DNS的主從、子域授權和轉發服務器
阿新 • • 發佈:2018-02-21
還需 class bind name 多個 放置 dnssec 時間 rst
DNS的主從、子域授權和轉發服務器
主從DNS
註意: 1.全局配置options{} 裏面的內容,其中 listen-on port 53 {any or local;};或者直接註釋掉,或刪掉 allow-query {any or local;}; dnssec-enable no; dnssec-validation no; 2.防火墻和selinux關閉 3.主從同步分別采用push和pull。 push就是master主動告知,采用的是區域傳送 全量傳送:axfr,傳輸整個數據庫 增量傳送:ixfr,僅傳送變量的數據 pull就是由slave主動提取要求。 在解析庫文件中,SOA中作出限定的時長 主DNS服務器配置格式 1。在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中的新定義zone來設置允許哪些從服務器來同步信息: vim /etc/named.conf zone "adc.com" IN { type master ; 表示本機是主服務器類型 file "adc.com.zone" ; 正向解析庫文件,存放在/var/named/目錄下 allow-transfer { 192.168.110.1; ... N.N.N.N ; } ; #這裏就是定義哪些從服務器可以來進行同步,括號當中多個ip之間用分號隔開並以分號結尾。 }; 2。在正向解析庫文件當中添加從服務器的ns解析記錄 vim /var/named/adc.com $TTL 1D @ IN SOA dns1 admin.adc.com. ( 2017091901 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS dns1 dns1 A 192.168.213.130 websrv A 192.168.213.130 www CNAME websrv 從服務器配置格式 1。註意: 1 、應該為一臺獨立的名稱服務器 2 、主服務器的區域解析庫文件中必須有一條NS 記錄指向從服務器 3 、從服務器只需要定義區域,而無須提供解析庫文件;解析庫文件應該放置於/var/named/slaves/ 目錄中 4 、主服務器得允許從服務器作區域傳送 5 、主從服務器時間應該同步,可通過ntp 進行; 6 、bind 程序的版本應該保持一致;否則,應該從高,主低 定義從區域的方法: zone "ZONE_NAME" IN { type slave; masters { MASTER_IP; }; file "slaves/ZONE_NAME.zone"; }; 2。在從服務器上只用在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中新定義zone,數據解析庫文件不需要定義(這是因為庫文件是要從主服務器上同步過來) vim /etc/named.conf zone "adc.com" IN { type slave ; 表示本機是從服務器類型 file "slaves/adc.com.zone" ; 將同步後的文件放置的位置,這裏是相對路徑,實際路徑為/var/named/slaves/adc.com。 masters {192.168.N.N ;} ; 主服務器的地址 } ; zone "ip網段的反正地址.in-addr.arpa" IN { type slave ; file "slaves/ip網段.zone" ; masters {192.168.N.N ; } ; } ; 3。重啟主和從服務器上的named服務,觀察日誌文件/var/log/messages,查看從服務器上的解析庫文件是否進行了同步。
子域授權
1)在DNS查詢流程中,我們將DNS解析請求發給我們所指定的DNS服務器後,它會一級一級地去查找域名進行解析,這裏的每一級都是一個域,並且每個域都為上級域的子域。 2)子域授權就是說本級域只負責解析該域名,對於下一級域名的解析,只告訴你它所在的DNS服務器,具體的解析權交給了下級來完成。 3)授權原理就是本域名服務器上的正向解析庫文件當中定義域對應的DNS服務器的主機名和其A記錄即可。 4)另外,子域還需要定義其對應子域的解析庫文件,這樣才能對子域進行解析。 5)定義一個子區域: zone "sub.shenxm.com" IN { type master; file "sub.shenxm.com.zone"; }; 6)定義子區域資源庫: 主上 $TTL 1D @ IN SOA dns2 admin.shenxm.com. ( 6 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS dns2 NS dns2.sub dns2 A 192.168.213.129 dns2.sub A 192.168.213.128 websrv A 192.168.213.129 mail A 192.168.213.129 www CNAME websrv 子上 $TTL 1D @ IN SOA ns1 admin.sub.shenxm.com. ( 2 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum NS ns1 ns1 A 192.168.213.128 www A 192.168.213.128 6)註意:關閉dnssec 功能 dnssec-enable no; dnssec-validation no;
轉發服務器
1)註意: 被轉發的服務器需要能夠為請求者做遞歸,否則轉發請求不予進行 2)全局轉發: 對非本機所負責解析區域的請求,全轉發給指定的服務器 Options { forward first|only; forwarders { server_ip;}; }; 3)特定區域轉發: 僅轉發對特定的區域的請求,比全局轉發優先級高 zone "ZONE_NAME" IN { type forward; forward first|only; forwarders { server_ip;}; }; 4)first:首先轉發,轉發器不響應時,自行去叠代查詢。 only:只轉發。 server_ip:轉發服務器的ip地址
DNS的主從、子域授權和轉發服務器