【求助】关于Win2003配置DNS服务器转发器的问题

可以参考一下这篇文章，讲得比较详细：

Win2003上网配置DNS的技巧

本文分步说明如何在Windows Server 2003 产品中为域名系统 (DNS) 配置Internet 访问。DNS是Internet上使用的核心名称解析工具。负责主机名称和Internet 地址之间的解析。

如何从运行 Windows Server 2003 的独立服务器开始

运行Windows Server 2003 的独立服务器成为网络的DNS 服务器。第一步，为该服务器分配一个静态 Internet“协议(IP)”地址。DNS服务器不应该使用动态分配的IP地址，因为地址的动态更改会使客户端与DNS服务器失去联系。

第1步：配置TCP/IP

打开网络连接，然后使用右键查看本地连接的属性。

选择Internet 协议 (TCP/IP)。查看其属性。

单击常规选项卡。

选择“使用下面的IP地址”，然后在相应的框中键入IP 地址、子网掩码和默认网关地址。

选中高级选项中的DNS选项卡。

单击附加主要的和连接特定的DNS 后缀。

单击以选中附加主DNS 后缀的父后缀复选框。

单击以选中在DNS中注册此连接的地址复选框。

注意，运行Windows Server 2003的DNS服务器必须将其DNS服务器指定为它本身。

如果该服务器需要解析来自它的Internet 服务提供商 (ISP) 的名称，您必须配置一台转发器。在本文稍后的如何配置转发器部分将讨论转发器。

单击确定三次。

备注: 如果收到一个来自DNS 缓存解析器服务的警告，单击“确定”关闭该警告。缓存解析器正试图与DNS服务器取得联系，但您尚未完成该服务器的配置

第2步：安装 Microsoft DNS 服务器

单击开始，指向控制面板，然后单击添加或删除程序。

单击“添加或删除Windows组件”。

在组件列表中，单击网络服务（但不要选中或清除该复选框），然后单击详细信息。单击以选中域名系统 (DNS) 复选框，然后单击确定。

单击下一步。

得到提示后，将Windows Server 2003 CD-ROM 插入计算机的 CD-ROM 或 DVD-ROM 驱动器。

安装完成时，在完成 Windows 组件向导页上单击完成。

单击关闭关闭添加或删除程序窗口。

第3步：配置 DNS 服务器

要使用 Microsoft 管理控制台 (MMC) 中的 DNS 管理单元配置 DNS，请按照下列步骤操作：

单击开始，指向程序，指向管理工具，然后单击DNS。

右击正向搜索区域，然后单击新建区域。

当“新建区域向导”启动后，单击下一步。

接着将提示您选择区域类型。区域类型包括：

主要区域：创建可以直接在此服务器上更新的区域的副本。此区域信息存储在一个dns 文本文件中。

辅助区域：标准辅助区域从它的主 DNS 服务器复制所有信息。主 DNS 服务器可以是为区域复制而配置的 Active Directory 区域、主要区域或辅助区域。注意，您无法修改辅助DNS服务器上的区域数据。所有数据都是从主 DNS 服务器复制而来。

存根区域：存根区域只包含标识该区域的权威 DNS 服务器所需的资源记录。这些资源记录包括名称服务器 (NS)、起始授权机构 (SOA) 和可能的glue 主机 (A) 记录。

Active Directory 中还有一个用来存储区域的选项。此选项仅在 DNS 服务器是域控制器时可用。

新的正向搜索区域必须是主要区域或 Active Directory 集成的区域，以便它能够接受动态更新。单击主要，然后单击下一步。

新区域包含该基于 Active Directory 的域的定位器记录。区域名称必须与基于Active Directory 的域的名称相同，或者是该名称的逻辑 DNS 容器。例如，如果基于Active Directory 的域的名称为“supportmicrosoftcom”，那么有效的区域名称只能是“supportmicrosoftcom”。

接受新区域文件的默认名称，单击下一步。

备注：有经验的DNS 管理员可能希望创建反向搜索区域，因此建议他们钻研向导的这个分支。DNS 服务器可以解析两种基本的请求：正向搜索请求和反向搜索请求。正向搜索更普遍一些。正向搜索将主机名称解析为一个带有“A”或主机资源记录的 IP 地址。反向搜索将IP地址解析为一个带有 PTR 或指针资源记录的主机名称。如果您配置了反向DNS 区域，您可以在创建原始正向记录时自动创建关联的反向记录。

如何移除根DNS 区域

运行 Windows Server 2003 的 DNS 服务器在它的名称解析过程中遵循特定的步骤。DNS服务器首先查询它的高速缓存，然后检查它的区域记录，接下来将请求发送到转发器，最后使用根服务器尝试解析。

默认情况下，Microsoft DNS 服务器连接到 Internet 以便用根提示进一步处理 DNS 请求。当使用 Dcpromo工具将服务器提升为域控制器时，域控制器需要DNS。如果在提升过程中安装 DNS，会创建一个根区域。这个根区域向您的 DNS 服务器表明它是一个根Internet 服务器。因此，您的 DNS 服务器在名称解析过程中并不使用转发器或根提示。

单击开始，指向管理工具，然后单击DNS。

展开 ServerName，其中 ServerName 是服务器的名称，单击属性 ，然后展开正向搜索区域。

右击"" 区域，然后单击删除

如何配置转发器

Windows Server 2003 可以充分利用 DNS 转发器。该功能将 DNS 请求转发到外部服务器。如果 DNS 服务器无法在其区域中找到资源记录，可以将请求发送给另一台 DNS 服务器，以进一步尝试解析。一种常见情况是配置到您的 ISP 的 DNS 服务器的转发器。

单击开始，指向管理工具，然后单击DNS。

右击ServerName，其中ServerName是服务器的名称，然后单击转发器 选项卡。

单击DNS域列表中的一个DNS域。或者单击新建，在DNS“域框”中键入希望转发查询的DNS域的名称，然后单击确定。

在所选域的转发器IP地址框中，键入希望转发到的第一个DNS服务器的IP地址，然后单击添加。

重复步骤 4，添加希望转发到的DNS服务器。

单击确定。

如何配置根提示

Windows 可以使用根提示。根提示资源记录可以存储在 Active Directory 或文本文件(%SystemRoot%\System32\DNS\Cachedns) 中。Windows 使用标准的 Internic 根服务器。另外，当运行 Windows Server 2003 的服务器查询根服务器时，它将用最新的根服务器列表更新自身。

单击开始，指向管理工具，然后单击DNS。

右击 ServerName，其中 ServerName 是服务器的名称，然后单击属性单击根提示 选项卡。DNS 服务器的根服务器在名称服务器列表中列出。

如何在防火墙后配置DNS

代理和网络地址转换 (NAT) 设备可以限制对端口的访问。DNS使用UDP 端口A和TCP端口53。DNS服务管理控制台也使用RCP。RCP使用端口135。当您配置DNS和防火墙时，这些问题都有可能发生。

http://wwwthymenetcn/mydocs/tutorials/dns/

步骤1：搭建软件环境，windows7旗舰版执行开始I 设置I 控制面板命令，在打开的控制面板 窗口中双击添加删除程序Windows组件选项，在这里面安装IIS以及ASP服务，如图所示。

步骤2：在Windows组件中向导对话框， win7系统在安装证书服务时选中独立根CA单选按钮，如图所示，然后单击下一步按钮。

步骤3：在CA识别倌息对话框的此CA的公用名称文本框中输入名称，如图3所示，其他操作依据向导提示完成。

美国方面就算关闭了根服务器，我们也不会断网，就像一本书，没有了目录，但书的内容依旧还在，不至于没得看。

但是，如果真的没有了根服务器，像没有目录那样，我们就很难找到自己想看的页数了，需要一页一页的去翻。上网的时候我们同样不知道网站的网址是多少，需要用更长、更难记的IP地址去访问，这样一来是非常繁琐不便的。

目前，全球IPv4的根服务器一共有13台，其中有9台在美国、1台在英国、1台在日本、1台在瑞典，而我们国内的许多的网站使用的数据都在美国的根服务器当中。我们在网上查找资料的时候，域名信息会从美国连接到中国的巨型海底光缆传输到国内。

再通过信号基站发送到我们的设备当中。这样看来我们并没有对互联网掌握话语权，但是我国已经在很努力的去改变这一现状。因为原本的IPv4的地址早就已经不能满足互联网的使用需求，于是各国开始应用IPv6的地址。

扩展资料

美国不会贸然断网

现在各国经济紧密联系，中国的经济受损对于美国经济也没有什么好处。尽管中美之间存在利益冲突和一些摩擦，但是处于全局考虑美国也不会做这种事情。

其次，中国在很多互联网领域并不需要连接美国的服务器就可以正常运行。而且我们都知道很多国家的网络都是独立的，大多数国家为网络安全都会在一定程度上对国家网络进行监控，防止恶意攻击和其他互联网犯罪行为，所以就算美国真的关了服务器，我们还可以进行单机模式不受影响。

如今，我国的科研人员已经设计出了可以很大程度替代美国根服务器的模拟服务器，相关的科研机构也一直在努力，相信成绩一定不会令人失望的。

如今各国都在不断的发展自己，不断加强自身的科技和经济实力，随着全球经济的发展美国想要独大，或者是希望在某个领域控制其他国家，难度还是非常大的。

采用SSL实现加密传输（1） 在默认情况下，IIS使用HTTP协议以明文形式传输数据，Web Service就是使用HTTP协议进行数据传输的。Web Service传输的数据是XML格式的明文。没有采取任何加密措施，用户的重要数据很容易被窃取，如何才能保护网络中传递的这些重要数据呢 SSL（Security Socket Layer）的中文全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。 SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。 注意SSL网站不同于一般的Web站点，它使用的是"HTTPS"协议，而不是普通的"HTTP"协议。因此它的URL（统一资源定位器）格式为"https://网站域名"。 下面讲解如何使用SSL来增强IIS服务器和Web Service的通信安全。 实现步骤如下。 1．为服务器安装证书服务 要想使用SSL安全机制功能，首先必须为Windows Server 2003系统安装证书服务。进入"控制面板"，运行"添加或删除程序"，接着进入"Windows组件向导"对话框，如图7-13所示。 图7-13 Windows组件向导 勾选"证书服务"选项，单击"下一步"按钮。 接着选择CA类型。这里选择"独立根CA"选项，如图7-14所示。单击"下一步"按钮，为自己的CA服务器起名，并设置证书的有效期限，如图7-15所示。 图7-14 选择CA类型 图7-15 设置CA信息 最后指定证书数据库和证书数据库日志的位置，如图7-16所示，单击"下一步"按钮。 图7-16 指定证书数据库 因为需要复制系统文件，所以需要插入Windows的安装光盘，如图7-17所示。安装证书服务需要停止当前的IIS运行，所以要单击"是"按钮。 图7-17 复制系统文件 最后，显示完成了证书服务的安装，单击"完成"按钮，如图7-18所示。 图7-18 安装完成 792 采用SSL实现加密传输（2） 2．配置SSL网站 1）创建请求证书文件 要想让Web Service使用SSL安全机制，首先需将Web Service配置为网站。然后为该网站创建请求证书文件。 依次单击"控制面板"→"管理工具"按钮，运行"Internet 信息服务(IIS)管理器"，在管理器窗口中展开"网站"目录，用鼠标右键单击要使用SSL的Web Service网站，在弹出的快捷菜单中选择"属性"命令，在网站属性对话框中切换到"目录安全性"选项卡，如图7-19所示， 图7-19 网站属性 然后单击"服务器证书"按钮，弹出"IIS证书向导"对话框。 在"IIS证书向导"对话框中选择"新建证书"选项，单击"下一步"按钮，如图7-20所示。 图7-20 服务器证书 选择"现在准备证书请求，但稍后发送"选项。单击"下一步"按钮，如图7-21所示。 图7-21 证书向导 在"名称"输入框中为该证书取名，然后在"位长"下拉列表中选择密钥的位长（默认为1024，长度越长保密性越好，但性能会越差）。单击"下一步"按钮，如图7-22所示。 图7-22 设置证书名称 设置单位信息，如图7-23所示，然后单击"下一步"按钮。设置公共名称，如图7-24所示。 图7-23 设置单位信息 图7-24 设置公共名称 注意 公共名称必须输入为访问站点的域名，例如要想用地址 https://wwwmaticsoftcom 访问Web Service，则此处必须填写为" wwwmaticsoftcom "，否则将提示使用了不安全的证书，导致站点无法访问。并且切记， wwwmaticsoftcom 和 wwwmaticsoftcom:8001 带端口的访问也是不同的，如果设置的是 wwwmaticsoftcom ，则网站设置为 wwwmaticsoftcom:8001 来访问也是无法使用的。 然后，单击"下一步"按钮，设置国家地区，如图7-25所示。 图7-25 设置国家地区 设置证书的单位、部门、站点公用名称和地理信息，一路单击"下一步"按钮。 最后指定请求证书文件的保存位置。这样就完成了请求证书文件的创建。 792 采用SSL实现加密传输（3） 2）申请服务器证书 完成上述设置后，还要把创建的请求证书文件提交给证书服务器。 在服务器端的IE浏览器地址栏中输入"http://localhost/CertSrv/defaultasp"。 在"Microsoft 证书服务"欢迎窗口中单击"申请一个证书"链接，如图7-26所示。 接下来在证书申请类型中单击"高级证书申请"链接，如图7-27所示。 图7-26 申请证书 图7-27 选择证书类型 然后在高级证书申请窗口中单击"使用base64编码的CMC或PKCS#10……"链接，如图7-28所示。 图7-28 选择编码 接下来在新打开的窗口中，打开刚刚生成的"certreqtxt"文件，将其中的内容复制到"保存的申请"中，如图7-29所示。 图7-29 提交证书申请 单击"提交"按钮，显示"证书挂起"页面，如图7-30所示。 图7-30 证书挂起 792 采用SSL实现加密传输（4） 3）颁发服务器证书 提交证书申请以后，还需要颁发服务器证书。依次选择"开始"→"设置"→"控制面板"，双击"管理工具"，再双击"证书颁发机构"，在打开的对话框中选择"挂起的申请"选项，如图7-31所示。 （大图）图7-31 挂起的申请 找到刚才申请的证书，然后用鼠标右键单击该项，在弹出的快捷菜单中选择"所有任务"→"颁发"命令，如图7-32所示。 颁发成功后，选择"颁发的证书"选项，双击刚才颁发的证书，在弹出的"证书"对话框中的"详细信息"标签页中，单击"复制到文件"按钮，如图7-33所示。 图7-32 颁发证书 图7-33 复制到文件 弹出"证书导出向导"对话框，连续单击"下一步"按钮，选择"Base64编码X509"选项，如图7-34所示。 （大图）图7-34 选择导出文件格式 单击"下一步"按钮，并在"要导出的文件"对话框中指定文件名，最后单击"完成"按钮。 4）安装Web服务器证书 重新进入IIS管理器的"目录安全性"标签页，单击"服务器证书"按钮，弹出"挂起的证书请求"对话框，选择"处理挂起的请求并安装证书"选项，单击"下一步"按钮，如图7-35所示。 （大图）图7-35 处理挂起的证书 指定刚才导出的服务器证书文件的位置，如图7-36所示。 （大图）图7-36 选择导出位置 接着设置SSL端口，使用默认的"443"即可，最后单击"完成"按钮。 792 采用SSL实现加密传输（5） 5）配置网站启用SSL通道 在网站属性"目录安全性"标签页中单击安全通信栏的"编辑"按钮，然后，勾选"要求安全通道（SSL）"选项，如图7-37所示。 （大图）图7-37 启用网站SSL通道 忽略客户端证书：选择该选项可以允许用户不必提供客户端证书就可访问该站点。 接受客户端证书：选择该选项可以允许具有客户端证书的用户进行访问，证书不是必需的。具有客户端证书的用户可以被映射；没有客户端证书的用户可以使用其他身份验证方法。 要求客户端证书：选择该选项则仅允许具有有效客户端证书的用户进行连接。没有有效客户端证书的用户被拒绝访问该站点。选择该选项从而在要求客户端证书前，必须选择"要求安全通道（SSL）"选项。 最后单击"确定"按钮，即完成启用SSL了。在完成了对SSL网站的配置后，用户只要在IE浏览器中输入"https://网站域名"就能访问该网站。 注意 勾选上SSL后，必须用HTTPS来访问，而访问网站的端口也会使用SSL端口，默认为443。 如果在你访问站点的过程中出现无法正常访问的情况，那么请检查服务器防火墙是否禁止对SSl端口443的访问，这点比较容易被忽视，当然你也可以自己修改端口。 如果还是不能访问，出现提示"你试图从目录中执行 CGI、ISAPI 或其他可执行程序，但该目录不允许执行程序。HTTP错误4031-禁止访问：执行访问被拒绝。"那么请检查网站主目录的执行权限，将执行权限设置为纯脚本即可，如图7-38所示。 图7-38 设置执行权限 6）客户端安装证书 如果IIS服务器设置了"要求客户端证书"，则其他机器或用户想通过HTTPS访问和调用该Web服务，就需要将CA的根证书导入到客户端证书的可信任机构中，客户端才可以正常访问Web服务。 （1）选择"开始"→"运行"命令，在弹出的对话框中输入"mmc"，出现如图7-39所示的界面。 图7-39 启动控制台 （2）选择"文件"→"添加/删除管理单元"命令，出现如图7-40所示的界面。 图7-40 添加/删除管理单元 （3）单击"添加"按钮，在可用独立管理单元列表中选择"证书"选项，出现如图7-41所示的界面。 （4）选择"计算机账户"选项，单击"下一步"按钮，选择"本地计算机"选项，然后依次单击"完成"→"关闭"→"确定"按钮。 图7-41 添加证书管理单元 进入当前用户的证书管理单元，界面如图7-42所示。 （大图）图7-42 选择证书导入位置 选中"个人"下的"证书节点"选项，单击鼠标右键，在弹出的快捷菜单中选择"所有任务"→"导入"命令，如图7-43所示。 （大图）图7-43 导入证书 选择我们刚才颁发的服务器证书certcer，将其导入到个人的存储位置，导入后如图7-44所示。 （大图）图7-44 导入到证书 7）SSL的优点与缺点 优点：它对Web服务提供的数据完整性没有任何影响，当值返回给客户时，值还是保持原样，并没有因在传输过程中使用了加密技术而发生变化。 缺点：它对站点的整体性能有影响，因为它需要进行很多加解密的数据处理。 0 0 0 (请您对文章做出评价)

现如今由ICANN这个组织掌握着全球“互联网地址簿”包括互联网协议（IP）地址的空间分配、协议标识符的指派、通用顶级域名（gTLD）、国家和地区顶级域名（ccTLD）系统的管理、根服务器系统的管理。但美国依然掌握着生杀大权。

ICANN现在所提供的这些服务都是最初美国政府资助的组织IANA（互联网号码分配机构）负责管理。

互联网最早起源于美国，在很早以前（90年代之前）一直作为军事、科研服务。90年代初由美国国家科学基金会（NSF）代表美国政府提供资金将互联网顶级域名系统的注册、协调与维护交予NSI，而互联网地址资源分配交予IANA来负责。由IANA将地址分配给北美地区（ARIN）、RIPE（欧洲地区）和亚太地区（APNIC），再由这些地域性的组织再将地址分配给各个ISP。

事实上绝大多数国家都不希望由美国独自对互联网进行管理，因为这样很可能会威慑到他国的网络疆域和主权。比如伊拉克战争期间，在美国政府的授意下，伊拉克顶级域名“iq”的申请和解析工作被终止，所有以“iq”为后缀的网站从互联网上蒸发。

一个国家在有镜像服务器的情况下，从根服务器里断开本质来说并不会对本国的网络安全产生影响，镜像服务器在没有父节点的前提下回自己进化成根服务器。但这样就不好玩了，像单机游戏和网络游戏的区别，断网了只能自己和自己玩就特别没有意思了。没有接入移动网络的手机不能叫手机，没有接入全球互联网的网不能叫互联网。

美国政府迫于各方面的压力，于是由1998年10月成立的民间性非盈利组织ICANN开始参与管理互联网域名及地址分配。2016年10月1日美国商务部下属机构国家电信和信息局把互联网域名管理权完全交予了ICANN。现如今ICANN为了保证数据库安全并没有让某个人来控制整个数据库，而是选择7个人来保管钥匙，以及7个人作为替补的保管者。

截至2020年10月31日，IPV4的13个根域名服务器由12个独立的组织运营，根服务器和镜像服务器一共有1329个。根服务器只有13个（分别以“A”至“M”的字母表示），主根服务器在美国，其余12个均为辅根服务器。在IPV4的时代，中国互联网起步较晚并没有根域名服务器，根服务器9个在美国，2个在欧洲（位于英国和瑞典），亚洲只有日本有1个。IPV4根服务器为什么只能有13个？DNS协议（域名解析协议）早期并不适用EDNS0和TCP协议，而通过UDP协议传输DNS消息最大长度需要限制在512字节，超出部分就会被截断。所以当我们查询根域的记录时512字节只够返回包含13个由A-M命名的根服务器的响应。

但这一切有了改变，IPV6与现有的IPV4根服务器体系架构兼容的前提下，由下一代互联网国家工程中心牵头发起的“雪人计划”于2016年在美国、日本、俄罗斯、德国、法国等全球16个国家完成了25台IPV6根服务器的架设。至此，中国有4台服务器（1台主根服务器和3台辅根服务器），打破了过去没有根服务器的格局。

IPV4的地址总数约43亿，IPV6的地址总数340282366920938463463374607431768211456个。这个数量，即使是给地球上每一颗沙子都分配一个IP，也是妥妥够用的。以上个人浅见，欢迎批评指正。认同我的看法，请点个赞再走，感谢！喜欢我的，请关注我，再次感谢！