什么是DNS查询

　　DNS查询其实有两种解释，一种是指客户端查询，也就是指定DNS服务器上的资源记录(比如，A记录)，另一种是指查询FQDN名的解析过程。工作过程如下图所示：

　　一、查询介绍：

       1、查询DNS服务器上的资源记录

　　这种情况下，您可以在Windows平台下，使用命令行工具，输入nslookup，返回的结果包括域名对应的IP地址(A记录)、别名(CNAME记录)等。除了上述方法外，还可以通过一些DNS查询站点如国外的国内的 查询域名的DNS信息。

　　2、FQDN名的解析过程查询

　　这种情况下，如果想跟踪一个FQDN名的解析过程，在Linux Shell下输入dig www +trace，返回的结果包括从跟域开始的递归或迭代过程，一直到权威域名服务器。

　　GeniePro DNS 应对DNS劫持和DNS缓存中毒攻击的关键性机制，如下所述：

        A、一致性检查

　　每个Genipro工作组的通信协调节点向上一级DNS服务器请求更新记录并与收到的其他通信协调节点的记录进行比较;

　　每个Geniepro工作组的通信协调节点将获得的DNS记录更新发送给其他组的通信协调节点请求一致性检查;

　　每个Geniepro节点将自身的记录与收到的记录进行比较;

　　每个Geniepro节点将自身的DNS记录发送给工作组内其他节点请求一致性检查。

　　B、一致性仲裁

　　如果一致性检查发现记录不一致的情况，则根据策略(少数服从多数、一票否决等)决定是否接受记录的变化 根据结果，各Geniepro节点将自身记录进行统一 通信协调节点选举 选举出的通信协调节点在任期内具有更新组内节点的权限 选举过程满足不可预测性和不可重复性DNS资源记录　如前所述，每个 DNS 数据库都由资源记录构成。一般来说，资源记录包含与特定主机有关的信息，如 IP 地址、主机的所有者或者提供服务的类型。

　　资源记录类型

　　说明

　　解释

　　SOA

　　起始授权机构

　　此记录指定区域的起点。它所包含的信息有区域名、区域管理员电子邮件地址，以及指示辅 DNS服务器如何更新区域数据文件的设置等。

　　常用的资源记录类型

　　A 、地址 此记录列出特定主机名的 IP 地址。这是名称解析的重要记录。

　　CNAME 标准名称 此记录指定标准主机名的别名。

　　MX邮件交换器此记录列出了负责接收发到域中的电子邮件的主机。

　　NS名称服务器此记录指定负责给定区域的名称服务器。

　　二、安全问题

　　（1）、DNS设置不当，造成泄漏一些敏感信息。提供给黑客进一步攻击提供有力信息。

　　（2）、域名劫持：修改注册信息、劫持解析结果。

　　（3）、系统上运行的DNS服务存在漏洞，导致被黑客获取权限，从而篡改DNS信息。

　　（4）、国家性质的域名系统安全事件：“.ly”域名瘫痪、“.af”域名的域名管理权变更。

　　（5）、针对域名系统的恶意攻击：DDOS攻击造成域名解析瘫痪。

　　 三、DNS重要性

　　（1）、从资源角度看

　　域名是互联网上的身份标识，是不可重复的唯一标识资源; 互联网的全球化使得域名成为标识一国主权的国家战略资源。

　　（2）、从技术角度看

       DNS解析是互联网绝大多数应用的实际寻址方式; 域名技术的再发展、以及基于域名技术的多种应用，丰富了互联网应用和协议。

　　四、DNS 不同

　　一般来说，DNS 数据库可分成不同的相关资源记录集。其中的每个记录集称为区域。区域可以包含整个域、部分域或只是一个或几个子域的资源记录。

　　管理某个区域(或记录集)的 DNS服务器称为该区域的权威名称服务器。每个名称服务器可以是一个或多个区域的权威名称服务器。

　　在域中划分多个区域的主要目的是用来简化 DNS 的管理任务，也就是委派一组权威名称服务器来管理每个区域。采用这样的分布式结构，当域名称空间不断扩展时，各个域的管理员可以有效地管理各自的子域。

　　当然，有时候，区域和域是很难分辨的。

　　区域是域的子集。可以将它看作域名称空间的某个分支(或子树)。例如，Microsoft 名称服务器可以同时是区域、区域和区域的权威名称服务器。但是，可以将子域的区域委派给其它专用名称服务器管理。如果设置的区域包含整个域的资源记录，那 么该区域与该域的范围是相同的。

　　对于Windows 2000，区域信息或者以传统文本文件格式存储，或者集成到 Active Directory 数据库中。稍后，我们将详细阐述 DNS 与 Active Directory 如何协作。

　　五、作用及调试

　　DNS，域名解析系统，并不是一项单纯的服务，而且广泛意义上的全球的域名解析系统，由若干台DNS服务器以及DNS成员机组成的这么一个计算机组织。

　　在域环境中DNS的作用：

　　作用1：以DNS标准命名(域的命名);

　　作用2：支持DC(创建DC时，要有相应的DNS的支持);

　　作用3：定位DC(加入域时，帮助地球人找到DC)。

　　有了上面的知识准备，我们来看看加入域需要注意的几点：

　　1.、登陆问题：加入域后不是万事大吉了，很多朋友直接拿administrator登陆了。殊不知，此举还是登陆了本地计算机。需要大家在登录时点击选项，在登录到中选择所加入的域。

　　2、联系问题：a.ping通DC、DNS服务器(确保可以和DC、DNS服务器通信，要加入对方的国际你就必须和对方的政府“DC”以及大使馆“最近的 DNS服务器”联系) b.DNS解析DC(通过dns得知DC的所在“大使馆告诉你如何找到相关的人事部门，当然就会告诉你DC的地址了”)。【可以使用nslookup 命令+域名 来检测客户机DNS是否正确设置】。

　　3、权限问题：加入域的时候，会提示输入相应有加入域权限的用户名密码。这里有很多人有误 区，认为只有administrator才能通过加入域的验证，所以一直用administrator来验证加入域。其实用一个普通的domain user也是可以的，新建的域用户可以为非域成员机验证加入域。域，就象一个国家，是需要发展的，能够吸纳的有识之士越多，这个国家就越壮大，所以每一位 国民，都有权利一传十十传百的。

　　*特殊问题：

　　a、sid问题，如果加入域的计算机中系统是GHOST安装并没有重新封装过的话，就需要重新封装了

　　b、dns 服务器故障，如果客户端dns填写正确(当前网络环境中的DNS【内网DNS】) ，但是同样无法联系到DC，并且可以ping通DNS 和DC的话，那么十有八九是你的DNS服务器出故障了，定位信息记录在dns服务的srv资源记录中。可能是相关的SRV资源记录没有生效或者不存在，那 么如何是好呢?记住这个办法：在服务管理器(运行中输入：services.msc)中重启net logon服务，当然这项操作要去DNS服务器上解决哦。别找错了 地方。

　　总结：今天跟大家分享了加入域的几个问题。并拓展出几个系统概念。在这里总结一下。

　　1、权限问题(验证计算机加入域的用户不一定非要administrator);

　　2、DNS(概念、作用、故障排除、检测工具);

　　3.、sid(加入域时两台系统sid相同的计算机没办法同时加入域，产生现象的原因时GHOST克隆系统） 。

　　六、DNS 架构的冗余

　　为保证服务的高可用性，DNS 要求使用多台名称服务器冗余支持每个区域。

　　某个区域的资源记录通过手动或自动方式更新到单个主名称服务器(称为主 DNS服务器)上。主 DNS 服务器可以是一个或几个区域的权威名称服务器。

　　其它冗余名称服务器(称为辅 DNS 服务器)用作同一区域中主服务器的备份服务器，以防主服务器无法访问或宕机。辅 DNS服务器定期与主 DNS 服务器通讯，确保它的区域信息保持最新。如果不是最新信息，辅 DNS服务器就会从主服务器获取最新区域数据文件的副本。这种将区域文件复制到多台名称服务器的过程称为区域复制。

　　Active Directory 和 DNS 的关系

　　Active Directory 是 Windows 2000 中新增的目录服务。该服务存储所有网络资源的信息，如计算机、共享文件夹、用户等等。它还通过标准的 Internet 协议(轻量目录访问协议，LDAP)将此类信息提供给用户和应用程序。有关 Active Directory 的详细信息，请参阅 Technet 文章设置 Active Directory 域。