前话

咳咳,此次Linux系统的DNS服务器搭建本人不得不记下来。,那错误真的太蛋疼了,小编全方位弄了两日才消除难点(抱歉笔者很蠢)。

兴许有人会和小编犯同样的谬误,给大家大饱眼福一下经验。

先是总括一下知识点:

  • DNS文件配置(named.conf)

  • 正向解析文件配置(xxx.zone)

  • 反向解析文件配置(xxx.rev)

  • 配置文件检查

  • Named服务运维

  • 必须记得关闭系统防火墙!!!笔者就死在二日了!!!

上面起首配备实例。


1. 测试环境:Centos 6.9

虚拟主机中安装
软件BIND

上篇说了主DNS正向解析

那篇说了主DNS正向解析

布署实例

为了便利下边包车型大巴接头,笔者那里列出参加测试的虚拟机

系统 角色 域名 IP
CentOS7 DNS服务器 192.168.217.130
Window Server 2003 网站服务器 pwc.cn 192.168.217.101
Window Server 2003 DNS客户机 192.168.217.131

2.DNS原理:

域名解析重要有三种形式:

1). host表用在本机上边hosts
2). NIS(互连网音讯服务)主要用在小型互连网,并且一度大多数不在使用
3).DNS域名服务 分层的分布式数据库来拍卖IP地址和域名的变换。

DNS组成:DNS域名空进+DNS服务器+解析器
分析进程:

DNS服务器搭建,反向解析。1)本地解析(使用在此之前的缓存音信,只怕当地HOSTS文件)
2)直接解析(直接持有设定的DNS服务器解析)
3)递归查询(由DNS服务器代表客户机向别的DNS 服务器查询)
4)迭代查询(DNS向客户机重临2个得以分析的其余DNS服务器)

高级中学档是有个小题指标,什么难题吗?

 

第一步,安装DNS服务

命令行输入以下命令:

yum -y install bind-chroot.x86_64

回车键后yum会自动下载安装服务以及其借助文件,等待下载完毕,安装完毕示范如下:

澳门金沙国际 1

为了便利前边测试,大家供给设置任何七个命令行工具,分别输入以下命令

yum -y install net-tools.x86_64

yum -y install bind-utils.x86_64

到那里,我们运转一下DNS服务试试,输入以下命令:

service named start

澳门金沙国际 2

起步成功,接着大家关闭DNS服务。

到此地,DNS服务安装完成

3.软件的安装

yum install -y bind
rpm -ql bind查看没有设置

澳门金沙国际 3

安装bind

请问当我们输入wwww或ww或更加多w的时候它还是能够分析出来呢?

高级中学档是有个小意思的,什么难点吗?

第二步,配置DNS文件

率先,我们找到/etc/named.conf文本并跻身其所在目录,输入指令行
vi named.conf举行查看编辑,named.conf文件内容如下 :

options { //服务器的全局配置选项及一些默认设置
        listen-on port 53 { 127.0.0.1; }; //监听IP和端口,此处监听本地IP
        listen-on-v6 port 53 { ::1; }; //对ip6支持
        directory       "/var/named";  //区域文件存储目录
        dump-file       "/var/named/data/cache_dump.db"; //dump cach的目录directory
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        forwarders     { 1.1.1.1; 2.2.2.2; }; // 如果域名服务器无法解析时,将请求交由1.1.1.1;2.2.2.2来解析
        allow-query    { localhost; };   //指定允许进行查询的主机
        allow-transfer { none; }; //指定允许接受区域传送请求的主机,说明白一点就是辅dns定义,比如辅dns的ip是3.3.3.3,那么可以这样定义{ 3.3.3.3; },要不然主辅dns不能同步
        recursion yes;
        dnssec-enable yes;
        dnssec-validation yes;

        bindkeys-file "/etc/named.iscdlv.key";
        managed-keys-directory "/var/named/dynamic";

         pid-file        "/var/run/named/named.pid"; //存着named的pid
         session-keyfile-direction "/run/named/session.key";
};

logging { //指定服务器日志记录的内容和日志信息来源
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };

zone "." IN {   //根域名区域,下面指定file文件中包含全球13个根域名服务器地址
        type hint;
        file "name.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

要抬高自个儿的解析域,只需在故事情节前边添加zone即可。
除此以外,大家要留意zone内的type,该type值有三种,如下:

  • hint,存根区域
  • master,重要区域
  • slave,协助区域

下边,大家对其进展改动,加上自个儿的域名解析,修改后内容如下(只显示需修改和丰盛的局地):

options { //服务器的全局配置选项及一些默认设置
        listen-on port 53 { any; };  //修改为any,表示监听本机所有IP
        allow-query    { any; };    //修改为any,表示接收所有DNS解析请求
};

zone "." IN {   //根域名区域,下面指定file文件中包含全球13个根域名服务器地址
        type hint;
        file "name.ca";
};

//下面我们自己添加解析域

zone "cn" IN {  //正向解析
        type master;
        file "cn.zone";
};

zone "217.168.192.in-addr.arpa" IN {  //反向解析,注意
        type master;
        file "cn.rev";
};


include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

此刻,大家命令行键入如下命令进行DNS配置文件检查:

named-checkconf /etc/named.conf

假诺回车键后不曾不当提醒,表示改配置没有错误

到那边,我们就安插好了DNS配置文件。可是还没停止,下边我们要创制新加上的七个zone区域文件,分别是cn.zone正向解析文件,和cn.rev反向解析文件

4.装置后根本文件

/etc/named #named目录
/etc/named.conf #主配置文件
/etc/rc.d/init.d/named #BIND开机自动时起步的脚本
/usr/sbin/named #named进度程序文件
/usr/sbin/rndc #长距离控制named进度的工具
/usr/sbin/rndc-confgen #发出rndc密钥的工具
/usr/share/doc/bind-9.8.2 # 支持文书档案和例子文件
/usr/share/man/man5/ #手册
/usr/share/man/man8/#手册
/var/named # Bind配置文件的私下认可存放目录
/var/run/named #named进度PID文件存放的目录

要么不输入w的时候还是可以够分析吗?

 

其三步,正向解析文件配置

首先,大家进去文件夹 /var/named,然后我们成立二个名为 cn.zone
的文件,键入如下命令:

vi cn.zone

跻身编辑方式,添加如下内容:

$TTL 3H          //M/H/D/W分别代表分/时/天/周,纯数字表示秒
@           IN  SOA luoyefengqiao.  root. (
                            2016011701;serial 
                            1D; refresh
                            1H; retry
                            1W; expire
                            3H ) ; minimum

;  ‘;’作为注释的开头

;  Zone NS records
;

@                       NS  luoyefengqiao.

;
;  Zone records
;

pwc                     A       192.168.217.101
www.pwc                 CNAME   pwc.cn.

保留推出后,大家键入如下命令对其安插进行反省:

named-checkzone cn /var/named/cn.zone

比方回去 ok 表示一向不错误。

到这里,大家的正向解析配置文件大旨到位。

5.Bind的安插文件

(bind的安顿相比较复杂)Bind的铺排文件须要遵照真实景况才能健康运维,不然无法日常运行bind。上边以2个简练实例证实具体的配置格局:
先是步是主配置文件named.conf(在/etc/上边)
第叁步帮助配置文件named.rfc一九一五.zones在/etc/上边)

澳门金沙国际 4

named.conf主配置文件

澳门金沙国际 5

named.rfc1915.zones帮助配置文件

上面的文件都在/etc/上面,在改动时候能够备份好以前的默许文件。
第三步 在/var/named/下面cp -p named.localhost named.benet.com
cp -p named.localhost named.197.168.192.zone
先复制出五个我们需求安装的正向和反向解析文件然后编辑:

先是个是正向解析的公文
其次个是反向解析的文书

澳门金沙国际 6

named.benet.com正向解析文件

澳门金沙国际 7

named.197.168.192.zone反向解析文件

配备文件都写好之后方可测试运维:
/usr/sbin/named -g &(-g的作用是体现运转的历程,可以一本万利查看是或不是有报错)
到此多个布局文件已经完毕,当自己起步和测试时候出现了下边两种错误:
1.)那几个是平素不删除主配置文件中关于IPv6的始末导致

澳门金沙国际 8

关于IPv6的报错

2.)解析不出来,解析出来的是别的地方,那个是设置的暗中同意DNS不是大家设置服务器

澳门金沙国际 9

心中无数正确解析

供给设置主机的DNS之后在测试(windows下的修改界面)

澳门金沙国际 10

windows修改暗中同意DNS

vim /etc/sysconfig/network-scripts/ifcfg-eth0(linux下修改)

澳门金沙国际 11

linux修改暗中同意的DNS

上篇没有定义是分析不了的,怎么定义呢?很不难,加入图中命令就可

请问当我们输入wwww或ww或更多w的时候它还是可以分析出来吗?

第伍步,反向解析文件配置

咱俩在相同目录创制3个名为 cn.rev 的文本,键入如下命令:

vi cn.rev

进去编辑格局,添加如下内容:

$TTL 3H
@           IN  SOA luoyefengqiao.  root. (
                            2016011701;serial 
                            1D; refresh
                            1H; retry
                            1W; expire
                            3H ) ; minimum

@                       NS  luoyefengqiao.

101                     PTR pwc.cn.

保存退出,然后大家一样键入检查命令:

named-checkzone cn /var/named/cn.rev

输出 ok 表示不曾不当

到此处,反向解析文件配置完结。

根据本身主机音讯修改上航海用教室的IP和DNS

3.)上面运营报错的原因为,文件和目录的权力导致的故障,修改配置的几个文本和上海体育场面清水蓝的局地的权能为777.故障消失

澳门金沙国际 12

权力难题导致的故障

4.)做了以上操作依旧无法解析 查看防火墙是还是不是关闭

澳门金沙国际 13

关闭防火墙

澳门金沙国际 14

 

第五步,启动DNS服务

  1. 我们须求修改 /etc/resolv.con 文件,该实例添加内容
    nameserver 192.168.217.130
    澳门金沙国际 15

  2. 咱们输入命令 service named start
    澳门金沙国际 16
    输出了以上内容,好像成功了。
    随着大家尝试 nslookup pwc.cn,不过解析不出pwc.cn的IP。

  3. 咱俩输入命令 service named status -l
    ,然后我们得以观察如下音讯:
    澳门金沙国际 17
    来看淡海蓝文字,原来是正向反向解析文件访问受限。
    于是大家输入命令 chmod -R 777 cn.* 对多个文件予以最大权力。
    跟着大家输入命令 service named restart 重启DNS服务,然后再输入
    service named status -l 检查情状。
    澳门金沙国际 18
    输出如上,表明DNS服务运转中央成功。

  4. 咱俩在DNS服务器中输入命令 nslookup pwc.cnnslookup www.pwc.cn
    ,DNS服务器本机解析基本没难题。
    澳门金沙国际 19
    只是,大家在DNS客户机dos命令窗口输入 nslookup pwc.cn 或者
    nslookup www.pwc.cn 却请求DNS解析失败
    澳门金沙国际 20

解析战败!!!为何!!!
以此标题找麻烦了笔者两日,客户机 ping
DNS服务器能够连接啊,为什么客户机对DNS服务器请求解析错误???

DNS服务器检查了从未iptables防火墙服务啊,selinux服务也关闭了呀,为何为什么为什么???

6.测试

结果如下图平常解析出来。可是反向解析出现了报错原因没有找到。日志如下:

澳门金沙国际 21

正向解析

澳门金沙国际 22

反向解析

澳门金沙国际 23

以此报错有点类似 IPv6原因未知

小技巧

可能不输入w的时候仍是能够分析吗?

最终一步,关闭firewalld防火墙

终极找了遥遥无期,终于找到真理,centos7的默许是不带iptables防火墙的,它带的是firewalld防火墙服务。所以,输入以下命令:

service firewalld stop

要永久关闭它自动谷歌(谷歌(Google))百度:)

然后客户机dos输入 nslookup www.pwc.cn 或者 nslookup pwc.cn
大概浏览器输入都得以成功解析。

澳门金沙国际 24

7.Chroot效用和rndc(控制域名服务的中距离控制工具)

Chroot能够将文件系统中的某些特定的子目录作为进度的虚拟主目录。使用此意义注意是从安全运会行,对系统入侵攻击的负面影响降到最低
安装:yum install -y bind-chroot
会产出一个新的目录/var/named/chroot并且安装之后/etc/ /dev
/var的连带安顿文件都会被复制到此目录下边。后续修改配置时供给主机目录地点。
RAV4ndc:rndc-confgen
生成密钥和对应的安插文件。然后写入配置文件rndc和named.conf文件中,可是自身在测试时候,没有转变出来。
其次天测试又打响,将前多少个放置rndc.conf中 第叁和第陆个放置named.conf
能够修改allow中的内容,让别的主机能够中远距离控制rndc。

澳门金沙国际 25

rndc-confgen生成的文件

澳门金沙国际 26

 

感想

澳门金沙国际,最终能够缓解难题感到真好。

8.BIND的详细布署

主配置语句名称:
acl:定义一个命名的造访列表(包含部分IP表示的主机)能够在说话使用,表示所定义的主机。(none、any、localhost(本地互联网接口IP)、localnets(本地子网IP))
Controls:定义有关地点域名服务操作控制通道,被rndc用来发送控制命令。(如下面图片的第⑩个革命红框的内容)
Include:把另二个文件的内容涵盖进来。
Key:定义1个密钥,用于TSIG授权和注脚(如上面图片的率先个红框的情节)
Logging:有关日志文件的配置
Option:有关全局的精选(directory钦点工作目录,pip-file设定进度PID文件的路径名,forwarders设定转载使用的IP地址,allow-query设定DNS服务器为怎么用户提供DNS查询服务)
Server:定义与长途服务器交互的条条框框(能够定义是主域名仍旧帮衬域名,以及与此外域名使用什么密钥通信,和zone中type类型有像样作用)
trusted-keys:定义DNSSEC安全根的trusted-keys(不是太精通)
View:定义视图作用,能够依据客户端的不相同有分别的回答DNS
Zone:定义DNS服务器所管理的区(type:Master/Slave/Stub/forwarder/Hint定义一套最新的根DNS服务器地址)

 

这篇从不概念是分析不了的,怎么定义呢?很不难,参加图中命令就可

9.根服务器文件named.root

一定于私下认可named.conf中的zone定义的’.’也正是区文件/var/named目录下named.ca文件
能够利用dig列出新型的根服务器
有关区域数据文件上边已经证实:named.benet.com(正向)
$TTL 设置任何DNS服务器缓存本机数据的默许时间SOA设置开首授权机关
NS
定义有些域由哪个服务器解析MX邮件财富记录钦点发往有个别域的邮件由特别邮件服务器负责A域名对应的IP地址CNAME别名允许多少个名称指向同3个服务器。
Named.197.168.192通过in-addr.arpa域和PT奥迪Q5记录完毕

下边包车型地铁话反向解析

 

10.DNS负载均衡

至于负载均衡的概念能够查阅http://www.jianshu.com/p/811e8a8e5616,
在区域文件中有二种写法:
IN MX 10 mail.example.com
IN MX 10 mail1.example.com
IN MX 10 mail2.example.com
……..
Mail IN A 192.168.0.4
Mail IN A 192.168.0.5
Mail IN A 192.168.0.6
或者
IN MX 10 mail.example.com
….
Mial IN A 192.168.0.4
IN A 192.168.0.5
IN A 192.168.0.6

反向解析正是IP →
名称

澳门金沙国际 27

11.向来域名、泛域名、子域

DNS服务器能够直接解析的域名,直接域名 benet.com. IN A 192.168.0.12
域名下具有的主机和子域名都解析到同3个IP地址*.benet.com IN A
192.168.0.12
Benet.com是一流域名 则dean.benet.com正是二个子域名(二级域名)
$O凯雷德IGIN dean.benet.com (正是三个子域)
Mail IN A 192.168.0.3

环境

起码两台主机三个DNS服务器,八个客户机,同样43.7当服务器,43.6当客户机

设置开启服务就背着了

 

12.扶助域名服务器和只缓存服务器

协理域名服务器:顾名思义用来支持主服务器,配置和主服务器大概相同然而急需修改多少个地点:

1 主配置文件 设置转载功用 forwarders,也能够安装server
2 支持配置文件named.rfc壹玖壹贰.zones 中zone中type
改为slave,扩张masters(设置主域名服务器地址)
3 主服务器中zone 增加allow-transfer表示同意向某3个传送数据文件
只缓存服务器:类似于代理服务器,本身不治本区域,将兼具查询提交给其它DNS服务器处理,并得以将结果缓存下来,当下次再有客户机使用时候能够直接采取缓存。
在主配置文件增添:forwarders(转发到其余服务器)forwarder
only(只转载)
zone之类都不在供给安装。只必要option和logging就足以了。

修改区域的布署文件

vim /etc/named.rfc1912.zones
#
#

澳门金沙国际 28

始建图上反向解析文件

vim 192.168.43.zone
#

澳门金沙国际 29

重读配置文件

rndc reload
#
#

看下文件的权限

澳门金沙国际 30

察觉权限不对

修改区域文件权限

chown  :named 192.168.43.zone
#把这个文件加入到named组

澳门金沙国际 31

重启服务

systemctl restart named
#

测试

澳门金沙国际 32

备注:照常理来说,测试的时候
应该反着写地址 7.168.192.in-…那样

dig
–x 是特地质度量试反向解析的,就可如图中写法

 

小技巧

特意表明:BIND的安顿文件十分复杂,很多时候供给依据,要求开始展览安装,而且设置配置文件一定要密切。

 

澳门金沙国际 33

 

上边包车型大巴话反向解析

 

反向解析正是IP → 名称

 

环境
最少两台主机3个DNS服务器,3个客户机,同样43.7当服务器,43.6当客户机

 

安装开启服务就隐瞒了

 

修改区域的安排文件

vim /etc/named.rfc1912.zones
#
#

 

澳门金沙国际 34

 

成立图上反向解析文件

 

vim 192.168.43.zone
#

 

澳门金沙国际 35

 

重读配置文件

 

rndc reload
#
#

 

看下文件的权柄

 

澳门金沙国际 36

 

察觉权限不对

 

修改区域文件权限

 

chown  :named 192.168.43.zone
#把那些文件参预到named组

 

澳门金沙国际 37

 

重启服务

 

systemctl restart named
#

 

测试

 

澳门金沙国际 38

 

备考:照常理来说,测试的时候 应该反着写地址 7.168.192.in-…那样

 

dig –x 是特地质衡量试反向解析的,就可如图中写法

Linux公社的RSS地址:

本文永久更新链接地址

澳门金沙国际 39

相关文章