AD智能DNS配置及详解、排错

DNS原理介绍及智能DNS配置指导
目录
DNS原理介绍及智能DNS配置指导1
一、应用场景1
二、智能DNS工作原理1
三、深信服智能DNS工作原理2
四、配置思路2
五、真实案例3
六、客户端测试5
6.1清空DNS缓存5
6.2使用NSlookup查看域名解析过程6
七、测试注意事项7
八、智能DNS问题排查7
8.1 DNS解析的地址有问题排查7
8.2 域名无法解析问题排查8
九、万网域名记录添加指导9
一、应用场景
1.AD智能DNS可以智能的判断访问内网的用户，然后根据不同的访问者、按照不同的分配策略，把域名分别解析成不同的IP地址。

2.如访问者是网通用户，DNS策略解析服务器会把你的域名对应的网通IP 地址，解析给这个访问者。

3.如果用户是电信用户，DNS策略解析服务器会把您域名对应的电信IP地址，解析给这个访问者。

4.如果用户是教育网用户，DNS策略解析服务器会把您域名对应的电信IP 地址，解析给这个访问者。

5.也可以按照链路的负载状况，动态的解析成不同的IP，如线路1比较忙碌，智能DNS就可以反馈相对比较空闲的线路2的IP。

二、智能DNS工作原理
DNS有两种查询方式递归和迭代：
①递归：指定的DNS不管找不找的到结果都要给你个准确的结果（DNS负担大）。

②迭代：指定的DNS找不到结果就告诉你有可能找的到结果的DNS地址，你自己去再问另外一个DNS （减少DNS的负担）
举例：比如学生问老师一个问题，王老师告诉他答案这之间的叫递归查询。

这期间也许王老师也不会，这时王老师问X老师，这之间的查询叫迭代查询！
DNS请求：当PC提出查询请求时，首先在本地计算机的host缓存中查找；
如果在本地无法获得查询信息，则将查询请求发给Local DNS服务器。

1.用户PC提出域名解析请求，并将该请求发送给Local DNS服务器。

2.当Local DNS服务器收到请求后，就先查询本地的缓存，如果有该纪录项，则Local DNS服务器就直接把查询的结果返回。

3.如果本地的缓存中没有该纪录，则Local DNS服务器就直接把请求发给根域名服务器，然后根据域名服务器，再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。

4. Local DNS服务器再向上一步返回的域名服务器发送请求，然后接受请求的服务器查询自己的缓存，如果没有该纪录，则返回相关的下级的域名服务器的地址。

5.重复第四步，直到找到正确的纪录。

6.Local DNS把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给pc。

注：PC端到DNS服务器之间属于递归查询，DNS服务器到服务器之间属于迭代查询
三、深信服智能DNS工作原理
1.用户PC提出域名解析请求，并将该请求发送给Local DNS服务器。

2.当Local DNS服务器收到请求后，就先查询本地的缓存，如果有该纪录项，则Local DNS服务器就直接把查询的结果返回。

3.如果本地的缓存中没有该纪录，则Local DNS服务器就直接把请求发给根域名服务器，然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的ip地址。

4.Local DNS根据将请求到的A记录发送给AD设备。

5.AD根据配置的策略返回一个IP给Local DNS。

6.Local DNS将IP告诉客户端。

深信服设备只支持递归查询，这个递归查询的过程就是公网A记录指向我们设备的监听地址，AD设备收到用户DNS解析查询的过程。

四、配置思路
1.在域名提供商处设置域名的NS记录指向AD设备的WAN口ip（客户提供）。

2.设置DNS服务器IP，跟第一步指向的IP相同。

3.设置虚拟IP池，填写域名对应的IP都有哪些。

4.设置DNS映射，填写域名对应的虚拟IP池。

5.设置LDNS集合，定义联通和电信的IP地址集。

6.设置静态就近性，源IP是电信IP，返回电信地址，联通也一样。

注意：DNS服务器IP地址规划和应用IP的规划一定要提前确认好
五、真实案例
5.1拓扑图
服务器（server）--接入--核心（VRRP）--fw--IPS--负载均衡--出口（联通和电信）
需求：客户要求替换原有网络中F5设备做入站负载。

注：AD设备替换F5设备网关模式部署，有两条线路：联通和电信，分别有2个可用的公网地址：电信：106.120.112.116，106.120.112.118；联通：123.127.51.67，123.127.51.66。

客户内网有2台服务器：.和ininbeijing.。

电信用户访问内网的.时，AD返回电信IP 106.120.112.118；联通用户访问该域名时，AD 返回联通IP123.127.51.66。

电信用户访问内网ininbeijing.时，AD返回电信IP 106.120.112.116，联通用户访问该域名时，AD返回联通123.127.51.67。

5.2准备工作
1.在域名提供商处，设置NS记录，将ininbeijing.和.的域名请求转发至AD设备，由AD设备来解析。

域名AD设备解析
. NS .. . NS .. .
A . 106.120.112.118 A . 123.127.51.66
inbeijing. NS .ininbeijing. ns1.ininbeijing. NS .ininbeijing. ns2.ininbeijing.
A ns1.ininbeijing. 106.120.112.116 A Ns2.ininbeijing. 123.127.51.67
2.AD配置监听地址
注：监听地址可以填写多个，但是必须是ns记录指向的地址，对于不存在的域名处理可以根据客户的需求配置。

3.设置虚拟ip池
注意：添加你想要解析出来的IP，就是运营商哪里做的NS记录，每个域名所对应的ip地址
4.添加DNS映射
注：解析的域名加到列表里面，选择一个虚拟IP池（和上一步结合起来）5.设置LDNS集合
注：在LDNS集合里面添加电信和联通的地址，如果有用户想添加其他网段也是可以添加的。

6.添加静态就近性
注：有几条公网线路就添加几个静态就近性
六、客户端测试
6.1清空DNS缓存
6.2使用NSlookup查看域名解析过程
注：使用106.120.112.116做DNS服务器，验证域名解析是不是联通回联通DNS地址，电信回电信的DNS地址。

清空缓存，换个DNS再次测试，这是最基本的测试方法，测试的时候请切忌要清空DNS缓存。

下面给大家推荐一个，很直观的看到解析的结果：tool.chinaz./dns。

输入要测试的域名，底下选上各个运营商，类型一般A记录即可，按实际情况来选择。

七、测试注意事项
1.在域名提供商那里改变NS记录，生效时间大约2小时，全球更新最少需要48到72个小时之间。

2.所有测试之前，都记得要清空dns缓存。

3.有解析不了的情况，首先将电脑DNS服务器指向AD监听的地址，看这时能否解析。

4.如果这时可以解析，说明AD没问题。

那可能就是公网问题了，具体问题还得具体看。

八、智能DNS问题排查
8.1DNS解析的地址有问题排查
排查思路：
(1)首选确认用户的IP是否在AD的ISP移动地址段内，通过AD上查询确认是在移动ISP地址段内；
(2)确认AD配置是否有问题设备是不是配置了静态就近性，把DNS服务器地址配置成AD的外网地址，解析没问题；
(3)检查NS记录是否生效：通过nslookup命令查询，NS记录已经生效；
(4)确认客户的DNS解析请求是否发到AD：在AD上抓DNS请求的数据包。

问题解决之后效果如下：
电信地址解析返回的是电信地址
联通地址解析返回的是联通地址
8.2域名无法解析问题排查
排查思路：
(1)检查基础配置，智能DNS的配置检查域名是否配置正确，策略是否启用，DNS服务器中的监听地址是否配置正确；
(2)链路状态检查，如果两条线路都繁忙，则去除繁忙保护；如果两条线路都离线，则需要检查链路监视器的配置；
(3)检查域名的DNS记录，检查公网NS记录，A记录是否正确或生效：
方法1：通过命令行nslookup，如果返回都是time out那就是找不到记录。

方法2：通过去查找。

方法3：将localdns直接指向AD看是否可以解析。

方法4：抓包看域名解析包端口53是否有发到设备接口。

8.3用AD做智能DNS测试出现返回地址不匹配的情况
（1）测试同一个地址，第一次返回的为电信地址，第二次返回的为联通地址，依次轮询，检查配置，虚拟IP池中配置为轮询策略，改为近态就近性。

九、万网域名记录添加指导
附件：如何修改NS记录
如何修改万网购买
的域名.docx。