項(xiàng)目12 部署DNS服務(wù)

1、Linux網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)項(xiàng)目項(xiàng)目12 部署部署DNS服務(wù)服務(wù)內(nèi)容項(xiàng)目引入項(xiàng)目引入1需求分析需求分析2知識(shí)準(zhǔn)備知識(shí)準(zhǔn)備3項(xiàng)目實(shí)施項(xiàng)目實(shí)施4小結(jié)小結(jié)6反思與進(jìn)階反思與進(jìn)階5項(xiàng)目引入學(xué)院目前部署了FTP服務(wù)器、samba服務(wù)器、web服務(wù)器，用戶使用這些服務(wù)器的頻率比較高，但服務(wù)器的IP地址并不好記。經(jīng)商議，IT協(xié)會(huì)決定在學(xué)院再部署一臺(tái)DNS服務(wù)器，負(fù)責(zé)完成域名的解析，方便師生記憶。需求分析DNS服務(wù)器可以完成域名到IP地址的解析，提高服務(wù)效率。為了部署DNS服務(wù)，需要做如下準(zhǔn)備： 了解DNS的工作原理以及各類DNS服務(wù)器的特點(diǎn)； 部署DNS服務(wù)所需的軟件； 掌握DNS服務(wù)的部署方法； 能

2、根據(jù)工作實(shí)際部署需要的DNS服務(wù)器。知識(shí)準(zhǔn)備一、域名解析基本概念DNS（Domain Name System，域名系統(tǒng)），Internet上作為域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫，能夠使用戶更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP地址。通過域名，最終得到該域名對(duì)應(yīng)的IP地址的過程叫做域名解析（或主機(jī)名解析）。DNS協(xié)議運(yùn)行在UDP協(xié)議之上，使用端口號(hào)53。知識(shí)準(zhǔn)備一、域名解析基本概念域名到IP地址的映射方式有兩種：靜態(tài)映射，每臺(tái)設(shè)備上都配置域名到IP地址的映射，各設(shè)備獨(dú)立維護(hù)自己的映射表，而且只供本主機(jī)使用；動(dòng)態(tài)映射，建立一套域名解析系統(tǒng)（DNS），只在專門的DNS服務(wù)器

3、上配置域名到IP地址的映射，網(wǎng)絡(luò)上需要使用域名通信的設(shè)備，首先需要到DNS服務(wù)器查詢域名所對(duì)應(yīng)的IP地址。 知識(shí)準(zhǔn)備二、域名空間域名空間采用采用分層的結(jié)構(gòu)，即采用類似樹狀結(jié)構(gòu)的命名方式。由根域、頂級(jí)域、二級(jí)域、二級(jí)子域和主機(jī)名構(gòu)成。在這顆倒?fàn)顦渲校總€(gè)節(jié)點(diǎn)有一個(gè)最多63個(gè)字符的標(biāo)識(shí)。域名讀取時(shí)，從最底部的節(jié)點(diǎn)到最頂部的根節(jié)點(diǎn)的標(biāo)識(shí)串聯(lián)起來，不同節(jié)點(diǎn)的標(biāo)識(shí)之間也用.來分割，這樣的一組就表示一個(gè)完整的域名(FQDN)，例如.。不過通常將最后“.”去掉，即，這是不完整域名。知識(shí)準(zhǔn)備二、域名空間1.根域（Root Domain）在DNS域名空間中，根域只有一個(gè)，它沒有上級(jí)域，以原點(diǎn)“.”表示。全世界的

4、IP地址和DNS域名空間都是由位于美國的InterNIC（Internet Network Information Center,因特網(wǎng)信息管理中心）負(fù)責(zé)管理或授權(quán)管理的。目前全世界有13臺(tái)根域服務(wù)器，其中1臺(tái)主根服務(wù)器，12臺(tái)輔助根服務(wù)器。這些根域服務(wù)器也位于美國，并由InterNIC管理。在根域服務(wù)器中并沒有保存全世界的因特網(wǎng)網(wǎng)址，其中只保存著頂級(jí)域的“DNS服務(wù)器IP地址”的對(duì)應(yīng)數(shù)據(jù)。知識(shí)準(zhǔn)備二、域名空間2. 頂級(jí)域（Top-Level Domain, TLD）頂級(jí)域是由InterNIC統(tǒng)一管理的。在FQDN中頂級(jí)域位于最右邊，包括三種類型，分為“國家和地區(qū)頂級(jí)域”、“通用頂級(jí)域”和“新

5、增通用頂級(jí)域”。國家頂級(jí)域名如：CN(中國)、US（美國）、JP（日本）、CA（加拿大）等。通用頂級(jí)域名如：com（公司企業(yè)）、net（網(wǎng)絡(luò)服務(wù)機(jī)構(gòu)）、org（非贏利性組織）、edu（教育機(jī)構(gòu)）、gov（政府部門）、mil（軍事部門）等。知識(shí)準(zhǔn)備二、域名空間3. 各級(jí)子域（Sub Domain）在DNS域名空間中，除了根域和頂級(jí)域之外，其他域都稱為子域。百度的域名空間如圖12-1所示。SLDhostrootTLD圖 121 域名空間知識(shí)準(zhǔn)備三、域名解析過程對(duì)DNS查詢有四種不同的方式：本地查詢、直接查詢、遞歸查詢、迭代查詢。本地查詢：就是客戶端可以使用緩存信息就地應(yīng)答，這些緩存信息是通過以前的

6、查詢獲得的。直接查詢：就是直接由所設(shè)定的DNS服務(wù)器查詢，使用的是該DNS服務(wù)器的資源記錄緩存或者其權(quán)威回答。遞歸查詢：在該模式下DNS 服務(wù)器接收到客戶機(jī)請(qǐng)求，必須使用一個(gè)準(zhǔn)確的查詢結(jié)果回復(fù)客戶機(jī)。如果DNS服務(wù)器本地沒有存儲(chǔ)查詢DNS信息，那么該服務(wù)器會(huì)詢問其他服務(wù)器，并將返回的查詢結(jié)果提交給客戶機(jī)。客戶機(jī)和服務(wù)器之間的查詢是遞歸查詢。知識(shí)準(zhǔn)備三、域名解析過程迭代查詢：，DNS服務(wù)器會(huì)向客戶機(jī)提供其他能夠查詢查詢請(qǐng)求的DNS服務(wù)器地址，當(dāng)客戶機(jī)發(fā)送查詢請(qǐng)求時(shí)，DNS 服務(wù)器并不直接回復(fù)查詢結(jié)果，而是告訴客戶機(jī)另一臺(tái)DNS 服務(wù)器地址，客戶機(jī)再向這臺(tái)DNS 服務(wù)器提交請(qǐng)求，依次循環(huán)直到返回查

7、詢的結(jié)果為止。服務(wù)器之間的查詢是迭代查詢。知識(shí)準(zhǔn)備三、域名解析過程下面通過請(qǐng)求解析主機(jī)名稱為的IP地址為例。(1)客戶機(jī)請(qǐng)求解析主機(jī)名稱為的IP地址。(2)客戶機(jī)域名解析器發(fā)送遞歸查詢的請(qǐng)求到本地的域名服務(wù)器，本地域名服務(wù)器如果無法由本身的數(shù)據(jù)庫解析此域名，那它將會(huì)對(duì)此主機(jī)名稱進(jìn)行解析，也就是將原本的主機(jī)名稱分解為“www”、“baidu”和“com”3個(gè)部分，并且以自右向左的順序逐步解析。本地的域名服務(wù)器會(huì)從本身緩存文件中找出根域網(wǎng)“.”的域名服務(wù)器地址，然后請(qǐng)求根域網(wǎng)的域名服務(wù)器代為解析。(3)根域網(wǎng)“.”的域名服務(wù)器無法解析“”的主機(jī)名稱，但它可以解析“com”部分。因此它會(huì)響應(yīng)本地域名

8、服務(wù)器的一份列表，在此列表中包含許多負(fù)責(zé)管理“com”域名區(qū)的服務(wù)器IP地址。(4)本地域名服務(wù)器發(fā)送一個(gè)重復(fù)查詢的請(qǐng)求到負(fù)責(zé)管理“com”域名區(qū)的服務(wù)器，并請(qǐng)求代為解析“”的主機(jī)名稱。知識(shí)準(zhǔn)備三、域名解析過程(5)負(fù)責(zé)管理“com”域名區(qū)的域名服務(wù)器無法解析主機(jī)名稱，但可以解析“”的部分。因此它會(huì)響應(yīng)本地域名服務(wù)器的一份列表，在此列表中包含許多負(fù)責(zé)管理“”域名區(qū)的服務(wù)器IP地址。(6)本地域名服務(wù)器發(fā)送一個(gè)重復(fù)查詢請(qǐng)求到負(fù)責(zé)管理“” 域名區(qū)的服務(wù)器，并請(qǐng)求代為解析“”的主機(jī)名稱。(7) “”域名區(qū)的服務(wù)器可以解析的主機(jī)名稱，并會(huì)將解析后的主機(jī)IP地址傳回本地的域名服務(wù)器。(8)最后本地的域名

9、服務(wù)器可以滿足來自客戶端的重復(fù)查詢，并將解析出的IP地址傳回客戶端，同時(shí)把返回的結(jié)果保存到緩存中，以備下次使用，如圖10-2所示。知識(shí)準(zhǔn)備三、域名解析過程圖 122 域名解析過程知識(shí)準(zhǔn)備四、DNS服務(wù)器類型1. 主DNS服務(wù)器(Master)每個(gè)區(qū)域有唯一的主域名服務(wù)器。在主DNS服務(wù)器中，包含有某個(gè)區(qū)城的區(qū)域數(shù)據(jù)文件,文件中包含了區(qū)域的所有資源記錄。主DNS服務(wù)器中的區(qū)域數(shù)據(jù)文件是由管理員負(fù)責(zé)創(chuàng)建并維護(hù)的，經(jīng)過恰當(dāng)?shù)呐渲?，主DNS服務(wù)器的區(qū)域數(shù)據(jù)文件可以傳送到輔助DNS服務(wù)器。配置主域名服務(wù)器需要一整套配置文件，包括主配置文件(named.conf)、正向解析區(qū)域文件、反向解析區(qū)域文件、根區(qū)

10、域文件(named.ca)和回送文件(named.local)。知識(shí)準(zhǔn)備四、DNS服務(wù)器類型2.輔助DNS服務(wù)器(Slave)DNS城名解析是十分重要的Internet構(gòu)成組件.負(fù)責(zé)一個(gè)域名的DNS服務(wù)器可以只有一個(gè)主DNS服務(wù)器，但是為了加強(qiáng)服務(wù)的可靠性，通常會(huì)為一個(gè)城規(guī)劃多臺(tái)DNS服務(wù)器，這些DNS服務(wù)器既可以都是主DNS服務(wù)器，也可以只有一臺(tái)是主DNS服務(wù)器，其他的都是輔DNS服務(wù)器。輔助DNS服務(wù)器中也有區(qū)域數(shù)據(jù)文件,也能夠響應(yīng)來自用戶的域名解析請(qǐng)求,但是輔DNS服務(wù)器中不需要由管理員手工創(chuàng)建區(qū)域數(shù)據(jù)文件。輔助DNS服務(wù)器的區(qū)域數(shù)據(jù)文件從主DNS服務(wù)器中復(fù)制過來的。DNS服務(wù)器之間的區(qū)

11、域數(shù)據(jù)文件復(fù)制使用的端口是TCP 5號(hào)。使用輔助DNS服務(wù)器，可以提高DNS服務(wù)的可靠性,降低維護(hù)工作量。知識(shí)準(zhǔn)備四、DNS服務(wù)器類型一般建立輔助服務(wù)器有下面兩個(gè)好處：冗余：當(dāng)主DNS服務(wù)器出現(xiàn)故障時(shí)，輔助DNS服務(wù)器可以承擔(dān)起服務(wù)的功能。為達(dá)到最大限度的容錯(cuò)，主DNS服務(wù)器與作為備份的輔助DNS服務(wù)器要做到盡可能的獨(dú)立。減負(fù)：當(dāng)網(wǎng)絡(luò)較大且服務(wù)較繁忙時(shí)，可以用輔助DNS服務(wù)器來減輕對(duì)主DNS服務(wù)器的負(fù)擔(dān)。知識(shí)準(zhǔn)備四、DNS服務(wù)器類型3.緩存DNS服務(wù)器(Cache-Only)Cache-only域名服務(wù)器可運(yùn)行域名服務(wù)器軟件，但它本身并不管理任何區(qū)域，而且不包含任何活躍的數(shù)據(jù)庫文件。一個(gè)Cac

12、hing-only服務(wù)器開始時(shí)沒有任何關(guān)于DNS域結(jié)構(gòu)的信息，它必須依賴于其他DNS服務(wù)器來得到這方面的信息。每次Caching-only服務(wù)器就將該信息存儲(chǔ)到它的名字緩存（Name Cache）中，當(dāng)另外的請(qǐng)求需要得到這方面的信息時(shí)，該Caching-only服務(wù)器就直接從高速緩存中取出答案并予返回。一段時(shí)間之后，該Caching-only服務(wù)器就包含了大部分常見的請(qǐng)求信息。知識(shí)準(zhǔn)備五、資源記錄1. 資源記錄格式DNS之所以能夠解析名稱，是因?yàn)樵谄鋽?shù)據(jù)庫中，包含要解析名稱的相關(guān)條目，稱之資源記錄。每個(gè)DNS數(shù)據(jù)庫都由資源記錄構(gòu)成，資源記錄包含與特定主機(jī)有關(guān)的信息。而每個(gè)資源記錄通常包含5項(xiàng)，

13、大多數(shù)情況下用ACSII文本顯示，每條記錄一行，格式如下。Domain Time-to-live Record-type Class Record-data(1) Domain（域名）：該項(xiàng)給出要定義的資源記錄的域名，該域通常用來作為域名查詢時(shí)的關(guān)鍵字。(2) Time-to-live（存活期）：在該存活期過后，該記錄不在有效。(3) Class（類別）：該項(xiàng)說明網(wǎng)絡(luò)類型。目前大部分的資源記錄都采用“IN”，表明Internet，該域的缺省值為“IN”。(4) Record-data（記錄數(shù)據(jù)）：說明和該資源記錄相關(guān)的信息，通常由資源記錄類型來決定。(5) Record-type（記錄類型）：

14、該項(xiàng)說明資源記錄的類型。知識(shí)準(zhǔn)備五、資源記錄2. 資源記錄類型DNS中的資源記錄包括SOA記錄、NS記錄、A記錄、CNAME記錄、MX記錄和CNAME記錄。(1) 始授權(quán)機(jī)構(gòu)SOA（start of autority）：該記錄表明DNS名稱服務(wù)器是DNS域中的數(shù)據(jù)表的信息來源。該服務(wù)器是主機(jī)名字的管理者，創(chuàng)建新區(qū)域時(shí)，該資源記錄被自動(dòng)創(chuàng)建，而且也是DNS數(shù)據(jù)庫文件中的第一條記錄。SOA定義了域的全局參數(shù)，進(jìn)行整個(gè)域的管理設(shè)置。一個(gè)區(qū)域文件只允許存在唯一的SOA記錄。(2) 名稱服務(wù)器NS（name server）：表示該區(qū)的授權(quán)服務(wù)器，表示SOA資源記錄中指定的該區(qū)的主和輔助服務(wù)器，也表示了任

15、何授權(quán)區(qū)的服務(wù)器。每個(gè)區(qū)在區(qū)根處至少包含一個(gè)NS記錄。創(chuàng)建新區(qū)域時(shí)，該資源記錄被自動(dòng)創(chuàng)建。NS記錄格式如下：區(qū)域名稱 IN NS FQDN知識(shí)準(zhǔn)備五、資源記錄(3) 主機(jī)地址A（adress）：該資源記錄與主機(jī)名映射到DNS區(qū)域中的一個(gè)IP地址。這是名稱解析的重要記錄。A記錄的格式如下：FQDN IN A IP地址如：www IN A ftp IN A (4) 指針PTR（Point）：指針是與主機(jī)記錄類似的記錄，不同的是主機(jī)記錄將一個(gè)主機(jī)名映射到一個(gè)IP地址上；而指針記錄剛好相反，它是將一個(gè)IP地址映射到一個(gè)主機(jī)上。格式為：IP地址 IN PTR

16、FQDN(5) 別名CNAME（Canonical Name）：用來記錄某臺(tái)主機(jī)的別名。一臺(tái)主機(jī)可以有多個(gè)別名，每一個(gè)別名代表一個(gè)應(yīng)用。用戶使用CNAME記錄來隱藏用戶網(wǎng)絡(luò)的實(shí)現(xiàn)細(xì)節(jié)，使連接的客戶機(jī)無法知道。格式為：別名 IN CNAME 對(duì)應(yīng)的A記錄知識(shí)準(zhǔn)備五、資源記錄(6) 郵件交換器資源記錄MX（Mail Exchange）：DNS域名指定郵件交換服務(wù)器。郵件交換服務(wù)器是為DNS域名處理或轉(zhuǎn)發(fā)郵件的主機(jī)。處理郵件指把郵件投遞到目的地或轉(zhuǎn)交另一不同類型的郵件傳送者。轉(zhuǎn)發(fā)郵件指把郵件發(fā)送到最終目的服務(wù)器，用簡單郵件傳輸協(xié)議（SMTP）把郵件發(fā)送給離最終目的地最近的郵件交換服務(wù)器，或使郵件經(jīng)過

17、一定時(shí)間的排隊(duì)。格式為：區(qū)域名 IN MX 優(yōu)先級(jí)（數(shù)字） 郵件服務(wù)器A記錄項(xiàng)目實(shí)施為了提升學(xué)院服務(wù)器的工作效率，方便師生通過域名快速訪問學(xué)院網(wǎng)絡(luò)中心部署的各類網(wǎng)絡(luò)服務(wù)，IT協(xié)會(huì)需要部署DNS服務(wù)，為局域網(wǎng)中的計(jì)算機(jī)提供域名解析服務(wù)。DNS服務(wù)器管理域的域名解析 ，DNS服務(wù)器的域名為，IP地址為54。要求分別能解析以下域名：web服務(wù)（：53），郵件服務(wù)(：52)，并為設(shè)置別名。項(xiàng)目實(shí)施一、安裝vsftpd服務(wù)1.bind簡介目前Internet上絕大多數(shù)的DNS服務(wù)器主機(jī)都是使用BIND來進(jìn)行域名解析的。Bind是Berke

18、ley Internet Name Domain Service的簡寫，是美國加利福尼亞大學(xué)伯克利分校開發(fā)的一個(gè)域名服務(wù)器軟件包，Linux 使用這個(gè)軟件包來提供域名服務(wù)。BIND的服務(wù)端軟件是被稱作named的守護(hù)進(jìn)。項(xiàng)目實(shí)施一、安裝vsftpd服務(wù)2.chroot功能chroot是Change Root的縮寫，它可以將文件系統(tǒng)中某個(gè)特定的子目錄作為進(jìn)程的虛擬根目錄，即改變進(jìn)程所引用的“/”根目錄位置。chroot對(duì)進(jìn)程可以使用的系統(tǒng)資源、用戶權(quán)限和所在目錄進(jìn)行嚴(yán)格控制，程序只在這個(gè)虛擬的根目錄及其子目錄具有權(quán)限，一旦離開該目錄就沒有任何權(quán)限了。DNS服務(wù)器主要是用于域名解析，需要面對(duì)來自網(wǎng)

19、絡(luò)各個(gè)位置的大量訪問，并且一般不限制來訪者的IP，因此，存在的安全隱患和被攻擊的可能性相當(dāng)大，使用chroot功能也就特別地有意義了。即使某些用戶突破了bind賬號(hào)，也只能訪問/var/named/chroot，能把對(duì)系統(tǒng)的攻擊傷寒降低到最小。chroot的安裝包名為bind-chroot*.rpm。項(xiàng)目實(shí)施一、安裝vsftpd服務(wù)3.檢查并安裝bind軟件包在終端窗口輸入：“rpm -q bind”命令檢查系統(tǒng)是否安裝了bind軟件包。rootlocalhost # rpm -q bind未安裝軟件包 bindrootlocalhost # yum install -y bind*與DNS服

20、務(wù)相關(guān)的RPM 包有以下幾個(gè)：bind：bind的主程序。 bind-chroot：bind的chroot環(huán)境軟件包。bind-dyndb-ldap：bind的ldap驅(qū)動(dòng)程序。項(xiàng)目實(shí)施二、啟動(dòng)與停止DNS服務(wù)在Red Hat Enterprise Linux 7.6中，DNS程序被安裝為服務(wù)，所以遵循服務(wù)的啟動(dòng)、停止規(guī)范，DNS的守護(hù)進(jìn)程為named。1.啟動(dòng)DNS服務(wù)rootlocalhost # systemctl start named2.停止DNS服務(wù)rootlocalhost # systemctl stop named3.重啟DNS服務(wù)rootlocalhost # system

21、ctl restart named4.查看DNS服務(wù)狀態(tài)rootlocalhost # systemctl status named5.設(shè)置DNS服務(wù)自啟動(dòng)。rootlocalhost # systemctl enable named或者rootlocalhost #ntsysv找到“named.service”，按下“空格鍵”，在它前面就加上“*”號(hào)。這樣，DNS服務(wù)就會(huì)隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行了。項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件1. DNS全局配置文件named.confoptions / options部分，指定bind服務(wù)的參數(shù)listen-on port 53 ; ;

22、 /bind偵聽DNS請(qǐng)求的本機(jī)IP地址及端口listen-on-v6 port 53 :1; ; /IPv6 下bind偵聽DNS請(qǐng)求的主機(jī)及端口directory /var/named; /區(qū)域配置文件所在的路徑dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; memstatistics-file /var/named/data/named_mem_stats.txt;recursing-file /var/named/data/named.recursing;

23、secroots-file /var/named/data/named.secroots;allow-query localhost; ; /指定接受DNS查詢請(qǐng)求的客戶端，多個(gè)客戶端用分號(hào)隔開項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件2. 主配置文件named.rfc1912.zones正常情況下，DNS主配置文件為/etc/named.rfc1912.zones，但是安裝了chroot之后，全局配置文件為 /var/named/chroot/etc/ named.rfc1912.zones。zone localhost IN type master; /指定區(qū)域類型file named.local

24、host; /指定區(qū)域配置文件allow-update none; ; /指定可動(dòng)態(tài)更新的輔助DNS服務(wù)器; zone 27. IN /反向解析區(qū)域type master;file named.loopback; /反向解析區(qū)域樣本配置文件allow-update none; ;項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件3. 區(qū)域配置文件(1)正向區(qū)域named.localhost正向區(qū)域解析文件/var/named/chroot/var/named/ named.localhost，實(shí)際工作中可以將此文件進(jìn)行復(fù)制，復(fù)制時(shí)一定要加-a（或-p），因?yàn)槿绻髋渲梦募?/p>

25、的擁有組不是named時(shí)，BIND服務(wù)是無法運(yùn)行的。rootlocalhost named# cat named.localhost $TTL 1DIN SOA rname.invalid. (0; serial1D; refresh1H; retry1W; expire3H ); minimumNSAAAAA:1項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件其中：;：注釋內(nèi)容。：表示當(dāng)前域，這里的當(dāng)前城是根據(jù)主配置文件中zone定義的區(qū)域名稱。（）：允許數(shù)據(jù)跨行，通常用于SOA記錄。*：只能用于名稱字段的通配符。在這里重點(diǎn)分析SOA資源記錄，其基本格式如下：區(qū)域名稱 記錄類型SOA主域

26、名服務(wù)器(FQDN) 管理員郵箱地址（序列號(hào) 刷新間隔 重試時(shí)間 過期時(shí)間 TTL） 主域名服務(wù)器：區(qū)域中主DNS服務(wù)器的FQDN。管理員郵箱地址：管理員的郵箱地址中的“”用“.”代替。序列號(hào)：區(qū)域復(fù)制依據(jù)，當(dāng)輔助DNS服務(wù)器的序列號(hào)小于主DNS服務(wù)器時(shí)，才會(huì)復(fù)制區(qū)域。當(dāng)管理員修改了主DNS服務(wù)器的區(qū)域數(shù)據(jù)文件后，應(yīng)增大序列號(hào)數(shù)字。項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件刷新間隔：輔助DNS服務(wù)器請(qǐng)求與主DNS服務(wù)器同步的等待時(shí)間。當(dāng)刷新間隔到期時(shí)，輔助DNS服務(wù)器請(qǐng)求主DNS服務(wù)器的SOA記錄副本。然后，輔助DNS服務(wù)器將主DNS服務(wù)器的SOA記錄的序列號(hào)與其本地SOA記錄的序列號(hào)比較，如果輔助D

27、NS服務(wù)器的序列號(hào)小于主DNS服務(wù)器的序列號(hào)，則輔助DNS服務(wù)器從主DNS服務(wù)器請(qǐng)求區(qū)域傳輸。重試時(shí)間：輔助DNS服務(wù)器在請(qǐng)求失敗后等待多長時(shí)間重試。這個(gè)時(shí)間應(yīng)短于刷新時(shí)間。過期時(shí)間：當(dāng)過期時(shí)間到期時(shí)，如輔助DNS服務(wù)器還無法與主DNS服務(wù)器進(jìn)行區(qū)域傳輸，則輔助DNS服務(wù)器會(huì)把它的本地?cái)?shù)據(jù)當(dāng)作不可靠數(shù)據(jù)。TTL：區(qū)域的默認(rèn)生存時(shí)間和緩存應(yīng)答名稱查詢的最大間隔。項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件(2)反向區(qū)域named.loopback反向區(qū)域解析文件/var/named/chroot/var/named/ named.loopback，實(shí)際工作中可以將此文件進(jìn)行復(fù)制，復(fù)制時(shí)一定要加-a（或-p

28、），因?yàn)槿绻髋渲梦募膿碛薪M不是named時(shí)，BIND服務(wù)是無法運(yùn)行的。rootlocalhost named# cat named.loopback $TTL 1DIN SOA rname.invalid. (0; serial1D; refresh1H; retry1W; expire3H ); minimumNSAAAAA:1PTRlocalhost.項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件例：經(jīng)上述學(xué)習(xí)，根據(jù)學(xué)院DNS服務(wù)器要求，作如下配置：(1)修改全局配置文件named.conf把options選項(xiàng)中偵聽改為any；把指定接受DNS查詢請(qǐng)求的客戶端改

29、為any。其他數(shù)據(jù)保持默認(rèn)，修改內(nèi)容如下：rootlocalhost etc# vim named.confoptions listen-on port 53 any; ;listen-on-v6 port 53 :1; ;allow-query any; ;recursion yes;(略)項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件(2)修改主配置文件named.rfc1912.zones定義區(qū)域文件，在named.rfc1912.zones后面增加如下內(nèi)容：rootlocalhost etc# vim named.rfc1912.zones (略)zone IN type master; file

30、 zhiyuan.zheng; allow-update none; ;zone 43.16.172. IN type master; file zhiyuan.fan; allow-update none; ;項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件(3)正向區(qū)域zhiyuan.zheng復(fù)制正向區(qū)域解析文件named.localhost為zhiyuan.zheng，并修改相關(guān)內(nèi)容：rootlocalhost named#cp p named.localhost zhiyuan.zhengrootlocalhost named#vim zhiyuan.zheng$TTL 1

31、D IN SOA . . ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum IN NS . IN MX 5 .www IN A 53dns IN A 54mail IN A 52ftp IN CNAME .項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件(4)反向區(qū)域zhiyuan.fan復(fù)制反向區(qū)域解析文件named.loopback為zhiyuan.fan，并修改相關(guān)內(nèi)容：rootlocalhost named#cp -p named.loopback zhiy

32、uan.fanrootlocalhost named#vim zhiyuan.fan$TTL 1D IN SOA . . ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum IN NS . IN MX 5 .254 IN PTR .253 IN PTR .252 IN PTR . 項(xiàng)目實(shí)施三、DNS服務(wù)器的配置文件注意：如果在復(fù)制的過程中忘記了參數(shù)-p，bind后續(xù)無法啟動(dòng)，這時(shí)，可以修改正反向解析文件的所有者和所有組為named 或者修改文件的權(quán)限為644。rootlocalhost # chown named.na

33、med /var/named/chroot/var/named/*或者rootlocalhost #chmod 644 /var/named/chroot/var/named/* (5)配置文件編輯完成，可以先檢查下配置文件的語法是否正確。rootlocalhost # named-checkconf /etc/named.confrootlocalhost # named-checkconf /etc/named.rfc1912.zones rootlocalhost # named-checkzone /var/named/zhiyuan.zheng rootlocalhost # nam

34、ed-checkzone 43.16.172. /var/named/zhiyuan.fan 項(xiàng)目實(shí)施四、DNS客戶端配置1.Windows中DNS客戶端的設(shè)置圖 125 windows系統(tǒng)中DNS客戶端配置項(xiàng)目實(shí)施四、DNS客戶端配置2.在Linux系統(tǒng)指定DNS服務(wù)器。(1)通過/etc/resolv.conf設(shè)置DNS服務(wù)器rootlocalhost # vim /etc/resolv.conf# Generated by NetworkManagersearch nameserver 54(2)在圖形界面下利用網(wǎng)絡(luò)配置工具進(jìn)行DNS服務(wù)器的

35、設(shè)置，系統(tǒng)也可以自動(dòng)將DNS服務(wù)器寫入文件/etc/resolv.conf。項(xiàng)目實(shí)施五、DNS服務(wù)測(cè)試使用nslookup、dig或host中的任意一個(gè)校驗(yàn)DNS服務(wù)器配置。1. 域名測(cè)試 nslookup(1)正向查詢、對(duì)應(yīng)的IP地址。rootlocalhost # nslookup Server:54Address:54#53Name:Address: 53 Server:54Address:54#53Name:Address: 54項(xiàng)目實(shí)施五、DNS服務(wù)測(cè)試

36、使用nslookup、dig或host中的任意一個(gè)校驗(yàn)DNS服務(wù)器配置。1. 域名測(cè)試 nslookup(2)反向查詢54、52對(duì)應(yīng)的域名。rootlocalhost # nslookup 54Server:54Address:54#5372.name = . 52Server:54Address:54#5372.name = .

37、項(xiàng)目實(shí)施五、DNS服務(wù)測(cè)試2.域名測(cè)試dig(1)正向查詢r(jià)ootlocalhost # dig ; DiG 9.9.4-RedHat-9.9.4-72.el7 / dig 命令的版本（略）; QUESTION SECTION: ;.INA /這里查詢的是域名的A記錄; ANSWER SECTION:.86400INA54 /指定域名對(duì)應(yīng)的IP地址; AUTHORITY SECTION:.86400INNS. /名稱服務(wù)器（略）項(xiàng)目實(shí)施五、DNS服務(wù)測(cè)試2.域名測(cè)試dig(2)反向查詢r(jià)ootlocalhost # dig -x 52(3)郵件交換器

38、查詢r(jià)ootlocalhost # dig -t MX -t：查詢類型，可以是A，MX，NS等。(4)SOA查詢r(jià)ootlocalhost # dig -t NS 項(xiàng)目實(shí)施五、DNS服務(wù)測(cè)試3.域名測(cè)試 hosthost用于簡單的主機(jī)名信息查詢，測(cè)試域名系統(tǒng)工作是否正常。(1)正向查詢r(jià)ootlocalhost # host has address 53(2)反向查詢r(jià)ootlocalhost # host 5272. domain name pointer .(3)SOA查詢r(jià)ootlocalhost

39、# host -t soa has SOA record . . 0 86400 3600 604800 10800(4)MX查詢r(jià)ootlocalhost # host -t mx mail is handled by 5 .(5)NS迭代查詢r(jià)ootlocalhost # host -rt ns name server .項(xiàng)目實(shí)施六、輔助DNS服務(wù)器配置輔助DNS服務(wù)器相對(duì)比較簡單，只需要在配置輔助域名服務(wù)器的計(jì)算機(jī)上對(duì)全局配置文件named.conf和主配置文件named.rfc1912.zones進(jìn)行修改，不需要再次配置正反向區(qū)域文件，正反向區(qū)域配置文件將從主域名服務(wù)器上自動(dòng)獲得。但是

40、需要注意的是，不能在同一臺(tái)計(jì)算機(jī)上同時(shí)配置同一個(gè)域的主域名服務(wù)器和輔助域名服務(wù)器。配置輔助域名服務(wù)器的步驟如下：在主域名服務(wù)器主配置文件named.rfc1912.zones的正向和反向zone中添加also-notifyf輔助DNS的IP地址；或者在全局options中使用notify yes來聲明。這樣只要主服務(wù)器重啟DNS服務(wù)則發(fā)送noify 值，輔助域名服務(wù)器就會(huì)立即更新區(qū)域文件數(shù)據(jù)。在輔助域名服務(wù)器上修改注配置文件named.rfc1912.zones，在zone中設(shè)置type為slave ，設(shè)置file指定區(qū)域文件的存放位置，通過masters主DNS服務(wù)器的IP地址；設(shè)置主服務(wù)的

41、地址。上述設(shè)置完成后，重啟DNS服務(wù)，就可以看到file指定的目錄下已經(jīng)同步過來了區(qū)域文件。項(xiàng)目實(shí)施七、DNS轉(zhuǎn)發(fā)器當(dāng)DNS客戶端向指定的DNS服務(wù)器要求進(jìn)行城名解析時(shí)，若此域名服務(wù)器無法解析，將用緩存中的信息幫助定位能解析的其他服務(wù)器，通常會(huì)找到一個(gè)根域服務(wù)器進(jìn)行遞歸查詢。為了減少根域服務(wù)器的負(fù)擔(dān)，可以設(shè)置域名轉(zhuǎn)發(fā)器(Forwarder)。當(dāng)定義了域名轉(zhuǎn)發(fā)器后，本地DNS服務(wù)器將使用域名轉(zhuǎn)發(fā)器清單中的DNS服務(wù)器，取代緩存中的根域服務(wù)器來響應(yīng)客戶的查詢請(qǐng)求。配置了域名轉(zhuǎn)發(fā)器清單的域名服務(wù)器會(huì)把不能直接從自己緩存響應(yīng)的請(qǐng)求發(fā)送給轉(zhuǎn)發(fā)其中定義的服務(wù)器。項(xiàng)目實(shí)施七、DNS轉(zhuǎn)發(fā)器例1：需要在學(xué)院某臺(tái)

42、主機(jī)上設(shè)置DNS域名轉(zhuǎn)發(fā)。(1) 在需要進(jìn)行域名轉(zhuǎn)發(fā)的主機(jī)上，安裝bind。(2) 修改全局配置文件named.conf修改全局配置文件named.conf中的options段使用forwarders和forward指令設(shè)置DNS轉(zhuǎn)發(fā)，需要轉(zhuǎn)發(fā)的遠(yuǎn)程DNS服務(wù)器為54： options forwarders 54; ; forward first; ;反思與進(jìn)階一、配置輔助DNS服務(wù)器項(xiàng)目背景：項(xiàng)目背景：隨著學(xué)院客戶端的增多，訪問量也隨之增多，為了提高DNS解析的速度和可靠性，IT協(xié)會(huì)在原有的主DNS服務(wù)器的基礎(chǔ)上部署輔助的DNS服務(wù)器。輔助DNS服

43、務(wù)器的IP地址為50。反思與進(jìn)階實(shí)施目的：實(shí)施目的：1.明確DNS服務(wù)器的各種角色及操作；2.掌握DNS服務(wù)器的安裝與配置；3.掌握輔助DNS服務(wù)器配置。一、配置輔助DNS服務(wù)器反思與進(jìn)階實(shí)施步驟：實(shí)施步驟：1.配置主機(jī)IP地址為50，關(guān)閉防火墻，設(shè)置selinux為允許。rootlocalhost # ifconfig ens33ens33: flags=4163 mtu 1500 inet 50 netmask broadcast 55 inet6 fe80:a67d:2c1

44、9:db5b:39ce prefixlen 64 scopeid 0 x20 ether 00:0c:29:02:4f:ac txqueuelen 1000 (Ethernet) RX packets 2886 bytes 898331 (877.2 KiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 228 bytes 25689 (25.0 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0rootlocalhost # systemctl stop fire

45、walldrootlocalhost # systemctl disable firewalldrootlocalhost # vi /etc/selinux/config rootlocalhost # setenforce 0rootlocalhost # getenforcePermissive一、配置輔助DNS服務(wù)器反思與進(jìn)階實(shí)施步驟：實(shí)施步驟：2.安裝bind軟件包。rootlocalhost # yum install -y bind*3.在IP地址為54的主DNS服務(wù)器上作如下配置：（1）修改全局配置文件named.conf。在全局配置文件中named.co

46、nf中增加 allow-transfer50; 指定本區(qū)域傳輸輔助DNS服務(wù)器，如圖12-7所示。rootlocalhost # vim /etc/named.conf一、配置輔助DNS服務(wù)器圖 127 在named.conf增加輔助DNS服務(wù)器反思與進(jìn)階實(shí)施步驟：實(shí)施步驟：（2）修改主配置文件named.rfc1912.zones。rootlocalhost # vim /etc/named.rfc1912.zoneszone IN type master; file zhiyuan.zheng; also-notify 50;zone 43.16.172. IN type master; file zhiyuan.fan; also-notify50;一、配置輔助DNS服務(wù)器反思與進(jìn)階實(shí)施步驟：實(shí)施步驟：4.在IP地址為50的輔助D