DNS 与 BIND.docx-道客多多_道客多多docduoduo.com

资源描述

1、DNS 与 BIND第四版P au l Alb itz & Cri cke t Li u 著雷迎春龚奕利译Beijing Cambridge Farnham Kln Paris Sebastopol Taipei TokyoOReilly & Associates, Inc. 授权中国电力出版社出版图书在版编目（ CIP）数据DNS 与 BIND（第四版） /（美）阿尔比兹（A lbitz, P.），刘（ Liu, C.）著；雷迎春，龚奕利译 . - 北京：中国电力出版社， 2002.8书名原文：DNS and BIND, Fourth Edition

2、ISBN 7-5083-0980-4I. D. II. 阿 . 刘 . 雷 . 龚 . III. 网络服务器 IV. TP368.5中国版本图书馆 CIP 数据核字（2002）第 053051 号北京市版权局著作权合同登记图字：01-2002-2274 号2001 by OReilly & Associates, Inc.Simplified Chinese Edition, jointly published by OReilly & Associates, Inc. and China Electric Power Press, 2002. Authorized translat

3、ion of the English edition, 2001 OReilly & Associates, Inc., the owner of all rights to publish and sell the same.All rights reserved including the rights of reproduction in whole or in part in any form.英文原版由 OReilly & Associates, Inc. 出版 2001 。简体中文版由中国电力出版社出版 2002。英文原版的翻译

4、得到 OReilly & Associates, Inc. 的授权。此简体中文版的出版和销售得到出版权和销售权的所有者 OReilly & Associates, Inc. 的许可。版权所有，未得书面许可，本书的任何部分和全部不得以任何形式重制。书名 / DNS 与 BIND（第四版）书号 / ISBN 7-5083-0980-4责任编辑 / 程璐封面设计 / Edie Freedman，张健出版发行 / 中国电力出版社（）地

5、经址 /销 /北京三里河路 6 号（邮政编码 100044）全国新华书店印开刷 /本 /北京市地矿印刷厂787 毫米 1092 毫米 16 开本 42 印张 633 千字版印次 /数 /2002 年 8 月第一版 2002 年 8 月第一次印刷0001-5000 册定价 / 69.00 元（册）作者简介Paul Albitz 现为惠普公司的软件工程师。他获得了威斯康星大学理学学士学位和普渡大学的理学硕士学位。Paul 从事

6、与 HP-UX 7.0 和 8.0 有关的 BIND 工作。工作期间， Paul 开发了用于管理域的工具。此后， Paul 就一直做着惠普 DesignJet 绘图仪互联和惠普的 OfficeJet 多功能传真子系统的工作。加盟惠普之前， Paul 在普渡大学计算机系担任系统管理员。作为系统管理员， Paul 使用了比与 4.3 BSD 一起发行的 BIND 更早版本的 BIND。现在， Paul 与他

7、的妻子 Katherine 住在加州圣迭戈。Cricket Liu 就读于加州伯克利分校，那里是自由演讲的阵营，有不受限制的 Unix和便宜的比萨饼。他毕业后开始为惠普公司工作，一口气干了九年。Cricket 在 Loma Prieta 地震后开始管理域。地震使得域的管理不得不从惠普的实验室搬到公司的办公室。他担任三年多，然后加入惠普的专业服务组织，

8、创建了惠普的 Internet 咨询流程。1997 年， Cricket 离开惠普，并和他的朋友（现在的合著者） Matt Larson 组建了 Acme Byte & Wire ，一个 DNS 咨询和培训公司。 Network Solutions 在 2000 年 6 月收购了 Acme，并在同一天与 VeriSign 合并。 Cricket 现在是 VeriSign 全球注册服务的 DNS 产品管理主任。Cricket 和他的妻子 Paige、儿子 W

9、alt 以及两只爱犬 Annie 和 Dakota 住在科罗拉多州。在暖暖的周末下午，你也许能够看到他们正在荡秋千。封面介绍本书封面上的昆虫是蝗虫，它们遍及世界的每个角落。在北美 5000 多种昆虫中，蝗虫有 100 多种。蝗虫呈褐绿色，体长从 0.5 英寸到 4 英寸不等，翼展可达 6 英寸。它们的身体分为三部分：头、胸和腹部。雄性蝗虫用后腿和前翅

10、发出一种 “唧唧 ”的声音。它们的后腿上有一排小的突起，摩擦前翅上硬化的血管，产生的震动听起来就像拉动弓弦的声音。蝗虫是主要的田间害虫，特别是当它们成群结队的时候。一只蝗虫每天消耗 30 毫克的食物。如果蝗虫的密度为每平方码 50 只及以上时（爆发蝗灾时通常能达到这个密度），每英亩蝗虫的消耗同一头牛的消耗相当。除了

11、侵食叶子外，蝗虫还袭击植物柔弱的部位，导致茎干折断，破坏植物的生长。前言到目前为止，你可能仍然对 DNS （ Domain Name System，域名系统）所知甚少，但是无论你何时使用 Internet，都会用到 DNS。每次发送电子邮件或是在网上冲浪，你都必须依赖 DNS。作为普通人，我们都宁愿记计算机的名字，而计算机却喜欢用数字（即，主机 IP

12、地址）来彼此称呼。在互联网络上，这样的地址是一个 32 位的数字，或者说是一个介于 0 到大约 40 亿之间的数字（注 1）。对于计算机来说这是很容易记住的，因为计算机的内存很适合存储数字，而对于我们人来说这就不那么好记了。从电话簿中随机挑出 10 个电话号码，试试记住它们。不容易吧？然后在每个电话号码前加上随机的区号，

13、这就和记住 10 个任意的互联网络地址差不多难了。这就是我们需要 DNS 的部分原因。 DNS 负责主机名字之间和互联网络地址之间的映射，前者我们人类会觉得很方便，而后者是由计算机来处理的。实际上， DNS 是 Internet 上的一个标准机制，用来发布和访问关于主机的各种信息，而不只是地址。实际上几乎所有的网间互联软件都在使用 DNS

14、，包括电子邮件、远程终端程序（如， Telnet）、文件传输程序（如， FTP）以及 Web 浏览器（如，网景的 Navigator 和微软的 Internet Explorer）。注 1：对于 IPv6 而言，它很快就是 128 位长的了，也就是介于 0 到一个 39 位的十进制数之间。1前言2DNS 的另一个重要特性就是它使主机信息在 Internet 上随处可得。将主机信息按照某种格式存

15、为文件，放在某台计算机上，并只对那台计算机的用户有用。 DNS 则提供了一种远程检索信息的方式，你能从网络上任何一个地方查找信息。除此之外， DNS 还能将主机信息的管理分布到许多地点和组织。你不需要将数据提交给某个中心，或定期地检索中心的数据库，你只要保证你的名字服务器（ name server）上称为区（ zone）的那一部分

16、是最新的即可。你的名字服务器会使网络上其他的名字服务器都能访问到你区中的数据。因为数据库是分布式的，所以系统还需要能够通过搜索一些可能的位置来确定你要查找的数据在哪里。 DNS 使得名字服务器能够很聪明地在数据库之中查找，并找到任何区中的数据。当然， DNS 也有一些问题。例如，出于冗余考虑，系统允许多个名字服务

17、器存储一个区的同样数据，这就会引发这些服务器上区数据之间的一致性问题。不过关于 DNS 最糟糕的问题则是尽管它在 Internet 上广泛使用，却很少有关于如何管理和维护 DNS 方面的资料。 Internet 上大多数管理员使用的是商家认为应该提供的资料，再就是从相关领域的 Internet 邮件列表和 Usenet 新闻组中搜集到的一些信息。缺乏资料

18、就意味着，对这种当今 Internet 上最关键的服务的理解要么是从一个管理员传授给另一个管理员，就像祖传秘方；要么是从一个个互不相识的程序员和工程师那里重复搜集取得，并且新的系统管理员犯着无数人犯过的错。我们写这本书的目的就是为了帮助解决这一问题。我们意识到你们当中并非所有人都想成为 DNS 专家。毕竟，大多数人除

19、了管理一个区或名字服务器之外还有许多其他事情要做：系统管理、网络工程或软件开发。要一个人只负责 DNS 是不可想像的。我们会试着给你足够的信息，让你无论是运行一个小的区还是管理一个跨国的庞然大物，无论是照顾一个名字服务器还是管理上百个名字服务器，都只做需要做的事。你可以现在需要知道多少就读多少，等需要知道

20、更多的时候，再回来接着读。DNS 是个很大的话题至少大到需要两个作者，不过我们会尽力使它易于理解。本书的前两章是理论上的概述以及一些实际信息，余下来的章节讲的都是些核心细节。我们首先提供了一个路线指南，有了它，你可以根据自己的工作或兴趣选择合适的学习路线。前言 3谈到实际的 DNS 软件时，我们主要讲的是 BIND（ Be

21、rkeley Internet Name Domain）软件，它是 DNS 规范的一种最为常见的实现（也是我们所知道的最好的）。我们尽力将自己使用 BIND管理和维护区的经验浓缩在本书当中。（我们所管理的一个区曾经是 Internet 上最大的区，不过那已经是很久以前的事了。）只要有可能，我们就会给出在管理中实际用到的程序，为了提高速度和效率，其中

22、许多都用 Perl 重写了。如果你还是个新手的话，我们希望本书能帮助你熟悉 DNS 和 BIND；如果你已经对 DNS 有所了解，我们希望能增进你的理解。即使你对 DNS 已经了如指掌，我们还是希望能给你一些有价值的见解和经验。版本本书的第四版主要是讲新的 9.1.0 和 8.2.3 版的 BIND，同时也涉及较早的 4.9 版。虽然 9.1.0 和 8.2.3 是我们撰写本

23、书时最新的 BIND 版本，但是许多供应商的 Unix 版本中还不包括它们，部分原因是由于这两个版本最近才刚刚发布，同时也因为许多供应商对于使用这些新软件还是抱着小心谨慎的态度。我们也会偶尔提到其他版本的 BIND，特别是 4.8.3 版，因为许多供应商的 Unix 产品中包括的代码还是基于这个老版本的 BIND。如果某个特性只适用于 4.9、

24、8.2.3 或 9.1.0 版，或者在不同版本中使用情况有所不同的话，我们将会分别讨论各种版本。我们在例子中大量使用了 nslookup 这种名字服务器实用程序。我们所使用的 nslookup 是同 BIND 8.2.3 代码封装在一起的那个版本。较早版本的 nslookup 也提供了 8.2.3 中 nslookup 大部分的功能，不过并非全部（注 2）。在例子中，我们尽量使用对

25、大多数 nslookup 都通用的命令，如果无法做到这一点，会特别注明的。第四版新增加的内容除了更新内容以涵盖最新的 BIND 版本之外，在第四版中我们还增加了相当多的新东西：注 2：在 BIND 9 中封装的 nslookup 版本也是如此。详情请见第十二章。前言4 更多的动态更新和 NOTIFY 内容，包括带签名的动态更新和 BIND 9 当中新的更新策略（ u

26、pdate-policy）机制，参见第十章。增量区传送（ incremental zone transfer），参见第十章。支持条件转发的转发（ forward ）区，参见第十章。使用新的 A6 和 DNAME 记录以及位串标号的 IPv6 正向和反向地址映射，参见第十章的最后部分。一种新的事务认证机制事务签名（ transaction signature），又称为 TSIG，参见第十一章。扩展

27、了保护名字服务器安全的部分，参见第十一章。扩展了有关 Internet 防火墙的部分，参见第十一章。包括了一种新的对区数据进行数字签名的机制 DNS 安全性扩展（ DNS Security Extension），简称 DNSSEC，参见第十一章。专门有一节讲述 Windows 2000 客户机、服务器和域控制器（ Domain Controller）与 BIND 的兼容问题，参见第十六章

28、。组织本书的内容或多或少是按照区及其管理员的不断发展过程来组织的。第一、二章讨论了关于 DNS 的理论。第三章到第六章帮助你决定是否要建立你自己的区，还讲述了如果选择建立了自己的区，又该如何来做。中间的几章，第七章到第十一章讲的是如何维护区、如何配置主机使之使用指定的名字服务器、如何规划区的发展、如何创建子

29、域，以及如何保护名字服务器。最后几章，第十二章到第十六章，讲的是一些有关排错工具、常见问题，以及使用解析器库例程编程的技术和技巧。下面是关于每一章更详细的介绍：第一章 “背景，提供了一些历史资料，讨论促使 DNS 发展的问题，然后是 DNS理论的概述。第二章 “DNS 是如何工作的？，更详细地回顾了 DNS 理论，包括 DNS 名字前

30、言 5空间、域、区和名字服务器的组织。另外还介绍了一些很重要的概念，比如名字解析和缓存。第三章 “我该从哪里开始？，谈到了如果你还没有 DNS 软件的话，该如何获取 BIND，以及得到之后又该怎么办：如何确定你的域名是什么，以及如何同区的授权组织联系。第四章 “建立 BIND，详细介绍了如何建立你的头两个 BIND 名字服务器，包括

31、创建你的名字服务器数据库、启动你的名字服务器和检查它们的操作。第五章 “DNS 和电子邮件，讲的是 DNS 的 MX 记录，它允许管理员指定其他主机来处理发往给定目的主机的邮件。这一章涉及对各种网络和主机的邮件路由策略，包括有 Internet 防火墙的网络和没有直接连到 Internet 的主机。第六章 “配置主机，解释了如何配置一个 BIND

32、解析器。我们还将注明许多常见 Unix 厂商的解析器实现的特性，同时还会谈到 Windows 95、 NT 和 2000 的解析器。第七章 “维护 BIND，讲述了为保证区的平稳运行，管理员所需要做的定期维护工作，比如说检查名字服务器是否正常以及它的授权状况。第八章 “扩展你的域，涉及了如何规划和发展你的区，包括如何扩大、如何为移动用户和故

33、障做准备。第九章 “担当父域，探讨了成为父区的快乐。我们解释了何时成为一个父区（创建子域）、如何命名你的孩子以及如何创建（ !）和监控它们。第十章 “高级特性，讲述了一些不太常用的名字服务器配置选项，它们能帮助你优化名字服务器的操作，使管理更轻松。第十一章 “安全，讲述了如何保护名字服务器，以及如何配置名字服务器

34、同 Internet 防火墙一起工作，此外还讲述了 DNS 的两个新增的安全性功能： DNS 安全性扩展和事务签名。第十二章 “nslookup 和 dig，详细介绍了最常用的调试 DNS 的工具，包括从远程名字服务器挖掘模糊信息的技术。第十三章 “阅读 BIND 的调试输出，这些输出开始时就像是罗赛塔石碑上的文字那样神秘。这一章将会有助于你理解那些 BIN

35、D 显示的神秘信息的意义，从而使你能更好地了解名字服务器。前言6 第十四章 “DNS 和 BIND 排错，涉及了许多常见的 DNS 和 BIND 问题及其解决方法，然后还讲述了一些不太常见、较难诊断的情况。第十五章 “用解析器和名字服务器的库例程编程，演示了如何在一个 C 程序或 Perl 脚本中使用 BIND 的解析器例程来查询名字服务器和从中检索数

36、据。我们还加入了一个有用的程序（希望如此！），它可以用来检查名字服务器正常与否以及授权情况。第十六章 “其他问题，将所有松散的头绪连在一起。我们讲到了 DNS 通配符、通过拨号断断续续地连接到 Internet 的主机和网络、网络名字编码、试验性的记录类型以及 Windows 2000。附录一 “DNS 消息格式和资源记录，一个字节一个字节

37、地分解 DNS 查询和响应中使用的格式，另外还有当前定义的资源记录类型的综合列表。附录二 “BIND 兼容性真值表，该表列举了常用 BIND 版本的最重要特性。附录三 “在 Linux 上编译和安装 BIND，包含了关于如何在 Linux 上编译 BIND 8.2.3 的一步步指令。附录四 “顶级域，列出了目前 Internet 域名空间中的顶级域名。附录五 “BIND名字服务

38、器和解析器配置，总结了用来配置名字服务器和解析器的每一个参数的语法和语义。读者本书主要是为管理区以及一个或多个名字服务器的系统和网络管理员而写的，但是它也适用于网络工程师、邮件管理员以及其他一些人。不过，不同读者对各个章节的兴趣也不一样，你不一定要读完所有的十六章才能找到与你工作相关的信息。我们希望下

39、面这个路线指南能帮助你计划好自己的阅读路线。建立自己第一个区的系统管理员要了解 DNS 的理论，应该读第一、二章；要了解如何开始和选择一个好域名，应该读第三章；要学习第一次如何建立区，应该读第四章和第五章。第六章解释了如何配置主机使其使用新名字服务器。接下来就该读第七章了，这一章介绍了如何使他们的域 “有血有

40、肉，比如建立其他的名字服务器和添加其他的区数据。第十二、十三和十四章讲述了排错工具和技术。前言 7有经验的管理员可以读读第六章，能够学习到如何在不同主机上配置 DNS 解析器，读第七章能学习到区的维护方面的知识。第八章包括了如何规划区的扩大和发展，这对于较大区的管理员尤为有价值。第九章解释了如何做一个父域创建

41、子域，这对正在考虑要向大区发展的管理员来说是很有必要一看的。第十章包括了许多 BIND 8.2.3 和 9.1.0 名字服务器的新的高级特性。第十一章涉及了保护名字服务器，这对有经验的管理员来说是很有意义的。第十二到十四章描述了排错的工具和技术，即使是对高级管理员来说也是值得一读的。没有完全连接到 Internet 的网络的系统管

42、理员应该读一读第五章，学习一下如何在这类网络上配置邮件，还应该读一读第十一章，学习一下如何建立一个独立的 DNS 基础设施。不直接负责域的网络管理员还是应该读一下第一、二章，了解一下 DNS 理论，然后是第十五章，详细了解一下如何用 BIND 解析器库例程编程。邮件管理员应该读第一、二章，了解一下 DNS 理论，还有第五章，学

43、习 DNS 和电子邮件是如何共存的。第十二章描述了 nslookup 和 dig，这将有助于邮件管理员从域名空间中抽取邮件路由信息。感兴趣的读者可以读一读第一、二章，学习学习 DNS 理论，除此之外，想读什么就读什么！注意，我们假设你很熟悉基本的 Unix 系统管理以及 TCP/IP 网络工作原理，并且能够使用简单的 shell 脚本和 Perl 来编程。除

44、此之外，不要求你有任何其他专业知识。当提到一个新的术语或概念的时候，我们会尽力定义或解释的。只要可能，我们将用 Unix（以及现实世界）来与之相类比，来帮助你理解。获取示例程序本书中的示例程序可以通过 FTP 从下面的 URL 获得：ftp:/ ftp:/ 言8无论从何处下载，要解开压缩文件都可以输入：% zcat dns.tar.Z | tar xf -系统 V

45、中则要求输入下面的 tar 命令：% zcat dns.tar.Z | tar xof -如果你的系统上没有 zcat ，可以分别使用 uncompress 和 tar 命令。如果不能直接通过 Internet 得到这些例子，但可以收发邮件，你可以用 ftpmail 来获取它们。要想了解如何使用 ftpmail，发送电子邮件到，不用写主题，只要在消息的正文中写一个单词 “help”即可。建议与评论本

46、书的内容都经过测试，尽管我们做了最大的努力，但错误和疏忽仍然是在所难免的。如果你发现有什么错误，或者是对将来的版本有什么建议，请通过下面的地址告诉我们：美国：OReilly & Associates, Inc. 101 Morris StreetSebastopol, CA 95472中国：100080 北京市海淀区知春路 49 号希格玛公寓 B 座 809 室奥莱理软件（北京）有限公

47、司本书有一个网页，上面附有勘误表、实例和其他附加信息。可以访问以下网页：http:/www.oreilly com/catalog/devbioinfo/如评论或探讨技术问题；可发 Email 至：前言要查找有关本书更多的内容、评论、软件、资源中心以及 OReilly 网络，请访问我们的网站：http:/http:/本书中所使用的约定我们用如下所示的字体和格式惯例来表示 Unix

48、命令、实用程序和系统调用：脚本或配置文件的摘录以等宽体来显示：if test -x /usr/sbin/named -a -f /etc/named.conf then/usr/sbin/namedfi 带命令行输入和相应输出的交互式会话的例子以等宽体显示，其中需要用户输入的用黑体显示：% cat /var/run/named.pid 78 如果命令必须由超级用户（ root）输入，那么我们在前面使用 # 符号：# /usr/sbin/named 代码中可替代的项以等宽斜体显示。在一段文字中出现的域名、文件名、函数、命令、 Unix 联机手册和摘自代码片段的编程语言的元素也用斜体表示。引语每一章开头的引语是从古登堡计划

展开阅读全文