3.2.2. 管理问题当有些组织希望掌握自己的域时，第一步是标记合适的父区，然后取得父区中管理结点的许可来管理
。管理的时候没有什么具体的技术问题，可是还是有一些规则的，对中型的区可以没有这些规定，但是小型的就不行了。本文
不具体讨论这一问题了，有兴趣可参阅相关的资料。一旦选择了子区的名字，此区的新管理结点要冗余的名字服务器来支持。
注意：没有要求一个区的服务器必须在此域中有名字的主机上。在许多种情况下，一个区要想被更容易地访问到最好把内容放
得分散一点，不要集中在一起。现在许多国家的名字服务器是放置在别国的，这样在取得名字解析的时候不用把请求千里迢迢
送到远程主机上去了。作为配置的最后一步，就是要选择NS RR和关联RR。3.3. 深入名字服务器3.3.1.
查询和响应名字服务器的主要内容就是响应标准查询。查询和响应有专用的格式，查询包括QTYPE，QCLASS和QN
AME，它描述了需要数据的类型，类（class）和名字。服务器的响应取决于它支持不支持循环查询：最简单的是不支
持循环查询，它返回的要么是本地信息，要么是一个错误码，告诉用户你要的信息这里没有，然后再返回一个邻近服务器的地
址，让用户到那里去查一查。如果支持循环查询，那名字服务器如果未能在本地找到相应的信息，就代替用户向其它服务器进
行查询，这时它是代替用户扮演了resolver的角色，直到最后把结果找到（也可能根本没有结果，那就返回错误），
并返回给用户为止。使用循环查询要客户和服务器双方都支持才行。这个信息通过查询和响应中的两位来交换：如果允许循环
查询则设置RA位，服务器方可以不管客户是否进行请求而直接设置此位查询中如果请求循环查询则设置RD位，客户只有在
知道服务器方支持循环查询后才能够进行循环查询请求客户可以在响应中同时设置RA和RD位来确认是否支持循环查询请求
。请注意：服务器在客户未指明RD位时不会自己进行循环查询。如果请求了循环查询，同时也支持循环查询，对查询的响应
会是以下之一：查询指定的CNAME RR有多个别名指定的名字服务器不存在临时错误如果未请求循环查询或不支持循环
查询，则响应可以可能是：认证权威服务器指出名字不存在临时错误另外还会提供一些信息，指出所查询的RR是否从一个区
来，或者是不是被缓存；另一种信息指明名字服务器指出还有一个服务器拥有相同的记录，这个服务器更靠近要查询的名字的
祖先。3.3.2. 算法名字服务器使用的算法和本地操作系统和数据结构相关，下面的算法假设RR以几个树型结构组织
，一个树就是区，有一个树是用于缓冲的：是不是支持循环查询要看服务器，如果支持，而且需要循环查询，转到第5步；查
询最靠近QNAME祖先的结点所在的区，如果未找到这个区，转第4步；开始在区内从上到下进行匹配，匹配过程的结束条
件有以下几个：如果整个QNAME匹配了，我们就找到了。如果数据所在结果是CNAME，QTYPE不匹配CNAME
，复制CNAME RR到响应的应答区，将QNAME改变为CNAME RR中的标准形式后返回第1步；否则复制所有
匹配QTYPE的RR到响应的应答区，然后转第6步；如果匹配的结果使我们离开了认证权威，我们就获得一个参照（re
ferral），我们这时会碰到一个带有NS RR的结点，复制NS RR到响应的认证区内，在其它区域随便放上什么
地址，如果从认证数据或缓冲内没有获得地址，可以使用关联RR。然后转到第4步；如果在一些标记上不可能有匹配，看看
是不是有"*"标记存在，如果"*"标记不存在，检查我们要查找的名字是不是QNAME，如果名字就是原来的QNAM
E，在响应中设置错误，否则退出。如果"*"存在，以RR和QTYPE匹配，如果匹配成功，将它们复制到响应中，但设
置RR的拥有者（owner）为QNAME，不是带有"*"的结点，然后转到第6步；在缓冲中进行匹配，如果在缓冲中
找到QNAME，将所有和它关联的而且匹配QTYPE的RR复制到响应区，如果没有从认证权威来的授权，可以在缓冲中
寻找最好的一个，将它放在认证区内，然后转到第6步；使用本地resolver响应请求。保存包括中间CNAME在内
的结果到应答中。仅使用本地数据，试着加入其它有用的RR到查询的附加部分。然后退出。3.3.3. Wildcar
d在前面的算法中，我们对其拥有者以*开始的RR进行了特殊处理，这类的RR称为wildcards。Wildcar
d RR可以看成合成RR的指令，在有合适的条件时，服务器创建RR，这个RR的拥有者名和查询名相同，而内容是从w
ildcard RR获得的。这种机制经常用于创建一个区，这个区可用于在网络上从一个邮件系统向另一个邮件系统转发
邮件。这种情况下，通常的假设是区中的所有名字都存在，只要没有说不存在，都认为有。wildcard RR的内容遵
守通常RR的格式，区中的wildcard有一个拥有者名，它控制者可以进行匹配的查询名。wildcard RR的
拥有者名是以下的形式："*.<anydomain>"，其中<anydomain>是任何域名，<anydomai
n>不应该再包括其它*标记，而且它应该在区的认证数据之中。我们可以把wildcard看成是通配符的作用。wil
dcard RR在以下情况中不适用：查询在应该在别的区中；如果区中已经存在了它所代表的某个域。例如，如果wil
dcard RR有"*.X"，区中包括了B.X，那么wildcard就不代表B.X，A.B.X或X，而只能代表
Z.X了。在查询名中的*没有什么特殊作用，它只用于在认证权威区中检测wildcard，这样的查询是唯一可以在响
应中获得包括拥有者名中包含*的查询请求，其它请求的响应都不能包含*。这样查询的结果不能缓冲。在合成RR时，wi
ldcard RR的内容不应该被改变。下面是一个例子，我们假设一个大公司有一个大型的非TCP/IP网络，它要创
建一个邮件网关。如果公司是X.COM，而TCP/IP网关为A.X.COM，下面的RR可能会在COM区中：对于所
有X.COM中的MX查询，都会得到A.X.COM。存在两个wildcard RR是必须的，因为有A.X.COM
，就必须要有*.A.X.COM，否则W.A.X.COM就查询不出来，原因请在本节中的wildcard RR不适
用的情况中寻找。3.3.4. 否定响应缓冲（可选）DNS可以允许服务器提供一种否定响应缓冲服务，在这种服务下服
务器返回一个否定响应和一个TTL，resolver可以认为在TTL的时间之内相同的查询都会获得否定响应。同样的
，resolver可以进行一个配置多个类型的查询，并缓冲不存在的类型。实现的方法是当数据是被认证时服务器加入一
个SOA RR到响应的附加区域，SOA必须是那个区的，而且这个区必须中响应中数据的认证权威区，SOA的MINI
MUM域控制缓冲否定响应的时间。在有些情况下，响应数据可能包括多个拥有者名，这时SOA机制应该用于匹配QNAM
E的数据上，它才是唯一被认证了的数据。服务器和resovler不应该试图添加SOA到非认证响应的附加区域，也不
应该进行任何推测。这个功能是可选的，虽然现在它越来越有可能成为标准，但是服务器并非非要加SOA RR到所有的认
证响应中去，resolver也不一定非要缓冲否定结果。所有的resolver和支持循环查询的服务器都应该可以忽
略SOA RR。3.3.5. 区的维护与传输区管理员的部分工作是维护所有服务器上的区数据。当必须要进行修改时，
修改必须让所有的名字服务器知道。这一过程可以通过FTP或其它什么过程完成，而推荐的方法是DNS协议的区传输部分
所指出的方法。通常的自动更新模式是一个服务器是区的主服务器，管理员对区内的域名文件（master file）进
行修改，修改后管理员通知主服务器装载新的数据，其它的非主服务器定期和主服务器进行同步。为了知道是否发生了修改，
非主服务器必须检查SOA的SERIAL域，只要有改变，SERIAL域就会改变，这种改变可能是加一，也可能是其它
的什么算法，反正变了就行。因为我们改变的域大小是有范围的，因此理论上必须有一个修改的时间间隔，基本上，老的复本
必须在序列号（就是那个域）用完其空间一半时消失。实际上只要保证比较操作的正确性就可以了。非主服务器的定期同步由
区内SOA RR的参数REFRESH，RETRY和EXPIRE决定。当非主服务器装入新区时，它会在REFRES
H秒后向主服务器查询新序列号，如果查询未能完成，它会每隔RETRY秒重新进行一次。如果查询得到的序列号和原来的
序列号一样，则不需要进行改变。在REFRESH时间间隔后重新开始。如果非主服务器在EXPIRE间隔后不能进行查
询，它必须抛弃现有的区数据。当查询后知道区内的数据已经改变，非主服务器必须通过AXFR请求请求主服务器传送区数
据。AXFR可能会被拒绝而产生错误，但是通常情况下会得到一系列响应信息。第一个和最后一个信息必须包括区内顶认证
结点的数据。中间的信息包括区内其它RR的信息，包括认证的和非认证的。这些数据使非主服务器得到区数据的复本，因为
必须保证数据的准确，我们必须使用基于连接的协议。以上的查询操作不但可以在主服务器非主服务器之间进行，而且可以在
非主服务器之间进行。这可以提高整体的运行效率