配置DNS服务专题问答

当尝试将Windows系统的DNS Client服务配置成停止运行状态时，终端计算机系统就无法成功进行地址解析操作，请问这种说法是否正确？

答：自然不正确，之所以不少人会有这样的认识，主要在于微软的误导。在Windows的服务管理中，微软对DNS Client服务是这样解释的，“为此计算机解析和缓冲域名系统 (DNS) 名称。如果此服务被停止，计算机将不能解析DNS名称并定位Active Directory域控制器。如果此服务被禁用，任何明确依赖它的服务将不能启动。”微软这样的解释是很不负责任的话。其实DNS Client服务仅仅是客户端系统对DNS解析内容的缓存服务，关闭了该服务并不会对DNS解析操作造成影响，只是客户端系统无法继续缓存DNS解析内容了。关闭这个系统服务，对上网浏览影响不是很大，从安全角度来看，启用该服务反而能泄漏用户的缓存内容，因为通过缓存内容就能确定用户曾经访问过的网页内容。从上网速度来看，关闭该系统服务可能会降低上网反应速度，不过影响一般不是很大。

目前很多恶意用户会通过DNS服务的高速缓存，来对DNS服务器实施欺骗攻击，影响用户的正常上网访问，请问如何配置DNS服务器，来有效避免这种欺骗攻击？

答：可以进行的配置操作，来避免这种欺骗攻击：一是修改DNS服务器的TTL值，让其变得稍微小一些，以便预防DNS缓存中毒。在进行这种修改时，打开注册表编辑窗口，跳转到HKEY_LOCAL_MACHINESystemCurrentControlSetS e r v i c e sT c p i pParameters分支上，双击DefaultTTL键值，输入“32”或“64”，再 刷 新系统注册表即可，当 然TTL数值不宜过小，否则DNS服务器运行负担会加重。二是关闭DNS缓存功能，让黑客无法利用DNS缓存漏洞实施欺骗攻击；在关闭DNS缓存时，可以通过执行“net stop dnscache”命令，临时关闭DNS缓存功能，也可以停用DNS Client服务，来永久关闭DNS缓存功能。三是在遇到浏览故障时，手工刷新DNS缓存，破坏黑客的欺骗攻击；在进行这种操作时，只要打开DOS命令行工作窗口，输入“ipconfig /flushdns”命令，按回车键即可。四是启用防止缓存污染功能，避免DNS服务器缓存被黑客攻击；只要打开DNS服务器属性对话框，点选“高级”选项卡，选中对应选项设置页面中的“防止缓存污染”选项，再重新启动DNS服务器系统即可。

因为DNS服务的缓存会记录用户曾经访问的站点地址，要是不想让他人偷窥这方面隐私时，该如何配置该服务？

答：可以关闭客户端系统的DNS缓存功能。由于该功能是通过DNS Client服务控制的，只要关闭该系统服务就能达到目的了。在关闭该系统服务时，依次单击“开始”、“运行”命令，在弹出的系统运行对话框中，执行“services.msc”命令，展开系统服务列表窗口，双击其中的目标系统服务选项，在对应选项服务设置框中，单击“停止”按钮即可。

当终端计算机系统从DHCP服务器那里申请获得动态地址，进行上网访问时，该怎样配置DNS服务器，让其正向、反向搜索可以实现同步自动更新？

答：很简单，只要以超级用户身份登录进入DHCP服务器所在主机系统，打开该服务器的DHCP控制台窗口，点选“动态DNS”标签，选中对应标签页面中的“启用DNS客户信息的动态更新”复选项，再根据实际需要选择合适的更新方式，例如可以选择“总是更新正向和反向搜索”方式或选择“根据客户请求更新”方式，来启用DNS服务器的客户信息更新功能。如果想让DNS服务器也能自动更新非动态客户信息时，可以选中“对非动态DNS客户更新”选项；如果想让DNS服务器在客户租约期限到期后自动取消对客户正向搜索，可以选中“当租约过期时取消正向搜索”选项。

为了避免本地DNS无法解析，不少网络管理员都会启用DNS转发器，来改善DNS解析成功率，请问怎样配置DNS转发器？

答：先以超级用户权限登录DNS服务器所在主机系统，打开DNS控制台界面，右击DNS服务器所在主机图标，点选右键菜单中的“属性”命令，弹出DNS服务器属性对话框；点选“转发器”选项卡，在对应选项设置页面中选择“启用转发器”选项，再在“IP地址”位置处输入Internet网络上真正可以提供域名解析服务的DNS服务器地址，这样局域网DNS服务器只要收到客户端系统的域名解析申请，转发器就能自动将申请请求发送给真实DNS服务器去处理，日后再将结果转发给客户端系统。

为了干扰DNS服务器的稳定运行，有些恶意用户常常会通过DDoS攻击方式，对其进行攻击破坏，请问怎样配置预防DDoS攻击DNS服务器？

答：首先在条件合适的情况下，将DNS服务器部署在性能配置足够高、硬盘容量足够大的主机系统中，确保黑客在消耗DNS服务器系统资源的同时，其自身攻击能量也在迅速消耗，或等DNS服务器没有被攻击瘫痪，黑客自己已无力攻击了；其次部署专门的入侵检测系统，来保护DNS服务器的安全运行；第三对DNS服务器所在主机系统进行优化，关闭系统平时很少用到的服务和端口，切断黑客攻击通道；第四使用专业安全工具分析DNS数据报文，寻找导致流量急剧放大的可疑数据报文，并对它们执行过滤操作。

为了改善DNS服务器自身运行安全性，不少网管员会将服务器中平时用不到的系统服务端口全部关闭掉，而仅将少数几个正在使用的服务端口保留下来。要想将DNS服务器使用的服务端口配置保留下来，该保留什么端口号码呢？

答：DNS服务工作端口号码一般存储在“services”文件中，打开该文件，就能看到DNS服务端口号码了，下面就是详细查看步骤：首先进入DNS服务器的资源管理器窗口，进入“system32driversetc”文件夹窗口，用鼠标右键单击该窗口中的“services”文件，执行快捷菜单中的“打开方式”命令，点击“记事本”应用程序，来打开“services”系统文件。之后，依次选择文本编辑界面中的“编辑”、“查找”命令，切换到查找设置框，输入“Domain Name”关键字，按下“查找下一个”按钮，这样鼠标指针就会自动出现于DNS服务内容描述处，在这里，用户就能直观地看到DNS服务正在使用的协议有TCP、UDP这两种类型，而对应端口号码全部为“53”，日后只要将“53”端口开通，就能保证DNS服务正常工作了。

终端计算机是否能够高速访问网页内容，与DNS服务器自身运行状态息息相关。为了保持DNS服务器始终稳定运行，大家应该定期查看它的运行状态，以便提前识别出它的潜在隐患，请问如何识别DNS服务器运行状态是否正常？

答：先以系统管理员权限登录进入DNS服务器所在主机系统，依次单击“开始”、“程序”、“管理工具”、“DNS”命令，进入DNS服务器控制台界面，右击DNS服务器主机，选择快捷菜单中的“属性”命令。在其后界面中选择“日志”标签，在对应标签页面指定的日志文件中，保存了DNS服务器的工作状态信息，包括查询方面的、应答方面的、通知方面的信息。日后，定期访问该日志文件，就能清楚地查看到DNS服务器的工作状态是否正常了。

要是恶意用户破坏掉DNS服务器的配置信息，这可能会引起DNS服务不能正常工作，请问如何有效确保DNS配置信息安全？

答：考虑到DNS配置信息基本都存储在DNS文件夹中以及相关注册表分支中，只要对它们的访问权限进行控制，就能确保DNS配置信息安全。详细操作为：首先打开DNS服务器所在系统的注册表编辑窗口，依次跳转 到HKEY_LOCAL_MACHINEC u r r e n t C o n t r o l S e tServicesDNS分支上，用鼠标右键单击DNS分支，从右键菜单中执行“权限”命令，弹出权限设置对话框，在这里删除所有用户账号，仅将合法账号添加进来，并为它们分配合适的访问权限。其次打开系统资源管理器窗口，选中“%system_directory%DNS”文件夹，右击该文件夹图标，点选右键菜单中的“安全”命令，弹出安全选项设置页面，在这里仅为合法用户授予适当的访问权限，删除所有不信任用户账号。

在缺省状态下，Windows Server 2003服务器系统并没有安装DNS服务系统组件，请问怎样安装、配置好DNS服务器？

答：首先要以超级用户身份登录进入Windows Server 2003服务器系统，在该系统中逐一点选“开始”、“设置”、“控制面板”命令，进入系统控制面板窗口，双击其中的“添加或删除程序”选项，点击“添加/删除Windows组件”按钮，弹出Windows系统组件添加向导窗口；之后依次选中“网络服务”选项，单击“详细信息”按钮，选中“DNS服务”，再按照向导默认提示完成安装操作，就能安装好DNS服务组件了。

在配置DNS服务器时，可以依次单击“开始”、“设置”、“控制面板”命令，双击控制面板窗口中的“管理工具”、“DNS”图标，展开服务器系统的DNS控制台窗口；单击该界面中的“操作”菜单项，选择“配置服务器”命令，再按照向导提示依次配置DNS服务器的区域名称、网络标识参数，同时添加好相关的主机记录即可。

请问终端计算机系统上网输入的网站域名是怎样被转换成IP地址的？

答：当终端计算机系统需要解析网站域名时，它就会自动查询DNS服务器。终端计算机系统向DNS服务器发出的每个查询请求，本质是请其提供地址解析记录。比方说，终端计算机系统要想解析www.xxx.com站点域名时，会自动向指定的DNS服务器发出查询请求，请求信息中指定了www查询类型，这个查询过程其实分为了两个步骤：首先询问DNS服务器中有没有与名称为“xxx.com”域对应的www资源记录，然后再询问能不能将其www记录解析为主机记录，并解析其IP地址。当客户端系统收到来自DNS服务器的响应时，会自动读取并解释www记录并获得A记录，从而获得目标网站的IP地址。

一台DNS服务器安装配置成功后，怎样才能快速识别出它能否正常解析站点域名呢？

所谓教学之“术”，一般指为实现教学意图而采用的策略、技巧、方法等。历史学科的过去性特点、初中生的思维认知发展水平决定我们的教学一定要以精妙的“术”为依托，通过“术”激起学生主动学习的兴趣，激活与引导学生的思维，使学生在参与探究中获得历史学科的知识和技能，并进行积极的情感体验，得到真正的发展。

答：很简单！只要进入DNS服务器属性对话框，选择“监视”标签，勾选对应标签页面中的“对此DNS服务器的简单查询”选项，按下“立即测试”按钮，要是测试操作成功的话，那就意味着DNS服务器能够正确将主机名称解析成IP地址，要是测试失败，那就意味着DNS服务器安装、配置存在问题，还需要重新设置相关参数。接着勾选“对此DNS服务器的递归查询”选项，按下“立即测试”按钮，要是测试成功的话，那就说明DNS服务器可以正确将IP地址解析成主机名称。

DNS服务器缺省能够同时接受终端计算机系统的迭代查询、递归查询，可是要是同时接受太多的递归查询，DNS服务器容易发生响应迟钝的现象。为了改善DNS服务器的响应能力，请问如何进行配置操作，来停用它的递归查询功能？

答：很简单！只要进入DNS服务器控制台窗口，用鼠标右击DNS服务器所在主机系统，单击快捷菜单中的“属性”命令。选择DNS服务器属性对话框中的“高级”标签，在对应标签页面中的“服务器选项”位置处，选中“停用递归”复选项，最后单击“确定”按钮保存设置操作，这样就能停用DNS服务器的递归查询功能了。

请问怎样对DNS数据进行包过滤，以便把对DNS服务器存在安全威胁的数据包过滤掉？

答：可以采用三种方式对DNS数据进行包过滤：一是IP地址过滤，只要为DNS服务器创建合适的IP安全策略，让DNS服务器只允许合法计算机访问即可；二是端口过滤，只要打开TCP/IP协议的高级属性对话框，将访问DNS服务器必须使用的53端口开放，同时关闭其他通信端口即可；三是流量过滤，采用这种方式过滤时，可以结合交换机的流量控制功能，来对连接DNS服务器的交换端口进行流量控制。

在缺省状态下，DNS服务会用到53端口，为了保证该服务的工作安全，请问有没有办法调整该端口号码？

答：只要进入DNS服务器所在系统的资源管理器窗 口，逐 一 双 击“WinNt”、“system32”、“drivers”、“etc”文件夹图标；用记事本程序打开目标文件夹窗口中的“services”文件，在弹出的文本编辑窗口中，依次单击“编辑”、“查找”命令，输入“Domain Name”关键字，单击“查找下一个”按钮，找到域名服务所使用的端口和通信协议，在这里可以将端口号码修改成新的号码。

正常情况下，网管员在配置DNS服务器的正向查询区域时，都需要将“.”区域删除掉，请问这是什么原因？

答：“.”区域通常表示本地DNS服务器就是根服务器，而本地DNS服务器往往只能解析有限的几个内部网站域名，而无法解析更多的外部网站域名；只要该区域存在，那么本地系统的DNS服务就无法使用系统默认的根提示服务器，去解析Internet网络中的网站域名，这样就容易造成上网浏览失败故障。此外，本地DNS服务器容易发生故障，而系统默认的根提示服务器却有一定的冗余，这也是删除“.”区域的原因之一。

答：这种现象只会在域控制器系统中出现，因为为了方便局域网中其他客户端系统或域控制器查询活动目录信息，主域控制器系统需要通过netlogon服务在DNS服务器中注册一些信息，要是将该系统的DNS参数配置成ISP提供的DNS服务器地址，那么netlogon服务将无法在其中注册信息，从而会导致系统生成错误的消息提示。

请问在普通的终端计算机系统中，怎样查看DNS缓存中的详细内容？

答；只要依次单击“开始”、“运行”命令，展开系统运行对话框，输入“cmd”命令并回车，弹出DOS命令行工作窗口。在命令行提示符状态下，输入“ipconfig /displaydns”字符串命令，按回车键后，就能在命令返回的结果信息中查看到DNS缓存内容了。

在终端计算机系统没有配置DNS服务的情况下，该系统是否一定不能成功访问Internet网络中的域名呢？

答：不一定！因为终端计算机系统的DNS服务可以通过缺省的根提示服务器，来完成外部域名的解析任务。当然。前提是客户端系统的正向查询区域中不能包含“.”区。

终端计算机在上网解析域名的时候，或许会使用到本机HOST解析法、DNS服务器解析法、DNS缓存解析法、Name Resolution Policy Table解析法等等，请问这些解析法中，哪个优先级别最高？

答：DNS缓存解析法优先级别最高。

单位的DNS服务器架设在代理服务器中，可是局域网中的客户端系统使用了指定的DNS服务器后，仍然无法打开网页，不知道是什么原因？

答：首先要确认该DNS服务器工作状态正常；其次要确认客户端系统能够ping通DNS服务器；第三要开通代理服务器中的TCP 53端口和UDP 53端口。如果还不能访问网页内容时，可以尝试关闭代理服务器中的防火墙看看。

巧妙借助DNS服务的缓存记忆功能，能有效增强域名解析效率，改善上网访问速度。但缺省状态下，Windows系统的DNS服务缓存容量不大，可以存储的域名解析记录有限，请问怎样配置增大DNS缓存容量，以便让终端计算机系统能缓存更多域名解析记录，以提高域名解析效率？

答：可以通过修改相关注册表键值的方法来达到该目的。打开系统注册表编辑窗口，逐一跳转到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS e r v i c e sD n s c a c h eParameters注册表分支上，在目标分支下创建一个“Cache HashTableBucketSize”双字节值，同时将该键值的数值设置为“十进制”的“384”，并按“确定”按钮返回；再按同样的方法，在“Parameters”分支下面依次创建好“Max Cache Entry Ttl Limit”双 字 节值、“Cache HashTableSize”双 字 节 值 、“M a x SOACacheEntryTtlLimit” 双字节值，并将它们对应的数值依次设置为“301”、“64000”、“300”，完成上述设置后重新启动Windows系统，这样客户端系统的DNS缓存容量就会增大了，那么该系统上网浏览效率就能提升很多。

在网络连接正常的终端计算机中，访问某个网站时，会出现浏览失败的现象，不过在其他终端计算机中访问同样的网站页面时，却很正常，不知道这是什么原因？

答：这种问题很可能是终端计算机的DNS缓存内容太旧引起的，此时可以打开该系统的DOS命令行窗口，在其中执 行“ipconfig /flushdns”命令，来强制将DNS缓存内容清空。

在安装有Windows 7系统的终端计算机中，怎样快速查看某个特定DNS域名使用了哪个IP地址？

答：可以依次单击“开始”、“运行”命令，在弹出的系统运行对话框中，执行“cmd”命令，切换到DOS命令行窗口，输入“nslookup aaa”（其中“aaa”为特定DNS域名名称），按回车键后，就能查看到特定DNS域名对应的IP地址了。

试着在Windows Server 2003服务器系统中，以手工方式启用DNS Server服务时，发现系统竟然提示存储空间不足，请问怎样正常启用DNS Server服务？

答：发生这种问题，多半是Windows Server 2003服务器系统的DNS缓存文件受到损坏，不妨试着将该文件替换掉，要是还无法解决问题，可以考虑查杀病毒，再重新启动一下服务器系统。