DNS的主从、子域授权和转发服务器
主从DNS
注意:
1.全局配置options{} 里面的内容,其中
listen-on port 53 {any or local;};或者直接注释掉,或删掉
allow-query {any or local;};
dnssec-enable no;
dnssec-validation no;
2.防火墙和selinux关闭
3.主从同步分别采用push和pull。
push就是master主动告知,采用的是区域传送
全量传送:axfr,传输整个数据库
增量传送:ixfr,仅传送变量的数据
pull就是由slave主动提取要求。
在解析库文件中,SOA中作出限定的时长
主DNS服务器配置格式
1。在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中的新定义zone来设置允许哪些从服务器来同步信息:
vim /etc/named.conf
zone "adc.com" IN {
type master ; 表示本机是主服务器类型
file "adc.com.zone" ; 正向解析库文件,存放在/var/named/目录下
allow-transfer {
192.168.110.1;
...
N.N.N.N ;
} ; #这里就是定义哪些从服务器可以来进行同步,括号当中多个ip之间用分号隔开并以分号结尾。
};
2。在正向解析库文件当中添加从服务器的ns解析记录
vim /var/named/adc.com
$TTL 1D
@ IN SOA dns1 admin.adc.com. (
2017091901 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
@ IN NS dns1
dns1 A 192.168.213.130
websrv A 192.168.213.130
www CNAME websrv
从服务器配置格式
1。注意:
1 、应该为一台独立的名称服务器
2 、主服务器的区域解析库文件中必须有一条NS 记录指向从服务器
3 、从服务器只需要定义区域,而无须提供解析库文件;解析库文件应该放置于/var/named/slaves/ 目录中
4 、主服务器得允许从服务器作区域传送
5 、主从服务器时间应该同步,可通过ntp 进行;
6 、bind 程序的版本应该保持一致;否则,应该从高,主低
定义从区域的方法:
zone "ZONE_NAME" IN {
type slave;
masters { MASTER_IP; };
file "slaves/ZONE_NAME.zone";
};
2。在从服务器上只用在bind的主配置文件/etc/named.conf或/etc/named.rfc1912.zones中新定义zone,数据解析库文件不需要定义(这是因为库文件是要从主服务器上同步过来)
vim /etc/named.conf
zone "adc.com" IN {
type slave ; 表示本机是从服务器类型
file "slaves/adc.com.zone" ; 将同步后的文件放置的位置,这里是相对路径,实际路径为/var/named/slaves/adc.com。
masters {192.168.N.N ;} ; 主服务器的地址
} ;
zone "ip网段的反正地址.in-addr.arpa" IN {
type slave ;
file "slaves/ip网段.zone" ;
masters {192.168.N.N ; } ;
} ;
3。重启主和从服务器上的named服务,观察日志文件/var/log/messages,查看从服务器上的解析库文件是否进行了同步。
子域授权
1)在DNS查询流程中,我们将DNS解析请求发给我们所指定的DNS服务器后,它会一级一级地去查找域名进行解析,这里的每一级都是一个域,并且每个域都为上级域的子域。
2)子域授权就是说本级域只负责解析该域名,对于下一级域名的解析,只告诉你它所在的DNS服务器,具体的解析权交给了下级来完成。
3)授权原理就是本域名服务器上的正向解析库文件当中定义域对应的DNS服务器的主机名和其A记录即可。
4)另外,子域还需要定义其对应子域的解析库文件,这样才能对子域进行解析。
5)定义一个子区域:
zone "sub.shenxm.com" IN {
type master;
file "sub.shenxm.com.zone";
};
6)定义子区域资源库:
主上
$TTL 1D
@ IN SOA dns2 admin.shenxm.com. (
6 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS dns2
NS dns2.sub
dns2 A 192.168.213.129
dns2.sub A 192.168.213.128
websrv A 192.168.213.129
mail A 192.168.213.129
www CNAME websrv
子上
$TTL 1D
@ IN SOA ns1 admin.sub.shenxm.com. (
2 ; serial
1D ; refresh
1H ; retry
1W ; expire
3H ) ; minimum
NS ns1
ns1 A 192.168.213.128
www A 192.168.213.128
6)注意:关闭dnssec 功能
dnssec-enable no;
dnssec-validation no;
转发服务器
1)注意:
被转发的服务器需要能够为请求者做递归,否则转发请求不予进行
2)全局转发:
对非本机所负责解析区域的请求,全转发给指定的服务器
Options {
forward first|only;
forwarders { server_ip;};
};
3)特定区域转发:
仅转发对特定的区域的请求,比全局转发优先级高
zone "ZONE_NAME" IN {
type forward;
forward first|only;
forwarders { server_ip;};
};
4)first:首先转发,转发器不响应时,自行去迭代查询。
only:只转发。
server_ip:转发服务器的ip地址