RHEL 5.4 RHCE253 DNS學習筆記

weixin_34319999發表於2017-11-10
DNS筆記

問題: 1、輔助DNS不同步(修改主serial值)

  2、允許指定的輔助DNS複製資料allow-transfer 語句,指定哪個client可以    來複制我的zone檔案,這個引數也可以放在options欄位,放options全域性有效

   3、主伺服器重啟服務立即與輔助DNS伺服器進行資料同步(zone中新增also- notify { 輔助DNS IP地址; };或者在全域性options中宣告,可以使用notify yes;)

  4、view(智慧DNS)問題

  5、轉發伺服器的配置

    6、快取伺服器的配置

目的:搭建各種DNS伺服器,包括如下:臺主DNS伺服器、輔助DNS伺服器、DNS正 向區域的委派、反向區域的委派、智慧DNS主機、快取DNS伺服器、轉發DNS伺服器。

一、IP說明:

192.168.0.3——主機名:dns1.wqmsl.com   域:wqmsl.com     主DNS伺服器

192.168.0.2——主機名:dns2.wqmsl.com   域:wqmsl.com   輔助DNS伺服器

192.168.0.5——主機名:dns.bj.wqmsl.com  域:bj.wqmsl.com   被192.168.0.3委派DNS

二、前期準備

   更改主機名稱:1、hostname更改,2、hosts更改,3、/etc/sysconfig/network

配置如上所述的IP地址和主機DNS地址。

第一部分  主DNS搭建

所需軟體包

1、bind-9.3.3-10.el5.i386.rpm 
2、bind-libbind-devel-9.3.3-10.el5.i386.rpm 
3、bind-sdb-9.3.3-10.el5.i386.Rpm

4、caching-nameserver-9.3.3-10.el5.i386.rpm

5、bind-devel-9.3.3-10.el5.i386.rpm

6、bind-chroot-9.3.3-10.el5.i386.Rpm(注意:bind-chroot軟體包最後一個安裝,否則肯能會報錯)

開始搭建

我們可以使用yum以及rpm兩種安裝的方法安裝元件

配置好yum光碟源之後(關於yum源配置請看“yum本地光碟源及VSFTP源搭建”)

wps_clip_image-11726

注意:另外也可以使用rpm安裝方式,但是可能會出現依賴關係,一個一個安裝即可。

在rhel5.4中採用了chroot安全機制,保護DNS資料不被入侵和盜用,所以在rhel4中DNS的/var/named的工作目錄變成如下,

wps_clip_image-12358

如圖所示,rhel5.4 DNS的工作目錄是/var/named/chroot

配置檔案在/var/named/chroot/etc下,區域檔案在/var/named/chroot/var/named/下

然後做如下操作:

wps_clip_image-2373

新增 -a(-p) 的引數可以把原文件的所有屬性全部複製,連同屬組和屬主。

編輯named.conf文件

wps_clip_image-9923

修改後的文件如上,在這個文件裡我們不新增區域資訊,所有的區域資訊新增到named.rfc1912.zones,這個裡面。

下面我們新增正向和反向區域資訊,如下

wps_clip_image-14279

(zone中新增also-notify { 輔助DNS IP地址; };或者在全域性options中宣告,可以使用notify yes;這樣只要主伺服器重啟DNS服務則傳送notify值,輔助伺服器則會立即更新區域檔案資料),儲存並退出。

然後在新增區域檔案,如下

wps_clip_image-24438

在這裡一樣要加上-a或者是-p的引數,如果被複制的檔案的屬組不是named的話,DNS的服務會啟動失敗的。

wps_clip_image-21158

上面的區域檔案裡面我記錄了bj.wqmsl.com區域的委派,委派到主機名:dns.bj.wqmsl.com

的伺服器。

注意:所有FQDN名稱的後面都要加“.”。(我的圖上截圖的時候有的還沒有加上“.”)

wps_clip_image-2832

重啟DNS服務(可以使用service named reload 啟動的速度快快點)

wps_clip_image-31187

這裡我們的wqmsl.com的主域名伺服器已經配置完了

下面我們來配置輔助域名伺服器

第二部分  輔助DNS配置

和主DNS一樣,先使用yum或者rpm安裝必要的軟體包,這裡就不說了,看主DNS所安裝的包。

同樣開始配置輔助域名伺服器

複製主配置檔案,如下:

wps_clip_image-15290

主配置檔案,配置如下

wps_clip_image-2275

在"named.rfc1912.zones"新增輔助區域資訊如下

wps_clip_image-28796

每行後面一定要新增“;”,否則啟動服務失敗。

必須指定

file "slaves/區域檔名稱"的位置,這裡說的slaves的位置為 /var/named/chroot/var/named/slaves。

重啟DNS服務即可

wps_clip_image-30048

重啟之後可以看到slaves目錄下已經同步過來了區域檔案,現在去主DNS上更改區域檔案並更改Serial值,主伺服器重啟DNS服務,檢視輔助DNS的區域檔案,你會看到已經同步過來了,這就是在(zone中新增also-notify { 輔助DNS IP地址; };的好處,可以立即同步資料,你可以動態檢視日誌tail -f /var/log/messages  可以看到,當主伺服器的區域檔案被修改並重啟服務,輔助伺服器就會去同步資料。

為了資料的安全起見,我們在主DNS伺服器上指定由哪臺伺服器能夠從我這裡複製區域檔案資訊

wps_clip_image-30934

在全域性裡面新增 allow-transfer { 輔助DNS的IP地址或者是IP的範圍; },也可以新增到zone區域裡面,這樣,別的伺服器就不能複製到本伺服器的區域資訊了。

第三部分   委派伺服器的

在主域伺服器dns1.wqmsl.com上新增了委派伺服器NS的記錄之後,直接在被委派的伺服器dns.bj.wqmsl.com上搭建委派給自己的域bj.wqmsl.com ,剩下的就和主域伺服器的步驟一樣了!

第四部分  測試

主/輔助DNS伺服器的DNS指向自己,被委派的伺服器的DNS指向主域的IP

目的:主DNS上可以解析到委派DNS的所有記錄,在委派的DNS上也可以解析到主域上面的所有記錄,這樣就成功搭建完了所有的伺服器。

最後設定所有的伺服器的DNS服務開機自動啟動

[root@dns1 named]# chkconfig --level 35 named on

第五部分  常見的問題和注意事項

一、有時候肯能會遇到輔助伺服器沒有同步區域資料

1、確定你的chroot目錄named是否有寫入的許可權。

2、修改完主DNS的區域檔案之後是否也同時修改了版本號,SOA記錄的5個引數相互間是由限制的,比如refresh必須比retry 大三倍,具體比例我已經記不得了,以後遇見這個問題,可以自己去查查,serial是自定義的,一般是年月日,最後兩位是當天的版本號。    

3、是否主DNS伺服器做了限制,預設情況下所有伺服器都可以複製主伺服器的區域資訊,但是新增 allow-transfer { 輔助DNS的IP地址或者是IP的範圍; }  引數之後則只有指定的伺服器才可以複製本主DNS的區域資訊。

第六部分  配置快取域名伺服器

下面我們開始配置快取域名伺服器,快取域名伺服器配置很簡單,不需要區域檔案,配置好named.conf就可以了

一般電信的DNS都是快取域名伺服器,最要的就是下面兩項

forward  only; 指明這個伺服器是快取域名伺服器

forwarders { 轉發dns請求到那個伺服器IP;}  是轉發dns請求到那個伺服器

這樣一個簡單的快取域名伺服器就架設成功了,一般快取域名伺服器都是ISP或者大公司才會使用

第七部分  配置檔案中的各個引數的詳細解釋

named.conf主配置檔案內容引數詳解

1:選項配置如下: 
◆ listen-on port 53 { 127.0.0.1; };這個是DNS偵聽本機的埠及IP。這裡設定表示只偵聽127.0.0.1這個地址。如不定義此選項表示偵聽所有網路 
◆ directory “/var/named”指主配置檔案路徑,這個路徑也是相對路徑,它的絕對路徑/var/named/chroot/var/named 
◆ query-source port 53;客戶端在進行DNS查詢時必須使用53做為源埠 
◆ allow-query { localhost; };允許提交查詢的客戶端,如不定義此選項表示允許所有查詢 
◆ allow-recursion {192.168.0.0/24;192.168.0.1/24}:允許提交遞迴查詢的客戶端,如不定義此選項表示允許所有 
◆ allow-transfer {192.168.0.254;}:允許區域傳輸的DNS伺服器(輔助DNS),不寫表示允許所有 
◆ forwarders {192.168.0.9;}:轉發器 
◆ forward only|first:only表示如果在指定的轉發器找不到,不會去向根查詢,first表示快速轉發(預設)

2:定義主配置檔案,此部分可有多個,只要求localhost_resolver這個名字不重複 
◆ match-clients { localhost; };客戶端的源IP 
match-destinations { localhost; };解析出的目標IP 
recursion yes;如果客戶端提交的FQDN本伺服器沒有,那麼伺服器會幫助客戶端去查詢 
◆ include “/etc/named.rfc1912.zones”; 指定主配置檔案

上面引數中所有指定地址範圍(如:listen-on、match-clients等)時都可以多個寫法如下: 
◆ 單個IP:192.168.0.1; 
◆ 網段:192.168.0.0/24; 
◆ 指定多個IP:192.168.0.1;192.168.0.2; 
◆ 網段:192.168.0.; 
還可以使用!表示不包括 
◆ none:不匹配所有 
◆ any:匹配所有 
◆ localhost:DNS主機 
◆ localnet:與DNS主機同網段

          區域檔案內容詳解

$TTL:DNS快取時間,單位:秒

SOA記錄

◆ 主域名伺服器:區域的DNS伺服器的FQDN 
◆ 管理員:管理員的郵件地址中@用.代替 
◆ 序列號:區域複製依據,每次主要區域修改完資料後,要手動增加它的值 
◆ 重新整理間隔:預設以秒為單位,也可如上圖中寫明時間單位,輔助DNS伺服器請求與源伺服器同步的等待時間。當重新整理間隔到期時,輔助DNS伺服器請求源伺服器的SOA記錄副本。然後,輔助DNS伺服器將源伺服器的SOA記錄的序列號與其本地SOA記錄的序列號比較,如果不同,則輔助DNS伺服器從主要DNS伺服器請求區域傳輸。這個域的預設時間是900秒 
◆ 重試時間:預設以秒為單位,也可如上圖中寫明時間單位,輔助DNS伺服器在請求失敗後,等待多長時間重試。通常這個應該短於重新整理時間。預設為600秒 
◆ 過期時間:預設以秒為單位,也可如上圖中寫明時間單位,當這個時間到期時,如輔助DNS伺服器還無法與源伺服器進行區域傳輸,則輔助DNS伺服器會把它的本地資料當作不可靠資料。預設值是86400秒 
◆ TTL:預設以秒為單位,也可如上圖中寫明時間單位區域的預設生存時間和快取否定應答名稱查詢的最大間隔。預設值是3600秒

這種記錄的寫法

NS記錄

                區域名        IN       NS         FQDN

A資源記錄

                FQDN         IN       A          IP地址

CNAME資源記錄

                別名           IN      CNAME     主機名

MX資源記錄

                區域名          IN      MX    5     郵件伺服器的FQDN名

大多數的操作已經完成,稍後會有

   1、反向區域的委派

   2、智慧主機的搭建  





     本文轉自 wqmsl 51CTO部落格,原文連結:http://blog.51cto.com/wqmsl/323253,如需轉載請自行聯絡原作者

相關文章