一.实验环境的搭建
在dns服务端:
如果做了dns的双向解析的化应该要进行以下操作:
vim /etc/named.conf ##把反向解析时的配置内容还原
systemctl restart named ##重启服务
(1)还原根分区:
即把根分区的注释去掉
(2)注释反向解析配置文件所添加的内容
(3)还原辅助文件的内容
在另一台辅dns配置的虚拟机上:
(1)配置网络
vim /etc/sysconfig/network-scripts/ifcfg-eth0 ##编辑网络配置文件
systemctl restart network
(2)配置yum源
首先要准备一个rhel-server-7.0-x86_64-dvd.iso的镜像
hostnamecrl set-hostname dns2.westos.com ##设置辅助dns的主机名以便于实验的时候区分
更改主机名位dns2即为dns辅助
systemctl stop firewalld ##关掉火墙
二.辅助dns
作用:为了缓解主DNS服务器的压力,从而配置多个辅助DNS服务器,这些DNS服务器就为辅助DNS服务器。
辅助dns的配置过程:
1.在辅助dns上
查看ip
编辑dns客户机配置文件
(1)配置环境
[root@dns2 ~]# yum install bind -y
[root@dns2 ~]# systemctl restart named
注:刚开始第一次重启服务是要动鼠标和键盘才可重启服务
(2)更改主配置文件的内容
vim /etc/named.conf
systemctl restart named
(3)更改辅配置文件的内容
[root@dns2 ~]# vim /etc/named.rfc1912.zones
systemctl restart named
编辑内容如下:
26 type slave; ##类型设置为辅助dns
27 masters {172.25.77.102;}; ##主dns的ip
28 file "slaves/westos.com.zone"; ##指定辅助dns在解析时参考的文件
29 allow-update { none; };
30 };
(4)重启动服务后在/var/named/slaves下会自动生成
刚刚指定的文件westos.com.zone
2.在主dns上
[root@dns named]# vim /etc/named.rfc1912.zones
[root@dns named]# systemctl restart named
编写内容为:
24 zone "westos.com" IN {
25 type master;
26 file "westos.com.zone";
27 allow-update { none; };
28 also-notify {172.25.77.202;} ##将主dns的信息同步到辅dns上
29 };
3.检测:
(1)
在主dns端:
vim westos.com.zone
在辅助dns端:
则证明可同步过来
(2)
在主dns端:
vim westos.com.zone
修改前的内容如下:
修改后的内容如下:
注意:同时修改了serial前面的值
在辅助dns端:验证解析文件同步成功
注意:
再修改dns服务器的域名和ip时,必须要修改“serial”的数值,因为在俩台服务器同步数据时,系统不是读取整个文件的内容,而是比较“serial”的数值是否有所变化,是为了节约时间,同时该数字最长为10位
验证如下:
a. 首先在辅助dns查看westos.com.zone文件的时间状态
b.修改主dns配置文件解析的数值但不修改“serial”的数值
c.在辅dns中可以看到文件westos.com.zone的时间值没有更新
d.再次修改主配置文件中“serial”的值
e.查看辅助dns文件的时间状态发现发生变化
三.DNS的远程更新
1.在辅助dns端更新主dns,会有如下报错
2.备份主dns的解析文件,以便后续方便恢复
3.查看主dns服务器的selinux的状态
注意:如果为enforcing,则要打开相应的开关
getsebool -a | grep named
setsebool -p named_write_master_zones on ##打开开关
4.在主dns端
[root@dns named]# vim /etc/named.rfc1912.zones
[root@dns named]# systemctl restart named
表示允许辅助dns来更新。
5.此时在辅助dns端更新主dns,报错发生改变,是因为缺少权限
6.更改/var/named的权限,添加其的可写权限
7.在辅助dns端进行再次测试,不会再产生报错,此时更新成功
8.更新成功后,主dns端/var/named的目录下出现westos.com.zone.jnl文件
解析文件内容也改变了
注:如果文件内容没变可以重启服务,然后再看文件内容
9.在主dns端再次验证
dig hello.westos.com 会发现刚才更新的hello.westos.com可以解析到对应的ip
10.删除更新所生成的文件,则更新的hello.westos.com也不存在
注:也可以在辅dns中用命令删除更新的hello.westos.com然后在主dns上再进行如上操作
四.基于key的dns更新
1.生成key
[root@dns mnt]# dnssec-keygen -a HMAC-MD5 -b 128 -n HOST westoskey
若遇到加密停顿情况可以在主机中敲击键盘来解决
查看key已经生成:一个为密钥一个为私钥,可以看到其中的内容都是相同的
2.将key摸版复制到自己的key文件中
3.编辑key文件
注意:密码为自己生成key文件的密码
4.编辑主配置文件加入key认证
[root@dns mnt]# vim /etc/named.conf
[root@dns mnt]# systemctl restart named
5.
[root@dns mnt]# vim /etc/named.rfc1912.zones
[root@dns mnt]# systemctl restart named
6.将密钥匙和公匙都传到辅助dns
7.测试
在辅助dns端
开启远程更新,发现更新成功
