Windows2000 DNS 技术指南 6
Windows2000 DNS 技术指南 6
第6章和Internet服务供应商合作
本章内容包括:
• 在I n t e r n e t上注册域名。
• ISP域名服务的一般考虑,一个关于I S P是否能提供你的公司所需服务的讨论。
• 如何连接与设置服务器。在得到所有需求后,怎样把它们组织起来?
• 改变域名服务器。当有些情况变化的时候,例如公司迁移或I S P改变,那通常意味着I P
地址的改变。
6.1 在I n t e r n e t上注册域名
当一个公司想与I n t e r n e t连接时,首先要考虑的就是如何能被外界知道或找到。好的域名
应该有明确意义并容易被外界所发现。许多公司选择它们公司名称的缩写作为域名,或者选
择与它们的事业相关的短语。随着过去几年里I n t e r n e t的快速增长,找到一个别人尚未注册的
域名已经成了一个令人头痛的问题。一般来说,在使用InterNIC whois记录之前,仔细确认一
下你认为喜欢的那些名字。对于那些不熟悉w h o i s数据库的人, I n t e r N I C提供了一套机制,用
来在提交注册请求之前检查域名的可用性。当查询w h o i s数库时,基本上能得到两个响应的其
中之一。第一个响应是有关所查询域名的所有者的详细信息,对于那些注册新域的人来说,
这并不是想要的答案。第二个响应将给出一个“No match for Domain.org(D o m a i n . o rg无匹配)”,
这意味着你在查询中输入的域名是可用的,这时,你应该赶紧预订或注册这个域名。最近又
建立了新的通用顶层域名( g T L D),减轻了寻找一个唯一域名的负担。这些新的通用顶层域
名是: . c c、. a r t s、. f i r m、. n o m、. i n f o、. r e c、. w e b和. s h o p。这些通用顶层域名和已经存在
的. g o v、. e d u、. o rg、. c o m和. n e t一起为用户提供了更多的空间,使得有更多的名字能供使用。
在过去,当你注册域后,即使没有付款,此域也将为你保留9 0天。如果已注册的域是你
所想要的,于是你就可以付款使之永久性地属于自己。现在,注册域名有几种途径可供选择。
你当然可以使用很多人这么多年来一直使用的Network Solutions公司来注册域。或者选择一个
域名注册者。无论哪种方法,注册过程都没多大变化,但是现在可以使用预订域名,而且不
需要提供域名服务器的信息。这基本上给了你保留这个名字直到最后决定是否采用它的选择
权。预订域通常比简单注册一个域要多花一点钱,因为注册处实际上已经注册了这个域并且
保留它的管理特权直到你决定使用它,这需要一笔常用开支。笔者曾经听说过在某些地方(比
如英国)预订域时不收附加费,但我个人没遇到过这种情况。另一个改变是大多数注册要求在
预订或注册一个域名时付头期款。关于注册过程的更多信息,见附录D。
6.2 ISP服务的一般考虑
I n t e r n e t服务提供商( I S P)是许多企业连接到I n t e r n e t的中介。过去,许多企业,特别是
没有M I S管理员,或者不能支持M I S管理员的企业,一般都由I S P提供域名服务器服务(收费
服务)。如果是由I S P管理D N S服务器,企业可选择在本地设置辅服务器。辅服务器也能提供
授权信息,并能使有关企业确信I S P发布的是正确信息,以及信息得到及时的更新(因为辅服
务器可以得到域区信息的副本)。也可以选择只设置一台简单的缓存域名服务器,以通过本地
缓存来改善常见域名查询的性能。两种设置都可减轻此企业的网络管理问题和工作量,但当
需要改变信息时就不得不依靠I S P。
企业也可以运行自己的主域名服务器,这并不需要很大的工作量。在Windows 2000中,
这基本上成为Wi n d o w s服务能够正确运行的必要条件。在这种情况下, I S P可能会提供一点辅
服务器以备出现故障时能提供一定的冗余。这种做法有若干好处,其中之一就是这个企业可
以随意地安排和实现设置的改变,而不需要借助于I S P。甚至当你与I n t e r n e t的连接断开时,它
也允许外界解析你域中的主机名。这对于像电子邮件这样的服务尤为重要,因为如果服务器
不可达便不能发送邮件,但是它会排队等待一段时间后重发,如果你的邮件服务器不能被解
析,邮件就会被退回给发送者,并且返回“不知道”用户或(和)域的消息。
在理想情况下I S P会分配和授权给一个企业连续的I P地址,“授权”在这里是指把I N -
A D D R ( I n t e r n e t地址)域中的一段连续地址分配给企业。这时,企业就有了建立自己的网络、
设立域名服务器和发布它想注册的域名的自由。如果这个企业足够大,它也许正需要从
A R I N (美国I n t e r n e t号码注册处)获得一个网络号码分配,并且在没有I S P介入的情况下完成I N -
A D D R域的注册。
然而,上面提到的所有情况都存在一些问题。一个简单的事实是,如果I S P管理你的D N S
服务器的话,它将提供什么样的安全措施来保护你的域区数据?什么样的域区数据需要被发
布?甚至当你自己管理D N S服务器时,如何限制外界对你的信息的访问数量?在Wi n d o w s
2 0 0 0中,结果是这样的:必须通过D N S发布许多敏感的信息。活动目录和域控制器的名字与
地址只是给用的,这些真的是你想要所有的人都能访问的信息吗?如果是我的网络那就不能
这样!第9章和第1 0章将回答许多问题。
当然所有这些都依赖于企业的结构和I S P制定的策略。建议如果你有管理资源,对网络中
的服务应采取尽量多的控制。如果你控制着自己的网络,当配置改变时就不会有多少困难,
并且可以通过考虑安全问题和允许发布的内容以加强自己的策略。但你也可能会遭到I S P的反
对。一些I S P不情愿把一块I P授权给你和允许你运行自己的服务器。如果是这样的话,就是该
考虑更换I S P的时候了。
6.3 获得在线与设置服务器
现在,你已经注册了自己的域,获得了与I n t e r n e t的连接,并且对你的网络的体系结构做
出了一些基本的决定,已经是开始建立服务器的时候了。但愿你是通过I S P安排所有的事情来
提供你自己的域名服务的,这意味着已建立了你的主服务器。你也需要决定你是否需要建立
本地的或远程的辅服务器。决定这些需求的第一步是回顾一下企业的构造以及用来提供数据
通信的网络体系结构。用多少台域名服务器以及它们如何放置,可能也会使网络安全性政策
复杂化。域名服务器需要通过防火墙工作吗?网络中需用多少路由器或多宽的带宽连接?将
要被使用的广域网的连接速度是多少?所有广域网的连接都是拨号式的吗?还有,企业有多
大,需要建立多少子域?
下列清单能帮你做好这些工作:
1 ) 建立与I S P的服务约定。
第6章和I n t e r n e t服务供应商合作65
• 得到I n t e r n e t在线连接。
• 得到分配的I P地址。
2 ) 建立你的网络并进行基本的连接测试(路由和协议)
• 保证能利用ping IP地址命令来到达I n t e r n e t。
• 保证你能用t e l n e t / f t p到达远程站点并且通过检测数据吞吐量。
3) 用一台主D N S服务器和至少一台辅服务器(或前向服务器,多个主服务器)建立你的域
名服务。
4 ) 在新的域名服务器上注册你想要注册的主机。
5 ) 完成你的企业的域注册,包括最新注册的主机。
6 ) 用所需数据构成你的D N S服务器的数据库(域区)。
7 ) 全面检测以保证它正常工作,最好是通过远程站点来进行(使用l o o k u p,选择一个远程
域名服务器来对你的域进行查询)。
8 ) 考虑你的安全问题,因为你已经“正在网上”了。
对于一个刚刚起步的小企业来说,单个域就足够了,并且它容易管理。如果是一个更大
的企业并且在地理上位置分散,那么不论是按部门划分还是按地区划分,运用子域都是一个
好主意。有防火墙的站点必须考虑一下设计问题。需要在防火墙上“砸”开一个洞以让域名
服务器的报文直接通过吗?建立和维护两台分离的域名服务器(一台在防火墙外,一台在防
火墙内),还是外部的域名服务器作为此域的辅服务器?如果使用“拆分( s p l i t - b r a i n)”式的
D N S(这样说是因为主域名服务器在防火墙的内外都存在),外部域名服务器就只发布想让外
界看到的本企业的主机。内部主服务器映射了域内的所有主机,但是被设置为要到外部D N S
服务器获取本域(域区)对外的主机。内部主服务器也被设置为外部主服务器的从属服务器,
从而保证了内部主机对I n t e r n e t的隐蔽性。如果你决定由I S P管理你的D N S的一部分,将I S P设
为域的主服务器也许是个好的建议,但是只发布你想公开的主机,这样可能减轻维护多个分
离的主服务器的负担。
地理上分散的企业在不同的办公室间经常有多个路由连接。如果整个企业都使用
Windows 2000操作系统,很有可能由远程控制器提供域名服务。活动目录的使用使远程域名
服务器的使用变得简单,因为所有的域名服务器都发布活动目录提供的相同的共享信息。如
果不是整个企业都使用Windows 2000。那么企业的报文模式就要被检测以确定多少百分比的
报文是对内部主机的以及多少是对外的。如果大部分的报文是对内部主机的,那么对远程的
分局使用服务器是一个明智的选择。对每个远程分局用了辅服务器以后,大多数的域名查询
就能够分布到分局本地的服务器上去。第9章和第1 0章讨论了这些问题的详细说明及落实情
况。
6.4 对域名服务器作出改变
一个域名服务器不应该改变它的I P地址,但有时候又是必要的。比如你的公用D N S的I S P
也许会改变。主机I P地址的改变其实很简单,但是在改变之前必须合理计划一下以防止系统
崩溃。如果不得不改变一台域名服务器的I P地址,就必须遵循一系列简单但又非常重要的步
骤。如果域名服务器在I n t e r N I C上注册,新的I P地址信息必须通过“主机修改模板”向
I n t e r N I C提交。如果是一台主服务器,修改模板就显得尤为重要。如果你的公司迁移到一个新
66第一部分理解域名系统
地方。就必须更新你的NIC Handle(联系信息)和主机信息。如果仅仅是改变I S P,只用“主
机修改模板”,就能正确地更新w h o i s数据库。见第1 3章中改变域名服务器I P地址的信息,以
及附录D中关于I n t e r N I C注册与修改的形式和细节问题。
幸运的是,主服务器和辅服务器是整个过程中真正关键的地方。你也许可以用几个步骤
使其变得简单。如果最终可能的话,你可能在向I n t e r N I C提交改变之前就建立好了新的I P地址
(也可能是新连接)。建立了新站点或新连接以后,就有充分的时间在作出任何重要改变之前
测试你的新建立。如果你移到了一个新地点,运用Windows 2000的活动目录集成能让建立新
域名服务器就像加一台机器作为重复主域名服务器一样简单。如果你只改变了I S P,给你的域
名服务器分配第三个I P地址并且让两个I P网络同时运行是比较明智的。这也给你一个机会去
测试你的服务,然后再作出改变。当所有的工作做完后,提交你的改变模板,然后等待改变
确认。接收到改变确认信息以后,就可以断开旧网络的接口或者作废旧网络的I P地址了。
以下步骤能帮你完成改变域名服务器I P地址的任务:
1) 域名服务器是向I n t e r N I C注册的吗?
• 如果不是,就只改变I P地址,更新本地域区数据,完成工作?
• 如果是转向第2步。
2) 这是一个简单的I P改变还是I S P改变?
• 如果是I S P改变,当两个I S P同时工作时调整一些覆盖。
3 ) 给域名服务器分配新的I P地址。
• 给网络接口分配了一个辅助地址是最容易的。
4 ) 更新你的域名服务器域区数据,以映射新的I P地址。
5 ) 更新域名服务器的主机注册。
6 ) 核实所做的改变并测试域名解析。
7 ) 移去/断开旧的I P地址和I S P连接。
当然,你的域(域区)文件内容完全在你的控制之下,你可以随时修改,在进行修改时
唯一的麻烦是进行域查询时指定给解析器的T T L值。这个值有时会很大。如果你计划移植一
些机器或对你的网络体系结构做出大的改变,最好在做出改变之前减少缺省的T T L值。这能
够增加在做出改变时你的域名服务器的流量。它也大大帮助了向新的I P地址的过渡并且在过
渡过程中能保证不丢失太多访问你的站点的人数。I n t e r n e t上的很多商业站点不能承受因为顾
客连接不上站点而造成的潜在顾客的损失。在通常情况下维护连接和保证主机可解析与可达
是一项艰巨的任务。在进行某种改变时,则更是异常困难。
6.5 小结
本章再次揭示了计划在D N S成功安装和改变过程中所扮演的重要角色,通过与I S P合作,
能够保证I n t e r n e t上的任何人访问你域内的主机,同时也能用最高效的方式进行移植的域区传
送。
第6章和I n t e r n e t服务供应商合作67