BIND8+ 域名服务器安全增强

为什么要写这篇文章？第一个原因当然就是前段时间出现的BIND 8.2.x TSIG安全漏洞（还有去年公布的BIND 8.1.x/8.2.x NXT安全漏洞），直到目前为止，国内也还没有关于DNS服务安全配置方面的较为完整的文章（即使是国外也不多见）。另一个原因是经过调查发现，几乎任何一种UNIX家族的操作系统，都使用BIND软件作为其DNS的唯一实现，比起其它诸如ftp/http/pop3等网络服务有各种各样的发行版本，所以一旦被发现有安全问题，则受影响的主机之多也是其它漏洞很难比拟的。所以觉得应该写一份针对BIND DNS服务软件的安全配置资料，充分利用BIND自身已经实现的保护功能，加强BIND安全性，从而能抵御目前已知的BIND安全漏洞，并使潜在的安全漏洞所可能对服务器造成的影响尽可能地减少。

配置环境：

FreeBSD 4.1-RELEASE

BIND 8.2.3

---[[ 启动安全选项]]---------------------------------------------------

named进程启动选项：

-r：关闭域名服务器的递归查询功能（缺省为打开）。该选项可在配置文件的options中使用"recursion"选项覆盖。

-u 和-g ：定义域名服务器运行时所使用的UID和GID。这用于丢弃启动时所需要的root特权。

-t ：指定当服务器进程处理完命令行参数后所要chroot()的目录。

---[[ 配置文件中的安全选项]]-------------------------------------------

1、假如希望记录安全事件到文件中，但同时还希望保持原有的日志模式，可以添加以下内容：

logging {

channel my_security_channel {

file "my_security_file.log" versions 3 size 20m;

severity info;

};

category security {

my_security_channel;

default_syslog; default_debug; };

}

其中my_security_channel是用户自定义的channel名字，my_security_file.log 是安全事件日志文件，可包含全路径（否则是以named进程工作目录为当前目录）。安全事件日志文件名为my_security_file.log，保存三个最近的备份（my_security_file.log0、my_security_file.log1、my_security_file.log2），日志文件的最大容量为20MB（如果达到或超这一数值，直到该文件被再次打开前，将不再记录任何日志消息。缺省（省略）时是没有大小限制。）

2、在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。

version "Who knows?";

// version 9.9.9;

此时如果通过DNS服务查询BIND版本号时，返回的信息就是"Who knows?"。^_^

3、要禁止DNS域名递归查询，在options（或特定的zone区域）节中增加：

recursion no;

fetch-glue no;

4、要增加出站查询请求的ID值的随机性，在options节中增加：

use-id-pool yes;

则服务器将跟踪其出站查询ID值以避免出现重复，并增加随机性。注意这将会使服务器多占用超过128KB 内存。（缺省值为no）

5、要限制对DNS服务器进行域名查询的主机，在options（或特定的zone区域）节中增加：

allow-query { };

address_match_list是允许进行域名查询的主机IP列表，如"1.2.3.4; 5.6.7/24;"。

6、要限制对DNS服务器进行域名递归查询的主机，在options（或特定的zone区域）节中增加：

allow-recursion { };

address_match_list是允许进行域名递归查询的主机IP列表，如"1.2.3.4; 5.6.7/24;"。

7、要指定允许哪些主机向本DNS服务器提交动态DNS更新，在options（或特定的zone区域）节中增加：allow-update { };

address_match_list是允许向本DNS服务器提交动态DNS更新的主机IP列表，如

"1.2.3.4; 5.6.7/24;"。

缺省时为拒绝所有主机的提交。

8、要限制对DNS服务器进行区域记录传输的主机，在options（或特定的zone区域）节中增加：

allow-transfer { };

address_match_list是允许进行区域记录传输的主机IP列表，如"1.2.3.4;

5.6.7/24;"。

9、要指定不接受哪些服务器的区域记录传输请求，在options（或特定的zone区域）节中增加：blackhole { };

address_match_list是不接受区域记录传输请求的主机IP列表，如"1.2.3.4;

5.6.7/24;"。

10、在options节中还有一些资源限制选项，不同用户可根据实际情况灵活设置，但一定要注意不当的设置会损失DNS服务的性能。

coresize ; // core dump的最大值。缺省为default。

datasize ; // 服务器所使用的最大数据段内存。缺省为default。

files ; // 服务器能同时打开的最大文件数。缺省为

// unlimited（不限制）。

// （注意，并非所有操作系统都支持这一选项。）

max-ixfr-log-size ; // （目前版本暂不使用。）限制增量区域记录传输时会话日志的大小。stacksize ; // 服务器所使用的最大堆栈段内存。缺省为default。

11、定义ACL地址名（即用于上面的）。注意，如果要使用这里定义的列表名，必须先定义，后使用！

例如：

acl intranet {

192.168/16;

};

acl partner {

!172.16.0.1;

172.16/12; // 除172.168.0.1外172.16.0.0/12网络中其它主机

};

BIND已内置以下四个ACL：

all // 允许所有主机

none // 禁止所有主机

localhost // 本机的所有网络接口

localnets // 本机所在网络

12、BIND域名服务器的一个有用功能（慎用！！！）：

控制管理接口controls节语法格式：

controls {

[ inet ip_addr

port ip_port

allow { ; }; ]

[ unix path_name

perm number

owner number

group number; ]

};

controls节提供管理接口。如果使用第一种(inet)，则在指定IP（接口）和端口上监听，但只允许在allow中限定允许与其连接的IP地址列表。如果使用第二种(unix)，则产生一个FIFO的控制管道，权限、属主和用户组都由其参数限定。

---[[ 通过TSIG对区域记录传输进行认证和校验]]---------------------------

首先请确保你的BIND域名服务器软件已更新到最新版本！

在BIND 8.2+中，能够使用事务签名（Transaction Signatures，即TSIG！）来对区域记录数据进行验证和校验。它要求在主域名服务器和辅助域名服务器上配置好加密密钥，并通知服务器使用该密钥与其它域名服务器通讯。（注意，TSIG的使用要求域名服务器必须进行时钟同步！）

A、如果需要用TSIG签名来进行安全的DNS数据库手工更新，具体操作步骤很简单：

1、使用BIND自带的dnskeygen工具生成TSIG密钥。

# dnskeygen -H 128 -h -n tsig-key.

则会生成两个文件。'Ktsig-key.+157+00000.key'内容如下：

tsig-key. IN KEY 513 3 157 awwLOtRfpGE+rRKF2+DEiw==

'Kvip-key.+157+00000.private'内容如下：

Private-key-format: v1.2 Algorithm: 157 (HMAC) Key:awwLOtRfpGE+rRKF2+DEiw==

注意这些密钥都已经过BASE64编码了。将它们放到本地域名服务器的配置文件中。例如：

key tsig-key. { algorithm hmac-md5; secret "awwLOtRfpGE+rRKF2+DEiw=="; };

zone "https://www.wendangku.net/doc/4212802947.html," {

...

...

allow-update { key tsig-key. ; };

}

记住要重启named守护进程。

然后将这两个密钥文件复制到客户端系统（或辅助域名服务器），例如为/var

/named/tsig目录。最后运行如下命令即可：

nsupdate -k /var/named/tsig:tsig-key.

B、如果需要对区域记录传输（自动或手工）进行TSIG签名，则：

1、用dnskeygen生成TSIG密钥，方法同上。

2、主域名服务器配置文件的内容（节选）如下：

// 定义认证的方法和共享密钥

key master-slave {

algorithm hmac-md5;

secret "mZiMNOUYQPMNwsDzrX2ENw==";

};

// 定义辅助域名服务器的一些特性

server 192.168.8.18 {

transfer-format many-answers;

keys { master-slave; };

};

// 区域记录定义

zone "https://www.wendangku.net/doc/4212802947.html," {

type master;

file https://www.wendangku.net/doc/4212802947.html,;

allow-transfer { 192.168.8.18; };

};

3、辅助域名服务器配置文件的内容（节选）如下：

// 定义认证的方法和共享密钥

key master-slave {

algorithm hmac-md5;

secret "mZiMNOUYQPMNwsDzrX2ENw==";

};

// 定义与主域名服务器通讯时的一些特性

server 192.168.8.19 {

transfer-format many-answers;

keys { master-slave; };

};

// 区域记录定义

zone "https://www.wendangku.net/doc/4212802947.html," {

type slave;

file "https://www.wendangku.net/doc/4212802947.html,";

masters { 192.168.8.19; };

allow-transfer { none; };

};

---[[ 实施DNSSec功能]]-------------------------------------------------

说实在的，我一直在考虑需不需要在目前的版本中实施DNSSec功能。因为虽然ISC早已在BIND 8.1.x版本后增加了DNSSec的实现，但实际的应用却不常见，而且去年公布的NXT远程安全漏洞和DNSSec有关（实际上NXT就属于DNSSec实现的功能之一）。

最后我决定在本文不讨论如何实施DNSSec安全功能。

但不可否认，DNSSec确实是一项很好的安全技术，它通过加密DNS数据来提高了DNS服务的安全性。主加密密钥用于对第一级域名的加密密钥进行加密签字，第一级域名(.com, .cn等)密钥用于对自身数据及其子域名密钥进行加密签名，以此类推。例如，https://www.wendangku.net/doc/4212802947.html,的域名服务器由.com域密钥签名，https://www.wendangku.net/doc/4212802947.html, 域密钥则用于对https://www.wendangku.net/doc/4212802947.html,域名进行加密签名。

---[[ 实现BIND的chroot ]]---------------

（以FreeBSD系统平台为例）

步骤一：BIND-8的最新源代码版本获取和安装

请到ISC FTP站点下载BIND的最新版本。

BIND 8：https://www.wendangku.net/doc/4212802947.html,/products/BIND/bind8.html

BIND 9：https://www.wendangku.net/doc/4212802947.html,/products/BIND/bind9.html

步骤二：构造静态(static)的named和named-xfer二进制文件

在编译和安装后，你需要构造可执行文件的静态链接版本。只要对%BIND%/src/port/freebsd目录下的Makefile.set文件稍加修改后即可。

修改文件内容：

'CDEBUG= -O2 -g'

替换为：

'CDEBUG= -O2 -static'

切换到BIND的源代码路径，执行"make clean"和"make"命令。在下面的步骤中将会把这些文件复制到chroot()目录下。

# cd /tmp/bind/src

# make clean ; make

本步骤构造的静态链接执行文件在运行时无需装载动态链接库。在chroot()环境中，这种“独立”可执行文件可避免出现缺少链接库文件问题。它在chroot()环境中无需任何静态链接库，可使服务配置简单化。其它所有的网络守护进程也可以编译和使用这种静态链接版本。

步骤三：构造BIND目录

为chroot()环境构造BIND目录。这个目录将在chroot()环境中被BIND当作系统根目录。在这里我使用/chroot/bind作为chroot后的根目录。

# cd /chroot/bind

# mkdir /chroot

# mkdir /chroot/dev

# mkdir /chroot/etc

# mkdir /chroot/etc/namedb

# mkdir /chroot/usr

# mkdir /chroot/usr/sbin

# mkdir /chroot/var

# mkdir /chroot/var/run

需要复制以下文件到其下的相应子目录中，和进行一些必要的处理：

# cp /etc/namedb/named.conf /chroot/bind/etc/

# cp /etc/localtime /chroot/bind/etc/

# grep bind /etc/group > /chroot/bind/etc/group

# cp -R /etc/namedb/ /chroot/bind/etc/namedb/

# mknod /chroot/bind/dev/null c 2 2

# chmod 666 /chroot/bin/dev/null

# cp /tmp/bind/src/bin/named/named /chroot/bind/usr/sbin/

# cp /tmp/bind/src/bin/named-xfer/named-xfer /chroot/bind/

另外还可根据需要指定日志记录目录（如/var/log），请参考下面的章节或named.conf的手册页。

步骤四：添加bind用户和组（如果没有的话。如果已经有bind或named之类的用户和组，请跳过本步骤。）在/etc/passwd和/etc/group文件中添加bind用户和组。它们是DNS服务器运行时的UID/GID。

此时，你可以到chroot环境中执行"chown -R bind.bind /chroot/bind/etc/

namedb"命令。这样当你向系统发送中断信号(kill -INT )时，named进程能够保存服务器缓存和统计信息。如果该目录为root所有则named进程无法将输出写到目录中，但不会影响named服务器功能。另一个选择是仅改变目录权限（使named用户具有写权限），而属主仍然是root。这种方法也是可行的，但必须小心设置，确保其它用户不会修改named记录！

*** 重要警告***

不要用一个已存在的UID/GID（如"nobody"）运行named。记住，以chroot环境中使用任何已存在的UID/GID 都可能会影响到服务的安全性。必须养成在chroot环境中为每一个守护进程提供独立的UID/GID的习惯。步骤五：其它必要调整

如果在named.conf中还指定了另外的目录和文件，也要相应地在chroot()环境中（在本例中即/chroot/bind/目录）进行设置。

步骤六：调试

1、终止系统中原有的syslogd和named守护进程。

# killall syslogd named

2、用适当的参数重新启动syslogd守护进程。

# syslogd -s -p /chroot/bind/var/run/log

3、用适当参数重新启动named守护进程。

# /chroot/bind/named -u bind -g bind -t /chroot/bind

4、检查syslogd/named守护进程、监听端口是否正常，和/var/log/messages文件中named进程启动时是否正常。

# ps auwx|grep syslogd

root 5896 0.0 1.7 896 508 ?? Ss 9:44PM 0:00.10 syslogd -s -p

/chroot/bind/var/run/log

# ps auwx|grep named

bind 5941 0.0 4.9 1652 1444 ?? Is 9:52PM 0:00.01

/chroot/bind/usr/sbin/named -u bind -g bind -t /chroot/bind

# netstat -an|grep 53

tcp4 0 0 127.0.0.1.53 *.* LISTEN

tcp4 0 0 192.168.8.19.53 *.* LISTEN

udp4 0 0 127.0.0.1.53 *.*

udp4 0 0 192.168.8.19.53 *.*

步骤七：修改系统启动脚本

对于FreeBSD系统，在/etc/rc.conf文件中增加如下内容即可：

syslogd_enable="YES"

# 如果希望禁止向外发送日志，将-s换成-ss。

syslogd_flags="-s -p /chroot/bind/var/run/log"

named_enable="YES"

named_program="/chroot/bind/usr/sbin/named"

named_flags="-u bind -g bind -t /chroot/bind"

注：如果在其它系统平台，如OpenBSD、Linux、Solaris，则可能会稍有不同。主要是不同平台上的syslog 实现不尽相同。例如对于OpenBSD和Linux系统，打开日志别名socket的命令是"syslogd -a /chroot/bind/var/run/log"，而Solaris的syslogd守护进程则不支持别名。因此Solaris系统平台上的chroot需要通过另外的方法实现，关于具体的实现过程我会在另外的文章中说明。

---[[ 结束语]]---------------------------------------------------------

安全增强配置的文章写完了，但并不是说只要你按本文提到的方法和技术实施就能万无一失，高枕无忧了。其实以上设置对NXT和TSIG远程漏洞攻击并不没太多的防御作用，充其量只不过是要编写更多的shellcode代码来突破chroot环境的限制。即使用allow-query等极其严格地限制查询客户端（实际上在互联网上并不现实），基于UDP协议的TSIG攻击技术也只需构造伪造IP地址的数据包即可绕过其限制。

所以，在对BIND（还有其它应用服务）进行安全增强配置的基础上，安全管理员仍然需要密切关注最新的安全公告、安全补丁和安全技术，经常与专业的计算机安全专家交流知识和经验，再辅以必要的安全产

品和安全服务，才能更充分地保护好自己的网络和计算机用户，抵御各种恶意攻击。文章整理于我的电脑https://www.wendangku.net/doc/4212802947.html,

实验6 WEB与DNS服务器配置

洛阳理工学院实验报告 院别班级学号姓名 课程名称计算机网络实验日期2016.5.31实验名称实验六 WEB与DNS服务器配置成绩 实验目的： 1.理解IIS服务的概念及其所具有的功能，掌握IIS服务的安装方法。 2.学习WEB服务的基本配置方法：包括IP地址、端口号、默认文档等设定。 3.理解DNS服务器的作用。虚拟目录服务的作用。通过虚拟目录的创建，了解除了主目录外，还可以使用其他目录存放WEB页文件。 实验条件： 计算机、网络、Packet Tracer 实验内容： 一．ISS的安装： 1.ISS的概念以及功能： IIS(Internet Information Server，互联网信息服务)意味着你能发布网页，并且有AS、JAVA、VBscript产生页面，有着一些扩展功能。IIS支持一些有趣的东西，像有编辑环境的界面、有全文检索功能的、有多媒体功能的其次,IIS是随Windows NT Server 4.0一起提供的文件和应用程序服务器，是在windows NT Server上建立 Internet服务器的基本组件。它与Windows NT Server完全集成，允许使用Windows NT Server内置的安全性以及NTFS文件系统建 立强大灵活的Internet/Intranet站点。IIS是 一种Web(网页)服务组件，其中包括Web服 务器、FTP服务器、NNTP服务器和SMTP 服务器，分别用于网页浏览、文件传输、新 闻服务和邮件发送等方面，它使得在网络(包 括互联网和局域网)上发布信息成了一件很 容易的事。 2.ISS的安装步骤： 控制面板->程序->程序和功能—> 启动或关闭windows功能—>internet

使用国外DyDNS动态域名解析随时访问家中电脑

使用国外DynDNS免费动态域名解析随时访问家中电脑 最近买了一个路由猫，所以找到了这个，可以参考下。很好 你大概有一个家庭网络，它有固定的宽带连接，可以让你七天24小时任意访问外部的网络世界，但是，如果要想从公共互联网上访问家里的网络，你又该怎么做呢？如果你想为你的宽带帐号多付2到4倍钱的话，那么你就可以拿到一个固定IP地址（一个永远不会再改变的IP地址），要做到这一点就有可能了，但是这个方法不适合所有人。幸好，我们有一个免费而且简单的方案，可以通过使用网站的DDNS（动态域名解析）服务，来解决这个问题。本文将演示如何创立一个免费帐号，配置你的路由器以便向DDNS服务器更新你的动态IP地址，并打开从互联网访问家庭网络时所必需的网络端口。 你可以使用动态DNS所做的事情： 1、在互联网的任何地方使用远程桌面或者VNC连接你自己私人的电脑。一般情况下，这不会消耗多少带宽，但是如果你启用了远程桌面动画，并且通过远程连接播放声音或者视频文件的话，那可就难说了。 2、在你的私人电脑上架设一个个人网站。这会受到带宽的限制，因为绝大多数的宽带服务商都不提供很高的上传能力。绝大多数的宽带连接上限速度在128 到384kbps之间，虽然偶尔有少数幸运儿能获得高达1mbps的上传能力。 3、架设你自己的FTP服务器。如果你的FTP站点需要一个用户名和密码，那么这么做可能是一件危险的事情，因为这些用户名和密码是以明文直接发送的。任何人都可以嗅探到它们，然后闯入你的FTP服务器。如果你的用户名和密码还被用在别的地方的话，那么攻击者一样也可以闯入那个地方。 4、架设你自己的游戏服务器。这同样也会受限于带宽，一般每个外部连接大概需要40kbps左右。如果你的上传能力只有384kbps的话，那么最高的玩家数目就是8个人，不要试图放入更多人。 5、提供你自己的视频服务，比如Slingbox。要注意，它可能会用尽你的上传带宽，因为视频是极其消耗带宽的。 总之，一旦拥有了动态域名解析，你能做的事情几乎无穷无尽，但是你要注意，责任和能力总是相伴一起的。因为你现在把自己完全向公共互联网开放了，所以你现在必须做一些事情来保护资源，以免遭到黑客的毒手。 建立你自己的帐号 一开始，你必须建立你自己的DynDNS帐户，只要进入DynDNS网站页面（），然后点击“Create Account（建立帐号）”（）。然后，你需要填写一些个人信息，并提供一个有效的Email地址用以确认，并选择用户名和密码。在“你如何知道我们（How Did You Hear About Us）”那一栏，记得选择“Other（从别处听说）”，然后将本文的网址贴上去。对所有的条件都表示同意，然后点击“Creat Account （建立帐号）”。一旦你获得了确认的电子邮件，你需要在48小时内，点击信件

DNS记录类型介绍(A记录、MX记录、NS记录等)

DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR值 建站名词解释：DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR 值泛域名泛解析域名绑定域名转向 1. DNS DNS：Domain Name System 域名管理系统域名是由圆点分开一串单词或缩写组 成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名 的系统叫做域名管理系统。 DNS：Domain Name Server 域名服务器域名虽然便于人们记忆，但网络中的计 算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析 需要由专门的域名解析服务器来完成，DNS 就是进行域名解析的服务器。 查看DNS更详细的解释 2. A记录 A （Address）记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置域名的子域名。通俗来说A记录就是服务器的IP,域名绑定A记录就是告诉DNS,当你输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。 简单的说，A记录是指定域名对应的IP地址。 3. NS记录 NS（Name Server）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。 您注册域名时，总有默认的DNS服务器，每个注册的域名都是由一个DNS域名服务器来进行解析的，DNS服务器NS记录地址一般以以下的形式出现： https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,等。 简单的说，NS记录是指定由哪个DNS服务器解析你的域名。 4. MX记录 MX（Mail Exchanger）记录是邮件交换记录，它指向一个邮件服务器，用于电子 邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如，当Internet 上的某用户要发一封信给 user@https://www.wendangku.net/doc/4212802947.html, 时，该用户的邮件系统通过DNS 查找https://www.wendangku.net/doc/4212802947.html,这个域名的MX记录，如果MX记录存在，用户计算机就将邮件发送到MX记录所指定的邮件服务器上。 5. CNAME记录 CNAME（Canonical Name ）别名记录，允许您将多个名字映射到同一台计算机。 通常用于同时提供WWW和MAIL服务的计算机。例如，有一台计算机名为“https://www.wendangku.net/doc/4212802947.html,”（A记录），它同时提供WWW和MAIL服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL，这两个别名的全称就“https://www.wendangku.net/doc/4212802947.html,”和“https://www.wendangku.net/doc/4212802947.html,”，实际上他们都指向“https://www.wendangku.net/doc/4212802947.html,”。 6. TXT记录

域名和IP地址及域名解析

域名和IP地址及域名解析 什么是IP地址？ IP地址：如“202.101.139.188”的形式。它是为每个连接在Internet 上的主机分配的一个在全世界范围内唯一的32位地址。IP地址通常以圆点（半角句号）分隔的4个十进制数字表示。 我们知道，因特网是全世界范围内的计算机联为一体而构成的通信网络的总称，联在某个网络上的两台计算机之间在相互通信时，它们所传送的数据包里都会包含某些附加信息，这些附加信息就是发送数据的计算机的地址和接受数据的计算机地址。为了方便通信，必须给每台计算机都分配一个IP地址作为网络标识。 什么是域名？ 域名：如“https://www.wendangku.net/doc/4212802947.html,”的形式。它同IP地址一样，都是用来表示一个单位、机构或个人在网上的一个确定的名称或位置。所不同的是，它比IP 地址较有亲和力，容易被人们记记和乐于使用。 由于国际域名资源有限，各个国家，地区在域名最后都加上了国家的标识段，由此形成了各个国家，地区自己的国内域名。国别的最高层域名：.cn-中国；.au-澳大利亚；.jp-日本等。 另外，不同的组织、机构，都有不同的域名标识，如：.com-商业公司；.org-组织、协会等；.net-网络服务；.edu-教育机构；.gov-政府部门；.mil-军事领域；.arts-艺术机构；.firm-商业公司；.info-提供信息的机构等。 什么是DNS？ 域名系统即DNS（Domain Name System）。计算机在网络上进行通讯时只能识别如“202.101.139.188”之类的IP地址，而不能识别如 “https://www.wendangku.net/doc/4212802947.html,”之类的域名，因此，想要让好记的域名能被网络所认识，则需要在域名和网络之间有一个“翻译”，它能将域名翻译成网络能够识别的IP地址，DNS起的正是这种作用。 域名的解析

动态域名解析联网方案TP-Link

动态拨号联网解决方案 ——ADSL 、小区宽带王等 一、大华硬盘录像机设置： 进入大华硬盘录像机的主菜单，在系统设置菜单下的网络设置中进行如下配置，保存后，重启DVR。 IP 地址：192.168.1.108 子网掩码：255.255.255.0 默认网关：192.168.1.1 要保证TCP端口37777和HTTP端口81这两个端口在公网和局域网未被占用！（大部分地区公网上的80端口已经被占用，请选用81、82等）

二、TP-Link路由器设置： （如果现场使用的是网通线路，则TP-Link的路由器一定要是网通专用版本，且自带动态域名解析功能） 1、配置路由器的局域网端（LAN口设置）： 在路由器网络参数――LAN口设置页面中，将路由器的局域网IP地址设置为192.168.1.1 ，子网掩码设置为255.255.255.0，将路由器的LAN地址作为硬盘录像机的网关，也就是说整个局域网的网关就是路由器的LAN地址，再点击保存按钮，然后进入WAN页面。

2、配置路由器的广域网端（WAN口设置）： 在路由器网络参数――WAN口设置页面中，将路由器的WAN端口连接类型选择为PPPoE，再输入上网和上网口令，如果是网通用户，请将拨号模式选择为：特殊拨号模式，然后将连接模式选择为：自动连接，在开机和断线后自动连接，以保证在断线的情况下能够自动拨号上网，然后点击保存按钮，然后进入转发规则页面。

3、配置路由器的虚拟服务器： 在路由器的转发规则――虚拟服务器界面中，点击添加新条目按钮进入添加虚拟服务器页面，在服务端口号输入：37777，对应的IP地址为192.168.1.108，协议选择：ALL，状态选择：生效，点击保存按钮。

域名解析的常用类型

在域名注册商那里注册了域名之后如何才能看到自己的网站内容，用一个专业术语就叫“域名解析”。域名解析是把域名指向网站空间IP，让人们通过注册的域名可以方便地访问到网站的一种服务。下面来看看域名解析的常用类型。 域名解析的常用类型包括A记录解析、CNAME记录解析、MX记录解析。 1、A记录解析 记录类型选择“A”;记录值填写空间商提供的主机IP地址;MX优先级不需要设置;TTL 设置默认的3600即可。 2、CNAME记录解析 CNAME类型解析设置的方法和A记录类型基本是一样的，其中将记录类型修改为“CNAME”，并且记录值填写服务器主机地址即可。 3、MX记录解析 MX记录解析是做邮箱解析使用的。记录类型选择MX，线路类型选择通用或者同时添加三条线路类型为电信、网通、教育网的记录;记录值填写邮局商提供的服务器IP地址或别

名地址;TTL设置默认的3600即可，MX优先级填写邮局提供商要求的数据，或是默认10，有多条MX记录的时候，优先级要设置不一样的数据。 域名是为了方便记忆而专门建立的一套地址转换系统，要访问一台互联网上的服务器，最终还必须通过IP地址来实现，域名解析就是将域名重新转换为IP地址的过程。 一个域名对应一个IP地址，一个IP地址可以对应多个域名;所以多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS)来完成。 汇桔网域名平台汇集着全国各地资源商家,拥有大量免费二级域名信息,提供线上线下全方位、分层次、一站式的创新创业服务.查看、发布免费二级域名相关信息,都可以上汇桔网。域名购买的流程其实并不复杂，选择自己喜欢的，直接购买就可以，或者可以上汇桔网直接按条件筛选自己心仪的域名进行交易。

各地DNS服务器地址

已经收集到的DNS服务器地址 广东： 广东省广州市（中国电信） 首选DNS：61.144.56.100 备份DNS：61.144.56.101 广东省广州市越秀区（中国电信） 首选DNS：202.96.128.86 备份DNS：202.96.128.166 广东省广州市（中国电信） 首选DNS：202.96.128.86 备份DNS：202.96.128.166 广东省广州市（中国铁通) 首选DNS：61.235.70.98 备份DNS：211.98.4.1 广东省汕尾市（中国电信） 首选DNS：202.96.128.166 备份DNS：202.96.128.86 广东省汕头市（中国电信） 首选DNS：202.96.144.47（已封[url=https://www.wendangku.net/doc/4212802947.html,/]https://www.wendangku.net/doc/4212802947.html,[/url]）备份DNS：202.96.128.166 广东省河源市（中国电信） 首选DNS：202.96.128.166 备份DNS：202.96.128.86 广东省河源市（中国网通） 首选DNS：210.21.196.5 备份DNS：221.5.88.88 广东省深圳市（中国电信） 首选DNS：202.96.128.166 备份DNS：202.96.134.133 （已封 [url=https://www.wendangku.net/doc/4212802947.html,/]https://www.wendangku.net/doc/4212802947.html,[/url]） 广东省阳江市（中国电信） 首选DNS：202.96.128.86 备选DNS：202.96.128.166 广东省增城市（中国电信） 首选DNS：202.96.128.86 备份DNS：202.96.128.166

DNS服务器类型

DNS服务器类型 在Internet中，每一台DNS服务器都只负责管理有限范围内的计算机域名和IP 地址的对应关系，这些特定的DNS域或IP地址段称为“zone”（区）。根据地址解析的方向不同，DNS区域相应的分为正向区域（包含域名到IP地址的解析记录）和反向区域（包含IP地址到域名的解析记录）。 DNS服务器按照配置和实现功能的不同，包括多种不同的类型。同一台服务器相对于不同的区域来说，也拥有不同的身份。常见的DNS服务器类型如下。1．主域名服务器 主域名服务器（Primary Name Server）是特定的DNS区域的官方服务器，对于某个指定区域，主域名服务器时唯一存在的，其管理的域名解析记录具有权威性。主域名服务器需要在本地设置所管理区域的地址数据库文件。主域名服务器时DNS 的主要成员，对Internet中域名数据的发布和查找起着非常重要的作用。主域名服务器总是地址数据的初始来源，主域名服务器对域中的域名有最高权限，并因为他们是区域间传送区域数据文件的唯一来源，就具有向任何一个需要其数据的服务器发布区域信息的功能。 2．从域名服务器 从域名服务器（Secondary Name Server）也称辅助域名服务器，其主要功能是提供主域名服务器的备份，通常与主域名服务器同时提供服务，对于客户端来说，从域名服务器提供与主域名服务器完全相同的功能。但是从域名服务器提供的地址解析记录并不是由自己决定，而是取决于对应的主域名服务器。当主域名服务器中的地址数据库文件发生变化时，从域名服务器中的地址数据库文件也会发生相应的变化。 3．缓存域名服务器 唯高速缓存服务器（Caching-only Server）可运行域名服务器软件，但是没有域名数据库软件。一旦它从某个远程服务器取得每次域名服务器查询的回答，就会放在高速缓存中，以后查询相同的信息时不再进行查询直接予以回答。所有的域名服务器都按这种方式使用高速缓存中的信息，但唯高速缓存服务器则依赖于这一技术提供所有的域名服务器信息。唯高速缓存服务器不是权威性服务器，因为它提供的所有信息都是间接信息。 5．转发服务器 转发服务器是指当本地DNS服务器无法对DNS客户端的解析请求进行本地解析时，可以允许本地DNS服务器转发DNS客户端发送的查询请求到其他的DNS 服务器。此时本地DNS服务器又称为转发服务。 可能会存在一个或多个转发服务器，他们会按顺序进行请求，直到请求得到回答为止。转发服务器一般用于用户不希望站点内的服务器直接和外部服务器通讯的

DNS服务器原理及搭建详解

DNS 学习一个服务的过程： 1、此服务器的概述：名字，功能，特点，端口号 2、安装 3、配置文件的位置 4、服务启动关闭脚本，查看端口 5、此服务的使用方法 6、修改配置文件，实战举例 7、排错（从下到上，从内到外） 本节所讲内容： ?DNS服务器常见概念 ?DNS服务器安装及相关配置文件 ?实战：为公司内网搭建一个DNS服务器 ?DNS服务端：https://www.wendangku.net/doc/4212802947.html, IP：192.168.1.63 ?DNS客户端：https://www.wendangku.net/doc/4212802947.html, IP：192.168.1.64 DNS服务概述： DNS（Domain Name System）域名服务或者域名服务器，在TCP/IP 网络中有非常重要的地位，能够提供域名与IP地址的解析服务。 https://www.wendangku.net/doc/4212802947.html, DNS:域名解析服务，这是一个基础性的服务，他是互联网的基础。目前来讲DNS的核心包括DNS的标准都是基于一个软件来构建的，这个软件叫BIND. 要讲http服务，这个是重点。apche ，lamp nginx(enginx) ,lnmp(lemp) selinux : security enhanced linux A C2 linux windows https://www.wendangku.net/doc/4212802947.html,(主机名，FQDN full qualified domain name 完全限定域名) DNS 是一个分布式数据库，命名系统采用层次的逻辑结构，如同一棵倒置的树，这个逻辑的树形结构称为域名空间，由于DNS 划分了域名空间，所以各机构可以使用自己的域名空间创建DNS信息。 注：DNS 域名空间中，树的最大深度不得超过127 层，树中每个节点最长可以存储63 个字符。 1）域和域名*https://www.wendangku.net/doc/4212802947.html, DNS 树的每个节点代表一个域，通过这些节点，对整个域名空间进行划分，成为一个层次结构。 域名空间的每个域的名字，通过域名进行表示。

全国各地电信DNS服务器IP地址

全国各地电信DNS服务器IP地址

————————————————————————————————作者：————————————————————————————————日期：

全国各地电信DNS服务器IP地址 电信DNS 列表(按拼音排序, 共32条) 电信A安徽202.102.192.68 202.102.199.68 电信A澳门202.175.3.8 202.175.3.3 电信B北京202.96.199.133 202.96.0.133 202.106.0.20 202.106.148.1 电信C重庆61.128.128.68 61.128.192.68 电信F福建202.101.115.55 218.85.157.99 电信G甘肃202.100.64.68 61.178.0.93 电信G广东202.96.128.86 202.96.128.166 202.96.134.133 202.96.128.68 电信G广西202.103.224.68 202.103.225.68 电信G贵州202.98.192.67 202.98.198.167 电信H海南202.100.192.68 202.100.199.8 电信H河北219.150.32.132 电信H黑龙江219.150.32.132 219.146.0.130 219.147.198.230 电信H河南219.150.150.150 222.88.88.88 222.85.85.85 电信H湖北202.103.0.68 202.103.24.68 202.103.0.117 202.103.44.150 电信H湖南220.170.0.18 202.103.96.68 61.187.91.18 220.170.64.68 电信J江苏61.177.7.1 61.147.37.1 218.2.135.1 221.228.255.1 电信J江西202.101.224.68 202.101.226.69 电信J吉林219.149.194.55 电信L辽宁219.150.32.132 电信N内蒙古219.150.32.132 219.146.0.130

DNS服务器配置与应用

附件九： 农用机械行业重点产品贯彻执行国家、行业标准调查问卷制表机关：工业和信息化部科技司 基本情况 调查问卷填写注意事项 1.本次参与调查的单位，均须认真如实填报本调查问卷。 2.请以单位质量部门负责人为主填写本调查问卷。 3.单位名称应填写该单位的全称。 4.调查问卷中每道选择题都注明了“单选”或者“多

选”，请按照提示将选项前的□改为■。 5.企业在提交纸质调查问卷前，须在首页加盖单位公章。 6.调查问卷的第五部分由企业根据生产的产品类型选填，其余为必填项。

一、单位基本信息 1.单位的基本信息 (1)贵单位的人员规模：<单选） □300人以下□300人-2000人□2000人以上 (2)贵单位的性质：<单选） □国有企业□民营企业□合资企业□其他<请注明） (3)贵单位的销售收入<单选） □500万以下□500万～3000万□3000万～3亿□3亿以上 2.产品的基本信息 (4)贵单位生产的主要产品类型：<多选） □农林拖拉机□切割器□农业灌溉设备 □植物保护机械□土壤耕作机械□播种和种植机械 □保护性耕作机械□植物保护机械□养鸡设备 (5)贵单位生产的产品主要销往：<多选） □国内□国外<请列出） (6)贵单位主导产品的技术水平情况：<单选） □没有比较过□国内较低水平□国内中等水平 □国内先进水平□国际先进水平 (7)贵单位生产的上述产品的依据为：<多选） □国家标准□行业标准□地方标准□企业标准□国外标准 □企业技术协议□其他标准<请注明） (8)贵单位近三年获得质量奖励的情况：<多选） □全国质量奖□地方质量奖□其他<请列出） (9)贵单位持有驰名商标的情况：<单选） □有<请列出名称）□无 (10)贵单位持有名牌产品的情况：<单选） □国家级□省部级□地市级□没有 (11)为证明单位生产的产品符合相应的标准，通常由何部门实施质量检测:(多 选> □本单位的质检部门<选本项时，请列出相应资质） □国家级质检机构□省级质检机构□地市级质检机构 (12)贵单位出口的产品除从国家、省及地市级质检机构取得合格证明外，是否 还需要获得其他检测证明：<单选） □是□否 若是请具体列出该检测渠道及相应的机构名称： (13)现有的国家标准、行业标准是否能满足贵单位控制产品质量的要求？<单 选） □是□否

海康域名解析使用说明

动态IP接入的解决方案 杭州海康威视数字技术有限公司 2007-6-25

一、前言 随着监控系统的发展，越来越多的用户希望可以通过ADSL这种廉价的网络方式可以解决视频监控。但是受到ADSL动态IP地址和上下行带宽不等（上传带宽小，下载带宽大---相对）因素的影响，在视频监控方面使用还不是很理想。我公司结合实际使用和ADSL这种网络方式的特点提出如下两种解决方案：DNS解析和域名解析。 二、方案介绍 1、D NS解析 获取解析地址 发送动态参数 发起连接 从上图我们可以看到，这种解决方案的基本要求是要自建一台专用的DNS解析服务器，而且该服务器要求有一个公网的固定IP地址。 具体在实现的时候，要求前端的硬盘录像机使用PPPoE拨号功能，并在DNS地址选项添加DNS解析服务器的公网的固定IP地址。而在自建的这台专用的DNS解析服务器上需要安装一个IP Server的软件即可解析前端的硬盘录像机PPPoE拨号得到的实时的IP地址，访问端通过海康专用客户端软件即可访问前端的硬盘录像机。 海康设备PPPoE及DNS地址设置方法： 218.75.110.164

IP Server软件界面 IP Server软件功能：通过解析服务器,获取硬盘录像机的动态IP 地址 注：IP Server 软件可以到https://www.wendangku.net/doc/4212802947.html,网站下载 2、域名解析 从上图我们可以看到，这种解决方案的基本要求是前端有一个支持端口映射功能和域名解析功能的拨号宽带路由器，远程接一台DDNS服务器（租用提供域名解析服务功能网络服务商的服务器），客户端通过特有的域名访问前端硬盘录像机的图像。具体的配置方法说明见附录。 三、两种方案的比较 这两种方案都能够解决动态IP远程访问的问题，但是受到ADSL带宽和带宽上下行的影响，远程访问端想要达到同时监看多路实时视频的需求还是不能实现，这时应用双码流的技术，远程访问使用子码流（QCIF 128K）可以看到流畅的画面，需要相对高清的画面

如何配置DNS服务器

如何配置DNS服务器 1、安装DNS服务 开始—〉设置—〉控制面板—〉添加/删除程序—〉添加/删除Windows组件—〉“网络服务”—〉选择 “域名服务系统（DNS）”—〉按确定进行安装 2、创建DNS正相解析区域 开始—〉程序—〉管理工具—〉选择DNS，打开DNS控制台—〉右击“正相搜索区域”—〉选择“新建区域”—〉选择“标准主要区域”（或“Active Directory 集成区域”或“标准辅助区域”）--〉输入域名“https://www.wendangku.net/doc/4212802947.html,” —〉输入要保存的区域的文件名“https://www.wendangku.net/doc/4212802947.html,.dns”—〉按完成，完成创建 创建主机记录等： 右击“https://www.wendangku.net/doc/4212802947.html,”—〉“新建主机” —〉在名称处输入“www”，在“IP地址”处输入“192.168.0.3”，—〉按“添 加主机”完成 3、创建DNS反向解析区域 开始—〉程序—〉管理工具—〉选择DNS，打开DNS控制台—〉右击“反向搜索区域”—〉选择“新建区域”—〉选择“标准主要区域”—〉输入用来标示区域的“网络ID”—〉输入要保存的区域的文件名“0.168.19 2.in-addr.arpa.dns”—〉按完成，完成创建 创建指针PTR： 右击“192.168.1.x.subnet”—〉选择“新建指针”—〉在“主机IP号”中输入2—〉在“主机名”中输入ftp— 按“确定”完成添加 4、启用DNS循环复用功能 如https://www.wendangku.net/doc/4212802947.html,对应于多个IP地址时DNS每次解析的顺序都不同 右击选择“DNS服务器”—〉属性—〉高级—〉选择“启用循环”（round robin）--〉选择“启用netmas k 排序”—〉按“ 确定”返回 注：如所有的IP和域名服务器在同一子网时需要取消“启用netmask排序”，才能实现循环复用功能。即启用循环时，当主机的IP和dns在同一个子网时将始终排在最前面，当都在一个子网时就不进行循环，只有去除了“启用netmask排序” 时才能实现循环复用。 DNS服务器会优先把与自己的网络ID相同的记录返回给客户端 5、创建标准辅助区域，实现DNS区域复制 在另一台DNS服务器上，右击“正向搜索区域”—〉选择“新建区域”—〉选择“标准辅助区域”—〉输入“https://www.wendangku.net/doc/4212802947.html,”—〉输入主域名服务器的IP地址—〉选择“完成”

网络远程视频监控动态IP解决方案

网络远程视频监控动态IP解决方案 当前时代是一个构筑在网络基础之上的信息化时代，基于IP的各种新应用如网络多媒体视频、架设WEB、FTP服务器、邮件系统、远程控制、游戏平台等等，也表现出强大的市场需求。作为以上应用的完整解决方案，目前带宽问题已经基本得到了解决，但仍有一个我们不得不考虑的问题:如何处理动态IP地址。 无论是普通电话线拨号，还是ISDN、ADSL，只要采用了动态IP接入方式，都会遇到这个问题。所谓动态IP接入方式是指用户通过虚拟拨号技术动态地获得IP地址来开展上网业务。每次用户通过普通MODEM或者通过ISDN、ADSL拨号连接Internet时，ISP通常会分配给用户一个公共IP地址，这时候Internet上的其他用户就可以通过这个IP地址访问该计算机。但是，因为这个IP地址是动态的，也就是说一旦断线，下次再连接Internet的时候，ISP将会分配另一个不同的公共IP地址。如果是监控前端采用了动态IP接入方式，在通信的时候，只要监控方能够预先知道监控前端的IP地址，就能够在双方之间建立握手进行通信。但静态IP的昂贵租金仍是困扰用户广泛使用的关键问题。 动态域名解析系统的出现为广大用户彻底解决了这一问题。动态域名解析系统连接internet时，ISP会分配一个动态的IP地址，动态域名解析服务就是把域名与这个动态的IP地址对应起来。动态域名解析服务依赖于动态域名解析系统。域名解析服务系统能提供DNS服务，实现实时、动态地更新DNS;同时拥有客户端程序，可以自动查询本地拨号上网计算机的IP地址，并对域名服务器上登记的IP地址，进行自动更新。而且它是真正的域名解析服务器，而不是URL重定位器。通过域名服务器的解析，可以提供真正的域名解析服务，提供给访问者网上合法的IP地址(这个IP地址是通过拨号上网的计算机用户从ISP那里租用的合法IP)。 同现行网上免费的域名相比，动态域名解析系统实现了域名解析。动态域名解析在广域网视频监控中的应用动态域名解析系统基于软件技术实现动态IP与所指定域名的绑定，从而使用户相当于拥有了“静态”IP地址。真正使用户享受到投入宽带、享受专线的超值惊喜。 解决方案 给每个监控设备申请一个域名，由域名解析系统来探查监控设备当前的IP地址，

Linux DNS服务器类型

Linux DNS服务器类型 最早于1983年由保罗·莫卡派乔斯（Paul Mockapetris）发明了DNS，并且是因特网的一项核心服务，作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住一串的IP地址数据。 DNS（Domain Name System或Domain Name Service）是域名系统或者域名服务。域名系统为Internet上的主机分配域名地址和IP地址。用户使用域名地址，该系统就会自动把域名地址转为IP地址。 域名服务是运行域名系统的Internet。执行域名服务的服务器称之为DNS服务器，通过DNS服务器来应答域名服务的查询。 在Internet中，每一台DNS服务器都只负责管理有限范围内的计算机域名和IP 地址的对应关系，这些特定的DNS域或IP地址段称为“zone”（区）。根据地址解析的方向不同，DNS区域相应的分为正向区域（包含域名到IP地址的解析记录）和反向区域（包含IP地址到域名的解析记录）。 DNS服务器按照配置和实现功能的不同，包括多种不同的类型。同一台服务器相对于不同的区域来说，也拥有不同的身份。常见的DNS服务器类型如下。1．主域名服务器 主域名服务器（Primary Name Server）是特定的DNS区域的官方服务器，对于某个指定区域，主域名服务器时唯一存在的，其管理的域名解析记录具有权威性。主域名服务器需要在本地设置所管理区域的地址数据库文件。主域名服务器时DNS 的主要成员，对Internet中域名数据的发布和查找起着非常重要的作用。主域名服务器总是地址数据的初始来源，主域名服务器对域中的域名有最高权限，并因为他们是区域间传送区域数据文件的唯一来源，就具有向任何一个需要其数据的服务器发布区域信息的功能。 2．从域名服务器 从域名服务器（Secondary Name Server）也称辅助域名服务器，其主要功能是提供主域名服务器的备份，通常与主域名服务器同时提供服务，对于客户端来说，从域名服务器提供与主域名服务器完全相同的功能。但是从域名服务器提供的地址解析记录并不是由自己决定，而是取决于对应的主域名服务器。当主域名服务器中的地址数据库文件发生变化时，从域名服务器中的地址数据库文件也会发生相应的变化。 3．唯高速缓存服务器 唯高速缓存服务器（Caching-only Server）可运行域名服务器软件，但是没有域名数据库软件。一旦它从某个远程服务器取得每次域名服务器查询的回答，就会放在高速缓存中，以后查询相同的信息时不再进行查询直接予以回答。所有的域名服务器都按这种方式使用高速缓存中的信息，但唯高速缓存服务器则依赖于这一技术

全国各省市DNS服务器IP地址

全国各省市DNS服务器IP地址（含电信、网通、铁通）广东： 广东省广州市（中国电信）首选DNS：202.96.128.86备份DNS：202.96.128.166 广东省广州市（中国铁通)首选DNS：61.235.70.98备份DNS：211.98.4.1 广东省汕尾市（中国电信）首选DNS：202.96.128.166 备份DNS：202.96.128.86 广东省汕头市（中国电信）备份DNS：202.96.128.166 广东省河源市（中国电信）首选DNS：202.96.128.166 备份DNS：202.96.128.86 广东省河源市（中国网通）首选DNS：210.21.196.5备份DNS：221.5.88.88 广东省深圳市（中国电信）首选DNS：202.96.128.166 备份DNS：202.96.134.133（已封） 广东省阳江市（中国电信）首选DNS：202.96.128.86备选DNS：202.96.128.166 广东省增城市（中国电信）首选DNS：202.96.128.86备份DNS：202.96.128.166 广东省广州市（中国铁通）首选DNS：61.235.70.98备份DNS：211.98.4.1

广东省江门市（中国电信）首选DNS：202.96.128.86备份DNS：202.96.128.166 广东省佛山市（中国网通）首选DNS：221.5.88.88 备份DNS：210.21.196.6 广东省佛山市（中国电信）首选DNS:202.96.128.86备份DNS:202.96.128.166 广东省佛山市（中国联通）首选DNS：221.4.8.1备份DNS：221.4.66.66 广东省梅州市（中国电信）首选DNS:61.235.70.98备份DNS:211.98.4.1 广东省湛江市（中国电信）首选DNS 202.96.128.68备份DNS 202.96.128.166 广东省东莞市（中国电信）首选DNS:202.96.128.86备份DNS:202.96.128.166 广西： 广西南宁市（中国电信）首选DNS 202.103.224.68备份DNS 202.103.225.68 广西省南宁市（中国铁通）首选DNS：61.235.164.18备份DNS：61.235.164.13 广西壮族自治区（中国电信）首选DNS：202.103.224.68备份DNS：202.103.225.68 广西壮族自治区柳州市(中国网通）首选DNS：221.7.136.68备选DNS：221.7.128.68 广西壮族自治区防城港市（中国铁通）首选DNS：61.235.164.13备份DNS：61.235.164.18

DNS服务器的配置和使用要点

实验6 DNS 服务器的配置和使用 一、实训目的： 1. 了解域名的概念； 2. 理解因特网域名的结构， 3. 不同类型域名服务器的作用， 4. 掌握域名解析的过程； 7. 掌握如何在Windows Server 2003配置DNS 服务。 二、实训环境： 1. DNS 服务器：运行Windows Server 2003操作系统的PC 机一台； 2. 上网计算机，若干台，运行Windows XP 操作系统； 3. 每台计算机都和校园网相连。 DNS 服务器配置实训环境如图6.1所示。 三、实训任务 根据图6.2所示，配置Windows Server 2003下DNS 服务管理如图6.2所示的阴影部分。 图6.1 DNS 服务器配置环境图 DNS 服务器 上网计算机

cn ??? hk 图6.2 任务要求如下： 1. DNS服务器端： 在一台计算机上安装Windows Server 2003，设置IP地址为10.8.10.200，子网掩码为255.255.255.0，设置主机域名与IP地址的对应关系，https://www.wendangku.net/doc/4212802947.html,对应10.8.10.250/24，邮件服务器https://www.wendangku.net/doc/4212802947.html,对应10.8.10.250，文件传输服务器https://www.wendangku.net/doc/4212802947.html,对应10.8.10.250，https://www.wendangku.net/doc/4212802947.html,对应10.8.10.251，设置https://www.wendangku.net/doc/4212802947.html,别名为https://www.wendangku.net/doc/4212802947.html,和https://www.wendangku.net/doc/4212802947.html,，设置https://www.wendangku.net/doc/4212802947.html,别名为https://www.wendangku.net/doc/4212802947.html,。设置转发器为202.99.160.68。 2. 客户端： 设置上网计算机的DNS服务器为10.8.10.200， （1）启用客户端计算机的IE，访问校园网主页服务器https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,，并访问Internet。 （2）在DOS环境下，通过“Ping 域名”命令可与将域名解析为IP地址。试用Ping 解析https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,、https://www.wendangku.net/doc/4212802947.html,等主机对应的IP地址。 （3）通过NSlookup来验证配置的正确性 四、实训操作实践与步骤 （一）安装DNS服务器 如果在“开始→程序→管理工具”选项中找不到“DNS”选项，就需要自行安装DNS 服务器。 1. 执行“开始→设置→控制面板→添加／删除程序→添加／删除Windows组件”命令，弹出“Windows组件”对话框，勾选“网络服务”复选框，单击“详细信息”按钮，在弹出的“网络服务”对话框中，选中“域名系统”复选框，然后单击“确定”按钮。 2. 单击“下一步”按钮，Windows 组件向导会完成DNS服务的安装。并从Windows Server

TurboMail邮件系统动态域名设置

一、动态域名设置前相关知识了解 1. 什么是IP 地址？ IP 地址是在网络上分配给每台计算机或网络设备的32 位数字标识。在Internet 上，每台计算机或网络设备的IP 地址是全世界唯一的。IP 地址的格式是xxx.xxx.xxx.xxx，其中xxx 是0 到255 之间的任意整数。例如，新浪网站主机的IP 地址是61.172.201.232。 2.. 什么是固定IP 地址？ 固定IP 地址是长期分配给一台计算机或网络设备使用的IP 地址。一般来说，采用专线上网的计算机才拥有固定的Internet IP 地址。 3. 什么是动态IP 地址？ 通过Modem、ISDN、ADSL、有线宽频、小区宽频等方式上网的计算机，每次上网所分配到的IP地址都不相同，这就是动态IP 地址。因为IP 地址资源很宝贵，大部分用户都是通过动态IP 地址上网的。 4. 什么是域名？域名由什么构成？ 域名是Internet 上用来寻找网站所用的名字，是Internet 上的重要标识，相当于主机的门牌号码。每一台主机都对应一个IP 地址，每一个IP 地址由一连串的数字组成，如101.25.11.34。人们为了方便记忆就用域名来代替这些数字来寻找主机，如https://www.wendangku.net/doc/4212802947.html,。每一个域名与IP地址是一一对应的，人们输入域名，再由域名服务器（DNS）解析成IP 地址，从而找到相应的网站。每一个网址和EMAIL都要用到域名。在英文国际域名中，域名可以英文字母和阿拉伯数字以及横杠"－"组成，最长可达67 个字符（包括后缀），并且字母的大小写没有区别，每个层次最长不能超过22 个字母。在国内域名中，三级域名长度不得超过20 个字。 5. 什么是子域名、二级域名？ 子域名是个相对的概念，是相对父域名来说的。域名有很多级，中间用点分开。例如公司的顶级域名是以com 结尾的，所有以com 结尾的域名便都是它的子域。例如：https://www.wendangku.net/doc/4212802947.html, 便是https://www.wendangku.net/doc/4212802947.html, 的子域，而https://www.wendangku.net/doc/4212802947.html, 是net 的子域。 6. 什么是DNS？ 域名管理系统DNS（Domain Name System）是域名解析服务器的意思.它在互联网的作用是：把域名转换成为网络可以识别的IP 地址。比如：我们上网时输入的https://www.wendangku.net/doc/4212802947.html, 会自动转换成为202.108.42.72

DNS记录类型介绍A记录M记录NS记录等

D N S记录类型介绍A 记录M记录N S记录等 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-

DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR值 建站名词解释：DNS A记录 NS记录 MX记录 CNAME记录 TXT记录 TTL值 PTR值泛域名泛解析域名绑定域名转向 1. DNS DNS：Domain Name System 域名管理系统域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。 DNS：Domain Name Server 域名服务器域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS 就是进行域名解析的服务器。 2. A记录 A （Address）记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置域名的子域名。通俗来说A记录就是服务器的IP,域名绑定A记录就是告诉DNS,当你输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。 简单的说，A记录是指定域名对应的IP地址。 3. NS记录 NS（Name Server）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。 您注册域名时，总有默认的DNS服务器，每个注册的域名都是由一个DNS域名服务器来进行解析的，DNS服务器NS记录地址一般以以下的形式出现： 简单的说，NS记录是指定由哪个DNS服务器解析你的域名。 4. MX记录 5. CNAME记录 6. TXT记录 7. TTL值 TTL（Time-To-Live）原理：TTL是IP协议包中的一个值，它告诉网络路由器包在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。例