ch01 DNS服務器配置與管理

第1講配置DNS服務器（RHEL4）目錄DNS簡介IP地址和主機名(域名)的轉(zhuǎn)換方法安裝和啟動BIND域名服務器的配置語法配置主（master）DNS服務器配置從（slave）DNS服務器 例子2.IP地址和主機名(域名)的轉(zhuǎn)換方法Host表（/etc/hosts文件）存放了主機名和IP地址的映射表在大型網(wǎng)絡中建立Host表幾乎不可能NIS將所有的Host數(shù)據(jù)保存在中央主機上，由中央主機將所需的數(shù)據(jù)分配給所有的服務器只適用于中小型網(wǎng)絡DNS使用分層的分布式數(shù)據(jù)庫來處理Internet上的域名和IP地址之間的映射網(wǎng)絡中沒有存放全部Internet主機信息的中心數(shù)據(jù)庫hosts文件文件/etc/hosts的格式IP地址主機名/域名例子7778注意：hosts文件中的IP地址和域名之間的映射關系，只能供本機使用，而不能被其他機器訪問Linux中的DNS服務器—BIND(1)在Linux中，DNS是由BIND（BerkeleyInternetNameDomain）軟件實現(xiàn)的BIND是一個C/S系統(tǒng)客戶端為轉(zhuǎn)換程序（resolver），負責產(chǎn)生域名信息的查詢，將這類信息發(fā)送給服務器端服務器端是一個稱為named的守護進程，負責回答轉(zhuǎn)換程序的查詢Linux中的DNS服務器—BIND(2)轉(zhuǎn)換程序控制文件文件/etc/host.conf是用來控制本地轉(zhuǎn)換程序設置的文件。它告訴轉(zhuǎn)換程序使用哪些服務以及按照什么順序進行查詢轉(zhuǎn)換程序配置文件當轉(zhuǎn)換程序使用BIND域名查詢IP地址時，必須告訴轉(zhuǎn)換程序使用哪一個服務器。用來完成這項任務的工具就是/etc/resolv.conf文件。/etc/host.conf文件的配置選項選項說明order指定按照哪種順序來嘗試不同的名字解析機制。multi以off和on為參數(shù)。與host查詢一起使用時，用來確定一臺主機是否在/etc/hosts文件中，指定了多個IP地址(該項對于DNS和NIS無效)trim以域名為參數(shù)。在查找名字前先刪除此域名，再從文件/etc/hosts查找匹配的主機名/etc/resolv.conf文件的配置選項選項說明domain定義默認的域名search指定域名搜索表(最多6個域名參數(shù))nameserver列出域名服務器的IP地址(最多可以出現(xiàn)3個nameserver指令)3.安裝和啟動BIND安裝BIND域名服務器rpm–qa|grepbind如果沒有安裝，則執(zhí)行如下步驟rpm–vihbind-*.rpmrpm–vihcaching-nameserver-*.rpmrpm–vih

redhat-config-bind-*.rpm啟動域名服務器servicenamedstartpstree|grepnamed4.域名服務器的配置語法named配置文件族主配置文件named.conf區(qū)文件4.1named配置文件族文件名說明主配置文件/etc/named.conf設置一般的named參數(shù)，指向該服務器使用的域數(shù)據(jù)庫的信息源root域名服務器指向的文件/var/named/chroot/var/named/named.ca指向rootDNS，用于caching-onlyserverLocalhost區(qū)文件(默認存在)/var/named/chroot/var/named/named.local用于將名字localhost轉(zhuǎn)換為回送IP地址()/var/named/chroot/var/named/named.local用于將回送IP地址()轉(zhuǎn)換為名字localhost4.2主配置文件named.confnamed.conf的配置語句acl：定義IP地址的訪問控制列表controls：定義rndc命令使用的控制通道include：將其他文件包含在本配置文件當中key：定義授權的安全密鑰logging：定義日志的記錄規(guī)范options：定義全局配置選項server：定義遠程服務器的特征zone：定義一個區(qū)主配置文件named.conf常用的全局配置語句(options)的子句子句說明recursionyes|no是否使用遞歸式DNS服務器，默認為yes。transfer-formatone-answer|many-answer是否允許在一條消息中放入多條應答信息，默認值為one-answerdirectory“path”定義服務器區(qū)(zone)配置文件的工作目錄forwarders{IPaddr}定義轉(zhuǎn)發(fā)器主配置文件named.conf常用的區(qū)(zone)聲明子句區(qū)聲明是配置文件中最重要的部分。Zone語句的語法格式為

Zone“zone-name”IN( type子句

file子句 其他子句

);typemaster|hint|slavemaster：說明一個區(qū)為主域名服務器hint：說明一個區(qū)為啟動時初始化高速緩存的域名服務器slave：說明一個區(qū)為輔助域名服務器file“filename”說明一個區(qū)的域信息源的數(shù)據(jù)庫信息文件名4.3區(qū)文件區(qū)文件定義了一個區(qū)的域名信息，通常也稱為域名數(shù)據(jù)庫文件。每個區(qū)文件都是由若干個資源記錄(RR)和區(qū)文件指令組成。資源記錄每個區(qū)文件都是由SOARR開始，同時包括NSRR。對于正向解析文件還包括ARR、MXRR、CNAMERR等。對于反向解析文件還包括PTRRR。標準資源記錄的的基本格式是：[name][ttl][IN]typerdata各個字段之間由空格或TAB鍵分隔。所有的全域名必須以”.”結(jié)束。標準資源記錄中的字段（1）字段說明name資源記錄引用的域?qū)ο竺梢允且慌_單獨的主機，也可以是整個域。取值說明.根域@默認域標準域名或是以”.”結(jié)束的域名，或是一個相對域名空該記錄適用于最后一個帶有名字的域?qū)ο髏tl壽命字段，以秒為單位定義該資源記錄中的信息存放在高速緩存中的時間長度。IN將該記錄模式為一個InternetDNS資源記錄標準資源記錄中的字段（2）字段說明type標識這是哪一類資源記錄類型說明A用于將主機名轉(zhuǎn)換為IP地址，任何一個主機都只能有一個IP地址CNAME給定主機的別名，主機的規(guī)范名在A記錄中給出HINFO描述主機的信息MX郵件交換記錄。告訴郵件進程把郵件發(fā)送到另一個系統(tǒng)。此系統(tǒng)知道如何將郵件傳送到它的最終目的地NS標識一個域的域名服務器PTR將地址轉(zhuǎn)換為主機名SOA表示一個授權區(qū)的開始。每個配置文件都必須包含一個SOA記錄，以標識服務器所管理的起始地方。配置文件的第一個記錄必須是SOA記錄。標準資源記錄中的字段（3）字段說明rdata指定與這個資源有關的數(shù)據(jù)類型數(shù)據(jù)AIPaddressCNAMECanonical-nameHINFOHardwareOs-typeMXPerference-valueNSMailer-exchangerPTRReal-name將地址轉(zhuǎn)換為主機名標準資源記錄中的字段（4）字段說明rdata數(shù)據(jù)說明Hostname存放本資料的主機名字Contact管理域的管理員的郵件地址。因為“@”在文件中有特殊含義，所有郵件地址abc@寫為時間數(shù)據(jù)字段Serial本區(qū)信息文件的版本號(文件修改后要將其值加1)Refresh輔助域名服務器有多長時間要更新數(shù)據(jù)庫Retry若輔助域名服務器更新數(shù)據(jù)庫失敗，多長時間再試Expire若輔助域名服務器無法從主服務器上更新數(shù)據(jù)，原有的數(shù)據(jù)何時失效Minimum若資源記錄欄未設定ttl，則以這里提供的時間為準。4.3區(qū)文件（2）區(qū)文件指令用途區(qū)文件指令說明簡化區(qū)文件結(jié)構(gòu)$INCLUDE讀取一個外部文件并包含它$GENERATE用來創(chuàng)建一組NS、CNAME或PTR類型的RR由資源記錄使用的值$ORIGIN設置管轄源$TTL為沒有定義精確的生存期的RR定義缺省的TTL值5.配置masterDNS服務器（1）在IP地址為22的機器上為域的配置DNS服務器，并設該域的DNS上級服務器為9主要步驟配置轉(zhuǎn)發(fā)選項forwarders在主配置文件/etc/named中添加區(qū)聲明正向解析區(qū)：反向解析區(qū)：100.168.192.在目錄/var/named/chroot/var/named下配置正向解析數(shù)據(jù)庫文件在目錄/var/named/chroot/var/named下配置反向解析數(shù)據(jù)庫文件測試DNS5.配置masterDNS服務器（2）實現(xiàn)負載均衡實現(xiàn)直接解析域名實現(xiàn)泛域名解析創(chuàng)建子域5.1在主配置文件/etc/named.conf中添加轉(zhuǎn)發(fā)選項options{ directory"/var/named";

forwarders{06;};//轉(zhuǎn)發(fā)選項

recursionyes; //遞歸查詢};controls{

inetallow{localhost;}keys{rndckey;};};zone"."IN{ typehint; file"named.ca";};zone"localhost"IN{ typemaster; file"localhost.zone"; allow-update{none;};};5.2在主配置文件/etc/named.conf中配置正向和反向解析區(qū)聲明zone"0.0.127."IN{ typemaster; file"named.local"; allow-update{none;};};zone“”IN{//正向解析區(qū)

typemaster; file“.zone”;//正向解析數(shù)據(jù)庫文件};zone“100.168.192.“IN{//反向解析區(qū)

typemaster; file“192.168.100.rev”;//反向解析數(shù)據(jù)庫文件};include"/etc/rndc.key";5.3配置正向解析文件--/var/named/chroot/var/named/.zone$TTL1D@INSOA.

.(2005051401;Serial3h;Refresh15M;Retry1W;Expire1D);MinimumINNS.dnsINA22wwwINA32ftpINA42/var/named/chroot/var/named/.zone5.4配置反向解析文件--/var/named/chroot/var/named/192.168.100.rev$TTL1D@INSOA..(2005051401;Serial3h;Refresh15M;Retry1W;Expire1D);MinimumINNS.222INPTR.232INPTR.242INPTR.192.168.100.rev5.5檢查配置文件和區(qū)文件的語法檢查配置文件/etc/named.conf的語法語法：named-checkconf[-tdirectory]filename例1：

named-checkconf例2：named-checkconf-t//etc/named.conf檢查區(qū)（zone）文件的語法語法：named-checkzone

zonenamefilename例1：

named-checkzone

/var/named/chroot/var/named/.zone5.6重新啟動DNS服務重新啟動DNS服務器servicenamedrestart（RedhatLinux）/etc/rc.d/init.d/namedrestart（任意的Linux系統(tǒng)）在有些系統(tǒng)上，可能要重新加載配置文件rndcreload5.7配置DNS客戶端修改客戶端配置文件/etc/resolv.conf添加如下一行

nameserver22修改searchlocaldomain為

searchlocaldomain

或者添加如下一行

domain

（定義本機的默認域名）5.8測試DNS使用host命令測試DNS使用nslookup命令測試DNS使用dig命令測試DNShostnslookupdig5.9實現(xiàn)負載均衡DNS負載均衡就是為同一個域名配置多個IP地址。在應答DNS查詢時，DNS服務器對每個查詢將以DNS文件中主機記錄的IP地址按順序返回不同的解析結(jié)果，將客戶端的訪問引導到不同的計算機上例子：實現(xiàn)3臺FTP服務器的網(wǎng)絡負載均衡功能編輯/var/named/chroot/var/named/.zone文件，加入如下3行ftp IN A 1ftp IN A 2ftp IN A 3編輯/var/named/chroot/var/named/192.168.100.rev文件，加入如下3行11 IN PTR 12 IN PTR 13 IN PTR 5.10實現(xiàn)直接解析域名許多用戶有直接使用域名訪問Web網(wǎng)站的習慣，即在瀏覽器中不輸入主機名www，而直接使用如或http://來訪問DNS服務器默認只能解析完全規(guī)范域名(FQDN)為了方便用戶訪問，可以在DNS服務器的區(qū)域文件中加入如下一條A資源記錄，實現(xiàn)直接解析域名功能（注意語句的順序）. IN A 225.11實現(xiàn)泛域名解析泛域名是指一個域名下的所有主機和子域名都被解析到同一個IP地址上可以在DNS服務器的zone文件末尾加入下面的A資源記錄，以支持實現(xiàn)泛域名解析*.. IN A 22這樣，當在mycorp前加上任意的主機名（沒有出現(xiàn)泛域名解析語句之前的資源記錄中），DNS都可以將它們解析到同一個IP地址上5.12創(chuàng)建子域有時候，需要把我們域名所屬下的域名分配給其它的DNS服務器解析，那么這部分域名成為我們的子域。假設我們管理的域名是?，F(xiàn)在要把這個域名交給其他的服務器解析。修改的正向解析文件，添加如下兩行：bj INNS.dns.bj INA4

5.12創(chuàng)建子域（2）在上按照正常的方法配置DNS服務器就可以解析了。設置的DNS服務器為的地址。以后凡是遇到的域名解析，我們的主域服務器都會轉(zhuǎn)給來解析。6.配置slaveDNS服務器輔助名稱服務器（slaveDNS）概述配置輔助名稱服務器的優(yōu)點示例的配置場景說明配置masterDNS服務器配置slaveDNS服務器6.1slaveDNS服務器概述輔助名稱服務器（slaveDNS）也可以向客戶機提供域名解析服務，但是它數(shù)據(jù)不是直接輸入的，而是從其它Master或SlaveDNS服務器中復制過來的

slaveDNS中的數(shù)據(jù)無法手工修改當啟動輔助名稱服務器時，它會和與它建立聯(lián)系的所有主要名稱服務器建立聯(lián)系，并從中復制數(shù)據(jù)在輔助名稱服務器工作時，還會定期地更改原有的數(shù)據(jù)，以盡可能地保證副本與正本的一致性6.2配置輔助名稱服務器的優(yōu)點提供容錯能力分擔masterDNS服務器的負擔加快查詢速度6.3示例的配置場景說明主要名稱服務器22輔助名稱服務器71注意：不能在同一臺機器上，同時配置master和slaveDNS服務器6.4配置master服務器（1）只有masterDNS服務器的允許當