DNS服务器搭建、主从同步、子域授权

最新推荐文章于 2022-04-15 09:44:51 发布
最新推荐文章于 2022-04-15 09:44:51 发布
阅读量1k 收藏 1
点赞数
文章标签: 运维 数据库 网络
原文链接:http://blog.51cto.com/11467829/2416507
版权

DNS简介:
DNS(domain name system):是一个分布式、层级化的主机管理架构,通过配置DNS服务器地址,可实现域名到IP地址的解析,从而实现网络的访问。
DNS是一个倒置的树状结构,最顶层是根服务器,负责顶级域名的管理,顶级域名服务器负责二级域名的管理,以此类推。其结构如下图:
DNS服务器搭建、主从同步、子域授权

DNS解析流程:
DNS解析主机IP的流程:
假设查询域名为:www.enterda.com

  1. 查询本地主机的hosts文件,若有相关解析记录则返回给客户端,若没有则进行第2步。
  2. 本机向指定DNS server(NS1)发起查询请求,NS1收到客户端请求后会查询其缓存记录,若有相关解析记录则返回给客户端,若没有则进行第3步。
  3. NS1向根服务器发起查询请求,根服务器会告知NS1向.com服务器查询,并告知.com服务器的地址。
  4. NS1向.com服务器发起查询请求,.com服务器会告知NS1向enterda.com服务器查询,并告知enterda.com服务器的地址。
  5. NS1向enterda.com服务器发起查询请求,enterda.com服务器收到请求后查询本机的解析记录,将对应的ip地址返回给NS1。
  6. NS1收到解析结果后,将结果缓存在本地DNS缓存中,之后将解析结果返回给客户端。
    在整个解析的过程中涉及两个查询阶段:递归查询和迭代查询,查询过程(图片来源:DNS解析过程)如下:
    DNS服务器搭建、主从同步、子域授权

DNS资源记录:
DNS对应的端口为UDP和TCP 53端口。
DNS解析过程中会查询解析记录,解析记录在DNS中称为DNS数据库,分为正解和反解。正解:域名到IP地址解析。反解:IP地址到域名的解析。每个域名对应的解析记录称为域(zone)。zone中有众多的RR资源记录:A,AAA, PTR, SOA, NS, CNAME, MX:
SOA:start of authority。
NS:DNS服务器(name server)。
A:address,其后对应IP地址。
AAAA:ipv6地址。
PTR:反解到主机名。
CNAME:主机别名。
MX:邮件服务器。
资源记录(RR)格式:
name [TTL] IN rr_type value
SOA:
enterda.com. 86400 IN SOA ns.enterda.com. nsadmin.enterda.com. (2019070301 ;序列号
2H :刷新时间
10M :重试时间
1W :过期时间
1D :否定答案的TTL,快取时间
)
参数说明:
enterda.com:当前区域的名字
86400:TTL
ns.enterda.com. :域名服务器
nsadmin.enterda.com.:管理员邮箱
NS:
enterda.com. IN NS ns1.enterda.com.
enterda.com. IN NS ns2.enterda.com.
MX:
enterda.com. IN MX 10 mx1.enterda.com.
enterda.com. IN MX 20 mx2.enterda.com.
A:
www.enterda.com. IN A 1.1.1.1
linux.enterda.com. IN A 1.1.1.2
PTR:
4.3.2.1.in-addr.arpa. IN PTR oa.enterda.com.
简写为:
4 IN PRT oa.enterda.com.
CNAME:
web.enterda.com IN CNAME www.enterda.com

安装部署DNS服务:
一、安装DNS服务器软件
bind、bind-libs、bind-utils
二、相关配置文件设定
主配置文件:/etc/named.conf /etc/named.rfc1912.zones
数据库文件存放目录:/var/named
启动脚本:/usr/lib/systemd/system/name.service
启动命令:/usr/sbin/named
修改配置文件:/etc/named.conf

vi /etc/named.conf
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file  "/var/named/data/named.recursing";
secroots-file   "/var/named/data/named.secroots";
allow-query     {any; };
recursion yes;
//forward only;
//forwarders{
//8.8.8.8;
//114.114.114.114;
};
//dnssec-enable yes;
//dnssec-validation yes;
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
在配置文件 /etc/named.rfc1912.zones中,加入如下配置:
zone "enterda.com" IN {
type master;
file "enterda.com";
};
zone "52.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.52";
};
正解配置文件:
$TTL 1D
$ORIGIN enterda.com.
enterda.com. IN SOA ns1.enterda.com. nsadmin.enterda.com.(
2015040101
1H
10M
1W
1D
)
enterda.com. IN NS ns1.enterda.com.
ns1.enterda.com. IN A 192.168.52.100
www IN A 192.168.52.101
enterda.com. IN MX 10 mail.enterda.com.
mail.enterda.com. IN A 192.168.52.234
web IN CNAME www
反解配置文件:
$TTL 1D
@ IN SOA ns1.enterda.com. nsadmin.enterda.com. (2015040101 1H 10M 1W 1D)
@ IN NS ns1.enterda.com.
100 IN PTR ns1.enterda.com.
101 IN PTR www.enterda.com.
234 IN PTR mail.enterda.com.
DNS服务器测试:
dig [-t type] name @SERVER #正解
dig -x IP @SERVER #反解
dig -t axfr ZONE_NAME @SERVER #模拟区域传送
host -a name SERVER
nslookup name SERVER

DNS主从同步:
主服务器配置:
vi /etc/name.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };

    /* 
     - If you are building an AUTHORITATIVE DNS server, do NOT enable recurs
     - If you are building a RECURSIVE (caching) DNS server, you need to ena
       recursion. 
     - If your recursive DNS server has a public IP address, you MUST enable
       control to limit queries to your legitimate users. Failing to do so w
       cause your server to become part of large scale DNS amplification 
       attacks. Implementing BCP38 within your network would greatly
       reduce such attack surface 
    */
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging {
channel default_debug {
file "data/named.run";
bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
在配置文件 /etc/named.rfc1912.zones中,加入如下配置:
zone "enterda.com" IN {
type master;
file "enterda.com";
allow-transfer { 192.168.52.101; };
};
zone "52.168.192.in-addr.arpa" IN {
type master;
file "named.192.168.52";
allow-transfer { 192.168.52.101; };
};
正解配置修改:
$TTL 1D
$ORIGIN enterda.com.
enterda.com. IN SOA ns1.enterda.com. nsadmin.enterda.com.(
2015040101
1H
10M
1W
1D
)
enterda.com. IN NS ns1.enterda.com.
enterda.com. IN NS slave.enterda.com.
ns1.enterda.com. IN A 192.168.52.100
slave.enterda.com. IN A 192.168.52.101
www IN A 192.168.52.101
enterda.com. IN MX 10 mail.enterda.com.
mail.enterda.com. IN A 192.168.52.100
web IN CNAME www
反解配置文件修改:
$TTL 86400
@ IN SOA ns1.enterda.com. nsadmin.enterda.com. (2015040101 1H 10M 1W 1D)
@ IN NS ns1.enterda.com.
@ IN NS slave.enterda.com.
100 IN PTR ns1.enterda.com.
101 IN PTR slave.enterda.com.
101 IN PTR www.enterda.com.
从服务器配置:
vi /etc/named.conf
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file "/var/named/data/named.recursing";
secroots-file "/var/named/data/named.secroots";
allow-query { any; };

    /*
       recursion.
       cause your server to become part of large scale DNS amplification
       attacks. Implementing BCP38 within your network would greatly
       reduce such attack surface
    */
    recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
在配置文件 /etc/named.rfc1912.zones中,加入如下配置:
zone "enterda.com" IN {
type slave;
file "slaves/enterda.com";
masters {192.168.52.100;};
};
zone "52.168.192.in-addr.arpa" IN {
type slave;
file "slaves/named.192.168.52";
masters {192.168.52.100;};
};

子域授权
上级域名服务器授权:
$TTL 1D
$ORIGIN enterda.com.
enterda.com. IN SOA ns1.enterda.com. nsadmin.enterda.com.(
2015040101
1H
10M
1W
1D
)
enterda.com. IN NS ns1.enterda.com.
enterda.com. IN NS slave.enterda.com.
ops.enterda.com. IN NS ns1.ops.enterda.com.
ns1.enterda.com. IN A 192.168.52.100
slave.enterda.com. IN A 192.168.52.101
www IN A 192.168.52.101
enterda.com. IN MX 10 mail.enterda.com.
mail.enterda.com. IN A 192.168.52.100
web IN CNAME www
ns1.ops.enterda.com. IN A 192.168.50.100
下级域名服务器配置:
vi /etc/named.conf

vi /etc/named.conf
options {
listen-on port 53 { any; };
// listen-on-v6 port 53 { ::1; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
recursing-file  "/var/named/data/named.recursing";
secroots-file   "/var/named/data/named.secroots";
allow-query     {any; };
recursion yes;
//forward only;
//forwarders{
//8.8.8.8;
//114.114.114.114;
};
//dnssec-enable yes;
//dnssec-validation yes;
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";

    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
在配置文件 /etc/named.rfc1912.zones中,加入如下配置:
zone "ops.enterda.com" IN {
type master;
file "ops.enterda.com";
};
zone "50.168.192.in-addr.arpa" IN {
type master;
file "named.ops.192.168.50";
};
正解配置文件ops.enterda.com:
$TTL 1D
$ORIGIN ops.enterda.com.
ops.enterda.com. IN SOA ns1.ops.enterda.com. nsadmin.ops.enterda.com.(
2015040101
1H
10M
1W
1D
)
ops.enterda.com. IN NS ns1.ops.enterda.com.
ns1.ops.enterda.com. IN A 192.168.50.100
www IN A 192.168.52.101
ops.enterda.com. IN MX 10 mail.ops.enterda.com.
mail.ops.enterda.com. IN A 192.168.50.234
web IN CNAME www
反解配置文件named.ops.192.168.50:
$TTL 1D
@ IN SOA ns1.ops.enterda.com. nsadmin.ops.enterda.com. (2015040101 1H 10M 1W 1D)
@ IN NS ns1.ops.enterda.com.
100 IN PTR ns1.ops.enterda.com.
101 IN PTR www.ops.enterda.com.
234 IN PTR mail.ops.enterda.com.
启动/停止/重启DNS服务器:
systemctl start|stop|restart named.service
至此,DNS服务、主从同步、子域授权配置完成。
注意事项:
在配置和测试过程中,建议关闭防火墙,iptables, selinux ;
systemctl stop firewalld
systemctl stop iptables
setenforce 0

bifjz22888
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ONEDNS配置1:centos7DNS服务器forwarder配置
神秘人的博客
11-15 2179
ONEDNS配置:centos7DNS服务器forwarder配置 1.显示当前网络连接 2.修改当前网络连接对应的DNS服务器 3.将dns配置生效 4.修改 /etc/NetworkManager/NetworkManager.conf 文件 5.NetworkManager重新装载上面修改的配置 6.打开resolv.conf,查看配置是否存在 7. 打开named.conf 8.添加One DNS的IP地址为优先Forwarding
DNS服务搭建(超详细)
热门推荐
Tyfly的博客
11-20 4万+
DNS服务搭建 【搭建要求】 搭建一个dns服务(dns解析域假设为demo.com) 功能要求如下: 至少完成3条A记录对应PTR记录解析。 完成MX记录和任意2个CNAME记录解析。 能转发外部DNS解析,以提供给所有客户端。 一、DNS服务简介 DNS服务器,也称为域名解析服务器,是用来将互联网上的域名解析为IP地址的一类服务器,在世界上有成百上千台DNS服务器。对于有些公司来说,对于同一个域名可能有多个DNS服务器,这样可以降低主域名服务器的负载。例如www.baidu.com,可能会存在多个D
linux基础第7节 ----配置与管理DNS服务器
m0_60981735的博客
02-21 8337
DNS服务的相关配置
DNS域名服务器——高级设置
VictoryKingLIU的博客
09-13 712
1  配置使用转发器forwarder •转发DNS服务器(forwarding DNS server)         相当于代理服务器,把请求转发给解析服务器------转发服务器 •转发器DNS服务器(forwarder DNS server)        实际解析的dns服务器------解析服务器 客户端请求,首先转发给转发服务器,转发服务器在发给解析服务器  vim  /et...
DNS 的搭建 主从同步&子域授权&分离解析
浪漫的偷笑
10-30 195
DNS服务器yum -y install bind bind-chrootmv  /etc/named.conf  /etc/named.conf.origin vim /var/named/chroot/etc/named.confoptions {                                   #定义全局选项    directory  "/var/named";    ...
SERVICES 03 (03):配置DNS子域授权
01-07
3 案例3:配置DNS子域授权 3.1 问题 沿用案例1,本例要求为上下级两个DNS区域建立父子关联,实现客户机向父DNS也可以查询到子域内的FQDN,基本要求如下: 构建父DNS(tedu.cn)服务器 构建子DNS(bj.tedu.cn)服务器...
day1DNS分离解析、子域授权
最新发布
07-19
linux命令行,day1DNS分离解析、子域授权
DNS服务器试题.doc
06-25
DNS服务器类型 答:本地DNS服务器,根DNS服务器,授权DNS服务器 4. 递归查询和迭代查询有什么不同?一般DNS客户端向DNS服务器提出的查询是什么查询? 一般DNS服务器之间的查询请求是什么查询? 答:不同的是,递归...
3.3: DNS服务基础 、 特殊解析 、 DNS子域授权DNS主从架构(1).docx
03-04
3.3: DNS服务基础 、 特殊解析 、 DNS子域授权DNS主从架构(1).docx
在Windows_Server2003系统搭建DNS服务器
06-29
在 Windows_Server2003 系统搭建 DNS 服务器 DNS 概念: DNS(Domain Name System)是一种非常重要的网络服务,能够将域名解析为 IP 地址,也能把 IP 地址解析为域名。正向解析为域名解析为 IP,反向解析为 IP ...
DNS服务器主从和子域配置
SmallCYL的博客
05-24 4384
1、DNS1、简介        DNS(Domain Name System,域名系统),万维网上作为域名和IP地址相互映射的一个分布式数据库,能够使用户更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串。通过域名,最终得到该域名对应的IP地址的过程叫做域名解析(或主机名解析)。DNS协议运行在UDP协议之上,使用端口号53。2、功能每个IP地址都可以有一个主机名,主机名由一个或多个字...
linux系统主备dns,linux系统dns服务器,主从,子域详解
weixin_28709649的博客
05-13 904
一、dns是什么DNS 是域名系统 (Domain Name System) 的缩写,是因特网的一项核心服务,它作为可以将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网,而不用去记住能够被机器直接读取的IP数串二、dns有哪几类dns大体上分为三类:顶级域,二级域,三级域顶级域包括:反向域.arpa国家域.cn.jp.hk.tw组织域.com.net.org.mil.edu....
DNS中NS和SOA区别
少言才不会咸's Tech-blog
11-07 2万+
ns 授權很簡單… 假設你註冊的 domain 叫 abc.com ,而你有 ns1 與 ns2 兩台 server 。 那,你必需從 .com 的權威伺服器授權給你,其設定或類似如此: $ORIGIN com.abc IN NS ns1.abc.com.abc IN NS ns2.abc.com.ns1.abc IN A 1.2.3.4ns1.abc IN A 1.2.3.5然後,你
Linux下DNS服务关于单区域,子域授权,轮询,泛域名的使用方法
ck784101777的博客
07-25 1969
一、域名解析 在域名注册商那里注册了域名之后如何才能看到自己的网站内容,用一个专业术语就叫“域名解析”。 域名是为了方便记忆而专门建立的一套地址转换系统,要访问一台互联网上的服务器,最终还必须通过IP地址来实现,域名解析就是将域名重新转换为IP地址的过程。一个域名对应一个IP地址,一个IP地址可以对应多个域名;所以多个域名可以同时被解析到一个IP地址。域名解析需要由专门的域名解析服务器(DNS...
DNS服务基础 特殊解析 DNS主从架构 DNS子域授权 DNS查询
Yosigo_的博客
03-17 1413
· DNS服务基础 · 特殊解析 · DNS子域授权 · DNS主从架构 DNS服务基础 DNS 域名---->IP地址 DNS解析的作用 · 为什么需要DNS系统 www.baidu.com 与192.168.5.5,哪个更好记? 互联网中的114查号台/导航员 · DNS服务器的功能 正向解析: 根据注册的域名查找其对应的IP地址 反向解析: 根据IP地址查找对应的注册域名,不常用 www.qq.com. 浏览器会默认给域名的最后加上. www.baidu.com. 浏览器会默认给
DNS 缓存&授权服务器攻击简介
focus on security
04-15 3065
DNS架构 当用户上网访问某个网站时,会向DNS缓存服务器发出该网站的域名,以请求其IP地址。当DNS缓存服务器查找不到该域名与IP地址对应关系时,它会向授权DNS服务器发出域名查询请求。为了减少Internet上DNS的通信量,DNS缓存服务器会将查询到的域名和IP地址对应关系存储在自己的本地缓存中。后续再有主机请求该域名时,DNS缓存服务器会直接用缓存区中的记录信息回应,直到该记录老化,被删除,互联网的dns模拟结构如下图: 常见的dns服务器主要是缓存服务器和授权服务器,一个典型的解析过程如下
DNS服务器的配置与搭建全套
09-27
DNS服务器的配置与搭建全套包括对DNS服务器的搭建与配置,以及主辅服务器的转换与问题的解答。在Windows Server 2008搭建DNS服务器的实例中,首先需要确定系统条件,包括服务器和客户机的操作系统和IPv4地址。其次,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值