Linux基础与应用实践 课件 任务八 DNS服务器配置

Linux基础与项目实践任务八DNS服务器配置0203DNS服务安装与配置DNS工作原理01DNS简介04配置企业自己的DNS服务器DNS简介PART01DNS系统的组成3DNS（DomainNameSystem，域名系统）是基于客户/服务器模型设计的。从本质上看，整个域名系统是以一个大的分布式数据库的方式工作的。大多数Internet连接的组织都有一个域名服务器，每个服务器包含指向其他域名服务器的信息，结果是这些服务器形成一个大的协调工作的域名数据库。每当一个应用需要将域名解析为IP地址时，这个应用便成为域名系统的一个客户。这个客户将待解析的域免放在一个DNS请求信息中，并将这个请求发给域名服务器。服务器从请求中取出域名，将它解析为对应的IP地址，然后在一个回答信息中将结果地址返回给应用。因此，可以将DNS系统分为三个部分。1）域名2）域名服务器3）解析器DNS域名4

在域名系统中，每台计算机的域名由一系列用点分开的字母数字段组成。例如，某台计算机的FQDN（FullQualifiedDomainName）为，采用的是一种层次化结构。FQDN的格式格式通常包括4个部分，分别是主机名.企业名.机构类型.地理域。以这个域名为例，.cn表示的是地理域，即中国，.edu表示网络机构类型是教育网，tjtc是进行注册时的企业（单位）名称，要求是唯一的，以前有企业进行域名抢注，主要指的就抢注的就是这个，tjtc是天津职业大学在进行域名注册时选择的名称。www是指的这个企业（单位）中的一台主机，www即worldwideweb，通常是Web服务器所部署的主机。DNS域名5机构类型地理域域用途域用途域说明域说明com商业组织cc商业公司CN中国US美国edu教育组织biz商业CA加拿大UK英国net网络组织coop企业FA法国JP日本mil军事机构info信息服务IT意大利KR韩国gov政府机构name个人DE德国AU澳大利亚org非商业机构pro会计、律师CH瑞士RU俄罗斯int国际组织tv宽频服务SG新加坡TW台湾省museum博物馆arpaIP地址树ES西班牙QA卡塔尔常见机构类型和地理域信息DNS服务器类型6DNS服务器是一个分布式数据库系统，理论上来说，全世界所有DNS数据库应该是一致的。DNS服务器的类型主要有三种，分别是主域服务器、辅域服务器和Cachingonly域名服务器。1．主域服务器每个DNS域都一定要有一个主域服务器。主域服务器包含了本域内所有主机名与其对应的IP地址、别名等信息。2．辅域服务器为了提高查询速度以及提供信息冗余，通常会在一定的范围或机构内部署辅域服务器，辅域服务器通常不能配置域名，它的数据库信息是与主域服务器同步获取的。3．Cachingonly域名服务器Cachingonly服务器不提供任何关于区的权威信息，当用户向它发出询问时，仅仅转发给其它的域名服务器，直到得到答案，并把答案在自己的Cache中保存一段时间，如果客户发出同样的询问时，它直接用Cache中的信息来回答，无需询问转发给其它的域名服务器。Cachingonly域名服务器通常是为了减少DNS的传输量而建立。DNS工作原理PART02DNS工作机制8DNS服务的管理不是集中的，它的层次结构允许将整个管理任务分成多份，分别由每个子域自行管理，也就是说，DNS允许将子域授权给其他组织进行管理。这样，被委托的子域必有自己的域名服务器，该子域的域名服务器维护属于该子域的所有主机信息，并负责回答所有的相关查询。采用委托管理的优越性主要有以下优点。l工作负载均衡。将DNS数据库分配到各个子域的域名服务器上，大幅度降低了上级或顶级域名服务器进行名字查询的负载。l提高了域名服务器的响应速度。负载均衡使得查询的时间大幅度缩减。l提高了网络带宽的利用率。由于数据库的分散性使得服务器与本地接近，减小了带宽资源的浪费。DNS工作机制9DNS区域（Zone）

为了便于根据实际情况分散域名管理工作的负载，可将DNS域名划分为区域来进行管理。区域是DNS服务器的管辖范围，是由单个域或具有上下隶属关系的紧密相邻的多个子域组成一个管理单位。DNS服务器便是以区域为单位来管理域名的，而不是以域为单位。

一台DNS服务器可以管理一个或多个区域，而一个区域也可以有多台DNS服务器来管理。DNS允许DNS域名分成几个区域（Zone），它存储着有关一个或多个DNS域的名称信息。在DNS服务器中必须先建立区域，再在区域中建立子域，以及在区域或子域中添加主机等各种记录。DNS查询模式10DNS的查询模式主要有两种，分别是递归查询和迭代查询。1．递归查询（RecursiveQuery）DNS查询模式11递归查询流程描述如下：（1）客户端向本机配置的本地域名服务器发起DNS域名查询请求；（2）本地域名服务器收到请求后，会先查询本地缓存，如果有记录值会直接返回给客户端；如果没有记录，则本地域名服务器会向根域名服务器发起请求；（3）根域名服务器收到请求后，会根据所要查询域名中的后缀将所对应的域名服务器（如.com、.cn等）返回给本地域名服务器；（4）本地域名服务器根据返回结果向所对应的域名服务器发起查询请求；（5）对应的域名服务器在收到DNS查询请求后，也是先查询自己的缓存，如果有所请求域名的解析记录，则会直接将记录返回给本地域名服务器，然后本地域名服务器再将记录返回给客户端，完成整个DNS解析过程。（6）如果本级域名服务器没有记录值，就会下一级域名对应的服务器地址返回给本地域名服务器，本地域名服务器再次对下一级域名服务器发起请求，如此类推，直到最终对应区域的权威域名服务器返回结果给本地域名服务器。然后本地域名服务器将记录值返回给DNS客户端，同时缓存本地查询记录，以便在TTL值内用户再次查询时直接将记录返回给客户端。DNS查询模式122．迭代查询（IterativeQuery）DNS解析过程13

为了将一个域名解析成一个IP地址，客户应用程序调用一个解析器的库程序，将名字作为参数传递给它，形成DNS客户，然后DNS客户发送查询请求给本地域名服务器，服务器首先在其管辖区域内查找名字，名字找到后，把对应的IP地址返回给客户。DNS服务安装与配置PART03BIND简介15BIND的全称是BerkeleyInternetNameDomain，是美国加利福尼亚大学伯克利分校开发的一个域名服务器软件包，Linux使用这个软件来提供域名服务。BIND的服务端软件是被称作named的守护进程。BIND的主页是。BIND的组成包括：1．named守护进程BIND的服务端软件称为named守护进程，其主要功能如下：l若查询的主机名与本地区域信息中相应的资源记录匹配，则使用该信息来解析主机名并为客户机做出应答（UDP：53）。l若本地区域信息中没有要查询的主机名，默认会以递归方式查询其他DNS服务器并将其响应结果缓存于本地。l执行“区传输（zonetransfer）”，在服务器之间复制zone数据（TCP:53）。2．解析器库程序解析器库程序负责联系DNS服务器实现域名的解析。3．命令执行接口常用的DNS命令行执行接口包括nslookup、host和dig等。BIND安装16CentOS9系统默认并没有安装BIND组件，在系统安装光盘中提供了相应的RPM包，在系统光盘的Packages目录下使用ls命令查询BIND组件，显示结果如下：[root@officePackages]#lsbind*-l-r--r--r--.1rootroot5170044月292022bind-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot228454月292022bind-chroot-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot490654月292022bind-dnssec-doc-9.16.23-3.el9.noarch.rpm-r--r--r--.1rootroot1212674月292022bind-dnssec-utils-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot10982612月82021bind-dyndb-ldap-11.9-7.el9.x86_64.rpm-r--r--r--.1rootroot13009564月292022bind-libs-9.16.23-3.el9.x86_64.rpm-r--r--r--.1rootroot158214月292022bind-license-9.16.23-3.el9.noarch.rpm-r--r--r--.1rootroot2141604月292022bind-utils-9.16.23-3.el9.x86_64.rpmBIND安装17与DNS服务相关的文件分类文件说明守护进程/usr/sbin/namedDNS服务守护进程管理工具/usr/sbin/rndcBIND的控制工具/usr/sbin/named-checkconf配置文件语法检查工具/usr/sbin/named-checkzone区文件检查工具systemd的服务配置单元/usr/lib/systemd/system/named.servicenamed服务单元配置文件/usr/lib/systemd/system/named-setup-mdc.service生成rndc所需要密钥的单元配置文件配置文件/etc/named.conf主配置文件/var/named区数据库文件存储目录文档/usr/share/doc/bind/sample配置文件模板目录域名服务器配置语法18主配置文件named.conf主配置文件named.conf可以使用以下3种风格的注释。l/*C语言风格的注释*/l//C++语言风格的注释l#Shell语言风格的注释主配置文件named.conf的配置语句配置语句说明acl定义IP地址的访问控制列表controls定义RNDC命令使用的控制通道include将其他文件包含到本配置文件中key定义授权的安全密钥logging定义日志的记录规范options定义全局配置选项server定义远程服务器的特征trusted-keys为服务器定义DNSSEC加密密钥zone定义一个区声明域名服务器配置语法19主配置文件named.conf常用的全局配置子句子句说明listen-on指定服务监听的IPv4网络接口，默认监听本机所有IPv4网络接口listen-on-v6指定服务监听的IPv6网络接口，默认监听本机所有IPv6网络接口recursionyes|no是否使用递归式DNS服务器，默认为yesdnssec-enableyes|no是否返回DNSSEC相关的资源记录dnssec-validationyes|no指定确保资源记录是经过DNSSEC验证为可信的，默认为yesmax-cache-size指定服务器缓存可以使用的最大内存，默认值为32MBdirectory“path”定义服务器区配置文件的工作目录，默认为/var/namedforwarders{IPaddr}定义转发器，指定上游DNS服务器列表forwardonly|first指定如何使用转发器，first表示优先使用forwarders指定的DNS服务器做域名解析，如果查询不到再使用本地DNS服务器做域名解析；only表示只使用forwarders指定的DNS服务器做域名解析，如果查询不到则返回DNS客户端查询失败域名服务器配置语法20主配置文件named.conf常用的区声明子句子句说明typemaster|hint|slave说明一个区的类型：master说明一个区为主域名服务器hint说明一个区为启动时初始化高速缓存的域名服务器slave说明一个区为辅助域名服务器file“filename”说明一个区域的信息源数据库的文件名masters对于slave服务器，指定master服务器的地址域名服务器配置语法21访问控制列表（ACL）就是一个被命名的地址匹配列表。使用访问控制列表可以使配置简单而清晰，一次定义之后可以在多处使用，不会使配置文件因为大最的IP地址而变得混乱。要定义访问控制列表，可以傅acl语句来实现。acl语句的语法如下：aclacl_name{address-match_list;//用分号间隔的IP地址或CIDR}；acl语句在使用时要注意以下几点：lacl是named.conf中的顶级语句，不能将其嵌入其他语句。l要使用用户自定义的访问控制列表，必须在使用之前定义。因为不可以在options语句里使用访问控制列表，所以定义访问控制列表的acl语句应该位于options语句之前。l为了便于维护管理员定义的访问控制列表，可以将所有定义acl的语句存放在单独的文件/etc/named/named.acls中，然后在主配置文件/etc/named.conf的开始处添加include“/etc/named/named.acls”配置行。域名服务器配置语法22可以使用ACL的配置语句语句适用范围说明allow-queryoptions,zone指定哪些主机或网络可以查询本服务器上权威资源记录，默认允许所有主机查询allow-query-cacheoptions,zone指定哪些主机或网络可以查询本服务器上的非权威资源记录（经过递归查询获取的资源记录），默认允许localhost和localnets查询allow-transferoptions,zone指安哪些主机允许和本地服务器进行域传输，默认值是允许和所有主机进行域传输allow-updatezone指定哪些主机允许为主域名服务器提交动态DNS更新。默认为拒绝任何主机进行更新blackholeoptions指定不接收来自哪些主机的查询请求和地址解析。默认值是none域名服务器配置语法23区文件定义了一个区的域名信息，通常也称域名数据库文件。区文件保存在BIND的工作目录/var/named中。表中列出了/var/named目录布局。目录说明/var/namednamed服务的工作目录。存放本地服务器的权威区数据库文件。在named运行期间不能写此目录/var/named/slaves存放由主服务器传输而来的辅助服务器的区数据库文件。在named运行期间能写此目录/var/named/dynamic存放动态数据，如动态DNS区文件或DNSSEC密钥文件。在named运行期间能写此目录/var/named/data存放各种状态文件和调试文件。在named运行期间能写此目录/var/named/chrootBIND的chrootjail环境根目录域名服务器配置语法24标准资源记录中的字段字段说明name资源记录引用的域对象名，可以是一台单独的主机也可以是整个域取值说明.根域@默认域，可以在文件中使用￥ORIGINdomain来说明默认域标准域名全域名必须以“.”结束，或是针对默认域@的相对域名空该记录使用最后一个带有名字的域对象ttl(timetolive)生命字段。它以秒为单位定义该资源记录中的信息存放在高速缓存中的时间长度，省略此字段的话表示使用$TTL指令指定的值IN将该记录标识为一个InternetDNS资源记录type指定资源记录类型rdata指定与这个资源记录有关的数据，数据字段的内容取决于类型字段域名服务器配置语法25常见的标准资源记录类型

类型说明区记录SOA（StartofAuthority）SOA记录标示一个授权区定义的开始SOA记录后的所有信息是控制这个区的NS（NameServer）标识区的域名服务器以及授权子域基本记录A（Address）用于将主机名转换为IPv4地址AAAA（AddressIPv6）用于将主机名转换为IPv6地址PRT（PointTeR）将IP地址转换为主机名MX（MaileXchanger）邮件交换记录。控制邮件的路由安全记录KEY（PublicKey）储存一个关于DNS名称的公钥NXT（Next）与DNSSEC一起使用，用于指出一个特定名称不在域中SIG（Signatrue）指出带签名和身份认证的区信息可选记录CNAME（CanonicalNAME）给定主机的别名，主机规范名在A记录中给出SRV（Services）描述知名网络服务的信息TXT（Text）注释或非关键的信息配置企业自己的DNS服务器PART0427实验目标Ø了解DNS服务器的作用Ø了解DNS服务器的类型Ø掌握DNS服务器的安装Ø掌握DNS服务器的配置实验任务描述任务七的实验中，公司搭建了一个内部使用的Web服务器，但是只能使用IP地址进行访问，这样不方便记录，也与使用互联网的方式不一样。可以通过搭建一台自己的DNS服务器，为公司内部进行域名解析，使用域名访问公司内部的服务器。实验环境要求ØWindows桌面操作系统（建议使用Win10）ØCentOS9操作系统实验步骤28第一步：域名规划。任务七的实验中搭建的公司Web服务器的地址为00。现在需要为公司规划一个域名。因为是在公司内部使用，所以可以自己来设置域名。为了便于实验和理解，这里除了解析Web站点外，还添加了一些测试域名。域名配置如表所示。主机域名IP地址别名Web服务器00FTP服务器01

邮件服务器00

打印服务器10实验步骤29第二步：安装bind服务。前面课程里已经讲解了bind的安装，可以查看一下当前系统中是否已完成bind软件包的安装，如图所示。实验步骤30第三步：启动named服务，如图所示。实验步骤31第四步：配置named.conf文件，修改listen-on的参数为“any”，allow-query的参数为“any”，如图所示。[root@office~]#vi/etc/named.conf

实验步骤32第五步：定义解析区域。早期bind版本是直接在named.conf文件中进行区域的设置，这个版本是通过include文件加载相应区域文件，查看named.conf中的配置文件可以看到，如图所示。实验步骤33第六步：编辑named.rfc1912.zones文件，根据规划，添加和两个区域配置内容，如图所示。[root@office~]#vi/etc/named.rfc1912.zones实验步骤34第七步：在/var/named/目录下创建正向解析文件.zone和mymailnet.zone。因为当前没有这两个区的的配置文件，需要重新写。也可以使用系统中提供的模板，简化编写操作。[root@office~]#cd/var/named[root@officenamed]#lsdatadynamicnamed.canamed.emptynamed.localhostnamed.loopbackslaves[root@officenamed]#cpnamed.localhost.zone[root@officenamed]#cpnamed.localhost.zone实验步骤35第八步：修改.zone文件。[root@officenamed]#vi.zone文件内容如图所示。实验步骤36第九步：修改.zone文件。[root@officenamed]#vimymail.net