18.2、dns高級應用介紹
從dns服務器是區域級別的概念。
主從同步:需要兩臺主機的時間一直,否則不能正確完成,命令ntpdate用來指定時間服務器。
2、配置一個正向區域的從DNS服務器的步驟:
①、主服務器上配置:
a、確保區域數據文件中為每個從服務器配置NS記錄;
b、並且在正向區域文件需要為每個從(輔助)DNS服務器的NS記錄的主機名配置一個A記錄,且此A後面的地址為"真正從(輔助)服務器的IP地址",否則同步過去
②、從服務器上配置:
a、定義一個區域為從區域
示例:
zone "zone_name" IN {
type slave;
file "slaves/zone_name.zone"; //區域數據文件,放在此位置,不需要自己創建,自動同步過來
masters { MASTER_IP; } //指定主DNS服務器ip地址
}
為什麽輔助區域配置文件放在/var/named/slaves目錄下呢?
[root@localhost slaves]# ps aux | grep named
named 1980 0.0 1.5 157904 16044 ? Ssl 19:08 0:00 /usr/sbin/named -u named //named進程以named身份運行
[root@localhost slaves]# ls /var/named/ -ld //named目錄的權限 不允許named組用戶對其進行寫操作,因此不能創建文件
drwxr-x---. 5 root named 4096 Feb 4 19:07 /var/named/
[root@localhost slaves]# ls /var/named/slaves/ -ld //slaves目錄允許named進程組用戶有RWX權限,避免風險
drwxrwx---. 2 named named 4096 Dec 5 2012 /var/named/slaves/
[root@localhost slaves]#
主從dns正向區域配置步驟示例:主dns:192.168.0.107;從dns:192.168.0.102
註意:主從同步要確保關閉了selinux和防火墻,除非策略通過,否則會同步不成功。
①、主服務器配置
[root@localhost /]# cat /var/named/magedu.com.zone
$TTL 1D
$ORIGIN magedu.com.
@ IN SOA @ admin.magedu.com. (
2018020401
1H
20M
1D
1W
)
@ IN NS ns1.magedu.com.
@ IN NS ns2.magedu.com.
ns2 IN A 192.168.0.102
ns1 IN A 192.168.100.100
www.magedu.com. IN A 192.168.100.105
IN A 192.168.100.106
web1.magedu.com. IN CNAME www.magedu.com.
[root@localhost /]#
[root@localhost /]# named-checkconf
[root@localhost /]# named-checkzone magedu.com /var/named/magedu.com.zone
註意:主配置文件中的“allow-query { localhost; };”註釋掉 ;每次更改區域數據配置文件都要手工改動serial(序列號)
[root@localhost /]# systemctl restart named 或:[root@localhost /]# systemctl reload named
[root@localhost /]# systemctl status named
②、從dns服務器配置:
]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type slave;
file "slaves/magedu.com.zone";
masters { 192.168.0.107; };
};
[root@localhost slaves]# named-checkconf //檢查區域配置是否有語法錯誤
[root@localhost slaves]# rndc reload //重讀配置文件
[root@localhost slaves]# ls /var/named/slaves/
magedu.com.zone //此文件會自動從主dns服務器通過不過來
③、驗證:
[root@localhost slaves]# dig -t a www.magedu.com @192.168.0.102
3、配置一個反向區域的從DNS服務器的步驟:(註意:反向區域要與正向區域的記錄對應)
①、主服務器上配置:
a、確保區域數據文件中為每個從服務器配置NS記錄;
b、並且在反向區域文件需要為每個從(輔助)DNS服務器的NS記錄的主機名配置一個PTR記錄,且此PTR的"name地址"為"真正從(輔助)服務器的IP地址",否則同步過去
②、從服務器上配置:
a、定義一個反向區域為從區域
示例:
zone "網段地址.in-addr.arpa" IN {
type slave;
file "slaves/zone_name.zone"; //區域數據文件,放在此位置,不需要自己創建,自動同步過來
masters { MASTER_IP; } //指定主DNS服務器ip地址
}
主從dns反向區域配置步驟示例:主dns:192.168.0.107;從dns:192.168.0.102
①主dns服務器上配置:
root@localhost /]# cat /etc/named.rfc1912.zones
zone "0.168.192.in-addr.arpa" IN {
type master;
file "192.168.0.zone";
};
主dns反向區域數據文件配置:
[root@localhost /]# cat /var/named/192.168.0.zone
$TTL 3600
$ORIGIN 0.168.192.in-addr.arpa.
@ IN SOA ns1.magedu.com. admins.magedu.com. (
2018020226
1D
2H
30M
1W
)
IN NS ns1.magedu.com.
IN NS ns2.magedu.com.
102 IN PTR ns2.magedu.com.
107 IN PTR ns1.magedu.com.
205 IN PTR www.magedu.com.
206 IN PTR www.magedu.com.
207 IN PTR www.magedu.com.
[root@localhost /]#
②、從服務器反向區域配置:
[root@localhost slaves]# cat /etc/named.rfc1912.zones
zone "0.168.192.in-addr.arpa" IN {
type slave;
file "slaves/192.168.0.zone";
masters { 192.168.0.107; };
};
③、驗證:
[root@localhost slaves]# ls /var/named/slaves/
192.168.0.zone magedu.com.zone
[root@localhost slaves]#
[root@localhost slaves]# dig -x 192.168.0.207 @192.168.0.102 //查看102是否可以解析此地址
[root@localhost slaves]# dig -t axfr 0.168.192.in-addr.arpa @192.168.0.102 //手動同步區域文件
註意:手動傳送存在風險,因為任何人都可以傳送,需要訪問控制來限制主從間的傳送。
4、子域授權配置:
如:父域:magedu.cn
子域:ops.magedu.cn
正向解析區域授權子域的方法:
配置文件中添加:
ops.magedu.com. IN NS ns1.ops.magedu.com.
ns1.ops.magedu.com. IN A IP_ADDR
註意:如果有多個子域都要在此處添加相應記錄。
子域授權配置示例:
18.2、dns高級應用介紹