7.項目4 DNS服務(wù)器的配置與管理

1、7. 項目項目4 DNS服務(wù)器的配置與管理服務(wù)器的配置與管理l任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)；服務(wù)；l任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器l2學時學時理論理論+2學時實踐學時實踐本課教學目標本課教學目標l掌握掌握DNSDNS服務(wù)的功能和工作原理；服務(wù)的功能和工作原理；l掌握掌握DNSDNS服務(wù)的安裝和控制；服務(wù)的安裝和控制；l掌握主掌握主DNSDNS服務(wù)器的配置方法。服務(wù)器的配置方法。本課教學重難點本課教學重難點u教學重點教學重點 DNS DNS服務(wù)的功能和工作原理；服務(wù)的功能和工作原理；DNSDNS服務(wù)的安裝和控制；配置主服務(wù)的安裝和控制；配置主DNSDNS服務(wù)器。服務(wù)

2、器。u教學難點教學難點 配置主配置主DNSDNS服務(wù)器。服務(wù)器。 在學習在學習DNSDNS服務(wù)器搭建之前，首先要掌握服務(wù)器搭建之前，首先要掌握DNSDNS服務(wù)的概念、服務(wù)的概念、DNSDNS的構(gòu)成、的構(gòu)成、DNSDNS服務(wù)的查詢方服務(wù)的查詢方式、式、DNSDNS服務(wù)資源記錄的種類等基本知識。服務(wù)資源記錄的種類等基本知識。1.1.什么是什么是DNSDNS服務(wù)服務(wù) DNS DNS是計算機域名系統(tǒng)（是計算機域名系統(tǒng)（Domain Name SystemDomain Name System）的縮寫，主要）的縮寫，主要功能功能是負責是負責IPIP地址和域名地址和域名之間的之間的解析解析。DNSDNS服務(wù)

3、器相當于一個筆記本，將它負責解析的域名和服務(wù)器相當于一個筆記本，將它負責解析的域名和IPIP通過特定的格式記錄通過特定的格式記錄下來，當客戶機選擇它作下來，當客戶機選擇它作DNSDNS服務(wù)器時，該服務(wù)器會利用自己記錄的東西解答客戶服務(wù)器時，該服務(wù)器會利用自己記錄的東西解答客戶的的查詢。查詢。 我們平常我們平常拿拿一臺主機上網(wǎng)，當你輸入一個網(wǎng)站的一臺主機上網(wǎng)，當你輸入一個網(wǎng)站的域名域名網(wǎng)址時，瀏覽器會將這個網(wǎng)站的網(wǎng)網(wǎng)址時，瀏覽器會將這個網(wǎng)站的網(wǎng)址（域名）傳送到該主機設(shè)置的址（域名）傳送到該主機設(shè)置的DNSDNS服務(wù)器上去辨認，如果服務(wù)器上去辨認，如果DNSDNS服務(wù)器能查詢出該域名對應(yīng)的服務(wù)器能

4、查詢出該域名對應(yīng)的IPIP，就會將這個，就會將這個IPIP對應(yīng)的網(wǎng)站內(nèi)容返回給這臺主機，如果不能夠查詢到，就會出現(xiàn)警告信息，對應(yīng)的網(wǎng)站內(nèi)容返回給這臺主機，如果不能夠查詢到，就會出現(xiàn)警告信息，告訴你不識別這個域名，無法上網(wǎng)。所以，一旦你的電腦沒有設(shè)置正確的告訴你不識別這個域名，無法上網(wǎng)。所以，一旦你的電腦沒有設(shè)置正確的DNSDNS服務(wù)器，你是服務(wù)器，你是不可能通過域名訪問公網(wǎng)網(wǎng)站的，當然，我們有些同學會納悶，我的電腦從來沒有設(shè)置過什不可能通過域名訪問公網(wǎng)網(wǎng)站的，當然，我們有些同學會納悶，我的電腦從來沒有設(shè)置過什么么DNSDNS地址，怎么也能正常上網(wǎng)呢？那是因為地址，怎么也能正常上網(wǎng)呢？那是因為你

5、你電腦默認的網(wǎng)絡(luò)配置方式為電腦默認的網(wǎng)絡(luò)配置方式為“自動獲得自動獲得IPIP地地址址”，網(wǎng)絡(luò)中的，網(wǎng)絡(luò)中的DHCPDHCP服務(wù)器會自動幫助我們獲得正確的網(wǎng)絡(luò)配置信息，其中就包括服務(wù)器會自動幫助我們獲得正確的網(wǎng)絡(luò)配置信息，其中就包括DNSDNS服務(wù)服務(wù)器的地址。也就是說，如果你選擇手動配置，就需要考慮用哪個器的地址。也就是說，如果你選擇手動配置，就需要考慮用哪個DNSDNS服務(wù)器地址的問題了。服務(wù)器地址的問題了。一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)2.DNS2.DNS的構(gòu)成的構(gòu)成 DNS DNS是一個分層級的目錄樹結(jié)構(gòu)。是一個分層級的目錄樹結(jié)構(gòu)。

6、下面以最熟悉的下面以最熟悉的“百度百度”網(wǎng)站來講解。網(wǎng)站來講解。. 其中，最后一個其中，最后一個“.”“.”稱為根稱為根（rootroot），即根域名，默認都是省略的，），即根域名，默認都是省略的，它是最高級別的它是最高級別的DNSDNS服務(wù)器，全球共有服務(wù)器，全球共有1313臺根服務(wù)器。臺根服務(wù)器。 從從“.”“.”往前是往前是“.com”“.com”，稱為一，稱為一級域名，國際域名組織分配的主要一級級域名，國際域名組織分配的主要一級域如域如右右表所示，它是不能自己更改的。表所示，它是不能自己更改的。一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)組織一

7、級域名組織一級域名地區(qū)一級域名地區(qū)一級域名類別名稱類別名稱代表意思代表意思類別名稱類別名稱代表意思代表意思eduedu教育機構(gòu)教育機構(gòu)auau澳大利亞澳大利亞comcom商業(yè)機構(gòu)商業(yè)機構(gòu)cncn中國中國govgov非軍事政府機構(gòu)非軍事政府機構(gòu)inin印度印度milmil軍事機構(gòu)軍事機構(gòu)usus美國美國orgorg其他組織其他組織ukuk英國英國netnet網(wǎng)絡(luò)服務(wù)機構(gòu)網(wǎng)絡(luò)服務(wù)機構(gòu) 需要注意的是，有時我們也看到諸如這樣的網(wǎng)站需要注意的是，有時我們也看到諸如這樣的網(wǎng)站，類似這樣的網(wǎng)址中，類似這樣的網(wǎng)址中，“”“”共同構(gòu)成一級域。共同構(gòu)成一級域。 再往前是再往前是“baidu”“baidu”，稱為二

8、級域名，它是個人、組織或者企業(yè)申請的，取名的基本原，稱為二級域名，它是個人、組織或者企業(yè)申請的，取名的基本原則主要有兩個：一是用意要明顯，作為一個企業(yè)網(wǎng)站，要和企業(yè)相關(guān)，簡單來說，別人一看則主要有兩個：一是用意要明顯，作為一個企業(yè)網(wǎng)站，要和企業(yè)相關(guān)，簡單來說，別人一看到它就能聯(lián)想到是哪家企業(yè)的網(wǎng)站；二是它和一級域名一起，共同構(gòu)成全球獨一無二的域名。到它就能聯(lián)想到是哪家企業(yè)的網(wǎng)站；二是它和一級域名一起，共同構(gòu)成全球獨一無二的域名。也就是說，一個企業(yè)或者組織去注冊域名時，就是申請購買這樣的全球獨一無二的包含一級也就是說，一個企業(yè)或者組織去注冊域名時，就是申請購買這樣的全球獨一無二的包含一級域和二級

9、域的域名。域和二級域的域名。 再往前是再往前是“www”“www”，它稱作三級域名，它是企業(yè)或者組織買回域名以后自己定義的，比，它稱作三級域名，它是企業(yè)或者組織買回域名以后自己定義的，比如情境描述中，該學校申請注冊的域名是如情境描述中，該學校申請注冊的域名是“”“”，至于它內(nèi)部搭建的主網(wǎng)站、郵件、，至于它內(nèi)部搭建的主網(wǎng)站、郵件、文件傳輸?shù)葍?nèi)部服務(wù)器，三級域名都是自己分配定義的，如文件傳輸?shù)葍?nèi)部服務(wù)器，三級域名都是自己分配定義的，如wwwwww、ftpftp、mailmail等。等。 綜上所述，即越靠后，域名等級越高，越靠前，域名等級越低，屬于典型的樹狀結(jié)構(gòu)。綜上

10、所述，即越靠后，域名等級越高，越靠前，域名等級越低，屬于典型的樹狀結(jié)構(gòu)。域名采用的是逆序結(jié)構(gòu)域名采用的是逆序結(jié)構(gòu)一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)3.DNS3.DNS查詢方式查詢方式 當客戶機向當客戶機向DNSDNS服務(wù)器發(fā)出服務(wù)器發(fā)出DNSDNS解析請求時，如果該解析請求時，如果該DNSDNS服務(wù)器在緩存或者區(qū)服務(wù)器在緩存或者區(qū)域數(shù)據(jù)庫文件中無法解析該請求，這時該服務(wù)器會向另一個域數(shù)據(jù)庫文件中無法解析該請求，這時該服務(wù)器會向另一個DNSDNS服務(wù)器發(fā)送該請求，直至查服務(wù)器發(fā)送該請求，直至查詢到最終結(jié)果返回給客戶機，這種模式稱作遞歸查詢。詢到

11、最終結(jié)果返回給客戶機，這種模式稱作遞歸查詢。 當客戶機向當客戶機向DNSDNS服務(wù)器發(fā)出服務(wù)器發(fā)出DNSDNS解析請求時，如果該解析請求時，如果該DNSDNS服務(wù)器在緩存或者區(qū)服務(wù)器在緩存或者區(qū)域數(shù)據(jù)庫文件中無法解析該請求，該服務(wù)器會返回一個近似的結(jié)果給客戶機，相當于它自己域數(shù)據(jù)庫文件中無法解析該請求，該服務(wù)器會返回一個近似的結(jié)果給客戶機，相當于它自己不知道結(jié)果，但會推薦一個不知道結(jié)果，但會推薦一個DNSDNS服務(wù)器給客戶機，由客戶機繼續(xù)向其推薦的服務(wù)器給客戶機，由客戶機繼續(xù)向其推薦的DNSDNS服務(wù)器發(fā)送查服務(wù)器發(fā)送查詢請求，直至查詢到最終結(jié)果。詢請求，直至查詢到最終結(jié)果。 綜上可知，遞歸查

12、詢和迭代查詢的主要區(qū)別是當綜上可知，遞歸查詢和迭代查詢的主要區(qū)別是當DNSDNS服務(wù)器不知道答案時，是由該服務(wù)器不知道答案時，是由該DNSDNS服服務(wù)器主動去問別的服務(wù)器還是返回一個推薦的務(wù)器主動去問別的服務(wù)器還是返回一個推薦的DNSDNS服務(wù)器由客戶機自己去詢問。舉個例子：服務(wù)器由客戶機自己去詢問。舉個例子：某學生問班主任一個關(guān)于學校的問題，而班主任自己解答不了，這時如果班主任自己去問學某學生問班主任一個關(guān)于學校的問題，而班主任自己解答不了，這時如果班主任自己去問學生科科長得到答案再反饋給學生稱作遞歸查詢，而如果班主任說我不知道，告訴學生學生科生科科長得到答案再反饋給學生稱作遞歸查詢，而如果

13、班主任說我不知道，告訴學生學生科科長可能會知道答案，并把學生科長的號碼反饋給學生，請學生自己去問學生科科長，這就科長可能會知道答案，并把學生科長的號碼反饋給學生，請學生自己去問學生科科長，這就是迭代查詢。是迭代查詢。遞歸查詢遞歸查詢：迭代查詢迭代查詢：一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)4.4.資源記錄的類型資源記錄的類型 我們已經(jīng)知道我們已經(jīng)知道DNSDNS服務(wù)器主要負責服務(wù)器主要負責IPIP地址與域名之間的解析，那么地址與域名之間的解析，那么IPIP地址與域名之間的地址與域名之間的對應(yīng)關(guān)系記錄在哪里呢？我們稱記錄該信息的文件為區(qū)域數(shù)據(jù)庫文件

14、，其中包含著許多對應(yīng)關(guān)系記錄在哪里呢？我們稱記錄該信息的文件為區(qū)域數(shù)據(jù)庫文件，其中包含著許多DNSDNS資源信息的記錄，主要的資源記錄類型有：資源信息的記錄，主要的資源記錄類型有：uSOASOA記錄記錄SOASOA（Start of AuthorityStart of Authority，起始授權(quán)）資源記錄用于定義整個區(qū)域的全局設(shè)置，一個區(qū)域，起始授權(quán)）資源記錄用于定義整個區(qū)域的全局設(shè)置，一個區(qū)域文件只允許存在一個文件只允許存在一個SOASOA記錄。記錄。uNSNS資源記錄資源記錄 NS NS（Name ServerName Server，名稱服務(wù)器）資源記錄用來指定某一個區(qū)域的權(quán)威，名稱服務(wù)

15、器）資源記錄用來指定某一個區(qū)域的權(quán)威DNSDNS服務(wù)器，每個服務(wù)器，每個區(qū)域至少要有一個區(qū)域至少要有一個NSNS記錄。記錄。一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)4.4.資源記錄的類型資源記錄的類型（續(xù)）（續(xù)）uA A資源記錄資源記錄 A A（AddressAddress，地址）資源記錄用于正向解析記錄，即將，地址）資源記錄用于正向解析記錄，即將FQDNFQDN（Fully Qualified Domain Fully Qualified Domain NameName，全稱域名）映射為，全稱域名）映射為IPIP地址。地址。uPTRPTR資源記錄

16、資源記錄 PTR PTR（PointerPointer，指針）資源記錄用于反向解析記錄，即將，指針）資源記錄用于反向解析記錄，即將IPIP地址映射為地址映射為FQDNFQDN。uCNAMECNAME記錄記錄 CNAME CNAME（Canonical NameCanonical Name，別名）資源記錄用于為，別名）資源記錄用于為FQDNFQDN起別名。起別名。uMXMX資源記錄資源記錄 MX MX（Mail ExchangeMail Exchange，郵件交換）資源記錄用于為郵件服務(wù)器提供，郵件交換）資源記錄用于為郵件服務(wù)器提供DNSDNS解析。解析。一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任

17、務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)5.DNS5.DNS服務(wù)器的類型服務(wù)器的類型 主域名服務(wù)器為其所負責的區(qū)域提供主域名服務(wù)器為其所負責的區(qū)域提供DNSDNS服務(wù)，是特定服務(wù)，是特定域所有信息的權(quán)威信息源，對于某個指定域，主域名服務(wù)器是唯一存在的，主域名服務(wù)器中域所有信息的權(quán)威信息源，對于某個指定域，主域名服務(wù)器是唯一存在的，主域名服務(wù)器中保存了指定域的區(qū)域文件。保存了指定域的區(qū)域文件。 輔助輔助DNSDNS服務(wù)器用于分擔主服務(wù)器用于分擔主DNSDNS服務(wù)器查詢工作，它還服務(wù)器查詢工作，它還有加快查詢速度和提供容錯能力等優(yōu)點。輔助有加快查詢速度和提供容錯能力等優(yōu)點。輔助DNSDNS服

18、務(wù)器不進行特定域（區(qū)域文件）的權(quán)威服務(wù)器不進行特定域（區(qū)域文件）的權(quán)威設(shè)置，而是從該域的主域名服務(wù)器中獲取相應(yīng)的文件并進行保存。當啟動輔助域名服務(wù)器時，設(shè)置，而是從該域的主域名服務(wù)器中獲取相應(yīng)的文件并進行保存。當啟動輔助域名服務(wù)器時，它會與建立聯(lián)系的所有主域名服務(wù)器建立聯(lián)系，并從中復(fù)制信息。它會定期更改原有信息，它會與建立聯(lián)系的所有主域名服務(wù)器建立聯(lián)系，并從中復(fù)制信息。它會定期更改原有信息，以盡可能地做到與主服務(wù)器的數(shù)據(jù)保持一致。以盡可能地做到與主服務(wù)器的數(shù)據(jù)保持一致。 主要功能是提供域名解析的緩存，它使用緩存的主要功能是提供域名解析的緩存，它使用緩存的DNSDNS信息進行域名轉(zhuǎn)換，信息進行域

19、名轉(zhuǎn)換，速度比較快，因而也稱高速緩存速度比較快，因而也稱高速緩存DNSDNS服務(wù)器。服務(wù)器。 總之，輔助總之，輔助DNSDNS服務(wù)器和緩存服務(wù)器和緩存DNSDNS服務(wù)器可以在一定程度上減輕主服務(wù)器可以在一定程度上減輕主DNSDNS服務(wù)器的負擔，并服務(wù)器的負擔，并且在主且在主DNSDNS服務(wù)器出現(xiàn)故障時，可以接替主服務(wù)器繼續(xù)工作一段時間，提升服務(wù)器的可靠性。服務(wù)器出現(xiàn)故障時，可以接替主服務(wù)器繼續(xù)工作一段時間，提升服務(wù)器的可靠性。主域名服務(wù)器（主域名服務(wù)器（Master DNSMaster DNS）：輔助輔助DNSDNS服務(wù)器（服務(wù)器（Slaver DNSSlaver DNS）：緩存緩存DNSDN

20、S服務(wù)器服務(wù)器：一、一、DNS服務(wù)相關(guān)知識服務(wù)相關(guān)知識任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)1. BIND1. BIND軟件介紹軟件介紹 常用的常用的DNSDNS服務(wù)器軟件是服務(wù)器軟件是BINDBIND。BINDBIND是一款開源的是一款開源的DNSDNS服務(wù)器軟件，它是由美國加州大學服務(wù)器軟件，它是由美國加州大學伯克利分校開發(fā)和維護的，全名為伯克利分校開發(fā)和維護的，全名為Berkeley Internet Name DomainBerkeley Internet Name Domain。它是目前世界上使用。它是目前世界上使用最廣泛的最廣泛的DNSDNS服務(wù)器軟件，支持各種服務(wù)器軟件

21、，支持各種LinuxLinux平臺和平臺和WindowsWindows平臺。平臺。2.BIND2.BIND軟件安裝軟件安裝 配置好配置好yumyum源，執(zhí)行如下安裝命令：源，執(zhí)行如下安裝命令：rootMASTER # yum -y install bindrootMASTER # yum -y install bind 安裝完成后，執(zhí)行指令安裝完成后，執(zhí)行指令 rpm -q bind rpm -q bind，如反饋如下結(jié)果，代表，如反饋如下結(jié)果，代表BINDBIND軟件安裝成功。軟件安裝成功。rootMASTER # rpm -q bindrootMASTER # rpm -q bindbin

22、d-9.8.2-0.68.rc1.el6_10.1.i686bind-9.8.2-0.68.rc1.el6_10.1.i686二、二、BIND軟件的安裝軟件的安裝任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù) 首先要注意一點，首先要注意一點，安裝的軟件叫安裝的軟件叫，而其進程名字是，而其進程名字是，這是初學者容易，這是初學者容易產(chǎn)生困惑的地方。產(chǎn)生困惑的地方。1.1.查詢查詢DNSDNS服務(wù)的運行狀態(tài)服務(wù)的運行狀態(tài)rootMASTER # service named statusrootMASTER # service named statusrndc: neither /etc/rndc.

23、conf nor /etc/rndc.key was foundrndc: neither /etc/rndc.conf nor /etc/rndc.key was foundnamed named 已停已停 查詢結(jié)果表明查詢結(jié)果表明DNSDNS服務(wù)沒有啟動。服務(wù)沒有啟動。2.DNS2.DNS服務(wù)的啟動、重啟、停止服務(wù)的啟動、重啟、停止rootMASTER # service named start/restart/stoprootMASTER # service named start/restart/stopDNSDNS服務(wù)服務(wù)BINDBINDnamednamed三、三、DNS服務(wù)的運行管

24、理服務(wù)的運行管理任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)3.3.設(shè)置設(shè)置DNSDNS服務(wù)開機自啟動服務(wù)開機自啟動 首先查詢一下首先查詢一下DNSDNS服務(wù)是否設(shè)置了開機自啟動。服務(wù)是否設(shè)置了開機自啟動。rootMASTER # chkconfig -list |grep namedrootMASTER # chkconfig -list |grep namednamed named 0:0:關(guān)閉關(guān)閉 1:1:關(guān)閉關(guān)閉 2:2:關(guān)閉關(guān)閉 3:3:關(guān)閉關(guān)閉 4:4:關(guān)閉關(guān)閉 5:5:關(guān)閉關(guān)閉 6:6:關(guān)閉關(guān)閉 從查詢結(jié)果來看，從查詢結(jié)果來看，DNSDNS服務(wù)沒有設(shè)置開機自啟動。設(shè)置開機自啟

25、動的命令如下：服務(wù)沒有設(shè)置開機自啟動。設(shè)置開機自啟動的命令如下：rootMASTER # chkconfig -level 2345 named onrootMASTER # chkconfig -level 2345 named on rootMASTER # chkconfig -list |grep named rootMASTER # chkconfig -list |grep named # #再次查詢結(jié)果如下再次查詢結(jié)果如下named named 0:0:關(guān)閉關(guān)閉 1:1:關(guān)閉關(guān)閉6:6:關(guān)閉關(guān)閉 從查詢結(jié)果可以看出，從查詢結(jié)果可以看出，DNSDNS服務(wù)已經(jīng)成功設(shè)置開機自啟動。服務(wù)

26、已經(jīng)成功設(shè)置開機自啟動。2:2:啟用啟用 3:3:啟用啟用 4:4:啟用啟用 5:5:啟用啟用三、三、DNS服務(wù)的運行管理服務(wù)的運行管理任務(wù)一任務(wù)一 安裝與控制安裝與控制DNS服務(wù)服務(wù)1.1.主配置文件主配置文件/etc/named.conf/etc/named.conf 它也稱作全局配置文件，用于設(shè)置一般的它也稱作全局配置文件，用于設(shè)置一般的namename參數(shù)。該文件的主體內(nèi)容及含義如下：參數(shù)。該文件的主體內(nèi)容及含義如下：options options listen-on port 53 ; ; / listen-on port 53 ; ; /表示表示

27、bindbind用用5353號端口監(jiān)聽本機的號端口監(jiān)聽本機的IPv4IPv4地址地址 listen-on-v6 port 53 :1; ; / listen-on-v6 port 53 :1; ; /表示表示bindbind用用5353號端口監(jiān)聽本機的號端口監(jiān)聽本機的IPv6IPv6地址地址 directory /var/named; / directory /var/named; /設(shè)置工作目錄設(shè)置工作目錄 dump-file /var/named/data/cache_dump.db; / dump-file /var/named/data/cache_dump.db; /設(shè)置緩存轉(zhuǎn)儲的目

28、錄設(shè)置緩存轉(zhuǎn)儲的目錄 statistics-file /var/named/data/named_stats.txt; / statistics-file /var/named/data/named_stats.txt; /記錄統(tǒng)計信息的文件記錄統(tǒng)計信息的文件 memstatistics-file /var/named/data/named_mem_stats.txt; / memstatistics-file /var/named/data/named_mem_stats.txt; /記錄內(nèi)存使用情況記錄內(nèi)存使用情況 allow-query localhost; ; / allow-quer

29、y localhost; ; /允許哪些主機查詢允許哪些主機查詢 recursion yes; / recursion yes; /允許遞歸查詢允許遞歸查詢 一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器 dnssec-enable yes; /dnssec-enable yes; /是否支持是否支持dnssecdnssec開關(guān)開關(guān) dnssec-validation yes; / dnssec-validation yes; /是否支持是否支持dnssecdnssec確認開關(guān)確認開關(guān) / /* * Path to ISC DLV key

30、 Path to ISC DLV key * */ / bindkeys-file /etc/named.iscdlv.key; /ISC DL KEY bindkeys-file /etc/named.iscdlv.key; /ISC DL KEY的路徑的路徑 managed-keys-directory /var/named/dynamic; / managed-keys-directory /var/named/dynamic; /管理的秘鑰路徑管理的秘鑰路徑;logging /logging /定義定義bindbind服務(wù)的日志服務(wù)的日志 channel default_debug /

31、 channel default_debug /定義通道（消息輸出方式）定義通道（消息輸出方式） file data/named.run; / file data/named.run; /寫入的文件寫入的文件 severity dynamic; / severity dynamic; /設(shè)置日志消息的等級設(shè)置日志消息的等級 ; ; 一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器zone . IN /zone . IN /定義根區(qū)域定義根區(qū)域 type hint; / type hint; /根區(qū)域類型根區(qū)域類型 file named.ca

32、; / file named.ca; /根區(qū)域的區(qū)域文件根區(qū)域的區(qū)域文件; include /etc/named.rfc1912.zones; include /etc/named.rfc1912.zones; /named.conf /named.conf的輔助區(qū)域配置文件，即建議除根區(qū)域外，的輔助區(qū)域配置文件，即建議除根區(qū)域外，將其他區(qū)域放入該文件，以便于統(tǒng)一管理將其他區(qū)域放入該文件，以便于統(tǒng)一管理 include /etc/named.root.key; include /etc/named.root.key; / /根區(qū)域的根區(qū)域的DNSKEYDNSKEY文件文件 該文件重點只需設(shè)置加

33、粗的兩處，其他保持默認即可。一般設(shè)置如下：該文件重點只需設(shè)置加粗的兩處，其他保持默認即可。一般設(shè)置如下：listen-on port 53 listen-on port 53 ; ; /; ; /表示表示bindbind用用5353號端口監(jiān)聽所有網(wǎng)卡的號端口監(jiān)聽所有網(wǎng)卡的IPv4IPv4地址地址allow-query allow-query ; ; / ; ; /表示允許任何主機查詢表示允許任何主機查詢 anyanyanyany一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器2.2.輔助區(qū)域配置文件輔助區(qū)域配置文件/etc/named.rf

34、c1912.zones/etc/named.rfc1912.zones 該文件作為該文件作為named.confnamed.conf的輔助區(qū)域配置文件，用于配置除根區(qū)域外的其他區(qū)域，配的輔助區(qū)域配置文件，用于配置除根區(qū)域外的其他區(qū)域，配置區(qū)域的格式如下：置區(qū)域的格式如下：# #配置一個配置一個zone zone IN / IN /指明正向解析區(qū)域的名字指明正向解析區(qū)域的名字 type type ; /; /指定指定DNSDNS服務(wù)器的類型服務(wù)器的類型 file file ; /; /指明正向區(qū)域的解析記錄文件名，位于指明正向區(qū)域的解析記錄文件名，位于/var/named/var/named目錄

35、目錄 allow-update none; ; allow-update none; ; ; 正向解析區(qū)域正向解析區(qū)域localhost.localdomainlocalhost.localdomainmastermasternamed.localhostnamed.localhost一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器2.2.輔助區(qū)域配置文件輔助區(qū)域配置文件/etc/named.rfc1912.zones/etc/named.rfc1912.zones 該文件作為該文件作為named.confnamed.conf的輔助區(qū)域配置

36、文件，用于配置除根區(qū)域外的其他區(qū)域，配的輔助區(qū)域配置文件，用于配置除根區(qū)域外的其他區(qū)域，配置區(qū)域的格式如下：置區(qū)域的格式如下：# #配置一個配置一個zone zone IN / IN /指明反向解析區(qū)域的名字指明反向解析區(qū)域的名字 type type ; /; /指定指定DNSDNS服務(wù)器的類型服務(wù)器的類型 file file ; /; /指明反向區(qū)域的解析記錄文件名，位于指明反向區(qū)域的解析記錄文件名，位于/var/named/var/named目錄目錄 allow-update none; ; allow-update none; ; ; 反向解析區(qū)域反向解析區(qū)域0.

37、0.mastermasternamed.emptynamed.empty一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器3.3.正向區(qū)域解析記錄文件正向區(qū)域解析記錄文件/var/named/named.localhost/var/named/named.localhost 正向區(qū)域解析記錄文件主要包含正向區(qū)域解析記錄文件主要包含SOASOA資源記錄、資源記錄、NSNS資源記錄和資源記錄和A A資源記錄，用于記錄資源記錄，用于記錄從域名到從域名到IPIP地址的正向解析記錄。其初始文件內(nèi)容如下：地址的正向解析記錄。其初始

38、文件內(nèi)容如下：$TTL 1D /$TTL 1D /生存時間生存時間 IN SOA IN SOA rname.invalid. ( rname.invalid. (/當前區(qū)域名當前區(qū)域名 Internet Internet類類 SOA SOA標識標識 主主DNSDNS服務(wù)器服務(wù)器FQDN FQDN 管理員郵件地址管理員郵件地址 0 ; serial 0 ; serial 序列號序列號 1D ; refresh 1D ; refresh 刷新時間刷新時間 1H ; retry 1H ; retry 重試時間重試時間 1W ; expire 1W ; expire 過期時間過期時間 3H ) ; m

39、inimum 3H ) ; minimum 最小時間最小時間 AAAA :1 / AAAA :1 /該行可刪掉該行可刪掉 NS /NSNS /NS記錄記錄 A /A A /A記錄記錄一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器4.4.反向區(qū)域解析記錄文件反向區(qū)域解析記錄文件/var/named/named.empty/var/named/named.empty 反向區(qū)域解析記錄文件主要包含反向區(qū)域解析記錄文件主要包含SOASOA資源記錄、資源記錄、NSNS資源記錄和資源記錄和PTRPTR資源記錄，

40、用于記資源記錄，用于記錄從錄從IPIP地址到域名的反向解析記錄。其初始文件內(nèi)容如下地址到域名的反向解析記錄。其初始文件內(nèi)容如下 ：$TTL 3H /$TTL 3H /生存時間生存時間 IN SOA IN SOA rname.invalid. ( rname.invalid. (/當前區(qū)域名當前區(qū)域名 Internet Internet類類 SOA SOA標識標識 主主DNSDNS服務(wù)器服務(wù)器FQDN FQDN 管理員郵件地址管理員郵件地址 0 ; serial 0 ; serial 序列號序列號 1D ; refresh 1D ; refresh 刷新時間刷新時間 1H ; retry 1H

41、; retry 重試時間重試時間 1W ; expire 1W ; expire 過期時間過期時間 3H ) ; minimum 3H ) ; minimum 最小時間最小時間 AAAA :1 / AAAA :1 /該行可刪掉該行可刪掉 NS /NSNS /NS記錄記錄 A / A /這里需要寫成這里需要寫成PTRPTR記錄記錄一、了解一、了解DNS服務(wù)相關(guān)的配置文件服務(wù)相關(guān)的配置文件任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器1.1.任務(wù)描述任務(wù)描述 搭建一臺主搭建一臺主DNSDNS服務(wù)器，負責服務(wù)器，負責域的解析，能同

42、時實現(xiàn)正向解析和反向解析，域的解析，能同時實現(xiàn)正向解析和反向解析，域名和域名和IPIP地址解析的對應(yīng)關(guān)系如地址解析的對應(yīng)關(guān)系如下下表所示：表所示：二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器服務(wù)器服務(wù)器完全合格域名（完全合格域名（FQDNFQDN）IPIP地址地址主主DNSDNS服務(wù)器服務(wù)器1212主網(wǎng)站服務(wù)器主網(wǎng)站服務(wù)器1313郵件服務(wù)器郵件服務(wù)器

43、1414文件傳輸服務(wù)器文件傳輸服務(wù)器1515sambasamba服務(wù)器服務(wù)器16162.2.任務(wù)分析任務(wù)分析 配置主配置主DNSDNS服務(wù)器基本思路為：首先修改主配置文件，修改兩處服務(wù)器基本思路為：首先修改主配置文件，修改兩處“any”“any”；然后修改；然后修改輔助區(qū)域配置文件，定義正向區(qū)域名、正向區(qū)域解析記錄文件、反向區(qū)域名和反向區(qū)域輔助

44、區(qū)域配置文件，定義正向區(qū)域名、正向區(qū)域解析記錄文件、反向區(qū)域名和反向區(qū)域解析記錄文件；接下來修改正向區(qū)域解析記錄文件和反向區(qū)域解析記錄文件，將解析記錄文件；接下來修改正向區(qū)域解析記錄文件和反向區(qū)域解析記錄文件，將IPIP地址地址和域名之間的對應(yīng)關(guān)系寫入這個兩個文件；最后重啟服務(wù)、關(guān)閉服務(wù)器端和客戶端的防和域名之間的對應(yīng)關(guān)系寫入這個兩個文件；最后重啟服務(wù)、關(guān)閉服務(wù)器端和客戶端的防火墻和火墻和SELinuxSELinux，即可開始驗證。本實驗在，即可開始驗證。本實驗在IPIP地址為地址為1212的主機中搭建的主機中搭建DNSDNS服服務(wù)器，拿務(wù)器，拿IP

45、IP地址為地址為1313的主機做客戶機進行驗證。的主機做客戶機進行驗證。二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器3.3.實現(xiàn)步驟實現(xiàn)步驟 步驟一：打開主配置文件步驟一：打開主配置文件/etc/named.conf/etc/named.conf，修改如下兩行，其余保持默認。，修改如下兩行，其余保持默認。listen-on port 53 any; ; /listen-on port 53 any; ; /表示表示bindbind用用5353號端口監(jiān)聽任何的號端口監(jiān)聽任何的IPv4IPv4地址地址allow-qu

46、ery any ; ; /allow-query any ; ; /表示允許任何主機查詢表示允許任何主機查詢 步驟二：修改輔助區(qū)域配置文件。步驟二：修改輔助區(qū)域配置文件。rootMASTER # cd /etc/rootMASTER # cd /etc/rootMASTER etc# cp -p named.rfc1912.zones named.rfc1912.zones.bakrootMASTER etc# cp -p named.rfc1912.zones named.rfc1912.zones.bak# #將輔助區(qū)域文件復(fù)制一份，在后續(xù)操作中就算弄壞了文件還有備份文件可供使用將輔助區(qū)域

47、文件復(fù)制一份，在后續(xù)操作中就算弄壞了文件還有備份文件可供使用二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器rootMASTER etc# vi named.rfc1912.zonesrootMASTER etc# vi named.rfc1912.zones# #先定義一個先定義一個“”“”并指定正向解析記錄文件為并指定正向解析記錄文件為trzy.localhosttrzy.localhostzone zone IN / IN /指明正向解析區(qū)域為指明正向解析區(qū)域為 type type ; /;

48、 /指定指定DNSDNS服務(wù)器的類型為主服務(wù)器的類型為主DNSDNS服務(wù)器服務(wù)器 file file ; /; /指明正向解析記錄文件名，它位于指明正向解析記錄文件名，它位于/var/named/var/named目錄下目錄下 allow-update none; ; allow-update none; ; ;正向解析區(qū)域正向解析區(qū)域mastermastertrzy.localhosttrzy.localhost二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器# #再定義一個再定義一個“1.168.192.in-addr.ar

49、pa”“1.168.192.”，并指定反向解析記錄文件為，并指定反向解析記錄文件為trzy.emptytrzy.emptyzone zone IN / IN /指明反向解析區(qū)域為指明反向解析區(qū)域為1.168.192. type type ; /; /指定指定DNSDNS服務(wù)器的類型服務(wù)器的類型 file file ; /; /指明反向解析文件名，它位于指明反向解析文件名，它位于/var/named/var/named目錄下目錄下 allow-update none; ; allow-update non

50、e; ; 這里重點強調(diào)一下反向區(qū)域這里重點強調(diào)一下反向區(qū)域“1.168.192.”“1.168.192.”的命名規(guī)則，其中的命名規(guī)則，其中“.in-“.””是固定的后綴，是固定的后綴，“1.168.192”“1.168.192”是是DNSDNS服務(wù)器的服務(wù)器的IPIP所在網(wǎng)段的網(wǎng)絡(luò)號反過來寫，所在網(wǎng)段的網(wǎng)絡(luò)號反過來寫，因為因為DNSDNS服務(wù)器的服務(wù)器的IPIP地址為地址為1212，所在網(wǎng)段的網(wǎng)絡(luò)號為，所在網(wǎng)段的網(wǎng)絡(luò)號為192.168.1192.168.1，所以

51、這里的方，所以這里的方向區(qū)域命名就是向區(qū)域命名就是“1.168.192”“1.168.192”。反向解析區(qū)域反向解析區(qū)域1.168.192.mastermastertrzy.emptytrzy.empty二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器 步驟三：編寫正向解析記錄文件。步驟三：編寫正向解析記錄文件。 先進入先進入/var/named/var/named目錄，利用已經(jīng)存在的正向解析記錄模板文件目錄，利用已經(jīng)存在的正向解析記錄模板文件named.localhostnamed.loca

52、lhost復(fù)制復(fù)制一份，并重命名為一份，并重命名為trzy.localhosttrzy.localhost，利用已經(jīng)存在的反向解析記錄模板文件，利用已經(jīng)存在的反向解析記錄模板文件named.emptynamed.empty復(fù)復(fù)制一份，并重命名為制一份，并重命名為trzy.emtpytrzy.emtpy，注意一定要加，注意一定要加-P-P選項，表示連同文件屬性一起復(fù)制。選項，表示連同文件屬性一起復(fù)制。rootMASTER etc# cd /var/named/rootMASTER etc# cd /var/named/rootMASTER named# cp -p named.localhost

53、 trzy.localhostrootMASTER named# cp -p named.localhost trzy.localhostrootMASTER named# cp -p named.empty trzy.emptyrootMASTER named# cp -p named.empty trzy.empty二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器 接下來打開正向解析記錄文件接下來打開正向解析記錄文件trzy.localhosttrzy.localhost開始編輯，最終編輯效果如下：開始編輯，最終編輯效果如下：rootMASTER name

54、d# vi trzy.localhostrootMASTER named# vi trzy.localhost$TTL 1D$TTL 1D IN SOA IN SOA rname.invalid. ( rname.invalid. ( 0 ; serial 0 ; serial 1D ; refresh 1D ; refresh 1H ; retry 1H ; retry 1W ; expire 1W ; expire 3H ) ; minimum 3H ) ; minimum（下頁待續(xù)）（下頁待續(xù)）.二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主

55、配置主DNS服務(wù)器服務(wù)器 IN NS . / IN NS . / IN MX 3 . / IN MX 3 . /，其中，其中3 3為郵件服務(wù)器優(yōu)先級為郵件服務(wù)器優(yōu)先級# #以下以下5 5條為條為，即正向解析記錄，即正向解析記錄dns IN A 12 /dns IN A 12 /將將解析為解析為1212www IN A 13 /www IN

56、A 13 /將將解析為解析為1313mail IN A 14 /mail IN A 14 /將將解析為解析為1414ftp IN A 15 /ftp IN A 15 /將將解析為解析為1515smb IN A

57、16 /smb IN A 16 /將將解析為解析為1616NSNS資源記錄資源記錄MXMX資源記錄資源記錄A A資源記錄資源記錄二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器 幾點解釋和值得注意的地方：幾點解釋和值得注意的地方： 1.“ IN MX 3 .” 1.“ IN MX 3 .”為為MXMX資源記錄，其中資源記錄，其中3 3代表郵件服務(wù)器的優(yōu)先代表郵件服務(wù)器的優(yōu)先級

58、，數(shù)值越小，優(yōu)先級越高。即當同一個區(qū)域中如有兩個或多個級，數(shù)值越小，優(yōu)先級越高。即當同一個區(qū)域中如有兩個或多個MXMX服務(wù)器，則低優(yōu)先級作為服務(wù)器，則低優(yōu)先級作為高優(yōu)先級的備份。高優(yōu)先級的備份。 2. 2.正向解析文件中凡是域名，最后面那個正向解析文件中凡是域名，最后面那個“.”“.”必須加上，這是初學者特別容易忽略的。必須加上，這是初學者特別容易忽略的。 3.SOA 3.SOA記錄中域名記錄中域名“.”“.”必須和輔助區(qū)域配置文件中指定的正向解析區(qū)域名一致。必須和輔助區(qū)域配置文件中指定的正向解析區(qū)域名一致。二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配

59、置主配置主DNS服務(wù)器服務(wù)器 步驟四：編寫反向解析記錄文件。步驟四：編寫反向解析記錄文件。 打開反向解析記錄文件打開反向解析記錄文件trzy.emptytrzy.empty，最終編輯效果如下：，最終編輯效果如下：rootMASTER named# vi trzy.emptyrootMASTER named# vi trzy.empty$TTL 3H$TTL 3H IN SOA IN SOA rname.invalid. ( rname.invalid. ( 0 ; serial 0 ; serial 1D ; refresh 1D ; refresh 1H ; retry 1H ; retry

60、 1W ; expire 1W ; expire 3H ) ; minimum 3H ) ; minimum。（下頁待續(xù)）（下頁待續(xù)）1.168.192..二、配置主二、配置主DNS服務(wù)器服務(wù)器任務(wù)二任務(wù)二 配置主配置主DNS服務(wù)器服務(wù)器 IN NS . / IN NS . / IN MX 3 . / IN MX 3 . /# #以下以下5 5條為條為，即反向解析記錄，即反向解析記錄112 IN PTR dns.trzy.ed