搭建dns服务器实现域名解析随堂笔记

学神IT教育：从零基础到实战，从入门到精通 ：本系列文档为《学神IT教育》和教案，只允许VIP学个人使用，私自。否则将关闭其VIP资格，其，请：：学神IT:学神ITPHP学神ITLinuxDNS概实战：为公司内网搭建一个DNSDNS服务端 DNS客户端 DNS述DNS（NameSystem）系统，在TCP/IP网络中有非常重要的地位，能够提供与IP地DNS是一个分布式数据库，命名系统采用层次的逻辑结构，如同一棵倒置的树，这个逻辑的树形结构称为空间，由于DNS划分了空间，所以各机构可以使用自己的空间创建DNS信息。空间中，树的最大深度不得超过空间中，树的最大深度不得超过127层，树中每个节点最长可 63个字符。 注域DNS树的每个节点代表一个域，通过这些节点，对整个空间进行划分，成为一个层次结构 ：通常由一个完全合格（FQDN）标识。FQDN能准确表示出其相对于DNS域树根的位置，也域来说，其完全正式（FQDN） 注意：通常，FQDN有严格名限制，长度过256字节，只允许使用字符a-z,0-9,A- ”）或者FQDN的结尾使用 Internet空间的最顶层是根域（root），其记录着Internet的重要DNS信息，由Internet注册机构管理，该机构把空间各部分的管理责任分配给连接到Internet的各个组织。10台在另外3台分别在英国DNS根域下面是顶级域，也由Internet机构管理。共有3种类型的顶级域组织域：采用3个字符的代号，表示DNS域中所包含的组织的主要功能或活动。比如com为商业机构组织，edu为教育机构组织， 为机构组织，mil为军事机构组织，net为网络机构组织 为非营利机构组织，int为国际机构组织地址域：采用两个字符的国家或地区代号。如cn为中国，kr为韩国，us为反向域：这是个特殊字为，用于将IP地址到名字（反向查询）2、区(Zone)，资源记区是DNS名称空间的一部分，其包含了一组在DNS服务器上的资源记录使用区的概念，DNS服务器回答关于自己区中主机的查询，每个区都有自己的服务器3、主服务器与辅助服务容错能配辅服器，该主务的况，户能析区名。般区主S配置成先查询这些服务器，这样就能防止客户机通过慢速链路通信来进行DNS查询。DNS服务器运行DNS服务器程序的计算机，DNS数据库信息。DNS服务器会尝试解析客户机的查询请求DNS缓DNS服务器在解析客户机请求时，如果本地没有该DNS信息，则可以会询问其他DNS服务器，当其他服务器返回查询结果时，该DNS服务器会将结果记录在本地的缓存中，成为DNS缓存。当下一次客户机提交相同请求时，DNS服务器能够直接使用缓存中的DNS信息进行解析。DNS查询方式：递归查询和迭代查询通过个步骤的解析过程就使得客户端可以顺利这个，但实际应用中，通常这个 递归查询是一种DNS服务器的查询模式，在该模式下DNS服务器接收到客户机请求，必须使用一个准确的查询结果回复客户机。如果DNS服务器本地没有查询DNS信息，那么该服务器会询DNS送查询请求时，DNS询结果，而是告诉客户机另一台DNS向这台DNS返回PC到本地DNS属于递归查询。而DNS查7正向解正向解析是指到IP地址的解析过程反向解反向解析是从IP地址到的解析过程。反向解析的作用为服务器的验证DNSSOA资源记每个区在区的开始处都包含了一个起始记录（StartofAuthorityRecord）,简称SOA记录SOA定义了域的全局参数，进行整个域的管理设置。一个区域文件只允许存在唯一的SOA记录。NS资源记NS（NameServer）记录是服务器记录，用来指定该由哪个DNS服务器来进行解析。每个区在区根处至少包含一个NS记录。3）A资源记地址（A）资源记录把FQDN到IP地址。因为有此记录，所以DNS服务器能解析FQDN对应的IP地址。PTR资源记相对于A资源记录，指针（PTR）记录把IP地址到FQDN。用于反向查询，通过IP地址，找到CNAME资源记别名记录（CNAME）资源记录创建特定FQDN的别名。用户可以使用CNAME记录来隐藏用户网络的例：时，解析到了的别名服务器。有个 .的别MX资源记录邮件交换（MX）资源记录，为DNS指定邮件交换服务器。模式：C/S模式2、端[root@xuegod64~]#vim tcp/953udp/953 #用于DNS主从同步安装DNS：BIND简介BIND全称为BerkeleyInternetName(伯克利因特网名称域系统)。BIND主要有三个版BIND8融合了许多提高效率、稳定性和安全性的技术，而BIND9增加了一些超前的理念：IPv6支持、[root@xuegod63~]#rpm-ivh/mnt/Packages/bind-9.7.3-8.P3.el6.x86_64.rpm DNS服务的主程序包。[root@xuegod63Packages]#rpm-ivhbind-chroot-9.7.3-8.P3.el6.x86_64.rpm #提高安全#bind-chroot是bind的一个功能,使bind可以在一个chroot的模式下运行.也就是说,bind运行时的,并不是系统真正的/(根),只是系统中的一个子而已.这样做的目的是为了提高安全性.因为在chroot的模式下,bind可以的范围仅限于这个子的范围里,无法进一步提升,进入到系统的其他目[root@xuegod63Packagesrpmivhbind-utils-9.7.3-8.P3.el6.x86_64.rpm#该包为客户端[root@xuegod63Packages]#lsnamed.conf是BIND的配置文件，它包含了BIND的基本配置，但其并不包括区域数据3、启动服3、启动服//要先启动named服务，否则/var/named/chroot/ 下的文件不会被挂载上。这个和RHEL5是不[root@xuegod63Packages]#ls/var/named/chroot/[root@xuegod63Packages]#/etc/init.d/namedrestartStop [OKStarting [OK开记named调用chroot[root@xuegod63Packages]#/etc/namedon/var/named/chroot/etc/namedtypenone/var/namedon/var/named/chroot/var/namedtypenone/etc/named.confon/var/named/chroot/etc/named.conftypenone/etc/named.rfc1912.zoneson/var/named/chroot/etc/named.rfc1912.zonestypenone/usr/lib64/bindon/var/named/chroot/usr/lib64/bindtypenone/etc/named.iscdlv.keyon/var/named/chroot/etc/named.iscdlv.keytypenone/etc/named.root.keyon/var/named/chroot/etc/named.root.keytypenone在客户端配置好DNS在客户端配置好DNS[root@xuegod63~catetc/resolv.conf#GeneratedbyNetworkManagernameserver51[root@xuegod63Packages]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod63~]#vim/etc/named.conf^C[root@xuegod63~]#vim/var/named/chroot/etc/named.conf[root@xuegod63~]#vim/var/named/chroot/etc/named.conf [root@xuegod63~]#cd/var/named/chroot/[root@xuegod63chroot]#lsdevetcusroptions:对全局生效zone：针对某个区域生DNS服务器管理 [root@localhostetc]#vim[root@xuegod63~]#cat////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion dnssec-enableyes;dnssec-validationyes;dnssec-lookasideauto;/*PathtoISCDLVkeybindkeys-fileloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" "IN{typemaster;file include3、创建zone件root@localhostchroot]#cd[root@xuegod63namedcpr .zone要加-p注意权限$TTL1D认为1就是1D原来的表示当前的域 #设置SOA记录为： #在此配置文件中写时，都把根.也要写上。域管理邮 ；更新序列号，用于标示数据库的变换，可以在10在辅助DNS数据库，手动加1D；刷新时间，从服务器更新该地址数据库文件的间隔时间，默认为11H；重试延时，从服务器更新地址数据库失败以后，等待多长时间，默认为为1小1W;到期，失效时间，超过该时间仍无法3H；设置无效地址解析记录（该数据库中不存在的地址）默认缓存时间。设置无效记录，最少缓存时间为3小时.重启DNS器[root@xuegod63named]#servicenamedStopnamed:.umount:/var/named/chroot/var/named:deviceisbusy.(Insomecasesusefulinfoaboutprocessesthatusethedeviceisfoundbylsof(8)or[OKStarting [OK[root@xuegod63named]#cd[root@xuegod63~]#servicenamedrestartStopnamed: [OKStarting [OK4、修改DNS[root@localhostnamed]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod63~]#servicenetwork[[root@xuegod63~]#(3)56(84)bytesof64bytesfrom (3):icmp_seq=1ttl=64time=0.196ms64bytes (3):icmp_seq=2ttl=64time=0.160例二、使DNS1、[root@localhostetcvimoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion #dnssec-enableyes;#dnssec-validationyes;#dnssec-lookasideauto;//但是要把这三条内容注释了，其它内容不用改，这样客户端才能通过这个DNS进行递归查询。把[root@xuegod64~]#vim/etc/sysconfig/network-scripts/ifcfg-eth0[root@xuegod64[root@xuegod64~]#servicenetwork(05)56(84)bytesofdata.64bytesfrom05:icmp_seq=1ttl=55time=318ms64bytesfrom05:icmp_seq=3ttl=55time=147ms三、搭建DNS器。家用路由器：DNS：三、搭建DNS1、[root@localhostetcvim改optionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion #dnssec-enableyes;//注释这三行#dnssec-validationyes;forwardonly; //仅执行转发操作，only:仅转发;：先查找本地zone，再转发forwarders{;}; //指定转发查询请求的DNS服务器列表说明：中敲错forwardonly; //仅执行转发操作，only:仅转发;：先查找本地zone，再转发forwarders{;}; //指定转发查询请求的DNS服务器列表这两行应该写在options。笔记中写的是对的。[root@xuegod63~]#servicenamedrestartStopnamed: [OKStartingErrorinnamed/etc/named.conf:45:unknownoption/etc/named.conf:46:unknownoption四、搭建DNS1、搭建一个主DNS务器A。配置内容如下：[root@localhostetc]#vimnamed.conf#dnssec-enableyes;#dnssec-validationyes;////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursion#dnssec-enableyes;#dnssec-validationyes;/*PathtoISCDLVkeyloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" "IN{typemaster;file allow-transfer/24;};#指定允许哪个网段的从DNS务器步主服务器zone有include2、从DNS配[root@xuegod64~]#rpm-ivh/mnt/Packages/bind-9.7.3-8.P3.el6.x86_64.rpm DNS服务的主程序包。[root@xuegod64Packages]#rpm-ivhbind-chroot-9.7.3-8.P3.el6.x86_64.rpm #提高安全#bind-chroot是bind的一个功能,使bind可以在一个chroot的模式下运行.也就是说,bind运行时的 [root@xuegod64Packagesrpmivhbind-utils-9.7.3-8.P3.el6.x86_64.rpm#该包为客户端[root@xuegod64Packages]#servicenamedStop [OKStarting [OK[root@localhostetc]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};#recursionno;recursionyes;#dnssec-enableyes;#dnssec-validationyes;#dnssec-lookasideauto;#forwardonly#forwarders{48;};loggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilezone" ."IN{typeslave;file masters{3;include这样从DNS服务器就可以从主DNS服务器上获取DNS注意slave和slavesmaster单词的书写，有的加s有的不加重启从DNSvar/named/chroot/var/named/slaves文.zone.file这个文件是从DNS服务器从主DNS[root@xuegod64etc]#servicenamedStopnamed: [OKStarting [OK[root@xuegod64etc]#ls五、zone息。通过DNS编辑主DNScd/var/named/chroot/var/named[root@localhostnamed]#vim cat $TTL IN . ;serial #每修改一次，都要把此序列号加11D;refresh1H;retry1W;expire3H); #1 1 . MX 测试：当主DNS测试从DNS同[root@xuegod64etc]#servicenamedStopnamed: [OKStarting [OK[root@xuegod64etc]#ls#发现此文件内存没有变，因为从服务器需要1D才能再次更新。[root@xuegod64etc]#rm-rf/var/named/chroot/var/named [root@xuegod64etc]#servicenamedrestart[root@xuegod64etc]#cat 1[root@localhostnamedvim/etc/ntp.conf//查看ntp[root@localhostnamed]#ntpdate0.rhel.pool.ntp.#同步时2、生成密钥，进行主从认证。在主DNS[root@xuegod63chroot]#rpm-qf`whichdnssec-keygen`、dnssec-keygenahmac-md5b128nHOST名[root@xuegod63etc]#cd[root@xuegod63etc]#dnssec-keygenahmac-md5b128nHOSTabc#生成一对对称钥-ahmac-md5：采用hmac-md5法-b128：生成的密钥长度为128-n密钥类型。选择主机类型：HOST-n<nametype>:ZONE|HOST|ENTITY|USER|OTHER(DNSKEYgenerationdefaultstoZONE)abc[root@xuegod63etc]#find等待大约2对[root@xuegod63chroot]#devetc .key .privateusr[root@xuegod63chroot]#devetc .key .privateusr[root@88slaves]#catKabc.+157 Private-key-format:v1.2Algorithm:157Key:nVk1s0B6XVB4BFfkr+vdfQ== [root@88slaves]#catKabc.+157 abc.INKEY5123157、修改主DNS置、修改主DNS置[root@xuegod63chroot]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptionslisten-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_stats.txt"; {any;};recursiondnssec-enableyes;#取原来注释dnssec-validationyes;#取原来注释dnssec-lookasideauto取原来注/*PathtoISCDLVkeybindkeys-fileloggingchanneldefault_debugfile"data/named.run";severitydynamic;zone"."INtypefilekeyabckey{ algorithmhmac-md5;secretzone" ."IN{typemaster;file allow-transferkeyabckey; include、从DNS服务器：[root@xuegod64chroot]#vim////ProvidedbyRedHatbindpackagetoconfiguretheISCBINDnamed(8)//serverasacachingonlynameserver(asalocalhostDNSresolver//See/usr/share/doc/bind*/sample/forexamplenamedconfigurationoptions{listen-onport53{any;};listen-on-v6port53{any;}; statistics-file"/var/named/data/named_stats.txt";memstatistics-file"/var/named/data/named_mem_st