DCHP服务器配置指南 [复制链接]

由于不同级别DHCP选项配置适用的范围和对象不同，在考虑部署DHCP选项时，请根据不同级别DHCP选项配置的特性来进行选择。 }H#C<:A  
动态更新 }H#C<:A  
当DHCP客户端从DHCP服务器获得IP地址租约时，DHCP服务器可以根据DHCP客户端的请求使用它所在区域中的授权DNS服务器对DHCP客户端信息进行动态更新。你可以在DHCP服务器属性和DHCP作用域属性中的DNS标签对DHCP服务器的动态更新行为进行配置，如果两者存在不同，DHCP作用域中的设置覆盖DHCP服务器中的设置。在创建DHCP作用域时，DHCP作用域的动态更新设置将继承DHCP服务器中的设置。 }H#C<:A  
默认情况下DHCP服务器设置为只有在DHCP客户端请求时才为DHCP客户端动态更新DNS A记录和PTR记录，并且在租约到期时删除为DHCP客户端注册的A记录和PTR记录。如果你选择总是动态更新DNS A 和 PTR 记录，则不论DHCP客户端请求与否，DHCP服务器总是会为DHCP客户端动态更新DNS A记录和PTR记录。 }H#C<:A  
在默认情况下，根据DHCP客户端操作系统的不同，DHCP服务器执行动态更新的行为也不同： }H#C<:A  
运行Windows 2000、Windows XP或Windows Server 2003操作系统的DHCP客户端在默认情况下会注册它自己的DNS A记录时，而只是请求DHCP服务器注册DNS PTR记录； }H#C<:A  
Windows 2000之前版本的DHCP客户端不支持DNS动态更新，因此默认情况下不会提出动态更新请求，DHCP服务器也不会进行动态更新操作。如果你勾选为不请求更新的DHCP客户端（例如，运行 Windows NT 4.0 的客户端）动态更新 DNS A 和 PTR 记录，则DHCP服务器会为低版本DHCP客户端代为更新DNS A记录和PTR记录。 在以后的文章中我们将谈到了DHCP服务器计算机账户需要加入DnsUpdateProxy安全组才能避免在进行安全更新时对资源记录留下所有者信息，从而允许其他用户修改此资源记录。默认情况下DHCP服务器使用计算机账户来进行安全更新，在Windows Server 2003的DHCP服务器中，提供了一个设置DHCP动态更新注册凭据的选项，通过此选项，你可以配置DHCP服务器使用专用的用户账户执行DNS动态更新。一个专用用户帐户可以被多个DHCP服务器使用，此账户应属于管理被更新的区域的主DNS服务器所存在的森林中。另外需要注意的是，备份DHCP数据库时，不会对专用用户账户凭据进行备份，因此你还原DHCP数据库后，必须为专用账户重新进行配置。 执行以下步骤配置动态更新的专用账户： }H#C<:A  
1、在DHCP服务器管理控制台中，右击DHCP服务器名，选择属性，然后点击高级标签，点击凭据按钮； }H#C<:A  
2、在弹出的DNS 动态更新凭据对话框，输入用户名、域名和对应的密码，然后点击确定；最后在DHCP服务器属性对话框上点击确定即可。 }H#C<:A  
冲突检测 }H#C<:A  
我们在前面的DHCP工作方式的DHCP ACK部分中曾经提到，Windows 2000及其后版本的DHCP客户端接收到DHCP服务器发送的DHCP ACK广播消息后，会向网络发出三个针对DHCP服务器提供的IP地址的ARP解析请求以执行冲突检测，以确认网络上没有其他主机使用DHCP服务器提供的IP地址，从而避免IP地址冲突，但是Windows 2000之前的操作系统不支持DHCP会话中的冲突检测。此时，可能你需要配置DHCP服务器执行冲突检测，以确认分配给DHCP客户端的IP地

址没有已被其他主机使用。配置方式为在DHCP服务器管理控制台中，右击DHCP服务器名，选择属性，然后点击高级标签，在冲突检测次数栏输入你需要DHCP服务器进行冲突检测的次数，默认为0，即为不进行冲突检测.DHCP服务器的冲突检测是在发出DHCP OFFER广播数据包之前，因此过多的检测次数会增加DHCP服务器应答DHCP客户端租约请求的时延。强烈建议你设置不超过三次的冲突检测次数。 }H#C<:A  
下图是一个DHCP服务器和DHCP客户端同时启用冲突检测时的数据包捕获，其中上面2个ARP解析请求是DHCP服务器执行冲突检测，而下面3个ARP解析请求是DHCP客户端执行冲突检测。查询响应类型 }H#C<:A  
DNS服务器对于客户请求的答复具有多种类型，常见的有以下四种： }H#C<:A  
权威答复：权威答复是返回给客户的正向答复，并且设置了DNS消息中的权威位。此答复代表从具有权威的DNS服务器处发出； }H#C<:A  
正向答复：正向答复包含了匹配客户端解析请求的资源记录； }H#C<:A  
参考答复：参考答复只在DNS服务器工作在迭代模式下使用，包含了其他有助于客户端解析请求的信息。例如，当DNS服务器不能为客户端发起的解析请求找到某个匹配值时，则向DNS客户端发送参考回复，告诉它有助于解析请求的信息； }H#C<:A  
否定答复：否定答复指出权威服务器在解析客户端的请求时可能遇到了以下两种情况之一： }H#C<:A  
• 权威DNS服务器报告客户端查询的名字不存在； }H#C<:A  
• 权威DNS服务器报告存在对应的名字但是不存在指定类型的资源记录。 }H#C<:A  
无论正向答复还是否定答复，DNS客户端都将结果保存在自己的本地缓存中。 }H#C<:A  
　 }H#C<:A  

理解缓存的工作方式 }H#C<:A  
DNS客户端和DNS服务器都会缓存获得的解析结果，这样可以提高DNS服务性能和减少DNS相关的网络流量。 }H#C<:A  
DNS客户端缓存 }H#C<:A  
当DNS客户端服务启动时，会读取Hosts文件中的所有主机名和IP地址的映射，并且保存在缓存中。Hosts存放在%systemroot%system32driversetc目录，当你修改Hosts文件后，DNS客户端会立即读取Hosts文件并且对本地缓存进行更新。 }H#C<:A  
另外，DNS客户端会缓存过去的查询结果，当DNS客户端服务停止时，将清空本地缓存。 }H#C<:A  
DNS服务器缓存 }H#C<:A  
DNS服务器像DNS客户端一样缓存名字解析结果，并且可以使用缓存中的信息来答复其他客户端的请求。你可以在DNS服务器管理控制台或者使用DNSCMD命令行工具手动清空缓存，另外当DNS服务器停止时，同样会清空DNS服务器缓存。 }H#C<:A  
资源记录的生存时间（TTL）指定了资源记录可以缓存的时间的长短，而无论是DNS客户端缓存还是DNS服务器缓存；默认情况下，TTL是3600秒（1小时）。需要注意的是，由于缓存的作用，DNS服务器上对于资源记录的修改可能不能立即生效。并且对于Internet域名来说，资源记录的修改可能会需要超过24小时的时间才能在所有DNS服务器上完成更新。 }H#C<:A  
　 }H#C<:A  

动态更新 +U1fa9NSn  
当DNS客户端计算机上产生某个事件触发更新时，DNS客户端计算机上的DHCP客户端服务将会为本地计算机中使用的所有网络连接在相应的DNS服务器中对自己的A记录进行更新，从而可以确保DNS域名记录和IP地址记录的对应关系。而DNS服务器需要配置为允许动态更新，才能让DNS客户端计算机成功完成更新。 +U1fa9NSn  
当DNS客户端计算机上产生以下事件时，会触发DHCP客户端服务的动态更新行为： +U1fa9NSn  
• 添加、删除或修改了本地计算机任何网络连接TCP/IP属性中的IP地址； +U1fa9NSn  
• 本地计算机的任何网络连接向DHCP服务器获取IP地址租约或者续约； +U1fa9NSn  
• DNS客户端上运行了Ipconfig /registerdns命令； +U1fa9NSn  
• DNS客户端计算机启动； +U1fa9NSn  
• 此DNS区域中的一台成员服务器提升为域控制器； +U1fa9NSn  
对于标准主要区域，你可以选择不允许动态更新和允许非安全和安全动态更新。但是允许非安全和安全动态更新具有安全隐患，因为DNS服务器不会对进行动态更新的客户端计算机进行验证，所以任何客户端计算机都可以对任何A记录进行动态更新，而不管它是否是此A记录的拥有者。通常情况下，你不应该使用此选项。 +U1fa9NSn  
对于活动目录集成区域，除了上述的两个选项外，你还可以使用安全动

态更新。当使用此方式时，在客户端计算机更新自己的记录时，DNS服务器将要求客户端计算机进行身份验证来确保只有对应资源记录的拥有者才能更新此记录。 +U1fa9NSn  
只有Windows 2000及以后版本操作系统的客户端计算机才能执行动态更新，低版本的Windows系统（NT4、9x/ME）不支持动态更新。不过，你可以通过DHCP服务器为这些低版本客户端计算机代理进行动态更新。当DHCP服务器在代理低版本客户端计算机注册A记录时，会将自己设置为此A记录的所有者。而在安全动态更新方式中，只有资源记录的所有这才能修改此记录，这样在其他DHCP服务器为此低版本客户端计算机代理注册时会出现拒绝访问的问题。因此，你需要将此DHCP服务器加入到DnsUpdateProxy安全组中，这样当DHCP服务器更新A记录时，不会记录下此A记录的所有者信息，从而允许其他DHCP服务器来修改此A记录区域委派 +U1fa9NSn  
一个完整的DNS区域包含以自己的DNS域名为基础命名空间的所有DNS命名空间的信息，当基于此DNS命名空间新建一个DNS区域时，新建的区域称为子区域。例如，完整的xx.com区域包含了以xx.com为基础命名空间的所有DNS命名空间的信息，而tech.xx.com则称为xx.com的一个子区域。 +U1fa9NSn  
默认情况下，DNS区域管理自己的子区域，并且子区域伴随DNS区域一起进行复制和更新。不过，你可以将子区域委派给其他DNS服务器来进行管理，此时，被委派的服务器将承担此DNS子区域的管理，而父DNS区域中只是具有此子区域的委派记录。 +U1fa9NSn  

区域委派适用于许多环境，常见的场景有： +U1fa9NSn  
• 将某个子区域委派给某个对应部门中的DNS服务器进行管理； +U1fa9NSn  
• DNS服务器的负载均衡，将一个大区域划分为若干小区域，委派给不同的DNS服务器进行管理； +U1fa9NSn  
• 将子区域委派给某个分部或远程站点。 +U1fa9NSn  
你只能在主要区域中执行区域委派。对于任何一个被委派的子区域，父DNS区域中只是具有指向子区域中权威DNS服务器的A记录和NS记录，而实际的解析过程必须由委派到的子区域中的权威DNS服务器完成，即被委派到的DNS服务器上必须具有以被委派的子区域为域名的主要区域。 +U1fa9NSn  
在Windows Server 2003的DNS服务器管理控制台中，提供了向导工具，可以让你轻松的完成DNS区域委派。 +U1fa9NSn  
　 +U1fa9NSn  
　 +U1fa9NSn  
DNS区域类型 +U1fa9NSn  
在部署一台DNS服务器时，你必须预先考虑DNS区域类型，从而决定DNS服务器类型。DNS区域分为两大类：正向查找区域和反向查找区域，其中 +U1fa9NSn  
• 正向查找区域用于FQDN到IP地址的映射，当DNS客户端请求解析某个FQDN时，DNS服务器在正向查找区域中进行查找，并返回给DNS客户端对应的IP地址； +U1fa9NSn  
• 反向查找区域用于IP地址到FQDN的映射，当DNS客户端请求解析某

个IP地址时，DNS服务器在反向查找区域中进行查找，并返回给DNS客户端对应的FQDN。 +U1fa9NSn  
而每一类区域又分为三种区域类型：主要区域、辅助区域和存根区域，其中： +U1fa9NSn  
主要区域（Primary）：包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器。可以对区域中所有资源记录进行读写，即DNS服务器可以修改此区域中的数据，默认情况下区域数据以文本文件格式存放。你可以将主要区域的数据存放在活动目录中并且随着活动目录数据的复制而复制，此时，此区域称为活动目录集成主要区域，在这种情况下，每一个运行在域控制器上的DNS服务器都可以对此主要区域进行读写，这样避免了标准主要区域时出现的单点故障。 +U1fa9NSn  
辅助区域（Secondary）：主要区域的备份，从主要区域直接复制而来；同样包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器；和主要区域不同之处是DNS服务器不能对辅助区域进行任何修改，即辅助区域是只读的。辅助区域数据只能以文本文件格式存放。 +U1fa9NSn  
存根区域（Stub）：存根区域是Windows Server 2003新增加的功能。此区域只是包含了用于分辨主要区域权威DNS服务器的记录，有三种记录类型： +U1fa9NSn  
• SOA（委派区域的起始授权机构）：此记录用于识别该区域的主要来源DNS服务器和其他区域属性； +U1fa9NSn  

个IP地址时，DNS服务器在反向查找区域中进行查找，并返回给DNS客户端对应的FQDN。 +U1fa9NSn  
而每一类区域又分为三种区域类型：主要区域、辅助区域和存根区域，其中： +U1fa9NSn  
主要区域（Primary）：包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器。可以对区域中所有资源记录进行读写，即DNS服务器可以修改此区域中的数据，默认情况下区域数据以文本文件格式存放。你可以将主要区域的数据存放在活动目录中并且随着活动目录数据的复制而复制，此时，此区域称为活动目录集成主要区域，在这种情况下，每一个运行在域控制器上的DNS服务器都可以对此主要区域进行读写，这样避免了标准主要区域时出现的单点故障。 +U1fa9NSn  
辅助区域（Secondary）：主要区域的备份，从主要区域直接复制而来；同样包含相应DNS命名空间所有的资源记录，是区域中所包含的所有DNS域的权威DNS服务器；和主要区域不同之处是DNS服务器不能对辅助区域进行任何修改，即辅助区域是只读的。辅助区域数据只能以文本文件格式存放。 +U1fa9NSn  
存根区域（Stub）：存根区域是Windows Server 2003新增加的功能。此区域只是包含了用于分辨主要区域权威DNS服务器的记录，有三种记录类型： +U1fa9NSn  
• SOA（委派区域的起始授权机构）：此记录用于识别该区域的主要来源DNS服务器和其他区域属性； +U1fa9NSn  

• NS（名称服务器）：此记录包含了此区域的权威DNS服务器列表； +U1fa9NSn  
• A glue（粘附A记录）：此记录包含了此区域的权威DNS服务器的IP地址。 +U1fa9NSn  
默认情况下区域数据以文本文件格式存放，不过你可以和主要区域一样将存根区域的数据存放在活动目录中并且随着活动目录数据的复制而复制。 +U1fa9NSn  
当DNS客户端发起解析请求时，对于属于所管理的主要区域和辅助区域的解析，DNS服务器向DNS客户端执行权威答复。而对于所管理的存根区域的解析，如果客户端发起递归查询，则DNS 服务器会使用该存根区域中的资源记录来解析查询。DNS服务器向存根区域的NS资源记录中指定的权威DNS服务器发送迭代查询，仿佛在使用其缓存中的NS资源记录一样；如果DNS服务器找不到其存根区域中的权威DNS服务器，那么DNS服务器会尝试使用根提示信息进行标准递归查询。如果客户端发起迭代查询，DNS服务器会返回一个包含存根区域中指定服务器的参考信息，而不再进行其他操作。 +U1fa9NSn  
如果存根区域的权威DNS服务器对本地DNS服务器发起的解析请求进行答复，本地DNS服务器会将接收到的资源记录存储在自己的缓存中，而不是将这些资源记录存储在存根区域中，唯一的例外是返回的粘附A记录，它会存储在存根区域中。存储在缓存中的资源记录按照每个资源记录中的生存时间 (TTL) 的值进行缓存；而存放在存根区域中的SOA、NS 和粘附A资源记录按照SOA记录中指定的过期间隔过期（该过期间隔是在创建存根区域期间创建的，在从原始主要区域复制时更新）。 +U1fa9NSn  

当某个DNS服务器（父DNS服务器）向另外一个DNS服务器做子区域委派时，如果子区域中添加了新的权威DNS服务器，父DNS服务器是不会知道的，除非你在父DNS服务器上手动添加。存根区域主要是用于解决这个问题，你可以在父DNS服务器上为委派的子区域做一个存根区域，从而可以从委派的子区域自动获取权威DNS服务器的更新而不需要额外的手动操作。 +U1fa9NSn  
DNS服务器类型 +U1fa9NSn  
根据管理的DNS区域的不同，DNS服务器也具有不同的类型。一台DNS服务器可以同时管理多个区域，因此也可以同时属于多种DNS服务器类型。 +U1fa9NSn  
主要DNS服务器 当DNS服务器管理主要区域时，它被称为主要DNS服务器。主要DNS服务器是主要区域的集中更新源，你可以部署两种模式的主要区域： +U1fa9NSn  
• 标准主要区域：标准主要区域的区域数据存放在本地文件中，只有主要DNS服务器可以进行管理此DNS区域（单点更新）。这意味如果当主要DNS服务器出现故障时，此主要区域不能再进行修改；但是，位于辅助服务器上的辅助服务器还可以答复DNS客户端的解析请求。标准主要区域只支持非安全的动态更新。 +U1fa9NSn  
• 活动目录集成主要区域：活动目录集成主要区域仅当在域控制器上 部署DNS服务器时有效，此时，区域数据存放在活动目录中并且随着活动目录数据的复制而复制。在默认情况下，每一个运行在域控制器上的DNS服务器都将成为主要DNS服务器，并且可以修改DNS区域中的数据