邪恶八进制信息安全团队技术讨论组's Archiver

金州 2006-2-4 10:07

[转载]建立内部的DNS服务器

<P>信息来源:<A href="http://www.isacn.org/info/info.php?sessid=&infoid=78">[url]http://www.isacn.org/info/info.php?sessid=&infoid=78[/url]</A></P>
<P align=center><B><FONT face=Verdana color=#006699 size=5>建立内部的DNS服务器</FONT></B> <BR>
<P align=left><FONT face=Verdana><BR>DNS服务是一个很重要的基础服务,很多应用是基于DNS服务的,例如最常用的HTTP浏览。很多朋友在论坛里面说不能上网,其实只是不能解析FQDN名字,就是访问DNS服务有问题,如果只是使用IP访问,如QQ就是使用IP进行访问,还是可以的。所以在不能浏览Web页面的时候,你得先区分,是连接有问题还是DNS有问题,通过这篇文章中,你可以学习到如何建立内部的DNS服务器。</FONT> <BR>
<P align=left><FONT face=Verdana><BR>很多使用NAT软件的情况,往往是网关的外部网卡上获得了ISP的DNS服务器地址,并且可以进行解析,但是内部的客户想要解析DNS名字的话,方法只有两种:1、在内部客户机上设置DNS地址为外部ISP的dns服务器;2、在内部建立一个DNS服务器,内部客户使用这个内部的DNS服务器,然后内部的DNS服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,必须采用第二种方式进行DNS的转发。</FONT> <BR>
<P align=left><FONT face=Verdana>KWF自带有个DNS转发器,而且效率比Windows的DNS服务器要高,只是功能太过于单一,只能进行DNS的转发。ISA不带有DNS转发器,不过,利用Windows服务器版本中的全功能DNS服务器,可以很完美的实现内部的DNS服务器。</FONT> <BR><FONT face=Verdana>
<P align=left><BR>需要注意的是,Web代理客户浏览Web是不需要配置DNS服务器的。因为Web代理客户在浏览Web 时是通过ISA 的Web 代理服务中转,不会直接访问DNS 服务的,只要ISA 服务器可以解析DNS 名字就行了。但是Web 代理客户其他的访问(非Web 浏览的访问)如果是需要DNS解析的,不配置DNS服务器时就会导致失败。
<P align=left><BR>而防火墙客户虽然默认也会配置为Web代理客户,但是防火墙客户端(FWC)会直接把所有非本地的TCP/UDP 数据发往ISA Server,所以,不管你是否在本地配置了默认网关和DNS 服务器,FWC 总是会把数据发送给它所连接的ISA Server,所以,只要ISAServer 能够正确的解析DNS,那么防火墙客户就可以正常的解析DNS。</FONT><FONT face=宋体> <BR></FONT>
<P align=left><FONT face=Verdana><BR>下面,我以实例给大家来讲解,由于结构很简单,我没有就网络结构画图,客户机IP为192.168.0.41,网关(ISA Server 2004英文版)的IP为192.168.0.1。此次试验的步骤如下:</FONT> <BR>
<P align=left><FONT face=Verdana><BR>1、客户机上没有设置DNS服务器,但是通过设置为Web代理客户,可以上网;</FONT> <BR>
<P align=left><FONT face=Verdana>2、在ISA Server上建立一个内部的DNS服务器并进行配置;</FONT>
<P align=left><FONT face=Verdana>3、客户机设置DNS服务器地址为新建的内部DNS服务器,此时,可以正常上网;</FONT> <BR>
<P align=left><FONT face=Verdana>现在进入试验:</FONT> <BR>
<P align=left>  <BR>
<P align=left><FONT face=Verdana color=#ff0000 size=4><BR>1、客户不能解析DNS,但是通过Web代理,可以浏览网页</FONT> <BR>
<P align=left><FONT face=Verdana></FONT><BR>
<P align=left><FONT face=Verdana>如图,客户机上没有设置DNS服务器,</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=450 src="http://www.isacn.org/pic/createdns/Snap1.jpg" width=404 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>此时,使用ipconfig/all,没有显示出DNS服务器,ping <A href="http://www.isaservercn.org/">www.isaservercn.org</A>显示无法解析;</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=415 src="http://www.isacn.org/pic/createdns/Snap2.jpg" width=642 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>Web浏览自然是不行的了</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=372 src="http://www.isacn.org/pic/createdns/Snap3.jpg" width=401 border=0></FONT> <BR>
<P align=left><FONT face=Verdana><BR>但是可以ping通我的DNS服务器,这表明,网络连接是通的,只是DNS不能解析;</FONT> <BR><FONT face=Verdana>
<P align=center><BR></FONT><IMG alt="" src="http://www.isacn.org/pic/createdns/snap4.jpg"><FONT face=宋体> <BR></FONT>
<P align=left><FONT face=Verdana><BR>但是通过我在连接里面设置代理服务器,如下图,又可以正常访问了;</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=476 src="http://www.isacn.org/pic/createdns/Snap5.jpg" width=592 border=0></FONT> <BR>
<P align=center>  <BR>
<P align=left>  <BR>
<P align=left><FONT face=Verdana color=#ff0000 size=4>2、建立内部的DNS服务器</FONT> <BR>
<P align=left><FONT face=Verdana>在ISA Server上打开<B>控制面板</B>下的<B>添加/删除程序</B>,点击<B>添加/删除Windows组件</B>,在Windows组件向导中双击<B>网络服务</B>,勾选<B>域名系统(DNS)</B>,点击<B>确定</B>,再点击“<B>下一步</B>”,安装过程中可能需要你插入Windows的安装光盘。</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=409 src="http://www.isacn.org/pic/createdns/Snap6.jpg" width=583 border=0></FONT> <BR>
<P align=left><FONT face=Verdana><BR>安装好后,在管理工具中可以看见“DNS”管理控制台,点击后弹出界面如下,右击服务器,选择属性;</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=432 src="http://www.isacn.org/pic/createdns/Snap7.jpg" width=537 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>DNS服务器的设置很简单,主要的几个地方:</FONT> <BR>
<P align=left><FONT face=Verdana><BR>(1)接口:由于只是给内部使用,可以只绑定在内部接口上;</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=415 src="http://www.isacn.org/pic/createdns/Snap8.jpg" width=401 border=0></FONT> <BR>
<P align=left><FONT face=Verdana><BR>(2)转发器:这个地方的设置比较重要,先选择上面的“所有其他DNS域”,然后在下面的转发器IP地址列表中,添加你从ISP获得的DNS服务器的IP。</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=416 src="http://www.isacn.org/pic/createdns/Snap9.jpg" width=401 border=0></FONT> <BR>
<P align=left><FONT face=Verdana><BR>内部的DNS服务器就设置完了,当然,你自己也可以建立名字解析和DNS名字域来使用。另外还需要说明的一点,DNS可以独立使用的,不是一定要和活动目录结合的。</FONT> <BR>
<P align=center>  <BR>
<P align=left><FONT face=Verdana color=#ff0000 size=4><BR>3、配置内部客户使用内部的DNS服务器</FONT> <BR>
<P align=left><FONT face=Verdana><BR>如下图,对客户进行配置,设置DNS服务器地址为新建的内部DNS服务器地址;</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=450 src="http://www.isacn.org/pic/createdns/snap010.jpg" width=404 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>此时,通过ping <BR><A href="http://www.isaservercn.org/">www.isaservercn.org</A>,已经可以解析出名字了。</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=207 src="http://www.isacn.org/pic/createdns/snap011.jpg" width=531 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>进行浏览,成功。</FONT> <BR>
<P align=center><FONT face=Verdana><BR><IMG height=364 src="http://www.isacn.org/pic/createdns/snap012.jpg" width=567 border=0></FONT> <BR>
<P align=left><FONT face=Verdana>至此,内部DNS服务器的应用就已经成功完成了。</FONT> <BR></P>

页: [1]
© 1999-2008 EvilOctal Security Team