若要使用转发器管理您的网络与 Internet 之间的域名系统 (DNS) 流量,请将您的网络防火墙配置为仅允许一个 DNS 服务器与 Internet 通信。将网络中的其他 DNS 服务器配置为将它们无法本地解析的查询转发到该 DNS 服务器时,该服务器将充当您的转发器。有关转发器的详细信息,请参阅了解转发器。
转发顺序
在 DNS 服务器上作为转发器列出的 IP 地址的顺序确定了使用 IP 地址的顺序。在 DNS 服务器使用第一个 IP 地址将查询转发到转发器后,它将等待一小段时间,等待来自该转发器的应答(根据 DNS 服务器转发超时设置),之后继续使用下一个 IP 地址进行转发操作。它将继续此过程,直到收到来自转发器肯定应答。
例如,在下图中,具有第一个和第二个转发器 IP 地址的 DNS 服务器未响应 DNS 服务器。具有第三个转发器 IP 地址的 DNS 服务器作出响应,并且将查询转发到该 DNS 服务器。
与传统的解析(其往返时间 (RTT) 与每台服务器关联)不同,转发器列表中的 IP 地址不是根据往返时间排序的。必须手动对它们重新排序才能更改首选项。
条件转发器
条件转发器是根据域名转发查询的 DNS 服务器。不是让 DNS 服务器将它无法进行本地解析的所有查询转发到一个转发器,而是可以将 DNS 服务器配置为根据查询中包含的特定域名将查询转发到不同的转发器。通过将基于名称的条件添加到转发过程,根据域名转发可以提高传统的转发性能。
DNS 服务器的条件转发器设置由下列部分组成:
-
DNS 服务器将为其转发查询的域名
-
指定的每个域名的一个或多个 DNS 服务器 IP 地址
当 DNS 客户端或服务器对 DNS 服务器执行查询操作时,DNS 服务器将进行检查以确定是否可以使用其自己的区域数据或其高速缓存中存储的数据来解析查询。如果 DNS 服务器被配置为针对查询中指定的域名进行转发,则此查询将转发到与此域名关联的转发器的 IP 地址。例如,在下图中,这些域名的每个查询将转发到与此域名关联的 DNS 服务器中。
如果 DNS 服务器没有为查询中指定的名称列出任何转发器,它将尝试使用标准递归解析查询。有关详细信息,请参阅将 DNS 服务器配置为使用转发器。
可以使用条件转发器改善不属于 Internet 的 DNS 命名空间的内部(专有)DNS 命名空间之间的名称解析。这样的 DNS 命名空间可能是公司合并的结果。将一个内部命名空间中的 DNS 服务器配置为将所有查询转发到第二个内部命名空间中的权威 DNS 服务器时,条件转发器将在这两个命名空间之间启用名称解析,而不在 Internet 的 DNS 命名空间执行递归。对名称解析的这项增强也可避免让 DNS 服务器为网络中的不同命名空间执行到内部根目录的递归。
重要 | |
DNS 服务器无法为其宿主的区域中的域名转发查询。例如,区域 widgets.tailspintoys.com 的权威 DNS 服务器无法根据域名 widgets.tailspintoys.com 转发查询。如果将 hr.widgets.tailspintoys.com 委派到另一个 DNS 服务器,则 widgets.tailspintoys.com 的权威 DNS 服务器可以为以 hr.widgets.tailspintoys.com 结尾的 DNS 名称转发查询。 |
条件转发器域名长度
在使用条件转发器配置的 DNS 服务器收到域名查询时,它会将该域名与其域名条件列表进行比较,并使用与查询中的域名对应的最长域名条件。例如,在下图中,DNS 服务器将执行下列条件转发逻辑以确定如何转发域名查询:
-
DNS 服务器收到 toys.widgets.tailspintoys.com 查询。
-
它将该域名与 tailspintoys.com 和 widgets.tailspintoys.com 进行比较。
-
DNS 服务器确定 widgets.tailspintoys.com 是与域名查询更匹配的域。
-
DNS 服务器将查询转发到 IP 地址为 172.31.255.255 的 DNS 服务器,该地址与 widgets.tailspintoys.com 相关联。