DNS筆記

可以將 DNS 區域集成到 Active Directory 中以提供增強的容錯功能和安全性。

OpenDNS   Google Public DNS

參考:
http://www.360doc.com/content/10/0528/10/1028164_29928070.shtml  How to Clear the ARP Cache
http://www.360doc.com/content/10/0528/09/1028164_29921437.shtml  
http://msdn.microsoft.com/en-us/library/cc224507.aspx Domain Master Browser Details
http://en.wikipedia.org/wiki/Domain_Master_Browser Domain Master Browser
http://jeffyyko.blog.51cto.com/28563/186026

往返時間 (RTT) 遠程訪問服務 (RAS)
域名與客戶端計算機名一起使用，組成 FQDN，又稱完整計算機名。通常，DNS 域名是沒有用作計算機唯一主機名的 FQDN 的其餘部分。

---------------------------------------
以下 摘錄


多宿主服務器:帶有多個 IP 地址的 DNS 服務器
默認服務端口（UDP 53 或 TCP 53）
--------------
分區是 AD DS 中的一種數據結構，它針對不同的複製目的對數據進行區分。爲 DNS 創建應用程序目錄分區時，您可以控制存儲在該分區中的區域的複製範圍
可以使用以下過程更改區域的複製範圍。只有 Active Directory 域服務 (AD DS) 集成的主要和存根正向查找區域纔可以更改其複製範圍。輔助正向查找區域無法更改其複製範圍。
----------------
存儲在應用程序目錄分區中的 AD DS 集成的 DNS 區域數據將不會被複制到林的全局編錄中。包含全局編錄的域控制器也可以保留應用程序目錄分區，但是它不會將這些數據複製到其全局編錄中。

存儲在域分區中的 AD DS 集成的 DNS 區域數據將被複制到其 AD DS 域中的所有域控制器，這些數據中的一部分將存儲在全局編錄中。該設置用於支持 Windows 2000。

如果某個應用程序目錄分區的複製範圍涉及 AD DS 站點間的複製，則複製將按照用於域分區數據的相同站點間複製計劃進行。

默認情況下，Net Logon 服務註冊位於域控制器上的應用程序目錄分區的域控制器定位程序 (Locator) DNS 資源記錄的方式，與它註冊位於域控制器上的域分區的域控制器定位程序 (Locator) DNS 資源記錄的方式相同。

------------------------
當您將域名系統 (DNS) 服務器與 AD DS 一起部署時，請考慮以下各項：

1 查找域控制器必需有 DNS。
Net Logon 服務使用 DNS 服務器支持，以實現域控制器在 DNS 域命名空間中的註冊。
2 運行 Windows Server 2003 或 Windows Server 2008 的 DNS 服務器可以將 AD DS 用於存儲和複製區域。
通過將區域與 AD DS 集成，您可以利用 DNS 功能，例如 AD DS 複製、安全動態更新和記錄老化與清理。
----------------------------
三個 DNS 安全級別
以下部分介紹了三個 DNS 安全級別。

低安全級別
低安全級別是未配置任何安全預防措施的一種標準 DNS 部署。請僅在不考慮 DNS 數據完整性的網絡環境中，或在沒有外部連接威脅的專用網絡中，部署該 DNS 安全級別。低 DNS 安全級別具有下列特徵：

組織的 DNS 結構完全暴露在 Internet 中。
標準 DNS 解析由網絡中的所有 DNS 服務器執行。
所有 DNS 服務器均是使用指向 Internet 的根服務器的根提示進行配置的。
所有 DNS 服務器都允許向任何服務器進行區域傳輸。
已將所有 DNS 服務器配置爲偵聽其所有 IP 地址。
緩存污染防止功能在所有 DNS 服務器上都禁用。
所有 DNS 區域上都允許進行動態更新。
在網絡中的防火牆上，用戶數據報協議 (UDP) 和 TCP/IP 端口 53 對於源地址和目標地址均是開放的。


中安全級別
中安全級別使用未在域控制器上運行 DNS 服務器並且未在 Active Directory 域服務 (AD DS) 中存儲 DNS 區域的情況下可用的 DNS 安全功能。中 DNS 安全級別具有下列特徵：

組織的 DNS 結構僅有限地暴露在 Internet 中。
所有 DNS 服務器都進行了配置，以便在它們無法在本地解析名稱時，使用轉發器指向一個特定的內部 DNS 服務器列表。
所有 DNS 服務器都將區域傳輸限定於其區域中的名稱服務器 (NS) 資源記錄中列出的服務器。
已將 DNS 服務器配置爲偵聽指定 IP 地址。
緩存污染防止功能在所有 DNS 服務器上都已啓用。
任何 DNS 區域上都不允許進行不安全的動態更新。
內部 DNS 服務器通過防火牆與外部 DNS 服務器進行通信，此防火牆帶有所允許的源地址和目標地址的受限列表。
防火牆前的外部 DNS 服務器使用指向 Internet 的根服務器的根提示進行配置。
所有 Internet 名稱解析都使用代理服務器和網關執行。


高安全級別
高安全級別使用與中安全級別一樣的配置。它還使用在 DNS 服務器服務運行於域控制器上且 DNS 區域存儲在 AD DS 中時可以使用的安全功能。此外，高安全級別完全消除了與 Internet 進行的 DNS 通信。這不是一種典型配置，但是在不需要 Internet 連接時，建議採用這種配置。高 DNS 安全級別具有下列特徵：

組織的 DNS 結構沒有由內部 DNS 服務器執行的 Internet 通信。
網絡使用內部 DNS 根目錄和命名空間，其中所有 DNS 區域的頒發機構都是內部的。
使用轉發器配置的 DNS 服務器僅使用內部 DNS 服務器 IP 地址。
所有 DNS 服務器都將區域傳輸限定於指定 IP 地址。
已將 DNS 服務器配置爲偵聽指定 IP 地址。
緩存污染防止功能在所有 DNS 服務器上都已啓用。
內部 DNS 服務器使用根提示進行配置，這些根提示指向內部命名空間的根區域所在的內部 DNS 服務器。
所有 DNS 服務器都在域控制器上運行。在 DNS 服務器服務上配置了隨機訪問控制列表 (DACL)，僅允許特定的個人在 DNS 服務器上執行管理任務。
所有 DNS 區域都存儲在 AD DS 中。已將 DACL 配置爲僅允許特定個人創建、刪除或修改 DNS 區域。
已在 DNS 資源記錄上將 DACL 配置爲僅允許特定個人創建、刪除或修改 DNS 數據。
爲 DNS 區域配置了安全動態更新，但頂級域和根區域除外，因爲它們完全不允許動態更新。

----------------
域名系統 (DNS) 提供了一種選擇，可以將命名空間劃分爲一個或多個區域，隨後將這些區域存儲、分佈和複製到其他 DNS 服務器。

默認情況下，DNS 服務器僅允許該區域的名稱服務器 (NS) 資源記錄中列出的權威 DNS 服務器進行區域傳送。
安全動態更新將 DNS 區域更新僅限於那些經過身份驗證且加入 DNS 服務器所在的 Active Directory 域的計算機，並限定爲在 DNS 區域的訪問控制列表 (ACL) 中定義的特定安全設置。
--------------------
DNS 部署的安全保護
設計域名系統 (DNS) 服務器部署時，請使用下列 DNS 安全指南：

1 如果網絡主機無需解析 Internet 上的名稱，可取消 DNS 與 Internet 的通信。

在此 DNS 設計中，可以使用完全在網絡中承載的專用 DNS 命名空間。專用 DNS 命名空間僅作爲 Internet DNS 命名空間來分發，內部 DNS 服務器承載根域和頂級域的區域。


2 在位於防火牆後面的內部 DNS 服務器與位於防火牆前面的外部 DNS 服務器之間拆分組織的 DNS 命名空間。

在此 DNS 設計中，內部 DNS 命名空間是外部 DNS 命名空間的一個子域。例如，如果組織的 Internet DNS 命名空間是 tailspintoys.com，則網絡的內部 DNS 命名空間是 corp.tailspintoys.com。


3 將內部 DNS 命名空間承載在內部 DNS 服務器上，將外部 DNS 命名空間承載在暴露於 Internet 的外部 DNS 服務器上。

要解析由內部主機進行的外部名稱查詢，此 DNS 設計中的內部 DNS 服務器將對外部名稱的查詢轉發到外部 DNS 服務器。外部主機僅用於外部 DNS 服務器進行 Internet 名稱解析。


4 配置篩選包的防火牆僅允許在外部 DNS 服務器和單個內部 DNS 服務器之間進行 UDP 和 TCP 端口 53 通信。

這種 DNS 設計便於內部和外部 DNS 服務器之間的通信，並防止任何其他外部計算機獲取訪問內部 DNS 命名空間的權限。

-------------------
主機 (A) 資源記錄： 用於將域名系統 (DNS) 域名映射到計算機使用的 IP 地址。
別名 (CNAME) 資源記錄： 用於將別名 DNS 域名映射到另一個主名稱或規範名稱。可以使用多個名稱指向一臺計算機。
郵件交換器 (MX) 資源記錄： 用於將 DNS 域名映射到交換或轉發郵件的計算機的名稱。
指針 (PTR) 資源記錄：用於映射基於某臺計算機的 IP 地址的反向 DNS 域名，該 IP 地址指向該計算機的正向 DNS 域名。
服務位置 (SRV) 資源記錄： 用於將 DNS 域名映射到提供特定服務類型的一系列指定 DNS 主機計算機（例如 Active Directory 域控制器）。

服務位置 (SRV) 資源記錄是 Active Directory 域控制器的位置所必需的。一般情況下，您可以在安裝 Active Directory 域服務 (AD DS) 時避免手動管理服務位置 (SRV) 資源記錄。如果應用程序實施和支持指定此記錄類型的 DNS 名稱查詢，服務位置 (SRV) 資源記錄也可以用於註冊和查找網絡上其他衆所周知的 TCP/IP 服務。
根據在 in-addr.arpa 域中創建並以其爲根的區域，指針 (PTR) 資源記錄支持反向查找過程。這些記錄通過計算機的 IP 地址查找計算機，並將此信息解析到該計算機的 DNS 域名。

------------------------
資源記錄時間戳
DNS 服務器在執行老化和清理操作時用於確定資源記錄刪除的日期和時間值。

當前服務器時間
DNS 服務器上的當前日期和時間。此數字可以表示爲任何時間點的確切數值。

無刷新間隔
針對每個區域確定的時間間隔（以下面兩個事件爲界）：
1.上次刷新記錄並設置其時間戳的日期和時間。
2.下次有資格刷新記錄並重置其時間戳的日期和時間。


需要使用此值來減少對 Active Directory 數據庫進行的寫入操作次數。默認情況下，此間隔設置爲 7 天。不應將此間隔增加到不合理的程度，因爲老化和清理功能的優勢可能會丟失或減少。

刷新間隔
針對每個區域（由以下兩個不同的事件綁定）確定的時間間隔：
1.有資格刷新記錄並重置其時間戳的最早日期和時間。
2.有資格清理記錄並將其從區域數據庫中刪除的最早日期和時間。

此值應足夠大，以允許所有客戶端都刷新其記錄。默認情況下，此間隔設置爲 7 天。不應將此間隔增加到不合理的程度，因爲老化和清理功能的優勢可能會丟失或減少。

開始清理時間
特定時間，以數字表示。此時間由服務器用於確定區域可以進行清理的時間。

清理週期
在服務器上啓用自動清理時，此期間表示重複執行自動清理過程之間的時間。此設置的默認值爲 7 天。爲防止損害 DNS 服務器性能，此設置的最小允許值爲 1 小時。

記錄刷新
處理對資源記錄的 DNS 動態更新時，將只修訂資源記錄時間戳，而不修訂記錄的其他特性。

通常出於以下原因進行刷新：
1.計算機在網絡上重新啓動時，如果啓動時其名稱和 IP 地址信息與關閉前使用的相同名稱和地址信息一致，則可以發送刷新，以續訂此信息的關聯資源記錄。
2.計算機會在運行的同時發送定期刷新。
Windows DNS 客戶端服務會每 24 小時續訂一次客戶端資源記錄的 DNS 註冊。執行此動態更新時，如果動態更新請求沒有導致對 DNS 數據庫的修改，則認爲此操作是刷新，而不是資源記錄更新。
3.其他網絡服務會嘗試刷新，如：DHCP 服務器，可以續訂客戶端地址租約；羣集服務器，可以註冊並更新羣集的記錄；以及 Net Logon 服務，可以註冊並更新 Active Directory 域控制器所使用的資源記錄。


記錄更新
處理對資源記錄的 DNS 動態更新時，除了修改記錄的時間戳外，還會修改其他特性。

通常出於以下原因進行更新：

1.向網絡中添加新的計算機，且在啓動時發送更新以首次使用其配置的區域註冊其資源記錄。
2.區域中包含現有記錄的計算機更改 IP 地址，導致針對其在 DNS 區域數據中的修訂名稱到地址映射發送更新。
3.Net Logon 服務註冊了新的 Active Directory 域控制器。


清理服務器
可選的高級區域參數，用於指定允許執行區域清理的 DNS 服務器的 IP 地址限制列表。

默認情況下，如果未指定此參數，則所有加載目錄集成區域的 DNS 服務器（同時也允許清理）都會嘗試執行區域清理。在某些情況下，如果只在某些加載目錄集成區域的服務器上執行清理更可取，則此參數可能非常有用。

若要設置此參數，必須在區域的 ZoneResetScavengeServers 參數中指定允許清理區域的服務器的 IP 地址列表。可以使用 dnscmd 命令（即用於管理 Windows DNS 服務器的基於命令行的工具）完成此操作。


系統會根據以下總和將每條記錄與當前服務器時間進行比較，以確定是否應刪除記錄：
記錄時間戳 + 區域的無刷新間隔 + 區域的刷新間隔
如果此總和值大於當前服務器時間，則不執行任何操作，且記錄在該區域中繼續老化。
如果此總和值小於當前服務器時間，則會從服務器內存中當前已加載的任何區域數據中以及目錄集成 example.microsoft.com 區域的 Active Directory 域服務 (AD DS) 中適用的 DnsZone 對象存儲中刪除該記錄。

-----------------
處理對資源記錄的 DNS 動態更新時，除了修改記錄的時間戳外，還會修改其他特性。

通常出於以下原因進行更新：

1.向網絡中添加新的計算機，且在啓動時發送更新以首次使用其配置的區域註冊其資源記錄。


2.區域中包含現有記錄的計算機更改 IP 地址，導致針對其在 DNS 區域數據中的修訂名稱到地址映射發送更新。


3.Net Logon 服務註冊了新的 Active Directory 域控制器。

----------------
在“系統屬性”中應用名稱更改後，系統會提示您重新啓動計算機。計算機重新啓動 Windows 時，DHCP 客戶端服務會按照以下順序來更新 DNS：

1.DHCP 客戶端服務使用計算機的 DNS 域名來發送授權起始點 (SOA) 類型的查詢。

客戶端計算機使用當前配置的計算機 FQDN（如 newhost.tailspintoys.com）作爲在此查詢中指定的名稱。


2.包含客戶端 FQDN 的區域的權威 DNS 服務器將對 SOA 類型的查詢做出響應。

對於標準的主要區域，在 SOA 查詢響應中返回的主服務器（所有者）是固定的而且是靜態的。當它出現在區域中存儲的 SOA 資源記錄中時，始終與實際的 DNS 名稱匹配。但是，如果正在更新的區域是目錄集成區域，則正在加載區域的任何 DNS 服務器都會做出響應，並且會以動態方式在 SOA 查詢響應中插入其各自的名稱作爲區域的主服務器（所有者）。


3.然後 DHCP 客戶端服務會嘗試聯繫主 DNS 服務器。

該客戶端會處理針對其名稱的 SOA 查詢響應，以確定授權爲接受其名稱時所用主服務器的 DNS 服務器的 IP 地址。然後，它將根據需要繼續按以下順序執行步驟，以聯繫其主服務器並採用動態方式更新該服務器：


a.它會將動態更新請求發送到在 SOA 查詢響應中確定的主服務器。

如果更新成功，則不會執行任何進一步操作。


b.如果此更新失敗，則客戶端接着會針對 SOA 記錄中指定的區域名稱發送名稱服務器 (NS) 類型的查詢。


c.當它收到對此查詢的響應時，會將 SOA 查詢發送給響應中列出的第一臺 DNS 服務器。


d.解析 SOA 查詢後，客戶端會將動態更新發送給在返回的 SOA 記錄中指定的服務器。

如果更新成功，則不會執行任何進一步操作。


e.如果此更新失敗，則客戶端會將 SOA 查詢發送給響應中列出的下一臺 DNS 服務器，以重複執行 SOA 查詢過程。


4.聯繫到可以執行更新的主服務器後，客戶端會發送更新請求，由服務器來處理它。

更新請求的內容包括有關下列操作的說明：添加 newhost.tailspintoys.com 的主機 (A)（可能還有指針 (PTR)）資源記錄，以及刪除 oldhost.tailspintoys.com（以前註冊的名稱）的相同記錄類型。

服務器還會進行檢查，以確保允許對客戶端請求進行更新。對於標準的主要區域，動態更新不安全；因此，任何客戶端的更新嘗試都會成功。對於 AD DS 集成的區域，更新是安全的，而且是使用基於目錄的安全設置來執行的。


系統會定期發送或刷新動態更新。默認情況下，計算機會每七天發送一次刷新。如果更新沒有導致區域數據發生更改，則區域始終處於當前版本，而不會寫入更改。只有在名稱或地址實際發生更改時，更新纔會導致實際區域更改或區域傳送增加。

當 DHCP 客戶端服務爲計算機註冊主機 (A) 和指針 (PTR) 資源記錄時，將對主機記錄使用默認的緩存生存時間 (TTL) 15 分鐘。這將決定其他 DNS 服務器和客戶端緩存計算機記錄的時間長度（當查詢響應中包括記錄時）。

------------------
DNS 服務器服務允許在配置爲加載標準主要區域或目錄集成區域的每臺服務器上以區域爲基礎啓用或禁用動態更新。默認情況下，將 DNS 客戶端服務配置爲 TCP/IP 時，該服務會以動態方式更新 DNS 中的主機 (A) 資源記錄。
------------------
對於計算機和服務器，在完成和解析不合格短名稱時，預先確定並使用以下默認 DNS 搜索行爲。

當後綴搜索列表爲空或未指定時，計算機的主 DNS 後綴會被附加到不合格短名稱，並會用 DNS 查詢來解析所得的 FQDN。如果該查詢失敗，計算機會通過附加爲網絡連接配置的任何連接特有的 DNS 後綴，嘗試爲備選的 FQDN 執行另外的查詢。

如果未配置任何連接特定的後綴，或者爲得到的這些連接特定的 FQDN 所執行的查詢失敗，則客戶端可以開始根據主後綴的系統性簡化（又稱傳遞）來重試查詢。

例如，如果主後綴是“widgets.tailspintoys.com”，傳遞過程能夠通過在“microsoft.com”和“com”域中搜索短名稱，重試短名稱查詢。

當後綴搜索列表不爲空並且至少指定了一個 DNS 後綴時，嘗試限定和解析 DNS 短名稱的工作被限制爲僅搜索那些由指定的後綴列表實現的 FQDN。對於附加和嘗試該列表中的每個後綴而形成的所有 FQDN，如果爲它們執行的查詢未得到解析，則查詢過程會失敗，產生“找不到名稱”結果。
其他注意事項
如果使用了域後綴列表，客戶端會在查詢未得到答案或未解析時，繼續根據不同的 DNS 域名發送更多備選查詢。當使用後綴列表中的某個條目解析了名稱時，不再嘗試未使用的列表條目。因此，最高效的方式是，在對列表排序時，將最常用的域後綴排在最前面。

域名後綴搜索只有在 DNS 名稱條目未全限定時才使用。若要完全限定 DNS 名稱，請在名稱的末尾輸入結尾句號 (.)。

Windows Server 2008 支持一個特別命名區域（稱作 GlobalNames），以實現企業網絡中一組有限的全局唯一的單標籤名稱的解析。您可以在網絡要求使用後綴搜索列表達到此目的不可行時，使用該區域。
------------------
若要向您的 DHCP 客戶端提供 DNS 服務器的 IP 地址列表，請啓用已配置選項類型上的選項代碼 6（由 DHCP 服務器提供）。對於 Windows Server 2003 和 Windows Server 2008 DHCP 服務器，可以爲每個客戶端配置一個包含多達 25 個 DNS 服務器的列表
--------------
DNS 域名有兩個變化形式 - DNS 名稱和 NetBIOS 名稱。在查詢和查找網絡上的已命名資源期間，使用完整計算機名（完全限定的 DNS 名稱）。對於較早版本的客戶端，使用 NetBIOS 名稱來查找網絡上共享的各種類型的 NetBIOS 服務。

同時需要 NetBIOS 和 DNS 名稱的組件的一個示例是 Net Logon 服務。在 Windows Server 2008 DNS 中，域控制器上的 Net Logon 服務在 DNS 服務器上註冊其服務定位器 (SRV) 資源記錄。對於 Windows NT Server 4.0 和較早版本，域控制器在 WINS 中註冊一個 DomainName 條目，以執行同一註冊，並宣傳可以用它們向網絡提供身份驗證服務。

-------------
可以用徵求意見文檔 (RFC) 1123“Internet 主機要求 - 應用程序和支持”中定義的基於任何受支持的標準字符的計算機名，配置所有 Windows DNS 客戶端。這些字符包括以下各項：
大寫字母 A-Z
小寫字母 a-z
數字 0-9
連字符 (-)
儘管 DNS 標準歷來禁止在 DNS 主機名或主機 (A) 資源記錄中使用下劃線 (_)，但是在與服務有關的名稱（例如用於服務定位器 (SRV) 資源記錄的名稱）中使用下劃線卻一直是提倡的，以避免在 Internet DNS 命名空間中出現命名衝突
默認情況下，計算機和服務器使用 DNS 來解析長度大於 15 個字符的任何名稱。
-------------
條件轉發器
條件轉發器是根據域名轉發查詢的 DNS 服務器。不是讓 DNS 服務器將它無法進行本地解析的所有查詢轉發到一個轉發器，而是可以將 DNS 服務器配置爲根據查詢中包含的特定域名將查詢轉發到不同的轉發器。通過將基於名稱的條件添加到轉發過程，根據域名轉發可以提高傳統的轉發性能。
如果 DNS 服務器沒有爲查詢中指定的名稱列出任何轉發器，它將嘗試使用標準遞歸解析查詢。
DNS 服務器無法爲其宿主的區域中的域名轉發查詢。例如，區域 widgets.tailspintoys.com 的權威 DNS 服務器無法根據域名 widgets.tailspintoys.com 轉發查詢。

--------------
當您使用集成了目錄的區域時，您可以使用訪問控制表 (ACL) 編輯以保護目錄樹中的 dnsZone 對象容器。該功能提供對區域或區域的指定資源記錄的詳細的訪問。例如，可以限制區域資源記錄的 ACL，以便僅允許對指定客戶端計算機或安全組（例如域管理員組）進行動態更新。使用標準主區域時，該安全功能不可用。

--------------
用於在文件中存儲 DNS 數據的 DNS 服務器使用區域傳送來複制有關部分 DNS 命名空間的信息。當它複製未與 AD DS 集成的區域時，DNS 服務器服務使用增量區域傳送功能僅複製區域的已更改部分，這樣可以節省網絡帶寬。

------------
條件轉發器

DNS 服務器服務通過提供條件轉發器擴展了標準轉發器的功能。條件轉發器是網絡上的一個 DNS 服務器，它按照查詢中的 DNS 域名轉發 DNS 查詢。例如，您可以將 DNS 服務器配置爲將它所接收到的對以 corp.contoso.com 結尾的名稱的所有查詢轉發到特定 DNS 服務器的 IP 地址或到多個 DNS 服務器的 IP 地址。

------------
AD DS 中的 DNS 區域存儲的增強功能
DNS 區域可以存儲於 AD DS 的域或應用程序目錄分區中。應用程序目錄分區是 AD DS 中的一個數據結構，它針對不同的複製目的對數據進行區分。您可以指定將區域存儲於哪個 AD DS 應用程序目錄分區中，進而指定將在其間複製區域數據的域控制器組。DNS 服務器服務維護兩個應用程序目錄分區：DomainDnsZones 和 ForestDnsZones，這兩個分區在每個域和林中用於存儲區域以進行標準複製。

----------------------
區域：DNS服務器管理的範圍。
主要區域：數據庫可以修改。所有添加、修改、刪除都是在主要區域所在服務器上進行。集成到AD後，數據庫放入AD數據庫。
輔助區域：定期到主要區域服務器複製所有數據，複製數據的動作稱爲區域傳送或區域複製。只讀。
存根區域：複製部分記錄。SOA記錄：用來控制它們之間的版本及複寫的頻率，NS、與NS相關的A記錄：維護這個區域的DNS服務器信息。

只有主區域可以存儲在目錄中。DNS 服務器無法在目錄中存儲輔助區域。必須以標準文本文件格式存儲它們。當所有區域都存儲在 AD DS 中時，AD DS 的多主機複製模型就不再需要輔助區域。
由於輔助區域只是在另一臺服務器上承載的主要區域的副本，因此不能存儲在 AD DS 中。
如果 DNS 服務器也是 Active Directory 域服務 (AD DS) 域控制器，則可以將主要區域和存根區域存儲在 AD DS 中。

您可以使用存根區域執行下列操作：
1 使委派的區域信息始終保持最新狀態。通過定期更新其某個子區域的存根區域，承載父區域和存根區域的 DNS 服務器將保持該子區域的權威 DNS 服務器列表最新。
2 改進名稱解析。存根區域使 DNS 服務器可以使用存根區域的名稱服務器列表來執行遞歸，而不必查詢 Internet 或 DNS 命名空間的內部根服務器。
3 簡化 DNS 管理。通過在整個 DNS 結構中使用存根區域，可以分發區域的權威 DNS 服務器列表，而不必使用輔助區域。但是，存根區域與輔助區域作用不同，它們不是用於增強冗餘性和共享負載的備用區域。

-----------------
迭代查詢：DNS回答它的最佳答案，不會幫你查詢高速你下一層DNS的IP
遞歸查詢：DNS回答完整答案  客戶端到DNS 對轉發器

根提示 迭代查詢
------------------
DNS Domain Namespace架構 根域 最上層域 第2層域。 最上與第2組合稱爲DNS域名。
------------------
host name解析順序
dns緩存 或 hosts
dns服務
netbios名稱緩存  當DNS客戶端服查詢DNS服務器失敗且host name不超過15個字符，會轉向netbios name名稱解析
wins 通過unicast封包解析
廣播
lmhosts

netbios name解析順序
netbios名稱緩存 3個來源 wins 廣播 lmhosts#PRE
wins
廣播
lmhosts
-----------------
依據不用的應用程序或服務來選擇使用host name名稱解析 或 netbios name名稱解析
host name 255字符 爲管理者針對連接在tcp/ip網絡上的計算機所設定的別名。默認與計算機名稱相同。
netbios name15字符+1字符
FQDN完整域名:在整個DNS的階層式架構中識別internet上的任意一臺計算機。host name + DNS Suffix

SOA記錄：SOA 資源記錄表明此 DNS 名稱服務器是爲該 DNS 域中的數據的信息的最佳來源。

NS記錄：表明該服務器是一臺名稱服務器

A記錄：對象到IP地址的映射關係

NS和A記錄一起表示有一條粘連記錄，用於定位一臺名稱服務器（根據IP地址來定位）

PTR (Pointer Recore)，指針記錄，是電子郵件系統中的一種數據類型，被互聯網標準文件RFC1035所定義。與其相對應的是A記錄、地址記錄。二者組成郵件交換記錄。[1]A記錄解析名字到地址，而PTR記錄解析地址到名字。
地址是指一個客戶端的IP地址，名字是指一個客戶的完全合格域名。

--------------------------
Windows的ComputerBrowser服務維護着一個網絡資源的清單，其中包括基於Windows的域、工作組和計算機，還有其他支持NetBIOS協議的網絡設備,網上鄰居顯示的內容正是來源於此。在基於Windows 2000的網絡中，活動目錄（Active Directory，AD）取代了ComputerBrowser服務。但是，如果網絡由Win2K和WinNT混合構成，且包含非Win2K的域控制器，或者網絡上某些客戶端不支持AD，Computer Browser服務仍是必不可少的。在運行ComputerBrowser的環境中，IP網絡的域的主瀏覽器與網段的主瀏覽器交互，藉助NetBIOS名稱解析和幾個特殊的NetBIOS名稱，裝配出成員機器和設備的列表。
--------------------------
domain master browser server: A master browser server that is responsible for combining information for an entire domain, across all subnets. A domain master browser server is responsible for keeping multiple subnets in synchronization by periodically querying local master browser servers for information concerning user accounts, security, and available resources such as printers.
master browser server: A server that is responsible for maintaining a master list of available resources on a subnet and for making the list available to backup browser servers. Each subnet requires a master browser server. The master browser server for a particular domain is called the domain master browser server.
backup browser server: A browser server that was selected by the local master browser server on that subnet to be available to share the processing load that is required to serve browser clients. Backup browser servers keep copies of the information that is maintained by the local master browser server by periodically querying that server.
--------------------------
clearing the ARP cache
netsh interface ip delete arpcache
--------------------------
緩存包括肯定條目(positive entry)和否定條目(negative entry)。
肯定條目是指這種條目: DNS查詢成功，能夠連接到該網站。Windows在緩存裏面查找時，如果找到一個肯定條目，就會立即使用該DNS信息，連接到請求訪問的那個網站。
否定條目是指這種條目: 找不到匹配，最後在瀏覽器裏面出現“找不到服務器或者DNS”錯誤信息。同樣，Windows在緩存裏面查找時，如果找到一個否定條目，就會返回錯誤信息，不會連接到那個網站。
否定條目會帶來問題。如果試圖連接到在緩存中有否定條目的網站，就會得到錯誤信息，即使該網站的問題已經得到了解決、現在可以成功連接。不過可以通過修改註冊表的辦法來解決這個問題。默認情況下，Windows在緩存裏面把否定條目保留五分鐘。五分鐘過後，它們就會從緩存中清空。
否定條目在DNS緩存裏面保留多長時間(以秒爲單位)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters，使用名稱NegativeCacheTime創建一個新的DWORD值，並賦值0。
肯定響應的 TTL 是下列值中的較小者:
在解析器收到的查詢響應中指定的秒數MaxCacheTtl註冊表設置的值。
注意
肯定響應的默認 TTL 是 86,400 秒（1 天）。
否定響應的 TTL 是在 MaxNegativeCacheTtl註冊表設置中指定的秒數。
否定響應的默認 TTL 是 900 秒（15 分鐘）。
如果您不希望緩存否定響應，請將 MaxNegativeCacheTtl註冊表設置設爲 0。
-------------------------------

子網優先級劃分
Windows XP DNS 解析器還使用“子網優先級劃分”。如果解析器從 DNS 服務器收到多個 IP 地址映射（A 資源記錄），並且一些記錄含有計算機直接連接到的網絡中的 IP 地址，則解析器會首先放置這些資源記錄。這種行爲會強制計算機連接到比較靠近它們的網絡資源，從而減少了子網間的網絡通信量。

雖然“子網優先級劃分”確實可減少子網間的網絡通信量，但在某些情況下，您可能喜歡讓循環功能按照 RFC 1794 中的說明工作。如果是這樣，您可以通過在以下註冊表項中添加一個值爲 0（REG_DWORD 數據類型）的 PrioritizeRecordData
註冊表條目來禁用“子網優先級劃分”功能：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
-----------------------------------
要停止 DNS 緩存
net stop dnscache
sc 服務器名 stop dnscache

DNS 客戶端服務可通過將以前解析的名稱存儲在內存中來優化 DNS 名稱解析的性能。



ip mac之間由arp通信協議來轉換
DNS主要對 host name 名稱解析  一般tcp/ip(ftp telnet smtp http)
wins 主要對 netbios name 解析 絕大多數 unc path(net use \ net time)


---------------------------
在winXP和2003中 TTL是 900 秒（15 分鐘）。 關於DNS緩存機制設定的鍵值都在如下路徑中：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
其中MaxCacheEntryTtlLimit爲DNS緩存條目TTL最大值，在XP和2003系統中此項名稱爲MaxCacheTtl。肯定響應條目的TTL，將由在DNS解析器收到的查詢響應中指定的秒數和此項數值兩者中最小值決定。如果將此項鍵值設爲1 秒，則DNS 緩存看起來已被禁用。NegativeCacheTime爲否定響應條目的TTL，XP和2003中此項名稱爲 MaxNegativeCacheTtl。可以將此項鍵值改小或直接改爲0，則不緩存否定的響應。而NetFailureCacheTime子項爲常規網絡緩存失敗的控制時間，默認30秒。若系統重複發送多次DNS請求，而完全得不到任何DNS服務器的響應，系統會認爲網絡連接失效，在默認30秒的時間中將不會再向外發送任何DNS查詢請求，此項也可減小或置0。