凌激冰 的BLOG
用户名：凌激冰
文章数：199
评论数：2039
访问量：2089493
注册日期：
阅读量：4601
阅读量：2749
阅读量：3600
51CTO推荐博文
59312人学习
12202人学习
Windows 网络服务架构系列课程详解（六）
-----利用NLB群集实现WEB服务器的可靠性
实验背景：
在大型网络环境中存在这样一种情景，公司内部的FTP服务器出现故障或脱机了，而且不能快速恢复，用户不能及时访问公司内部的资源；公司内部的WEB服务器访问量过大，造成网站相应的速度越来越慢，不能很好的为客户服务，还有ISA、VPN服务器（这些服务器存在一个共同的特点：服务器和客户端之间只存在只读关系，不能向里写入）……
那么如何保障这些服务器的可靠性呢，网络负载平衡群集（简称NLB）给出了解决方案，它可以增强Web、FTP、ISA、VPN等服务的可靠性和可伸缩性。它是通过在两台或多台（最多32台）计算机上运行一种服务,而其服务的内容必须要一样，组成单个网络负载平衡群集，通过一个虚拟IP地址向外提供服务，当群集中某个服务器出现故障或脱机时，将在继续运行的计算机间自动重新分配负载，访问该服务器的客户端感觉不到有服务器出现了故障。
实验目的：
1、 理解NLB群集的使用意义
2、 在windows server 2003上部署NLB群集
3、 验证WEB服务器的NLB群集的可靠性
实验网络拓扑：
650) this.width=650;" onclick='window.open("/viewpic.php?refimg=" + this.src)' alt="" src="/attachment/609484.png" border="0" />
一、 搭建网络环境，准备NLB群集条件
（1）、首先将一台服务器升级为域控制器，域名为（也可以为工作组模式），另外一台服务器加入到域中
（2）、在两台主机上分别搭建WEB服务器，并添加相应的主页，为了验证NLB效果，主页的内容不要一样（在实际中，两个网站的网页应该是一样的，而用户在访问的时候，不管访问那个WEB站点，看到的都是相同的内容）
（3）、在DNS服务器上添加相应的主机记录，FQDN分别为和，而虚拟IP地址192.168.1.10对应的FQDN为 。
（4）、为了在两台NLB群集中的主机能够互相管理群集，需要在每台主机上有两块网卡，一块用于群集，一块用于管理。
二、 配置网络负载平衡群集
启用网络负载平衡群集有两种方式，一种是在网卡的属性选项卡里勾选“网络负载平衡”即可，另一种是在运行里输入“nlbmgr”命令打开网络负载平衡管理器，推荐后者，因为在网卡的属性选项卡里进行设置容易导致故障。
右击“网络负载平衡群集”选择“新建群集”
输入群集的虚拟IP地址和子网掩码，然后输入群集完整的Internet名称，可以是FQDN名称，也可以是其它名称。群集模式选择“多播”可以保证多个群集主机同时工作。禁用远程控制，因为网络负载平衡的远程控制选项存在安全隐患，包括数据篡改、拒绝服务和信息泄露的可能性。
群集IP地址可以为一个，也可以为多个，可根据情况而定。
端口规则可以按照群集中每个成员的负荷量来分配客户端的通信。默认应用的端口是从0~65535。这个范围太广泛了，并不是我们所需要的，我们需要的是客户端访问web服务器的TCP 80端口。筛选模式选“多个主机”，相似性选“无”即可。
设置完端口规则之后，需要填入将要群集的主机的任意网卡地址，然后单击“连接”，最好选择用于管理的那块网卡的IP地址，这样更容易连接到群集主机上，然后选择将要群集的网卡。
优先级可以自由选定，默认为1，最大为32，专用IP配置为群集IP地址，初始主机状态选择“已启动”，当没有应用端口规则的时候，如果群集里的所有主机都能正常工作，那么客户端只访问优先级最大的(数字最小)群集服务器，只有当群集服务器挂掉之后，才会选用下一个优先级高的主机，也就是说只起到冗余备份的功能，并没有起到负载均衡的作用。如果应用了端口规则，便会起到负载均衡的作用。
启用网络负载平衡群集后，在群集中已经有一台主机，第一台主机增加了IP地址192.168.1.10.根据需求，还需要添加一台主机到群集。
在另一台主机上运行“ntlmgr”打开网络负载平衡管理器，选择连接到现存的群集，然后输入另外一台群集主机的任意一块网卡的IP地址即可，最好填写用于管理的网卡IP地址。这样更容易联系上群集主机。
右击选择“添加主机（也就是本机）到群集”，也可以在另一台主机上添加另外一台主机到群集。
输入群集主机任意网卡的IP地址，最好输入用于管理网卡的IP地址。
优先级默认为2，专用IP配置为用于群集网卡的IP地址。
基本工作完成之后，群集服务器便开始将此主机群集到群集服务器当中（过程是“挂起”---“已聚合”）最终，在两台NLB群集服务器上看到相同的结果。
为了更好的管理群集服务器，可以通过“选项”里的“日志设置”对群集的访问操作进行记录。在群集服务器挂掉之后，更有利于群集服务器故障的排除。
配置完成之后，也可以通过群集网卡“属性”里的“常规”里的“网络负载平衡”选项卡进行查看，显示的内容和在网络负载平衡管理器上配置的内容一模一样的。
三、 验证web服务器NLB群集
将两个WEB站点的IP地址都指向群集的虚拟IP地址192.168.0.10，然后通过客户端进行测试，测试可靠性的方法是将其中的一台群集主机网卡禁掉，并查看客户端是否能够访问群集服务器；至于负载均衡，由于访问主机太少，不便于测试，理论上是如果有1000个用户访问群集服务器，那么两台群集主机将各承担500用户的访问量。
本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)
22:26:26 22:43:15 22:44:16 23:24:35 10:27:49 &&1&
&&页数 ( 1/3 ) &DNS服务器_百度百科
关闭特色百科用户权威合作手机百科
收藏 查看&DNS服务器
DNS服务器是计算机 (Domain Name System 或Domain Name Service) 的缩写，它是由和组成的。是指保存有该网络中所有的域名和对应，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。采用类似目录树的等级结构。为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和。将域名映射为IP地址的过程就称为“域名解析”。外文名Domain Name System概&&&&述解析器和域名服务器组成域名解析Windows 2000泛域名解析排除故障故障现象 配置规则
DNS 是计算机系统 (Domain Name System 或Domain Name Service) 的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式：主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一（或者多对一）的，也可采用DNS轮循实现一对多，域名虽然便于人们记忆，但机器之间只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS 命名用于 Internet等 TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的信息，如 IP 地址。因为，你在上网时输入的，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。 [1]
在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。因为，8个二进制数转化为十进制数的最大范围就是0～255。已开始试运行、将来必将代替IPv4的IPV6中，将以128位二进制数表示一个IP地址。[1]
大家都知道，当我们在上网的时候，通常输入的是网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入网址，也可输入IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住。
DNS：Domain Name System 域名管理系统域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。
申请了DNS后，客户可以自己为域名作解析，或增设子域名。客户申请DNS时，建议客户一次性申请两个。
DNS服务器在域名解析过程中的查询顺序为：本地缓存记录、区域记录、转发域名服务器、根域名服务器。DNS分为和，Client扮演发问的角色，也就是问Server一个，而Server必须要回答此Domain Name的真正。而当地的DNS先会查自己的资料库。如果自己的资料库没有，则会往该DNS上所设的DNS服务器询问，依此得到答案之后，将收到的答案存起来，并回答客户。DNS服务器会根据不同的授权区（Zone），记录所属该网域下的各名称资料，这个资料包括网域下的次网域名称及主机名称。在每一个名称服务器中都有一个快取缓存区（Cache），这个快取缓存区的主要目的是将该名称服务器所查询出来的名称及相对的IP地址记录快取缓存区中，这样当下一次还有另外一个客户端到此服务器上去查询相同的名称 时，服务器就不用在到别台上去寻找，而直接可以从缓存区中找到该笔名称记录资料，传回给客户端，加速客户端对名称查询的速度。例如：DNS服务器
当DNS客户端向指定的DNS服务器查询网际网路上的某一台主机名称 DNS服务器会在该资料库中找寻用户所指定的名称 如果没有，该服务器会先在自己的快取缓存区中查询有无该笔纪录，如果找到该笔名称记录后，会从DNS服务器直接将所对应到的IP地址传回给客户端 ，如果名称服务器在资料记录查不到且快取缓存区中也没有时，会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ，在另一台服务器上也有相同的动作的查询，当查询到后会回复原本要求查询的服务器，该DNS服务器在接收到另一台DNS服务器查询的结果后，先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ，最后在将所查询到的结果回复给客户端。有两种询问原理，分为Recursive和Interactive两种。前者是由DNS代理去问，问的方法是用Interactive方式，后者是由本机直接做Interactive式的询问。由上例可以看出，我们一般查询名称的过程中，实际上这两种查询模式都是交互存在着的。递归式(Recursive):DNS客户端向DNS Server的查询模式，这种方式是将要查询的送出去问，就等待正确名称的正确响应，这种方式只处理响应回来的封包是否是正确响应或是说是找不到该名称的错误讯息。
交谈式(Interactive):DNS Server间的查询模式，由Client端或是DNS Server上所发出去问，这种方式送出去问，所响应回来的资料不一定是最后正确的名称位置，但也不是如上所说的响应回来是错误讯息，他响应回来告诉你最接近的IP位置，然后再到此最接近的IP上去寻找所要解析的名称，反复动作直到找到正确位置。很多企业都架设了多个Web站点来满足员工的工作需要，为了节省费用，这些网站DNS服务器通常采用技术，即在同一个服务器上架设多个网站，员工使用二级域名访问这些站点。然而，维护这些二级域名的工作量非常大，不过我们可以采用泛域名解析技术来解决这个难题，只要稍加设置Windows系统自带的DNS服务器就可以实现对泛域名的支持。下面分别以Windows Server 2003、Windows 2000的DNS服务器为例，介绍如何改造它们以实现泛域名解析。我们假设DNS服务器上有一个域rtj .net，要使DNS服务器支持对这个域的泛域名解析。Windows 2000泛域名解析
打开DNS控制台，在“rtj.n et”区域上单击鼠标右键，在弹出的中选择“新建域”，接着在“新建DNS域”对话框中输入“*”　创建一个名为“*”的二级区域，最后点击“确定”按钮。
这个区域是DNS服务器允许建立的，然后还需要在“*.rtj.n et”区域中创建一个空的记录。右键单击“*. rtj.n et”区域，在弹出的中选择“新建”，在“新建主机”对话框中，“名称”栏中不要输入任何内容，“IP地址”栏中输入泛域名解析指向的IP地址，例如输入“192.168.0.1”，最后单击“添加主机”按钮即可，这样就可以实现对rtj.n et域的泛域名解析。
我们还可以通过手工修改DNS数据文件来实现泛域名解析。直接修改系统目录下DNS文件夹中的DNS数据文件，进入“C?\Winnt\System32\dns”目录，找到rtj.n et.dns文件，使用打开，手工添加一条“*A 192.168.0.1”记录，其中“A”表示该记录为地址记录，“192.168.0.1”是指泛域名所指向的IP地址，完成后保存文件，重新启动DNS服务器，加载这个DNS数据文件即可。
Windows Server 2003泛域名解析
Windows Server 2003系统的DNS服务器实现泛域名解析很简单，它允许使用“*”字符作为主机名称，只要在“rtj.n et”区域中创建一个名称为“*”的主机记录即可，过程非常简单。右键单击“rtj .ne t”区域，在弹出的菜单中选择“新建”　在“新建主机”对话框的“名称”栏中输入“*”，“IP地址”栏中输入“192.168.0.1”，最后单击“添加主机”按钮即可。
完成以上设置后，可在使用Ping命令测试任意二级域名解析是否成功。例如，在下输入“Ping fymjxcs.rtj.n et”命令，得到如图所示的响应信息，就表示泛域名解析成功。DNS服务器服务器不仅仅是企业的中枢，也是企业软件及数据库应用的主体。在实际运行中服务器经常会出现这样或那样的故障，软件的或者硬件的。很多故障是没有规律可言的，我们只能通过经验去解决。笔者负责公司服务器的维护工作，在一次实际工作中遇到了服务器无法登录的故障，排查起来比较奇特，写出来和各位读者分享。笔者公司规模不是很大，有大概50多台计算机，购买了两台IBM服务器，型号是X SERⅥCE 200。由于内部使用的某个应用软件需要Windows域的支持，所以在这两台IBM服务器上启用了windows 2000 server的域。一台作为DC，另一台设置为BDC。
由于在上主要起辅助作用，所以配置完毕后基本没有做任何修改和操作。然而前一段却出现了DC那台服务器无法登录到系统的，每次启动该域控制器都停留在2000的，即在要求输入和密码操作之前的界面，下方登录信息显示的是“正在连接网络”，等待近一个小时仍然没有任何进展，始终停留在“正在连接网络”提示处。重新启动该服务器按F8可以正常进入安全模式，然而只要一进入正常模式就出现上面提到的问题。
由于系统登录总是停留在“正在连接网络”处，所以笔者怀疑是网络出现问题，例如无法通过DNS解析自己。尝试进入安全模式将网卡禁用，这样系统就不会搜索网络，尝试连接网络了。果然通过禁用后系统可以正常进入。
不过禁用网卡并不能治本，虽然服务器可以登录但是所提供的服务其他客户机也无法使用了。为什么没有了就可以登录呢？笔者再次将解除的思路集中到域名解析上。众所周知在启用了域的网络中，DNS解析的域名与计算机是一一对应的，任何一台计算机没有在上保留正确的DNS对应名称的话都将无法使用网络。
笔者在上查看DNS服务的配置，发现的DNS地址被设置为的IP地址。看来是上的DNS解析出现了问题。笔者马上到进行检查，原来是备份域控制器上的网线与网卡接口连接处松动了，也就是说备份域控制器实际上脱离了整个网络。将上的网线插牢后启动主域控制器上的后就可以正常进入系统了，得到排除。本次看似是因为上的网线松动造成的，实际上是我们在建立域时的配置出现问题的结果，为什么这么说呢？因为在建立域时我们最好按照以下规则来配置DNS。
⑴DC与BDC上都安装DNS服务，而不是仅仅一台服务器上启用，防止DNS解析错误，为DNS解析提供功能。
⑵DC本机DNS服务器设置为自己的IP地址，BDC本机DNS服务器也设置为自己的IP地址。
⑶同时在DC上辅助DNS服务器地址还要设置为BDC的地址，相应的BDC上的辅助DNS服务器地址也要设置为DC的IP地址。
这样我们在进行DNS解析时就不会轻易出问题了，DNS服务器象本次这样的也不会发生了。因为登录时进行DNS解析并连接网络时就会自动查询自己本机的DNS设置，即使BDC网线松动或关机也不会影响DC的登录。在Windows系统中配置是件非常麻烦的事情，DNS服务器而且的发生更没有规律可言，所以在升级网络为域时这个初始化操作也一定要遵循上面介绍的规则，这样可以将故障发生机率降到最低。DNS(Domain Name System，）是一种组织成层次结构的，里面包含有从DNS域名到各种数据类型（如IP地址）的映射。这通常需要建立一种A(Address）记录，意为“记录”或“记录”，是所有DNS记录中最常见的一种。通过DNS，用户可以使用友好的名称查找计算机和服务在网络上的位置。DNS名称分为多个部分，各部分之间用点分隔。最左边的是，其余部分是该主机所属的DNS域。因此一个DNS名称应该表示为“+DNS域”的形式。
小提示：要想成功部署DNS服务，运行Windows Serve 2003的计算机中必须拥有一个静态IP地址，只有这样才能让DNS客户端定位DNS服务器。另外如果希望该DNS服务器能够解析Internet上的域名，还需保证该DNS服务器能正常连接至Internet。默认情况下Windows Server 2003系统中没有安装DNS服务器，DNS服务器所做的第一件工作就是安装DNS服务器。
第1步，依次单击“开始/管理工具/配置您的服务器向导”，在打开的向导页中依次单击“下一步”按钮。配置向导自动检测所有网络连接的设置情况，若没有发现问题则进入“服务器角色”向导页。
小提示：如果是第一次使用配置向导，则还会出现一个“配置选项”向导页，点选“自定义配置”即可。
第2步，在“服务器角色”列表中单击“DNS服务器”选项，并单击“下一步”按钮。打开“选择总结”向导页，如果列表中出现“安装DNS服务器”和“运行配置 DNS 服务器向导来配置DNS”，则直接单击“下一步”按钮。否则单击“上一步”按钮重新配置（如图1）。
第3步，向导开始安装DNS服务器，并且可能会提示插入Windows Server 2003的安装或指定安装（如图2）。
小提示：如果该服务器当前配置为自动获取IP地址，则“Windows 组件向导”的“正在配置组件”页面就会出现，提示用户使用静态IP地址配置DNS服务器。DNS服务器安装完成以后会自动打开“配置DNS服务器向导”对话框。用户可以在该向导的指引下创建区域。
第1步，在“配置DNS服务器向导”的欢迎页面中单击“下一步”按钮，打开“选择配置操作”向导页。在默认情况下适合小型网络使用的“创建”处于选中状态。保持并单击“下一步”按钮（如图3）。
第2步，打开“主服务器位置”向导页，如果所部署的DNS服务器
DNS服务器是网络中的第一台DNS服务器，则应该保持“这台服务器维护该区域”的选中状态，将该DNS服务器作为主DNS服务器使用，并单击“下一步”按钮（如图4）。
第3步，打开“区域名称”向导页，在“区域名称”编辑框中键入一个能反映公司信息的区域名称（如“yesky .com”），单击“下一步”按钮（如图5）。
第4步，在打开的“区域文件”向导页中已经根据区域名称默认填入了一个文件名。该文件是一个ASCⅡ文本文件，里面保存着该区域的信息，默认情况下保存在“windowssystem32dns”文件夹中。保持默认值不变，单击“下一步”按钮（如图6）。
第5步，在打开的“动态更新”向导页中指定该DNS区域能够接受的注册信息更新类型。允许动态更新可以让系统自动地在DNS中注册有关信息，在实际应用中比较有用，因此点选“允许非安全和安全动态更新”，单击“下一步”按钮（如图7）。
第6步，打开“转发器”向导页，保持“是，应当将查询转送到有下列IP地址的DNS服务器上”的选中状态。在IP地址编辑框中键入ISP（或上级DNS服务器）提供的DNS服务器IP地址，单击“下一步”按钮（如图8）。
小提示：通过配置“转发器”可以使内部用户在访问Internet上的站点时使用当地的ISP提供的DNS服务器进行域名解析。
第7步，依次单击“完成/完成”按钮结束“yesky .com”区域的创建过程和DNS服务器的安装配置过程。利用向导成功创建了“yesky.c om”区域，可是内部用户还不能使用这个名称来访问内部站点，因为它还不是一个合格的域名。接着还需要在其基础上创建指向不同的域名才能提供域名解析服务。准备创建一个用以访问Web站点的域名“www.yesk y.c om”，具体操作步骤如下：
第1步，依次单击“开始”→“管理工具”→“DNS”菜单命令，打开“dnsmagt”控制台窗口。
第2步，在左窗格中依次展开“ServerName”→“”目录。然后用鼠标右键单击“yesky.c om”区域，执行中的“新建”命令（如图9）。
图9 执行“新建”命令
第3步，打开“新建”对话框，在“名称”编辑框中键入一个能代表该主机所提供服务的名称（本例键入“www”）。在“”编辑框中键入该的IP地址（如“192.168.0.198”），单击“添加主机”按钮。很快就会提示已经成功创建了记录（如图10）。
最后单击“完成”按钮结束创建。尽管DNS服务器已经创建成功，并且创建了合适的域名，可是如果在客户机的浏览器中却无法使用“www.yesky .com”这样的域名访问网站。这是因为虽然已经有了DNS服务器，但客户机并不知道DNS服务器在哪里，因此不能识别用户输入的域名。用户必须手动设置DNS服务器的IP地址才行。在客户机“Internet协议（TCP/IP）属性”对话框中的“首选DNS服务器”编辑框中设置刚刚部署的DNS服务器的IP地址（本例为“192.168.0.1”，如图11）。
图11 设置客户端DNS服务器地址
然后再次使用域名访问网站，你会发现已经可以正常访问了。以Windows Server 2003系统中的DNS服务器为例介绍设置DNS转发器的方法：
第1步，打开DNS控制台窗口，在左窗格中右键单击准备设置DNS转发器的DNS服务器名称，选择“属性”命令。
第2步，打开服务器属性对话框，并切换到“转发器”选项卡。在“所选域的转发器的IP地址列表”编辑框中输入ISP提供的DNS服务器的IP地址，并单击“添加”按钮。
重复操作可以添加多个DNS服务器的IP地址。需要注意的是，除了可以添加本地ISP提供的DNS服务器IP地址外，还可以添加其他地区ISP的DNS服务器IP地址。
第3步，用户还可以调整IP地址列表的顺序。在转发器的IP地址列表中选中准备调整顺序的IP地址，单击“上移”或“下移”按钮即可进行相关操作。一般情况下应将响应速度较快的DNS服务器IP地址调整至顶端。单击“确定”按钮使设置生效。[2]DNS解析是Internet绝大多数应用的实际定址方式；它的出现完美的解决了企业服务与企业形象结合的问题，企业的DNS名称是Internet上的身份标识，是不可重覆的唯一标识资源，Internet的全球化使得DNS名称成为标识企业的最重要资源。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力，把查询请求从DNS服务器转给转发器， 从DNS转发器潜在地更大DNS高速缓存中受益。[3]
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话， 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器，而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈，它把结果保存在高速缓存中，然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移，只缓冲DNS服务器可以收集大量的DNS反馈，这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用，在你的管理控制下，可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器，只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性，因为你不需要依赖你的ISP的DNS服务 器作为转发器，在你不能确认ISP的DNS服务器安全性的情况下，更是如此。
3.使用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置，是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归 查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险，包括缓存中毒，增加了安全。[3]
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器，它能够解析为授权的域名。例如，你可能在内部网络上有一台DNS服务器，授权内部网络域名服务器。当网络中的客户机使用这台DNS服务器去解析时，这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用，你也可以让它仅为外部用户服务，这样你就不用在没有办法控制的外部设立DNS服务器了，从而提高了安全性。当然，你也 可以让DNS解析者同时被内、外部用户使用。
5.保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前，就保存在高速缓存中。DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话，用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器，你可以配置它，打开DNS服务器的Properties对话框，然后点击“高级”表。选择“防止缓存污染”选项，然后重新启动DNS服务器。[3]
6.使DDNS只用安全连接
很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减
轻DNS管理员的管理费用 ，否则管理员必须手工配置这些主机的DNS资源记录。
然而，如果未检测的DDNS更新，可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录，如果有人想连接到这些服务器就一定会被转移到其他的机器上。[3]
你可以减少恶意DNS升级的风险，通过要求安全连接到DNS服务器执行动态升级。这很容易做到，你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来，所有的域成员都能够安全地、动态更新他们的DNS信息。
7.禁用区域传输[3]
区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名，并且带有可改写的DNS区域文件，在需要的时候可以对该文件进行更新 。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而，区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变，允许区域传输倾倒自己的区域数据 库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划，并攻击关键服务架构。你可以配置你的DNS服务器，禁止区域传输请求，或者仅允 许针对组织内特定服务器进行区域传输，以此来进行安全防范。
8.使用防火墙来控制DNS访问[3]
防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器，应该设置防火墙的配置，阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器，应该设置防火墙的配置，仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9.在DNS注册表中建立访问控制
在基于Windows的DNS服务器中，你应该在DNS服务器相关的注册表中设置访问控制，这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。[3]
HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问，这些帐户应该拥有完全控制权限。
10.在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中，你应该在DNS服务器相关的文件系统入口设置访问控制，这样只有需要访问的帐户才能够阅读或修改这些文件。[3]
应用服务防火墙
针对以上的问题AX有一个解决方式，就是DNS应用服务，AX在这问题有三个有力的方法，可以有效的缓解这些攻击所造成的影响：
1、首先将非DNS协定的封包过滤（Malformed Query Filter)
2、再来将经由DNS服务器查询到的讯息做缓存（DNS Cache)
3、如果真的遇到大量的正常查询、AX可以启动每秒的连线控制（Connection Rate Limit)
Malformed Query Filter:
这种非正常的通常都是用来将对外网络的频宽给撑爆，当然也会造成DNS服务器的忙碌，所以AX在第一线就将这类的封包过滤，正确的封包传递到后方的服务器，不正常的封包自动过滤掉避免服务器的负担。
DNS Cache:
当DNS查询的回应回到AX时，AX可以预先设定好哪些Domain要Cache哪些不需要Cache，如果有Cache，当下一个同样的查询来到AX时，AX就能从Cache中直接回应，不需要再去DNS服务器查询，一方面减轻了DNS服务器的负担，另一方面也加快了回应的速度。
再者，当企业选用此功能时更能仅设定公司的Domain做Cache，而非关此Domain的查询一律不Cache或者拒绝回应，这样更能有效的保护企业的DNS服务器。
而ISP之类需提供大量查询的服务，更适合使用此功能，为DNS服务提供更好更快的回应。
Connection RateLimit:
当查询的流量大到一定的程度时，例如同一个Domain每秒超过1000个请求，此时在AX上可以启动每秒的连线控制，控制进入到后端DNS服务器的查询量，超过的部分直接丢弃，更严格的保护DSN服务器的资源。
相信许多人期待在日新月异的网际网络中看到创新的网络技术，并能提供更好的网络应用服务。而确保DNS服务的不间断持续运作并让DNS服务所提供的资讯是正确的，这也是一切网络应用服务的基础
北京日，全国大范围出现DNS故障，下午15时20分左右，中国顶级域名根服务器出现故障，大部分网站受影响，此次故障未对国家顶级域名.CN造成影响，所有运行服务正常。[4]解决方法一
首先如果你安装了各大公司的安全软件的话，你可以使用自带的网络修复工具进行修复，这是非常方便而有效的解决方案
解决方法二
（1）打开网络和共享中心à当前所用的连接àtcp/ipv4，然后在自动获取DNS一项中选择使用下面的DNSs地址，可以使用8.8.8.8，然后看看能不能上网，如果不能请继续向下看。
（2）使用cmd命令，开始----运行cmd--------输入ping 127.0.0.1，这是你当前主机的地址，如果成功，则表明说明TCP/IP协议没一问题不需要重装，进行（3）步。否则你需要重新安装这个协议的驱动
（3）如果（2）没有问题，那你再输入ping 你的网关地址，即你的路由器地址或者交换机的网关地址，一般为192.168.0（或者1）.1。网关具体获取方法是在命令行输入ipconfig/all，然后找到你当前连接网络类型对应的网关地址。
（4）如果提示成功，则表明路由器连接正常，不需要重启或者设置，进入第（4）步。如果不成功，则需要设置路由器，具体设置请搜索路由器设置引导，记得要选中DHCP。当然最简单的方法就是重启路由，这样一般的问题都会解决。
解决方法三
（1）如果问题还没有解决，那你最好重启一下电脑，或者试试别人的电脑。如果还不行的话，并且你又不是很懂电脑的话，可以打电话问一下网络运营商，可能是网络端dns配置错误。在确认运营商DNS没有错误的情况下，你可以试试下面的方案。
（2）使用ipconfig/all命令，查看下你的ipv4地址是多少，如果是以169开头，那这可能就是问题所在。由于ip一般设置为自动获取，但是在DHCP未启动或者未更新的情况下，你的ip就只能使用系统默认设置的地址。这时候你需要在服务里面重启dhcp client服务，并设置为自动，然后再次重新获取ip。
解决方法四
（1）如果问题依旧没有解决，那你就在tcp/ip中手动设置你的ip和dns，设置范例如下：上面红线1，最后一个数字可以随便更改，2为你的路由地址或者网关，3为dns服务器地址，可以随便找一个。然后看看能不能上网。
（2）如果再不行的话，那可能是你的网卡坏了，或者运营商的问题。[5]近期收到多个反馈，称网站从百度网页搜索消失，site查询发现连通率为0。
经追查发现这些网站都使用godaddy的DNS服务器 *.，此系列DNS服务器存在稳定性问题，Baiduspider经常解析不到ip，在Baiduspider看来，网站是死站点
此前我们也发现过多起小dns服务商屏蔽Baiduspider解析请求或者国外dns服务器不稳定的案例
建议站长尽可能使用国内大型服务商提供的DNS服务，如dnspod等，以保证站点的稳定解析。
新手上路我有疑问投诉建议参考资料 查看}