ch01 DNS服務(wù)器配置與管理

第1講配置DNS服務(wù)器（RHEL4）目錄DNS簡(jiǎn)介IP地址和主機(jī)名(域名)的轉(zhuǎn)換方法安裝和啟動(dòng)BIND域名服務(wù)器的配置語法配置主（master）DNS服務(wù)器配置從（slave）DNS服務(wù)器 例子2.IP地址和主機(jī)名(域名)的轉(zhuǎn)換方法Host表（/etc/hosts文件）存放了主機(jī)名和IP地址的映射表在大型網(wǎng)絡(luò)中建立Host表幾乎不可能NIS將所有的Host數(shù)據(jù)保存在中央主機(jī)上，由中央主機(jī)將所需的數(shù)據(jù)分配給所有的服務(wù)器只適用于中小型網(wǎng)絡(luò)DNS使用分層的分布式數(shù)據(jù)庫(kù)來處理Internet上的域名和IP地址之間的映射網(wǎng)絡(luò)中沒有存放全部Internet主機(jī)信息的中心數(shù)據(jù)庫(kù)hosts文件文件/etc/hosts的格式IP地址主機(jī)名/域名例子7778注意：hosts文件中的IP地址和域名之間的映射關(guān)系，只能供本機(jī)使用，而不能被其他機(jī)器訪問Linux中的DNS服務(wù)器—BIND(1)在Linux中，DNS是由BIND（BerkeleyInternetNameDomain）軟件實(shí)現(xiàn)的BIND是一個(gè)C/S系統(tǒng)客戶端為轉(zhuǎn)換程序（resolver），負(fù)責(zé)產(chǎn)生域名信息的查詢，將這類信息發(fā)送給服務(wù)器端服務(wù)器端是一個(gè)稱為named的守護(hù)進(jìn)程，負(fù)責(zé)回答轉(zhuǎn)換程序的查詢Linux中的DNS服務(wù)器—BIND(2)轉(zhuǎn)換程序控制文件文件/etc/host.conf是用來控制本地轉(zhuǎn)換程序設(shè)置的文件。它告訴轉(zhuǎn)換程序使用哪些服務(wù)以及按照什么順序進(jìn)行查詢轉(zhuǎn)換程序配置文件當(dāng)轉(zhuǎn)換程序使用BIND域名查詢IP地址時(shí)，必須告訴轉(zhuǎn)換程序使用哪一個(gè)服務(wù)器。用來完成這項(xiàng)任務(wù)的工具就是/etc/resolv.conf文件。/etc/host.conf文件的配置選項(xiàng)選項(xiàng)說明order指定按照哪種順序來嘗試不同的名字解析機(jī)制。multi以off和on為參數(shù)。與host查詢一起使用時(shí)，用來確定一臺(tái)主機(jī)是否在/etc/hosts文件中，指定了多個(gè)IP地址(該項(xiàng)對(duì)于DNS和NIS無效)trim以域名為參數(shù)。在查找名字前先刪除此域名，再?gòu)奈募?etc/hosts查找匹配的主機(jī)名/etc/resolv.conf文件的配置選項(xiàng)選項(xiàng)說明domain定義默認(rèn)的域名search指定域名搜索表(最多6個(gè)域名參數(shù))nameserver列出域名服務(wù)器的IP地址(最多可以出現(xiàn)3個(gè)nameserver指令)3.安裝和啟動(dòng)BIND安裝BIND域名服務(wù)器rpm–qa|grepbind如果沒有安裝，則執(zhí)行如下步驟rpm–vihbind-*.rpmrpm–vihcaching-nameserver-*.rpmrpm–vih

redhat-config-bind-*.rpm啟動(dòng)域名服務(wù)器servicenamedstartpstree|grepnamed4.域名服務(wù)器的配置語法named配置文件族主配置文件named.conf區(qū)文件4.1named配置文件族文件名說明主配置文件/etc/named.conf設(shè)置一般的named參數(shù)，指向該服務(wù)器使用的域數(shù)據(jù)庫(kù)的信息源root域名服務(wù)器指向的文件/var/named/chroot/var/named/named.ca指向rootDNS，用于caching-onlyserverLocalhost區(qū)文件(默認(rèn)存在)/var/named/chroot/var/named/named.local用于將名字localhost轉(zhuǎn)換為回送IP地址()/var/named/chroot/var/named/named.local用于將回送IP地址()轉(zhuǎn)換為名字localhost4.2主配置文件named.confnamed.conf的配置語句acl：定義IP地址的訪問控制列表controls：定義rndc命令使用的控制通道include：將其他文件包含在本配置文件當(dāng)中key：定義授權(quán)的安全密鑰logging：定義日志的記錄規(guī)范options：定義全局配置選項(xiàng)server：定義遠(yuǎn)程服務(wù)器的特征zone：定義一個(gè)區(qū)主配置文件named.conf常用的全局配置語句(options)的子句子句說明recursionyes|no是否使用遞歸式DNS服務(wù)器，默認(rèn)為yes。transfer-formatone-answer|many-answer是否允許在一條消息中放入多條應(yīng)答信息，默認(rèn)值為one-answerdirectory“path”定義服務(wù)器區(qū)(zone)配置文件的工作目錄forwarders{IPaddr}定義轉(zhuǎn)發(fā)器主配置文件named.conf常用的區(qū)(zone)聲明子句區(qū)聲明是配置文件中最重要的部分。Zone語句的語法格式為

Zone“zone-name”IN( type子句

file子句 其他子句

);typemaster|hint|slavemaster：說明一個(gè)區(qū)為主域名服務(wù)器hint：說明一個(gè)區(qū)為啟動(dòng)時(shí)初始化高速緩存的域名服務(wù)器slave：說明一個(gè)區(qū)為輔助域名服務(wù)器file“filename”說明一個(gè)區(qū)的域信息源的數(shù)據(jù)庫(kù)信息文件名4.3區(qū)文件區(qū)文件定義了一個(gè)區(qū)的域名信息，通常也稱為域名數(shù)據(jù)庫(kù)文件。每個(gè)區(qū)文件都是由若干個(gè)資源記錄(RR)和區(qū)文件指令組成。資源記錄每個(gè)區(qū)文件都是由SOARR開始，同時(shí)包括NSRR。對(duì)于正向解析文件還包括ARR、MXRR、CNAMERR等。對(duì)于反向解析文件還包括PTRRR。標(biāo)準(zhǔn)資源記錄的的基本格式是：[name][ttl][IN]typerdata各個(gè)字段之間由空格或TAB鍵分隔。所有的全域名必須以”.”結(jié)束。標(biāo)準(zhǔn)資源記錄中的字段（1）字段說明name資源記錄引用的域?qū)ο竺?，可以是一臺(tái)單獨(dú)的主機(jī)，也可以是整個(gè)域。取值說明.根域@默認(rèn)域標(biāo)準(zhǔn)域名或是以”.”結(jié)束的域名，或是一個(gè)相對(duì)域名空該記錄適用于最后一個(gè)帶有名字的域?qū)ο髏tl壽命字段，以秒為單位定義該資源記錄中的信息存放在高速緩存中的時(shí)間長(zhǎng)度。IN將該記錄模式為一個(gè)InternetDNS資源記錄標(biāo)準(zhǔn)資源記錄中的字段（2）字段說明type標(biāo)識(shí)這是哪一類資源記錄類型說明A用于將主機(jī)名轉(zhuǎn)換為IP地址，任何一個(gè)主機(jī)都只能有一個(gè)IP地址CNAME給定主機(jī)的別名，主機(jī)的規(guī)范名在A記錄中給出HINFO描述主機(jī)的信息MX郵件交換記錄。告訴郵件進(jìn)程把郵件發(fā)送到另一個(gè)系統(tǒng)。此系統(tǒng)知道如何將郵件傳送到它的最終目的地NS標(biāo)識(shí)一個(gè)域的域名服務(wù)器PTR將地址轉(zhuǎn)換為主機(jī)名SOA表示一個(gè)授權(quán)區(qū)的開始。每個(gè)配置文件都必須包含一個(gè)SOA記錄，以標(biāo)識(shí)服務(wù)器所管理的起始地方。配置文件的第一個(gè)記錄必須是SOA記錄。標(biāo)準(zhǔn)資源記錄中的字段（3）字段說明rdata指定與這個(gè)資源有關(guān)的數(shù)據(jù)類型數(shù)據(jù)AIPaddressCNAMECanonical-nameHINFOHardwareOs-typeMXPerference-valueNSMailer-exchangerPTRReal-name將地址轉(zhuǎn)換為主機(jī)名標(biāo)準(zhǔn)資源記錄中的字段（4）字段說明rdata數(shù)據(jù)說明Hostname存放本資料的主機(jī)名字Contact管理域的管理員的郵件地址。因?yàn)椤癅”在文件中有特殊含義，所有郵件地址abc@寫為時(shí)間數(shù)據(jù)字段Serial本區(qū)信息文件的版本號(hào)(文件修改后要將其值加1)Refresh輔助域名服務(wù)器有多長(zhǎng)時(shí)間要更新數(shù)據(jù)庫(kù)Retry若輔助域名服務(wù)器更新數(shù)據(jù)庫(kù)失敗，多長(zhǎng)時(shí)間再試Expire若輔助域名服務(wù)器無法從主服務(wù)器上更新數(shù)據(jù)，原有的數(shù)據(jù)何時(shí)失效Minimum若資源記錄欄未設(shè)定ttl，則以這里提供的時(shí)間為準(zhǔn)。4.3區(qū)文件（2）區(qū)文件指令用途區(qū)文件指令說明簡(jiǎn)化區(qū)文件結(jié)構(gòu)$INCLUDE讀取一個(gè)外部文件并包含它$GENERATE用來創(chuàng)建一組NS、CNAME或PTR類型的RR由資源記錄使用的值$ORIGIN設(shè)置管轄源$TTL為沒有定義精確的生存期的RR定義缺省的TTL值5.配置masterDNS服務(wù)器（1）在IP地址為22的機(jī)器上為域的配置DNS服務(wù)器，并設(shè)該域的DNS上級(jí)服務(wù)器為9主要步驟配置轉(zhuǎn)發(fā)選項(xiàng)forwarders在主配置文件/etc/named中添加區(qū)聲明正向解析區(qū)：反向解析區(qū)：100.168.192.在目錄/var/named/chroot/var/named下配置正向解析數(shù)據(jù)庫(kù)文件在目錄/var/named/chroot/var/named下配置反向解析數(shù)據(jù)庫(kù)文件測(cè)試DNS5.配置masterDNS服務(wù)器（2）實(shí)現(xiàn)負(fù)載均衡實(shí)現(xiàn)直接解析域名實(shí)現(xiàn)泛域名解析創(chuàng)建子域5.1在主配置文件/etc/named.conf中添加轉(zhuǎn)發(fā)選項(xiàng)options{ directory"/var/named";

forwarders{06;};//轉(zhuǎn)發(fā)選項(xiàng)

recursionyes; //遞歸查詢};controls{

inetallow{localhost;}keys{rndckey;};};zone"."IN{ typehint; file"named.ca";};zone"localhost"IN{ typemaster; file"localhost.zone"; allow-update{none;};};5.2在主配置文件/etc/named.conf中配置正向和反向解析區(qū)聲明zone"0.0.127."IN{ typemaster; file"named.local"; allow-update{none;};};zone“”IN{//正向解析區(qū)

typemaster; file“.zone”;//正向解析數(shù)據(jù)庫(kù)文件};zone“100.168.192.“IN{//反向解析區(qū)

typemaster; file“192.168.100.rev”;//反向解析數(shù)據(jù)庫(kù)文件};include"/etc/rndc.key";5.3配置正向解析文件--/var/named/chroot/var/named/.zone$TTL1D@INSOA.

.(2005051401;Serial3h;Refresh15M;Retry1W;Expire1D);MinimumINNS.dnsINA22wwwINA32ftpINA42/var/named/chroot/var/named/.zone5.4配置反向解析文件--/var/named/chroot/var/named/192.168.100.rev$TTL1D@INSOA..(2005051401;Serial3h;Refresh15M;Retry1W;Expire1D);MinimumINNS.222INPTR.232INPTR.242INPTR.192.168.100.rev5.5檢查配置文件和區(qū)文件的語法檢查配置文件/etc/named.conf的語法語法：named-checkconf[-tdirectory]filename例1：

named-checkconf例2：named-checkconf-t//etc/named.conf檢查區(qū)（zone）文件的語法語法：named-checkzone

zonenamefilename例1：

named-checkzone

/var/named/chroot/var/named/.zone5.6重新啟動(dòng)DNS服務(wù)重新啟動(dòng)DNS服務(wù)器servicenamedrestart（RedhatLinux）/etc/rc.d/init.d/namedrestart（任意的Linux系統(tǒng)）在有些系統(tǒng)上，可能要重新加載配置文件rndcreload5.7配置DNS客戶端修改客戶端配置文件/etc/resolv.conf添加如下一行

nameserver22修改searchlocaldomain為

searchlocaldomain

或者添加如下一行

domain

（定義本機(jī)的默認(rèn)域名）5.8測(cè)試DNS使用host命令測(cè)試DNS使用nslookup命令測(cè)試DNS使用dig命令測(cè)試DNShostnslookupdig5.9實(shí)現(xiàn)負(fù)載均衡DNS負(fù)載均衡就是為同一個(gè)域名配置多個(gè)IP地址。在應(yīng)答DNS查詢時(shí)，DNS服務(wù)器對(duì)每個(gè)查詢將以DNS文件中主機(jī)記錄的IP地址按順序返回不同的解析結(jié)果，將客戶端的訪問引導(dǎo)到不同的計(jì)算機(jī)上例子：實(shí)現(xiàn)3臺(tái)FTP服務(wù)器的網(wǎng)絡(luò)負(fù)載均衡功能編輯/var/named/chroot/var/named/.zone文件，加入如下3行ftp IN A 1ftp IN A 2ftp IN A 3編輯/var/named/chroot/var/named/192.168.100.rev文件，加入如下3行11 IN PTR 12 IN PTR 13 IN PTR 5.10實(shí)現(xiàn)直接解析域名許多用戶有直接使用域名訪問Web網(wǎng)站的習(xí)慣，即在瀏覽器中不輸入主機(jī)名www，而直接使用如或http://來訪問DNS服務(wù)器默認(rèn)只能解析完全規(guī)范域名(FQDN)為了方便用戶訪問，可以在DNS服務(wù)器的區(qū)域文件中加入如下一條A資源記錄，實(shí)現(xiàn)直接解析域名功能（注意語句的順序）. IN A 225.11實(shí)現(xiàn)泛域名解析泛域名是指一個(gè)域名下的所有主機(jī)和子域名都被解析到同一個(gè)IP地址上可以在DNS服務(wù)器的zone文件末尾加入下面的A資源記錄，以支持實(shí)現(xiàn)泛域名解析*.. IN A 22這樣，當(dāng)在mycorp前加上任意的主機(jī)名（沒有出現(xiàn)泛域名解析語句之前的資源記錄中），DNS都可以將它們解析到同一個(gè)IP地址上5.12創(chuàng)建子域有時(shí)候，需要把我們域名所屬下的域名分配給其它的DNS服務(wù)器解析，那么這部分域名成為我們的子域。假設(shè)我們管理的域名是?，F(xiàn)在要把這個(gè)域名交給其他的服務(wù)器解析。修改的正向解析文件，添加如下兩行：bj INNS.dns.bj INA4

5.12創(chuàng)建子域（2）在上按照正常的方法配置DNS服務(wù)器就可以解析了。設(shè)置的DNS服務(wù)器為的地址。以后凡是遇到的域名解析，我們的主域服務(wù)器都會(huì)轉(zhuǎn)給來解析。6.配置slaveDNS服務(wù)器輔助名稱服務(wù)器（slaveDNS）概述配置輔助名稱服務(wù)器的優(yōu)點(diǎn)示例的配置場(chǎng)景說明配置masterDNS服務(wù)器配置slaveDNS服務(wù)器6.1slaveDNS服務(wù)器概述輔助名稱服務(wù)器（slaveDNS）也可以向客戶機(jī)提供域名解析服務(wù)，但是它數(shù)據(jù)不是直接輸入的，而是從其它Master或SlaveDNS服務(wù)器中復(fù)制過來的

slaveDNS中的數(shù)據(jù)無法手工修改當(dāng)啟動(dòng)輔助名稱服務(wù)器時(shí)，它會(huì)和與它建立聯(lián)系的所有主要名稱服務(wù)器建立聯(lián)系，并從中復(fù)制數(shù)據(jù)在輔助名稱服務(wù)器工作時(shí)，還會(huì)定期地更改原有的數(shù)據(jù)，以盡可能地保證副本與正本的一致性6.2配置輔助名稱服務(wù)器的優(yōu)點(diǎn)提供容錯(cuò)能力分擔(dān)masterDNS服務(wù)器的負(fù)擔(dān)加快查詢速度6.3示例的配置場(chǎng)景說明主要名稱服務(wù)器22輔助名稱服務(wù)器71注意：不能在同一臺(tái)機(jī)器上，同時(shí)配置master和slaveDNS服務(wù)器6.4配置master服務(wù)器（1）只有masterDNS服務(wù)器的允許當(dāng)