DNS与DHCP配置及网络管理操作指南

table {
border-collapse: collapse;
width: 100%;
margin-bottom: 1rem;
}
th, td {
border: 1px solid #ddd;
padding: 8px;
text-align: left;
}
th {
background-color: #f2f2f2;
}
tr:nth-child(even) {
background-color: #f9f9f9;
}
pre {
background-color: #f8f8f8;
padding: 15px;
border-radius: 4px;
overflow-x: auto;
}

1、请解释 ‘Installing and Configuring the DNS Service’ 的中文含义

安装和配置 DNS 服务

2、配置动态更新的区域，如何修改正向查找区域的属性，配置该区域使用WINS来解析通过查询DNS命名空间未找到的名称，并允许该区域进行动态更新？

练习步骤如下：

通过选择“开始”>“管理工具”>“DNS”打开DNS管理单元。

单击DNS服务器将其展开，然后展开“正向查找区域”文件夹。

右键单击要修改的区域（可能是你在上一个练习中创建的区域），然后选择“属性”。

切换到“WINS”选项卡，然后单击“使用WINS正向查找”复选框。

输入网络上有效WINS服务器的IP地址，单击“添加”，然后单击“确定”。

3、创建一个委派的 DNS 区域

通过选择“开始”→“管理工具”→“DNS”打开 DNS 管理单元。

展开 DNS 服务器，找到之前创建的区域。

右键单击该区域，选择“新建委派”命令。

出现“新建委派向导”，单击“下一步”跳过初始向导页面。

在“委派的域名”页面的“委派的域名”字段中输入

ns1
（或其他你喜欢的名称），这是要将权限委派给另一个 DNS 服务器的域名，它应该是主域名的子域名，单击“下一步”完成此步骤。

当“名称服务器”页面出现时，使用“添加”按钮添加将托管新委派区域的服务器的名称和 IP 地址。输入之前使用的区域名称，单击“解析”按钮将该域名的 IP 地址自动解析到 IP 地址字段，完成后单击“确定”，单击“下一步”继续向导。

单击“完成”按钮，“新建委派向导”消失，你会看到刚创建的新区域出现在步骤 3 中选择的区域下方，新委派区域的文件夹图标为灰色，表示该区域的控制权已被委派。

4、手动创建 DNS 资源记录和主机记录

创建 DNS 资源记录和主机记录练习

本练习指导手动创建 DNS 资源记录和主机记录，具体步骤如下：

通过选择

“开始” → “管理工具” → “DNS”

打开 DNS 管理单元；

展开 DNS 服务器，右键单击其区域，选择

“新建邮件交换器 (MX)”

命令；

在

“主机或子域”

字段中输入

“mailtest”

，在

“邮件服务器的完全限定域名 (FQDN)”

字段中输入

“mailtest.yourDomain.com”

（或使用其他任何域名），然后单击

“确定”

；

创建一个

别名 (CNAME)

记录指向邮件服务器，右键单击目标区域，选择

“其他新记录”

，在

“资源记录类型”

对话框中找到

“别名”

并选择它；

在

“委托的域名”

页面的

“委托的域”

字段中输入

“ns1”

（或其他喜欢的名称），这是要将权限委托给另一个 DNS 服务器的域名，它应该是主域的子域，单击

“下一步”

完成此步骤；

当

“名称服务器”

页面出现时，使用

“添加”

按钮添加将托管新委托区域的服务器的名称和 IP 地址，输入使用的区域名称，单击

“解析”

按钮将此域名的 IP 地址自动解析到 IP 地址字段，完成后单击

“确定”

，单击

“下一步”

继续向导；

单击

“完成”

按钮，新委托的区域将出现在步骤 3 中选择的区域下方，新委托区域的文件夹图标为灰色，表示该区域的控制权已被委托。

5、执行简单的 DNS 测试

通过选择“开始”→“管理工具”→“DNS”打开 DNS 管理单元。

右键单击要测试的 DNS 服务器，然后选择“属性”。

切换到“调试日志记录”选项卡，选中除“按 IP 地址筛选数据包”之外的所有调试日志记录选项，并在“文件路径和名称”字段中输入完整的路径和文件名，点击“应用”按钮。

切换到“监视”选项卡，选中“对此 DNS 服务器的简单查询”和“对其他 DNS 服务器的递归查询”。

多次点击“立即测试”按钮，然后点击“确定”。

使用 Windows 资源管理器导航到步骤 3 中指定的文件夹，并使用写字板查看日志文件的内容。

6、简述nslookup命令的作用及使用方式


## nslookup 工具说明

`nslookup` 是一个标准的命令行工具，可用于执行 DNS 服务器的查询测试，并在命令提示符处获取详细响应。它有助于：

- 诊断和解决名称解析问题
- 验证区域中资源记录的添加或更新是否正确
- 调试其他与服务器相关的问题

### 使用方式

#### 1. 非交互模式

在命令提示符窗口输入以下命令：

nslookup DNS_name_or_IP_address server_IP_address



该命令将使用指定 IP 地址的服务器查找 DNS 名称或地址。

#### 2. 交互模式

直接输入 `nslookup`（不指定查询内容或服务器）可进入交互模式。在此模式下可按顺序输入多个命令，直到输入 `exit` 并按回车键退出。

在交互模式下还可使用 `set` 命令配置解析器执行查询的方式。

### 错误信息

此外，`nslookup` 可能会返回错误。文中列出了一些常见错误消息及其含义。

7、取消授权 DHCP 服务器

选择“开始” > “管理工具” > “DHCP”以打开 DHCP 管理单元。

右键单击要取消授权的服务器，然后选择“取消授权”命令。

等待一小段时间（30 – 45 秒），让取消授权操作生效。

再次右键单击该服务器。验证弹出菜单中是否出现“授权”命令；这表明该服务器现在已被取消授权。

8、如何在 Active Directory 域中授权 DHCP 服务器，有哪些注意事项？

若要在 Active Directory 域中授权 DHCP 服务器，可按以下步骤操作：

选择“开始”>“管理工具”>“DHCP”以打开 DHCP 管理单元。

右键单击要授权的服务器，然后选择“授权”命令。

等待一小段时间（30 – 45 秒）以使授权生效。

再次右键单击该服务器。验证弹出菜单中是否显示“取消授权”命令，这表明该服务器现已获得授权。

此外，授权 DHCP 服务器时，必须以“管理员”或“企业管理员”组的成员身份登录，且 DHCP 授权仅适用于 Windows 2000 Server、Server 2003 和 Server 2008 的 DHCP 服务器。

9、创建新作用域的步骤是什么？

创建新作用域的步骤如下：

通过选择“开始”→“管理工具”→“DHCP”打开DHCP管理单元。

右键单击“IPv4”文件夹，选择“新建作用域”，此时会出现“新建作用域向导”。

在欢迎页面上点击“下一步”按钮。

为新作用域输入名称和描述，然后点击“下一步”按钮。

在“IP地址范围”页面，输入192.168.0.2作为作用域的起始IP地址，192.168.0.250作为结束IP地址。保持子网掩码控件不变（不过在生产网络中创建作用域时，可能需要更改它们），点击“下一步”按钮。

在“添加排除范围”页面，不添加任何排除地址，直接点击“下一步”。

在“租约期限”页面，将租约期限设置为3天，然后点击“下一步”按钮。

在“配置DHCP选项”页面，点击“下一步”按钮，表示要为此作用域配置默认选项。

在“路由器（默认网关）”页面，为路由器IP地址输入192.168.0.1，然后点击“添加”按钮。添加地址后，点击“下一步”按钮。

在“域名和DNS服务器”页面，在IP地址字段中输入网络中DNS服务器的IP地址（例如，可输入192.168.0.251），然后点击“添加”按钮，再点击“下一步”按钮。

在“WINS服务器”页面，点击“下一步”按钮，不设置WINS选项。

在“激活作用域”页面，如果网络当前正在使用192.168.0.x范围，选择“否，我将稍后激活此作用域”单选按钮，点击“下一步”按钮。当向导的摘要页面出现时，点击“完成”按钮以创建作用域。

10、如何在DHCP中配置用户类选项？

通过选择“开始” → “管理工具” → “DHCP” 打开 DHCP 管理单元。

右键单击 “IPv4” 项，选择 “定义用户类”。

在 “DHCP 用户类” 对话框中，点击 “添加” 按钮。

在 “新建类” 对话框中：

– 在 “显示名称” 字段中为该类输入描述性名称。

– 在 “ID” 字段中输入类 ID（通常在 “ID” 字段的 ASCII 部分输入类 ID）。

完成后，点击 “确定”。

新类会出现在 “DHCP 用户类” 对话框中。点击 “关闭” 按钮返回 DHCP 管理单元。

右键单击 “作用域选项” 节点，选择 “配置选项”。

点击 “高级” 选项卡。从 “用户类” 弹出菜单中选择在步骤 4 中定义的类。

配置要为该类设置的选项。完成后点击 “确定”。

注意：配置的选项（以及与之关联的类）会出现在 DHCP 窗口的右窗格中。

11、创建一个新的多播作用域

通过选择“开始”→“管理工具”→“DHCP”打开 DHCP 管理单元。

右键单击“IPv4”，选择“新建多播作用域”。“新建多播作用域向导”出现，在欢迎页面上点击“下一步”按钮。

在“多播作用域名称”页面，为多播作用域命名（如果需要可添加描述），点击“下一步”按钮。

“IP 地址范围”页面出现，输入起始 IP 地址

224.0.0.0
和结束 IP 地址

224.255.0.0
。将 TTL 调整为

1
以确保没有多播数据包离开本地网络段。完成后点击“下一步”按钮。

“添加排除范围”页面出现，点击其“下一步”按钮。

“租约期限”页面出现。由于多播地址用于视频和音频，通常多播作用域分配的保留时间比常规单播作用域要长一些，所以默认租约长度为

30
天（单播作用域为

8
天）。点击“下一步”按钮。

向导询问是否现在激活作用域，点击“否”单选按钮，然后点击“下一步”按钮。

向导的摘要页面出现，点击“完成”按钮创建作用域。

验证新的多播作用域是否出现在 DHCP 管理单元中。

12、启用 DHCP – DNS 集成的步骤是什么？

启用 DHCP – DNS 集成的步骤如下：

通过选择“开始”→“管理工具”→“DHCP”打开 DHCP 管理单元。

右键单击 IPv4 项，然后选择“属性”。

出现“服务器属性”对话框，点击“DNS”选项卡。

验证“根据以下设置启用 DNS 动态更新”复选框已选中，并且“仅在 DHCP 客户端请求时动态更新 DNS A 和 PTR 记录”单选按钮已选中。

验证“删除租约时丢弃 A 和 PTR 记录”复选框已选中，如果未选中则选中它。

点击“确定”按钮应用更改并关闭“服务器属性”对话框。

13、请解释 ‘Inspecting Leases’ 是什么意思

检查租约

14、在服务器之间移动 DHCP 数据库

在源计算机上，在命令提示符处输入

net stop dhcpserver
以停止 DHCP 服务。

将源服务器上的

systemrootSystem32DHCP
文件夹复制到目标服务器可访问的临时文件夹。

运行

regedit.exe
，查看

HKEY_LOCAL_MACHINESOFTWAREMicrosoftDhcpServerConfiguration
注册表项。高亮显示

Configuration
项，选择“注册表”→“保存项”。保存该项并记录使用的文件名。

在目标服务器上安装 DHCP，然后在命令提示符处输入

net stop dhcpserver
停止服务。

将临时文件夹中的

System.mdb
文件重命名为

System.src
。

删除目标计算机上

systemrootSystem32DHCP
文件夹中的所有文件和子文件夹。将源计算机上的临时文件夹复制到目标计算机上新的

systemrootSystem32DHCP
文件夹。

使用

regedit
在目标计算机上找到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftDhcpServerConfiguration
项。高亮显示该项，选择“注册表”→“还原”。选择步骤 3 中保存的文件，点击“是”覆盖当前设置。

在目标计算机上的命令提示符处输入

net start dhcpserver
启动 DHCP 服务，并在 DHCP 管理工具中选择“协调所有作用域”。

如果目标计算机是 Windows 2000、Windows Server 2003 或 Windows Server 2008 域的一部分，则必须对其进行授权。如果需要从 Windows NT 4 服务器传输 DHCP 数据库，应先从 Windows 2000、Server 2003 或 Server 2008 光盘复制

Edb500.dl_file
并将其展开到

System32
文件夹，然后再继续操作。另外，启动目标 DHCP 服务器服务后会收到一条错误消息，这是正常的。

15、为IP路由安装路由和远程访问服务（RRAS）

点击“开始” → “管理工具” → “服务器管理器”，打开服务器管理器。

在左窗格中，点击“角色”。在右窗格中，点击“添加角色”。

在“选择服务器角色”页面，勾选“网络策略和访问服务”框，然后点击“下一步”。

16、创建一个按需拨号接口的方法有哪些

若要创建新的按需拨号接口，可在相关界面中右键单击

Network Interfaces

，并选择

New Demand-Dial Interface

；

若在安装 RRAS 过程中选择创建按需拨号接口，完成

路由和远程访问服务器设置向导

后，

按需拨号接口向导

会自动出现。

17、安装RIP协议

通过选择“开始” → “管理工具” → “路由和远程访问”打开“路由和远程访问”管理单元。

在MMC的左窗格中选择要配置的服务器。展开它，直到看到IPv4下的“常规”节点。

右键单击“常规”节点，然后选择“新路由协议”。此时会出现“新路由协议”对话框。

选择要安装的路由协议。在这种情况下，选择“Internet协议的RIP版本2”，然后单击“确定”按钮。

18、配置PPTP数据包过滤器

数据包过滤器是一种有用的安全机制，可阻止特定机器上的有害流量。使用数据包过滤器将非VPN流量阻挡在VPN服务器之外是个不错的做法。筛选非PPTP流量至少需要两个过滤器：

第一个过滤器允许协议ID为47（通用路由封装协议，GRE）的流量传输到PPTP接口的目标地址；

第二个过滤器允许发往TCP端口1723（PPTP端口）的入站流量到达PPTP接口。

若PPTP服务器同时作为PPTP客户端，可添加第三个过滤器，该过滤器需要接口的目标地址、TCP（已建立）协议类型和源端口1723。

创建这些过滤器后，打开入站过滤器对话框，选择“丢弃所有数据包，除非符合以下条件”单选按钮，然后在出站端重复该过程，创建两个或三个相应的输出过滤器，以筛选出任何并非源自VPN接口且未使用正确协议的流量。

在生产VPN服务器上尝试此操作之前，请先在另一台不太关键的机器上成功完成测试。

设置RRAS IP数据包过滤器以阻止指定接口上除PPTP流量之外的所有流量的步骤如下：

通过选择“开始”→“管理工具”→“路由和远程访问”打开“路由和远程访问”管理单元。

展开服务器和IPv4节点，以显示正在操作的服务器的“常规”节点，选择“常规”节点。

右键单击“本地连接”接口，然后选择“属性”。

在接口“属性”对话框的“常规”选项卡中，单击“入站过滤器”按钮，将出现“入站过滤器”对话框。

单击“新建”按钮，将出现“添加IP过滤器”对话框。

按以下方式填写“添加IP过滤器”对话框：

– 选中“目标网络”复选框；

– 在目标IP地址字段中填写远程VPN接口的IP地址（可输入192.168.1.254）；

– 输入目标子网掩码255.255.255.255；

– 选择协议类型为TCP，然后指定源端口为0，目标端口为1723；

– 单击“确定”按钮。

19、请解释英文短语 ‘Monitoring Routing Status’ 的中文意思

监控路由状态

20、Troubleshooting Your Server 是什么意思？

服务器故障排查

21、如何控制传入呼叫的多链路？

以下是调整为Markdown格式的内容：

控制传入呼叫的多链路，可通过RRAS服务器属性对话框的PPP选项卡进行设置。该选项卡有四个复选框：

多链路连接复选框

– 默认选中

– 控制服务器是否允许客户端在呼入时建立多链路连接

使用BAP或BACP进行动态带宽控制复选框

– 仅在多链路连接复选框选中时可用

– 决定客户端和服务器是否允许在多链路会话期间动态添加或删除链路

链路控制协议（LCP）扩展复选框

– 应保持选中

– 因为Windows 9x、NT、2000、Vista和XP客户端依赖LCP扩展

软件压缩复选框

– 也应保持选中

– 控制RRAS是否允许远程客户端使用压缩控制协议（CCP）压缩PPP流量

若只有一条电话线，启用多链路连接无意义，还可关闭多链路以防止少数用户占用所有线路。

22、更改远程访问日志记录设置

通过选择“开始”→“管理工具”→“路由和远程访问”打开 RRAS MMC 管理单元。

导航到“远程访问日志记录和策略”文件夹。右键单击该文件夹，然后选择“启动 NPS”。

在左窗格中，单击“记账”。在右侧，单击“配置本地文件日志记录”。

出现“本地文件日志记录”对话框。在“设置”选项卡上，确保所有复选框都已选中。

切换到“创建新日志文件”控件组中的“日志文件”选项卡，选择“当日志文件达到此大小”选项，并输入 50，将日志文件的最大大小设置为 50 MB。

单击“确定”按钮。关闭“网络策略服务器”窗口。

23、在RRAS服务器上安装和配置DHCP中继代理

在RRAS服务器上安装和配置DHCP中继代理的步骤如下：

通过选择

“开始” > “管理工具” > “路由和远程访问”

打开

“路由和远程访问”

管理单元。

找到要安装DHCP中继代理的服务器。

安装前需注意

：

– 不能在已充当DHCP服务器的计算机上安装。

– 也不能在安装了地址转换组件且运行网络地址转换（NAT）的系统上安装。

配置时

，可在以下两个位置进行：

–

“DHCP中继代理属性”

对话框

–

每个单独的接口上

两个位置的配置设置不同。

24、在网络接口上配置DHCP中继代理

要在网络接口上配置DHCP中继代理，需先配置要将DHCP请求转发到的服务器列表，然后将中继代理附加到特定网络接口。

创建中继代理接口时：

右键单击“DHCP中继代理”项。

选择“新建接口”。

在“DHCP中继代理的新接口”对话框中，选择要将中继代理绑定到的网络接口。

之后会出现特定接口的“属性”对话框。

每个启用中继代理的接口都有自己的一组属性，可通过特定接口的“属性”对话框进行设置，其中最顶部的控件：

“中继DHCP数据包”复选框

：可控制此接口上的DHCP中继是否处于活动状态，无需重启RRAS服务即可打开或关闭。

25、将Windows XP Professional配置为VPN客户端

选择“开始”，右键单击“网上邻居”，然后选择“属性”。

点击“创建一个新连接”图标。“新建连接向导”出现，点击“下一步”按钮。

选择“连接到我的工作场所的网络”按钮，然后点击“下一步”。

选择“VPN连接”单选按钮，然后点击“下一步”。

为连接输入一个描述性名称，然后点击“下一步”。

选择“不拨初始连接”单选按钮，然后点击“下一步”。

输入VPN服务器的IP地址。完成后点击“下一步”。

向导的摘要页面出现，点击“完成”。

“连接”对话框出现。确保已连接到Internet，输入用户名和密码，然后点击“拨号”按钮进行连接。

26、如何创建网络访问策略？

网络访问策略创建指南

创建网络访问策略有助于强制实施你希望终端用户拥有的权限。可以通过多种方式实现这一结果，具体使用哪种方式取决于你对网络访问策略的整体使用情况。

简单策略示例

最简单的方法是创建一个允许所有用户使用VPN的策略。

策略条件构建

在策略条件中可以使用

NAS - Port - Type
属性，它是构建允许或拒绝通过VPN进行远程访问策略的基石，因为可以用它来接受或拒绝通过特定类型VPN连接到达的连接。

为获得最佳效果，应结合使用

Tunnel - Type
属性和

NAS - Port - Type
属性。

策略制定基础

制定网络访问策略应基于风险和责任分析，分析不同级别信息被泄露的影响，从而客观确定保护资源所需的成本。

技术决策影响

这会影响与 RRAS 相关的各种技术决策，如：

身份验证类型

远程访问网络的人员控制

加密级别

回拨等

27、如何限制拨号访问的用户配置文件

使用具有管理权限的账户登录计算机。

若使用的是 Active Directory 域中的 RRAS 服务器，通过选择“开始” → “管理工具” → “Active Directory 用户和计算机”打开“Active Directory 用户和计算机”管理单元；若不是，则通过选择“开始” → “管理工具” → “计算机管理” → “本地用户和组”打开“本地用户和组”管理单元。

展开树状结构至“用户”文件夹，在右侧窗格中右键单击“Administrator”账户，选择“属性”，此时会出现“Administrator 属性”对话框。

切换到“拨号”选项卡。对于参与 Active Directory 的计算机，确保选中“通过 NPS 网络策略控制访问”选项（在“权限”组中）。

单击“拒绝访问”单选按钮，以防止通过拨号连接使用此账户。

单击“确定”按钮。

28、在配置RAS或VPN客户端时，Windows XP使用IPSec对网络连接两端进行加密，数据加密下拉菜单中有哪些选项，分别代表什么含义？

在配置 RAS 或 VPN 客户端时涉及加密配置。Windows XP 可使用 IPSec 对网络连接两端进行加密，在数据加密下拉菜单中有以下四个选项：

不允许加密

：若服务器要求加密而客户端无法提供，服务器将挂断呼叫；

可选加密

：客户端请求加密，若不可用则继续呼叫；

要求加密

：客户端请求加密，拒绝与不支持加密的服务器通信；

最高强度加密

：客户端仅与提供相同强度加密的服务器通信。

29、创建VPN网络访问策略


# 创建VPN网络访问策略

创建VPN网络访问策略有助于实施最终用户所需的权限，可通过多种方式实现，具体取决于网络访问策略的整体使用情况。

## 简单策略：允许所有用户使用VPN

最简单的方法是创建一个允许所有用户使用VPN的策略。可通过策略条件中的 **NAS - Port - Type** 属性来允许或拒绝通过VPN进行远程访问。为获得最佳效果，建议结合 **Tunnel - Type** 属性使用。

## 限制访问：仅允许特定用户组使用VPN

若不想向所有人授予VPN访问权限，可采取以下步骤：

1. **将VPN策略移到策略列表顶部**  
2. **创建一个Active Directory组**，将需要使用VPN的用户加入该组。  
3. **创建一个新的策略**，包含以下两个条件：
   - 使用 **Windows - Groups** 属性指定新创建的组。
   - 可通过该策略允许所有人进行拨号访问，而将VPN功能限制为仅对较小的组开放。