RHEL 5.4 RHCE253 DNS學習筆記

問題： 1、輔助DNS不同步（修改主serial值）

  2、允許指定的輔助DNS複制資料allow-transfer 語句，指定哪個client可以    來複制我的zone檔案，這個參數也可以放在options字段，放options全局有效

   3、主伺服器重新開機服務立即與輔助DNS伺服器進行資料同步（zone中添加also- notify { 輔助DNS IP位址; };或者在全局options中聲明，可以使用notify yes;）

  4、view（智能DNS）問題

  5、轉發伺服器的配置

    6、緩存伺服器的配置

目的：搭建各種DNS伺服器，包括如下：台主DNS伺服器、輔助DNS伺服器、DNS正 向區域的委派、反向區域的委派、智能DNS主機、緩存DNS伺服器、轉發DNS伺服器。

一、IP說明：

192.168.0.3——主機名：dns1.wqmsl.com   域：wqmsl.com     主DNS伺服器

192.168.0.2——主機名：dns2.wqmsl.com   域：wqmsl.com   輔助DNS伺服器

192.168.0.5——主機名：dns.bj.wqmsl.com  域：bj.wqmsl.com   被192.168.0.3委派DNS

二、前期準備

   更改主機名稱：1、hostname更改，2、hosts更改，3、/etc/sysconfig/network

配置如上所述的IP位址和主機DNS位址。

第一部分  主DNS搭建

所需軟體包

1、bind-9.3.3-10.el5.i386.rpm 

2、bind-libbind-devel-9.3.3-10.el5.i386.rpm 

3、bind-sdb-9.3.3-10.el5.i386.Rpm

4、caching-nameserver-9.3.3-10.el5.i386.rpm

5、bind-devel-9.3.3-10.el5.i386.rpm

6、bind-chroot-9.3.3-10.el5.i386.Rpm（注意：bind-chroot軟體包最後一個安裝，否則肯能會報錯）

開始搭建

我們可以使用yum以及rpm兩種安裝的方法安裝元件

配置好yumCD光牒源之後（關于yum源配置請看“yum本地CD光牒源及VSFTP源搭建”）

注意：另外也可以使用rpm安裝方式，但是可能會出現依賴關系，一個一個安裝即可。

在rhel5.4中采用了chroot安全機制，保護DNS資料不被入侵和盜用，是以在rhel4中DNS的/var/named的工作目錄變成如下，

<a href="http://wqmsl.blog.51cto.com/attachment/201005/28/847418_1275067292nuN0.png"></a>

如圖所示，rhel5.4 DNS的工作目錄是/var/named/chroot

配置檔案在/var/named/chroot/etc下，區域檔案在/var/named/chroot/var/named/下

然後做如下操作：

添加 -a(-p) 的參數可以把原文檔的所有屬性全部複制，連同屬組和屬主。

編輯named.conf文檔

修改後的文檔如上，在這個文檔裡我們不添加區域資訊，所有的區域資訊添加到named.rfc1912.zones，這個裡面。

下面我們添加正向和反向區域資訊，如下

（zone中添加also-notify { 輔助DNS IP位址; };或者在全局options中聲明，可以使用notify yes;這樣隻要主伺服器重新開機DNS服務則發送notify值，輔助伺服器則會立即更新區域檔案資料），儲存并退出。

然後在添加區域檔案，如下

在這裡一樣要加上-a或者是-p的參數，如果被複制的檔案的屬組不是named的話，DNS的服務會啟動失敗的。

上面的區域檔案裡面我記錄了bj.wqmsl.com區域的委派，委派到主機名：dns.bj.wqmsl.com

的伺服器。

注意：所有FQDN名稱的後面都要加“.”。（我的圖上截圖的時候有的還沒有加上“.”）

重新開機DNS服務（可以使用service named reload 啟動的速度快快點）

這裡我們的wqmsl.com的主域名伺服器已經配置完了

下面我們來配置輔助域名伺服器

第二部分  輔助DNS配置

和主DNS一樣，先使用yum或者rpm安裝必要的軟體包，這裡就不說了，看主DNS所安裝的包。

同樣開始配置輔助域名伺服器

複制主配置檔案，如下：

主配置檔案，配置如下

在"named.rfc1912.zones"添加輔助區域資訊如下

每行後面一定要添加“；”，否則啟動服務失敗。

必須指定

file "slaves/區域檔案名稱"的位置，這裡說的slaves的位置為 /var/named/chroot/var/named/slaves。

重新開機DNS服務即可

重新開機之後可以看到slaves目錄下已經同步過來了區域檔案，現在去主DNS上更改區域檔案并更改Serial值，主伺服器重新開機DNS服務，檢視輔助DNS的區域檔案，你會看到已經同步過來了，這就是在（zone中添加also-notify { 輔助DNS IP位址; };的好處，可以立即同步資料，你可以動态檢視日志tail -f /var/log/messages  可以看到，當主伺服器的區域檔案被修改并重新開機服務，輔助伺服器就會去同步資料。

為了資料的安全起見，我們在主DNS伺服器上指定由哪台伺服器能夠從我這裡複制區域檔案資訊

在全局裡面添加 allow-transfer { 輔助DNS的IP位址或者是IP的範圍; }，也可以添加到zone區域裡面，這樣，别的伺服器就不能複制到本伺服器的區域資訊了。

第三部分   委派伺服器的

在主域伺服器dns1.wqmsl.com上添加了委派伺服器NS的記錄之後，直接在被委派的伺服器dns.bj.wqmsl.com上搭建委派給自己的域bj.wqmsl.com ,剩下的就和主域伺服器的步驟一樣了！

第四部分  測試

主/輔助DNS伺服器的DNS指向自己，被委派的伺服器的DNS指向主域的IP

目的：主DNS上可以解析到委派DNS的所有記錄，在委派的DNS上也可以解析到主域上面的所有記錄，這樣就成功搭建完了所有的伺服器。

最後設定所有的伺服器的DNS服務開機自動啟動

[root@dns1 named]# chkconfig --level 35 named on

第五部分  常見的問題和注意事項

一、有時候肯能會遇到輔助伺服器沒有同步區域資料

1、确定你的chroot目錄named是否有寫入的權限。

2、修改完主DNS的區域檔案之後是否也同時修改了版本号，SOA記錄的5個參數互相間是由限制的，比如refresh必須比retry 大三倍，具體比例我已經記不得了，以後遇見這個問題，可以自己去查查，serial是自定義的，一般是年月日，最後兩位是當天的版本号。    

3、是否主DNS伺服器做了限制，預設情況下所有伺服器都可以複制主伺服器的區域資訊，但是添加 allow-transfer { 輔助DNS的IP位址或者是IP的範圍; }  參數之後則隻有指定的伺服器才可以複制本主DNS的區域資訊。

第六部分  配置緩存域名伺服器

下面我們開始配置緩存域名伺服器,緩存域名伺服器配置很簡單,不需要區域檔案,配置好named.conf就可以了

一般電信的DNS都是緩存域名伺服器,最要的就是下面兩項

forward  only； 指明這個伺服器是緩存域名伺服器

forwarders { 轉發dns請求到那個伺服器IP；}  是轉發dns請求到那個伺服器

這樣一個簡單的緩存域名伺服器就架設成功了,一般緩存域名伺服器都是ISP或者大公司才會使用

第七部分  配置檔案中的各個參數的詳細解釋

named.conf主配置檔案内容參數詳解

1：選項配置如下： 

◆ listen-on port 53 { 127.0.0.1; };這個是DNS偵聽本機的端口及IP。這裡設定表示隻偵聽127.0.0.1這個位址。如不定義此選項表示偵聽所有網絡 

◆ directory “/var/named”指主配置檔案路徑，這個路徑也是相對路徑，它的絕對路徑/var/named/chroot/var/named 

◆ query-source port 53;用戶端在進行DNS查詢時必須使用53做為源端口 

◆ allow-query { localhost; };允許送出查詢的用戶端，如不定義此選項表示允許所有查詢 

◆ allow-recursion {192.168.0.0/24;192.168.0.1/24}：允許送出遞歸查詢的用戶端，如不定義此選項表示允許所有 

◆ allow-transfer {192.168.0.254;}：允許區域傳輸的DNS伺服器(輔助DNS)，不寫表示允許所有 

◆ forwarders {192.168.0.9;}：轉發器 

◆ forward only|first：only表示如果在指定的轉發器找不到，不會去向根查詢，first表示快速轉發(預設)

2：定義主配置檔案，此部分可有多個，隻要求localhost_resolver這個名字不重複 

◆ match-clients { localhost; };用戶端的源IP 

match-destinations { localhost; };解析出的目标IP 

recursion yes;如果用戶端送出的FQDN本伺服器沒有，那麼伺服器會幫助用戶端去查詢 

◆ include “/etc/named.rfc1912.zones”; 指定主配置檔案

上面參數中所有指定位址範圍(如：listen-on、match-clients等)時都可以多個寫法如下： 

◆ 單個IP：192.168.0.1; 

◆ 網段：192.168.0.0/24; 

◆ 指定多個IP：192.168.0.1;192.168.0.2; 

◆ 網段：192.168.0.; 

還可以使用!表示不包括 

◆ none：不比對所有 

◆ any：比對所有 

◆ localhost：DNS主機 

◆ localnet：與DNS主機同網段

          區域檔案内容詳解

$TTL：DNS緩存時間，機關：秒

SOA記錄

◆ 主域名伺服器：區域的DNS伺服器的FQDN 

◆ 管理者：管理者的郵件位址中@用.代替 

◆ 序列号：區域複制依據，每次主要區域修改完資料後，要手動增加它的值 

◆ 重新整理間隔：預設以秒為機關，也可如上圖中寫明時間機關，輔助DNS伺服器請求與源伺服器同步的等待時間。當重新整理間隔到期時，輔助DNS伺服器請求源伺服器的SOA記錄副本。然後，輔助DNS伺服器将源伺服器的SOA記錄的序列号與其本地SOA記錄的序列号比較，如果不同，則輔助DNS伺服器從主要DNS伺服器請求區域傳輸。這個域的預設時間是900秒 

◆ 重試時間：預設以秒為機關，也可如上圖中寫明時間機關，輔助DNS伺服器在請求失敗後，等待多長時間重試。通常這個應該短于重新整理時間。預設為600秒 

◆ 過期時間：預設以秒為機關，也可如上圖中寫明時間機關，當這個時間到期時，如輔助DNS伺服器還無法與源伺服器進行區域傳輸，則輔助DNS伺服器會把它的本地資料當作不可靠資料。預設值是86400秒 

◆ TTL：預設以秒為機關，也可如上圖中寫明時間機關區域的預設生存時間和緩存否定應答名稱查詢的最大間隔。預設值是3600秒

這種記錄的寫法

NS記錄

                區域名        IN       NS         FQDN

A資源記錄

                FQDN         IN       A          IP位址

CNAME資源記錄

                别名           IN      CNAME     主機名

MX資源記錄

                區域名          IN      MX    5     郵件伺服器的FQDN名

大多數的操作已經完成，稍後會有

   1、反向區域的委派

   2、智能主機的搭建  

     本文轉自 wqmsl 51CTO部落格，原文連結：http://blog.51cto.com/wqmsl/323253，如需轉載請自行聯系原作者