第五章规划DNS策略课件

Slide Title,Body Text,Second level,Third level,Fourth level,Fifth level,第,5,章 规划,DNS,策略,网络基本架构的规划和维护,第,1,章：,Windows Server 2003,网络设计与规划基础,第,2,章：规划和优化,TCP/IP,物理和逻辑网络,第,3,章：路由和交换的规划和故障排除,第,4,章：,DHCP,的规划、优化和故障排除,第,5,章：规划,DNS,策略,第,6,章：,DNS,优化和故障排除,第,7,章：规划和优化,WINS,第,8,章：群集服务器,第,9,章：规划安全基线安装,第,10,章：创建和管理数字证书,第,11,章：,IPSec,的规划和故障排除,第,12,章：规划网络访问,第,13,章：网络访问故障排除,第,14,章：,网络基本架构测试与维护,第,5,章：规划,DNS,策略,规划,DNS,服务器,名称空间规划,区域规划,规划区域复制和委派,集成,DNS,和,WINS,规划,DNS,服务器,多媒体演示：,DNS,客户端如何解析名称,确定,DNS,服务器的要求,确定,DNS,服务器的放置,多媒体演示：使用,DNS,服务器解析名称,DNS,服务器角色,Microsoft DNS,服务器安全的级别,规划,DNS,服务器的指导方针,5.1,规划,DNS,服务器,多媒体演示：,DNS,客户端如何解析名称,介绍,DNS,客户端是如何将主机名解析为,IP,地址的,目标：,掌握路由网络中,DNS,服务器的功能,确定完全合格的域名,掌握使用,DNS,服务器将主机名解析为,IP,地址的过程,域名系统是分等级的、分布式数据库，映射,DNS,域名到不同的数据类型，例如,IP,地址,DNS,是,Internet,名称方案的基础和企业名称方案的基础,DNS,通过字母名称访问资源,InterNIC,负责域名空间的委派管理和域名注册,DNS,可以解决以下日益增加的问题：,Internet,上的主机数目,由于更新产生的通信量,Host,文件的大小,回顾：域名系统,回顾：域名称空间,根域,子域,二级域,顶级域,FQDN:,south,nwtraders,com,sales,west,east,org,net,主机,:server 1,确定,DNS,服务器的要求,规划服务器容量,确定,DNS,服务器要载入并保存的区域的数量,针对服务器为服务载入的每一个区域，根据区域文件的大小或区域中使用的资源记录的数量来确定区域的大小,对于有多个主机的（不止一个,IP,地址）,DNS,服务器，确定在每个服务器的连接子网上能够侦听并服务,DNS,客户端的地址的数量,定义,DNS,服务器应该接受并服务的客户端,DNS,查询请求的总数,DNS,服务器系统要求,如果,DNS,不带有任何区域启动，大约使用,4 MB,的 内存,添加到服务器区域的每个资源记录大概约使用服务器内存的,100,个字节,5.1.1,确定,DNS,服务器的要求,确定,DNS,服务器的放置,DNS,服务器的放置,要部署,DNS,支持,Active Directory,，则确定,DNS,服务器计算机是否也是域控制器或将来会升级为域控制器,如果,DNS,服务器停止响应，确定它的本地客户端是否可以访问一个备用,DNS,服务器,如果,DNS,服务器在远离某些客户端的子网上，确定在路由的连接停止响应时可以使用哪些其他的,DNS,服务器或名称解析选项,所需服务器数量,5.1.2,确定,DNS,服务器的放置,多媒体演示：使用,DNS,服务器解析名称,说明使用,DNS,服务器解析名称的过,目标：,掌握,DNS,服务器的功能,定义使用,DNS,服务器解析名称的过程,确定查询类型,掌握,DNS,和,WINS,集成,DNS,服务器角色,一个或多个区域的权威服务器,非递归服务器,需要管理内部网络和互联网之间,DNS,流量,仅用于转发,想要不同网络中的,DNS,客户端解析相互的名称而又不必向,Internet,上的,DNS,服务器查询,条件转发,场景,角色,远程办事处连接到公司办事处的可用带宽量有限,仅用于缓存,5.1.3,DNS,服务器角色,使用可用的,DNS,安全特性，在域控制器上没有运行,DNS,服务器，在,Active Directory,中也没有存储,DNS,区域,中,使用和中级安全性相同的配置，,DNS,服务器服务在域控制器上运行且,DNS,区域存储在,Active Directory,中时，也使用可用的安全特性,高,定义,安全级别,没有配置任何安全预警,低,5.1.4,Microsoft DNS,服务器安全的级别,Microsoft DNS,服务器安全的级别,确定服务器要求,确定要实现的安全级别,确定,DNS,服务器的放置,确定服务器功能,5.1.5,Microsoft DNS,服务器安全的级别,Microsoft DNS,服务器安全的级别,目标：,规划并讨论保护,DNS,服务器配置,5.1.6,实验,5-1,：规划,DNS,服务器安全,实验,5-1,：规划,DNS,服务器安全,第,5,章：规划,DNS,策略,规划,DNS,服务器,名称空间规划,区域规划,规划区域复制和委派,集成,DNS,和,WINS,名称空间规划,多媒体演示：规划,DNS,名称空间策略,选择域名,DNS,名称空间选项,名称空间规划的最佳实践,规划名称空间的指导方针,5.2,名称空间规划,多媒体演示：规划,DNS,名称空间策略,提供规划,DNS,名称空间的指导原则,目标：,如何分割内部和外部名称空间,将此指导方针用于集成,Active Directory,名称空间和,DNS,名称空间,掌握为内部名称空间选择惟一名称的重要性,决定公共和专用名称空间的相关方式,说明规划层级名称空间的重要性,选择域名,选择域名时考虑以下因素：,ICANN,维护授权的顶级域名,标准的命名规则,需要单独的名称空间,检查域名以确保惟一性,5.2.1,选择域名,DNS,名称空间选项,相同,DNS,名称空间,委派名称空间,唯一名称空间,现有,DNS,名称空间,现有,DNS,名称空间,现有,DNS,名称空间,nwtraders.local,内部,DNS,名称空间,内部,DNS,名称空间,内部,DNS,名称空间,5.2.2,DNS,名称空间选项,使用专有名称,创建与,Active Directory,兼容的名称空间,分离的内部和外部名称空间,5.2.3,名称空间规划的最佳实践,名称空间规划的最佳实践,为域选择,DNS,名称空间,内部和外部服务器上名称空间分离,内部和外部使用不同的名称空间,5.2.4,规划名称空间的指导方针,规划名称空间的指导方针,目标：,规划能支持组织现有或将来规划的,DNS,名称空间,5.2.5,实验,5-2,：规划,DNS,名称空间,实验,5-2,：规划,DNS,名称空间,第,5,章：规划,DNS,策略,规划,DNS,服务器,名称空间规划,区域规划,规划区域复制和委派,集成,DNS,和,WINS,区域规划,选择区域类型,选择区域数据位置,区域安全考虑事项,规划区域的指导方针,5.3,区域规划,选择区域类型,定期查询目标服务器命名区域的更新,Active Directory,文件,提供有限的容错能力,文件,Active Directory,可能所在磁盘位置,传输到托管着辅助区域的服务器,辅助区域,提供有限的容错,复制到其他,Active Directory,集成区域,区域信息,存根区域,主区域,区域类型,拥有区域的只读信息,改善主区域低可靠性,改善本地和远程服务器性能,作为区域的更新点,能够读,/,写区域信息,单独管理区域信息 确保辅助区域服务器上该文件的副本是最新,改善名称解析效率,简化,DNS,管理,用途,5.3.1,选择区域类型,选择区域数据位置,用于整合现有,Active Directory,架构,针对,DNS,和,Active Directory,进行单点支持,Active Directory,集成区域,用于根服务器是传统,DNS,服务器,支持,Active Directory,整合区域作为委派区域,合并二者区域类型,用于整合现有的架构,单独支持,DNS,和,Active Directory,传统,DNS,区域,5.3.2,选择区域数据位置,区域安全考虑事项,Active Directory,中的安全动态更新,来自,DHCP,的动态更新,DNS,客户端的动态更新,区域权限,5.3.3,区域安全考虑事项,规划区域的指导方针,选择区域类型,确定区域集成的要求,选择区域的存储位置,确定区域安全要求,5.3.4,规划,区域的指导方针,实验,5-3,：规划区域,目标：,根据所给的场景确定将要实现的区域类型、区域存储位置和区域安全,5.3.5,实验,5-3,：规划区域,第,5,章：规划,DNS,策略,规划,DNS,服务器,名称空间规划,区域规划,规划区域复制和委派,集成,DNS,和,WINS,规划区域复制和委派,创建辅助区域的场合,区域传输和复制,区域传输的安全措施,区域委派,规划区域复制和委派的指导方针,5.4,规划区域复制和委派,创建辅助区域的场合,辅助区域创建：,提供区域冗余,减少网络通信量,减少主服务器上的负载,5.4.1,创建辅助区域的场合,区域传输和复制,区域类型,复制选项,Active Directory,集成区域,在,DNS,服务器中进行增量传输,调整,Active Directory,复制规划,标准,DNS,区域,在主要区域和辅助区域进行复制,进行增量传输而不是完全区域传输,Active Directory,集成区域,标准,DNS,区域,Active Directory,集成区域,Active Directory,集成区域,主要区域,辅助区域,复制,区域传输,5.4.2,区域传输和复制,区域传输的安全措施,限制区域传输,区域复制的安全,使用,IPSec,和,VPN,隧道加密,用,Active Directory,进行加密和身份验证,减少复制的影响,5.4.3,区域传输的安全措施,区域委派,提供把一个名称空间分割成多个区域的选项,使用委派区域场合：,需要把,DNS,域的管理委派给企业内的多个组织或部门。,需要把维护一个大的,DNS,数据库的负载分摊给多个名称服务器,5.4.4,区域委派,确定何时需要创建附加区域,确定复制方法,确定复制安全性要求,确定对区域委派的需求,5.4.5,规划区域复制和委派的指导方针,规划区域复制和委派的指导方针,目标：,规划区域复制和委派,讨论区域复制和委派规划,5.4.6,实验,5-4,：规划区域复制和委派,实验,5-4,：规划区域复制和委派,第,5,章：规划,DNS,策略,规划,DNS,服务器,名称空间规划,区域规划,规划区域复制和委派,集成,DNS,和,WINS,集成,DNS,和,WINS,多媒体演示：集成,DNS,和,WINS,WINS,集成,修改缓存超时设置,WINS,集成的最佳实践,5.5,集成,DNS,和,WINS,多媒体演示：集成,DNS,和,WINS,理解,DNS,区域配置了,WINS,正向查找时的名称解析过程,目标：,掌握,DNS,服务器如何使用,WINS,来解析主机名称,掌握权威,DNS,服务器要求,WINS,记录的原因,WINS,集成,WINS,资源记录,用于异构计算环境中,用于早期系统的兼容,WINS-R,资源记录,为在区域中未找到的反向查询提供更进一步的解析,WINS,反向查找,DNS,服务器从结点状态响应获得,NetBIOS,名称时，它将,DNS,域名附加到结点状态响应中所提供的,NetBIOS,名称，并将结果转发给发出请求的客户端,5.5.1,WINS,集成,修改缓存超时设置,WINS,中的数据很少更改，可以延长数据缓存时间,延长数据缓存时间，将减少,DNS,服务器和,WINS,服务器之间的查询次数,5.5.2,修改缓存超时设置,WINS,集成的最佳实践,为,WINS,解析指定子