DNS從伺服器也叫輔服DNS伺服器,如果網絡上某個節點隻有一台DNS伺服器的話,首先伺服器的抗壓能力是有限的,當壓力達到一定的程度,伺服器就可能會當機罷工,
其次如果這台伺服器出現了硬體故障那麼伺服器管理的區域的域名将無法通路。為了解決這些問題,最好的辦法就是使用多個DNS伺服器同時工作,
并實作資料的同步,這樣兩台伺服器就都可以實作域名解析操作。
主DNS伺服器架設好後,輔助的DNS伺服器的架設就相對簡單多了。
很重要的一點:主從伺服器時間不同步的話,則會導緻各種意想不到的問題發生。是以,先配置NTP時間同步吧。
1.記錄下主DNS伺服器的/etc/named.rfc1912.zones中需要進行主從設定的區域資訊
2.在輔助的DNS伺服器的/etc/named.rfc1912.zones檔案,添加需要進行同步的區域記錄,這兩個記錄是主DNS伺服器配置檔案裡已經存在的記錄。
3. 主DNS伺服器設定允許輔助DNS伺服器作區域傳送。
4. 輔助DNS伺服器設定禁止從本伺服器作區域傳送。
5.使用指令檢查主配置檔案和區域資料庫
6.重新加載主配置檔案和區域資料庫檔案
7.測試
Transaction signatures(TSIG)通常是一種確定DNS消息安全,并提供安全的伺服器與伺服器之間通訊(通常用在主從伺服器之間)的機制。
TSIG可以保護以下類型的DNS伺服器:Zone區域傳送、Notify、動态更新、遞歸查詢郵件。
TSIG适用于BIND v8.2及以上版本。TSIG使用共享秘密和單向散列函數來驗證的DNS資訊。
TSIG 可确認 DNS 之資訊是由某特定 DNS Server 所提供。通常TSIG 應用于域名伺服器間的區帶傳輸,確定資料不會被篡改或産生 dns spoofing
從日志和傳送過來的區域中可以看出來
使用專用的動态更新工具來測試
在主DNS伺服器日志中可以看到
在從DNS伺服器日志中可以看到
在從DNS伺服器傳送過來的區域中可以看到序列為61的更新記錄
最後一個測試,進入從DNS的slaves目錄把所有區域删除,不用擔心,前面講過重新開機從DNS服務後,會立即同步主DNS的區域檔案。
至此,TSIG已經正常工作了
可以向DNS伺服器送出更新記錄的請求,它可以從區檔案中添加或删除資源記錄,而不需要手動進行編輯zone檔案
必須的條件:指定的zone語句塊或全局中添加:allow-update { any; }; 或 allow-update { IP範圍; };
本文轉自 ljpwinxp 51CTO部落格,原文連結:http://blog.51cto.com/191226139/2069648