实验环境搭建与角色安装

这次实训我们聚焦在 DNS 域名解析服务的核心配置上。对于网安专业的同学来说，理解 DNS 不仅是会点鼠标，更要明白名字是如何变成 IP 的。实验环境基于 Windows Server 2019，我们需要准备两台虚拟机：一台作为主 DNS 服务器（DNS1），另一台作为辅助 DNS 服务器（DNS2）或客户端。

在开始之前，务必给服务器配置好静态 IP 地址。这是很多新手容易忽略的“坑”，如果服务器 IP 是动态获取的，一旦重启变化，整个域的解析就会瘫痪。设置好 IP 后，打开“服务器管理器”，点击“添加角色和功能”。一路默认直到“服务器角色”选择界面，勾选 DNS 服务器。安装向导会提示需要安装相关功能，直接确认即可。安装完成后，无需重启，但在“服务器管理器”仪表盘右上角可能会出现一个黄色感叹号，点击它完成"DNS 配置向导”，这一步主要是确认网卡绑定，保持默认通常没问题。

正向查找区域与资源记录实操

DNS 的核心工作区在于“区域”。打开 DNS 管理器（可在工具菜单找到），展开服务器节点，右键点击“正向查找区域”，选择“新建区域”。

在向导中，我们选择“主要区域”，区域名称输入我们要管理的域名，比如 school.com（实训中常用姓名拼音首字母代替）。接下来保持默认设置，直到完成。此时你会看到新出现的区域文件夹。

创建主机记录与别名

右键点击刚创建的 school.com 区域，选择“新建主机 (A 或 AAAA)"。

• 名称：输入 www
• IP 地址：填入 Web 服务器的实际 IP（例如 192.168.10.5）
• 勾选“创建相关的指针 (PTR) 记录”（若已配置反向区域则可选，未配置则忽略报错）。

除了主机记录，别名记录 (CNAME) 也是考试高频点。右键区域选择“新建别名 (CNAME)"，别名名称填 ftp，目标主机填 www.school.com。这意味着访问 ftp.school.com 时，DNS 会将其指向 www 记录的 IP。这种设计在服务器 IP 变更时非常有用，只需修改 A 记录，所有别名自动生效。

子域与委派配置

当组织架构变大，比如需要为“财务部”单独管理域名时，我们会用到子域。直接在区域内新建名为 cwb 的主机记录即可实现简单子域。但如果是将 xsb.sales.com 完全交给另一台服务器管理，就需要委派。
右键区域 -> “新建委派”，输入子域名称 xsb，然后添加负责该子域的 DNS 服务器（即 DNS2 的 IP）。配置完成后，针对 xsb 的查询请求会被自动转发到指定的服务器，这是分布式 DNS 架构的基础。

辅助 DNS 与区域复制实战

为了保证高可用，我们通常部署辅助 DNS 服务器。在 DNS2 服务器上，同样打开 DNS 管理器，右键“正向查找区域” -> “新建区域”。

关键步骤来了：这次选择 “辅助区域”。输入相同的区域名称 school.com。系统会要求输入主 DNS 服务器（DNS1）的 IP 地址。确认后，DNS2 会立即尝试从 DNS1 拉取数据。

如果配置成功，DNS2 上的该区域图标上会出现一个小箭头，表示它是只读的辅助副本。这里有个常见的排错点：如果区域传输失败，检查 DNS1 的“区域属性” -> “区域传送”选项卡，确保已勾选“允许区域传送”，并指定了允许接收的服务器 IP（或设为“只有列在名称服务器选项卡上的服务器”）。在实际生产环境中，为了安全，严禁对任意 IP 开放区域传送，防止泄露内网拓扑。

解析验证与常见故障排错

配置完记录，必须验证是否生效。打开命令行，使用 ping www.school.com。如果返回了正确的 IP 地址，说明解析成功。

遇到解析失败怎么办？

1. 清除缓存：客户端或服务器可能缓存了旧的错误记录。在命令行执行 ipconfig /flushdns 清除本地缓存，然后在 DNS 服务器管理器中右键服务器名，选择“清除缓存”。
2. 检查转发器：如果内网无法解析外网域名（如 www.baidu.com），需要在 DNS 服务器属性中配置“转发器”。填入公共 DNS（如 114.114.114.114 或运营商 DNS），这样内网无法解析的请求会被转发出去。
3. 防火墙问题：确保 UDP 和 TCP 的 53 端口 在防火墙中是放行的。DNS 查询主要用 UDP，区域传送用 TCP，缺一不可。

考试重点与实训总结

在期末实操考试或认证考试中，关于 DNS 的判断题常考资源记录类型：A 记录对应 IPv4 主机，CNAME 是别名，MX 用于邮件交换，NS 标识域名服务器。做题时看清题目描述的场景，比如“希望用一个好记的名字指向另一个域名”，答案必然是 CNAME。

另外，关于区域类型的选择也常考：可读写、存储在主服务器上的叫“主要区域”；只读、从主服务器同步的叫“辅助区域”；存储在 AD 中并能多主复制的叫"AD 集成区域”。

本次实训我们完成了从安装角色到配置主辅同步的全流程。大家不妨思考一下：如果公司既有内网办公区又有对外服务区，如何设计 DNS 架构才能实现内外网解析分离，既保证内部安全又不影响外部访问？欢迎在评论区分享你的思路。

想要获取包含本篇一在内的全套 5 份 Windows Server 2019 实训详细步骤文档及 DNS 故障排查手册的同学，可以关注我，私信回复"DNS 实训”即可领取。