很多使用NAT軟件的情況，往往是網(wǎng)關(guān)的外部網(wǎng)卡上獲得了ISP的DNS服務(wù)器地址，并且可以進(jìn)行解析，但是內(nèi)部的客戶(hù)想要解析DNS名字的話(huà)，方法只有兩種：1、在內(nèi)部客戶(hù)機(jī)上設(shè)置DNS地址為外部ISP的dns服務(wù)器；2、在內(nèi)部建立一個(gè)DNS服務(wù)器，內(nèi)部客戶(hù)使用這個(gè)內(nèi)部的DNS服務(wù)器，然后內(nèi)部的DNS服務(wù)器轉(zhuǎn)發(fā)到外部ISP的DNS服務(wù)器上。從客戶(hù)機(jī)的效率上來(lái)說(shuō)，第一種方式要好；但是從可控性和擴(kuò)展性，還有網(wǎng)絡(luò)的效率來(lái)說(shuō)，第二種方式要好，特別是對(duì)于采用了域的環(huán)境，必須采用第二種方式進(jìn)行DNS的轉(zhuǎn)發(fā)。

KWF自帶有個(gè)DNS轉(zhuǎn)發(fā)器，而且效率比Windows的DNS服務(wù)器要高，只是功能太過(guò)于單一，只能進(jìn)行DNS的轉(zhuǎn)發(fā)。ISA不帶有DNS轉(zhuǎn)發(fā)器，不過(guò)，利用Windows服務(wù)器版本中的全功能DNS服務(wù)器，可以很完美的實(shí)現(xiàn)內(nèi)部的DNS服務(wù)器。

需要注意的是，Web代理客戶(hù)瀏覽Web是不需要配置DNS服務(wù)器的。因?yàn)閃eb代理客戶(hù)在瀏覽Web 時(shí)是通過(guò)ISA 的Web 代理服務(wù)中轉(zhuǎn)，不會(huì)直接訪(fǎng)問(wèn)DNS 服務(wù)的，只要ISA 服務(wù)器可以解析DNS 名字就行了。但是Web 代理客戶(hù)其他的訪(fǎng)問(wèn)（非Web 瀏覽的訪(fǎng)問(wèn)）如果是需要DNS解析的，不配置DNS服務(wù)器時(shí)就會(huì)導(dǎo)致失敗。

而防火墻客戶(hù)雖然默認(rèn)也會(huì)配置為Web代理客戶(hù)，但是防火墻客戶(hù)端（FWC）會(huì)直接把所有非本地的TCP/UDP 數(shù)據(jù)發(fā)往ISA Server，所以，不管你是否在本地配置了默認(rèn)網(wǎng)關(guān)和DNS 服務(wù)器，F(xiàn)WC 總是會(huì)把數(shù)據(jù)發(fā)送給它所連接的ISA Server，所以，只要ISAServer 能夠正確的解析DNS，那么防火墻客戶(hù)就可以正常的解析DNS。

下面，我以實(shí)例給大家來(lái)講解，由于結(jié)構(gòu)很簡(jiǎn)單，我沒(méi)有就網(wǎng)絡(luò)結(jié)構(gòu)畫(huà)圖，客戶(hù)機(jī)IP為192.168.0.41，網(wǎng)關(guān)(ISA Server 2004英文版）的IP為192.168.0.1。此次試驗(yàn)的步驟如下：

1、客戶(hù)機(jī)上沒(méi)有設(shè)置DNS服務(wù)器，但是通過(guò)設(shè)置為Web代理客戶(hù)，可以上網(wǎng)；

2、在ISA Server上建立一個(gè)內(nèi)部的DNS服務(wù)器并進(jìn)行配置；

3、客戶(hù)機(jī)設(shè)置DNS服務(wù)器地址為新建的內(nèi)部DNS服務(wù)器，此時(shí)，可以正常上網(wǎng)；

現(xiàn)在進(jìn)入試驗(yàn)：

1、客戶(hù)不能解析DNS，但是通過(guò)Web代理，可以瀏覽網(wǎng)頁(yè)

如圖，客戶(hù)機(jī)上沒(méi)有設(shè)置DNS服務(wù)器，

此時(shí)，使用ipconfig/all，沒(méi)有顯示出DNS服務(wù)器，ping www.isaservercn.org顯示無(wú)法解析；

Web瀏覽自然是不行的了

但是可以ping通我的DNS服務(wù)器，這表明，網(wǎng)絡(luò)連接是通的，只是DNS不能解析；

但是通過(guò)我在連接里面設(shè)置代理服務(wù)器，如下圖，又可以正常訪(fǎng)問(wèn)了；

2、建立內(nèi)部的DNS服務(wù)器

在ISA Server上打開(kāi)控制面板下的添加/刪除程序，點(diǎn)擊添加/刪除Windows組件，在Windows組件向?qū)е须p擊網(wǎng)絡(luò)服務(wù)，勾選域名系統(tǒng)（DNS），點(diǎn)擊確定，再點(diǎn)擊“下一步”，安裝過(guò)程中可能需要你插入Windows的安裝光盤(pán)。

安裝好后，在管理工具中可以看見(jiàn)“DNS”管理控制臺(tái)，點(diǎn)擊后彈出界面如下，右擊服務(wù)器，選擇屬性；

DNS服務(wù)器的設(shè)置很簡(jiǎn)單，主要的幾個(gè)地方：

（1)接口：由于只是給內(nèi)部使用，可以只綁定在內(nèi)部接口上；

（2)轉(zhuǎn)發(fā)器：這個(gè)地方的設(shè)置比較重要，先選擇上面的“所有其他DNS域”，然后在下面的轉(zhuǎn)發(fā)器IP地址列表中，添加你從ISP獲得的DNS服務(wù)器的IP。

內(nèi)部的DNS服務(wù)器就設(shè)置完了，當(dāng)然，你自己也可以建立名字解析和DNS名字域來(lái)使用。另外還需要說(shuō)明的一點(diǎn)，DNS可以獨(dú)立使用的，不是一定要和活動(dòng)目錄結(jié)合的。

3、配置內(nèi)部客戶(hù)使用內(nèi)部的DNS服務(wù)器

如下圖，對(duì)客戶(hù)進(jìn)行配置，設(shè)置DNS服務(wù)器地址為新建的內(nèi)部DNS服務(wù)器地址；

此時(shí)，通過(guò)ping www.isaservercn.org，已經(jīng)可以解析出名字了。

進(jìn)行瀏覽，成功。

至此，內(nèi)部DNS服務(wù)器的應(yīng)用就已經(jīng)成功完成了。

【相關(guān)文章】

• 關(guān)于DNS系統(tǒng)面臨嚴(yán)重安全漏洞風(fēng)險(xiǎn)緊急公告

• DNS漏洞細(xì)節(jié)被無(wú)意泄露 黑客攻擊將要開(kāi)始