快速判斷它能正常解析域名呢？

答：很簡單！只要打開域名解析服務器屬性對話框，點選“監視”選項卡，選中“對此域名解析服務器的簡單查詢”，單擊“立即測試”按鈕，如果測試成功的話，那就說明域名解析服務器可以正確將主機名稱解析成IP地址，如果測試失敗，那就說明域名解析服務器安裝、配置存在問題，還需要重新設置相關參數。之后，選中“對此域名解析服務器的遞歸查詢”，單擊“立即測試”按鈕，如果測試成功的話，那就說明域名解析服務器可以正確將IP地址解析成主機名稱。

域名解析服務器默認可以同時接受客戶端系統的迭代查詢、遞歸查詢，不過如果同時接受太多的遞歸查詢，域名解析服務器容易發生響應遲鈍的現象。為了提升域名解析服務器的響應能力，請問有沒有辦法關閉遞歸查詢功能？

答：很簡單！可以打開域名解析服務器控制臺窗口，右擊域名解析服務器所在主機系統，點選右鍵菜單中的“屬性”命令；點選域名解析服務器屬性框中的“高級”選項卡，在其后頁面中的“服務器選項”位置處，選中“停用遞歸”復選項，再按“確定”按鈕，就能關閉域名解析服務器的遞歸查詢功能了。

請問如何對域名解析進行包過濾，以便把對域名解析服務器存在安全威脅的數據包過濾掉？

答：可以采用三種方式對域名解析進行包過濾：一是IP地址過濾，只要為域名解析服務器創建合適的IP安全策略，讓域名解析服務器只允許合法計算機訪問即可；二是端口過濾，只要打開TCP/IP協議的高級屬性對話框，將訪問域名解析服務器必須使用的53端口開放，同時關閉其他通信端口即可；三是流量過濾，采用這種方式過濾時，可以結合交換機的流量控制功能，來對連接域名解析服務器的交換端口進行流量控制。

有時，IE瀏覽器無法顯示某個網站頁面，而QQ、MSN等工具卻能正常使用，這種現象基本上是由于DNS解析不正確引起的，要是在嘗試更換新的DNS服務器地址后，上述現象仍然沒有消失時，很可能是DNS緩存中的內容出錯。請問如何刷新DNS緩存中的內容？

答：可以有兩種方法刷新本地DNS緩存：一是命令刷新法。依次單擊“開始”、“所有程序”、“附件”、“運行”命令，彈出系統運行對話框，在其中輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口，在該窗口的命令提示符下，輸入字符串命令“ipconfig/flushdns”，單擊回車鍵后，本地DNS緩存中過時的內容就會被自動清空。二是修復連接法。關閉所有已經打開的瀏覽器，之后逐一點選“開始”、“控制面板”選項，切換到系統控制面板窗口，雙擊“網絡和共享中心”、“更改適配器設置”圖標，展開網絡連接列表窗口，右擊目標網絡連接圖標，選擇右鍵菜單中的“診斷”命令，這樣Windows系統就能自動刷新本地DNS緩存內容。