Bind配置检查

1、bind常见问题集iju w 编辑站长网 ()编辑来源网()berkeley internert name domain (bind)是我们所熟知的域名软件，它具有广泛的使用基础internet:! 的绝大多数dns服务器都是基于这个软件的。bind目前i isc (internet software consortium)负责维护,具体的开 发由nominum(wnv. nominum. com)公司來完成。下面编译的这个常见问题集就是山该公司所发布的(同时也见于 http：/www. isc. org/bind),可以说，它具有较强的针对性和实用性。1) 哪里可以找到btnd?bind以源

2、码的格式发布。当前的版本为bind 9,不过bind & 2. 2-p5仍然是广泛发布的版本。考虑到早期 版木的安金问题，如果您还在运行比8. 2. 2-p5更早的版本，那么我们强烈推荐您升级软件。以下的url包插了源码和其他相关资源的链接，你可能会觉得很冇用处：http:/ww. isc. org/products/btnd/源码也可以使用 ftp 从 ftp:/ftp. isc. org/isc/bind/src/8. 2. 2-p5/bind-src. tar. gz 获得。镜像bind的ftp服务器列表和其它1sc维护的开发源码软件可以在ftp:/ftp. isc. org/i

3、sc/mlrrors上找 到。2) 怎样安装btnd?下载源码到一个空的h录。如果你需要的话，你也可以下载文档和捆绑的包。接下来,你需要解压(unzip)和解包(untar)发布的包。gunzip < bind-src.tar. gz | tar xf -然后，你需要编译和安装软件。常见src/lnstall以获知指令。在安装z前钻备份系统，因为安装可能会 覆盖旧的二进制代码；这是依赖于系统的。如果你是从bind 4转过來的，那么你需要将配置文件named, boot转成新的语法。这里包含了一个转换程 序。ncimed-bootco nf< /etc/namcd. boot>

4、 /etc/named, conf同时，如果你正从bind 4转换而來，那么系统启动脚木需要进行修改，以使z査找/etc/named. conf,而 不是/etc/named, boot。接着，你需要终止老的named并启动新的。kill -termndc start检查系统n志(在大多数unix系统上，错误都存放在/var/adm/messages中)，因为当前的版本比先前的 版本容错性会差一些。3) 哪里有基于nt的bind?最新的基于nt 的 btnd 可以从 ftp:/ftp. isc. org/i sc/bind/src/8. 2. 2 p5/bind src. tar. gz 上的

5、8. 2. 2p5 源码中找到。你应该能够使用winzip来解压/解包82. 2p5文件。一旦解压了源码,你会在src/port/winnt目录下 找到nt的移植程序。你需要visual c+ 6.0来编译它。4）哪里可以找到有关bind的信息？先从 http:/www. isc. org/products/bind/jf始。对于bind用户，有一个可用的邮件列表。使用http:/www isc org/services/public/lists/bind-lists html 二|的表单订阅。在你提交你的问题到邮件列表z询，请检查邮件列表的档案以查看是否你的问题已经回答过了。 可搜索的bin

6、d-users 邮件列表档案位于 http:/www. isc. org/ml-archives/bind-users/0bind-users邮件列表同时指向了中等的usenet新闻组comp, protocols, dns. bin.你可以在htap:/wvw. deja. com/_t搜索该新闻组。bind 的"圣经"是 dns tind bind, third edition,作者:paul albitz 和 cricket liu。5）为什么我应该升级bind到最新的版木？最新的bind版本解决了在以前版本屮发现的bug和/或安全漏洞。6）我现在使用的是btnd的什

7、么版本？有儿种方法可用来确定你正在使用什么版本的biud。请注懑有一些是针对于特定操作系统的，而其它一些 不能在早于4. 9. 5的bind版本上工作。我们会在下面的描述中指明这些限制。最简单的告知版本号的方法是查找named启动时写到系统日志文件屮的消息。例如：jul 14 12:54:21 ns named15677: starting, named 8. 2. 2-p5jul 14 12:54:21 hostmastcrnslnominumcom:/usr/sbin/named rained带开关会显示版木：# named -vnamed 8.2.2-p5 thu jul 20 17:1

8、9:57 pdt 2000hostmaster®nsl nominum. com:/usr/sbin/named当使川更新版本的bind时,bind的name后台守护程序的控制接口程序可以提供版本信息：ndc status源代码控制系统（scss）的气山泣"命令提供了文件的标示信息。what /named以下命令当在运行bind 4. 9. 5及以上版本的服务器上检查时会起作用。这两个程序都包拾在bind的发布 版本中。 ns lookup# ns lookupdefault server: ns. yourco.bogusaddress: 333. 333. 333. 3

9、33> set class=chaos> set type二txt> version. bindserver: ns. youtco bogusaddress: 333. 333. 333. 333version-bind text = "8.2.2-p5" digdig version, bind txt chaos server name或者dig server name txt chaos version, bind7) 我得到一个错误提示:no default ttl set using soa minimum instead.为什么会这样?怎么办

10、?从bind 8. 2开始，你需要一条$ttl指示來设置域的默认ttl。可在域的soa记录之前添加一条'$ttl xxxxxx' 指示。(xxxxxx表示计算到秒的默认ttl.)8) 主机名可使用哪些有效字符？主机名可以包括字母，数字以及连字符，但不能以连字符开头。下划线(_)在宝机名中不是有效的字符。 尽管有一些dns服务软件包可以允许f划线在主机名中出现，但人多数是不行的。使用一个带有下划线的域或者主机名会 导致大多数internet ±的名字服务器不能识别相关的主机/1p地址。9) 为什么当我在本域中的一台主机上使用nslookup时会得到non-authori

11、tative的答复？这通常发生在域(zone)文件中冇错谋出现的时候。检查系统口志文件* messages*以查证错谋。10) 我已经修改了自己的域，但是在internet ±的其它地方看不到这种改变，为什么？每当你修改了你的域文件，例如当你添加或者修改了主机记录的时候，你也必须更新域的soa记录的文件 版本，或者是"serial number",因为名字服务器从你的服务器检索信息时需要知道发生了修改。如果从上次査询z后版 本号没冇修改，就不会执行更新。举例如下：;foo. com.$ttl 14400 in soasomeplace, foo. com. adm

12、in, foo. com.(1 ; this file's version change43200 ; refresh twice a day1800 ; retry refresh every 15 minutes604800 ; expire after 1000 hours (over week)259200 ) ; minimum ttl of 3 day显而易见,带'file's version'的行是我们想要修改的。版本序号可以为任何数字；1, 2, 3, 4或者2001,2002,2003,等等。唯一的限制是版本号不能多于10位。在这个示例中，如果

13、你对域文件作了修改，你需要将版 本序号改为't o11) 为什么没有ip地址？在/etc/resolv. conf小没有名字服务器记录。12) 在我的口志文件中出现的"lame server"错误是什么？"lame server"指的是不能确信其是否具有域的授权的服务器。如果你有lame server,或者是授权给了 lame server 的域，那么"lame server"消息很有用。如果你宁愿不看到"lame server"消息，你口j以使用1 ogging语句丢 弃它们：logging catego

14、ry lame-servers null; ;；13) microsoft windows 2000 和 bind 的关系怎样?bind默认会检查所有记永以确保只在需要主机名的地方使用了主机名，这能够防止意外的-致性问题。microsoft windows 2000使用一个称为"_msdcs"来存放动态目录数据。尽管这种子域不会与合法的主机名 产生不一致，但是也使得在了域屮存放非法的主机名成为可能。这种主机名的使用默认是被bind拒绝的。动态目录希望在msdcs中有"全局目录(global catalog)z，(例如，gc. msdcs. example, com

15、),这默认是拒绝 的。为了解决此问题，我们推荐动态目录设为独立的域(例如，msdcs. example, com")并配置成不检查非法的主机名。 这应该是合理的，因为window 2000服务器创建这些数据，而且不应该会与其它希塑访问这些数据的windows 2000机器 产生不一致问题。例如，zone " msdcs. example, com，(type master;file "_msdcs. example, db"check-names ignore;allow-update localnets; ;；14) 什么是 tstg key?tsig

16、 key提供了一种鉴别和验证交换的dns数据有效性的方法，它在解析器和服务器之间或者两台服务器 之间使用一个密钥。15) 我怎样使用tstg key來动态更新我的dns?首先你需要使用以下命令生成一个tstg密钥(我们将使用tsig-key作为密钥文件名)：dnskeygen -h 128 -h -n tsig-keyo这会生成一对密钥文件：'ktsig-key.+157+00000. key',这是一个 asci i 文件,它包括以下行:tsig-key. in key 513 3 157awwl0trfpge+rrkf2+deiw=和j kvip-key. +157+00000. private* ,这包括：private-key-format: vl. 2 algori thm: 157 (hmac)key: arwl0trfpge+rrkf2+deiv=你将需要获取base64编码的密钥awl0trfpge+rrke2+deiw=并在配置你的服务器命名设置屮使用它。例 如：key tsig-key. algorithm hmac-md5: secret "“wwl0trfpge+rrkf2+de