DNS主要有幾種資源紀錄，我們來介紹一下這些紀錄的意義：   SOA紀錄(Start Of Authority Record)： 代表本機主機為權威主機，且會描述一些Zone File及紀錄Zone Transfer的設定。 serial： zone file 版本(不可大於 2 的 31 次方) refresh： DNS Slave 進行 Zone Transfer 時間 (會先檢查 Serial 值才決定是否進行 Zone Transfer) retry： 若 DNS Slave 進行 Zone Transfer 失敗時會在指定時間重試 expire： 若重試 Zone Transfer 超過時間仍為成功則停止重試 Min TTL/Negative Cache： 依 Bind 8 或 Bind 9 意義不同 Minimum TTL： Bind 8 使用代表將此 TTL 套用給下面每一筆 RR TTL 值 Negative Cache： Bind 9 使用代表無效快取時間，即在指定時間內若有 DNS 查尋為無效記錄時則 Cache 住，當在指定 Cache 時間內再有相同的 DNS 查尋，則直接回答為無效 DNS 記錄   A紀錄(Address Record)： 一個網域底下真正需要提供服務給別人的主機，我們就會把FQDN對應到IP的資訊存成A紀錄，這樣往後有人來DNS server查找服務的時候，就可以知道request哪個IP位址。   MX紀錄(Mail eXchanger Record)： 設定區域中擔任郵件伺服器的主機，所有要送往那部機器的 Mail 都要經過 Mail eXchanger 轉送。而數字則是該主機郵件傳遞時的優先次序，此值越低表示有越高的郵件處理優先權。   NS紀錄(Name Server Record)： 在這個網域底下我有哪些DNS server。有人來DNS server查找FQDN與IP的對應時，NS 記錄的取用順序是隨機決定的，而非取用第一筆。 若上(網域註冊網站)下(Local DNS server)層的NS紀錄不一致，有可能導致解析錯誤。 例如： 上層NS紀錄：ns1.examples.com.tw、ns2.examples.com.tw 下層NS紀錄：ns3.examples.com.tw、ns4.examples.com.tw 有人在上層查詢FQDN的IP位址時，因為目前持有上層的這兩個紀錄，在下層找不到ns1.examples.com.tw、ns2.examples.com.tw，而導致解析錯誤。   cName紀錄(Canonical Name Record)： 在已經建好的A紀錄中，為A紀錄新增別名，也就是說利用這個cName記錄我可以利用不同的主機名稱去指向同一台server。 e.g. ftp.examples.com.tw 及 www.examples.com.tw 是同一台server提供的服務，因此就可以指定cName紀錄。   TXT紀錄(Text Record)： 說明主機的資訊，常用於SPF(Sender Policy Framework)驗證。 SPF驗證是指寄件者原則架構。用於協助防止電子郵件詐騙的記錄。它可讓您在單一簡易 TXT 記錄中指定用來傳送郵件的所有 IP 位址，並且告知接收伺服器只允許您所列出的外寄伺服器。 e.g. 設定FQDN的TXT內容為： "v=spf1 ip4:168.95.0.0/24 mx:spam.examples.com.tw -all" v=spf1：這是SPF的版本 ip4:168.95.0.0/24：只允許這個IP可以用所在的網域來送出信件 mx:spam.exaples.com.tw –all：表示比對 DNS 記錄中的 MX record，若沒指定以該主機的網域作為檢查 參考資料： 雷電DNSD說明文件 http://opencourse.ncyu.edu.tw/ncyu/file.php/15/week14/%E9%9B%B7%E9%9B%BBDNSD_%E8%AA%AA%E6%98%8E%E6%96%87%E4%BB%B6.pdf 黃昏的甘蔗 http://blog.xuite.net/tolarku/blog/233356505-DNS+%E8%A8%AD%E5%AE%9A+spf+%E8%A8%98%E9%8C%84+-+Sender+Policy+Framework HiNet DNS代管設定說明 https://domain.hinet.net/dns_manage/ns-faq.html

這幾天在研究DNS，並使用Windows Server 2012來架設DNS Server， 因為沒有特別去申請對外的DNS網域，因此就簡單在內部網路驗證了一下DNS server是否正常運作~   ◎記得ping不到時要先檢查Windows 防火牆設定 ◎DNS server設定正解(A紀錄)後client端使用nslookup會發現server uknown： nslookup會先使用慣用DNS伺服器進行反解，如果沒有建立PTR紀錄就會出現unknown， 這時候只要在DNS server上建立一筆反解(PTR-pointer)即可： 再nslookup一次，可以發現default server name正常了： ◎改hosts檔騙client，以為連過去的FQDN叫做「haha」!!! 修改%systemroot%\system32\drivers\etc\hosts 立刻試Ping看看XD： ◎利用nslookup指令以驗證DNS sevrer是否正常： nslookup ：可以看到目前預設DNS FQDN和IP Set all ：可以看到目前的設定值 Server [IP] ：可以暫時切換到別的DNS server Nslookup -type=a www.google.com 192.168.2.95 ：代表我要找A紀錄，尋找FQDN為www.google.com，利用192.168.2.95這個DNS server Ipconfig /flushdns ：可清除DNS快取紀錄 Nslookup ls –t A test ：在client端要查DNS server上的A紀錄(Domain:test)時，會發現Query refused的狀況 這是因為若要取得DNS server上的Resource Record，必須在DNS server上允許其他伺服器來Request區域轉送(Zone Transfer)： 在client端再次輸入一次指令，可查閱DNS server上的A紀錄：

DNS(Domain Name System)，指的是「網域名稱系統」。電腦與電腦透過網路溝通時，都是利用IP來找位置，就好像家中都會一個獨一無二的「門牌號碼」一樣，IP就是這樣子的概念。而人腦是有極限的，我們在上網時能記得了多少IP位置呢？所以DNS是非常重要的服務，DNS可以利用淺顯易懂的名稱(e.g. www.google.com)來找到電腦上的門牌號碼(IP)。   以下模擬一個上網的情境： 當Client在瀏覽網頁時，這邊以www.test.tw舉例 1.   Client端會先搜尋自己本機的HOSTS檔，檢查看看是否有相對應的FQDN(Fully Qualified Domain Name，完整網域名稱)-->IP的對應資料。 本機HOSTS檔存放在%systemroot%\system32\drivers\etc\ 正解：FQDN-->IP；反解：IP-->FQDN，若此情境就是Client希望local DNS server提供正解的資訊 一個正解或反解的domain我們稱之為「Zone」，每一台DNS server都可以管理多個domain，不管是正解或是反解(多個zone)。 2.   若搜尋不到，會向local DNS server發出一個request，此時local DNS server會先檢查資訊庫內看是否有此正解資訊。如果有，就直接把IP丟回給Client端，若沒有此筆對照資料，會再檢查local DNS Cache是否有此筆對照資料，若都找不到對應資料，就會向root DNS server詢問。 3.   root DNS server會說：「我不知道你這串FQDN的IP是什麼，但我知道有一台負責tw的DNS server，他應該知道你要查的IP是什麼。」接著就會提供FQDN為tw的DNS server IP。 4.   tw DNS server會說：「 我不知道你這串FQDN的IP是什麼，但我知道有一台負責edu.tw的DNS server，他應該知道你要查的IP是什麼。」接著就會提供FQDN為edu.tw的DNS server IP。 5.   edu.tw的DNS server會說：「這個FQDN我知道！www.test.tw的IP為xxx.xxx.xxx.xxx」接著就把這個IP回傳到local DNS server。 6.   最後local DNS server就會把IP回傳給Client端，並將此紀錄在local DNS server的Cache內，之後在存放時間內進行查詢的話，就不必再回到root DNS server去詢問了。 以上的���程包含兩種查詢概念： 遞迴式(Recursive)：Client 端向DNS server查詢的模式。Client端丟出一個詢問給 local DNS server， 然後local DNS server就會不斷地查到答案出來為止，Client只需要等待回應。這種方式只處理回應回來的封包是否是正確回應或是說是找不到該名稱的錯誤訊息。 交談式(Interactive)：DNS Server間的查詢模式。由Client端或是DNS Server上所發出去的Query，這種方式是送封包出去，所回應回來的資料不一定是最後正確的名稱位置，但也不是如上所說的回應回來是錯誤訊息，回應回來只是告訴你最接近的IP位置，然後再到此最接近的IP去尋找所要解析的名稱。 為何要包含兩種查詢概念？這是網友的比喻： 在Client查詢Local DNS的時候，用戶端是很懶的，丟出問題後就只想得到結果，所以選用Recursive的方式。 在DNS Server之間互相查詢的時候，伺服器是認命的，受人之託只好拚命找答案，所以選用Iterative的方式。 用戶端為什麼不能勤勞點，使用Iterative的方式呢？如果真的這樣做，那就像民眾看病通通都先跑到國際醫學中心(root DNS server)，再轉到國家醫院(top-level domain層級的DNS server)，才到巷弄口的診所(local DNS server)，會造成資源(頻寬)浪費。   Domain Name Server/Service/System，這些是什麼？到底哪一個才是DNS？ 視談論議題的範圍：System>Server>Service 也就是說在Domain Name System裡面(整個FQDN-->IP查詢過程的樹狀結構)的某台提供Domain Name Service的叫做Domain Name Server(也有人稱DNS server-Domain Name Service server)。 一般網管人員在企業內部談論的大多是指Domain Name Server 講到FQDN解析為IP的整體架構及流程時就是Domain Name System。 p.s. 不知道我的解讀對不對~請各位多多賜教!!! 參考資料 iT邦幫忙-DNS運作原理的小疑問(DNS Recursive & Iterative) http://ithelp.ithome.com.tw/question/10089561 Seednet教室-DNS運作原理 http://eservice.seed.net.tw/class/class09.html DNS伺服器的運作原理 http://hsmaterial.moe.edu.tw/file/computer/7I85/class800/7I85/final/7i85_2_5/7i85_2_5.htm DNS介紹 http://faculty.ndhu.edu.tw/~comput/computer_c/training/hbc0122/dns-0.htm

DNS是在網域中一個很重要的角色，萬一掛掉的話會有很多的服務因此中斷服務。 所以大多數的環境都會做一個Secordary Zone來作為複寫以及預備的DNS   剛好最近幫公司的一台DNS做了同樣的設定，下面就來分享一下設定的過程   1. 首先請到要被複寫的DNS上選擇要抄寫的網域，在上面使用滑鼠右鍵選擇「內容」。 2. 在區域轉送的頁簽中，確認有將「允許區域轉送」選項勾選，     並選擇「只到下列伺服器」之後，點選「編輯」。 3. 在紅色方框中輸入要轉送資料的伺服器IP，並選擇「確定」設定完成。 4. 到要進行抄寫的伺服器上，開啟DNS服務，     在伺服器名稱上使用滑鼠右鍵選擇「新增區域」。 5. 選擇「次要區域」，之後選擇下一步。 6. 選擇「正向對應區域」，之後選擇下一步。 7. 在區域名稱中輸入要抄寫的Domain名稱，注意名稱一定要相同。 11. 輸入要抄寫的伺服器IP，確定可以正確解析到後選擇下一步並完成設定。 12. 在服務中將「DNS Server」這個Services重新啟動。 13. 之後再新的DNS上即可看到抄寫回來的資料