RH253Linux服务器架设笔记五-DNS服务器配置(上集).doc-道客多多

资源描述

1、RH253Linux 服务器架设笔记五-DNS 服务器配置在 LINUX 下面架设 DNS 服务器，不知道 DNS 解析原理，根本会了和不会没区别, 网络中为了区别各个主机，必须为每台主机分配一个惟一的地址，这个地址即称为“IP 地址”。但这些数字难以记忆，所以就采用“域名”的方式来取代这些数字了。当某台主机要与其他主机通信时，就可以利用主机名称向 DNS 服务器查询该主机的 IP 地址，所以我们的网卡要上网至少要 3 个信息，IP 地址，网关，DNS 服务器地址。 DNS 的组织结构这个就是 DNS 的组织结构，最上面是根域名 dot，全球 13 台根域服务器，没有一台在中国，因为中国网络

2、发展，起步迟。而且所有的 dot DNS 服务器都是bind 软件架设的，我们今天要学习的也是 bind 软件。全球 70%的大型 DNS 服务器都是基于 bind 软件。常见的顶级域服务器我国的顶级域也就只有 cn DNS 解析过程我给大家解释下，比如解析文件和缓存有没有这个记录，有就直接解析，没有就访问 DNS 服务器，如果 DNS 服务器上没者不在你访问的DNS 服务器管理区域内，那么 DNS 服务器就会向 dot 根域名服务器发递归查询,如果找到了记录了，DNS 就会返回给 client，并且把记录保存在自己缓存里，下次有 client 请求，他就会调用自己的缓存，直到这条记

3、录的生存期结束,就会丢弃这条记录。根域名服务器就 13 台域名服务器，他负责管理顶级域。顶级域负责管理二级域，我们现在申请的一般是 2 级域名-3 级域名。比如 , 哈是 2 级域名，是 3 级域名，.这个就是 FQDN。本周我们要学习的内容主配置文件设置根区域设置主区域设置反向解析区域根服务器信息文件 named.ca 区域文件反向解析区域文件实现负载均衡功能实现直接解析域名实现泛域名的解析主要名称服务器的测试配置辅助域名服务器配置缓存域名服务器我们申请的是域名，然后你去管理你的域名，自己添加主机记录哈其实是域名,前面的主机记录随便你怎么写, 也行, 也行,

4、是域名,www 是主机。比如最后点是根域名，然后 com 是顶级域名，redhat 是二级域名，www 是主机记录，如果你要说 RCF 1123 中的规定：域名由所有大写字母（AZ）、小写字母（az）、数字（09）和连字符（-）组成。由于很多域名商，所以现在想申请到好的 2 及域名是不可能了，域名大小写不敏感。每台主机都有一个 host 文件，负责 IP 地址的域名快速解析的文件，文件以ASCII 格式保存在“/etc”目录下，文件名为“hosts”，hosts 文件包含了 IP地址和主机名之间的映射，还包括主机名的别名。 hosts 文件的格式如下： IP 地址主机名/域名主机别名

5、 windows 下也有 hosts 文件，C:WINDOWSsystem32driversetc 可以使用记事本打开如果 host 里有记录就会优先使用，这个文件也是黑客，和病毒软件攻击你的一个入口，如果某个病毒软件在这个文件添加一个记录 202.23.23.1 然而前面这个 IP 地址是带有病毒的而已网站，或者是钓鱼攻击，你可能就会出问题，所以这个文件一般修改成只读，还有些第三方软件，为了防止一些木马之类的病毒，会把一些有问题的网站在自理定义，解析成 127.0.0.1，这样你就不会访问到这些网站，360 就会这么干哈linux 也有这个文件/etc/hosts好了，下面介绍下 bin

6、d 软件,Linux 下架设 DNS 服务器通常是使用 Bind 程序来实现的。 Bind 是 Berkeley Internet Name Domain Service 的简写，它是一款实现 DNS服务器的开放源码软件。Bind 原本是美国 DARPA 资助伯克里大学（Berkeley）开设的一个研究生课题，后来经过多年的变化发展，已经成为世界上使用最为广泛的 DNS 服务器软件，目前 Internet 上绝大多数的 DNS 服务器有都是用Bind 来架设的。 DNS 服务介绍后台进程：named 脚本：/etc/rc.d/init.d/named 使用端口：53（tcp，udp）所需

7、 RPM 包：bind-9.3.3-10.el5 相关 RPM 包：bind-chroot caching-nameserver 配置文件：/var/named/chroot/etc/named.conf 相关路径：/var/named/ 1990 年以后，bind-chroot 增加了 bind 服务器的安全性,早期 Linux 服务都是以 root 权限启动和运行的，随着技术的发展，各种服务变得越来越复杂，导致 BUG 和漏洞越来越多。黑客利用服务的漏洞入侵系统，能获得 root 级别的权限，从而控制整个系统。为了减缓这种攻击所带来的负面影响，现在服务器软件通常设计为以 root 权限

8、启动，然后服务器进程自行放弃 root，再以某个低权限的系统账号来运行进程。这种方式的好处在于该服务被攻击者利用漏洞入侵时，由于进程权限很低，攻击者得到的访问权限又是基于这个较低权限。 bind 的主配置文件/etc/named.conf ，我们先安装 bind 服务器 rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 3701

9、7186 Preparing. # 100% 1:bind # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-libbind-devel-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-libbind-devel # 100% rootrhel5 # rpm -ivh

10、 /mnt/cdrom/Server/bind-sdb-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-sdb-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-sdb # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-devel-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-dev

11、el-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-devel # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/caching-nameserver-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID

12、37017186 Preparing. # 100% 1:caching-nameserver # 100% rootrhel5 # rpm -ivh /mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpm warning: /mnt/cdrom/Server/bind-chroot-9.3.3-10.el5.i386.rpm: Header V3 DSA signature: NOKEY, key ID 37017186 Preparing. # 100% 1:bind-chroot # 100% rootrhel5 # 注意：bind-chr

13、oot 软件包最好最后一个安装，否则会报错哈bind 的配置文件默认是没有的，需要自己手写，但是很多，容易写错，所以我们安装模板文件，然后来修改。由于安装了 chroot 环境，所以我们的/etc/named.conf 应该在/var/named/chroot/etc/ 目录。没有 named.conf，所以我们要把 named.caching-name.conf 文件 copy 一份成named.conf 哈 cp /var/named/chroot/etc/named.caching-nameserver.conf /var/named/chroot/etc/named.conf编辑 na

14、med.conf 这个文件,把文件里面多余的东西删除了，只剩下如图中的内容，然后我们来写先检查你主机的名字，使用 hostname 记住，linux 的主机名要是 FQDN 的样式，把你们自己的主机名字改改，不要最后的那个，这个很重要的。刚才讲了 FQDN 最后有根域的，把那个跟域去掉，就是你的主机名，改成那个样子。linux 修改主机名字修改三个地方，不知道大家还记得不？第一步：hostname 主机名第二步：vim /etc/hosts第三步：vim /etc/sysconfig/network修改完了把终端关闭了，然后重新打开就可以了修改完了，我们继续下面我以这个二级域名来建立一

15、个域名服务器全局配置（options ） options 语句在每个配置文件中只有一个。如果出现多个 options, 则第一个options 的配置有效，并会产生一个警告信息。listen-on port 53 127.0.0.1; ;监听端口，修改成自己的 IP 地址，如果有多个 IP，就写多个，每行要以；结束。directory “/var/named“;zone 文件的存放目录，这里的/var/named 是相对目录，在 chroot 环境下/var/named 目录下。allow-query localhost; ; 允许查询的 client，我们修改成本地网段 192.168.1.

16、0/24 下面我们开始写 zone 文件区域配置（zone ） zone 语句作用是定义 DNS 区域，在此语句中可定义 DNS 区域选项 zone 区域设置，第一步，设置根区域当 DNS 服务器处理递归查询时，如果本地区域文件不能进行查询的解析，就会转到根 DNS 服务器查询，所以在主配置文件 named.conf 文件中还要定义根区域。zone “.“ type hint; file “named.ca“; ; type:设置域的类型 file:设置根服务列表文件名“.” 意思的根区域 IN 是 internet 记录 type 是类型根的类型是 hint file 是根区域文件下

17、面我们去看看根区域文件，根的类型这些就是根服务器，你数数，全球 13 台。继续，指定正向解析的配置文件记住，bind 对配置文件要求很严格，就算是有些地方多了个空格，服务器都可能启动不了哈反向解析配置文件一个简单的 named.conf 配置文件保存，然后我们去修改区别文件，添加记录cp /var/named/chroot/var/named/localhost.zone /var/named/chroot/var/named/.zone 是你刚才在 named.conf 里面定义的名字,记住，要和那个一样反向区域的 zone 名字，必须是这样的命令方式,把 IP 地址反过来表达vim /va

18、r/named/.zoneTTL 是生存期,单位是秒 $TTL 是全局定义的第二行 SOA 记录,取代在/etc/named.conf 中指定的域名。 SOA 段中的数字，分别为：序列号、刷新、重试、过期、生存期序列号：序列号用于 DNS 数据库文件的版本控制。每当数据被改变，这个序列号就应该被增加。刷新：从服务器向主服务器查询最新数据的间隔周期。每一次检查时从服务器的数据是否需要更改，则根据序列号来判别。重试：一旦从服务器尝试连接主服务器失败，下一次查询主服务器的延迟时间。过期：如果从服务器无法连通主服务器，则在经过此时间后，宣告其数据过期。生存期：服务器回答无此域名的间隔时间。数

19、字的默认单位为秒。否则：W= 周、D= 日、H= 小时、M= 分钟。下面我们来写自己的 ZONE 文件IN 是 internet 记录 SOA 是 SOA 初始化记录,我们说的是初始授权记录,这个翻译不过，理解很多反正知道是那个意思就行了. 是 DNS 服务器的名称 . 是管理员的邮箱地址版本号改成日期后面加两个 00,其他都默认，下面开始添加主机记录第一个 NS 记录NS（name server）：设置域名服务器的域名然后添加一个 MX 记录 MX （Mail eXchanger ）: 设置邮件交换器资源记录简单的正向配置文件就到这里,下面接着讲反向解析的 zone 文件把正向解析 zo

20、ne 文件拷贝一份，名字是你在 named.conf 中定义的反向解析的名字cp /var/named/chroot/var/named/.zone /var/named/chroot/var/named/1.168.192.in-addr.arpa.zone然后我们来修改反向解析vim /var/named/1.168.192.in-addr.arpa.zoneSOA 记录可以不修改,NS 记录和 MX 记录也可以不修改只需要把 A 记录修改成 PTR 记录就可以了,PTR 是反向解析的意思，把 IP 地址解析成域名然后保存退出配置文件就写完了，下面我们来使用配置文件检测工具来检测我们的

21、配置文件语法是否正确 named-checkconf /var/named/chroot/etc/named.conf这个命令是检查 named.conf 主配置文件的,如果没有提示，就证明这个文件没有问题检测区域文件的语法语法为 named-checkzone 域名配置文件两个配置文件都要检查named-checkzone /var/named/chroot/var/named/.zone named-checkzone /var/named/chroot/var/named/1.168.192.in-addr.arpa.zone下一步就可以启动 DNS 服务了启动失败，我们来排错,

22、把日志文件检测起来 tail -f /var/log/messageschmod 644 /var/named/chroot/etc/named.conf把 named.conf 配置文件的权限改成 644 就可以了,出现这些问题，大家就要学会分析日志。我们来配置 client，然后来测试我们 DNS 服务器是否架设成功vim /etc/resolv.conf修改成自己的 IP 地址，然后保存我们现在来测试我们的 DNS dig -t soa dig -t mx 这是 dig 工具，查询域中的 SOA 记录和 MX 记录dig 这是查询这是查询 dig -x 是反向查询dig -x

23、192.168.1.8当然，还有简单的命令来查询 dns 解析,比如 nslookup 和 host 都可以查不到哈看下日志chmod 644 /var/named/chroot/var/named/.zone chmod 644 /var/named/chroot/var/named/1.168.192.in-addr.arpa.zone现在正常了我们测试下nslookup 也可以，和 win 下的用法一样#Michael 分割线#下面我们使用 DNS 来实现简单的负载均衡这个技术在很早的时候被 yahoo 和 163 等网站使用实现过负载均衡，不过现在已经很少有企业这样做负载均衡了，因为这

24、样负载均衡是随即的，他没有使用算法，不科学,但是我们也了解下吧，对于小企业还是可以考虑这样做的, 呵呵，真正的负载均衡听麻烦,不是三言两语说的清楚的,而且还要 fence device 的支持。回到正体，DNS 负载均衡的原理给大家说说 DNS 负载均衡的优点是经济简单易行，它在 DNS 服务器中为同一个域名配置多个 IP 地址（即为一个主机名设置多条 A 资源记录），在应答 DNS 查询时，DNS服务器对每个查询将以 DNS 文件中主机记录的 IP 地址按顺序返回不同的解析结果，将客户端的访问引导到不同的计算机上去，使得不同的客户端访问不同的服务器，从而达到负载均衡的目的。我们下面给

25、 www 主机做负载均衡那个 0 是这个记录的生存期重新启动服务器我们来测试下，我们用 ping 命令，测试 ping ping 到的 IP 不一样ping 了三次，每次 ping 到的主机都不一样,这样就简单的实现了负载均衡,现在国内负载均衡一般使用的 lvs+heartbeat+HA,红帽有集群的专门解决方案GFS+conga+XEN LVS 是集群技术，章文嵩教授开发的heartbeat 是心跳线 HA 是高可用性，解决方案这个就涉及到 fence device ，电源交换机，光纤存储交换机，FASTER ethernet 交换机心跳线是 BS 和备份 BS 之间通信,如果 B

26、S 宕机了，备份 BS 马上起来取代 BS 的任务,BS 是负载均衡服务器提提，有兴趣的自己下去研究吧下一个功能，直接解析域名我们在 IE 输入也能访问到 baidu，这个就是使用了直接解析域名现在我们没有直接解析域名,其实直接解析域名除了用在网站，还用在邮件服务器,这样就免去了编写出站表的麻烦事情，直接通过 DNS 的直接解析域来处理。这个就是直接解析域名的写法，注意后面有个点重新启动服务器，然后我们来测试看见没有，把 MX 记录也解析出来了实现连续解析域名在一个企业中，可能有上百台计算机，如果要为每一个计算机分配一个域名，如果一条一条的添加到域文件中，则相当耗时。$GENER

27、ATE 是函数 1-200 是要循环的变量 host$是主机名 192.168.1.$是对应的 IP 地址反向解析我们也写上吧重启下服务哈现在 1-200 的主机我们都有解析了这就是效果了说说实现泛域名的解析你们试过 adfkjakldfjakldjf ，也能进入 baidu 的网站么？就是主机位置随便输入什么，都可以正确访问，我意思是主机名随便输入，以前baidu 用来的，现在 baidu 没用泛域名了，用了直接域。泛域名很简单，就是用*匹配所有，但是注意了，这个解析要放在最后，应为ZONE 文件是从上到下读取的，当上面的都不匹配的时候才会读取泛域名解析。保存退出，重启 named 服务哈这样也可以解析，厉害吧下面我们来测试辅助域名服务器这个需要两个服务器，用辅助域名服务器给主域名服务器备份，当然也可以指一个 NS 记录到辅助域名服务器，这样为主域名服务器减轻负载在主 DNS 的 zone 区域加 allow-transfer 语句，指名那个 client 可以来复制我的 zone 文件，这个参数也可以放在 options 字段，放 options 全局有效。把主 DNS 的刷新时间改小点

展开阅读全文