dns技術研討班-94年DNS教育訓練計畫課件

1、TWNIC 94年DNS教育訓練計畫 DNS 技術研討班TWNIC 技術組編撰2005.07.05 TWNIC DNS 教育訓練技術研討班內容:域名介紹DNS基本概念及運作原理 域名的申請與 DNS指定 DNS設定介紹 DNS 各種問題之探討與觀念介紹 dns技術研討班-94年DNS教育訓練計畫課件域名介紹何謂域名(Domain Name)中文網域名稱概念中文網域名稱之優(yōu)點國際域名(IDN)標準中文網域名稱域名之應用域名之分類域名與Internet相關服務之應用相關國際組織 域名介紹何謂域名(Domain Name)網域名稱是什麼?網域名稱是企業(yè)或個人在網路上的身份，如同 IP 一樣，都具有唯

2、一的特性網域名稱比 IP 好記好記的網域名稱成為大家申請的對象字數少/特殊意義單字/諧音字隨著 Internet 及 IPv6 的發(fā)展，網域名稱的作用將更顯得重要網域名稱是什麼?網域名稱是企業(yè)或個人在網路上的身份，域名介紹何謂域名(Domain Name)中文網域名稱概念中文網域名稱之優(yōu)點國際域名(IDN)標準域名之應用域名之分類域名與Internet相關服務之應用相關國際組織 域名介紹何謂域名(Domain Name)中文網域名稱之優(yōu)點優(yōu)點就國人而言中文字較英文字好記 總統府= .tw/ 中文域名 = http:/總統府.tw/能和企業(yè)名稱一致 統一企業(yè) =.tw/ 中文域名 = http:

3、/統一企業(yè).tw中文網域名稱之優(yōu)點優(yōu)點國際域名(IDN)標準(1)經過IETF IDN Working Group耗時3年多的討論，於2003年3月發(fā)布通過國際化域名(IDN)技術標準有關之3篇RFCs IDN標準協定IDNA-NAMEPREP-PUNYCODE，這3篇RFC的內容請參考： RFC 3490 IDNA: Internationalizing Domain Names in Applications RFC 3491 Nameprep: A Stringprep Profile for Internationalized Domain NamesRFC 3492 Punycode

4、: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications 國際域名(IDN)標準(1)經過IETF IDN Worki國際域名(IDN)標準(2)國際域名(IDN)標準(2)國際域名(IDN)標準(3)中文字應透過某種編碼方式轉換成英文字，並與舊有的 DNS 系統相容DNS 設定及伺服器設定應都根據這個編碼定義目前國際上認可的編碼為 AMC-ACE-Z，稱為 puny code (RFC 3492)EX: http:/xn-fiq43lrrlz83a.tw/ 臺網中心.twhttp

5、:/xn-fiq64bh55hj6p.tw/ 中華電信.twhttp:/xn-nqq28iuws7nz.tw/ 數位聯合.twhttp:/xn-pssu7c921afvu.tw/ 清華大學.tw國際域名(IDN)標準(3)中文字應透過某種編碼方式轉換成英國際域名(IDN)標準(4)目前IDN標準所不足的部分各語系的特定需求中文缺少繁簡間的關係定義UNICODE部分語系字符集有重疊狀況中文，日文，韓文漢字部分使用相同字符集解決方案IDN Admin Guideline (draft-jseng-idn-admin-03)CDNC 字表國際域名(IDN)標準(4)目前IDN標準所不足的部分域名介紹

6、何謂域名(Domain Name)中文網域名稱概念中文網域名稱之優(yōu)點國際域名(IDN)標準域名之應用域名之分類域名與Internet相關服務之應用相關國際組織 域名介紹何謂域名(Domain Name)域名之分類分類: 在區(qū)分不同的屬性 Top Level Domain (TLD) 頂級域名gTLDs:com/net/org/gov/edu/ 共13類ccTLDs:tw/cn/jp/us 共 243 個Second Level Domain (第二層域名)com.tw/org.tw/ 等目前 tw 之第二層域名com.tw/net.tw/org.tw/edu.tw/gov.tw/mil.twi

7、dv.tw/game.tw/club.tw/ebiz.tw域名之分類分類: 在區(qū)分不同的屬性 域名與Internet相關服務之關係 為 Internet 服務最基礎的一環(huán)提供機器名稱與 IP 位址雙向對映的機制WWW 2MAIL 11網域名稱比 IP 容易記， 且具代表意義使用網域名稱讓系統更具移值性，當 IP 變動，只需更改 DNS 設定即可，程式 網頁等不需更改隨著 IPv6 (16 bytes) 的推展，更需要使用網域名稱域名與Internet相關服務之關係 為 Internet 域名介紹何謂域名(Domain Name)中文網域名稱概念中文網域名稱之優(yōu)點國際域名(IDN)標準域名之應用

8、域名之分類域名與Internet相關服務之應用相關國際組織 域名介紹何謂域名(Domain Name)相關國際組織(1)IANA:Internet Assigned Numbers Authority 一個由IAB所資助的組織，任務是管理與分配 IP 位址，ccTLD 的註冊與管理 ICANN The Internet Corporation for Assigned Names and Numbers 負責 Internet IP address 分配及網域名稱架構規(guī)範的管理單位相關國際組織(1)IANA:相關國際組織(2)IETFInternet Engineering Task Forc

9、e 由與網際網路(Internet) 相關的產業(yè)及學術機構人員所組成的組織，為網際網路最主要的標準制定組織，Internet Society下的一個委員會.APTLDAsia Pacific Top-level Domain Forum討論亞太區(qū)Domain Name， DNS， NIC相關議題.會員包括亞太區(qū)主要地區(qū)及國家: 臺灣、中國、日本、南韓、紐西蘭、澳洲、馬來西亞、泰國、新加坡、香港、越南等.相關國際組織(2)IETF相關國際組織(3)APNIC Asia-Pacific Network Information Center， 亞太網路資訊中心主要掌管亞太地區(qū)的新IP address

10、 申請， 及反解網域註冊. 詳情， 請參考 .其他地區(qū)， 例如歐洲由 RIPE 代管.美洲由 ARIN 代管相關國際組織(3)APNIC 相關國際組織(4)各國NIC 各個國家地區(qū)往往都有類似的單位， 如中國大陸(CNNIC)，日本(JPNIC)， 韓國(KRNIC)， 香港(HKNIC)，新加坡(SGNIC)， 臺灣(TWNIC)等.CDNC兩岸四家網路資訊中心（即中國的CNNIC、臺灣的TWNIC、香港的HKNIC、澳門的MONIC）發(fā)起組建的中文域名協調聯合會，為一個獨立、非營利的組織，該機構將在國際上擔負起中文域名的協調和規(guī)範工作相關國際組織(4)各國NICDNS基本概念及運作原理DN

11、S 背景介紹DNS 整體架構DNS運作模式DNS組成DNS名稱表示法DNS樹狀結構網域名稱空間網域授權關係DNS 運作原理不同的 DNS 伺服器類型說明DNS的平臺名稱伺服器類型正解/反解之意義與原理 DNS基本概念及運作原理DNS 背景介紹DNS 背景介紹DNS 的歷史IP Network 的興起hosts 檔主機名稱的衝突資訊的一致性1984年Paul Mockapetris 建立了第一個DNS 的規(guī)範(RFC1034， RFC1035)DNS 背景介紹DNS 的歷史DNS基本概念及運作原理DNS 背景介紹DNS 整體架構DNS運作模式DNS組成DNS名稱表示法DNS樹狀結構網域名稱空間網

12、域授權關係DNS 運作原理不同的 DNS 伺服器類型說明DNS的平臺名稱伺服器類型正解/反解之意義與原理 DNS基本概念及運作原理DNS 背景介紹DNS 運作模式名稱查詢之服務分散式自己的資料由自己維護，而其他人的資料則分散在全球沒有一臺電腦會有全部的DNS資料全球最大的分散式資料庫系統以樹狀結構的方式找到目的位址(每個結點需要授權)/ 目前 Root Server 分布情形穩(wěn)定負載平衡:可由 Master 主機自由的複製到 Slave 主機備援:一個網域名稱可有多臺主機共同服務(輸流查詢)樹狀結構經由全球唯一的 Root Server 達到正確搜尋的目的Root Server 共十三部，每一

13、部可能都有許多 Mirror (如 有二三十部)效率使用 UDP 封包查詢速度基本上都在 100 msec 內經由 Cache 來加快 DNS 的查詢DNS 運作模式名稱查詢之服務DNS 組成DNS 系統如同一樹狀結構每一個分支以 “.” 分隔其限制最多 127 層每個分支最長63 字元 (a-z， 0-9， -)總長 255 字元netcomripewwwwwweduisitislabsdisiws1ws2ftpsungooglemoonDNS 組成DNS 系統如同一樹狀結構netcomripewDNS 名稱表示法Fully Qualified Domain Name (FQDN)WWW.E

14、P.NET.每一個名稱間以 . 隔開一個 FQDN 可以對應到不同的位置或服務一個名稱對應到多個 IP 稱為 Round Robin一個名稱對應到不同的服務如 MX每個 FQDN 如同 IP 一般皆具有唯一性注意結尾的點DNS 名稱表示法Fully Qualified DomaiDNS 樹狀結構為網域名稱或機器名稱為上一層與下一層的委任關係RoottwcncomnetbizarpacomnetgovtwnicwwwwhoiscdnsZone1host1host1in-addrip6e16421172211210註 DNS 的搜尋由上往下IPv4 反解IPv6 反解DNS 樹狀結構為網域名稱或機

15、器名稱為上一層與下一層的委任關網域名稱空間網域即是一個名稱空間 (namespaces)在 .com 之下的稱為 com 網域在 之下的稱為 網域，同時也是 .net 網域此時 . 可說是 net 的Zone (Subdomain)net domaincom domain domainnetcomripewwwwwweduisitislabsdisiws1ws2ftpsunmoongoogle授權關係網域名稱空間網域即是一個名稱空間 (namespaces)n網域授權關係網域名稱的管理者可以建立不同的子網域給不同的部門或單位使用如學校系所，或較大之公司其亦可將此子網域授權他部門自行管理在上一層

16、的網域需指出這種授權的關係以 NS 記錄達到授權關係整個 DNS 樹狀結構即是依此完成如 .tw 下系所 .tw 等網域授權關係網域名稱的管理者可以建立不同的子網域給不同的部門DNS基本概念及運作原理DNS 背景介紹DNS 整體架構DNS運作模式DNS組成DNS名稱表示法DNS樹狀結構網域名稱空間網域授權關係DNS 運作原理不同的 DNS 伺服器類型說明DNS的平臺名稱伺服器類型正解/反解之意義與原理 DNS基本概念及運作原理DNS 背景介紹運作原理(1) 當被詢問到有關本域名之內的主機名稱的時候，DNS伺服器會直接做出回答(此一答案稱為權威回答(Authoritative Answer)，此

17、一主機稱為權威主機)如果所查詢的主機名稱屬於其它域名的話，會檢查快取(Cache)，看看有沒有相關資料 如果沒有發(fā)現，則會轉向root伺服器查詢，然後root伺服器會將該域名之授權(authoritative)伺服器(可能會超過一臺)的地址告知 運作原理(1) 當被詢問到有關本域名之內的主機名稱的時候，D運作原理(2)本地伺服器然後會向其中的一臺伺服器查詢，並將這些伺服器名單存到記憶體中，以備將來之需(省卻再向root查詢的步驟)遠方伺服器回應查詢 將查詢結果回應給客戶，並同時將結果儲存一個備份在自己的快取記憶裡面 如果Cache資料的時間尚未過期之前再接到相同的查詢，則以存放於快取記憶裡面的

18、資料來做回應運作原理(2)本地伺服器然後會向其中的一臺伺服器查詢，並將這運作原理 圖示查詢.tw是否屬於自己的 DN ? 是則回應結果是否有 Cache 資料 ? 是則回應結果皆非則向 root “.”詢問-得到的 DNS 資料及主機資料都會 Cache 以備下一次資料被查詢時使用root.tw詢問 .tw 再哪 ?回應.tw 位址s 詢問 net.tw 再哪 ?回應 net.tw 位址net.tw詢問 .tw 再哪 ?回答 DNS 位置詢問 .tw 到底再哪 ?.tw回答 28回應結果RecursiveNon-Recusive運作原理 圖示查詢.tw是否屬於自ping .tw.DNS解析流程

19、(1)讓我們一步一步來看DNS解析的步驟:P.twping .tw.DNS解析流程(.tw 的IP是什麼?DNS解析流程(2)個人電腦向他設定的DNS 查詢.tw的IPping .tw.P.tw.tw 的IP是什麼?DNS解析DNS解析流程(3)會向root server M查詢.tw的IP addressping .tw.P.tw.tw 的IP是什麼?DNS解析流程(3)會向root serDNS解析流程(4)M root server會回應 .TW 的dns在那裡這裡有 .TW DNS的清單，請向其中之一查詢.ping .tw.P.twDNS解析流程(4)M root server會回應

20、.TWDNS解析流程(5)會向.TW name server: c.dns.tw查詢.tw的IP address.tw 的IP是什麼?c.dns.twping .tw.P.twDNS解析流程(5)會向.TW nameDNS解析流程(6)c.dns.tw回應net.tw的DNS在那裡這裡有 .NET.TW DNS的清單，請向其中之一查詢.ping .tw.P.twc.dns.twDNS解析流程(6)c.dns.tw回應net.tw的DNSDNS解析流程(7)會向.TW name server: .tw查詢.tw的IP address.tw.tw 的IP是什麼?ping .tw.P.twc.dns

21、.twDNS解析流程(7)會向.TW nameDNS解析流程(8).tw回應.tw的DNS在那裡這裡有 .TWNIC.NET.TW DNS的清單，請向其中之一查詢.ping .tw.P.twc.dns.tw.twDNS解析流程(8).tw回應twniDNS解析流程(9)會向查詢.tw的IP addressping .tw.P.twc.dns.tw.tw.tw 的IP是什麼?DNS解析流程(9)會向ns.twnicDNS解析流程(10)回應.tw的IP是什麼ping .tw.P.twc.dns.tw.tw.tw 的IP是111.222.333.444DNS解析流程(10)回應www.t.tw 的

22、IP是111.222.333.444DNS解析流程(11)回應.tw .tw的IP是111.222.333.444ping .tw.P.twc.dns.tw.tw.tw 的IP是111.222.DNS解析流程Caching(1)在前次查詢後知道了下列紀錄:TW的dns及其IPNET.TW的dns及其IPTWNIC.NET.TW的dns及其IPWWW.TWNIC.NET.TW的IP讓我們看下一次的解析流程ping ftp.tw.P.twDNS解析流程Caching(1)在前次查詢後168.95.tw 的IP是什麼?DNS解析流程Caching(2)個人電腦向他設定的DNS 查詢.tw的IPpin

23、g ftp.tw.P.twc.dns.tw.tw.tw 的IP是什麼?DNS解析.tw 的IP是什麼?DNS解析流程Caching(3)已經有.tw的NS紀錄， 所以直接過去詢問.tw的IPping ftp.tw.P.twc.dns.tw.tw.tw 的IP是什麼?DNS解析DNS解析流程Caching(4)回應.tw的IP是什麼ping ftp.tw.P.twc.dns.tw.tw.tw 的IP是222.333.444.555DNS解析流程Caching(4)回.tw 的IP是222.333.444.555DNS解析流程Caching(5)回應.tw .tw的IP是222.333.444.5

24、55ping ftp.tw.P.twc.dns.tw.tw.tw 的IP是222.333.tw 的IP是222.333.444.555DNS解析流程Caching(5)回應.tw .tw的IP是222.333.444.555ping ftp.tw.P.twc.dns.tw.tw.tw 的IP是222.333.DNS基本概念及運作原理DNS 背景介紹DNS 整體架構DNS運作模式DNS組成DNS名稱表示法DNS樹狀結構網域名稱空間網域授權關係DNS 運作原理不同的 DNS 伺服器類型說明DNS的平臺名稱伺服器類型正解/反解之意義與原理 DNS基本概念及運作原理DNS 背景介紹DNS 的平臺UNI

25、X常見為ISC BIND共約發(fā)行三十幾個版本 ( 4.X9.X)最新版本 4.9.9(不再維護)， 8.4.1， 9.2.2建議使用 9.2.2 版本穩(wěn)定，可靠，最多人使用Windows可見於Windows Server 級的版本簡單設定是其優(yōu)點GUI 設定根據 BIND 4.x 修改而來,並持續(xù)更新DNS 的平臺UNIX名稱伺服器類型權威主機(Authoritative)可管理或回答其網域名稱之答案Master 主機指 DNS 所管轄的資料是從檔案 ( Zone File) 中而來Slave 主機指 DNS 所管轄的資料是以轄區(qū)傳送(Zone Transfer，簡稱 AXFR) 從 Mast

26、er 而來Cache-Only 主機即沒有管理任何的網域名稱，接受查詢與回應並將其快取以備使用Zone FilemasterslaveslaveInternet轄區(qū)傳送轄區(qū)傳送名稱伺服器類型權威主機(Authoritative)ZoneDNS基本概念及運作原理DNS 背景介紹DNS 整體架構DNS運作模式DNS組成DNS名稱表示法DNS樹狀結構網域名稱空間網域授權關係DNS 運作原理不同的 DNS 伺服器類型說明DNS的平臺名稱伺服器類型正解/反解之意義與原理 DNS基本概念及運作原理DNS 背景介紹正解/反解之意義與原理正解 (forward domain): 由機器名稱對應至 IP反解 (

27、reverse domain): 由 IP 對應至網域名稱反解的 DNS Query 遠比正解高出許多，這是一般人常忽略之處正反解一致有其必要國內的系統較不嚴謹，比較不會檢查正反解的一致性，但國外有許多比例都會進行這個部分的確認由來源 IP 查反解名稱，依結果再查正解，並檢驗其結果有部分的Mail Server也會使用正反解確認的機制來減少SPAM的問題網路上的 DNS 查詢何種較多 ?反解多，正比反約 2:3 ， 原因是多數的服務皆會進行 IP 來源的反查所致(Ex: WWW，MAIL，Firewall .)正解/反解之意義與原理正解 (forward domain)正解之原理正解 edun

28、etarpa twnetcomorgedu twnic 正解之原理正解 edune反解之原理反解 edunettw arpain-addrip6 211 72210250 反解之原理反解 11.in-addr反解之原理(以IPv6為例)IPv6 共 16 bytes，以十六進制表示，每兩個 bytes 為一組，每組間以 : 相隔2001:288:1:1002:2e0:18ff:fe77:f174舊用法:4.7.1.f.7.7.e.f.f.f.8.1.0.e..0.2.新用法:4.7.1.f.7.7.e.f.f.f.8.1.0.e..0.2. 反解之原理(以IPv6為

29、例)IPv6 TWNIC 域名的申請與DNS指定各類網域名稱申請資格如何指定 DNS 伺服器DNS 指定上常見的錯誤 TWNIC 域名的申請與DNS指定各類網域名稱申請資格各類網域名稱申請資格(1).com.tw依公司法登記之公司或依商業(yè)登記法登記之商號；外國公司依其本國法設立登記者，亦同. .net.tw 具第一類電信事業(yè)特許執(zhí)照或網路建(架)設許可證或第二類電信事業(yè)許可執(zhí)照者.org.tw 依法登記之財團法人或社團法人； 外國非營利組織依其本國法設立登記者，亦同.tw在中華民國立案之公司行號、組織機構或具中華民國國籍之國民均得申請. 各類網域名稱申請資格(1).com.tw依公司法登記之公

30、司各類網域名稱申請資格(2).game.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分. .ebiz.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分. .club.tw 不限制申請人資格，註冊人可自行依其需求擇定屬性，惟需利用電子郵件方式確認身分. .idv.tw 凡自然人均可申請，惟需利用電子郵件方式確認身分. 各類網域名稱申請資格(2).game.twTWNIC 域名的申請與DNS指定各類網域名稱申請資格如何指定 DNS 伺服器DNS 指定上常見的錯誤 TWNIC 域名的申請與DNS指定各類網域名稱申請資格TWNIC

31、DNS設定模式介紹DNS 設定代管DNS 模式 即為一般的 DNS 指定，使用者需在其指定之 IP 上架設 DNS 伺服器，提供名稱解析代管模式(主機模式)使用者不需自設 DNS 伺服器，所指定之主機資料將由代管主機回應結果TWNIC DNS設定模式介紹DNS 設定代管TWNIC DNS相關服務介紹動態(tài) DNS提供下載 Client固定時間與伺服器間更新 IP 資訊可能受限於 FireWall 及 NAT 環(huán)境僅提供 www.DN 及 DN 之 A (Address) 記錄適合沒有固定IP的主機使用網頁轉址以 frameset 的方式將您的網頁轉至網頁空間如 .tw ，其實看到的是 pchom

32、e 的免費網頁空間TWNIC DNS相關服務介紹動態(tài) DNSTWNIC 域名的申請與DNS指定各類網域名稱申請資格如何指定 DNS 伺服器DNS 指定上常見的錯誤 TWNIC 域名的申請與DNS指定各類網域名稱申請資格常見之錯誤(1)DNS 指定 : DNS 模式 指定了 .tw 及 .tw 為 NameServer (NS)，但實際上並沒有架設 DNS Server問題 這樣的設定是不正確的，上層的DNS已經將網域委任出去，但是下層卻沒有可以回應的機器，會造成整個網域找不到的現象正確做法 需自設 DNS 伺服器或改用代管模式常見之錯誤(1)DNS 指定 : DNS 模式常見的錯誤(2)DNS

33、 指定 : DNS 模式 將 DNS 指定到別人的 Server，如 HINET/SEEDNET問題 會發(fā)生 Lame Server 的狀況，該 ISP 並不管理您的域名資料，這是一種不良的委任關係，發(fā)生原因多是因為使用者需指定兩部以上之主機，而其第二部不知要指向何處而為之，造成DNS的解析發(fā)生錯誤解決方法 確認該 ISP 同意代管您的域名或為您的 Slave 主機，或是提供兩部以上主機之要求常見的錯誤(2)DNS 指定 : DNS 模式DNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone

34、file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Windows DNS用 BIND 還是用 Windows DNS ?WindowsBIND操作GUI的設定方式入門容易可用 Windows 其他服務結合 ( WINS/AD)設定以文字編輯進行較易出錯Unix 環(huán)境為一般人所不熟悉效率查詢數字無統計資料每秒可處理上萬次查詢

35、Multi-thread/SSL穩(wěn)定性視 OS 表現基本上可符合一般企業(yè)需求穩(wěn)定性佳版本更新速度較快安全性隨系統版本更新而更新版本可從設定面加強安全性較能預防DNS Spoofing佔有率在臺灣兩者相當在全世界佔大宗其他Root Server 皆以 BIND 為主用 BIND 還是用 Windows DNS ?WindowBIND 版本差異BIND 版本差異建議使用 BIND 9.x 的理由新架設DNS Server視需求而定可使用自動變數簡化管理BIND8已經是一個維護的版本不會再有新的功能加入是否使用 IPv6是否使用新的資源紀錄(NAPTR，A6，DNAME)對安全的要求等級(DNSSE

36、C，TSIG)建議使用 BIND 9.x 的理由新架設DNS ServerDNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Windows DNSBIND 的工具程式

37、named DNS 伺服器的服務程式，查詢服務h2n 將 /etc/hosts 轉成 bind 的 正/反 解檔named-xfer 轄區(qū)傳送的工具程式ndc named 的啟動/停止程式dig DNS 查詢的工具程式nsupdate 動態(tài)更新程式(請參考 Oreilly DNS 一書)nslookup DNS 查詢程式dns* 另有許多 dns 開頭之工具，主要用於產生用於認 證之 KEY，如 TSIG/DNSSEC 等named-checkconf 檢查 named.conf 語法的工具named-checkzone 檢查 zone file 語法的工具named-bootconf 將 4

38、.X 的 named.boot 轉成 8.X named.conf 檔BIND 的工具程式named DNS 伺服器的服務程DNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND

39、還是用 Windows DNS設定檔: named.conf路徑/etc/named.conf 或 /usr/local/etc/named.confBIND (named) 環(huán)境之主要設定檔作用定義 named 的功能項目 ( options )定義 root server 位置 ( zone )定義所管轄之網域名稱 ( zone )定義反解 ( zone )其他，如系統記錄/存取控制列表等設定檔: named.conf路徑named.conf: optionsdirectory zone file 檔案存放位置 (預設為 /etc)pid-file DNS 啟動時記錄行程代號(PID)之檔

40、案allow-transfer 轄區(qū)傳送之設定，定義那些 IP 可與此部 DNS 做 AXFR (未定義則全開，形同 DNS 資料外流)常犯錯誤options 忘了加 “s”，前後以 括住有關檔案或路徑名稱皆要加 “”號每一行的結尾需有 “;” 號有關 IP 等設定項目亦需加 ; 號pid-file 所指路徑的權限問題要注意#/etc/named.confoptions directory /var/named;pid-file “/var/named/named.pid”;allow-transfer 1/32;211.72.210/24; named.conf: optionsdirect

41、ory DNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Windows DNS在named.conf設定根伺服器 所有的 DNS 伺服器皆需要知道根伺服器位罝根伺服

42、器為所有 DNS 查詢之起源根伺服器列表可由/domain/named.cache 取得hint 字面為暗示之意，即向 DNS 表示如果你沒有資料，可以到根伺服器詢問一部 DNS 僅能有一 hint typezone “.” type hint; file “named.cache”;在named.conf設定根伺服器 所有的 DNS 伺服器皆在named.conf設定正解網域zone “.tw” type master; file “.tw.hosts”; allow-transfer ; ;此一域名需上層授權(com.tw) 後別人方可查得到若您有多個網域名稱即添加類似設定即可此例為 ma

43、ster 主機設定，slave 主機設定於後述file 未定路徑即表參照 directory 參數注意 ; 號問題此處的 allow-transfer 僅對此網域有效，而options 中的 allow-transfer 則對此部 DNS 有效在named.conf設定正解網域zone “在named.conf設定反解網域zone “0.0.127.in-addr.apra” type master; file “named.local”;zone “210.72.211.” type master; file “211.72.210.rev”;DNS 反解搜尋由後往前(後序)，故原 127.

44、0.0.x 及 211.72.210.x 之 IP 要反寫in-addr 為 Internet Address 之意，用於 IPv4 之反解，IPv6 則使用 ip6 apra 為反解之起源在named.conf設定反解網域zone “0.0.127named.conf 完整內容範例#/etc/named.confoptions directory /var/named;pid-file “/var/named/named.pid”; allow-transfer 1/32;211.72.210/24; zone “.” type hint; file “named.cache”;zone “

45、.tw” type master; file “.tw.hosts”; allow-transfer ; ;zone “0.0.127.in-addr，apra” type master; file “named.local”;zone “210.72.211.” type master; file “211.72.210.rev”;named.conf 完整內容範例#/etc/amed.conf 回顧options/root server /正解/反解 為基本設定注意 Zone Transfer 問題若欲為 Cache-Only 主機則可拿掉 正解/反解設定即可 (即保留 options/r

46、oot/ localhost)語法及 ; “” 等問題需注意 (初學常犯)可使用工具程式 named-checkconf，named-checkzone 幫您做語法檢查named.conf 回顧options/root servDNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止

47、WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Windows DNSZone file: 正解檔正解檔是 DNS 中最重要的檔案如下面的例，我們將其轉換成 DNS Zone file.tw zone.tw zonecomnetxxxwwweduntudept1ws1ws2twmail.tw domainns2ns1imapZone file: 正解檔正解檔是 DNS 中最重要的檔案資源記錄(RR， Resource Record)名稱(FQDN)快取時間 ( TTL，Time to Live ) 網路類別(class)，資料類型

48、(type)答案(rdata)TTL 是此一筆資料被別的 DNS Cache 的時間值IN 即是 Internet資料類型分許多種下列為一筆資源紀錄的內容正解: 什麼是資源記錄FQDNTTLclasstyperdata.tw. 3600 IN A 資源記錄(RR， Resource Record)正解: 什.tw. 38400 IN SOA .tw. .tw. ( 2001061501 ; Serial 43200 ; Refresh 12 hours 14400 ; Retry 4 hours 345600 ; Expire 4 days 7200 ; Negative cache 2 ho

49、urs ).tw. 86400 IN NS .tw.tw. 86400 IN NS .tw.ns1.xxxcom.tw. 86400 IN A .tw. 86400 IN A ；以下略正解:資源記錄範例資源記錄的 TYPE 有許多不同類型.tw. 38400 IN SOA ns1.xDNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (

50、Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Windows DNS正解: SOA RRSOA (Start Of Authority) 記錄用於DNS自身SOA 提供此一 Zone 之基本資料及更新時間參數供 Slave DNS 更新使用.tw 1D IN SOA .tw. .tw. (2001061501 ;serial 43200 ;refresh14400 ;retry345600 ;expire172800 ;min ttl)網域名稱，可用 代替SOA 記錄Mas

51、ter 主機名稱網域管理 Email，原 用 . 代替 TTL = 一天正解: SOA RRSOA (Start Of Author正解: NS/A RRNS (Name Server) 用於 DNS 的搜尋每個 Zone File 如何 SOA 一般，皆要有 NS RR，且接於 SOA 之後NS 記錄之 RDATA 若屬同一個zone以內者需接一 A (Address) RR，以標明其 IP Address您在TWNIC 的指定內容(DNS 模式)需反應在這個 NS 記錄上,意即上下層的 NS 記錄要一致NS 記錄說明了那些主機管理此一網域名稱 (權威主機)，需與上層 (如 TWNIC) 的

52、指定一致NS 記錄之 RDATA 需接一 FQDN 記錄，不可用 IP ，也不可接到一 CNAME 記錄 ( RFC 規(guī)範)NS 記錄的取用順序是隨機決定的，而非取用第一筆A 記錄為指出某一 FQDN 其 IP 為何.tw. IN NS .tw.tw. IN NS .tw.tw. IN A .tw. IN A 正解: NS/A RRNS (Name Server) 用於正解: CNAME RRCNAME 用於機器別名，如查詢 FTP ，則會查到 WWW 位址建議使用 A 記錄來替 CNAME，以避免 NS/MX 等出現問題CNAME Chain 問題，雖沒有禁止使用，但會導致效率變差甚至錯誤.

53、tw. 3600 IN A 0.tw. 3600 IN CNAME .tw.正解: CNAME RRCNAME 用於機器別名，如查詢 F正解: MX RRMX (Mail eXchange) 記錄為 SMTP 服務所使用，其中的 10，20 表示郵件交換時的優(yōu)先順序(數字小者優(yōu)先)mail 或 imap 亦需接一 A 記錄，而不可使用 CNAME，這是FAQ最常見的問題亦可使用 A 記錄來代 MX使用 (即 DN=FQDN)，但如此僅能使用一部機器當 Mail Server IN A 5 IN MX 10 mail IN MX 20 imapmail IN A 5imap IN A 43; 此

54、時不可用如 mail IN CNAME www 語法正解: MX RRMX (Mail eXchange) 記錄DNS設定介紹 用 BIND 還是用 Windows DNS ?BIND 版本差異BIND 工具程式設定檔 named.conf根伺服器介紹與設定 zone file基本設定資源紀錄（SOA，NS，A，CNAME，MX，PTR）正解/反解設定主要（master）/次要（slave）伺服器的關係容錯及負載平衡功能 (Round Robin)named之參數說明及啟動與停止WINDOWS DNS 設定介紹使用 nslookup/dig 自我檢測 DNS設定介紹 用 BIND 還是用 Wi

55、ndows DNS.tw. 86400 IN SOA .tw. .tw. ( 2002021301 ; serial 1D ; refresh 1H ; retry 1W ; expiry 2D ; min ttl).tw. 86400 IN NS .tw.tw. 86400 IN NS .tw.N.tw. 86400 IN A N.tw. 86400 IN A .tw. 86400 IN A 0.tw. 86400 IN CNAME .tw.tw. 86400 IN MX 10 .tw.tw. 86400 IN MX 20 .tw.tw. 86400 IN A 5.tw. 86400 IN

56、A 43.tw. 86400 IN A 01.tw. 86400 IN A 02正解檔完整內容範例從上述來看是不是又臭又長呢 ?.tw. 86400 IN SOA 正解: 以 $TTL/$ORIGIN 來簡化設定$TTL 86400 ; 預設 TTL 值，原來每筆 RR 之 TTL 值可以此值代替$ORIGIN .tw. ; 預設附加字尾 IN SOA ns1 root ( 2002021301 ; serial 1D ; refresh 1H ; retry 1W ; expiry 2D ; min ttl) IN NS ns1 IN NS ns2 IN NS . IN MX 10 mail

57、 IN MX 20 imapns1 IN A ns2 IN A www IN A 0ftp IN CNAME wwwmail IN A 5imap IN A 43$ORIGIN .tw.ws1 38400 IN A 11ws2 38400 IN A 12正解: 以 $TTL/$ORIGIN 來簡化設定正解: 子網域的分割上述例子 dept1 要自建一 Sub-domain，以管理自己部門之 DNS 資料，需以 NS 記錄再授權出去原在上頁 Zone File 中的 ws1/ws2 等資料應從 .tw. 中移除，避免 DNS 混淆於 .tw 及 ns2 上再建立 .tw. 的 Zone File

58、，並做好 Master/Slave 之區(qū)分可參考實例 /viewtopic.php?t=17969&highlight=glue;在 .tw. 的 Zone File 內$ORIGIN .tw. IN NS ns1 IN NS ns2ns1 IN A ns2 IN A $ORIGIN .tw. IN NS ns1 IN NS ns2ns1 IN A 01ns2 IN A 02正解: 子網域的分割上述例子 dept1 要自建一 Sub-正解: Master/Slave 如何實現#/etc/named.conf#其他略zone “.tw” type master; file “.tw.hosts”

59、; allow-transfer /32; ;.tw.tw#/etc/named.conf#其他略zone “.tw” type slave; masters ; file “.tw.hosts”; allow-transfer none;一般而言 Slave 主機應不允許 AXFRSlave 主機啟動後即會和 Master 同步資料，而後資料的同步即是參考 SOA 資訊Master 主機更改了資料請務必記得序號需加大，否則即使時間到了 Slave 不會同步資料正解: Master/Slave 如何實現#/etc/nam正解: Master/Slave 的同步問題AXFR 只有一個方向，由 S

60、lave 向 Master 發(fā)出要求如果 Master 更改了資料，以上述 Zone File 的範例而言，最長要一天後 Slave 才會更新，顯然不夠即時解決方法降低 Refresh 之值：或可改善但仍會有時間差使用 Bind 8.x/9.x 之 notify 功能當 Master 重新啟動時，即會送出 notify 訊息至所有 Zone File 中的 NS RR，告知這些機器進行 AXFR這個功能在 Bind 9.x 中預設即巳啟動，若欲關閉 options . notify no; ;正解: Master/Slave 的同步問題AXFR 只有一Zone File: 反解 反解 Subn