引言：為方便用戶訪問業(yè)務系統(tǒng)，不少企業(yè)會創(chuàng)建DNS系統(tǒng)供內(nèi)部域名解析使用，但是對于采取多地辦公模式的企業(yè)來說，DNS域名解析與集中辦公模式有很大的不同，如何合理部署DNS系統(tǒng)，從而保證各地的分支機構都能準確、高效地獲得域名的解析是亟需解決的問題。本文結合實際案例介紹了一套多地辦公環(huán)境下DNS部署的解決方案。

背景

某公司屬于四地辦公模式，包 括 A、B、C、D四個不同的辦公地點，為節(jié)約辦公成本以及提高工作效率，公司采取了“統(tǒng)一數(shù)據(jù)中心+分支機構”的IT架構；其中A屬于公司總部兼數(shù)據(jù)中心，所有的業(yè)務系統(tǒng)均部署在A地；其余三地屬于分支機構，分別通過租用的運營商專線與數(shù)據(jù)中心通信，訪問相應的業(yè)務系統(tǒng)，這樣就形成了一套星型結構的內(nèi)部業(yè)務辦公網(wǎng)絡。四地分別有獨立的Internet線路供用戶上網(wǎng)，同時部署有DHCP服務器，供本地用戶分配IP配置，DHCP服務器均采用Windows server 2008下自帶的DHCP服務；四地進行了統(tǒng)一的IP地址規(guī)劃，各地網(wǎng)絡的相關信息如下表1所示。

表1 公司四地網(wǎng)絡信息表

除A地用戶外，其余三地的分支機構所有用戶流量有兩種類型，一種是通過本地Internet線路訪問互聯(lián)網(wǎng)的流量， 另外一種是通過專線訪問A地數(shù)據(jù)中心的業(yè)務流量，這兩類流量通過路由指向來進行區(qū)分，達到B、C和D三地與A地之間的內(nèi)部網(wǎng)絡互通，使所有用戶均可以利用IP地址來訪問A地的業(yè)務系統(tǒng)。由于不涉及到內(nèi)部域名的解析，所以四地均不用部署DNS服務器，直接利用DHCP為用戶下發(fā)本地運營商的DNS服務器IP即可。

近期，公司數(shù)據(jù)中心上線了一臺負載均衡設備，是要對重要業(yè)務系統(tǒng)做負載均衡，同時達到雙機冗余、消除單點故障的效果；要做到發(fā)生故障時，主備服務器能夠實時切換，最基本的就是用戶需要采用域名來訪問業(yè)務系統(tǒng)。這樣就需要為各業(yè)務系統(tǒng)設置域名，并保證用戶能夠對這些域名進行正確解析，如何滿足四地用戶域名解析需求，并最大限度保證穩(wěn)定性以及后期維護的便利性是要重點考慮的問題。

實施思路

由于涉及到多地辦公，域名解析必須保持一致性，而且不能影響用戶正常訪問Internet資源。經(jīng)過分析，主要有三種解決方案：

一、采用集中式部署DNS服務器的方式，在A地部署一臺DNS服務器用于解析所有業(yè)務系統(tǒng)的域名，同時設置相應的轉發(fā)器，將訪問Internet的解析請求轉發(fā)到A地運營商的DNS服務器上，同時將四地的DHCP服務器的DNS選項修改為該DNS服務器，這樣就能保證四地所有的用戶均使用該DNS服務器進行域名解析。這種集中部署的方式顯然最方便管理，但是B、C、D三地的用戶訪問Internet會存在一些問題，因為這三地的Internet運營商與A地的并不一致。由于B、C、D三地的用戶訪問Internet使用的均是A地運營商的DNS服務器，很多網(wǎng)站針對不同運營商會發(fā)布不同的解析記錄，這樣就會導致這三地的用戶獲取不了正確的解析記錄，導致訪問部分網(wǎng)站異常。即使四地的Internet運營商一致，但是同一運營商的不同地區(qū)的DNS也不一致，這種“舍近求遠”的域名解析方式會影響用戶的上網(wǎng)體驗。

二、采用寫hosts文件的方式進行解析。眾所周知，Windows操作系統(tǒng)中存在一個hosts文件可以用于域名解析，而且hosts文件的解析優(yōu)先級要高于指定的DNS服務器，hosts文件是一個可編輯的文本文件，位于C：windowssystem32driversetc目錄下，只要在用戶主機上將業(yè)務系統(tǒng)的域名解析記錄寫入hosts文件中，即可完成內(nèi)部域名解析功能。這種方式下hosts文件負責內(nèi)部域名解析，本地運營商DNS負責Internet域名解析，不需要單獨搭建DNS服務器，但是由于需要解析的域名眾多，所有用戶主機均需要重新編輯hosts文件，工作量太大，如果后期域名解析記錄發(fā)生變更的話，工作量更加難以想象，所以這種方式并不適合大規(guī)模推廣。

表2 四地域名解析情況表

三、采用分布式部署DNS服務器的方式，四地均單獨部署一臺DNS服務器，其中A地的DNS服務器負責所有業(yè)務系統(tǒng)域名的集中解析，并負責將A地用戶的Internet域名解析請求轉發(fā)到A地運營商DNS服務器上；B、C、D三地的DNS服務器僅僅需要設置兩個轉發(fā)功能，一個是將業(yè)務系統(tǒng)域名解析請求轉發(fā)到A地DNS服務器上，另一個是將訪問Internet的域名解析請求轉發(fā)到本地運營商的DNS服務器上；四地的DHCP服務器上的DNS選項需要修改為各自本地的DNS服務器。這種方式可以保證不同的域名解析請求轉發(fā)到對應的DNS服務器進行解析；各地域名解析情況如下表2所示。

從上述三種方案可以看出，唯有方案三最符合實際需求，盡管方案三需要在各地單獨部署DNS服務器，但是B、C、D三地的DNS服務器實質上只起到了轉發(fā)器的功能，配置和維護非常簡單；如果后期DNS解析記錄發(fā)生變更，只需要在A地DNS服務器上進行修改即可，維護工作量很小。由于DHCP服務和DNS服務占用系統(tǒng)資源并不多，可以在各自原有的本地DHCP服務器上開啟DNS服務，不再單獨配備DNS服務器，這樣可以有效節(jié)約服務器資源。

實施步驟

根據(jù)方案三的實施思路，A地DNS服務器配置方法與其余三地不一樣，下面將分別對A地DNS配置和其余分支機構的DNS配置步驟進行說明：

一、A地DNS服 務器的配置過程：首先在A地DHCP服務器中的服務器管理器中添加“DNS服務器”角色，按照提示步驟安裝完畢，然后新建一個轉發(fā)器，轉發(fā)器的IP為A地運營商DNS服務器的IP，用于轉發(fā)A地用戶訪問Internet的DNS解析請求；然后新建相關的正向查找區(qū)域和反向查找區(qū)域，用于內(nèi)部業(yè)務系統(tǒng)域名的解析；這兩步完成之后，A地的DNS服務器就搭建完畢，然后將DHCP服務器上各個作用域的DNS選項全部修改為192.168.0.253，這樣就完成了A地DNS服務器的所有配置工作。

二、B、C、D 三 地 DNS服務器的配置過程：三地的DNS服務器配置方法類似，首先在本地DHCP服務器上添加“DNS服務器”角色，啟用DNS服務，然后新建一個條件轉發(fā)器，“DNS域”設置為“domain.com”（內(nèi)部域名），“主服務器的IP地址”設置為A地的DNS服務 器 IP（192.168.0.253），這樣就保證了本地用戶訪 問“domain.com” 域的域名解析請求均轉發(fā)到 192.168.0.253；接著再創(chuàng)建一個轉發(fā)器，轉發(fā)器的IP設置為本地運營商的DNS服務器IP，用于轉發(fā)本地用戶訪問Internet的DNS解析請求。最后再將本地DHCP服務器上的各個作用域的DNS選項全部變更為本地DNS的IP，其中B地作用域的DNS選項 設 為192.168.2.253，C地作用域的DNS選項設 為 192.168.3.253，D 地作用域的DNS選項設為192.168.4.253。

完成上述配置步驟后，四地用戶通過各自的DHCP服務器獲取到相應的IP配置，域名解析的請求也會轉發(fā)到正確的DNS服務器上，這種多地辦公域名解析的問題即可迎刃而解。

總結

本文所實施的方案除了能夠滿足分支機構域名解析的需求，而且具備零投資費用、維護方便、擴展性良好等優(yōu)點，適合同樣網(wǎng)絡環(huán)境的企業(yè)借鑒，未來如果有新的分支機構接入或者有其他域名需要解析，可以很方便進行擴展，也為未來實施AD域項目奠定了基礎。