这是反向区域,另外再dns服务器上,还支持动态更新
区域里的这些信息,可以通过远程客户端,主动敲指令去更新内容,而不是再数据库服务器这边进行更改
但是要支持更改也需要设置权限才可以,默认情况下是不允许更新记录的
nsupdate就是用来更新dns信息的
默认是拒绝的,如果成功就相当于服务器 的数据库更新了
要先修改dns服务器的配置文件
可以允许特定主机更新,也可以设置网段
重新启动服务
重新发送,没有报错
还未更新,这个其实是泛域名解析的结果
泛域名
避免干扰把泛域名删除
重启服务
链接失败,是因为,更新此数据库就存在,对这个数据库文件有没有写权限
报错就是因为没有写权限导致的
加上写权限
还有一个问题,就是目录没有写权限
不是直接去更新文件,是再目录里生成日志文件,新文件配合数据库文件,进行更新的
对于目录加上写权限
更新成功
不会立刻更改magedu.com文件,而是先生成日志文件
过了几分钟后才会把内容更新到文件里
也可以远程删除记录
指定服务器
指定区域
删除的记录
发送
已经查询不到27了
也可以用专门的命令来看
还可以更新数据库版本号
上面是动态更新,接下来看主从复制
主从复制是为了容错
一般为了容错,都是几个服务器,至少两个
dns服务器怎么搭,30.7作为主服务器,30.17作为备用服务器
做从服务器,前期工作都是一样的
创建备用从服务器设置,也需要数据库,需要把主服务器的数据库拉过来做备份
需要建立一个专门的辅助区域
30.17备用服务器安装bind
修改配置文件
建立一个跟主服务器一样的名字
原来放数据库文件的没有写权限,从服务器因为数据库要从主服务器拉取所以就需要写权限
filei名字可以不一样,因为将来还需要复制主服务器的文件
配置文件可能存在问题
这边是从,但是谁是主没说,就不知道去哪里复制
复制成功
客户端就可以用从服务器也可以查询
为了安全从服务器数据文件不可以直接看,做了个加密
这个命令可以看到序列号信息
现在已经同步成功,回到主服务器
文件等几分钟,把内容写进去了
取消动态更新
理论上主服务器更新了,从服务器也要更新
格式错了
少了点magedu.com.,可以直接改为@
把服务重启了,从服务器是否更新了数据库
没有更新,应该修改版本号
还未更新
要想实时更新有两种,推和拉,主服务器要推送,还未知道谁是从服务器
需要更新dns数据库
同步成功
再重新修改下,看是否生效
查询从服务器,如果查询得到就说明数据同步过去了
**再建一个从服务器,能否从第2个从服务器同步,
比如27能否当17 的从(主的从的从
**
修改配置文件
加一个从服务器的信息
文件已经同步过来了
在配置从服务器的时候,经过主同意了吗,没有,
7的服务器还好,都是乱码
现在拿6的试一下
重启服务,获取数据而且数据是明文的
这样攻击上面数据库。服务器都一清二楚,还有可以用命令直接看,都不用抓取数据
axfr,抓取所有的区域记录
这样安全隐患太大,所以需要在主服务器上配置不允许抓取所有的数据,加载安全设置
针对域进行配置,允许哪个域抓取数据,
如果是全局性的就在options里设置
allow-transfer允许从哪传输数据库
在这里插入图片描述
重新加载服务
30.6因为不在设置里,再次抓取就失败了
一个个查需要事先知道名字,安全性高
表面上好了,但是从服务器依旧可以查
需要在从服务器上也要加策略,从服务器不需要允许谁再复制数据了
也可以在主服务器配置文件修改关注的域的权限
这样就不允许了,实现了相对安全的主从同步
**主从服务器在设置的时候别忘记添加ns记录,有几个加几个 **
**理论上主服务器当机了,从服务器就会接替服务,在客户端网卡配置服务器上,添加dns记录
**
30.7宕机了,应该去找第二个服务器了
但是如果主服务器没有宕机,只是
根本没有这个域,把域给取消了
客户端跑到跟上去找了
把主服务器互联网断开,但是主服务器有缓存
清楚缓存
可以了,说明主的实在找不到就找从的
tcpdump抓取53断开的请求
在服务器上dns会开两个端口,一个是tcp一个是udp
把主服务器的域还原
主服务器恢复了,又具有mage域的查询功能
在主服务器上把udp的53端口给掐了
只要发起请求,协议是udp,目标是53就掐掉
做名字解析就走的udp的53
现在访问就失败了
清空记录
udp53不禁用了,换成tcp53
用户查询不受影响
加了好像也不受影响
清空策略,加下数据库的内容
理论上经过修改dns2从服务器可以同步过去,同步了
如果再主服务器上,把tcp端口掐了,还能同步吗
查的还是没有同步过的
无法同步,所以同步的时候需要用到tcp53端口
现在把防火墙策略清空
把udp53加进去
将来从服务器还能同步吗
再次修改配置文件
从服务器未更新
把策略都清楚,两个都不阻止,udp,tcp都开放,才能更新
马上更新时间
所以udp和tcp53都是对dns服务很重要的
主从复制的内容
slaveip从服务器ip地址
none不允许别人来获取
很关键的内容,子域的创建
magedu是com的下级域,也叫子域
想创建bj的子域
如果只有一个主机,完全可以再数据库文件修改
再17的机器上,添加服务
但是一般子域里存放的主机不会就这么一台
还可以这么做
把这两个域独立出来,把它当成一个独立的区域来建立
-p保留原来属性
修改zz的
这样修改相当于是三个独立域
发现错误,查看配置文件
成功了
适合相当于不是很大规模的情况下,就怕这两个域不是一个组织来维护的,所以希望委派一个独立的dns服务器来让子域维护
只留下mage一个
把两个域也删除,回到了默认的状态
现在希望bj.magedu.com来给17管理,
把之前从的删除
把之前的数据库文件也删除
首先再主服务器上告诉客户,已经把bj这个子域委派给17管理了,需要取更改dns的数据库
特殊的记录,b’j
在17上应该,创建一个主区域
建立数据库文件
方便对齐
查看是否成功s
直接问主发现委派失败了
有一个查询日志管理off, 可以把日志开启起来
用日志messages文件就可以跟着查询的结果
查看有没有错误信息
无效的ds,无效的解析
子域的创建,需要去更改关键的内容
需要把这两项和安全相关的改成no,重启服务
成功
这就是委派子域的实现,
互联网就是通过一个一个委派给别人的dns服务,所谓的分布式管理
第三种方法才是常用的方法