DNS子域授权过程

1、DNS 子域授权过程DNS 子域授权过程我来说两句 (0) 收藏本文子域授权需要开启 recursion yes;子域授权就相当于是划片管理，是由上至下的授权。由根开 始.。例如： .com .net 就是由根授权名称空间，其实就是由 .决定 要划分什么的名称空间，由它委派子名称空间。DNS 中最重要的就是 NS 记录 ,其中每个 NS 里面的负责人就 是 SOA ，在父域上定义一条 NS 记录和一条 A 记录就可以完 成子域授权了.com IN NS . IN A 【这就表示在 .com 这个片里面有一台主机叫叫 wd 。以后这 个 .com 这一片就归这个 wd 这台主

2、机来管理了， 哪谁是这台 主机呢？下面的 A 记录就给予很明确的答案， 就 是管理 .com 这个片的这台主机】前提： 这个域要对 . . 这两个子域完成授权， 首先得规划好这两个 子域里面是由谁管理的。注意：子域和父域没有必要在同一个网段，只要能够通信就 可以了，这里只是以正向区域的子域授权为例子。在正向区域文件里面 .zone . IN NS .IN A . IN NS . INA 我们这里是授权到子域里面的一个主的服务器，如果，我这 里子域里面的服务器要想还有个从的服务器，那这个从的服 务器是否在互联网上能使用呢？答案是肯

3、定的不能，因为当用户在查询 . 的时候 .这里的服务器看到后，发现 这个不是归自己这里解析的，它会把这个条目提交给跟.根根发现这个是 .com 那个片的， 于是会把这个任务交给 .com ， 之后 .com 发现这个又是它下面的 .tech 域名服务器。而 .tech 这里发现具体的负责人就只有 如果我们想要使用这个子域当中的有多台从服务器，那么就 需要给每台从服务器添加 NS 记录以及对应的 A 记录。例如ns2 是从服务器. INNS .IN A . INNS .IN A .IN NS . INA 对于

4、远程的查询时没有主从之分的，主从服务器只是本地管 理区域传送的时候有意义，当用户查询的时候，服务器这里 是轮循返回信息，这种方式实现负载均衡。先到主服务的正向区域文件完成区域授权vim /var/namec/.zone. IN. INNS .NS .IN A .IN A . IN. INNS A 【注意在建立的时候这个从服务器 ns2 可不是随便写的。 如 果没有的话切忌不要写上去，因为服务器这里是轮循的，第一次查询的时候是有 dns 负责，第二次查询的时候是由 ns2 负责， 当然第三次又有 dns 复制查询， 如果没有 ns

5、2 那么用 户就不能够查询信息了】【更改过文件后一定要在序列号上面加一否则从服务器是没办法同步的哦！ ！ 】同时用 rndc reload 也是可以通知从服务器过来同步信息的。手动通知某一个区域过来同步信息rndc notify配置环境我们需要第三台主机第三台主机的 IP 是 用它来 做我们的子域服务器主机名 主服务 器的 IP ，从服务器的 IP rpm -e bind-libs bind-utils 【这里我们用的就是 bind97 做的 实验，所用卸载已经安装过的】yum -y install bind97-libs b

6、ind97-utils bind97证 yum 源能访问或者用本地 yum 源】mv /etc/named.conf /etc/named.conf.bar 配置文件更名，这里我们要自己建立这个文件】vim /etc/namec.conf 【创建过程】optionsdirectory /var/named;zone . IN type hint;这里要保将原来的主file named.ca; 【 named.ca 这个文件会自动生成】;zone localhost INtype master;file localhost.zone;zone 0.0.127. IN ty

7、pe master;file 127.0.0.zone;zone IN type master;file .zone;zone 17.16.172. IN type master;file 172.16.17.zone;cd /var/named我们是在做实验为了方便，我们把这四个文件从原来的地方 复制过来scp :/var/named/localhost.zone ./ 【从 当中把原文件直接复制到当前目录下，不需要更名】scp :/var/named/127.0.0.zone ./ 【从172.16.

8、16.3 当中把原文件直接复制到当前目录下，不需要 更名】scp:/var/named/magedu.zone ./tech.magedu.zone【从 当中把原文件直接复制到当前目录下，并 且更名为 tech.magedu.zone 】scp :/var/named/172.16.zone ./172.16.17.zone【从 当中把原文件直接复制到当前目录下，并 且更名为 tech.magedu.zone 】chmod 640 /named.conf chown :named /etc/named.

9、conf【 .zone 和 172.16.17.zone 这两个文件我 们需要修改】vim tech.magedu.zone$TTL 86400$ORIGIN . IN SOA . . (20121020012H10M11DIN NSIN NSIN NS ns2IN MX 10 mailns2 IN Awd IN Ans1 IN Amail IN Awww IN Aftp IN CNAME www1D)wdns1vim 172.16.17.zone$TTL 86400$ORIGIN 1

10、7.16.172.. IN SOA . . (20121020012H10M11D1DINNS.INNS.IN NS .1INPTR.1INPTR.3INPTR.2INPTR.5INPTR.好了我们的文件已经准备好了，现在检查下是否有语法错误named-checkconfnamed-checkzone .zonenamed-checkzone 17.16.172.in-addr-arpa172.16.17.zone启动服务service named start测试测试是否可dig -t A 以进行子域解析】测试是否可以解dig -t A 127.0.

11、0.1 析父域】 【经测试发现是无法解析父域的，因为当接到这个查询的时 候它会转发给跟 .经过根查询，但是我们并没有联网，所以 无法查询。即使我们联网了我们也是没办法查询的，因为我 们授权的子域，和 . 授权的子域是不一样的，这个在根那里 并不承认。因为不是它授权的嘛！ 】【当然了如果发现不是自己负责的域，但是我们还想查询怎 么办呢？当然就是转发给父域咯】编辑当前主机（ ）的主配置文件定义转发注意这里的 forward 是有两个参数forward fist 递归转发（转发的目标服务器如果没有响应， 则自己再到跟服务器发起迭代查询）forward only （ 仅向目标主

12、机寻求结果，如果目标主机解析 不到结果，就认为查询不到结果 ）很显然我们这里使用 only ，因为 fist 对于我们来说并没有意 义（要记得我们是自己授权的啊）vim /etc/named.confoptionsdirectory /var/named;forward only 【定义转发咯】forwards ; ; ;【只向这两台服务器转发】;zone . IN type hint;file named.ca;zonelocalhost IN;zone;type master;file localhost.zone;0.0.127.in-addr

13、.arpa IN type master;file 127.0.0.zone;zone IN type master;file .zone;zone 17.16.172. IN type master;file 172.16.17.zone;检查主配置文件是否有错误 named-checkconf重启服务 service named restart然后再次做测试，此时已经可以解析父域了dig -t A 以上我们做的是只要不是当前服务器负责的域，都会转发给 和 了，那如果这两台主机也没有联 网了呢？那不就没有

14、办法了嘛！所以啊我们也只是把属于父 域查询范围的转发给父域，改进一下以上的做法。修改主配 置文件。vim /etc/named.confoptionsdirectory /var/named;zone . IN type hint;file named.ca;zonelocalhost IN;zone;type master;file localhost.zone;0.0.127. IN type master;file 127.0.0.zone;zone IN type master;file .zone;zone 17.16.172. IN type master;file 172.16.17.zone; ;zone IN type f