第一阶段 理解DNS相关内容及配置.
今天主要从下图几个内容来学习DNS相关的内容.
主要有DNS简介/服务器软件的安装/配置文件/安全管理与控制/测试工具.一些内容.
在这里我们就简单的了解下DNS基本概念
从上图可以看出来.DNS的概念和相关的来源与背景.
接下来理解下DNS系统的结构组成(分布式的结构).
DNS空间主要有:根域/顶级域/子域/主机等部分组成..
再接下来我们见下常用的DNS术语.
主要有DNS服务器/客户机/正向解析/反向解析.在linux下是靠/etc/resolv.conf配置文件来指定DNS的.
好的.了解了DNS相关内内容后…下面来学习DNS的编译安装的配置过程.
第二阶段 安装服务器
安装BIND源代码
先来看下基本步骤以及方法.
先去相关的网站下载好源代码.
下面是编译安装的过程.
第一步:解包#tar xvzf bind-9.2.3.tar.gz
第二步:解包后,进入目录#cd bind-9.2.3
第三步:检查编译环境以重定向BIND的目录文件到/etc.当然也可以重定向到其他目录下.默
认它是在/usr/local目录下的.我们可以通过帮助文档查看(./configure –help | more)
其中---prefix=PREFIX 就是默认的安装路径目录.而下面一些的选项则就是可将BIND重定向到某目录的参数.( --sysconfdir=DIR )
所以第三步#./congfigure –sysconfdir=/etc
第四步:编译生成BIND的主目录(库文件)和安装配置文件.#make ; make install
安装好之后.了解几个程序.系统将应用程序安装的目录为:
可以看到DNS的调试工具:dig/host/nslookup
把服务器的程序安装的目录:
基中DNS的管理工具named/rndc.
第五步:vi /etc/named.con
前面安装的时候我们将BIND目录重定向到/etc下.因此bind服务需要在/etc/named.conf查找.由于我们这里是使用了编译的安装方法.默认下没有named.conf配置文件了.因此需要我们手动创建.基本格式如下图………在这里提示:如果是通过rpm安装.系统有个caching-nameserver工具包.安装后就有默认的BIND配置文件.(配置模块).而不需要我们编写.
Options表示全局信息.其中还指定了服务器的工作默认目录/var/named,在这里需要注意的是在编写文件的时候, 请留心分号(;)
配置根域服务器
首先配置一个根域.zone表示一个区,根的
类型为”type hint”.由于这里没有根域的服务器,所以在这里设个链接(hint);指向自己.
File指的是根服务器文件.文件名为”named.ca”
#vi /etc/named.conf
创建好配置文件后,进行/var/named,并没有named.ca这个服务器文件.因此需要手动配置了.然后再该目录下生成(手动创建)name.ca这个根服务器文件.
下面图是创建根文件的基本过程
上图显示,产生named.ca文件的方法,需要在/etc/resolv.conf一个DNS客户端工具,它里面需要dns服务器的IP地址支持.(里面填写任何一个可用的DNS服务器地址),如果说你当前的局域网的机器可以上互联网的话,我们可以使用ISP分配的DNS服务器IP地址作为nameserver.
这样做的目的是通过合法的DNS查询根服务器的IP地址(世界互联网上的13个根地址).
这时里假设当前ISP所分配置的一个固定的DNS地址.(61.129.33.47)则写入resolv.conf中.
接下来通过工具查找到”.”根服务器地址(根服务器的记录)
利用dig –t NS . 这个命令相当于WIN下的nslookup中的set type=ns
可以看到非常多的DNS(全都是互联网上),我们发现J为根服务器,只有它有对应的主机名的IP 地址,而其他DNS域名没有A记录的对应的IP地址.我们希望所有DNS服务器有自己的A记录对应的IP 地址.
利用根域IP 地址查询互联网上的所有根(所对应的IP),重定向到/etc/resolv.conf.再次使用dig工具测试.结果如下
现在看到所有的DNS服务器都有自己A记录对应的IP 地址.
接下来的做一步就是将这些文件导入到/var/named.ca文件中去.
Named.ca 就是我们在/etc/named.conf中所配置的”.”根域的配置文件”named.ca”了.到这里根服务器就配置好了.现在可以启动根服务器了.但是事实并非如此.我们还需要做项工作就是利用rndc工具控制根服务器
(1) 需要产生rndc这么一个控制文件
其实rndc-confen 本身是个配置文件,根据这个文件的提示
需要将这些文件放入named.conf配置文件中去.
进入#vi /etc/rdnc.conf
通过行号把结果打印出来.
现种方法:(1)在当行配置文件中的未行模式输入 :set nu
(2)#cat –n /etc/rdnc.conf
可以看到从13行开始以下的内容都是需要加入到named.conf配置文件中去的.
这里使用tail命令
将rndc.conf的13行下的文件追加到named.conf中去.
我们可以看下现在的named.conf配置文件
[root@server bind-9.2.3]#cat /etc/named.conf
可以看到已经成功的追加了named.conf中了. 但是我们发现所添加的文件中前面都是#号被注释掉的.说明没有激活,从而不能起到作用.因此需要将以去除.这里我们使用智能表达式.
我们这里是将key 的位置到倒数第二行前面的#删除.
由于当前光标在#key “rndc-key” {位置.此时跳转到未行模式.输入:.,$-1s/^#\ //
分别表示的含义: .表示当前这一行(光标在#key “rndc-key”)
,表示从当前光标的位置到哪里
$表示最后一行,$-1表示倒数第二行的位置.
S表示替换,替换的内容是行首^的#号,\表示行首的转意.
//表示全部删掉.
输入后回键即可看到所要求范围里都删除了.
(2).启动named服务器,监视/var/log/messages
#named (启动DNS服务器)或者脚本启动/usr/local/named)
#tail /var/log/messages (查看监视日记是否启动正确)
可以看到启动是成功的(running),其中127.0.0.1#953 (953端口rndc服务).
(3).测试rndc和解析的效果
#rndc status (检查rndc启动状态是否良好)
#vi /etc/resolv.conf(修改nameserver地址为127.0.0.10
#host www.baidu.com 或host www.chinaitlab.com
在这里我们注意的是我们把原本的/etc/resolv.conf中nameserver 61.129.33.47改为nameserver127.0.0.1(DNS指向自己的的本机回环地址).
下面是操作图
可以看到rndc服务的状态良好.没有出现问题.还有一点DNS服务器的地址是指向本机的127.0.0.1回环地址.结果利用host工具能测试两大网站.并且能ping通.也就是说该台服务器已经连于互联网了..这是由于我们配置了根服务器.而且有naemd.ca根服务器文件中有世界互联网上的13个DNS服务器.所以说向请求发送了根服务器为客户查询解析互联网上所对应的域名IP地址.
配置localhost区域(根的子域)
以上我们只配置了一个根域.下面学习下配置本地区域(localhost).配置的格式与根域写法相同.
在这里我们注意这样的一个问题,host和dig 两个DNS测试工具,localhost地址是不能使用这两个测试的,它们只能使用DNS服务器,由于请求信息是发送给nameserver的.所以只能DNS服务器能识别.
可以看到是找不到该记录的.
下面开始为localhost添加区域记录信息
#vi /etc/named.conf
所标记就是我们添加的localhost区域.其中type(类型)为master(主域).也就是独立的一个服务器.所有配置文件都是自己生成.不需要其他区域所管辖的.file(文件类型)可以任意取名.
刚才我们说到,localhsot是master主服务器,因此它的配置文件也是需要要全新.再次编辑一个vi /var/named/named.conf
关于localhost区域的配置文件格式如下图参考
注释:
1、$TTL 86400 ; 这个跟清除 cache 的时间有关系!单位是秒!它定义向外查询的记录可以在 DNS 的 cache 中维持多久!这个值太大太小都不好! ttl即time to live!(生存时间),该图中没标明,一般放在首行.与后面的1D (TTL)是一样的意思.
2、@ 这个表示zone 定义出的那个部分!以这个文件内容为例,因为我们在 /etc/named.conf 当中就是定义出 localhost 为一个 zone 的,因此,在这里, 这个符号就代表 localhost,实际是个变量.会区域不同而表示的含义就不同了,反正表示当前区域名.其中IN表示互联网的类型.
3、SOA 授权机构.这个是 Start of Authority 开始设定内容的意思!也就是接在后面的设定要开始了!这个在每一个zone的文件中都存在!也就是说所设定的区域(file).刚才在/etc/named.conf添加的localhost中,named.local就是localhost区域的区文件类型.
4、在 SOA 后面会接着两个部分,第一个为主机名称( localhost. ),当前域名,请特别留意那个 localhost 后面有个小数点 (.) 这个东西很重要!他代表『一个完整的 hostname + domain name 了』!有(.)表示这段到此结束. 如果没有加上 (.) 的话,那么就表示该文字『仅为 hostname ,还需要加上 domain name 』! 这里是新手最容易出现的错误!第二个为管理员(root)的信息,它应该是信箱格式 e-mail !本是是这样的 root@localhost 来做为管理的 e-mail ,它是意思是如果服务器出现了问题,则会反馈到管理员的邮箱去. 因为不能使用 @ (已经是特殊符号了),由于当前文件中已有一个@(表示区域名), 所以这里将以转意 (.) 来取代!所以就写成了 root.localhost. ,同样的,最后面有个 (.) .在这里有个特殊的写法,(略写).root ( 就行,服务会自动加上.localhsot.的区域.这是一个特例写法.所说有多种写法
5、小刮号 ( ) 括起了五个数字,这五个数字除了minimum与 TTL 有关之外, 其它的都跟 slave 与 master 的资料同步运作有关,服务器管理信息.
Serial :这个数字仅是用来做为 master 与 slave 之间的 update 的参考数值也就是说,当 Slave 的 serial 小于 Master 时, 那么 update 才会动作!通常我们以时间来做为 Serial 的订定依据,例如 2004 年 8 月 12 日第一次设定,可以写成 『2004081201』请注意最后01,这个数字不可超过 10 个数字.如果有更新数据,它就会加1.
Refresh :slave 多久进行主动更新的时间.默认是1H小时.
Retry :重试次数.如果到了 Refresh 的时间,但是 slave 却无法连接到 master 时, 那么在多久之后,slave 会再次的主动尝试与主机联机;默认是15分钟.
Expire :过期时间.如果 slave 一直无法与 master 连接上,那么经过多久的时间之后, 则命令 slave 不要再连接 master 了!默认是一个星期的时间过期.
Minimum :这个其实就是 TTL 啦!一般定义在首行.它所表示是意思是在 DNS 的 cache 中维持多久时间.默认的时间是一天(1D).
6、@ IN NS localhost. ; NS 表示 name server 的意思,后面接的都是『hostname 或 FQDN』这个表示前面的 domain 是由后面的这个主机所管理的啦! 这一行的意思是说,@ ( zone ,亦即是 localhost 这个 domain ) 管理的 Name Server 为 localhost 这部主机,请注意,那个 localhost 后面一定要接 (.) 才行!为什么呢?因为如果没有加上 (.) 的话,那么主机名称将会变成 localhost.localhost ! Why ? 这是因为 BIND 预设情况中,没有写 (.) 的话,那么则表示该名称为 Hostname 而已,需要再加上 domain name 才行!
7、localhost. IN A 127.0.0.1
这句指定主机与ip地址的对应关系!通常以A来表示正解;由于 Name Server 为主机的名称,所以后续还要加上这个 name server 的正解的
分析下两个含义IN NS 和 IN A .由于它们的类型不一样.所以前后的localhost表示是不一样的.
Localhost. IN NS localhost 其中第一个localhost表示的是域名.第二表示是主机名.整体表示是localhost的域名服务器是(正向区域)localhost.
Localhost. IN A localhost 表示是localhost主机名对应的IP地址是127.0.0.1
由于前面我们提过@表示的是localhost区域.所以这里都可以@表示.有因为如果下面某段值与上面所对应的值是一样.则下面可以不写.也就是有继承作用.
结果写入完整文件如下
#vi /var/named/named.local
从而到这里localhost区域就加好了.
下面重新让服务加载配置(rndc reload)以及测试过程(host以及host –t A(NS) localhost 或dig –t NS(A) localhost)
结果是通的.
配置正向区域
基本过程与前相同.
还是一样在/etc/named.conf主配置文件中添加一个区域配置信息
标记为一个正向区域(chinaitlab.com).
接下来就是编译chinaitlab.com.zone文件.(/var/named./chinaitlab.com.zone).由于我们前面已经编写named.local区域配置文件.所以这里我们为了更快捷完成.直接复制前面的named.local模块.然后进行修改.
下面是一个完整正向区域文件格式
关于文件中的一些参数与前面讲的是一样的.其中
MX:Mail eXchanger (MX) 的简写,指定邮件分发服务器!指定一个代理邮件分发服务器接收从internet上来的邮件!然后再由代理邮件分发服务器将邮件分发给相应的主机,默认邮箱地址的优先级是10.
CNAME:指定主机别名.图中表示的是为www.chinaitlab.com起个别名为news.chinaitlab.com。
Ns.chinaitlab.com和mail.chinaitlab.com表示是主机名,为了寻找到它的位置.因此需要为它们建立A(主机头)记录.
最终结果的完整配置文件信息.
保存退出
服务器重新加载配置信息: rndc reload
检查日记是否正确:tail /var/log/messages
测试:
结果是没有问题的。
在这里有人会这样写区域中配置文件
结果是一样。只不过把ns这个主机头删除。从而chinaitlab.com这个域名有对应的IP地址关系。因此再次测试。。
结果仍然没有问题。。
最后学习下dns的调试工作
其中有host news.chinaitlab.com是个别名的FQDN名。
上面有相应注释(它是www.chinaitlab.com域名地址的别名FQDN ,而所对应的IP 地址为10.0.0.1).
有人可能会想,如果是企业内部,员工要访问相应的服务器(WEB)时,是否有办法能减写域名地址呢?只是主机头,而不写域名。方法如下
#echo “search chinaitlab.com” >> /etc/resolv.conf(search是表示搜索范围)。
添加完成后,再次来测试下
结果是成功,说明配置是正确的。
配置反向区域
下面学习关于DNS反向区域加入,在这里我们依然是修改/etc/named.conf文件.
语句的含义
Zone”0.0.0.127.in-addr.arpa”:表示一个反向区域,其中0.0.0.127是网段反向地址,in-addr.arpa是反向区域的后缀名.
Type master;区域类型为主服务器.
关于/var/named/127.0.0.zone的反向区域配置文件的内容介绍与前面相同.
首先编译
#vi /etc/named.conf
编译区域文件”127.0.0.zone”
#vi /etc/named/127.0.0.zone
注意.其中的@含义与前面的正向区域有点不同之处,在这里@所表示的是(等同)0.0.127.in-addr.arpa反向区域名.以及在这里不像前面的正向区域名的配置文件一样,root (
在这里不能写这样的形式.如果是这里也写成这样的话,就相当于root.0.0.127.in-addr.arpa,后果是系统并不知这个域名.而我们这里是配正向区域的反向区域.因此写完整.root.localhost. (
IN NS locahost.表示当前@(0.0.127.in-addr.arpa)的区域的反向区域是localhsot.
1 IN PTR localhost. 表示是反向区域的映射的IP地址(PTR指针表示).也可以写成这段语句1.0.0.127.in-addr.arpa IN PTR localhost
重启服务器与测试:
结果解析是成功的.在这里也可以利用dig工具来测试
#Dig –t PTR 1.0.0.127.in-addr.arpa 或 dig –x 127.0.0.1
下面为当前服务器增加一个反向区域
方法如同
编译named.conf
#vi /etc/named.conf
标记来所添加的一个反向区域文件.
编译区域文件192.168.0.zone
#vi /etc/named/192.168.0.zone
其中chinaitlab.com相当@当前区域名.每个区域后面都以(.)来结尾.
测试
结果测试成功.
第三阶段 子域授权
这个是什么意思呢.它所指的是父域为子域解析.如一个局域网中,多台DSN服务器,假如三台DNS服务器.其中一台为父域(chinaitlab.com-10.0.0.254)\一台为子域(domain.chinaitlab.com-10.0.0.1)\一台为子域的子域(ns.domain.chinaitlab.com10.0.0.2).只要我们在父域DNS服务器在自己的区域文件中添加子域的NS和A记录文件.子域也为自己的子域这样做.则所有客户端的DNS只要指向父域DNS服务器的IP地址就可以解析到所有的DNS记录.
配置如下操作.
首先在父域DSN服务器上添加子域的相关记录信息.
#vi /etc/named/chinaitlab.com.zone
其中domain IN NS ns.domain
Ns.domain IN A 10.0.0.2
是子域服务器.也就是局域网中另一台机器(10.0.0.2)
然后进入子域服务器中配置相关信息
假设子域已经配置完成.
这里利用SSH工具进入子域DNS服务器.
编译named.con文件
#vi /etc/named.conf
这是在子域服务器配置的信息.
编译区域文件domain.chinaitlab.com.zone
#vi /var/named/domain.chinaitlab.com.zone
重启服务器与测试
结果是配置成功..然后我们在回到父域DNS服务器中..
EXIT退出即可.
这里我们在父域中查看下自己的DSN所指的是谁的IP地址.仍然是自己本地地址.是的.没错.在这里特别要注意的是不能指向子域IP作为父域的DNS地址,如果这样的话,是查找不到的.
由于DNS解析过程首先是由根域对这些请求作出回应,如果没有的话就到自己下级查找(.com/.gov./.cn./.org等)域中寻找.
让我们在父域中测试下结果如何.
结果是没有问题的.说明我们的子域配置正确..
第四阶段 辅助域名服务器
它的主要作用是备份主服务器上的数据,起到冗余备份的作用,在主服务器突然出现故障或不能工作的情况下,这时辅助域服务器可以接管所有工作.保障网络不受影响.更高效的工作.所以在客户机上一般指向两个DNS服务器的地址.
还是一点就是辅助域名服务器不需要任何配置库文件,将服务器的TYPE设置为slave即可.以及辅助服务器中添加一个masters主服器对应的IP地址.
其中区域要与主服务器上相同.
Zone / file 都是与主服务上的信息一样.type 为”slave”.以及指定主服务器的IP .masters ( 主DNS的IP地址 ) 语句.
编译named.conf文件
#vi /etc/named.conf
标记是在辅助服务器上所配置的文件信息.配置之后,辅助服务器会自动生成一个chinaitlab.com.zone区域文件.(/var/named/chinaitlab.com.zone)
在重启服务器这前.要修改当前目录的权限
当前目录的权限:
可以看到当前named 用户只有读执行权限.而没有写入的权限..因此需要给予W的权限,使用chmod命令
下面重启服务器,以及检查服务器启动日记.(是否正确的启动)
关于辅助服务器如何能更新主服务器的信息呢.它是根据这几个字段来控制的.
Serial :这个数字仅是用来做为 master 与 slave 之间的 update 的参考数值也就是说,当 Slave 的 serial 小于 Master 时, 那么 update 才会动作!通常我们以时间来做为 Serial 的订定依据,例如 2004 年 8 月 12 日第一次设定,可以写成 『2004081201』请注意最后01,这个数字不可超过 10 个数字.如果有更新数据,它就会加1.
Refresh :slave 多久进行主动更新的时间.默认是1H小时.
Retry :重试次数.如果到了 Refresh 的时间,但是 slave 却无法连接到 master 时, 那么在多久之后,slave 会再次的主动尝试与主机联机;默认是15分钟.
Expire :过期时间.如果 slave 一直无法与 master 连接上,那么经过多久的时间之后, 则命令 slave 不要再连接 master 了!默认是一个星期的时间过期.
Minimum :这个其实就是 TTL 啦!一般定义在首行.它所表示是意思是在 DNS 的 cache 中维持多久时间.默认的时间是一天(1D).
下面测试结果
能解析成功.
第五阶段 常用配置选项
其中directory 为区域默认目录数据库
Forwarders 指的是转发器IP (其他DNS服务器)
Allow-transfer 指的是哪DNS服务器能复制或更新主服务器上的信息(一般指的是主服 务器与辅助服务器之间).如果有多台辅助域名服务器.可以在主服务器上指定某一台辅助域名服务器能更新主服务器的配置信息.allow-transfer可以写入在全局(options)或局部(zone).
Allow-query 指的是指定主服务器可以为哪网段地址可以得到该主服务器的请求回应.
我们可以根据实际情况配置相应的选项.
到这里关于相关DNS服务器的配置就到这里..
总结
我们来看下全局信息配置过程
对于配置文件中的后面一些语句(key “rndc-key”)需要通过rndc来控制
对于区域配置文件库
其中named.ca是通过dig –t NS .将互联网上根服务器记录导入到本地机器上的.而其他文件是自己创建的..
区域配置格式
这是正向区域与反向区域参照
其中正向区域是A来指定域名..而反向区域是通过PTR来指定.
转载于:https://blog.51cto.com/vdata/301334
