DNS专题(9)---设计DNS服务器②

时间：2015-01-18 来源：互联网作者：佚名

　　9.3.2选择DNS服务器数目的一般规则
　　前面提到每个企业需要两台DNS服务器。但如果是由ISP为企业处理域名服务，则就不需要设置和管理这样的服务器。一个小企业经常让ISP来处理所有的事情，而有的则只有一台服务器：或者是主服务器，或者是辅服务器，而让ISP拥有另一台。由于以前讨论过的原因，这样做是较好和较安全的。内部使用活动目录的小企业经常实现一个内部的，私有的名字空间，而靠他们的ISP使用上述的一种办法可与公共域名空间联系起来。选择ISP服务时，用可访问性、可靠性和冗余性来决定服务的质量。
　　中等规模的企业只需要两台DNS服务器，并且可以为不同地点配置一台节点服务器(可以只是缓存服务器)以改善向外查询的性能。另一种做法是将这些地理上分散的服务器设置为辅服务器，以便增加对内查询的冗余性。如果使用动态更新机制，而本地服务器节点又是辅服务器的活，它将把更新信息传给主服务器，有时可能不希望这样做；有时这种需求依赖于windows 2000 域控制器分布和其他一些因素。
　　一个大企业可以有很复杂的DNS设置，包含多个域和子域。下一节中将对建立大型复杂系统的许多选项中的一部分进行说明。简单的规则对于设计大企业的DNS服务是没有什么用处的，必须在容量、可用性、可靠性等诸方面做出折衷处理，才能解决问题。
　　工程部是经常进行实验的处于动态环境的部门，机器的配置会有很多变化，因此最好将这个部门从公司的主域中划分出来。所以设计的目标是使工程部能控制它自己的子域，并能独立处理部门的变化而和公司的其他部门无关。图9-1是用于xyz.com域的这样一种配置。
　　公司的主域是xyz.com，工程部子域为eng.xyz.com，它的DNS服务器被委托授权管理这个子域。在这种情况下，eng.xyz.com子域中所做的变化不会影响到xyz.com域，工程部对它所有的主机随时可以修改而不必打扰公司的系统管理员。工程部需要与公司服务取得联系的唯一情况是当他们的名字服务器的IP地址改变时。
　　　

　　9.4.2用ISP提供主DNS服务
　　对于很小的企业或者家庭，通常建议由ISP来提供主DNS服务，如图9-2所示。
　　　

　　此时，还可以用缓存服务器来提高性能，或者用辅服务器来提供冗余。如果自己没有辅服务器，ISP很容易提供一台。在这种情况，DNS由ISP来管理，而企业本身不需参与，除非是要求ISP改变自己的某些信息。作为内部使用，如果使用了活动目录，配置一个单独的DNS服务器就足够了。用这种设计方法，每次信息的变化都需要和ISP通信，而ISP必须为此编辑域区文件。这种方法的一个缺点是信息的转变有时需要很长一段时间，有时延迟可达到72小时或者更多，具体时间取决于是否是假期之类的时候。内部名字服务可以很容易地送到ISP提供的DNS服务器中去解析。对于小公司，安装活动目录可以用本地名和IP地址来提供缺省的模板DNS服务。在前向服务器已配置了一条访问ISP的路线时，可使用这种设计。
　　如果和ISP的连接是固定的，则有一台缓存服务器就很好。而如果连接是用拨号方式或某种按需连接的方式，则安装一台辅DNS服务器可能更好，因为可以通过辅服务器进行本地查找而不必为每个查询都与ISP建立连接。使用辅服务器也可以很容易地通过检查域区文件的本地副本来验证文件的修改是否正确，域区文件是由ISP的主服务器周期地更新的。
　　9.4.3用lSP提供辅DNS服务
　　在图9-3中，企业本身管理着主DNS服务器，但由ISP或其他企业来提供辅服务器。记住
　　　

　　此时需要的两台服务器：一台主服务器和一台辅服务器，或者两台辅服务器，并且都必须向InterNIC注册。
　　这种情况有助于改善整个系统的性能，因为可以将DNS查询处理分布到不同地点的若干机器来完成。此外，它也提供了冗余。例如，若xyz.com接通，但它的主机仍然可以由外部系统来解析。重要的是总要有本域的DNS存在，这是不能把域的所有的主服务器和辅服务器都安排在非专用链路（如拨号链路）的原因之一。
　　如果主服务器仅用于内部，公共辅服务器很有可能停止解析你的域名。在网络中断时将发生这种情况，因为公共辅服务器不能收到来自主服务器的传输，最后只能作废这个域区，因此，应该有一个很好的连接，而且可以有选择地调整域区的超时期限。
　　9.4.4保护主服务器不接收非授权访问
　　为了提高安全性，可以向InterNIC注册两台辅服务器而不是注册一台主服务器，如图9-4所示。
　　　

　　这种配置隐藏了主管域区文件的主机，以防黑客入侵。主服务器仍然提供域的域区数据，并通过域区传送将授权数据传递到辅服务器。虽然所有的服务器都能提供授权回答，但只有辅服务器才响应从外部到来的查询。
　　此外，这种配置也可以只允许在通告列表上的辅服务器才能进行域区传送，以防止不道德的使用者随意接触域区文件的内容。这种配置可以防止黑客进入带有域区资源的主机。路由器也可以用来阻断从外部对主服务器的访问。
　　9.4.5大型节点建立大容量查询缓存
　　如果希望减少必须由企业外部的服务器（如ISP的DNS服务器）来解析的查询，可以设置一台节点范围内的缓存服务器，如图9-5所示。
　　