项目配置与管理dns服务器

Linux网络操作系统及应用教程（项目式）项目十二配置与管理DNS服务器

项目描述：某高校组建了校园网，为了使校园网中的计算机简单快捷地访问本地网络及Internet上的资源，需要在校园网中架设DNS服务器，用来提供域名转换成IP地址的功能。在完成该项目之前，首先应当确定网络中DNS服务器的部署环境，明确DNS服务器的各种角色及其作用。

项目目标：

● 了解DNS服务器的作用及其在网络中的重要性● 理解DNS的域名空间结构● 掌握DNS查询模式● 掌握DNS域名解析过程● 掌握常规DNS服务器的安装与配置● 掌握辅助DNS服务器的配置● 掌握子域概念及区域委派配置过程● 掌握转发服务器和缓存服务器的配置● 理解并掌握DNS客户机的配置● 掌握DNS服务的测试12.1

了解DNS服务器12.3掌握BIND配置文件12.5配置DNS客户端

12.6使用nslookup测试DNS12.7

项目实录12.8

练习题&实践习题12.9

超级链接项目十二配置与管理DNS服务器

12.2安装DNS服务器12.4配置DNS服务器12.1

了解DNS服务器12.1.1域名空间

DNS是一个分布式数据库，命名系统采用层次的逻辑结构，如同一棵倒置的树，这个逻辑的树形结构称为域名空间，由于DNS划分了域名空间，所以各机构可以使用自己的域名空间创建DNS信息。如图12.1.1域名空间

1．域和域名DNS树的每个节点代表一个域，通过这些节点，对整个域名空间进行划分，成为一个层次结构。域名空间的每个域的名字通过域名进行表示。域名通常由一个完全正式域名（FQDN）标识。FQDN能准确表示出其相对于DNS域树根的位置，也就是节点到DNS树根的完整表述方式，从节点到树根采用反向书写，并将每个节点用“.”分隔，对于DNS域163来说，其完全正式域名（FQDN）。一个DNS域可以包括主机和其他域（子域），每个机构都拥有名称空间的某一部分的授权，负责该部分名称空间的管理和划分，并用它来命名DNS域和计算机。例如，163为com域的子域，其表示方法为，而www为163域中的Web主机，可以使用www.表示。通常，FQDN有严格的命名限制，长度不能超过256字节，只允许使用字符a-z，0-9，A-Z和减号（-）。点号（.）只允许在域名标志之间（例如“”）或者FQDN的结尾使用。域名不区分大小。12.1.1域名空间

2．Internet域名空间DNS根域下面是顶级域，也由Internet域名注册授权机构管理。共有3种类型的顶级域。● 组织域：采用3个字符的代号，表示DNS域中所包含的组织的主要功能或活动。比如com为商业机构组织，edu为教育机构组织，gov为政府机构组织，mil为军事机构组织，net为网络机构组织，org为非营利机构组织，int为国际机构组织。● 地址域：采用两个字符的国家或地区代号。如cn为中国，kr为韩国，us为美国。● 反向域：这是个特殊域，名字为，用于将IP地址映射到名字（反向查询）。12.1.1域名空间

3．区（Zone）区是DNS名称空间的一个连续部分，其包含了一组存储在DNS服务器上的资源记录。每个区都位于一个特殊的域节点，但区并不是域。DNS域是名称空间的一个分支，而区一般是存储在文件中的DNS名称空间的某一部分，可以包括多个域。一个域可以再分成几部分，每个部分或区可以由一台DNS服务器控制。使用区的概念，DNS服务器回答关于自己区中主机的查询，以及哪个区的授权服务器。12.1.2DNS服务器分类DNS服务器分为4类。1．主DNS服务器（Master或Primary）2．辅助DNS服务器（Slave或Secondary）3．转发DNS服务器4．唯高速缓存DNS服务器（Caching-onlyDNSserver）12.1.3DNS查询模式1．递归查询当收到DNS工作站的查询请求后，DNS服务器在自己的缓存或区域数据库中查找。如果DNS服务器本地没有存储查询的DNS信息，那么，该服务器会询问其他服务器，并将返回的查询结果提交给客户机。2．转寄查询（又称迭代查询）当收到DNS工作站的查询请求后，如果在DNS服务器中没有查到所需数据，该DNS服务器便会告诉DNS工作站另外一台DNS服务器的IP地址，然后，再由DNS工作站自行向此DNS服务器查询，依此类推直到查到所需数据为止。如果到最后一台DNS服务器都没有查到所需数据，则通知DNS工作站查询失败。“转寄”的意思就是，若在某地查不到，该地就会告诉你其他地方的地址，让你转到其他地方去查。一般在DNS服务器之间的查询请求便属于转寄查询（DNS服务器也可以充当DNS工作站的角色）。12.1.4域名解析过程1．DNS域名解析的工作原理DNS域名解析的工作过程如下。①客户机提交域名解析请求，并将该请求发送给本地的域名服务器。②当本地的域名服务器收到请求后，就先查询本地的缓存。如果有查询的DNS信息记录，则直接返回查询的结果。如果没有该记录，本地域名服务器就把请求发给根域名服务器。③根域名服务器再返回给本地域名服务器一个所查询域的顶级域名服务器的地址。④本地服务器再向返回的域名服务器发送请求。⑤接收到该查询请求的域名服务器查询其缓存和记录，如果有相关信息则返回客户机查询结果，否则通知客户机下级的域名服务器的地址。⑥本地域名服务器将查询请求发送给返回的DNS服务器。⑦域名服务器返回本地服务器查询结果（如果该域名服务器不包含查询的DNS信息，查询过程将重复⑥、⑦步骤，直到返回解析信息或解析失败的回应）。⑧本地域名服务器将返回的结果保存到缓存，并且将结果返回给客户机。12.1.4域名解析过程2．DNS域名解析实例假设客户机使用电信ADSL接入Internet，电信为其分配的DNS服务器地址为0，域名解析过程如下。①客户端向本地DNS服务器0直接查询的域名。②本地DNS无法解析此域名，它先向根域服务器发出请求，查询的DNS地址。③根域DNS管理、.net、.org等顶级域名的地址解析，它收到请求后把解析结果返回给本地的DNS。④本地DNS服务器0得到查询结果后接着向管理域的DNS服务器发出进一步的查询请求，要求得到163的DNS地址。⑤域把解析结果返回给本地DNS服务器0。⑥本地DNS服务器0得到查询结果后接着向管理163域的DNS服务器发出查询具体主机IP地址的请求（www），要求得到满足要求的主机IP地址。⑦163把解析结果返回给本地DNS服务器0。⑧本地DNS服务器得到了最终的查询结果，它把这个结果返回给客户端，从而使客户端能够和远程主机通信。12.1.4域名解析过程12.1.4域名解析过程3．正向解析与反向解析（1）正向解析。正向解析是指域名到IP地址的解析过程。（2）反向解析。反向解析是从IP地址到域名的解析过程。反向解析的作用为服务器的身份验证。12.1.5资源记录

为了将名字解析为IP地址，服务器查询它们的区（又叫DNS数据库文件或简单数据库文件）。区中包含组成相关DNS域资源信息的资源记录（RR）。例如，某些资源记录把友好名字映射成IP地址，另一些则把IP地址映射到友好名字。某些资源记录不仅包括DNS域中服务器的信息，还可以用于定义域，即指定每台服务器授权了哪些域，这些资源记录就是SOA和NS资源记录。1．SOA资源记录每个区在区的开始处都包含了一个起始授权记录（StartofAuthorityRecord），简称SOA记录。SOA定义了域的全局参数，进行整个域的管理设置。一个区域文件只允许存在唯一的SOA记录。2．NS资源记录名称服务器（NS）资源记录表示该区的授权服务器，它们表示SOA资源记录中指定的该区的主和辅助服务器，也表示了任何授权区的服务器。每个区在区根处至少包含一个NS记录。12.1.5资源记录

3．A资源记录地址（A）资源记录把FQDN映射到IP地址，因而解析器能查询FQDN对应的IP地址。

4．PTR资源记录相对于A资源记录，指针（PTR）记录把IP地址映射到FQDN。12.1.5资源记录

5．CNAME资源记录规范名字（CNAME）资源记录创建特定FQDN的别名。用户可以使用CNAME记录来隐藏用户网络的实现细节，使连接的客户机无法知道。6．MX资源记录邮件交换（MX）资源记录为DNS域名指定邮件交换服务器。邮件交换服务器是为DNS域名处理或转发邮件的主机。处理邮件指把邮件投递到目的地或转交另一不同类型的邮件传送者。转发邮件指把邮件发送到最终目的服务器，用简单邮件传输协议（SMTP）把邮件发送给离最终目的地最近的邮件交换服务器，或使邮件经过一定时间的排队。12.1.6/etc/hosts文件hosts文件是Linux系统中一个负责IP地址与域名快速解析的文件，以ASCII格式保存在/etc目录下，文件名为“hosts”。hosts文件包含了IP地址和主机名之间的映射，还包括主机名的别名。在没有域名服务器的情况下，系统上的所有网络程序都通过查询该文件来解析对应于某个主机名的IP地址，否则就需要使用DNS服务程序来解决。通常可以将常用的域名和IP地址映射加入到hosts文件中，实现快速方便的访问。hosts文件的格式如下：IP地址主机名/域名【例5-1】假设要添加域名为，IP地址为；，IP地址为。则可在hosts文件中添加如下记录。

12.2任务2安装DNS服务器

2.

安装chroot软件包

1.

安装BIND软件包

3.

DNS服务的启动与停止DNS服务对应的软件包与DNS服务相关的软件包有以下几个：bind：DNS服务器软件包。bind-utils：DNS测试工具，包括dig，host与nslookup等。bind-chroot：使BIND运行在指定的目录中的安全增强工具。caching-nameserver：高速缓存DNS服务器的基本配置文件，建议一定安装。DNS服务的安装检查DNS服务对应的软件包是否安装，如果没有安装的话，进行安装：安装chroot软件包chroot也就是ChangeRoot，用于改变程序执行时的根目录位置。早期的很多系统程序，默认所有程序执行的根目录都是“/"，这样黑客或者其他的不法分子就很容易通过/etc/passwd绝对路径来窃取系统机密。有了chroot，比如BIND的根目录就被改变到了/var/named/chroot，这样即使黑客突破了BIND账号，也只能访问/var/named/chroot，能把攻击对系统的危害降低到最小。安装chroot软件包

①当BIND包安装完后，会在/usr/sbin目录下出现bind-chroot-admin文件，这是一个与chroot有关的命令文件，利用它，可以禁用或启用chroot功能，也可以使虚拟根目录下的named配置文件与实际根目录下的named配置文件进行同步。其命令格式如下所示。#bind-chroot-admin–[e|d|s]安装chroot软件包安装chroot软件包DNS服务的启动与停止DNS服务的配置文件

在/var/named/chroot/etc目录下。可利用“cp–pnamed.caching-nameserver.confnamed.conf”将模板named.caching-nameserver.conf复制为named.conf进行配置。注意，使用P参数，保留该文件权限、所有者和时间戳，也可用a参数，递归地复制文件和目录，同时保留权限。12.3任务3掌握BIND配置文件复制全局配置文件DNS服务的配置步骤全局配置文件全局配置文件1：选项配置如下：

◆listen-onport53{;};这个是DNS侦听本机的端口及IP。这里设置表示只侦听这个地址。如不定义此选项表示侦听所有网络

◆directory“/var/named”指主配置文件路径，这个路径也是相对路径，它的绝对路径/var/named/chroot/var/named

◆query-sourceport53;客户端在进行DNS查询时必须使用53做为源端口

◆allow-query{localhost;};允许提交查询的客户端，如不定义此选项表示允许所有查询

全局配置文件1：选项配置如下：

◆allow-recursion{/24;/24}：允许提交递归查询的客户端，如不定义此选项表示允许所有

◆allow-transfer{54;}：允许区域传输的DNS服务器(辅助DNS)，不写表示允许所有

forwarders{;}：转发器

◆forwardonly|first：only表示如果在指定的转发器找不到，不会去向根查询，first表示快速转发(默认)全局配置文件2：定义主配置文件，此部分可有多个，只要求localhost_resolver这个名字不重复

◆match-clients{localhost;};客户端的源IP

match-destinations{localhost;};解析出的目标IP

recursionyes;如果客户端提交的FQDN本服务器没有，那么服务器会帮助客户端去查询

◆include“/etc/named.rfc1912.zones”;指定主配置文件全局配置文件上面参数中所有指定地址范围(如：listen-on、match-clients等)时都可以多个写法如下：

◆单个IP：;

◆网段：/24;

◆指定多个IP：;;

◆网段：192.168.0.;

还可以使用!表示不包括

◆none：不匹配所有

◆any：匹配所有

◆localhost：DNS主机

◆localnet：与DNS主机同网段全局配置文件

可以在全局配置文件的最顶部通过以下文件定义一个计算机的集合，在指定地址范围内可使用该集合名称

全局配置文件实例全局配置文件实例1：侦听本机所有IP的DNS请求，但只响应/24及/24二个网段的客户端。2：当客户的IP属于/24网段时，启用这个主配置文件;当客户的IP属于/24网段时，启用这个主配置文件。主配置文件在etc目录下有一个主配置的例子文件，将其复制一份改名为。如下图复制时一定要加-a（或-p），因为如果主配置文件的拥有组不是named时，BIND服务是无法运行的。

主配置文件的其它内容无需修改，只要将已有的正向及反向区域内容复制一份进行修改。zone：指定区域名称；type：指定类型主配置文件类型说明Master主DNS服务器：拥有区域数据文件，并对此区域提供管理数据Slave辅助区域：拥有主DNS服务器区域数据文件的副本，辅助DNS服务器从主DNS服务器同步所有区域数据Stubstub区域和slave类似，但它只复制主DNS服务器上的NS记录，而不像辅助DNS服务器会复制所有区域数据Forward一个forwardzone是每个域的配置转发的主要部分。一个zone语句中的typeforward可以包括一个forward和或forwarders子句，它会在区域名称给定的域中查询。如果没有forwarders语句或forwarders是空表，那么这个域就不会转发，消除了options语句中有关转发的配置Hint根域名服务器的初始化组指定使用的线索区域hintzone，当服务器启动时，它使用根线索来查找根域名服务器，并找到最近的根域名服务器列表。如果没有指定classIN的线索区域，服务器使用编译时默认的根服务器线索。不是IN的类别没有内置的默认线索服务器此处已指明区域的区域配置文件名为.zone，/24的反向区域配置文件名为zone.。这个二文件应该位于/var/named(在全局配置文件中定义的)目录下，这个路径也是相对路径，它的绝对路径/var/named/chroot/var/named。主配置文件file：指定区域配置文件，该文件中将定义资源记录；

allow-update：指定动态更新类型，none表示不允许动态更新。主配置文件根区域文件/var/named/chroot/var/named/named.ca区域配置文件----1．正向、反向解析区域配置模板区域配置文件2．/var/named/chroot/var/named/localhost.zone区域配置文件3．/var/named/