DNS 区域

DNS 区域是托管在 DNS 服务器上的 DNS 命名空间的特定部分。 DNS 区域包含资源记录,DNS 服务器响应对该命名空间中记录的查询。 例如,获得授权将 www.contoso.com 解析为 IP 地址的 DNS 服务器将托管 contoso.com 区域。

DNS 区域内容可以存储在文件或 Active Directory 域服务 (AD DS) 中。 当 DNS 服务器将区域存储在文件中时:

  • 该文件位于服务器上的本地文件夹中。
  • 此区域只有一个副本是可写的。
  • 其他只读副本称为辅助区域。

存储在 AD DS 中的 DNS 区域称为 Active Directory 集成的区域。 Active Directory 集成区域仅适用于安装了 DNS 服务器角色的域控制器。

DNS 区域类型

DNS 服务器服务支持以下类型的区域:

  • 主要区域。
  • 辅助区域。
  • 存根区域。
  • 反向查找区域。

主要区域

托管主要区域的 DNS 服务器是有关此区域的信息的主要来源。 它将区域数据存储在本地文件或 AD DS 中。 若要创建、编辑或删除资源记录,必须使用主要区域。 辅助区域是主要区域的只读副本。

你可以将标准主要区域存储在本地文件中,也可以将区域数据存储在 AD DS 中。 在 AD DS 中存储区域数据时,可以使用其他功能,例如安全动态更新以及托管区域的每个域控制器充当主控制器并能够处理对区域的更新。 在文件中存储区域时,主要区域文件默认命名为 zone_name.dns,且位于服务器上的 %windir%\System32\Dns 文件夹中。

部署 Active Directory 时,会自动创建与组织 AD DS 域名关联的 DNS 区域。 默认情况下,AD DS DNS 区域将复制到域中配置为 DNS 服务器的任何其他域控制器。 还可以将 Active Directory 集成的 DNS 区域配置为复制到 AD DS 林中的所有域控制器,或在特定 AD DS 域分区中注册的特定域控制器。

辅助区域

辅助区域是主要区域的只读副本。 当此 DNS 服务器承载的区域为辅助区域时,此 DNS 服务器则是此区域相关信息的辅助来源。 必须从同时承载该区域的另一台远程 DNS 服务器计算机上获取此服务器上的区域。 此 DNS 服务器必须可以通过网络访问为此服务器提供区域相关更新信息的远程 DNS 服务器。 由于辅助区域只是在另一台服务器上托管的主要区域的副本,因此不能作为 Active Directory 集成的区域存储在 AD DS 中。

在大多数情况下,辅助区域会定期直接从主要区域复制资源记录。 但在某些复杂的配置中,辅助区域可以从其他辅助区域复制资源记录。

存根区域

存根区域仅包含有关该区域的权威名称服务器的信息。 DNS 服务器托管的区域必须从托管该区域的另一个 DNS 服务器获取其信息。 此 DNS 服务器必须可以通过网络访问用于复制区域相关的权威名称服务器信息的远程 DNS 服务器。

您可以使用存根区域执行下列操作:

  • 使委派的区域信息始终保持最新状态。 DNS 服务器定期更新其子区域的存根记录,托管父区域和存根区域的 DNS 服务器将保持该子区域的权威 DNS 服务器列表最新。
  • 改进名称解析。 存根区域使 DNS 服务器可以使用存根区域的名称服务器列表来执行递归,而不必查询 Internet 或 DNS 命名空间的内部根服务器。
  • 简化 DNS 管理。 通过在整个 DNS 结构中使用存根区域,可以分发区域的权威 DNS 服务器列表,而不必使用辅助区域。 但是,存根区域与辅助区域作用不同,它们不是用于增强冗余性和共享负载的备用区域。

加载和维护存根区域涉及 DNS 服务器的两个列表:

  • DNS 服务器从中加载和更新存根区域的名称服务器的列表。 名称服务器可以是该区域的主要或辅助 DNS 服务器。 在这两种情况下,均包含该区域的 DNS 服务器的完整列表。
  • 区域的权威 DNS 服务器的列表。 此列表包含在使用名称服务器 (NS) 资源记录的存根区域中。

当 DNS 服务器加载存根区域(例如 widgets.tailspintoys.com)时,它会查询名称服务器(可能位于不同位置)以获取区域 widgets.tailspintoys.com 的权威服务器的必要资源记录。 名称服务器列表可能包含一台或多台服务器,并且可以随时更改。

存根区域是区域的一个副本,它仅包含标识该区域的权威域名系统 (DNS) 服务器所必需的资源记录。 通常,可以使用存根区域在单独的 DNS 命名空间之间解析名称。

使用子区域时,应考虑:

  • 存根区域无法在获得同一区域授权的 DNS 服务器上托管。
  • 如果将存根区域集成到 AD DS 中,则可指定托管存根区域的 DNS 服务器是使用名称服务器的本地列表还是存储在 AD DS 中的列表。 如果要使用本地名称服务器列表,必须具有每个名称服务器的 IP 地址。

反向查找区域

在大多数域名系统 (DNS) 查找中,客户端通常执行正向查找,即基于另一台计算机的 DNS 名称(当存储在主机 (A) 资源记录中时)的搜索。 此类型的查询预期将 IP 地址作为应答响应的资源数据。

DNS 还提供反向查找过程,在此过程中,客户端使用已知的 IP 地址并根据其地址查找计算机名称。 反向查找采用问题的形式,如“是否可以告诉我使用 IP 地址 192.168.1.20 的计算机的 DNS 名称?”

in-addr.arpa 域已在 DNS 标准中定义,并被保留在 Internet DNS 命名空间中,从而可以以可行且可靠的方式执行反向查询。 为创建反向命名空间,通过对 IP 地址点分十进制表示法形式的数字进行反向排序,可以形成 in-addr.arpa 域中的子域。

in-addr.arpa 域适用于基于 Internet 协议版本 4 (IPv4) 寻址的所有 TCP/IP 网络。 新建区域向导会自动假定你在创建新的反向查找区域时使用此域。

在构建 in-addr.arpa 域树时,IP 地址八进制值的顺序必须是反向的。 在为组织分配 Internet 定义的地址类中特定或有限的 IP 地址集时,可以将 DNS in-addr.arpa 树的 IP 地址委派给组织。

区域传送设置

通过区域传送,可以控制在什么情况下从主要区域复制辅助区域。 若要提高 DNS 基础结构的安全,请允许区域仅对区域的名称服务器 (NS) 资源记录中的 DNS 服务器或对指定的 DNS 服务器进行复制。 如果允许所有 DNS 服务器执行区域传送,则允许将内部网络信息传递到可以联系 DNS 服务器的所有主机。

区域委派

可以将域名系统 (DNS) 命名空间划分为一个或多个区域。 您可以通过委派对应区域的管理,将部分命名空间的管理委派给组织内的其他位置或部门。 例如,从 contoso.com 区域委派 australia.contoso.com 区域。

委派一个区域时,请记住,对于创建的每个新区域,需要其他区域中指向新区域的权威 DNS 服务器的委派记录。 对于传输授权和提供新区域授权的新服务器对其他 DNS 服务器和客户端的正确引用,委派记录都是必要的。

后续步骤