|
|
1 系统环境
OS:Red Hat Enterprise Linux Server> DNS 服务器:172.21.20.1/255.255.0.0
2 安装DNS
# yum -y install bind 3 配置DNS
3.1 开始配置DNS主配置文件 named.conf
编辑 /etc/named.conf 配置文件,添加一个域
options { listen-on port 53 { 172.21.20.1; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; }; recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/named.run"; severity dynamic; }; }; zone "." IN { type hint; file "named.ca"; }; zone "aaa.com" IN { type master; #master表示主域名服务器 file "aaa.com.zone"; #解析aaa.com域记录的文件名 allow-update { none; }; }; zone "20.21.172.in-addr.arpa" { type master; file "20.21.172.ptr"; allow-update { none; }; }; include "/etc/named.rfc1912.zones"; include "/etc/named.root.key"; 3.2 配置域的正向解析文件
根据上面DNS主配置文件的配置,正向解析文件位置在 /var/named目录下
利用bind提供的模版文件我们创建aaa.com.zone,提供了两个模版文件
- 正向解析模版named.localhost;
- 反向解析模版named.loopback;
# cp named.localhost aaa.com.zone 编辑/var/named/aaa.com.zone文件
$TTL 1D @ IN SOA dns.aaa.com. root.aaa.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS dns.aaa.com. dns IN A 172.21.20.1 www IN A 172.21.20.1 test IN A 172.21.20.1 注意:这里用的都是全域名,后面都有一个 . 符号。
3.3 配置域的反向解析文件
# cp named.loopback 20.21.172.ptr 编辑 /var/named/20.21.172.ptr文件
$TTL 1D @ IN SOA dns.aaa.com. root.aaa.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS dns.aaa.com. 1 IN PTR dns.aaa.com. 1 IN PTR www.aaa.com. 3.4 确保/var/named目录下所有dns记录文件属组为named
# ll total 36 -rw-r----- 1 root named 176 Aug 14 12:01 20.21.172.ptr -rw-r----- 1 root named 218 Aug 14 10:57 aaa.com.zone 说明:只要保证属组是named就可以了,属主是root或named不影响。
重启DNS服务
# /etc/init.d/named restart Stopping named: .[ OK ] Starting named: [ OK ] 设置开机自动启动
# chkconfig named on 4 测试
# vi /etc/resolv.conf nameserver 172.21.20.1 # ping www.aaa.com PING www.aaa.com (172.21.20.1) 56(84) bytes of data. 64 bytes from localhost (172.21.20.1): icmp_seq=1 ttl=64 time=0.016 ms 64 bytes from localhost (172.21.20.1): icmp_seq=2 ttl=64 time=0.021 ms 结果返回172.21.20.1地址说明我们本地的DNS服务可以正常解析了。
# ping www.baidu.com PING www.a.shifen.com (119.75.217.56) 56(84) bytes of data. 64 bytes from 119.75.217.56: icmp_seq=1 ttl=51 time=4.61 ms 64 bytes from 119.75.217.56: icmp_seq=2 ttl=51 time=4.04 ms 也可以代解析互联网其他服务器
4.1 测试正向解析
# nslookup > www.aaa.com Server: 172.21.20.1 Address: 172.21.20.1#53 Name: www.aaa.com Address: 172.21.20.1 4.2 测试反向解析
# nslookup > 172.21.20.1 Server: 172.21.20.1 Address: 172.21.20.1#53 1.20.21.172.in-addr.arpa name = dns.aaa.com. 5 案例1:公司内网DNS服务器添加解析互联网域名的记录
需求:
公司内部服务器需要一台内网的DNS服务器,用来帮助解析互联网的域名。
原理:
互联网的域名管理都是由各自的NS记录指向的DNS服务器管理的。我们不能直接在内网DNS服务器上添加A记录,我们必须添加这些域名的NS记录,这样每当内网客户机通过内网的DNS查询时,内网DNS首先去找管理这些域名的DNS询问对应的IP地址,然后在返回给客户机。
5.1 DNS正向解析常见记录样例
[domain] IN [RR type] [RR data] 主机名称. IN A IPv4 的 IP 位址
主机名称. IN AAAA IPv6 的 IP 位址
领域名称. IN NS 管理这个域名的DNS服务器主机名字. (例如cns2.icbc.com.cn.)
领域名称. IN SOA 管理這個领域名称的起始授权的DNS名字.
领域名称. IN MX 优先级 邮件服务器的主机名字.
主机别名. IN CNAME 实际代表这个主机别名的主机名字.
5.2 如何获得互联网域名由哪台DNS服务器提供解析
举例说明,我们想知道中国银行域名 www.boc.cn 由哪个DNS服务提供,我们需要查询这个域名所在的NS记录。查询的时候,我们得输入全域名即 www.boc.cn才行。使用下面的命令查询
# dig -t ns www.boc.cn ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6 <<>> -t ns www.boc.cn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4595 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.boc.cn. IN NS ;; AUTHORITY SECTION: boc.cn. 3551 IN SOA ns3.boc.cn. hostmaster.ns3.boc.cn. 2013081996 10800 3600 604800 86400 ;; Query time: 0 msec ;; SERVER: 172.21.20.1#53(172.21.20.1) ;; WHEN: Thu Aug 14 16:40:33 2014 ;; MSG SIZE rcvd: 79 说明:我们查到www.boc.cn域名的SOA记录是 ns3.boc.cn,这个就是提供www.boc.cn解析的主DNS服务器的名字。
5.3 配置内网DNS
1. 编辑/etc/named.conf,添加一个ns.com域
zone "ns.com" IN { type master; file "ns.com.zone"; allow-update { none; }; }; 2. 编辑 /var/named/ns.com.zone文件,添加不同域名的NS记录
$TTL 1D @ IN SOA dns.ns.com. root.ns.com. ( 0 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum @ IN NS dns.ns.com. dns IN A 172.21.20.1 www.95599.cn IN NS ns1.shdc.95599.cn. corporbank.icbc.com.cn IN NS cns2.icbc.com.cn. ebspay.boc.cn IN NS ns3.boc.cn. www.cebbank.com IN NS dns3.cebbank.com. unionpaysecure.com IN NS ns1.dnsv5.com. bjportal.zqpay.com IN NS dns17.hichina.com. www.boc.cn IN NS ns3.boc.cn. 配置好后,不需要重启named服务即可生效。
5.4 测试
# vi /etc/resolv.conf nameserver 172.21.20.1 # ping www.95599.cn PING www.shdc.95599.cn (124.74.251.240) 56(84) bytes of data. 64 bytes from 124.74.251.240: icmp_seq=1 ttl=239 time=25.2 ms 64 bytes from 124.74.251.240: icmp_seq=2 ttl=239 time=25.5 ms 表示可以成功解析。
6 FAQ
6.1 反向解析时,提示“server can't find xxxx: SERVFAIL”错误,如何处理?
现象如下所示:
# nslookup > 172.21.20.1 Server: 172.21.20.1 Address: 172.21.20.1#53 ** server can't find 1.20.21.172.in-addr.arpa: SERVFAIL 分析:首先我们查看named.conf文件是否配置正确。然后检查 /var/named/目录下是否存在反向解析文件。最后检查/var/named目录下的解析文件的属组是否是named,如果不是named,DNS服务是没有权限读取这个文件的,也会提示can’t find 的错误。
解决:果然是因为该文件的属组不是named导致的问题。
6.2 客户机使用DNS无法解析
客户机配置了/etc/resolv.conf文件,但是却无法提供解析
# cat /etc/resolv.conf nameserver 172.21.20.1 现象:解析测试失败,内容如下
# nslookup > www.sina.com Server: 172.21.20.1 Address: 172.21.20.1#53 ** server can't find www.sina.com: REFUSED 分析:查看DNS的messages日志,显示如下:
Aug 18 11:29:31 Monitor named[9161]: client 172.21.20.2#36810: query (cache) 'quit/A/IN' denied 估计是DNS配置了某种解析限制,查看/etc/named.conf文件,修改下面的部分
options { listen-on port 53 { 172.21.20.1; }; listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; }; 改成 allow-query { any; }; recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/named.iscdlv.key"; managed-keys-directory "/var/named/dynamic"; }; 重启BIND服务
# /etc/init.d/named restart Stopping named: .[ OK ] Starting named: [ OK ] 再次测试客户机的解析,一切正常了。
# nslookup > www.sina.com Server: 172.21.20.1 Address: 172.21.20.1#53 Non-authoritative answer: www.sina.com canonical name = us.sina.com.cn. us.sina.com.cn canonical name = wwwus.sina.com. Name: wwwus.sina.com Address: 12.130.132.30 原文链接:http://my.oschina.net/lionel45/blog/304017 |
|
QQ群⑧:
窥视卡
雷达卡
发表于 2018-5-11 08:59:14
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡