很多使用NAT軟件的情況，往往是網(wǎng)關的外部網(wǎng)卡上獲得了ISP的DNS服務器地址，并且可以進行解析，但是內(nèi)部的客戶想要解析DNS名字的話，方法只有兩種：1、在內(nèi)部客戶機上設置DNS地址為外部ISP的dns服務器；2、在內(nèi)部建立一個DNS服務器，內(nèi)部客戶使用這個內(nèi)部的DNS服務器，然后內(nèi)部的DNS服務器轉發(fā)到外部ISP的DNS服務器上。從客戶機的效率上來說，第一種方式要好；但是從可控性和擴展性，還有網(wǎng)絡的效率來說，第二種方式要好，特別是對于采用了域的環(huán)境，必須采用第二種方式進行DNS的轉發(fā)。

KWF自帶有個DNS轉發(fā)器，而且效率比Windows的DNS服務器要高，只是功能太過于單一，只能進行DNS的轉發(fā)。ISA不帶有DNS轉發(fā)器，不過，利用Windows服務器版本中的全功能DNS服務器，可以很完美的實現(xiàn)內(nèi)部的DNS服務器。

需要注意的是，Web代理客戶瀏覽Web是不需要配置DNS服務器的。因為Web代理客戶在瀏覽Web 時是通過ISA 的Web 代理服務中轉，不會直接訪問DNS 服務的，只要ISA 服務器可以解析DNS 名字就行了。但是Web 代理客戶其他的訪問（非Web 瀏覽的訪問）如果是需要DNS解析的，不配置DNS服務器時就會導致失敗。

而防火墻客戶雖然默認也會配置為Web代理客戶，但是防火墻客戶端（FWC）會直接把所有非本地的TCP/UDP 數(shù)據(jù)發(fā)往ISA Server，所以，不管你是否在本地配置了默認網(wǎng)關和DNS 服務器，F(xiàn)WC 總是會把數(shù)據(jù)發(fā)送給它所連接的ISA Server，所以，只要ISAServer 能夠正確的解析DNS，那么防火墻客戶就可以正常的解析DNS。

下面，我以實例給大家來講解，由于結構很簡單，我沒有就網(wǎng)絡結構畫圖，客戶機IP為192.168.0.41，網(wǎng)關(ISA Server 2004英文版）的IP為192.168.0.1。此次試驗的步驟如下：

1、客戶機上沒有設置DNS服務器，但是通過設置為Web代理客戶，可以上網(wǎng)；

2、在ISA Server上建立一個內(nèi)部的DNS服務器并進行配置；

3、客戶機設置DNS服務器地址為新建的內(nèi)部DNS服務器，此時，可以正常上網(wǎng)；

現(xiàn)在進入試驗：

1、客戶不能解析DNS，但是通過Web代理，可以瀏覽網(wǎng)頁

如圖，客戶機上沒有設置DNS服務器，

此時，使用ipconfig/all，沒有顯示出DNS服務器，ping www.isaservercn.org顯示無法解析；

Web瀏覽自然是不行的了

但是可以ping通我的DNS服務器，這表明，網(wǎng)絡連接是通的，只是DNS不能解析；

但是通過我在連接里面設置代理服務器，如下圖，又可以正常訪問了；

2、建立內(nèi)部的DNS服務器

在ISA Server上打開控制面板下的添加/刪除程序，點擊添加/刪除Windows組件，在Windows組件向導中雙擊網(wǎng)絡服務，勾選域名系統(tǒng)（DNS），點擊確定，再點擊“下一步”，安裝過程中可能需要你插入Windows的安裝光盤。

安裝好后，在管理工具中可以看見“DNS”管理控制臺，點擊后彈出界面如下，右擊服務器，選擇屬性；

DNS服務器的設置很簡單，主要的幾個地方：

（1)接口：由于只是給內(nèi)部使用，可以只綁定在內(nèi)部接口上；

（2)轉發(fā)器：這個地方的設置比較重要，先選擇上面的“所有其他DNS域”，然后在下面的轉發(fā)器IP地址列表中，添加你從ISP獲得的DNS服務器的IP。

內(nèi)部的DNS服務器就設置完了，當然，你自己也可以建立名字解析和DNS名字域來使用。另外還需要說明的一點，DNS可以獨立使用的，不是一定要和活動目錄結合的。

3、配置內(nèi)部客戶使用內(nèi)部的DNS服務器

如下圖，對客戶進行配置，設置DNS服務器地址為新建的內(nèi)部DNS服務器地址；

此時，通過ping www.isaservercn.org，已經(jīng)可以解析出名字了。

進行瀏覽，成功。

至此，內(nèi)部DNS服務器的應用就已經(jīng)成功完成了。

【相關文章】

• 關于DNS系統(tǒng)面臨嚴重安全漏洞風險緊急公告

• DNS漏洞細節(jié)被無意泄露 黑客攻擊將要開始