■江蘇 孫秀洪

編者按：域名解析是網(wǎng)絡(luò)管理人員必備的一項技能，本文列舉了域名解析可能出現(xiàn)的一些問題，希望對大家的工作有所幫助。

為了改善域名解析（以下稱DNS）服務(wù)器自身運行安全性，不少網(wǎng)管員會將服務(wù)器中平時用不到的系統(tǒng)服務(wù)端口全部關(guān)閉掉，而僅將少數(shù)幾個正在使用的服務(wù)端口保留下來。要想將DNS服務(wù)器使用的服務(wù)端口配置保留下來，該保留什么端口號碼呢？

答：DNS服務(wù)工作端口號碼一般存儲在“services”文件中，打開該文件，就能看到DNS服務(wù)端口號碼了，下面就是詳細查看步驟：首先進入DNS服務(wù)器的資源管理器窗口，進入“system32driversetc”文件夾窗口，用鼠標右鍵單擊該窗口中的“services”文件，執(zhí)行快捷菜單中的“打開方式”命令，點擊“記事本”應(yīng)用程序，來打開“services”系統(tǒng)文件。之后，依次選擇文本編輯界面中的“編輯”、“查找”命令，切換到查找設(shè)置框，輸入“Domain Name”關(guān)鍵字，按下“查找下一個”按鈕，這樣鼠標指針就會自動出現(xiàn)于域名解析服務(wù)內(nèi)容描述處，在這里，用戶就能直觀地看到域名解析服務(wù)正在使用的協(xié)議有TCP、UDP這兩種類型，而對應(yīng)端口號碼全部為“53”，日后只要將“53”端口開通，就能保證域名解析服務(wù)正常工作了。

用戶上網(wǎng)輸入的網(wǎng)站域名，是怎樣被轉(zhuǎn)換成IP地址的呢？

答：當客戶端系統(tǒng)需要解析網(wǎng)站域名時，它就會自動查詢DNS服務(wù)器。用戶向DNS服務(wù)器發(fā)出的每個查詢請求，本質(zhì)是請其提供地址解析記錄。例如，用戶要想解析www.abc.com站點域名時，會自動向指定的DNS服務(wù)器發(fā)出查詢請求，請求信息中指定了www查詢類型，這個查詢過程其實分為了兩個步驟：首先詢問DNS服務(wù)器中有沒有與名稱為“abc.com”域?qū)?yīng)的www資源記錄，然后再詢問能不能將其www記錄解析為主機記錄，并解析其IP地址。當普通計算機收到來自DNS服務(wù)器的響應(yīng)時，會自動讀取并解釋www記錄并獲得A記錄，從而獲得目標網(wǎng)站的IP地址。

眾所周知，合理通過DNS緩存功能，可以提高DNS解析效率，提高上網(wǎng)瀏覽速度；不過，默認狀態(tài)下，Windows系統(tǒng)的域名解析緩存容量有限，能保存的域名解析記錄有限，請問怎樣增大域名解析緩存容量，以便讓客戶端系統(tǒng)能緩存更多域名解析記錄？

答：可以打開系統(tǒng)注冊表編輯窗口，逐一跳轉(zhuǎn)到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices域 名 解 析cacheParameters注 冊表分支上，在目標分支下創(chuàng)建一個“CacheHash TableBucketSize”雙字節(jié)值，同時將該鍵值的數(shù)值設(shè)置為“十進制”的“384”，并按“確定”按鈕返回；再按同樣的方法，在“Parameters”分支下面依次創(chuàng)建好“MaxCache EntryTtlLimit”雙字節(jié)值、“CacheHash TableSize”雙 字 節(jié) 值、“MaxSOACache EntryTtlLimit”雙字節(jié)值，并將它們對應(yīng)的數(shù)值依次設(shè)置 為“301”、“64000”、“300”，完成上述設(shè)置后重新啟動Windows系統(tǒng)，這樣客戶端系統(tǒng)的域名解析緩存容量就會增大了，那么該系統(tǒng)上網(wǎng)瀏覽效率就能提升很多。

當客戶端系統(tǒng)從DHCP服務(wù)器那里自動獲得上網(wǎng)地址時，如何讓DNS服務(wù)器的正向、反向搜索能同步自動更新？

答：很簡單，只要以系統(tǒng)管理員權(quán)限登錄DHCP服務(wù)器，打開該服務(wù)器的DHCP控制臺窗口，點選“動態(tài)域名解析”標簽，選中對應(yīng)標簽頁面中的“啟用域名解析客戶信息的動態(tài)更新”復(fù)選項，再根據(jù)實際需要選擇合適的更新方式，例如可以選擇“總是更新正向和反向搜索”方式或選擇“根據(jù)客戶請求更新”方式，來啟用域名解析服務(wù)器的客戶信息更新功能。

如果想讓域名解析服務(wù)器也能自動更新非動態(tài)客戶信息時，可以選中“對非動態(tài)域名解析客戶更新”選項；如果想讓域名解析服務(wù)器在客戶租約期限到期后自動取消對客戶正向搜索，可以選中“當租約過期時取消正向搜索”選項。

如果缺省的DNS服務(wù)器發(fā)生故障，無法正常提供域名解析服務(wù)時，該如何申請新的DNS服務(wù)器來替代舊的服務(wù)器呢？

答：現(xiàn)在提供免費DNS的服務(wù)商有很多，我們可以按需選擇一個合適站點申請該服務(wù)。例如，我們可以打開http://www.4y.cn/頁面，點擊右上方區(qū)域的“免費注冊”按鈕，依照頁面提示輸入相關(guān)注冊信息，其中電子郵件地址必須填寫正確，確認提交后后臺系統(tǒng)會自動將用戶密碼發(fā)送到指定電子信箱中。接著使用注冊獲得的賬號資料登錄管理中心，點選“域名服務(wù)”位置處的“DNS管理”選項，在對應(yīng)選項文本框中輸入無法正常解析的域名，提交后按下“結(jié)算”按鈕即可，沒有多長時間，系統(tǒng)會提示交易成功。之后，依次點擊“業(yè)務(wù)管理”、“域名維護”選項，將域名的DNS調(diào)整為“ns1.4everdns.com”和“ns2.4everdns.com”， 執(zhí)行保存操作返回。下面登錄原域名控制面板，切換到“域名管理”設(shè)置區(qū)域，按下“修改域名DNS”按鈕，將“填寫具體信息”選中，同時在“主域名服務(wù)器名字”文本框中輸入“ns1.4everdns.com”，在“輔域名服務(wù)器名字”文本框中輸入“ns2.4everdns.com”。 結(jié)束上述設(shè)置操作后，一般要等待24小時，新申請的DNS服務(wù)器才能生效。當域名生效后，再次返回到之前的域名維護頁面，設(shè)置好郵件記錄、A記錄以及子域名等。

停用了Windows系統(tǒng)的域名解析 Client服務(wù)，客戶端系統(tǒng)就不能成功完成地址解析任務(wù)，請問這種說法正確嗎？

答：筆者認為是錯誤的，之所以很多用戶會有這樣不正確的認識，主要在于微軟的誤導(dǎo)。在Windows的服務(wù)管理中，微軟對域名解析Client服務(wù)是這樣解釋的，“為此計算機解析和緩沖域名系統(tǒng)(域名解析)名稱。如果此服務(wù)被停止，計算機將不能解析域名解析名稱并定位Active Directory域控制器。如果此服務(wù)被禁用，任何明確依賴它的服務(wù)將不能啟動?！蔽④涍@樣的解釋是很不負責任的話。其實域名解析Client服務(wù)僅僅是客戶端系統(tǒng)對域名解析解析內(nèi)容的緩存服務(wù)，關(guān)閉了該服務(wù)并不會對域名解析解析操作造成影響，只是客戶端系統(tǒng)無法繼續(xù)緩存域名解析解析內(nèi)容了。關(guān)閉這個系統(tǒng)服務(wù)，對上網(wǎng)瀏覽影響不是很大，從安全角度來看，啟用該服務(wù)反而能泄漏用戶的緩存內(nèi)容，因為通過緩存內(nèi)容就能確定用戶曾經(jīng)訪問過的網(wǎng)頁內(nèi)容。從上網(wǎng)速度來看，關(guān)閉該系統(tǒng)服務(wù)可能會降低上網(wǎng)反應(yīng)速度，不過影響一般不是很大。

在局域網(wǎng)域工作環(huán)境中，當將域控制器的DNS參數(shù)配置成ISP提供的DNS服務(wù)器地址時，系統(tǒng)為什么會生成錯誤的消息提示？

答：這種現(xiàn)象只會在域控制器系統(tǒng)中出現(xiàn)，因為為了方便局域網(wǎng)中其他客戶端系統(tǒng)或域控制器查詢活動目錄信息，主域控制器系統(tǒng)需要通過netlogon服務(wù)在DNS服務(wù)器中注冊一些信息，要是將該系統(tǒng)的DNS參數(shù)配置成ISP提供的DNS服務(wù)器地址，那么netlogon服務(wù)將無法在其中注冊信息，從而會導(dǎo)致系統(tǒng)生成錯誤的消息提示。

Windows Server 2008系統(tǒng)在默認狀態(tài)下并沒有安裝域名解析服務(wù)器組件，請問如何安裝、配置域名解析服務(wù)器？

答：首先要以系統(tǒng)管理員權(quán)限登錄Windows Server 2008系統(tǒng)，其次在該系統(tǒng)中依次單擊“開始”、“設(shè)置”、“控制面板”命令，打開系統(tǒng)控制面板窗口，雙擊其中的“添加或刪除程序”選項，點擊“添加/刪除Windows組件”按鈕，彈出Windows系統(tǒng)組件添加向?qū)Т翱?；之后依次選中“網(wǎng)絡(luò)服務(wù)”選項，單擊“詳細信息”按鈕，選中“域名解析服務(wù)”，再按照向?qū)J提示完成安裝操作，就能安裝好域名解析服務(wù)組件了。

在配置域名解析服務(wù)器時，可以依次單擊“開始”、“設(shè)置”、“控制面板”命令，雙擊控制面板窗口中的“管理工具”、“域名解析”圖標，展開服務(wù)器系統(tǒng)的域名解析控制臺窗口；單擊該界面中的“操作”菜單項，選擇“配置服務(wù)器”命令，再按照向?qū)崾疽来闻渲糜蛎馕龇?wù)器的區(qū)域名稱、網(wǎng)絡(luò)標識參數(shù)，同時添加好相關(guān)的主機記錄即可。

為了防止本地DNS不能解析，很多網(wǎng)絡(luò)管理員都會啟用DNS轉(zhuǎn)發(fā)器，以提高域名解析解析成功率，請問如何配置DNS轉(zhuǎn)發(fā)器？

答：先以系統(tǒng)管理員權(quán)限登錄域名解析服務(wù)器所在主機系統(tǒng)，打開域名解析控制臺界面，右擊域名解析服務(wù)器所在主機圖標，點選右鍵菜單中的“屬性”命令，彈出域名解析服務(wù)器屬性對話框；點選“轉(zhuǎn)發(fā)器”選項卡，在對應(yīng)選項設(shè)置頁面中選擇“啟用轉(zhuǎn)發(fā)器”選項，再在“IP地址”位置處輸入Internet網(wǎng)絡(luò)上真正可以提供域名解析服務(wù)的域名解析服務(wù)器地址，這樣局域網(wǎng)域名解析服務(wù)器只要收到客戶端系統(tǒng)的域名解析申請，轉(zhuǎn)發(fā)器就能自動將申請請求發(fā)送給真實域名解析服務(wù)器去處理，日后再將結(jié)果轉(zhuǎn)發(fā)給客戶端系統(tǒng)。

為了破壞DNS服務(wù)器的穩(wěn)定運行，很多惡意用戶經(jīng)常會使用DDoS攻擊方式，對其進行攻擊破壞，請問怎樣預(yù)防DDoS攻擊DNS服務(wù)器？

答：首先在經(jīng)濟允許的情況下，將DNS服務(wù)器部署在性能配置足夠高、硬盤容量足夠大的主機系統(tǒng)中，確保黑客在消耗DNS服務(wù)器系統(tǒng)資源的同時，其自身攻擊能量也在迅速消耗，或等DNS服務(wù)器沒有被攻擊癱瘓，黑客自己已無力攻擊了；其次部署專門的入侵檢測系統(tǒng)，來保護DNS服務(wù)器的安全運行；第三對DNS服務(wù)器所在主機系統(tǒng)進行優(yōu)化，關(guān)閉系統(tǒng)平時很少用到的服務(wù)和端口，切斷黑客攻擊通道；第四使用專業(yè)安全工具分析DNS數(shù)據(jù)報文，尋找導(dǎo)致流量急劇放大的可疑數(shù)據(jù)報文，并對它們執(zhí)行過濾操作。

當嘗試將Windows系統(tǒng)的DNS Client服務(wù)配置成停止運行狀態(tài)時，終端計算機系統(tǒng)就無法成功進行地址解析操作，請問這種說法是否正確？

答：不正確，之所以不少人會有這樣的認識，主要在于微軟的誤導(dǎo)。在Windows的服務(wù)管理中，微軟對DNS Client服務(wù)是這樣解釋的，“為此計算機解析和緩沖域名系統(tǒng) (DNS)名稱。如果此服務(wù)被停止，計算機將不能解析DNS名稱并定位Active Directory域控制器。如果此服務(wù)被禁用，任何明確依賴它的服務(wù)將不能啟動。”微軟這樣的解釋是很不負責任的話。其實DNS Client服務(wù)僅僅是客戶端系統(tǒng)對DNS解析內(nèi)容的緩存服務(wù)，關(guān)閉了該服務(wù)并不會對DNS解析操作造成影響，只是客戶端系統(tǒng)無法繼續(xù)緩存DNS解析內(nèi)容了。關(guān)閉這個系統(tǒng)服務(wù)，對上網(wǎng)瀏覽影響不是很大，從安全角度來看，啟用該服務(wù)反而能泄漏用戶的緩存內(nèi)容，因為通過緩存內(nèi)容就能確定用戶曾經(jīng)訪問過的網(wǎng)頁內(nèi)容。從上網(wǎng)速度來看，關(guān)閉該系統(tǒng)服務(wù)可能會降低上網(wǎng)反應(yīng)速度，不過影響一般不是很大。

請問怎樣在Windows客戶端系統(tǒng)中，查看域名解析緩存中的內(nèi)容？

答；可以依次單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行對話框中，執(zhí)行“cmd”命令，切換到DOS命令行工作窗口，在命令行提示符中輸入“ipconfig/display域名解析”命令，按回車鍵后，就能在命令返回的結(jié)果信息中查看到域名解析緩存內(nèi)容了。

有時，黑客會使用遞歸查詢模式，拒絕特定DNS服務(wù)器對外提供域名解析服務(wù)，破壞用戶正常使用域名訪問。為了避免這種現(xiàn)象，請問如何關(guān)閉DNS服務(wù)器的遞歸查詢模式？

答：在DNS服務(wù)器所在主機系統(tǒng)，打開DNS管理器控制臺界面，右擊本地主機名稱，選擇右鍵菜單中的“屬性”命令，彈出DNS服務(wù)器屬性對話框，選擇“高級”選項卡，檢查高級選項設(shè)置頁面中的“停用遞歸”選項是否處于選中狀態(tài)，一旦發(fā)現(xiàn)它還沒有被選中時，可以及時將它重新選中，再按“確定”按鈕即可。此外，也能在DOS窗口下，執(zhí)行“dnscmd ServerName/Config/NoRecursion 1”命令（這里的“ServerName”為 DNS服務(wù)器的主機名稱），關(guān)閉遞歸查詢功能。

在Unix系統(tǒng)環(huán)境中，如何配置域名解析地址參數(shù)？

答：Unix的域名解析配置信息主要保存在“/etc/resolv.conf”文件中，因此只要編輯修改該文件，就能輕松完成域名解析地址參數(shù)配置任務(wù)了。

一般來說，網(wǎng)管員在配置域名解析服務(wù)器的正向查詢區(qū)域時，都需要將“.”區(qū)域刪除掉，請問這是什么原因？

答：“.”區(qū)域通常表示本地域名解析服務(wù)器就是根服務(wù)器，而本地域名解析服務(wù)器往往只能解析有限的幾個內(nèi)部網(wǎng)站域名，而無法解析更多的外部網(wǎng)站域名；只要該區(qū)域存在，那么本地系統(tǒng)的域名解析服務(wù)就無法使用系統(tǒng)默認的根提示服務(wù)器，去解析Internet網(wǎng)絡(luò)中的網(wǎng)站域名，這樣就容易造成上網(wǎng)瀏覽失敗故障。此外，本地域名解析服務(wù)器容易發(fā)生故障，而系統(tǒng)默認的根提示服務(wù)器卻有一定的冗余，這也是刪除“.”區(qū)域的原因之一。

倘若黑客破壞掉域名解析服務(wù)器的配置信息，那么會造成域名解析服務(wù)無法正常工作，請問有沒有辦法保護域名解析配置信息？

答：由于域名解析配置信息幾乎都保存在域名解析文件夾中以及相關(guān)注冊表分支中，只要對它們的訪問權(quán)限進行控制，就能保護好域名解析配置信息。

具體做法為：首先打開域名解析服務(wù)器所在系統(tǒng)的注冊表編輯窗口，依次跳轉(zhuǎn) 到HKEY_LOCAL_MACHINECurrentControlSetServices域名解析分支上，用鼠標右鍵單擊域名解析分支，從右鍵菜單中執(zhí)行“權(quán)限”命令，彈出權(quán)限設(shè)置對話框，在這里刪除所有用戶賬號，僅將合法賬號添加進來，并為它們分配合適的訪問權(quán)限。其次打開系統(tǒng)資源管理器窗口，選中“%system_directory%域 名解析”文件夾，右擊該文件夾圖標，點選右鍵菜單中的“安全”命令，彈出安全選項設(shè)置頁面，在這里僅為合法用戶授予適當?shù)脑L問權(quán)限，刪除所有不信任用戶賬號。

有惡意用戶會使用DNS高速緩存，來欺騙攻擊DNS服務(wù)器，影響用戶的正常上網(wǎng)訪問，請問怎樣遠離這種非法攻擊？

答：有下面幾種措施：一是在遇到瀏覽故障時，手工刷新DNS緩存，破壞黑客的欺騙攻擊；在進行這種操作時，只要打開DOS命令行工作窗口，輸入“ipconfig/flushdns”命令，按回車鍵即可。

二是啟用防止緩存污染功能，避免DNS服務(wù)器緩存被黑客攻擊；只要打開DNS服務(wù)器屬性對話框，點選“高級”選項卡，選中對應(yīng)選項設(shè)置頁面中的“防止緩存污染”選項，再重新啟動DNS服務(wù)器系統(tǒng)即可。

三是關(guān)閉DNS緩存功能，讓黑客無法利用DNS緩存漏洞實施欺騙攻擊；在關(guān)閉DNS緩存時，可以通過執(zhí)行“net stop dnscache”命令，臨時關(guān)閉DNS緩存功能，也可以停用DNS Client服務(wù)，來永久關(guān)閉DNS緩存功能。

四是修改DNS服務(wù)器的TTL值，讓其變得稍微小一些，以便預(yù)防DNS緩存中毒。在進行這種修改時，打開注冊表編輯窗口，跳轉(zhuǎn)到HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters分支上，雙擊DefaultTTL鍵值，輸入“32”或“64”，再刷新系統(tǒng)注冊表即可，當然TTL數(shù)值不宜過小，否則DNS服務(wù)器運行負擔會加重。

當DNS服務(wù)器遇到意外無法工作時，一些網(wǎng)站就無法通過域名進行訪問，請問有沒有什么應(yīng)急的辦法，能解決這種問題？

答：可以通過修改文件進行應(yīng)急：首先打開本地系統(tǒng)的資源管理器窗口，展開“C:WindowsSystem32Driversetc”文件夾，找到其中的“hosts”文件，啟動運行記事本程序，打開“hosts”文件，在該文件的最后一行添加上網(wǎng)站服務(wù)器IP地址和解析出錯的域名，這樣就能臨時解決一些網(wǎng)站無法通過域名訪問的問題了。

一臺域名解析服務(wù)器安裝配置成功后，如何才能快速判斷它能正常解析域名呢？

答：很簡單！只要打開域名解析服務(wù)器屬性對話框，點選“監(jiān)視”選項卡，選中“對此域名解析服務(wù)器的簡單查詢”，單擊“立即測試”按鈕，如果測試成功的話，那就說明域名解析服務(wù)器可以正確將主機名稱解析成IP地址，如果測試失敗，那就說明域名解析服務(wù)器安裝、配置存在問題，還需要重新設(shè)置相關(guān)參數(shù)。之后，選中“對此域名解析服務(wù)器的遞歸查詢”，單擊“立即測試”按鈕，如果測試成功的話，那就說明域名解析服務(wù)器可以正確將IP地址解析成主機名稱。

域名解析服務(wù)器默認可以同時接受客戶端系統(tǒng)的迭代查詢、遞歸查詢，不過如果同時接受太多的遞歸查詢，域名解析服務(wù)器容易發(fā)生響應(yīng)遲鈍的現(xiàn)象。為了提升域名解析服務(wù)器的響應(yīng)能力，請問有沒有辦法關(guān)閉遞歸查詢功能？

答：很簡單！可以打開域名解析服務(wù)器控制臺窗口，右擊域名解析服務(wù)器所在主機系統(tǒng)，點選右鍵菜單中的“屬性”命令；點選域名解析服務(wù)器屬性框中的“高級”選項卡，在其后頁面中的“服務(wù)器選項”位置處，選中“停用遞歸”復(fù)選項，再按“確定”按鈕，就能關(guān)閉域名解析服務(wù)器的遞歸查詢功能了。

請問如何對域名解析進行包過濾，以便把對域名解析服務(wù)器存在安全威脅的數(shù)據(jù)包過濾掉？

答：可以采用三種方式對域名解析進行包過濾：一是IP地址過濾，只要為域名解析服務(wù)器創(chuàng)建合適的IP安全策略，讓域名解析服務(wù)器只允許合法計算機訪問即可；二是端口過濾，只要打開TCP/IP協(xié)議的高級屬性對話框，將訪問域名解析服務(wù)器必須使用的53端口開放，同時關(guān)閉其他通信端口即可；三是流量過濾，采用這種方式過濾時，可以結(jié)合交換機的流量控制功能，來對連接域名解析服務(wù)器的交換端口進行流量控制。

有時，IE瀏覽器無法顯示某個網(wǎng)站頁面，而QQ、MSN等工具卻能正常使用，這種現(xiàn)象基本上是由于DNS解析不正確引起的，要是在嘗試更換新的DNS服務(wù)器地址后，上述現(xiàn)象仍然沒有消失時，很可能是DNS緩存中的內(nèi)容出錯。請問如何刷新DNS緩存中的內(nèi)容？

答：可以有兩種方法刷新本地DNS緩存：一是命令刷新法。依次單擊“開始”、“所有程序”、“附件”、“運行”命令，彈出系統(tǒng)運行對話框，在其中輸入“cmd”命令，單擊回車鍵后，切換到DOS命令行工作窗口，在該窗口的命令提示符下，輸入字符串命令“ipconfig/flushdns”，單擊回車鍵后，本地DNS緩存中過時的內(nèi)容就會被自動清空。二是修復(fù)連接法。關(guān)閉所有已經(jīng)打開的瀏覽器，之后逐一點選“開始”、“控制面板”選項，切換到系統(tǒng)控制面板窗口，雙擊“網(wǎng)絡(luò)和共享中心”、“更改適配器設(shè)置”圖標，展開網(wǎng)絡(luò)連接列表窗口，右擊目標網(wǎng)絡(luò)連接圖標，選擇右鍵菜單中的“診斷”命令，這樣Windows系統(tǒng)就能自動刷新本地DNS緩存內(nèi)容。